VPN是第三层的概念吗？

Question

来自Tanenbaum的计算机网络

这种需求很快导致了虚拟专用网()的发明，它是覆盖在公共网络之上的覆盖网络，但具有私有网络的大部分特性。一种流行的方法是直接在Internet上构建VPN。一个常见的设计是为每个办公室配备一个防火墙，并在所有对办公室之间建立通过互联网的隧道。..。当系统启动时，每对防火墙都必须协商其SA的参数，包括服务、模式、算法和密钥。如果使用IPsec进行隧道，则可以将任意两对办事处之间的所有流量聚合到一个经过身份验证的加密SA上，从而提供完整性控制、保密，甚至对流量分析具有相当大的免疫力。许多防火墙都内置了VPN功能。一些普通路由器也可以做到这一点，但由于防火墙主要用于安全业务，因此隧道的开始和结束都是自然的，为公司和互联网提供了明确的分离。因此，隧道模式下带有静电除尘器的防火墙、VPN和IPsec是一种自然组合，在实践中得到了广泛的应用。一旦建立了SAs，流量就可以开始流动。对于Internet中的路由器来说，沿着VPN隧道运行的数据包只是一个普通的包。唯一不寻常的地方是在IP报头之后出现了IPsec报头，但是由于这些额外的报头对转发过程没有影响，路由器并不关心这个额外的报头。另一种正在流行的方法是让ISP建立VPN。使用MPLS (如第三章所讨论的)。( 5) VPN业务的路径可以在公司各办事处之间的ISP网络上建立。这些路径使VPN业务与其他Internet流量保持独立，并可保证一定的带宽或其他服务质量。

1. VPN是第三层还是第五层的概念？(在我看来是吗？)
2. 这两种构建VPN的方法都是第三层的方法吗？(在我看来是的，因为构建VPN所涉及的技术似乎是第三层)
3. 开放是否使用服务器-客户机模型，从而使用第5层的方法来构建VPN？openvpn服务器和客户端如何一起构建VPN？我无法从书中的两种方法中找出答案。
4. 对于SSH VPN和openvpn类似的问题。

谢谢。

Answer 1

有第二层和第三层VPN."VPN“是一个用于隧道与加密相结合的术语。

隧道接口封装在外部包中的内部包(或帧)。然后，根据外部分组，将该内部分组传送到远隧道端，并再次解除封装。对于内部数据包，隧道看起来像一个直接连接，而不管外部数据包的路径如何。

隧道在某种程度上违背了严格的OSI分层。通常，第三层数据包是通过第三层(IPsec)或第四层(TCP或UDP)进行隧道化的.两个网络之间的L3隧道路由。

当第二层帧被隧道化时，网络被桥接在一起.

OpenVPN通过SSL加密在UDP或TCP (第4层)上使用SSL。它可以隧道L2或L3。SSH为任意连接(包括端口转发)提供了固有的隧道机制。

编辑注意，我们在这里使用的是OSI层号(尽可能多)，所以您的“第5层”应用层通常被称为第7层。

Answer 2

VPN是第三层还是第五层的概念？(在我看来是吗？)

两者都是。而且是其他人。该虚拟专用网软件为5-7层，而通常采用L3路由来引导数据包通过VPN。请注意，层通常在第3层以上分解；存在模糊的边界。

openvpn是否使用服务器-客户机模型，从而使用第5层的方法来构建VPN？

是的，但结果是第三层隧道。您必须区分隧道和构建它的软件，以及如何处理隧道中的流量。

请注意，OpenVPN也可以在L2模式下运行，通常称为tap设备。

Answer 3

第三层虚拟专用网(L3VPN)是一种在OSI第三层网络技术上建立和传输的虚拟专用网模式。核心VPN基础设施的整个通信是使用第三层虚拟路由和转发技术转发的。第三层VPN也称为虚拟专用路由网络(VPRN)。