架设企业虚拟专用网络 了解什么是VPN

什么是VPN？

　　很多经常出差在外的人员，都需要经常访问公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等资源，但是一般的外网是无法正常访问的公司内网的。针对这样的情况，VPN技术就诞生了。那么什么是VPN技术，它给我们的工作带来哪些便利呢？今天我们就和大家一起来探讨一下这项技术。

　　首先，让我先认识一下什么是VPN技术。

　　VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为："使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

　　用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。

　　所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。

　　由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。

VPN的工作原理

　　VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的　IP网所建立的隧道来完成的。我们通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。

　　常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。可以说，VPN是Intranet（内部网）在公众网络上的延伸，它可以提供与专用网一样的安全性、可管理性和传输性能，而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来，交由运营商来负责。

　　这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？

　　建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。

　　另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

　　VPN是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用公共网络做为企业骨干网的低成本优势，同时克服公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

　　VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个　VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

　　VPN是企业网在因特网等公共网络上的延伸，它能在公共网络上创建一个安全的私有连接，因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来，构成一个扩展的企业网。

为什么要用VPN？

　　VPN综合了传统数据网络的性能优点和共享数据网络结构的优点（简单和低成本），能够提供远程访问，外部网和内部网的连接，价格比专线或者帧中继网络要低得多。而且，VPN在降低成本的同时满足了对安全性，网络带宽，接入和服务不断增加的需求，因此，可以预测VPN必将成为未来企业传输业务的主要工具。

　　VPN的主要好处是能够允许员工在不同的地方工作(如地区销售办事处、饭店房间、客户的办公室以及WiFi站点)，并且知道他们的远程接入是非常安全的。此外，办公室和远程站点能够安全地共享信息、设备和资源，就像他们在一个办公楼里一样。由于VPN技术，你和你的团队成员能够在家里或者全球任何地方工作，就像在一个中央办公室一样安全和有效率。这样可以显著减少路途的时间，极大地减少成本和提供工作效率。企业内网的VPN为雇员提供对分支机构网络的安全内部访问。外联网的VPN提供对特定共享资源的安全外部访问。例如，外联网VPN可用来共享部件存货以及共享和供应商的订单。还可用来为客户提供产品信息和价格。也可用来为商业伙伴、顾问以及别的需要的人提供合作项目的访问。

　　VPN的好处使你不需要额外的客户端软件进行连接。越来越多的远程连接和应用程序是通过基于浏览器的工具建立和互动的。稳定和安全的VPN技术：显然，任何VPN设备的主要目的是提供安全。VPN的基本定义是在公共网络上传送秘密数据的技术。这个定义突出说明了避免数据损失和被窃的重要性。

　　保证一个用户或者一个系统的真实身份，通常通过请求提供登录名/口令或者安全证书来验证一个站点的IP地址。然而，要记住，被盗窃或者丢失的安全数据(无论是存储在一个备份磁盘、一台笔记本电脑中或者被员工偷窃的数据)能够攻破最强大的身份识别系统。

　　强大的加密是密码术中的一个词汇，是指当基本的明文改变时，对手看不出加密的文件中有什么有用的区别。正式地说，“强大的加密”是指用在普通环境下不可能破解的代码。如果有足够的时间和计算资源，任何代码都是可以破解的。但是，有些代码的破解要比其它的代码容易一些。强大的加密使破解代码相对困难一些，保证你的信息的机密性。在实践上，这意味着不值得费力进行这种破解(如使用一台超级计算机用半年时间进行破解)。要确保你的VPN加密技术足够强大以便做这个工作。

　　保证一个用户或者应用程序实际上允许做它正在做的事情。

　　有外联网的话，就可以采取过滤访问权限控制，即保证共享合作伙伴的资料又不会危及在同一台服务器上的公司内部数据。可以使用现有的网络资源和互联网来共享项目数据，不过要防止数据在传输过程中被窃听和修改。供应商就可以远程监控存货清单，并且在某存货达到预先设定的最低值时，自动运来需要的物品。

VPN的安全技术

　　由于VPN(虚拟专用网络)传输的是私有信息，VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

　　隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

　　第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

　　加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

　　身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

VPN的发展趋势

　　由于中小企业成为IT产业新的消费热点，而随着整合安全风潮的盛行，VPN技术的发展速度将得到延续。由于VPN体系的复杂性和融合性，VPN服务的成长速度将超越VPN产品，成为VPN发展的新动力。

　　由于承载VPN流量的非专用网络通常不提供QoS（服务质量）保障，所以VPN解决方案必须整合QoS解决方案才能够提供具有足够可用性的目前IETF已经提出了支持QoS（服务质量）的RSVP（带宽资源预留）协议，而IPv6协议也提供了处理QoS的能力。这为VPN的进一步普及化提供了足够的保障。随着IPv6网络的主流化进程，将会产生更具统治力的VPN架构，VPN技术将向着IP协议这类基础协议的形式发展。在不久的将来，VPN将可以成为更加基础的技术被内嵌到各种系统当中，从而实现完全透明化的VPN基础设施。

　　VPN（虚拟专用网）发展至今已经不在是一个单纯的经过加密的访问隧道了，它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，并在全球的信息安全体系中发挥着重要的作用。未来的VPN技术将如何发展，又将在信息安全事务中承担起什么样的角色，是非常值得我们关注的。