王 濤李 哲 魏金婷 賀亞美

（1、中國聯(lián)合網(wǎng)絡(luò)通信有限公司廊坊市分公司，河北 廊坊 065000；2、中國聯(lián)合網(wǎng)絡(luò)通信有限公司邢臺市分公司，河北 邢臺 054000；3、中國人民解放軍第六九一六工廠，河北 廊坊 065000）

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)提升使企業(yè)內(nèi)部職能部門，企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員等等，需要同企業(yè)總部之間建立快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣實(shí)現(xiàn)這個(gè)網(wǎng)絡(luò)通信環(huán)境，成為時(shí)下很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。文章就此闡述了基于VPN網(wǎng)絡(luò)的技術(shù)及其應(yīng)用。

1.VPN網(wǎng)絡(luò)技術(shù)概述

1.1VPN網(wǎng)絡(luò)技術(shù)定義。VPN的全稱是Virtual Private Network，現(xiàn)在我們一般稱為虛擬專用網(wǎng)絡(luò)。它的主要作用就是利用公用網(wǎng)絡(luò)將多個(gè)私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來。通過這個(gè)公用網(wǎng)絡(luò)進(jìn)行連接可以大大降低通信的成本。

目前，一般來說兩臺連接上互聯(lián)網(wǎng)的計(jì)算機(jī)只要知道對方的IP地址，是可以直接通信的。不過位于這兩臺計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議。

1.2 VPN網(wǎng)絡(luò)技術(shù)工作原理。VPN通過公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來。減輕了企業(yè)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，并且提供了安全的端到端的數(shù)據(jù)通訊。

位于這兩臺計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議，即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺直接和公用連接的計(jì)算機(jī)之間建立一個(gè)條專用通道。私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過這兩臺計(jì)算機(jī)或設(shè)備打包通過公用網(wǎng)絡(luò)的專用通道進(jìn)行傳輸，然后在對端解包，還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對于兩個(gè)私有網(wǎng)絡(luò)來說公用網(wǎng)絡(luò)就像普通的通信電纜，而接在公用網(wǎng)絡(luò)上的兩臺計(jì)算機(jī)或設(shè)備則相當(dāng)于兩個(gè)特殊的線路接頭。

1.3VPN網(wǎng)絡(luò)技術(shù)特點(diǎn)

1.31 特點(diǎn)一：成本低。VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，都比專線式的架構(gòu)節(jié)省，所以它能使網(wǎng)絡(luò)的總成本降低。根據(jù)筆者的分析，在 LAN-to-LAN連接時(shí)，用 VPN較使用專線的成本節(jié)省大約在 30%～50% 左右；而就遠(yuǎn)程訪問而言，用 VPN更能比直接撥入到企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省60%～80% 的成本。

1.32 特點(diǎn)二：管理方便。VPN使用了較少的設(shè)備來建立網(wǎng)絡(luò)，使網(wǎng)絡(luò)的管理較為輕松；不論連接的是什么用戶，均需通過VPN隧道的路徑進(jìn)入內(nèi)部網(wǎng)絡(luò)。

1.33 特點(diǎn)三：網(wǎng)絡(luò)架構(gòu)彈性大。VPN較專線式的架構(gòu)有彈性，當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)時(shí)，VPN可以輕易的達(dá)到目的，VPN（特別是硬件VPN）的平臺具備完整的擴(kuò)展性，大至企業(yè)總部的設(shè)備，小至各分公司，甚至個(gè)人撥號用戶，均可被包含于整體的 VPN架構(gòu)中。

1.34 特點(diǎn)四：技術(shù)安全性高。VPN網(wǎng)絡(luò)技術(shù)主要由三部分組成：隧道技術(shù)，數(shù)據(jù)加密、用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜??；用戶認(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題。目前，在我國VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

2.VPN網(wǎng)絡(luò)技術(shù)應(yīng)用

VPN網(wǎng)絡(luò)技術(shù)可以給企業(yè)提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。這項(xiàng)技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對移動用戶和漫游用戶的支持，使網(wǎng)絡(luò)時(shí)代的移動辦公成為現(xiàn)實(shí)。

2.1VPN網(wǎng)絡(luò)技術(shù)企業(yè)內(nèi)部應(yīng)用。目前，用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)--IP Sec VPN和SSL VPN，IPSecVPN和 SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠(yuǎn)程接入和互聯(lián)，雖然在技術(shù)上來說，它們也可以部署在其它的網(wǎng)絡(luò)上，但那樣就失去了其應(yīng)用的靈活性，它們更適用于商業(yè)客戶等對價(jià)格特別敏感的客戶。

針對IPSec VPN和SSL VPN兩種技術(shù)，目前業(yè)內(nèi)存在著較多爭議。在未來，IPSec的市場份額將下降，而SSL VPN將逐漸上升。用戶在考慮采用哪種技術(shù)時(shí)經(jīng)常會遇到兩難的選擇，即安全性與使用便利的沖突。IPSec VPN比較適合中小企業(yè)，其擁有較多的分支機(jī)構(gòu)，并通過VPN隧道進(jìn)行站點(diǎn)之間的連接，交換大容量的數(shù)據(jù)。企業(yè)的數(shù)據(jù)比較敏感，要求安全級別較高。企業(yè)員工不能隨便通過任意一臺電腦就訪問企業(yè)內(nèi)部信息，移動辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。

2.2VPN廣域網(wǎng)解決方案的應(yīng)用。目前各行業(yè)網(wǎng)、專用網(wǎng)的應(yīng)用主要有兩個(gè)方面：一方面作為Internet或其他公用網(wǎng)絡(luò)的一部分，組織本行業(yè)是信息資源上網(wǎng)；二方面作為一個(gè)內(nèi)部網(wǎng)，為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動化和業(yè)務(wù)處理系統(tǒng)服務(wù)。兩者都是采用Internet或其他公用網(wǎng)絡(luò)技術(shù)的IP數(shù)據(jù)通信。對于各專用網(wǎng)絡(luò)兩種應(yīng)用的第一種應(yīng)用，其解決方案可以根據(jù)網(wǎng)絡(luò)的性質(zhì)和信息資源的服務(wù)對象，各地就近接入當(dāng)?shù)氐闹袊糜?jì)算機(jī)互聯(lián)網(wǎng)或中國公眾多媒體通信網(wǎng)，完全省去了用于連接跨省的DDN專線，只需在域名規(guī)劃和信息主頁設(shè)計(jì)中統(tǒng)一規(guī)劃，統(tǒng)一形象，把有限的人力和物力用于專業(yè)的信息資源開發(fā)和深加工。

2.3 基于Internet的VPN網(wǎng)絡(luò)的應(yīng)用。在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天， Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu) Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互。

3.VPN網(wǎng)絡(luò)技術(shù)發(fā)展

VPN綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡單和低成本，建立安全的數(shù)據(jù)通道。VPN在降低成本的同時(shí)滿足了用戶對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求。

VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過加密處理的，這條安全通道的協(xié)議必須保證數(shù)據(jù)的真實(shí)性、數(shù)據(jù)的完整性、通道的機(jī)密性，提供動態(tài)密匙交換功能，提供安全防護(hù)措施和訪問控制，抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進(jìn)行訪問控制。

用戶需求將成為VPN技術(shù)發(fā)展的動力，多形式、多用途、靈活易用、功能強(qiáng)大、服務(wù)優(yōu)異的VPN產(chǎn)品將適用于不同的用戶群，部署在寬帶、窄帶、撥號或者移動通信網(wǎng)絡(luò)上。

4.對VPN網(wǎng)絡(luò)技術(shù)使用中的建議

在目前的企業(yè)選擇VPN技術(shù)使用時(shí)，我們一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶的目錄信息存放在一臺中央數(shù)據(jù)存儲設(shè)備中便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加，修改和查詢。每一臺接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫，存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等。

為有效的管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時(shí)跟蹤和掌握以下情況：系統(tǒng)的使用者，連接數(shù)目，異?；顒樱鲥e(cuò)情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對記費(fèi)，審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。一臺隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對數(shù)據(jù)進(jìn)行正確處理所需要的事件日志，報(bào)告和數(shù)據(jù)存儲設(shè)備。隨著市場應(yīng)用的擴(kuò)大，VPN的管理有待進(jìn)一步加強(qiáng)。

[1]閆曉弟.耶健.基于VPN的電子資源遠(yuǎn)程訪問系統(tǒng)的研究與實(shí)現(xiàn).情報(bào)雜志，2009(8).

[2]王達(dá)等.虛擬專用網(wǎng)(VPN)精解[M].北京：清華大學(xué)出版社，2004.

[3]楊永斌.VPN技術(shù)應(yīng)用研究[J].計(jì)算機(jī)科學(xué)，2004，（10）.

[4]王達(dá)等.虛擬專用網(wǎng)(VPN)精解[M].北京：清華大學(xué)出版社，2004.