戴剛 文信翔 公丕強(qiáng)

江蘇郵電規(guī)劃設(shè)計(jì)院有限責(zé)任公司 江蘇 210006

0 引言

防火墻、電子護(hù)照、各種認(rèn)證加密方法來(lái)來(lái)彌補(bǔ)因特網(wǎng)的不足，但都有其各自的局限性。虛擬專用網(wǎng)為有安全需求的用戶重返因特網(wǎng)提供了一種可能。關(guān)鍵性的加密技術(shù)、認(rèn)證技術(shù)、隧道協(xié)議的無(wú)縫結(jié)合，使得在公用因特網(wǎng)的基礎(chǔ)上建立安全的虛擬專用網(wǎng)成為可能。虛擬專用網(wǎng)(VPN)結(jié)合了因特網(wǎng)和專用網(wǎng)的優(yōu)點(diǎn)，同時(shí)也彌補(bǔ)了兩者的缺點(diǎn)，使Internet再次成為組成無(wú)限商機(jī)的寶藏。

1 VPN分類

1.1 按接入方式劃分

（1）專線VPN

專線VPN是為已經(jīng)通過(guò)專線接入ISP路由器的用戶提供的VPN實(shí)現(xiàn)方案。

（2）撥號(hào)VPN

撥號(hào)VPN是為通過(guò)PSTN或ISDN撥號(hào)接入ISP的用戶提供的VPN實(shí)現(xiàn)方案。這種VPN方式是目前最主要的VPN解決方案。

1.2 按隧道協(xié)議所屬的層次劃分

（1）第二層隧道協(xié)議

第二層隧道建立在鏈路層，此協(xié)議先要把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中，這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有PPTP，L2F，L2TP等。

（2）第三層隧道協(xié)議

第三層隧道協(xié)議即網(wǎng)絡(luò)層隧道協(xié)議，此協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成數(shù)據(jù)包來(lái)傳輸?，F(xiàn)有的第三層隧道協(xié)議主有是：通用路由封裝協(xié)議GRE，IP安全協(xié)議IPsec。

1.3 按VPN的發(fā)起主體不同來(lái)劃分

（1）基于客戶

VPN服務(wù)提供的起始點(diǎn)和終止點(diǎn)是面向客戶的。需要客戶和隧道服務(wù)器(或網(wǎng)關(guān))方安裝隧道軟件?？蛻舴降能浖l(fā)起隧道，在單位隧道服務(wù)器處終止隧道。經(jīng)過(guò)對(duì)用戶身份和口令的驗(yàn)證，客戶方和隧道服務(wù)器極易建立隧道。隧道一經(jīng)建立，用戶就會(huì)感到通信的進(jìn)行似乎不再有ISP參與。

（2）基于網(wǎng)絡(luò)

在單位中心部門和ISP處安裝VPN軟件，客戶無(wú)須安裝任何特殊軟件。主要為ISP提供全面管理的VPN服務(wù)，服務(wù)提供的起始點(diǎn)和終止點(diǎn)是ISP的POP，其內(nèi)部構(gòu)成、實(shí)施和管理對(duì)VPN客戶完全透明。

1.4 按VPN的業(yè)務(wù)類型劃分

按服務(wù)類型劃分，VPN業(yè)務(wù)可以大致分為三類：接入網(wǎng)VPN、企業(yè)內(nèi)部網(wǎng)VPN和企業(yè)外部網(wǎng)VPN。

（1）接入網(wǎng)VPN

是一種撥號(hào)方式的VPN，是企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的 VPN，用戶與網(wǎng)絡(luò)通過(guò)VPN互聯(lián)的示意圖如1所示。

圖1 VPN互聯(lián)的示意圖

（2）企業(yè)內(nèi)部網(wǎng)VPN

企業(yè)的總部與分支機(jī)構(gòu)之間通過(guò)公網(wǎng)構(gòu)筑的VPN網(wǎng)絡(luò)。

（3）企業(yè)外部網(wǎng)VPN

即不同企業(yè)間通過(guò)公網(wǎng)來(lái)構(gòu)筑的VPN網(wǎng)絡(luò)。

通常把企業(yè)內(nèi)部網(wǎng)和企業(yè)外部網(wǎng)VPN都?xì)w為專線VPN，結(jié)構(gòu)如圖2所示。

圖2 專線VPN結(jié)構(gòu)

1.5 按VPN的應(yīng)用平臺(tái)劃分

VPN的應(yīng)用平臺(tái)分為3類：軟件平臺(tái)和專用硬件平臺(tái)。

（1）軟件平臺(tái)

對(duì)數(shù)據(jù)傳輸速率要求不高，對(duì)性能和安全性需求不強(qiáng)時(shí)，可以利用一些軟件公司所提供的完全基于軟件的 VPN產(chǎn)品來(lái)實(shí)現(xiàn)簡(jiǎn)單的 VPN功能，如 Checkpoint software，Aventail Corp等公司的產(chǎn)品。甚至可以不需要另外購(gòu)置軟件，僅依靠微軟的Windows操作系統(tǒng)，特別是自Windows 2000版本以后的系統(tǒng)就可實(shí)現(xiàn)純軟件平臺(tái)的VPN連接。

（2）專用硬件平臺(tái)

專用硬件平臺(tái)的 VPN設(shè)備可以滿足企業(yè)和個(gè)人用戶對(duì)高數(shù)據(jù)安全及通信性能的需求，尤其是從加密及數(shù)據(jù)亂碼等對(duì)CPU處理能力需求很高的功能。提供這些平臺(tái)的硬件廠商比較多，比較有名的如國(guó)外的：Nortel、Cisco、3Com 等，國(guó)內(nèi)的如華為、聯(lián)想等。

2 各種企業(yè)的需求及VPN解決方案

不同規(guī)模的企業(yè)，對(duì)遠(yuǎn)程傳輸數(shù)據(jù)信息的安全性要求不同，下面將按企業(yè)的規(guī)模來(lái)分析企業(yè)的需求和VPN解決方案。

2.1 小型企業(yè)

（1）需求分析

綜合小型企業(yè)的特點(diǎn)和目前發(fā)展現(xiàn)狀，小型企業(yè)對(duì)信息安全的需求是存在的，要求見(jiàn)效快，產(chǎn)品使用維護(hù)方便，但是企業(yè)所能投入信息化的資金有限，因此，用于信息安全方面的投資會(huì)有所限制。總之，小型企業(yè)受到客觀條件的限制，遠(yuǎn)程數(shù)據(jù)通信需要價(jià)格便宜、簡(jiǎn)單易用、性能穩(wěn)定、維護(hù)方便的產(chǎn)品和技術(shù)。

（2）解決方案

從上面的需求分析，小型企業(yè)對(duì)數(shù)據(jù)傳輸速率要求不高，同時(shí)在安全性方面也較低，連接用戶也少，可以得到合理的VPN解決方案：基于現(xiàn)有的公網(wǎng)采用撥號(hào)VPN方式，使用軟件平臺(tái)。VPN服務(wù)提供商控制了整個(gè)VPN設(shè)施，最大優(yōu)點(diǎn)是他們不需要做任何實(shí)現(xiàn) VPN的工作，客戶不需要增加任何設(shè)備或軟件投資，整個(gè)網(wǎng)絡(luò)都由 VPN服務(wù)提供商維護(hù)。最大的不足就是用戶自身自主權(quán)不足，存在一定的不安全因素(如圖3所示)。

圖3 解決方案

2.2 中型企業(yè)

（1）需求分析

綜合中型企業(yè)的特點(diǎn)和目前發(fā)展現(xiàn)狀，中型企業(yè)對(duì)信息安全的需求迫切的，要求 VPN產(chǎn)品性能可靠穩(wěn)定，使用簡(jiǎn)便，便于維護(hù)，且企業(yè)能投入一定的信息化資金，但是仍然無(wú)法承受巨額的專線建設(shè)資金投資，因此，用于信息安全方面的仍然會(huì)有一定的限制。

（2）解決方案

從上面的需求分析，中型企業(yè)對(duì)數(shù)據(jù)傳輸速率及安全性方面有一定要求，連接用戶不多，可以得到合理的 VPN解決方案：在總部與分部之間租用服務(wù)提供商的虛擬專線，客戶不需要購(gòu)買專門的隧道設(shè)備、軟件，由 VPN服務(wù)提供商(NSP)提供設(shè)備來(lái)建立通道并驗(yàn)證。企業(yè)仍然可以通過(guò)加密數(shù)據(jù)實(shí)現(xiàn)端到端的全面安全性?？梢允褂米畛Ｒ?jiàn)的隧道協(xié)議有L2TP、L2F或者PPTP。

對(duì)于企業(yè)員工出差或者在家辦公，則采用撥號(hào) VPN方式訪問(wèn)公司內(nèi)部網(wǎng)，既允許遠(yuǎn)程撥號(hào)連接，又防止未授權(quán)訪問(wèn)和數(shù)據(jù)被截獲。對(duì)于遠(yuǎn)程VPN接入的方式可以根據(jù)用戶采用的加密算法的強(qiáng)度、隧道流量等屬性選擇靈活的計(jì)費(fèi)策略。

2.3 大型企業(yè)

大型企業(yè)的特點(diǎn)為規(guī)模很大，有多個(gè)分部或者分公司，在本行業(yè)中占有領(lǐng)導(dǎo)地位，資金雄厚，企業(yè)員工眾多，有很強(qiáng)的抵抗風(fēng)險(xiǎn)能力等。大型企業(yè)為了追求更大利潤(rùn)，穩(wěn)定和擴(kuò)大市場(chǎng)，保持與客戶的關(guān)系，繼續(xù)保持行業(yè)內(nèi)的競(jìng)爭(zhēng)力，并逐步涉足其他行業(yè)，在財(cái)務(wù)、客戶、人力資源、產(chǎn)品產(chǎn)銷等方面的需要信息化的管理，使得減少企業(yè)的管理成本，提供企業(yè)運(yùn)行與管理的效率，對(duì)企業(yè)信息化的需求非常迫切。

（1）需求分析

綜合大型企業(yè)的特點(diǎn)和目前發(fā)展現(xiàn)狀，大型企業(yè)要求VPN產(chǎn)品性能可靠穩(wěn)定，安全性高，傳輸效率高，可管理，且企業(yè)能夠?qū)ｍ?xiàng)資金投入，有足夠的技術(shù)人員對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)和管理。

（2）解決方案

由于大型企業(yè)在信息化方面要求很高，使用用戶較多，從上面的分析中可以得到合理的 VPN解決方案：使用專用的硬件平臺(tái)，需要購(gòu)買成套昂貴的 VPN設(shè)備和防火墻，配備專業(yè)技術(shù)人員，整個(gè)網(wǎng)絡(luò)都是在加密的隧道中完成通信的，非常安全。這是最為徹底的 VPN網(wǎng)絡(luò)，在這種方案中企業(yè)具有完全的自主控制權(quán)，但是新建 VPN網(wǎng)絡(luò)需要企業(yè)自身具備足夠的資金和人才實(shí)力，這種模式在總體投資上是最多的。

與中型企業(yè)一樣，對(duì)于企業(yè)員工出差或者在家辦公，則采用撥號(hào)VPN方式訪問(wèn)公司內(nèi)部網(wǎng)(如圖4所示)。

圖4 大型企業(yè)解決方案

3 結(jié)束語(yǔ)

各種企業(yè)可以靈活的選擇適合的 VPN方案，實(shí)現(xiàn)企業(yè)內(nèi)部的OA系統(tǒng)，郵件系統(tǒng)，財(cái)務(wù)系統(tǒng)等，方便企業(yè)出差員工的安全移動(dòng)辦公，能夠加快企業(yè)的信息化進(jìn)程，提供公司的管理水平，極大的增加了企業(yè)的生產(chǎn)效率和競(jìng)爭(zhēng)力。隨著信息化的發(fā)展，VPN業(yè)務(wù)將是電信運(yùn)營(yíng)商的一項(xiàng)重要的 IP增值業(yè)務(wù)。

[1] 李超.基于IPsec的VPN網(wǎng)關(guān)的設(shè)計(jì)與實(shí)現(xiàn).網(wǎng)絡(luò)通訊.2002.

[2] 戴宗坤.VPN與網(wǎng)絡(luò)安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2001.

[3] 王達(dá)等編著.虛擬專用網(wǎng)(VPN)精解[M].清華大學(xué)出版社.2004.

[4] 電信運(yùn)營(yíng)商IPSec VPN業(yè)務(wù)部署模式研究. 2004.http://www.vlan9.com/net-provider/z008013246.html.2007.

[5] VPN技術(shù)的全面詳細(xì)介紹.http://www.wbsz.com/html/6255_3.html.2009.