一、VPN是什么意思

VPN是Virtual Private Network英文首字母的縮寫，中文翻譯為虛擬專用網(wǎng)絡(luò), VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)，進(jìn)行加密通訊。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問，可通過服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)。

VPN在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用，例如某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。

二、VPN(虛擬專用網(wǎng)絡(luò))工作原理

讓外地員工訪問到內(nèi)網(wǎng)資源，利用VPN的解決方法就是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN服務(wù)器。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)連接VPN服務(wù)器，然后通過VPN服務(wù)器進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣，但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此VPN稱為虛擬專用網(wǎng)絡(luò)，其實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN訪問內(nèi)網(wǎng)資源，這就是VPN在企業(yè)中應(yīng)用得如此廣泛的原因。

通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。VPN的基本工作原理步驟如下。

1、網(wǎng)絡(luò)一(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡(luò)二(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B的內(nèi)部IP地址。

2、網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時(shí)對其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)二的地址，則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時(shí)VPN網(wǎng)關(guān)會(huì)構(gòu)造一個(gè)新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址。

3、網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)。

4、網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。

5、網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。

6、從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。

通過上述說明可以發(fā)現(xiàn)，在VPN網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行處理時(shí)，有兩個(gè)參數(shù)對于VPN通訊十分重要：原始數(shù)據(jù)包的目標(biāo)地址（VPN目標(biāo)地址）和遠(yuǎn)程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標(biāo)地址，VPN網(wǎng)關(guān)能夠判斷對哪些數(shù)據(jù)包進(jìn)行VPN處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級路由；遠(yuǎn)程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標(biāo)地址，即VPN隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行VPN通訊時(shí)，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對應(yīng)的遠(yuǎn)端VPN網(wǎng)關(guān)地址。

三、VPN(虛擬專用網(wǎng)絡(luò))工作過程

VPN的基本處理過程如下：

1、要保護(hù)主機(jī)發(fā)送明文信息到其他VPN設(shè)備。

2、VPN設(shè)備根據(jù)網(wǎng)絡(luò)管理員設(shè)置的規(guī)則，確定是對數(shù)據(jù)進(jìn)行加密還是直接傳輸。

3、對需要加密的數(shù)據(jù)，VPN設(shè)備將其整個(gè)數(shù)據(jù)包（包括要傳輸?shù)臄?shù)據(jù)、源IP地址和目的lP地址）進(jìn)行加密并附上數(shù)據(jù)簽名，加上新的數(shù)據(jù)報(bào)頭（包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)）重新封裝。

4、將封裝后的數(shù)據(jù)包通過隧道在公共網(wǎng)絡(luò)上傳輸。

5、數(shù)據(jù)包到達(dá)目的VPN設(shè)備后，將其解封，核對數(shù)字簽名無誤后，對數(shù)據(jù)包解密。

四、VPN(虛擬專用網(wǎng)絡(luò))的類別

1、按VPN的協(xié)議分類

VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

2、按VPN的應(yīng)用分類

(1)、Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量；

(2)、Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源；

(3)、Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。

3、按所用的設(shè)備類型進(jìn)行分類

網(wǎng)絡(luò)設(shè)備提供商針對不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)、路由器和防火墻：

(1)、路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；

(2)、交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)。

4、按照實(shí)現(xiàn)原理劃分

(1)、重疊VPN：此VPN需要用戶自己建立端節(jié)點(diǎn)之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等眾多技術(shù)；

(2)、對等VPN：由網(wǎng)絡(luò)運(yùn)營商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS、VPN技術(shù)。

五、VPN(虛擬專用網(wǎng)絡(luò))的實(shí)現(xiàn)方法

VPN網(wǎng)關(guān)通過數(shù)據(jù)包的加密和數(shù)據(jù)包的目標(biāo)地址的轉(zhuǎn)換來實(shí)現(xiàn)遠(yuǎn)程訪問，實(shí)現(xiàn)方法有很多種，常用的有以下四種：

1、VPN服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法實(shí)現(xiàn)VPN。

2、軟件VPN：可以通過專用的軟件實(shí)現(xiàn)VPN。

3、硬件VPN：可以通過專用的硬件實(shí)現(xiàn)VPN。

4、集成VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設(shè)備通常都比沒有這一功能的要貴。

六、VPN(虛擬專用網(wǎng)絡(luò))的優(yōu)點(diǎn)

1、使用VPN可降低成本。通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN(廣域網(wǎng))設(shè)備和遠(yuǎn)程訪問設(shè)備。

2、傳輸數(shù)據(jù)安全可靠。VPN產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

3、連接方便靈活。用戶如果想與合作伙伴連網(wǎng)，如果沒有VPN，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了VPN之后，只需雙方配置安全連接信息即可。

4、完全控制。VPN使用戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其他的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理，在企業(yè)內(nèi)部也可以自己建立VPN。

七、VPN(虛擬專用網(wǎng)絡(luò))的缺點(diǎn)

1、企業(yè)不能直接控制基于互聯(lián)網(wǎng)的VPN的可靠性和性能。機(jī)構(gòu)必須依靠提供VPN的互聯(lián)網(wǎng)服務(wù)提供商保證服務(wù)的運(yùn)行。這個(gè)因素使企業(yè)與互聯(lián)網(wǎng)服務(wù)提供商簽署一個(gè)服務(wù)級協(xié)議非常重要，要簽署一個(gè)保證各種性能指標(biāo)的協(xié)議。

2、企業(yè)創(chuàng)建和部署VPN線路并不容易。這種技術(shù)需要高水平地理解網(wǎng)絡(luò)和安全問題，需要認(rèn)真的規(guī)劃和配置。因此，選擇互聯(lián)網(wǎng)服務(wù)提供商負(fù)責(zé)運(yùn)行VPN的大多數(shù)事情是一個(gè)好主意。

3、不同廠商的VPN產(chǎn)品和解決方案總是不兼容的，因?yàn)樵S多廠商不愿意或者不能遵守VPN技術(shù)標(biāo)準(zhǔn)。因此，混合使用不同廠商的產(chǎn)品可能會(huì)出現(xiàn)技術(shù)問題。另一方面，使用一家供應(yīng)商的設(shè)備可能會(huì)提高成本。

4、當(dāng)使用無線設(shè)備時(shí)，VPN有安全風(fēng)險(xiǎn)。在接入點(diǎn)之間漫游特別容易出問題。當(dāng)用戶在接入點(diǎn)之間漫游的時(shí)候，任何使用高級加密技術(shù)的解決方案都可能被攻破。

總結(jié)

優(yōu)化猩SEO： VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可連接，在VPN網(wǎng)絡(luò)中，其信息都是經(jīng)過安全處理的，可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。

參考鏈接：

https://baike.baidu.com/item/%E8%99%9A%E6%8B%9F%E4%B8%93%E7%94%A8%E7%BD%91%E7%BB%9C/8747869

修改于2023-07-25