VPN介紹

VPN（virtual private network）虛擬私有網(wǎng)絡(luò)

利用共享的公共網(wǎng)絡(luò)構(gòu)建私有專用網(wǎng)絡(luò)

RFC 2764描述了基于ip的VPN框架結(jié)構(gòu)

VPN的本質(zhì)就是讓私網(wǎng)數(shù)據(jù)報(bào)文穿越公網(wǎng)

VPN用途、功能優(yōu)勢(shì)

• 可以快速構(gòu)建網(wǎng)絡(luò)，降低部署周期

• 與私有網(wǎng)絡(luò)一樣提供安全性、可靠性和管理性

• 可利用Internet，無(wú)處不聯(lián)通，處處可接入

• 簡(jiǎn)化用戶側(cè)的配置和維護(hù)工作

• 提高基礎(chǔ)資源利用率

• 于客戶可節(jié)約使用開(kāi)銷

• 于運(yùn)營(yíng)商可以更有效的利用基礎(chǔ)設(shè)施，提供大量，多種業(yè)務(wù) （mpls VPN）

VPN簡(jiǎn)單原理

正常按照網(wǎng)絡(luò)通信原理來(lái)說(shuō)，如果192.168.1.1要和192.168.2.1進(jìn)行互相通信，封裝的源目地址都是內(nèi)網(wǎng)地址的話，經(jīng)過(guò)公網(wǎng)路由器絕對(duì)會(huì)被丟棄掉，因?yàn)楣W(wǎng)無(wú)法傳遞私網(wǎng)路由，所以為了可以讓1.1和2.1可以交互，就需要在之前封裝的私網(wǎng)IP頭部（例如：192.168.1.1）在進(jìn)行封裝一層公網(wǎng)IP頭部（例如：100.1.1.1），這樣走到公網(wǎng)路由器后，就可以進(jìn)行正常的路由傳輸并達(dá)到對(duì)端（例如：200.2.2.1）

VPN隧道技術(shù)

定義：使用一種協(xié)議去封裝另一種協(xié)議

（拿同一個(gè)協(xié)議去封裝另一個(gè)相同的協(xié)議也是隧道技術(shù)，例如上面的公網(wǎng)IP協(xié)議封裝私網(wǎng)IP協(xié)議）

隧道技術(shù)對(duì)于業(yè)務(wù)終端或者說(shuō)對(duì)于2端的客戶端來(lái)說(shuō)（例如：192.168.1.1、192.168.2.1就是業(yè)務(wù)終端）它們對(duì)于利用隧道穿越公網(wǎng)是無(wú)感知的。

拿生活日常舉例來(lái)理解隧道技術(shù)：

例如a想開(kāi)車過(guò)江，日常生活中陸地上跑的汽車肯定是不具備在水上行走的功能的，所以這時(shí)候就需要使用輪渡或者貨船水上行駛工具來(lái)搭載汽車，將汽車運(yùn)輸?shù)浇瓕?duì)面；

那就可以這樣理解私網(wǎng)地址肯定是不能在公網(wǎng)中傳輸?shù)?，為了將私網(wǎng)的數(shù)據(jù)從一端發(fā)送到另一端就需要隧道技術(shù)進(jìn)行協(xié)議封裝，達(dá)到可以公網(wǎng)傳輸私網(wǎng)數(shù)據(jù)。

相關(guān)封裝概念

載荷數(shù)據(jù)：要傳輸?shù)脑紨?shù)據(jù)

協(xié)議b頭：稱為載荷協(xié)議

封裝協(xié)議頭：為VPN的封裝協(xié)議，是VPN的特殊頭部，如果說(shuō)是gre VPN 這里就是gre頭部（GRE 頭部協(xié)議，標(biāo)記為47），如果說(shuō)是ipsec VPN，這里就是IPsec頭部；該協(xié)議的作用是防止路由設(shè)備拆解當(dāng)前設(shè)備可拆解的協(xié)議后繼續(xù)交由上一層協(xié)議進(jìn)行拆解處理（按照數(shù)據(jù)傳輸原理，例如三層路由器或者一臺(tái)服務(wù)器，將三層IP頭部（網(wǎng)絡(luò)層）拆解后，它的下一步就是交由傳輸層進(jìn)行拆解處理）

也就是對(duì)載荷協(xié)議封裝的方式

協(xié)議a頭：為承載協(xié)議，封裝最外層新的協(xié)議頭部

封裝格式如下圖：

VPN詳細(xì)封裝原理

PCA、PCB為私網(wǎng)主機(jī)，PCA發(fā)送 載荷數(shù)據(jù)（協(xié)議B數(shù)據(jù)包），會(huì)使用載荷協(xié)議 協(xié)議b頭 將私網(wǎng)地址進(jìn)行封裝，經(jīng)過(guò)VPN隧道技術(shù)的封裝協(xié)議加一層gre或者ipsec封裝協(xié)議頭（這是為了防止對(duì)端收到數(shù)據(jù)報(bào)文后將當(dāng)前設(shè)備可拆解的協(xié)議拆封后直接交由上層協(xié)議進(jìn)行處理，而是要告訴當(dāng)前設(shè)備將封裝協(xié)議拆封后，在進(jìn)行一次查詢路由表，不要直接交由上層協(xié)議處理），然后使用承載協(xié)議 協(xié)議a頭將公網(wǎng)地址進(jìn)行封裝。

VPN分類

按照網(wǎng)絡(luò)層次（工作層次）分類

按照使用場(chǎng)景分類

site-to-site VPN 對(duì)于內(nèi)網(wǎng)用戶無(wú)感知，2端都需要支持VPN功能設(shè)備進(jìn)行連接。

access VPN 用于單個(gè)終端用戶接入公司內(nèi)網(wǎng)，手機(jī)移動(dòng)設(shè)備、普通PC就可以接入，不需要購(gòu)買的專業(yè)VPN設(shè)備

（l2tp VPN、ssl VPN可以使用瀏覽器進(jìn)行使用）

目前看騰訊云也支持了ssl VPN，現(xiàn)在是在內(nèi)測(cè)中，大家可以去申請(qǐng)?bào)w驗(yàn)下。