新闻动态  

致力为客户提供最全面、最优质的支持服务

VPN的基础介绍及SSL、IPSec(IKEv2)、L2TP应用场景
2023-11-27 11:07:18   来源:    阅读:
VPN是虚拟专用网络,用于在公共网络上构建私人专用虚拟网络,并在这个虚拟网络中传输私网流量。在不改变网络现状的情况下,VPN将现有的物理网络分解为逻辑隔离网络,实现安全可靠的连接。

VPN具有以下两个基本特征:
专用网络:对于VPN用户来说,使用VPN与使用传统专网没有区别。VPN与底层承载网络保持资源独立,即VPN资源不被网络中非VPN用户使用,VPN可以提供足够的安全保障,确保VPN内部信息不受外部干扰。虚拟:用户不再需要有实际的专用长途数据线,而是使用Internet的长途数据线建立自己的私有网络。VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。

VPN常见技术
隧道技术:隧道两端封装、解封装,用于建立数据通道,身份证:确保接入VPN的操作人员的合法性、有效性,数据认证:数据在网络传输过程中不被非法篡改,加解密技术:确保数据在网络中传输时不被非法获取,密钥管理技术:在不安全的网络中安全地传递密钥。

VPN的产生背景
在VPN(VirtualPrivateNetwork)在出现之前,跨越Internet的数据传输只能依靠现有的物理网络,这是一个很大的不安全因素。企业的总部和分支机构位于不同的地区(如不同的国家或城市)。当分支机构的员工需要访问总部服务器时,数据传输应通过互联网进行。由于Internet中存在多种不安全因素,则当分支机构的员工向总部服务器发送访问请求时,报文容易被网络中的黑客窃取或篡改。最终导致数据泄露,重要数据被破坏等后果。VPN出现前的报文传输,为了防止信息泄露,可以在总部和分支机构之间搭建一条物理专网连接,但其费用会非常昂贵,此时可以考虑采用VPN的方案进行解决。

VPN封装原理
VPN的基本原理是利用隧道(Tunnel)技术,封装传输报文,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。隧道技术使用一种协议封装另外一种协议报文(通常是IP报文),而封装后的报文也可以再次被其他封装协议所封装。若有VPN隧道,则数据传输如下图所示。当分支机构员工访问总部服务器时,报文封装过程如下:经过VPN封装后的报文传输,报文发送到网关1时,网关1识别出该用户为VPN用户后,发起与总部网关即网关2的隧道连接,从而网关1和网关2之间建立VPN隧道。将数据封装在VPN隧道中,发送给网关2。网关2收到报文后进行解封装,并将原始数据发送给最终接收者,即服务器。反向的处理也一样。VPN网关在封装时可以对报文进行加密,使Internet上的非法用户无法读取报文内容,因此通信安全可靠。

VPN的优势
与传统的数据专网相比,VPN具有以下优点:安全:在远端用户、海外机构、合作伙伴、供应商和公司总部之间建立可靠的连接,以确保数据传输的安全。廉价:利用公共网络进行信息交流,企业可以以较低的成本与远程办事机构、出差人员和业务伙伴联系。支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动访问,能够满足日益增长的移动业务需求。可扩展性:由于VPN为逻辑上的网络,物理网络中增加或修改节点,不影响VPN的部署。

VPN的应用场景及选择
VPN适用于以下基本场景,以及从以下场景中衍生出来的复杂场景。通过对比各种VPN的特性,可以选择合适的VPN类型。site-to-siteVPN,site-to-siteVPN即两个局域网之间通过VPN隧道建立连接。企业的分支和总部分别通过网关1和网关2连接到Internet。由于业务需要,企业分公司和总部经常相互发送内部机密数据。为了保护这些数据在Interner中安全传输,在网关1和网关2之间建立VPN隧道。

site-to-siteVPN组网图
这一场景的特点是:两端网络通过固定网关连接到Internet,组网相对固定。而且访问是双向的,也就是说,分支机构和总部都有可能向对端发起访问。适用于比如连锁超市、政府机关、银行等的业务通信。此场景可以使用以下几种VPN实现:IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。两端相互访问较频繁,传输的数据为机密数据,且任何用户都能访问对端内网,无需认证时,可采用IPSec方式。只有一端访问另一端,且访问的用户必须通过用户认证时,可采用L2TP方式。如果只有一端访问另一端,传输数据为机密数据,且访问的用户必须通过用户认证,可采用L2TPoverIPSec方式,安全性更高。GREoverIPSec隧道和IPSecoverGRE隧道都可以用来安全的传输数据,两者的区别在于对数据的封装顺序不同。GREoverIPSec在报文封装时,是先GRE封装然后再IPSec封装;IPSecoverGRE在报文封装时,是先IPSec封装再GRE封装。由于IPSec无法封装组播报文,因此IPSecoverGRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时,就要采用GREoverIPSec方式,client-to-siteVPN,client-to-siteVPN即客户端与企业内网之间通过VPN隧道建立连接。外出差员工(客户端)跨越Internet访问企业总部内网,完成向总部传送数据、访问内部服务器等需求。为确保数据安全传输,可在客户端与企业网关之间建立VPN隧道。client-to-siteVPN组网图,这种场景的特点为:客户端的地址不固定。而且访问是单向的,即只有客户端向内网服务器发起访问。适用于企业出差职工或临时办事处职工通过手机、电脑等方式进入总部远程办公。

此场景可以使用以下几种VPN实现:SSL、IPSec(IKEv2)、L2TP、L2TPoverIPSec。如果对客户端没有要求,但要访问的服务器应该为不同类型的用户开放不同的服务,并制定不同的策略,则可以使用SSL。如果需要频繁访问某些固定的总部服务器,并且服务器功能对所有用户开放,出差员工或临时办事处员工可以采用L2TPoverIPSec方式。

BGP/MPLSIPVPN
BGP/MPLSIPVPN主要用于解决跨域企业互联等问题。目前,企业越来越区域化和国际化,同一企业不同区域的员工需要通过服务提供商网络进行互访。为了严格控制用户访问,确保数据安全传输,服务提供商的网络往往相对庞大和复杂。需要在骨干网上配置BGP/MPLSIPVPN功能,实现不同区域用户之间的访问需求。BGP/MPLSIPVPN为全网状VPN,即每个PE和其他PE之间均建立BGP/MPLSIPVPN连接。服务提供商骨干网的所有PE设备都必须支持BGP/MPLSIPVPN功能。

保存图片,微信识别二维码

微信号:18565868778

(点击微信号复制,添加好友)

  打开微信