一、定义
- 虚拟专用网络是在公用网络上建立专用逻辑网络的技术
- 物理专用网:使用专线(光纤、电缆 等)连接的私有网络
- 虚拟专用网:使用公共网(如Internet) 连接的私有网络
二、技术原理
在公共网上的若干节点(主机/VPN网关)之间建立"隧道"
- “隧道”指的是利用公共网通信协议传输私有数据,而公共网上的主机无法读懂这些私有数据
- 私有数据有可能是带格式的,例如一个IP报文
三、分类
1. 站到站VPN
- 位于不同地理位置的物理网络,通过“VPN网关”连接.
- 隧道建立在VPN网关之间
- 隧道对主机透明,它们不知道VPN的存在,只是如同平常一样将出站数据通过自己的“网关”发送。在私有网内各主机看来,它们好像是直接连接起来的一个局域网络。
2. 远程访问VPN
- 远程主机通过连接“VPN网关”,从而可以访问VPN内部设备
- 隧道建立在VPN网关和远程主机之间
- 远程主机知道隧道的存在,需主动连接VPN
- 主机端可能需要安装客户端软件
四、VPN隧道的实现技术
1. PPTP隧道与L2TP隧道
这两种技术的原理类似:使用PPP协议封装私有网络报文并传输
PPP协议
- 用来通过拨号或专线方式建立点对点连接的协议
- “点到点”就是两个对等实体之间的通信,没有网络、路由等概念
- 可以将IP,IPX和NETBEUI包封装在PP桢内发送
PPTP隧道:
- 私有网报文封装在PPP帧中 PPP帧封装在IP包中,通过公共网传递
- 相当于通过IP公共网(而不是物理专线)完成了向ISP的“拨号
L2TP隧道:
- 私有网报文封装在PPP帧中
- PPP帧封装在在IP、X.25、桢中继或ATM等的网络上进行传送
2. IPSec隧道
- IPSec:IPv4和IPv6的安全扩展
- IP Authentication Header (AH) :保护载荷和数据包头的认证和完整性
- IP Encapsulating Security Protocol (ESP) :加密数据包的内容
- Internet Key Exchange(IKE) :协商密钥、密码参数等安全参数
- IPSec安全通信分为传输模式和隧道模式
IPSec VPN的缺陷:
- 对于站到站的VPN,没有问题 。但更改配置稍微麻烦,需要所有VPN网关同时更改
- 对于远程访问VPN,客户端必须安装软件。穿透NAT比较麻烦。
- 一旦接入成功,可以访问远程VPN网络内所有主机/服务器
3. SSL VPN
SSL:安全套接字层,位于TCP层与应用层之间,主要用在HTTP应用中,也可以用于其它 TCP应用。
使用SSL建立VPN:
- 以SSL协议为安全机制,以TCP为隧道。
- 理论上使用TCP隧道可以封装传递任意数据(例如IP报文), 但实际上最常用来传 递HTTP报文,即 HTTPS。因此,SSL VPN最常用做远程Web访问VPN。
SSL VPN的优势:
- 不受NAT束缚
- 可以不安装客户端软件
- VPN内的各类服务器,可以自行设定访问控制
SSL VPN的劣势:
- 速度慢:相比于Ipsec VPN,SSL的速度要慢不少
- 不适合建立站到站VPN:各个VPN网关之间需要建立TCP虚电路,相比于Ipsec的网络层 报文转发,更加耗费资源。