代表什么?
Virtual Private Network 虚拟专用网络
综述
虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。
用 途: 加密通讯
一般类型: 4GIPVPN
连接协议: PPTP、L2TP、IPSec
如果个人设备使用VPN接入目标私有网络,这种方式也叫作远程访问VPN;
当VPN用来连接两个远程网络的时候,被称为site-to-site VPN。
使用场景
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
分类标准
1、按VPN的协议分类:
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
2、按VPN的应用分类:
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
3、按所用的设备类型进行分类:
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:主要应用于连接用户较少的VPN网络;
(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
实现方式
VPN的实现有很多种方法,常用的有以下四种:
1.VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。
2.软件VPN:可以通过专用的软件实现VPN。
3.硬件VPN:可以通过专用的硬件实现VPN。
4.集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
L2TP/IPSec
L2TP 是协议名称(Layer 2 Tunneling Protocol)
Establish a tunnel between your client to the server.
L2TP by itself does not provide any encryption
IPSec 是大自然的搬运工
负责搬运L2TP package
L2TP VPN一般使用L2TP和IPSec协议套件的组合实现,由IPSec完成认证,进行机密性和完整性的保证。
Racoon
Racoon 这货翻译成小浣熊
On android platform, Racoon on the server, works fine.
Racoon is an IPSec key exchange (IKE) server, its role is to negotiate(协商) the keys with the client in order to establish an IPSec Security Association(安全关联) (SA).
RSA :Certificates(证书)
RSA authentication need:
- myserver-cacert.pem: the public key of CA used for signing all the certificates (the private key should not be stored on the server)
- myserver-cert.pem and myserver-key.pem: the server public and private keys
- android-cert.pem android-key.pem: public and private keys for the phone.
xl2tpd
xl2tpd is a very simple L2TP daemon, it works standalone and does not require an external DHCP or RADIUS server which simplifies the deployment when there are only a handful of clients.
Racoon+xl2tpd
当系统设置应用启动VPN之后,Android启动racoon和mtpd守护进程并且通过本地套接字向它们发送控制命令,以建立配置的连接。这两个守护进程将会创建请求的VPN隧道,并使用收到的IP地址和网络掩码创建并配置隧道网络接口。
其中,mtpd守护进程会完成接口配置,而racoon使用ip-up-vpn帮助命令打开隧道接口——通常为tun0。
为了将通信的参数回传给系统,VPN守护进程将会在/data/misc/vpn目录下写入一个state文件,如清单9-7所示。
清单9-7:VPN状态文件的内容
image
这个文件中包含了隧道接口的名称Œ,IP地址和掩码�,配置的路由Ž,DNS服务器�和搜索域名�,每项占一行。
问题 T968 找不到这个文件,问题在这里??
登录与退出脚本
/etc/ppp/ip-up : 有用户登录时执行的脚本。
/etc/ppp/ip-down : 用户退出时执行脚本。
legacy VPN
我们称内置的VPN支持为legacy VPN。
网友评论