本文從具體概念，不同用戶的解決方案，以及它的接口和實現(xiàn)功能，全面細致的講解了VPN技術(shù)。

VPN 英文全稱Virtual Private Network，中文譯為：虛擬私人網(wǎng)絡(luò)，又稱為虛擬專用網(wǎng)絡(luò)。

顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴展）相對應(yīng)。

VPN網(wǎng)關(guān)是實現(xiàn)局域網(wǎng)（LAN）到局域網(wǎng)連接的設(shè)備。從字面上我們就能夠知道它可以實現(xiàn)兩大功能：VPN和網(wǎng)關(guān)。廣義上講，支持VPN（虛擬專用網(wǎng)）的路由器和防火墻等設(shè)備都可以算作VPN網(wǎng)關(guān)。目前常見的VPN網(wǎng)關(guān)產(chǎn)品可以包括單純的VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等產(chǎn)品。

典型的VPN網(wǎng)關(guān)產(chǎn)品應(yīng)該具有以下性能：

它應(yīng)集成包過濾防火墻和應(yīng)用代理防火墻的功能。

企業(yè)級VPN產(chǎn)品是從防火墻產(chǎn)品發(fā)展而來，防火墻的功能特性己經(jīng)成為它的基本功能集中的一部分。如果是一個獨立的產(chǎn)品，VPN與防火墻的協(xié)同工作會遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無法制定（這是由于VPN把IP數(shù)據(jù)包加密封裝的緣故）或者帶來性能的損失，如防火墻無法使用NAT功能等等。而如果采用功能整合的產(chǎn)品，則上述問題不存在或很容易解決。

VPN應(yīng)有一個開放的架構(gòu)

VPN部署在企業(yè)接入因特網(wǎng)的路由器之后，或者它本身就具有路由器的功能，因此，它己經(jīng)成為保護企業(yè)內(nèi)部資產(chǎn)安全最重要的門戶。阻止黑客入侵、檢查病毒、身份認證與權(quán)限檢查等很多安全功能需要VPN完成或在同VPN與相關(guān)產(chǎn)品協(xié)同完成。因此，VPN必須按照一個開放的標準，提供與第三方安全產(chǎn)品協(xié)同工作的能力。

有完善的認證管理

一個VPN系統(tǒng)應(yīng)支持標準的認證方式，如RADIUS(Remote Authentication Dial In User Service，遠程認證撥號用戶服務(wù))認證、基于PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）的證書認證以及逐漸興起的生物識別技術(shù)等等。對于一個大規(guī)模的VPN系統(tǒng)，PKI/KMI的密鑰管理中心，提供實體（人員、設(shè)備、應(yīng)用）信息的LDAP目錄服務(wù)及采用標準的強認證技術(shù)（令牌、IC卡）是一個VPN系統(tǒng)成功實施和正常運行必不可少的條件。

VPN應(yīng)提供第三方產(chǎn)品的接口

當用戶部署了客戶到LAN的VPN方案時，VPN產(chǎn)品應(yīng)提供標準的特性或公開的API（應(yīng)用程序編程接口），可以從公司數(shù)據(jù)庫中直接輸入用戶信息。否則，對于一個有數(shù)千甚至上萬的SOHO人員和移動辦公人員的企業(yè)來說，單獨地創(chuàng)建和管理用戶的權(quán)限是不可想像的。

VPN網(wǎng)關(guān)應(yīng)擁有IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾。

數(shù)據(jù)包的性質(zhì)有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出棧和入棧網(wǎng)絡(luò)接口等。

一個完整的VPN系統(tǒng)一般包括以下幾個單元：

VPN服務(wù)器：一臺計算機或設(shè)備用來接收和驗證VPN連接的請求，處理數(shù)據(jù)打包和解包工作。

VPN客戶端：一臺計算機或設(shè)備用來發(fā)起VPN連接的請求，也處理數(shù)據(jù)的打包和解包工作。

VPN數(shù)據(jù)通道：一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。

注意所謂的服務(wù)器和客戶端在VPN連接建立之后在通信中的角色是相同的，它們的區(qū)別只在于連接是由誰發(fā)起的而已。

VPN可以實現(xiàn)哪些功能？

第一，DDN技術(shù)雖然可以實現(xiàn)企業(yè)間互連，但租金昂貴；ADSL寬帶雖然價格低廉，但其只能應(yīng)用于企業(yè)接入Internet ，不能實現(xiàn)企業(yè)之間的互聯(lián)。VPN可以幫助實現(xiàn)既經(jīng)濟又安全的企業(yè)間互聯(lián)，即企業(yè)可以通過無處不在的因特網(wǎng)來實現(xiàn)方便快捷的互訪。

第二，雖然INTERNET為企業(yè)實現(xiàn)數(shù)據(jù)訪問提供了方便，但其高度開放性和松散管理結(jié)構(gòu)也使得企業(yè)面臨嚴重的網(wǎng)絡(luò)安全問題。用戶可以利用加密技術(shù)對經(jīng)過 VPN 隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。

VPN的使用限制

第一，如果是在公司內(nèi)部局域網(wǎng)與外部網(wǎng)絡(luò)之間搭建VPN，必須保證服務(wù)器和互聯(lián)網(wǎng)連接的網(wǎng)卡獲得的是一個公網(wǎng)地址，不是使用地址轉(zhuǎn)換技術(shù)。

第二，在安裝VPN服務(wù)器的一端必須要有固定IP地址，客戶端要事先知道服務(wù)器端的IP地址才能發(fā)起連接。而大多數(shù)用戶寬帶上網(wǎng)的IP地址都是變化的，所以必須把動態(tài)IP地址轉(zhuǎn)換成靜態(tài)。

使用動態(tài)IP的用戶，可以把動態(tài)域名解析服務(wù)和VPN方案相結(jié)合使用，把動態(tài)IP解析成靜態(tài)。

常用的VPN三種部署方案

1．采用純軟件方式，總部安裝VPN總部軟件網(wǎng)關(guān)，分部安裝VPN分部網(wǎng)關(guān)，移動用戶（包括在外的筆記本和遠程的單機）安裝VPN客戶端。這種方案有用微軟的NT系統(tǒng)和桌面系統(tǒng)來做的,也有第三方開發(fā)的VPN服務(wù)與客戶端軟件。

2．總部采用帶VPN功能防火墻，分部用帶VPN功能的寬帶路由器，移動用戶（包括在外的筆記本和遠程的單機）安裝防火墻帶的VPN客戶端。VPN防火墻這類設(shè)備相對一般的帶VPN功能的寬帶路由器來說比較專業(yè)。較著名的產(chǎn)品比如有：NetScreen，Nokia， 安氏等。這些產(chǎn)品都能支持100條以上的VPN，數(shù)據(jù)吞吐率有較高表現(xiàn)，適用于企業(yè)機構(gòu)的網(wǎng)絡(luò)核心。

3．總部采用帶VPN功能寬帶路由器，分部能上寬帶的用帶VPN功能的寬帶路由器，移動用戶（包括在外的筆記本和遠程的單機）安裝WINDOWS帶的VPN客戶端。

對于較大的企業(yè)來說可以選擇第二種方案，在網(wǎng)絡(luò)性能方面有更高考慮。因為在使用VPN加解密技術(shù)后，數(shù)據(jù)的傳送速度將相應(yīng)下降。小企業(yè)一般采用第三種方案就足夠了，市面上的產(chǎn)品豐常豐富。
 

【編輯推薦】

1. 對不同路由同一系統(tǒng)的VPN配置實例
2. 講解VPN配置實例的邊緣設(shè)備部分
3. 講述VPN技術(shù)分析探討隧道技術(shù)三層協(xié)議
4. VPN配置實例技巧：PE從CE中學(xué)習(xí)路由
5. 深入講解VPN配置實例中關(guān)于虛擬站點屬性