淺談VPN技術(shù)在企業(yè)中的應(yīng)用

高海燕　魯宏武　王健

【摘要】隨著信息時(shí)代的來(lái)臨，企業(yè)的發(fā)展也日益呈現(xiàn)出結(jié)構(gòu)分布化、產(chǎn)業(yè)多元化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題，網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對(duì)于企業(yè)和一些跨區(qū)域?qū)ｉT(mén)從事特定業(yè)務(wù)的部門(mén)，從經(jīng)濟(jì)實(shí)用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來(lái)看，VPN技術(shù)無(wú)疑是一種不錯(cuò)的選擇。

【關(guān)鍵詞】VPN 網(wǎng)絡(luò) 實(shí)現(xiàn)技術(shù)

【中圖分類(lèi)號(hào)】G718 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）01—0180-02

1 前言

隨著企業(yè)規(guī)模逐漸擴(kuò)大，遠(yuǎn)程用戶、遠(yuǎn)程辦公人員、分支機(jī)構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過(guò)公共網(wǎng)絡(luò)（如Internet）來(lái)建立自己的專(zhuān)用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專(zhuān)用網(wǎng)（簡(jiǎn)稱(chēng)VPN）。VPN集靈活性、安全性、經(jīng)濟(jì)性以及擴(kuò)展性于一身，可充分滿足分支機(jī)構(gòu)、移動(dòng)辦公安全通信的需求。

2 VPN技術(shù)概述

VPN英文全稱(chēng)是“Virtual Private Network”（虛擬專(zhuān)用網(wǎng)絡(luò)”）。VPN被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。

2.1 VPN的功能

VPN至少應(yīng)能提供如下功能：加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露；信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問(wèn)控制，不同的用戶有不同的訪問(wèn)權(quán)限。

2.2 VPN的分類(lèi)

VPN既是一種組網(wǎng)技術(shù)，又是一種網(wǎng)絡(luò)安全技術(shù)。按照不同的方法主要有以下幾種劃分方式。

（1）按實(shí)現(xiàn)技術(shù)劃分，基于隧道的VPN、基于虛電路的VPN和MPLSVPN

（2）應(yīng)用范圍劃分，遠(yuǎn)程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應(yīng)用模式。

（3）遠(yuǎn)程接入VPN用于實(shí)現(xiàn)移動(dòng)用戶或遠(yuǎn)程辦公室安全訪問(wèn)企業(yè)網(wǎng)絡(luò)；Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)；Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。

（4）按隧道協(xié)議劃分，VPN可劃分為第2層隧道協(xié)議和第3層隧道協(xié)議。PPTP、L2P和L2TP都屬于第2層隧道協(xié)議，IPSec屬于第3層隧道協(xié)議，MPLS跨越第2層和第3層。VPN的實(shí)現(xiàn)往往將第2層和第3層協(xié)議配合使用，如L2TP/IPSec。當(dāng)然，還可根據(jù)具體的協(xié)議來(lái)進(jìn)一步劃分VPN類(lèi)型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特點(diǎn)

在實(shí)際應(yīng)用中，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：

（1）安全保障

VPN應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱(chēng)之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

（2）服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專(zhuān)線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

（3）可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類(lèi)型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類(lèi)型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

（4）可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。

2.4 VPN的技術(shù)解決方案

VPN有三種解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這三種解決方案分別是：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類(lèi)型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。

（1）如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問(wèn)服務(wù)，就可以考慮使用AccessVPN。

AccessVPN通過(guò)一個(gè)擁有與專(zhuān)用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)。AccessVPN能使用戶隨時(shí)、隨地以其所需的方式訪問(wèn)企業(yè)資源。AccessVPN包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路（xDSL）、移動(dòng)IP和電纜技術(shù)，能夠安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。

（2）如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。

越來(lái)越多的企業(yè)需要在全國(guó)乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專(zhuān)線。顯然，在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。

（3）如果是提供B2B之間的安全訪問(wèn)服務(wù)，則可以考慮EXtranetVPN。

隨著信息時(shí)代的到來(lái)，各個(gè)企業(yè)越來(lái)越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過(guò)各種方式了解客戶的需要，同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來(lái)越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息

服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。

3 結(jié)語(yǔ)

在過(guò)去無(wú)論因特網(wǎng)的遠(yuǎn)程接入還是專(zhuān)線接入，以及骨干傳輸?shù)膸挾己苄?，QoS更是無(wú)法保障，造成企業(yè)用戶寧愿花費(fèi)大量的金錢(qián)去投資自己的專(zhuān)線網(wǎng)絡(luò)或是寧愿花費(fèi)巨額的長(zhǎng)途話費(fèi)來(lái)提供遠(yuǎn)程接入?，F(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問(wèn)題將得到根本改善和解決。可以想象，當(dāng)我們消除了所有這些障礙因素后，VPN將會(huì)成為我們網(wǎng)絡(luò)生活的主要組成部分。同時(shí)，VPN會(huì)加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國(guó)各地分公司的局域網(wǎng)連起來(lái)，從而真正發(fā)揮整個(gè)網(wǎng)絡(luò)的作用。VPN對(duì)推動(dòng)整個(gè)電子商務(wù)、電子貿(mào)易將起到不可低估的作用。

參考文獻(xiàn)

[1]秦柯.Cisco IPSec VPN實(shí)戰(zhàn)指南人民郵電出版社，2012

[2]王占京.VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用國(guó)防工業(yè)出版社2012

[3]Richard Deal（美）Cisco VPN完全配置指南人民郵電出版2012