試析VPN網(wǎng)絡(luò)技術(shù)及應(yīng)用

王 濤李 哲 魏金婷 賀亞美

（1、中國聯(lián)合網(wǎng)絡(luò)通信有限公司廊坊市分公司，河北 廊坊 065000；2、中國聯(lián)合網(wǎng)絡(luò)通信有限公司邢臺市分公司，河北 邢臺 054000；3、中國人民解放軍第六九一六工廠，河北 廊坊 065000）

計算機網(wǎng)絡(luò)技術(shù)提升使企業(yè)內(nèi)部職能部門，企業(yè)外部的供應(yīng)商、分支機構(gòu)和外出人員等等，需要同企業(yè)總部之間建立快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣實現(xiàn)這個網(wǎng)絡(luò)通信環(huán)境，成為時下很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。文章就此闡述了基于VPN網(wǎng)絡(luò)的技術(shù)及其應(yīng)用。

1.VPN網(wǎng)絡(luò)技術(shù)概述

1.1VPN網(wǎng)絡(luò)技術(shù)定義。VPN的全稱是Virtual Private Network，現(xiàn)在我們一般稱為虛擬專用網(wǎng)絡(luò)。它的主要作用就是利用公用網(wǎng)絡(luò)將多個私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點連接起來。通過這個公用網(wǎng)絡(luò)進行連接可以大大降低通信的成本。

目前，一般來說兩臺連接上互聯(lián)網(wǎng)的計算機只要知道對方的IP地址，是可以直接通信的。不過位于這兩臺計算機之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議。

1.2 VPN網(wǎng)絡(luò)技術(shù)工作原理。VPN通過公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來。減輕了企業(yè)的遠程訪問費用負(fù)擔(dān)，節(jié)省電話費用開支，并且提供了安全的端到端的數(shù)據(jù)通訊。

位于這兩臺計算機之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議，即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺直接和公用連接的計算機之間建立一個條專用通道。私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過這兩臺計算機或設(shè)備打包通過公用網(wǎng)絡(luò)的專用通道進行傳輸，然后在對端解包，還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對于兩個私有網(wǎng)絡(luò)來說公用網(wǎng)絡(luò)就像普通的通信電纜，而接在公用網(wǎng)絡(luò)上的兩臺計算機或設(shè)備則相當(dāng)于兩個特殊的線路接頭。

1.3VPN網(wǎng)絡(luò)技術(shù)特點

1.31 特點一：成本低。VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，都比專線式的架構(gòu)節(jié)省，所以它能使網(wǎng)絡(luò)的總成本降低。根據(jù)筆者的分析，在 LAN-to-LAN連接時，用 VPN較使用專線的成本節(jié)省大約在 30%～50% 左右；而就遠程訪問而言，用 VPN更能比直接撥入到企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省60%～80% 的成本。

1.32 特點二：管理方便。VPN使用了較少的設(shè)備來建立網(wǎng)絡(luò)，使網(wǎng)絡(luò)的管理較為輕松；不論連接的是什么用戶，均需通過VPN隧道的路徑進入內(nèi)部網(wǎng)絡(luò)。

1.33 特點三：網(wǎng)絡(luò)架構(gòu)彈性大。VPN較專線式的架構(gòu)有彈性，當(dāng)有必要將網(wǎng)絡(luò)擴充或是變更網(wǎng)絡(luò)架構(gòu)時，VPN可以輕易的達到目的，VPN（特別是硬件VPN）的平臺具備完整的擴展性，大至企業(yè)總部的設(shè)備，小至各分公司，甚至個人撥號用戶，均可被包含于整體的 VPN架構(gòu)中。

1.34 特點四：技術(shù)安全性高。VPN網(wǎng)絡(luò)技術(shù)主要由三部分組成：隧道技術(shù)，數(shù)據(jù)加密、用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜取；用戶認(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術(shù)的核心問題。目前，在我國VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，以此確保遠程客戶端能夠安全地訪問VPN服務(wù)器。

2.VPN網(wǎng)絡(luò)技術(shù)應(yīng)用

VPN網(wǎng)絡(luò)技術(shù)可以給企業(yè)提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。這項技術(shù)通過隧道加密技術(shù)達到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機構(gòu)、遠程用戶、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)，此外它還提供了對移動用戶和漫游用戶的支持，使網(wǎng)絡(luò)時代的移動辦公成為現(xiàn)實。

2.1VPN網(wǎng)絡(luò)技術(shù)企業(yè)內(nèi)部應(yīng)用。目前，用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)--IP Sec VPN和SSL VPN，IPSecVPN和 SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠程接入和互聯(lián)，雖然在技術(shù)上來說，它們也可以部署在其它的網(wǎng)絡(luò)上，但那樣就失去了其應(yīng)用的靈活性，它們更適用于商業(yè)客戶等對價格特別敏感的客戶。

針對IPSec VPN和SSL VPN兩種技術(shù)，目前業(yè)內(nèi)存在著較多爭議。在未來，IPSec的市場份額將下降，而SSL VPN將逐漸上升。用戶在考慮采用哪種技術(shù)時經(jīng)常會遇到兩難的選擇，即安全性與使用便利的沖突。IPSec VPN比較適合中小企業(yè)，其擁有較多的分支機構(gòu)，并通過VPN隧道進行站點之間的連接，交換大容量的數(shù)據(jù)。企業(yè)的數(shù)據(jù)比較敏感，要求安全級別較高。企業(yè)員工不能隨便通過任意一臺電腦就訪問企業(yè)內(nèi)部信息，移動辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。

2.2VPN廣域網(wǎng)解決方案的應(yīng)用。目前各行業(yè)網(wǎng)、專用網(wǎng)的應(yīng)用主要有兩個方面：一方面作為Internet或其他公用網(wǎng)絡(luò)的一部分，組織本行業(yè)是信息資源上網(wǎng)；二方面作為一個內(nèi)部網(wǎng)，為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動化和業(yè)務(wù)處理系統(tǒng)服務(wù)。兩者都是采用Internet或其他公用網(wǎng)絡(luò)技術(shù)的IP數(shù)據(jù)通信。對于各專用網(wǎng)絡(luò)兩種應(yīng)用的第一種應(yīng)用，其解決方案可以根據(jù)網(wǎng)絡(luò)的性質(zhì)和信息資源的服務(wù)對象，各地就近接入當(dāng)?shù)氐闹袊糜嬎銠C互聯(lián)網(wǎng)或中國公眾多媒體通信網(wǎng)，完全省去了用于連接跨省的DDN專線，只需在域名規(guī)劃和信息主頁設(shè)計中統(tǒng)一規(guī)劃，統(tǒng)一形象，把有限的人力和物力用于專業(yè)的信息資源開發(fā)和深加工。

2.3 基于Internet的VPN網(wǎng)絡(luò)的應(yīng)用。在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天， Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu) Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互。

3.VPN網(wǎng)絡(luò)技術(shù)發(fā)展

VPN綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡單和低成本，建立安全的數(shù)據(jù)通道。VPN在降低成本的同時滿足了用戶對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求。

VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過加密處理的，這條安全通道的協(xié)議必須保證數(shù)據(jù)的真實性、數(shù)據(jù)的完整性、通道的機密性，提供動態(tài)密匙交換功能，提供安全防護措施和訪問控制，抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制。

用戶需求將成為VPN技術(shù)發(fā)展的動力，多形式、多用途、靈活易用、功能強大、服務(wù)優(yōu)異的VPN產(chǎn)品將適用于不同的用戶群，部署在寬帶、窄帶、撥號或者移動通信網(wǎng)絡(luò)上。

4.對VPN網(wǎng)絡(luò)技術(shù)使用中的建議

在目前的企業(yè)選擇VPN技術(shù)使用時，我們一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個用戶的目錄信息存放在一臺中央數(shù)據(jù)存儲設(shè)備中便于管理人員和應(yīng)用程序?qū)π畔⑦M行添加，修改和查詢。每一臺接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護自己的內(nèi)部數(shù)據(jù)庫，存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等。

為有效的管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時跟蹤和掌握以下情況：系統(tǒng)的使用者，連接數(shù)目，異?；顒樱鲥e情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實時信息對記費，審計和報警或其它錯誤提示具有很大幫助。一臺隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對數(shù)據(jù)進行正確處理所需要的事件日志，報告和數(shù)據(jù)存儲設(shè)備。隨著市場應(yīng)用的擴大，VPN的管理有待進一步加強。

[1]閆曉弟.耶健.基于VPN的電子資源遠程訪問系統(tǒng)的研究與實現(xiàn).情報雜志，2009(8).

[2]王達等.虛擬專用網(wǎng)(VPN)精解[M].北京：清華大學(xué)出版社，2004.

[3]楊永斌.VPN技術(shù)應(yīng)用研究[J].計算機科學(xué)，2004，（10）.

[4]王達等.虛擬專用網(wǎng)(VPN)精解[M].北京：清華大學(xué)出版社，2004.