简洁 网站模板,wordpress导航二级菜单,企业网站功能模块介绍,wordpress 留言墙插件VPN技术
1. 概述
虚拟专用网络#xff08;VPN#xff09;技术利用互联网服务提供商#xff08;ISP#xff09;和网络服务提供商#xff08;NSP#xff09;的网络基础设备#xff0c;在公用网络中建立专用的数据通信通道。VPN的主要优点包括节约成本和提供安全保障。 优…VPN技术
1. 概述
虚拟专用网络VPN技术利用互联网服务提供商ISP和网络服务提供商NSP的网络基础设备在公用网络中建立专用的数据通信通道。VPN的主要优点包括节约成本和提供安全保障。 优点
VPN可以节约成本 为安全提供保障
2. VPN类型
VPN主要有三种应用方式远程接入VPN、内联网VPN、外联网VPN。 远程接入VPNAccess VPN 远程接入VPN允许移动用户在外部网络上访问内部网络。例如一些学校和企业的门户平台只有在内网环境下才能访问通过远程接入VPN用户可以在任何地方安全地连接到这些内部资源。 内联网VPN 内联网VPN将两个内部网络通过公用网络连接起来形成一个逻辑上的局域网。这种方式可以用于连接不同办公室、分支机构使其共享内部资源提升整体协作效率。 外联网VPN 外联网VPN使得不同的用户在逻辑上的局域网中不平等。通常用于合作伙伴或客户之间的安全通信在保护公司内部资源的同时提供必要的访问权限。
3. 使用的技术
3.1 隧道技术
隧道技术主要是利用隧道协议来传输另外一种协议。隧道由隧道开通器TI、有路由能力的公用网络和隧道终止器TT组成。隧道可以将数据流量强制传输到特定的目的地隐藏私有的网络地址、在IP网络上传输非IP协议的数据包简单的来说隧道技术就像现实生活中的隧道它可以从一地到一地而它穿过的“大山”在这里就是外网。
3.1.1 实现方式
隧道的实现主要分为两个过程封装、解封装。 封装由隧道开通器TI完成将数据包封装在隧道协议的外壳内。解封装由隧道终止器TT完成将数据包从隧道协议的外壳中解封。
3.1.2 基本类型
隧道有两种基本类型主动式隧道和被动式隧道
主动式隧道Access VPN
客户端主动与目标隧道服务器建立连接。这种方式客户端需要安装所需要的隧道协议
被动式隧道Intranet VPN、Extranet VPN
被动式隧道主要用于两个内部网络之间的固定连接所以需要先交给隧道服务器A在接收到数据后将其强制通过已建立的隧道传输到对端的隧道服务器。
4. VPN相关协议
在VPN技术中隧道协议用于在公用网络上建立安全的通信通道。根据工作在OSI模型中的层次可以将隧道协议分为第二层隧道协议和第三层隧道协议。
4.1 第二层隧道协议
第二层隧道协议工作在OSI模型的第二层即数据链路层。常见的第二层隧道协议包括PPTP和L2TP。
4.1.1. PPTPPoint-to-Point Tunneling Protocol
PPTP是由微软和其他厂商开发的早期VPN协议。它在PPPPoint-to-Point Protocol基础上进行封装通过互联网传输PPP帧。 特点
简单易用PPTP配置相对简单广泛支持于Windows操作系统。性能较好由于其较轻的协议开销PPTP具有良好的传输性能。安全性较低PPTP的加密机制通常是MPPE相对较弱容易受到攻击。
4.1.2. L2TPLayer 2 Tunneling Protocol
L2TP是由思科和微软共同开发的协议结合了PPTP和L2FLayer 2 Forwarding的特点。L2TP本身不提供加密功能通常与IPSec一起使用以提供强大的加密和认证机制。
特点
灵活性高L2TP可以通过多种网络如ATM、帧中继等传输数据。安全性好当与IPSec结合使用时L2TP/IPSec提供了强大的加密和认证功能。性能较差由于双重封装L2TP和IPSecL2TP/IPSec的性能可能不如其他协议。
L2TP主要是由LACL2TP接入集中器和LNSL2TP网络服务器构成。
LAC用于客户端的L2TP来接发呼叫、建立隧道为客户端提供通过PNST、ISDN、xDSL等方式的接入网路服务。LNS隧道的终点。
L2TP具有两种报文格式控制报文、数据报文。 L2TP控制报文用于隧道的建立、维护与断开。使用的是UDP1701端口对封装后的UDP数据报使用IPSec ESP进行加密处理并认证。L2TP数据报文负责传输用户的数据。
4.2 第三层隧道协议
第三层隧道协议工作在OSI模型的第三层即网络层。常见的第三层隧道协议包括IPSec和GRE。
4.2.1. IPSecInternet Protocol Security
IPSec是一套用于保护IP通信的协议提供了认证、数据完整性和加密功能。IPSec通常用于保护VPN连接尤其是站点到站点VPN和远程接入VPN。
特点
强大的安全性IPSec提供了强大的加密和认证机制如AHAuthentication Header和ESPEncapsulating Security Payload。灵活性高IPSec可以保护任何基于IP的协议是一种通用的安全解决方案。复杂性高IPSec配置和管理相对复杂需要专业知识。
4.2.2. GREGeneric Routing Encapsulation
GRE是一种简单的隧道协议用于在一个协议中封装另一种协议。GRE本身不提供加密或认证功能通常与IPSec结合使用以提供安全性。
特点
协议支持广泛GRE可以封装多种协议包括IP、IPX和AppleTalk。简单易用GRE配置相对简单适用于多种应用场景。 身不提供加密或认证功能通常与IPSec结合使用以提供安全性。
