VPN是英文“Virtual Private Network”的縮寫，中文意思是“虛拟專用網絡”。

VPN是虛拟出來的企業内部專線。通過特殊加密的通訊協議，為連接在Internet上，不同地理位置的兩個或多個企業内部網，建立一條專有的通訊線路，就像架設了一條專線，但不需要真正去鋪設光纜之類的物理線路。

VPN由VPN服務器、VPN連接（Internet公共網絡）、協議隧道、VPN客戶機組成。

1. 通常情況下，VPN網關采取雙網卡結構，外網卡使用公網IP接入Internet。
2. 網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司内網)的終端B，其發出的訪問數據包的目标地址為終端B的内部IP地址。
3. 網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目标地址進行檢查，如果目标地址屬于網絡二的地址，則将該數據包進行封裝，封裝的方式根據所采用的VPN技術不同而不同，同時VPN網關會構造一個新VPN數據包，并将封裝後的原數據包作為VPN數據包的負載，VPN數據包的目标地址為網絡二的VPN網關的外部地址。
4. 網絡一的VPN網關将VPN數據包發送到Internet，由于VPN數據包的目标地址是網絡二的VPN網關的外部地址，所以該數據包将被Internet中的路由正确地發送到網絡二的VPN網關。
5. 網絡二的VPN網關對接收到的數據包進行檢查，如果發現該數據包是從網絡一的VPN網關發出的，即可判定該數據包為VPN數據包，并對該數據包進行解包處理。解包的過程主要是先将VPN數據包的包頭剝離，再将數據包反向處理還原成原始的數據包。
6. 網絡二的VPN網關将還原後的原始數據包發送至目标終端B，由于原始數據包的目标地址是終端B的IP，所以該數據包能夠被正确地發送到終端B。在終端B看來，它收到的數據包就和從終端A直接發過來的一樣。
7. 從終端B返回終端A的數據包處理過程和上述過程一樣，這樣兩個網絡内的終端就可以相互通訊了。

在VPN網關對數據包進行處理時，有兩個參數對于VPN通訊十分重要：原始數據包的目标地址（VPN目标地址）和遠程VPN網關地址。根據VPN目标地址，VPN網關能夠判斷對哪些數據包進行VPN處理，對于不需要處理的數據包通常情況下可直接轉發到上級路由；遠程VPN網關地址則指定了處理後的VPN數據包發送的目标地址，即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網關都必須知道VPN目标地址和與此對應的遠端VPN網關地址。

VPN的實現有很多種方法，常用的有以下四種：

1．VPN服務器：在大型局域網中，可以通過在網絡中心搭建VPN服務器的方法實現VPN。

2．軟件VPN：可以通過專用的軟件實現VPN。

3．硬件VPN：可以通過專用的硬件實現VPN。

4．集成VPN：某些硬件設備，如路由器、防火牆等，都含有VPN功能，但是一般擁有VPN功能的硬件設備通常都比沒有這一功能的要貴。

根據不同的劃分标準，VPN可以按幾個标準進行分類劃分：

• 按VPN的協議分類：

VPN的隧道協議主要有三種，PPTP、L2TP和IPSEC，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議。

• 按VPN的應用分類：

（1）Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨幹網在設備之間傳輸VPN數據流量；

（2）Intranet VPN（内聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源；

（3）Extranet VPN（外聯網VPN）：與合作夥伴企業網構成Extranet，将一個公司與另一個公司的資源進行連接。

• 按所用的設備類型進行分類：

網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要為交換機、路由器和防火牆：

（1）路由器式VPN：路由器式VPN部署較容易，隻要在路由器上添加VPN服務即可；

（2）交換機式VPN：主要應用于連接用戶較少的VPN網絡；

（3）防火牆式VPN：防火牆式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型

• 按照實現原理劃分：

（1）重疊VPN：此VPN需要用戶自己建立端節點之間的VPN鍊路，主要包括：GRE、L2TP、IPSec等衆多技術。

（2）對等VPN：由網絡運營商在主幹網上完成VPN通道的建立，主要包括MPLS、VPN技術。

• 二層VPN L2TP

該協議是一種工業标準的Internet隧道協議，功能大緻和PPTP協議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡為IP網絡，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。L2TP協議是由IETF起草，微軟、Ascend、Cisco，3com等公司參予制定的二層隧道協議，它結合了PPTP和L2F兩種二層隧道協議的優點，為衆多公司所接受，已經成為IETF有關2層通道協議的工業标準，基于微軟的點對點隧道協議 (PPTP)和思科2層轉發協議(L2F)之上的，被一個因特網服務提供商和公司使用使這個虛拟私有網絡的操作能夠通過因特網。

• 三層VPN

三層VPN包含了很多種VPN，标準的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企業一般按照自己的需求選擇合适的VPN，每種VPN都有自己的優點和缺點。

1. SSLVPN：SSLVPN指的是基于安全套接層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用随着Web的普及和電子商務、遠程辦公的興起而發展迅速。
2. GRE隧道VPN：通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規定了怎樣用一種網絡層協議去封裝另一種網絡層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網絡連接IPX網絡和AppleTalk網絡，還可以使用保留地址進行網絡互聯，或對公網隐藏企業網的IP地址。
3. IPsecVPN：IPsecVPN是網絡層的VPN技術，它獨立于應用程序，以自己的封包封裝原始IP信息，因此可隐藏所有應用協議的信息。一旦IPSEC建立加密隧道後，就可以實現各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個傳輸直接對應到VPN網關之後的相關服務器上。 IPSEC是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協議，對應用層協議完全透明，這是IPSEC VPN的最大優點之所在。

• MPLSVPN

MPLS-VPN是指采用MPLS技術在寬帶IP網絡上構建企業IP專網，實現跨地域、安全、高速、可靠 的數據、語音、圖像多業務通信，并結合差别服務、流量工程等相關技術，将公衆網可靠的性能、良好的擴展性、豐富的功能與專用網的安全 、靈活、高效結合在一起，為用戶提供高質量的服務。

VPN是建立在實際網絡（或物理網絡）基礎上的一種功能性網絡。它利用低成本的公共網絡做為企業骨幹網，同時又克服了公共網絡缺乏保密性的弱點，在VPN網絡中，位于公共網絡兩端的網絡在公共網絡上傳輸信息時，其信息都是經過安全處理的，可以保證數據的完整性、真實性和私有性。

VPN有效解決了地理距離過長，無法假設物理網絡以及或随時訪問企業内網的安全問題。公司内部網絡是封閉的、有邊界的，這一問題限制了企業内部各種應用的延伸。通過VPN，将兩個物理上分離的網絡通過Internet這個公共網絡進行邏輯上的直接連接，通過這種方式我們可以無限延伸企業的内部網絡，繼而使所有用戶可以訪問相同的資源，使用相同的應用。

VPN的可以很好的利用當前既有的Internet線路資源，不再受地域的限制，而對于用戶來講，VPN的工作方式是完全透明的。VPN可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的内部網建立可信的安全連接，并保證數據的安全傳輸。

上一篇：「網絡安全」安全設備篇（8）——網閘

下一篇：「網絡安全」安全設備篇（10）——抗DDOS産品

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!