虛擬專用網(wǎng)(VPN)的功能是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)進(jìn)行加密通信。它廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)。VPN網(wǎng)關(guān)通過加密數(shù)據(jù)包和轉(zhuǎn)換數(shù)據(jù)包的目的地址來實(shí)現(xiàn)遠(yuǎn)程訪問。VPN可以通過服務(wù)器、硬件和軟件來實(shí)現(xiàn)。
VPN屬于遠(yuǎn)程訪問技術(shù)，簡單來說就是利用公網(wǎng)建立專網(wǎng)。比如某公司員工出差到外地，想訪問內(nèi)網(wǎng)的服務(wù)器資源，這種訪問屬于遠(yuǎn)程訪問。（聲明：文章僅供參考對(duì)比；請(qǐng)勿用于任何違法行為；）

在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，傳統(tǒng)的遠(yuǎn)程訪問方法是租用DDN(數(shù)字?jǐn)?shù)據(jù)網(wǎng))專線或幀中繼，這必然會(huì)導(dǎo)致網(wǎng)絡(luò)通信和維護(hù)成本高。對(duì)于移動(dòng)用戶(移動(dòng)辦公人員)和遠(yuǎn)程個(gè)人用戶來說，他們通常通過撥號(hào)線路(互聯(lián)網(wǎng))進(jìn)入企業(yè)局域網(wǎng)，但這必然會(huì)帶來安全隱患。

外籍員工訪問內(nèi)網(wǎng)資源和使用VPN的解決方案是在內(nèi)網(wǎng)設(shè)置一個(gè)VPN服務(wù)器。外地員工在本地接入互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)接入VPN服務(wù)器，再通過VPN服務(wù)器進(jìn)入內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶端之間的通信數(shù)據(jù)是加密的。有了數(shù)據(jù)加密，可以認(rèn)為數(shù)據(jù)是在一個(gè)特殊的數(shù)據(jù)鏈路上安全傳輸?shù)?，就像建立一個(gè)特殊的網(wǎng)絡(luò)一樣。但實(shí)際上，VPN使用的是互聯(lián)網(wǎng)上的公共鏈路，所以VPN被稱為虛擬專用網(wǎng)，本質(zhì)上是利用加密技術(shù)在公共網(wǎng)絡(luò)上封裝一個(gè)數(shù)據(jù)通信隧道。有了VPN技術(shù)，用戶只要能接入互聯(lián)網(wǎng)，無論是出國旅游還是在國內(nèi)工作，都可以使用VPN訪問內(nèi)網(wǎng)資源，這也是VPN在企業(yè)得到廣泛應(yīng)用的原因。

VPN網(wǎng)關(guān)一般采用雙網(wǎng)卡結(jié)構(gòu)，外部網(wǎng)卡使用公網(wǎng)IP接入互聯(lián)網(wǎng)。

網(wǎng)絡(luò)一的終端a(假設(shè)為公共互聯(lián)網(wǎng))接入網(wǎng)絡(luò)二的終端B(假設(shè)為企業(yè)內(nèi)網(wǎng))，終端a發(fā)送的接入數(shù)據(jù)包的目的地址為終端B的內(nèi)部IP地址。

網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)在接收到終端a發(fā)送的接入數(shù)據(jù)包時(shí)，會(huì)檢查自己的目標(biāo)地址，如果目標(biāo)地址屬于網(wǎng)絡(luò)二的地址，那么數(shù)據(jù)包會(huì)根據(jù)不同的VPN技術(shù)以不同的方式封裝。同時(shí)，VPN網(wǎng)關(guān)將構(gòu)建一個(gè)新的VPN數(shù)據(jù)包，并將封裝后的原始數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載。虛擬專用網(wǎng)數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)二的虛擬專用網(wǎng)網(wǎng)關(guān)的外部地址。

網(wǎng)絡(luò)一的虛擬專用網(wǎng)網(wǎng)關(guān)將虛擬專用網(wǎng)包發(fā)送到互聯(lián)網(wǎng)。由于VPN數(shù)據(jù)包的目的地址是網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址，因此數(shù)據(jù)包將通過互聯(lián)網(wǎng)中的路由正確發(fā)送到網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)。

第二網(wǎng)絡(luò)的VPN網(wǎng)關(guān)檢查接收到的數(shù)據(jù)包，如果發(fā)現(xiàn)該數(shù)據(jù)包是從第一網(wǎng)絡(luò)的VPN網(wǎng)關(guān)發(fā)送的，則可以確定該數(shù)據(jù)包是VPN數(shù)據(jù)包，并解包。拆包的過程主要是剝離VPN數(shù)據(jù)包的報(bào)頭，然后對(duì)數(shù)據(jù)包進(jìn)行反向處理，恢復(fù)原始數(shù)據(jù)包。

第二網(wǎng)絡(luò)的VPN網(wǎng)關(guān)將恢復(fù)后的原始數(shù)據(jù)包發(fā)送給目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，因此可以將數(shù)據(jù)包正確發(fā)送給終端B。在終端b看來，它收到的數(shù)據(jù)包與終端a直接發(fā)送的數(shù)據(jù)包是一樣的。

從終端B到終端A的數(shù)據(jù)包處理過程與上述過程相同，使得兩個(gè)網(wǎng)絡(luò)中的終端可以相互通信。

從上面的描述可以發(fā)現(xiàn)，VPN網(wǎng)關(guān)處理數(shù)據(jù)包時(shí)，有兩個(gè)參數(shù)對(duì)VPN通信非常重要:原始數(shù)據(jù)包的目的地址(VPN目的地址)和遠(yuǎn)程VPN網(wǎng)關(guān)的地址。VPN網(wǎng)關(guān)根據(jù)VPN目標(biāo)地址，可以判斷VPN處理了哪些數(shù)據(jù)包，不需要處理的數(shù)據(jù)包通?？梢灾苯愚D(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程VPN網(wǎng)關(guān)地址指定處理后的VPN數(shù)據(jù)包的目的地址，即VPN隧道另一端的VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通信是雙向的，隧道兩端的VPN網(wǎng)關(guān)在進(jìn)行VPN通信時(shí)必須知道VPN目的地址和對(duì)應(yīng)的遠(yuǎn)程VPN網(wǎng)關(guān)地址。（聲明：文章僅供參考對(duì)比；請(qǐng)勿用于任何違法行為；）

VPN的基本流程如下:

①保護(hù)主機(jī)向其他VPN設(shè)備發(fā)送明文信息。

②VPN設(shè)備根據(jù)網(wǎng)絡(luò)管理員設(shè)置的規(guī)則決定是加密數(shù)據(jù)還是直接傳輸數(shù)據(jù)。

③對(duì)于要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包(包括要傳輸?shù)臄?shù)據(jù)、源IP地址和目的lP地址)進(jìn)行加密，附加數(shù)據(jù)簽名，并添加新的數(shù)據(jù)頭(包括目的VPN設(shè)備所需的安全信息和一些初始化參數(shù))進(jìn)行重新打包。

④封裝的數(shù)據(jù)包通過隧道在公共網(wǎng)絡(luò)上傳輸。

⑤數(shù)據(jù)包到達(dá)目的VPN設(shè)備后，解封，驗(yàn)證數(shù)字簽名正確后解密數(shù)據(jù)包。

根據(jù)不同的分類標(biāo)準(zhǔn)，虛擬專用網(wǎng)可以根據(jù)幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類:

按VPN協(xié)議分類

VPN主要有三種隧道協(xié)議，PPTP、L2TP和IPSec，其中PPTP和L2TP工作在OSI模型的第二層，也稱為第二層隧道協(xié)議。IPSec是第3層隧道協(xié)議。

按虛擬專用網(wǎng)應(yīng)用分類

(1)接入VPN(遠(yuǎn)程接入VPN):從客戶端到網(wǎng)關(guān)，VPN數(shù)據(jù)流量以公網(wǎng)為骨干網(wǎng)在設(shè)備間傳輸；

(2)內(nèi)網(wǎng)VPN:網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同一公司的資源；VPN):它與伙伴企業(yè)網(wǎng)絡(luò)形成外聯(lián)網(wǎng)，將一家公司的資源與另一家公司的資源連接起來。（聲明：文章僅供參考對(duì)比；請(qǐng)勿用于任何違法行為；）

根據(jù)所用設(shè)備的類型進(jìn)行分類

根據(jù)不同客戶的需求，網(wǎng)絡(luò)設(shè)備提供商開發(fā)了不同的VPN網(wǎng)絡(luò)設(shè)備，主要是交換機(jī)、路由器和防火墻:

(1)路由器VPN:路由器VPN容易部署，只要給路由器增加VPN服務(wù)；

(2)交換式VPN:主要用于連接用戶較少的VPN網(wǎng)絡(luò)；

根據(jù)實(shí)施原則

(1)重疊VPN:這種VPN要求用戶在端節(jié)點(diǎn)之間建立VPN鏈路，主要包括GRE、L2TP、IPSec等多種技術(shù)。

(2)對(duì)等VPN:網(wǎng)絡(luò)運(yùn)營商在骨干網(wǎng)上完成VPN通道的建立，主要包括MPLS和VPN技術(shù)。

VPN的實(shí)現(xiàn)方式有很多種，其中常用的有以下四種:

1.VPN服務(wù)器:在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心設(shè)置一個(gè)VPN服務(wù)器來實(shí)現(xiàn)VPN。

2.軟件VPN: VPN可以通過專門的軟件實(shí)現(xiàn)。

3.硬件VPN: VPN可以通過專門的硬件來實(shí)現(xiàn)。

4.集成VPN:一些硬件設(shè)備，如路由器、防火墻等。，都有VPN功能，但有VPN功能的硬件設(shè)備通常比沒有此功能的多。

優(yōu)勢(shì)

虛擬專用網(wǎng)使移動(dòng)員工、遠(yuǎn)程員工、商業(yè)伙伴和其他人能夠使用本地可用的高速寬帶網(wǎng)絡(luò)連接(如數(shù)字用戶線路、有線電視或無線網(wǎng)絡(luò))連接到企業(yè)網(wǎng)絡(luò)。此外，高速寬帶網(wǎng)絡(luò)連接為連接遠(yuǎn)程辦公室提供了一種經(jīng)濟(jì)高效的方法。（聲明：文章僅供參考對(duì)比；請(qǐng)勿用于任何違法行為；）

設(shè)計(jì)良好的寬帶VPN是模塊化和可擴(kuò)展的。虛擬專用網(wǎng)使用戶能夠使用易于設(shè)置的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，并允許新用戶快速方便地加入網(wǎng)絡(luò)。這種能力意味著企業(yè)可以提供大量容量和應(yīng)用程序，而無需添加額外的基礎(chǔ)架構(gòu)。

VPN可以提供高級(jí)別的安全性，使用高級(jí)加密和識(shí)別協(xié)議來保護(hù)數(shù)據(jù)免受窺探，并防止數(shù)據(jù)竊賊和其他未經(jīng)授權(quán)的用戶接觸此類數(shù)據(jù)。

完全控制，虛擬專用網(wǎng)使用戶能夠利用ISP的設(shè)施和服務(wù)，同時(shí)完全控制自己的網(wǎng)絡(luò)。用戶只使用ISP提供的網(wǎng)絡(luò)資源，可以自行管理其他安全設(shè)置和網(wǎng)管變更。您也可以在企業(yè)內(nèi)部建立自己的虛擬專用網(wǎng)絡(luò)。

劣勢(shì)

企業(yè)無法直接控制基于互聯(lián)網(wǎng)的VPN的可靠性和性能。組織必須依靠提供VPN的互聯(lián)網(wǎng)服務(wù)提供商來確保服務(wù)的運(yùn)行。這一因素使得企業(yè)與互聯(lián)網(wǎng)服務(wù)提供商簽訂服務(wù)水平協(xié)議非常重要，保證了各項(xiàng)績效指標(biāo)。

企業(yè)創(chuàng)建和部署VPN線路并不容易。這項(xiàng)技術(shù)需要對(duì)網(wǎng)絡(luò)和安全問題有很高的理解，并需要仔細(xì)的規(guī)劃和配置。所以，選擇一個(gè)互聯(lián)網(wǎng)服務(wù)提供商來負(fù)責(zé)VPN的大部分運(yùn)行是個(gè)不錯(cuò)的主意。

不同供應(yīng)商的VPN產(chǎn)品和解決方案總是不兼容，因?yàn)樵S多供應(yīng)商不愿意或無法遵守VPN技術(shù)標(biāo)準(zhǔn)。因此，混合使用不同制造商的產(chǎn)品可能會(huì)造成技術(shù)問題。另一方面，使用一個(gè)供應(yīng)商的設(shè)備可能會(huì)增加成本。
VPN在使用無線設(shè)備時(shí)存在安全隱患。接入點(diǎn)之間的漫游尤其成問題。當(dāng)用戶在接入點(diǎn)之間漫游時(shí)，任何使用高級(jí)加密技術(shù)的解決方案都可能受到威脅。

2003年4月，信息產(chǎn)業(yè)部發(fā)布了《電信業(yè)務(wù)分類目錄》，取消了國際電信業(yè)務(wù)的分類，同時(shí)將虛擬專網(wǎng)業(yè)務(wù)從基礎(chǔ)電信業(yè)務(wù)中分離出來，成為增值電信業(yè)務(wù)的獨(dú)立分類。但是這里的“虛擬專用網(wǎng)”的概念和行業(yè)內(nèi)的VPN服務(wù)是不一樣的。新的《電信業(yè)務(wù)分類目錄》對(duì)這一分類的解釋是:國內(nèi)互聯(lián)網(wǎng)虛擬專用網(wǎng)業(yè)務(wù)(IP-VPN)是指運(yùn)營商利用自有或租用的公共互聯(lián)網(wǎng)網(wǎng)絡(luò)資源，采用TCP/IP協(xié)議為國內(nèi)用戶定制互聯(lián)網(wǎng)封閉用戶組網(wǎng)絡(luò)的業(yè)務(wù)。這個(gè)分類的解釋強(qiáng)調(diào)了兩個(gè)特點(diǎn)，一個(gè)是使用互聯(lián)網(wǎng)網(wǎng)絡(luò)資源，一個(gè)是使用TCP/IP協(xié)議。這個(gè)解釋對(duì)應(yīng)當(dāng)時(shí)的市場(chǎng)情況。當(dāng)時(shí)，基于互聯(lián)網(wǎng)的IPSec VPN備受關(guān)注。雖然這個(gè)解釋基本上可以涵蓋后來出現(xiàn)的SSL VPN模式，但是并沒有關(guān)注MPLS VPN。

2006年1月，信息產(chǎn)業(yè)部發(fā)布《關(guān)于兩項(xiàng)增值電信業(yè)務(wù)和國內(nèi)多方通信業(yè)務(wù)的通知》，正式開通“國內(nèi)互聯(lián)網(wǎng)虛擬專用網(wǎng)業(yè)務(wù)”和“在線數(shù)據(jù)處理和交易處理業(yè)務(wù)”兩項(xiàng)增值電信業(yè)務(wù)，上述兩項(xiàng)增值電信業(yè)務(wù)由商業(yè)試運(yùn)營轉(zhuǎn)為正式商業(yè)化。

2013年，工業(yè)和信息化部發(fā)布了《電信業(yè)務(wù)分類目錄(征求意見稿)》，仍未做出任何修改。

2015年1月27日，工信部回應(yīng)VPN關(guān)閉事件，稱部分不良信息應(yīng)按中國法律管理。工信部此前發(fā)布規(guī)定，在中國提供VPN服務(wù)的公司必須注冊(cè)，否則“不受中國法律保護(hù)”。

2017年1月，工信部發(fā)布《關(guān)于清理規(guī)范互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)服務(wù)市場(chǎng)的通知》，主要是為了更好地規(guī)范市場(chǎng)行為。監(jiān)管對(duì)象主要是未經(jīng)電信主管部門批準(zhǔn)，不具備國際電信業(yè)務(wù)經(jīng)營資格，租用國際專線或VPN，非法開展跨境電信業(yè)務(wù)經(jīng)營的企業(yè)和個(gè)人。這些規(guī)定主要是清理無證經(jīng)營和不符合標(biāo)準(zhǔn)的，不會(huì)對(duì)依法合規(guī)的企業(yè)和個(gè)人產(chǎn)生任何影響。有不懂的請(qǐng)咨詢夢(mèng)飛服務(wù)器了解。

以上就是VPN功能的相關(guān)文章（聲明：文章僅供參考對(duì)比；請(qǐng)勿用于任何違法行為；）在此聲明：夢(mèng)飛科技沒有vpn，也不出售vpn，請(qǐng)勿咨詢！