鄭晶晶 王緩緩 韓芳 胡愛娜 武海燕

黃河科技學院 河南 450063

0 概述

虛擬專用網(wǎng)（Virtual Private Network）是在公共網(wǎng)絡基礎設施上構(gòu)建的一種安全的專用網(wǎng)絡。這里的公用網(wǎng)絡平臺是指由公眾網(wǎng)絡服務提供商提供的網(wǎng)絡。一個虛擬專用網(wǎng)的主要目的是以低得多的成本給企業(yè)提供和私有網(wǎng)絡相同甚至更好的功能。企業(yè)使用VPN能夠降低成本，增加可擴展性，并在無損安全性下提高生產(chǎn)率。

VPN的安全性和管理政策與專用網(wǎng)絡相同，是在遠程用戶和局域網(wǎng)之間建立點對點連接的最合算的方法。

VPN通過提供身份驗證，訪問控制，保密性和數(shù)據(jù)完整性，以確保數(shù)據(jù)的安全。

一個典型的VPN架構(gòu)應該包含公司總部的局域網(wǎng)（LAN），遠程辦公室局域網(wǎng)，伙伴或客戶公司的局域網(wǎng)和遠程個人用戶?；旧嫌袃煞N類型的虛擬專用網(wǎng)，遠程訪問VPN和點到點VPN。

1 遠程訪問VPN協(xié)議

要建立遠程連接，客戶端和服務器必須使用相同的VPN協(xié)議。

1.1 PPTP隧道協(xié)議

點對點隧道協(xié)議（PPTP）是一種支持多協(xié)議虛擬專用網(wǎng)絡的網(wǎng)絡技術(shù)，它工作在第二層。

1.2 Layer Two Tunneling Protocol（L2TP）

L2TP是PPTP和第二層轉(zhuǎn)發(fā)（L2F）的結(jié)合，具有這兩個協(xié)議的優(yōu)點，由IETF開發(fā)，現(xiàn)已成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標準。

1.3 Internet Protocol Security（IPSec）

IPSec是IETF的開放標準框架，目標是確保網(wǎng)絡層上的流量安全。

1.4 安全套接字層（SSL）

SSL是一種高層的安全協(xié)議，由Netscape開發(fā)。SSL是最常用的進行安全的Web瀏覽的協(xié)議，稱為HTTPS。

1.5 多協(xié)議標簽交換（MPLS）

MPLS的標簽是一個基于分組交換技術(shù)，是從許多先前的技術(shù)，如Cisco的“標簽切換”和IBM的“ARIS業(yè)務”等發(fā)展而來的。

2 VPN的分類

VPN技術(shù)的分類有多種可能。但把他們精確的分為不同的類別是比較困難的，在這些VPN之間有一些潛在的重疊。該技術(shù)可分為以下幾種方法（如表1所示）。

表1 VPN技術(shù)的分類

2.1 信任和安全的VPN

根據(jù)虛擬專用網(wǎng)聯(lián)盟（VPNC）的分類，虛擬專用網(wǎng)解決方案可分為安全，可信任的和混合的。

受信任的VPN包含一條或多條從服務供應商那里租用的信道。這些虛擬專用網(wǎng)，通常起源和終止于供應商網(wǎng)絡。在這種VPN技術(shù)中，隱私和完整性是服務供應商在確保沒有不同的用戶使用相同的信道的情況下來提供的。MPLS就是一個正在使用的可信任VPN技術(shù)的例子。

磚子點點頭，說你女兒這是替你苦錢呢，好，你忙。磚子抬腿剛要走，李金枝甩過了欲言又止的話頭：磚子哥，師姐她……

構(gòu)建安全的VPN采用了加密技術(shù)及其他安全機制（如認證，完整性檢查）。這種情況下，網(wǎng)絡流量在網(wǎng)絡邊緣或發(fā)送計算機端加密，然后通過公用網(wǎng)絡發(fā)送到企業(yè)局域網(wǎng)端，在企業(yè)網(wǎng)絡或接收計算機端解密。創(chuàng)建一個安全的VPN通常包括采購，配置和維護相應的硬件和軟件。安全VPN技術(shù)的例子是PPTP，L2TP，IPSec和SSL。

應該說，可信任的VPN是不保證安全性的。如果保密是一個需要重點考慮的問題的時候，網(wǎng)絡流量可在發(fā)送前加密通過可信任虛擬專用網(wǎng)，從而建立信任和安全的虛擬專用網(wǎng)之間的混合方法。安全VPN提供安全保證，但沒有信道可靠性的保證?？尚湃翁摂M專用網(wǎng)提供信道上的可靠性保障例如QoS，但沒有防止窺探或更改的安全保證。由于這些優(yōu)勢和劣勢，混合虛擬專用網(wǎng)已經(jīng)開始出現(xiàn)。

2.2 基于Web和基于客戶端的虛擬專用網(wǎng)

它們通常用于支持遠程接入用戶。這并不一定意味著兩個解決方案是彼此對立的。相反，它們是相輔相成的?；赪eb的VPN是建立在SSL上的，在今天這被認為是標準的基于Web的VPN。任何帶有Web瀏覽器的計算機經(jīng)過身份認證后都可以連接到企業(yè)內(nèi)部網(wǎng)上。基于Web的VPN解決方案降低了在維護一個客戶端軟件方面所需要的購買、安裝和維持的開銷?；赪eb的VPN一般支持有限的Web應用程序。

基于客戶端的VPN是建立在PPTP，L2TP，IPSec和SSL的基礎上?；诳蛻舳说腣PN需要在那些遠程接入到網(wǎng)絡的客戶機上安裝客戶端軟件?；诳蛻舳说腣PN允許遠程訪問用戶獲得對企業(yè)網(wǎng)絡的天衣無縫的接入?；诳蛻舳说腣PN解決方案需要購買，安裝和維護客戶端軟件。

2.3 基于PE和基于CE的VPN

在基于CE的VPN，所有的VPN處理發(fā)生在CE設備中。隧道僅在兩個CE設備之間創(chuàng)建，PE設備可以是標準的路由器和交換機。在基于CE的VPN中，CE設備需要大量的管理和配置。通常情況下，對客戶端設備需要升級或購買。

基于PE的VPN，所有的VPN處理發(fā)生在PE設備。當采用這種解決方案，CE設備可以是標準的路由器和交換機。而VPN管理和配置需要在PE設備，因此，通常沒有必要升級客戶端的設備。

2.4 外包和內(nèi)置的VPN

盡管有一些企業(yè)建設了自己的VPN，仍有許多公司把他們自己的VPN外包給VPN服務提供者。這些提供者大多是ISP（Internet Server Provider）方，在可升級的基礎上管理和配置客戶的VPN。外包簡化了企業(yè)內(nèi)部安全管理人員必須擁有的技能和內(nèi)部安全開銷。而且，這種VPN的開銷是可預測的。然而，企業(yè)外包他們的VPN就喪失了控制他們VPN安全的能力。另外，外包的開銷可能比自己建設和管理VPN的開銷要多，尤其是當遠程登錄的用戶和分支機構(gòu)越來越多的時候（由于這個解決方案要向每個用戶收費）。

3 怎么樣選擇合適的VPN

為不同的企業(yè)機構(gòu)選擇合適的方案時，這些選擇的方案應該是最能滿足這些企業(yè)需求的。在這里，以排除法來去掉那些不適合的，選擇那些適合的。

當提供遠程接入VPN方案，除了建立于SSL上基于Web的VPN和建立于PPTP、L2tp、IPSec或SSL上的基于客戶端的VPN外其它的備選方案都可以被排除。基于MPLS的可信任的VPN方案也可以被排除，因為不可能把MPLS網(wǎng)絡延伸到每一個遠程接入用戶。即使開銷不是問題，建立在MPLS VPN技術(shù)上的可信任VPN方案來解決遠程接入也只能支持固定位置的用戶接入，對于移動用戶一點也沒有辦法。為了選擇合適方案，我們從以下幾點來分析。

3.1 訪問需求

建立在SSL VPN基礎上基于Web的VPN方案對于那些有低接入需求的遠程接入用戶（例如接入在線瀏覽、定價列表、訂單入口等基于Web的應用）是合適的。

以PPTP，L2TP，IPSec，或者SSL VPN為基礎的基于客戶端的VPN對于那些要求對企業(yè)網(wǎng)絡有完全訪問或大部分訪問權(quán)限的遠程接入用戶是合適的。在這種方式下，遠程用戶能夠從他們的PC機完全接入企業(yè)網(wǎng)中。

3.2 安全需求

建立在PPTP，L2TP技術(shù)上的基于客戶端的VPN方案對于安全性要求較低的遠程接入用戶來說是一個不錯的選擇，由于它們的認證和加密算法是相對薄弱的。

以IPSec或SSL VPN為基礎的基于客戶端的VPN或以SSL VPN為基礎的基于Web的VPN方案對于安全性要求較高的遠程接入連接是合適的，由于他們都運用了有效的認證和加密算法。

3.3 協(xié)議支持的需求

以IPSec或SSL VPN為基礎的基于客戶端的VPN或以SSL VPN為基礎的基于Web的VPN方案對于那些有較低的協(xié)議支持需求的遠程接入用戶來說是合適的，例如在那些僅僅讓TCP/IP協(xié)議的數(shù)據(jù)包通過的廣域網(wǎng)上。

而以PPTP，L2TP為基礎的基于客戶端的VPN方案對于要求多協(xié)議支持的遠程接入用戶適合的，例如需要有不同網(wǎng)絡協(xié)議的（例如TCP/IP、IPX/SPX，或NetBEUI）支持。

3.4 開銷需求

以SSL VPN為基礎的基于Web的VPN方案由于僅需要Web瀏覽器通企業(yè)網(wǎng)絡建立連接，所以對于那些要求開銷比較低的遠程接入用戶是比較適合的。以PPTP，L2TP，IPSec，或者SSLVPN為基礎的基于客戶端的VPN方案由于需要安全并配置客戶端才能通企業(yè)網(wǎng)建立連接，所以他對于那些具有較高開銷預算需求的遠程接入用戶是適合的。

4 結(jié)束語

本文中對現(xiàn)在目前文獻中出現(xiàn)的各種不同的VPN技術(shù)進行了分類，并分析了各類VPN技術(shù)的特點，分別從四個不同的方面分析了怎樣選擇合適的VPN。但是本文只是提供了一個選擇VPN技術(shù)的方案，并沒有具體的實施，因此，本文更近一步的工作是為那些選擇了這些方案的用戶建設這些方案或者在網(wǎng)絡中模擬這些技術(shù)。

[1]O.Freier，P.Karlton，and P.C.Kocker.The SSL Protocol:Version 3.0.IETF RFC draft-freier-ssl-version3-02.November 1996.

[2]趙春華.MPLS VPN的原理及構(gòu)建.中國數(shù)據(jù)通信.2003.

[3]R.Fisli.Secure Corporate Communications over VPN-Based.WANs.Master’s Thesis in Computer Science at the School of Computer Science and engineering，Royal Institute ofTechnology，Sweden.2005.

[4]W.Townsley，A.J.Valencia，A.Rubens，G.S.Pall，G.Zorn，and B.Palter.Layer Two Tunneling Protocol（L2TP）.IETF RFC 2661.August 1999.