文章目录

VPN

VPN=隧道+安全

VPN基础

背景:

在网络传输中,绝大部分数据内容都是明文传输,存在很多安全隐患(窃听、篡改、冒充)

总部、分公司、办事处、出差人员、合作单位等需要访问总部网络资源


Virtual Private Network:虚拟专用网络

VPN:在公共网络中建立私有网络,提供一定的安全性和服务质量保证(IETF对基于IP的定义,使用IP机制仿真一个私有的广域网)

虚拟:用户不需要拥有物理的专线链路,利用Internet长途数据线路家里自己的私有网络

专用:为自己定制一个最符合自己需求的网络


隧道技术:隧道两端封装,解封装,用以建立数据隧道

身份认证:保证接入VPN的操作人员的合法性、有效性

数据认证:数据在网络传输过程中不被非法篡改

加解密技术:保证数据在网络中传输时不被非法获取

密钥管理技术:不安全的网络中安全地传递密钥


VPN服务器的常见形式:

服务器、路由器、防火墙、VPN设备

VPN客户端常见形式:

系统自带拨号工具、第三方拨号工具、浏览器



VPN类型

根据建设单位划分

租用运营商专线搭建VPN网络:MPLS VPN

用户自建企业VPN网络:GRE VPN、IPsec VPN、SSL VPN (PPTP VPN、L2TP VPN 一般在专门的防火墙或者VPN设备上进行配置,不会在路由器上去进行配置,并且需要 IPsec 保护来保证安全性)

进一步说明了路由器和交换机的区别,交换机上不会有 VPN的任何配置


根据组网方式划分

Remote-Access VPN(移动办公VPN、远程访问VPN):适合出差员工、移动办公等VPN拨号接入的场景。员工在任何能接入公网的地方,通过远程拨号接入企业内网,访问资源。通常拨号方IP地址不固定

Site-To-Site VPN(站点到站点VPN):适合各分支机构、合作伙伴、客户、供应商间的互联。双方都有固定的IP地址


根据实现层、协议划分

应用层L7VPN:SSL / SSTP VPN

# SSL是实现HTTPS的关键技术之一,没有SSL,就无法实现HTTPS的安全通信----SSL技术就是HTTPS
# SSL和TLS在很多方面有相似之处,但TLS作为SSL的升级版,在安全性、加密算法支持以及应用场景上都有显著的提升。因此,在现代网络通信中,推荐使用TLS而不是SSL,以确保更高的安全性和可靠性

# Easy Connect是深信服的VPN客户端
# 深信服的VPN是比较出色的

物理层L3VPN:GRE / IPsec VPN

数据链路层L2VPN:PPTP(微软-老) / L2F(思科对PPTP的改造-老) / L2TP VPN(PPPoe宽带拨号也是基于二层的)

GREL2TPIPsecSSL VPN
保护范围IP层及以上数据IP层及以上数据IP层及以上数据应用层特定数据
适合场景Intranet VPNAccess VPN
Extranet VPN
Access VPN
Intranet VPN
Access VPN
身份认证不支持支持基于PPP的Chap和Pap、EAP认证支持,采用IP或ID+口令或证书进行数据源认证。IKEv2拨号方式采用EAP认证进行用户身份验证支持,用户名+口令+证书对服务器进行认证。也可以进行双向认证
加密技术不支持不支持支持支持
数据验证支持(校验和方式验证、关键字验证)不支持支持支持
如何使用GRE Over IPsecL2TP Over IPsec单独使用 IPsec或通过IPsec保护GRE或L2TPSSL VPN

L2TP端口号:UDP 1701

PPTP端口号:TCP 1723


Author:DC

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部