|
|
VPN技术还是企业比较常用的通信技术,如果一个企业的分公司和总部的互访,或者出差员工需要访问总部的网络,都会使用VPN技术;
VPN技术出现背景 一种技术的出现都是由于存在某种需求而发展来的。那么为什么会出现VPN技术呢?VPN技术解决了什么问题呢?在没有VPN之前,企业的总部和分部之间的互通都是采用运营商的internet进行通信,那么Internet中往往是不安全的。
那么有没有一种技术既能实现总部和分部间的互通,也能够保证数据传输的安全性呢?
答案是当然有。
一开始大家想到的是专线,在总部和分部拉条专线,但是这个专线的费用十分昂贵,而且维护也很困难。
那么有没有成本更低的方案呢?那就是VPN。VPN通过在现有的Internet网中构建专用的虚拟网络,实现企业总部和分部的通信,解决了互通、安全、成本的问题;
1.VPN基础知识
虚拟专用网络(Virtual Private Network, VPN)是在公用网络上建立专用网络的技术。由于整个VPN网络中的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,所以称之为虚拟网。实现VPN的关键技术主要有隧道技术、加/解密技术、密钥管理技术和身份认证技术。
2.VPN隧道技术
VPN技术的基本原理其实就是用的隧道技术,就类似于火车的轨道、地铁的轨道一样,从A站点到B站点都是直通的,不会堵车。对于乘客而言,就是专车。
最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以在链路层和网络层。
VPN主要隧道协议有PPTP, L2TP、IPsec、SSL VPN和TLS VPN。
(1)PPTP (点到点隧道协议)
PPTP是一种用于让远程用户拨号连接到本地的ISP,是通过因特网安全访问内网资源的技术。它能将PPP帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP连接创建、维护、终止隧道,并使用GRE (通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议。
(2)L2TP 协议
L2TP是PPTP与L2F (第二层转发)的一种综合,该协议是第2层隧道协议。L2TP封装格式为PPP帧封装L2TP报头,再封装UDP报头,再封装IP报头,如下图:
(3)IPSec协议
IPSec协议在隧道外面再封装,保证了隧道在传输过程中的安全。该协议是第3层隧道协议。
(4)SSL VPN、TLS VPN
两类VPN使用了 SSL和TLS技术,在传输层实现VPN的技术。该协议是第4层隧道协议。由于SSL需要对传输数据加密,因此SSL VPN的速度比IPSec VPN慢。SSL VPN的配置和使用又比其他VPN简单。
3.IPSec
Internet协议安全性(Internet Protocol Security, IPSec)是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
(1)IKE 协议
Internet 密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合型协议,由 Internet 安全关联和密钥管理协议(Internet Security Association and Key Management Protocol, ISAKMP) 与两种密钥交换协议(OAKLEY与SKEME)组成,即IKE由ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式(手工密钥交换和自动IKE)。IKE使用了两个阶段的ISAKMP:①协商创建一个通信信道(IKE SA)并对该信道进行验证, 为双方进一步的IKE通信提供机密性、消息完整性及消息源验证服务:②使用已建立的IKE SA建立IPsec SA。
(2)AH
认证头(Authentication Header, AH)是IPSec体系结构中的一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放攻击。AH不支持数据加密。AH常用摘要算法(单向Hash 函数)MD5和SHA1实现摘要和认证,确保数据完整。
(3)ESP
封装安全载荷(Encapsulating Security Payload, ESP) 可以同时提供数据完整性确认和数据加密等服务。ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA-1来实现摘要和认证,确保数据完整。
(4) IPSec VPN 应用场景
IPSec VPN应用场景分为站点到站点、端到端、端到站点三种模式。
1)站点到站(Site-to-Site)
站点到站点又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来。
2)端到端(End-to-End)
端到端又称为PC到PC,即两个PC之间的通信由IPSec完成。
3)端到站点(End-to-Site)。
端到站点,两个PC之间的通信由网关和异地PC之间的IPSec会话完成。
(5)IPSec 工作模式
IPSec的两种工作模式分别是传输模式和隧道模式,如图所示。
由图可知,传输模式下的AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头。AH只作摘要,因此只能验证数据完整性和合法性;而ESP既做摘要,也做加密,因此除了验证数据完整性和合法性之外,还能进行数据加密。
4.MPLS
多协议标记交换(Multi-Protocol Label Switching, MPLS)是核心路由器利用含有边缘路由器在IP分组内提供的前向信息的标签(Label)或标记(Tag)实现网络层交换的一种交换方式。MPLS技术主要是为了提高路由器转发速率而提出的,其核心思想是利用标签交换取代复杂的路由运算和路由交换。该技术实现的核心就是把IP数据报封装在MPLS数据包中。MPLS将IP地址映射为简单、固定长度的标签,这和IP中的包转发、包交换不同。MPLS根据标记对分组进行交换。以以太网为例,MPLS包头的位置应插入在以太帧头与IP 头之间,是属于二层和三层之间的协议,也称为2.5层协议。
MPLS标签结构与具体承载结构如图所示。
(1)MPLS 流程
当分组进入MPLS网络时,由边缘路由器(Label Edge Router, LER)划分为不同的转发等价类(FEC)并打上不同标记,该标记定长且包含了目标地址、源地址、传输层端口号、服务质量、 带宽、延长等信息。分类建立,分组被转发到标记交换通路(Label Switch Path,LSP)中,由标签交换路由器(Label Switch Router,LSR)根据标记作转发。在岀口 LER上去除标记,使用IP路由机制将分组向目的地转发。
(2)MPLS VPN
MPLS VPN承载平台由P路由器、PE路由器和CE路由器组成。
1)P(Provider)路由器
P路由器是MPLS核心网中的路由器,在运营商网络中,这种路由器只负责依据MPLS标签完成数据包的高速转发,P路由器只维护到PE路由器的路由信息,而不维护VPN相关的路由信息。P路由器是不连接任何CE路由器的骨F网路山设备,相当于标签交换路由器(LSR)。
2)PE (Provider Edge)路山器
PE路由器是MPLS边缘路由器,负责待传送数据包的MPLS标签的生成和去除,还负责发起根据路由建立交换标签的动作,相当于标签边缘路由器(LER)。PE路由器连接CE路由器和P路由器,是最重要的网络节点。用户的流量通过PE路山器流入用户网络,或者通过PE路由器流到 MPLS骨干网。
3)CE (Customer Edge)路由器
CE路由器是用户边缘设备,是直接与电信运营商相连的用户端路由器,该设备上不存在任何带有标签的数据包。CE路山器通过连接一个或多个PE路由器为用户提供服务接入。CE路由器通常是一台IP路由器,它与连接的PE路由器建立邻接关系。
文章源于网络,如有侵权,请私信文章标题联系删除,谢谢。 |
|
发表于 2022-11-9 22:22:17