豆趣直播app官方正版下载 - 豆趣直播app大全下载最新版本免费安装软件

  新聞動(dòng)態(tài)  

致力為客戶(hù)提供最全面、最優(yōu)質(zhì)的支持服務(wù)

VPN的基礎(chǔ)介紹及SSL、IPSec(IKEv2)、L2TP應(yīng)用場(chǎng)景
2023-11-27 11:07:18?  來(lái)源:??  閱讀:
VPN是虛擬專(zhuān)用網(wǎng)絡(luò),用于在公共網(wǎng)絡(luò)上構(gòu)建私人專(zhuān)用虛擬網(wǎng)絡(luò),并在這個(gè)虛擬網(wǎng)絡(luò)中傳輸私網(wǎng)流量。在不改變網(wǎng)絡(luò)現(xiàn)狀的情況下,VPN將現(xiàn)有的物理網(wǎng)絡(luò)分解為邏輯隔離網(wǎng)絡(luò),實(shí)現(xiàn)安全可靠的連接。

VPN具有以下兩個(gè)基本特征:
專(zhuān)用網(wǎng)絡(luò):對(duì)于VPN用戶(hù)來(lái)說(shuō),使用VPN與使用傳統(tǒng)專(zhuān)網(wǎng)沒(méi)有區(qū)別。VPN與底層承載網(wǎng)絡(luò)保持資源獨(dú)立,即VPN資源不被網(wǎng)絡(luò)中非VPN用戶(hù)使用,VPN可以提供足夠的安全保障,確保VPN內(nèi)部信息不受外部干擾。虛擬:用戶(hù)不再需要有實(shí)際的專(zhuān)用長(zhǎng)途數(shù)據(jù)線(xiàn),而是使用Internet的長(zhǎng)途數(shù)據(jù)線(xiàn)建立自己的私有網(wǎng)絡(luò)。VPN用戶(hù)內(nèi)部的通信是通過(guò)公共網(wǎng)絡(luò)進(jìn)行的,而這個(gè)公共網(wǎng)絡(luò)同時(shí)也可以被其他非VPN用戶(hù)使用,VPN用戶(hù)獲得的只是一個(gè)邏輯意義上的專(zhuān)網(wǎng)。

VPN常見(jiàn)技術(shù)
隧道技術(shù):隧道兩端封裝、解封裝,用于建立數(shù)據(jù)通道,身份證:確保接入VPN的操作人員的合法性、有效性,數(shù)據(jù)認(rèn)證:數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中不被非法篡改,加解密技術(shù):確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)不被非法獲取,密鑰管理技術(shù):在不安全的網(wǎng)絡(luò)中安全地傳遞密鑰。

VPN的產(chǎn)生背景
在VPN(VirtualPrivateNetwork)在出現(xiàn)之前,跨越Internet的數(shù)據(jù)傳輸只能依靠現(xiàn)有的物理網(wǎng)絡(luò),這是一個(gè)很大的不安全因素。企業(yè)的總部和分支機(jī)構(gòu)位于不同的地區(qū)(如不同的國(guó)家或城市)。當(dāng)分支機(jī)構(gòu)的員工需要訪(fǎng)問(wèn)總部服務(wù)器時(shí),數(shù)據(jù)傳輸應(yīng)通過(guò)互聯(lián)網(wǎng)進(jìn)行。由于Internet中存在多種不安全因素,則當(dāng)分支機(jī)構(gòu)的員工向總部服務(wù)器發(fā)送訪(fǎng)問(wèn)請(qǐng)求時(shí),報(bào)文容易被網(wǎng)絡(luò)中的黑客竊取或篡改。最終導(dǎo)致數(shù)據(jù)泄露,重要數(shù)據(jù)被破壞等后果。VPN出現(xiàn)前的報(bào)文傳輸,為了防止信息泄露,可以在總部和分支機(jī)構(gòu)之間搭建一條物理專(zhuān)網(wǎng)連接,但其費(fèi)用會(huì)非常昂貴,此時(shí)可以考慮采用VPN的方案進(jìn)行解決。

VPN封裝原理
VPN的基本原理是利用隧道(Tunnel)技術(shù),封裝傳輸報(bào)文,利用VPN骨干網(wǎng)建立專(zhuān)用數(shù)據(jù)傳輸通道,實(shí)現(xiàn)報(bào)文的安全傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文(通常是IP報(bào)文),而封裝后的報(bào)文也可以再次被其他封裝協(xié)議所封裝。若有VPN隧道,則數(shù)據(jù)傳輸如下圖所示。當(dāng)分支機(jī)構(gòu)員工訪(fǎng)問(wèn)總部服務(wù)器時(shí),報(bào)文封裝過(guò)程如下:經(jīng)過(guò)VPN封裝后的報(bào)文傳輸,報(bào)文發(fā)送到網(wǎng)關(guān)1時(shí),網(wǎng)關(guān)1識(shí)別出該用戶(hù)為VPN用戶(hù)后,發(fā)起與總部網(wǎng)關(guān)即網(wǎng)關(guān)2的隧道連接,從而網(wǎng)關(guān)1和網(wǎng)關(guān)2之間建立VPN隧道。將數(shù)據(jù)封裝在VPN隧道中,發(fā)送給網(wǎng)關(guān)2。網(wǎng)關(guān)2收到報(bào)文后進(jìn)行解封裝,并將原始數(shù)據(jù)發(fā)送給最終接收者,即服務(wù)器。反向的處理也一樣。VPN網(wǎng)關(guān)在封裝時(shí)可以對(duì)報(bào)文進(jìn)行加密,使Internet上的非法用戶(hù)無(wú)法讀取報(bào)文內(nèi)容,因此通信安全可靠。

VPN的優(yōu)勢(shì)
與傳統(tǒng)的數(shù)據(jù)專(zhuān)網(wǎng)相比,VPN具有以下優(yōu)點(diǎn):安全:在遠(yuǎn)端用戶(hù)、海外機(jī)構(gòu)、合作伙伴、供應(yīng)商和公司總部之間建立可靠的連接,以確保數(shù)據(jù)傳輸?shù)陌踩A畠r(jià):利用公共網(wǎng)絡(luò)進(jìn)行信息交流,企業(yè)可以以較低的成本與遠(yuǎn)程辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴聯(lián)系。支持移動(dòng)業(yè)務(wù):支持駐外VPN用戶(hù)在任何時(shí)間、任何地點(diǎn)的移動(dòng)訪(fǎng)問(wèn),能夠滿(mǎn)足日益增長(zhǎng)的移動(dòng)業(yè)務(wù)需求??蓴U(kuò)展性:由于VPN為邏輯上的網(wǎng)絡(luò),物理網(wǎng)絡(luò)中增加或修改節(jié)點(diǎn),不影響VPN的部署。

VPN的應(yīng)用場(chǎng)景及選擇
VPN適用于以下基本場(chǎng)景,以及從以下場(chǎng)景中衍生出來(lái)的復(fù)雜場(chǎng)景。通過(guò)對(duì)比各種VPN的特性,可以選擇合適的VPN類(lèi)型。site-to-siteVPN,site-to-siteVPN即兩個(gè)局域網(wǎng)之間通過(guò)VPN隧道建立連接。企業(yè)的分支和總部分別通過(guò)網(wǎng)關(guān)1和網(wǎng)關(guān)2連接到Internet。由于業(yè)務(wù)需要,企業(yè)分公司和總部經(jīng)常相互發(fā)送內(nèi)部機(jī)密數(shù)據(jù)。為了保護(hù)這些數(shù)據(jù)在Interner中安全傳輸,在網(wǎng)關(guān)1和網(wǎng)關(guān)2之間建立VPN隧道。

site-to-siteVPN組網(wǎng)圖
這一場(chǎng)景的特點(diǎn)是:兩端網(wǎng)絡(luò)通過(guò)固定網(wǎng)關(guān)連接到Internet,組網(wǎng)相對(duì)固定。而且訪(fǎng)問(wèn)是雙向的,也就是說(shuō),分支機(jī)構(gòu)和總部都有可能向?qū)Χ税l(fā)起訪(fǎng)問(wèn)。適用于比如連鎖超市、政府機(jī)關(guān)、銀行等的業(yè)務(wù)通信。此場(chǎng)景可以使用以下幾種VPN實(shí)現(xiàn):IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。兩端相互訪(fǎng)問(wèn)較頻繁,傳輸?shù)臄?shù)據(jù)為機(jī)密數(shù)據(jù),且任何用戶(hù)都能訪(fǎng)問(wèn)對(duì)端內(nèi)網(wǎng),無(wú)需認(rèn)證時(shí),可采用IPSec方式。只有一端訪(fǎng)問(wèn)另一端,且訪(fǎng)問(wèn)的用戶(hù)必須通過(guò)用戶(hù)認(rèn)證時(shí),可采用L2TP方式。如果只有一端訪(fǎng)問(wèn)另一端,傳輸數(shù)據(jù)為機(jī)密數(shù)據(jù),且訪(fǎng)問(wèn)的用戶(hù)必須通過(guò)用戶(hù)認(rèn)證,可采用L2TPoverIPSec方式,安全性更高。GREoverIPSec隧道和IPSecoverGRE隧道都可以用來(lái)安全的傳輸數(shù)據(jù),兩者的區(qū)別在于對(duì)數(shù)據(jù)的封裝順序不同。GREoverIPSec在報(bào)文封裝時(shí),是先GRE封裝然后再I(mǎi)PSec封裝;IPSecoverGRE在報(bào)文封裝時(shí),是先IPSec封裝再GRE封裝。由于IPSec無(wú)法封裝組播報(bào)文,因此IPSecoverGRE隧道也無(wú)法傳輸組播數(shù)據(jù)。如果隧道兩端要傳輸組播數(shù)據(jù)時(shí),就要采用GREoverIPSec方式,client-to-siteVPN,client-to-siteVPN即客戶(hù)端與企業(yè)內(nèi)網(wǎng)之間通過(guò)VPN隧道建立連接。外出差員工(客戶(hù)端)跨越Internet訪(fǎng)問(wèn)企業(yè)總部?jī)?nèi)網(wǎng),完成向總部傳送數(shù)據(jù)、訪(fǎng)問(wèn)內(nèi)部服務(wù)器等需求。為確保數(shù)據(jù)安全傳輸,可在客戶(hù)端與企業(yè)網(wǎng)關(guān)之間建立VPN隧道。client-to-siteVPN組網(wǎng)圖,這種場(chǎng)景的特點(diǎn)為:客戶(hù)端的地址不固定。而且訪(fǎng)問(wèn)是單向的,即只有客戶(hù)端向內(nèi)網(wǎng)服務(wù)器發(fā)起訪(fǎng)問(wèn)。適用于企業(yè)出差職工或臨時(shí)辦事處職工通過(guò)手機(jī)、電腦等方式進(jìn)入總部遠(yuǎn)程辦公。

此場(chǎng)景可以使用以下幾種VPN實(shí)現(xiàn):SSL、IPSec(IKEv2)、L2TP、L2TPoverIPSec。如果對(duì)客戶(hù)端沒(méi)有要求,但要訪(fǎng)問(wèn)的服務(wù)器應(yīng)該為不同類(lèi)型的用戶(hù)開(kāi)放不同的服務(wù),并制定不同的策略,則可以使用SSL。如果需要頻繁訪(fǎng)問(wèn)某些固定的總部服務(wù)器,并且服務(wù)器功能對(duì)所有用戶(hù)開(kāi)放,出差員工或臨時(shí)辦事處員工可以采用L2TPoverIPSec方式。

BGP/MPLSIPVPN
BGP/MPLSIPVPN主要用于解決跨域企業(yè)互聯(lián)等問(wèn)題。目前,企業(yè)越來(lái)越區(qū)域化和國(guó)際化,同一企業(yè)不同區(qū)域的員工需要通過(guò)服務(wù)提供商網(wǎng)絡(luò)進(jìn)行互訪(fǎng)。為了嚴(yán)格控制用戶(hù)訪(fǎng)問(wèn),確保數(shù)據(jù)安全傳輸,服務(wù)提供商的網(wǎng)絡(luò)往往相對(duì)龐大和復(fù)雜。需要在骨干網(wǎng)上配置BGP/MPLSIPVPN功能,實(shí)現(xiàn)不同區(qū)域用戶(hù)之間的訪(fǎng)問(wèn)需求。BGP/MPLSIPVPN為全網(wǎng)狀VPN,即每個(gè)PE和其他PE之間均建立BGP/MPLSIPVPN連接。服務(wù)提供商骨干網(wǎng)的所有PE設(shè)備都必須支持BGP/MPLSIPVPN功能。

保存圖片,微信識(shí)別二維碼

微信號(hào):18565868778

(點(diǎn)擊微信號(hào)復(fù)制,添加好友)

  打開(kāi)微信