虚拟专用网络隧道

VPN概述

VPN简介

VPN(全称：Virtual Private Network)虚拟专用网络，是依靠ISP和其他的NSP，在公共网络中建立专用的数据通信的网络技术，可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。在VPN中任意两点之间的链接并没有传统专网所需的端到端的物理链路，而是利用公共网络资源动态组成的，可以理解为通过私有的隧道技术在公共数据网络上模拟出来的和专网有同样功能的点到点的专线技术，所谓虚拟是指不需要去拉实际的长途物理线路，而是借用了公共Internet网络实现的。

VPN应用场景

只能企业员工登录公司服务器
要求在任何网络下都能够登录
离职员工删除登录权限
权限管理

VPN的作用

VPN的功能是帮助公司的远程用户(出差，在家)、公司的分支机构、商业合作伙伴及供应商等公司和自己的公司内部网络之间建立可信的安全连接或者是局域网连接，确保数据的加密安全传输和业务访问，对于运维工程师来说，还可以连接不同的机房为局域网来处理相关事宜。

VPN的分类

根据不同的划分标准，VPN可以按几个标准进行分类划分：

1. 按VPN的协议分类
   VPN的隧道协议主要有三种， PPTP，L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议； IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。
2. 按VPN的应用分类
   • Access VPN (远程接入VPN)：客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量
   • Intranet VPN (内联网VPN)：网关到网关,通过公司的网络架构连接来自同公司的资源
   • Extranet VPN (外联网VPN)：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3. 按所用的设备类型进行分类：
   • 路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；
   • 交换机式VPN：主要应用于连接用户较少的VPN网络；
   • 防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

常见的隧道协议

1. PPTP(点对点协议)
   PPTP属于点对点应用，比较适合远程的企业用户拨号到企业进行办公等应用，工作在OSI模型的第二层，只适合windows系统。
2. L2TP(第2等隧道协议)
   第2等隧道协议(L2TP)是IETF基于L2F开发的PPTP的后续版本，工作在OSI模型的第二层。
3. IPSec(三层隧道协议)
   第三层隧道协议，也是最常见的协议。当隧道模式使用IPSEC时，其只为通讯提供封装。使用IPSec隧道模式主要是为了与其他不支持IPSec上的L2TP或者PPTP VPN隧道技术的路由器、网关或终端系统之间的互相操作。
4. SSL VPN
   SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议（对称加密和非对称加密向结合的方式进行数据的交换）。
   • 典型的SSL VPN应用：Open VPN，这是一个比较好的开源软件。Open VPN允许参与建立VPN的单点使用预设的私钥，第三方证书，或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库，以及SSLv3/TLSv1协议。OpenVPN能在Linux、xBSD、MacOS上运行。它并不是一个基于Web的VPN软件，也不能与IPSec及其他VPN软件包兼容。