目录
- VPN的概述
- VPN的分类
- 根据建设的单位不同分类
- 根据组网方式不同分类
- 根据VPN技术实现的层次来进行分类
- VPN其他常用技术
- 身份认证技术 --- 身份认证是VPN技术的前提。
- 加解密技术 --- 以此来抵抗网络中的一些被动攻击
- 数据认证技术 --- 验货 --- 保证数据的完整性
- 密钥管理技术
VPN的概述
-
需求场景
-
VPN ---- 虚拟专用网 ---- 一般指依靠ISP或者其他NSP,也可以是企业自身,提供的一条虚拟网
络专线。这个虚拟的专线是逻辑上的,而不是物理上的,所以称为虚拟专用网。
总结:
- VPN诞生的原因 :
- 物理网络不适用,成本太高,并且如果位置不固定,则无法构建物理专线
- 公网安全无法保证
- 由于VPN的诞生,导致网络部署的灵活性大大提升。
VPN的分类
根据建设的单位不同分类
- 企业自建的VPN专线:GRE,IPSEC,SSL VPN,
L2TP — 这种VPN构建成本较低,因为不需要支付专线的费用,仅需要承担购买VPN设
备的费用。并且,在网络控制方面,也拥有更多的主动性。 - 直接租用运营商的VPN专线:MPLS VPN。这种方式需
要企业支付专线的租用费用,但是,控制,安全以及网速方面的问题都将由运营商来承
担。MPLS VPN的优势在于,专线的租用成本低。
根据组网方式不同分类
-
Client to LAN(ACCESS VPN)
-
LAN to LAN
- Intranet ---- 内联网 — 企业内部虚拟专网
- Extranet ---- 外联网 — 拓展的企业内部虚拟专网
- 相较而言,外联网一般连接合作单位,而内联网一般连接分公司,所以,外联网的
权限赋予会比较低,并且,安全把控方面会比较严格。
根据VPN技术实现的层次来进行分类
-
VPN的核心技术 ---- 隧道技术
- 隧道技术 — 封装技术
- 隧道技术 — 封装技术
-
VPN通过封装本身就是对数据的一种保护,而工作在不同层次的VPN,其实质就是保护
其所在层次即以上的数据。当然,这种保护在没有加密的情况下,并不代表安全。
我们一般网络封装协议都是由三部分组成的 — 乘客协议,封装协议,运输协议。
VPN其他常用技术
身份认证技术 — 身份认证是VPN技术的前提。
- GRE VPN — 本身不支持身份认证的。(GRE里面有个“关键字”机制。类似于ospf的认证,商量一个口令,在GRE中该措施仅是用来区分通道的)
- L2TP VPN— 因为他后面的乘客协议是PPP协议,所以,L2TP可以依赖PPP提供
的认证,比如PAP,CHAP。 - IPSEC VPN和SSL VPN — 都支持身份认证
加解密技术 — 以此来抵抗网络中的一些被动攻击
- 注意:加解密技术使用的实质是一个双向函数,即一个可逆的过程。和HASH算法有本质的区别
加密技术也是安全通道的保障。 - GRE VPN和L2TP VPN不支持加解密技术。通常可以结合IPSEC技术来实现加解密。
- IPSEC VPN和SSL VPN都是支持加解密技术的。
数据认证技术 — 验货 — 保证数据的完整性
- HASH — 计算摘要值,之后,通过比对摘要值来保障完整性。
- GRE VPN — 可以加入校验和。但是,GRE的这种功能是可选的,两边开启之后,才会激活数据认证功能。
- L2TP VPN — 不支持数据认证
- IPSEC VPN,SSL VPN都是支持数据认证的
