一、定义

• 虚拟专用网络是在公用网络上建立专用逻辑网络的技术
• 物理专用网：使用专线（光纤、电缆 等）连接的私有网络
• 虚拟专用网：使用公共网（如Internet） 连接的私有网络

二、技术原理

在公共网上的若干节点（主机/VPN网关）之间建立"隧道"

• “隧道”指的是利用公共网通信协议传输私有数据，而公共网上的主机无法读懂这些私有数据
• 私有数据有可能是带格式的，例如一个IP报文

三、分类

1. 站到站VPN

• 位于不同地理位置的物理网络，通过“VPN网关”连接.
• 隧道建立在VPN网关之间
• 隧道对主机透明，它们不知道VPN的存在，只是如同平常一样将出站数据通过自己的“网关”发送。在私有网内各主机看来，它们好像是直接连接起来的一个局域网络。
  

2. 远程访问VPN

• 远程主机通过连接“VPN网关”，从而可以访问VPN内部设备
• 隧道建立在VPN网关和远程主机之间
• 远程主机知道隧道的存在，需主动连接VPN
• 主机端可能需要安装客户端软件
  

四、VPN隧道的实现技术

1. PPTP隧道与L2TP隧道

这两种技术的原理类似：使用PPP协议封装私有网络报文并传输

PPP协议

• 用来通过拨号或专线方式建立点对点连接的协议
• “点到点”就是两个对等实体之间的通信，没有网络、路由等概念
• 可以将IP，IPX和NETBEUI包封装在PP桢内发送

PPTP隧道：

• 私有网报文封装在PPP帧中 PPP帧封装在IP包中，通过公共网传递
• 相当于通过IP公共网（而不是物理专线）完成了向ISP的“拨号

L2TP隧道：

• 私有网报文封装在PPP帧中
• PPP帧封装在在IP、X.25、桢中继或ATM等的网络上进行传送

2. IPSec隧道

• IPSec：IPv4和IPv6的安全扩展
• IP Authentication Header （AH） ：保护载荷和数据包头的认证和完整性
• IP Encapsulating Security Protocol (ESP) ：加密数据包的内容
• Internet Key Exchange（IKE） ：协商密钥、密码参数等安全参数
• IPSec安全通信分为传输模式和隧道模式

IPSec VPN的缺陷：

• 对于站到站的VPN，没有问题 。但更改配置稍微麻烦，需要所有VPN网关同时更改
• 对于远程访问VPN，客户端必须安装软件。穿透NAT比较麻烦。
• 一旦接入成功，可以访问远程VPN网络内所有主机/服务器

3. SSL VPN

SSL：安全套接字层，位于TCP层与应用层之间，主要用在HTTP应用中，也可以用于其它 TCP应用。

使用SSL建立VPN：

• 以SSL协议为安全机制，以TCP为隧道。
• 理论上使用TCP隧道可以封装传递任意数据（例如IP报文）， 但实际上最常用来传 递HTTP报文，即 HTTPS。因此,SSL VPN最常用做远程Web访问VPN。

SSL VPN的优势：

• 不受NAT束缚
• 可以不安装客户端软件
• VPN内的各类服务器，可以自行设定访问控制

SSL VPN的劣势：

• 速度慢：相比于Ipsec VPN，SSL的速度要慢不少
• 不适合建立站到站VPN：各个VPN网关之间需要建立TCP虚电路，相比于Ipsec的网络层 报文转发，更加耗费资源。