虚拟专用网络(VPN)的分类（vpn虚拟专用网络的分类）

我们经常提到的VPN,也就是虚拟专用网络，本文就做一下系统地总结说明。

虚拟专用网络

在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件、集成等方式实现。VPN属于远程访问技术，通过VPN可实现在异地访问企业内部网络资源的目的。

VPN按协议分类

类型有PPTP VPN、L2TP VPN、MPLS VPN、IPsec VPN、GRE VPN、SSL VPN、Open VPN。

不同协议工作在OSI七层模型的不同层上。如：第二层数据链路层中的 PPTP、L2TP、MPLS；第三层网络层的 IPsec、GRE；以及位于传输层与应用层之间的 SSL。

VPN的常用实现方式

1. VPN服务器：通过在网络中心搭建VPN服务器的方法实现VPN。
2. 硬件VPN：通过专用的硬件实现。
3. 软件VPN：通过专用的软件实现。
4. 集成VPN：通过含有VPN功能的网络设备，如：防火墙、路由器实现。

VPN类型详解

PPTP：点对点隧道协议，一种支持多协议虚拟专用网络（VPN）的网络技术，工作在第二层数据链路层。以同样工作在第二层的点对点传输协议（PPP）为基础，PPTP将PPP帧封装成IP数据包，以便于在互联网上传输并可以通过密码验证协议（PAP），可扩展认证协议（EAP）增加安全性。远程用户能够通过安装有点对点协议的操作系统访问公司网络资源。

PPTP VPN的实现需要：客户机和服务器之间必须有联通并且可用的IP网络。

该VPN可在Windows、Linux环境下搭建，或者通过配置路由器来实现。

L2F：第二层转发协议。 用于建立跨越公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 L2F允许高层协议的链路层隧道技术，使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

L2TP VPN

L2TP：二层隧道协议，结合PPTP与L2F两种二层隧道协议的优点，为众多公司接受。 L2TP扩展了PPP模型，它使用PPP来封装用户数据，允许多协议通过隧道传送，作为安全性增强，L2TP与IPSec（Internet协议安全性）结合——L2TP/IPsec， L2TP基于UDP协议，因此L2TP不保证数据消息的可靠投递，若数据丢失，不予重传。

L2TP 的实现：与PPTP不同， PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接。

该VPN可在Windows、Linux环境下搭建，或者通过配置防火墙、路由器来实现。

MPLS VPN

MPLS：多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。

它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

传统的VPN是基于 PPTP L2TP等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。

基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。

MPLSVPN网络主要由CE、PE和P等3部分组成：

• CE（Customer Edge）：用户网络边缘设备，可以是路由器 交换机 主机。
• PE（Provider Edge）：是服务商边缘路由器，位于骨干网络。
• P（Provider）：是服务提供商网络中的骨干路由器。

该VPN需通过配置路由器搭建。

IPsec VPN

nternet 协议安全性 (IPSec) 是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。同时，IPSec协议通过包封装技术，还可以封装内部网络的地址，实现异地网络的互连联，因此，IPSec也是一种VPN技术。

IPSec 不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（Authentication Header，简称为AH）、封装安全负载协议（EncapsulatingSecurity Payload，简称为ESP）。

IPSec可以在两种模式下运行，传输模式和隧道模式。

• 传输模式：传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。
• 隧道模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。由此可知隧道模式可以掩盖原IP地址实现异地网络访问内部网络，也就是VPN。

该VPN可在Windows、Linux环境下搭建，或者通过配置防火墙、路由器、第三方软件实现。

GRE VPN

GRE（Generic Routing Encapsulation）即通用路由封装协议，应用于网络设备，目前有多数厂商的网络设备均支持GRE隧道协议。 GRE是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。

tunnel 是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个tunnel 的两端分别对数据报进行封装及解封装。

该VPN可通过网络设备搭建。

SSL VPN

SSL(Secure Sockets Layer安全套接层)协议，它指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL协议可分为两层：

• SSL记录协议(SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。
• SSL握手协议(SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

通过SSL VPN是接入企业内部的应用，而不是企业的整个网络。

使用SSL VPN可通过标准的WEB浏览器连接因特网即可通过网页访问到企业应用。大多数执行基于SSL协议的远程访问不需要依赖客户端软件。

该VPN可在Windows server 2008、Windows 7企业版、Linux环境下搭建，或者通过网络设备实现。

OPEN VPN

OpenVPN是一个基于SSL加密的应用层VPN协议。

OpenVpn的技术核心是虚拟网卡，其次是SSL协议实现。

虚拟网卡是使用网络底层编程技术实现的一个驱动软件，安装后在主机上多出现一个网卡，可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件向虚拟网卡发送数据，则服务程序可以读取到该数据，如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现，这也是OpenVpn能够跨平台一个很重要的理由。

该VPN可在Windows、Linux环境下搭建，或者通过网络设备、第三方软件搭建。