WEBVTT

00:00.240 --> 00:01.110
讲师：在本课中,

00:01.110 --> 00:04.920
我们将介绍您在考试中需要了解的有关VPN的所有内容｡

00:04.920 --> 00:07.200
首先, 什么是VPN？

00:07.200 --> 00:09.540
VPN是一种虚拟专用网络,

00:09.540 --> 00:11.790
它将用于在公共网络上扩展专用网络,

00:11.790 --> 00:21.180
并使用户能够在共享的公共网络上发送和接收数据, 就像他们的计算设备直接连接到专用网络一样｡

00:21.180 --> 00:24.600
现在有了VPN, 您的用户可以在远程办公室工作或在家工作,

00:24.600 --> 00:30.690
他们只需登录笔记本电脑并建立一个安全的VPN隧道到组织的网络, 就可以远程办公,

00:30.690 --> 00:34.830
无论它位于世界的哪个地方｡

00:34.830 --> 00:39.030
为此, 他们将连接到位于总部数据中心的VPN设备｡

00:39.030 --> 00:41.310
然后, 他们将使用VPN协议建立一个安全隧道,

00:41.310 --> 00:49.680
以便通过不受信任的或公共网络（如互联网）为企业用户提供安全连接｡

00:49.680 --> 00:54.090
现在, 这使得他们能够进入公司网络并连接到互联网,

00:54.090 --> 00:57.420
就像他们坐在办公室的办公桌前一样｡

00:57.420 --> 01:00.120
VPN可以配置为站点到站点VPN､

01:00.120 --> 01:03.030
客户端到站点VPN或无客户端VPN｡

01:03.030 --> 01:06.420
使用点对点VPN, 我们可以将两个办公室连接在一起｡

01:06.420 --> 01:07.980
对于客户端到站点VPN,

01:07.980 --> 01:10.440
我们更关心的是将单个远程用户连接回公司网络,

01:10.440 --> 01:14.670
正如我前面描述的需要远程办公的用户｡

01:14.670 --> 01:16.440
当我们谈论无客户端VPN时,

01:16.440 --> 01:19.020
这些通常用于网页浏览｡

01:19.020 --> 01:23.130
好吧, 让我们深入一点, 谈谈站点到站点VPN｡

01:23.130 --> 01:26.280
现在, 站点到站点VPN用于互连两个站点,

01:26.280 --> 01:29.700
并提供专用租用线路的廉价替代方案｡

01:29.700 --> 01:32.790
例如, 让我们假设我在加利福尼亚州有一个分公司,

01:32.790 --> 01:35.310
我的总部在华盛顿特区｡

01:35.310 --> 01:40.680
现在, 如果我想将我在加利福尼亚的远程区域办公室连接到我在华盛顿特区的总部办公室,

01:40.680 --> 01:49.800
我可以从电信提供商那里购买专用租赁线路, 他们会给我一个直接连接, 覆盖这两个站点之间的3,000英里距离｡

01:49.800 --> 01:52.140
即使我有一个低速T1连接,

01:52.140 --> 01:54.180
这将是非常昂贵的｡

01:54.180 --> 01:57.150
现在, 另一方面, 我可以使用站点到站点VPN,

01:57.150 --> 01:58.830
我可以节省很多钱｡

01:58.830 --> 02:00.720
我可以简单地创建一个VPN隧道,

02:00.720 --> 02:09.690
从区域办公室通过公共互联网回到总部, 而不是使用专用的租用线路, 使用该办公室已经拥有的互联网连接｡

02:09.690 --> 02:13.800
这个解决方案可能会花费我50或100美元每月的标准电缆调制解调器,

02:13.800 --> 02:16.710
或光纤调制解调器服务, 从当地的ISP｡

02:16.710 --> 02:20.550
一旦VPN隧道建立, 它将从加利福尼亚州的区域办事处获取所有流量,

02:20.550 --> 02:26.550
并在此安全隧道内通过互联网将其运行回华盛顿特区的总部｡

02:26.550 --> 02:28.980
一旦它到达华盛顿特区,

02:28.980 --> 02:33.060
它将被解密并放回我的公司网络｡

02:33.060 --> 02:36.480
现在, 当一个加州用户想去谷歌｡

02:36.480 --> 02:36.480
例如, com｡ 

02:36.480 --> 02:42.510
这些数据将从加利福尼亚州传输到华盛顿特区, 通过华盛顿特区的办公室互联网连接访问该网站,

02:42.510 --> 02:48.180
获取信息, 将其发送回华盛顿特区的办公室互联网连接, 然后通过VPN返回到加利福尼亚州的用户,

02:48.180 --> 02:53.850
在那里他们将能够查看他们请求的网站｡

02:53.850 --> 02:55.395
通过使用这个站点到站点的VPN,

02:55.395 --> 03:01.230
所有在加利福尼亚和华盛顿之间来回的流量都将被加密和安全｡

03:01.230 --> 03:07.080
因此, 没有人可以看到通过外部公共互联网连接的内部网络流量｡

03:07.080 --> 03:10.140
另一方面, 当我们处理客户端到站点VPN时,

03:10.140 --> 03:12.240
我们将从单个主机（如笔记本电脑､

03:12.240 --> 03:17.430
手机､ 智能手机或平板电脑）发送数据, 并将其连接回我们的总部办公室｡

03:17.430 --> 03:18.930
这将是从客户端到路由器,

03:18.930 --> 03:22.560
而不是从路由器到路由器｡

03:22.560 --> 03:25.710
这允许远程用户能够连接回总部｡

03:25.710 --> 03:28.080
这就是为什么我们称之为客户端到站点｡ 

03:28.080 --> 03:31.140
现在, 除了站点到站点和客户端到站点VPN之外,

03:31.140 --> 03:36.300
我们还必须决定是否要使用完整隧道或拆分隧道VPN配置｡

03:36.300 --> 03:42.000
全隧道和分割隧道VPN都可以用于站点到站点或客户端到站点模型｡

03:42.000 --> 03:45.900
现在, 大多数组织通常默认使用全隧道VPN｡

03:45.900 --> 03:47.490
这就是我之前描述的｡ 

03:47.490 --> 03:53.850
使用全隧道VPN, 我们将通过VPN连接将所有流量请求路由和加密回总部,

03:53.850 --> 03:57.090
而不管该服务的目的地位于何处｡

03:57.090 --> 04:01.350
这被认为是更安全的, 但是当我们使用完整的隧道连接时,

04:01.350 --> 04:05.550
客户端在连接时被认为是总部网络的完整组成部分｡

04:05.550 --> 04:08.520
这意味着, 如果您试图访问家庭办公室中的无线打印机等本地资源,

04:08.520 --> 04:19.410
则无法执行此操作, 因为家庭办公室中的无线打印机未连接到总部网络, 就像您的笔记本电脑通过客户端到站点VPN连接到总部网络一样｡

04:19.410 --> 04:23.160
相反, 您仍然可以打印到总部办公室的打印机,

04:23.160 --> 04:27.780
即使您使用全隧道VPN连接, 因为您可能坐在世界另一端的酒店房间里,

04:27.780 --> 04:33.210
但从逻辑上讲, 您仍然坐在公司总部的办公室里｡

04:33.210 --> 04:37.650
现在, 另一方面, 分割隧道VPN将划分您的流量和网络请求,

04:37.650 --> 04:40.680
然后将它们路由到适当的连接或网络｡

04:40.680 --> 04:42.120
使用分离隧道VPN,

04:42.120 --> 04:43.943
我们将通过VPN路由和加密去往总部的流量,

04:43.943 --> 04:49.260
并将所有其他流量发送到常规互联网｡

04:49.260 --> 04:51.750
因此, 让我们假设我在我的笔记本电脑上使用客户端到站点VPN,

04:51.750 --> 04:55.650
并从我的家庭办公室使用分离隧道配置｡

04:55.650 --> 04:59.370
这里的VPN将决定哪些流量通过VPN返回,

04:59.370 --> 05:03.270
并发送到总部, 以及哪些流量通过互联网｡

05:03.270 --> 05:07.530
因此, 如果我试图访问总部网络上的文件服务器或Microsoft

05:07.530 --> 05:09.360
Exchange Mail Server,

05:09.360 --> 05:13.170
这些数据包将被加密并通过VPN路由到总部｡

05:13.170 --> 05:15.600
但是, 如果我需要参加Zoom会议或访问Office

05:15.600 --> 05:26.850
365或互联网出站流量, 我只需绕过加密的VPN连接, 并直接从我的互联网连接到这些公共网站｡

05:26.850 --> 05:29.040
现在, 这就是为什么我们称之为分割隧道,

05:29.040 --> 05:32.520
因为我们有一个加密的VPN隧道用于需要前往总部的流量,

05:32.520 --> 05:38.280
另一个未加密的隧道从您的ISP直接通往互联网｡

05:38.280 --> 05:39.990
使用分割隧道时的挑战是,

05:39.990 --> 05:52.830
它们可能不太安全, 因为攻击者可能会通过未加密的互联网隧道连接到您的设备, 然后他们可以通过您的笔记本电脑并通过VPN将数据发送回总部网络｡

05:52.830 --> 05:55.260
因此, 如果您通过不受信任的网络连接VPN,

05:55.260 --> 06:01.110
例如酒店或咖啡店的Wifi, 则不应使用分割隧道｡

06:01.110 --> 06:03.930
相反, 你应该使用一个完整的隧道｡ 

06:03.930 --> 06:06.420
现在, 分割隧道确实可以为您提供更好的性能,

06:06.420 --> 06:09.960
因为它会将所有基于Internet的流量直接路由到这些服务器,

06:09.960 --> 06:12.750
并绕过整个公司总部网络｡

06:12.750 --> 06:14.010
因此, 正如您所看到的,

06:14.010 --> 06:17.220
它变成了安全性和性能之间的权衡｡

06:17.220 --> 06:20.130
如果你想要更多的安全性, 请使用全隧道VPN｡ 

06:20.130 --> 06:23.220
如果您想要更好的性能, 请使用分割隧道VPN｡ 

06:23.220 --> 06:26.640
在这一点上, 我们已经讨论了两种主要类型的VPN,

06:26.640 --> 06:29.460
站点到站点VPN和客户端到站点VPN｡

06:29.460 --> 06:32.520
但是还有一种类型的VPN我们需要讨论｡ 

06:32.520 --> 06:34.800
它被称为无客户端VPN｡ 

06:34.800 --> 06:40.170
现在, 无客户端VPN用于使用Web浏览器创建安全的远程访问VPN隧道,

06:40.170 --> 06:43.470
而无需使用任何软件或硬件客户端｡

06:43.470 --> 06:45.420
事实上, 使用这种类型的VPN是你每天都在做的事情,

06:45.420 --> 06:48.450
甚至不知道它｡

06:48.450 --> 06:53.250
当您的Web浏览器使用HTTPS与电子商务或其他安全网站建立安全连接时,

06:53.250 --> 06:56.280
会使用无客户端VPN｡

06:56.280 --> 07:00.960
这可以通过使用这些协议使用SSL或TLS隧道来完成｡

07:00.960 --> 07:05.580
现在SSL, 或安全套接字层, 已经变得有点过时和不安全｡

07:05.580 --> 07:08.850
因此, 大多数无客户端VPN现在都使用TLS,

07:08.850 --> 07:13.740
这是传输层安全性, 通过HTTPS提供安全的Web浏览｡

07:13.740 --> 07:16.890
所以当你登录这个网站观看这个视频的时候,

07:16.890 --> 07:18.810
你必须输入你的用户名和密码,

07:18.810 --> 07:22.500
然后你看到地址栏左上角有一个绿色的小挂锁｡

07:22.500 --> 07:26.130
这就是你如何知道你有一个使用HTTPS的安全连接｡ 

07:26.130 --> 07:31.830
这意味着您使用SSL或TLS来创建从您的Web浏览器和计算机到我的服务器的安全,

07:31.830 --> 07:36.900
无客户端VPN隧道, 以便您可以提取这些视频｡

07:36.900 --> 07:40.020
最后, 请记住VPN有三种主要类型：站点到站点,

07:40.020 --> 07:42.840
客户端到站点和无客户端｡

07:42.840 --> 07:46.410
此外, 请记住, 有两种使用VPN的通信方法｡

07:46.410 --> 07:48.543
可以使用完整隧道或拆分隧道｡