VPN技术及应用分析

(铁通内蒙古公司 包头分公司，内蒙古 包头 014010)
摘 要： 文章介绍了VPN技术的基本概念、关键技术、各种隧道协议及其应用领域，最后分析了VPN的 新应用技术VoIP VPN和基于VPN的多播技术。
关键词：VPN;隧道协议;Internet;VoIP VPN;多播
中图分类号：TP393.18  文献标识码：A  文章编 号：1007—6921(2009)07—0196—01

近年来，随着Internet的广泛应用，如何利用Internet的资源来组建企业的虚拟专用网络(V PN)已成为IT业界的一个新热点。VPN是通过一个公共网络建立起来的一个临时的、安全的连 接，它是对企业内部网的扩展。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商 与公司的内部网建立可信的安全连接，并保证数据的安全可靠传输，它从根本上解决了网络 面临的不安全因素的威胁，大大提高了网络数据传输的安全性、可靠性和保密性。

VPN还可以使企业能在价格低廉的共享基础设施上以与专用网络提供的相同策略建立一 种安全的 WAN (广域网) 业务。实现与移动工作人员、分公司、合作伙伴、产品供应商、客 户间的连接，提高与分公司、客户、供应商和合作伙伴开展业务的能力，提高运作效率。
1 VPN的基本概念

在VPN(Virtual Private Network)即虚拟专用网中，(虚拟专用网络是指通过一个私有的通 道在公众网络上所建立的企业网络)任意两个节点之间的连接并没有传统专网所需的端到端 的物理链路，而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明，用户好 像使用一条专用线路进行通信。此企业网络拥有与专用网络相同的安全、管理及功能等特点 ，它替代了传统的拨号访问，利用 Internet 公网资源作为企业专网的延续，节省昂贵的长 途费用VPN 是原有专线式企业专用广域网络的替代方案，VPN 并非改变原有广域网络的一些 特性，是在更为符合成本效益的基础上来达到这些特性。VPN通过安全的数据通道将远程用 户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网 。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公 共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之为虚拟专用网。总之， VPN就是要实现：低成本的安全稳定互通。
1.1 发展VPN的原因

主要有两个原因：①Ip地址匮乏，成本昂贵。②企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间 的传输信息容易被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此，我 们不能担保收到的IP数据报：来自原先要求的发送方（ IP头内的源地址）；包含的是发送 方当初放在其中的原始数据；原始数据在传输中途未被其他人看过。因此需要在企业间建立 安全的数据通道，该通道应具备以下的基本安全要素：提供数据起源地验证；完整性验证； 数据内容的机密性；抗重播保护。而VPN就能有效解决这些安全问题。
1.2 VPN的优势
1.2.1 降低成本:通过公用网来建立VPN 与建立DDN 、F.R 等专线方式相比，可以节省 大量的费用开支。
1.2.2 伸缩性高:用户需要与合作伙伴联网，如果没有VPN,双方的信息技术部门就必须协
商如何在双方之间建立租用线路或帧中继线路，有了VPN之后，只需双方配置安全连接信息 即可。当不再需要联网时，也很容易拆除连接。 
1.2.3 容易扩展:如果用户想扩大VPN 的容量和覆盖范围，只需改变一些配置或增加几台 设备从而扩大服务范围。在远程办公室增加VPN 也很简单，只需进行适当的设备配置即可。 
1.2.4 安全控制主动权: 企业可以利用公网或在局域网内部自己组建管理VPN。由自己负 责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
1.2.5 全方位的安全保护: VPN不仅能在网络与网络之间建立专用通道，保护网关与网关 之间信息传输的安全，而且能在企业内部的用户与网关之间、移动办公用户和网关之间、用 户与用户之间建立安全通道，建立全方位的安全保护，保证网络的安全。 
2 VPN的关键技术
目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术(Tunneling)、加解密技 术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证 技术(Authentication)。
2.1 隧道技术

VPN是在公网中形成企业专用的链路，为了形成这样的链路，采用了所谓的“隧道”技 术。隧道技术是VPN的基本技术，它是分组封装(Capsule)的技术，可以模仿点对点连接技术 ，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的 “隧道”，让数据包通过这条隧道传输。

隧道是一种利用公网设施，在一个网络之上的“网络”传输数据的方法，被传输的数据可以 是另一协议的帧。隧道协议用附加的报头封装帧，附加的报头提供了路由信息，因此封装后 的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到 达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。
隧道封装示意：

AH为封装IP报文的鉴别数据提供了标准格式。它可以保证每个IP报文由可信的源主机发出， 而且在传送途中未被非法更改。

ESP支持IP报文的保密性和数据的完整性。根据用户的要求，该机制可以只对IP报文的传输 层数据段进行加密（如 TCP、UCP、ICMP等），也可以对整个IP报文进行加密。前者称为传 输模式ESP，后者称为隧道模式ESP。 
2.2 加解密技术

加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。用于VPN上的加 密技术由IPSec的ESP (Encapsulationg Security Payload)实现。主要是发送者在发送数据 之前对数据加密，当数据到达接收者时由接收者对数据进行解密的处理过程，算法主要种类 包括：对称加密(单钥加密)算法、不对称加密(公钥加密)算法等。如DES (Data Encryption  Standard)、IDEA (International Data Encryption Algorithm)、RSA(发明者Rivest、Sh amir和Adleman名字的首字符)。

对于对称加密算法，通信双方共享一个密钥，发送方使用该密钥将明文加密成密文，接收方 使用相同的密钥将密文还原成明文。对称加密算法运算速度快。

不对称加密算法是通信双方各使用两个不同的密钥，一个是只有发送方知道的密钥，另一个 则是与之对应的公开密钥，公开密钥不需保密。在通信过程中，发送方用接收方的公开密钥 加密消息，并且可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接 收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验 证发送方身份。
3 VPN的应用

VPN主要应用在企业内部网Intranet、远程访问以企业外部网Extranet，根据应用领域，V PN大致可分为3类：Intranet VPN、Access VPN与Extranet VPN。

Intranet VPN：即企业的总部与分支机构间通过公网构筑的虚拟网。

Access VPN：是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。
Extranet VPN：即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网 来构筑的虚拟网。

现在各公司总部都需要实现和分支机构的互联，使OA系统中的个人办公、公文系统、综合业 务、行政管理、综合信息等资源共享，让公司管理更加统一规范，保证物流、信息流的实时 更新，确保公司市场信息的及时传递，营销方案的及时执行，提高工作效率；对于政府机构 来讲，需要实现和分局的实时联络，保证公文流转的时效性和安全性等等。所以只需在客户 的总部以及各分支机构分别放一台专业VPN路由器，各点通过ADSL或其他方式接入公网INTER NET，就可以为客户构建廉价，稳定的VPN网络。  
4 结论

随着网络技术的发展,计算机网络的安全保密问题日益严峻。虚拟专用网技术对于解决当前 网络通信、资源共享所面临的威胁和提高网络通信的保密性、安全性具有重要的现实意义。