虚拟专用网络概述

1.VPN简介
 VPN即虚拟专用网，泛指通过VPN技术在公用网络上构建的虚拟专用网络。VPN用户在此虚拟网络中传输私网流量，在不改变网络现状的情况下实现安全、可靠的连接

2.VPN分类
 A.根据建设单位不同
  1.租用运营商VPN专线搭建企业VPN网络:最常见的场景为租用运营商MPLS VPN专线
  2.自建企业VPN网络:基于Internet建立企业VPN网络，常见的如IPSec VPN、L2TP VPN、SSL VPN等
  B.根据组网方式不同
  1.远程访问VPN（Remote Access VPN）: L2TP VPN、SSL VPN
  2.局域网到局域网的VPN（Site-to-site VPN）: MPLS VPN、IPSec VPN
  C.根据实现的网络层次
   


3.VPN关键技术
 身份认证：可用于部署了远程接入VPN的场景，VPN网关对用户的身份进行认证，保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。
 数据加密：将明文通过加密变成密文，使得数据即使被黑客截获，黑客也无法获取其中的信息。
 数据验证：通过数据验证技术对报文的完整性和真伪进行检查，丢弃被伪造和被篡改的报文。

   

4.IPSec概述

   

 IPSec（IP Security） VPN一般部署在企业出口设备之间，通过加密与验证等方式，实现了数据来源验证、数据加密、数据完整性保证和抗重放等功能
 IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议

   

 4.1 IPSec基本原理
 IPSec隧道建立过程中需要协商IPSec SA（Security Association，安全联盟），IPSec SA一般通过IKE协商生成

   

5.GRE概述
 通用路由封装协议（General Routing Encapsulation，GRE）是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、IPv4、IPv6等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题
 GRE构成要素分为3个部分：乘客协议、封装协议和运输协议。
  乘客协议是指用户在传输数据时所使用的原始网络协议。
  封装协议的作用就是用来“包装”乘客协议对应的报文，使原始报文能够在新的网络中传输。
  运输协议是指被封装以后的报文在新网络中传输时所使用的网络协议

   

 GRE Over IPSec
 GRE的主要缺点是不支持加密和认证，数据的安全传输得不到很好的保障。
 IPSec的主要缺点是只支持IP协议，且不支持组播。
 可通过部署GRE Over IPSec结合两种VPN技术的优点。

   

6.L2TP概述
 L2TP是虚拟私有拨号网VPDN（Virtual Private Dial-up Network）隧道协议的一种，它扩展了点到点协议PPP的应用，是一种在远程办公场景中为出差员工或企业分支远程访问企业内网资源提供接入服务的VPN。
 L2TP组网架构中包括LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）
   

 6.1 L2TP消息
 L2TP协议包含两种类型的消息，控制消息和数据消息，消息的传输在LAC和LNS之间进行。
  控制消息用于L2TP隧道和会话连接的建立、维护和拆除。
  数据消息用于封装PPP数据帧并在隧道上传输
 L2TP工作过程
 L2TP主要可分为以下三种工作场景，其工作过程并不相同：
  NAS-Initiated场景：拨号用户通过NAS访问企业内网
  Client-Initiated场景：移动办公用户访问企业内网
  Call-LNS场景：通过LAC自主拨号实现企业内网互连

   

 6.2 L2TP Over IPSec

   

7.MPLS VPN概述
 MPLS是一种利用标签（Label）进行转发的技术，最初为了提高IP报文转发速率而被提出，现主要应用于VPN和流量工程、QoS等场景。
 根据部署的不同，MPLS VPN可分为MPLS L2 VPN或者MPLS L3 VPN。
 企业可以自建MPLS专网也可以通过租用运营商MPLS专网的方式获得MPLS VPN接入服务