本文详细介绍了VPNs的不同类型,如PPTP/L2TP、GRE、IPsec-VPN、MPLS-VPN和SSL-VPN,涵盖它们的工作原理、应用场景和优缺点,重点讨论了加密、NAT穿越和OSI模型的应用层次。
vpn 指一种在不改变现有网络结构的情况下,建立虚拟专用网络连接的技术,是一种 Overlay 网络;
一. 简述
常用的 VPN 技术有很多种,按照所处 OSI 参考模型的层数可分为:
| name | layer | description |
|---|---|---|
| PPTP/L2TP | 2 | PPP 的魔改版,用于拨号接入和企业用户接入内网; 无加密,但可以与 IPsec 合用; 该场景下被更好用的 SSL-VPN 方案取代中。 |
| GRE | 3 | 非常简单的三层隧道,经久不衰,在某些场景下有奇效; 无加密,但可以与 IPsec 合用; |
| IPsec | 3 | site-to-site 场景的解决方案,可以经过公网构建安全的私有网络; 由多个协议共同组成,主要有 IKE,AH,ESP; |
| MPLS | 2/3 | 原用于加速网络的转发,因硬件转发的发展,该功能越来越弱; 现在更多用于运营商网络中,为多租户构建相互隔离的私有安全网络; 同时也出现很多不同的扩展,可以用于流量工程/VPN/QOS 等几个方面。 |
| SSL-VPN | 7/4/3 | 用户远程接入内网/访问内部服务的解决方案,基于 SSL 证书体系; 同时支持内部 HTTP 代理/TCP端口映射/3层隧道等多种接入方式。 |
二. 概览
2.1 L2TP
L2TP 是 VPDN - Virtual Private Dail-up Network 的一种,扩展了点到点的 PPP 协议。
2.2 GRE
GRE 会对三层报文再封装,实现 overlayer 的报文传输,可封装组播和单播:
- GRE 隧道会在设备上新建逻辑口,在路由表中,隧道的乘客协议均被指示发至逻辑口;
- 逻辑口依据封装协议对报文从封装,并使用运输协议正常转发;
- GRE 与 IPsec 存在互补关系,GRE 无加密,IPsec 帮助加密,IPsec 不支持组播,GRE 支持组播;
2.3 IPsec-VPN
现在一般在 Site-to-Site 场景中使用,支持数据验证/加密/完整性校验/重复包检验,当然也可以用于远程接入场景,但是因为使用 500/4500(NAT穿越) 端口,通过性明显弱于 SSL-VPN:
- IPsec 是一套框架,其中使用 IKE 完成密钥交换,使用 AH/ESP 加密/验证数据包;
- IPsec 支持 DPD 检测;
- IKE 协商分为两个阶段,第一阶段使用 DH 算法交换密钥 seed,第二阶段完成身份认证和共享密钥的生成;
- IKE 共有两个版本,V2 较 V1 在多方面有所改善:
- V2 简化了协商过程,最少仅需要两次交互,四个包就可以完成协商;
- 解决了重协商时可能出现的隧道中断;
- 更合理的 DPD 检测机制,重传在 1-64s 间以指数增长,8次后删除 SA;
- 扩展了 EAP 认证方式,且支持为 Client 分配私网 IP 地址,不再借助 L2TP, 远程接入场景复杂度降低;
- 仅 ESP 隧道模式支持 NAT 穿越,NAT 穿越使用 4500 端口,并额外封装一个 UDP 包头;
2.4 MPLS-VPN
利用 label 进行转发的一种技术,设计用于家督转发,现用来实现 VPN/QOS/流量工程:
- 同时支持 L2/L3 隧道;
- 由 CE - Customer Edge, PE - Provider Edge, P - Provider 三个角色组成;
2.5 SSL-VPN
利用 SSL 加密技术实现的一种隧道技术,可同时工作在 7/4/3 层, 其扩展 TLS-VPN 技术,能够实现直接对 UDP 应用的保护:
- 7层-Web 代理: 用户访问 SSL-VPN 服务器的域名,然后可以从中选取内部的,由 SSL-VPN 代理的网址;
- 4层-端口映射:需要安装 client, 并为映射域名的端口生成本地 host 解析;
- 3层-IP连接: 需要安装 client, 为用户创建一个虚拟网卡,分配私网地址,下发路由;
- 不同层次的控制粒度不同,7层精确至 Web 地址,4层精确到端口控制,3层精确到 IP 地址控制;
- SSL-VPN 局限性主要来源于其封装在 TCP 报文中,这其在较差网络下的表现额外的差;
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
