虚拟专用网络(VPN)的功能是在公共网络上建立专用网络进行加密通信。它广泛应用于企业网络。VPN网关通过加密数据包和转换数据包的目的地址来实现远程访问。VPN可以通过服务器、硬件和软件来实现。
VPN属于远程访问技术,简单来说就是利用公网建立专网。比如某公司员工出差到外地,想访问内网的服务器资源,这种访问属于远程访问。(声明:文章仅供参考对比;请勿用于任何违法行为;)
在传统的企业网络配置中,传统的远程访问方法是租用DDN(数字数据网)专线或帧中继,这必然会导致网络通信和维护成本高。对于移动用户(移动办公人员)和远程个人用户来说,他们通常通过拨号线路(互联网)进入企业局域网,但这必然会带来安全隐患
外籍员工访问内网资源和使用VPN的解决方案是在内网设置一个VPN服务器。外地员工在本地接入互联网后,通过互联网接入VPN服务器,再通过VPN服务器进入内网。为了保证数据安全,VPN服务器和客户端之间的通信数据是加密的。有了数据加密,可以认为数据是在一个特殊的数据链路上安全传输的,就像建立一个特殊的网络一样。但实际上,VPN使用的是互联网上的公共链路,所以VPN被称为虚拟专用网,本质上是利用加密技术在公共网络上封装一个数据通信隧道。有了VPN技术,用户只要能接入互联网,无论是出国旅游还是在国内工作,都可以使用VPN访问内网资源,这也是VPN在企业得到广泛应用的原因。
从上面的描述可以发现,VPN网关处理数据包时,有两个参数对VPN通信非常重要:原始数据包的目的地址(VPN目的地址)和远程VPN网关的地址。VPN网关根据VPN目标地址,可以判断VPN处理了哪些数据包,不需要处理的数据包通常可以直接转发到上级路由;远程VPN网关地址指定处理后的VPN数据包的目的地址,即VPN隧道另一端的VPN网关地址。由于网络通信是双向的,隧道两端的VPN网关在进行VPN通信时必须知道VPN目的地址和对应的远程VPN网关地址。(声明:文章仅供参考对比;请勿用于任何违法行为;)
VPN的基本流程如下:
(1)保护主机向其他VPN设备发送明文信息。
②VPN设备根据网络管理员设置的规则决定是加密数据还是直接传输数据。
③对于要加密的数据,VPN设备对整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密,附加数据签名,并添加新的数据头(包括目的VPN设备所需的安全信息和一些初始化参数)进行重新打包。
(4)封装的数据包通过隧道在公共网络上传输。
⑤数据包到达目的VPN设备后,解封,验证数字签名正确后解密数据包。
根据不同的分类标准,虚拟专用网可以根据几个标准进行分类:
按VPN协议分类
VPN主要有三种隧道协议,PPTP、L2TP和IPSec,其中PPTP和L2TP工作在OSI模型的第二层,也称为第二层隧道协议。IPSec是第3层隧道协议。(声明:文章仅供参考对比;请勿用于任何违法行为;)
按虚拟专用网应用分类
(1)接入VPN(远程接入VPN):从客户端到网关,VPN数据流量以公网为骨干网在设备间传输;
(2)内网VPN:网关到网关,通过公司的网络架构连接来自同一公司的资源;VPN):它与伙伴企业网络形成外联网,将一家公司的资源与另一家公司的资源连接起来。
根据所用设备的类型进行分类
根据不同客户的需求,网络设备提供商开发了不同的VPN网络设备,主要是交换机、路由器和防火墙:
(1)路由器VPN:路由器VPN容易部署,只要给路由器增加VPN服务;
(2)交换式VPN:主要用于连接用户较少的VPN网络;(声明:文章仅供参考对比;请勿用于任何违法行为;)
根据实施原则
(1)重叠VPN:这种VPN要求用户在端节点之间建立VPN链路,主要包括GRE、L2TP、IPSec等多种技术。
(2)对等VPN:网络运营商在骨干网上完成VPN通道的建立,主要包括MPLS和VPN技术。
VPN的实现方式有很多种,其中常用的有以下四种:
1.VPN服务器:在大型局域网中,可以通过在网络中心设置一个VPN服务器来实现VPN。
2.软件VPN: VPN可以通过专门的软件实现。
3.硬件VPN: VPN可以通过专门的硬件来实现。
4.集成VPN:一些硬件设备,如路由器、防火墙等。都有VPN功能,但是有VPN功能的硬件设备通常比没有这个功能的好。
以上就是虚拟专用网络(VPN)的主要功能(声明:文章仅供参考对比;请勿用于任何违法行为;)在此声明:梦飞科技没有vpn,也不出售vpn,请勿咨询!