有个同学想在网上观看点什么好东西,又不想让太多人知道。或者买点什么好货,不想让沿途的路由都知道。该如何做到这一点呢?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
显然,在公网上普通的网络数据包肯定是有风险的,数据包达到每一个路由节点的时候,每一个ISP节点都会获得数据包中的源地址、目标地址,甚至是解析到所传传数据的内容。这样的话,攻击者就很容易在某个节点进行信息的截获,甚至发起攻击。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
那接下来需要怎么办呢?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
其实一般的不是很重要的服务其实还好,因为本身传送的数据并不是安全性特别高的那种,偷了也无所谓。但是,如果是对于一些企业内部数据,核心业务等等,像企业内部员工访问财务系统,就不能等闲视之。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
拉专线?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
这听着像一个good idea,其实吧绝大部分情况下不现实。因为,太!贵!了!文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
尤其是在长距离传输的情况下,企业根本没有办法承受这么高昂的成本。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
那怎么能做到花钱又少,安全性又高呢?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
这时候你需要一点VPN~~~~文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
概念与原理
VPN是英文名称是Virtual Private Network,即虚拟专用网。说直白一点就是:通过一些很牛X的技术,在公用网络上虚拟一套网络,从而达到拉设专线的效果。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
是不是很神奇?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
VPN是怎么做到的呢,这个VPN路由设备中所说的数据封账是个什么东西?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
其实这里用到了隧道技术,它是VPN技术的灵魂。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
隧道技术
封装!协议封装!就是隧道技术的核心概念。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
打个比方,就像是有个人把心爱的小摩托开到一条船上,我们就说这条船把摩托车给封装了,通过船来把摩托车传送到河对岸。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
摩托车:数据
船:封装协议
河流:数据链路层和物理层
码头:服务器
数据被封装后,沿途不管经过多少个检查站(路由器设备、网关设备、集线器、交换机等),他们都不清楚里面封装的到底是什么。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
以上就是隧道技术的形象比喻,我们接下来看下在VPN中是如何利用隧道技术实现数据封装的。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
VPN中的数据封装
首先,我们发送的数据报由有协议头和数据,其中协议头里面含有源IP和目的IP。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
如果不封装,那么在每一个路由节点势必会被沿途的路由解析到协议头的信息。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
接下来就是重头戏了,VPN路由封装就是在数据上再加一个协议头。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
加了两个东西:协议头R和封装协议头R。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
我们分别解释下,为啥要加他们。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
协议头R文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
这个就是VPN路由设备的IP地址等信息,就是说:我传送数据的时候,在计算机网络上每经过一个路由节点。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
我会告诉沿途的路由器:我的源IP地址在协议头R里面。其实,协议头D里面的源IP地址根本没有他们,而是“夹带私货”的方式传了下去。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
比如上图,原本数据包的源IP是192.168.10.6,经过VPN路有设备的封装之后,加上了一个另外的协议头(源IP为192.167.0.1)。那么,在数据传输中就用这个外层的协议头,里面的数据就安稳地躲在里面就行了,这样就足以达到专线的安全级别。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
封装协议头R文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
有人会好奇,为什么要加一个封装协议头呢?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
其实这跟OSI七层模型的传输规则有关,我们知道,数据在传输之前会经过打包,在另一端是拆包。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
那么,如果不加上封装协议头的话,网络层拆了一个协议头了,接下来数据就会传送到4层传输层。这可不行!因为还有一层要继续拆封的,即数据D的协议头。封装协议头就是标识这个的,VPN的路由设备在拆封时如果看到封装协议头,就会继续拆,直到看不到拆封协议为止。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
总结
说了这么多,我们看下VPN的整体效果。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
一份数据在VPN上经过了封装、传输、解封的三个生命周期阶段,在传输过程中VPN路由器的源IP替代了数据的真实IP,数据被严严实实地包裹在里面,保障了数据的高安全性。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/wangluo/48971.html
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。