摘要：在介紹VPN技術(shù)的概念、工作原理、體系結(jié)構(gòu)的基礎(chǔ)上,對這項技術(shù)的發(fā)展、組網(wǎng)方式、市場前景、所應(yīng)用的領(lǐng)域及典型應(yīng)用做了詳細(xì)分析和闡述。

    關(guān)鍵詞：VPN 虛擬 封裝 加密 隧道技術(shù)

1 VPN的概念

VPN的英文Virtual Private Network的縮寫,可文譯為虛擬專用網(wǎng)。VPN是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施,通過“隧道”技術(shù)等手段達(dá)到類似私有專網(wǎng)的數(shù)據(jù)安全傳輸。VPN具有虛擬特點：VPN并不是某個公司專有的封閉線路或者是租用某個網(wǎng)絡(luò)服務(wù)商提供的封閉線路,但同時VPN又具有專線的數(shù)據(jù)傳輸功能,因為VPN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。VPN可以說是一種網(wǎng)絡(luò)外包,企業(yè)不再追求擁有自己的專有網(wǎng)絡(luò),而是將對另外一個公司的訪問任務(wù)部分或全部外包給一個專業(yè)公司去做。這類專業(yè)公司的典型代表是電信企業(yè)。VPN具有以下優(yōu)點：

（1）降低成本：企業(yè)不必租用長途專線建設(shè)專網(wǎng),不必大量的網(wǎng)絡(luò)維護人員和設(shè)備投資。利用現(xiàn)有的公用網(wǎng)組建的Intranet,要比租用專線或鋪設(shè)專線要節(jié)省開支,而且當(dāng)距離越遠(yuǎn)時節(jié)省的越多。如：某企業(yè)的北京與紐約分部之間的連接,不太可能自鋪專線：當(dāng)一個遠(yuǎn)程用戶在紐約想要連到北京的Intranet,用拔號訪問時,花的是國際長途話費;而用VPN技術(shù)時,只需在紐約和北京分別連接到當(dāng)?shù)氐腎nternet就實現(xiàn)了互聯(lián),雙方花的都是市話費。

    （2）容易擴展：網(wǎng)絡(luò)路由設(shè)備配置簡單,無需增加太多的設(shè)備,省時省錢。對于發(fā)展很快的企業(yè)來說,VPN就更是不可不用了。如果企業(yè)組建自己的專用網(wǎng),在擴展網(wǎng)絡(luò)分支時,考慮到網(wǎng)絡(luò)的容量,架設(shè)新鏈路,增加互聯(lián)設(shè)備,升級設(shè)備等;而實現(xiàn)了VPN就方便多了,只需連接到公用網(wǎng)上,對新加入的網(wǎng)絡(luò)終端在邏輯上進行設(shè)置,也不需要考慮公用網(wǎng)的容量問題、設(shè)備問題等。

（3）完全控制主動權(quán)：VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手可。例如,企業(yè)可以把撥號訪問交給NSP去做,由自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

VPN通過采用“隧道”技術(shù),并在Internet或國際互聯(lián)網(wǎng)工程工作組（IETF）制定的Ipsec標(biāo)準(zhǔn)統(tǒng)一下,在公眾網(wǎng)可形成企業(yè)的安全、機密、順暢的專用鏈路。

2 VPN的工作原理

圖1比較了常規(guī)的直接撥號連接與虛擬專網(wǎng)連接的異同點。在前一種情形可,PPP（點對點協(xié)議）數(shù)據(jù)包流是通過專用線路傳輸?shù)摹Ｔ赩PN可,PPP數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出,通過共享IP網(wǎng)絡(luò)上的隧道進行傳輸,再到達(dá)另一個LAN上的路由器。這兩者的關(guān)鍵不同點是隧道代替了實在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。

基于IP的VPN基本上歸結(jié)為兩類：撥號VPN（一般稱為VDPN,即虛擬撥號專網(wǎng)）和專線VPN（Dedicated VPN,即專線的VPN）,完整的VPN解決方案通常把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。

    撥號VPN（即VDPN）為移動用戶和遠(yuǎn)程辦公用戶提供了對公司企業(yè)網(wǎng)的遠(yuǎn)程訪問。這是當(dāng)今最常見的一種VPN部署形式,主要是基于L2F協(xié)議。VDPN允許多個不同領(lǐng)域的用戶都能通過公共網(wǎng)絡(luò)或者Internet或其他公用網(wǎng)絡(luò)獲得安全的通路到他們的企業(yè)內(nèi)部網(wǎng)絡(luò)。

提供私有撥號網(wǎng)絡(luò)服務(wù)的服務(wù)提供商可以用單個電話號碼提供給所有的用戶組織。訪問者可以用撥號網(wǎng)絡(luò)進入訪問服務(wù)器,訪問服務(wù)器通過PPP用戶名來區(qū)別訪問者。PPP用戶名用于建立一個到企業(yè)網(wǎng)關(guān)的連接,當(dāng)企業(yè)網(wǎng)關(guān)鑒別了用戶之后,訪問集成器建立一個通過網(wǎng)絡(luò)提供商的骨干網(wǎng)、到企業(yè)風(fēng)部網(wǎng)關(guān)的安全隧道。

PPP協(xié)議同時也被傳輸?shù)絻?nèi)部網(wǎng)關(guān),在內(nèi)部網(wǎng)關(guān)的本地完全策略和本地認(rèn)證授權(quán)決定了用戶通過內(nèi)部網(wǎng)關(guān)之后對內(nèi)部網(wǎng)絡(luò)的訪問級別。

撥號VPN的原理如下圖2所示。服務(wù)提供商管理MODEM池和確保可靠的連通性,而商業(yè)公司管理某企業(yè)內(nèi)部網(wǎng)的用戶認(rèn)證。

專線VPN以多個用戶和比撥號VPN高速的連接為特片。有許多類型的專線VPN業(yè)務(wù),但最常見的是在IP網(wǎng)上建立的IP VPN業(yè)務(wù),如圖3所示。專線VPN提供了公司總部與公司分部、遠(yuǎn)程分支辦事處以及Extranet用戶的虛擬點對點連接。

虛擬專用網(wǎng)的體系結(jié)構(gòu)有多種形式,分類示意圖如圖4。

    模擬目前國內(nèi)公眾多媒體通信網(wǎng)的狀況;在國內(nèi)采用VPN組網(wǎng)一般分為三類：

（1）ATM PVC組建方式,即利用電信部分提供的ATM PVC來組建用戶的專用網(wǎng)。這種專用網(wǎng)的通信速率快,安全性高,支持多媒體通信。

（2）IP Tunneling組建方式。即在多媒體通信網(wǎng)的IP層組建專用網(wǎng)。其傳輸速率不能完全保證,不支持多媒體通信;使用國際通行的加密算法,安全性好;這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。

（3）Dial-up Access組網(wǎng)方式（VDPN）。這是一種撥號方式的專用網(wǎng)組建方式,可以利用已遍布全國的撥號公網(wǎng)來組建專用網(wǎng),其接入地點在國內(nèi)不限,上網(wǎng)可節(jié)省長途撥號的費用。對于流動性強、分支機構(gòu)多、通信量小的用戶而言,這是一種非常理想的組網(wǎng)方式。它可以將用戶內(nèi)部網(wǎng)的界限,從單位的地理所在延伸到全國范圍。

2.1 撥號VPN（VDPN）

撥號VPN又可分為客戶發(fā)起的（Client-Initiated）VPN和NAS發(fā)起的VPN。

2.1.1 客戶發(fā)起的VPN

在客戶發(fā)起的VNP中,用戶撥號到本地的POP遠(yuǎn)程,由客戶來發(fā)出請求并建立到某企業(yè)內(nèi)部網(wǎng)的加密隧道。為了建立一個安全的連接,客戶端運行Ipsec軟件,客戶軟件與公司內(nèi)部網(wǎng)絡(luò)防火墻上的Ipsec進程通信,或者直接與支持Ipsec的路由器通信,確保連接的安全性。這種形式的VPN優(yōu)點是：

（1）遠(yuǎn)程用戶能夠同時與多個Home Gateway建立IP Tunnel。

（2）遠(yuǎn)程用戶不必重新?lián)芴?就可以進入另一網(wǎng)絡(luò)。

（3）VPN的建立和管理與ISP無關(guān)。