4.5.1  VPN技术

可以把VPN（Virtual Private Network，虚拟专用网络）理解成企业网在Internet等公共网络上的延伸，即VPN可以通过特殊的、加密的通信协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，就好比架设了一条专线一样，对企业来讲公共网络起到了“虚拟专用”的作用，如图4-11所示。

图4-11 VPN的典型应用

VPN使用开隧道技术和加密技术，确保数据安全可靠的传输。

1）开隧道技术是VPN设备屏蔽了源IP地址和目的IP地址。它将数据包的有效负载及IP地址信息封装在一个新的数据包内，即加上了新的封装信息。新的封装信息主要包括安全关联SA和身份认证信息。其中，SA是收发方之间的一个单向逻辑连接，如源和目的VPN网关。

2）VPN加密机制对数据负载及IP地址信息在打包前进行了加密变换，使其内容不可阅读。有效的完整性方法保证了数据无法篡改。

VPN的主要优点如下：

1）这种专用网是在公共网络上组建的，而不用另外组建一个物理网，可以大大降低通信的成本。

2）由于公共网络覆盖范围大，可以支持地理上分布很广的用户组建其专用网。

3）这种模式是安全的，它在连接的每一处端点都安装鉴别加密硬件及软件。