1.VPN概述
虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与物理专用网络一样的安全和功能保障。在虚拟专网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。虚拟"Virtual"指没有物理的连接存在于2个网络间;事实上,连接是通过Internet的路由完成的;专用"Private"指传输的数据是保密的,不可篡改的(通过加密、完整性保护,以及隧道技术);网络"Network"指利用各种网络(私有、公用、有线、无线等等)构成的通信手段。
那为什么需要VPN?
- 资源访问限制于某些特定的IP地址
- 通过防火墙不能访问某些资源
- 内部人员或者在外地的雇员需要访问内部网络
- 架设物理专有网太贵
- 外地的雇员也可能不是定点的
对VPN有哪些需求?
- 安全保障:VPN应保证通过公用网络平台传输数据的专用性和安全性,这是目前公共Internet所无法提供的功能。
- 服务质量保证:对不同的用户提供不同的服务质量,如带宽、时延等保证,这取决于广域网上是否提供服务质量保证。
- 可扩展性和灵活性:便于增加新的节点,支持多种类型的传输媒体。
- 可管理性:易于维护和管理,安全管理、设备管理、配置管理、访问控制列表管理等等。
VPN的优势?
- 不受地理位置限制,实现完全控制主动权
- 可扩展性强
- 增强安全性
- 节省大量费用
建立VPN所需的安全技术?
- 隧道技术:隧道协议将其协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的原始数据能够通过互联网传递。
- 加解密技术
- 密钥管理技术
- 认证技术
- 访问控制
隧道协议和VPN类型?
按隧道协议技术分类:
- 基于第二层隧道技术的VPN(层2发送协议L2F、层2隧道协议L2TP、点到点隧道协议PPTP )
- IPSev VPN
- GREVPN
- MPLS VPN
- SSL VPN
按应用类型分类:
- 远程访问型
- LAN间互连
2.隧道技术
隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术,隧道协议通常有第2层、第3层和第4层(SSL)隧道协议
第2层隧道协议
- 第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。
- 第二层隧道协议有L2F、PPTP、L2TP等。L2F/PPTP/L2TP都是远程访问VPN的协议,L2TP协议是目前IETF的标准,是L2F和PPTP基础上进行综合,其格式是基于L2F,信令是基于PPTP。
第3层隧道协议
- IPSec:隧道模式可以用于VPN构建,其提供的认证、加密功能适用于建立VPN安全环境,它既能提供LAN间VPN,也能提供远程访问型VPN。
- MPLS VPN:提供QoS保障,需要核心网络支持MPLS。
第4层隧道协议
- SSL VPN:无需专门的客户端,只要支持web访问即可,与操作系统无关,穿越防火墙和NAT。
3.IPSec VPN
IPSec 不是一个单独的协议,而是一套协议包,包括三个基本协议
- AH协议提供信息源验证和完整性保证;
- ESP 协议提供信息源认证、机密性和完整性保证;
- IKE 提供密钥协商(IKE v1、IKE v2)
IPSec VPN
- 提供安全的网络传输服务
- 主要适用于LAN间VPN(隧道模式)
- IKE支持动态密钥交换,采用预共享密钥或公钥机制认证身份,协商加密、认证密钥
- 具有数据传输的完整性认证、加密功能
- 实现方式:VPN专用设备,将IPSec嵌入到防火墙软件,将IPSec嵌入到路由器软件,动态IP地址的IPSec VPN(利用动态域名服务器)
4.MPLS VPN
什么是MPLS?
- 多协议标记交换
- 是一种支持多种网络层协议的快速转发技术,就像一个垫片,处于OSI的第2、3层之间。
- MPLS吸收了ATM网络的交换思想,集成了IP路由技术的灵活性和第2层交换的简捷性,将第二层的基础设施和第三层的路由进行有机结合,路由功能在网络边缘,MPLS核心网络采用MPLS交换。为IP网络提供面向连接的交换。
MPLS VPN
- 利用标记通道为用户提供有安全的、有服务质量保证的虚拟专网服务。
- 利用MPLS构建VPN时,只需对不同的企业集团分配不同的标记通道,企业网使用的内部地址也仍可以原封不动使用(即企业网网关可以不用NAT)。
- 利用标记堆叠来实现VPN,在一个IP分组上叠加两个MPLS标记头标进行转发,外标记用于转发,内标记用于VPN接入(FEC标识+VPN标记)。
MPLS VPN 与IPSec VPN
- MPLS VPN 的安全性与帧中继、ATM类似 ,即租用了一条虚连接(局部)
- MPLS VPN不涉及认证、加密功能。
- IPSec VPN 提供认证、加密功能,能保证数据的机密性、完整性。
- 对安全需求强的业务可以将IPSec 和MPLS VPN综合使用。