虛擬專用網絡(Virtual Private Network ,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網,主要是因為整個VPN網 絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平台,如Internet、ATM(異步傳輸模 式〉、Frame Relay (幀中繼)等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧 道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
根據不同的劃分標准,VPN可以按幾個標准進行分類劃分
1. 按VPN的協議分類
VPN的隧道協議主要有三種,PPTP,L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議;IPSec是第三層隧道協議,也是最常見的協議。L2TP和IPSec配合使用是目前性能最好,應用最廣泛的一種。
2. 按VPN的應用分類
1) Access VPN(遠程接入VPN):客戶端到網關,使用公網作為骨干網在設備之間傳輸VPN的數據流量
2) Intranet VPN(內聯網VPN):網關到網關,通過公司的網絡架構連接來自同公司的資源
3) Extranet VPN(外聯網VPN):與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接
3. 按所用的設備類型進行分類
網絡設備提供商針對不同客戶的需求,開發出不同的VPN網絡設備,主要為交換機,路由器,和防火牆
1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可
2)交換機式VPN:主要應用於連接用戶較少的VPN網絡
3)防火牆式VPN:防火牆式VPN是最常見的一種VPN的實現方式,許多廠商都提供這種配置類型
實現技術
1.隧道技術
實現VPN的最關鍵部分是在公網上建立虛信道,而建立虛信道是利用隧道技術實現的,IP隧道的建立可以是在鏈路層和網絡層。第二層隧道主要是 PPP連接,如PPTP,L2TP,其特點是協議簡單,易於加密,適合遠程撥號用戶;第三層隧道是IPinIP,如IPSec,其可靠性及擴展性優於第二 層隧道,但沒有前者簡單直接。
2. 隧道協議
隧道是利用一種協議傳輸另一種協議的技術,即用隧道協議來實現VPN功能。為創建隧道,隧道的客戶機和服務器必須使用同樣的隧道協議。
1) PPTP(點到點隧道協議)是一種用於讓遠程用戶撥號連接到本地的ISP,通過因特網安全遠程訪問公司資源的新型技術。它能將PPP(點到點協議)幀封裝成IP數據包,以便能夠在基於IP的互聯網上進行傳輸。PPTP使用TCP(傳輸控制協議)連接的創建,維護,與終止隧道,並使用GRE(通用路由封裝)將PPP幀封裝成隧道數據。被封裝後的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。
2) L2TP協議:L2TP是PPTP與L2F(第二層轉發)的一種綜合,他是由思科公司所推出的一種技術
3) IPSec協議:是一個標准的第三層安全協議,他是在隧道外面再封裝,保證了隧在傳輸過程中的安全。IPSec的主要特征在於它可以對所有IP級的通信進行加密和認證,正是這一點才使IPSec可以確保包括遠程登錄,電子郵件,文件傳輸及WEB訪問在內多種應用程序的安全。
4) SSL VPN(安全套接層協議)是網景公司提出的基於Web應用的在兩台機器之間提供安全通道的協議。它具有保護傳輸數據積極識別通信機器的功能。SSL主要采用公開密鑰體制和X509數字證書技術在Internet上提供服務器認證,客戶認證,SSL鏈路上的數據的保密性的安全性保證。被廣泛用於Web浏覽器與服務器之間的身份認證和加密傳輸。