在日常的生活中，我們時常都會聽到VPN。那麼VPN到底是什麼，今天我們就來看一下VPN是怎麼回事。

1. 什麼是VPN

VPN：為了保護站點與使用者之間的網路流量，組織機構會使用VPN（虛擬專用網路）來建立端到端的專用網路連線。VPN 是虛擬的，因為它在專用網路中傳送資訊，但是這些資訊實際上是透過公共網路傳送的。VPN 是私密的，因為其中的流量被加密以保持資料在透過公共網路傳輸時是保密的。

嚴格來說，最初的 VPN 只是 IP 隧道，它並不提供認證或資料加密服務。舉例來說，GRE（通用路由封裝）是由思科開發的隧道協議，它不提供加密服務。它被用來封裝IPv4和IPv6流量，代替IP隧道來建立虛擬的點到點連結。

現在的VPN可以支援加密特性，比如IPsec（網際網路安全協議）和SSL（安全套接字層）都可以為站點之間的網路流量提供保護。

VPN的主要優勢詳見表格。

2. VPN的部署

VPN通常部署在以下兩種配置中：站點到站點VPN或者遠端訪問VPN。

+ Site to Site VPN:站點到站點VPN是建立在VPN終結裝置上的，也稱為VPN閘道器，該裝置上預配置了用來建立安全隧道的資訊。VPN流量只會在這些裝置之間加密。內部主機並不知道 VPN 的存在。

+ 遠端訪問VPN:遠端訪問VPN是在客戶端和VPN終端裝置之間動態建立的安全連線。舉例來說，人們線上查詢銀行賬戶資訊時就會使用遠端訪問SSL VPN。

有多種方法可以為企業流量提供保護。這些解決方案因負責管理VPN的機構而異。

人們可以這樣管理和部署VPN：

企業VPN – 企業所管理的VPN是企業用來在網際網路上保護企業流量的常用解決方案。站點到站點VPN和遠端訪問VPN是由企業使用IPsec VPN和SSL VPN建立和管理的。

運營商VPN– 運營商所管理的VPN是在運營商網路中建立並管理的VPN。運營商在二層或三層使用MPLS（多協議標籤交換），在企業站點之間建立安全的通道。MPLS是運營商用來在多個站點之間建立虛擬路徑所使用的路由技術。這樣做可以有效地把客戶流量與其他客戶的流量相隔離。其他傳統的解決方案還包括幀中繼VPN和ATM（非同步傳輸模式）VPN。

圖中列出了不同型別的企業管理的VPN部署和運營商管理的VPN部署，本模組會詳細介紹相關內容。

3. VPN的型別

+ SSL VPN

當客戶端與VPN閘道器協商SSL VPN連線時，實際上它會使用TLS（傳輸層安全）進行連線。TLS 是 SSL 的較新版本，有時表示為 SSL/TLS。但這兩個術語通常會互動使用。SSL會使用PKI（公共金鑰基礎設施）和數字證書來進行對等體認證。IPsec 和 SSL VPN 技術幾乎能夠提供對任何網路應用程式或資源的訪問。但是，需要考慮安全性時，IPsec 是更好的選擇。如果是否支援和易於部署是主要問題，則考慮使用 SSL。實施的 VPN 方法的型別取決於使用者的訪問要求和組織的 IT 流程。表格中對比了IPsec和SSL遠端訪問部署。

IPsec 和 SSL VPN 並不互相排斥，理解這一點很重要。相反，它們互為補充；兩種技術都可解決不同問題，組織可以實施 IPsec、SSL，或同時實施，具體取決於遠端工作人員的需求。

+ Site to Site VPN:

站點到站點VPN用於在不受信任的網路（比如網際網路）上建立網路連線。在站點到站點VPN中，終端主機會透過VPN終結裝置來發送和接收未加密的TCP/IP流量。VPN終結裝置通常被稱作VPN閘道器。VPN閘道器裝置可以是路由器或防火牆，如圖所示。舉例來說，圖片右側顯示的思科ASA（自適應安全裝置）是獨立的防火牆裝置，它將防火牆、VPN集中器和入侵防禦功能整合到一個軟體映象中。

VPN閘道器負責封裝和加密來自特定站點的所有出站流量。然後，VPN閘道器透過在網際網路上建立的VPN隧道，將流量傳送給目標站點上的VPN閘道器。接收到流量後，接收方VPN閘道器會剝離報頭、解密內容，然後將資料包傳送給其專有網路內的目標主機。

站點到站點VPN通常是透過IPsec（網際網路安全協議）進行建立和保護的。

+基於 IPsec 的 GRE:

通用路由封裝 (GRE) 是不安全的站點到站點 VPN 隧道協議。它可以封裝多種不同的網路層協議。它還支援組播和廣播流量，當組織機構需要在VPN上執行路由協議時，就會產生這類流量。但GRE預設是不支援加密的；因此它無法提供安全的VPN隧道。

標準的IPsec VPN（非GRE）只可以為單播流量建立安全隧道。因此路由協議無法透過IPsec VPN來交換路由資訊。

用來描述在IPsec隧道中封裝GRE的術語分別為乘客協議、運載協議和傳輸協議，如圖所示。

舉例來說，圖中展示了一個拓撲，分支機構和總部之間希望在IPsec VPN上交換OSPF路由資訊。但IPsec並不支援組播流量。因此，企業使用GRE over IPsec在IPsec VPN上提供對路由協議流量的支援。具體來說，OSPF包（乘客協議）會被GRE（運載協議）封裝，接著會被封裝到IPsec VPN隧道中。

圖中Wireshark截圖顯示出OSPF Hello包是透過GRE over IPsec傳送的。傳輸協議的部分已用方框突出顯示，其中顯示出IPv4， 源：192.168.12.1，目的：192.168.23.3。運載協議的部分已用方框突出顯示，其中顯示出GRE、標誌和版本，以及協議型別IP。 IP。乘客協議的部分已用方框突出顯示，其中顯示出IPv4，源：192.168.13.1，目的：224.0.0.5，這表示它是開放式最短路徑優先 （OSPF）協議包。

+DMVPN動態多點VPN

當只有少數幾個站點之間需要建立安全連線時，站點到站點IPsec VPN和GRE over IPsec VPN就夠用了。但當企業增加了更多的站點時，這兩種型別的VPN就無法滿足需要了。這是因為每個站點都需要靜態地配置與其他站點之間的連線，或者靜態配置與中心站點之間的連線。

動態多點 VPN (DMVPN) 是用於以輕鬆、動態和可擴充套件的方式構建多個 VPN 的思科軟體解決方案。與其他型別的VPN一樣，DMVPN也依賴於IPsec，在公共網路（比如網際網路）上提供安全的傳輸。

DMVPN簡化了VPN隧道的配置，提供了一種靈活的方式來連線中心站點和分支機構站點。它會使用中心輻射型配置來建立全互聯拓撲。分支站點會與中心站點建立安全的VPN隧道，如圖所示。

圖中描繪了動態多點VPN中心輻射型隧道。中心站點有一臺路由器分別連線其他路由器：分支A、分支B和分支C。

DMVPN 中心輻射型隧道

個站點上都配置了mGRE（多點GRE）。 mGRE隧道介面可以使單個GRE介面動態地支援多個IPsec隧道。因此當一個新的站點需要建立安全連線時，中心站點上的已有配置可以直接對這個隧道進行支援。無需額外的配置。

分支站點也可以從中心站點那裡獲取其他遠端站點的資訊。從而使用這些資訊直接與其他遠端站點建立VPN隧道，如圖所示。圖中描繪了動態多點VPN中心輻射型隧道，以及分支到分支隧道。中心站點有一臺路由器分別連線其他路由器：分支A、分支B和分支C。 虛線描繪了分支之間的連線。

DMVPN 中心輻射型隧道和分支到分支隧道

+ IPsec 虛擬隧道介面

與DMVPN類似，VTI（IPsec虛擬隧道介面）也簡化了配置，能夠支援多站點和遠端訪問。IPsec VTI配置是應用在虛擬介面上的，而不是把IPsec會話靜態地對映到物理介面。

IPsec VTI能夠傳送和接收加密的IP單播和組播流量。因此它能夠直接支援路由協議，無需配置GRE隧道。

人們可以在站點之間配置IPsec VTI，或者可以在中心輻射型拓撲中配置IPsec VTI。

+ 運營商MPLS VPN

MPLS可以為客戶提供VPN管理解決方案；因此客戶站點之間的流量安全性由運營商負責。運營商提供了兩種型別的MPLS VPN：

三層MPLS VPN - 運營商會參與客戶的路由，客戶路由器與運營商路由器之間會建立對等體連線。運營商路由器在接收到客戶路由後，會透過MPLS網路將其重定向給客戶的遠端站點。

二層MPLS VPN - 運營商不會參與客戶的路由。運營商會在MPLS網路上部署VPLS（虛擬專用LAN服務），來模擬一個乙太網多訪問LAN網段。沒有路由涉及其中。客戶的路由器實際上屬於同一個多訪問網路。

圖中展示出運營商同時提供了二層和三層MPLS VPN。

以上這些就是關於VPN的基礎知識。希望大家看完後，會對VPN有一個基礎的瞭解。