2.2VPN

虚拟专用网VPN（Virtual Private Network），用一句简洁的话解释就是利用公共网络来构建“虚拟”的专用网络。所以VPN就是在庞大的公共网络中利用一种特殊技术（如隧道技术）开辟出一条条“专用通道”，把企业在各地的私有网络互相连接，从而建立起自己的内部虚拟专用网络。其构建示意图如图2-3所示。

2.2.1 VPN的分类

1）以实现技术分类

以VPN的实现技术来划分，可以分为基于IP技术的VPN与基于MPLS技术的VPN。基于传统IP技术的VPN，开辟“专用通道”使用的是隧道技术；基于MPLS技术的VPN，构建“专用通道”使用的是多协议标签交换技术（MPLS）。

2）以网络层次分类

以网络层次来划分，可以分为二层VPN与三层VPN。所谓二层VPN与三层VPN，就是分别在二层（数据链路层）与三层（网络层）制定规则、建立隧道，将企业用户的数据流在公共网络的隧道中传送，以达到构建虚拟专用网络的目的。二层隧道协议主要有L2TP、MPLS，而三层隧道协议主要有GRE、MPLS等。

3）以组网方式分类

以组网方式来划分可以分为四类，即拨号VPN，虚拟专线VPN，路由VPN与虚拟专用局域网VPLS。

拨号VPN即VPDN（Virtual Private Dial Network），即用户利用拨号网络访问企业的数据中心，并从数据中心获得一个私有地址，用户数据可以通过公共网络的隧道进行传送。其实现协议主要有L2TP等。VPDN主要提供个人到网络的服务，以解决移动用户与家庭用户办公问题。

虚拟专线VPN即VLL（Virtual Lease Line）是指通过IP隧道仿真出一条专线，它是最简单的VPN类型。其实现协议有IPinIP、L2TP、MPLS等。

路由VPN即VPRN（Virtual Private Routed Network）是指利用路由器技术在公共数据网络中建立自己的私有企业网络。用户可以自由规划各分支机构的地址、路由策略等。其实现协议有L2TP、GRE与MPLS等。

虚拟专用局域网VPLS（Virtual Private LAN Service）是指利用互联网将远程的LAN仿真出一个虚拟专用网。

2.2.2 隧道技术

1）何谓隧道技术

所谓隧道技术（tunne ling）就是利用一种网络协议来传送另一种网络协议。其基本工作原理是，利用网络隧道协议来承载用户（乘客）协议，在二层或三层中传送用户的数据，好像在网络层中建立了一个专用的“隧道”；出了隧道之后再将隧道协议与承载协议剥离掉，还原成原来的数据。

2）二层隧道协议

二层隧道协议有三种，即PPTP、L2F与L2TP协议，其中前两个已经逐渐被淘汰，而L2TP协议（Layer2Tunneling Protocd）综合了前两个协议的优点，可用于构建VPDN。用户以拨号方式从接入服务器接入，利用L2TP在公共网络中开辟隧道，从而将接入服务器与网络接入服务器建立起隧道连接，构成VPN。L2TP广泛应用于拨号网络，但不太适合现有的局域网到局域网的应用。

3）三层隧道协议

三层隧道协议也有几种，如IPinIP、GRE协议等，但其实现原理非常相似，只是在技术细节与报文格式有所区别。三层隧道协议因为是在网络层建立隧道，所以主要适用于网络到网络的VPN。其主要思路是用新的报头封装数据包，隐藏原数据包的地址和路由规则；新报头是按VPN方式选择路由，从而达到通过公共网络访问特定网络的目的。

GRE（Generic Routing Encapsulatinn）是最常用的三层隧道协议，它的承载协议是IP协议。

GRE协议负责在网络层开辟隧道，IP协议的路由指向一个规定网络，到达隧道的另一端路由器之后把附加的IP头与GRE头剥离掉，还原成原来的数据格式，按原有的规则进行。

三层隧道协议适合于局域网到局域网的应用，但存在安全隐患。

总之，无论是L2TP还是GRE，它们在网络的扩展性、安全性、管理性与服务质量等方面都存在着一些先天性缺陷；而多协议标签交换技术MPLS可以为VPN提供了一种简单、灵活、高效的隧道机制，所以MPLS将是构建VPN的最佳选择。