VPN是个啥 

那什么是VPN？宝马汇国际为什么要顺利获得VPN拜访问公司内网呢？

别着急，今天就来跟大家聊一聊VPN是如何为远程办公的信息安全保驾护航的。

在讲VPN之前，宝马汇国际先简单分析一下公司内网。

所谓公司内网，就是公司内部建立的一个局域网。这个网络是封闭的，公司外面的黑客无法访问这个网络，这样公司内部的资料数据就是安全的。

如果说因特网是一片广阔的天地，那公司内网就是被四面墙围起来的一个小房子，只有处在这个房子里的人才能够使用它的资源。

那在家远程办公，处于因特网中的你，要如何使用房子里的资源，又不泄露房子里的秘密信息呢？

那就要悄咪咪地建立一条只有你知公司知的“秘密隧道”了。

一开始大家想到的是专线，在总部和分部拉条专线，只传输自己的业务，但是这个专线的费用高昂，不是一般公司能够承受的，而且维护也很困难。

那么有没有物廉价美，更具有性价比的方案呢？

有，那就是VPN。

VPN：（Virtual Private Network），学名虚拟专用网络，便可以帮你和公司之间搭建这么一条“秘密隧道”。当你顺利获得VPN访问公司内网时，数据传递全部顺利获得“秘密隧道”悄悄进行，这样就保证了你和公司之间的网络通讯是安全私密的。

但是这条隧道并不是真实存在的，而是顺利获得数据加密技术封装出来的一条虚拟数据通信隧道，实际上它借用的还是互联网上的公共链路。

VPN会对你和公司之间传递的数据进行加密处理，加密后的数据会在一条专用的数据链路上进行安全传输，如同架设了一个专用网络一样。所以VPN称为虚拟专用网络。

VPN咋工作 

当开启VPN后，你访问公司内网的办公网站时，不再直接访问公司内网的服务器，而是去访问VPN服务器，并给VPN服务器发一条指令“我要访问办公网站”。

VPN服务器接到指令后，代替你去访问办公网站，收到公司办公网站的内容后，再顺利获得“秘密隧道”将内容回传给你，这样你就顺利获得VPN成功访问到你需要的内网资源啦。

VPN关键技术 

隧道技术

隧道技术其实就是对传输的报文进行封装，利用公网的建立专用的数据传输通道，从而完成数据的安全可靠性传输。

隧道顺利获得隧道协议实现。如GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）等。

身份认证

VPN网关对接入VPN的用户进行身份认证，保证接入的用户都是合法合规用户。

数据加密

将明文顺利获得加密技术成密文，哪怕信息被获取了，也无法识别。

数据验证

顺利获得数据验证技术验证报文的完整性和真伪进行检查，防止数据被篡改。

VPN好在哪 

分析了VPN的工作原理和关键技术，是时候总结一下它的优点了。

安全：顺利获得数据加密，VPN可以防止数据在互联网传输中被窃听，被篡改。一般数据在互联网中是明文传输的，而数据加密技术则提高了数据的安全性，降低了公司机密信息在远程通信中被泄露的风险。

成本低：VPN好用不贵！采用VPN可以达到与租用专线相同的效果，但所花费用要比租用专线低40%～60%。

支持移动业务：支持出差时使用，VPN用户可在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

可扩展性：VPN应用灵活，具有良好的可扩展性。如果企业想扩大VPN的容量和覆盖范围，只需改变一些配置，或增加几台设备、扩大服务范围。

VPN分几类

根据VPN建设单位不同进行划分。

租用运营商VPN专线搭建企业网络

运营商的专线网络大多数都是使用的MPLS VPN，企业顺利获得购买运营商给予的VPN专线服务实现总部和分部间的通信需求。VPN网关为运营商所有。

企业自建VPN网络

企业自己基于Internet自建vpn网络，常见的如IPsec VPN、GRE VPN、L2TP VPN。

根据工作网络层次进行划分

VPN可以按照工作层次进行划分：

应用层：SSL VPN

网络层：IPSEC VPN 、GRE VPN

数据链路层：L2TP VPN、PPTP VPN

工作在网络层和数据链路层的VPN又被称为三层VPN和二层VPN。

IPSec VPN

IPSec（IP Security） VPN一般部署在企业出口设备之间，顺利获得加密与验证等方式，实现了数据来源验证、数据加密、数据完整性保证和抗重放等功能。

数据来源验证：接收方验证发送方身份是否合法。

数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。

抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户顺利获得重复发送捕获到的数据包所进行的攻击。

GRE VPN

通用路由封装协议（General Routing Encapsulation，GRE）是一种三层VPN封装技术。

GRE可以对某些网络层协议（如IPX、IPv4、IPv6等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。

GRE还具备封装组播报文的能力。由于动态路由协议中会使用组播报文，因此更多时候GRE会在需要传递组播路由数据的场景中被用到，这也是GRE被称为通用路由封装协议的原因。

L2TP VPN

L2TP是虚拟私有拨号网VPDN（Virtual Private Dial-up Network）隧道协议的一种，它扩展了点到点协议PPP的应用，是一种在远程办公场景中为出差员工或企业分支远程访问企业内网资源给予接入服务的VPN。

L2TP组网架构中包括LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）。

LAC是网络上具有PPP和L2TP协议处理能力的设备。LAC负责和LNS建立L2TP隧道连接。

MPLS VPN

MPLS是一种利用标签（Label）进行转发的技术，最初为了提高IP报文转发速率而被提出，现主要应用于VPN和流量工程、QoS等场景。

MPLS VPN网络一般由运营商搭建，VPN用户购买VPN服务来实现用户网络之间的路由传递、数据互通等。

基本的MPLS VPN网络架构由CE（Customer Edge）、PE（Provider Edge）和P（Provider）三部分组成。

各VPN的隧道身份认证、数据加密、验证参见下表。

VPN用何处

以上三大亮点使VPN在企业中广受青睐。针对不同的需求，VPN还能给予更有针对性的应用场景。比如：

远程接入VPN：用于异地办公的员工访问公司内网。

内联网VPN：将企业总部和外地分公司顺利获得虚拟专用网络连接在一起。

外联网VPN：将一个公司与另一个公司的资源进行连接，与合作伙伴企业网构成外联网。

VPN就像是连接公司内网和外部因特网的一个窗口，扩大了公司内网的边界，使远程办公的你我他也能安全放心地访问公司内网资源。这样的VPN谁能不爱呢！