VPN

什么是VPN

VPN即虚拟专用网，指通过VPN技术在公有网络中构建专用的虚拟网络；

用户在此虚拟网络中传输流量，从而在Internet网络中实现安全、可靠的连接。

1. 专用：

   VPN虚拟网络是专门给VPN用户使用的网络，对于用户而言，使用VPN和Internet，用户是不感知的，是由VPN虚拟网络提供安全保证。

2. 虚拟：

   相对于公有网络而言，VPN网络是虚拟的，是逻辑意义上的一个专网。

VPN技术优势

VPN和传统的公网Internet相比具有如下优势：

• 安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
• 成本低：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
• 支持移动业务：支持出差VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。
• 可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。

VPN分类

根据VPN建设单位不同进行划分

1. 租用运营商VPN专线搭建企业网络

   运营商的专线网络大多数都是使用的MPLS VPN；

   企业通过购买运营商提供的VPN专线服务实现总部和分部间的通信需求。VPN网关为运营商所有。

2. 企业自建VPN网络

   企业自己基于Internet自建vpn网络，常见的如IPsec VPN、GRE VPN、L2TP VPN。

   企业自己购买VPN网络设备，搭建自己的VPN网络，实现总部和分部的通信，或者是出差员工和总部的通信。

根据组网方式进行划分

1. 远程访问VPN

   这种方式适用于出差员工拨号接入VPN的方式，员工可以在只要有Internet的地方都可以通过VPN接入访问内网资源。

   最常见的就是SSL VPN、L2TP VPN。

2. 站点到站点的VPN

   这种方式适用于企业两个局域网互通的情况。例如企业的分部访问总部。最常见的就是MPLS VPN、IPSEC VPN。

根据工作网络层次进行划分

VPN可以按照工作层次进行划分：

1. 应用层：SSL VPN
2. 网络层：IPSEC VPN 、GRE VPN
3. 数据链路层：L2TP VPN、PPTP VPN

隧道技术

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了，它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，并在全球的信息安全体系中发挥着重要的作用。也在网络上，有关各种VPN协议优缺点的比较是仁者见仁，智者见智，很多技术人员由于出于使用目的考虑，包括访问控制、 安全和用户简单易用，灵活扩展等各方面，权衡利弊，难以取舍；尤其在VOIP语音环境中，网络安全显得尤为重要，因此现在越来越多的网络电话和语音网关支持VPN协议。

PPTP（点对点隧道协议）

PPTP，该协议是在PPP协议的基础上发展起来的一种新的增强型安全协议。它支持多协议虚拟专用网（VPN），可以使用密码认证协议（PAP）、可扩展认证协议（EAP）等方式。增强的安全性。默认端口号 1723。允许远程用户通过拨入 ISP、直接连接到 Internet 或其他网络来安全地访问公司网络。

点对点隧道协议 (PPTP) 是一种支持多协议虚拟专用网络的网络技术，它工作在数据链路层。通过该协议，远程用户可以通过Windows XP、Windows 7和Windows 10、Windows 11操作系统等配备点对点协议的系统，可以拨号连接本地网络，通过互联网安全链接到互联网、公司网络。

PPTP协议是一种点对点隧道协议，将控制包与数据包分开，控制包由TCP控制。 PPTP使用TCP协议，适合在没有防火墙限制的网络中使用。

L2TP（二层隧道协议）

L2TP 是一种行业标准的 Internet 隧道协议，其功能与 PPTP 协议大致相似。例如，它还可以加密网络数据流。但是，也有区别。比如PPTP要求网络是IP网络，L2TP要求数据包点对点连接； PPTP使用单条隧道，L2TP使用多条隧道； L2TP 提供包头压缩和隧道认证，但 PPTP 不支持。

L2TP是一种数据链路层协议，基于UDP。它的消息分为两类：数据消息和控制消息。数据报文使用投递PPP帧，作为L2TP报文的数据区。 L2TP 不保证数据消息的可靠传递。如果数据报文丢失，则不会重传，不支持数据报文的流量控制和拥塞控制。控制消息用于建立、维护和终止控制连接和会话。 L2TP 确保它们的可靠传递，并支持控制消息的流量控制和拥塞控制。

L2TP 是一种国际标准的隧道协议。它结合了PPTP协议和二层转发L2F协议的优点。它可以通过各种网络协议对 PPP 数据包进行隧道传输，包括 ATM、SONET 和帧中继。但是L2TP没有任何加密措施，多与IPSec协议配合使用，提供隧道认证。

L2TP使用UDP协议，一般可以穿透防火墙。适用于有防火墙限制的局域网用户，如公司、网吧、学校等。

PPTP和L2TP这两种连接方式在性能上差别不大。如果PPTP使用不正常，那就换成L2TP吧。

OpenVPN

OpenVpn的技术核心是虚拟网卡，其次是SSL协议实现。

虚拟网卡是利用底层网络编程技术实现的驱动软件。安装完成后，主机上会出现一个额外的网卡，可以像其他网卡一样进行配置。服务程序可以在应用层打开虚拟网卡。如果应用软件（如IE）向虚拟网卡发送数据，服务程序就可以读取数据。如果服务程序将适当的数据写入虚拟网卡，应用软件也可以接收到。 .虚拟网卡在很多操作系统下都有对应的实现，这也是OpenVpn能够跨平台的一个非常重要的因素。你想要的理由。

OpenVPN 使用 OpenSSL 库来加密数据和控制信息：它使用 OpenSSL 的加密和认证功能，这意味着它可以使用 OpenSSL 支持的任何算法。它提供可选的数据包 HMAC 功能以提高连接安全性。此外，OpenSSL 的硬件加速也可以提高其性能。

所有 OpenVPN 通信都基于单个 IP 端口。默认和推荐使用UDP协议通信，也支持TCP。 在选择协议时，需要注意两条加密隧道之间的网络情况。如果延迟高或丢包多，请选择TCP协议作为底层协议。使用了传输机制，导致协议在隧道上层重传，效率非常低。

OpenVPN是基于SSL加密的纯应用层VPN协议。是SSL VPN的一种，支持UDP和TCP（注意：UDP和TCP是两种通信协议，这里UDP的效率通常比较高。，速度比较快。所以尽量使用UDP连接方式，和无法使用 UDP 时，使用 TCP 连接方式）。

因为它运行在纯应用层，避免了一些NAT设备后面不支持PPTP和L2TP的情况，并且可以绕过一些网络的封锁（通俗的讲，基本上可以上网的地方，用OpenVPN就可以了）。

OpenVPN客户端软件可以方便的配合路由表实现不同线路（如国内国外）的路由选择，实现部分IP走VPN，其他IP走原网。

三种隧道协议特点对比

易用性： PPTP > L2TP > OpenVPN

速度： PPTP > OpenVPN UDP > L2TP > OpenVPN TCP

安全： OpenVPN > L2TP > PPTP

稳定性： OpenVPN > L2TP > PPTP

网络适​​用性： OpenVPN > PPTP > L2TP

VPN协议选择

在电脑上先用PPTP，如果不能用，可以试试L2TP，对安全性要求高的人首选OpenVPN。 L2TP 推荐用于手机上。

PPTP：最常用，最容易设置，大多数设备都支持；

L2TP：基本上所有支持PPTP的设备都支持这种方式，设置会稍微复杂一点，需要选择L2TP/IPSec PSK方式，并设置pre-shared Key PSK；

OpenVPN：最稳定，适用于各种网络环境，但需要安装第三方软件和配置文件，比较复杂。