在旅行时，有哪些有用的虚拟专用网？

虚拟专用网（VPN）相信IT人员是最熟悉的了，就算是一个不懂技术的多多少少也听过这个技术名词，特别是去年疫情其间流行的远程办公，大部分就通过VPN技术实现的，下面博主用实际场景介绍来带你走进新的知识点篇，企业组网常见的VPN系列。

【华为 eNSP 模拟器全部配套软件与设备包】

链接： 迅雷云盘

异地局域网如何互通？

对于局域网互通相信大家都懂，多个网段有一台三层交换机，配置VLANIF打通即可，这样局域网之间就可以相互通信了，那么异地局域网如何互通呢？

比如A网络在北京,而B网络是在长沙，两地之间的局域网需要进行通信交互数据，在现在的解决办法非常多，比如经常听到的L2TP、PPTP（华为设备不支持）、SSL、GRE、IPSEC、MPLS、以及专线都是可以解决异地局域网互通的问题，那么我们关心的是竟然有这么多技术都可以实现，那么哪些是适合的呢，这些技术有什么特点跟局限性，针对不同的客户场景应该选择哪种比较好，这个后面博主都会具体讲解，这也是该系列的重点，希望能够帮助大家在看完后能够懂得在什么样的场景下采用什么样的技术。（本次课程主要涉及L2TP、SSL、GRE、ISPEC相关，另外博主会尽可能的少提VPN的字样，现在各大平台审核都会把这些作为敏感词，大家都懂的。）

专线类

专线算是最早出现的解决方案了，直接向运营商申请一条专线，把两个异地点连接起来，达到两个局域网互通的效果，目前主要中型企业（有分支重要业务需要传输的），以及政企、医疗行业用的多，优点是安全性高、速度有保障、延迟小、可靠性高，缺点是价格非常昂贵、部署周期较长，对于中偏小、零售企业非常不友好，目前专线类型用的多的MSTP跟MPLS（注意这里的MSTP的不是说的生成树的，而是一种专线的名称，叫多业务平台传送。另外这里的专线通常指的是内网专线，主要是两个异地区域之间的互通，没有Internet的功能，还一种就是我们第十篇讲解的互联网专线，也叫外网专线，这种是可以上外网的，特点是上下行对称，这是两种专线，这里在提及下容易弄混。）而这些（MSTP与MPLS之类）主要由运营商提供，属于只需要付费就可以了，维护搭建都由运营商那边完成。

自建类

专线类它是有实实在在的线路存在的，而自建类则不同，它属于虚拟隧道，是依托在原本已经有互联外网Internet的线路上由IT运维人员进行搭建，所以叫虚拟专用网络，为什么现在大部分都用这种组网呢，有下面几个优势

（1）最最重要的就是省钱！！它就在原本的外网线路上面搭建，没什么成本增加，这也是中小企业为什么都喜欢用这个技术的原因。

（2）安全性有保障：能够建立安全的隧道跟可靠的连接来保证数据传输的安全性（并不是所有技术都有安全性保障，这个后面详细讲解的时候会说明）

（3）灵活性：不管是异地局域网之间的互通，还是外在出差人员的办公都能够满足接入的需求。

（4）可扩展性：部署虚拟专用网不会改变已有的网络结构，随着技术的发展，可以支持多外网线路

属于的技术有 L2TP、PPTP、SSL、GRE、IPSEC可以发现现在不管是家用路由器还是企业路由器、防火墙、甚至AC都支持这些功能了，说了这么多优点，那有哪些缺点呢？

（1）速率不稳定：它的速率受外网带宽的影响，比如内网用户把带宽资源占用了，那么对应在这之上构建的虚拟网也会受影响。

（2）性能：目前性能已经不是大问题了，主要出现在老设备上面，特别是应用了IPSEC，涉及到了加解密，一旦加密、认证算法过强，老设备上面资源占用越多，用户体验会下降很多，这2~3年的设备已经没有这方面问题了，主流的华为 H3C 思科都内置硬件加解密，加快了处理速度，不再是靠单纯的靠CPU来处理。

（3）延迟：有上面两点以及外网宽带的影响，延迟肯定是避免不了的。

（4）公网IP：部署上面这些技术是必须一端有公网IP的，最差也得有动态的公网，否则是部署不起来。

（5）得有一定的专业知识：对于早期思科华为的设备来说，都命令行为主，WEB界面体验感很差（跟没有差不多），配置起来会有一定的难度，但目前国内不管是华为、H3C、TP、锐捷这些其实图形化已经帮助简化了很多，对于配置降低了难度。

【华三最新模拟器版本附带eNSP共存方法】

链接： 迅雷云盘

应用场景以及选择

Site-to-site（站点到站点）

这种场景的特点为：两端网络均通过固定的网关连接到Internet，组网相对固定。且访问是双向的，即分支和总部都有可能向对端发起访问。

可以实现的技术GRE、 IPSEC、GRE over ipsec 这几种是完全可以实现站点到站点双向互通的

Client-to-site （远程办公拨入）

这种场景的特点为：客户端的地址不固定。且访问是单向的，即只有客户端向内网服务器发起访问。适用于企业出差员工或临时办事处员工通过手机、电脑等接入总部远程办公。

可以实现的技术有PPTP、L2TP、SSL、IKEV2（目前相对用的少点），主流的还是L2TP跟SSL，由于PPTP华为 H3C都不支持，只有思科设备才有，所以这里不在过多提及。

“承上启下”

对于VPN各种技术的而应用场景跟选择都有了一个了解，接下来就是围绕这些技术的原理、特点、以及注意事项跟部署环境进行，然后后面涉及到加密、认证的内容会相对枯燥、理论非常多的情况下会导致理解消化会相对困难，博主会尽量把关键的点讲明，配合举例的方式来进行，下一篇就进入站点到站点系列，来了解了解GRE是如何实现两个异地局域网之间互通的。

（每周日更新）公众号内容汇总归纳，数通基础入门、实战案例、模拟器工具，方便大家查找

https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil

博主原创课程：mbd.pub/o/wlzl/work

技术支持：ccieh3c.taobao.com