VPN技术在企业内部互联网络中的应用

在广域网传输中，信息泄露的安全问题层出不穷，网络中传输的数据有被窃听和篡改的风险。如何在保证企业网络资源的安全的同时，解决企业网络的远程访问问题？在传统的企业网络配置中，要进行远程访问时，方法是租用DDN或FR，这样的通信方案必然导致高昂的网络通信和维护费用。VPN 利用公众数据网络资源为客户构成临时的、安全的、虚拟专用网的一种互联服务。

1.什么是VPN

虚拟专用网络（virtual private network，VPN）是在公共网络中建立的专用网络，并且数据通过公共网络中的安全“加密信道”传输，如图5－6所示。公用网络包括互联网、帧中继和ATM 等。虚拟，是指用户不再需要拥有实际的、单独的、专用的数据线路，而是使用公用网络的数据线路。专用网络，是指客户的应用就像在自己私网内一样，安全、可靠和满足自身的各种应用需求。

虚拟专用网VPN

★通信小知识

【固定网国内数据传送业务】

固定网国内数据传送业务的类型包括虚拟IP 专线数据传送业务、PVC 数据传送业务、交换虚电路数据传送业务、虚拟专用网（不含IP－VPN）业务等。因此，固定网国内数据传送业务不包括建立于互联网的虚拟专用网。

图5－6　虚拟专用网络（VPN）

2.VPN 的实现

VPN 的实现有很多种方法，常用的有以下四种：

①VPN 服务器：在大型局域网中，可以通过在网络中心搭建VPN 服务器的方法实现VPN。

②软件VPN：可以通过专用的软件实现VPN。

③硬件VPN：可以通过专用的硬件实现VPN。

④集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN 功能，但是拥有VPN功能的硬件设备通常比没有这一功能的要贵。

3.VPN 技术

（1）隧道技术

①隧道技术：实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，第一层隧道即IP 隧道的建立可以在链路层和网络层。第二层隧道主要是PPP（点到点协议）连接，如PPTP（点到点隧道协议），L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

②隧道协议：隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。

PPTP：PPTP 是一种用于让远程用户拨号连接到本地的ISP，通过互联网安全远程访问公司资源的新型技术。它能将PPP 帧封装成IP 数据包，以便能够在基于IP 的互联网上进行传输。PPTP 使用TCP（传输控制协议）连接来创建、维护与终止隧道，并使用GRE（通用路由封装）将PPP 帧封装成隧道数据。被封装后的PPP 帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

L2TP 协议：L2TP 是PPTP 与L2F（第二层转发）的一种综合，是由思科公司所推出的一种技术。(www.xing528.com)

IPSec 协议：是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。IPSec 的主要特征在于它可以对所有IP 级的通信进行加密。

（2）加解密技术

加解密技术是数据通信中一项较成熟的技术，VPN 可直接利用现有技术实现加解密。

（3）密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。

（4）使用者与设备身份认证技术

使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

4.VPN 的优点

①使用VPN 可降低成本。通过公用网来建立VPN，可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。采用VPN 可以达到与租用专线相同的效果，但所花费用要比租用专线低40%～60%。

②传输数据安全可靠。VPN 产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

③连接方便灵活。用户如果想与合作伙伴联网，如果没有VPN，双方的信息技术部门就必须协商如何在双方之间建立DDN 线路或FR 线路，有了VPN 之后，只需双方配置安全连接信息即可，或增加几台设备，扩大服务范围。

④完全控制主动权。VPN 使用户可以利用ISP 的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP（互联网服务提供商）提供的网络资源，对于其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

5.VPN 应用案例

鉴于VPN 的优点使其在企业中广受青睐。针对不同的需求，VPN 还能提供更有针对性的应用场景。

①远程接入VPN：用于异地办公的员工访问公司内网。

远程接入VPN 是指总部和所属同一个公司的小型或家庭办公室（small office Home office，SOHO）以及出外员工之间所建立的VPN，如图5－7所示。SOHO 通常以ISDN 或DSL 的方式接入公共网络，在其边缘使用路由器与总部的边缘路由器、防火墙之间建立起VPN。移动用户的电脑中已经事先安装了相应的客户端软件，可以与总部的边缘路由器、防火墙或者专用的VPN 设备建立VPN。

图5－7　远程接入VPN

②内联网VPN：将企业总部和外地分公司通过虚拟专用网络连接在一起。

公司总部和其分支机构、办公室之间建立的VPN 替代了传统的专线或分组交换WAN连接，它们形成了一个企业的内部互联网络（图5－8）。

图5－8　内联网VPN