VPN的基础介绍

VPN即虚拟专用，用于在公用络上构建私人专用虚拟络，并在此虚拟络中传输私流量。VPN把现有的物理络分解成逻辑上隔离的络，在不改变络现状的情况下实现安全、可靠的连接。

VPN具有以下两个基本特征：

专用络：对于VPN用户，使用VPN与使用传统专没有区别。VPN与底层承载络之间保持资源独立，即VPN资源不被络中非该VPN的用户所使用，且VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。

虚拟：用户不再需要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有络。VPN用户内部的通信是通过公共络进行的，而这个公共络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专。

VPN常见技术

隧道技术：隧道两端封装、解封装，用以建立数据通道

身份认证：保证接入VPN的操作人员的合法性、有效性

数据认证：数据在络传输过程中不被非法篡改

加解密技术：保证数据在络中传输时不被非法获取

密钥管理技术：在不安全的络中安全地传递密钥

VPN的产生背景

在VPN（Virtual Private Network）出现之前，跨越Internet的数据传输只能依靠现有物理络，具有很大的不安全因素。

如下图所示，某企业的总部和分支机构位于不同区域（比如位于不同的国家或城市），当分支机构员工需访问总部服务器的时候，数据传输要经过Internet。由于Internet中存在多种不安全因素，则当分支机构的员工向总部服务器发送访问请求时，文容易被络中的黑客窃取或篡改。最终造成数据泄密、重要数据被破坏等后果。

图1 VPN出现前的文传输

为了防止信息泄露，可以在总部和分支机构之间搭建一条物理专连接，但其费用会非常昂贵，此时可以考虑采用VPN的方案进行解决。

VPN封装原理

VPN的基本原理是利用隧道（Tunnel）技术，对传输文进行封装，利用VPN骨干建立专用数据传输通道，实现文的安全传输。

隧道技术使用一种协议封装另外一种协议文（通常是IP 文），而封装后的文也可以再次被其他封装协议所封装。

在上图中展示的络中，如果存在VPN隧道，则数据传输如下图所示。当分支机构员工访问总部服务器时，文封装过程如下：

图2 经过VPN封装后的文传输

文发送到关1时，关1识别出该用户为VPN用户后，发起与总部关即关2的隧道连接，从而关1和关2之间建立VPN隧道。
关1将数据封装在VPN隧道中，发送给关2。
关2收到文后进行解封装，并将原始数据发送给最终接收者，即服务器。
反向的处理也一样。VPN 关在封装时可以对文进行加密处理，使Internet上的非法用户无法读取文内容，因而通信是安全可靠的。

VPN的优势

VPN和传统的数据专相比具有如下优势：

安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。

廉价：利用公共络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

可扩展性：由于VPN为逻辑上的络，物理络中增加或修改节点，不影响VPN的部署。

VPN的应用场景及选择

VPN适用于以下基本场景，以及从以下场景中衍生的复杂场景。通过对比各种VPN的特点，可选择适合的VPN类型。

site-to-site VPN

site-to-site VPN即两个局域之间通过VPN隧道建立连接。

如下图所示，企业的分支和总部分别通过关1和关2连接到Internet。出于业务需要，企业分支和总部间经常相互发送内部机密数据。为了保护这些数据在Interner中安全传输，在关1和关2之间建立VPN隧道。

图3 site-to-site VPN组图

这种场景的特点为：两端络均通过固定的关连接到Internet，组相对固定。且访问是双向的，即分支和总部都有可能向对端发起访问。适用于比如连锁超市、政府机关、银行等的业务通信。

此场景可以使用以下几种VPN实现：IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。

两端相互访问较频繁，传输的数据为机密数据，且任何用户都能访问对端内，无需认证时，可采用IPSec方式。

只有一端访问另一端，且访问的用户必须通过用户认证时，可采用L2TP方式。

如果只有一端访问另一端，传输数据为机密数据，且访问的用户必须通过用户认证，可采用L2TP over IPSec方式，安全性更高。

GRE over IPSec隧道和IPSec over GRE隧道都可以用来安全的传输数据，两者的区别在于对数据的封装顺序不同。GRE over IPSec在文封装时，是先GRE封装然后再IPSec封装；IPSec over GRE在文封装时，是先IPSec封装再GRE封装。
由于IPSec无法封装组播文，因此IPSec over GRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时，就要采用GRE over IPSec方式。

client-to-site VPN

client-to-site VPN即客户端与企业内之间通过VPN隧道建立连接。

如下图所示，外出差员工（客户端）跨越Internet访问企业总部内，完成向总部传送数据、访问内部服务器等需求。为确保数据安全传输，可在客户端和企业关之间建立VPN隧道。

图4 client-to-site VPN组图

这种场景的特点为：客户端的地址不固定。且访问是单向的，即只有客户端向内服务器发起访问。适用于企业出差员工或临时办事处员工通过手机、电脑等接入总部远程办公。

此场景可以使用以下几种VPN实现：SSL、IPSec（IKEv2）、L2TP、L2TP over IPSec。

如果对客户端没有要求，但是待访问的服务器要针对不同类型用户开放不同的服务、制定不同的策略等，可采取SSL方式。

出差员工或临时办事处员工，如果需要频繁访问某几个固定的总部服务器，且服务器功能对全部用户都开放的情况下，可采取L2TP over IPSec方式。

BGP/MPLS IP VPN

BGP/MPLS IP VPN主要用于解决跨域企业互连等问题。当前企业越来越区域化和国际化，同一企业的不同区域员工之间需要通过服务提供商络来进行互访。服务提供商络往往比较庞大和复杂，为严格控制用户的访问，确保数据安全传输，需在骨干上配置BGP/MPLS IP VPN功能，实现不同区域用户之间的访问需求。

BGP/MPLS IP VPN为全状VPN，即每个PE和其他PE之间均建立BGP/MPLS IP VPN连接。服务提供商骨干的所有PE设备都必须支持BGP/MPLS IP VPN功能。

图5 BGP/MPLS IP VPN组图

声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！