VPN是個(gè)啥 

那什么是VPN？我們?yōu)槭裁匆ㄟ^(guò)VPN來(lái)訪問(wèn)公司內(nèi)網(wǎng)呢？

別著急，今天就來(lái)跟大家聊一聊VPN是如何為遠(yuǎn)程辦公的信息安全保駕護(hù)航的。

在講VPN之前，我們先簡(jiǎn)單了解一下公司內(nèi)網(wǎng)。

所謂公司內(nèi)網(wǎng)，就是公司內(nèi)部建立的一個(gè)局域網(wǎng)。這個(gè)網(wǎng)絡(luò)是封閉的，公司外面的黑客無(wú)法訪問(wèn)這個(gè)網(wǎng)絡(luò)，這樣公司內(nèi)部的資料數(shù)據(jù)就是安全的。

如果說(shuō)因特網(wǎng)是一片廣闊的天地，那公司內(nèi)網(wǎng)就是被四面墻圍起來(lái)的一個(gè)小房子，只有處在這個(gè)房子里的人才能夠使用它的資源。

那在家遠(yuǎn)程辦公，處于因特網(wǎng)中的你，要如何使用房子里的資源，又不泄露房子里的秘密信息呢？

那就要悄咪咪地建立一條只有你知公司知的“秘密隧道”了。

一開始大家想到的是專線，在總部和分部拉條專線，只傳輸自己的業(yè)務(wù)，但是這個(gè)專線的費(fèi)用高昂，不是一般公司能夠承受的，而且維護(hù)也很困難。

那么有沒有物廉價(jià)美，更具有性價(jià)比的方案呢？

有，那就是VPN。

VPN：（Virtual Private Network），學(xué)名虛擬專用網(wǎng)絡(luò)，便可以幫你和公司之間搭建這么一條“秘密隧道”。當(dāng)你通過(guò)VPN訪問(wèn)公司內(nèi)網(wǎng)時(shí)，數(shù)據(jù)傳遞全部通過(guò)“秘密隧道”悄悄進(jìn)行，這樣就保證了你和公司之間的網(wǎng)絡(luò)通訊是安全私密的。

但是這條隧道并不是真實(shí)存在的，而是通過(guò)數(shù)據(jù)加密技術(shù)封裝出來(lái)的一條虛擬數(shù)據(jù)通信隧道，實(shí)際上它借用的還是互聯(lián)網(wǎng)上的公共鏈路。

VPN會(huì)對(duì)你和公司之間傳遞的數(shù)據(jù)進(jìn)行加密處理，加密后的數(shù)據(jù)會(huì)在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，如同架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。所以VPN稱為虛擬專用網(wǎng)絡(luò)。

VPN咋工作 

當(dāng)開啟VPN后，你訪問(wèn)公司內(nèi)網(wǎng)的辦公網(wǎng)站時(shí)，不再直接訪問(wèn)公司內(nèi)網(wǎng)的服務(wù)器，而是去訪問(wèn)VPN服務(wù)器，并給VPN服務(wù)器發(fā)一條指令“我要訪問(wèn)辦公網(wǎng)站”。

VPN服務(wù)器接到指令后，代替你去訪問(wèn)辦公網(wǎng)站，收到公司辦公網(wǎng)站的內(nèi)容后，再通過(guò)“秘密隧道”將內(nèi)容回傳給你，這樣你就通過(guò)VPN成功訪問(wèn)到你需要的內(nèi)網(wǎng)資源啦。

VPN關(guān)鍵技術(shù) 

隧道技術(shù)

隧道技術(shù)其實(shí)就是對(duì)傳輸?shù)膱?bào)文進(jìn)行封裝，利用公網(wǎng)的建立專用的數(shù)據(jù)傳輸通道，從而完成數(shù)據(jù)的安全可靠性傳輸。

隧道通過(guò)隧道協(xié)議實(shí)現(xiàn)。如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）等。

身份認(rèn)證

VPN網(wǎng)關(guān)對(duì)接入VPN的用戶進(jìn)行身份認(rèn)證，保證接入的用戶都是合法合規(guī)用戶。

數(shù)據(jù)加密

將明文通過(guò)加密技術(shù)成密文，哪怕信息被獲取了，也無(wú)法識(shí)別。

數(shù)據(jù)驗(yàn)證

通過(guò)數(shù)據(jù)驗(yàn)證技術(shù)驗(yàn)證報(bào)文的完整性和真?zhèn)芜M(jìn)行檢查，防止數(shù)據(jù)被篡改。

VPN好在哪 

了解了VPN的工作原理和關(guān)鍵技術(shù)，是時(shí)候總結(jié)一下它的優(yōu)點(diǎn)了。

安全：通過(guò)數(shù)據(jù)加密，VPN可以防止數(shù)據(jù)在互聯(lián)網(wǎng)傳輸中被竊聽，被篡改。一般數(shù)據(jù)在互聯(lián)網(wǎng)中是明文傳輸?shù)?，而?shù)據(jù)加密技術(shù)則提高了數(shù)據(jù)的安全性，降低了公司機(jī)密信息在遠(yuǎn)程通信中被泄露的風(fēng)險(xiǎn)。

成本低：VPN好用不貴！采用VPN可以達(dá)到與租用專線相同的效果，但所花費(fèi)用要比租用專線低40%～60%。

支持移動(dòng)業(yè)務(wù)：支持出差時(shí)使用，VPN用戶可在任何時(shí)間、任何地點(diǎn)的移動(dòng)接入，能夠滿足不斷增長(zhǎng)的移動(dòng)業(yè)務(wù)需求。

可擴(kuò)展性：VPN應(yīng)用靈活，具有良好的可擴(kuò)展性。如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍，只需改變一些配置，或增加幾臺(tái)設(shè)備、擴(kuò)大服務(wù)范圍。

VPN分幾類

根據(jù)VPN建設(shè)單位不同進(jìn)行劃分。

租用運(yùn)營(yíng)商VPN專線搭建企業(yè)網(wǎng)絡(luò)

運(yùn)營(yíng)商的專線網(wǎng)絡(luò)大多數(shù)都是使用的MPLS VPN，企業(yè)通過(guò)購(gòu)買運(yùn)營(yíng)商提供的VPN專線服務(wù)實(shí)現(xiàn)總部和分部間的通信需求。VPN網(wǎng)關(guān)為運(yùn)營(yíng)商所有。

企業(yè)自建VPN網(wǎng)絡(luò)

企業(yè)自己基于Internet自建vpn網(wǎng)絡(luò)，常見的如IPsec VPN、GRE VPN、L2TP VPN。

根據(jù)工作網(wǎng)絡(luò)層次進(jìn)行劃分

VPN可以按照工作層次進(jìn)行劃分：

應(yīng)用層：SSL VPN

網(wǎng)絡(luò)層：IPSEC VPN 、GRE VPN

數(shù)據(jù)鏈路層：L2TP VPN、PPTP VPN

工作在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的VPN又被稱為三層VPN和二層VPN。

IPSec VPN

IPSec（IP Security） VPN一般部署在企業(yè)出口設(shè)備之間，通過(guò)加密與驗(yàn)證等方式，實(shí)現(xiàn)了數(shù)據(jù)來(lái)源驗(yàn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性保證和抗重放等功能。

數(shù)據(jù)來(lái)源驗(yàn)證：接收方驗(yàn)證發(fā)送方身份是否合法。

數(shù)據(jù)加密：發(fā)送方對(duì)數(shù)據(jù)進(jìn)行加密，以密文的形式在Internet上傳送，接收方對(duì)接收的加密數(shù)據(jù)進(jìn)行解密后處理或直接轉(zhuǎn)發(fā)。

數(shù)據(jù)完整性：接收方對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，以判定報(bào)文是否被篡改。

抗重放：接收方拒絕舊的或重復(fù)的數(shù)據(jù)包，防止惡意用戶通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊。

GRE VPN

通用路由封裝協(xié)議（General Routing Encapsulation，GRE）是一種三層VPN封裝技術(shù)。

GRE可以對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IPX、IPv4、IPv6等）的報(bào)文進(jìn)行封裝，使封裝后的報(bào)文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問(wèn)題。

GRE還具備封裝組播報(bào)文的能力。由于動(dòng)態(tài)路由協(xié)議中會(huì)使用組播報(bào)文，因此更多時(shí)候GRE會(huì)在需要傳遞組播路由數(shù)據(jù)的場(chǎng)景中被用到，這也是GRE被稱為通用路由封裝協(xié)議的原因。

L2TP VPN

L2TP是虛擬私有撥號(hào)網(wǎng)VPDN（Virtual Private Dial-up Network）隧道協(xié)議的一種，它擴(kuò)展了點(diǎn)到點(diǎn)協(xié)議PPP的應(yīng)用，是一種在遠(yuǎn)程辦公場(chǎng)景中為出差員工或企業(yè)分支遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)的VPN。

L2TP組網(wǎng)架構(gòu)中包括LAC（L2TP Access Concentrator，L2TP訪問(wèn)集中器）和LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器）。

LAC是網(wǎng)絡(luò)上具有PPP和L2TP協(xié)議處理能力的設(shè)備。LAC負(fù)責(zé)和LNS建立L2TP隧道連接。

MPLS VPN

MPLS是一種利用標(biāo)簽（Label）進(jìn)行轉(zhuǎn)發(fā)的技術(shù)，最初為了提高IP報(bào)文轉(zhuǎn)發(fā)速率而被提出，現(xiàn)主要應(yīng)用于VPN和流量工程、QoS等場(chǎng)景。

MPLS VPN網(wǎng)絡(luò)一般由運(yùn)營(yíng)商搭建，VPN用戶購(gòu)買VPN服務(wù)來(lái)實(shí)現(xiàn)用戶網(wǎng)絡(luò)之間的路由傳遞、數(shù)據(jù)互通等。

基本的MPLS VPN網(wǎng)絡(luò)架構(gòu)由CE（Customer Edge）、PE（Provider Edge）和P（Provider）三部分組成。

各VPN的隧道身份認(rèn)證、數(shù)據(jù)加密、驗(yàn)證參見下表。

VPN用何處

以上三大亮點(diǎn)使VPN在企業(yè)中廣受青睞。針對(duì)不同的需求，VPN還能提供更有針對(duì)性的應(yīng)用場(chǎng)景。比如：

遠(yuǎn)程接入VPN：用于異地辦公的員工訪問(wèn)公司內(nèi)網(wǎng)。

內(nèi)聯(lián)網(wǎng)VPN：將企業(yè)總部和外地分公司通過(guò)虛擬專用網(wǎng)絡(luò)連接在一起。

外聯(lián)網(wǎng)VPN：將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接，與合作伙伴企業(yè)網(wǎng)構(gòu)成外聯(lián)網(wǎng)。

VPN就像是連接公司內(nèi)網(wǎng)和外部因特網(wǎng)的一個(gè)窗口，擴(kuò)大了公司內(nèi)網(wǎng)的邊界，使遠(yuǎn)程辦公的你我他也能安全放心地訪問(wèn)公司內(nèi)網(wǎng)資源。這樣的VPN誰(shuí)能不愛呢！