第3章

虚拟专用网络

虚拟专用网络（Virtual Private Network，VPN）架设在公共共享的互联网基础设施上，在非受信任的网络上建立私有的和安全的连接，把分布在不同地域的信息基础设施、办公场所、用户或者商业伙伴互联起来。

虚拟专用网络使用加密技术为通信提供安全保护，以对抗对通信内容的窃听和主动的攻击。虚拟专用网络在今天被广泛地使用到远程互联中。在虚拟专用网络技术出现之前，不同办公场所互联组建专用私有网络时，企业往往需要投入较大的成本用于租赁专用线路。虚拟专用网络的出发点是建立虚拟的专用链路，在互联网上进行传输并使用加密技术进行通信安全防护。

虚拟专用网络的使用场景如下。

安全互联：把多个分布在不同地域的服务器或者网络安全地连接起来。

指定网络流量路由：把多个点之间的网络流量通过虚拟专用网络的隧道进行连接后，可以使用动态路由等优化内部网络通信。

匿名访问：通过虚拟专用网络通道，可以隐藏客户端的来源IP地址，在某些场景下可以起到保护用户的作用。

本章将首先概要描述目前使用比较多的各种虚拟专用网络构建技术、方案和原理，然后重点讲解使用OpenVPN构建企业级虚拟专用网络的最佳方案，深入研究其中的核心配置参数，最后对OpenVPN的排错思路和方法进行指导。

3.1　常见虚拟专用网络构建技术

目前我们在实践中，经常遇到的虚拟专用网络构建技术，大致上分以下3类：

点到点的隧道协议（Point-to-Point Tunneling Protocol，PPTP）虚拟专用网络

互联网协议安全（Internet Protocol Security，IPSec）虚拟专用网络

安全接口层/安全传输层协议（Secure Sockets Layer/Transport Layer Security，SSL/TLS）虚拟专用网络

3.1.1　PPTP虚拟专用网络的原理

PPTP使用建立于TCP之上的通道来进行控制，使用通用路由封装协议（Generic Routing Encapsulation，GRE）隧道技术来封装点到点协议（Point to Point Protocol，PPP）包。PPTP规范里面没有描述加密和认证的特性，它依赖于底层的PPP协议来实现数据安全的功能。

PPTP的第1个隧道首先通过和对端服务器的TCP 1723端口进行通信来建立。在该TCP连接建立后，再创建第2个隧道GRE来进行数据传输。在RFC 2673中详细描述了PPTP协议的控制和数据通信过程。

在Linux环境中，我们可以使用pptpd进行PPTP虚拟专用网络的架设。