vpn工作原理与通信过程

已于 2024-06-26 09:35:00 修改
阅读量918 收藏 14
点赞数 11
分类专栏: # 计算机网络 文章标签: 计算机网络 运维开发 服务器
于 2024-05-27 14:08:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hutaotaotao/article/details/139235939
版权

目录

(1)VPN是什么

(2)vpn使用场景

(3)vpn通信过程

(4)VPN客户端软件和VPN网关作用总结

(1)VPN是什么

VPN英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。

(2)vpn使用场景

例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。

在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。

为了让外地员工访问到内网资源,企业会在内网中架设一台VPN服务器。外地员工在当地连接到互联网后,使用VPN客户端软件或应用程序来建立与VPN服务器的安全连接。一旦连接建立成功,员工就可以通过VPN隧道直接访问企业内网的资源。这种解决方案保证了数据在传输过程中的安全性和隐私性,同时也降低了企业的网络通讯和维护成本。

为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。

有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。

(3)vpn通信过程

网络结构

  • 网络一(某局域网):终端A位于此网络,具有一个私有IP地址和一个连接到互联网的网关。
  • 网络二(公司内网):终端B位于此网络,具有一个私有IP地址。VPN网关也位于此网络,并具有一个外部(公网)IP地址和一个内部(私网)IP地址。

通信过程

1.建立VPN连接

  • 在终端A上,用户启动VPN客户端软件并输入必要的认证信息(如VPN服务器的地址,用户名和密码等)。
  • VPN客户端软件与VPN服务器(位于网络二的VPN网关)建立加密的隧道连接。这通常是通过安全协议(如IPsec或SSL/TLS)完成的。
  • 远程用户设备的路由表自动进行更新:
    • 会增加一条或多条路由,当网络请求的目标地址属于公司内网中的IP地址段(包括终端B的内部IP地址所在网段)时,数据包会被路由到VPN客户端软件
    • 会增加一条路由,当网络请求的目标地址是VPN服务器外部ip地址时,数据包会被路由到连接到互联网的网关,该路由指向VPN隧道接口。

可以通过查看连接vpn前后路由表的变化情况,来看增加了哪些路由。查看路由表命令:route print -4。

2.数据包封装

  • 终端A发出访问数据包,目标地址是终端B的内部IP地址。
  • 由于目标地址是私有IP地址,根据路由表,数据包被路由到VPN客户端软件。
  • VPN客户端软件将数据包封装在VPN隧道协议中(如ESP、UDP或TCP),并添加VPN头部信息,包括VPN网关的外部地址。

3.发送VPN数据包

  • VPN客户端软件将封装后的VPN数据包发送到互联网。
  • 数据包经过互联网上的路由和转发,最终到达网络二的VPN网关。

4.VPN网关处理

  • VPN网关接收到VPN数据包后,检查其VPN头部信息,确认其来自有效的VPN连接。
  • VPN网关解封装VPN数据包,还原出原始的数据包。
  • 还原后的数据包被路由到网络二中的目标终端B。

5.终端B响应

  • 终端B收到数据包后,正常处理并生成响应数据包。
  • 响应数据包通过反向路径(即通过VPN网关和VPN隧道)返回到终端A。

6.关闭VPN连接

  • 当用户完成通信或VPN连接超时后,VPN客户端软件将关闭VPN隧道连接。
  • 远程用户设备的路由表会更新,删除指向VPN服务器的路由。

需要注意的是,上述描述假设VPN使用的是路由模式(Routing Mode),其中VPN网关作为路由器工作,负责数据包的封装和解封装。VPN也可以工作在桥接模式(Bridging Mode)下,此时VPN网关更像是一个透明的桥接设备,数据包的封装和解封装在终端上的VPN客户端软件完成。

此外,VPN通信过程中的加密和解密操作对于保护数据的安全性和隐私性至关重要。在数据通过VPN隧道传输时,数据会被加密以防止未经授权的访问和篡改。

(4)VPN客户端软件和VPN网关作用总结

VPN客户端软件的作用

  • 连接建立:VPN客户端软件安装在终端A上,负责建立与VPN网关之间的安全连接。
  • 数据封装:当终端A需要访问网络二(如公司内网)中的资源时,VPN客户端软件会将原始数据包(如HTTP请求)进行封装,添加VPN协议相关的头部信息,从而创建一个新的VPN数据包。这个封装过程确保了数据在传输过程中的安全性和隐私性。
  • 加密和解密:VPN客户端软件还会使用VPN协议中定义的加密算法对封装后的数据进行加密,以确保数据在公共网络(如Internet)上的传输安全。在接收数据时,VPN客户端软件会进行解密操作,还原出原始的数据包。

VPN网关的作用

  • 连接管理:VPN网关位于网络二的边缘,负责管理和维护所有来自VPN客户端的连接。它会对连接请求进行验证和授权,确保只有合法的用户才能访问内部网络资源。
  • 数据转发:当VPN网关接收到来自VPN客户端的VPN数据包时,它会根据VPN数据包中的目标地址和路由规则,将数据包转发到相应的内部网络资源(如终端B)。
  • 安全策略执行:VPN网关还可以执行各种安全策略,如防火墙规则、访问控制列表(ACL)等,以进一步保护内部网络的安全。

end

hutaotaotao
关注
  • 11
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络课件-网络层
04-08
4.1 网络层提供的两种服务 4.2 网际协议 IP 4.2.1 虚拟互连网络 4.2.2 分类的 IP 地址 4.2.3 IP 地址与硬件地址 4.2.4 地址解析协议 ARP 与逆地址解析协议 RARP 4.2.5 IP 数据报的格式 4.2.6 IP 层转发分组的流程 4.3 划分子网和构造超网 4.3.1 划分子网 4.3.2 使用子网时分组转发 4.3.3 无分类编址 CIDR(构造超网) 4.4 网际控制报文协议 ICMP 4.4.1 ICMP 报文的种类 4.4.2 ICMP 的应用举例 4.5 因特网的路由选择协议 4.5.1 有关路由选择协议的几个基本概念 4.5.2 内部网关协议 RIP 4.5.3 内部网关协议 OSPF 4.5.4 外部网关协议 BGP 4.5.6 路由器的构成 4.6 IP 多播 4.6.1 IP 多播的基本概念 4.6.2 在局域网上进行硬件多播 4.6.2 因特网组管理协议 IGMP 和多播路由选 择协议 4.7 虚拟专用网 VPN 和网络地址转换 NAT 4.7.1 虚拟专用网 VPN 4.7.2 网络地址转换 NAT
3G的标准与原理相关资料
03-16
可视电话的工作过程? 70 93. MultiCALL与多方通话关系如何? 71 94. 综合预付费业务的主要功能和实现方式? 71 95. 预付费漫游怎样实现机制如何? 72 96. 移动智能网和固网智能网的主要区别? 72 97. 主要的3G智能...
谈谈VPN是什么、类型、使用场景、工作原理
qq_42131644的博客
07-21 1972
这种类型比较适合居家办公的场景,前面说的站点对站点的地址相对比较固定,但是每个员工的家庭地址都在不同的位置,如果员工在其他位置办公,IP地址就会发生变化。当一个数据包发送到VPN集线器的时候,数据包的源地址会被更改为当前VPN集线器的地址,而目的地址会被改为目的VPN集线器的地址。此时,在公共线路,有专门的通信网络无法读取通信的来自外部的内容,如加密建成后,就不必担心的是窃听通信内容。VPN是虚拟专用网络,顾名思义,它指的是我们公司建立的“虚拟”的“专用网络”,或者提供这种网络的服务。
VPN原理入门(非常详细)从零基础入门到精通,看完这一篇就够了
Javachichi的博客
08-04 1万+
最近在工作中遇到 VPN 的相关问题,之前一直对 VPN 的原理存在一些疑惑,借此机会学习一下 VPN 的原理以及进行实现验证。由于 VPN 在不同系统下的实现方式不同,为了便于学习和理解,这里我们选择Linux环境,我本地测试环境使用的是。本文从 TUN/TAP 出发,逐步理解 VPN 中的技术细节;并结合simpletun源码,进行 VPN 的原理验证。本文从 VPN 原理出发,介绍了关键作用的 TUN/TAP 虚拟网络设备,并结合simpletun。
VPN入门教程(非常详细),从零基础入门到精通,看完这一篇就够了
热门推荐
Javachichi的博客
07-16 6万+
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
VPN部署场景——点到点VPN—与其他设备互联实例
君逍遥o
09-21 1537
通过在NGFW与H3C路由之间建立ipsec VPN,将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
通信协议有哪几种
HWP
11-06 7201
转载: https://zhidao.baidu.com/question/576852837.html VPN技术,分为二层、三层及三层以上隧道协议 二层(数据链路层)VPN有:PPTP、L2TP、L2F等 三层(网络层)隧道协议VPN有:IPSec、GRE VPN、VTP等 应用层VPN的代表则为:SSL VPN ...
VPN服务器工作原理以及搭建过程
2303_79452807的博客
03-13 3987
当你使用VPN连接后访问一个网站时,你的请求会首先通过VPN客户端加密后传送到VPN服务器,然后由VPN服务器代表你向目标网站的服务器发送请求。在目标服务器看来,收到请求的IP地址是VPN服务器的IP地址,因此目标服务器只能看到VPN服务器的IP地址,而无法直接获取你的真实IP地址。这就实现了隐藏真实IP地址的效果,提高了用户的隐私保护和匿名性。
三、IPSec VPN原理
u012451051的博客
11-03 1588
由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。定义PSec是一组开放的网络安全协议。
ssl原理及应用ssl原理及应用
08-16
SSL(Secure Sockets Layer,安全套接层)是互联网上广泛使用的一种安全协议,它的主要目的是确保在客户端和...理解和掌握SSL的工作原理,对于从事网络开发运维、安全等相关工作的专业人士来说,是必备的知识技能。
ssl原理及应用实用.pdf
11-20
SSL工作原理中,数据加密使用的是对称加密算法,如DES或RC4,而密钥交换和数字签名则依赖于非对称加密算法,如RSA。在SSL握手过程中,客户端首先发送其支持的加密算法列表,服务器则选择最安全的算法进行通信。在SSL...
通信网络安全---教学大纲.docx
06-10
一、课程说明 课程编号: 090313Z10 课程名称:通信网络安全/ Communication Network Security 课程类别:专业教育课程 学时/学分:32/2(含实践学时:4) 先修课程:《概率统计》、《高等数学》、《随机过程》 ...
网络管理与维护综合实训
09-22
【网络管理与维护综合实训】是一门针对计算机...总的来说,网络管理与维护综合实训是一门以实践为主的课程,通过系统的学习和实践,培养学生的网络管理技能,使他们能够在实际工作中有效地配置、管理和维护计算机网络
IPSec VPN 原理与配置
m0_73258133的博客
04-20 2135
VPN就是在两个网络实体之间建立的一种受保护的连接,这两个实体可以通过点到点的链路直 接相连,但通常情况下它们会相隔较远的距离。对于定义的“受保护”一词,可以从以下几个方面理解。实际工作环境中的VPN解决方案不一定包含上述所有功能,这要由具体的环境需求和实现方式 决定。而且很多企业可能采用不止一种的VPN解决方案。
ssh远程登录另一台linux电脑
roc_ever的博客
07-17 300
大部分的博客内容所说的安装好ssh服务后,terminal输入 ssh -p port_number clientname@server_ip 之后输入密码等等就可以登上别人的电脑 但是这是有一个前提的,就是这两台电脑要在同一个局域网下面。 如果很远呢? 远到不在同一个网下面怎么办? (对于类似于gnome的窗口方案有效。) 服务端: 1.服务器和客户端都需安装openssh-server、ope...
Nginx文件上传过大,报错 413
最新发布
qq_50661854的博客
07-17 178
Nginx文件上传过大,报错 413
SSL VPN支持哪些接入方式
05-30
SSL VPN(Secure Sockets Layer Virtual Private Network)支持以下几种接入方式: 1. Web Portal:用户通过Web浏览器访问SSL VPN网关的Web界面,在界面中输入用户名和密码进行身份认证。认证通过后,用户可以访问内部网络资源,如Web应用、文件共享等。Web Portal接入方式无需安装客户端软件,适合在公共计算机上使用。 2. Clientless SSL VPN:类似于Web Portal,但支持更多的应用,如RDP、SSH、Telnet等。用户通过Web浏览器访问SSL VPN网关的Web界面,通过Java Applet或ActiveX控件实现对应用的访问。Clientless SSL VPN无需安装客户端软件,但需要在Web浏览器中安装Java或ActiveX插件。 3. Thin Client SSL VPN:用户需要安装SSL VPN客户端软件,但该软件比传统VPN客户端更轻量级。Thin Client SSL VPN客户端通过SSL协议与SSL VPN网关建立加密隧道,实现对内部网络资源的访问。Thin Client SSL VPN适合在移动设备上使用。 4. Full Tunnel SSL VPN:类似于传统VPN客户端,用户需要安装SSL VPN客户端软件,并通过该软件与SSL VPN网关建立加密隧道。Full Tunnel SSL VPN将用户的所有网络流量都通过加密隧道转发到内部网络,确保了数据的安全性。Full Tunnel SSL VPN适合在需要对所有网络流量进行加密保护的场景中使用。 以上四种接入方式可以根据实际需求进行选择,以实现远程接入内部网络资源的目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值