虛擬專用網絡

Module 3 a ɛto so abien
等級 8 , 課堂 5
開放

6.1 VPN簡介

虛擬專用網絡VPN從字面上看是虛擬專用網絡。當您想在手機或計算機的瀏覽器中更改國家/地區時,您很可能經常聽到 VPN 這個詞。啟動 VPN,選擇一個國家,您就完成了。

VPN簡介

雖然VPN,其實與國家無關。情況有點不同。

想像一下,你在一個辦公室裡用電腦工作,在這個辦公室裡有各種可以上網的電腦設備:電腦、服務器、打印機、視頻會議設備。

情況 1:您的辦公室變大了,您決定搬到下一層。你帶著你的電腦,搬到另一個房間,插在另一個網絡插座上,你仍然可以訪問公司所有的服務器和電腦。

最有可能的是,您的計算機現在正在與另一台路由器通信,但您公司中的所有路由器都知道如何相互通信並為您提供在同一本地網絡上的所有好處。您可以毫無問題地訪問公司網絡上的任何設備。

情況 2:大流行已經開始,您決定在家工作。您將工作電腦帶回家,但運氣不好,家裡無法訪問辦公室服務器。這似乎是合乎邏輯的,因為他們住在城市另一端的辦公室。另一方面,問題來了:當您在第一種情況下轉移計算機時,您仍然可以使用辦公室計算機。當您在第二種情況下移動計算機時,無法訪問。發生了什麼變化?

在第一種情況下,您辦公室中的所有計算機(甚至位於不同樓層的計算機)都在同一個本地網絡中。但在第二種情況下,沒有。您在家中的計算機未連接到辦公室局域網。因此,您無權訪問辦公網絡的內部資源。

為了解決這個問題,提出了一個解決方案——虛擬局域網(VPN)。在你的辦公室裡,每層樓都有一個路由器,可以互相發送數據,保證本地網絡的運行。

我們需要創建兩個虛擬路由器(以程序的形式),一個在你的辦公室,第二個在家裡,它們也會通過互聯網相互發送加密數據。並且有這樣的程序:其中一個叫做VPN server,第二個是VPN client

VPN 服務器由辦公室的系統管理員配置,VPN 客戶端現在在每台計算機和/或電話中。

您在計算機上啟動 VPN 客戶端並使用它連接到 VPN 服務器,因此計算機現在認為它在 VPN 服務器所在的本地網絡內。

如果你現在啟動你的瀏覽器,那麼來自你瀏覽器的所有數據將進入你的本地虛擬路由器(VPN 客戶端),從它到公司的虛擬路由器(VPN 服務器),然後通過你的 Internet 網關進一步進入世界。辦公公司。

您計算機的外部 IP 地址現在將與您辦公室的公共 IP 地址匹配。如果這個辦公室在德國,那麼您的瀏覽器訪問的服務器將確保您在德國的辦公室。

6.2 VPN類型

VPN 網絡根據其目標功能進行劃分。有許多不同的解決方案,但這裡列出了典型的 VPN 解決方案:

內網VPN

它用於將一個組織的多個分佈式分支機構組合成一個單一的安全網絡,通過開放的通信渠道交換數據。這是第一個開始這一切的人。

遠程訪問 VPN

它用於在企業網段(中央辦公室或分支機構)和單個用戶之間創建一個安全通道,該用戶在家中工作時可以從家庭計算機、公司筆記本電腦、智能手機或互聯網亭連接到公司資源。如果您在家工作並通過 VPN 連接到辦公室,這是您可以選擇的選項。

外聯網VPN

用於“外部”用戶(例如客戶或客戶端)連接的網絡。對他們的信任程度遠低於對公司員工的信任程度,因此有必要提供特殊的保護“邊界”,以防止或限制後者訪問特別有價值的機密信息。

互聯網VPN

提供商使用它來提供對 Internet 的訪問,通常是在多個用戶通過一個物理通道連接時。PPPoE協議已經成為ADSL連接的標準。

L2TP 在 2000 年代中期在家庭網絡中很普遍:在那些日子裡,內網流量是不收費的,而外部流量是昂貴的。這使得控製成本成為可能:當 VPN 連接關閉時,用戶無需支付任何費用。

目前,有線上網很便宜或不限流量,而在用戶端往往有一個路由器,在上面開關上網不如在電腦上方便。因此,L2TP 訪問已成為過去。

客戶端/服務器 VPN

也是一個受歡迎的選擇。它確保保護企業網絡的兩個節點(非網絡)之間傳輸的數據。該選項的特殊之處在於VPN建立在通常位於同一網段的節點之間,例如工作站和服務器之間。在需要在一個物理網絡中創建多個邏輯網絡的情況下,經常會出現這種需求。

例如,當需要分流財務部門和人力資源部門的流量時,訪問位於同一物理網段的服務器。此選項類似於 VLAN 技術,但不是分離流量,而是加密。

6.3 開放式VPN

還記得嗎,我們談到了辦公室端的虛擬路由器,您可以使用 VPN 客戶端連接到它?因此,有一種非常流行的解決方案對您有所幫助。這是 OpenVPN。

OpenVPN是一個實現虛擬專用網絡 (VPN) 技術的免費程序。當您需要合併兩個大型網絡時,它支持兩種流行的操作模式:客戶端-服務器和點對點。

它在其參與者之間保持良好的流量加密水平,還允許您在 NAT 和防火牆後面的計算機之間建立連接,而無需更改它們的設置。

為了保護控制通道和數據流,OpenVPN 使用OpenSSL庫。這允許您使用此庫中可用的整套加密算法。

它還可以使用HMAC批處理身份驗證來提高安全性和硬件加速以提高加密性能。該庫使用 OpenSSL,更具體地說,使用SSLv3/TLSv1.2協議。

該程序適用於所有流行的操作系統:Solaris、OpenBSD、FreeBSD、NetBSD、GNU/Linux、Apple Mac OS X、QNX、Microsoft Windows、Android、iOS。

OpenVPN 為用戶提供多種類型的身份驗證

  • 預設鍵是最簡單的方法。
  • 證書認證是設置中最靈活的方法。
  • 使用登錄名密碼- 無需創建客戶端證書即可使用(仍然需要服務器證書)。

技術信息

OpenVPN 通過 TCP 或 UDP 傳輸進行所有網絡操作。通常,首選 UDP,因為如果使用 TUN 連接,隧道將通過 OSI 承載網絡層及以上流量,如果使用 TAP,則隧道將承載鏈路層及以上流量。

這意味著 OpenVPN 充當客戶端的通道甚至物理層協議,這意味著如果需要,可以通過更高的 OSI 級別來確保數據傳輸的可靠性。

鑑於我們已經很好地分析了 OSI 模型,您應該明白這裡說的是什麼。

這就是 UDP 協議在其概念上最接近 OpenVPN 的原因,因為它與數據鏈路和物理層的協議一樣,不提供連接可靠性,將此主動權傳遞給更高級別。如果您將隧道配置為通過 TCP 工作,服務器通常會從客戶端接收包含其他 TCP 段的 OpenVPN TCP 段。

同樣重要的是,OpenVPN 可以通過大多數代理服務器工作,包括 HTTP、SOCKS、NAT 和網絡過濾器。服務器可以配置為將網絡設置分配給客戶端。例如,IP 地址、路由設置和連接參數。 

3
Опрос
Network device,  8 уровень,  5 лекция
недоступен
Network device
Network device
留言
TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION