当前位置：首页 > news >正文

VPN协议是如何工作的

news 2026/5/12 23:00:44

VPN，全名 Virtual Private Network，虚拟专用网，就是利用开放的公众网络，建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。

VPN 通过隧道技术在公众网络上仿真一条点到点的专线，是通过利用一种协议来传输另外一种协议的技术，这里面涉及三种协议：乘客协议、隧道协议和承载协议。

Psec VPN。这是基于 IP 协议的安全隧道协议，为了保证在公网上面信息的安全，因而采取了一定的机制保证安全性。

1、私密性，防止信息泄露给未经授权的个人，通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性。

2、完整性，数据没有被非法篡改，通过对数据进行 hash 运算，产生类似于指纹的数据摘要，以保证数据的完整性。

3、真实性，数据确实是由特定的对端发出，通过身份认证可以保证数据的真实性。

在这个协议簇里面，有两种协议，这两种协议的区别在于封装网络包的格式不一样。

一种协议称为 AH（Authentication Header），只能进行数据摘要，不能实现数据加密。还有
一种 ESP（Encapsulating Security Payload），能够进行数据加密和数据摘要。

这个协议簇还包含两大组件，一个用于 VPN 的双方要进行对称密钥的交换的 IKE 组件，另一个是 VPN 的双方要对连接进行维护的 SA（Security Association）组件。

IPsec VPN 的建立过程

第一个阶段，建立 IKE 自己的 SA。这个 SA 用来维护一个通过身份认证和安全保护的通道，为第二个阶段提供服务。在这个阶段，通过 DH（Diffie-Hellman）算法计算出一个对称密钥 K。

DH 算法是一个比较巧妙的算法。客户端和服务端约定两个公开的质数 p 和 q，然后客户端随机产生一个数 a 作为自己的私钥，服务端随机产生一个 b 作为自己的私钥，客户端可以根据 p、q 和 a 计算出公钥 A，服务端根据 p、q 和 b 计算出公钥 B，然后双方交换公钥 A 和 B。

到此客户端和服务端可以根据已有的信息，各自独立算出相同的结果 K，就是对称密钥。但是这个过程，对称密钥从来没有在通道上传输过，只传输了生成密钥的材料，通过这些材料，截获的人是无法算出的。

有了这个对称密钥 K，接下来是第二个阶段，建立 IPsec SA。在这个 SA 里面，双方会生成一个随机的对称密钥 M，由 K 加密传给对方，然后使用 M 进行双方接下来通信的数据。对称密钥 M 是有过期时间的，会过一段时间，重新生成一次，从而防止被破解。

多协议标签交换（MPLS，Multi-Protocol Label Switching）。MPLS 的格式如图所示，在原始的 IP 头之外，多了 MPLS 的头，里面可以打标签。

有了标签，还需要设备认这个标签，并且能够根据这个标签转发，这种能够转发标签的路由器称为标签交换路由器（LSR，Label Switching Router）。

这种路由器会有两个表格，一个就是传统的 FIB，也即路由表，另一个就是 LFIB，标签转发表。有了这两个表，既可以进行普通的路由转发，也可以进行基于标签的转发。

在 MPLS VPN 中，网络中的路由器分成以下几类：

PE（Provider Edge）：运营商网络与客户网络相连的边缘网络设备；
CE（Customer Edge）：客户网络与 PE 相连接的边缘设备；
P（Provider）：这里特指运营商网络中除 PE 之外的其他运营商网络设备。

VPN 报文转发采用两层标签方式：

第一层（外层）标签在骨干网内部进行交换，指示从 PE 到对端 PE 的一条 LSP。VPN 报文利用这层标签，可以沿 LSP 到达对端 PE；
第二层（内层）标签在从对端 PE 到达 CE 时使用，在 PE 上，通过查找 VRF 表项，指示报文应被送到哪个 VPN 用户，或者更具体一些，到达哪一个 CE。这样，对端 PE 根据内层标签可以找到转发报文的接口。

此文章为9月Day22学习笔记，内容来源于极客时间《趣谈网络协议》，推荐该课程。

VPN协议是如何工作的

相关文章：

VPN协议是如何工作的

c++：：作用域符解析

【电源专题】什么是充电芯片的Shipping Mode（船运模式）

WebGL笔记: 2D和WebGL坐标系对比和不同的画图方式, 程序对象通信，顶点着色器，片元着色器

【php经典算法】冒泡排序，冒泡排序原理，冒泡排序执行逻辑，执行过程，执行结果代码

多模块和分布式项目

AI视频剪辑：批量智剪技巧大揭秘

vue项目实现地址自动识别功能

基于springboot财务管理系统springboot006

C语言-扫雷游戏的实现

七天学会C语言-第七天（结构体）

《深度学习工业缺陷检测》专栏介绍 CSDN独家改进实战

unity 实现双击物体让其隐藏，单击物体让其显示

代码随想录二刷day35

第九章常用服务器的搭建

数据结构_复杂度讲解(附带例题详解)

学习MLPERF

openEuler-20.03 LTS管理用户和用户组

什么是读写锁

低代码助力企业数字化转型

技术突破开源方案：img2latex-mathpix实现公式图像转LaTeX代码的本地化部署

从零到一：在STM32F103上构建FatFs文件系统并驱动W25Q64 Flash

GLIGEN图像空间控制：用边界框实现像素级精准生成

【AI面试临阵磨枪-54】如何监控 AI 系统：成功率、延迟、Token 消耗、幻觉率、调用量

Steam Cron Studio：可视化配置生成器，为AI代理打造Steam自动化任务

保姆级教程：手把手教你用Keil 5为APM32F030C6搭建第一个工程（附固件库下载与常见编译错误解决）

ArcGIS 10.2 保姆级安装与破解教程（含License Manager启动失败解决方案）

Windows热键侦探：一键定位占用程序，终结快捷键冲突烦恼

Claude Code 代码保存全攻略：告别丢失，高效管理开发成果

别再Ctrl+F GitHub了！Perplexity高级提示词工程（含18个已验证模板），让开源检索进入“所想即所得”时代