虛擬專用網(wǎng)（VPN）以其獨(dú)具特色的優(yōu)勢(shì)，贏得了越來(lái)越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。

虛擬專用網(wǎng)（VPN）代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢(shì)，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和 QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡(jiǎn)單和低成本），能夠提供遠(yuǎn)程訪問(wèn)，外部網(wǎng)和內(nèi)部網(wǎng)的連接，價(jià)格比專線或者幀中繼網(wǎng)絡(luò)要低得多。而且，VPN在降低成本的同時(shí)滿足了對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，因此，VPN必將成為未來(lái)企業(yè)傳輸業(yè)務(wù)的主要工具。

VPN是利用公網(wǎng)來(lái)構(gòu)建專用網(wǎng)絡(luò)，它是通過(guò)特殊設(shè)計(jì)的硬件和軟件直接通過(guò)共享的IP網(wǎng)所建立的隧道來(lái)完成的。我們通常將 VPN當(dāng)作 WAN解決方案，但它也可以簡(jiǎn)單地用于 LAN。VPN類似于點(diǎn)到點(diǎn)直接撥號(hào)連接或租用線路連接，盡管它是以交換和路由的方式工作，如圖所示。許多企業(yè)擔(dān)心在共享的 IP網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)會(huì)被網(wǎng)絡(luò)黑客截獲甚至修改。因此，在大多數(shù)情況下，在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過(guò)加密處理的。使用VPN，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（介入服務(wù)提供點(diǎn)）即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術(shù)，彼此之間要有專線相連才可達(dá)到相同目的。有研究機(jī)構(gòu)表明，如果企業(yè)采用VPN替代租用DDN專線，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%，若替代撥號(hào)連網(wǎng)方式，可節(jié)約通信成本50%-80%，VPN的優(yōu)勢(shì)顯而易見(jiàn)。

VPN公網(wǎng)開(kāi)“隧道”

VPN的核心是被稱為“隧道”的技術(shù)。隧道允許 VPN的數(shù)據(jù)流被路由通過(guò) IP網(wǎng)絡(luò)而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。從這個(gè)意義上說(shuō)，VPN的操作獨(dú)立于其他的網(wǎng)絡(luò)協(xié)議，隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類型的數(shù)據(jù)包。

隧道技術(shù)的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開(kāi)發(fā)的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)是第一個(gè)廣泛使用來(lái)建立 VPN的協(xié)議。目前，Windows 95、98和 NT 4.0都支持 PPTP，這就使絕大多數(shù)的桌面計(jì)算機(jī)可以初始化一個(gè) VPN。PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來(lái)，然后封裝在一個(gè)PPTP包中，這樣就可以支持客戶機(jī) - LAN（例如：移動(dòng)用戶到園區(qū) LAN）和 LAN - LAN（例如：銷售機(jī)構(gòu)到園區(qū) LAN）兩種隧道。

VPN改造企業(yè)網(wǎng)
Internet服務(wù)提供商（ISP）和企業(yè)將是VPN的直接受益者。ISP將VPN作為一項(xiàng)增值業(yè)務(wù)推向企業(yè)，并從企業(yè)得到回報(bào)。因此，VPN的最終目的是服務(wù)于企業(yè)，為企業(yè)帶來(lái)可觀的經(jīng)濟(jì)效益，為現(xiàn)代化企業(yè)的信息共享提供安全可靠的途徑。

對(duì)于ISP來(lái)說(shuō)，VPN提供了巨大商機(jī)。通過(guò)向企業(yè)提供VPN增值服務(wù)，ISP可以與企業(yè)建立更加緊密的長(zhǎng)期合作關(guān)系，同時(shí)充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量。事實(shí)上，VPN用戶的數(shù)據(jù)流量較普通用戶大得多，而且時(shí)間上也是相互錯(cuò)開(kāi)的。VPN用戶通常是上班時(shí)間形成流量高峰，而普通用戶的流量高峰則在工作時(shí)間之外。同時(shí)，VPN使ISP能夠經(jīng)濟(jì)地維持開(kāi)發(fā)客戶群、增加利潤(rùn)、提供增強(qiáng)服務(wù)，如視頻會(huì)議、電子商務(wù)、IP電話、遠(yuǎn)程教學(xué)、多媒體商務(wù)應(yīng)用等等。

對(duì)于企業(yè)來(lái)說(shuō)，VPN改造了傳統(tǒng)的企業(yè)網(wǎng)，為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。

VPN實(shí)現(xiàn)網(wǎng)絡(luò)安全

具有高度的安全性，對(duì)于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行，在線交易都需要絕對(duì)的安全。VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。首先，它在隧道的起點(diǎn)，在現(xiàn)有的企業(yè)認(rèn)證服務(wù)器上，提供對(duì)分布用戶的認(rèn)證。另外，VPN支持安全和加密協(xié)議，如 Secure IP (IPsec)和 Microsoft點(diǎn)對(duì)點(diǎn)加密 (MPPE)。

IPsec所提供的安全是基于標(biāo)準(zhǔn)和可互操作的；MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進(jìn)行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開(kāi)銷。

簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)

網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來(lái)實(shí)現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對(duì)遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小，僅此一點(diǎn)就可以極大地簡(jiǎn)化企業(yè)廣域網(wǎng)的設(shè)計(jì)。另外，VPN通過(guò)撥號(hào)訪問(wèn)來(lái)自于 ISP或 NSP的外部服務(wù)，減少了調(diào)制解調(diào)器池，簡(jiǎn)化了所需的接口，同時(shí)簡(jiǎn)化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。

降低成本

許多技術(shù)承諾可以降低成本，但 VPN降低成本的方法是立即且顯著的，它可以降低：

移動(dòng)用戶通信成本：VPN可以通過(guò)減少長(zhǎng)途費(fèi)或800費(fèi)用來(lái)節(jié)省移動(dòng)用戶的花費(fèi)。

租用線路成本：VPN可以以每條連接 40%到 60%的成本對(duì)租用線路進(jìn)行控制和管理。對(duì)于國(guó)際用戶來(lái)說(shuō)，這種節(jié)約是極為顯著的。對(duì)于話音數(shù)據(jù)，節(jié)約金額會(huì)進(jìn)一步增加。

主要設(shè)備成本：VPN通過(guò)支持撥號(hào)訪問(wèn)外部資源,使企業(yè)可以減少不斷增長(zhǎng)的調(diào)制解調(diào)器費(fèi)用。另外，它還允許一個(gè)單一的 WAN接口服務(wù)多種目的，從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端，本地提供高帶寬的線路連接到撥號(hào)訪問(wèn)服務(wù)提供者。因此，只需要極少的 WAN接口和設(shè)備。由于 VPN是可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需的設(shè)備上的開(kāi)銷。另外，由于 VPN獨(dú)立于初始的協(xié)議，這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。

容易擴(kuò)展

如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍，只需與新的ISP簽約，建立賬戶；或者與原有的ISP重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN能力也很簡(jiǎn)單：幾條命令就可以使Extranet路由器擁有Internet和VPN能力，路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。

易于建立商業(yè)伙伴

在過(guò)去，企業(yè)如果想與合作伙伴聯(lián)網(wǎng)，雙方的信息技術(shù)部門(mén)就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協(xié)商已毫無(wú)必要，真正達(dá)到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機(jī)會(huì)，建立可靠的商業(yè)伙伴關(guān)系。

完全控制主動(dòng)權(quán)

VPN使企業(yè)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說(shuō)，企業(yè)可以把撥號(hào)訪問(wèn)交給ISP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

支持新興應(yīng)用

許多專用網(wǎng)對(duì)于許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等。

VPN自建外包總相宜

由于VPN低廉的使用成本和良好的安全性，許多大型企業(yè)及其分布在各地的辦事處或分支機(jī)構(gòu)成了VPN順理成章的用戶群。對(duì)于那些最需要VPN業(yè)務(wù)的中小企業(yè)來(lái)說(shuō)，一樣有適合的VPN策略。當(dāng)然，不論何種VPN策略，它們都有一個(gè)基本目標(biāo)：在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的管理性、可擴(kuò)展性以及簡(jiǎn)單性的基礎(chǔ)之上，進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。

大型企業(yè)自建VPN

大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中，將各個(gè)機(jī)構(gòu)低成本而安全地連接在一起。

企業(yè)建立自己的VPN，最大的優(yōu)勢(shì)在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。一個(gè)內(nèi)部VPN能使企業(yè)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)，例如PKI。而且，企業(yè)還可根據(jù)用戶的需要來(lái)調(diào)整Internet的費(fèi)用、覆蓋面以及連接速度。

企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務(wù)。而且，建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用，并且能將現(xiàn)有的遠(yuǎn)程訪問(wèn)和站到站的網(wǎng)絡(luò)集成起來(lái)，以獲取最佳性價(jià)比的VPN。

雖然VPN外包能避免技術(shù)過(guò)時(shí)，但并不意味著企業(yè)可以節(jié)省開(kāi)支。因?yàn)?，企業(yè)最終還要為高額產(chǎn)品支付費(fèi)用，以作為使用新技術(shù)的代價(jià)。雖然VPN外包可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)部署，但這同樣降低了企業(yè)對(duì)公司網(wǎng)的控制等級(jí)。網(wǎng)絡(luò)越大，企業(yè)就越依賴于外包VPN供應(yīng)商。因此，自建VPN是大型企業(yè)的最好選擇。

中小型企業(yè)外包VPN

雖然每個(gè)中小型企業(yè)都是相對(duì)集中和固定的，但是部門(mén)與部門(mén)之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價(jià)而安全的信息溝通。在這種情況下，VPN同樣非常重要。但是，如果讓中小型企業(yè)購(gòu)買(mǎi)VPN設(shè)備，財(cái)務(wù)成本較高。因此，對(duì)IT人員短缺、技能水平不足、資金能力有限、不足以支持VPN的中小型企業(yè)來(lái)說(shuō)，外包是最好的選擇。

首先，VPN外包比企業(yè)自己動(dòng)手建立VPN要快得多，也更為容易。

另一方面，外包VPN的可擴(kuò)展性很強(qiáng)，易于企業(yè)管理。有統(tǒng)計(jì)表明，使用外包VPN方式的企業(yè)，可以支持多于2300名用戶，而內(nèi)部VPN平均只能支持大約150名用戶。而且，隨著用戶數(shù)目的增長(zhǎng)，對(duì)用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長(zhǎng)。因此，VPN外包無(wú)疑是一種極具吸引力的方式。

另外，對(duì)可擴(kuò)展性、冗余性、可靠性和管理性來(lái)說(shuō)，企業(yè)VPN必須將安全和性能結(jié)合在一起，然而，實(shí)際情況中兩者不能兼顧。例如，對(duì)安全加密級(jí)別的配置經(jīng)常降低VPN的整體性能。而通過(guò)提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進(jìn)行VPN決策。

對(duì)服務(wù)水平協(xié)議（SLA）的改進(jìn)和服務(wù)質(zhì)量（QoS）保證，為企業(yè)外包VPN方式提供了進(jìn)一步的保證。SLA可以提供網(wǎng)絡(luò)可用性、包丟失以及數(shù)據(jù)流的傳輸速度等方面的保證，并在不能滿足時(shí)，自動(dòng)將其歸入企業(yè)賬戶。

VPN目前正處在完善的過(guò)程中，今后的發(fā)展主要體現(xiàn)在以下幾個(gè)方面:

擴(kuò)充網(wǎng)絡(luò)裝置

在今后幾年內(nèi)，VPN將增加目錄服務(wù)器，即裝載最終用戶建檔和網(wǎng)絡(luò)配置數(shù)據(jù)的存儲(chǔ)庫(kù)。它將作為一個(gè)獨(dú)立平臺(tái)放置在企業(yè)網(wǎng)上，并放置在由VPN實(shí)施控制的公網(wǎng)的某一部分(例如公共目錄服務(wù)器可以裝在ISP的數(shù)據(jù)中心或電信公司的網(wǎng)絡(luò)操作中心)。這樣，企業(yè)網(wǎng)能夠很容易地?cái)U(kuò)展到公網(wǎng)，從而消除過(guò)去公網(wǎng)和專網(wǎng)之間截然分開(kāi)的界線。

移動(dòng)和遠(yuǎn)程用戶接入管理

隨著商務(wù)交往的增多，越來(lái)越多的用戶將要求在任何時(shí)間、任何地點(diǎn)接入VPN，因而移動(dòng)和無(wú)線接入方式將成為未來(lái)VPN的一個(gè)顯著特征。所以，一些廠商，如微軟、高通、英國(guó)電信和諾基亞等目前都在從事這方面的軟件開(kāi)發(fā)工作。

QoS有待提高

加密是QoS中的美中不足之處。當(dāng)傳輸流被加密后，由于標(biāo)記QoS的比特不能為網(wǎng)絡(luò)路由器所讀取，因此，QoS很難得到保證。這個(gè)問(wèn)題在IPv6中通過(guò)增加包括QoS信息的額外的非加密包頭域得到了解決，這些信息可以為任何路由器所讀取。然而，IPv6還需要得到廣泛應(yīng)用。

互操作性懸而未決

由于廠商設(shè)備間的互操作性問(wèn)題，使用IPSec 中所規(guī)定的Internet IKE認(rèn)證協(xié)議的工具，一般不能很好地工作，除非用戶在每個(gè)節(jié)點(diǎn)上都使用同一家公司生產(chǎn)的設(shè)備。但是，由于財(cái)務(wù)、后勤等各種原因，要想讓你的業(yè)務(wù)合作伙伴安裝相同廠商生產(chǎn)的設(shè)備是很難的。所以,用戶都指望Window 2000解決互操作的問(wèn)題，現(xiàn)在看來(lái)，VPN客戶端可以運(yùn)作在window 2000上，這樣供應(yīng)商就可以建立這樣的客戶終端和其網(wǎng)關(guān)之間的互操作性。但是，Window 2000并沒(méi)有完全實(shí)現(xiàn)IP Security，比如它使用的L2TP和IP Security的通道是完全不一樣的。

除了VPN技術(shù)上的一些主要問(wèn)題外，廠商仍在對(duì)一些細(xì)節(jié)問(wèn)題進(jìn)行研究。分發(fā)VPN客戶機(jī)軟件，并保持成千上萬(wàn)個(gè)遠(yuǎn)程接入用戶用的是相同的軟件版本，是在使用VPN時(shí)的一個(gè)挑戰(zhàn)。而且，如何在保持成千上萬(wàn)加密對(duì)話進(jìn)行的同時(shí)，不斷更換加密密鑰也是廠商和標(biāo)準(zhǔn)組織仍在努力解決的問(wèn)題。

【編輯推薦】

1. VPN（虛擬專用網(wǎng)）學(xué)習(xí)
2. 虛擬專用網(wǎng)