เครือข่ายส่วนตัวเสมือน

Q: ข้อมูลสำคัญเกี่ยวกับ เครือข่ายส่วนตัวเสมือน

เครือข่ายส่วนตัวเสมือน ( VPN ) เป็นเครือข่ายโอเวอร์เลย์ที่ใช้การจำลองเสมือนเครือข่ายเพื่อขยายเครือข่ายส่วนตัวผ่านเครือข่ายสาธารณะ เช่นอินเทอร์เน็ตโดยใช้โปรโตคอลการเข้ารหัสและ การ..

Q: การสื่อสารเครือข่าย

โปรโตคอล การสื่อสาร คือชุดของกฎสำหรับการแลกเปลี่ยนข้อมูลผ่านเครือข่าย โปรโตคอลการสื่อสารมีลักษณะต่างๆ กัน เช่น เป็นแบบ มีการเชื่อมต่อ หรือ ไม่มีการเชื่อมต่อ หรือใช้ การสลับวงจร หรือ การสลับแพ็กเก็ ต

เครือข่ายส่วนตัวเสมือน ( VPN ) เป็นเครือข่ายโอเวอร์เลย์ที่ใช้การจำลองเสมือนเครือข่ายเพื่อขยายเครือข่ายส่วนตัวผ่านเครือข่ายสาธารณะ เช่นอินเทอร์เน็ตโดยใช้โปรโตคอล การเข้ารหัสและ การ สร้าง อุโมงค์ ^[¹^]ใน VPN จะใช้โปรโตคอลการสร้างอุโมงค์เพื่อถ่ายโอนข้อความเครือข่ายจากโฮสต์เครือข่าย หนึ่ง ไปยังอีกโฮสต์หนึ่ง

VPN แบบโฮสต์ต่อเครือข่ายมักใช้โดยองค์กรต่างๆ เพื่ออนุญาตให้ผู้ใช้นอกสถานที่เข้าถึงเครือข่ายสำนักงานได้อย่างปลอดภัยผ่านทางอินเทอร์เน็ต^{[ 2 ]}^{[ 3 ]} VPN แบบไซต์ต่อไซต์เชื่อมต่อเครือข่ายสองเครือข่าย เช่น เครือข่ายสำนักงานและศูนย์ข้อมูลVPN ที่ผู้ให้บริการจัดหาให้จะแยกส่วนต่างๆ ของโครงสร้างพื้นฐานเครือข่ายของผู้ให้บริการเองออกเป็นส่วนเสมือน ในลักษณะที่ทำให้เนื้อหาของแต่ละส่วนเป็นส่วนตัวเมื่อเทียบกับส่วนอื่นๆ บุคคลทั่วไปยังใช้ VPN เพื่อเข้ารหัสและพยายามปกปิดตัว ตน ในการรับส่งข้อมูลเครือข่ายของตนโดยบริการ VPNจะขายการเข้าถึงเครือข่ายส่วนตัวของตนเอง

VPN สามารถเพิ่มความเป็นส่วนตัวในการใช้งานโดยทำให้ผู้ให้บริการอินเทอร์เน็ต (ISP) ไม่สามารถเข้าถึงข้อมูลส่วนตัวที่แลกเปลี่ยนผ่าน VPN ได้ อย่างไรก็ตาม ผู้ให้บริการ VPN และบริการออนไลน์ที่เข้าถึงผ่าน VPN อาจมองเห็นกิจกรรมของผู้ใช้ได้การเข้ารหัสจะช่วยเพิ่มความลับและลดความเสี่ยงของการโจมตี โดยการดักฟังข้อมูล จากภายนอก

พื้นหลัง

เครือข่ายคือกลุ่มของคอมพิวเตอร์ ที่สื่อสารกัน ซึ่งเรียกว่าโฮสต์ โดยโฮสต์ จะสื่อสารข้อมูลกับโฮสต์อื่น ๆ ผ่านโปรโตคอลการสื่อสารโดยอาศัยฮาร์ดแวร์เครือข่ายภายในเครือข่ายคอมพิวเตอร์ คอมพิวเตอร์จะถูกระบุด้วยที่อยู่เครือข่ายซึ่งช่วยให้ระบบตามกฎเกณฑ์ เช่นโปรโตคอลอินเทอร์เน็ต (IP) สามารถค้นหาและระบุโฮสต์ได้ โฮสต์อาจมีชื่อโฮสต์ ซึ่งเป็นป้ายกำกับที่จำง่ายสำหรับ โหนดโฮสต์และแทบจะไม่เปลี่ยนแปลงหลังจากได้รับการกำหนดครั้งแรกสื่อการส่ง ข้อมูล ที่รองรับการแลกเปลี่ยนข้อมูลได้แก่สื่อแบบมีสายเช่น สายทองแดง ใยแก้วนำแสงและ สื่อ คลื่นความถี่วิทยุ แบบไร้สาย การจัดเรียงโฮสต์และฮาร์ดแวร์ภายในสถาปัตยกรรมเครือข่ายเรียกว่า โทโพโล ยีเครือข่าย^{[ 4 ]}^{[ 5 ]}

นอกเหนือจากสื่อส่งสัญญาณทางกายภาพแล้ว เครือข่ายยังประกอบด้วยโหนดเครือข่ายเช่นตัวควบคุมอินเทอร์เฟซเครือข่าย , ตัวทวนสัญญาณ , ฮับ , บริดจ์ , สวิตช์ , เราเตอร์และโมเด็ม :

ตัวควบคุมอินเทอร์เฟซเครือข่าย (NIC) คือฮาร์ดแวร์คอมพิวเตอร์ที่เชื่อมต่อคอมพิวเตอร์กับสื่อเครือข่ายในเครือข่ายอีเธอร์เน็ต NIC แต่ละตัวจะมีที่อยู่ Media Access Control (MAC) ที่ไม่ซ้ำกัน ซึ่งโดยปกติจะถูกเก็บไว้ในหน่วยความจำถาวรของตัวควบคุม
ตัวทวนสัญญาณเป็นอุปกรณ์อิเล็กทรอนิกส์ที่รับสัญญาณ เครือข่าย กำจัดสัญญาณรบกวนที่ไม่จำเป็น และสร้างสัญญาณขึ้นใหม่ สัญญาณจะถูกส่งซ้ำด้วยกำลังส่งที่สูงขึ้น หรือส่งไปยังอีกฝั่งของสิ่งกีดขวาง เพื่อให้สัญญาณสามารถเดินทางได้ในระยะทางที่ไกลขึ้นโดยไม่ลดทอนคุณภาพ
อุปกรณ์ขยายสัญญาณอีเธอร์เน็ตที่มีพอร์ตหลายพอร์ตเรียกว่าฮับอีเธอร์เน็ตนอกจากการปรับสภาพและกระจายสัญญาณเครือข่ายแล้ว ฮับยังช่วยในการตรวจจับการชนกันของสัญญาณและการแยกความผิดพลาดในเครือข่ายอีกด้วย ฮับและอุปกรณ์ขยายสัญญาณในเครือข่าย LAN นั้นล้าสมัยไปแล้วเป็นส่วนใหญ่เนื่องจากสวิตช์เครือข่ายสมัยใหม่
ต่างจากฮับที่ส่งต่อการสื่อสารไปยังทุกพอร์ตสวิตช์เครือข่ายจะส่งเฟรมไปยังพอร์ตที่เกี่ยวข้องกับการสื่อสารเท่านั้น โดยปกติสวิตช์จะมีพอร์ตจำนวนมาก ทำให้สามารถใช้งานในรูปแบบโทโพโลยีแบบดาว และเชื่อมต่อสวิตช์เพิ่มเติมแบบเรียงลำดับได้บริดจ์เครือข่ายนั้นคล้ายกับสวิตช์สองพอร์ต
- บริดจ์และสวิตช์ทำงานที่เลเยอร์ดาต้าลิงก์ของโมเดล OSI และทำหน้าที่เชื่อมต่อทราฟฟิกระหว่าง เซ็กเมนต์เครือข่ายสองเซ็กเมนต์ขึ้นไปเพื่อสร้างเครือข่ายท้องถิ่นเดียว อุปกรณ์ทั้งสองทำหน้าที่ส่งต่อเฟรมข้อมูลระหว่างพอร์ตโดยอิงจากที่อยู่ MAC ปลายทางในแต่ละเฟรมการแบ่งส่วนเครือข่ายผ่านบริดจ์และสวิตช์ช่วยลดความแออัดของเครือข่ายขนาดใหญ่ให้กลายเป็นเครือข่ายขนาดเล็กที่มีประสิทธิภาพมากขึ้น
เราเตอร์เป็นอุปกรณ์เชื่อมต่อเครือข่ายที่ส่งต่อแพ็กเก็ตระหว่างเครือข่ายโดยการประมวลผลข้อมูลที่อยู่หรือข้อมูลการกำหนดเส้นทางที่อยู่ในแพ็กเก็ตนั้น
โมเด็ม (ตัวปรับสัญญาณและตัวถอดรหัสสัญญาณ) ใช้สำหรับเชื่อมต่อโหนดเครือข่ายผ่านสายไฟ ซึ่งเดิมไม่ได้ออกแบบมาสำหรับรับส่งข้อมูลเครือข่ายดิจิทัล หรือสำหรับระบบไร้สาย

การสื่อสารเครือข่าย

โปรโตคอลการสื่อสารคือชุดของกฎสำหรับการแลกเปลี่ยนข้อมูลผ่านเครือข่าย โปรโตคอลการสื่อสารมีลักษณะต่างๆ กัน เช่น เป็นแบบมีการเชื่อมต่อหรือไม่มีการเชื่อมต่อหรือใช้การสลับวงจรหรือการสลับแพ็กเก็ต

ในสแต็กโปรโตคอลซึ่งมักสร้างขึ้นตามแบบจำลอง OSIฟังก์ชันการสื่อสารจะถูกแบ่งออกเป็นเลเยอร์โปรโตคอล โดยแต่ละเลเยอร์จะใช้ประโยชน์จากบริการของเลเยอร์ที่อยู่ต่ำกว่า จนกระทั่งเลเยอร์ล่างสุดควบคุมฮาร์ดแวร์ที่ส่งข้อมูลผ่านสื่อ การใช้เลเยอร์โปรโตคอลนั้นพบได้ทั่วไปในสาขาเครือข่ายคอมพิวเตอร์ ตัวอย่างที่สำคัญของสแต็กโปรโตคอลคือHTTPซึ่งเป็นโปรโตคอลของเวิลด์ไวด์เว็บ HTTP ทำงานบนTCP over IP ซึ่งเป็นโปรโตคอลอินเทอร์เน็ต และ TCP over IP ก็ทำงานบนIEEE 802.11ซึ่งเป็นโปรโตคอล Wi-Fi สแต็กนี้ใช้ระหว่างเราเตอร์ไร้สายและคอมพิวเตอร์ส่วนบุคคลเมื่อเข้าถึงเว็บ

เครือข่ายคอมพิวเตอร์สมัยใหม่ส่วนใหญ่ใช้โปรโตคอลที่อิงกับการส่งข้อมูลแบบแพ็กเก็ต แพ็ก เก็ตเครือข่ายคือหน่วยข้อมูล ที่จัดรูปแบบแล้ว ซึ่งส่งผ่าน เครือข่าย แบบสวิตช์แพ็กเก็ตแพ็กเก็ตประกอบด้วยข้อมูลสองประเภท ได้แก่ ข้อมูลควบคุมและข้อมูลผู้ใช้ (เพย์โหลด) ข้อมูลควบคุมให้ข้อมูลที่เครือข่ายต้องการเพื่อส่งข้อมูลผู้ใช้ เช่น ที่อยู่เครือข่าย ต้นทางและปลายทาง รหัส ตรวจจับข้อผิดพลาดและข้อมูลลำดับ โดยทั่วไป ข้อมูลควบคุมจะอยู่ใน ส่วนหัว และส่วนท้าย ของแพ็ก เก็ต โดยมีข้อมูลเพย์โหลดอยู่ตรงกลาง

ชุดโปรโตคอลอินเทอร์เน็ตหรือที่เรียกว่า TCP/IP เป็นรากฐานของเครือข่ายสมัยใหม่ทั้งหมดและเป็นชุดโปรโตคอลที่กำหนดสำหรับอินเทอร์เน็ต โดยนำเสนอบริการแบบไร้การเชื่อมต่อและแบบมีการเชื่อมต่อผ่านเครือข่ายที่ไม่น่าเชื่อถือโดยธรรมชาติซึ่งส่งผ่านโดยการส่งข้อมูลแบบดาตาแกรมโดยใช้โปรโตคอลอินเทอร์เน็ต (IP) โดยหลักแล้ว ชุดโปรโตคอลจะกำหนดข้อกำหนดการกำหนดที่อยู่ การระบุตัวตน และการกำหนดเส้นทางสำหรับโปรโตคอลอินเทอร์เน็ตเวอร์ชัน 4 (IPv4) และสำหรับIPv6ซึ่งเป็นโปรโตคอลรุ่นถัดไปที่มีความสามารถในการกำหนดที่อยู่เพิ่มขึ้นมาก^{[ 6 ]}

ความปลอดภัย

VPN ไม่ได้ทำให้ผู้ใช้ที่เชื่อมต่อเป็นนิรนามหรือไม่สามารถระบุตัวตนได้โดยผู้ให้บริการเครือข่ายที่ไม่น่าเชื่อถือ เช่นผู้ให้บริการอินเทอร์เน็ต (ISP) อย่างไรก็ตาม VPN สามารถเพิ่มความเป็นส่วนตัวในการใช้งานได้โดยทำให้ ISP ไม่สามารถเข้าถึงข้อมูลส่วนตัวที่แลกเปลี่ยนผ่าน VPN ได้การเข้ารหัสช่วยเพิ่มความลับและลดความเสี่ยงของการโจมตีดักฟัง ข้อมูล แพ็กเก็ตข้อมูลที่เดินทางผ่าน VPN อาจได้รับการรักษาความปลอดภัยโดยการป้องกันการปลอมแปลงผ่านรหัสยืนยันข้อความซึ่งป้องกันไม่ให้ข้อความถูกเปลี่ยนแปลงหรือดัดแปลงโดยไม่ได้รับการปฏิเสธ ทำให้ความสมบูรณ์ของข้อมูลดี ขึ้น

มีวิธีการใช้งานอื่นๆ อีกหลายวิธีเพื่อให้มั่นใจได้ถึงการตรวจสอบความถูกต้องของฝ่ายที่เชื่อมต่อ ปลายทางของอุโมงค์สามารถตรวจสอบความถูกต้องได้หลายวิธีในระหว่างการเริ่มต้นการเข้าถึง VPN เช่น โดยการเพิ่มที่อยู่ IP ของปลายทางลงในรายการที่อนุญาต การตรวจสอบความถูกต้องอาจเกิดขึ้นหลังจากที่อุโมงค์ใช้งานอยู่แล้ว เช่น ในกรณีของเว็บพอร์ทัลที่จำกัดการเข้าถึง VPN สำหรับการเข้าถึงระยะไกลอาจใช้รหัสผ่านไบโอเมตริก การตรวจสอบสิทธิ์แบบสองปัจจัยหรือ วิธี การเข้ารหัส อื่นๆ VPN ระหว่างไซต์มักใช้รหัสผ่าน ( คีย์ที่ใช้ร่วมกันล่วงหน้า ) หรือใบรับรองดิจิทัล

การขุดอุโมงค์แยก

การแบ่งอุโมงค์ช่วยให้ผู้ใช้สามารถเข้าถึงโดเมนความปลอดภัย ที่แตกต่างกันได้ ในเวลาเดียวกัน โดยใช้การเชื่อมต่อเครือข่ายเดียวกันหรือต่างกันก็ได้^{[ 7 ]}สถานะการเชื่อมต่อนี้มักจะอำนวยความสะดวกโดยการใช้ตัวควบคุมอินเทอร์เฟซเครือข่าย LAN (NIC), NIC วิทยุ, NIC เครือ ข่าย LAN ไร้สายและแอปพลิเคชันซอฟต์แวร์ไคลเอ็นต์เครือข่ายส่วนตัวเสมือนพร้อมกัน การแบ่งอุโมงค์มักจะถูกกำหนดค่าผ่านการใช้ไคลเอ็นต์ VPN การเข้าถึงระยะไกล ซึ่งช่วยให้ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายไร้สาย ใกล้เคียง ทรัพยากรบนเครือข่ายองค์กร นอกสถานที่ รวมถึงเว็บไซต์ต่างๆ บนอินเทอร์เน็ตได้ พร้อมกัน

ไม่ใช่ VPN ทุกตัวที่อนุญาตให้ใช้ split tunneling ^{[ 8 ]}^{[ 9 ]}^{[ 10 ]}ข้อดีของ split tunneling ได้แก่ การลดปัญหาคอขวดการประหยัดแบนด์วิดท์ (เนื่องจากการรับส่งข้อมูลทางอินเทอร์เน็ตไม่จำเป็นต้องผ่านเซิร์ฟเวอร์ VPN) และช่วยให้ผู้ใช้ไม่ต้องเชื่อมต่อและตัดการเชื่อมต่ออย่างต่อเนื่องเมื่อเข้าถึงทรัพยากรจากระยะไกล ข้อเสีย ได้แก่การรั่วไหลของ DNSและอาจข้ามการรักษาความปลอดภัยระดับเกตเวย์ที่อาจมีอยู่ในโครงสร้างพื้นฐานของบริษัท^{[ 11 ]} ผู้ให้บริการอินเทอร์เน็ตมักใช้ split tunneling เพื่อวัตถุประสงค์ในการ โจรกรรม DNS

การจำแนกประเภท

โทโพโลยี

การกำหนดค่า โฮสต์ต่อเครือข่ายนั้นคล้ายกับการเชื่อมต่อคอมพิวเตอร์หนึ่งเครื่องหรือมากกว่านั้นเข้ากับเครือข่ายที่ไม่สามารถเชื่อมต่อโดยตรงได้ การขยายประเภทนี้ช่วยให้คอมพิวเตอร์สามารถเข้าถึงเครือข่ายท้องถิ่น (LAN)ของไซต์ระยะไกล หรือเครือข่ายองค์กรที่กว้างกว่า เช่นอินทราเน็ตคอมพิวเตอร์แต่ละเครื่องมีหน้าที่ในการเปิดใช้งานอุโมงค์ของตนเองไปยังเครือข่ายที่ต้องการเข้าร่วม เครือข่ายที่เข้าร่วมจะรับรู้เพียงโฮสต์ระยะไกลเพียงเครื่องเดียวสำหรับแต่ละอุโมงค์ วิธีนี้อาจใช้สำหรับพนักงานที่ทำงานระยะไกลหรือเพื่อให้ผู้คนสามารถเข้าถึงทรัพยากรส่วนตัวในบ้านหรือบริษัทโดยไม่ต้องเปิดเผยต่อสาธารณะทางอินเทอร์เน็ต

การกำหนดค่าแบบ ไซต์ต่อไซต์เชื่อมต่อเครือข่ายสองเครือข่าย การกำหนดค่านี้ขยายเครือข่ายไปยังตำแหน่งทางภูมิศาสตร์ที่แตกต่างกัน การสร้างอุโมงค์จะทำเฉพาะระหว่างอุปกรณ์เกตเวย์ที่ตั้งอยู่ในแต่ละตำแหน่งของเครือข่าย จากนั้นอุปกรณ์เหล่านี้จะทำให้อุโมงค์พร้อมใช้งานสำหรับโฮสต์เครือข่ายท้องถิ่นอื่น ๆ ที่ต้องการเข้าถึงโฮสต์ใด ๆ ในอีกด้านหนึ่ง ซึ่งมีประโยชน์ในการรักษาการเชื่อมต่อไซต์เข้าด้วยกันอย่างเสถียร เช่น เครือข่ายสำนักงานไปยังสำนักงานใหญ่หรือศูนย์ข้อมูล ในกรณีนี้ ฝ่ายใดฝ่ายหนึ่งอาจได้รับการกำหนดค่าให้เริ่มต้นการสื่อสารตราบใดที่รู้วิธีเข้าถึงอีกฝ่าย ในบริบทของการกำหนดค่าแบบไซต์ต่อไซต์ คำว่าอินทราเน็ตและเอ็กซ์ทราเน็ตใช้เพื่ออธิบายกรณีการใช้งานที่แตกต่างกันสองกรณี^{[ 12 ]} VPN แบบ ไซต์ต่อไซต์ อินทราเน็ตอธิบายการกำหนดค่าที่ไซต์ที่เชื่อมต่อโดย VPN เป็นขององค์กรเดียวกัน ในขณะที่ VPN แบบไซต์ต่อไซต์ เอ็กซ์ทราเน็ตเชื่อมต่อไซต์ที่เป็นขององค์กรหลายแห่ง

ข้อจำกัดของ VPN แบบดั้งเดิมคือการ เชื่อมต่อ แบบจุดต่อจุดและมักไม่รองรับโดเมนบรอดแคสต์ดังนั้น การสื่อสาร ซอฟต์แวร์ และเครือข่ายที่ใช้เลเยอร์ 2และแพ็ก เก็ตบรอดแคสต์ (เช่นNetBIOSที่ใช้ในเครือข่าย Windows ) อาจไม่ได้รับการสนับสนุนอย่างเต็มที่เหมือนในเครือข่ายท้องถิ่น VPN รูปแบบต่างๆ เช่นVirtual Private LAN Service (VPLS) และโปรโตคอลการสร้างอุโมงค์เลเยอร์ 2 ได้รับการออกแบบมาเพื่อเอาชนะข้อจำกัดนี้^{[ 13 ]}

เครือข่ายการจัดส่งที่น่าเชื่อถือและปลอดภัย

VPN ที่เชื่อถือได้จะไม่ใช้การสร้างอุโมงค์เข้ารหัสลับ แต่จะอาศัยความปลอดภัยของเครือข่ายของผู้ให้บริการรายเดียวในการปกป้องการรับส่งข้อมูล^{[ 14 ]} Multiprotocol Label Switching (MPLS) มักจะซ้อนทับ VPN ที่เชื่อถือได้ โดยมักจะมีการควบคุมคุณภาพการบริการผ่านเครือข่ายการส่งมอบที่เชื่อถือได้ VPN ที่ปลอดภัยจะเชื่อถือเครือข่ายการส่งมอบพื้นฐานหรือบังคับใช้ความปลอดภัยด้วยกลไกภายใน เว้นแต่ว่าเครือข่ายการส่งมอบที่เชื่อถือได้จะทำงานระหว่างไซต์ที่มีความปลอดภัยทางกายภาพเท่านั้น ทั้งแบบจำลองที่เชื่อถือได้และแบบจำลองที่ปลอดภัยจำเป็นต้องมีกลไกการตรวจสอบสิทธิ์เพื่อให้ผู้ใช้สามารถเข้าถึง VPN ได้

ประเภท

VPN สำหรับมือถือ

เครือข่ายส่วนตัวเสมือนแบบเคลื่อนที่ (VPN)ถูกใช้ในการตั้งค่าที่ปลายทางของ VPN ไม่ได้ถูกกำหนดไว้ที่ที่อยู่ IP เดียว แต่จะเคลื่อนที่ไปมาระหว่างเครือข่ายต่างๆ เช่น เครือข่ายข้อมูลจากผู้ให้บริการโทรศัพท์มือถือ หรือระหว่าง จุดเชื่อมต่อ Wi-Fi หลายจุด โดยไม่ทำให้เซสชัน VPN ที่ปลอดภัยหลุดหรือสูญเสียเซสชันแอปพลิเคชัน^{[ 15 ]} VPN แบบเคลื่อนที่ถูกใช้กันอย่างแพร่หลายในด้านความปลอดภัยสาธารณะซึ่งช่วยให้เจ้าหน้าที่บังคับใช้กฎหมายสามารถเข้าถึงแอปพลิเคชันต่างๆ เช่นระบบการจัดส่งโดยใช้คอมพิวเตอร์ช่วยและฐานข้อมูลอาชญากร^{[ 16 ]}และในองค์กรอื่นๆ ที่มีความต้องการคล้ายกัน เช่นการจัดการบริการภาคสนามและการดูแลสุขภาพ^{[ 17 ]}

DMVPN

เครือข่ายส่วนตัวเสมือนแบบหลายจุดแบบไดนามิก (DMVPN) ^{[ 18 ]}เป็น รูปแบบ การสร้างอุโมงค์ แบบไดนามิก ของเครือข่ายส่วนตัวเสมือนที่รองรับบนเราเตอร์ Cisco IOSเราเตอร์ Huawei AR G3 ^[¹⁹^]และระบบปฏิบัติการที่คล้าย Unix

DMVPN มีความสามารถในการสร้าง เครือข่าย VPN แบบเมชไดนามิกโดยไม่ต้องกำหนดค่าล่วงหน้าแบบคงที่สำหรับปลายทางอุโมงค์ที่เป็นไปได้ทั้งหมด เช่นปลายทางIPsecและISAKMP ^{[ 20 ]} DMVPN ได้รับการกำหนดค่าเริ่มต้นเพื่อสร้างเครือข่ายแบบฮับและสป็อคโดยการกำหนดค่าฮับ (ส่วนหัว VPN) บนสป็อคแบบคงที่ ไม่จำเป็นต้องเปลี่ยนแปลงการกำหนดค่าบนฮับเพื่อรับสป็อคใหม่ การใช้เครือข่ายฮับและสป็อคเริ่มต้นนี้ อุโมงค์ระหว่างสป็อคจะถูกสร้างขึ้นแบบไดนามิกตามความต้องการโดยไม่ต้องกำหนดค่าเพิ่มเติมบนฮับหรือสป็อค ความสามารถแบบเมชไดนามิกนี้ช่วยลดความจำเป็นในการโหลดใดๆ บนฮับเพื่อกำหนดเส้นทางข้อมูลระหว่างเครือข่ายสป็อค

อีวีเอ็นเอ็กซ์

Ethernet VPN (EVPN) เป็นเทคโนโลยีสำหรับการขนส่ง ทราฟฟิก Ethernet เลเยอร์ 2 ของ OSI ในรูปแบบเครือข่ายส่วนตัวเสมือนโดยใช้โปรโตคอลเครือข่ายบริเวณกว้าง เทคโนโลยี EVPN ประกอบด้วย Ethernet over Multiprotocol Label Switching (MPLS)และEthernet over Virtual Extensible LAN ^[²¹^]^[²²^]

MPLS VPN

การสลับป้ายกำกับมัลติโปรโตคอล (MPLS) เป็นเทคนิคการกำหนดเส้นทางในเครือข่ายโทรคมนาคมที่ส่งข้อมูลจากโหนด หนึ่ง ไปยังอีกโหนดหนึ่งโดยอาศัยป้ายกำกับแทนที่จะเป็นที่อยู่เครือข่าย^{[ 23 ]}ในขณะที่ที่อยู่เครือข่ายระบุจุดสิ้นสุดป้ายกำกับ MPLS จะระบุเส้นทางที่กำหนดไว้ระหว่างจุดสิ้นสุด MPLS สามารถห่อหุ้มแพ็กเก็ตของโปรโตคอลเครือข่าย ต่างๆ ได้

ในทางปฏิบัติ MPLS ส่วนใหญ่ใช้เพื่อส่งต่อหน่วยข้อมูลโปรโตคอล IP และทราฟฟิกอีเธอร์เน็ตของบริการ LAN ส่วนตัวเสมือน (VPN) แอปพลิเคชันหลักของ MPLS คือวิศวกรรมทราฟฟิกโทรคมนาคมและ MPLS VPN MPLS ทำงานร่วมกับ IP และโปรโตคอลการกำหนดเส้นทาง ซึ่งโดยทั่วไปคือโปรโตคอลเกตเวย์ภายใน (IGP) และสนับสนุนการสร้างเครือข่ายเสมือนแบบไดนามิกและโปร่งใส พร้อมการสนับสนุนวิศวกรรมทราฟฟิก ความสามารถในการขนส่ง VPN ระดับเลเยอร์ที่มีพื้นที่แอดเดรสทับซ้อนกัน และสำหรับpseudowire ระดับเลเยอร์ 2 ที่สามารถขนส่งเพย์โหลดการขนส่งที่หลากหลาย ( IPv4 , IPv6 , ATM, Frame Relay เป็นต้น) ^{[ 24 ]}^{[ 25 ]}

วีพีแอลเอส

บริการ LAN ส่วนตัวเสมือน (VPLS) เป็นเทคโนโลยีเครือข่ายส่วนตัวเสมือนที่ให้การสื่อสารแบบหลายจุดต่อหลายจุดบนเครือข่าย IP หรือ MPLS โดยใช้ Ethernet ช่วยให้ไซต์ที่กระจายตัวทางภูมิศาสตร์สามารถใช้ โดเมนการออกอากาศ Ethernet ร่วมกันได้โดยการเชื่อมต่อ ไซต์(รวมทั้งเซิร์ฟเวอร์และไคลเอนต์) ผ่านpseudowire ^{[ 26 ]}เทคโนโลยีที่สามารถใช้เป็น pseudowire ได้ ได้แก่Ethernet ผ่าน MPLS , L2TPv3หรือแม้แต่GREมีRFC สองฉบับ ของ IETF (RFC 4761 และ RFC 4762) ที่อธิบายการสร้าง VPLS ในทางตรงกันข้ามกับ L2TPv3 ซึ่งอนุญาตเฉพาะ อุโมงค์ เลเยอร์ 2 ของ OSI แบบจุดต่อจุด เท่านั้น VPLS อนุญาตให้เชื่อมต่อแบบใดก็ได้ต่อใดก็ได้ (หลายจุด) ^[²⁷^]^[²⁸^]

PPVPN

เครือ ข่ายส่วนตัวเสมือน ( VPN) ที่ผู้ให้บริการจัดหาให้ (PPVPN) คือเครือข่ายส่วนตัวเสมือน (VPN) ที่ผู้ให้บริการการเชื่อมต่อหรือองค์กรขนาดใหญ่ติดตั้งใช้งานบนเครือข่ายที่พวกเขาดำเนินการเอง ซึ่งแตกต่างจาก "VPN ที่ลูกค้าจัดหาให้" ที่ VPN นั้นถูกติดตั้งใช้งานโดยลูกค้าที่ซื้อบริการการเชื่อมต่อบนพื้นฐานของข้อกำหนดทางเทคนิคเฉพาะของผู้ให้บริการ

โปรโตคอล

เครือข่ายส่วนตัวเสมือน (VPN) ใช้โปรโตคอลการส่งข้อมูลแบบอุโมงค์ เป็นพื้นฐาน และอาจนำไปใช้ร่วมกับ โปรโตคอล เครือข่ายหรือแอปพลิเคชัน อื่นๆ เพื่อเพิ่มความปลอดภัยและฟังก์ชันการทำงานเพิ่มเติม

ไอพีซีซี (1996)

Internet Protocol Security (IPsec) เป็นโปรโตคอลความปลอดภัยตามมาตรฐาน ซึ่งได้รับการพัฒนาครั้งแรกโดยInternet Engineering Task Force (IETF) สำหรับIPv6และจำเป็นต้องมีในทุกการใช้งาน IPv6 ที่สอดคล้องกับมาตรฐานก่อนที่ RFC 6434 จะทำให้เป็นเพียงคำแนะนำ^{[ 29 ]}นอกจากนี้ยังมีการใช้งานอย่างแพร่หลายกับIPv4ด้วย

การออกแบบของ IPSec ตอบสนองเป้าหมายด้านความปลอดภัยส่วนใหญ่ ได้แก่ความพร้อมใช้งาน ความสมบูรณ์ และการรักษาความลับ IPsec ใช้การเข้ารหัส โดยห่อ หุ้มแพ็กเก็ต IP ไว้ภายในแพ็กเก็ต IPsec การถอดรหัสจะเกิดขึ้นที่ปลายอุโมงค์ ซึ่งแพ็กเก็ต IP ดั้งเดิมจะถูกถอดรหัสและส่งต่อไปยังปลายทางที่ต้องการ IPsec ยังมักได้รับการสนับสนุนจากตัวเร่งฮาร์ดแวร์เครือข่าย^{[ 30 ]}ซึ่งทำให้ IPsec VPN เป็นที่ต้องการสำหรับสถานการณ์ที่มีพลังงานต่ำ เช่น การกำหนดค่า VPN การเข้าถึงระยะไกลแบบเปิดใช้งานตลอดเวลา^{[ 31 ]}^{[ 32 ]}

อุโมงค์ IPsec ถูกสร้างขึ้นโดย โปรโตคอล Internet Key Exchange (IKE) อุโมงค์ IPsec ที่สร้างด้วย IKE เวอร์ชัน 1 (หรือที่รู้จักกันในชื่ออุโมงค์ IKEv1 หรือมักเรียกสั้นๆ ว่า "อุโมงค์ IPsec") สามารถใช้เพียงอย่างเดียวเพื่อให้บริการ VPN ได้ แต่โดยทั่วไปมักใช้ร่วมกับLayer 2 Tunneling Protocol (L2TP)เพื่อใช้ประโยชน์จากการใช้งานที่เกี่ยวข้องกับ L2TP ที่มีอยู่แล้วสำหรับคุณสมบัติการตรวจสอบสิทธิ์ที่ยืดหยุ่นมากขึ้น (เช่นXauth )

IKE เวอร์ชัน 2 ซึ่งพัฒนาโดย Microsoft และ Cisco สามารถใช้งานได้โดยลำพังเพื่อให้บริการ VPN แบบ IPsec ข้อดีหลักๆ คือการรองรับการตรวจสอบสิทธิ์ผ่านExtensible Authentication Protocol (EAP) โดยตรง และสามารถกู้คืนอุโมงค์ได้อย่างราบรื่นเมื่อที่อยู่ IP ของโฮสต์ที่เชื่อมต่อเปลี่ยนแปลง ซึ่งเป็นเรื่องปกติของอุปกรณ์เคลื่อนที่ที่กำลังโรมมิ่ง ไม่ว่าจะเป็นบนเครือข่าย 3Gหรือ4G LTE ก็ตาม

TLS/SSL (1999)

Transport Layer Security (SSL/TLS) สามารถสร้างอุโมงค์สำหรับการรับส่งข้อมูลของเครือข่ายทั้งหมด (เช่นเดียวกับใน โครงการ OpenVPNและโครงการSoftEther VPN ^{[ 33 ]} ) หรือรักษาความปลอดภัยการเชื่อมต่อแต่ละรายการ ผู้จำหน่ายหลายรายให้บริการ VPN สำหรับการเข้าถึงระยะไกลผ่าน TLS VPN ที่ใช้ TLS สามารถเชื่อมต่อจากตำแหน่งที่รองรับการท่องเว็บ TLS ทั่วไป ( HTTPS ) โดยไม่ต้องกำหนดค่าเพิ่มเติม

โอเพนเอสเอช (1999)

OpenSSHเสนอการสร้างอุโมงค์ VPN (ซึ่งแตกต่างจากการส่งต่อพอร์ต ) เพื่อรักษาความปลอดภัยการเชื่อมต่อระยะไกลไปยังเครือข่าย ลิงก์ระหว่างเครือข่าย และระบบระยะไกล เซิร์ฟเวอร์ OpenSSH ให้จำนวนอุโมงค์พร้อมกันที่จำกัด คุณสมบัติ VPN เองไม่รองรับการตรวจสอบสิทธิ์ส่วนบุคคล^{[ 34 ]} SSH มักใช้เพื่อเชื่อมต่อระยะไกลไปยังเครื่องหรือเครือข่ายมากกว่าการเชื่อมต่อ VPN ระหว่างไซต์

OpenVPN (2001)

OpenVPNเป็น โปรโตคอล VPN แบบโอเพนซอร์สและใช้งานได้ฟรีโดยอิงตามโปรโตคอล TLS รองรับการรักษาความลับแบบสมบูรณ์ (perfect forward-secrecy ) และชุดการเข้ารหัสที่ปลอดภัยสมัยใหม่ส่วนใหญ่ เช่นAES , Serpent , TwoFishเป็นต้น ปัจจุบัน OpenVPN กำลังได้รับการพัฒนาและปรับปรุงโดย OpenVPN Inc. ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่ให้บริการเทคโนโลยี VPN ที่ปลอดภัย

SSTP (2007)

โปรโตคอล Secure Socket Tunneling Protocol (SSTP)เป็นรูปแบบหนึ่งของอุโมงค์ VPN ที่มีกลไกในการส่งผ่าน ทราฟฟิก Point-to-Point Protocol (PPP) ผ่านช่องทาง SSL/TLS

ไวร์การ์ด (2015)

WireGuardเป็นโปรโตคอลที่ออกแบบมาให้มีน้ำหนักเบากว่า OpenVPN ^{[ 35 ]}ในปี 2020 มีการเพิ่มการสนับสนุน WireGuard ลงในเคอร์เนลของ Linux ^{[ 36 ]}และ Android ^{[ 37 ]}ทำให้ผู้ให้บริการ VPN สามารถนำไปใช้ได้ โดยค่าเริ่มต้น WireGuard ใช้ โปรโตคอล Curve25519สำหรับการแลกเปลี่ยนคีย์และChaCha20-Poly1305สำหรับการเข้ารหัสและการตรวจสอบความถูกต้องของข้อความ แต่ยังรวมถึงความสามารถในการแชร์คีย์สมมาตร ล่วงหน้า ระหว่างไคลเอนต์และเซิร์ฟเวอร์ ด้วย ^{[ 38 ]}

อื่น

Datagram Transport Layer Security ( DTLS ) – ใช้ใน Cisco AnyConnect VPN และในOpenConnect VPN ^{[ 39 ]}เพื่อแก้ปัญหาที่TLSมีกับการทำอุโมงค์ผ่านTCP (SSL/TLS ใช้ TCP เป็นพื้นฐาน และการทำอุโมงค์ TCP ผ่าน TCP อาจทำให้เกิดความล่าช้ามากและการยกเลิกการเชื่อมต่อ^{[ 40 ]} )
Microsoft Point-to-Point Encryption ( MPPE ) สามารถใช้งานร่วมกับPoint-to-Point Tunneling Protocolและในรูปแบบการใช้งานที่เข้ากันได้บนแพลตฟอร์มอื่นๆ ได้หลายแบบ
Microsoft Secure Socket Tunneling Protocol ( SSTP ) ส่งข้อมูลแบบPoint-to-Point Protocol (PPP) หรือ Layer 2 Tunneling Protocol ผ่าน ช่องทาง SSL/TLS (SSTP เปิดตัวครั้งแรกในWindows Server 2008และWindows Vista Service Pack 1)
เครือข่ายส่วนตัวเสมือนแบบหลายเส้นทาง (MPVPN) บริษัท Ragula Systems Development เป็นเจ้าของเครื่องหมายการค้า จดทะเบียน "MPVPN" ^{[ 41 ]}
Crypto IP Encapsulation (CIPE) เป็นการใช้งาน VPN แบบโอเพนซอร์สและฟรีสำหรับการส่งแพ็กเก็ต IPv4ผ่านUDPโดยใช้การห่อหุ้ม [ ^{42 ] CIPE}ได้รับการพัฒนาสำหรับระบบปฏิบัติการLinux โดย Olaf Titz และมี การพอร์ต ไปยัง Windows โดย Damion K. Wilson ^[⁴³^]การพัฒนา CIPE สิ้นสุดลงในปี 2545 ^[⁴⁴^]
L2TP ^{[ 45 ]}ซึ่งเป็นโปรโตคอล VPN ที่เป็นกรรมสิทธิ์สองโปรโตคอลที่ใช้มาตรฐานทดแทน ได้แก่Layer 2 Forwarding (L2F) ของ Cisco ^{[ 46 ]} (ล้าสมัยตั้งแต่ปี 2009) และPoint-to-Point Tunneling Protocol (PPTP)ของ Microsoft ^{[ 47 ]}

การสนับสนุนจากผู้พัฒนาหลักและผู้พัฒนาภายนอก

ระบบปฏิบัติการของเดสก์ท็อป สมาร์ทโฟน และอุปกรณ์ผู้ใช้ปลายทางอื่นๆ มักจะรองรับการกำหนดค่า VPN การเข้าถึงระยะไกลจากเครื่องมือแบบกราฟิกหรือแบบบรรทัดคำสั่ง^{[ 48 ]}^{[ 49 ]}^{[ 50 ]}อย่างไรก็ตาม เนื่องจากความหลากหลายของโปรโตคอล VPN ซึ่งมักจะไม่ใช่มาตรฐาน จึงมีแอปพลิเคชันของบุคคลที่สามจำนวนมากที่ใช้โปรโตคอลเพิ่มเติมที่ระบบปฏิบัติการยังไม่รองรับหรือไม่ได้รองรับอีกต่อไป ตัวอย่างเช่นAndroidขาด การรองรับ IPsec IKEv2 แบบดั้งเดิม จนถึงเวอร์ชัน 11 ^{[ 51 ]}และผู้ใช้จำเป็นต้องติดตั้งแอปของบุคคลที่สามเพื่อเชื่อมต่อ VPN ประเภทนั้น ในทางกลับกัน Windows ไม่รองรับการกำหนดค่า VPN การเข้าถึงระยะไกลแบบ IPsec IKEv1 แบบดั้งเดิม (ซึ่งมักใช้โดยโซลูชัน VPN ของ CiscoและFritz!Box )

อุปกรณ์เครือข่าย เช่น ไฟร์วอลล์ มักจะมีฟังก์ชันเกตเวย์ VPN สำหรับการเข้าถึงระยะไกลหรือการกำหนดค่าแบบไซต์ต่อไซต์ อินเทอร์เฟซการจัดการของอุปกรณ์เหล่านี้มักอำนวยความสะดวกในการตั้งค่าเครือข่ายส่วนตัวเสมือน (VPN) ด้วยโปรโตคอลที่รองรับให้เลือกมากมาย ในบางกรณี เช่น ในระบบปฏิบัติการโอเพนซอร์สที่ออกแบบมาสำหรับไฟร์วอลล์และอุปกรณ์เครือข่าย (เช่นOpenWrt , IPFire , PfSenseหรือOPNsense ) สามารถเพิ่มการรองรับโปรโตคอล VPN เพิ่มเติมได้โดยการติดตั้งส่วนประกอบซอฟต์แวร์ที่ขาดหายไปหรือแอปพลิเคชันของบุคคลที่สาม

อุปกรณ์เชิงพาณิชย์ที่มีคุณสมบัติ VPN ซึ่งใช้ฮาร์ดแวร์หรือซอฟต์แวร์เฉพาะของแต่ละผู้ผลิต มักจะรองรับโปรโตคอล VPN ที่สม่ำเสมอในผลิตภัณฑ์ทั้งหมด แต่ไม่อนุญาตให้ปรับแต่งนอกเหนือจากกรณีการใช้งานที่กำหนดไว้ กรณีนี้มักเกิดขึ้นกับอุปกรณ์ที่อาศัยการเร่งความเร็วฮาร์ดแวร์ของ VPN เพื่อให้ได้ปริมาณข้อมูลที่สูงขึ้นหรือรองรับผู้ใช้งานที่เชื่อมต่อพร้อมกันจำนวนมากขึ้น

สังคมและวัฒนธรรม

ผู้ใช้งานรายบุคคล

จากข้อมูลประมาณการในปี 2022 พบว่า 3% ของผู้ใช้งานอินเทอร์เน็ตชาวจีนใช้ VPN เทียบกับ 8.5% ของชาวอเมริกัน^{[ 52 ]}^{[ 53 ]}ในประเทศจีน VPN ถูกบล็อกมากขึ้นเรื่อยๆ และการใช้งานโดยไม่ได้รับอนุญาตอาจถูกปรับและดำเนินคดีตามกฎหมาย^{[ 52 ]}จากการประมาณการเอกสารของรัฐบาลที่รั่วไหล ChinaFile ประมาณการในปี 2026 ว่าความต้องการ VPN ในประเทศจีนอยู่ในระดับต่ำมาก นอกจากนี้ยังประมาณการว่าแอปต่างประเทศที่ถูกบล็อกโดย Great Firewall มีปริมาณการใช้งานต่ำมาก โดยเฉพาะเมื่อเทียบกับแอปในประเทศ แอปในประเทศ 5 อันดับแรกมีปริมาณการใช้งานมากกว่าแอปต่างประเทศ 5 อันดับแรกถึง 1,000 เท่า^{[ 54 ]}

ณ ปี 2025 มีผู้ใช้ VPN ประมาณ 1.75 พันล้านคน และคาดการณ์ว่าตลาดนี้จะเติบโตเป็น 76 พันล้านดอลลาร์ภายในปี 2027 ^{[ 55 ]}

ท่ามกลางข้อจำกัดและการปิดกั้นอินเทอร์เน็ตในรัสเซีย นักเคลื่อนไหวทางอินเทอร์เน็ตได้สร้าง โครงการ Amnezia VPN ขึ้น ในปี 2020 ระหว่างการแข่งขันแฮกกาธอนด้านสิทธิดิจิทัลที่จัดโดยRoskomsvobodaบริการนี้ได้รับความนิยมในหมู่ผู้ใช้ชาวรัสเซียเนื่องจากสามารถเข้าถึงทรัพยากรที่ถูกบล็อกได้ รวมถึงคุณสมบัติที่มุ่งเน้นการเพิ่มความเป็นส่วนตัวและความต้านทานต่อการวิเคราะห์การรับส่งข้อมูล^{[ 56 ]}^{[ 57 ]}

ดูเพิ่มเติม

อ่านเพิ่มเติม

เคลลี่, ฌอน (สิงหาคม 2544). "ความจำเป็นคือมารดาแห่งการประดิษฐ์ VPN" . ข่าวการสื่อสาร : 26– 28. ISSN 0010-3632 . เก็บถาวรจากต้นฉบับเมื่อวันที่ 17 ธันวาคม 2544.

[

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[

[ 20 ]

[

[

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[

[

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

42 ] CIPE

[

[

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 53 ]

[ 55 ]

[ 56 ]

[ 57 ]