1.vpn的作用：1）个人远程VPN访问到公司的内部网络；2）企业内部网络之间的通讯；3）互联网公司多IDC机房之间的互联。

2.常见的隧道协议 PPTP L2TP

3.PPTP不支持隧道验证，却只能在两端中建立单一隧道，L2TP可以提供隧道验证。L2TP支持隧道验证。PPTP和L2TP都不提供加密，但是可以和IPSEC一起使用，这样就提供了加密的功能。

4.IPSec是IP安全协议。

5.ipsec在多机房互联的时候用得比较多。

1、VPN(全称Virtual Private Netwoek)虚拟专用网络，是依靠ISP和其他的NSP，在公共网络中建立专用的数据通信网络技术，可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务，在VPN中任意两点之间的连接并没有传统专网锁需要的端到端的物理链路，而是利用公共网络资源动态组成的，可以理解为通过私有的隧道技术在公共数据网络上模拟出来的和专网友相同功能的点到点的专线技术，所谓的虚拟是指不需要去拉实际的长途物理线路，而是借用了公共Internet网络实现.

典型的vpn产品有:ssh lvs（trunk技术ipip）、pptp，ipsec

2、vpn的作用

vpn功能，可以搬走公司里的远程用户（家里、出差）、公司的分支机构，商业合作伙伴已经供应商等公司和自己公司的内部网络之间建立可信的安全连接或者局域网连接，确保数据的加密安全传输和业务访问，对于运维工程师来说，还可以连续不同的机房为局域网，处理相关的业务流.

3、VPN的分类

1> 远程访问VPN服务

即通过个人电脑远程拨号到企业办公网络

a、一般为企业内部员工出差，休假或者特殊情况下远离办公室的时候，又需要访问到公司的内部网络获取资源时。就可以通过VPN拨号到公司内部，此时远程拨号的员工和办公室的内部员工意见其他使用VPN拨号的员工之间都相当于在一个局域网内，例如：访问内部的域控制器，文件服务器，OA系统，ERP、http等服务，内部通讯等等局域网的应用

b、对运维人员就是需要个人电脑远程拨号到企业网站IDC机房，远程维护IDC内部服务器（一般无外网IP，数据库、存储等）

此点是技术运维运维接触到最多的

2> 企业内部网络之间VPN服务

在公司的分支机构的局域网和公司总部LAN之间的VPN连接，通过Internet建立VPN将公司在各地的分支机构的LAN连接到公司总部的LAN。例如：各大超市之间业务结算等

这是由于地域的原因而产生的VPN的需求，通过VPN让不同地域内的服务器可以相互访问，就好像在一个局域网一样。例如：办公室互联协调办公，机房互联实现数据同步已经业务之间访问

3> 互联网公司多个IDC机房之间的VPN互联

不同机房之间业务管理和业务访问，数据流动

4> 企业外部VPN服务

5> 访问外国网站

4、常见隧道协议介绍

a、点对点隧道协议(PPTP)

点到点隧道协议，是有包括微软和3com等公司组成的PPTP论坛开发的一种点对点的隧道协议，基于拨号使用的PPP协议，使用PAP或者CHAP之类的加密算法，或者使用Microsoft的点对点加密算法MPPE。通过跨越基于TCP/IP的数据网络创建VPN实现了从远处客户端到专业企业服务器直接的数据安全传输，PPTP支持通过公共网络建立需求的，多协议的，虚拟专用网络，PPTP允许加密IP同学，然后在要跨越公司IP网络或者公共IP网络发送的IP头对其进行封装。典型的linux平台开源产品是pptp

pptp属于点到点方式应用，比较适合远程的企业用户拨号到企业进行办公。如openvpn产品，就是用他来实现的

b、L2TP

L2TP是第二层隧道协议，是基于L2F（Cisco 的第二层转发协议）开发的PPTP的后续版本，是一种工艺标准的Internet隧道协议。其可以为跨面向数据包的媒体发送点到点的协议（PPP）架构提高封装。PPTP和L2TP都是使用PPP协议对数据进行封装，然后添加包头用于数据再互联网上的传输，PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道，L2TP可以提供隧道验证，而PPTP则不支持隧道验证，但是L2TP或者PPTP和IPSEC共同使用是，可以为有ipsec提供隧道验证，不需要在第二层协议上验证隧道使用L2TP。PPTP要求互联网络为IP网络，L2TP只要求隧道内奸提供面向数据包的点对点的连接。

L2TP可以提供隧道验证，而PPTP则不支持隧道验证

c、IPsec

IP安全协议（IPSEC: ip security）实际上是一套协议包，而不是一个独立的协议。

IPsec隧道模式隧道是封装、路由和解封装的整个过程，隧道将原始数据包，隐藏（或封装）在新的数据包内部，该新的数据包可能会有新的寻址和路由信息，从而是其能够通过网络传输，隧道与数据保密性结合使用时，在网络上窃听通信的人将无法获取原始数据包数据，已经原始的源和目的地址等，封装到底数据包的目的地后，会删除封装，原始数据包头用户将数据包路由到最终目的地

IPsec一般在多机房互联中使用比较多，但是用openvpn也可以实现多机房的互联