企业内部VPN：连通性与安全性并存

高质量通信要求网络通信可靠与安全，VPN技术与IPSec技术是构建网络安全体系的常用策略。

1.VPN本质

VPN是通过互联网等公共网络在分支机构或异地间建立连接，并进行安全通信的一种联网技术。VPN称虚拟专用网络，通信建立在公共互联网络基础之上，即非某企业或机构专有或租用的封闭线路，但同时又具有专线的数据传输功能。因此VPN具有对用户端透明，跨越互联网建立，在逻辑上相当于两地之间使用广域网建立的连接，使用户感觉是在使用专用线路。

2.VPN的组成

VPN由以下几部分组成。

VPN客户：VPN客户可以是一台单独的计算机或路由器。

VPN连接：指连接中加密数据的部分（对数据连接的相同部分进行加密和压缩）。

隧道：指连接中封装数据的部分。

隧道协议：指用来管理隧道及压缩专用数据的协议。VPN连接，隧道传输数据必须加密，包括PPTP和L2TP隧道协议。

隧道数据：指在专用点对点链接之间发送的数据。

传输互联网络：指压缩数据所通过的、共享的公共网络，通常为IP网络或专用Intranet。图10-24为VPN组成示意。

图10-24 虚拟专用网络的组成(www.xing528.com)

基于建立的对象，VPN大致可分两类：企业内部VPN（Intranet-Based VPN）和企业外部VPN（Extranet-Based VPN）。

企业内部VPN。在敏感部门网络和企业主网络之间建立一个VPN连接。该网络称企业内部VPN，因在一公司内部网中实现。这种VPN在通过验证机制提供安全性的同时，保证了连通性。验证机制在管理网络连接的VPN服务器上实现。

按照建立通信的方法，VPN也可分路由器到路由器VPN（Router-to-Router VPN）和远程访问VPN（Remote-Access VPN）。

路由器到路由器VPN：在路由器到路由器VPN中，客户端与一个路由器相连，而路由器再和VPN服务器相连。这种连接只有在客户端和服务器互相验证时才能建立。

远程访问VPN：VPN客户端不需要使用路由器就可和远程访问VPN服务器直接建立一个连接，远程访问VPN服务器验证该客户端。客户端被验证后，才被允许访问网络及远程访问服务器管理资源。企业外部VPN既可作为路由器到路由器VPN，也可作为远程访问VPN。

3.VPN的基本要求

通常采用一种VPN方案，希望能对访问资源与信息的要求加以控制，既可实现授权用户与局域网资源的自由连接和不同分支机构间的资源共享，又要确保数据在公共互联网络或内部网络上传输时安全性不被破坏，因此，VPN方案应满足以下基本要求。

●用户验证：必须能验证用户身份并严格控制只有授权用户才能访问VPN。必须能提供审计和计费功能，显示何人何时访问了哪些数据信息。

●地址管理：必须能为用户分配专用网络上的地址并确保地址的安全性。

●数据加密：对通过公共互联网络传递的数据必须加密，确保未授权用户无法读取信息。

●密钥管理：必须能够生成并更新客户端和服务器的加密密钥。

●多协议支持：必须支持公共互联网络上普遍使用的基本协议，包括IP、IPX等以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）。