VPN技术简述

　　一、VPN的定义 　　一般所说的虚拟专用网不是真的专用网络，虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame. Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。 　　二、VPN的特点 　　在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点： 　　1．安全保障 　　在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。 　　2．服务质量保证（QoS） 　　VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等，所有以上网络应用均要求网络根据需要提供不同等级的服务质量。 　　3．可扩充性和灵活性 　　VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 　　4．可管理性 　　VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。所以，VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 　　三、VPN安全技术 　　目前VPN主要采用四项技术来保证安全。 　　1.隧道技术是VPN的基本技术，类似于点对点连接技术。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议有VTP、IPSec等。 　　2.加解密技术是数据通信中一项较成熟的技术，第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。 　　3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。一般分为对称加密与非对称加密（专用密钥与公用密钥）。 　　4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 　　四、VPN的应用方案 　　随着互联网的兴起，企业开始寻求利用互联网来扩展他们的网络。按接入方式划分VPN，这是用户和运营商最关心的划分方式。建立在IP网上的VPN也就对应的有两种接入方式：专线接入方式和拨号接入方式。 　　一般来说，公司都会把搭建大型远程访问VPN的工作外包给企业服务提供商（ESP）。例如，3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN产品彼此兼容，还配备了TranscendWare软件，使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信，进而强制执行网络策略。这些设备通过监视VPN隧道，可以更好地管理拨号端口、带宽分配、网络负载等，对VPN环境进行有效的控制。 　　华为公司提供了各种有效的VPN解决方案，包括：Access VPN、Intranet VPN、Extranet VPN及结合防火墙的VPN解决方案。Quidway系列路由器支持各种VPN技术，包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等，并可继续发展，支持越来越多的先进技术，可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境，增强抵御黑客攻击、禁止非法访问的能力。 　　五、结束语 　　基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制，使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代：VPN路由器、交换机，发展到第二代的VPN集中器，性能不断得到提高。在网络时代，企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。 　　 　　参考文献： 　　[1]何宝宏，田辉等编著.IP虚拟专用网技术.人民邮电,出版日期：2008年06月 　　[2]Richard Deal.Cisco VPN完全配置指南,人民邮电出版社.2007-4 　　[3]马春光，郭方方.防火墙、入侵检测与VPN.北京邮电大学出版社 2008-8 　　[4]金汉均.VPN虚拟专用网安全实践教程,清华大学出版社,2010-1

　　一、VPN的定义 　　一般所说的虚拟专用网不是真的专用网络，虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame. Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。 　　二、VPN的特点 　　在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点： 　　1．安全保障 　　在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。 　　2．服务质量保证（QoS） 　　VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等，所有以上网络应用均要求网络根据需要提供不同等级的服务质量。 　　3．可扩充性和灵活性 　　VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 　　4．可管理性 　　VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。所以，VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 　　三、VPN安全技术 　　目前VPN主要采用四项技术来保证安全。 　　1.隧道技术是VPN的基本技术，类似于点对点连接技术。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议有VTP、IPSec等。 　　2.加解密技术是数据通信中一项较成熟的技术，第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。 　　3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。一般分为对称加密与非对称加密（专用密钥与公用密钥）。 　　4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 　　四、VPN的应用方案 　　随着互联网的兴起，企业开始寻求利用互联网来扩展他们的网络。按接入方式划分VPN，这是用户和运营商最关心的划分方式。建立在IP网上的VPN也就对应的有两种接入方式：专线接入方式和拨号接入方式。 　　一般来说，公司都会把搭建大型远程访问VPN的工作外包给企业服务提供商（ESP）。例如，3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN产品彼此兼容，还配备了TranscendWare软件，使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信，进而强制执行网络策略。这些设备通过监视VPN隧道，可以更好地管理拨号端口、带宽分配、网络负载等，对VPN环境进行有效的控制。 　　华为公司提供了各种有效的VPN解决方案，包括：Access VPN、Intranet VPN、Extranet VPN及结合防火墙的VPN解决方案。Quidway系列路由器支持各种VPN技术，包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等，并可继续发展，支持越来越多的先进技术，可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境，增强抵御黑客攻击、禁止非法访问的能力。 　　五、结束语 　　基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制，使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代：VPN路由器、交换机，发展到第二代的VPN集中器，性能不断得到提高。在网络时代，企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。 　　 　　参考文献： 　　[1]何宝宏，田辉等编著.IP虚拟专用网技术.人民邮电,出版日期：2008年06月 　　[2]Richard Deal.Cisco VPN完全配置指南,人民邮电出版社.2007-4 　　[3]马春光，郭方方.防火墙、入侵检测与VPN.北京邮电大学出版社 2008-8 　　[4]金汉均.VPN虚拟专用网安全实践教程,清华大学出版社,2010-1