内容发布更新时间 : 2024/9/17 13:25:21星期一 下面是文章的全部内容请认真阅读。

VPN技术应用

1VPN的概念

VPN的英文VirtualPrivateNetwork的缩写，可文译为虚拟专用网。VPN是利用公共网络基础设施，通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点：VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但同时VPN又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包，企业不再追求拥有自己的专有网络，而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点：

（1）降低成本：企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet，要比租用专线或铺设专线要节省开支，而且当距离越远时节省的越多。如：某企业的北京与纽约分部之间的连接，不太可能自铺专线：当一个远程用户在纽约想要连到北京的Intranet，用拔号访问时，花的是国际长途话费；而用VPN技术时，只需在纽约和北京分别连接到当地的Internet就实现了互联，双方花的都是市话费。

（2）容易扩展：网络路由设备配置简单，无需增加太多的设备，省时省钱。对于发展很快的企业来说，VPN就更是不可不用了。如果企业组建自己的专用网，在扩展网络分支时，考虑到网络的容量，架设新链路，增加互联设备，升级设备等；而实现了VPN就方便多了，只需连接到公用网上，对新加入的网络终端在逻辑上进行设置，也不需要考虑公用网的容量问题、设备问题等。 （3）完全控制主动权：VPN上的设施和服务完全掌握在企业手可。例如，企业可以把拨号访问交给NSP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

VPN通过采用“隧道”技术，并在Internet或国际互联网工程工作组（IETF）制定的Ipsec标准统一下，在公众网可形成企业的安全、机密、顺畅的专用链路。

2VPN的工作原理

图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN可，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。

基于IP的VPN基本上归结为两类：拨号VPN（一般称为VDPN，即虚拟拨号专网）和专线VPN（DedicatedVPN,即专线的VPN），完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。

拨号VPN（即VDPN）为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式，主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。

提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器，访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接，当企业网关鉴别了用户之后，访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。

PPP协议同时也被传输到内部网关，在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。

拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性，而商业公司管理某企业内部网的用户认证。

专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务，但最常见的是在IP网上建立的IPVPN业务，如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。

虚拟专用网的体系结构有多种形式，分类示意图如图4。

模拟目前国内公众多媒体通信网的状况；在国内采用VPN组网一般分为三类： （1）ATMPVC组建方式，即利用电信部分提供的ATMPVC来组建用户的专用网。这种专用网的通信速率快，安全性高，支持多媒体通信。

（2）IPTunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证，不支持多媒体通信；使用国际通行的加密算法，安全性好；这种组网方式的业务在公众通信网遍及的地方均可提供。

（3）Dial-upAccess组网方式（VDPN）。这是一种拨号方式的专用网组建方式，可以利用已遍布全国的拨号公网来组建专用网，其接入地点在国内不限，上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言，这是一种非常理想的组网方式。它可以将用户内部网的界限，从单位的地理所在延伸到全国范围。 2.1拨号VPN（VDPN）

拨号VPN又可分为客户发起的（Client-Initiated）VPN和NAS发起的VPN。

2.1.1客户发起的VPN

在客户发起的VNP中，用户拨号到本地的POP远程，由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接，客户端运行Ipsec软件，客户软件与公司内部网络防火墙上的Ipsec进程通信，或者直接与支持Ipsec的路由器通信，确保连接的安全性。这种形式的VPN优点是： （1）远程用户能够同时与多个HomeGateway建立IPTunnel。 （2）远程用户不必重新拨号，就可以进入另一网络。 （3）VPN的建立和管理与ISP无关。

缺点是：因为这种加密的VPN隧道对于服务提供商而言是透明的，在客户端需要专用的拨号软件，而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此，大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式，如下面所讨论的那样。 2.1.2NAS发起的VPN

在NAS发起的VPN中，由服务提供商的POP中的NAS请求并创建到客户公司路由器（或者HomeGateway）的VPN隧道。NAS使用L2F

（Layer2ForwardingProtocol）或者L2TP（Layer2TunnelingProtocol）协议来建立到客户HomeGateway的安全隧道。L2TP是不久前建立的标准，这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于HomeGateway来说，L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。 表现得似乎用户是直接拨号到公司内部网上。

在这种拨号VPN形式中，用户认证公两级处理。当用户拨入时，首先由服务提供商NAS执行基本的认证，这个认证仅仅识别出用户的公司身份。然后，NAS打开到用户公司HomeGateway的隧道，由HomeGateway来执行用户级的认证功能。

这种VPN形式有若干优点：对拨号用户透明，用户PC上无需特殊的客户软件，因而管理简单化；由于是由服务提供商初始化隧道，他们可以提供优质的拨号VPN服务，如通过预留Modem端口，优先的数据传送等手段保证拨号VPN用户得到所需的服务；NAS可以时支持Internet或其他公用网络和VPN服务；由于到某一目的的通信量全部通过单一隧道传送，大规模部署将更具有可扩充性和管理性。

这种VPN形式存在的缺点有：

（1）当远程用户进入其它网络时，需要重新拨号，并且只能以另一用户名登录。