下载
返回博客
技术··6 分钟阅读

VPN 隧道是什么,它是如何工作的?

语言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt繁體中文

「隧道」是 VPN 行业频繁使用却鲜少解释的词汇之一。但它是个好比喻,一旦理解,VPN 的整体工作原理便会豁然开朗。

简短回答:VPN 隧道是您的设备与 VPN 服务器之间的加密连接。您的数据被包裹在外层之内并经过加密,使所在网络能够传输它,却无法读取内容或知晓最终去向。「隧道」正是这条穿越开放网络的受保护通道。

核心要点

  • VPN 隧道 = 封装(包裹数据)+ 加密(扰乱数据)。
  • 它向本地网络和您的互联网服务提供商(ISP)隐藏您的流量,并向您访问的网站隐藏您的 IP 地址。
  • 不会隐藏您在已登录网站上的活动,也不会让您匿名。
  • 「隧道」由 VPN 协议创建和保护,现代默认协议为 WireGuard。

VPN 隧道是什么

将开放的互联网想象成一条繁忙的公共道路。通常,您的数据在这条路上明文传输——沿途任何人(您所在的 Wi-Fi、您的 ISP)都能看到每个数据包的外层信息:去往何处,大致是什么。

VPN 隧道是在这条道路上建造的一条有盖、加锁的通道,从您的设备延伸至 VPN 服务器。您的数据经由通道传输,而非暴露在外。旁观者能看到某些数据在您与 VPN 服务器之间流动,但无法得知内容或后续去向。在另一端,VPN 服务器解包您的数据,再将其发送至真实目的地。

道路本身没有任何物理变化。隧道由软件构成——具体而言,是两种协同工作的技术。

VPN 隧道如何工作

1. 封装(包裹)。您的普通网络数据被分割为数据包。VPN 将每个数据包放入另一个数据包内部——就像把一封信封进第二个信封。外层信封只标注 VPN 服务器的地址。任何查看外层信封的人只能看到一个发往 VPN 的数据包,而对内部的原始信件一无所知。

2. 加密(上锁)。仅靠封装只能隐藏地址信息。加密则对内容进行扰乱,即便有人打开外层信封,没有密钥也无法读取内层内容。只有您的设备和 VPN 服务器持有密钥,双方在建立隧道时通过一次简短的握手协商确定密钥。

两者结合:您的数据被包裹,使外界无法看到真实目的地;又经过加密,使内容无法被读取。这一组合便是隧道。

隧道建立后,所有路由进入其中的应用流量都会受到这种处理。隧道断开时,流量将失去保护——这正是人们关注断开瞬间发生了什么的原因;我们在iPhone 上的 VPN 断网保护中对此有详细介绍。

隧道隐藏什么——以及不隐藏什么

这一点需要诚实说明,因为「隧道」听起来像隐身斗篷,但实际上并非如此。

VPN 隧道隐藏:

  • 您的流量不被本地网络看到——咖啡馆或酒店的 Wi-Fi 无法读取您的活动内容。
  • 您的流量不被 ISP 看到——他们只能看到发往 VPN 服务器的加密数据,而非您访问的网站。
  • 您的 IP 地址不被您连接的网站看到——网站看到的是 VPN 服务器的地址,而非您的地址。

VPN 隧道不隐藏:

  • 您在已登录网站上的行为。如果您登录了某个账户,该服务就知道是您,无论是否使用隧道。
  • 任何绝对意义上的身份。隧道能改善隐私保护,但不会让您匿名。任何承诺让您在网络上完全隐形的服务商都在夸大其词。隐私保护是分层的,而非绝对的——更多相关思考见无日志政策究竟意味着什么
  • 网络层之外的信息,例如浏览器指纹识别或您主动分享的内容。

如果您仍在权衡这些取舍是否值得,是否需要 VPN 一文提供了完整的决策思路。

构建隧道的协议

VPN 隧道由协议创建和保护——协议是关于封装、加密及握手方式的约定规则。协议决定了隧道的速度、重连速度以及所采用加密技术的现代程度。

目前最值得了解的默认协议是 WireGuard:这是一种精简、高速的协议,代码库体量小,这一点至关重要——代码越少,潜在漏洞越少,在频繁切换网络的手机上重连也更迅速。OpenVPN 和 IKEv2 等旧协议仍然存在,各有其适用场景。我们在协议对比中对其进行了详细比较。

关于分流隧道

由于人们经常将「分流隧道」与「VPN 隧道」一同搜索,这里值得简单说明。分流隧道是指将部分应用的流量路由经过 VPN 隧道,而让其他应用使用普通连接。当您希望浏览器受到保护,但银行应用或本地设备绕过 VPN 时,这一功能非常实用。它在某些平台上确实存在,但 iOS 对应用层路由的限制比桌面端更为严格,因此不要假设 iPhone 上有与桌面端相同的分流隧道开关。

在大多数国家,使用 VPN——以及 VPN 隧道——是完全合法的,银行和企业也正是用它来保护连接安全。少数国家对 VPN 有所限制;我们在 VPN 合法性指南中对此有详细介绍。至于安全性,隧道本身就是安全的部分。真正的变量在于另一端的服务提供商是否值得信赖,这是关于日志政策的问题,而非隧道技术本身的问题。

常见问题

VPN 与隧道有什么区别?隧道是加密通道;VPN 是创建并运行这条通道的完整服务。「VPN 隧道」特指您的设备与 VPN 服务器之间的受保护连接。

VPN 隧道的作用是什么?它包裹您的数据,使外部网络无法看到真实目的地,同时对数据加密,使内容无法被读取——在传输过程中保护您的流量,并向您访问的网站隐藏您的 IP 地址。

使用 VPN 隧道合法吗?在大多数国家,是合法的。少数国家限制或禁止 VPN;您在隧道内的行为仍须遵守当地法律。

什么是分流隧道?仅将部分应用的流量路由经过 VPN,其余应用使用普通连接——当您需要选择性保护时非常实用。各平台支持程度不同,iOS 比桌面端限制更多。

总结

VPN 隧道就是两个思路的结合:包裹数据以隐藏目的地,加密数据以保护内容。这为您提供了真正的保护,使所在网络和 ISP 无法窥探,并向网站隐藏您的 IP——但不会让您匿名。协议构建隧道,WireGuard 是现代的默认选择。

Snap VPN 基于 WireGuard 运行,无需账户或电子邮件,不保留流量日志。可在 App Store 下载。

Daniel Brooks
Networking & protocols writer