摘? 要: 在介紹VPN技術的概念、工作原理、體系結構的基礎上，對這項技術的發展、組網方式" title="組網方式">組網方式、市場前景、所應用的領域及典型應用做了詳細分析和闡述。

　　關鍵詞: VPN? 虛擬? 封裝? 加密? 隧道技術

?

1 VPN的概念

　　VPN是英文Virtual Private Network的縮寫，中文譯為虛擬專用網" title="虛擬專用網">虛擬專用網。VPN是利用公共網絡基礎設施，通過“隧道”技術等手段達到類似私有專網" title="專網">專網的數據安全傳輸。VPN具有虛擬的特點:VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路，但同時VPN又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。VPN可以說是一種網絡外包，企業不再追求擁有自己的專有網絡，而是將對另外一個公司的訪問任務部分或全部外包給一個專業公司去做。這類專業公司的典型代表是電信企業。 ? VPN具有以下優點:

　　(1)降低成本:企業不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資。利用現有的公用網組建的Intranet，要比租用專線或鋪設專線要節省開支，而且當距離越遠時節省的越多。如:某企業的北京與紐約分部之間的連接，不太可能自鋪專線;當一個遠程用戶在紐約想要連到北京的Intranet，用撥號訪問時，花的是國際長途話費;而用VPN技術時，只需在紐約和北京分別連接到當地的Internet就實現了互聯，雙方花的都是市話費。????????

　　(2)容易擴展:網絡路由設備配置簡單，無需增加太多的設備，省時省錢。對于發展很快的企業來說，VPN就更是不可不用了。如果企業組建自己的專用網，在擴展網絡分支時，要考慮到網絡的容量，架設新鏈路，增加互聯設備，升級設備等;而實現了VPN就方便多了，只需連接到公用網上，對新加入的網絡終端在邏輯上進行設置，也不需要考慮公用網的容量問題、設備問題等。

　　(3)完全控制主動權:VPN上的設施和服務完全掌握在企業手中。例如，企業可以把撥號訪問交給NSP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

VPN通過采用“隧道”技術，并在Internet或國際互聯網工程工作組(IETF)制定的Ipsec標準統一下，在公眾網中形成企業的安全、機密、順暢的專用鏈路。

2 VPN的工作原理

　　圖1比較了常規的直接撥號連接與虛擬專網連接的異同點。在前一種情形中，PPP(點對點協議)數據包流是通過專用線路傳輸的。在VPN中，PPP數據包流是由一個LAN上的路由器發出，通過共享IP網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。這兩者的關鍵不同點是隧道代替了實在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。

?

　　基于IP的VPN基本上歸結為兩類:撥號VPN(一般稱為VDPN，即虛擬撥號專網)和專線VPN(Dedicated VPN，即專線的VPN)，完整的VPN解決方案通常把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。

　　撥號VPN(即VDPN)為移動用戶和遠程辦公用戶提供了對公司企業網的遠程訪問。這是當今最常見的一種VPN部署形式，主要是基于L2F協議。VDPN允許多個不同領域的用戶都能通過公共網絡或者Internet或其他公用網絡獲得安全的通路到他們的企業內部網絡。

　　提供私有撥號網絡服務的服務提供商" title="服務提供商">服務提供商可以用單個電話號碼提供給所有的用戶組織。訪問者可以用撥號網絡進入訪問服務器，訪問服務器通過PPP用戶名來區別訪問者。PPP用戶名是用于建立一個到企業網關的連接，當企業網關鑒別了用戶之后，訪問集線器建立一個通過網絡提供商的骨干網、到企業內部網關的安全遂道。

　　PPP協議同時也被傳輸到內部網關，在內部網關的本地安全策略和本地認證授權決定了用戶通過內部網關之后對內部網絡的訪問級別。

　　撥號VPN的原理如下圖2所示。服務提供商管理MODEM池和確保可靠的連通性，而商業公司管理其企業內部網的用戶認證。

?

?

　　專線VPN以多個用戶和比撥號VPN高速的連接為特征。有許多類型的專線VPN業務，但最常見的是在IP網上建立的IP VPN業務，如圖3所示。專線VPN提供了公司總部與公司分部、遠程分支辦事處以及Extranet用戶的虛擬點對點連接。

?

?

　　虛擬專用網的體系結構有多種形式，分類示意圖如圖4。

?

?

　　根據目前國內公眾多媒體通信網的狀況;在國內采用VPN組網一般分為三類:

　　(1)ATM PVC 組建方式，即利用電信部門提供的ATM PVC來組建用戶的專用網。這種專用網的通信速率快，安全性高，支持多媒體通信。

　　(2)IP Tunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證，不支持多媒體通信;使用國際通行的加密算法，安全性好;這種組網方式的業務在公眾通信網遍及的地方均可提供。

　　(3)Dial-up Access組網方式(VDPN)。這是一種撥號方式的專用網組建方式，可以利用已遍布全國的撥號公網來組建專用網，其接入地點在國內不限，上網可節省長途撥號的費用。對于流動性強、分支機構多、通信量小的用戶而言，這是一種非常理想的組網方式。它可以將用戶內部網的界限，從單位的地理所在延伸到全國范圍。

2.1 撥號VPN(VDPN)

　　撥號VPN又可分為客戶發起的(Client-Initiated)VPN和NAS發起的VPN。

2.1.1 客戶發起的VPN

　　在客戶發起的VPN中，用戶撥號到本地的POP遠程，由客戶來發出請求并建立到其企業內部網的加密隧道。為了建立一個安全的連接，客戶端運行IPsec軟件，客戶軟件與公司內部網絡防火墻上的IPsec進程通信，或者直接與支持IPsec的路由器通信，確保連接的安全性。這種形式的VPN優點是:

　　(1)遠程用戶能夠同時與多個Home Gateway建立 IP Tunnel。

????(2)遠程用戶不必重新撥號，就可以進入另一網絡。

????(3)VPN的建立和管理與ISP無關。

　　缺點是:因為這種加密的VPN隧道對于服務提供商而言是透明的，在客戶端需要專用的撥號軟件，而且管理移動PC上IPsec客戶端軟件也是麻煩的事情。因此，大部分的服務提供商會選擇VPN隧道作為其網絡一部分的形式，如下面所討論的那樣。

2.1.2? NAS發起的VPN

　　在NAS發起的VPN中，由服務提供商POP中的NAS請求并創建到客戶公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)協議來建立到客戶Home Gateway的安全隧道。L2TP是不久前建立的標準，這個標準結合了Cisco公司的L2F和微軟公司的PPTP協議。對于Home Gateway來說，L2F或L2TP隧道表現得似乎用戶是直接撥號到公司內部網上。

　　在這種撥號VPN形式中，用戶認證分兩級處理。當用戶撥入時，首先由服務提供商NAS執行基本的認證，這個認證僅僅識別出用戶的公司身份。然后，NAS打開到用戶公司Home Gateway的隧道，由Home Gateway來執行用戶級的認證功能。

這種VPN形式有若干優點:對撥號用戶透明，用戶PC上無需特殊的客戶軟件，因而管理簡單化;由于是由服務提供商初始化隧道，他們可以提供優質的撥號VPN服務，如通過預留Modem端口，優先的數據傳送等手段保證撥號VPN用戶得到所需的服務;NAS可以同時支持Internet或其他公用網絡和VPN服務;由于到某一目的的通信量全部通過單一隧道傳送，大規模部署將更具有可擴充性和可管理性。

這種VPN形式存在的缺點有:

　　(1)當遠程用戶進入其它網絡時，需要重新撥號，并且只能以另一用戶名登錄。

　　(2)遠程用戶不能同時進入多個網絡。

2.2 專線VPN

2.2.1 基于IP Tunnel的專線VPN

　　VPN與常規的直接撥號網絡不同，在VPN中，PPP數據包流不是通過專用線路，而是通過共享IP網絡上的隧道進行傳輸。這兩者的關鍵不同點是隧道代替了實際的專用線路。如何形成VPN隧道呢?

　　隧道是由隧道協議形成的，這與流行的各種網絡是依靠相應的網絡協議完成通信沒有區別。為了傳輸來自不同網絡的數據包，最普遍使用的方法是先把各種網絡協議(IP、IPX和AppleTalk等)封裝到PPP里，再把這整個PPP數據包裝入隧道協議里。隧道協議一般封裝在IP協議中，但也可以是 ATM 或 Frame Relay。由于隧道搭載的是PPP數據包(第二層)，所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網絡協議直接裝入隧道協議中(3Com公司的VTP就是這種隧道協議)，由于隧道直接搭載第三層協議的數據包，所以稱為“第3層隧道”。

2.2.2 基于Vitual Circuit(虛擬電路)的VPN

　　服務提供商可以提供虛擬電路來建立IP VPN服務。用PVC在幀中繼(Frame Relay)和ATM網絡中建立點對點連接，并通過路由器來管理第三層的信息。電信運營商或者郵電局可以采用這種辦法，充分利用其現有的幀交換(如幀中繼)或信元交換(如ATM)基礎設施提供IP VPN服務。

　　在前面敘述的專線VPN和撥號VPN本質上都是通過在公共IP網絡中建立隧道(tunnel)來提供服務的。與之不同，基于虛擬電路的VPN通過在公共的幀或信元交換網絡上的路由來傳送IP服務，是使用PVC而不是tunnel來建立隱私性。因此，加密是不需要的。

　　這種形式的VPN具有如下優點:受控的路由器服務為具有幀或信元基礎設施的服務提供商提供一種便宜、快速的建立VPN服務的辦法;可充分利用FR CIR(Committed Information Rate)和ATM QoS來確保QoS能力;虛擬電路拓撲的彈性;連接無須加密。

　　它的缺點是:不能靈活選擇路由;比IP Tunnel的相對費用高;缺少IP的多業務能力(如Voice Over IP、Video Over IP等)。

3 VPN技術的應用領域及典型應用

3.1 VPN應用的四個領域

　　企業內部網Itranet、遠程訪問、企業外部網Extranet、企業內VPN。另外，在很多涉及公司重要信息的傳輸及對數據完整性安全性要求比較高的場合，也大多選擇VPN技術。

3.2 VPN廣域網建設新的解決方案(即典型應用)

　　目前各行業網、專業網的應用主要有兩個方面:一是作為Internet或其他公用網絡的一部分，組織本行業的信息資源上網;二是作為一個內部網，為本行業、本系統的內部辦公自動化和業務處理系統服務。兩者都是采用Internet或其他公用網絡技術的IP數據通信" title="數據通信">數據通信。

　　對于各專業網兩種應用的第一種應用，其解決方案可以根據網絡的性質和信息資源的服務對象，各地就近接入當地的中國公用計算機互聯網(簡稱163網)或中國公眾多媒體通信網(簡稱169網)，完全省去了用于連接跨省的DDN專線，只需在域名規劃和信息主頁設計中統一規劃，統一形象，把有限的人力和物力用于專業的信息資源開發和深加工。

　　對于第二種應用或兩者都有的應用，則各地就近接入當地的169網或163網，采用VPN技術，實現跨地區的數據通信，充分利用169網高速(155MATM)的跨省通信主干道，建設自己的內部網。其網絡結構如圖5所示。

?

?

　　圖中的VPN表示內部專用網段。由于內部網的敏感數據在公網傳輸時是加密傳輸，因此可以實現安全廉價的跨地域數據通信。

　　同樣，本解決方案也適用于企業的跨地域數據通信，實現集數據、語音和圖像于一體的廣域網解決方案。實際上在國外率先采用VPN技術的就是跨國、跨地區的大公司和一些行業的網絡。

4 VPN技術的市場前景分析

　　Internet的飛速發展、用戶數的迅猛增長以及Web通信量和個人域名注冊都加速了其發展勢頭。美國商業部預測到2010年加入互聯網的企業將會超過500萬。這清楚地描述了下世紀Intenet產生以及將會產生的影響。一些研究表明在下世紀將會有70%～80%的商務使用VPN設備。它們還指出，僅擁有200個遠程用戶的美國某跨國公司棄專線而選用VPN后，僅僅4～5年時間就節省了150多萬美金。

　　公司希望花費不高的的代價來傳輸商務信息。VPN在這方面起了很重要的作用，它提供了減少開支、提高服務、維護客戶基礎的方法。許多公司選用VPN傳輸商務信息的原因是:

　　(1)VPN以Internet做支撐;

　　(2)無論對商業客戶來說還是對私人客戶來說，使用Internet都是一種經濟可行的方式;

　　(3)Internet 覆蓋全球;

　　(4)現在Internet傳輸效率極高，大多ISP能承受進行連接所帶來的負荷;

　　(5)VPN是靈活的、動態的、可升級的;

　　(6)VPN在可以利用公司硬件方面的現有投資。

　　雖然VPN在理解和應用方面都是高度復雜的技術，甚至確定其是否適用于本公司也是一件復雜的事情，但在大多數情況下VPN的各種實現方法都可以應用于每個公司。即使不需要使用加密數據，也可節省開支。此外，在未來幾年里，客戶和廠商很可能會使用VPN，從而使電子商務重又獲得生機，畢竟全球化、信息化、電子化是大勢所趨。

?

參考文獻

1 Steven brown著，董曉宇，魏 鴻，馬 潔等譯.構建虛擬專用網.人民郵電出版社，2000.11

2 [美]Thaddeus Fortenberry著，陸建業譯.Windows 2000虛擬專用網.清華大學出版社，2001.8

3 Ed Taylor著，鄭 巖，鄧 凌等譯.網絡互聯指南Networking?Handbook.人民郵電出版社，2001.8