虚拟专用网指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台。现在就跟着小编共同来学习一下:应该怎样建造一个虚拟专用网呢?
大家都应该知道VPN主要就是通过因特网上将局域网扩展到远程网络以及远程计算机用户的一种成本效益极佳的实现办法。就小编而言,它最大的优点就是在于异地子网之间的通信就好像是在一个子网内一样安全。正正就是因为这样,虚拟专用网络就闻名世界了。
一、虚拟专用网的三个基本要素
1、IP封装
首先小编先为大家介绍VPN系统的第一个基本要素就是使用IP封装,如果有一个IP包包含其他IP包的时候,就将其称之为IP封装。IP封装能够直接让得两个实际上分离的网络计算机看上去就好像是比邻的——相互之间仅仅只是由一个路由器分开而已。但是它们是通过非常多网络路由器以及网关分开的,这一些路由器以及网关也可能不使用同一个地址空间。
就比如说:如果有两个使用PPTP(英文全称:Point-to-PointTunnelingProtocol)的RAS(英文全称:RemoteAccessService)服务器连接的IP网络,有一个局域网的网络地址是10.1.1,另外一个网络地址是10.1.2。每一个网络上的RAS服务器都会提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1以及一个ISP分配的因特网地址250.121.13.12,然而另外一个RAS服务器的局域网地址是10.1.2.1,那么ISP所分配的因特网地址就会是110.121.112.34了。在这个时候,如果10.1.1网络里面的一个计算机,假设为10.1.1.23,就需要向10.1.2网络里面的一个计算机,假设为10.1.2.99,发送一个IP包。接下来小编就为大家演示一下它的通信过程吧,具体的过程如下所示:
1)在这里发送方的计算机首先需要注意到一点,那就是目标地址10.1.2.99的网络部分与它自己的网络地址是完全不匹配的。
2)发送方不将包直接发送给目标地址,然而是将包发送给自己子网缺省的网关地址也就是10.1.1.1。
3)这一个10.1.1网络上面的RAS服务器就会读取这一个包了。
4)接下来网络10.1.1上面的RAS服务器就会判断出这一个包是应该被放到10.1.2网络的子网上面的。
5)RAS服务器就会自动加密这一个包,另外一个方面还会使用另外一个包将它封装起来。
6)路由器从它的网络接口上发送这一个封装的包(温馨提示:这一个接口连接到因特网上面,我们就假设这一个地址是为24.121.13.12)到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上面。
7)然后10.1.2网络子网的RAS服务器就会从它的因特网接口读取这一个封装以及加密的包。
8)10.1.2网络子网的RAS服务器会自动解密这一个封装的IP包,验证它究竟是不是一个有效的IP包。换一句话来说,也就是它没有被改动过并且来自可靠的地方。
9)10.1.2网络子网的RAS服务器从它的适配器上面,会把这一个包发送到网络子网的目标地址也就是10.1.2.99上面。
10)最后目标计算机就会进行读取这一个包。
好了,具体的通信过程小编就已经介绍完毕了。上面的十个过程,就是一个比较简单的VPN的IP封装过程了,希望这对大家有帮助!
2、加密的身份认证
接下来小编就为大家介绍的是加密的身份认证,密码身份认证主要的作用就是用来安全有效地验证远程用户的身份,这样子的话系统就能够判断出适合这一个用户的安全级别。就比如说:VPN可以直接使用密码身份认证来进行决定用户是不是能够直接参与到加密通道里面。
3、数据有效负载加密
虚拟专用网的第三个基本要素就是数据有效负载加密,它的主要功能就是用来加密一些被封装的数据。
二、国内外的虚拟专用网产品
想必不需要小编多说,大家都应该知道一点VPN是一项新兴技术。它比专用广域网更加的便宜,但是相对来说要比局域网慢,也不如单独的局域网或者是广域网安全。直至目前为止,国内外有非常多比较大规模的网络安全产品公司都推出了自己的VPN产品,这一些VPN产品大部分都会和自己的防火墙产品成功结合到一起。但是大家也会看到有一些公司的VPN产品是单独的。在国内的产品有天融信公司SJW11网络密码机(也就是VPN)产品,东大阿尔派公司即将推出的NetEyeVPN等等。
小编结语:
通过这篇考试认证教程,不知道大家是否已经学会应该怎样建造一个虚拟专用网呢?在这篇教程里面,主要就是向大家介绍一下虚拟专用网。希望这对大家有所帮助。你的支持就是编程学习网教育最大的动力,欢迎进入编程学习网教育!