一、虚拟私有网络

1 VPN

1.1 概念

虚拟私有网络(VPN)是一种在公用网络上建立专用网络的技术。
虚拟私有网络(VPN)的功能：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

1.2 分类

1.2.1 按VPN的协议分类

VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。

1.2.2 按VPN的应用分类

（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量；
（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；
（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

1.2.3 按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机、路由器和防火墙：
（1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；
（2）交换机式VPN：主要应用于连接用户较少的VPN网络；
（3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型。

1.2.4 按照实现原理划分

（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括：GRE、L2TP、IPSec等众多技术；
（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。

1.3 关键技术

1.3.1隧道技术

隧道技术是VPN的基本技术，类似于点到点连接技术，其实现原理如图1所示。

图1 隧道技术实现原理
图1中，VPN网关1收到原始报文后将报文封装，经Internet传输到VPN网关2后解封得到原始报文。

1.3.2 身份认证技术

身份认证技术主要用于用户远程接入时的情况，总部VPN网关对用户身份进行认证，确保接入用户是合法用户。不同的VPN技术提供的用户认证方法不同。
（1）GRE：不支持针对用户的身份认证。
（2）L2TP：依赖PPP（Point to Point Protocol，点对点协议）提供的认证。对接入用户进行认证时，可以使用本地认证方式也可以使用第三方RADIUS服务器来认证。
（3）IPSec：使用IKEv2时，支持对用进行EAP认证。
（4）DSVPN：不支持针对用户的身份认证。
（5）SSL VPN：支持本地认证、证书认证和服务器认证。接入用户也可以对SSL VPN服务器进行身份认证。

1.3.3 加密技术

加密即是把明文变密文的过程。
（1）GRE、L2TP：不提供加密技术，通常结合IPSec协议使用。
（2）IPSec：支持对数据报文和协议报文进行加密。
（3）DSVPN：配置IPSec安全框架后，支持对数据报文和协议报文进行加密。
（4）SSL VPN：支持对数据报文和协议报文进行加密。

1.3.4 数据验证技术

对报文的真伪进行验证，丢弃伪造、被篡改的报文。
（1）GRE：本身只提供简单校验和关键字验证，但可结合IPSec协议一起使用，使用IPSec的数据验证技术。
（2）L2TP：不提供数据技术，通常结合IPSec协议使用。
（3）IPSec：支持对数据进行完整性验证和数据源验证。
（4）DSVPN：配置IPSec安全框架后，支持对数据进行完整性验证和数据源验证。
（5）SSL VPN：支持对数据进行完整性验证和数据源验证。

1.4 小结