虛擬專用網(VPN)的功能是在公共網絡上建立專用網絡進行加密通信。它廣泛應用于企業網絡。VPN網關通過加密數據包和轉換數據包的目的地址來實現遠程訪問。VPN可以通過服務器、硬件和軟件來實現。
VPN屬于遠程訪問技術，簡單來說就是利用公網建立專網。比如某公司員工出差到外地，想訪問內網的服務器資源，這種訪問屬于遠程訪問。（聲明：文章僅供參考對比；請勿用于任何違法行為；）

在傳統的企業網絡配置中，傳統的遠程訪問方法是租用DDN(數字數據網)專線或幀中繼，這必然會導致網絡通信和維護成本高。對于移動用戶(移動辦公人員)和遠程個人用戶來說，他們通常通過撥號線路(互聯網)進入企業局域網，但這必然會帶來安全隱患。

外籍員工訪問內網資源和使用VPN的解決方案是在內網設置一個VPN服務器。外地員工在本地接入互聯網后，通過互聯網接入VPN服務器，再通過VPN服務器進入內網。為了保證數據安全，VPN服務器和客戶端之間的通信數據是加密的。有了數據加密，可以認為數據是在一個特殊的數據鏈路上安全傳輸的，就像建立一個特殊的網絡一樣。但實際上，VPN使用的是互聯網上的公共鏈路，所以VPN被稱為虛擬專用網，本質上是利用加密技術在公共網絡上封裝一個數據通信隧道。有了VPN技術，用戶只要能接入互聯網，無論是出國旅游還是在國內工作，都可以使用VPN訪問內網資源，這也是VPN在企業得到廣泛應用的原因。

VPN網關一般采用雙網卡結構，外部網卡使用公網IP接入互聯網。

網絡一的終端a(假設為公共互聯網)接入網絡二的終端B(假設為企業內網)，終端a發送的接入數據包的目的地址為終端B的內部IP地址。

網絡一的VPN網關在接收到終端a發送的接入數據包時，會檢查自己的目標地址，如果目標地址屬于網絡二的地址，那么數據包會根據不同的VPN技術以不同的方式封裝。同時，VPN網關將構建一個新的VPN數據包，并將封裝后的原始數據包作為VPN數據包的負載。虛擬專用網數據包的目標地址是網絡二的虛擬專用網網關的外部地址。

網絡一的虛擬專用網網關將虛擬專用網包發送到互聯網。由于VPN數據包的目的地址是網絡二的VPN網關的外部地址，因此數據包將通過互聯網中的路由正確發送到網絡二的VPN網關。

第二網絡的VPN網關檢查接收到的數據包，如果發現該數據包是從第一網絡的VPN網關發送的，則可以確定該數據包是VPN數據包，并解包。拆包的過程主要是剝離VPN數據包的報頭，然后對數據包進行反向處理，恢復原始數據包。

第二網絡的VPN網關將恢復后的原始數據包發送給目標終端B，由于原始數據包的目標地址是終端B的IP，因此可以將數據包正確發送給終端B。在終端b看來，它收到的數據包與終端a直接發送的數據包是一樣的。

從終端B到終端A的數據包處理過程與上述過程相同，使得兩個網絡中的終端可以相互通信。

從上面的描述可以發現，VPN網關處理數據包時，有兩個參數對VPN通信非常重要:原始數據包的目的地址(VPN目的地址)和遠程VPN網關的地址。VPN網關根據VPN目標地址，可以判斷VPN處理了哪些數據包，不需要處理的數據包通?？梢灾苯愚D發到上級路由；遠程VPN網關地址指定處理后的VPN數據包的目的地址，即VPN隧道另一端的VPN網關地址。由于網絡通信是雙向的，隧道兩端的VPN網關在進行VPN通信時必須知道VPN目的地址和對應的遠程VPN網關地址。（聲明：文章僅供參考對比；請勿用于任何違法行為；）

VPN的基本流程如下:

①保護主機向其他VPN設備發送明文信息。

②VPN設備根據網絡管理員設置的規則決定是加密數據還是直接傳輸數據。

③對于要加密的數據，VPN設備對整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密，附加數據簽名，并添加新的數據頭(包括目的VPN設備所需的安全信息和一些初始化參數)進行重新打包。

④封裝的數據包通過隧道在公共網絡上傳輸。

⑤數據包到達目的VPN設備后，解封，驗證數字簽名正確后解密數據包。

根據不同的分類標準，虛擬專用網可以根據幾個標準進行分類:

按VPN協議分類

VPN主要有三種隧道協議，PPTP、L2TP和IPSec，其中PPTP和L2TP工作在OSI模型的第二層，也稱為第二層隧道協議。IPSec是第3層隧道協議。

按虛擬專用網應用分類

(1)接入VPN(遠程接入VPN):從客戶端到網關，VPN數據流量以公網為骨干網在設備間傳輸；

(2)內網VPN:網關到網關，通過公司的網絡架構連接來自同一公司的資源；VPN):它與伙伴企業網絡形成外聯網，將一家公司的資源與另一家公司的資源連接起來。（聲明：文章僅供參考對比；請勿用于任何違法行為；）

根據所用設備的類型進行分類

根據不同客戶的需求，網絡設備提供商開發了不同的VPN網絡設備，主要是交換機、路由器和防火墻:

(1)路由器VPN:路由器VPN容易部署，只要給路由器增加VPN服務；

(2)交換式VPN:主要用于連接用戶較少的VPN網絡；

根據實施原則

(1)重疊VPN:這種VPN要求用戶在端節點之間建立VPN鏈路，主要包括GRE、L2TP、IPSec等多種技術。

(2)對等VPN:網絡運營商在骨干網上完成VPN通道的建立，主要包括MPLS和VPN技術。

VPN的實現方式有很多種，其中常用的有以下四種:

1.VPN服務器:在大型局域網中，可以通過在網絡中心設置一個VPN服務器來實現VPN。

2.軟件VPN: VPN可以通過專門的軟件實現。

3.硬件VPN: VPN可以通過專門的硬件來實現。

4.集成VPN:一些硬件設備，如路由器、防火墻等。，都有VPN功能，但有VPN功能的硬件設備通常比沒有此功能的多。

優勢

虛擬專用網使移動員工、遠程員工、商業伙伴和其他人能夠使用本地可用的高速寬帶網絡連接(如數字用戶線路、有線電視或無線網絡)連接到企業網絡。此外，高速寬帶網絡連接為連接遠程辦公室提供了一種經濟高效的方法。（聲明：文章僅供參考對比；請勿用于任何違法行為；）

設計良好的寬帶VPN是模塊化和可擴展的。虛擬專用網使用戶能夠使用易于設置的互聯網基礎設施，并允許新用戶快速方便地加入網絡。這種能力意味著企業可以提供大量容量和應用程序，而無需添加額外的基礎架構。

VPN可以提供高級別的安全性，使用高級加密和識別協議來保護數據免受窺探，并防止數據竊賊和其他未經授權的用戶接觸此類數據。

完全控制，虛擬專用網使用戶能夠利用ISP的設施和服務，同時完全控制自己的網絡。用戶只使用ISP提供的網絡資源，可以自行管理其他安全設置和網管變更。您也可以在企業內部建立自己的虛擬專用網絡。

劣勢

企業無法直接控制基于互聯網的VPN的可靠性和性能。組織必須依靠提供VPN的互聯網服務提供商來確保服務的運行。這一因素使得企業與互聯網服務提供商簽訂服務水平協議非常重要，保證了各項績效指標。

企業創建和部署VPN線路并不容易。這項技術需要對網絡和安全問題有很高的理解，并需要仔細的規劃和配置。所以，選擇一個互聯網服務提供商來負責VPN的大部分運行是個不錯的主意。

不同供應商的VPN產品和解決方案總是不兼容，因為許多供應商不愿意或無法遵守VPN技術標準。因此，混合使用不同制造商的產品可能會造成技術問題。另一方面，使用一個供應商的設備可能會增加成本。
VPN在使用無線設備時存在安全隱患。接入點之間的漫游尤其成問題。當用戶在接入點之間漫游時，任何使用高級加密技術的解決方案都可能受到威脅。

2003年4月，信息產業部發布了《電信業務分類目錄》，取消了國際電信業務的分類，同時將虛擬專網業務從基礎電信業務中分離出來，成為增值電信業務的獨立分類。但是這里的“虛擬專用網”的概念和行業內的VPN服務是不一樣的。新的《電信業務分類目錄》對這一分類的解釋是:國內互聯網虛擬專用網業務(IP-VPN)是指運營商利用自有或租用的公共互聯網網絡資源，采用TCP/IP協議為國內用戶定制互聯網封閉用戶組網絡的業務。這個分類的解釋強調了兩個特點，一個是使用互聯網網絡資源，一個是使用TCP/IP協議。這個解釋對應當時的市場情況。當時，基于互聯網的IPSec VPN備受關注。雖然這個解釋基本上可以涵蓋后來出現的SSL VPN模式，但是并沒有關注MPLS VPN。

2006年1月，信息產業部發布《關于兩項增值電信業務和國內多方通信業務的通知》，正式開通“國內互聯網虛擬專用網業務”和“在線數據處理和交易處理業務”兩項增值電信業務，上述兩項增值電信業務由商業試運營轉為正式商業化。

2013年，工業和信息化部發布了《電信業務分類目錄(征求意見稿)》，仍未做出任何修改。

2015年1月27日，工信部回應VPN關閉事件，稱部分不良信息應按中國法律管理。工信部此前發布規定，在中國提供VPN服務的公司必須注冊，否則“不受中國法律保護”。

2017年1月，工信部發布《關于清理規范互聯網網絡結構服務市場的通知》，主要是為了更好地規范市場行為。監管對象主要是未經電信主管部門批準，不具備國際電信業務經營資格，租用國際專線或VPN，非法開展跨境電信業務經營的企業和個人。這些規定主要是清理無證經營和不符合標準的，不會對依法合規的企業和個人產生任何影響。有不懂的請咨詢夢飛服務器了解。

以上就是VPN功能的相關文章（聲明：文章僅供參考對比；請勿用于任何違法行為；）在此聲明：夢飛科技沒有vpn，也不出售vpn，請勿咨詢！