VPN架构

什么是VPN

虚拟专用网络(Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 特点 （1）安全保障

VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。

（2）服务质量保证（QoS）

VPN可以不同要求提供不同等级的服务质量保证。 （3）可扩充性和灵活性

VPN支持通过Internet和Extranet的任何类型的数据流。 （4）可管理性

VPN可以从用户和运营商角度方便进行管理。

根据不同的划分标准，VPN可以按几个标准进行分类划分 1. 按VPN的协议分类

VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。 2. 按VPN的应用分类

1) Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量

2) Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源

3) Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接 3. 按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可 2）交换机式VPN：主要应用于连接用户较少的VPN网络

3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型 1.隧道技术

实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户;第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。 2. 隧道协议

隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。

1) PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

2) L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术

3) IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。

产品型号 功能介绍 1个10/100M WAN口，4个10/100M LAN口 一键管控QQ、MSN、P2P、金融、游戏。内置PPPoE服务器，控制用户接入网络 支持IP与MAC绑定，有效防范ARP攻击 支持智能带宽控制，灵活管控用户带宽 支持连接数限制 ，可有效限制P2P软件 两条VPN会话 ，灵活组建虚拟局域网 数量 2个 价格 HiPER 811 灵活的VPN功能 提供IPSec、PPTP/L2TP VPN 功能，允许最多建立2条VPN安全隧道，可满足中小型分支机构同时建立多条VPN连接的需求（如分支机构和总部之间、分支机构之间、分支机构和出差员工之间）。 应您所需，艾泰VPN网络解决方案

近几年，中小企业的发展势如破竹，房地产业的发展也是其他行业望尘莫及的。浙江某房地产公司已发展了若干个门店，近期ERP服务器上线，需采用VPN组网方式实现各门店与总部的互联互通，以保证ERP数据的安全同步；另外出差人员也需要通过VPN随时随地的访问内网的ERP服务器资源。 网络拓扑图

方案 一：

PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。 方案特点

1、强大的VPN功能

艾泰科技HiPER 811不仅能够通过lan to lan的方式进行局域网之间的互联互通，还可方便出差人员或在家办公人员通过PC拨号的方式连接到中心端，随时随地的访问内部资源，大大提高工作效率。

方案二：

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

产品型号 功能介绍 1个10/100M WAN口，4个10/100M LAN口 一键管控QQ、MSN、P2P、金融、游戏。内置PPPoE服务器，控制用户接入网络 支持IP与MAC绑定，有效防范ARP攻击 支持智能带宽控制，灵活管控用户带宽 支持连接数限制 ，可有效限制P2P软件 两条VPN会话 ，灵活组建虚拟局域网 数量 价格 HiPER 811 1个

网络拓扑图

方案特点

1、远程VPN功能

艾泰科技HiPER 811不仅能够通过lan to lan的方式进行局域网之间的互联互通，通过在VPN服务端做配置后，在PC上设置拨入VPN，速度上传输能访问共享文件。

本文来源：https://www.bwwdw.com/article/cgg3.html