技术

虚拟隐形网络或 VIN, 是虚拟网络的进化步骤, 可用于任何其他类型的已建立的公共或私人网络, 包括互联网。

究竟什么是虚拟隐形网络, 为什么它如此特别?

虚拟隐形网络vin, 是虚拟网络中的一个渐进步骤, 可用于任何其他类型的已建立的公共或私人网络, 包括互联网。

它的进化是因为它引入了在 wan (或其他较大的网络) 上创建全新 LAN 结构的能力。lan 织物是非常适应和流体, 它可以伸展到任何 "形状", 并可以达到相同的效率和效益, 传统的本地化 lan 通常在家庭或办公室中发现。

这个词 "虚拟在"虚拟隐形网络"包括它的两个含义:

  • (计算) 不实际存在的, 但由软件作出的似乎这样做;和
  • 几乎或几乎被描述, 但不完全或根据严密的定义。

VIN 是软件定义, 这意味着它所创建的网络不需要物理接口或电缆, 并且 "几乎或几乎" 完全不可见, 我们在下面进一步详细说明。

什么是局域网 (LAN?)

在传统意义上, LAN 由连接到彼此的计算机和设备 (节点) 组成, 通过电缆或通过无线电频率 (如 wi-fi) 进行无线传输, 以共享信息和资源的共同目的。一个基本的 LAN 是在一个有限的地理位置, 如办公室或家中发现的单一部分。多个 lan 段可以使用路由器 (从一个 lan 到另一个局域网的网关) 相互连接, 而网络的整体集合仍然被视为 lan。

LAN 是我们最有效率的地方。通常, 我们需要的所有内容, 从共享存储到打印机, 都可以在我们的节点所连接的同一 LAN 网段上直接访问。

但我们也有能力使用专用连接将位于地理位置分散的位置的 lan 连接起来。这是当我们开始使用广域网 (WAN)连接.

在哪里
虚拟隐形网络 (VIN) 适合?

VIN 在 WAN 上创建一个独特的 LAN 类型网络, 这意味着组织可以享受更高的安全性,更快的虚拟网络速度提高了网络可靠性在小或远的距离。

实质上, VIN 可以让一个组织享受 LAN 网络的所有好处, 但在很大范围内。

什么是广域网 (WAN)?

一个广域网 (WAN)通常被认为是由较小的网络 (如 lan) 构造的。LAN 和 wan 之间最显著的区别是 wan 所覆盖的区域。WAN 可能跨越郊区、城市、国家甚至整个地球, 而不是局部地区。互联网可能是最著名的 WAN, 是由数百万个规模更小的网络构建的。

wan 主要使用电信公司或其他长途通信提供商的租用线路, 将两个或多个 lan 或其他本地化网络连接在一起。WAN 连接的一个示例是您的办公室或家庭 LAN 与您的 ISP (internet 服务提供商) 之间的连接, 以便为您提供访问 internet 的机会。同样的电信公司也可以结合资源来实施在不同国家之间运行的洲际电缆。

将这样的电缆从一个地点放置到地球上的其他任何城市、国家或大洲是不切实际的, 因此数据经常通过其他地点传递, 以便从澳大利亚向联合王国发送。这是互联网的基础, 在那里, 许多共享的公共连接 (由电信公司提供) 被用来将交通从一个地点中继到世界各地的偏远地区。

公共广域网 (如 Internet) 不受自然保护, 因为每个人的通信量共享相同的通信基础结构。因此, 应用程序和服务 (如安全 web 站点) 负责确保应用程序数据在遍历公用网络或虚拟专用网络 (VPN) 时加密 (通常使用 SSL/TLS)。

wan 的问题在于, 它们无法支持 LAN 的无帮助的发现实践, 这通常意味着 wan 网络可以缓慢且不可靠。

VIN 如何实现 WAN 体验的 LAN?

在 WAN 上实现 LAN 的关键是确保创建网状网络。网状网络是允许给定节点自动发现和与同一网段上的任何或所有其他节点直接通信的一种网格网。

为了实现这一更广泛的领域, VIN 使用的能力对等 (P2P)通信 (认为 Skype, VoIP 解决方案和其他 P2P 应用程序), 但在最低的网络水平, 然后到达物理硬件。在 VIN 的情况下, 这是2层 (最后的软件层)。

技术用于在 VIN 网络中的每一个节点之间建立直接通信, 以便在它们之间传输加密的以太网帧。这确保了广播和多播通信的支持, 以便启用无帮助的资源和服务发现。因此, 任何可以在常规 LAN 上实现的东西都可以在 VIN 网络中实现。

简而言之, VIN 使用专有软件创建一个私有网络, 它的功能类似于 LAN 的几乎任何距离, 使用户能够体验到快速、安全和可靠的网络。

VIN 如何创建网络?

任何 VIN 部署的第一个要求是安装软件。

这是一个完全文件化的过程, 要求在裸骨骼物理机 (服务器) 上或通过电信云提供商或简单 AWS 配置适当规格的虚拟机 (VM) 上部署 VIN 平台 (或 VSP) (亚马逊 Web 服务) 实例。

此外, vin 对等方或 vin 核心必须安装在将构成虚拟网络边缘的 vin 节点上。

vin 网络通过 vin 平台很容易定义。如 SD WAN 解决方案所示, 这称为业务流程平台, 它允许网络管理员定义给定虚拟网络的配置 (名称、IP 地址范围等), 并建立向对等方提供的邀请, 以便它注册的网络。

在使用 vin 网络注册之前, 必须向 vin 对等方提供一个用于与 vin 平台联系的邀请字符串。这是一个带有随机标记的 URL 形式, 它标识对等方要加入的网络。对等方在 VIN 平台上注册邀请 (认为 RSVP), 如果启用, 则等待网络管理员的批准。这消除了用户名和密码的使用, 并使虚拟网络设备为中心, 而不是以人为中心。

在批准邀请注册时, 对等方接收批准通知, 代理服务将用户或节点连接到网状网络。在这一点上, 所有的魔术发生在 VIN。

首先, VIN 对等方将通过证书验证将代理服务器安全地标识为合法。这种情况与 web 浏览器验证安全 web 服务器的方式非常相似。在验证时, 由对等方推送和接收加密的网络信息, 然后用于向 VIN 代理注册并加入网络。

在成功验证了 vin 对等方后, vin 代理将向已加入网络的其他对等方宣布新的对等点。这些对等方将反过来响应确认。此序列形成快速发现过程, 通常在新的对等方和现有的 P2P 之间启动连接。使用良好的 NAT 防火墙, 这个 P2P 的协商过程几乎是瞬时的。

新的对等点是网络的一部分, 现在可以与网络中的其他对等方进行通信, 以提供一种 LAN 体验, 在这种情况下, 操作系统服务将开始在新的虚拟 LAN 结构中相互发现。每一个 vin 的对等方都将不断尝试建立与它在虚拟网络上所知道的每一个 vin 对等点的 P2P 连接。由于加入时发生的公告过程, 对等方迅速发现对方。

为了通过每个对等节点可能驻留的各自防火墙来维护这些 P2P 连接, 将发送小型的保持活动探测器, 以确保即使在最安静的时候, 至少有一个数据包经常被发送以保持防火墙 NAT 表活着进入。在对等节点和 vin 代理之间也是如此, 以确保 vin 代理始终能够向每个对等节点发送信息。对于不建立直接 P2P 连接的对等节点, 则使用通过 VIN 代理的中继。

一旦建立了连接并形成了虚拟网络, 结果就是在构成虚拟网络边缘的每个 VIN 对等点之间进行了虚拟 LAN 拉伸。网络的行为等同于物理 LAN 段。

什么使得 VIN 网络 "几乎看不见"?

VIN 网络的 P2P 能力是什么使它难以检测和独特与其他竞争者 SD 广域网产品。为了发现虚拟网络结构, 没有集中注意力的中心点, 即使发现了它, 该人也只会看到遍历虚拟网络的所有内容中非常有限的部分, 也许只有那些通过两个节点或两点。该人也需要在相同的电路, 交通是遍历, 以拦截它只发现帧是使用强 AES 加密加密。

因此, 只在理论上可以捕获虚拟网络上的一部分通信量, 而完全不知道其他节点之间发送的任何其他通信。与此相关的事实是, 节点通常驻留在没有开放端口 (PAT) 的防火墙后面, 以便该节点与其他节点进行通信。节点可以愉快地发送和接收来自网络上其他节点的通信, 而虚拟网络之外的节点无法到达虚拟网络中的任何节点, 更不用说知道它们在各自的后面防火墙.

因此, 在所有这些情况下, "虚拟网络" 可以被认为是 "几乎看不见的"。

这个概念已经被许多独立的安全和全球的 IT 公司所检验。虚拟隐形网络解决方案由美国独立的网络安全专家描述, 安全状态为"当今市场上最安全的产品之一"和 "与 SecureState 工作的顶级财富500强公司一致"。

Netlinkz (原 iWebGate) 也赢得了全球安全挑战, 是世界上最大的国际安全创新竞赛。这场比赛由美国国防部赞助。

如何使用 VIN 网络?

最简单的解决方法是任何你可以做的传统的局域网上可以做的 VIN 网络.VIN 网络本身就是一个 lan, 它支持通常的广播和多播通信, 您可以在传统的单个 lan 段中找到它。

在传统 LAN 中使用节点时, 这些节点的操作系统在功能上最好, 因为服务和资源发现效率更高。节点将相互发现并建立直接连接, 几乎可以立即允许建立通常的操作系统功能, 包括在文件夹和文件浏览器中的网络位置的数量。

如果活动目录 (ad) 服务器被带入 vin 网络, 则也是 vin 网络的一部分的 ad 客户端节点将能够发现并充分利用服务。尚未加入 AD 域的客户端节点可以毫不费力地在 VIN 连接上进行。即使 vin 在 VPN 模式下, 并且 AD 服务器不是 vin 网络的一部分, 也可以这样做。

虚拟专用网络 (VPN) 是否提供对 LAN 的访问?

是的, 但在有限的意义上。

vpn 不允许远程用户成为 lan 的广播域的一部分, 因为远程用户被认为超出了 vpn 服务器充当网关类型的 lan。VPN 隧道用于提供对网络的访问, 但必须知道服务的位置才能到达, 或者必须提供专门的帮助, 以便发现资源和服务的位置。

vin 可以通过启用通信路由 (中继) 来复制 VPN 模型, 但是, 在默认情况下, vin 会创建一个与 LAN 完全相同的全新虚拟网络, 并允许将资源和服务引入新的虚拟网络, 而不会暴露任何东西, 包括底层的物理网络。那些加入 VIN 网络的节点就能够像它们在同一个 LAN 中一样工作, 而不考虑它们的位置。因此, 可以从不同的位置引入服务器、台式机、膝上型计算机和 hand-held 设备, 并允许它们彼此通信, 因为它们都在同一虚拟 LAN 上。

如果 VIN 本机模式等同于 LAN, 还有哪些其他模式?

VIN 可以以三种模式之一建立网络:

  • 本机对等模式 (LAN)
  • Peer-to-Network 模式 (VPN)
  • 网络模式 (WAN/VPN)

本机模式是 VIN 网络的默认模式。虽然所有模式都创建一个虚拟 LAN, 但此模式是在没有任何节点启用路由的情况下建立的。此模式的目的是在选定节点之间建立高度安全的通信。客户端节点可以与提供适当的应用程序、服务和资源的服务器一起带入网络。例如, Exchange 服务器可供客户端节点访问所提供的组电子邮件和日历服务。AD 服务器不需要加入网络, 只能通过物理 LAN 访问 Exchange 服务器。

Peer-to-Network 模式模拟漫游 VPN 用户的情况, 远程用户需要访问专用 lan 上所需的所有资源, 但太麻烦, 无法将物理 lan 上的所有节点都带到虚拟网络中。使用 VIN, 这需要基本的 IP 路由知识, 以便建立这样的连接, 但结果与典型的远程用户 VPN 相同, 同时保持更安全。

网络模式用于建立等价的基础结构或固定 VPN。通常, 这在两个不同的本地化网络 (例如 lan) 之间模拟专用的专用专线连接, 但是可以像复制整个 MPLS 的网络一样广泛, 如果没有更高的效率, 并且能够建立几分钟, 而不是几周的问题。虽然可以节省大量成本, 但这确实需要对 IP 路由能力有一个相当高级的了解。同样值得注意的是, 一个 mlp 的网络解决方案将比一个比一个可比的 VIN 解决方案更昂贵的因素至少五十。

VIN 解决方案的局限性是什么?

鉴于 lan 的局限性是相当少的, 同样的是正确的 VIN, 但一些在 VIN 中消除了物理 lan 所遇到的限制.

例如, 物理 LAN 最重要的限制是它所覆盖的区域。这是立即淘汰的 VIN, 因为它是故意设计的功能, 在更大的区域网络的顶部, 包括互联网。

lan 通常受限于在冲突变得过于频繁和影响性能之前可以连接到单个网段的节点数。通常, 在需要网络隔离之前, 网络管理员不会将任何超过200节点连接到 LAN。vin 强制一个 C 类网络掩码, 所以天花板是一个单一的网络254节点, 然而, 虽然在与 VIN 的冲突是不可能的, 这是不建议如果虚拟网络将大量加载的广播和多播通信可能导致显著的交通负荷。

除了节点计数限制之外, 还有另一个限制是从代理或对等组件加载到的计算机的基本计算能力中强加的。其中的计算能力越小, 性能就越低, 流量的吞吐量也会降低。对于代理服务, 缺少计算资源也将限制可以向其注册的节点数。对于一个合理的单服务器, 此限制可能只有200节点。为了绕过这个问题, 需要在负载平衡的集群上建立 VIN 的服务器方面。高可用性服务加上负载平衡服务还将消除仅使用单个代理服务而导致的单点故障。

当然, 最终的限制是可用带宽。vin 网络的直接 P2P 性质意味着不需要高得多的服务器带宽可用性, 而简单的宽带互联网更能支持 vin 网络。但是, 对于支持高流量负载的繁忙 VIN 网络, 应在必要时分配更多带宽。

Netlinkz 正在继续将其平台扩展到规模更大的企业和运营商等级标准。

如果 VIN 是广域网, 为什么它有时被描述为 SD 广域网?

vin 与其他 sd wan 解决方案 (如 VeloCloud) 比较合理, 但 vin 的数据平面将其与 sd 解决方案分开。真正的覆盖虚拟网络始终是作为一个网状网络提供的, 其功能与 lan 的方式完全相同, 因此提供了 lan 的所有相同的优点, 甚至消除了典型 lan 的一些限制。VIN 不依赖于传统的 VPN (例如, VeloCloud 使用的 IPsec), 因此效率更高。

VIN 也非常容易扩展并可以加载到任何窗口, MAC 或 Linux 计算机或 Android/iOS 设备。

虚拟隐形网络的主要优势

  • 性能:由于虚拟网络结构的网状拓扑结构, 提高了网络性能。这些改进主要归因于网络级别的 P2P 能力。
  • 可靠性:即使底层网络出现故障或遇到间歇性问题, VIN 已被证明比任何其他基于 VPN 的解决方案更能保持连接。在恢复基础传输的情况下, VIN 也自动自我修复。
  • 性:VIN 网络可轻松快速地扩展或降低, 只需添加或删除对等节点即可。
  • 安全:VIN 采用传统的安全方法, 期望任何私有网络都在公共层上分层, 但设计也更安全。有关详细信息, 请参阅我们的安全页面。
  • 灵活性:VIN 与传统的物理以太网网络具有相同的网络灵活性, 并且可以与任何其他类型的基于 ip 的网络进行互连, 从而为无限可能提供服务。
  • 广域网上的 LAN:VIN 是唯一的虚拟网络解决方案, 它能够在更大的地理区域提供真正的 LAN 体验。VIN 使用任何类型的网络来支持分层的虚拟网络结构, 它的行为就像传统的 LAN 网段。
  • 快速网络充放电:放电网络可以和建立一个网一样快。可以在几分钟内建立或拆除整个私有分层网络。
  • 减少资本和运营:大大减少了在特定网络硬件和基础设施方面的支出, 并得益于低订阅成本和不断降低的运营成本。
  • SD 方法:VIN 以 SD 广域网的方式提供, 便于网络设计和部署。通过中央业务流程平台配置和控制网络。然而, 在传统的基于 VPN 的 SD 模型中, 数据平面得到了明显的改善。