本文重点讲解虚拟专用网的理论知识,后续文章对具体虚拟专用网进行讲解(包括原理和配置),欢迎持续关注和订阅专栏。
目录
概述:
虚拟专用网优势:
1. 安全:
2. 廉价:
3. 支持移动业务:
4. 服务质量保证:
VPN分类:
1. 根据组网方式不同:
2. 按网络层次:
3. 按应用分类:
虚拟专用网应用场景
五种技术 :
1. 隧道技术:
2. 加解密技术:
1. 对称加密算法:
非对称加密算法:
两种算法的对比:
3. 数据认证—散列算法(hash):
4. 身份认证:
5. 密钥管理技术:
概述:
虚拟专用网络,英文“Virtual Private Network”
虚拟专用网是虚拟出来的企业内部专线。通过特殊加密的通讯协议,为连接在Internet上,不同地理位置的两个或多个企业内部网,建立一条专有的通讯线路,就像架设了一条专线,但不需要真正去铺设光缆之类的物理线路。
虚拟专用网被定义为通过一个公用互联网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的,广泛使用企业办公当中,虚拟专用网也可以是针对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网,因此很多办公一族在自己电脑中也需要建立VPN连接,方便远程办公等等。
虚拟专用网:点对点的 逻辑直连 公网设备只是帮忙转发
专用网络:用户可以为自己制定一个最符合自己需求的网络。(贵)
VPN优势:
1. 安全:
在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
2. 廉价:
利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
3. 支持移动业务:
支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
4. 服务质量保证:
构建具有服务质量保证的VPN (如MPLS VPN) ,可为VPN用户提供不同等级的服务质量保证。
VPN分类:
涉及到的VPN在后续博客中都会具体讲解
1. 根据组网方式不同分类:
远程访问 虚拟专用网
局域网到局域网的 虚拟专用网
2. 按网络层次分类:
二层:数据链路层 L2TP L2F PPTP(忽略)
三层:网络层(主流)GRE IPSec
应用层:(主流)SSL(远程访问虚拟专用网)
3. 按应用分类:
1. Access(远程接入虚拟专用网):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
2. Intranet(内联网虚拟专用网):网关到网关,通过公司的网络架构连接来自通公司的资源;
3. Extranet(外联网虚拟专用网):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;
虚拟专用网应用场景
1. 只能企业员工登录公司服务器
2. 要求在任何网络下都能够登录
3. 离职员工删除登录权限
4. 权限管理
五种技术 :
隧道技术 加解密技术 数据认证 身份认证 密钥管理技术
有隧道就是VPN 用到全部就是一个完善的VPN
1. 隧道技术:
隧道就是一层伪装,隧道是第一层保护措施。
公网就是由隧道来区分是不是vpn数据
举例:
学校到公安厅走的vpn,一出学校就进入公网,只有公安厅能够接受中间的路由器是不能通过隧道看到我的数据的
如果总部服务器对外开放web入口,很不安全,利用vpn可以仅对企业用户开放
理解:
隧道技术有一层包装:
10.1.1.1(私网)--------公网--------10.1.1.2(私网)
100.1 200.1 (出口的公网IP)
一般情况下:私网地址进不了公网 NAT转换 所有设备都可看到数据
Vpn情况没有转换:而是加了隧道层 就不会NAT转换
100.1 200.1 10.1.1.1 10.1.1.2
隧道层
(公网IP) 真实IP
(封装在真正的源和目的之上的)
2. 加解密技术:
伪装成公网IP NAT也可以做到 为什么虚拟专用网可以保密呢
因为有加解密技术(可以把所有的数据加密传递 只有目的地址能够解密)
1. 对称加密算法:
加密速度特别快 不安全
数据流加密:
数据块加密(分组加密):(常用)
DES:数据加密标准,数据是64位,密钥是56位,加密块合成后还是64位
把一个完整的数据分成64位一块,每一块用56位的密钥加密,
数据块大小加密前后不变还是64
3EDS 做三次DES运算 密钥长度168位 (56*3)数据块大小64位
数据分成64位一块,第一次用56位密钥加密 第二次用错误的56位密钥解密(越解越错) 第三次 再用一个56位密钥加密
AES 密钥长度有128位的 有192位的 有256块的 数据块大小128位
AES最安全,但是AES不是所有的设备都支持,所以用的不是很多,用的最多的是3DES
AES密钥更长 算法更复杂 对设备的cpu小号更大
非对称加密算法:
非常慢,不适合加密大块数据,用于传输对称加密密钥 安全
公钥/私钥 公钥加密 私钥解密
两种算法的对比:
对称:速度快:密钥分发不安全
非对称:速度慢:密钥分发安全
3. 数据认证—散列算法(hash):
认证数据的完整性,看数据有没有被篡改
信息传到你这里进行验证,如果被篡改,你就会知道数据被篡改
4. 身份认证:
VPN具有身份认证机制,能够判断谁是该VPN用户(可以使用),谁不是该VPN用户(不可使用)
举例:
登录爱奇艺会员,才能看会员电影。登录就是一个验证的过程。
5. 密钥管理技术:
VPN具有密钥管理技术,能够自动创建,分发,保存,更新密钥