VPN (Virtual Private Network)即虛擬專用網(wǎng)，是一項迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡(luò)連接通常由客戶機、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP／IP協(xié)議的。

VPN的主要特點

(1)網(wǎng)際互聯(lián)安全性高。VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過隧道、認證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

(2)經(jīng)濟實用、管理簡化。由于、VPN獨立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網(wǎng)絡(luò)接口所需設(shè)備上的開銷和安全配置。

(3)可擴展性好。如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務(wù)范圍。在遠程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對工作站自動進行配置。

(4)支持多種應(yīng)用。由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運用在廣域網(wǎng)上。VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真等。

(5)有效實現(xiàn)網(wǎng)絡(luò)資源共建共享。在網(wǎng)絡(luò)安全的保證下和認證技術(shù)的支持下，可以實現(xiàn)整個VPN體系中互聯(lián)單位的資源共建共享，避免資源重復開發(fā)帶來的巨大浪費，甚至可以實現(xiàn)普通讀者在家用ADSL來訪問公共圖書館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫。

VPN技術(shù)分析

VPN技術(shù)主要由三個部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，以此確保遠程客戶端能夠安全地訪問VPN服務(wù)器。

(1)隧道技術(shù)

1．隧道技術(shù)的實現(xiàn)

假設(shè)某公司在相距很遠的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20．1．0．0和20．2．0．0。顯然，這兩個部門若利用因特網(wǎng)進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125．1．2．3和192．168．5．27，?現(xiàn)在設(shè)部門A的主機x向部門B的主機Y發(fā)送數(shù)據(jù)報，源地址是20．1．0．1而目的地址是20．2．0．3。該數(shù)據(jù)報從主機x發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125．1．2．3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192．168．5．27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進行解密，恢復出原來的內(nèi)部數(shù)據(jù)報，并轉(zhuǎn)發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

VPN實現(xiàn)的關(guān)鍵技術(shù)是隧道，而隧道又是靠隧道協(xié)議來實現(xiàn)數(shù)據(jù)封裝的。在第二層實現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議，同樣在第三層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中，通過公網(wǎng)Intemet進行傳輸。因此，VPN技術(shù)的復雜性首先建立在隧道協(xié)議復雜性的基礎(chǔ)之上。隧道協(xié)議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協(xié)議，L2TP、PPTP屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN系統(tǒng)使分散布局的專用網(wǎng)絡(luò)架構(gòu)在公共網(wǎng)絡(luò)上安全通信。它采用復雜的算法來加密傳輸?shù)男畔ⅲ�使敏感的�?shù)據(jù)不會被竊聽

2．第二層隧道協(xié)議

L2TP是從Cisco主導的第二層向前傳送和Microsoft主導的點到點隧道協(xié)議的基礎(chǔ)上演變而來的，它定義了利用公網(wǎng)設(shè)施(如IP網(wǎng)絡(luò)，ATM和幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層點到點協(xié)議幀的方法。目前，Internet中的撥號網(wǎng)絡(luò)只支持IP協(xié)議，而且必須注冊IP地址：而L2TP可以讓撥號用戶支持多種協(xié)議，并且可以保留網(wǎng)絡(luò)地址，包括保留IP地址。利用I2TP提供的撥號虛擬專用網(wǎng)服務(wù)對用戶和服務(wù)提供商都很有意義，它能夠讓更多的用戶共享撥號接入和骨干IP網(wǎng)絡(luò)設(shè)施，為撥號用戶節(jié)省長途通信費用。同時，由于L2TP支持多種網(wǎng)絡(luò)協(xié)議，用戶在非IP網(wǎng)絡(luò)和應(yīng)用上的投資不至于浪費。

3．第三層隧道協(xié)議

IPSec是將幾種安全技術(shù)結(jié)合在一起形成的一個較完整的體系，它可以保證IP數(shù)據(jù)包的私有性、完整性和真實性。IPSee使用了Difie—Hellman密鑰交換技術(shù)，用于數(shù)字簽名的非對稱加密算法、加密用戶數(shù)據(jù)的大數(shù)據(jù)量加密算法、用于保證數(shù)據(jù)包的真實性和完整性的帶密鑰的安全哈希算法、以及身份認證和密鑰發(fā)放的認證技術(shù)等安全手段。IP．Sec協(xié)議定義了如何在IP數(shù)據(jù)包中增加字段來保證其完整性、私有性和真實性，這些協(xié)議還規(guī)定了如何加密數(shù)據(jù)包：Internet密鑰交換協(xié)議用于在兩個通信實體之間建立安全聯(lián)盟和交換密鑰。IPSec定義了兩個新的數(shù)據(jù)包頭增加到IP包上，這些數(shù)據(jù)包頭用于保證IP數(shù)據(jù)包的安全性。這兩個數(shù)據(jù)包頭是認證包頭和安全荷載封裝。其中IP數(shù)據(jù)包的完整性和認證由IPSec認證包頭協(xié)議來完成，數(shù)據(jù)的加密性則由安全荷載封裝協(xié)議來實現(xiàn)。

(2)用戶認證技術(shù)

如果數(shù)據(jù)包不經(jīng)過加密就通過不安全的Internet，即使已經(jīng)建立了用戶認證，VPN也不完全是安全的。為保護數(shù)據(jù)在網(wǎng)絡(luò)傳輸上的安全性，需利用密碼技術(shù)對數(shù)據(jù)進行加密。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權(quán)者不能了解被保護信息的內(nèi)容。加密算法中強度比較高，可用于保護敏感的財務(wù)信息的是IPSee的DES和3DES。?

除加密和解密外，VPN需要核實信息來源的真實性，確認信息發(fā)送方的身份，防止非授權(quán)用戶的非法竊聽和惡意篡改信息。核實發(fā)送方身份的過程稱為“認證”。認證可通過用戶名和口令實現(xiàn)，或者通過“電子證書”或“數(shù)字證書” 來完成，即證書和密鑰。它包含加密參數(shù)，可唯一地用作驗證用戶或系統(tǒng)身份的工具，提供高級別的網(wǎng)絡(luò)信息安全傳輸。

(3)加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權(quán)者不能了解被保護信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSee的DES和三次DESo?RC4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強度比較高，可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進行；

可以對數(shù)據(jù)或報文頭進行加密。在網(wǎng)絡(luò)層中的加密標準是IPSec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數(shù)據(jù)從終端系統(tǒng)到第一一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統(tǒng)的標準；而“隧道模式”方案，VPN安全粒度只達到子網(wǎng)標準。在鏈路層中， 目前還沒有統(tǒng)一的加密標準，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的，需要特別的加密硬件。

以上是對VPN技術(shù)的一些簡單的探討，VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)為用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，VPN技術(shù)在資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價值，在未來的信息化建設(shè)中具有廣闊的前景。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：淺談VPN技術(shù)

本文網(wǎng)址：http://www.oesoe.com/html/support/111215887.html