王 濤李 哲 魏金婷 賀亞美

（1、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廊坊市分公司，河北 廊坊 065000；2、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司邢臺(tái)市分公司，河北 邢臺(tái) 054000；3、中國(guó)人民解放軍第六九一六工廠(chǎng)，河北 廊坊 065000）

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)提升使企業(yè)內(nèi)部職能部門(mén)，企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員等等，需要同企業(yè)總部之間建立快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣實(shí)現(xiàn)這個(gè)網(wǎng)絡(luò)通信環(huán)境，成為時(shí)下很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問(wèn)題。文章就此闡述了基于VPN網(wǎng)絡(luò)的技術(shù)及其應(yīng)用。

1.VPN網(wǎng)絡(luò)技術(shù)概述

1.1VPN網(wǎng)絡(luò)技術(shù)定義。VPN的全稱(chēng)是Virtual Private Network，現(xiàn)在我們一般稱(chēng)為虛擬專(zhuān)用網(wǎng)絡(luò)。它的主要作用就是利用公用網(wǎng)絡(luò)將多個(gè)私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)。通過(guò)這個(gè)公用網(wǎng)絡(luò)進(jìn)行連接可以大大降低通信的成本。

目前，一般來(lái)說(shuō)兩臺(tái)連接上互聯(lián)網(wǎng)的計(jì)算機(jī)只要知道對(duì)方的IP地址，是可以直接通信的。不過(guò)位于這兩臺(tái)計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議。

1.2 VPN網(wǎng)絡(luò)技術(shù)工作原理。VPN通過(guò)公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái)。減輕了企業(yè)的遠(yuǎn)程訪(fǎng)問(wèn)費(fèi)用負(fù)擔(dān)，節(jié)省電話(huà)費(fèi)用開(kāi)支，并且提供了安全的端到端的數(shù)據(jù)通訊。

位于這兩臺(tái)計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議，即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺(tái)直接和公用連接的計(jì)算機(jī)之間建立一個(gè)條專(zhuān)用通道。私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過(guò)這兩臺(tái)計(jì)算機(jī)或設(shè)備打包通過(guò)公用網(wǎng)絡(luò)的專(zhuān)用通道進(jìn)行傳輸，然后在對(duì)端解包，還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對(duì)于兩個(gè)私有網(wǎng)絡(luò)來(lái)說(shuō)公用網(wǎng)絡(luò)就像普通的通信電纜，而接在公用網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)或設(shè)備則相當(dāng)于兩個(gè)特殊的線(xiàn)路接頭。

1.3VPN網(wǎng)絡(luò)技術(shù)特點(diǎn)

1.31 特點(diǎn)一：成本低。VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，都比專(zhuān)線(xiàn)式的架構(gòu)節(jié)省，所以它能使網(wǎng)絡(luò)的總成本降低。根據(jù)筆者的分析，在 LAN-to-LAN連接時(shí)，用 VPN較使用專(zhuān)線(xiàn)的成本節(jié)省大約在 30%～50% 左右；而就遠(yuǎn)程訪(fǎng)問(wèn)而言，用 VPN更能比直接撥入到企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省60%～80% 的成本。

1.32 特點(diǎn)二：管理方便。VPN使用了較少的設(shè)備來(lái)建立網(wǎng)絡(luò)，使網(wǎng)絡(luò)的管理較為輕松；不論連接的是什么用戶(hù)，均需通過(guò)VPN隧道的路徑進(jìn)入內(nèi)部網(wǎng)絡(luò)。

1.33 特點(diǎn)三：網(wǎng)絡(luò)架構(gòu)彈性大。VPN較專(zhuān)線(xiàn)式的架構(gòu)有彈性，當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)時(shí)，VPN可以輕易的達(dá)到目的，VPN（特別是硬件VPN）的平臺(tái)具備完整的擴(kuò)展性，大至企業(yè)總部的設(shè)備，小至各分公司，甚至個(gè)人撥號(hào)用戶(hù)，均可被包含于整體的 VPN架構(gòu)中。

1.34 特點(diǎn)四：技術(shù)安全性高。VPN網(wǎng)絡(luò)技術(shù)主要由三部分組成：隧道技術(shù)，數(shù)據(jù)加密、用戶(hù)認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜?。挥脩?hù)認(rèn)證則保證未獲認(rèn)證的用戶(hù)無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問(wèn)題是VPN技術(shù)的核心問(wèn)題。目前，在我國(guó)VPN的安全保證主要是通過(guò)防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶(hù)端能夠安全地訪(fǎng)問(wèn)VPN服務(wù)器。

2.VPN網(wǎng)絡(luò)技術(shù)應(yīng)用

VPN網(wǎng)絡(luò)技術(shù)可以給企業(yè)提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。這項(xiàng)技術(shù)通過(guò)隧道加密技術(shù)達(dá)到類(lèi)似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪(fǎng)問(wèn)，通過(guò)安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶(hù)、現(xiàn)場(chǎng)服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對(duì)移動(dòng)用戶(hù)和漫游用戶(hù)的支持，使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。

2.1VPN網(wǎng)絡(luò)技術(shù)企業(yè)內(nèi)部應(yīng)用。目前，用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)--IP Sec VPN和SSL VPN，IPSecVPN和 SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠(yuǎn)程接入和互聯(lián)，雖然在技術(shù)上來(lái)說(shuō)，它們也可以部署在其它的網(wǎng)絡(luò)上，但那樣就失去了其應(yīng)用的靈活性，它們更適用于商業(yè)客戶(hù)等對(duì)價(jià)格特別敏感的客戶(hù)。

針對(duì)IPSec VPN和SSL VPN兩種技術(shù)，目前業(yè)內(nèi)存在著較多爭(zhēng)議。在未來(lái)，IPSec的市場(chǎng)份額將下降，而SSL VPN將逐漸上升。用戶(hù)在考慮采用哪種技術(shù)時(shí)經(jīng)常會(huì)遇到兩難的選擇，即安全性與使用便利的沖突。IPSec VPN比較適合中小企業(yè)，其擁有較多的分支機(jī)構(gòu)，并通過(guò)VPN隧道進(jìn)行站點(diǎn)之間的連接，交換大容量的數(shù)據(jù)。企業(yè)的數(shù)據(jù)比較敏感，要求安全級(jí)別較高。企業(yè)員工不能隨便通過(guò)任意一臺(tái)電腦就訪(fǎng)問(wèn)企業(yè)內(nèi)部信息，移動(dòng)辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。

2.2VPN廣域網(wǎng)解決方案的應(yīng)用。目前各行業(yè)網(wǎng)、專(zhuān)用網(wǎng)的應(yīng)用主要有兩個(gè)方面：一方面作為Internet或其他公用網(wǎng)絡(luò)的一部分，組織本行業(yè)是信息資源上網(wǎng)；二方面作為一個(gè)內(nèi)部網(wǎng)，為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動(dòng)化和業(yè)務(wù)處理系統(tǒng)服務(wù)。兩者都是采用Internet或其他公用網(wǎng)絡(luò)技術(shù)的IP數(shù)據(jù)通信。對(duì)于各專(zhuān)用網(wǎng)絡(luò)兩種應(yīng)用的第一種應(yīng)用，其解決方案可以根據(jù)網(wǎng)絡(luò)的性質(zhì)和信息資源的服務(wù)對(duì)象，各地就近接入當(dāng)?shù)氐闹袊?guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)或中國(guó)公眾多媒體通信網(wǎng)，完全省去了用于連接跨省的DDN專(zhuān)線(xiàn)，只需在域名規(guī)劃和信息主頁(yè)設(shè)計(jì)中統(tǒng)一規(guī)劃，統(tǒng)一形象，把有限的人力和物力用于專(zhuān)業(yè)的信息資源開(kāi)發(fā)和深加工。

2.3 基于Internet的VPN網(wǎng)絡(luò)的應(yīng)用。在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天， Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu) Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶(hù)端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端，用戶(hù)的私有數(shù)據(jù)經(jīng)過(guò)隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過(guò)虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地傳送給終端用戶(hù)，最終形成數(shù)據(jù)交互。

3.VPN網(wǎng)絡(luò)技術(shù)發(fā)展

VPN綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本，建立安全的數(shù)據(jù)通道。VPN在降低成本的同時(shí)滿(mǎn)足了用戶(hù)對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求。

VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過(guò)加密處理的，這條安全通道的協(xié)議必須保證數(shù)據(jù)的真實(shí)性、數(shù)據(jù)的完整性、通道的機(jī)密性，提供動(dòng)態(tài)密匙交換功能，提供安全防護(hù)措施和訪(fǎng)問(wèn)控制，抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪(fǎng)問(wèn)控制。

用戶(hù)需求將成為VPN技術(shù)發(fā)展的動(dòng)力，多形式、多用途、靈活易用、功能強(qiáng)大、服務(wù)優(yōu)異的VPN產(chǎn)品將適用于不同的用戶(hù)群，部署在寬帶、窄帶、撥號(hào)或者移動(dòng)通信網(wǎng)絡(luò)上。

4.對(duì)VPN網(wǎng)絡(luò)技術(shù)使用中的建議

在目前的企業(yè)選擇VPN技術(shù)使用時(shí)，我們一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶(hù)的目錄信息存放在一臺(tái)中央數(shù)據(jù)存儲(chǔ)設(shè)備中便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加，修改和查詢(xún)。每一臺(tái)接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù)，存儲(chǔ)每一名用戶(hù)的信息，包括用戶(hù)名，口令，以及撥號(hào)接入的屬性等。

為有效的管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時(shí)跟蹤和掌握以下情況：系統(tǒng)的使用者，連接數(shù)目，異?；顒?dòng)，出錯(cuò)情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)記費(fèi)，審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。一臺(tái)隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的事件日志，報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。隨著市場(chǎng)應(yīng)用的擴(kuò)大，VPN的管理有待進(jìn)一步加強(qiáng)。

[1]閆曉弟.耶健.基于VPN的電子資源遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)的研究與實(shí)現(xiàn).情報(bào)雜志，2009(8).

[2]王達(dá)等.虛擬專(zhuān)用網(wǎng)(VPN)精解[M].北京：清華大學(xué)出版社，2004.

[3]楊永斌.VPN技術(shù)應(yīng)用研究[J].計(jì)算機(jī)科學(xué)，2004，（10）.

[4]王達(dá)等.虛擬專(zhuān)用網(wǎng)(VPN)精解[M].北京：清華大學(xué)出版社，2004.