文章目录
- 虚拟专用网 VPN 概述
- 内联网 VPN
- 外联网 VPN
虚拟专用网 VPN 概述
虚拟专用网(Virtual Private Network,VPN):利用公用的因特网作为本机构各专用网之间的通信载体,这样形成的网络又称为虚拟专用网。
出于安全考虑,专用网内的各主机并不应该直接“暴露”于公用的因特网上。因此,给专用网内各主机配置的 IP 地址应使各主机在专用网内可以相互通信,而不能直接与公用的因特网通信。
给专用网内各主机配置的 IP 地址,应该是该专用网所在机构可以自行分配的IP地址,这类IP地址仅在机构内部有效,称为专用地址(PrivateAddress),不需要向因特网的管理机构申请。
[RFC 1918]
规定了以下三个 CIDR 地址块中的地址作为专用地址:
-
10.0.0.0
~10.255.255.255
(CIDR 地址块10/8
) -
172.16.0.0
~172.31.255.255
(CIDR 地址块172.16/12
) -
192.168.0.0
~192.168.255.255
(CIDR 地址块192.168/16
)
全世界可能有很多不同机构的专用网具有相同的专用IP地址,但这并不会引起麻烦,因为这些专用地址仅在机构内部使用。
因特网中的所有路由器,对目的地址是专用地址的IP数据报一律不进行转发,这需要由因特网服务提供者 ISP 对其拥有的因特网路由器进行设置来实现。
内联网 VPN
本例所示的是同一机构内不同部门的内部网络所构成的 VPN
,又称为内联网VPN
-
源地址和目标地址:
- 源地址:
106.38.0.1
,这是位于北京的部门 A 专用网中的某个设备的 IP 地址。 - 目标地址:
101.80.0.1
,这是位于上海的部门 B 专用网中的某个设备的 IP 地址。
- 源地址:
-
内部IP数据报:内部 IP 数据报包含了两部分:数据载荷和首部。
- 数据载荷:这部分是需要传输的实际数据内容。
- 首部:这部分包含了源地址和目标地址的信息,用于路由和寻址。
-
加密:当数据包离开部门 A 的专用网时,会在R1路由器处进行加密处理。加密后的数据包被称为“加密的内部IP数据报”。
-
因特网传输:加密后的数据包通过因特网从北京传送到上海。在这个过程中,数据包会经过多个中间节点,但因为已经进行了加密,所以即使有人截获了数据包也无法读取其中的内容。
-
解密:当数据包到达上海的部门 B 专用网时,会在 R2 路由器处进行解密。解密后的数据包恢复成原来的内部 IP 数据报形式。
-
最终目的地:解密后的数据包继续按照首部中的目标地址信息转发到最终的目的设备 H2,完成整个通信过程。
通过这种方式,即使数据包在网络上传输的过程中被第三方截获,由于数据已经被加密,所以无法获取到真实的数据内容,从而实现了数据的安全传输。
虽然两个专用网内的主机间发送的数据报是通过公用的因特网传送的,但从效果上就好像是本机构的专用网上传送一样,这也是虚拟专用网中“虚拟”的含义。
IP数据报在因特网中可能要经过多个网络和路由器,但从逻辑上看,路由器 R1 和 R2 之间好像是一条直通的点对点链路,因此也被称为 IP隧道技术。
外联网 VPN
有时,一个机构的虚拟专用网VPN需要某些外部机构(通常是合作伙伴)参加进来,这样的 VPN 就称为外联网VPN。
在外地工作的员工需要访问公司内部的专用网时,只要在任何地点接入因特网,运行驻留在员工 PC 中的 VPN 软件,在员工的 PC 和公司的主机之间建立 VPN 隧道,就可以访问专用网中的资源,这种虚拟专用网又称为远程接入VPN。
2017年,工信部下发了《工业和信息化部关于清理规范互联网网络接入服务市场的通知》在我国,未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动,不得从事危害国家安全、损害社会公共利益的行为。