VPN技术及其在企业中的应用

摘要：对VPN技术的典型应用做了详细分析和阐述。

关键词：VPN技术；隧道技术；安全技术

中图分类号：TP309.2 文献标识码：A文章编号：1007-9599 (2011) 08-0000-01

The Application of VPN Technology in Enterprise

Wang Hengxiang

(Tietong,Fujian Branch,Fuzhou350003,China)

Abstract:The typical application of VPN technology has made the detailed analysis and discussion.

Keywords:VPN technology;Channel technology;Safety technology

当前以Internet为标志的信息技术革命，正以惊人的速度改变着人们的生产、工作、学习和生活方式，全球信息化建设都处于一个高速发展的阶段，信息孤岛和信息共享安全已成为企业信息化建设过程中两个比较突出的问题。实现企业集团不同地点网络的互联有两种选择：一是组建传统的企业专用网络，二是组建VPN网络。前者需要采购相应的网络设备，租用或自建传输线路，进行网络的规划和建设以及网络建成后的维护和管理，成本高昂，通常适合于实力雄厚的大型企业集团；而对于中小企业来说，这高昂的成本开销是难以接受的，于是伴随着降低建网成本的市场需求，加之国内的IP资源有限的现状，企业的另一种选择-基于动态IP的VPN技术-悄然登场了，利用VPN组网成了企业网络建设性价比最高的解决方案。

一、VPN技术简介

VPN（虚拟专用网络，Virtual Private Network）是一种利用公共网络来构建的专用网络技术，“虚拟”这一概念是相对传统私有网络的构建方式而言的，VPN是用公共网络来实现远程的广域连接，通过它企业可以以更低的成本连接远程分支机构；或者在公共的骨干网络上承载不同的专用网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。简单地说VPN就是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，CPE-based VPN主要包含两种技术：隧道技术与安全技术。

（一）隧道技术

隧道技术的基本过程是在源局域网与公网的接口处将数据（可以是ISO七层模型中的数据链路层或网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。

（二）安全技术

VPN是在不安全的Internet中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。

1.认证技术。认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。

2.加密技术。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法，如DES、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。

3.密钥交换和管理。VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。

二、VPN在企业中的应用

VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。

（一）Access VPN（远程访问VPN）

客户端到网关。VPN允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。远程用户拨号接入到本地的ISP，它适用于流动人员远程办公，可大大降低电话费。SOCKSv5协议比较适合这类连接。

（二）Intranet VPN（企业内部VPN）

网关到网关。它适用于公司两个异地机构的局域网互连，在Internet上组建世界范围内的企业网。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接，因此，在这类组网方式中用得最多。

（三）Extranet VPN（扩展的企业内部VPN）

与合作伙伴企业网构成Extranet。由于不同公司的网络相互通信，所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接，选择IPSec协议是明智之举。使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。VPN可以实现不同网络的组件和资源之间的相互连接，能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。对中小企业来说，VPN是实现自建专网向利用运营商网络方向发展的重要技术，通过部署VPN，利用地理范围覆盖广阔，骨干网络带宽很高的运营商网络可以提供满足企业网络互连的需求，企业因此省去建设费用高昂的专有网络。对于建设了专用网络的大企业集团，利用MPLS VPN可以实现数据、语音、视频的多业务承载和、不同业务系统之间的隔离。MPLS VPN在保证不同业务的QOS和业务系统的安全隔离方面具有天然的优势。VPN组网应是企业信息化网络建设中性价比最高的解决方案。

参考文献：

[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002,9

[2]黄伟,王利长.第二层隧道协议L2TP的技术解析[Z].计算机世界网