浅谈VPN网络技术及在企业中的应用（海挺,张建宏）

［关键词］VPN 技术 远程通讯 移动办公 网络安全

1 引言

由于企业自身发展和开展业务的需要，特别是有异地分支机构或分公司的大型企业，所以异地通讯已经成为公司与分支机构间相互联系必不可少的办公条件，企业必须采用一个可靠性高、扩展性强的远程访问解决方案。通常企业的选择一种是自己专门负责购买，安装和维护企业modem 池和专用网络基础设施；一种雇佣外部公司负责购买，安装和维护modem 池和远程通讯网络基础设施。显然，从费用，可靠性，管理和便于连接等几方面来看，这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。因此，选择一种基于Internet 技术的廉价方案取代企业花费在modem 池和专用网络基础设施上的投资就显得极为重要。

VPN 技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。另外随着Internet 网络普通及智能型移动装备也越来越多地得到应用，笔记本电脑、PDA、智能手机等产品已经成为必备的外出工具了，如今移动办公已成新趋势，利用VPN 技术解决企业远程办公和移动办公已成为迫切要求。

2 VPN 技术简介

2.1 什么是VPN

VPN 的英文全称是“Virtual Private Network”，即“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线，依靠ISP（Internet 服务提供商）和NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。

VPN 的核心就是在利用公共网络建立虚拟私有网。

2.2 VPN技术原理

VPN 通过公众IP 网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话费用开支，并且提供了安全的端到端的数据通讯。

2.3 VPN 工作方式

常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN 中，PPP 数据包流是由一个LAN 上的路由器发出，通过共享IP 网络上的隧道进行传输，再到达另一个LAN 上的路由器。

这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN 中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？

建立隧道有两种主要的方式： 客户启动（ Client －Initiated）或客户透明（Client-Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP 可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID 和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP 没有参与连接一样。

另一方面，如果希望隧道对客户透明，ISP 的POPs 就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID 和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

VPN 技术是路由器支持的重要技术之一，目前在交换机，防火墙设备或一部分操作系统软件里也都支持VPN 功能，虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

3 VPN 的分类

VPN 的分类有多种方式。不同的生产厂家在销售它们的VPN产品时使用了不同的分类方式，它们主要是产品的角度来划分的。不同的ISP 在开展VPN 业务时也推出了不同的分类方式，他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法，主要是根据自己的需求来进行的。下面简单介绍从不同的角度对VPN 的分类。

(1)按接入方式划分

专线VPN：为已经通过专线接入ISP 边缘路由器的用户提供的VPN 实现方案。

拨号VPN(又称VPDN)：指为利用拨号PSTN 或ISDN 接入ISP的用户提供的VPN 业务。

(2)按协议类型划分

第二层隧道协议：点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)。

第三层隧道协议：通用路由封装协议(GRE)、IP 安全(IPSec)。

MPLS 隧道协议可以看成在第二层和第三层之间。

(3)按VPN 的发起方式划分

服务器发起(也称客户透明方式或基于网络的)：在公司中心部门和ISP 处(称为POP)安装VPN 软件，客户无须安装任何特殊软件。

客户发起(也称基于客户的)：VPN 服务提供的起始点和终止点是面向客户的，其内部技术构成、实施和管理对VPN 客户可见。

(4)按目前运营商所开展的类型划分

拨号VPN 业务(VPDN)：就是第一种划分方式中的VPDN。虚拟租用线(VLL)：是对传统的租用线业务的仿真，以IP 网络对租用线进行模拟，而这样一条虚拟租用线两端的用户看来，该虚拟租用线等价于过去的租用线。

虚拟专用路由网(VPRN)业务：包括两类，一是使用传统的VPN 协议，如IPSec、GRE 等实现的VPRN。另外一种是MPLS 方式的VPN。

(5)根据VPN 所起的作用，可以将VPN 分为三类：

VPDN(Virtual Private Dial Network)

远程用户或移动雇员和公司内部网之间的VPN，称为VPDN。用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NetworkAccess Server)，发出PPP 连接请求，NAS 收到呼叫后，在用户和NAS 之间建立PPP 链路，然后，NAS 对应用户进行身份验证，确定是合法用户，就启动VPDN 功能，访问公司内部资源。

Intranet VPN

在公司远程分支机构的LAN 和公司密部LAN 之间的VPN。通过Internet 公共网络将公司在各地分支机构的LAN 连到公司总部的LAN，以便公司内部的资源共享、文件传递等。

Extranet VPN

在供应商、商业合作伙伴的LAN 和公司的LAN 之间的VPN。由于不同公司网络环境的差异性和用户的多样性，该产品必须能兼容不同的操作平台和协议， 并设置特定的访问控制表ACL(Access Control List)，根据访问者的身份、网络地址等参数来确定他的访问权限，开放部分资源而非全部资源给外联网的用户。

4 VPN 的特点

4.1 安全保障

虽然实现VPN 的技术和方式很多，但所有的VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

4.2 服务质量保证（QoS）

VPN 为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大，要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

4.3 可扩充性和灵活性

VPN 能够支持通过Intranet 和Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.4 可管理性

在VPN 管理方面，VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS 管理等内容。

5 VPN 技术的应用

下面以黄河设计公司为例，简要介绍VPN 技术在企业中的部署和应用情况。

黄河设计公司利用Cisco ASA5400 综合防火墙集成的VPN 功能，实现了利用VPN 技术达到的远程办公的目的，如图2 所示。

公司VPN 系统的投入运行，真正实现了公司外业人员和移动用户通过互联网实时访问公司内网资源的需求。

通了VPN 系统进行远程办公和访问公司内部网络，极大提高公司的快速响应能力，加强现场和总部之间的协同协作，提升客户服务水平，加快单位内部运行。很多身在各项目设代部或者异国他乡的员工也很好的利用了VPN 网络技术，把在当地的工作和生活情况发布在公司的内部网站上，在第一时间获取公司信息，并把新的工作成绩和风土人情展现给了全公司的同事。

公司员工即使不在公司办公楼，只要能够接通国际互联网（Internet），就可以安全地访问公司的内部网络，完全象置身于公司办公楼之内的感觉，可以充分满足公司项目设代部、项目监理部、分公司、办事处、下属机构、出差人员、家庭办公人员的需要，从而保证了公司信息的上传下达，为公司员工的协同办公、网上交流提供了稳定、安全、实时的网络办公环境。

6 结语

VPN 技术有着巨大的发展空间和应用前景，将会逐渐成为网络远程办公的主要组成部分。VPN 技术将成为广域网建设的最佳解决方案之一，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性。同时，VPN 会加快企业网的建设步伐，使得集团公司不仅仅只是建设内部局域网，而且能够很快地把全国乃至全球各地的分公司局域网连起来，从而真正发挥整个网络的作用。未来几年，VPN 对推动整个电子商务、电子政务将起到不可低估的作用。

来源：《黄河规划设计》2009年第4期