关于虚拟专用网的一些概念

关于VPN的一些概念

VPN(虚拟专用网)

虚拟专用网络(VPN)的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
这一技术属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。如何让他访问到内网资源呢？利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输（实际不并不存在这条成本高昂的专用数据链路），就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，因此VPN在企业中的应用十分广泛。

site（站点）

在介绍 VPN 时经常会提到“Site”， Site（站点）的含义可以从下述几个方面理解：Site 是指相互之间具备 IP 连通性的一组 IP 系统，并且，这组 IP 系统的 IP 连通性不需通过运营商网络实现。
地理位置隔离的两组 IP 系统，如果它们使用专线互联，不需要通过运营商网络就可以互通，这两组 IP 系统也组成一个 Site。
如图所示，右半边网络， B 市的分支机构网络不通过运营商网络，而是通过专线直接与 A市的总部相连，则 A 市的总部网络与 B 市的分支机构网络构成了一个 Site。

1.一个 Site 中的设备可以属于多个 VPN，换言之，一个 Site 可以属于多个 VPN。

如图所示， X 公司位于 A 市的决策部网络（Site A）允许与位于 B 市的研发部网络（Site B）和位于 C 市的财务部网络（Site C）互通。但是不允许 Site B 与 Site C 互通。这种情况下，可以构建两个 VPN（VPN1 和 VPN2）， Site A 和 Site B 属于 VPN1， Site A 和 Site C 属于 VPN2。这样， Site A 就属于多个 VPN。

2.Site 通过 CE 连接到运营商网络，一个 Site 可以包含多个 CE，但一个 CE 只属于一个 Site。

根据 Site 的情况， CE 设备的选择方案可以是：
如果 Site 只是一台主机，则这台主机就作为 CE 设备；
如果 Site 是单个子网，则使用交换机作为 CE 设备；
如果 Site 是多个子网，则使用路由器作为 CE 设备。

不同的site不能直接通信，若想要让多个连接到同一运营商网络的 Site之间进行通信，则需要通过制定策略，将他们分到一个集合（set）中，属于相同集合的 Site 之间可以通过运营商网络互访，这种集合就是 VPN。

地址空间重叠

VPN 是一种私有网络，不同的 VPN 独立管理自己的地址范围，也称为地址空间（address space）。这样就会造成不同VPN的地址空间有可能会重叠，都使用了相同的网段，这一现象称为地址空间的重叠（address spaces overlapping）。
以下两种情况允许 VPN 使用重叠的地址空间：
1、两个 VPN 没有共同的 Site（没有共同的site说明不会直接通信）
2、两个 VPN 有共同的 Site，但此 Site 中的设备不与两个 VPN 中使用重叠地址空间的设备互访。

参考：
[1] 百度百科
[2] https://zhuanlan.zhihu.com/p/130991035