虚拟专用网络的特点-(虚拟专用网络的特点有哪些)

虚拟网络的特点

(虚拟网络的特点有哪些)

前言
大家好，我是林总，在VPN出现之前，企业分支之间的数据传输只能依靠现有物理网络（例如Internet）。由于Internet有很多不安全因素，报纸很容易被网络上的黑客窃取或篡改，最终导致数据泄露和重要数据损坏。
正文
除了通过Internet，也可以通过建立物理专网连接来保证数据的安全传输，但是成本会很高，专网的建设和维护也很困难。

VPN简介

VPN即虚拟专用网，一般指通过VPN虚拟专用网络是在公共网络上建立的。VPN用户在这个虚拟网络中传输私网流量，在不改变网络现状的情况下实现安全可靠的连接。

VPN与传统数据专网相比，具有以下优势：

?安全：在远端用户、海外机构、合作伙伴、供应商和公司总部之间建立可靠的联系，确保数据传输的安全。这对实现电子商务或金融网络与通信网络的融合尤为重要。

?廉价：利用公共网络进行信息通信，企业可以以更低的成本连接远程服务机构、出差人员和业务伙伴。

?支持移动业务：支持驻外VPN移动访问用户可以随时随地满足不断增长的移动业务需求。?可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。

经常被称为公共网络VPN骨干网（VPN Backbone），可以是公共网络Internet，也可以是企业自建专网或运营商租赁专网。VPN分类 - 根据建设单位的不同

VPN分类 - 根据不同的组网方式

VPN分类 - 根据实现的网络层次

在网络层和数据链路层工作VPN又称三层VPN和二层VPN。

VPN关键技术 - 隧道技术

VPN隧道技术的基本原理是利用隧道（Tunnel）技术，包装和使用传输报纸VPN骨干网建立专用数据传输通道，实现报文安全传输。

位于隧道两端VPN网关，通过对原始报纸的封装和解封装，建立一个点到点的虚拟通信隧道。

隧道的功能是在两个网络节点之间提供一个通道，使数据在这个通道上透明传输。

VPN隧道一般指在VPN骨干网的VPN建立在节点之间传输VPN虚拟连接数据。

隧道是构建VPN不可或缺的部分用于使用VPN数据从一个VPN节点透明地传输到另一个。

隧道通过隧道协议实现。目前隧道协议很多，比如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）等。隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据能都在某网络中传输，并且在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。隧道传输前后应包装和解封。

部分隧道可以混合使用，如GRE Over IPSec隧道。

VPN关键技术 - 身份认证、数据加密和验证

有效保证身份认证、数据加密和认证技术VPN网络和数据的安全性：

?身份认证：

可用于部署远程接入VPN的场景，VPN网关认证用户身份，确保接入网络的用户是合法用户，而不是恶意用户。也可以用于VPN网关之间对对方身份的认证。

?数据加密：

将明文加密成密文，使数据即使被黑客截获，黑客也无法获得信息。

?数据验证：

通过数据验证技术检查报纸的完整性和真实性，丢弃伪造和篡改的报纸。

常见VPN技术

IPSec概述

IPSec（IP Security） VPN一般部署在企业出口设备之间，数据源验证、数据加密、数据完整性保证和抗重放功能通过加密和验证实现。数据源验证：接收方验证发送方身份是否合法。

数据源验证：

接收方验证发送方身份是否合法。

数据加密
：发送方以密文的形式加密数据Internet上传，接收方解密或直接转发接收到的加密数据。

数据完整性：

接收方验证接收到的数据，以确定报纸是否被篡改。

抗重放：

接收方拒绝旧的或重复的数据包，以防止恶意用户通过重复发送捕获的数据包进行攻击。

IPSec协议体系

IPSec它给出的不是单独的协议IP一套完整的网络数据安全系统结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。

IPSec使用

认证头AH（Authentication Header）包装安全载荷ESP（Encapsulating Security Payload）

两种安全协议传输和包装数据，提供认证或加密等安全服务。

IPSec使用认证头AH（Authentication Header）包装安全载荷ESP（Encapsulating Security Payload）

两种安全协议传输和包装数据，提供认证或加密等安全服务。

?AH和ESP协议提供的安全功能取决于验证和加密算法。

?AH仅支持认证功能，不支持加密功能。ESP支持认证和加密功能。

?提供认证或加密等安全服务的安全协议需要一把钥匙。

秘钥交换有两种方式
：

?带外共享密钥：

静态加密和验证密钥手动配置在发送和接收设备上。双方通过带外共享(如电话或邮件)保证密钥一致性。这种方法的缺点是可扩展性差，在点到多点组网中配置密钥的工作量成倍增加。此外，为了提高网络安全性，需要定期修改密钥，这也很难实施。

?通过IKE协议自动协商密钥：IKE建立在Internet安全联盟和密钥管理协议ISAKMP使用定义框架DH（Diffie-Hellman）该算法安全地在不安全的网络上分发密钥。这种方法配置简单，可扩展性好，尤其是在大型动态网络环境下。同时，通信双方通过交换密钥交换材料计算共享的密钥。即使第三方截获了双方用于计算密钥的所有交换数据，真正的密钥也无法计算。

IPSec基本原理

IPSec隧道建设过程中需要协商IPSec SA（Security Association，安全联盟)，IPSec SA一般通过IKE协商生成。

SA这个三元组包括一个三元组的唯一标志

索引安全参数SPI（Security Parameter Index）、目的IP使用的地址和安全协议号（AH或ESP）。

其中，SPI是唯一的标志SA它生成的32位比特值AH和ESP头中传输。在手工配置SA需要手工指定SPI的取值。使用IKE协商产生SA时，SPI随机生成。

SA是单向逻辑连接，所以有两个IPSec对等体之间的双向通信至少需要建立两个SA安全保护两个方向的数据流。

KE作为秘钥协商协议，有两个版本：

IKEv1和IKEv2，

本课程采用IKEv以1为例介绍，IKEv2内容可参考产品文档对应内容。

?IKEv协商阶段1的目的是建立IKE SA。IKE SA对等体间建立后的一切ISAKMP消息将通过加密和验证来确保IKEv第二阶段的谈判可以安全进行。IKE SA是双向逻辑连接，两个IPSec只建立一个对等体间IKE SA。

?IKEv协商阶段2的目的是建立安全传输数据的目的IPSec SA，并衍生出数据传输的密钥。该阶段使用IKEv协商阶段1中生成的密钥对ISAKMP验证消息的完整性和身份，验证ISAKMP新闻加密，保证了交换的安全。

IKE协商成功意味着双向协商IPSec隧道已建成，可通过ACL定义方法或安全框架方法IPSec符合感兴趣流特征的感兴趣流数据将被送入IPSec隧道处理。

感兴趣流：

需要被IPSec保护数据流。

GRE概述

通用路由包装协议（General Routing Encapsulation，GRE）是一种三层VPN封装技术。GRE一些网络层协议(如IPX、IPv4、IPv6等)的报文被封装，使封装后的报文能够在另一个网络(如IPv4)传输，从而解决了跨越不同网络的报纸传输问题。

如图所示，通过IPv4网络上建立GRE两个隧道解决了IPv6网络通信问题。

GRE还具备封装组播报文件的能力。组播报文通常用于动态路由协议，因此GRE它将用于需要传输组播路由数据的场景GRE被称为通用路由封装协议的原因。

GRE基本原理

GRE构成要素分为乘客协议、包装协议和运输协议三部分。

?乘客协议是指用户在传输数据时使用的原始网络协议。?包装协议的作用是包装乘客协议对应的报文，使原报文能够在新网络中传输。

?运输协议是指在新网络中传输封装报纸时使用的网络协议。

隧道接口（Tunnel Interface）它是一种点对点封装而提供的点对点虚拟接口Loopback接口相似，都是逻辑接口。

如图所示，乘客协议为IPv6.包装协议为GRE，运输协议为IPv4。

整体转发流程如下：

当R1收到IP1发来的IPv6数据包，查询设备路由表，发现接口为隧道接口，并将此报告发送给隧道接口。隧道接口添加原始报纸GRE头部，然后根据配置信息添加报纸IP头。该IP头源地址为隧道源地址，IP隧道目的地址为头目的地址。封装后的报文在IPv在网络中进行普通IPv4路由转发，最终到达目的地R2。相反，这里不再重复解封过程和包装过程。