現(xiàn)在很多連接都被稱作VPN（Virtual PrivateNtwork），讓很多人分不清楚。那么，一般所說的VPN到底是什么呢？顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但是它卻能夠?qū)崿F(xiàn)專用網(wǎng) 絡(luò)的功能。


認(rèn)識VPN
虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商）， 在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接，并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資 源動態(tài)組成的。

對于VPN的定義有很多說法，但是都基于這樣一種思想：VPN利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過一定的技術(shù)手段，達(dá)到類似私 有專網(wǎng)的數(shù)據(jù)安全傳輸。從定義上看，VPN首先是虛擬的，也就是說VPN并不是某個公司專有的封閉線路或者是租用某個網(wǎng)絡(luò)服務(wù)商提供的封閉線路。但 是，VPN同時又具有專線的數(shù)據(jù)傳輸功能，因為VPN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。

VPN在類型與應(yīng)用方式上有訪 問虛擬專網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴展的企業(yè)內(nèi)部虛擬專網(wǎng)（ExtranetVPN）之分。


VPN 技術(shù)比較
從總體來說，VPN技術(shù)非常復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)，是一項交叉科學(xué)。目前，VPN主要包含隧道技術(shù)與安全 技術(shù)。

隧道技術(shù) 隧道技術(shù)對于構(gòu)建 VPN來說，是一個關(guān)鍵性技術(shù)。它的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處，將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的 接口處將數(shù)據(jù)解封裝，取出負(fù)載。這樣，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。目前VPN隧道協(xié)議有四種。

點對點隧道協(xié)議PPTP PPTP（Point to Point TunnelingProtocol）協(xié)議將控制包與數(shù)據(jù)包分開。控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議 中，然后封裝到GRE（通用路由協(xié)議封裝）V2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰，不再使用在VPN產(chǎn)品中。

第二層隧道協(xié)議 L2TP L2TP（Layer 2 TunnelingProtocol）協(xié)議是國際標(biāo)準(zhǔn)隧道協(xié)議。它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F（Layer2Forwarding，二層轉(zhuǎn)發(fā) 協(xié)議）協(xié)議的優(yōu)點，能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。但是，L2TP沒有任何加密措施，更多的是和IPSec協(xié) 議結(jié)合使用，提供隧道驗證。

IPSec協(xié)議IPSec（網(wǎng)絡(luò)協(xié)議安全）協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全 的一整套體系結(jié)構(gòu)。它包括網(wǎng)絡(luò)安全協(xié)議AH(Authentication Header)協(xié)議和ESP (Encapsulating SecurityPayload)協(xié)議、密鑰管理協(xié)議IKE (Internet KeyExchange)協(xié)議和用于網(wǎng)絡(luò)驗證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪 問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

現(xiàn)在一種發(fā)展趨勢，是將L2TP和IPSec結(jié)合起來，即用L2TP作為隧道協(xié)議，用 IPSec協(xié)議保護(hù)數(shù)據(jù)。目前，市場上大部分VPN都采用這類技術(shù)。它的優(yōu)點是定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，可確保運行在TCP/IP協(xié) 議上VPN之間的互操作性；不足之處在于，除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT（網(wǎng)絡(luò)地址翻譯）方式訪問公共網(wǎng)絡(luò)的情況難以處理， 為此最適合于可信LAN到LAN之間VPN的場合應(yīng)用。

SOCKS v5協(xié)議 SOCKS v5工作在OSI（OpenSystemInternet）模型中的第五層——會話層，可作為建立高度安全的VPN基礎(chǔ)。SOCKSv5協(xié)議的優(yōu)勢在于訪 問控制，因此適用于安全性較高的VPN。SOCKSv5現(xiàn)在被IETF（互聯(lián)網(wǎng)工程任務(wù)組），建議作為建立VPN的標(biāo)準(zhǔn)。它的優(yōu)點是能夠非常詳細(xì)地進(jìn)行訪 問控制，即在網(wǎng)絡(luò)層只能根據(jù)源目的的IP地址允許或拒絕被通過，在會話層控制手段更多一些；由于工作在會話層，能同低層協(xié)議如IPV4、IPSec、 PPTP、L2TP一起使用；用SOCKSv5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)；能為認(rèn)證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技 術(shù)；SOCKSv5可根據(jù)規(guī)則過濾數(shù)據(jù)流，包括JavaApplet和Actives控制。但是，它也有不少令人遺憾之處：性能比低層次協(xié)議差，必須制定 更復(fù)雜的安全管理策略。這樣，它最適合用于客戶機到服務(wù)器的連接模式，適用于外部網(wǎng)VPN和遠(yuǎn)程訪問VPN。  

安全技術(shù) VPN常常需要在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機密數(shù)據(jù)，因此其安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證和密鑰 交換與管理技術(shù)組成。

認(rèn)證技術(shù)認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改。它采用一種稱為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH函數(shù)將 一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。由于HASH函數(shù)的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術(shù)在VPN中 有驗證數(shù)據(jù)的完整性和用戶認(rèn)證兩種用途。

加密技術(shù) IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如DES（DataEncryptionStamdard）、 3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

密鑰交換與管理VPN中密鑰的分發(fā)與管理非常 重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置；另一種采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法由于密鑰更新困難，只適合于簡單網(wǎng)絡(luò)的情況；密鑰交換 協(xié)議采用軟件方式動態(tài)生成密鑰，適合于復(fù)雜網(wǎng)絡(luò)的情況且密鑰可快速更新，可以顯著提高VPN的安全性。目前主要的密鑰交換與管理標(biāo)準(zhǔn)有IKE（互聯(lián)網(wǎng)密鑰 交換）、SKIP（互聯(lián)網(wǎng)簡單密鑰管理）和Oakley。