VPN的工作原理_好用的VPN有哪些（分類）

　　什么是vpn

　　VPN英文全稱：Virtual Private Network（虛擬專用網絡）。VPN被定義為通過一個公用互聯網絡建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道，使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的，廣泛使用企業辦公當中，虛擬專用網也可以是針對企業內部網的擴展，虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網，因此很多辦公一族在自己電腦中也需要建立VPN連接，方便遠程辦公等等。

　　由于VPN是在Internet上臨時建立的安全專用虛擬網絡，用戶就節省了租用專線的費用，在運行的資金支出上，除了購買VPN設備，企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用，也節省了長途電話費。這就是VPN價格低廉的原因。

　　越來越多的用戶認識到，隨著Internet和電子商務的蓬勃發展，經濟全球化的最佳途徑是發展基于Internet的商務應用。隨著商務活動的日益頻繁，各企業開始允許其生意伙伴、供應商也能夠訪問本企業的局域網，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯系是動態的，并依靠網絡來維持和加強，于是各企業發現，這樣的信息交流不但帶來了網絡的復雜性，還帶來了管理和安全性的問題，因為Internet是一個全球性和開放性的、基于TCP/IP 技術的、不可管理的國際互聯網絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。

　　VPN的工作原理

　　1、通常情況下，VPN網關采取雙網卡結構，外網卡使用公網IP接入Internet。

　　2、網絡一（假定為公網internet）的終端A訪問網絡二（假定為公司內網）的終端B，其發出的訪問數據包的目標地址為終端B的內部IP地址。

　　3、網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查，如果目標地址屬于網絡二的地址，則將該數據包進行封裝，封裝的方式根據所采用的VPN技術不同而不同，同時VPN網關會構造一個新VPN數據包，并將封裝后的原數據包作為VPN數據包的負載，VPN數據包的目標地址為網絡二的VPN網關的外部地址。

　　4、網絡一的VPN網關將VPN數據包發送到Internet，由于VPN數據包的目標地址是網絡二的VPN網關的外部地址，所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。

　　5、網絡二的VPN網關對接收到的數據包進行檢查，如果發現該數據包是從網絡一的VPN網關發出的，即可判定該數據包為VPN數據包，并對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離，再將數據包反向處理還原成原始的數據包。

　　6、網絡二的VPN網關將還原后的原始數據包發送至目標終端B，由于原始數據包的目標地址是終端B的IP，所以該數據包能夠被正確地發送到終端B。在終端B看來，它收到的數據包就和從終端A直接發過來的一樣。

　　7、從終端B返回終端A的數據包處理過程和上述過程一樣，這樣兩個網絡內的終端就可以相互通訊了。

　　通過上述說明可以發現，在VPN網關對數據包進行處理時，有兩個參數對于VPN通訊十分重要：原始數據包的目標地址（VPN目標地址）和遠程VPN網關地址。根據VPN目標地址，VPN網關能夠判斷對哪些數據包進行VPN處理，對于不需要處理的數據包通常情況下可直接轉發到上級路由；遠程VPN網關地址則指定了處理后的VPN數據包發送的目標地址，即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。

　　好用的VPN有哪些（分類）

　　根據不同的劃分標準，VPN可以按幾個標準進行分類劃分：

　　1、按VPN的協議分類：

　　VPN的隧道協議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議。

　　2、按VPN的應用分類：

　?。?）Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN數據流量；

　?。?）Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源；

　?。?）Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接。

　　3、按所用的設備類型進行分類：

　　網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要為交換機、路由器和防火墻：

　?。?）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可；

　?。?）交換機式VPN：主要應用于連接用戶較少的VPN網絡；

　?。?）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型

　　4、按照實現原理劃分：

　?。?）重疊VPN：此VPN需要用戶自己建立端節點之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等眾多技術。

　?。?）對等VPN：由網絡運營商在主干網上完成VPN通道的建立，主要包括MPLS、VPN技術。

　　VPN的實現方式

　　VPN的實現有很多種方法，常用的有以下四種：

　　1、VPN服務器：在大型局域網中，可以通過在網絡中心搭建VPN服務器的方法實現VPN。

　　2、軟件VPN：可以通過專用的軟件實現VPN。

　　3、硬件VPN：可以通過專用的硬件實現VPN。

　　4、集成VPN：某些硬件設備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設備通常都比沒有這一功能的要貴。

　　常用VPN技術

　　1、MPLS VPN是一種基于MPLS技術的IP VPN，是在網絡路由和交換設備上應用MPLS（Multiprotocol Label Switching，多協議標記交換）技術，簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡（IP VPN）。MPLS優勢在于將二層交換和三層路由技術結合起來，在解決VPN、服務分類和流量工程這些IP網絡的重大問題時具有很優異的表現。因此，MPLS VPN在解決企業互連、提供各種新業務方面也越來越被運營商看好，成為在IP網絡運營商提供增值業務的重要手段。MPLS VPN又可分為二層MPLS VPN（即MPLS L2 VPN）和三層MPLS VPN（即MPLS L3 VPN）。

　　2、SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP協議）為基礎的VPN技術，工作在傳輸層和應用層之間。SSL VPN充分利用了SSL協議提供的基于證書的身份認證、數據加密和消息完整性驗證機制，可以為應用層之間的通信建立安全連接。SSL VPN廣泛應用于基于Web的遠程安全接入，為用戶遠程訪問公司內部網絡提供了安全保證。

　　3、IPSec VPN是基于IPSec協議的VPN技術，由IPSec協議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確?；贗P通訊的數據安全性的機制。它為Internet上傳輸的數據提供了高質量的、可互操作的、基于密碼學的安全保證。