淺談VPN技術在企業中的應用

高海燕　魯宏武　王健

【摘要】隨著信息時代的來臨，企業的發展也日益呈現出結構分布化、產業多元化、管理信息化的特征。計算機網絡技術不斷提升，信息管理范圍不斷擴大，網絡安全逐漸成為一個潛在的巨大問題，網絡的安全性、保密性、可靠穩定性，對于企業和一些跨區域專門從事特定業務的部門，從經濟實用性、網絡安全性、數據傳輸可靠性上來看，VPN技術無疑是一種不錯的選擇。

【關鍵詞】VPN 網絡 實現技術

【中圖分類號】G718 【文獻標識碼】A 【文章編號】1672-5158（2013）01—0180-02

1 前言

隨著企業規模逐漸擴大，遠程用戶、遠程辦公人員、分支機構、合作伙伴也在不斷增多，關鍵業務的需求增加，出現了一種通過公共網絡（如Internet）來建立自己的專用網絡的技術，這種技術就是虛擬專用網（簡稱VPN）。VPN集靈活性、安全性、經濟性以及擴展性于一身，可充分滿足分支機構、移動辦公安全通信的需求。

2 VPN技術概述

VPN英文全稱是“Virtual Private Network”（虛擬專用網絡”）。VPN被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。

2.1 VPN的功能

VPN至少應能提供如下功能：加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露；信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問控制，不同的用戶有不同的訪問權限。

2.2 VPN的分類

VPN既是一種組網技術，又是一種網絡安全技術。按照不同的方法主要有以下幾種劃分方式。

（1）按實現技術劃分，基于隧道的VPN、基于虛電路的VPN和MPLSVPN

（2）應用范圍劃分，遠程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應用模式。

（3）遠程接入VPN用于實現移動用戶或遠程辦公室安全訪問企業網絡；Intranet VPN用于組建跨地區的企業內部互聯網絡；Extranet VPN用于企業與客戶、合作伙伴之間建立互聯網絡。

（4）按隧道協議劃分，VPN可劃分為第2層隧道協議和第3層隧道協議。PPTP、L2P和L2TP都屬于第2層隧道協議，IPSec屬于第3層隧道協議，MPLS跨越第2層和第3層。VPN的實現往往將第2層和第3層協議配合使用，如L2TP/IPSec。當然，還可根據具體的協議來進一步劃分VPN類型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特點

在實際應用中，一個高效、成功的VPN應具備以下幾個特點：

（1）安全保障

VPN應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數據進行加密，以保證數據僅被指定的發送者和接收者了解，從而保證了數據的私有性和安全性。在安全性方面，由于VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。

（2）服務質量保證（QoS）

VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素；而對于擁有眾多分支機構的專線VPN網絡，交互式的內部企業網應用則要求網絡能提供良好的穩定性；對于其它應用（如視頻等）則對網絡提出了更明確的要求，如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

（3）可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

（4）可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面，VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成，企業自己仍需要完成許多網絡管理任務。所以，一個完善的VPN管理系統是必不可少的。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

2.4 VPN的技術解決方案

VPN有三種解決方案，用戶可以根據自己的情況進行選擇。這三種解決方案分別是：遠程訪問虛擬網（AccessVPN）、企業內部虛擬網（IntranetVPN）和企業擴展虛擬網（ExtranetVPN），這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet相對應。

（1）如果企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用AccessVPN。

AccessVPN通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。AccessVPN包括模擬、撥號、ISDN、數字用戶線路（xDSL）、移動IP和電纜技術，能夠安全地連接移動用戶、遠程工作者或分支機構。

（2）如果要進行企業內部各分支機構的互聯，使用IntranetVPN是很好的方式。

越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網絡連接方式一般是租用專線。顯然，在分公司增多、業務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內的IntranetVPN。

（3）如果是提供B2B之間的安全訪問服務，則可以考慮EXtranetVPN。

隨著信息時代的到來，各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業之間的合作關系也越來越多，信息交換日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎，而如何利用Internet進行有效的信息管理，是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息

服務，又可以保證自身的內部網絡的安全。

3 結語

在過去無論因特網的遠程接入還是專線接入，以及骨干傳輸的帶寬都很小，QoS更是無法保障，造成企業用戶寧愿花費大量的金錢去投資自己的專線網絡或是寧愿花費巨額的長途話費來提供遠程接入。現在隨著ADSL、DWDM、MPLS等新技術的大規模應用和推廣，上述問題將得到根本改善和解決。可以想象，當我們消除了所有這些障礙因素后，VPN將會成為我們網絡生活的主要組成部分。同時，VPN會加快企業網的建設步伐，使得集團公司不僅僅只是建設內部局域網，而且能夠很快地把全國各地分公司的局域網連起來，從而真正發揮整個網絡的作用。VPN對推動整個電子商務、電子貿易將起到不可低估的作用。

參考文獻

[1]秦柯.Cisco IPSec VPN實戰指南人民郵電出版社，2012

[2]王占京.VPN網絡技術與業務應用國防工業出版社2012

[3]Richard Deal（美）Cisco VPN完全配置指南人民郵電出版2012