亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

VPN即虛擬專用網(wǎng)，用于在公用網(wǎng)絡(luò)上構(gòu)建私人專用虛擬網(wǎng)絡(luò)，并在此虛擬網(wǎng)絡(luò)中傳輸私網(wǎng)流量。VPN把現(xiàn)有的物理網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，在不改變網(wǎng)絡(luò)現(xiàn)狀的情況下實現(xiàn)安全、可靠的連接。

VPN具有以下兩個基本特征：

• 專用網(wǎng)絡(luò)：對于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別。VPN與底層承載網(wǎng)絡(luò)之間保持資源獨立，即VPN資源不被網(wǎng)絡(luò)中非該VPN的用戶所使用，且VPN能夠提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵擾。
• 虛擬 ：用戶不再需要擁有實際的專用長途數(shù)據(jù)線路，而是利用Inte.NET的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。VPN用戶內(nèi)部的通信是通過公共網(wǎng)絡(luò)進行的，而這個公共網(wǎng)絡(luò)同時也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個邏輯意義上的專網(wǎng)。

• 隧道技術(shù)：隧道兩端封裝、解封裝，用以建立數(shù)據(jù)通道
• 身份認證：保證接入VPN的操作人員的合法性、有效性
• 數(shù)據(jù)認證：數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不被非法篡改
• 加解密技術(shù)：保證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時不被非法獲取
• 密鑰管理技術(shù)：在不安全的網(wǎng)絡(luò)中安全地傳遞密鑰

在VPN（Virtual Private Network）出現(xiàn)之前，跨越Internet的數(shù)據(jù)傳輸只能依靠現(xiàn)有物理網(wǎng)絡(luò)，具有很大的不安全因素。

如下圖所示，某企業(yè)的總部和分支機構(gòu)位于不同區(qū)域（比如位于不同的國家或城市），當分支機構(gòu)員工需訪問總部服務(wù)器的時候，數(shù)據(jù)傳輸要經(jīng)過Internet。由于Internet中存在多種不安全因素，則當分支機構(gòu)的員工向總部服務(wù)器發(fā)送訪問請求時，報文容易被網(wǎng)絡(luò)中的黑客竊取或篡改。最終造成數(shù)據(jù)泄密、重要數(shù)據(jù)被破壞等后果。

圖1 VPN出現(xiàn)前的報文傳輸

為了防止信息泄露，可以在總部和分支機構(gòu)之間搭建一條物理專網(wǎng)連接，但其費用會非常昂貴，此時可以考慮采用VPN的方案進行解決。

VPN封裝原理

VPN的基本原理是利用隧道（Tunnel）技術(shù)，對傳輸報文進行封裝，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實現(xiàn)報文的安全傳輸。

隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報文（通常是IP報文），而封裝后的報文也可以再次被其他封裝協(xié)議所封裝。

在上圖中展示的網(wǎng)絡(luò)中，如果存在VPN隧道，則數(shù)據(jù)傳輸如下圖所示。當分支機構(gòu)員工訪問總部服務(wù)器時，報文封裝過程如下：

圖2 經(jīng)過VPN封裝后的報文傳輸

1. 報文發(fā)送到網(wǎng)關(guān)1時，網(wǎng)關(guān)1識別出該用戶為VPN用戶后，發(fā)起與總部網(wǎng)關(guān)即網(wǎng)關(guān)2的隧道連接，從而網(wǎng)關(guān)1和網(wǎng)關(guān)2之間建立VPN隧道。
2. 網(wǎng)關(guān)1將數(shù)據(jù)封裝在VPN隧道中，發(fā)送給網(wǎng)關(guān)2。
3. 網(wǎng)關(guān)2收到報文后進行解封裝，并將原始數(shù)據(jù)發(fā)送給最終接收者，即服務(wù)器。
4. 反向的處理也一樣。VPN網(wǎng)關(guān)在封裝時可以對報文進行加密處理，使Internet上的非法用戶無法讀取報文內(nèi)容，因而通信是安全可靠的。

VPN和傳統(tǒng)的數(shù)據(jù)專網(wǎng)相比具有如下優(yōu)勢：

• 安全：在遠端用戶、駐外機構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩浴?/li>
• 廉價：利用公共網(wǎng)絡(luò)進行信息通訊，企業(yè)可以用更低的成本連接遠程辦事機構(gòu)、出差人員和業(yè)務(wù)伙伴。
• 支持移動業(yè)務(wù)：支持駐外VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務(wù)需求。
• 可擴展性：由于VPN為邏輯上的網(wǎng)絡(luò)，物理網(wǎng)絡(luò)中增加或修改節(jié)點，不影響VPN的部署。

VPN適用于以下基本場景，以及從以下場景中衍生的復雜場景。通過對比各種VPN的特點，可選擇適合的VPN類型。

site-to-site VPN

site-to-site VPN即兩個局域網(wǎng)之間通過VPN隧道建立連接。

如下圖所示，企業(yè)的分支和總部分別通過網(wǎng)關(guān)1和網(wǎng)關(guān)2連接到Internet。出于業(yè)務(wù)需要，企業(yè)分支和總部間經(jīng)常相互發(fā)送內(nèi)部機密數(shù)據(jù)。為了保護這些數(shù)據(jù)在Interner中安全傳輸，在網(wǎng)關(guān)1和網(wǎng)關(guān)2之間建立VPN隧道。

圖3 site-to-site VPN組網(wǎng)圖

這種場景的特點為：兩端網(wǎng)絡(luò)均通過固定的網(wǎng)關(guān)連接到Internet，組網(wǎng)相對固定。且訪問是雙向的，即分支和總部都有可能向?qū)Χ税l(fā)起訪問。適用于比如連鎖超市、政府機關(guān)、銀行等的業(yè)務(wù)通信。

此場景可以使用以下幾種VPN實現(xiàn)：IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。

• 兩端相互訪問較頻繁，傳輸?shù)臄?shù)據(jù)為機密數(shù)據(jù)，且任何用戶都能訪問對端內(nèi)網(wǎng)，無需認證時，可采用IPSec方式。
• 只有一端訪問另一端，且訪問的用戶必須通過用戶認證時，可采用L2TP方式。
• 如果只有一端訪問另一端，傳輸數(shù)據(jù)為機密數(shù)據(jù)，且訪問的用戶必須通過用戶認證，可采用L2TP over IPSec方式，安全性更高。
• GRE over IPSec隧道和IPSec over GRE隧道都可以用來安全的傳輸數(shù)據(jù)，兩者的區(qū)別在于對數(shù)據(jù)的封裝順序不同。GRE over IPSec在報文封裝時，是先GRE封裝然后再IPSec封裝；IPSec over GRE在報文封裝時，是先IPSec封裝再GRE封裝。
  由于IPSec無法封裝組播報文，因此IPSec over GRE隧道也無法傳輸組播數(shù)據(jù)。如果隧道兩端要傳輸組播數(shù)據(jù)時，就要采用GRE over IPSec方式。

client-to-site VPN

client-to-site VPN即客戶端與企業(yè)內(nèi)網(wǎng)之間通過VPN隧道建立連接。

如下圖所示，外出差員工（客戶端）跨越Internet訪問企業(yè)總部內(nèi)網(wǎng)，完成向總部傳送數(shù)據(jù)、訪問內(nèi)部服務(wù)器等需求。為確保數(shù)據(jù)安全傳輸，可在客戶端和企業(yè)網(wǎng)關(guān)之間建立VPN隧道。

圖4 client-to-site VPN組網(wǎng)圖

這種場景的特點為：客戶端的地址不固定。且訪問是單向的，即只有客戶端向內(nèi)網(wǎng)服務(wù)器發(fā)起訪問。適用于企業(yè)出差員工或臨時辦事處員工通過手機、電腦等接入總部遠程辦公。

此場景可以使用以下幾種VPN實現(xiàn)：SSL、IPSec（IKEv2）、L2TP、L2TP over IPSec。

• 如果對客戶端沒有要求，但是待訪問的服務(wù)器要針對不同類型用戶開放不同的服務(wù)、制定不同的策略等，可采取SSL方式。
• 出差員工或臨時辦事處員工，如果需要頻繁訪問某幾個固定的總部服務(wù)器，且服務(wù)器功能對全部用戶都開放的情況下，可采取L2TP over IPSec方式。

BGP/MPLS IP VPN

BGP/MPLS IP VPN主要用于解決跨域企業(yè)互連等問題。當前企業(yè)越來越區(qū)域化和國際化，同一企業(yè)的不同區(qū)域員工之間需要通過服務(wù)提供商網(wǎng)絡(luò)來進行互訪。服務(wù)提供商網(wǎng)絡(luò)往往比較龐大和復雜，為嚴格控制用戶的訪問，確保數(shù)據(jù)安全傳輸，需在骨干網(wǎng)上配置BGP/MPLS IP VPN功能，實現(xiàn)不同區(qū)域用戶之間的訪問需求。

BGP/MPLS IP VPN為全網(wǎng)狀VPN，即每個PE和其他PE之間均建立BGP/MPLS IP VPN連接。服務(wù)提供商骨干網(wǎng)的所有PE設(shè)備都必須支持BGP/MPLS IP VPN功能。

圖5 BGP/MPLS IP VPN組網(wǎng)圖