VPN即虚拟专用网,用于在公用网络上构建私人专用虚拟网络,并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络,在不改变网络现状的情况下实现安全、可靠的连接。
VPN具有以下两个基本特征:
VPN常见技术
隧道技术:隧道两端封装、解封装,用以建立数据通道
身份认证:保证接入VPN的操作人员的合法性、有效性
数据认证:数据在网络传输过程中不被非法篡改
不能修改。vpn是不能修改浏览器的,VPN指的是依靠ISP和NSP,在公用网络中建立专用的数据通信网络的技术。
加解密技术:保证数据在网络中传输时不被非法获取
密钥管理技术:在不安全的网络中安全地传递密钥
VPN的产生背景
1、打开图书馆官网,点击“远程访问”。2、输入用户名工号,和密码。3、点击修改密码即可。
在VPN(Virtual Private Network)出现之前,跨越Internet的数据传输只能依靠现有物理网络,具有很大的不安全因素。
如下图所示,某企业的总部和分支机构位于不同区域(比如位于不同的国家或城市),当分支机构员工需访问总部服务器的时候,数据传输要经过Internet。由于Internet中存在多种不安全因素,则当分支机构的员工向总部服务器发送访问请求时,报文容易被网络中的黑客窃取或篡改。最终造成数据泄密、重要数据被破坏等后果。
图1 VPN出现前的报文传输
为了防止信息泄露,可以在总部和分支机构之间搭建一条物理专网连接,但其费用会非常昂贵,此时可以考虑采用VPN的方案进行解决。
VPN封装原理
VPN的基本原理是利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。
隧道技术使用一种协议封装另外一种协议报文(通常是IP报文),而封装后的报文也可以再次被其他封装协议所封装。
在上图中展示的网络中,如果存在VPN隧道,则数据传输如下图所示。当分支机构员工访问总部服务器时,报文封装过程如下:
图2 经过VPN封装后的报文传输
报文发送到网关1时,网关1识别出该用户为VPN用户后,发起与总部网关即网关2的隧道连接,从而网关1和网关2之间建立VPN隧道。
企业回mail服务器架设选择北京亿中邮信息技术有限公司,北京亿中邮信息技术有限公司成立于1999年,是邮件系统软件整体解决方案提供商,致力于为企业、教育等行业客户提供专业的技术平台和完整的网络通讯解决方案;截至目前已拥有了亿邮电子邮件系统。
网关1将数据封装在VPN隧道中,发送给网关2。
网关2收到报文后进行解封装,并将原始数据发送给最终接收者,即服务器。
反向的处理也一样。VPN网关在封装时可以对报文进行加密处理,使Internet上的非法用户无法读取报文内容,因而通信是安全可靠的。
VPN的优势
VPN和传统的数据专网相比具有如下优势:
廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
可扩展性:由于VPN为逻辑上的网络,物理网络中增加或修改节点,不影响VPN的部署。
VPN的应用场景及选择
site-to-site VPN
site-to-site VPN即两个局域网之间通过VPN隧道建立连接。
如下图所示,企业的分支和总部分别通过网关1和网关2连接到Internet。出于业务需要,企业分支和总部间经常相互发送内部机密数据。为了保护这些数据在Interner中安全传输,在网关1和网关2之间建立VPN隧道。
图3 site-to-site VPN组网图
这种场景的特点为:两端网络均通过固定的网关连接到Internet,组网相对固定。且访问是双向的,即分支和总部都有可能向对端发起访问。适用于比如连锁超市、政府机关、银行等的业务通信。
此场景可以使用以下几种VPN实现:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。
两端相互访问较频繁,传输的数据为机密数据,且任何用户都能访问对端内网,无需认证时,可采用IPSec方式。
只有一端访问另一端,且访问的用户必须通过用户认证时,可采用L2TP方式。
打开“网络连接”界面,在左边的“网络任务”下面选择并打开“创建一个新的连接”,打开“创建一个新的连接”;打开“新建连接向导”,跟着这个向导基本就可以设置完vpn了,点击右下方的“下一步”;在网络连接类型中,选择。
如果只有一端访问另一端,传输数据为机密数据,且访问的用户必须通过用户认证,可采用L2TP over IPSec方式,安全性更高。
GRE over IPSec隧道和IPSec over GRE隧道都可以用来安全的传输数据,两者的区别在于对数据的封装顺序不同。GRE over IPSec在报文封装时,是先GRE封装然后再IPSec封装;IPSec over GRE在报文封装时,是先IPSec封装再GRE封装。由于IPSec无法封装组播报文,因此IPSec over GRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时,就要采用GRE over IPSec方式。
client-to-site VPN
client-to-site VPN即客户端与企业内网之间通过VPN隧道建立连接。
如下图所示,外出差员工(客户端)跨越Internet访问企业总部内网,完成向总部传送数据、访问内部服务器等需求。为确保数据安全传输,可在客户端和企业网关之间建立VPN隧道。
图4 client-to-site VPN组网图
此场景可以使用以下几种VPN实现:SSL、IPSec(IKEv2)、L2TP、L2TP over IPSec。
一.最简单的手机更换IP地址方法 准备:查看当前手机IP地址(使用移动连接)操作:找到设置的网络,开启飞行模式,稍等一下之后关闭飞行模式,IP地址已经自动更新了 检查:关闭手机的飞行模式后再次查看IP地址是否与之前的不一样。
如果对客户端没有要求,但是待访问的服务器要针对不同类型用户开放不同的服务、制定不同的策略等,可采取SSL方式。
进入手机设置--其他网络与连接/更多设置/网络--添加账号即可。(添加前需要先设置一个锁屏密码)
出差员工或临时办事处员工,如果需要频繁访问某几个固定的总部服务器,且服务器功能对全部用户都开放的情况下,可采取L2TP over IPSec方式。
BGP/MPLS IP VPN
BGP/MPLS IP VPN主要用于解决跨域企业互连等问题。当前企业越来越区域化和国际化,同一企业的不同区域员工之间需要通过服务提供商网络来进行互访。服务提供商网络往往比较庞大和复杂,为严格控制用户的访问,确保数据安全传输,需在骨干网上配置BGP/MPLS IP VPN功能,实现不同区域用户之间的访问需求。
BGP/MPLS IP VPN为全网状VPN,即每个PE和其他PE之间均建立BGP/MPLS IP VPN连接。服务提供商骨干网的所有PE设备都必须支持BGP/MPLS IP VPN功能。
图5 BGP/MPLS IP VPN组网图
