计算机网络-VPN虚拟专用网络概述

前面我们学习了在企业内部的二层交换机网络、三层路由网络包括静态路由、OSPF、IS-IS、NAT等，现在开始学习下VPN（Virtual Private Network，虚拟专用网络），其实VPN可能很多人听到第一反应就是梯子，但是其实这在企业外联网络中算是很常见的技术了，这里来大致了解下，因为VPN涉及到一些客观因素成本可能较高。

一、背景概述

对于规模较大的企业来说，网络访问需求不仅仅局限于公司总部网络内，分公司、办事处、出差员工、合作单位等也需要访问公司总部的网络资源，那怎么办呢？可以采用VPN（Virtual Private Network，虚拟专用网络）技术来实现这一需求。VPN可以在不改变现有网络结构的情况下，建立虚拟专用连接。

VPN是一类技术的统称，不同的VPN技术拥有不同的特性和实现方式，常见的VPN技术包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等。

传统网络技术下，分支与企业总部主要通过Internet或者物理专线来进行数据共享，但是都有一定的局限，可能是数据安全，可能是成本因素。在这种情况下需要一种安全且成本较低的技术来实现企业间数据交互。

二、虚拟专用网络简介

VPN即虚拟专用网，泛指通过VPN技术在公用网络上构建的虚拟专用网络。VPN用户在此虚拟网络中传输私网流量，在不改变网络现状的情况下实现安全、可靠的连接。

特点：

专用（Private）。VPN网络是专门供VPN用户使用的网络，对于VPN用户，使用VPN与使用传统专网没有区别。VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。VPN与底层承载网络（一般为IP网络）之间保持资源独立，即VPN资源不被网络中非该VPN的用户所使用。
虚拟（Virtual）。VPN用户的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。

VPN和传统的数据专网相比具有如下优势：

安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。
可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。

公共网络又经常被称为VPN骨干网（VPN Backbone），公共网络可以是Internet，也可以是企业自建专网或运营商租赁专网。

简单说就是在我们平时的拨号网络中建立一个企业间的互联网络。

三、虚拟专用网络分类

根据不同的分类可以有多种，根据建设单位不同可以划分为：租用运营商VPN专线搭建企业VPN网络和自建企业VPN网络。

根据组网方式不同划分：远程访问VPN（Remote Access VPN），局域网到局域网的VPN（Site-to-site VPN）。

根据实现的网络层次划分，我们网络中常见的划分方式如：IPSec VPN、GRE VPN，L2TP VPN、PPTP VPN....

四、虚拟专用网络关键技术

作为网络工程师我们首先要知道互联网是不安全的，无时无刻不在遭受各种攻击和扫描，因此如果我们在公共网络中搭建虚拟专用网络需要一些技术来保障数据安全。

4.1 隧道技术

VPN技术的基本原理是利用隧道（Tunnel）技术，对传输报文进行封装，利用VPN骨干网建立专用数据传输通道，实现报文的安全传输。

位于隧道两端的VPN网关，通过对原始报文的“封装”和“解封装”，建立一个点到点的虚拟通信隧道。

隧道的功能就是在两个网络节点之间提供一条通路，使数据能够在这个通路上透明传输。VPN隧道一般是指在VPN骨干网的VPN节点之间建立的用来传输VPN数据的虚拟连接。隧道是构建VPN不可或缺的部分，用于把VPN数据从一个VPN节点透明传送到另一个上。

隧道通过隧道协议实现。目前已存在不少隧道协议，如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol） 等。隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据能都在某网络中传输，并且在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。

部分隧道可以混合使用，如GRE Over IPSec隧道。