VPN 是第 3 层概念吗?

网络工程 虚拟专用网
2021-07-04 06:49:07

来自 Tanenbaum 的计算机网络

这种需求很快导致了VPN(虚拟专用网络)的发明,它是公共网络之上的覆盖网络,但具有专用网络的大部分属性。

一种流行的方法是直接通过 Internet 构建 VPN。一种常见的设计是为每个办公室配备防火墙,并在所有办公室对之间通过 Internet 创建隧道。... 当系统启动时,每对防火墙必须协商其 SA 的参数,包括服务、模式、算法和密钥。如果使用 IPsec 进行隧道传输,则可以将任意两对办公室之间的所有流量聚合到单个经过身份验证的加密 SA,从而提供完整性控制、保密性,甚至对流量分析具有相当大的免疫力。许多防火墙都内置了 VPN 功能。一些普通路由器也可以做到这一点,但由于防火墙主要用于安全业务,因此很自然地让隧道在防火墙处开始和结束,因此,防火墙、VPN 和 IPsec 与隧道模式下的 ESP 是一个自然的组合,并在实践中得到广泛应用。一旦建立了 SA,流量就可以开始流动。对于 Internet 中的路由器而言,沿 VPN 隧道传输的数据包只是一个普通数据包。唯一不寻常的是在 IP 标头之后存在 IPsec 标头,但由于这些额外的标头对转发过程没有影响,因此路由器并不关心这个额外的标头。

另一种越来越流行的方法是让 ISP 设置 VPN。使用 MPLS(如第 5 章所述),可以在公司办公室之间的 ISP 网络上设置 VPN 流量的路径。这些路径使 VPN 流量与其他 Internet 流量分开,并且可以保证一定量的带宽或其他服务质量。

  1. VPN 是第 3 层还是第 5 层概念?(在我看来是的?)

  2. 引用中的两种构建 VPN 的方法都是第 3 层方法吗?(在我看来是的,因为构建 VPN 所涉及的技术似乎是第 3 层)

  3. openvpn是否使用服务器-客户端模型,因此使用第 5 层方法来构建 VPN?openvpn 服务器和客户端如何协同工作来构建 VPN?根据书中的两种方法,我无法弄清楚。

  4. SSH VPN 的类似问题与 openvpn 的问题类似

谢谢。

3个回答

有第 2 层和第 3 层 VPN。“VPN”是用于与加密相结合的隧道的术语。

隧道接口将内部数据包(或帧)封装在外部数据包中。然后,根据外部数据包,这个内部数据包被传输到远端隧道端,并再次解封装。对于内部数据包,隧道看起来像一个直接连接,而不管外部数据包的路径如何。

隧道在某种程度上违背了严格的 OSI 分层。通常,第 3 层数据包通过第 3 层 (IPsec) 或第 4 层(TCP 或 UDP)隧道传输。L3 隧道在两个网络之间路由。

当第 2 层帧通过隧道传输时,网络将桥接在一起。

OpenVPN 使用 SSL VPN over UDP 或 TCP(第 4 层)和 SSL 加密。它可以建立 L2 或 L3 隧道。SSH 具有用于任意连接的固有隧道机制,包括端口转发。

[编辑] 请注意,我们在此处使用 OSI 层编号(只要适用),因此您的“第 5 层”应用层通常称为第 7 层。

VPN 是第 3 层还是第 5 层概念?(在我看来是的?)

两者都是。这是其他人。VPN 软件是第 5-7 层,而 L3 路由通常用于引导数据包通过 VPN。请注意,层通常在第 3 层之上分解;有模糊的界限。

openvpn 是否使用服务器-客户端模型,因此使用第 5 层方法来构建 VPN?

是的,但结果是第 3 层隧道。您必须区分隧道和构建它的软件,以及如何处理通过隧道的流量。

请注意,OpenVPN 也可以在 L2 模式下运行,通常称为tap设备。

第 3 层 VPN (L3VPN) 是一种基于 OSI 第 3 层网络技术构建和交付的 VPN 模式。来自核心 VPN 基础设施的整个通信使用第 3 层虚拟路由和转发技术进行转发。第 3 层 VPN 也称为虚拟专用路由网络 (VPRN)。

其它你可能感兴趣的问题
上一篇'interface vlanX' 或 'interface loopbackX' 下一篇为什么traceroute中有ip(ip)和domain(ip)的区别和多行记录?