还在用VPN吗？20 张图带你扒光 VPN 的底裤，别再裸奔了！

这年头，谁还没个远程办公的经历？自从各路老板们发现了远程办公的香饽饽属性，在家办公就成了打工人的新常态。

但是！在家办公，想摸鱼访问公司内网的“神秘资源”，就得请出咱们今天的主角——VPN。

VPN 到底是何方神圣？

啥是 VPN？为啥咱远程办公非得靠它才能连上公司内网？

莫慌，老司机文档君这就带你一探 VPN 的芳泽，看看它如何为咱远程办公的信息安全保驾护航。

想了解 VPN，先得搞懂公司内网是啥玩意儿。

所谓公司内网，就是公司内部自建的局域网，就像一个与世隔绝的“赛博朋克桃花源”。外面的黑客蜀黍进不来，里面的数据自然安全得很。

如果把互联网比作浩瀚的宇宙，那公司内网就是一栋戒备森严的“小别墅”，只有住在里面的人才能享用里面的资源。

问题来了，在家远程办公的你，身处茫茫互联网，要怎样才能安全地享用“别墅”里的资源，又不让秘密泄露出去呢？

答案就是：偷偷摸摸地挖一条只有你和公司知道的“秘密隧道”！

一开始，土豪公司会选择租用专线，在总部和分部之间拉一条物理专线，只跑自家的业务。但这种方案价格贵到离谱，维护起来也麻烦，简直是“壕”无人性。

难道就没有更经济实惠的方案了吗？

当然有！那就是 VPN！

VPN（Virtual Private Network，虚拟专用网络），顾名思义，就是能在你和公司之间搭建一条“秘密隧道”。通过 VPN 访问公司内网时，数据会通过这条“秘密隧道”悄悄传递，保证你和公司之间的网络通信安全又私密。

注意！这条隧道可不是真实存在的，而是通过 数据加密技术 封装出来的虚拟隧道，本质上借用的还是互联网上的公共线路。

VPN 会对你和公司之间传输的数据进行加密，加密后的数据会在一条专用的数据链路上安全传输，就像架设了一个专用网络一样。所以，VPN 才被称为 虚拟专用网络。

VPN 是如何运作的？

那么，VPN 这条“秘密隧道”究竟是如何运作的呢？

1. 开启 VPN 后，当你访问公司内网的办公网站时，不再直接访问公司内网的服务器，而是先去访问 VPN 服务器，并向它发送一条指令：“我要访问办公网站！”
2. VPN 服务器收到指令后，会“摇身一变”，代替你去访问办公网站。拿到办公网站的内容后，再通过“秘密隧道”原封不动地传回给你。

就这样，你通过 VPN 成功访问到了梦寐以求的内网资源！

VPN 的三大关键技术

VPN 能实现安全通信，离不开以下三大关键技术：

• 隧道技术：
  
  说白了就是把要传输的数据包封装起来，利用公共网络建立专用的数据传输通道，保证数据安全可靠地传输。

隧道技术通过各种隧道协议来实现，例如 GRE（Generic Routing Encapsulation，通用路由封装）、L2TP（Layer 2 Tunneling Protocol，二层隧道协议）等等。

• 身份认证：
  
  VPN 网关会对接入 VPN 的用户进行身份认证，确保只有合法用户才能进入“隧道”。

• 数据加密：
  
  把明文数据变成密文，即使信息被黑客截获，也无法识别内容。

• 数据验证：
  
  通过数据验证技术，检查报文的完整性和真伪，防止数据被篡改。

VPN 到底好在哪里？

了解了 VPN 的工作原理和关键技术，接下来咱们总结一下它的优点：

• 安全：
  
  通过数据加密，VPN 可以防止数据在互联网传输中被窃听和篡改。相比于明文传输，数据加密技术大大提高了安全性，降低了公司机密信息泄露的风险。
• 成本低：
  
  VPN 简直是物美价廉的典范！它能达到与租用专线相同的效果，但费用却能节省 40%～60%。
• 支持移动办公：
  
  VPN 让你随时随地都能接入公司内网，满足不断增长的移动办公需求。
• 可扩展性：
  
  VPN 应用灵活，扩展性强。企业只需简单地修改配置，或增加几台设备，就能轻松扩大 VPN 的容量和覆盖范围。

VPN 有哪些种类？

按照不同的划分标准，VPN 可以分为以下几类：

根据 VPN 建设单位划分：

• 租用运营商 VPN 专线：
  
  企业购买运营商提供的 MPLS VPN 专线服务，实现总部和分部之间的通信需求。VPN 网关由运营商负责维护。
• 企业自建 VPN 网络：
  
  企业自己基于互联网搭建 VPN 网络，常见的有 IPsec VPN、GRE VPN、L2TP VPN 等。

根据工作网络层次划分：

• 应用层：
  
  SSL VPN
• 网络层：
  
  IPSEC VPN、GRE VPN
• 数据链路层：
  
  L2TP VPN、PPTP VPN

工作在网络层和数据链路层的 VPN 又被称为 三层 VPN 和 二层 VPN。

接下来，咱们重点介绍几种常见的 VPN 类型：

IPSec VPN

IPSec（IP Security，IP 安全） VPN 一般部署在企业出口设备之间，通过加密和验证等手段，实现数据来源验证、数据加密、数据完整性保证和抗重放等功能。

• 数据来源验证：
  
  验证数据发送方的身份是否合法。
• 数据加密：
  
  发送方对数据进行加密，以密文形式在互联网上传输，接收方收到加密数据后进行解密。
• 数据完整性：
  
  接收方验证接收到的数据是否被篡改。
• 抗重放：
  
  接收方拒绝接收旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包进行攻击。

GRE VPN

GRE（General Routing Encapsulation，通用路由封装）是一种三层 VPN 封装技术。

GRE 可以对某些网络层协议（如 IPX、IPv4、IPv6 等）的报文进行封装，使封装后的报文能够在另一种网络中（如 IPv4）传输，从而解决了跨越异种网络的报文传输问题。

GRE 还具备封装组播报文的能力。由于动态路由协议中会使用组播报文，因此 GRE 更多地被应用于需要传递组播路由数据的场景中。

L2TP VPN

L2TP（Layer 2 Tunneling Protocol，二层隧道协议）是 VPDN（Virtual Private Dial-up Network，虚拟私有拨号网）隧道协议的一种，它扩展了点到点协议 PPP 的应用，常被用于远程办公场景，为出差员工或企业分支机构远程访问企业内网资源提供接入服务。

L2TP 组网架构中包含 LAC（L2TP Access Concentrator，L2TP 访问集中器）和 LNS（L2TP Network Server，L2TP 网络服务器）两个重要角色。

LAC 是网络上具有 PPP 和 L2TP 协议处理能力的设备，负责和 LNS 建立 L2TP 隧道连接。

MPLS VPN

MPLS（Multi-Protocol Label Switching，多协议标签交换）是一种利用标签（Label）进行转发的技术。最初是为了提高 IP 报文转发速率而被提出，现在主要应用于 VPN、流量工程和 QoS 等场景。

MPLS VPN 网络通常由运营商搭建，VPN 用户购买 VPN 服务来实现用户网络之间的路由传递和数据互通。

MPLS VPN 网络架构主要由 CE（Customer Edge，客户边缘设备）、PE（Provider Edge，运营商边缘设备）和 P（Provider，运营商设备）三部分组成。

各种 VPN 的隧道身份认证、数据加密和验证机制如下表所示：

VPN 的应用场景

凭借以上三大优势，VPN 在企业中备受青睐。针对不同的需求，VPN 还能提供更有针对性的应用场景，例如：

• 远程接入 VPN：
  
   方便异地办公的员工访问公司内网。
• 内联网 VPN：
  
   将企业总部和外地分公司通过虚拟专用网络连接在一起。
• 外联网 VPN：
  
   将一个公司与另一个公司的资源进行连接，与合作伙伴企业网构成外联网。

VPN 就像一扇连接公司内网和外部互联网的窗口，它扩展了公司内网的边界，让远程办公的你我他也能安全放心地访问公司内网资源。如此给力的 VPN，谁能不爱呢？

有了 VPN 为咱们的远程办公安全保驾护航，相信未来人人都能实现在家办公的梦想！到时候，一边撸猫一边办公，想想就美滋滋！