VPN（虚拟专用网络）详解：原理、隧道技术（一）

VPN（Virtual Private Network，虚拟专用网）是一个建立在公用网（通常是因特网）上的专用网络，但因为这个专用网络只是逻辑存在并没有实际物理线路，故称为虚拟专用网。随着因特网的发展壮大，越来越多的数据需要在因特网上进行传输共享，不过当企业将自身网络接入因特网时，虽然各地的办事处等外部站点可以很方便地访问企业网络，但同时也把企业内部的私有数据暴露给因特网上的所有用户。于是在这种开放的网络环境上搭建专用线路的需求日益强烈，VPN应运而生。 VPN  通过隧道技术在两个站点间建立一条虚拟的专用线路，使用端到端的认证和加密保证数据的安全性。典型拓扑图如所示。

隧道是通过对数据报的封装实现的，因为数据报封装和解封的过程都是在路由器上完成，所以对于用户来说是透明的。VPN 路由器支持的隧道协议包括三层隧道协议IPsec和二层隧道协议L2TP/PPTP。

三层隧道协议IPsec（Internet Protocol Security）和二层隧道协议L2TP（Layer 2 Tunneling Protocol）/PPTP（Point-to-Point Tunneling Protocol）的主要区别在于它们工作的网络层次、实现方式以及所提供的安全特性。

简单理解三层IPsec更适用于跨多个广域网，安全性较好。二层协议L2TP/PPTP比三层IPsec能更好的映射网络拓扑结构，但是L2TP本身并不提供加密功能，通常与IPsec结合使用来提供完整的安全解决方案。当L2TP与IPsec结合时，它可以在第二层创建隧道，而IPsec则在第三层提供加密和认证。PPTP提供了基本的安全特性，但相比L2TP/IPsec组合，它的安全性较弱。PPTP使用MPPE（Microsoft Point-to-Point Encryption）进行加密，但存在已知的安全漏洞。

从应用场景分为PC-站点，站点到站点：

类型一、PC-站点 企业出差人员在移动办公环境（如家里、酒店、户外等）接入Internet后，可以与总部网络建立L2TP 隧道，实现访问内网资源的需求。

类型二、站点-站点 实现企业总部与分部间共享资源。隧道建立之后，两端局域网的办公电脑无需任何VPN相关配置，可以直接访问对端网络（防火墙允许的条件下）。