VPN是什麼意思與虛擬專用網絡區別在哪裡

虛擬專用網絡（Virtual Private Network ，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平台，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
　

VPN屬於遠程訪問技術，簡單地說就是利用公網鏈路架設私有網絡。例如公司員工出差到外地，他想訪問企業內網的服務器資源，這種訪問就屬於遠程訪問。怎麼才能讓外地員工訪問到內網資源呢?VPN的解決方法是在內網中架設一台VPN服務器，VPN服務器有兩塊網卡，一塊連接內網，一塊連接公網。外地員工在當地連上互聯網後，通過互聯網找到VPN服務器，然後利用VPN服務器作為跳板進入企業內網。為了保證數據安全，VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密，就可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就如同專門架設了一個專用網絡一樣。但實際上VPN使用的是互聯網上的公用鏈路，因此只能稱為虛擬專用網。即：VPN實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯網就能利用VPN非常方便地訪問內網資源，這就是為什麼VPN在企業中應用得如此廣泛。

 

　　在傳統的企業網絡配置中，要進行異地局域網之間的互連，傳統的方法是租用dsn(數字數據網)專線或幀中繼。這樣的通訊方案必然導致高昂的網絡通訊/維護費用。對於移動用戶(移動辦公人員)與遠端個人用戶而言，一般通過撥號線路(Internet)進入企業的局域網，而這樣必然帶來安全上的隱患。

 

　　虛擬專用網的提出就是來解決這些問題：

 

　　(1)使用VPN可降低成本——通過公用網來建立VPN，就可以節省大量的通信費用，而不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。

 

　　(2)傳輸數據安全可靠——虛擬專用網產品均采用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數據的安全和保密性。

 

　　(3)連接方便靈活——用戶如果想與合作伙伴聯網，如果沒有虛擬專用網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網之後，只需雙方配置安全連接信息即可。

 

　　(4)完全控制——虛擬專用網使用戶可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源，對於其它的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。

 

（1）安全保障

　　VPN通過建立一個隧道，利用加密技術對傳輸數據進行加密，以保證數據的私有和安全性。

（2）服務質量保證

　　VPN可以為不同要求提供不同等級的服務質量保證。

（3）可擴充、靈活性

　　VPN支持通過Internet和Extranet的任何類型的數據流。

（4）可管理性

　　VPN可以從用戶和運營商角度方便進行管理。

 

　　在網絡中，服務質量(QoS)是指所能提供的帶寬級別。將QoS融入一個VPN，使得管理員可以在網絡中完全控制數據流。信息包分類和帶寬管理是兩種可以實現控制的方法：

 

　　信息包分類

 

　　信息包分類按重要性將數據分組。數據越重要，它的級別越高，當然，它的操作也會優先於同網絡中相對次要的數據。

 

　　帶寬管理

 

　　通過帶寬管理，一個VPN管理員可以監控網絡中所有輸入輸出的數據流，可以允許不同的數據包類獲得不同的帶寬。

 

　　其他的帶寬控制形式還有：

 

　　通信量管理

 

　　通信量管理方法的形成是一個服務提供商在Internet通信擁塞中發現的。大量的輸入輸出數據流排隊通過，這使得帶寬沒有得到合理使用。

 

　　公平帶寬

 

　　公平帶寬允許網絡中所有用戶機會均等地利用帶寬訪問Internet。通過公平帶寬，當應用程序需要用更大的數據流，例如MP3時，它將減少所用帶寬以便給其他人訪問的機會。

 

　　傳輸保證

 

　　傳輸保證為網絡中特殊的服務預留出一部分帶寬，例如視頻會議，IP電話和現金交易。它判斷哪個服務有更高的優先權並分配相應帶寬。

 

　　網絡管理員必須管理虛擬個人網絡以及使一個組織正常運作所需的資源。因為遠程辦公還有待發展，VPN管理員在維護帶寬上還有許多問題。然而，新技術對QoS的補充將會幫助網絡管理員解決這個問題。

 

　　根據不同的劃分標准，VPN可以按幾個標准進行分類劃分

 

　　1. 按VPN的協議分類

 

　　VPN的隧道協議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。

 

　　2. 按VPN的應用分類

 

　　1) Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量

 

　　2)Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源

 

　　3) Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接

 

　　3. 按所用的設備類型進行分類

 

　　網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要為交換機，路由器，和防火牆

 

　　1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可

 

　　2）交換機式VPN：主要應用於連接用戶較少的VPN網絡

 

　　3）防火牆式VPN：防火牆式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型

 

　　1.隧道技術

 

　　實現VPN的最關鍵部分是在公網上建立虛信道，而建立虛信道是利用隧道技術實現的，IP隧道的建立可以是在鏈路層和網絡層。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點是協議簡單，易於加密，適合遠程撥號用戶;第三層隧道是IPinIP，如IPSec，其可靠性及擴展性優於第二層隧道，但沒有前者簡單直接。

 

　　2. 隧道協議

 

　　隧道是利用一種協議傳輸另一種協議的技術，即用隧道協議來實現VPN功能。為創建隧道，隧道的客戶機和服務器必須使用同樣的隧道協議。

 

　　1)PPTP（點到點隧道協議）是一種用於讓遠程用戶撥號連接到本地的ISP，通過因特網安全遠程訪問公司資源的新型技術。它能將PPP（點到點協議）幀封裝成IP數據包，以便能夠在基於IP的互聯網上進行傳輸。PPTP使用TCP（傳輸控制協議）連接的創建，維護，與終止隧道，並使用GRE(通用路由封裝)將PPP幀封裝成隧道數據。被封裝後的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。

 

　　2) L2TP協議：L2TP是PPTP與L2F（第二層轉發）的一種綜合，他是由思科公司所推出的一種技術。

 

　　3)IPSec協議：是一個標准的第三層安全協議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPSec的主要特征在於它可以對所有IP級的通信進行加密。　

 

　　3.加解密技術。

 

　　加解密技術是數據通信中一現較成熟的技術，VPN可直接利用現有技術實現加解密。

 

　　4.密匙管理技術

 

　　密匙管理技術的主要任務是如何在公用數據網上安全地傳遞密匙而不被竊取。

 

　　5.使用者與設備身份認證技術。

 

　　使用者與設備認證及時最常用的是使用者名稱與密碼或卡片式認證等方式。