VPN是什么？VPN的詳細(xì)介紹和工作壓力及常見VPN介紹說(shuō)明

VPN是英文“Virtual Private Network”的縮寫，中文意思是“虛擬專用網(wǎng)絡(luò)”。

VPN是虛擬出來(lái)的企業(yè)內(nèi)部專線。通過(guò)特殊加密的通訊協(xié)議，為連接在Internet上，不同地理位置的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)，建立一條專有的通訊線路，就像架設(shè)了一條專線，但不需要真正去鋪設(shè)光纜之類的物理線路。

VPN構(gòu)成

VPN由VPN服務(wù)器、VPN連接（Internet公共網(wǎng)絡(luò)）、協(xié)議隧道、VPN客戶機(jī)組成。

工作原理...

1.通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。

2.網(wǎng)絡(luò)一(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡(luò)二(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B的內(nèi)部IP地址。

3.網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時(shí)對(duì)其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)二的地址，則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時(shí)VPN網(wǎng)關(guān)會(huì)構(gòu)造一個(gè)新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址。

4.網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)。

5.網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對(duì)該數(shù)據(jù)包進(jìn)行解包處理。解包的過(guò)程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。

6.網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來(lái)，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過(guò)來(lái)的一樣。

7.從終端B返回終端A的數(shù)據(jù)包處理過(guò)程和上述過(guò)程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。

在VPN網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行處理時(shí)，有兩個(gè)參數(shù)對(duì)于VPN通訊十分重要：原始數(shù)據(jù)包的目標(biāo)地址（VPN目標(biāo)地址）和遠(yuǎn)程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標(biāo)地址，VPN網(wǎng)關(guān)能夠判斷對(duì)哪些數(shù)據(jù)包進(jìn)行VPN處理，對(duì)于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標(biāo)地址，即VPN隧道的另一端VPN網(wǎng)關(guān)地址。

由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行VPN通訊時(shí)，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對(duì)應(yīng)的遠(yuǎn)端VPN網(wǎng)關(guān)地址。

實(shí)現(xiàn)方式

VPN的實(shí)現(xiàn)有很多種方法，常用的有以下四種：

1．VPN服務(wù)器：在大型局域網(wǎng)中，可以通過(guò)在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法實(shí)現(xiàn)VPN。

2．軟件VPN：可以通過(guò)專用的軟件實(shí)現(xiàn)VPN。

3．硬件VPN：可以通過(guò)專用的硬件實(shí)現(xiàn)VPN。

4．集成VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設(shè)備通常都比沒有這一功能的要貴。

VPN分類

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類劃分：

按VPN的協(xié)議分類：

VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

按VPN的應(yīng)用分類：

（1）Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量；

（2）Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過(guò)公司的網(wǎng)絡(luò)架構(gòu)連接來(lái)自同公司的資源；

（3）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。

按所用的設(shè)備類型進(jìn)行分類：

網(wǎng)絡(luò)設(shè)備提供商針對(duì)不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)、路由器和防火墻：

（1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；

（2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)；

（3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型。

按照實(shí)現(xiàn)原理劃分：

（1）重疊VPN：此VPN需要用戶自己建立端節(jié)點(diǎn)之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等眾多技術(shù)。

（2）對(duì)等VPN：由網(wǎng)絡(luò)運(yùn)營(yíng)商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS、VPN技術(shù)。

常見VPN介紹

二層VPN L2TP

該協(xié)議是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過(guò)也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。

L2TP協(xié)議是由IETF起草，微軟、Ascend、Cisco，3com等公司參予制定的二層隧道協(xié)議，它結(jié)合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點(diǎn)，為眾多公司所接受，已經(jīng)成為IETF有關(guān)2層通道協(xié)議的工業(yè)標(biāo)準(zhǔn)，基于微軟的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)和思科2層轉(zhuǎn)發(fā)協(xié)議(L2F)之上的，被一個(gè)因特網(wǎng)服務(wù)提供商和公司使用使這個(gè)虛擬私有網(wǎng)絡(luò)的操作能夠通過(guò)因特網(wǎng)。

三層VPN

三層VPN包含了很多種VPN，標(biāo)準(zhǔn)的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企業(yè)一般按照自己的需求選擇合適的VPN，每種VPN都有自己的優(yōu)點(diǎn)和缺點(diǎn)。

1.SSLVPN：SSLVPN指的是基于安全套接層協(xié)議(Security Socket Layer-SSL)建立遠(yuǎn)程安全訪問通道的VPN技術(shù)。它是近年來(lái)興起的VPN技術(shù)，其應(yīng)用隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展迅速。

2.GRE隧道VPN：通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協(xié)議，如RIP、OSPF、IGRP、EIGRP。通過(guò)GRE，用戶可以利用公用IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)和AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或?qū)W(wǎng)隱藏企業(yè)網(wǎng)的IP地址。

3.IPsecVPN：IPsecVPN是網(wǎng)絡(luò)層的VPN技術(shù)，它獨(dú)立于應(yīng)用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息。一旦IPSEC建立加密隧道后，就可以實(shí)現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個(gè)傳輸直接對(duì)應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。IPSEC是與應(yīng)用無(wú)關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對(duì)應(yīng)用層協(xié)議完全透明，這是IPSEC VPN的最大優(yōu)點(diǎn)之所在。

MPLSVPN

MPLS-VPN是指采用MPLS技術(shù)在寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起，為用戶提供高質(zhì)量的服務(wù)。

VPN作用

VPN是建立在實(shí)際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一種功能性網(wǎng)絡(luò)。它利用低成本的公共網(wǎng)絡(luò)做為企業(yè)骨干網(wǎng)，同時(shí)又克服了公共網(wǎng)絡(luò)缺乏保密性的弱點(diǎn)，在VPN網(wǎng)絡(luò)中，位于公共網(wǎng)絡(luò)兩端的網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上傳輸信息時(shí)，其信息都是經(jīng)過(guò)安全處理的，可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。

VPN有效解決了地理距離過(guò)長(zhǎng)，無(wú)法假設(shè)物理網(wǎng)絡(luò)以及隨時(shí)訪問企業(yè)內(nèi)網(wǎng)的安全問題。公司內(nèi)部網(wǎng)絡(luò)是封閉的、有邊界的，這一問題限制了企業(yè)內(nèi)部各種應(yīng)用的延伸。通過(guò)VPN，將兩個(gè)物理上分離的網(wǎng)絡(luò)通過(guò)Internet這個(gè)公共網(wǎng)絡(luò)進(jìn)行邏輯上的直接連接，通過(guò)這種方式我們可以無(wú)限延伸企業(yè)的內(nèi)部網(wǎng)絡(luò)，繼而使所有用戶可以訪問相同的資源，使用相同的應(yīng)用。

VPN的可以很好的利用當(dāng)前既有的Internet線路資源，不再受地域的限制，而對(duì)于用戶來(lái)講，VPN的工作方式是完全透明的。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。