关于VPN的一些概念
VPN(虚拟专用网)
虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
这一技术属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。如何让他访问到内网资源呢?利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输(实际不并不存在这条成本高昂的专用数据链路),就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,因此VPN在企业中的应用十分广泛。
site(站点)
在介绍 VPN 时经常会提到“Site”, Site(站点)的含义可以从下述几个方面理解:Site 是指相互之间具备 IP 连通性的一组 IP 系统,并且,这组 IP 系统的 IP 连通性不需通过运营商网络实现。
地理位置隔离的两组 IP 系统,如果它们使用专线互联,不需要通过运营商网络就可以互通,这两组 IP 系统也组成一个 Site。
如图所示,右半边网络, B 市的分支机构网络不通过运营商网络,而是通过专线直接与 A市的总部相连,则 A 市的总部网络与 B 市的分支机构网络构成了一个 Site。
1.一个 Site 中的设备可以属于多个 VPN,换言之,一个 Site 可以属于多个 VPN。
如图所示, X 公司位于 A 市的决策部网络(Site A)允许与位于 B 市的研发部网络(Site B)和位于 C 市的财务部网络(Site C)互通。但是不允许 Site B 与 Site C 互通。这种情况下,可以构建两个 VPN(VPN1 和 VPN2), Site A 和 Site B 属于 VPN1, Site A 和 Site C 属于 VPN2。这样, Site A 就属于多个 VPN。
2.Site 通过 CE 连接到运营商网络,一个 Site 可以包含多个 CE,但一个 CE 只属于一个 Site。
根据 Site 的情况, CE 设备的选择方案可以是:
如果 Site 只是一台主机,则这台主机就作为 CE 设备;
如果 Site 是单个子网,则使用交换机作为 CE 设备;
如果 Site 是多个子网,则使用路由器作为 CE 设备。
不同的site不能直接通信,若想要让多个连接到同一运营商网络的 Site之间进行通信,则需要通过制定策略,将他们分到一个集合(set)中,属于相同集合的 Site 之间可以通过运营商网络互访,这种集合就是 VPN。
地址空间重叠
VPN 是一种私有网络,不同的 VPN 独立管理自己的地址范围,也称为地址空间(address space)。这样就会造成不同VPN的地址空间有可能会重叠,都使用了相同的网段,这一现象称为地址空间的重叠(address spaces overlapping)。
以下两种情况允许 VPN 使用重叠的地址空间:
1、两个 VPN 没有共同的 Site(没有共同的site说明不会直接通信)
2、两个 VPN 有共同的 Site,但此 Site 中的设备不与两个 VPN 中使用重叠地址空间的设备互访。
参考:
[1] 百度百科
[2] https://zhuanlan.zhihu.com/p/130991035