摘要：本文闡述了VPN（VirtualPrivateNetwork）的要領和關鍵技術，介紹了VPN技術的發(fā)展過程。對比了基于幀中繼的VPN，基于ATM的VPN，基于口的VPN和MPLS-VPN技術的優(yōu)缺點。安全問題是VPN的核心問題，VPN使用四個方面的技術保證了通信的安全性，這四項技術分別是隧道技術（Tuunneling、加解密技術（EncryptionDecryption）ryptionDecryption）、密鑰管理技術（KeyManagement）、用戶與設備身份認證技術（Authenti-cation）。隧道技術為用戶提供無縫的（Seamless）、安全的、端到端的連接服務，確保信息資源的安全。VPN技術的關鍵是隧道技術。本文還詳盡描述了IPSec協(xié)議的原理，分析了現(xiàn)有的IP-Sec協(xié)議族。把IPSec協(xié)議分成了IKE、AH、ESP協(xié)議三個部分，并且描述了各個協(xié)議模塊以及它們之間的關系。其中介紹了安全聯(lián)盟（SA）的要領和作用。最后通過與傳統(tǒng)網(wǎng)絡的比較，分析了VPN的特點，提出了基于VPN的連鎖企業(yè)網(wǎng)的解決方案。

關鍵詞：虛擬專用網(wǎng)；IPSec；MPLS（多協(xié)議標記交換）；隧道技術；連鎖企業(yè)網(wǎng)

1、引言

隨著經(jīng)濟全球化和市場競爭的日益激烈，信息化管理將成為連鎖企業(yè)參與現(xiàn)代競爭的必要手段之一。連鎖企業(yè)各營業(yè)部的跨地區(qū)的地理分布以及其眾多的、變化的供貨商，成為其網(wǎng)絡化信息管理的主要難題。傳統(tǒng)的方法是采用專用網(wǎng)，但由于專用網(wǎng)的專用性和嚴格性，其費用也非常昂貴。而且一旦建成專用網(wǎng)，要在其上增加新的站點、合作伙伴或獲得廣泛的國際連接都將需要巨大的工程量和投入。另外，專用網(wǎng)的升級也比較復雜。隨著Internet的不斷發(fā)展，由于其方便快捷，于是利用Inter-net這樣的公共網(wǎng)絡來傳輸私有數(shù)據(jù)就可以節(jié)省大量費用。但是TCP/IP協(xié)議沒有任何的安全性，所有的數(shù)據(jù)都以明文的形式在Internet上傳輸，數(shù)據(jù)隨時可能會被網(wǎng)絡入侵者竊取或修改，這對于一個企業(yè)來說是極其危險的。因此，數(shù)據(jù)在傳輸過程中必須被加密，接收方和發(fā)送方通過一個虛擬的安全隧道來傳輸信息，這就是虛擬專用網(wǎng)（VPN）技術。

2、VPN技術

2.1VPN簡介

虛擬專用網(wǎng)（virtual Private Network，VPN）是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務”。VPN極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可靠性。VPN可分為三大類：（1）企業(yè)各部門與遠程分支之間的IntranetVPN；（2）企業(yè)網(wǎng)與遠程（移動）雇員之間的遠程訪問（RemoteAccess）VPN；（3）企業(yè)與合作伙伴、客戶、供應商之間的Extranet VPN。

對于VPN的定義有很多說法，但是都基于這樣一種思想：VPN利用公共網(wǎng)絡基礎設施，通過一定的技術手段，達到類似私有專網(wǎng)的數(shù)據(jù)安全傳輸。從定義上看，VPN首先是虛擬的，但是，VPN同時又具有專線的數(shù)據(jù)傳輸功能，因為VPN能夠像專線一樣在公共網(wǎng)絡上處理自己公司的信息。VPN在類型與應用方式上有訪問虛擬專網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）之分。

2.2VPN的要求

2.2.1安全性

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranct VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可信的認證機制。

2.2.2性能

VPN要發(fā)展其性能至少不應該低于傳統(tǒng)方法。盡管網(wǎng)絡速度不斷提高，但在Intcrnet時代，隨著電子商務活動的激增，網(wǎng)絡擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應用的性能，又不會“餓死”，低優(yōu)先級的應用。

2.2.3管理問題

由于網(wǎng)絡設施、應用不斷增加，網(wǎng)絡用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復雜的網(wǎng)絡管理，網(wǎng)絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區(qū)分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設備。

2.2.4互操作

在Extranet VPN中，企業(yè)要與不同的客戶及供應商建立聯(lián)系，VPN解決方案也會不同。因此，企業(yè)的VPN產(chǎn)品應該能夠同其他廠家的產(chǎn)品進行互操作。這就要求所選擇的VPN方案應該是基于工業(yè)標準和協(xié)議的。這些協(xié)議有IPSec、點到點隧道協(xié)議（PointtoPointTunnelingProtocol，PPTP）、第二層隧道協(xié)議（Layer2 Tunneling Protocol，L2TP）等。

2.3VPN的實現(xiàn)技術

VPN實現(xiàn)的兩個關鍵技術是隧道技術和加密技術，同時QoS技術對VPN的實現(xiàn)也至關重要。

2.3.1VPN訪問點模型

首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。

2.3.2隧道技術

隧道技術簡單的說就是：原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現(xiàn)隧道技術的有一般路由封裝（Generic Rout-ing Encapsulation，GRE）L2TP和PPTP。

2.3.3加密技術

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強度比較高，可用于敏感的商業(yè)信息。

2.3.4QoS技術

通過隧道技術和加密技術，已經(jīng)能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足企業(yè)的要求，這就要加入QoS技術。實行QoS應該在主機網(wǎng)絡中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。

4、結束語

基于公共網(wǎng)的VPN通過隧道技術、數(shù)據(jù)加密技術以及QoS機制，使得企業(yè)能夠降低成本、提高效率、增強安全性。VPN產(chǎn)品從第一代：VPN路由器、交換機，發(fā)展到第二代的VPN集中器，性能不斷得到提高。在網(wǎng)絡時代，企業(yè)發(fā)展取決于是否最大限度地利用網(wǎng)絡。VPN將是企業(yè)的最終選擇。