馬亞琦，劉東旭

(河南質(zhì)量工程職業(yè)學(xué)院，河南 平頂山 467000)

1 VPN技術(shù)概述

虛擬專用網(wǎng)是近年來隨著互聯(lián)網(wǎng) 的發(fā)展而迅速崛起的一種技術(shù)。以聯(lián)通、移動等公共網(wǎng)絡(luò)為基礎(chǔ)，在公有網(wǎng)絡(luò)上搭建符合不同企業(yè)需求的虛擬專用網(wǎng)。互聯(lián)網(wǎng)、幀中繼，異步傳輸模式等可以作為公共網(wǎng)絡(luò)基礎(chǔ)的來創(chuàng)建虛擬專業(yè)網(wǎng)。企業(yè)傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式是通過向網(wǎng)絡(luò)運(yùn)營商提出申請，有運(yùn)營商組織施工架設(shè)企業(yè)專線來實(shí)現(xiàn)連接的，而虛擬專用網(wǎng)不需要架設(shè)物理專線，只需在已有的公共網(wǎng)絡(luò)基礎(chǔ)上虛擬一條專用鏈路就可以實(shí)現(xiàn)。這條虛擬鏈路的創(chuàng)建就可以保證企業(yè)間能夠建立可靠的安全連接，從而保證數(shù)據(jù)傳輸?shù)陌踩訹1]。

虛擬專用網(wǎng)的特點(diǎn)決定了重點(diǎn)金融企業(yè)網(wǎng)絡(luò)與數(shù)據(jù)傳輸網(wǎng)絡(luò)的融合將有非常重要的作用。管理人員只需通過后臺管理界面簡單進(jìn)行虛擬專用網(wǎng)用戶增刪的操作，完全不需要硬件設(shè)備的調(diào)整，這使得虛擬專用網(wǎng)的操作靈活性非常強(qiáng)。虛擬專用網(wǎng)支持移動端用戶的接入，移動用戶可以不受時間地點(diǎn)的限制通過移動設(shè)備訪問虛擬鏈路，實(shí)時監(jiān)測虛擬鏈路的狀態(tài)。根據(jù)企業(yè)性質(zhì)以及對于虛擬專用網(wǎng)性能需求的不同，利用多協(xié)議標(biāo)記交換技術(shù)虛擬專用網(wǎng)可以將服務(wù)質(zhì)量分為不同等級應(yīng)用到不同企業(yè)的虛擬專用網(wǎng)用戶。公共網(wǎng)絡(luò)提供的通訊功能，不僅使企業(yè)以較低的成本與商業(yè)伙伴進(jìn)行互連，而且大大提高閑時網(wǎng)絡(luò)資源的再次使用，網(wǎng)絡(luò)運(yùn)營商收入也有所增加。

2 虛擬專用網(wǎng)的分類及適用范圍

企業(yè)虛擬專用網(wǎng)是指利用聯(lián)通、移動等提供的公用互聯(lián)網(wǎng)來實(shí)現(xiàn)原本只能由廣域網(wǎng)物理設(shè)備才能實(shí)現(xiàn)的撥號上網(wǎng)、數(shù)據(jù)數(shù)字網(wǎng)等。企業(yè)虛擬專用網(wǎng)按照應(yīng)用類型可分為[2]:

(1)數(shù)據(jù)虛擬專用網(wǎng)

采用遠(yuǎn)程接入虛擬專用網(wǎng)方式搭建的虛擬專用網(wǎng)解決了企業(yè)外出業(yè)務(wù)人員在需要訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，獲取企業(yè)保密數(shù)據(jù)的問題，為了防止非法用戶，在訪問內(nèi)部網(wǎng)時需要通過身份驗(yàn)證。通過身份驗(yàn)證和用戶權(quán)限控制對于經(jīng)常在外人員和分散的客戶來說很有必要。

使用開放系統(tǒng)互聯(lián)參考模型第二層中的隨道技術(shù)，企業(yè)私有網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)娜蝿?wù)就由建立在公用網(wǎng)絡(luò)基礎(chǔ)之上虛擬專用網(wǎng)隧道連接來實(shí)現(xiàn)。虛擬專用網(wǎng)服務(wù)所需企業(yè)投入的物理設(shè)備比較少，只需企業(yè)核心網(wǎng)絡(luò)路由設(shè)備支特虛擬專用網(wǎng)的配置就可以了，企業(yè)內(nèi)部員工通過公共交換電話網(wǎng)絡(luò)登錄企業(yè)郵件服務(wù)器成功后，就可以查看虛擬專用網(wǎng)路由器。

虛擬隧道的搭建方式有兩種：一種是網(wǎng)絡(luò)運(yùn)營商發(fā)起連接，另一種是企業(yè)用戶發(fā)起連接。如果是網(wǎng)絡(luò)運(yùn)營商提供虛擬專用撥號網(wǎng)絡(luò)服務(wù)，虛擬隧道建立所需的技術(shù)支持由網(wǎng)絡(luò)運(yùn)營商負(fù)責(zé)，網(wǎng)絡(luò)運(yùn)營商只需與企業(yè)網(wǎng)關(guān)建立隧道。如果連接由企業(yè)用戶發(fā)起，企業(yè)用戶需先通過共交換電話網(wǎng)絡(luò)等方式接入互聯(lián)網(wǎng)，然后再通過虛擬專用撥號軟件發(fā)起連接。

(2)企業(yè)內(nèi)部虛擬專用網(wǎng)

大中型企業(yè)的虛擬專用網(wǎng)可通過企業(yè)內(nèi)部虛擬專用網(wǎng)來實(shí)現(xiàn)，企業(yè)內(nèi)部虛擬專用網(wǎng)使企業(yè)內(nèi)部各個部門間安全快捷的傳遞信息。通過在企業(yè)間、企業(yè)總部和分公司間建立虛擬私有網(wǎng)絡(luò)，實(shí)質(zhì)上公用網(wǎng)的各個路由器之間傳輸?shù)挠脩舻乃接芯W(wǎng)絡(luò)數(shù)據(jù)都是在虛擬的專用鏈路來進(jìn)行。傳統(tǒng)的專線網(wǎng)在傳輸企業(yè)私有數(shù)據(jù)時安全性較差，企業(yè)內(nèi)部虛擬專用網(wǎng)通過公用網(wǎng)絡(luò)不僅將地理位置上分散的相距較遠(yuǎn)的各個分公司站點(diǎn)互連在一起，而且數(shù)據(jù)傳輸?shù)陌踩愿斜Ｕ稀?/p>

用于構(gòu)建企業(yè)內(nèi)部虛擬專用網(wǎng)連接的隧道技術(shù)有網(wǎng)絡(luò)安全協(xié)議、通用路由封裝協(xié)議等。與網(wǎng)絡(luò)服務(wù)商提供的多種網(wǎng)絡(luò)服務(wù)質(zhì)量機(jī)制相結(jié)合，網(wǎng)絡(luò)資源的利用率大大提高。

(3)企業(yè)外聯(lián)虛擬專用網(wǎng)

企業(yè)外聯(lián)虛擬專用網(wǎng)是指虛擬專用網(wǎng)擴(kuò)展，虛擬專用網(wǎng)不只是在公司部門之間、總公司與分公司之間搭建，與企業(yè)有業(yè)務(wù)往來的長期合作伙伴關(guān)系的其他企業(yè)之間也可以搭建虛擬專用網(wǎng)。在傳統(tǒng)的專線構(gòu)建方式下，與合作伙伴的互連需要向網(wǎng)絡(luò)運(yùn)營商申請架設(shè)專線來實(shí)現(xiàn)，后期需雙方企業(yè)投入技術(shù)人員進(jìn)行網(wǎng)絡(luò)管理與維護(hù)，甚至還需要更新和添置支持虛擬專用網(wǎng)的網(wǎng)絡(luò)設(shè)備，隨著企業(yè)合作伙伴的增多，就需要申請建設(shè)多條這樣的專線，企業(yè)在企業(yè)外聯(lián)虛擬專用網(wǎng)建設(shè)與維護(hù)的成本就會增加許多，因此企業(yè)對于構(gòu)建企業(yè)外聯(lián)虛擬專用網(wǎng)經(jīng)常猶豫不決。

為了提高商業(yè)效率，解決合作伙伴多且地理位置分散的難題，企業(yè)在搭建虛擬專用網(wǎng)時通常是虛擬專用撥號網(wǎng)絡(luò)與企業(yè)內(nèi)部虛擬專用網(wǎng)的結(jié)合，這樣做的好處在于既能滿足企業(yè)分支機(jī)構(gòu)以及外派業(yè)務(wù)人員隨時以不同身份權(quán)限獲取企業(yè)內(nèi)部信息，也能和合作伙伴之間建立可以控制訪問權(quán)限的安全連接，以此來傳遞商業(yè)信息和進(jìn)行業(yè)務(wù)交流，因此虛擬專用網(wǎng)的搭建要以企業(yè)內(nèi)部網(wǎng)絡(luò)的需求為依據(jù)，構(gòu)建適合企業(yè)發(fā)展的網(wǎng)絡(luò)。

按照實(shí)現(xiàn)的層次進(jìn)行分類，依據(jù)是在開放互聯(lián)參考模型的第二層還是第三層實(shí)現(xiàn)隧道，分為二層隧道虛擬專用網(wǎng)和三層隧道虛擬專用網(wǎng)[3]。

3 企業(yè)虛擬專用網(wǎng)的設(shè)計原則

3.1 安全性

虛擬專用網(wǎng)在搭建時首先要考慮虛擬鏈路中企業(yè)數(shù)據(jù)傳輸?shù)陌踩?，安全性可通過以下幾個方面來增強(qiáng)：

(1)隧道與加密技術(shù)：多種協(xié)議封裝在隧道的同時，增強(qiáng)了虛擬專用網(wǎng)的性能，可在面向無連接的企業(yè)網(wǎng)絡(luò)中搭建點(diǎn)到點(diǎn)的邏輯通道。諸如金融企業(yè)之類對于信息傳輸安全性要求頗高，使用加密隧道技術(shù)就可以更好的保護(hù)數(shù)據(jù)的安全性，非法窺視與篡改數(shù)據(jù)的行為被禁止。

(3)數(shù)據(jù)驗(yàn)證技術(shù)：一些非法用戶甚至黑客會在公用網(wǎng)絡(luò)上，通過一些網(wǎng)絡(luò)嗅探和網(wǎng)絡(luò)抓包工具非法截獲企業(yè)用戶的商業(yè)機(jī)密數(shù)據(jù)包，篡改后會再次發(fā)送，導(dǎo)致錯誤的數(shù)據(jù)會被接收，給數(shù)據(jù)收發(fā)雙方造成重大損失。數(shù)據(jù)驗(yàn)證的作用就是使接收方可以識別這種篡改，在收到篡改的數(shù)據(jù)后會將數(shù)據(jù)拋棄，不會再被欺騙，這種驗(yàn)證方式保證了數(shù)據(jù)的完整性。

(3)用戶驗(yàn)證：虛擬專用網(wǎng)能對用戶身份進(jìn)行驗(yàn)證，合法用戶可以成功訪問企業(yè)資源，非法訪問的訪問會被禁止。路由器中通過對用戶的身份認(rèn)證、服務(wù)授權(quán)、用戶對各種網(wǎng)絡(luò)服務(wù)用量的計賬配置成功后，就可以提供不同用戶身份以及訪問權(quán)限的控制等功能，數(shù)據(jù)虛擬專用網(wǎng)和企業(yè)外聯(lián)虛擬專用網(wǎng)的應(yīng)用都離不開用戶驗(yàn)證[4]。

3.2 可靠性

虛擬專用網(wǎng)是搭建在公用網(wǎng)之上的虛擬網(wǎng)，其運(yùn)行的可靠性受到物理外因的影響不大，對于技術(shù)力量薄弱的企業(yè)，可以將虛擬專用網(wǎng)的運(yùn)維管理工作進(jìn)行業(yè)務(wù)外包，由網(wǎng)絡(luò)服務(wù)供應(yīng)商進(jìn)行監(jiān)管，對于有專業(yè)運(yùn)維技術(shù)團(tuán)隊的企業(yè)，完全可以勝任保證虛擬專用網(wǎng)可靠而穩(wěn)定地運(yùn)行的工作。

3.3 擴(kuò)展性

隨著企業(yè)的壯大，合作企業(yè)也逐漸增多，外聯(lián)業(yè)務(wù)所產(chǎn)生的源源不斷商業(yè)信息頁會促使企業(yè)關(guān)注虛擬專用網(wǎng)的建設(shè)，以此連保障商業(yè)機(jī)密信息傳輸?shù)陌踩?。對于企業(yè)構(gòu)建的虛擬專用網(wǎng)來說，就需要進(jìn)行快速的配置和部署來應(yīng)對企業(yè)日益增多的客戶和合作伙伴之間的商務(wù)信息的傳輸，因此快速高效的搭建針對不同商業(yè)合作伙伴的多條虛擬專用網(wǎng)線路是非常重要的。

3.4 經(jīng)濟(jì)性

企業(yè)發(fā)展需控制成本，成本的有效控制是實(shí)現(xiàn)利潤增長的途徑之一，在保證虛擬專用網(wǎng)可擴(kuò)展性的同時，本著夠用稍有冗余的原則，應(yīng)在搭建企業(yè)虛擬專用網(wǎng)之前尋求技術(shù)專家做出經(jīng)濟(jì)可行性分析，以杜絕過度浪費(fèi)的投入。