高海燕　魯宏武　王健

【摘要】隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出結(jié)構(gòu)分布化、產(chǎn)業(yè)多元化、管理信息化的特征。計算機網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴大，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題，網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對于企業(yè)和一些跨區(qū)域?qū)ｉT從事特定業(yè)務(wù)的部門，從經(jīng)濟實用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來看，VPN技術(shù)無疑是一種不錯的選擇。

【關(guān)鍵詞】VPN 網(wǎng)絡(luò) 實現(xiàn)技術(shù)

【中圖分類號】G718 【文獻標識碼】A 【文章編號】1672-5158（2013）01—0180-02

1 前言

隨著企業(yè)規(guī)模逐漸擴大，遠程用戶、遠程辦公人員、分支機構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過公共網(wǎng)絡(luò)（如Internet）來建立自己的專用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專用網(wǎng)（簡稱VPN）。VPN集靈活性、安全性、經(jīng)濟性以及擴展性于一身，可充分滿足分支機構(gòu)、移動辦公安全通信的需求。

2 VPN技術(shù)概述

VPN英文全稱是“Virtual Private Network”（虛擬專用網(wǎng)絡(luò)”）。VPN被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的。

2.1 VPN的功能

VPN至少應(yīng)能提供如下功能：加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露；信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問控制，不同的用戶有不同的訪問權(quán)限。

2.2 VPN的分類

VPN既是一種組網(wǎng)技術(shù)，又是一種網(wǎng)絡(luò)安全技術(shù)。按照不同的方法主要有以下幾種劃分方式。

（1）按實現(xiàn)技術(shù)劃分，基于隧道的VPN、基于虛電路的VPN和MPLSVPN

（2）應(yīng)用范圍劃分，遠程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應(yīng)用模式。

（3）遠程接入VPN用于實現(xiàn)移動用戶或遠程辦公室安全訪問企業(yè)網(wǎng)絡(luò)；Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)；Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。

（4）按隧道協(xié)議劃分，VPN可劃分為第2層隧道協(xié)議和第3層隧道協(xié)議。PPTP、L2P和L2TP都屬于第2層隧道協(xié)議，IPSec屬于第3層隧道協(xié)議，MPLS跨越第2層和第3層。VPN的實現(xiàn)往往將第2層和第3層協(xié)議配合使用，如L2TP/IPSec。當然，還可根據(jù)具體的協(xié)議來進一步劃分VPN類型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特點

在實際應(yīng)用中，一個高效、成功的VPN應(yīng)具備以下幾個特點：

（1）安全保障

VPN應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

（2）服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

（3）可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

（4）可管理性

從用戶角度和運營商角度應(yīng)可方便地進行管理、維護。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

2.4 VPN的技術(shù)解決方案

VPN有三種解決方案，用戶可以根據(jù)自己的情況進行選擇。這三種解決方案分別是：遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。

（1）如果企業(yè)的內(nèi)部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用AccessVPN。

AccessVPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。AccessVPN包括模擬、撥號、ISDN、數(shù)字用戶線路（xDSL）、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠程工作者或分支機構(gòu)。

（2）如果要進行企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。

越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機構(gòu)、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。

（3）如果是提供B2B之間的安全訪問服務(wù)，則可以考慮EXtranetVPN。

隨著信息時代的到來，各個企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，而如何利用Internet進行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關(guān)鍵問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息

服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。

3 結(jié)語

在過去無論因特網(wǎng)的遠程接入還是專線接入，以及骨干傳輸?shù)膸挾己苄?，QoS更是無法保障，造成企業(yè)用戶寧愿花費大量的金錢去投資自己的專線網(wǎng)絡(luò)或是寧愿花費巨額的長途話費來提供遠程接入?，F(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問題將得到根本改善和解決?？梢韵胂?，當我們消除了所有這些障礙因素后，VPN將會成為我們網(wǎng)絡(luò)生活的主要組成部分。同時，VPN會加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國各地分公司的局域網(wǎng)連起來，從而真正發(fā)揮整個網(wǎng)絡(luò)的作用。VPN對推動整個電子商務(wù)、電子貿(mào)易將起到不可低估的作用。

參考文獻

[1]秦柯.Cisco IPSec VPN實戰(zhàn)指南人民郵電出版社，2012

[2]王占京.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用國防工業(yè)出版社2012

[3]Richard Deal（美）Cisco VPN完全配置指南人民郵電出版2012