一 引言

　　虛擬專(zhuān)用網(wǎng)(Virtual Private Network，VPN)是在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的一種安全的專(zhuān)用網(wǎng)絡(luò)。它可以提供多樣化的數(shù)據(jù)服務(wù)和快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。

　　VPN將加密技術(shù)、認(rèn)證技術(shù)、隧道協(xié)議進(jìn)行無(wú)縫結(jié)合，集靈活性、安全性、經(jīng)濟(jì)性以及擴(kuò)展性于一身，可充分滿(mǎn)足分支機(jī)構(gòu)、移動(dòng)辦公安全通信的需求。VPN結(jié)合了因特網(wǎng)和專(zhuān)用網(wǎng)的優(yōu)點(diǎn)，同時(shí)彌補(bǔ)了兩者的缺點(diǎn)。

二 什么是VPN

　　VPN是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)，即通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，形成一種邏輯上的專(zhuān)用網(wǎng)絡(luò)。它向用戶(hù)提供一般專(zhuān)用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)。

　　所謂“虛擬(Virtual)”，說(shuō)明它是一種仿真物理連接的邏輯網(wǎng)絡(luò)連接，沒(méi)有固定的物理連接，利用的是公共網(wǎng)絡(luò)資源。在VPN中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)用網(wǎng)所需的端到端的物理鏈路，而是利用公用網(wǎng)絡(luò)資源(如Internet、ATM網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)等)動(dòng)態(tài)組成的。所謂“專(zhuān)用(Private)”，說(shuō)明它在功能上等同于傳統(tǒng)的專(zhuān)用網(wǎng)絡(luò)，具有與內(nèi)部網(wǎng)絡(luò)相同的安全性、易管理性和穩(wěn)定性，可被當(dāng)作專(zhuān)用網(wǎng)絡(luò)使用。

　　VPN至少應(yīng)能提供如下功能：加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰�人截獲也不會(huì)泄露；信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶(hù)的身份；提供訪(fǎng)問(wèn)控制，不同的用戶(hù)有不同的訪(fǎng)問(wèn)權(quán)限。

三 VPN協(xié)議的分類(lèi)

　　要建立遠(yuǎn)程連接，客戶(hù)端和服務(wù)器必須使用相同的VPN協(xié)議。

　　3.1 PPTP隧道協(xié)議

　　點(diǎn)對(duì)點(diǎn)隧道協(xié)議(Point to Point Tunneling Protocol)是一種支持多協(xié)議虛擬專(zhuān)用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)，它工作在第二層，由微軟和其他遠(yuǎn)程接入設(shè)備供應(yīng)商組成的PPTP論壇開(kāi)發(fā)。

　　3.2 Layer Two Tunneling Protocol(L2TP)

　　L2TP是PPTP和第二層轉(zhuǎn)發(fā)(L2F)的結(jié)合，具有這兩個(gè)協(xié)議的優(yōu)點(diǎn)，由IETF開(kāi)發(fā)，現(xiàn)已成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。

　　3.3 Internet Protocol Security(IPSec)

　　IPSec是IETF的開(kāi)放標(biāo)準(zhǔn)框架，目標(biāo)是確保網(wǎng)絡(luò)層上的流量安全。

　　3.4 安全套接字層(SSL)

　　SSL(Secure Sockets Layer)是一種高層的安全協(xié)議，由Netscape開(kāi)發(fā)。SSL是最常用的進(jìn)行安全的Web瀏覽的協(xié)議，稱(chēng)為HTTPS。

　　3.5 多協(xié)議標(biāo)簽交換(MPLS)

　　MPLS的標(biāo)簽是一個(gè)基于分組交換技術(shù)，是從如Cisco的“標(biāo)簽切換”和IBM的“ARIS業(yè)務(wù)”等許多先前的技術(shù)發(fā)展而來(lái)的。

四 VPN分類(lèi)

　　4.1 按接入方式劃分

　　4.1.1 專(zhuān)線(xiàn)VPN

　　專(zhuān)線(xiàn)VPN是為已經(jīng)通過(guò)專(zhuān)線(xiàn)接入ISP(Internet Service Provider)路由器的用戶(hù)提供的VPN實(shí)現(xiàn)方案。這是一種“永遠(yuǎn)在線(xiàn)”的VPN，可以節(jié)省傳統(tǒng)的長(zhǎng)途專(zhuān)線(xiàn)費(fèi)用。

　　4.1.2 撥號(hào)VPN

　　撥號(hào)VPN是為通過(guò)PSTN或ISDN撥號(hào)接入ISP的用戶(hù)提供的VPN實(shí)現(xiàn)方案。這種VPN方式是目前最主要的VPN解決方案。

　　4.2 按隧道協(xié)議所屬的層次劃分

　　4.2.1 第二層隧道協(xié)議

　　第二層隧道建立在鏈路層，此協(xié)議先要把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中，這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有PPTP、L2F、L2TP等。

　　4.2.2 第三層隧道協(xié)議

　　第三層隧道協(xié)議即網(wǎng)絡(luò)層隧道協(xié)議，此協(xié)議把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成數(shù)據(jù)包來(lái)傳輸�，F(xiàn)有的第三層隧道協(xié)議主要是：通用路由封裝協(xié)議GRE、IP安全協(xié)議IPSec。

　　MPLS跨越第2層和第3層。VPN的實(shí)現(xiàn)往往將第2層和第3層協(xié)議配合使用，如L2TP/IPSec；當(dāng)然，還可根據(jù)具體的協(xié)議來(lái)進(jìn)一步劃分VPN類(lèi)型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

　　4.3 按VPN的發(fā)起主體不同來(lái)劃分

　　這是客戶(hù)和ISP(Internet Service Provider)最為關(guān)心的VPN分類(lèi)。VPN業(yè)務(wù)可以是客戶(hù)獨(dú)立自主實(shí)現(xiàn)的，也可以是由ISP提供的。

　　(1)客戶(hù)發(fā)起(也稱(chēng)基于客戶(hù)的)：VPN服務(wù)提供的其始點(diǎn)和終止點(diǎn)是面向客戶(hù)的，其內(nèi)部技術(shù)構(gòu)成、實(shí)施和管理對(duì)VPN客戶(hù)可見(jiàn)。需要客戶(hù)和隧道服務(wù)器(或網(wǎng)關(guān))方安裝隧道軟件。客戶(hù)方的軟件發(fā)起隧道，在公司隧道服務(wù)器處終止隧道。此時(shí)ISP不需要做支持建立隧道的任何工作。經(jīng)過(guò)對(duì)用戶(hù)身份(ID)和口令的驗(yàn)證，客戶(hù)方和隧道服務(wù)器極易建立隧道。雙方也可以用加密的方式通信。隧道一經(jīng)建立，用戶(hù)就會(huì)感覺(jué)到ISP不再參與通信。

　　(2)服務(wù)器發(fā)起(也稱(chēng)客戶(hù)透明方式或基于網(wǎng)絡(luò)的)：在公司中心部門(mén)或ISP處安裝VPN軟件，客戶(hù)無(wú)須安裝任何特殊軟件，主要為ISP提供全面管理的VPN服務(wù)，服務(wù)提供的起始點(diǎn)和終止點(diǎn)是ISP的POP，其內(nèi)部構(gòu)成、實(shí)施和管理對(duì)VPN客戶(hù)完全透明。

　　在上面介紹的隧道協(xié)議中，目前MPLS只能用于服務(wù)器發(fā)起的VPN方式。

　　4.4 按VPN的業(yè)務(wù)類(lèi)型劃分

　　按服務(wù)器類(lèi)型劃分，VPN業(yè)務(wù)可以大致分為三類(lèi)：接入網(wǎng)VPN、企業(yè)內(nèi)部網(wǎng)VPN、企業(yè)外部網(wǎng)VPN。

　　4.4.1 接入網(wǎng)VPN

　　是一種撥號(hào)方式的VPN，是企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的VPN網(wǎng)絡(luò)。

　　4.4.2 企業(yè)內(nèi)部網(wǎng)VPN

　　企業(yè)的總部與分支機(jī)構(gòu)之間通過(guò)公網(wǎng)構(gòu)筑的VPN網(wǎng)絡(luò)。

　　4.4.3 企業(yè)外部網(wǎng)VPN

　　這是企業(yè)在發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)問(wèn)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對(duì)等的方式連接起來(lái)所組成的VPN(主要在安全策略上有所不同)。通常把企業(yè)內(nèi)部網(wǎng)和企業(yè)外部網(wǎng)VPN都?xì)w為專(zhuān)線(xiàn)VPN。

　　4.5 按VPN的應(yīng)用平臺(tái)劃分

　　VPN的應(yīng)用平臺(tái)分為：軟件平臺(tái)和專(zhuān)用硬件平臺(tái)。

　　4.5.1 軟件平臺(tái)

　　當(dāng)對(duì)數(shù)據(jù)傳輸速率要求不高，對(duì)性能和安全性需求不強(qiáng)時(shí)，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來(lái)實(shí)現(xiàn)簡(jiǎn)單的VPN功能。

　　4.5.2 專(zhuān)用硬件平臺(tái)

　　專(zhuān)用硬件平臺(tái)的VPN設(shè)備可以滿(mǎn)足企業(yè)和個(gè)人用戶(hù)對(duì)高數(shù)據(jù)安全及通信性能的需求，尤其是加密及數(shù)據(jù)亂碼等對(duì)CPU處理能力需求很高的功能。提供這些平臺(tái)的硬件廠商比較多，比較有名的有國(guó)外的Nortel、Cisco、3Com等，國(guó)內(nèi)的華為、聯(lián)想、深信服等。

　　4.6 按路由管理方式劃分

　　按路由管理方式劃分，VPN分為兩種模式。

　　4.6.1 疊加模式(Overlay Model)

　　也譯為“覆蓋模式”。目前大多數(shù)VPN技術(shù)，如IPSec、GRE都基于疊加模式。采用疊加模式，各站點(diǎn)都有一個(gè)路由器通過(guò)點(diǎn)到點(diǎn)連接(IPSec、GRE等)到其他站點(diǎn)的路由器上，不妨將這個(gè)由點(diǎn)到點(diǎn)的連接以及相關(guān)的路由器組成的網(wǎng)絡(luò)稱(chēng)為“虛擬骨干網(wǎng)”。疊加模式難以支持大規(guī)模的VPN，可擴(kuò)展性差。如果一個(gè)VPN用戶(hù)有許多站點(diǎn)，而且站點(diǎn)間需要全交叉網(wǎng)狀連接，則一個(gè)站點(diǎn)上的骨干路由器必須與其他所有站點(diǎn)建立點(diǎn)對(duì)點(diǎn)的路由關(guān)系。站點(diǎn)數(shù)的增加受到單個(gè)路由器處理能力的限制。另外，增加新站點(diǎn)時(shí)，網(wǎng)絡(luò)配置變化也會(huì)很大，網(wǎng)狀連接上的每一個(gè)站點(diǎn)都必須對(duì)路由器重新配置。

　　4.6.2 對(duì)等模式(Peer Model)

　　對(duì)等模式是針對(duì)疊加模式固有的缺點(diǎn)推出的，它通過(guò)限制路由信息的傳播來(lái)實(shí)現(xiàn)VPN。這種模式能夠支持大規(guī)模的VPN業(yè)務(wù)，如一個(gè)VPN服務(wù)提供商可支持成百上千個(gè)VPN。采用這種模式，相關(guān)的路由設(shè)備很復(fù)雜，但實(shí)際配置卻非常簡(jiǎn)單，容易實(shí)現(xiàn)QoS服務(wù)，擴(kuò)展也更加方便，因?yàn)樾略鲆粋�(gè)站點(diǎn)，不需與其他站點(diǎn)建立連接，這對(duì)于網(wǎng)狀結(jié)構(gòu)的大型復(fù)雜網(wǎng)絡(luò)非常有用。MPLS技術(shù)是當(dāng)前主流的對(duì)等模式VPN技術(shù)。

五 VPN安全技術(shù)

　　目前VPN保證安全的主要技術(shù)是：隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。

　　5.1 隧道技術(shù)是VPN的基本技術(shù)

　　類(lèi)似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸，第二層隧道協(xié)議有L2F、PPTP、L2TP等，L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP于L2F而形成。

　　第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

　　5.2 加解密技術(shù)

　　加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

　　5.3 密鑰管理技術(shù)

　　密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取�，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種：

　　SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用和私用。

　　5.4 身份認(rèn)證技術(shù)

　　身份認(rèn)證技術(shù)最常用的是使用者名稱(chēng)與密碼或卡片式認(rèn)證等方式。

六 各種企業(yè)的需求及VPN解決方案

　　不同規(guī)模的企業(yè)對(duì)遠(yuǎn)程傳輸數(shù)據(jù)信息的安全性要求不同，下面將按企業(yè)的規(guī)模來(lái)分析企業(yè)的需求和VPN解決方案。

　　6.1 小型企業(yè)

　　6.1.1 需求分析

　　小型企業(yè)對(duì)信息安全的需求是存在的，要求見(jiàn)效快，產(chǎn)品使用維護(hù)方便，但是企業(yè)所能投入信息化的資金有限，因此，用于信息安全方面的投資會(huì)有所限制。由于小型企業(yè)受到客觀條件的制約，因此，遠(yuǎn)程數(shù)據(jù)通信需要選擇價(jià)格便宜、簡(jiǎn)單易用、性能穩(wěn)定和維護(hù)方便的產(chǎn)品及技術(shù)。

　　6.1.2 解決方案

　　基于現(xiàn)有的公網(wǎng)采用撥號(hào)VPN方式，使用軟件平臺(tái)。VPN服務(wù)提供商控制了整個(gè)VPN設(shè)施，最大優(yōu)點(diǎn)是他們不需要做任何實(shí)現(xiàn)VPN的工作，客戶(hù)不需要增加任何設(shè)備或軟件投資，整個(gè)網(wǎng)絡(luò)都由VPN服務(wù)提供商維護(hù)。最大的不足就是用戶(hù)對(duì)其控制權(quán)不足，存在一定的不安全因素。

　　6.2 中型企業(yè)

　　6.2.1 需求分析

　　中型企業(yè)對(duì)信息安全的需求是迫切的，要求VPN產(chǎn)品性能可靠穩(wěn)定，使用簡(jiǎn)便，便于維護(hù)，且企業(yè)能投人一定的信息化資金，但是仍然無(wú)法承受巨額的專(zhuān)線(xiàn)建設(shè)資金投資，因此，用于信息安全方面的仍然會(huì)有一定的限制。

　　6.2.2 解決方案

　　中型企業(yè)對(duì)數(shù)據(jù)傳輸速率及安全性方面有一定要求，連接用戶(hù)不多，可以采用的VPN解決方案：在總部與分部之間租用服務(wù)提供商的虛擬專(zhuān)線(xiàn)，客戶(hù)不需要購(gòu)買(mǎi)專(zhuān)門(mén)的隧道設(shè)備、軟件，由VPN服務(wù)提供商提供設(shè)備來(lái)建立通道并驗(yàn)證。企業(yè)仍然可以通過(guò)加密數(shù)據(jù)實(shí)現(xiàn)端到端的全面安全性。

　　對(duì)于企業(yè)員工出差或者在家辦公，則采用撥號(hào)VPN方式訪(fǎng)問(wèn)公司內(nèi)部網(wǎng)，既允許遠(yuǎn)程撥號(hào)連接，又能防止未授權(quán)訪(fǎng)問(wèn)和數(shù)據(jù)被截獲。對(duì)于遠(yuǎn)程VPN接人的方式可以根據(jù)用戶(hù)采用的加密算法的強(qiáng)度、隧道流量等屬性選擇靈活的計(jì)費(fèi)策略。

　　6.3 大型企業(yè)

　　大型企業(yè)規(guī)模較大，有多個(gè)分部或分公司，資金雄厚，企業(yè)員工眾多，有很強(qiáng)的抵抗風(fēng)險(xiǎn)能力。大型企業(yè)為追求更大利潤(rùn)，穩(wěn)定和擴(kuò)大市場(chǎng)，保持和客戶(hù)的關(guān)系，繼續(xù)保持行業(yè)內(nèi)的競(jìng)爭(zhēng)力，并逐步涉足其他行業(yè)，在財(cái)務(wù)、客戶(hù)、人力資源、產(chǎn)品產(chǎn)銷(xiāo)等方面都需要信息化的管理，以減少企業(yè)的管理成本，提高企業(yè)運(yùn)行與管理的效率，對(duì)企業(yè)信息化的需求非常迫切。

　　6.3.1 需求分析

　　大型企業(yè)要求VPN產(chǎn)品性能可靠穩(wěn)定，安全性高，傳輸效率高，可管理，且企業(yè)能夠進(jìn)行專(zhuān)項(xiàng)資金的投人，有足夠的技術(shù)人員對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)和管理。

　　6.3.2 解決方案

　　使用專(zhuān)用的硬件平臺(tái)，購(gòu)買(mǎi)成套昂貴的VPN設(shè)備和防火墻，配備專(zhuān)業(yè)技術(shù)人員，整個(gè)網(wǎng)絡(luò)都是在加密的隧道中完成通信的，非常安全。這是最為徹底的VPN網(wǎng)絡(luò)，在這種方案中企業(yè)具有完全的自主控制權(quán)。但是新建VPN網(wǎng)絡(luò)需要企業(yè)自身具備足夠的資金和人才實(shí)力，這種模式在總體投資上是最多的。對(duì)于企業(yè)員工出差或者在家辦公，同樣可以采用撥號(hào)VPN方式訪(fǎng)問(wèn)公司內(nèi)部網(wǎng)。

七 VPN在集成電路企業(yè)中的應(yīng)用

　　隨著集成電路產(chǎn)業(yè)在中國(guó)的逐漸成熟以及眾多國(guó)際大企業(yè)的進(jìn)入，中國(guó)的許多集成電路企業(yè)不斷的壯大，企業(yè)信息化程度越來(lái)越廣泛，工藝水平在不斷提高，制造能力不斷提升，工廠的數(shù)量也在不斷增加。分支機(jī)構(gòu)、遠(yuǎn)程用戶(hù)、出差用戶(hù)、商業(yè)合作機(jī)構(gòu)等與企業(yè)總部的信息交流不斷加強(qiáng)，這就需要VPN來(lái)提供強(qiáng)有力的支持。

　　迅速發(fā)展的廣域網(wǎng)技術(shù)，為企業(yè)VPN應(yīng)用提供了廣闊的發(fā)展空間。VPN技術(shù)已逐漸成為企業(yè)網(wǎng)安全建設(shè)的必要選擇。

八 結(jié)束語(yǔ)

　　現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn)以及企業(yè)電子商務(wù)環(huán)境中，VPN技術(shù)為信息集成與優(yōu)化提供了一個(gè)很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專(zhuān)用網(wǎng)絡(luò)，從而為企業(yè)用戶(hù)提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值，在未來(lái)的企業(yè)信息化建設(shè)中具有廣闊的前景。各種企業(yè)可以靈活的選擇適合的VPN方案，實(shí)現(xiàn)企業(yè)內(nèi)部的OA系統(tǒng)、郵件系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、ERP系統(tǒng)等，方便分支機(jī)構(gòu)、企業(yè)出差員工的安全移動(dòng)辦公，能夠加快企業(yè)的信息化進(jìn)程，提高公司的管理水平，極大地提高企業(yè)的生產(chǎn)效率和增加企業(yè)的綜合競(jìng)爭(zhēng)力。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：企業(yè)VPN技術(shù)應(yīng)用實(shí)施淺析

本文網(wǎng)址：http://www.oesoe.com/html/support/1112155136.html