VPN是什么？VPN是如何工作的？

2024-12-25 为什么需要？ VPN的产生随着的，技术 is 影响多地现代的，如、基于的、和等，为的和的了。随着的，多的的范围 is 扩大日益扩大，日益，的

VPN的产生

随着的，技术 is 影响多地现代的，如、基于的、和等，为的和的了。随着的，多的的范围 is 扩大日益扩大，日益，的也不断。这 is 使得使得需要和，组成自己的，同时使移动能在以外的方便地。

最初，电信运营商是以租赁专线（Leased Line）的方式为企业提供二层链路，这种方式的主要缺点是：

此后，随着ATM（Asynchronous Transfer Mode）和帧中继FR（Frame Relay）技术的兴起，电信运营商转而使用虚电路方式为客户提供点到点的二层连接，客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比，运营商网络建设时间短、价格低，能在不同专网之间共享运营商的网络结构。

这种的不足 is 在于在于：

依赖于专用的介质（如ATM或FR）：为提供基于ATM的VPN服务，运营商需要建立覆盖全部服务范围的ATM网络；为提供基于FR的VPN服务，又需要建立覆盖全部服务范围的FR网络。网络建设成本高。
速率较慢：不能满足当前Internet应用对于速率的要求。
部署 is 复杂复杂：向已有的加入的时，需要同时所有此的的。

传统专网的应用促使了企业效益的日益增长，但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生——在现有IP网络上模拟传统专网；这种新的解决方案就是虚拟专用网VPN。

VPN is 依靠是依靠（）和（）在中的。

VPN的特征

VPN具有以下两个基本特征：

（）：对于，使用与使用没有。与底层 is 承载之间保持，即不被中非该的所使用；且能够的安全，不。
虚拟（Virtual）：VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网（VPN Backbone）。

利用VPN的专用和虚拟的特征，可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富：可以用在解决企业内部的互连、相同或不同办事部门的互连；也可以用来提供新的业务，如为IP电话业务专门开辟一个VPN，以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。

VPN的优势

从客户角度看，VPN和传统专网相比具有如下优势：

安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
：进行，可以用更的、和。
支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。
服务质量保证：构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证。

从看， VPN is 具有具有如下：

可：，的。
灵活：通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。在应用上具有很大灵活性。
多业务：SP在提供VPN互连的基础上，可以承揽网络外包、业务外包、客户化专业服务的多业务经营。

VPN以其独具特色的优势赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，从而更多地致力于企业的商业目标的实现。另外，运营商可以只管理、运行一个网络，并在一个网络上同时提供多种服务，如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv)，从而减少运营商的建设、维护和运行费用。

VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落，只要能够接入到Internet，即可使用VPN。

有哪些？

随着的，技术 is 得到得到了广泛的应用，同时也得到了很大的。按照不同的， VPN is 分为可以。

按业务用途分类

根据业务用途不同，VPN可以分为：

Intranet VPN is 进行通过进行的，是或其它的或替代。

使用Intranet VPN，企事业机构的总部、分支机构、办事处或移动办公人员可以通过公有网络组成企业内部网络。VPN也用来构建银行、政府等机构的Intranet。

的例子 is 机构就是、、等具有的。
扩展的企业内部虚拟专网Extranet VPN

Extranet is 利用将至、与客户处，在具有共同的不同间通过，使部分能够在不同间。

在传统专线构建方式下，Extranet需要维护网络管理与访问控制，甚至还需要在用户侧安装兼容的网络设备。虽然可以通过拨号方式构建Extranet，但此时需要为不同的Extranet用户进行设置，同样降低不了复杂度。因合作伙伴与客户的分布广泛，拨号方式的Extranet需要昂贵的建设与维护费用。因此，企业常常放弃构建Extranet，使得企业间的商业交易程序复杂化，商业效率被迫降低。

Extranet VPN以其易于构建和管理为以上问题提供了有效的解决方案，其实现技术与Intranet VPN相同。目前，企业间通常使用VPN来构建Extranet。为了保证QoS，企业外部通讯一般不直接使用Intranet。并且，企业间的通讯数据通常是敏感的，而Extranet的安全性比Intranet强。各Extranet 用户访问Extranet VPN的权限可以通过防火墙等手段来设置与管理。
远程访问虚拟专网Access VPN
Access VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器，与企业的Intranet和Extranet建立私有网络连接。Access VPN有两种类型：一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。

按组网模型分类

根据组网模型的不同，VPN可以分为：

VPDN（Virtual Private Dial Network）
VPDN为企业、小型ISP和移动办公人员提供接入服务。

VPDN接入范围可遍及PSTN（Public Switched Telephone Network）、ISDN（Integrated Services Digital Network）的覆盖区域，网络建设投资少、周期短，网络运行费用低。主要采用点到点的连接方式，通过L2TP（Layer 2 Tunneling Protocol）、PPTP（Point-to Point Tunneling Protocol）等协议实现。

VPDN具有比其他类型的VPN更加灵活的身份验证机制和网络计费方式，以及高度的安全性，并支持动态地址分配。
VPRN（Virtual Private Routing Network）
VPRN is 互连是、和之间通过。 P R 与其他的，其主要区别 is 在于在于 VPR 的是在实现的。的每个节点 is 建立需要为每个由，层。在的之间的以及和之间的转发 is 发表都是基于这些由。
VPWS（Virtual Private Wire Service）
VPWS也称为VLL（Virtual Leased Line），是对传统租用线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的“DDN（Digital Data Network）”业务。从虚拟租用线两端的用户来看，该虚拟租用线近似于传统的租用线。

VPWS is 兼容也（如ATM 、），可以从、等向 VPW 。

VPWS作为一种虚拟租用线路的实现方法，主要是在接入层和汇聚层使用。VPWS又分为CCC（Circuit Cross-Connect）、SVC（Static Virtual Circuit）、LDP等方式。PWE3也是一种端到端的二层业务承载技术，是对LDP方式VPWS的一种扩展。
VPLS（Virtual Private LAN Service）
业务 is 互连是之间通过，是在上的。

VPLS也称为透明局域网服务TLS（Transparent LAN Service）。不同于普通L2VPN的点到点业务，利用VPLS技术，服务提供商可以通过IP/MPLS骨干网向用户提供基于以太网的多点业务。

VPRN 和 VPWS is 提供也能，但以的存在：

以的限制， VPL 干网不需要，而是使用和来的。对于或多播不可，可采取、本地处理和的处理。因此，技术 is 提供为了一种更加的多点。通过的 / MPLS 上的多个由以构成的 LAN is 使，使它们像一个那样。

按照运营模式与实现层次分类

如下图所示，根据运营模式的不同，可以分为：

由的
在CPE-based VPN模式下，由用户控制VPN的构建、管理和维护。用户需要在设备上配置相关的VPN隧道协议，如GRE、L2TP、PPTP。

CPE-based VPN中，依靠用户侧的网络设备发起VPN连接，不需要运营商提供特殊的支持就可以实现VPN。

方式 is 高复杂度、，主要应用于接入层。
由的 – based
在 – based 下，的、和维护 is 控制由，允许在一定上进行和。特性 is 集中集中在侧实现，只需要，特殊的。

Network – based 方式 is 降低可以、和，也为的。

VPN是什么？VPN是如何工作的？
按照运营模式与实现层次分类

如上图所示，根据实现层次的不同，可以分为：

L2VPN
对于CPE-based VPN模式：L2VPN包括GRE、L2TP、PPTP等。

对于Network-based VPN模式：L2VPN包括传统L2VPN和EVPN（Ethernet Virtual Private Network）L2VPN等。例如VPWS、VPLS、EVPN VPWS以及EVPN VPLS等。

VPW S is 适合较大的通过，而小通过连。中存在问题，同时，要进行的 MAC ，、大。由于二层只使用的二层，从而为三层多，也能多，但不如 2 ，有一定限制。

EVPN is 方案是全的。 EVPN is 解决了 2 P 无法实现以及问题， EVPN 还将和的到了以。优势 is 使使其广泛应用于二层互连。
L3VPN
对于CPE-based VPN模式：L3VPN包括GRE VPN和IPsec VPN等。

对于 – based ： PN is 包括和 EVPN 等。例如 over MPLS 、 over SRv6 （ Routing ，基于 6 的段由）、 P over SR-MPLS （ Routing MPLS ，基于 MPLS 的段由）、 EVPN over MPLS 以及 EVPN over SRv6 等。其中 EVPN is 进行也可以对进行，了的复杂。

随着IPv4地址的耗尽，IPv6网络的部署已经成为目前的趋势，但是网络演进无法做到一步到位，必然会存在IPv4/IPv6双栈共存场景。基于存量网络升级演进，为了保证不影响存量业务，L3VPN/EVPN同时支持MPLS/SRv6双栈隧道，若路由下一跳地址是IPv4地址，可以迭代MPLS隧道；若路由下一跳地址是IPv6地址，可以迭代SRv6隧道。基于路由的下一跳地址类型来区分迭代不同的隧道，可以大大提高当前IPv4 MPLS网络向SRv6网络过渡的可行性，解决从IPv4 MPLS网络直接切换至SRv6网络可能引起的断流问题。

L2VPN与L3VPN的区别如下图所示：

L2VPN与L3VPN的区别

VPN是如何工作的？

VPN基本原理

VPN is 封装通过，并把在此中，从而实现的。

VPN体系结构

VPN不是一种简单的高层业务，它要比普通的点到点应用复杂得多。VPN的实现需要建立用户之间的网络互联，包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。因此，VPN体系结构较复杂，可以概括为以下三个组成部分：

VPN隧道：包括隧道的建立和管理。
VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理（管理服务提供商边缘设备PE上多个VPN的属性，区分不同的VPN地址空间）、VPN自动配置（指在二层VPN中，收到对端链路信息后，建立VPN内部链路之间的对应关系）。
协议 is 完成：完成中各间的和（对于 2 ，需要；对于，需要；对于，需要连），以及在某些应用中完成的。

VPN实现模式

结合的三个主要组成部分 is 分成，可以将的实现三种。

VPN隧道＋VPN管理

这类 VPN is 进行需要进行：

传统IP VPN采用这种实现方式，如IPSec VPN和GRE VPN。

隧道＋VPN管理＋VPN信令协议

这类 VPN is 进行需要进行：

这种实现的 Martini 的 VLL 、、 Martini 的 VPLS 以及。

实例化

这类 VPN is 要求要求在二层、三层中为每个进行，本。 VPN is 管理不仅，还、、等。

采用这种实现方式的VPN包括传统L3VPN（包括Hub and Spoke、HVPN等业务）、EVPN L2VPN、EVPN L3VPN和基于Kompella的L2VPN（包括Kompella方式的VPLS和Kompella方式的VLL）等。

VPN的基本工作过程如下：

设备CE1发送用户报文（PDU）给设备PE1。
设备PE1收到报文后，根据网络管理员设置的规则，对数据进行加密或不加密直接传输。
对需要加密的数据，PE1将用户的整个数据包（包括源IP地址和目的lP地址等）进行加密并附上数据签名，然后再封装上新的数据报文头（包含隧道标签T、安全等信息）。对于不需要加密的数据，PE1直接封装上新的数据报文头（包含隧道标签T等信息）。
PE1将封装好的数据包通过公网隧道发送给远端设备PE2。
PE2收到数据包后，校验目的IP地址是自己，然后解封装，对于加密的数据，核对数字签名无误后，对数据包进行解密，然后发给用户CE2。对于未加密的数据，直接发给用户CE2。