我們經常提到的VPN,也就是虛拟專用網絡，本文就做一下系統地總結說明。

虛拟專用網絡

在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目标地址的轉換實現遠程訪問。VPN有多種分類方式，主要是按協議進行分類。VPN可通過服務器、硬件、軟件、集成等方式實現。VPN屬于遠程訪問技術，通過VPN可實現在異地訪問企業内部網絡資源的目的。

VPN按協議分類

類型有PPTP VPN、L2TP VPN、MPLS VPN、IPsec VPN、GRE VPN、SSL VPN、Open VPN。

不同協議工作在OSI七層模型的不同層上。如：第二層數據鍊路層中的 PPTP、L2TP、MPLS；第三層網絡層的 IPsec、GRE；以及位于傳輸層與應用層之間的 SSL。

VPN的常用實現方式

1. VPN服務器：通過在網絡中心搭建VPN服務器的方法實現VPN。
2. 硬件VPN：通過專用的硬件實現。
3. 軟件VPN：通過專用的軟件實現。
4. 集成VPN：通過含有VPN功能的網絡設備，如：防火牆、路由器實現。

VPN類型詳解

PPTP：點對點隧道協議，一種支持多協議虛拟專用網絡（VPN）的網絡技術，工作在第二層數據鍊路層。以同樣工作在第二層的點對點傳輸協議（PPP）為基礎，PPTP将PPP幀封裝成IP數據包，以便于在互聯網上傳輸并可以通過密碼驗證協議（PAP），可擴展認證協議（EAP）增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網絡資源。

PPTP VPN的實現需要：客戶機和服務器之間必須有聯通并且可用的IP網絡。

該VPN可在Windows、Linux環境下搭建，或者通過配置路由器來實現。

L2F：第二層轉發協議。 用于建立跨越公共網絡的安全隧道來将ISP POP連接到企業内部網關。這個隧道建立了一個用戶與企業客戶網絡間的虛拟點對點連接。 L2F允許高層協議的鍊路層隧道技術，使得把原始撥号服務器的位置和撥号協議連接終止與提供的網絡訪問位置分離成為可能。

L2TP VPN

L2TP：二層隧道協議，結合PPTP與L2F兩種二層隧道協議的優點，為衆多公司接受。 L2TP擴展了PPP模型，它使用PPP來封裝用戶數據，允許多協議通過隧道傳送，作為安全性增強，L2TP與IPSec（Internet協議安全性）結合——L2TP/IPsec， L2TP基于UDP協議，因此L2TP不保證數據消息的可靠投遞，若數據丢失，不予重傳。

L2TP 的實現：與PPTP不同， PPTP要求網絡為IP網絡，L2TP要求面向數據包的點對點連接。

該VPN可在Windows、Linux環境下搭建，或者通過配置防火牆、路由器來實現。

MPLS VPN

MPLS：多協議标簽交換（MPLS）是一種用于快速數據包交換和路由的體系，它為網絡數據流量提供了目标、路由地址、轉發和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。

它提供了一種方式，将IP地址映射為簡單的具有固定長度的标簽，用于不同的包轉發和包交換技術。

傳統的VPN是基于 PPTP L2TP等隧道協議來實現私有網絡間數據流在公網上的傳送。而LSP本身就是公網上的隧道，所以用MPLS來實現VPN有天然的優勢。

基于MPLS的VPN就是通過LSP将私有網絡的不同分支聯結起來，形成一個統一的網絡。基于MPLS的VPN還支持對不同VPN間的互通控制。

MPLSVPN網絡主要由CE、PE和P等3部分組成：

• CE（Customer Edge）：用戶網絡邊緣設備，可以是路由器 交換機 主機。
• PE（Provider Edge）：是服務商邊緣路由器，位于骨幹網絡。
• P（Provider）：是服務提供商網絡中的骨幹路由器。

該VPN需通過配置路由器搭建。

IPsec VPN

nternet 協議安全性 (IPSec) 是一種開放标準的框架結構，通過使用加密的安全服務以确保在 Internet 協議 (IP) 網絡上進行保密而安全的通訊。同時，IPSec協議通過包封裝技術，還可以封裝内部網絡的地址，實現異地網絡的互連聯，因此，IPSec也是一種VPN技術。

IPSec 不是一個單獨的協議，它給出了應用于IP 層上網絡數據安全的一整套體系結構。該體系結構包括認證頭協議（Authentication Header，簡稱為AH）、封裝安全負載協議（EncapsulatingSecurity Payload，簡稱為ESP）。

IPSec可以在兩種模式下運行，傳輸模式和隧道模式。

• 傳輸模式：傳輸層數據被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常，傳輸模式應用在兩台主機之間的通訊，或一台主機和一個安全網關之間的通訊。
• 隧道模式：用戶的整個IP數據包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常，隧道模式應用在兩個安全網關之間的通訊。由此可知隧道模式可以掩蓋原IP地址實現異地網絡訪問内部網絡，也就是VPN。

該VPN可在Windows、Linux環境下搭建，或者通過配置防火牆、路由器、第三方軟件實現。

GRE VPN

GRE（Generic Routing Encapsulation）即通用路由封裝協議，應用于網絡設備，目前有多數廠商的網絡設備均支持GRE隧道協議。 GRE是對某些網絡層協議的數據報進行封裝，使這些被封裝的數據報能夠在另一個網絡層協議中傳輸。GRE是VPN的第三層隧道協議，即在協議層之間采用了一種被稱之為Tunnel（隧道）的技術。

tunnel 是一個虛拟的點對點的連接，在實際中可以看成僅支持點對點連接的虛拟接口，這個接口提供了一條通路使封裝的數據報能夠在這個通路上傳輸，并且在一個tunnel 的兩端分别對數據報進行封裝及解封裝。

該VPN可通過網絡設備搭建。

SSL VPN

SSL(Secure Sockets Layer安全套接層)協議，它指定了一種在應用程序協議（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 協議之間提供數據安全性分層的機制，它為 TCP/IP 連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。

SSL協議可分為兩層：

• SSL記錄協議(SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
• SSL握手協議(SSL Handshake Protocol）：它建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

通過SSL VPN是接入企業内部的應用，而不是企業的整個網絡。

使用SSL VPN可通過标準的WEB浏覽器連接因特網即可通過網頁訪問到企業應用。大多數執行基于SSL協議的遠程訪問不需要依賴客戶端軟件。

該VPN可在Windows server 2008、Windows 7企業版、Linux環境下搭建，或者通過網絡設備實現。

OPEN VPN

OpenVPN是一個基于SSL加密的應用層VPN協議。

OpenVpn的技術核心是虛拟網卡，其次是SSL協議實現。

虛拟網卡是使用網絡底層編程技術實現的一個驅動軟件，安裝後在主機上多出現一個網卡，可以像其它網卡一樣進行配置。服務程序可以在應用層打開虛拟網卡，如果應用軟件向虛拟網卡發送數據，則服務程序可以讀取到該數據，如果服務程序寫合适的數據到虛拟網卡，應用軟件也可以接收得到。虛拟網卡在很多的操作系統下都有相應的實現，這也是OpenVpn能夠跨平台一個很重要的理由。

該VPN可在Windows、Linux環境下搭建，或者通過網絡設備、第三方軟件搭建。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!