摘? 要: 在介紹VPN技術(shù)的概念、工作原理、體系結(jié)構(gòu)的基礎(chǔ)上，對(duì)這項(xiàng)技術(shù)的發(fā)展、組網(wǎng)方式" title="組網(wǎng)方式">組網(wǎng)方式、市場(chǎng)前景、所應(yīng)用的領(lǐng)域及典型應(yīng)用做了詳細(xì)分析和闡述。

　　關(guān)鍵詞: VPN? 虛擬? 封裝? 加密? 隧道技術(shù)

?

1 VPN的概念

　　VPN是英文Virtual Private Network的縮寫，中文譯為虛擬專用網(wǎng)" title="虛擬專用網(wǎng)">虛擬專用網(wǎng)。VPN是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過(guò)“隧道”技術(shù)等手段達(dá)到類似私有專網(wǎng)" title="專網(wǎng)">專網(wǎng)的數(shù)據(jù)安全傳輸。VPN具有虛擬的特點(diǎn):VPN并不是某個(gè)公司專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路，但同時(shí)VPN又具有專線的數(shù)據(jù)傳輸功能，因?yàn)閂PN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。VPN可以說(shuō)是一種網(wǎng)絡(luò)外包，企業(yè)不再追求擁有自己的專有網(wǎng)絡(luò)，而是將對(duì)另外一個(gè)公司的訪問(wèn)任務(wù)部分或全部外包給一個(gè)專業(yè)公司去做。這類專業(yè)公司的典型代表是電信企業(yè)。 ? VPN具有以下優(yōu)點(diǎn):

　　(1)降低成本:企業(yè)不必租用長(zhǎng)途專線建設(shè)專網(wǎng)，不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資。利用現(xiàn)有的公用網(wǎng)組建的Intranet，要比租用專線或鋪設(shè)專線要節(jié)省開支，而且當(dāng)距離越遠(yuǎn)時(shí)節(jié)省的越多。如:某企業(yè)的北京與紐約分部之間的連接，不太可能自鋪專線;當(dāng)一個(gè)遠(yuǎn)程用戶在紐約想要連到北京的Intranet，用撥號(hào)訪問(wèn)時(shí)，花的是國(guó)際長(zhǎng)途話費(fèi);而用VPN技術(shù)時(shí)，只需在紐約和北京分別連接到當(dāng)?shù)氐腎nternet就實(shí)現(xiàn)了互聯(lián)，雙方花的都是市話費(fèi)。????????

　　(2)容易擴(kuò)展:網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單，無(wú)需增加太多的設(shè)備，省時(shí)省錢。對(duì)于發(fā)展很快的企業(yè)來(lái)說(shuō)，VPN就更是不可不用了。如果企業(yè)組建自己的專用網(wǎng)，在擴(kuò)展網(wǎng)絡(luò)分支時(shí)，要考慮到網(wǎng)絡(luò)的容量，架設(shè)新鏈路，增加互聯(lián)設(shè)備，升級(jí)設(shè)備等;而實(shí)現(xiàn)了VPN就方便多了，只需連接到公用網(wǎng)上，對(duì)新加入的網(wǎng)絡(luò)終端在邏輯上進(jìn)行設(shè)置，也不需要考慮公用網(wǎng)的容量問(wèn)題、設(shè)備問(wèn)題等。

　　(3)完全控制主動(dòng)權(quán):VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手中。例如，企業(yè)可以把撥號(hào)訪問(wèn)交給NSP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

VPN通過(guò)采用“隧道”技術(shù)，并在Internet或國(guó)際互聯(lián)網(wǎng)工程工作組(IETF)制定的Ipsec標(biāo)準(zhǔn)統(tǒng)一下，在公眾網(wǎng)中形成企業(yè)的安全、機(jī)密、順暢的專用鏈路。

2 VPN的工作原理

　　圖1比較了常規(guī)的直接撥號(hào)連接與虛擬專網(wǎng)連接的異同點(diǎn)。在前一種情形中，PPP(點(diǎn)對(duì)點(diǎn)協(xié)議)數(shù)據(jù)包流是通過(guò)專用線路傳輸?shù)摹Ｔ赩PN中，PPP數(shù)據(jù)包流是由一個(gè)LAN上的路由器發(fā)出，通過(guò)共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸，再到達(dá)另一個(gè)LAN上的路由器。這兩者的關(guān)鍵不同點(diǎn)是隧道代替了實(shí)在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。

?

　　基于IP的VPN基本上歸結(jié)為兩類:撥號(hào)VPN(一般稱為VDPN，即虛擬撥號(hào)專網(wǎng))和專線VPN(Dedicated VPN，即專線的VPN)，完整的VPN解決方案通常把撥號(hào)VPN和專線VPN組合在一起來(lái)滿足所有用戶的使用需求。

　　撥號(hào)VPN(即VDPN)為移動(dòng)用戶和遠(yuǎn)程辦公用戶提供了對(duì)公司企業(yè)網(wǎng)的遠(yuǎn)程訪問(wèn)。這是當(dāng)今最常見的一種VPN部署形式，主要是基于L2F協(xié)議。VDPN允許多個(gè)不同領(lǐng)域的用戶都能通過(guò)公共網(wǎng)絡(luò)或者Internet或其他公用網(wǎng)絡(luò)獲得安全的通路到他們的企業(yè)內(nèi)部網(wǎng)絡(luò)。

　　提供私有撥號(hào)網(wǎng)絡(luò)服務(wù)的服務(wù)提供商" title="服務(wù)提供商">服務(wù)提供商可以用單個(gè)電話號(hào)碼提供給所有的用戶組織。訪問(wèn)者可以用撥號(hào)網(wǎng)絡(luò)進(jìn)入訪問(wèn)服務(wù)器，訪問(wèn)服務(wù)器通過(guò)PPP用戶名來(lái)區(qū)別訪問(wèn)者。PPP用戶名是用于建立一個(gè)到企業(yè)網(wǎng)關(guān)的連接，當(dāng)企業(yè)網(wǎng)關(guān)鑒別了用戶之后，訪問(wèn)集線器建立一個(gè)通過(guò)網(wǎng)絡(luò)提供商的骨干網(wǎng)、到企業(yè)內(nèi)部網(wǎng)關(guān)的安全遂道。

　　PPP協(xié)議同時(shí)也被傳輸?shù)絻?nèi)部網(wǎng)關(guān)，在內(nèi)部網(wǎng)關(guān)的本地安全策略和本地認(rèn)證授權(quán)決定了用戶通過(guò)內(nèi)部網(wǎng)關(guān)之后對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)級(jí)別。

　　撥號(hào)VPN的原理如下圖2所示。服務(wù)提供商管理MODEM池和確保可靠的連通性，而商業(yè)公司管理其企業(yè)內(nèi)部網(wǎng)的用戶認(rèn)證。

?

?

　　專線VPN以多個(gè)用戶和比撥號(hào)VPN高速的連接為特征。有許多類型的專線VPN業(yè)務(wù)，但最常見的是在IP網(wǎng)上建立的IP VPN業(yè)務(wù)，如圖3所示。專線VPN提供了公司總部與公司分部、遠(yuǎn)程分支辦事處以及Extranet用戶的虛擬點(diǎn)對(duì)點(diǎn)連接。

?

?

　　虛擬專用網(wǎng)的體系結(jié)構(gòu)有多種形式，分類示意圖如圖4。

?

?

　　根據(jù)目前國(guó)內(nèi)公眾多媒體通信網(wǎng)的狀況;在國(guó)內(nèi)采用VPN組網(wǎng)一般分為三類:

　　(1)ATM PVC 組建方式，即利用電信部門提供的ATM PVC來(lái)組建用戶的專用網(wǎng)。這種專用網(wǎng)的通信速率快，安全性高，支持多媒體通信。

　　(2)IP Tunneling組建方式。即在多媒體通信網(wǎng)的IP層組建專用網(wǎng)。其傳輸速率不能完全保證，不支持多媒體通信;使用國(guó)際通行的加密算法，安全性好;這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。

　　(3)Dial-up Access組網(wǎng)方式(VDPN)。這是一種撥號(hào)方式的專用網(wǎng)組建方式，可以利用已遍布全國(guó)的撥號(hào)公網(wǎng)來(lái)組建專用網(wǎng)，其接入地點(diǎn)在國(guó)內(nèi)不限，上網(wǎng)可節(jié)省長(zhǎng)途撥號(hào)的費(fèi)用。對(duì)于流動(dòng)性強(qiáng)、分支機(jī)構(gòu)多、通信量小的用戶而言，這是一種非常理想的組網(wǎng)方式。它可以將用戶內(nèi)部網(wǎng)的界限，從單位的地理所在延伸到全國(guó)范圍。

2.1 撥號(hào)VPN(VDPN)

　　撥號(hào)VPN又可分為客戶發(fā)起的(Client-Initiated)VPN和NAS發(fā)起的VPN。

2.1.1 客戶發(fā)起的VPN

　　在客戶發(fā)起的VPN中，用戶撥號(hào)到本地的POP遠(yuǎn)程，由客戶來(lái)發(fā)出請(qǐng)求并建立到其企業(yè)內(nèi)部網(wǎng)的加密隧道。為了建立一個(gè)安全的連接，客戶端運(yùn)行IPsec軟件，客戶軟件與公司內(nèi)部網(wǎng)絡(luò)防火墻上的IPsec進(jìn)程通信，或者直接與支持IPsec的路由器通信，確保連接的安全性。這種形式的VPN優(yōu)點(diǎn)是:

　　(1)遠(yuǎn)程用戶能夠同時(shí)與多個(gè)Home Gateway建立 IP Tunnel。

????(2)遠(yuǎn)程用戶不必重新?lián)芴?hào)，就可以進(jìn)入另一網(wǎng)絡(luò)。

????(3)VPN的建立和管理與ISP無(wú)關(guān)。

　　缺點(diǎn)是:因?yàn)檫@種加密的VPN隧道對(duì)于服務(wù)提供商而言是透明的，在客戶端需要專用的撥號(hào)軟件，而且管理移動(dòng)PC上IPsec客戶端軟件也是麻煩的事情。因此，大部分的服務(wù)提供商會(huì)選擇VPN隧道作為其網(wǎng)絡(luò)一部分的形式，如下面所討論的那樣。

2.1.2? NAS發(fā)起的VPN

　　在NAS發(fā)起的VPN中，由服務(wù)提供商POP中的NAS請(qǐng)求并創(chuàng)建到客戶公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)協(xié)議來(lái)建立到客戶Home Gateway的安全隧道。L2TP是不久前建立的標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)結(jié)合了Cisco公司的L2F和微軟公司的PPTP協(xié)議。對(duì)于Home Gateway來(lái)說(shuō)，L2F或L2TP隧道表現(xiàn)得似乎用戶是直接撥號(hào)到公司內(nèi)部網(wǎng)上。

　　在這種撥號(hào)VPN形式中，用戶認(rèn)證分兩級(jí)處理。當(dāng)用戶撥入時(shí)，首先由服務(wù)提供商N(yùn)AS執(zhí)行基本的認(rèn)證，這個(gè)認(rèn)證僅僅識(shí)別出用戶的公司身份。然后，NAS打開到用戶公司Home Gateway的隧道，由Home Gateway來(lái)執(zhí)行用戶級(jí)的認(rèn)證功能。

這種VPN形式有若干優(yōu)點(diǎn):對(duì)撥號(hào)用戶透明，用戶PC上無(wú)需特殊的客戶軟件，因而管理簡(jiǎn)單化;由于是由服務(wù)提供商初始化隧道，他們可以提供優(yōu)質(zhì)的撥號(hào)VPN服務(wù)，如通過(guò)預(yù)留Modem端口，優(yōu)先的數(shù)據(jù)傳送等手段保證撥號(hào)VPN用戶得到所需的服務(wù);NAS可以同時(shí)支持Internet或其他公用網(wǎng)絡(luò)和VPN服務(wù);由于到某一目的的通信量全部通過(guò)單一隧道傳送，大規(guī)模部署將更具有可擴(kuò)充性和可管理性。

這種VPN形式存在的缺點(diǎn)有:

　　(1)當(dāng)遠(yuǎn)程用戶進(jìn)入其它網(wǎng)絡(luò)時(shí)，需要重新?lián)芴?hào)，并且只能以另一用戶名登錄。

　　(2)遠(yuǎn)程用戶不能同時(shí)進(jìn)入多個(gè)網(wǎng)絡(luò)。

2.2 專線VPN

2.2.1 基于IP Tunnel的專線VPN

　　VPN與常規(guī)的直接撥號(hào)網(wǎng)絡(luò)不同，在VPN中，PPP數(shù)據(jù)包流不是通過(guò)專用線路，而是通過(guò)共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸。這兩者的關(guān)鍵不同點(diǎn)是隧道代替了實(shí)際的專用線路。如何形成VPN隧道呢?

　　隧道是由隧道協(xié)議形成的，這與流行的各種網(wǎng)絡(luò)是依靠相應(yīng)的網(wǎng)絡(luò)協(xié)議完成通信沒有區(qū)別。為了傳輸來(lái)自不同網(wǎng)絡(luò)的數(shù)據(jù)包，最普遍使用的方法是先把各種網(wǎng)絡(luò)協(xié)議(IP、IPX和AppleTalk等)封裝到PPP里，再把這整個(gè)PPP數(shù)據(jù)包裝入隧道協(xié)議里。隧道協(xié)議一般封裝在IP協(xié)議中，但也可以是 ATM 或 Frame Relay。由于隧道搭載的是PPP數(shù)據(jù)包(第二層)，所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中(3Com公司的VTP就是這種隧道協(xié)議)，由于隧道直接搭載第三層協(xié)議的數(shù)據(jù)包，所以稱為“第3層隧道”。

2.2.2 基于Vitual Circuit(虛擬電路)的VPN

　　服務(wù)提供商可以提供虛擬電路來(lái)建立IP VPN服務(wù)。用PVC在幀中繼(Frame Relay)和ATM網(wǎng)絡(luò)中建立點(diǎn)對(duì)點(diǎn)連接，并通過(guò)路由器來(lái)管理第三層的信息。電信運(yùn)營(yíng)商或者郵電局可以采用這種辦法，充分利用其現(xiàn)有的幀交換(如幀中繼)或信元交換(如ATM)基礎(chǔ)設(shè)施提供IP VPN服務(wù)。

　　在前面敘述的專線VPN和撥號(hào)VPN本質(zhì)上都是通過(guò)在公共IP網(wǎng)絡(luò)中建立隧道(tunnel)來(lái)提供服務(wù)的。與之不同，基于虛擬電路的VPN通過(guò)在公共的幀或信元交換網(wǎng)絡(luò)上的路由來(lái)傳送IP服務(wù)，是使用PVC而不是tunnel來(lái)建立隱私性。因此，加密是不需要的。

　　這種形式的VPN具有如下優(yōu)點(diǎn):受控的路由器服務(wù)為具有幀或信元基礎(chǔ)設(shè)施的服務(wù)提供商提供一種便宜、快速的建立VPN服務(wù)的辦法;可充分利用FR CIR(Committed Information Rate)和ATM QoS來(lái)確保QoS能力;虛擬電路拓?fù)涞膹椥?連接無(wú)須加密。

　　它的缺點(diǎn)是:不能靈活選擇路由;比IP Tunnel的相對(duì)費(fèi)用高;缺少IP的多業(yè)務(wù)能力(如Voice Over IP、Video Over IP等)。

3 VPN技術(shù)的應(yīng)用領(lǐng)域及典型應(yīng)用

3.1 VPN應(yīng)用的四個(gè)領(lǐng)域

　　企業(yè)內(nèi)部網(wǎng)Itranet、遠(yuǎn)程訪問(wèn)、企業(yè)外部網(wǎng)Extranet、企業(yè)內(nèi)VPN。另外，在很多涉及公司重要信息的傳輸及對(duì)數(shù)據(jù)完整性安全性要求比較高的場(chǎng)合，也大多選擇VPN技術(shù)。

3.2 VPN廣域網(wǎng)建設(shè)新的解決方案(即典型應(yīng)用)

　　目前各行業(yè)網(wǎng)、專業(yè)網(wǎng)的應(yīng)用主要有兩個(gè)方面:一是作為Internet或其他公用網(wǎng)絡(luò)的一部分，組織本行業(yè)的信息資源上網(wǎng);二是作為一個(gè)內(nèi)部網(wǎng)，為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動(dòng)化和業(yè)務(wù)處理系統(tǒng)服務(wù)。兩者都是采用Internet或其他公用網(wǎng)絡(luò)技術(shù)的IP數(shù)據(jù)通信" title="數(shù)據(jù)通信">數(shù)據(jù)通信。

　　對(duì)于各專業(yè)網(wǎng)兩種應(yīng)用的第一種應(yīng)用，其解決方案可以根據(jù)網(wǎng)絡(luò)的性質(zhì)和信息資源的服務(wù)對(duì)象，各地就近接入當(dāng)?shù)氐闹袊?guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)(簡(jiǎn)稱163網(wǎng))或中國(guó)公眾多媒體通信網(wǎng)(簡(jiǎn)稱169網(wǎng))，完全省去了用于連接跨省的DDN專線，只需在域名規(guī)劃和信息主頁(yè)設(shè)計(jì)中統(tǒng)一規(guī)劃，統(tǒng)一形象，把有限的人力和物力用于專業(yè)的信息資源開發(fā)和深加工。

　　對(duì)于第二種應(yīng)用或兩者都有的應(yīng)用，則各地就近接入當(dāng)?shù)氐?69網(wǎng)或163網(wǎng)，采用VPN技術(shù)，實(shí)現(xiàn)跨地區(qū)的數(shù)據(jù)通信，充分利用169網(wǎng)高速(155MATM)的跨省通信主干道，建設(shè)自己的內(nèi)部網(wǎng)。其網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。

?

?

　　圖中的VPN表示內(nèi)部專用網(wǎng)段。由于內(nèi)部網(wǎng)的敏感數(shù)據(jù)在公網(wǎng)傳輸時(shí)是加密傳輸，因此可以實(shí)現(xiàn)安全廉價(jià)的跨地域數(shù)據(jù)通信。

　　同樣，本解決方案也適用于企業(yè)的跨地域數(shù)據(jù)通信，實(shí)現(xiàn)集數(shù)據(jù)、語(yǔ)音和圖像于一體的廣域網(wǎng)解決方案。實(shí)際上在國(guó)外率先采用VPN技術(shù)的就是跨國(guó)、跨地區(qū)的大公司和一些行業(yè)的網(wǎng)絡(luò)。

4 VPN技術(shù)的市場(chǎng)前景分析

　　Internet的飛速發(fā)展、用戶數(shù)的迅猛增長(zhǎng)以及Web通信量和個(gè)人域名注冊(cè)都加速了其發(fā)展勢(shì)頭。美國(guó)商業(yè)部預(yù)測(cè)到2010年加入互聯(lián)網(wǎng)的企業(yè)將會(huì)超過(guò)500萬(wàn)。這清楚地描述了下世紀(jì)Intenet產(chǎn)生以及將會(huì)產(chǎn)生的影響。一些研究表明在下世紀(jì)將會(huì)有70%～80%的商務(wù)使用VPN設(shè)備。它們還指出，僅擁有200個(gè)遠(yuǎn)程用戶的美國(guó)某跨國(guó)公司棄專線而選用VPN后，僅僅4～5年時(shí)間就節(jié)省了150多萬(wàn)美金。

　　公司希望花費(fèi)不高的的代價(jià)來(lái)傳輸商務(wù)信息。VPN在這方面起了很重要的作用，它提供了減少開支、提高服務(wù)、維護(hù)客戶基礎(chǔ)的方法。許多公司選用VPN傳輸商務(wù)信息的原因是:

　　(1)VPN以Internet做支撐;

　　(2)無(wú)論對(duì)商業(yè)客戶來(lái)說(shuō)還是對(duì)私人客戶來(lái)說(shuō)，使用Internet都是一種經(jīng)濟(jì)可行的方式;

　　(3)Internet 覆蓋全球;

　　(4)現(xiàn)在Internet傳輸效率極高，大多ISP能承受進(jìn)行連接所帶來(lái)的負(fù)荷;

　　(5)VPN是靈活的、動(dòng)態(tài)的、可升級(jí)的;

　　(6)VPN在可以利用公司硬件方面的現(xiàn)有投資。

　　雖然VPN在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也是一件復(fù)雜的事情，但在大多數(shù)情況下VPN的各種實(shí)現(xiàn)方法都可以應(yīng)用于每個(gè)公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。此外，在未來(lái)幾年里，客戶和廠商很可能會(huì)使用VPN，從而使電子商務(wù)重又獲得生機(jī)，畢竟全球化、信息化、電子化是大勢(shì)所趨。

?

參考文獻(xiàn)

1 Steven brown著，董曉宇，魏 鴻，馬 潔等譯.構(gòu)建虛擬專用網(wǎng).人民郵電出版社，2000.11

2 [美]Thaddeus Fortenberry著，陸建業(yè)譯.Windows 2000虛擬專用網(wǎng).清華大學(xué)出版社，2001.8

3 Ed Taylor著，鄭 巖，鄧 凌等譯.網(wǎng)絡(luò)互聯(lián)指南Networking?Handbook.人民郵電出版社，2001.8