关键技术
隧道技术
解释:隧道两端封装、解封装,用以建立数据通道
VPN 技术的基本原理是利用 Tunnel(隧道)技术,对传输报文进行封装,利用 VPN Backbone Network 建立专用数据传输通道,实现报文的安全传输。
隧道的功能就是在两个网络节点之间提供一条通路,使数据能够在这个通路上透明传输。VPN隧道一般是指在VPN骨干网的VPN节点之间建立的用来传输VPN数据的虚拟连接。隧道是构建 VPN 不可或缺的部分,用于把 VPN 数据从一个 VPN 节点透明传送到另一个上。
隧道通过隧道协议实现。目前已存在不少隧道协议,如 GRE、L2TP 等。隧道协议通过在隧道的一端给数据加上隧道协议头,即进行封装,使这些被封装的数据能都在某网络中传输,并且在隧道的另一端去掉该数据携带的隧道协议头,即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。
位于隧道两端的 VPN Gateway,通过对原始报文的“封装”和“解封装”,建立一个点到点的虚拟通信隧道。
部分隧道可以混合使用,如 GRE Over IPSec 隧道。
身份认证
解释:保证接入VPN的操作人员的合法性、有效性
可用于部署了远程接入VPN的场景,VPN网关对用户的身份进行认证,保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。
数据认证
解释:数据在网络传输过程中不被非法篡改
通过数据验证技术对报文的完整性和真伪进行检查,丢弃被伪造和被篡改的报文。
数据加密
解释:保证数据在网络中传输时不被非法获取
将明文通过加密变成密文,使得数据即使被黑客截获,黑客也无法获取其中的信息。
密钥管理
解释:在不安全的网络中安全地传递密钥
技术分类
根据业务用途划分
Access VPN:企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务;
Intranet VPN:企业内部各分支机构的互联。例如 分支机构 需要访问 总部 的网络;
Extranet VPN:提供 B2B(Business to Business)间的安全访问服务。例如 客户、供应商、需要访问企业内部网络;
根据实现网络层次
工作在网络层和数据链路层的 VPN 又被称为三层 VPN 和 二层 VPN
二层 VPN:在数据报文前添加二层传输头部;
三层 VPN:在数据报文天添加三层传输头部;
应用层:SSL VPN
网络层(L3VPN):IPSec VPN、GRE VPN、MPLS VPN
链路层(L2VPN):L2TP VPN、PPTP VPN、L2F VPN、MPLS VPN
MPLS VPN:既能工作在二层,也能工作在三层;
根据组网方式不同
Remote Access VPN(主机与网关):
1)适用于出差员工 VPN 拨号接入的场景,员工可在任何能接入 Internet 的地方,通过 VPN 接入企业内网资源;
2)常见的有 L2TP VPN、SSL VPN 等;
Site-to-site VPN(网关与网关):
1)适用于公司两个异地机构的局域网互连;
2)常见的有 MPLS VPN、IPSec VPN、GRE VPN 等;
根据建设单位不同
企业租用运营商 VPN 专线搭建企业 VPN 网络:
企业自建 VPN 网络: