虛擬專用網絡

VPN英文全稱是VirtualPrivateNetwork”，翻譯過來就是虛擬專用網絡”。vpn被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。

網絡功能

VPN屬于***訪問技術，簡單地說就是利用公用網絡架設專用網絡。例如某公司員工出差到外地，他想訪問企業內網的服務器資源，這種訪問就屬于***訪問。

在傳統的企業網絡配置中，要進行***訪問，傳統的***是租用DDN（數字數據網）專線或幀中繼，這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對于移動用戶（移動辦公人員）與遠端個人用戶而言，一般會通過撥號線路（Internet）進入企業的局域網，但這樣必然帶來安全上的隱患。

讓外地員工訪問到內網資源，利用VPN的解決***就是在內網中架設一臺VPN服務器。外地員工在當地連上互聯網后，通過互聯網連接VPN服務器，然后通過VPN服務器進入企業內網。為了保證數據安全，VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密，就可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就如同專門架設了一個專用網絡一樣，但實際上VPN使用的是互聯網上的公用鏈路，因此VPN稱為虛擬專用網絡，其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯網就能利用VPN訪問內網資源，這就是VPN在企業中應用得如此廣泛的原因。

工作原理

通常情況下，VPN網關采取雙網卡結構，外網卡使用公網IP接入Internet。

網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司內網)的終端B，其發出的訪問數據包的目標地址為終端B的內部IP地址。

網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查，如果目標地址屬于網絡二的地址，則將該數據包進行封裝，封裝的方式根據所采用的VPN技術不同而不同，同時VPN網關會構造一個新VPN數據包，并將封裝后的原數據包作為VPN數據包的負載，VPN數據包的目標地址為網絡二的VPN網關的外部地址。

網絡一的VPN網關將VPN數據包發送到Internet，由于VPN數據包的目標地址是網絡二的VPN網關的外部地址，所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。

網絡二的VPN網關對接收到的數據包進行檢查，如果發現該數據包是從網絡一的VPN網關發出的，即可判定該數據包為VPN數據包，并對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離，再將數據包反向處理還原成原始的數據包。

網絡二的VPN網關將還原后的原始數據包發送至目標終端B，由于原始數據包的目標地址是終端B的IP，所以該數據包能夠被正確地發送到終端B。在終端B看來，它收到的數據包就和從終端A直接發過來的一樣。

從終端B返回終端A的數據包處理過程和上述過程一樣，這樣兩個網絡內的終端就可以相互通訊了。[1]

通過上述說明可以發現，在VPN網關對數據包進行處理時，有兩個參數對于VPN通訊十分重要：原始數據包的目標地址（VPN目標地址）和***VPN網關地址。根據VPN目標地址，VPN網關能夠判斷對哪些數據包進行VPN處理，對于不需要處理的數據包通常情況下可直接轉發到上級路由；***VPN網關地址則指定了處理后的VPN數據包發送的目標地址，即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。