虛擬專用網—VPN技術

摘 要：通過對VPN的定義及應用的了解，介紹了實現VPN的關鍵技術（包括隧道技術，加解密認證技術，密鑰管理技術，訪問控制技術）以及實現VPN的主要安全協議，PPTP/ L2TP協議、IPSec協議，為VPN組網提供了理論指導。最后通過構建中小企業的虛擬專用網，實現局域網之間的互連互通。

關鍵詞：隧道，網絡性能，IKE ，IPSec

一、VPN的未來發展趨勢

VPN的長期發展趨勢一定是全功能或者多功能的網關。

假設用戶需要路由上網、VPN連接、防火墻、VOIP、IDS等等功能，如果每一項功能都需要一個專用設備的話，那么可能就要安裝3～4臺不同廠家的設備。作為網管而言，要熟悉幾種不同風格的產品，一旦出現問題，還要分頭找不同的廠商來解決。要是一家產品各項功能都能夠集成進去，按照模塊方式來配置，管理工作也就簡化了很多。這種需求代表了以后網關的發展趨勢，即要求硬件網關多功能一體化。

近期的主要發展趨勢，首先是防火墻和VPN合二為一。實際上，很多防火墻的產品，都宣稱支持VPN。而很多的VPN產品，也都聲稱有防火墻功能。VPN和防火墻都是網關級的產品，但是其功能本質上還是有區別的，VPN要解決節點之間的通訊問題，本質上屬于通訊設備，而防火墻解決的主要是安全性問題。無論是防火墻還是VPN網關，一般都安裝于網絡出口處，一個出口處安裝兩個設備，本身就有一個配合問題，雖然各VPN廠商都已解決了兼容性問題，但是如果兩者合二為一，問題就簡化了很多。

VPN和防火墻的結合，為用戶提供了良好的綜合功能網關。例如，國內主流的防火墻廠家天融信公司就選擇華盾VPN作為其戰略合作伙伴，從產品深層次進行了整合，可以無縫捆綁，高效運營。

當然，有利有弊。如果一個設備的功能太復雜，那么各項功能將會相互爭奪網關的計算資源（內存、CPU等）。同樣，太復雜的配置對于用戶也不是好事情。這在家電行業早有先例，曾經有廠商研發了28個功能的全功能錄像機，說明書就足有1斤重。可是，市場反應很差，因為人們發現還是單一功能的錄像機簡單好用。

在VPN發展初期，人們只是把VPN作為一種簡單的聯網方案，并不作過多的要求。當VPN發展到一定階段以后，VPN網關就越來越接近路由器，傳統路由器的很多網絡特征，諸如動態IP地址適應、OSPF協議等，都被逐步移植到VPN網關上面，以使VPN網關更好地融入到原有的網絡體系之中。另外，對于性能指標的追求是沒有止境的。VPN產品往高端發展，性能指標要求越來越高。重要的性能指標主要是以下幾個方面：

——網絡性能。在明文的條件下，能夠達到千兆交換的速度。

——加密速度。國內主流的加密卡速度基本都在百兆以下。但是隨著發展，國產的加密芯片的加密速度也會逐步提升。另外，國外的加密芯片和板卡，能夠提供更高的加密處理性能。

——并發連接數。這是來自防火墻的性能指標概念，同樣適用于VPN設備。主流的VPN設備，出于基本的安全考慮，至少都帶有一個基于狀態跟蹤的防火墻。因此，能夠處理的并發連接數，也是一項重要的性能指標。

就高端產品而言，比較理想的指標可以歸結為：千兆線性網絡速度、 300M以上的加密速度、50萬條以上的并發連接數。能夠滿足以上條件的網關，才能夠滿足高端的應用需要。

二、IPsecVPN的優點

IKE使IPsecVPN配置簡單

簡單的講IKE是一種安全機制，它提供端與端之間的動態認證。IKE為IPsec提供了自動協商交換密鑰、建立SA的服務，這能夠簡化IPsec的使用和管理，大大簡化IPsec的配置和維護工作。IKE不是在網絡上直接傳輸密鑰，而是通過一系列數據的交換，最終計算出雙方共享的密鑰，有了IKE，IPsec很多參數（如：密鑰）都可以自動建立，降低了手工配置的復雜度。

IPsecVPN對應用程序的高可擴展性：

所有使用IP協議進行數據傳輸的應用系統和服務都可以使用IPsec，由于IPSec工作在OSI的第3層，低于應用程序直接涉及的層級，所以對于應用程序來講，利用IPSec VPN所建立起來的隧道是完全透明的，無需修改既有的應用程序，并且，現有應用程序的安全解決方法也不會受到任何影響。且當有新的加密算法產生時可以直接移植進IPsec協議棧。

IpsecVPN加密靈活：

對數據的加密是以數據包為單位的，而不是以整個數據流為單位，這不僅靈活而且有助于進一步提高IP數據包的安全性，可以有效防范網絡攻擊。

IPsec VPN將網絡擴展：

Ipsec vpn完成使二個專用的網絡組合成一個虛擬網絡的無縫連接。將虛擬網絡擴展成允許遠程訪問用戶（也被稱為road warriors）成為可信任網絡的一部分.

三、IPsec VPN的缺點

IPSec在客戶機/服務器模式下實現有一些問題，在實際應用中，需要公鑰來完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態分配IP地址時不太適合于IPSec。除了TCP/IP協議外，IPSec不支持其他協議。除了包過濾之外，它沒有指定其他訪問控制方法。可能它的最大缺點是微軟公司對IPSec的支持不夠。 IPSec在部署安全網關時要考慮拓撲排序，一旦添加新設備就要改變網絡結構。

IPsec vpn須在防火墻上開放不同的通訊埠（21、25、80、110、443等）來作為服務器和客戶端之間的數據傳輸通道。在防火墻上，每開啟一個通訊埠，就多一個黑客攻擊機會。

參考文獻：

[1]秦柯，Cisco IPSec VPN實戰指南，人民郵電出版社2012

[2]王春海、宋濤 VPN網絡組建案例實錄，科學出版社2011

[3]袁國忠，IPSec VPN設計，人民郵電出版社，2012