虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（VPN）技術(shù)摘要：虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。關(guān)鍵詞：VPN、虛擬專用網(wǎng)、企業(yè)、遠(yuǎn)程用戶、安全連接。VPN是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)?，F(xiàn)代企業(yè)越來越多的利用Internet資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動。許多企業(yè)趨向于利用Internet來替代私有數(shù)據(jù)網(wǎng)絡(luò)⑴。當(dāng)兩個企業(yè)需要建立Extranet時，不必再協(xié)商申請專線，只要兩者都接人了VPN服務(wù)，就可以直接通訊。出差員工和外地客戶只需要擁有本地或漫游ISP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源。如圖一所示：[2]VPN應(yīng)用示意圖（圖一）一.VPN特點(diǎn)（一）成本低VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，均比專線式的架構(gòu)節(jié)省，故能使網(wǎng)絡(luò)的總成本（TotalCostofOwnership）降低。根據(jù)分析，在LAN（局域網(wǎng)）-to-LAN（局域網(wǎng)）連接時，用VPN較使用專線的成本節(jié)省30%?50%左右；而就遠(yuǎn)程訪問而言，用VPN更能比直接撥入到企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省60%?80%的成本。（二）網(wǎng)絡(luò)架構(gòu)彈性大VPN較專線式的架構(gòu)有彈性，當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)時，VPN可以輕易的達(dá)到目的，VPN（特別是硬件VPN）的平臺具備完整的擴(kuò)展性，大全企業(yè)總部的設(shè)備，小至各分公司，甚至個人撥號用戶，均可被包含于整體的VPN架構(gòu)中，同時，VPN的平臺亦具有對未來廣域網(wǎng)絡(luò)頻寬擴(kuò)充及連接更新架構(gòu)的特性。（三）良好的安全性VPN架構(gòu)中采用了多種安全機(jī)制，如信道（Tunneling）、加密（Encryption）＞認(rèn)證（Authentication）、防火墻（Firewall）及黑客偵防系統(tǒng)（IntrusionDetection）等技術(shù)，通過上述的各項網(wǎng)絡(luò)安全技術(shù)，確保資料在公眾網(wǎng)絡(luò)中傳輸時不至于被竊取，或是即使被竊取了，對方亦無法讀取封包內(nèi)所傳送的資料。（四）管理方便VPN使用了較少的設(shè)備來建立網(wǎng)絡(luò)，使網(wǎng)絡(luò)的管理較為輕松；不論連接的是什么用戶，均需通過VPN隧道的路徑進(jìn)入內(nèi)部網(wǎng)絡(luò)。⑶VPN的應(yīng)用VPN可以有三大應(yīng)用，分別為直接遠(yuǎn)程訪問（RemoteAccess）、Intranet（內(nèi)部互聯(lián)網(wǎng)）及Extranet（外部互聯(lián)網(wǎng)）。（一）遠(yuǎn)程訪問VPN：主要是連接移動用戶（MobileUser）及沒有固定地點(diǎn)的辦事處，通過撥號等上網(wǎng)方式來存取內(nèi)部網(wǎng)絡(luò)資源。這是VPN最廣泛的一個應(yīng)用。例如，學(xué)校內(nèi)部的各種資源（校內(nèi)電子郵件、圖書館資料、數(shù)據(jù)庫、網(wǎng)上教學(xué)、網(wǎng)上選課、視頻點(diǎn)播），校園網(wǎng)的用戶可以從任何地方（家庭、旅店、會場、國內(nèi)外）以任何形式（撥號、ADSL、ISDN、小區(qū)寬帶網(wǎng)等）連接到Internet后，就像在校內(nèi)一樣訪問校內(nèi)各種資源，而資源的管理者也可以通過VPN下的遠(yuǎn)程桌面控制功能，隨時隨地都能安全的對校內(nèi)資源進(jìn)行管理。（二）IntranetVPN:是利用互聯(lián)網(wǎng)將大機(jī)構(gòu)總部和有固定地點(diǎn)的分機(jī)構(gòu)加以連接，成為一個總體網(wǎng)絡(luò)。這對于公司來說是以最低的成本來得到最高的收益的一個很好的途徑。有了IntranetVPN，公司就可以通過Internet這一公共網(wǎng)絡(luò)將公司在各地分支機(jī)構(gòu)的LAN連到公司總部的LAN，以實(shí)現(xiàn)公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費(fèi)用。（三）ExtranetVPN:則是將IntranetVPN的連接再擴(kuò)展到機(jī)構(gòu)的合作伙伴，如供貨商及客戶（或是相關(guān)聯(lián)的部門），以達(dá)到彼此信息共享的目的。⑷三種方案實(shí)現(xiàn)的簡圖如下圖所示：三種VPN實(shí)現(xiàn)方案簡圖VPN基本原理一般來說兩臺具有獨(dú)立IP并連接上互聯(lián)網(wǎng)的計算機(jī)只要知道對方的IP地址，是可以直接同通信的。但是位于這兩臺計算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議，即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺直接和公用連接的計算機(jī)之間建立一個條專用通道。私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過這兩臺計算機(jī)或設(shè)備打包通過公用網(wǎng)絡(luò)的專用通道進(jìn)行傳輸，然后在對端解包，還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對于兩個私有網(wǎng)絡(luò)來說公用網(wǎng)絡(luò)就像普通的通信電纜，而接在公用網(wǎng)絡(luò)上的兩臺計算機(jī)或設(shè)備則相當(dāng)于兩個特殊的線路接頭。由于VPN連接的特點(diǎn)，私有網(wǎng)絡(luò)的通信內(nèi)容會在公用網(wǎng)絡(luò)上傳輸，出于安全和效率的考慮一般通信內(nèi)容需要加密或壓縮。而通信過程的打包和解包工作則必須通過一個雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個私有網(wǎng)絡(luò)之間建立VPN通道是需要一個專門的過程，依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備和協(xié)議組成了一個VPN系統(tǒng)。一個完整的VPN系統(tǒng)一般包括以下三個單元：（一）VPN服務(wù)器端。一臺計算機(jī)或設(shè)備用來接收和驗證VPN連接的請求，處理數(shù)據(jù)打包和解包工作。VPN服務(wù)器端操作系統(tǒng)可以是WinNT4.0/Win2000/WinXP/Win2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)連入Internet，并且擁有一個獨(dú)立的公網(wǎng)IP。（二）VPN客戶端。一臺計算機(jī)或設(shè)備用來發(fā)起VPN連接的請求，也處理數(shù)據(jù)的打包和解包工作。VPN客戶機(jī)端操作系統(tǒng)可以是Win98/WinNT4.0/Win2000/WinXP/Win2003；相關(guān)組件為系統(tǒng)自帶；要求VPN客戶機(jī)已經(jīng)連入Internet。（三）VPN數(shù)據(jù)通道。一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。其實(shí)，所謂的服務(wù)器和客戶端在VPN連接建立之后在通信的角色是一樣的，服務(wù)器和客戶端的區(qū)別在于連接是由誰發(fā)起的而已。[5]使用VPN的優(yōu)點(diǎn)?降低費(fèi)用首先遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請賬戶登陸到Internet，以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；其次企業(yè)可以節(jié)省購買和維護(hù)通訊設(shè)備的費(fèi)用。?增強(qiáng)安全性VPN通過使用點(diǎn)到點(diǎn)協(xié)議用戶級身份驗證的方法進(jìn)行驗證，對于敏感的數(shù)據(jù)，可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)地址物理地進(jìn)行分隔，只有企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源。所有的流量均經(jīng)過加密和壓縮后在網(wǎng)絡(luò)中傳輸，為用戶信息提供了最高的安全性保護(hù)。?高度靈活性用戶不論是在家中、在出差途中、或是在其他任何環(huán)境中，只要該用戶能夠接入Internet，便能夠安全地接入企業(yè)網(wǎng)內(nèi)部。既不受地域限制，也不受接入方式限制。?帶寬用戶可以選擇使用本地服務(wù)供應(yīng)商所能夠提供的任何寬帶接入技術(shù)，不論是ADSL、CableModem，還是在信息化小區(qū)或酒店中使用以太網(wǎng)接入。?網(wǎng)絡(luò)協(xié)議支持VPN支持最常用的網(wǎng)絡(luò)協(xié)議，基于IP、IPX和NetBEUI協(xié)議，網(wǎng)絡(luò)中的客戶機(jī)都可以很容易得使用VPN。這意味著通過VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。?IP地址安全因為VPN是加密的，VPN數(shù)據(jù)包在Internet中傳輸時，Internet上的用戶只看到公用的IP地址，看不到VPN使用的協(xié)議。因此，利用Internet作為傳輸載體，采用VPN技術(shù)，實(shí)現(xiàn)企業(yè)網(wǎng)寬帶遠(yuǎn)程訪問是一個非常理想的企業(yè)網(wǎng)遠(yuǎn)程寬帶訪問解決方案。當(dāng)然，目前VPN還存在一些缺陷。VPN協(xié)議還未完全標(biāo)準(zhǔn)化而各VPN產(chǎn)品廠商對VPN的認(rèn)識也不盡相同，產(chǎn)品門的互通性還有待解決。⑹總之，隨著虛擬運(yùn)營商進(jìn)入VPN服務(wù)領(lǐng)域，以及更多的電信業(yè)務(wù)運(yùn)營的ISP浮出水面，國內(nèi)企業(yè)對VPN的認(rèn)識在逐步加深?，F(xiàn)在，國內(nèi)的VPN應(yīng)用已經(jīng)出現(xiàn)向銀行、保險、運(yùn)輸、大型制造與連鎖企業(yè)迅速擴(kuò)散的趨勢，這既是一種技術(shù)的跟進(jìn)，也是市場發(fā)展的必然。VPN可以說是這種通信技術(shù)上的一種極為重要的突破，也使得Internet這種大眾化的又不安全的網(wǎng)絡(luò)發(fā)揮了重要的作用，然而千萬要注意保安性的問題，這樣，VPN就能實(shí)現(xiàn)你能所期望的快捷，安全的通信。⑺在不遠(yuǎn)的將來，虛擬專用網(wǎng)技術(shù)將成為廣域網(wǎng)建設(shè)的最佳解決方案。參考文獻(xiàn)：［1］楊小平等.《Internet應(yīng)用基礎(chǔ)教程》［2］北京安泰網(wǎng)/zhishipuji/knowledge/vpn.htm［3］王達(dá)，等.虛擬專用網(wǎng)(VPN)精解［M］北京：清華大學(xué)出版社，2004.楊永斌.VPN技術(shù)應(yīng)用研究［J］.計算機(jī)科學(xué)，2