浅析虚拟专用网VPN应用

摘要：VPN被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用

关键词：VPN、虚拟专用网、远程用户、安全连接

信息时代的今天，以Internet为主体的信息高速公路迅速铺开，网络技术迅猛发展，网络的规模越来越大。从局域网、广域网到全球最大的互联网Internet，从封闭式的、自成体系的网络系统环境到开放式的网络系统环境，这一切无不说明网络技术迅猛发展的同时，也面临着对网络建设的挑战。各种网络安全技术和产品应运而生，其中虚拟专用网（VPN）及其相关技术经过多年的实践、发展和完善，以其方便性、安全性、标准化等优势脱颖而出，逐步成为实现企业网络跨地域安全互联的主要技术手段，是目前和今后一段时间内企业构建广域网络的发展趋势。

一 .VPN特点

VPN全称Virtual Private Network，虚拟专用网络，企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此需要在企业间建立安全的数据通道，该通道应具备以下的基本安全要素：保证数据真实性、保证数据完整性、保证数据的机密性、提供动态密钥交换功能和集中安全管理服务、提供安全防护措施和访问控制等。VPN即能有效解决这些安全问题，是因为VPN有以下几方面特点：

(一)成本低。通过公用网来建立VPN与建立专线方式相比，可以节省大量的费用开支。荆州电信运营商一条城区内2M专线价格为800至1000元/月，夸城区则为1500元/月，VPN的最大吸引力是价格。放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，故VPN价格更低廉。

(二)网络架构弹性大。VPN 较专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时， VPN可以轻易的达到目的，VPN硬件平台具备完整的扩展性，大至企业总部的设备，小至各分公司，甚至个人拨号用户，均可被包含于整体的 VPN 架构中，同时具有对未来广域网络频宽扩充及连接更新架构的特性。

(三)良好的安全性。VPN架构中采用了多种安全机制，如信道、加密、认证、防火墙及黑客侦防系统等技术，通过上述的各项网络安全技术，确保资料在公众网络中传输时不至于被窃取，或是即使被窃取了，对方亦无法读取封包内所传送的资料。

(四)管理方便。VPN 使用了较少的设备来建立网络，使网络的管理较为轻松；不论连接的是什么用户，均需通过VPN隧道的路径进入内部网络。

二．VPN的应用

VPN 可以有三大应用，分别为Access（远程访问虚拟专网）、 Intranet（企业内部虚拟专网） 及 Extranet（扩展的企业内部虚拟专网） 。

（一）Access VPN与传统的远程访问网络相对应。在该方式下远端用户不再是如传统的远程网络访问那样，而是拨号接入到用户本地的ISP ，利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。

这种方式最适用于公司内部经常有流动人员远程办公的情况。出差员工拨号接入到用户本地的ISP，就可以和公司的VPN网关建立私有的隧道连接，例如荆州海事局服务器出现故障，维护人员只需要在任何地方通过VPN连接，进行远程调试服务器设备。

（二）Intranet VPN与企业内部的Intranet 相对应。在VPN技术出现以前，公司两异地机构的局域网想要互联一般会采用租用专线的方式，虽然该方式也采用隧道等技术，在一端将数据封装后通过专线传输到目的方解封装，然后发往最终目的地。利用VPN特性可以在 Internet上组建世界范围内的Intranet VPN。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。

（三）Extranet VPN与企业网和相关合作伙伴的企业网所构成的Extranet相对应。此种类型与上种无本质区别，但由于是不同公司的网络相互通信，所以要更多地考虑设备的互联，地址的协调，安全策略的协商等问题。利用 VPN 技术可以组建安全的 Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。

三．VPN基本原理

VPN原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。

由于VPN连接的特点，一个完整的VPN系统一般包括以下三个单元：

(一)VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求，处理数据打包和解包工作。

(二)VPN客户端。一台计算机或设备用来发起VPN连接的请求，也处理数据的打包和解包工作。

(三)VPN数据通道。一条建立在公用网络上的数据连接。

四．使用VPN的优点

（一） 降低费用。首先远程用户可以通过向当地的ISP申请账户登陆到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。

（二）增强安全性。VPN通过使用点到点协议用户级身份验证的方法进行验证，对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔，所有的流量均经过加密和压缩后在网络中传输，为用户信息提供了最高的安全性保护。 （三）高度灵活性。用户不论是在家中、在出差途中、或是在其他任何环境中，只要该用户能够接入Internet，便能够安全地接入企业网内部。既不受地域限制，也不受接入方式限制。

（四）IP地址安全。因为VPN是加密的，VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到VPN使用的协议。因此，利用Internet作为传输载体，采用VPN技术，实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。

五、VPN的前景展望

由于Internet最初的设计不保证网络服务质量QoS，所以现有的VPN解决方案必须和一些QoS解决方案结合在一起，才能给用户提供高性能的虚拟专用网络。随着QoS在技术上越来越成熟，VPN技术可以通过QoS保证来获得越来越好的Internet服务，享受到和真正的专用网络一样的应用。

六、总结

VPN在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。此外，在未来几年里，客户和厂商很可能会使用VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋，VPN是计算机网络的新技术，它将使Internet成为一种商业工具，并为Intranet及Extranet的应用带来良好的前景。

参考文献:

[1]杨小平等.省略screen.省略/zhishipuji/knowledge/vpn.htm

[3]王达，等．虚拟专用网(VPN)精解[M] 北京：清华大学出版社，2004．

[4]《邮电商情》1999.19

[5]《实用无线电－－网络通信》2001.10