Course 模块 3 - Lecture: 虚拟专用网络

6.1 VPN简介

虚拟专用网络或VPN从字面上看是虚拟专用网络。当您想在手机或计算机的浏览器中更改国家/地区时，您很可能经常听到 VPN 这个词。启动 VPN，选择一个国家，您就完成了。

虽然VPN，其实与国家无关。情况有点不同。

想象一下，你在一个办公室里用电脑工作，在这个办公室里有各种可以上网的电脑设备：电脑、服务器、打印机、视频会议设备。

情况 1：您的办公室变大了，您决定搬到下一层。你带着你的电脑，搬到另一个房间，插在另一个网络插座上，你仍然可以访问公司所有的服务器和电脑。

最有可能的是，您的计算机现在正在与另一台路由器通信，但您公司中的所有路由器都知道如何相互通信并为您提供在同一本地网络上的所有好处。您可以毫无问题地访问公司网络上的任何设备。

情况 2：大流行已经开始，您决定在家工作。您将工作电脑带回家，但运气不好，家里无法访问办公室服务器。这似乎是合乎逻辑的，因为他们住在城市另一端的办公室。另一方面，问题来了：当您在第一种情况下转移计算机时，您仍然可以使用办公室计算机。当您在第二种情况下移动计算机时，无法访问。发生了什么变化？

在第一种情况下，您办公室中的所有计算机（甚至位于不同楼层的计算机）都在同一个本地网络中。但在第二种情况下，没有。您在家中的计算机未连接到办公室局域网。因此，您无权访问办公网络的内部资源。

为了解决这个问题，提出了一个解决方案——虚拟局域网（VPN）。在你的办公室里，每层楼都有一个路由器，可以互相发送数据，保证本地网络的运行。

我们需要创建两个虚拟路由器（以程序的形式），一个在你的办公室，第二个在家里，它们也会通过互联网相互发送加密数据。并且有这样的程序：其中一个叫做VPN server，第二个是VPN client。

VPN 服务器由办公室的系统管理员配置，VPN 客户端现在在每台计算机和/或电话中。

您在计算机上启动 VPN 客户端并使用它连接到 VPN 服务器，因此计算机现在认为它在 VPN 服务器所在的本地网络内。

如果你现在启动你的浏览器，那么来自你浏览器的所有数据将进入你的本地虚拟路由器（VPN 客户端），从它到公司的虚拟路由器（VPN 服务器），然后通过你的 Internet 网关进一步进入世界。办公公司。

您计算机的外部 IP 地址现在将与您办公室的公共 IP 地址匹配。如果这个办公室在德国，那么您的浏览器访问的服务器将确保您在德国的办公室。

VPN 网络根据其目标功能进行划分。有许多不同的解决方案，但这里列出了典型的 VPN 解决方案：

它用于将一个组织的多个分布式分支机构组合成一个单一的安全网络，通过开放的通信渠道交换数据。这是第一个开始这一切的人。

它用于在企业网段（中央办公室或分支机构）和单个用户之间创建一个安全通道，该用户在家中工作时可以从家庭计算机、公司笔记本电脑、智能手机或互联网亭连接到公司资源。如果您在家工作并通过 VPN 连接到办公室，这是您可以选择的选项。

用于“外部”用户（例如客户或客户端）连接的网络。对他们的信任程度远低于对公司员工的信任程度，因此有必要提供特殊的保护“边界”，以防止或限制后者访问特别有价值的机密信息。

提供商使用它来提供对 Internet 的访问，通常是在多个用户通过一个物理通道连接时。PPPoE协议已经成为ADSL连接的标准。

L2TP 在 2000 年代中期在家庭网络中很普遍：在那些日子里，内网流量是不收费的，而外部流量是昂贵的。这使得控制成本成为可能：当 VPN 连接关闭时，用户无需支付任何费用。

目前，有线上网很便宜或不限流量，而在用户这边往往有一个路由器，在上面开关上网不如在电脑上方便。因此，L2TP 访问已成为过去。

也是一个受欢迎的选择。它确保保护企业网络的两个节点（非网络）之间传输的数据。该选项的特殊之处在于VPN建立在通常位于同一网段的节点之间，例如工作站和服务器之间。在需要在一个物理网络中创建多个逻辑网络的情况下，经常会出现这种需求。

例如，当需要分流财务部门和人力资源部门的流量时，访问位于同一物理网段的服务器。此选项类似于 VLAN 技术，但不是分离流量，而是加密。

还记得吗，我们谈到了办公室端的虚拟路由器，您可以使用 VPN 客户端连接到它？因此，有一种非常流行的解决方案对您有所帮助。这是 OpenVPN。

OpenVPN是一个实现虚拟专用网络 (VPN) 技术的免费程序。当您需要合并两个大型网络时，它支持两种流行的操作模式：客户端-服务器和点对点。

它在其参与者之间保持良好的流量加密水平，还允许您在 NAT 和防火墙后面的计算机之间建立连接，而无需更改它们的设置。

为了保护控制通道和数据流，OpenVPN 使用OpenSSL库。这允许您使用此库中可用的整套加密算法。

它还可以使用HMAC批处理身份验证来提高安全性和硬件加速以提高加密性能。该库使用 OpenSSL，更具体地说，使用SSLv3/TLSv1.2协议。

该程序适用于所有流行的操作系统：Solaris、OpenBSD、FreeBSD、NetBSD、GNU/Linux、Apple Mac OS X、QNX、Microsoft Windows、Android、iOS。

OpenVPN 为用户提供多种类型的身份验证：

OpenVPN 通过 TCP 或 UDP 传输进行所有网络操作。通常，首选 UDP，因为如果使用 TUN 连接，隧道将通过 OSI 承载网络层及以上流量，如果使用 TAP，则隧道将承载链路层及以上流量。

这意味着 OpenVPN 充当客户端的通道甚至物理层协议，这意味着如果需要，可以通过更高的 OSI 级别来确保数据传输的可靠性。

鉴于我们已经很好地分析了 OSI 模型，您应该明白这里说的是什么。

这就是 UDP 协议在其概念上最接近 OpenVPN 的原因，因为它与数据链路和物理层的协议一样，不提供连接可靠性，将此主动权传递给更高级别。如果您将隧道配置为通过 TCP 工作，服务器通常会从客户端接收包含其他 TCP 段的 OpenVPN TCP 段。

同样重要的是，OpenVPN 可以通过大多数代理服务器工作，包括 HTTP、SOCKS、NAT 和网络过滤器。服务器可以配置为将网络设置分配给客户端。例如，IP 地址、路由设置和连接设置。