VPN的工作原理_好用的VPN有哪些（分類）

　　什么是vpn

　　VPN英文全稱：Virtual Private Network（虛擬專用網(wǎng)絡(luò)）。VPN被定義為通過一個(gè)公用互聯(lián)網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道，使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的，廣泛使用企業(yè)辦公當(dāng)中，虛擬專用網(wǎng)也可以是針對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)，因此很多辦公一族在自己電腦中也需要建立VPN連接，方便遠(yuǎn)程辦公等等。

　　由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購(gòu)買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長(zhǎng)途電話費(fèi)。這就是VPN價(jià)格低廉的原因。

　　越來越多的用戶認(rèn)識(shí)到，隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡(jiǎn)化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題，因?yàn)镮nternet是一個(gè)全球性和開放性的、基于TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。

　　VPN的工作原理

　　1、通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。

　　2、網(wǎng)絡(luò)一（假定為公網(wǎng)internet）的終端A訪問網(wǎng)絡(luò)二（假定為公司內(nèi)網(wǎng)）的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B的內(nèi)部IP地址。

　　3、網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時(shí)對(duì)其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)二的地址，則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時(shí)VPN網(wǎng)關(guān)會(huì)構(gòu)造一個(gè)新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址。

　　4、網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)。

　　5、網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對(duì)該數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。

　　6、網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。

　　7、從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。

　　通過上述說明可以發(fā)現(xiàn)，在VPN網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行處理時(shí)，有兩個(gè)參數(shù)對(duì)于VPN通訊十分重要：原始數(shù)據(jù)包的目標(biāo)地址（VPN目標(biāo)地址）和遠(yuǎn)程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標(biāo)地址，VPN網(wǎng)關(guān)能夠判斷對(duì)哪些數(shù)據(jù)包進(jìn)行VPN處理，對(duì)于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標(biāo)地址，即VPN隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行VPN通訊時(shí)，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對(duì)應(yīng)的遠(yuǎn)端VPN網(wǎng)關(guān)地址。

　　好用的VPN有哪些（分類）

　　根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類劃分：

　　1、按VPN的協(xié)議分類：

　　VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

　　2、按VPN的應(yīng)用分類：

　?。?）Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量；

　?。?）Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源；

　?。?）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。

　　3、按所用的設(shè)備類型進(jìn)行分類：

　　網(wǎng)絡(luò)設(shè)備提供商針對(duì)不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)、路由器和防火墻：

　　（1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；

　?。?）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)；

　?。?）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型

　　4、按照實(shí)現(xiàn)原理劃分：

　　（1）重疊VPN：此VPN需要用戶自己建立端節(jié)點(diǎn)之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等眾多技術(shù)。

　　（2）對(duì)等VPN：由網(wǎng)絡(luò)運(yùn)營(yíng)商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS、VPN技術(shù)。

　　VPN的實(shí)現(xiàn)方式

　　VPN的實(shí)現(xiàn)有很多種方法，常用的有以下四種：

　　1、VPN服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法實(shí)現(xiàn)VPN。

　　2、軟件VPN：可以通過專用的軟件實(shí)現(xiàn)VPN。

　　3、硬件VPN：可以通過專用的硬件實(shí)現(xiàn)VPN。

　　4、集成VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設(shè)備通常都比沒有這一功能的要貴。

　　常用VPN技術(shù)

　　1、MPLS VPN是一種基于MPLS技術(shù)的IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（Multiprotocol Label Switching，多協(xié)議標(biāo)記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN）。MPLS優(yōu)勢(shì)在于將二層交換和三層路由技術(shù)結(jié)合起來，在解決VPN、服務(wù)分類和流量工程這些IP網(wǎng)絡(luò)的重大問題時(shí)具有很優(yōu)異的表現(xiàn)。因此，MPLS VPN在解決企業(yè)互連、提供各種新業(yè)務(wù)方面也越來越被運(yùn)營(yíng)商看好，成為在IP網(wǎng)絡(luò)運(yùn)營(yíng)商提供增值業(yè)務(wù)的重要手段。MPLS VPN又可分為二層MPLS VPN（即MPLS L2 VPN）和三層MPLS VPN（即MPLS L3 VPN）。

　　2、SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP協(xié)議）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。SSL VPN充分利用了SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，可以為應(yīng)用層之間的通信建立安全連接。SSL VPN廣泛應(yīng)用于基于Web的遠(yuǎn)程安全接入，為用戶遠(yuǎn)程訪問公司內(nèi)部網(wǎng)絡(luò)提供了安全保證。

　　3、IPSec VPN是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設(shè)計(jì)的端到端的確?；贗P通訊的數(shù)據(jù)安全性的機(jī)制。它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。