当今的商业发展变得比以往更加全球化、移动化，需要建立比以往更多的连接。但是网络方面的预算还没能跟上新的关键服务和应用的发展需求，此外互联网的安全问题更是令人担忧。虚拟专用网是能够提供当今商业发展所需网络功能的理想的途径。它可以使公司获得使用公用通信网络基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。

    1．何为虚拟专用网（VPN）

    现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。

VPN的网络拓扑图:

    由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。

    越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用,Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。还有一类用户，随着自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

    用户的需求正是虚拟专用网技术诞生的直接原因。总之，虚拟专用网络(VPN)是一条穿过混乱的公用网络的安全、稳定的隧道，在这条安全隧道上我们可以进行安全、高效的数据传输。虚拟专用网（VPN）将大幅度地减少用户花费在WAN和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，它还可以保护现有的网络投资。

    2．拟专用网（VPN）技术、类型

    2．1虚拟专用网（VPN）采用的技术

    VPN主要采用四项技术：

    一、隧道技术(Tunneling)；

    二、加解密技术(Encryption&Decryption)；

    三、密钥管理技术(KeyManagement)；

    四、使用者与设备身份认证技术(Authentication)。从1995年起，IETF陆续公布了许多网络安全相关技术标准。

    2.1.1隧道技术

    隧道技术是为了将私有数据网络的资料在公众数据网络上传输，所发展出来的一种信息封装方式(Encapsulation)，亦即在公众网络上建立一条秘密通道。隧道协议中最为典型的有GRE、IPsec、L2TP、PPTP、L2F等。其中GRE、IPsec属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。

    英信X-ServerVPN网关支持SST、IPSec和基于IPSec的L2TP隧道技术，通过这三种隧道技术，可以实现客户机-LAN（例如：公司移动用户到公司总部LAN）和LAN-LAN（例如：公司总部LAN到公司分部LAN），LAN-GROUP三种隧道。

    2.1.2加解密技术

    信息加解密技术具有非常久远的历史，在需要秘密通信的地方都用得到它。因为虚拟专用网络建筑在Internet公众数据网络上，为确保私有资料在传输过程中不被其他人浏览、窃取或篡改，所有的数据包在传输过程中均需加密，当数据包传送到专用数据网络后，再将数据包解密。加解密的作用是保证数据包在传输过程中即使被窃听，黑客只能看到一些封锁意义的乱码。如果黑客想看到数据包内的资料，他必须先破解用于加密该数据包的密钥（EncryptionKey）。

    2.1.3密钥管理技术

    黑客若想解读数据包，必需先破解加解密所用的密钥（Key）。如果无法截取密钥，通常就只能使用穷举法来破解，在密钥很长时，这种破解方式基本上不会有结果。目前为安全起见，通常使用一次性密钥技术，即对于一次指定会话，通信双方需为此次会话协商加解密密钥后才能建立安全隧道。这有时就要求密钥要在网络上传输，增加了不安全因素。密钥管理（KeyManagement）的主要任务就是来保证在开放网络环境中安全地传输密钥而不被黑客窃取。

    2.1.4身份认证技术

    网络上的用户与设备都需要确定性的身份认证，这是VPN需要解决的首要问题。错误的身份认证将导致整个VPN的失效，不管其其他安全设施有多严密。辨认合法使用者的方法很多，但常规用户名密码方式（PAP）显然不能提供足够的安全保障。对于设备更安全的认证通常需依赖数字证书签发中心（CertificateAuthority）所发出的符合X.509规范的标准数字证书（Certificate）。设备间交换资料前，须先确认彼此的身份，接着出示彼此的数字证书，双方将此证书比对，如果比对正确，双方才开始交换资料，反之，则不交换。

    2．2虚拟专用网（VPN）的类型

    VPN有三种解决方案（类型），用户可以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

    2.2.1.如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。

    AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。

    AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

    AccessVPN对用户的吸引力在于：

    减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；

    实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用；

    极大的可扩展性，简便地对加入网络的新用户进行调度；

    远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务；

    将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

    2.2.2如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。

    越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。

    IntranetVPN对用户的吸引力在于：

    减少WAN带宽的费用；

    能使用灵活的拓扑结构，包括全网络连接；

    新的站点能更快、更容易地被连接；

    通过设备供应商WAN的连接冗余，可以延长网络的可用时间。

    2．2．3如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。

    随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。

    ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。它对用户的吸引力在于：能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。

    3．拟专用网（VPN）应用

    由于VPN低廉的使用成本和良好的安全性，许多大型企业及其分布在各地的办事处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说，一样有适合的VPN策略。当然，不论何种VPN策略，它们都有一个基本目标：在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上，进一步扩展公司的网络连接。

    （1）大型企业自建VPN

    大型企业用户由于有雄厚的资金投入做保证，可以自己建立VPN，将VPN设备安装在其总部和分支机构中，将各个机构低成本且安全地连接在一起。企业建立自己的VPN，最大的优势在于高控制性，尤其是基于安全基础之上的控制。企业还可以确保得到业内最好的技术以满足自身的特殊需要，这要优于ISP所提供的普通服务。而且，建立内部VPN能使企业有效节省VPN的运作费用,自建VPN是大型企业的最好选择。

    (2)中小型企业外包VPN

    虽然每个中小型企业都是相对集中和固定的，但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通，在这种情况下就用得上VPN。电信企业、IDC目前提供的VPN服务，更多的是面向中小企业，因为可以整合现有资源，包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备，则财务成本较高,所以，外包VPN是较好的选择。

    外包VPN比企业自己动手建立VPN要快得多，也更为容易。

    外包VPN的可扩展性很强，易于企业管理。

    企业VPN必须将安全和性能结合在一起，然而，实际情况中两者不能兼顾。例如，对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理，可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。

    对服务水平协议（SLA）的改进和服务质量（QoS）保证，为企业外包VPN方式提供了进一步的保证。

    4．一个完整的VPN解决方案（实例）

     4．1络拓扑图

     4．2系统说明

    如上网络拓扑图，是一个大型企业的VPN网络加构图，该公司出总部外还有两个分部，总部和分部都具有地理完善的局域网，该公司的员工经常出差外地，并且有一部分员工有时需要在自己的家庭内办公。该公司最早的解决方案是在三个局域网（一个总部，两个分部）直接采用专线连接，为移动办公用户和家庭办公用户提供远程拨号访问服务，但是随着公司业务的拓展，各局域网之间架环的数据越来越多，并且有一些机密数据通常也需要在三个局域网之间流通，因此原来的专线连接已经远不能满足当前业务的要求，此外出随着出差人次的增加，电子数据交换的普及，远程拨号服务也不能满足需求。在这种情况下，显然只是简单的增加专线带宽，提高远程访问服务器的容量是不能满足要求的，昂贵的网络建设维护费用和无人和安全性可言的网络数据传输迫使该企业放弃传统的系统升级方案，采用VPN来搭建整个网络的结构。

    在该企业的虚拟专用网络（VPN）系统中，我们可以看到在公司总部、两个分部的局域网路由器和交换机之间分别放置了一台/多台浪潮英信X-ServerVPN网关(3110/3125)，总部和分部通过向当地ISP申请互联网账户的方式联入INTERNET,浪潮英信X-ServerVPN网关在三个局域网之间通过INTERNET建立起一条安全通道，以保证三个局域网之间可以安全快速的通信，并且所有的出差移动办公用户和家庭办公用户只需要拨叫到当地ISP就可以通过安装在本地的浪潮英信X-ServerVPN客户端软件与总部或两个分部的局域网建立VPN通道，通过INTERNET进行快速安全的数据通信。

    4.3浪潮英信X-ServerVPN网关家族的特点

    如上网络拓扑图，是一个大型企业的VPN网络加构图，该公司出总部外还有两个分部，总部和分部都具有地理完善的局域网，该公司的员工浪潮X-ServerVPN网关家族支持诸如专线、DSL等快速互联网连接的高速度和可扩充性能。通过IP网络的可互操作远程访问、局域网到局域网和电子商务连接。自动管理与部署工具使得VPN网络系统更易于使用。

    如上网络拓扑图，是一个大型企业的VPN网络加构图，该公司出总部外还有两个分部，总部和分部都具有地理完善的局域网，该公司的员工目前浪潮X-Server网关家族主要有两款产品：X-Server3110、X-Server3125，他们可以为不同规模的用户提供VPN解决方案，为员工、客户和电子商务网络提供全面的端到端虚拟专用网络（VPN）。

    浪潮X-ServerVPN网关直观的界面使配置与管理异常的快速和轻松。而且利用可选的X-ServerVPN客户端部署工具，用户可以利用互联网技术自动部署和管理大量客户机。用户只需点击电子邮件上的URL即可自动安装和配置客户端软件。

    4.4方案特点

·  网络安全性

    浪潮VPN解决方案以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，浪潮VPN解决方案支持多种安全和加密协议，如SecureIP(IPsec)和SST。

    IPsec所提供的安全是基于标准和可互操作的。它应用于网络层，允许IP节点、客户机或服务器协商有效载荷的加密方法并执行双边安全认证。

    SST是intel公司专有的一项安全协议，它实现了类似IPSec的功能，利用SST可以使你的虚拟局域网络具有更高的安全性。

   ·简化网络设计

    网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化广域网络的设计。此外浪潮X-ServerVPN客户端部署工具可以方便的部署设置每一个VPN客户端，从而大大简化了有VPN系统升级带来的繁琐的客户端配置。

    ·降低了系统成本

    浪潮VPN解决方案可以降低成本：

    移动用户通信成本：VPN可以通过减少长途费从而节省移动用户的花费，有利于本地呼叫到ISP或NSP。

    租用线路成本：VPN可以以每条连接40%到60%的成本对租用线路进行控制和管理。对于国际用户来说，节约是极为显著的。

    主要设备成本：VPN通过支持拨号访问外部资源使企业可以减少或消除巨大的不断增长的调制解调器池。另外，它还允许一个单一的WAN接口服务多种目的，从分支网络互连到商业伙伴的外连网终端，到本地提供高带宽的线路连接到拨号访问服务提供者。因此，就需要极少的WAN接口和设备。另外，由于VPN独立于初始的协议，这就使得远端的接入用户可以继续使用传统的设备，保护了用户在现有硬件和软件系统上的投资。

    支持设备成本：通过减少调制解调器池，支持设备的成本可以被大幅度地减少，尤其是当远端用户的支持设备从负担过重的企业支持设备变为NSP的专用设备时，节省的成本就更显著了。但这些都还只是一个开始，由于VPN是可以完全管理的，并且能够从中央网站进行基于策略的控制，它可以大幅度地减少花费在安装配置远端网络接口所需的设备上的开销。

    5.成功案例分析

   ·带来可靠的商业伙伴：

    浪潮VPN解决方案可以建立可靠的外连网，不需要象以往那样因为配置安装通信线路而进行长达数月的协商，这样就可以迅速捕捉商业机会，建立可靠的商业伙伴关系。