虚拟专用网(VPN)是什么(非常详细)
虚拟专用网(VPN)是指在公用网络中建立专用网络,进行加密通信,其在企业网络中有广泛应用。
VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件和软件等多种方式实现。
VPN 可以让企业的远程客户在需要的时候安全地利用现有公用网的物理链路与企业内部网络进行互访。它是专用网络的延伸,包含类似 Internet 的共享或公共网络连接。两台计算机之间可通过 VPN 以模拟点到点专用连接的方式借助共享或公共网络发送数据。
VPN 属于远程访问技术,简单地说就是利用公用网络架设的专用网络。例如,某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问使用的方法是租用数字数据网专线,这样的通信方案必然会导致高昂的网络通信和维护费用。对移动用户(移动办公人员)与远程个人用户而言,一般会通过拨号线路进入企业的局域网,但这样必然会带来安全隐患。
利用 VPN 让外地员工访问内网资源的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后,可通过互联网连接 VPN 服务器,并通过 VPN 服务器进入企业内网。
为了保证数据安全,VPN 服务器和客户端之间的通信数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,如同架设了一个专用网络,但实际上 VPN 使用的是互联网中的公用链路,因此 VPN实 质上就是利用加密技术在公网中封装出一个“数据通信隧道”。
有了 VPN,用户无论是在外地出差还是在家中办公,只要能接入互联网就能利用 VPN 访问内网资源。因此,VPN 在企业中得到了广泛的应用。
② 设计良好的宽带 VPN 是项目化的和可升级的。VPN 能够让用户使用一种易于设置的互联网基础设施,可以迅速和轻松地将新的用户添加到这个网络。
③ VPN使用高级的加密和身份识别协议保护数据,提供高水平的安全性,以避免数据受到窥探,阻止“数据窃贼”和其他非授权用户接触这些数据。
④ 完全控制,VPN 使用户可以利用 ISP 提供的设施和服务,同时完全掌握着自己网络的控制权。用户只利用 ISP 提供的网络资源,其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立 VPN。
② 企业创建和部署 VPN 线路并不容易。VPN 技术需要对网络和安全问题有高水平的理解,需要认真地进行规划和配置。
③ 不同厂商的 VPN 产品和解决方案通常不兼容的。由于许多厂商不愿意或不能遵守 VPN 技术标准,因此,混合使用不同厂商的产品可能会出现技术问题。此外,使用一家供应商的设备可能会提高成本。
④ 在使用无线设备时,VPN 存在安全风险。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都有可能被攻破。
根据不同客户的设备需求,可将 VPN 分为如下 3 类:
根据实现原理,可将 VPN 分为如下两类:
VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件和软件等多种方式实现。
VPN 可以让企业的远程客户在需要的时候安全地利用现有公用网的物理链路与企业内部网络进行互访。它是专用网络的延伸,包含类似 Internet 的共享或公共网络连接。两台计算机之间可通过 VPN 以模拟点到点专用连接的方式借助共享或公共网络发送数据。
VPN 属于远程访问技术,简单地说就是利用公用网络架设的专用网络。例如,某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问使用的方法是租用数字数据网专线,这样的通信方案必然会导致高昂的网络通信和维护费用。对移动用户(移动办公人员)与远程个人用户而言,一般会通过拨号线路进入企业的局域网,但这样必然会带来安全隐患。
利用 VPN 让外地员工访问内网资源的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后,可通过互联网连接 VPN 服务器,并通过 VPN 服务器进入企业内网。
为了保证数据安全,VPN 服务器和客户端之间的通信数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,如同架设了一个专用网络,但实际上 VPN 使用的是互联网中的公用链路,因此 VPN实 质上就是利用加密技术在公网中封装出一个“数据通信隧道”。
有了 VPN,用户无论是在外地出差还是在家中办公,只要能接入互联网就能利用 VPN 访问内网资源。因此,VPN 在企业中得到了广泛的应用。
VPN的实现方式
VPN 的实现方式有多种,常用的有以下 4 种:- VPN 服务器:在大型局域网中,可以通过在网络中心搭建 VPN 服务器的方法实现 VPN;
- 软件 VPN:可以通过专用的软件实现 VPN;
- 硬件 VPN:可以通过专用的硬件实现 VPN;
- 集成 VPN:某些硬件设备集成了 VPN 功能,如路由器、防火墙等,都可以集成 VPN 功能。一般拥有 VPN 功能的硬件设备的价格比没有这一功能的要贵。
VPN的优缺点
1) VPN的优点
① VPN能够让移动员工、远程员工、商务合作伙伴和其他用户利用本地可用的高速宽带网(如 DSL、有线电视或 Wi-Fi 网络)连接到企业网络。② 设计良好的宽带 VPN 是项目化的和可升级的。VPN 能够让用户使用一种易于设置的互联网基础设施,可以迅速和轻松地将新的用户添加到这个网络。
③ VPN使用高级的加密和身份识别协议保护数据,提供高水平的安全性,以避免数据受到窥探,阻止“数据窃贼”和其他非授权用户接触这些数据。
④ 完全控制,VPN 使用户可以利用 ISP 提供的设施和服务,同时完全掌握着自己网络的控制权。用户只利用 ISP 提供的网络资源,其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立 VPN。
2) VPN的缺点
① 企业不能直接控制基于互联网的 VPN 的可靠性和性能。企业必须依靠提供 VPN 的 ISP 保证服务的运行。因此,与 ISP 签署服务级协议对企业来说非常重要,企业要与 ISP 签署一个保证各种性能指标的协议。② 企业创建和部署 VPN 线路并不容易。VPN 技术需要对网络和安全问题有高水平的理解,需要认真地进行规划和配置。
③ 不同厂商的 VPN 产品和解决方案通常不兼容的。由于许多厂商不愿意或不能遵守 VPN 技术标准,因此,混合使用不同厂商的产品可能会出现技术问题。此外,使用一家供应商的设备可能会提高成本。
④ 在使用无线设备时,VPN 存在安全风险。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都有可能被攻破。
VPN的隧道协议及VPN分类
1) VPN的隧道协议分类
VPN 的隧道协议主要有 3 种,即点到点隧道协议(Point-to-Point Tunneling Protocol,PPTP)、第二层隧道协议(Layer Two Tunneling Protocol,L2TP)和 IPsec,其中 PPTP 和 L2TP 工作在 OSI 参考模型的第二层,IPsec 是第三层隧道协议。2) VPN分类
根据应用场景,可将 VPN 分为如下 3 类:- 远程接入 VPN(Access VPN):客户端到网关,使用公网作为骨干网在设备之间传输 VPN 数据流量;
- 内联网 VPN(Intranet VPN):网关到网关,通过公司网络连接到子公司的资源;
- 外联网 VPN(Extranet VPN):与合作伙伴企业网构成外联网,将一个公司与另一个公司的资源进行连接。
根据不同客户的设备需求,可将 VPN 分为如下 3 类:
- 路由器式 VPN:部署较容易,只要在路由器上添加 VPN 服务即可;
- 交换机式 VPN:主要应用于连接用户较少的情形;
- 防火墙式 VPN:绝大部分的防火墙都支持 VPN 功能,目的是防止第三方非法入侵,保护内部网络安全。
根据实现原理,可将 VPN 分为如下两类:
- 重叠 VPN:需要用户自己建立端节点之间的 VPN 链路,主要包括 GRE、L2TP、IPsec 等众多技术;
- 对等 VPN:由网络运营商在骨干网中完成 VPN 通道的建立,主要包括多协议标记交换(Multi-Protocol Label Switching,MPLS)等技术。
ICP备案:
公安联网备案: