VPN，網(wǎng)絡安全，隧道技術，L2TP，GRE，IPSec，IKE，防火墻，QoS，網(wǎng)絡管理
　　
　　概述
　　隨著網(wǎng)絡，尤其是網(wǎng)絡經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡建設提出了更高的需求，主要表現(xiàn)在網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關注網(wǎng)絡的運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。華為Quidway系列路由器在安全、網(wǎng)絡優(yōu)化以及管理等方面對VPN給予了強大的支持。
　　
　　VPN定義
　　利用公共網(wǎng)絡來構建的私人專用網(wǎng)絡稱為虛擬私有網(wǎng)絡（VPN，Virtual Private Network），用于構建VPN的公共網(wǎng)絡包括Internet、幀中繼、ATM等。在公共網(wǎng)絡上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡一樣提供安全性、可靠性和可管理性等。
　　
　　“虛擬”的概念是相對傳統(tǒng)私有網(wǎng)絡的構建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴，如圖1所示。
　　
　　
　　
　　圖1 VPN應用示意圖
　　
　　由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務提供點），即可相互通信；而利用傳統(tǒng)的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權限就可以訪問企業(yè)內(nèi)部資源； 如果接入服務器的用戶身份認證服務器支持漫游的話，甚至不必擁有本地ISP的上網(wǎng)權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。
　　
　　VPN的類型
　　VPN分為三種類型：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的Extranet相對應。
　　
　　Access VPN
　　隨著當前移動辦公的日益增多，遠程用戶需要及時地訪問Intranet和Extranet。對于出差流動員工、遠程辦公人員和遠程小辦公室，Access VPN通過公用網(wǎng)絡與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡連接。在Access VPN的應用中，利用了二層網(wǎng)絡隧道技術在公用網(wǎng)絡上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡數(shù)據(jù)。
　　
　　Access VPN的結構有兩種類型，一種是用戶發(fā)起（Client-initiated）的VPN連接，另一種是接入服務器發(fā)起（NAS-initiated）的VPN連接。
　　
　　用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠程用戶通過服務提供點（POP）撥入Internet，接著，用戶通過網(wǎng)絡隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道（可加密）連接從而訪問企業(yè)網(wǎng)內(nèi)部資源。在這種情況下，用戶端必須維護與管理發(fā)起隧道連接的有關協(xié)議和軟件。
　　
　　在接入服務器發(fā)起的VPN連接應用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構建VPN所需的協(xié)議及軟件均由ISP負責管理和維護。
　　
　　Intranet VPN
　　Intranet VPN通過公用網(wǎng)絡進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。
　　
　　利用IP網(wǎng)絡構建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡數(shù)據(jù)，用于構建這種VPN連接的隧道技術有IPSec、GRE等。結合服務商提供的QoS機制，可以有效而且可靠地使用網(wǎng)絡資源，保證了網(wǎng)絡質(zhì)量?；贏TM或幀中繼的虛電路技術構建的VPN也可實現(xiàn)可靠的網(wǎng)絡質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構建VPN是最為經(jīng)濟的方式，但服務質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設時應根據(jù)自身的需求對以上的各種公用網(wǎng)絡方案進行權衡。
　　
　　1.2.3Extranet VPN
　　
　　Extranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。在傳統(tǒng)的專線構建方式下，Extranet通過專線互聯(lián)實現(xiàn)，網(wǎng)絡管理與訪問控制需要維護，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡設備；雖然可以通過撥號方式構建Extranet，但此時需要為不同的Extranet用戶進行設置，而同樣降低不了復雜度。 因合作伙伴與客戶的分布廣泛，這樣的Extranet建設與維護是非常昂貴的。 因此，諸多的企業(yè)常常是放棄構建Extranet，結果使得企業(yè)間的商業(yè)交易程序復雜化，商業(yè)效率被迫降低。
　　
　　Extranet VPN以其易于構建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術與Access VPN和Intranet VPN相同。Extranet用戶對于Extranet VPN的訪問權限可以通過防火墻等手段來設置與管理。