关键技术

隧道技术

解释：隧道两端封装、解封装，用以建立数据通道

VPN 技术的基本原理是利用 Tunnel（隧道）技术，对传输报文进行封装，利用 VPN Backbone Network 建立专用数据传输通道，实现报文的安全传输。

隧道的功能就是在两个网络节点之间提供一条通路，使数据能够在这个通路上透明传输。VPN隧道一般是指在VPN骨干网的VPN节点之间建立的用来传输VPN数据的虚拟连接。隧道是构建 VPN 不可或缺的部分，用于把 VPN 数据从一个 VPN 节点透明传送到另一个上。

隧道通过隧道协议实现。目前已存在不少隧道协议，如 GRE、L2TP 等。隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据能都在某网络中传输，并且在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。

位于隧道两端的 VPN Gateway，通过对原始报文的“封装”和“解封装”，建立一个点到点的虚拟通信隧道。

部分隧道可以混合使用，如 GRE Over IPSec 隧道。

身份认证

解释：保证接入VPN的操作人员的合法性、有效性

可用于部署了远程接入VPN的场景，VPN网关对用户的身份进行认证，保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证。

数据认证

解释：数据在网络传输过程中不被非法篡改

通过数据验证技术对报文的完整性和真伪进行检查，丢弃被伪造和被篡改的报文。

数据加密

解释：保证数据在网络中传输时不被非法获取

将明文通过加密变成密文，使得数据即使被黑客截获，黑客也无法获取其中的信息。

密钥管理

解释：在不安全的网络中安全地传递密钥

技术分类

根据业务用途划分

Access VPN：企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务；
Intranet VPN：企业内部各分支机构的互联。例如 分支机构 需要访问 总部 的网络；
Extranet VPN：提供 B2B（Business to Business）间的安全访问服务。例如 客户、供应商、需要访问企业内部网络；

根据实现网络层次

工作在网络层和数据链路层的 VPN 又被称为三层 VPN 和 二层 VPN

二层 VPN：在数据报文前添加二层传输头部；
三层 VPN：在数据报文天添加三层传输头部；

应用层：SSL VPN
网络层（L3VPN）：IPSec VPN、GRE VPN、MPLS VPN
链路层（L2VPN）：L2TP VPN、PPTP VPN、L2F VPN、MPLS VPN

MPLS VPN：既能工作在二层，也能工作在三层；

根据组网方式不同

Remote Access VPN（主机与网关）：
1）适用于出差员工 VPN 拨号接入的场景，员工可在任何能接入 Internet 的地方，通过 VPN 接入企业内网资源；
2）常见的有 L2TP VPN、SSL VPN 等；

Site-to-site VPN（网关与网关）：
1）适用于公司两个异地机构的局域网互连；
2）常见的有 MPLS VPN、IPSec VPN、GRE VPN 等；

根据建设单位不同

企业租用运营商 VPN 专线搭建企业 VPN 网络：

企业自建 VPN 网络：