虛擬專用網(wǎng)絡(VPN)是一門新型的網(wǎng)絡技術，它為我們提供了一種通過公用網(wǎng)絡(如最大的公用因特網(wǎng))安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式。我們知道一個網(wǎng)絡連接通常由三個部分組成:客戶機、傳輸介質(zhì)和服務器。VPN網(wǎng)絡同樣也需要這三部分，不同的是VPN連接不是采用物理的傳輸介質(zhì)，而是使用一種稱之為“隧道”的東西來作為傳輸介質(zhì)的，這個隧道是建立在公共網(wǎng)絡或?qū)Ｓ镁W(wǎng)絡基礎之上的，如因特網(wǎng)或?qū)Ｓ肐ntranet等。同時要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡中必須配置有一臺基于Windows NT或Windows2000 Server(目前Windows系統(tǒng)是最為普及，也是對VPN技術支持最為全面的一種操作系統(tǒng))的VPN服務器，VPN服務器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(LAN)，另一方面要連接到因特網(wǎng)或其它專用網(wǎng)絡，這就要VPN服務器必須擁有一個公用的IP地址，也就是說企業(yè)必須先擁有一個合法的Internet或?qū)Ｓ镁W(wǎng)域名。當客戶機通過VPN連接與專用網(wǎng)絡中的計算機進行通信時，先由NSP(網(wǎng)絡服務提供商)將所有的數(shù)據(jù)傳送到VPN服務器，然后再由VPN服務器將所有的數(shù)據(jù)傳送到目標計算機。因為在VPN隧道中通信能確保通信通道的專用性，并且傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮、加密的，所以VPN通信同樣具有專用網(wǎng)絡的通信安全性。整個VPN通信過程可以簡化為以下4個通用步驟:

　　(1) 客戶機向VPN服務器發(fā)出請求;

　　(2) VPN服務器響應請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的用戶身份驗證響應信息發(fā)送到VPN服務器;

　　(3) VPN服務器根據(jù)用戶數(shù)據(jù)庫檢查該響應，如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問權限;如果該用戶擁有遠程訪問的權限，VPN服務器接受此連接;

　　(4) 最后VPN服務器將在身份驗證過程中產(chǎn)生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡。

　　1. VPN的優(yōu)勢

　　VPN網(wǎng)絡給用戶所帶來的好處主要表現(xiàn)在以下幾個方面:

　　(1) 節(jié)約成本

　　這是VPN網(wǎng)絡技術的最為重要的一個優(yōu)勢，也是它取勝傳統(tǒng)的專線網(wǎng)絡的關鍵所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠程接入服務器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。開銷的降低發(fā)生在4個領域之中:

　　移動通訊費用的節(jié)省:這主要是針對于有許多職工需要移動辦公的企業(yè)來說的，因為這樣對于出差在外地的移動用戶來說只需要接入本地的ISP就可以與公司內(nèi)部的網(wǎng)絡進行互連，大大減少了長途通信費。企業(yè)可以從他們的移動辦公用戶的電話費用上看到立竿見影的好處。

　　專線費用的節(jié)省:采用VPN的費用比起租用專線來要低40～60%，而無論是在性能、可管理性和可控性方面兩者都沒有太大的差別。通過向虛擬專線中加入語音或多媒體流量，企業(yè)還可以進一步獲得成本的節(jié)約。這一點對于過去有過租用象DDN之類的專線的企業(yè)用戶就會有更深刻的感受了，租用DDN一個小小的64k就得每月花費幾千上萬元費用，采用VPN后不僅這方面的費用會大大減少(但通常不能全免，因為在企業(yè)與NSP之間這一段還得租用NSP的專用線路，但這已是相當短的了)，而且還可能會在帶寬上有更大的優(yōu)勢，因為現(xiàn)在的VPN技術可以支持寬帶技術了。

　　設備投資的節(jié)省:VPN允許將一個單一的廣域網(wǎng)接口用作多種用途，從分支機構的互聯(lián)到合作伙伴通過外聯(lián)網(wǎng)(Extranet)的接入。因此，原先需要流經(jīng)不同設備的流量可以統(tǒng)一地流經(jīng)同一設備。由此帶來的好處便是企業(yè)不再像原先那樣需要大量的廣域網(wǎng)接口了，也不必再像以前那樣頻繁地進行周期性的硬件升級了，這樣就可大大減少了企業(yè)固定設備的投資，這對于是、小型企業(yè)來說是非常之重要的。此外，VPN還使企業(yè)得以繼續(xù)對其關鍵業(yè)務型的舊有系統(tǒng)進行有效利用，從而達到保護軟硬件投資的目的。

　　支持費用的節(jié)省:通過減少Modem池的數(shù)量，企業(yè)自身支持費用可以被降至最低。原先用來對遠程用戶進行支持的、經(jīng)常超負荷工作的企業(yè)支持熱線(通常還需由專人負責)被NSP幫助桌面系統(tǒng)所取代。而且，由于NSP幫助桌面系統(tǒng)可以完全實現(xiàn)從總部中心端進行管理，因此VPN可以極大地降低對遠程網(wǎng)絡的安裝和配置成本。在降低費用方面主要表現(xiàn)為:遠程用戶可以只通過向當?shù)氐腎SP申請賬戶登錄到因特網(wǎng)，以因特網(wǎng)作為隧道與遠程企業(yè)內(nèi)部專用網(wǎng)絡相連。這樣采用撥號方式的遠程用戶則不需要采用長途撥號，企業(yè)總部也可只支付ISP本地網(wǎng)絡使用費，在長途通信費用方面就會大幅度降低，據(jù)專業(yè)分析機構調(diào)查顯示，采用VPN與傳統(tǒng)的撥號方式相比可以節(jié)約通訊成本可達50%-80%。與租用專線方式相比更具有明顯的費用優(yōu)勢，一般VPN每條連接的費用成本只相當于租用專線的 40%到 60%;VPN還允許一個單一的WAN接口服務多種用途，因此用戶端只需要極少的 WAN接口和設備。而且由于VPN是可以完全管理，并且能夠從中央網(wǎng)站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網(wǎng)絡接口所需的設備上的開銷。另外，由于VPN獨立于初始的協(xié)議，這就使得遠端的接入用戶可以繼續(xù)使用傳統(tǒng)的設備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。

　　(2) 增強的安全性

　　目前VPN主要采用四項技術來保證數(shù)據(jù)通信安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、身份認證技術(Authentication)。

　　在用戶身份驗證安全技術方面，VPN是通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法來進行驗證，這些驗證方法包括:密碼身份驗證協(xié)議 (PAP)、質(zhì)詢握手身份驗證協(xié)議 (CHAP)、Shiva 密碼身份驗證協(xié)議 (SPAP)、Microsoft 質(zhì)詢握手身份驗證協(xié)議 (MS-CHAP) 和可選的可擴展身份驗證協(xié)議 (EAP);

　　在數(shù)據(jù)加密和密鑰管理方面VPN采用微軟的點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)進行加密，并采用公、私密鑰對的方法對密鑰進行管理。MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開銷。以上的身份驗證和加密手段由遠程VPN服務器強制執(zhí)行。對于采用撥號方式建立VPN連接的情況下，VPN連接可以實現(xiàn)雙重數(shù)據(jù)加密，使網(wǎng)絡數(shù)據(jù)傳輸更安全。

　　還有，對于敏感的數(shù)據(jù)，可以使用VPN連接通過VPN服務器將高度敏感的數(shù)據(jù)服務器物理地進行分隔，只有企業(yè)Intranet上擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網(wǎng)絡中受到保護的資源。

　　(3) 網(wǎng)絡協(xié)議支持

　　VPN支持最常用的網(wǎng)絡協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡中的客戶機都可以很容易地使用VPN。這意味著通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡協(xié)議的應用程序。新的VPN技術可以全面支持如AppleTalk、DECNet、SNA等幾乎所有的局域網(wǎng)協(xié)議，應用更加全面。

　　(4) 容易擴展

　　如果企業(yè)想擴大VPN的容量和覆蓋范圍，企業(yè)需做的事情很少，而且能及時實現(xiàn)，因為這些工作都可以交由專業(yè)的NSP來負責，從而可以保證工程的質(zhì)量，更可以省去一大堆麻煩。企業(yè)只需與新的NSP簽約，建立賬戶;或者與原有的NSP重簽合約，擴大服務范圍。VPN路由器還能對工作站自動進行配置。

　　(5) 可隨意與合作伙伴聯(lián)網(wǎng)

　　在過去，企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。這樣相當麻煩，不便于企業(yè)自身的發(fā)展，也就是租用的專線在靈活性方面是非常不夠。有了VPN之后，這種協(xié)商也毫無必要，真正達到了要連就連，要斷就斷，可以實現(xiàn)靈活自如的擴展和延伸。

　　(6) 完全控制主動權

　　借助VPN，企業(yè)可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡的控制權。比方說，企業(yè)可以把撥號訪問交給ISP去做，由自己負責用戶的查驗、訪問權、網(wǎng)絡地址、安全性和網(wǎng)絡變化管理等重要工作。

　　(7) 安全的IP地址

　　因為VPN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時，因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡地址。因此遠程專用網(wǎng)絡上指定的地址是受到保護的。IP地址的不安全性也是在早期的VPN沒有被充分重視的根本原因之一。

　　(8) 支持新興應用

　　許多專用網(wǎng)對許多新興應用準備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應用。VPN則可以支持各種高級的應用，如IP語音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等，而且隨著網(wǎng)絡接入技術的發(fā)展，新型的VPN技術可以支持諸如ADSL、Cable Modem之類的寬帶技術。

　　上面介紹了VPN的主要優(yōu)勢，那么哪些用戶適合采用VPN網(wǎng)絡連接呢?綜合VPN技術的特點，可以得出主要有以下四類用戶適合采用VPN進行網(wǎng)絡連接:

　　a. 網(wǎng)絡接入位置眾多，特別是單個用戶和遠程辦公室站點多，例如多分支機構企業(yè)用戶、遠程教育用戶;

　　b. 用戶/站點分布范圍廣，彼此之間的距離遠，遍布全球各地，需通過長途電信，甚至國際長途手段聯(lián)系的用戶，如一些跨國公司;

　　c. 帶寬和時延要求相對適中，如一些提供IDG服務的ISP;

　　d. 對線路保密性和可用性有一定要求的用戶，如大企業(yè)用戶和政府網(wǎng)。

　　根據(jù)VPN的應用平臺可分為:軟件平臺、專用硬件平臺及輔助硬件平臺三類。

　　(1)軟件平臺VPN

　　當對數(shù)據(jù)連接速率較低要求不高，對性能和安全性要求不強時，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實現(xiàn)簡單的VPN的功能，如checkpoint software 和Aventail Corp等公司的產(chǎn)品。甚至可以不需要另外購置軟件，僅依靠微軟的Windows操作系統(tǒng)，特別是自Windows 2000版

 

　2. 主要VPN協(xié)議

　　通過前面的介紹知道VPN隧道協(xié)議主要有三種:PPTP、L2TP和IPSec，PPTP和L2TP協(xié)議是工作在OSI/RM開放模型中的第二層，所以又稱之為第二層隧道協(xié)議。其實在第二層隧道協(xié)議中還有一種不是很主流的協(xié)議，那就是Cisco公司的L2F(Layer 2 Forwarding)協(xié)議。在VPN網(wǎng)絡中最常見的第三層隧道協(xié)議是IPSec，但另一種GRE(Generic Routing Encapsulation，通用路由封裝協(xié)議，在RFC 1701中早有描述)也是屬于一個第三隧道協(xié)議。

　　第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包隧道里傳輸?shù)摹５诙铀淼绤f(xié)議和第三層隧道協(xié)議一般來說分別使用，但合理的運用兩層協(xié)議，將具有更好的安全性。例如:L2TP與IPSec協(xié)議的配合使用，可以分別形成L2TP VPN、IPSec VPN網(wǎng)絡，也可混合使用L2TP、IPSec協(xié)議形成性能更強的L2TP VPN網(wǎng)絡，且這一VPN網(wǎng)絡形式是目前性能最好、應用最廣的一種，因為它能提供更加安全的數(shù)據(jù)通信，解決了用戶的后顧之憂。

　　3. VPN的部署模式

　　VPN的部署模式從本質(zhì)上描述了VPN通道的起始點和終止點，不同的VPN模式適用于不同的應用環(huán)境，滿足不同的用戶需求，總的來說有3種VPN部署模式:

　　(1)端到端(End-to-End)模式;

　　該模式是自建VPN的客戶所采用的典型模式，也是最為徹底的VPN網(wǎng)絡。在這種模式中企業(yè)具有完全的自主控制權，但是要建立這種模式的VPN網(wǎng)絡需要企業(yè)自身具備足夠的資金和人才實力，這種模式在總體投金上是最多的。最常見的隧道協(xié)議是IPSec和PPTP。這種模式一般只有大型企業(yè)才有條件采用，這種模式最大的好處，也是最大的不足之處就是整個VPN網(wǎng)絡的維護權都是由企業(yè)自身完成，需花巨資購買成套昂貴的VPN設備，配備專業(yè)技術人員，同時整個網(wǎng)絡都是在加密的隧道中完成通信的，非常安全，不像外包方式中存在由企業(yè)到NSP之間的透明段。

　　(2)供應商―企業(yè)(Provider-Enterprise)模式;

　　這是一種外包方式，也是目前一種主流的VPN部署方式，適合廣大的中、小型企業(yè)組建VPN網(wǎng)絡。在該模式中，客戶不需要購買專門的隧道設備、軟件，由VPN服務提供商(NSP)提供設備來建立通道并驗證。然而，客戶仍然可以通過加密數(shù)據(jù)實現(xiàn)端到端的全面安全性。在該模式中，最常見的隧道協(xié)議有L2TP、L2F和PPTP。

　　(3)內(nèi)部供應商(Intra-Provider)模式。

　　這也是一種外包方式，與上一種方式最大的不同就在于用戶對NSP的授權級別不同，這種模式非常適合小型企業(yè)用戶，因為這類企業(yè)一般沒有這方面的專業(yè)人員，自身維護起來比較困難，可以全權交給NSP來維護。這是很受電信公司歡迎的模式，因為在該模式中，VPN服務提供商保持了對整個VPN設施的控制。在該模式實現(xiàn)中，通道的建立和終止都是在NSP的網(wǎng)絡設施中實現(xiàn)的。對客戶來說，該模式的最大優(yōu)點是他們不需要做任何實現(xiàn)VPN的工作，客戶不需要增加任何設備或軟件投資，整個網(wǎng)絡都由VPN服務提供商維護。最大的足也就是用戶自身自主權不足，存在一定的不安全因素。

　　4. VPN的服務類型

　　根據(jù)VPN應用的類型來分，VPN的應用業(yè)務大致可分為3類:IntranetVPN、Access VPN與Extranet VPN，但更多情況下是需要同時用到這三種VPN網(wǎng)絡類型，特別是對于大型企業(yè)。

　　(1)Access VPN

　　Access VPN又稱為撥號VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機構通過公網(wǎng)遠程撥號的方式構筑的虛擬網(wǎng)。如果企業(yè)的內(nèi)部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用AccessVPN。

　　Access VPN通過一個擁有與專用網(wǎng)絡相同策略的共享基礎設施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。Access VPN包括能隨時使用如模擬撥號Modem、ISDN、數(shù)字用戶線路(xDSL)、無線上網(wǎng)和有線電視電纜等撥號技術，安全地連接移動用戶、遠程工作者或分支機構。典型網(wǎng)絡拓撲結構如圖1.3所示。這種方式相對傳統(tǒng)的撥號訪問具有明顯的費用優(yōu)勢，對于需要移動辦公的企業(yè)來說不失為一種經(jīng)濟安全、靈活自由的好方式，所以這種方式通常也是許多大、中型企業(yè)所必需的。當然它也可以獨自存在，如一些小型商務企業(yè)。

　　(2) Intranet VPN

　　Intranet VPN即企業(yè)的總部與分支機構間通過VPN虛擬網(wǎng)進行網(wǎng)絡連接。隨著企業(yè)的跨地區(qū)、國際化經(jīng)營，這是絕大多數(shù)大、中型企業(yè)所必需的。如果要進行企業(yè)內(nèi)部各分支機構的互聯(lián)，使用Intranet VPN是很好的方式。這種VPN是通過公用因特網(wǎng)或者第三方專用網(wǎng)進行連接的，有條件的企業(yè)可以采用光纖作為傳輸介質(zhì)。它的特點就是容易建立連接、連接速度快，最大特點就是它為各分支機構提供了整個網(wǎng)絡的訪問權限。

　　越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機構、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡連接方式一般是租用專線。顯然，在分公司增多、業(yè)務開展越來越廣泛時，網(wǎng)絡結構趨于復雜，費用昂貴。利用VPN特性可以在因特網(wǎng)上組建世界范圍內(nèi)的IntranetVPN。利用因特網(wǎng)的線路保證網(wǎng)絡的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構。企業(yè)擁有與專用網(wǎng)絡的相同政策，包括安全、服務質(zhì)量(QoS)、可管理性和可靠性。如圖1.4所示的是企業(yè)自建的IntranetVPN 網(wǎng)絡拓撲結構示意圖。

　　(3) Extranet VPN

　　Extranet VPN即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構筑的虛擬網(wǎng)。如果是需要提供B2B電子商務之間的安全訪問服務，則可以考慮選用Extranet VPN。

　　隨著信息時代的到來，各個企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關系也越來越多，信息交換日益頻繁。因特網(wǎng)為這樣的一種發(fā)展趨勢提供了良好的基礎，而如何利用因特網(wǎng)進行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內(nèi)部網(wǎng)絡的安全。

　　Extranet VPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡的相同政策，包括安全、服務質(zhì)量(QoS)、可管理性和可靠性。典型結構如圖1.5所示。

　　Extranet VPN對用戶的吸引力在于:能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問VPN相同的架構和協(xié)議進行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機會連接到其合作人的網(wǎng)絡，并且只擁有部分網(wǎng)絡資源訪問權限，這要求企業(yè)用戶對各外部用戶進行相應訪問權限的設定。典型網(wǎng)絡結構如圖1.5所示。

　　以上三種VPN模式，其實在后面將要介紹的Windows 2000系統(tǒng)中的VPN網(wǎng)絡中都統(tǒng)歸于兩種模式，即:遠程訪問VPN和路由器到路由器VPN，“遠程訪問VPN”對應于本節(jié)所介紹的Access VPN(VPDN)模式，而“Extranet VPN”和“Intranet VPN”則可統(tǒng)歸“路由器到路由器VPN”模式。但是又不能完全這么劃分，因為不同系統(tǒng)中對VPN模式的分類標準和前提不太一樣，本節(jié)所介紹的這三種VPN模式是基于整個VPN網(wǎng)絡來劃分的，而在Windows 2000系統(tǒng)中的這種VPN模式劃分的前提是在純軟件方式下進行的。