「VPN」- 概念、术语

  CREATED BY JENKINSBOT

关键技术

隧道技术

解释:隧道两端封装、解封装,用以建立数据通道

VPN 技术的基本原理是利用 Tunnel(隧道)技术,对传输报文进行封装,利用 VPN Backbone Network 建立专用数据传输通道,实现报文的安全传输。

隧道的功能就是在两个网络节点之间提供一条通路,使数据能够在这个通路上透明传输。VPN隧道一般是指在VPN骨干网的VPN节点之间建立的用来传输VPN数据的虚拟连接。隧道是构建 VPN 不可或缺的部分,用于把 VPN 数据从一个 VPN 节点透明传送到另一个上。

隧道通过隧道协议实现。目前已存在不少隧道协议,如 GRE、L2TP 等。隧道协议通过在隧道的一端给数据加上隧道协议头,即进行封装,使这些被封装的数据能都在某网络中传输,并且在隧道的另一端去掉该数据携带的隧道协议头,即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。

位于隧道两端的 VPN Gateway,通过对原始报文的“封装”和“解封装”,建立一个点到点的虚拟通信隧道。

部分隧道可以混合使用,如 GRE Over IPSec 隧道。

身份认证

解释:保证接入VPN的操作人员的合法性、有效性

可用于部署了远程接入VPN的场景,VPN网关对用户的身份进行认证,保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。

数据认证

解释:数据在网络传输过程中不被非法篡改

通过数据验证技术对报文的完整性和真伪进行检查,丢弃被伪造和被篡改的报文。

数据加密

解释:保证数据在网络中传输时不被非法获取

将明文通过加密变成密文,使得数据即使被黑客截获,黑客也无法获取其中的信息。

密钥管理

解释:在不安全的网络中安全地传递密钥

技术分类

根据业务用途划分

Access VPN:企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务;
Intranet VPN:企业内部各分支机构的互联。例如 分支机构 需要访问 总部 的网络;
Extranet VPN:提供 B2B(Business to Business)间的安全访问服务。例如 客户、供应商、需要访问企业内部网络;

根据实现网络层次

工作在网络层和数据链路层的 VPN 又被称为三层 VPN 和 二层 VPN

二层 VPN:在数据报文前添加二层传输头部;
三层 VPN:在数据报文天添加三层传输头部;

应用层:SSL VPN
网络层(L3VPN):IPSec VPN、GRE VPN、MPLS VPN
链路层(L2VPN):L2TP VPN、PPTP VPN、L2F VPN、MPLS VPN

MPLS VPN:既能工作在二层,也能工作在三层;

根据组网方式不同

Remote Access VPN(主机与网关):
1)适用于出差员工 VPN 拨号接入的场景,员工可在任何能接入 Internet 的地方,通过 VPN 接入企业内网资源;
2)常见的有 L2TP VPN、SSL VPN 等;

Site-to-site VPN(网关与网关):
1)适用于公司两个异地机构的局域网互连;
2)常见的有 MPLS VPN、IPSec VPN、GRE VPN 等;

根据建设单位不同

企业租用运营商 VPN 专线搭建企业 VPN 网络:

企业自建 VPN 网络: