虚拟专用网简介

本文重点讲解虚拟专用网的理论知识，后续文章对具体虚拟专用网进行讲解（包括原理和配置），欢迎持续关注和订阅专栏。

目录

概述：

虚拟专用网优势：

1. 安全：

2. 廉价：

3. 支持移动业务：

4. 服务质量保证：

VPN分类：

1. 根据组网方式不同：

2. 按网络层次：

3. 按应用分类：

虚拟专用网应用场景

五种技术 ：

1. 隧道技术：

2. 加解密技术：

1. 对称加密算法：

非对称加密算法：

两种算法的对比：

3. 数据认证—散列算法（hash）：

4. 身份认证：

5. 密钥管理技术：

---

概述：

虚拟专用网络，英文“Virtual Private Network”

虚拟专用网是虚拟出来的企业内部专线。通过特殊加密的通讯协议，为连接在Internet上，不同地理位置的两个或多个企业内部网，建立一条专有的通讯线路，就像架设了一条专线，但不需要真正去铺设光缆之类的物理线路。

虚拟专用网被定义为通过一个公用互联网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道，使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的，广泛使用企业办公当中，虚拟专用网也可以是针对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网，因此很多办公一族在自己电脑中也需要建立VPN连接，方便远程办公等等。

虚拟专用网：点对点的        逻辑直连        公网设备只是帮忙转发

专用网络：用户可以为自己制定一个最符合自己需求的网络。（贵）

VPN优势：

1. 安全：

在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。

2. 廉价：

利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

3. 支持移动业务：

支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

4. 服务质量保证：

构建具有服务质量保证的VPN (如MPLS VPN) ，可为VPN用户提供不同等级的服务质量保证。

VPN分类：

涉及到的VPN在后续博客中都会具体讲解

1. 根据组网方式不同分类：

远程访问 虚拟专用网

局域网到局域网的 虚拟专用网

2. 按网络层次分类：

二层：数据链路层  L2TP  L2F  PPTP（忽略）

三层：网络层（主流）GRE  IPSec

应用层：（主流）SSL（远程访问虚拟专用网）

3. 按应用分类：

1.  Access（远程接入虚拟专用网）：客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量；
2. Intranet（内联网虚拟专用网）：网关到网关，通过公司的网络架构连接来自通公司的资源；
3. Extranet（外联网虚拟专用网）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接；

虚拟专用网应用场景

1. 只能企业员工登录公司服务器

2. 要求在任何网络下都能够登录

3. 离职员工删除登录权限

4. 权限管理

五种技术 ：

隧道技术  加解密技术  数据认证  身份认证  密钥管理技术

有隧道就是VPN         用到全部就是一个完善的VPN

1. 隧道技术：

隧道就是一层伪装，隧道是第一层保护措施。

公网就是由隧道来区分是不是数据

举例：

学校到公安厅走的，一出学校就进入公网，只有公安厅能够接受中间的路由器是不能通过隧道看到我的数据的

如果总部服务器对外开放web入口，很不安全，利用可以仅对企业用户开放

理解：

隧道技术有一层包装：

10.1.1.1（私网）--------公网--------10.1.1.2（私网）

       100.1                          200.1                （出口的公网IP）

一般情况下：私网地址进不了公网   NAT转换        所有设备都可看到数据

Vpn情况没有转换：而是加了隧道层   就不会NAT转换

100.1   200.1      10.1.1.1   10.1.1.2

隧道层

（公网IP）                 真实IP

（封装在真正的源和目的之上的）

2. 加解密技术：

伪装成公网IP   NAT也可以做到    为什么虚拟专用网可以保密呢

因为有加解密技术（可以把所有的数据加密传递  只有目的地址能够解密）

1. 对称加密算法：

加密速度特别快      不安全

       数据流加密：

       数据块加密（分组加密）：（常用）

DES：数据加密标准，数据是64位，密钥是56位,加密块合成后还是64位

把一个完整的数据分成64位一块，每一块用56位的密钥加密，

数据块大小加密前后不变还是64

3EDS  做三次DES运算       密钥长度168位    （56*3）数据块大小64位

数据分成64位一块，第一次用56位密钥加密  第二次用错误的56位密钥解密（越解越错）       第三次  再用一个56位密钥加密

AES   密钥长度有128位的  有192位的 有256块的  数据块大小128位

AES最安全，但是AES不是所有的设备都支持，所以用的不是很多，用的最多的是3DES

AES密钥更长  算法更复杂  对设备的cpu小号更大

非对称加密算法：

非常慢,不适合加密大块数据，用于传输对称加密密钥  安全

公钥/私钥     公钥加密       私钥解密

两种算法的对比：

        对称：速度快：密钥分发不安全

        非对称：速度慢：密钥分发安全

3. 数据认证—散列算法（hash）：

认证数据的完整性，看数据有没有被篡改

信息传到你这里进行验证，如果被篡改，你就会知道数据被篡改

4. 身份认证：

VPN具有身份认证机制，能够判断谁是该VPN用户（可以使用），谁不是该VPN用户（不可使用）

举例：

登录爱奇艺会员，才能看会员电影。登录就是一个验证的过程。

5. 密钥管理技术：

VPN具有密钥管理技术，能够自动创建，分发，保存，更新密钥