网络虚拟化技术——虚拟专用网 VPN
摘要:在虚拟化技术中,网络是必不可少的一个,它从上到下贯穿全局;它建网快速方便、容易对网络维护和管理、高可用、租户隔离等优点是企业管理、节约成本的秘诀,是网络安全的守门员。我们这一章说VPN,利用公用网络架设专用网络,实现在远程也可以安全的访问内部网络,可以理解为虚拟出来的企业内部专线,是一种安全性很高的技术。当然了,私人可以使用他来做科学上网的工具。
定义
虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。
常见的vpn协议
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
使用场景
远程访问虚拟网(AccessVPN)
利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。原理是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。这中间为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。
有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
另一个场景就是我们比较常见的,由于我国对海外网络的限制及屏蔽,很多时候个人用户、外资公司、学术单位想要连回海外网站就要自行架设VPN或采用付费的VPN服务。
企业内部虚拟网(IntranetVPN)
Intranet VPN服务即企业的总部与分支机构间通过VPN虚拟网进行网络连接。随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。如果要进行企业内部各分支机构的互联,使用Intranet VPN是很好的方式。这种VPN是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤作为传输介质。它的特点就是容易建立连接、连接速度快,最大特点就是它为各分支机构提供了整个网络的访问权限。
IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
企业扩展虚拟网(ExtranetVPN)
Extranet VPN服务即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。如果是需要提供B2B电子商务之间的安全访问服务,则可以考虑选用Extranet VPN。上图中下面那个人就代表客户、合作伙伴。
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要各个企业之间的合作关系也越来越多,信息交换日益频繁。因特网为这样的一种发展趋势提供了良好的基础,而如何利用因特网进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
Extranet VPN服务对用户的吸引力在于:能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络,并且只拥有部分网络资源访问权限,这要求企业用户对各外部用户进行相应访问权限的设定。
优点和缺点
优点
- VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。
- 设计良好的宽带VPN是模块化的和可升级的。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
- VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
- 完全控制,虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
缺点
- 企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商签署一个服务级协议非常重要,要签署一个保证各种性能指标的协议。
- 企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。因此,应该大多数选择互联网服务提供商负责运行VPN。
- 不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。另一方面,使用一家供应商的设备可能会提高成本。
- 当使用无线设备时,VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。
实现方式
- VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。(vpn服务上使用openvpn easy-rsa或其他方式 )
- 软件VPN:可以通过专用的软件实现VPN。
- 硬件VPN:可以通过专用的硬件实现VPN。
- 集成VPN:某些硬件设备,如交换机、路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
安全性
L2TP协议和PPTP协议在数据传输过程中都存在一定安全隐患,基于IPSec协议的VPN技术可有效防止黑客入侵,保护用户的通信信息。因此,对于保密性要求较高的重要部门,建议选择使用基于IPSec协议实现的VPN,保证通信安全。
腾讯公有云产品 与 VPN
上图是腾讯云使用vpn连接私有云和公有云实现的弹性混合云服务,可以根据业务压力大小弹性伸缩。
通过 VPN 连接同步云端和本地数据中心的数据,实现云上容灾,保证业务数据安全。
法律上
- 按我国法律规定不能以盈利为目的搭建vpn来连接internet
- 使用vpn上外网不能违背中国社会主义的法律或者违规道德规范
评论