【问题背景】家庭网络论坛网友maxking 问：各位大侠，小弟初来乍到有你问题不明，忘指教一二！什么是VPN？它有什么作用？需要什么设备？介绍一下好吗？

    【IT168网友解答】VPN 是英文virtual Private Network（虚拟专用网）的英文简写，是一种利用现有公共通信网络来构建的私有专用网络。可能这样解释并不是很好理解，那么我们来举个例子：比如公司下属的子公司或者办事处，需要和公司总部连网，那么可以有两种方式：一种是专线方式，另一种就是VPN。采用专线方式需要铺设点到点的专用线路，企业要承担昂贵的线路铺设费用和维护费用以及高昂的租用费用。VPN利用Internet、帧中继、ATM等公共网络，在现有的公共网络中建立虚拟专用通道，不需要专门铺设线路，一样可以达到安全、可靠并且可管理的私有网络。因此是节约费用的非常好的选择。据调查，利用VPN可以使局域网互联费用降低20～40％，远程接入费用更可减少60～80％。现在很多商业公司，都采用VPN技术来和下属分支公司，部门来沟通信息。

    下面我们来看看VPN具体是怎么实现的

#$[*164422.jpg*#拓扑图（点击看大图）*#0*#0*#center*]$#

    以Access VPN（远程访问虚拟网）为例，如上面的拓扑图所示：VPN是CS（客户端/服务器）模式的结构，要实现VPN连接，企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的VPN服务器，VPN服务器一端连接企业内部专用网络，另一端连接到Internet，也就是说VPN服务器必须拥有一个公用的IP地址。当分支机构的客户机要连接公司总部时，首先与ISP（Internet服务提供商）的PPP服务器建立连接，PPP服务器再将所有的数据传送到VPN服务器，然后再由VPN服务器进行身份验证，最后将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

    VPN的分类

    1.按VPN的部署模式分类

    VPN的部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有3种VPN部署模式：

    1)端到端(End-to-End)模式；
    2)供应商—企业(Provider-Enterprise)模式；
    3)内部供应商（Intra-Provider）模式

    2.按VPN的服务类型分类

    根据服务类型，VPN业务大致可分为3类：Internet VPN、Access VPN与Extranet VPN。

    1）Internet VPN（企业内部虚拟网）：即企业的总部与分支机构间通过公网构筑的虚拟网。现在，越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，租用专线开支非常昂贵，利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。

    2）Access VPN（远程访问虚拟网）：又称为拨号VPN（即VPDN），是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。 Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接

    3）Extranet VPN（企业扩展虚拟网）：即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。

    3.按VPN的技术分类

    这里我们将VPN技术分为两大类：Overlay VPN 和MPLS VPN

    1）Overlay VPN：Overlay VPN要求在帧中继、ATM或IP网络上建立隧道或加密，这种方案是建立在点到点连接的基础上的，需要对每条隧道或VC进行单独的配置。

    2）MPLS VPN：基于MPLS的网络能够将数据流分开，无需建立隧道或加密即可提供保密性，基于MPLS的网络以网络到网络的方式提供保密性，如同帧中继以连接到连接的方式提供保密性。

    VPN主要技术

    VPN使用隧道技术，隧道技术是一种通过现有公共互联网络在不同的局部网络之间传递数据的技术。那么什么是隧道呢？两个端点之间传递的数据包通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径就是隧道。使用隧道传递的数据可以是不同协议的数据祯或包。大家知道一般情况下两个端点要实现通讯必须采用相同的通讯协议才可以实现互相通讯，但VPN采用隧道协议可以将采用不同协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

    一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。

    VPN使用的协议

    VPN使用两种隧道协议：点到点隧道协议（PPTP Point-To-Point Tunneling Protocol）和第二层隧道协议（L2TP Layer 2 Tunneling Protocol）。

    PPTP： PPTP（点对点隧道协议）是PPP的扩展，与PPP（点到点协议）相比，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将IP、IPX或NetBEUI这些不同的协议封装在PPP数据包内，所以允许用户可以远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接，实现从远程计算机到专用服务器的安全数据传输。

    L2TP：L2TP是一个工业标准的Internet隧道协议，并非国际标准。它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议安全（IPSec）机制来进行身份验证和数据加密。目前L2TP只支持通过IP网络建立隧道，不支持通过X.25、帧中继或ATM网络的本地隧道。

    文章小结：

    VPN的出现，为企业节省的大笔的费用，现在已经成为企业组建远程专用网络的首选方式，在构建VPN时，如果想省钱可以用装有WIN2000 Server的计算机来作为VPN路由器，如果想得到更安全，稳定的VPN服务最好使用专业VPN服务器。不过值得一提的是，现在有好多所谓的VPN路由器价格只有千元左右，其实并非真正意思上的VPN路由器，而只是支持VPN passt hrough(VPN通过）的普通共享器。VPN pass through是表示通过此路由器上网后，接在这个路由器下面的工作站可以与VPN服务器通过PPTP/IPsec建立连接。但它本身不能作为VPN server,不具有VPN server的所有功能。