VPN是英文“Virtual Private Network”的縮寫，中文意思是“虛擬專用網(wǎng)絡(luò)”。

VPN是虛擬出來的企業(yè)內(nèi)部專線。通過特殊加密的通訊協(xié)議，為連接在Internet上，不同地理位置的兩個或多個企業(yè)內(nèi)部網(wǎng)，建立一條專有的通訊線路，就像架設(shè)了一條專線，但不需要真正去鋪設(shè)光纜之類的物理線路。

VPN構(gòu)成

VPN由VPN服務(wù)器、VPN連接（Internet公共網(wǎng)絡(luò)）、協(xié)議隧道、VPN客戶機組成。

工作原理...

1.通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。

2.網(wǎng)絡(luò)一(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡(luò)二(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標地址為終端B的內(nèi)部IP地址。

3.網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目標地址進行檢查，如果目標地址屬于網(wǎng)絡(luò)二的地址，則將該數(shù)據(jù)包進行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時VPN網(wǎng)關(guān)會構(gòu)造一個新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負載，VPN數(shù)據(jù)包的目標地址為網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址。

4.網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標地址是網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)。

5.網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。

6.網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標終端B，由于原始數(shù)據(jù)包的目標地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。

7.從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。

在VPN網(wǎng)關(guān)對數(shù)據(jù)包進行處理時，有兩個參數(shù)對于VPN通訊十分重要：原始數(shù)據(jù)包的目標地址（VPN目標地址）和遠程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標地址，VPN網(wǎng)關(guān)能夠判斷對哪些數(shù)據(jù)包進行VPN處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級路由；遠程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標地址，即VPN隧道的另一端VPN網(wǎng)關(guān)地址。

由于網(wǎng)絡(luò)通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標地址和與此對應的遠端VPN網(wǎng)關(guān)地址。

實現(xiàn)方式

VPN的實現(xiàn)有很多種方法，常用的有以下四種：

1．VPN服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法實現(xiàn)VPN。

2．軟件VPN：可以通過專用的軟件實現(xiàn)VPN。

3．硬件VPN：可以通過專用的硬件實現(xiàn)VPN。

4．集成VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設(shè)備通常都比沒有這一功能的要貴。

VPN分類

根據(jù)不同的劃分標準，VPN可以按幾個標準進行分類劃分：

按VPN的協(xié)議分類：

VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

按VPN的應用分類：

（1）Access VPN（遠程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量；

（2）Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源；

（3）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個公司與另一個公司的資源進行連接。

按所用的設(shè)備類型進行分類：

網(wǎng)絡(luò)設(shè)備提供商針對不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機、路由器和防火墻：

（1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；

（2）交換機式VPN：主要應用于連接用戶較少的VPN網(wǎng)絡(luò)；

（3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現(xiàn)方式，許多廠商都提供這種配置類型。

按照實現(xiàn)原理劃分：

（1）重疊VPN：此VPN需要用戶自己建立端節(jié)點之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等眾多技術(shù)。

（2）對等VPN：由網(wǎng)絡(luò)運營商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS、VPN技術(shù)。

常見VPN介紹

二層VPN L2TP

該協(xié)議是一種工業(yè)標準的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對網(wǎng)絡(luò)數(shù)據(jù)流進行加密。不過也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。

L2TP協(xié)議是由IETF起草，微軟、Ascend、Cisco，3com等公司參予制定的二層隧道協(xié)議，它結(jié)合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點，為眾多公司所接受，已經(jīng)成為IETF有關(guān)2層通道協(xié)議的工業(yè)標準，基于微軟的點對點隧道協(xié)議 (PPTP)和思科2層轉(zhuǎn)發(fā)協(xié)議(L2F)之上的，被一個因特網(wǎng)服務(wù)提供商和公司使用使這個虛擬私有網(wǎng)絡(luò)的操作能夠通過因特網(wǎng)。

三層VPN

三層VPN包含了很多種VPN，標準的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企業(yè)一般按照自己的需求選擇合適的VPN，每種VPN都有自己的優(yōu)點和缺點。

1.SSLVPN：SSLVPN指的是基于安全套接層協(xié)議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術(shù)。它是近年來興起的VPN技術(shù)，其應用隨著Web的普及和電子商務(wù)、遠程辦公的興起而發(fā)展迅速。

2.GRE隧道VPN：通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協(xié)議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)和AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進行網(wǎng)絡(luò)互聯(lián)，或?qū)W(wǎng)隱藏企業(yè)網(wǎng)的IP地址。

3.IPsecVPN：IPsecVPN是網(wǎng)絡(luò)層的VPN技術(shù)，它獨立于應用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應用協(xié)議的信息。一旦IPSEC建立加密隧道后，就可以實現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個傳輸直接對應到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。IPSEC是與應用無關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對應用層協(xié)議完全透明，這是IPSEC VPN的最大優(yōu)點之所在。

MPLSVPN

MPLS-VPN是指采用MPLS技術(shù)在寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起，為用戶提供高質(zhì)量的服務(wù)。

VPN作用

VPN是建立在實際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一種功能性網(wǎng)絡(luò)。它利用低成本的公共網(wǎng)絡(luò)做為企業(yè)骨干網(wǎng)，同時又克服了公共網(wǎng)絡(luò)缺乏保密性的弱點，在VPN網(wǎng)絡(luò)中，位于公共網(wǎng)絡(luò)兩端的網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上傳輸信息時，其信息都是經(jīng)過安全處理的，可以保證數(shù)據(jù)的完整性、真實性和私有性。

VPN有效解決了地理距離過長，無法假設(shè)物理網(wǎng)絡(luò)以及隨時訪問企業(yè)內(nèi)網(wǎng)的安全問題。公司內(nèi)部網(wǎng)絡(luò)是封閉的、有邊界的，這一問題限制了企業(yè)內(nèi)部各種應用的延伸。通過VPN，將兩個物理上分離的網(wǎng)絡(luò)通過Internet這個公共網(wǎng)絡(luò)進行邏輯上的直接連接，通過這種方式我們可以無限延伸企業(yè)的內(nèi)部網(wǎng)絡(luò)，繼而使所有用戶可以訪問相同的資源，使用相同的應用。

VPN的可以很好的利用當前既有的Internet線路資源，不再受地域的限制，而對于用戶來講，VPN的工作方式是完全透明的。VPN可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。