vpn是什麼？

虛擬專用網路

VPN英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網路”。vpn被定義為通過一個公用網路（通常是因特網）建立一個臨時的、安全的連線，是一條穿過混亂的公用網路的安全、穩定隧道。使用這條隧道可以對資料進行幾倍加密達到安全使用網際網路的目的。

網路功能

VPN屬於遠端訪問技術，簡單地說就是利用公用網路架設專用網路。例如某公司員工出差到外地，他想訪問企業內網的伺服器資源，這種訪問就屬於遠端訪問。

在傳統的企業網路配置中，要進行遠端訪問，傳統的方法是租用DDN（數字資料網）專線或幀中繼，這樣的通訊方案必然導致高昂的網路通訊和維護費用。對於移動使用者（移動辦公人員）與遠端個人使用者而言，一般會通過撥號線路（Internet）進入企業的區域網，但這樣必然帶來安全上的隱患。

讓外地員工訪問到內網資源，利用VPN的解決方法就是在內網中架設一臺VPN伺服器。外地員工在當地連上網際網路後，通過網際網路連線VPN伺服器，然後通過VPN伺服器進入企業內網。為了保證資料安全，VPN伺服器和客戶機之間的通訊資料都進行了加密處理。有了資料加密，就可以認為資料是在一條專用的資料鏈路上進行安全傳輸，就如同專門架設了一個專用網路一樣，但實際上VPN使用的是網際網路上的公用鏈路，因此VPN稱為虛擬專用網路，其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術，使用者無論是在外地出差還是在家中辦公，只要能上網際網路就能利用VPN訪問內網資源，這就是VPN在企業中應用得如此廣泛的原因。

工作原理

通常情況下，VPN閘道器採取雙網絡卡結構，外網絡卡使用公網IP接入Internet。

網路一(假定為公網internet)的終端A訪問網路二(假定為公司內網)的終端B，其發出的訪問資料包的目標地址為終端B的內部IP地址。

網路一的VPN閘道器在接收到終端A發出的訪問資料包時對其目標地址進行檢查，如果目標地址屬於網路二的地址，則將該資料包進行封裝，封裝的方式根據所採用的VPN技術不同而不同，同時VPN閘道器會構造一個新VPN資料包，並將封裝後的原資料包作為VPN資料包的負載，VPN資料包的目標地址為網路二的VPN閘道器的外部地址。

網路一的VPN閘道器將VPN資料包傳送到Internet，由於VPN資料包的目標地址是網路二的VPN閘道器的外部地址，所以該資料包將被Internet中的路由正確地傳送到網路二的VPN閘道器。

網路二的VPN閘道器對接收到的資料包進行檢查，如果發現該資料包是從網路一的VPN閘道器發出的，即可判定該資料包為VPN資料包，並對該資料包進行解包處理。解包的過程主要是先將VPN資料包的包頭剝離，再將資料包反向處理還原成原始的資料包。

網路二的VPN閘道器將還原後的原始資料包傳送至目標終端B，由於原始資料包的目標地址是終端B的IP，所以該資料包能夠被正確地傳送到終端B。在終端B看來，它收到的資料包就和從終端A直接發過來的一樣。

從終端B返回終端A的資料包處理過程和上述過程一樣，這樣兩個網路內的終端就可以相互通訊了。 [1]

通過上述說明可以發現，在VPN閘道器對資料包進行處理時，有兩個引數對於VPN通訊十分重要：原始資料包的目標地址（VPN目標地址）和遠端VPN閘道器地址。根據VPN目標地址，VPN閘道器能夠判斷對哪些資料包進行VPN處理，對於不需要處理的資料包通常情況下可直接轉發到上級路由；遠端VPN閘道器地址則指定了處理後的VPN資料包傳送的目標地址，即VPN隧道的另一端VPN閘道器地址。由於網路通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN閘道器都必須知道VPN目標地址和與此對應的遠端VPN閘道器地址。