在过去几十年中，世界发生了很大的变化。现在很多公司除了处理本地或地区性事务外，还要考虑全球市场和物流的问题。很多公司在全国甚至全球都设有分支机构，而这些公司都需要做的一件事情就是：找到能够与分公司进行快速、安全和可靠通信的方式，而不管这些分公司设在何处。 

直到最近为止，要想实现这个目的，还只能通过利用租用线路的方式来维护广域网（WAN）。租用线路的范围从ISDN（集成服务数字网络，速度为128Kbps）到OC3（光学载波第3级，速度为155Mbps）光纤，这为公司提供了一种可以将其专用网络扩展到临近地理位置之外的方法。与互联网等公用网络相比，WAN在可靠性、性能和安全性方面都具有明显的优势。但要维护一个 WAN，尤其是通过租用线路来维护时，费用是非常昂贵的，而且成本通常还会随着分公司之间距离的增加而增加。

虚拟专用网(VPN)工作原理 

随着互联网的兴起，企业开始寻求利用互联网来扩展他们的网络。首先出现的是Intranet（企业内部互联网），这是一种专供公司员工使用而设计的站点，受密码保护。现在，很多公司都搭建了自己的VPN（虚拟专用网），以满足远程员工和分公司的需求。

思科系统公司供图

一个典型的VPN可能包括公司总部的主LAN、远程分公司或分支机构的其他LAN以及从网络外部连接进来的个人用户。

从原理上来说，VPN就是利用公用网络（通常是互联网）把远程站点或用户连接到一起的专用网络。与使用实际的专用连接（例如租用线路）不同，VPN使用的是通过互联网路由的“虚拟”连接，把公司的专用网络同远程站点或员工连接到一起。在本文中，您将了解到VPN的基础知识，以及基本的VPN组件、技术、隧道技术和安全性。

VPN由什么组成？一个设计良好的VPN可以给公司带来很多好处。例如，它可以： 

扩展地理连接 

改进安全性 

降低运营成本（同传统WAN相比） 

降低远程用户的传输时间和传送成本 

提高生产效率 

简化网络拓扑 

可与全球网络连接 

提供远距离工作支持 

提供宽带网络兼容性 

提供更快的ROI（投资回报）——同传统WAN相比 

一个设计良好的VPN需要什么功能？它应当集成：

安全性 

可靠性 

可伸缩性 

网络管理 

策略管理 

VPN有三种类型。在下面几部分中，我们将详细地介绍这些类型。

远程访问VPN

常见的VPN有两种。远程访问也称为虚拟专用拨号网络（VPDN），它是一种用户到LAN的连接，通常用于员工需要从各种远程位置连接到专用网络的公司。一般来说，公司都会把搭建大型远程访问VPN的工作外包给企业服务提供商（ESP）。ESP首先建立一个网络访问服务器（NAS），并向远程用户提供用于他们计算机的桌面客户端软件。然后，远程工作者就可以通过拨打免费号码连接NAS，并使用他们的VPN客户端软件访问公司网络。 

典型的需要使用远程访问VPN的公司是拥有数百个销售人员的大型公司。远程访问VPN能够通过第三方服务提供商在公司专用网络和远程用户之间实现加密的安全连接。 

利用专用设备和大规模加密，公司可以通过公用网络（如互联网）连接到多个固定的站点。站点到站点式VPN有以下两种类型： 

基于Intranet——如果公司有一个或多个远程位置想要加入到一个专用网络中，他们可以建立一个Intranet VPN，以便将LAN连接到另一个LAN。 

基于Extranet——如果公司同其他公司（例如合作伙伴、供应商或客户）的关系紧密，他们可以建立一个Extranet VPN，以便将LAN连接到另一个LAN，同时让所有公司都能在一个共享环境中工作。 

模拟演示：每个局域网都是一个孤岛

假设您生活在广袤海洋中的一个岛上。您周围还有很多其他的岛屿，有一些离得非常近，有一些则离得比较远。若要去其他岛，通常的方式应该是从您的岛乘船前往要去的地方。当然，乘船也就意味着您几乎没有什么隐私——无论您做什么别人都能看到。 

现在我们把每个岛看成一个专用局域网，而海洋就是互联网。乘船旅行就像通过互联网连接到Web服务器或其他设备。您无法控制互联网的线路和路由器，就像您无法控制船上的其他人一样。显然，如果您要使用公用资源连接两个专用网络的话，这种方式是无法保障安全性的。

继续我们的模拟演示。假设您所在的岛现在决定建造一座通往另一个岛屿的桥，这样人们可以更方便、更安全地直接来往于两个岛之间。即使您要连接的两个岛离得非常近，建造和维护一座桥的成本还是很高的，但您又特别想找到一种安全可靠的方式前往其他岛，所以您不顾一切地建了这座桥。您所在的岛可能还想同另外一个离得稍远的岛建立连接，但最终发现无法承担那么高的成本。

这同使用租用线路的情况非常类似。桥（租用线路）独立于海洋（互联网），但它让您能够连接各个岛屿（局域网）。很多公司选择这种路由方式，是因为它们需要安全可靠地连接自己的远程分公司。不过，如果分公司离得非常远，那么成本会高得难以承受，这和建造跨度很大的桥的情况一样。

那么，VPN在这中间又有什么作用呢？还是使用我们的模拟演示。我们可以给两个岛上的每位居民一艘小型潜水艇。假设您的潜水艇具有一些惊人的特性：

它很快。 

您到哪里都可以方便地带着它。 

它可以让其他任何船只或潜水艇都看不到您。 

它很可靠。 

只要买了第一艘潜水艇，以后再买其他潜水艇时只需很少的钱。 

在我们的模拟演示中，拥有潜水艇的每个人就

相当于有权访问公司专用网络的远程用户。

尽管这两个岛上的居民还是和其他人一样在海上航行，但他们却可以随时穿梭往返，而不会存在隐私和安全性的问题。这就是VPN的工作原理。利用互联网作为媒介连接到专用LAN，网络的每个远程成员都可以通过一种安全可靠的方式进行通信。与租用线路相比，VPN还可以更方便地扩大范围，从而适应更多用户和不同位置的需求。事实上，可伸缩性正是VPN相对于典型租用线路的主要优势。与成本随着距离的增加而增加的租用线路不同，地理位置的远近对VPN的影响是微乎其微的。 

VPN安全性：防火墙一个设计良好的VPN可以使用多种方法来保护连接和数据的安全性： 

防火墙 

加密技术 

IPSec 

AAA服务器 在接下来的几部分中，我们将分别介绍这些方法。首先从防火墙说起。

防火墙在专用网络和互联网之间提供了一道强大的屏障。您可以设置防火墙来限制开放端口的数量以及允许通过防火墙的数据包类型和协议。有些VPN产品，例如思科公司的1700路由器，可以通过运行相应的Cisco IOS进行升级，从而具备防火墙功能。在安装VPN之前，您应该先部署好一个功能强大的防火墙，但防火墙也可以用于终止VPN会话。

VPN安全性：加密技术加密是指一台计算机把要发送给另一台计算机的所有数据编码为只有后者才能解码的格式的过程。大多数计算机加密系统都属于以下两种类型之一：  

openvpn基于openssl来实现安全，但是却不是传统意义上的sslvpn，它只是一个普通的vpn，工作在ip层而不是传输层。vpn的含义着重点有两层意思，一个是v，也就是虚拟，另一个是p，也就是专用。虚拟就是说不用物理布线，仅仅在逻辑上实现一个网络，虚拟网络之所以能实现并建立起来，靠的是分层模型的优势，分层模型直接将网络按照逻辑意义纵向分成了7个层次(或者tcp/ip的5个层次)，每一层都仅仅承载数据而不管数据的格式和内容，上下层次间仅仅通过接口和服务来通信，理论上任何层次的数据都可以被承载在其它的任何层次或者它当前的层次上，于是就出现了很多XX over YY的网络模型，比较典型的比如ppp over ethernet等，over模型按照数据层次可以分为三类，第一类是上层数据承载于下层，这实际上就是我们使用的普通的tcp/ip模型，第二类是同层承载，比如上面说的pppoe，这一类构建方式主要是为了在一个以传输占主导的层次上增加一个非传输意义的逻辑或者说实现一个隧道，比如pppoe中，ethernet主要用于局域网传输，而且性价比十分合理，但是却缺乏认证机制，但是ppp协议的认证功能虽然很好，但是却缺乏多点通信和寻址能力，作为传输协议意义不大，于是就使用ethernet进行传输，使用ppp进行认证，另外一个同层承载的例子是IPSec的隧道模式，它将一个ip数据报封装于另一个ip数据报中，这样实际上也就实现了一般意义上的“虚拟局域网络”(注意不是vlan)，因为在数据报到达最终目的地之前，参与路由的始终是外层的ip头，内层的ip头连同真实数据都被外层ip当成了data，因此不参与路由，所以从隧道的出发路由器到结束路由器，不管中间经过的是局域网，广域网还是别的什么，内层的ip数据报一直“以为”自己在出发路由器的那个局域网内，因此就实现了一个虚拟网络，实现了vpn中的v，那么p呢，IPSec将v和p做到了一起，也就是说在实现ip over ip的过程中实现了安全，这就是熟知的ah协议和esp协议，实现了安全才能保证专用，否则别人都可以进入你的虚拟网络了，作为vpn来说，IPsec就到此为止，但是IPSec的用处不光如此，IPSec主要是保证ip数据报的安全(因为ip层不提供任何安全保护，ipv6就不一样了，完全不需要IPSec)，vpn只是它的隧道模式的一个应用，除了隧道模式，IPSec还有传输模式，不建立隧道，只是将认证或者加密的功能置于ip数据报中，当然也就是不需要ip over ip了。众所周知IPSec的隧道模式实现的vpn有一个缺陷，那就是很难穿越nat，因为nat要修改ip头，一旦ip头被修改了，那么最终的ah或者esp的认证加密的校验结果就会出错，因此就不能随意在nat的网络环境中使用IPSec实现的vpn，当然不涉及ip头认证的IPSec协议还是可以用的。难道vpn就IPSec这一根稻草了吗？认证和加密的逻辑十分复杂和多样，不适合在ip层做，ip层做好快速路由和连接不同子网就够了，如果将分层模型的每个层次仅仅当作一种交通工具来看待的话，问题就容易解决了，交通工具或者叫运输工具可以相互运输，大卡车可以运小卡车，也可以拆了被小卡车运，大卡车还可以运输别的大卡车，它们都可以被放入集装箱被轮船运输，分层模型就是这样的，我们可以让应用层或者表示层或者传输层来承载ip数据报，这也就是over模型的第三类，即上层承载下层，很多时候越往上层逻辑越复杂，实现越灵活，如果想要在低层次实现高度复杂的逻辑，不妨试试这种模型，这个意义上看，IPSec实现的vpn最后肯定不如ip over ssl好，因为扩充IPSec很难，毕竟它在协议栈中的位置不适合做大幅修改，但是ssl的扩展性却很好，它本身就在协议栈的顶端，即使影响也就影响应用层，比如迫使http转换到https。如果说低层就不该有复杂多样且多变的逻辑这种设计思想是对的，那么IPsec就不该出现，IPv6除了扩充地址空间外，新增的功能净加重了ip层的负担，IPv6的复杂设计净是商业公司为了推自己的接口或者设备而使出的伎俩，不过也说不准，留给历史评述吧。