什么是虛擬專用網(wǎng)

VPN這個詞，大家或許經(jīng)常聽說，但恐怕真正了解的并不多，而實際上，在網(wǎng)絡(luò)界它的名聲遠揚并已廣泛應(yīng)用于企業(yè)、政府、金融等各個行業(yè)。

VPN的英文全稱是“Virtual Private Network”，即虛擬專用網(wǎng)絡(luò)，顧名思義，我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議，在連接于Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專用的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路（圖1）。而且相對Internet這個全球性和開放性的、不可管理的國際互聯(lián)網(wǎng)絡(luò)，VPN最大的優(yōu)勢在于企業(yè)用戶擁有高度控制性，尤其是基于安全基礎(chǔ)上的控制。一個內(nèi)部VPN能使企業(yè)對所有的安全認證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進行控制，建立端到端的安全架構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。

根據(jù)不同技術(shù)協(xié)議標(biāo)準和應(yīng)用范圍，VPN分為MPLS VPN、VPDN、IPsec VPN、SSL VPN等幾種類型。目前比較常見的VPN應(yīng)用形式包括有企業(yè)內(nèi)部網(wǎng)的連接、企業(yè)外部網(wǎng)的連接以及移動工作者到企業(yè)的連接，企業(yè)實施加密的VPN接入主要采用后兩種方式，即 IPSec VPN和SSL VPN（圖2）。

IPSec VPN和SSL VPN在不同領(lǐng)域各有優(yōu)勢，在實施固定點到點的VPN和復(fù)雜應(yīng)用的移動用戶接入VPN 時，一般采用IPSec VPN技術(shù)，而在實施普通應(yīng)用的移動用戶接入VPN 時，通常采用SSL VPN技術(shù)。單就技術(shù)角度而論，IPSec VPN的安全性要高于SSL VPN。在具有較多連接的IPSec VPN系統(tǒng)中，如果存在著安全性較低的傳輸端點，那么整個VPN系統(tǒng)的安全性都要受到威脅。例如，一個企業(yè)的子公司網(wǎng)絡(luò)被攻擊者滲透之后，通向總公司的VPN連接就為攻擊者提供了一條訪問路徑，而且該路徑可以直接穿透總公司的防火墻等安全設(shè)施。

要指出的是，無論采用哪種技術(shù)方式，都可以滿足企業(yè)的需要，這不僅能為企業(yè)的員工、合作伙伴等提供對內(nèi)網(wǎng)資源的安全遠程訪問，同時也可以消除因為遠程用戶客戶端的維護等帶來的諸多不便。目前，國內(nèi)外的網(wǎng)絡(luò)設(shè)備商都相繼推出了自己的VPN產(chǎn)品，其中包括思科（Cisco）、華為、ArrayNetworks、F5、天融信等著名設(shè)備供應(yīng)商，產(chǎn)品的形式有的是單獨的VPN網(wǎng)關(guān)，有的是和其它安全產(chǎn)品整合在一起的，如和防火墻集成在一起。

VPN的軟硬之爭

在VPN領(lǐng)域，一直存在軟件和硬件的口水戰(zhàn)。硬件VPN的支持者批評軟件產(chǎn)品在安全性方面存在問題，而軟件VPN的支持者認為硬件產(chǎn)品在使用和升級上不方便。

與防火墻產(chǎn)品類似，硬件VPN設(shè)備能夠提供較好的性能表現(xiàn)，適用于性能要求較高的場合，尤其在遠程維護方面，大多數(shù)硬件VPN產(chǎn)品都可以通過Telnet或Web方式遠程登錄并進行控制。不過這種硬件方案非常貴，價格從幾萬元到10多萬元不等。而軟件VPN方案最大的優(yōu)勢是建立成本相對要低，而且擁有極高的靈活性，缺點是軟件VPN維護起來相當(dāng)麻煩，網(wǎng)絡(luò)管理員不但要維護VPN軟件，還要考慮病毒、惡意攻擊及相關(guān)設(shè)備的軟、硬件沖突導(dǎo)致系統(tǒng)平臺不穩(wěn)定的因素出現(xiàn)，同時軟件VPN的性能在很大程度上取決于所應(yīng)用的硬件平臺。

因此在較大規(guī)模的應(yīng)用環(huán)境中，更適合采用基于硬件的VPN解決方案。如果網(wǎng)絡(luò)規(guī)模不大，選擇面向中小企業(yè)或小型辦公室的軟件VPN產(chǎn)品比較合適，這種VPN軟件多集成于防火墻或路由器中，性價比非常高，且支持多種寬帶接入方式，還提供了方便的管理工具，支持主流的VPN協(xié)議，如NETGEAR FVL328、NetScreen-50、Vigor 2300等。

當(dāng)然，最終如何選擇企業(yè)要根據(jù)自身的情況而定。在很多情況下軟硬件結(jié)合的VPN方案能更好地滿足用戶的要求，以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再配以適當(dāng)?shù)腣PN 軟件來實現(xiàn)VPN功能。下面我們以世界文字運算編碼（中國）有限公司的VPN方案為例進行分析，或許能對大家有所啟示。

VPN典型應(yīng)用案例分析

世界文字運算編碼（中國）有限公司的總公司設(shè)在北京，分公司在香港、上海、廣州、深圳、南寧、蘇州、重慶。目前公司總部通過100Mbps 寬帶接入方式接入Internet，各地分公司通過ADSL撥號方式或者寬帶接入Internet，分公司要實時將信息傳送到公司總部，總部也要將反饋的信息實時向分公司下發(fā)?，F(xiàn)在公司的情況是：總部通過光纖接入互聯(lián)網(wǎng)，內(nèi)部實現(xiàn)辦公自動化和Web、E-Mail 等服務(wù)，其它各分公司與總部的信息交流主要是通過郵件來實現(xiàn)，現(xiàn)在無法實現(xiàn)辦公自動化、Web 等服務(wù)。為實現(xiàn)辦公自動化、內(nèi)部Web和E_Mail服務(wù)，能實時地與各地分公司互聯(lián)，因此公司高層提出網(wǎng)絡(luò)互聯(lián)及網(wǎng)絡(luò)安全的需求，希望在總公司與分公司之間建立VPN連接，以達到以下目的：

●總公司與分公司之間能以安全、穩(wěn)定、成本低廉的VPN連接；

●1個中心節(jié)點與30個分節(jié)點進行安全互聯(lián)，加密要求:商業(yè)機密，處理速度:10Mbps 以上，要求支持動態(tài)IP 地址；

●通過VPN傳輸實現(xiàn)語音傳輸，不受網(wǎng)絡(luò)營運商對VoIP服務(wù)的限制；

●總部的網(wǎng)絡(luò)聯(lián)機必須支持多個WAN，以同時滿足VPN及內(nèi)部上網(wǎng)帶寬的需求；

●VPN設(shè)定容易，可由分公司人員自行設(shè)置。

基于以上這些需求，總公司要求使用一條10MB光纖，配合兩條ADSL電話線聯(lián)機，而分公司以一條ADSL電話線作為聯(lián)機的基礎(chǔ)。在設(shè)備上，總公司使用QVM1000產(chǎn)品，可支持3個WAN口和13個LAN口，連接一條10MB光纖和兩條ADSL線纜，使用兩條ADSL聯(lián)機是為方便選擇不同的網(wǎng)絡(luò)營運商服務(wù)，以避免單一營運商掉線的風(fēng)險。未來連接WAN的數(shù)量還可根據(jù)帶寬需要，增加光纖或ADSL聯(lián)機。

分公司則采用QVM330 VPN路由器，具有兩個網(wǎng)絡(luò)接口，一個用于內(nèi)網(wǎng)，一個通過ADSL線纜對外連接使用，各地分公司選擇不同的網(wǎng)絡(luò)營運商的線路，VPN聯(lián)機采用IPSec協(xié)議，以保證聯(lián)機的安全性（圖3）?？偣九c各分公司的VPN設(shè)定，通過俠諾專有的SmartLink功能進行，網(wǎng)管人員只要將設(shè)備寄到分公司，并提供總公司的VPN閘道IP、用戶名及密碼，即可由具有一般計算機操作能力的用戶完成設(shè)定。在外出差或想要連接總公司或分公司內(nèi)部網(wǎng)的用戶，可使用操作系統(tǒng)內(nèi)建的PPTP或IPSec應(yīng)用軟件，由網(wǎng)管人員代為設(shè)定，即可在出差時利用互聯(lián)網(wǎng)與公司內(nèi)部網(wǎng)聯(lián)接。同時，為了確保VoIP及視頻會議的服務(wù)水準，還可使用QVM系列產(chǎn)品中的QoS(服務(wù)品質(zhì))功能，限制上網(wǎng)或下載文件占用的帶寬，提供比穩(wěn)定的語音及影像傳輸服務(wù)。

本應(yīng)用案例其實就是目前國內(nèi)較為典型的VPN網(wǎng)絡(luò)連接架構(gòu)，總公司具有固定真實的IP，各地分公司采用多種接入方式接入Internet，通過VPN網(wǎng)關(guān)在Internet 上構(gòu)建起了企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)。

總結(jié)：VPN之所以受到歡迎，主要原因是采用這種網(wǎng)絡(luò)連接方式后，企業(yè)用戶可以節(jié)省長話費、網(wǎng)絡(luò)設(shè)備運行和維護費，而且具有連接快速、WAN連接管理方便的優(yōu)勢，這樣企業(yè)用戶就不必花較多的精力關(guān)注網(wǎng)絡(luò)運行和維護了，可以更多地致力于企業(yè)商業(yè)目標(biāo)的實現(xiàn)。

【編輯推薦】

1. 經(jīng)濟危機, IT經(jīng)理如何為企業(yè)省錢
2. 從應(yīng)用看VPN如何實現(xiàn)企業(yè)網(wǎng)絡(luò)安全
3. 如何看待VPN應(yīng)用方便與安全兩不誤
4. 節(jié)省開流 俠諾VPN助力企業(yè)飛躍金融危機