虚拟专用网 VPN

睡不醒的鲤鱼 2022-12-18 计算机网络 网络层

# 一、VPN 的作用

假设某大型机构的部门 A 位于北京，而部门 B 位于上海，每个部门都有自己的专用网。要使这些分布在不同地点的专用网通信，可以采用以下方法。

首先，可以租用电信公司的通信线路为本机构专用，如下图所示。

也可以利用公用的因特网作为本机构各专用网之间的通信载体，这样的专用网又被称为虚拟专用网，如下图所示。

给专用网内各主机配置的 IP 地址应该是该专用网所在机构可以自行分配的 IP 地址，这类 IP 地址仅在机构内部有效，称为专用地址（Private Address），不需要向因特网的管理机构申请。

[RFC 1918] (opens new window) 规定了以下三个 CIDR 地址块中的地址作为专用地址：

在因特网中的所有路由器，对目的地址是专用地址的 IP 数据报一律不进行转发，这需要由因特网服务提供者对其所拥有的因特网路由器进行设置来实现。

如下图所示，部门 A 和部门 B 各自专用网中的主机都配置了相应的专用地址。要使部门 A 和 B 各自的专用网可以利用公用的因特网进行通信，需要在各自的专用网上至少有一个路由器具有合法的全球 IP 地址（如路由器 R1 和 R2）。

假设部门 A 中的主机 H1 要给部门 B 中的主机 H2 发送数据。

首先 H1 将待发送数据封装成内部 IP 数据报发送给路由器 R1。

R1 收到该内部 IP 数据报后，发现其目的网络必须通过因特网才能到达，就将该内部 IP 数据报进行加密（这样就确保了内部 IP 数据报的安全），然后重新添加一个首部，封装成为在因特网上发送的外部 IP 数据报。

具体流程如下图所示。

R2 收到该外部数据报后，去掉其首部，将其数据载荷（即加密后的内部 IP 数据报）进行解密，恢复出原来的内部 IP 数据报。这样就可以从内部 IP 数据报首部提取出源地址和目的地址，并根据目的地址将该内部 IP 数据报转发给目的主机 H2。

具体流程如下图所示。

内联网 VPN

同一机构内不同部门的内部网络所构成的 VPN，又称为内联网 VPN。

外联网 VPN

有时，一个机构的虚拟专用网 VPN 需要某些外部机构（通常是合作伙伴）参加进来，这样的 VPN 就称为外联网 VPN。

远程接入 VPN

在外地工作的员工需要访问公司内部的专用网时，只要在任何地点接入因特网，运行驻留在员工 PC 中的 VPN 软件，在员工的 P C和公司的主机之间建立 VPN 隧道，就可以访问专用网中的资源，这种虚拟专用网又称为远程接入 VPN。