包头5g网关，《网络安全》安全设备（六）——VPN

对于《网络安全》安全设备（六）——VPN都是想知道的，关于包头5g网关这样的话题大家都是很想了解，就让小编为各位揭秘案吧！

什么是VPN？

VPN是英文“VirtualPrivateNetwork”的缩写，中文意思是“虚拟专用网络”。

VPN是虚拟的内部公司线路。通过特殊的加密通信协议，建立与互联网连接的两个或多个不同地理位置的企业内部网的专用通信线路。这就像建立一条租用线路，但您不必实际铺设光纤。

VPN配置

VPN由VPN服务器、VPN连接、协议隧道和VPN客户端组成。

怎么运行的

1VPN网关一般采用双网卡结构，外网卡使用公网IP上网。

2假设网络1为公网Internet，终端A假设为公司内网终端B，连接网络2。这里传输的连接数据包的目的地址为终端B的内部IP地址。

3、网络1中的VPN网关收到终端A发送的接入数据包后，检查其目的地址，如果目的地址属于网络2中的地址，则对数据包进行封装。封装方法基于VPN。视情况而定，但同时VPN网关构造新的VPN数据包，并将封装后的原始数据包作为VPN数据包的净荷。VPN数据包的目的地址是网络2上VPN网关的外部地址。

4.网络1的VPN网关将VPN报文发送到Internet，由于VPN报文的目的地址是网络2的VPN网关的外部地址，因此报文被正确发送到网络2的VPN网关。互联网路径.

5、网络2上的VPN网关对接收到的数据包进行检查，如果确定该数据包是从网络1上的VPN网关发送的，则确定该数据包是VPN数据包，可以对该数据包进行解压缩。解压缩过程主要是去除VPN数据包的头部，然后对数据包进行反向处理，将其恢复为原始数据包。

6.网络2上的VPN网关将恢复后的原始数据包发送给目标终端B。原始数据包的目的地址是终端B的IP，因此数据包可以正确传输到终端B。从终端B的角度来看，它收到的数据包与终端A直接发送的数据包是相同的。

7、终端B返回给终端A的数据包的处理过程与上述过程相同，因此两个网络的终端可以互相通信。

VPN网关处理数据包时，有两个对VPN通信非常重要的参数原始数据包的目的地址和远端VPN网关地址。VPN网关可以根据VPN目的地址决定对哪些数据包进行VPN处理。不需要处理的数据包通常可以直接传递给更高层的路由。远程VPN网关地址指定目的地。处理后待传输的VPN数据包的地址，即VPN隧道另一端的VPN网关地址。

网络通信是双向的，因此在进行VPN通信时，隧道两端的VPN网关必须知道VPN目的地址和对应的远端VPN网关地址。

如何实现

实现VPN的方式有很多种，常用的有以下四种

1、VPN服务器在大型局域网中，可以通过在网络中心搭建VPN服务器来实现VPN。

2、软件VPN可以通过专用软件实现VPN。

三。硬件VPNVPN可以通过专用硬件实现。

4.集成VPN有些硬件设备，如路由器、防火墙等，包含VPN功能，但具有VPN功能的硬件设备一般比不带此功能的硬件设备更昂贵。

VPN分类

根据不同的分类标准，VPN可以按照多种标准进行分类。

按VPN协议分类

VPN隧道协议主要有3种PPTP、L2TP和IPSec。PPTP和L2TP协议在OSI模型的第二层运行，也称为第2层隧道协议。IPSec是第三层隧道协议。

按VPN应用细分

接入VPN以客户端为网关，以公网为骨干网，在设备之间传输VPN数据流量。

内网VPN网关对网关，通过公司的网络架构连接同一公司的资源。

ExtranetVPN与合作伙伴企业网络形成外联网，将一个公司的资源与另一个公司的资源连接起来。

按所用设备类型分类

网络设备提供商根据不同的客户需求开发了多种VPN网络设备（主要是交换机、路由器和防火墙）。

基于路由器的VPN只需将VPN服务添加到路由器即可更轻松地部署基于路由器的VPN。

VPN交换主要用于连接用户较少的VPN网络。

防火墙VPN防火墙VPN是最常见的VPN实施方式，许多制造商都提供此类配置。

它们根据其实现原理进行区分。

OverlayVPN这种VPN需要用户在端节点之间建立VPN链路，主要涉及GRE、L2TP、IPSec等多种技术。

点对点VPN网络运营商主要完成骨干网VPN通道的建立，包括MPLS和VPN技术。

一般VPN介绍

二层VPNL2TP

该协议是行业标准的互联网隧道协议，其功能几乎与PPTP协议相似。例如，您可以加密网络数据流。但也有区别，例如PPTP要求网络是IP网络，L2TP要求以数据包为中心的点对点连接，PPTP使用单个隧道，L2TP使用多个隧道，L2TP使用报头压缩和隧道验证，但PPTP不支持这一点。

L2TP协议是由IETF起草，微软、Ascend、Cisco、3com等公司参与的二层隧道协议，是综合了PPTP和L2F两种二层隧道协议优点的协议。IETF介入其中。基于Microsoft的点对点隧道协议PPTP和Cisco的第2层转发协议L2F的行业标准第2层隧道协议，互联网服务提供商和公司使用它来实现互联网上的虚拟专用网络操作。

三层VPN

三层VPN包括不同类型的VPN，标准IPsecVPN、SSLVPN、GRE隧道VPN、混合VPN等。企业通常会根据自己的需求选择合适的VPN，每种VPN都有自己的优点和缺点。

1SSLVPNSSLVPN是指基于安全套接字层（SSL）协议SecuritySocketLayer-SSL建立远程安全访通道的VPN技术。VPN技术是近年来兴起的，由于网络的普及以及电子商务和远程办公的兴起，其应用得到了迅速发展。

2GRE隧道VPN通用路由封装在RFC1701/RFC1702中定义，规定了如何使用一种网络层协议封装另一种网络层协议。GRE隧道由两端的源IP地址和目的IP地址定义，用户可以使用IP封装IP、IPX、AppleTalk，并支持RIP、OSPF、IGRP、EIGRP等所有路由协议。GRE允许用户使用公共IP网络、使用为网络互连保留的地址甚至对公共网络隐藏企业网络的IP地址来连接到IPX网络和AppleTalk网络。

3IPsecVPNIPsecVPN是一种网络层的VPN技术，它独立于应用程序，将原始IP信息封装在自己的数据包中，因此可以隐藏所有应用协议信息。当IPSEC建立加密隧道时，可以实现各种类型的连接，例如网页、电子邮件、文件传输、VoIP等，并且每次传输都直接对应于VPN网关后面的相关服务器。IPSECVPN的最大优势在于IPSEC是一种独立于应用程序的技术，因此IPSecVPN客户端支持所有IP层协议，并且对应用层协议完全透明。

MPLSVPN

MPLS-VPN是指利用MPLS技术在宽带IP网络上构建企业IP专网，实现区域间安全、高速、可靠的数据、语音和图像多业务通信。利用差异化服务、流量工程等相关技术，将公网稳定的性能、良好的可扩展性、丰富的功能与专网的安全、灵活、高效相结合，为用户提供高质量的服务。

VPN功能

VPN是基于真实网络的功能网络。通过采用低成本的公共网络作为企业骨干网络，克服了公共网络缺乏保密性的弱点。通过网络，可以安全地处理信息，并保证数据的完整性、真实性和隐私性。

当您地理位置偏远、无法承担物理网络或无法随时访公司内网时，VPN可有效解决安全题。由于公司内部网络是封闭且有边界的，公司内部各种应用的扩展受到。VPN允许公司内部网络无限扩展，通过称为Internet的公共网络在逻辑上将两个物理上分离的网络直接连接起来，从而允许所有用户访相同的资源并使用相同的应用程序。

VPN可以有效利用现有的互联网线路资源，不再受地域，VPN的运行方式对用户完全透明。VPN可以帮助远程用户、公司分支机构、业务合作伙伴和供应商与公司内网建立可靠、安全的连接，确保数据安全传输。

图片/文字

一、哪个协议运行在网络层？

IP协议

它是网络层最重要的协议，也是整个互联网的协议基础，负责分配IP地址、提供路由。

IP协议不提供可靠的受控传输服务，对数据没有差错控制，仅在报头中使用校验码，并且不提供重传和流量控制。

ARP协议

地址解析协议负责在数据报转发到下一个站点时将IP地址转换为真实地址。

当主机发送信息时，它会向网络上的所有主机广播包含目标IP地址的ARP请求，并接收返回消息以确定目标的物理地址。

收到返回报文后，将IP地址和物理地址存储在本地系统上并持久保存一段时间，下次请求时直接查询ARP缓存，以节省时间。

地址解析协议是IPV4中广泛使用的协议，但IPV6中没有该协议，并且使用NDP。

工作流程

当主机A想要与主机B通信时，地址解析协议可以将主机B的IP地址解析为主机B的MAC地址。

ARP缓存是用来存储IP地址和MAC地址的缓冲区，其本质是一个IP地址对应一个MAC地址。当地址解析协议查询IP时，它首先检查ARP缓存中是否有该IP，如果存在则返回，否则发送ARP请求。

地址解析协议通过消息来工作。该消息包括以下字段硬件类型、协议类型、硬件地址长度、协议长度和操作类型。

APR缓存包含一个或多个存储IP地址和解析的MAC地址的表。ARP命令用于查询本地ARP缓存中的IP-MAC地址对应关系，并添加或删除静态对应关系。如果不带参数，ARP命令会显示帮助信息。

ARP-a查看缓存中的所有条目，Linux上需要ARP-g；

RARP协议

反向地址转换协议，与ARP反向工作，将物理层地址转换为IP地址。

允许LAN物理系统从网关服务器的ARP表或缓存请求主机的IP地址。设置新系统时，其RARP客户端程序必须向路由器的RARP服务器请求其IP地址。

ARP是设备通过已知的IP地址获取未知物理地址的协议，假设设备知道自己的物理地址，但不知道自己的IP地址，这种情况就必须使用RARP协议。

RARP的工作原理与ARP相反，RARP发回要解释的MAC地址，并期望返回相应的IP地址。响应将包含RARP服务器发送的IP地址，该服务器可以提供该信息。

工作流程

从网卡读取自己的MAC地址---gt;发送RARP请求的广播包---gt;RARP服务器接收请求，分配IP地址，然后向系统发送RARP响应。--->设备收到IP地址后，将使用该IP地址进行通信。

ICMP协议

“错误检测和报告机制”不传输用户数据。

Internet控制消息协议，负责消息传输和错误报告，属于TCP/IP协议族。

ICMP主要用于主机和路由器之间，提供移动错误报告信息，但其功能只是报告题而不是解决题；它向发送方返回错误消息，由发送方完成题纠正功能。

发送方根据ICMP提供的错误类型确定如何最好地重传失败的数据包。

Ping命令实际上是ICMP协议的一个工作过程。

Tracert命令、traceroute命令也是基于ICMP协议的。

ICMP数据包由8字节长的报头组成，其中前4字节采用固定格式，包含8位类型字段、8位代码字段和16位校验和。字节取决于ICMP类型。取不同的值。

“死亡之平”解决方案-1。路由带宽、在主机上设置处理规则、拒绝处理ICMP数据包。

二、internet通信基础？

1.网络通信概述

1、网络通信属于进程间通信。

进程之间通信的一种方法是使用网络域套接字。网络通信实际上是网络上不同主机上的两个进程之间的通信。

2.网络通讯传输时间

换句话说，信息如何流动？

硬件部分网卡

操作系统最底层网卡驱动

操作系统APISocket接口

应用层低层

应用层高级

应用层高级

3.本部分的学习方法

掌握网络通信的架构水平和基本原理，然后面试！

掌握socket的使用及相关函数。

了解服务器和客户端程序如何通信。

2.网络通信基础知识1

一、网络通信的发展历史

独立舞台

局域网舞台

广域网互联网阶段

移动互联网阶段

物联网阶段

2.三大网络

通讯网、电视网、互联网

3、通信网络的传输介质

无线传输WIFI、蓝牙、zigbee、4G/5G/GPRS等；

有线通讯双绞线、同轴电缆、光纤等；

3.网络通信基础知识2

1.OSI参考模型

记住七层的名称和顺序，因为这将是笔试中的常见题。

上网查找资料，自己阅读学习，逐渐了解。

2.网卡芯片

计算机需要硬件设备才能访互联网，CPU使用网卡来连接外部网络。

串并联设备；

打包和解包数据帧

网络数据缓存和速度适配

3.草药

信号中继放大相当于中继器；

组成局域网，以广播方式工作。

集线器不能用于连接到外部网络。

如今，使用集线器来配置局域网的情况已经很少了，使用交换机来配置局域网的情况更为常见。

这是因为集线器会导致信息膨胀。

4.开关

它包括集线器功能，但更先进。

交换机有一个地址表，数据包在表中查找，然后转发到目的通信端口，而不是广播。

未找到