当前位置：首页 > news >正文

计算机网络-VPN虚拟专用网络概述

news 2025/7/15 18:00:23

前面我们学习了在企业内部的二层交换机网络、三层路由网络包括静态路由、OSPF、IS-IS、NAT等，现在开始学习下VPN（Virtual Private Network，虚拟专用网络），其实VPN可能很多人听到第一反应就是梯子，但是其实这在企业外联网络中算是很常见的技术了，这里来大致了解下，因为VPN涉及到一些客观因素成本可能较高。

一、背景概述

对于规模较大的企业来说，网络访问需求不仅仅局限于公司总部网络内，分公司、办事处、出差员工、合作单位等也需要访问公司总部的网络资源，那怎么办呢？可以采用VPN（Virtual Private Network，虚拟专用网络）技术来实现这一需求。VPN可以在不改变现有网络结构的情况下，建立虚拟专用连接。

VPN是一类技术的统称，不同的VPN技术拥有不同的特性和实现方式，常见的VPN技术包括IPSec VPN、GRE VPN、L2TP VPN、MPLS VPN等。

传统网络技术下，分支与企业总部主要通过Internet或者物理专线来进行数据共享，但是都有一定的局限，可能是数据安全，可能是成本因素。在这种情况下需要一种安全且成本较低的技术来实现企业间数据交互。

二、虚拟专用网络简介

VPN即虚拟专用网，泛指通过VPN技术在公用网络上构建的虚拟专用网络。VPN用户在此虚拟网络中传输私网流量，在不改变网络现状的情况下实现安全、可靠的连接。

特点：

专用（Private）。VPN网络是专门供VPN用户使用的网络，对于VPN用户，使用VPN与使用传统专网没有区别。VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。VPN与底层承载网络（一般为IP网络）之间保持资源独立，即VPN资源不被网络中非该VPN的用户所使用。
虚拟（Virtual）。VPN用户的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。

VPN和传统的数据专网相比具有如下优势：

安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。
可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。

公共网络又经常被称为VPN骨干网（VPN Backbone），公共网络可以是Internet，也可以是企业自建专网或运营商租赁专网。

简单说就是在我们平时的拨号网络中建立一个企业间的互联网络。

三、虚拟专用网络分类

根据不同的分类可以有多种，根据建设单位不同可以划分为：租用运营商VPN专线搭建企业VPN网络和自建企业VPN网络。

根据组网方式不同划分：远程访问VPN（Remote Access VPN），局域网到局域网的VPN（Site-to-site VPN）。

根据实现的网络层次划分，我们网络中常见的划分方式如：IPSec VPN、GRE VPN，L2TP VPN、PPTP VPN....

四、虚拟专用网络关键技术

作为网络工程师我们首先要知道互联网是不安全的，无时无刻不在遭受各种攻击和扫描，因此如果我们在公共网络中搭建虚拟专用网络需要一些技术来保障数据安全。

4.1 隧道技术

VPN技术的基本原理是利用隧道（Tunnel）技术，对传输报文进行封装，利用VPN骨干网建立专用数据传输通道，实现报文的安全传输。

位于隧道两端的VPN网关，通过对原始报文的“封装”和“解封装”，建立一个点到点的虚拟通信隧道。

隧道的功能就是在两个网络节点之间提供一条通路，使数据能够在这个通路上透明传输。VPN隧道一般是指在VPN骨干网的VPN节点之间建立的用来传输VPN数据的虚拟连接。隧道是构建VPN不可或缺的部分，用于把VPN数据从一个VPN节点透明传送到另一个上。

隧道通过隧道协议实现。目前已存在不少隧道协议，如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol） 等。隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据能都在某网络中传输，并且在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。

部分隧道可以混合使用，如GRE Over IPSec隧道。

4.2 加密认证技术

身份认证、数据加密和认证技术可以有效保证VPN网络与数据的安全性：

身份认证：可用于部署了远程接入VPN的场景，VPN网关对用户的身份进行认证，保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。
数据加密：将明文通过加密变成密文，使得数据即使被黑客截获，黑客也无法获取其中的信息。
数据验证：通过数据验证技术对报文的完整性和真伪进行检查，丢弃被伪造和被篡改的报文。

总结：虚拟专用网络类似于在Internet中创建一个专用通道直达分支与总部，然后在通道门口需要经过认证、加密、解密验证之后才能通行。这必须要借助隧道技术与认证加解密技术。

本文由 mdnice 多平台发布

计算机网络-VPN虚拟专用网络概述

一、背景概述

二、虚拟专用网络简介

三、虚拟专用网络分类

四、虚拟专用网络关键技术

4.1 隧道技术

4.2 加密认证技术

相关文章：

计算机网络-VPN虚拟专用网络概述

信创时代的数据库之路：2024 Top10 国产数据库迁移与同步指南

自制游戏：监狱逃亡

小雪时节，阴盛阳衰，注意禁忌

CPU性能优化--微操作

工厂模式

嵌入式系统与OpenCV

编程之路，从0开始：动态内存笔试题分析

物联网研究实训室建设方案

Mac vscode 激活列编辑模式

深度学习：GPT-1的MindSpore实践

前端图像处理(一)

unity中：超低入门级显卡、集显（功耗30W以下）运行unity URP管线输出的webgl程序有那些地方可以大幅优化帧率

ftdi_sio应用学习笔记 4 - I2C

如何更好的把控软件测试质量

“漫步北京”小程序及“气象景观数字化服务平台”上线啦

SOL链上的 Meme 生态发展：从文化到创新的融合#dapp开发#

身份证实名认证API接口助力电商购物安全

【过程控制系统】第6章串级控制系统

YOLOv11融合针对小目标FFCA-YOPLO中的FEM模块及相关改进思路

智慧医疗能源事业线深度画像分析（上）

ES6从入门到精通：前言

【WiFi帧结构】

ssc377d修改flash分区大小

STM32+rt-thread判断是否联网

【OSG学习笔记】Day 16: 骨骼动画与蒙皮（osgAnimation）

用docker来安装部署freeswitch记录

自然语言处理——循环神经网络

CSS设置元素的宽度根据其内容自动调整

Caliper 配置文件解析：fisco-bcos.json