VPN | Acedia-x

type

status

date

slug

summary

一、VPN 基本概念

VPN（Virtual Private Network，虚拟专用网络）

是一种在公共网络（如互联网）上建立加密通信通道（即“隧道”）的技术，用于安全地传输数据，使远程用户或分支机构能够像在同一局域网中一样访问企业内部资源。

作用：

在公网中建立私密通信通道

保护数据的机密性与完整性

允许远程访问公司内网资源

举例：
公司内网相当于一个“被墙包围的房子”，外部无法直接访问。
员工在家办公时通过 VPN 建立一条“加密隧道”，安全访问公司内部资源。

二、传统解决方案对比

专线（Leased Line）

独立的物理线路，安全性高，带宽可控；

成本极高，不适合中小企业；

维护复杂，跨地域部署困难。

VPN

借助公网（如互联网）+ 加密技术实现私密通信；

成本低，部署灵活；

可实现跨城市、跨国家安全互联。

这条隧道并不是真实存在的，而是通过数据加密技术封装出来的一条虚拟数据通信隧道，实际上它借用的还是互联网上的公共链路。

三、VPN 分类与技术方案

1️⃣ 站点到站点（Site-to-Site VPN）

用于总公司与分公司之间的互联。

技术方案：IPSec VPN

实现原理：在网络层使用 IPSec 协议对 IP 包进行加密与认证。

特点：

双方路由器或防火墙建立 VPN 隧道；
建立后两网段互通，用户无需额外登录；
适合固定网络环境。

2️⃣ 远程访问（Remote Access VPN）

用于出差人员或居家办公访问公司网络。

技术方案：SSL VPN

实现原理：基于 SSL/TLS 协议，在传输层提供加密隧道。

特点：

用户可通过浏览器或客户端连接；
跨平台兼容性强；
可细粒度访问控制（如仅访问部分资源）。

四、VPN 核心技术

技术方向	说明
隧道技术（Tunneling）	封装原始数据包，在公共网络中传输
加密技术（Encryption）	常见算法：AES、3DES、ChaCha20
身份认证（Authentication）	用户名密码、数字证书、令牌、双因素认证
密钥交换（Key Exchange）	通过 IKE 协议安全交换加密密钥
数据完整性（Integrity）	防止篡改，常用 HMAC-SHA256 等

五、常见 VPN 协议

协议	所属层	加密支持	特点
PPTP	第 2 层	弱	老旧协议，安全性低，已不推荐
L2TP/IPSec	第 2 层 + 第 3 层	强	稳定可靠，广泛用于企业
OpenVPN	第 4 层	强	开源、安全、灵活，支持多平台
IKEv2/IPSec	第 3 层	强	快速重连，适合移动设备
SSL VPN	第 4 层	强	无需客户端，基于浏览器访问
WireGuard	第 3 层	强	新一代协议，性能优异，配置简洁

六、容灾（Disaster Recovery）与 VPN

VPN 常用于 跨地域容灾系统 的数据同步通道。

容灾按层级分为：

类型	说明
应用级容灾	备份站点运行同样的应用系统，实现业务快速切换
业务级容灾	核心业务在备用机房继续运行
数据级容灾	异地备份数据，恢复时间较长，成本低

例如：北京主机房与乌兰察布灾备中心之间可通过 IPSec VPN 实现数据安全传输。

七、Linux 实现 IPSec VPN 示例

环境：

北京服务器：192.168.140.243

乌兰察布服务器：172.16.88.91

方案：IPSec VPN

常见实现方式：

使用 strongSwan 或 Libreswan

配置 /etc/ipsec.conf 和 /etc/ipsec.secrets

开启转发：echo 1 > /proc/sys/net/ipv4/ip_forward

添加防火墙规则允许 ESP、IKE、NAT-T 协议端口（UDP 500 / 4500）

八、安全与优化建议

使用 AES-256-GCM 加密算法

开启 双因素认证（2FA）

使用 动态 IP 更新（DDNS）

对 VPN 用户分配独立网段，方便审计

定期更新证书和密钥

配合防火墙、IDS/IPS 提高整体安全性

九、常见问题与对比

场景	推荐协议	优点
企业分支互联	IPSec	稳定、兼容性好
远程办公	SSL VPN / WireGuard	快速、配置简单
移动设备	IKEv2/IPSec	自动重连、功耗低
云端对接	OpenVPN / WireGuard	开源灵活、安全