openvpn基础知识
1星 需积分: 5 83 浏览量
2023-07-09
21:31:58
上传
评论 2
收藏 200KB DOCX 举报 
openvpn 基础知识
1.vpn 介绍
全称 virtual private network 虚拟专用网络,是依靠 ISP 和其他的 NSP,在公共网络中建立专用的数据通信网络的技
术,可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。在 vpn 中任意两点之间的连接并没有传统专网
所需的端到端的物理链路,而是利用公共网络资源动态组成的,可以理解为通过私有的隧道技术在公共数据网络上模拟
出来的和专网有同样功能的点到点的专线技术,所谓虚拟是指不需要去拉实际的长途物理线路,而是借用了公共的
Internet 网络实现。
2.vpn 的作用
vpn 功能可以帮助公司里的远程用户(如出差或家里)和自己的公司内部网络之间建立可信的安全连接或者是局域网连
接,确保数据的加密安全传输和业务访问,对于运维工程师来说,还可以连接不同的机房为局域网,处理相关的业务流。
vpn 的用途分类:
1)远程访问 vpn 的服务,即通过个人电脑远程拨号到企业办公网络或拨号 IDC 机房维护内网服务器。
2)企业内部网络之间的 vpn 服务,如分支机构和公司总部之间的 vpn 连接。
3)互联网公司多 IDC 机房之间的 vpn 服务。
4)企业外部 vpn 服务。供应商或合作伙伴和本公司建立的 vpn 连接。
3.常见的隧道协议介绍
1)PPTP:
点对点隧道协议(PPTP)是由包括微软和 3Com 等公司组成的 PPTP 论坛开发的一种点对点隧道协议,基于拨号使用的 PPP
协议,使用 PAP 或 CHAP 之类的加密算法,或者使用 Mcrosoft 的点对点加密算法 MPPE,其通过跨越基于 TCP/IP 的数据
网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络建立按需的,多协议
的虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络发送的 IP 头中对其进行封装。PPTP
属于点对点方式的应用,比较适合远程的企业用户拨号到企业内部进行办公等的应用。PPTP 不支持隧道验证。
2)L2TP 协议:
L2TP 第 2 层隧道协议是就 L2F 开发的 PPTP 的后续版本,是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包
的媒体发送点到点协议(PPP)框架提供封装。L2TP 可以提供隧道验证。
IPSec 协议:(两个机房或两个企业之间应用的比较多)
也叫 IP 安全协议,实际上是一套协议包而不是一个独立的协议。IPSec 隧道模式隧道是由封装、路由与解封装的整个过
程。隧道将原始数据包隐藏在新的数据包内部,该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传
输。一般配合 L2TP 或 PPTP 使用。
3)SSL 协议:(主要应用:open vpn)
SSL 协议提供了数据私密性、端点验证、信息完整性等特性。SSL 协议由握手协议和记录协议组成。握手协议允许服务
器和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙,在数据传输期间,记录协
议利用握手协议生成的秘钥加密和解密后来交互的数据。
典型的 SSL VPN 应用:OpenVPN,是一个非常好的开源软件。OpenVPN 允许参与建立 VPN 的单点使用预设的私钥,第 3 方
证书,或者用户名/密码来进行身份验证。它大量使用了 OpenSSL 加密库,以及 SSLv3/TLSv1 协议,能在 linux、
windows、Mac OSX 上运行,是一个 C/S 架构的软件,需要单独安装 openvpn 客户端。(该点不如 PPTP VPN 的唯一一个点)
4.实现 vpn 功能的常见开源产品:
1)PPTP VPN
使用 PPTP VPN 的最大优势在于,无需在 windows 客户端单独安装客户端软件,windows 默认就支持 PPTP VPN 拨号连接
功能。PPTP VPN 属于点对点方式的应用,比较适合远程的企业用户拨号到企业进行办公等的应用,但是很多小区及网络
设备不支持 PPTP 导致无法访问。
2)SSL VPN(即 OPENVPN)
PPTP 主要为那些经常外出移动或家庭办公的用户考虑,而 OpenVPN 不但可以使用于 PPTP 的应用场景,还适合针对企业
异地两地总分公司之间的 VPN 不间断按需连接。缺点:需要单独安装客户端软件。
3)IPSEC VPN
也适合针对企业异地两地总分公司或多个 IDC 机房之间的 VPN 不间断按需连接,并且在部署使用上更简单方便。ipsec
vpn 的常见开源产品:openswan。
根据企业生产场景需求选择 vpn 方案建议:
1)如果领导愿意花钱,可以选择相关硬件产品,不错的成熟的很多,例如:防火墙、负载均衡等硬件产品都附带有 vpn 功能。
2)对于多数互联网公司,为了体现运维价值,建议选择开源产品,省钱,可扩展。
3)对于开源产品,老师建议
a)个人拨号选择 openvpn,功能强大,稳定可靠。
b)如果不希望单独安装客户端拨号,则可选择 PPTP
c)多个企业之间或者多个 IDC 机房直接互联,选择 ipsec vpn。
一般 openvpn 和 ipsec vpn 这两种都会了,就可以满足各种企业需求。
5.openvpn 产品介绍:
openvpn 是 linux 下开源 vpn 的先锋,提供了良好的访问性能和友好的用户 GUI。
openvpn 是一个用于创建虚拟专用网络加密通道的软件包,openvpn 允许参与建立 vpn 的单点使用预设的私钥,第三方
证书,或者用户名/密码来进行身份验证。它大量使用了 OpenSSL 加密库,以及 SSLv3/TLSv1 协议。openvpn 能在
linux、windows 运行,是一个服务器和客户端软件,而不是一个基于 web 的 vpn 软件,也不与 ipsec 及其他 vpn 软件
包兼容。
6.openvpn 依赖的 SSL 语 TLS 协议:
SSL 安全套接层,是一种安全协议,诞生的目的是为了网络通信提供安全及数据完整性保障,SSL 在传输层中对网络通
信进行加密。SSL 采用公开秘钥技术,保证两个应用间通信的保密性和可靠性,使客户端与服务器应用之间的通信不被
攻击者窃听。现行的 Web 浏览器也普遍将 http 和 ssl 相结合,从而实现安全通信。SSL 协议的继任者是 TLS。加强了 SSL
功能。
7.openvpn 的加密通信原理过程:
openvpn 使用 TLS 加密是通过使用公开秘钥对(非对称秘钥,公钥和私钥)对数据进行加密的。首先 Server 和 client
要有相同的 CA 签发的证书,双方通过交互证书验证双方的合法性以决定是否建立 VPN 连接,然后使用对方的 CA 把自己
目前使用的数据加密方法(类似秘钥)加密后发送给对方,由于使用对方 CA 加密的,所以只有对方 CA 对应的私钥才能
解开该字符串,保证了此秘钥的安全性,并且此秘钥定期改变,对于窃听者来说,可能还没有破解出秘钥,通信双方已
经更换秘钥了。
8.openvpn 的多种身份验证方式:
openvpn 提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书及用户名/密码组合等。
预享秘钥最为简单,但同时只能用于建立点对点的 vpn,基于 pki 的第三方证书提供了最完善的功能,但是需要额外的
精力去维护一个 pki 证书体系。用户名/密码组合的身份验证方式,可以省略客户端预享私钥,但仍有一份服务器 CA 证
书需要被用作加密。最常用使用方式是:用户名/密码+CA 证书方式。比较好的验证方式还有 ldap 或域控制器统一验证
等。
9.openvpn 的通讯原理:
openvpn 所有的通信都基于一个单一的 IP 端口(默认是 1194),默认使用 UDP 协议通讯,同时 TCP 也被支持。推荐使用
TCP 协议。
openvpn 服务器具有向客户端推送某些网络配置信息的功能,这些信息包括 IP 地址,路由设置等。
openvpn 的技术核心是虚拟网卡,其次是 SSL 协议的实现。
资源评论
wryang2023-07-26下载后就2页,还整个试读,下载才能读全文,太坑了
