上一篇文章《三层交换机可实现多个VLAN之间通信,该如何使用VLAN间的端口模式 》写到了三层交换机解决了局域网内多个VLAN之间的通讯问题。但是实际工作环境中,大企业集团和子公司之间相隔几个市或者几个省,中间不可能通过网线或者光缆连接起来,那要如何让这种跨市甚至跨省的企业类似一个局域网那种安全有效快速地连接服务器,如何通过共用网络低成本地安全地并从服务器获取和上传数据了?虚拟专用局域网VPN技术就是这样的环境下诞生了。
VPN的定义和网络功能
VPN是企业网在因特网等公共网络上的延伸,它通过一个私有的通道在公共网络上创建一个安全的私有连接。因此,从本质上说VPN是一个虚信道,它可用来连接两个专用网,通过可靠的加密技术方法保证其安全性,并且是作为一个公共网络的一部分存在。
假设一个集团在外省有好多个分公司,其中一分公司的财务要使用SAP信息系统,那她必须要访问集团总部机房的服务器资源,这种访问就属于远程访问。在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于分公司一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
VPN的网络功能就是在内网中架设一台VPN服务器,让外地员工在当地连上互联网后,通过互联网安全地连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在哪个省距离多远,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
一个完整的VPN技术方案中包括VPN隧道技术、密码技术和服务质量保证技术。
隧道技术是指将一种协议重新封装后,通过互联网络的基础设施在网络之间传递数据传输。
根据不同的划分标准,VPN可以按几个标准进行分类划分:
1、按VPN的协议分类:
VPN的隧道协议根据其工作的OSI层次可以分为二层隧道协议,包含PPTP、L2TP;三层隧道协议是IPSec、移动IP技术和VTP。
2、按VPN的应用分类:
(1)Access VPN:客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量,应用于企业的内部人员移动或远程办公需要;
(2)Intranet VPN:网关到网关,通过公司的网络架构连接来自同公司的资源,应用于企业内部各分支机构互联需要;
(3)Extranet VPN:与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接,应用于合作企业、连锁加盟形式的企业之间的安全访问服务。
3、按所用的设备类型进行分类:
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:主要应用于连接用户较少的VPN网络;
(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。
VPN的实现有很多种方法,常用的有以下四种:
1、VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。
2、软件VPN:可以通过专用的软件实现VPN,主要用于翻墙查看一些资料。
3、硬件VPN:可以通过专用的硬件实现VPN,更多的是在一些远程操控设备。
4、集成VPN:硬件设备,如路由器、防火墙等,都含有VPN功能,集成VPN功能的硬件设备价格会高出很多。
记得几年前去一家泉州大型体育用品公司面试运维部经理,面试过了第一轮,到厦门运营总部二试的时候由他们的信息部副总监1V1面试,当时就是在VPN的理论知识吃了大亏,不然现在年薪也差不多30万了。。。大家对VPN的使用还有啥不理解,欢迎在下方留言评论。
閱讀更多 KB小網管 的文章
