戴刚 文信翔 公丕强

江苏邮电规划设计院有限责任公司 江苏 210006

0 引言

防火墙、电子护照、各种认证加密方法来来弥补因特网的不足，但都有其各自的局限性。虚拟专用网为有安全需求的用户重返因特网提供了一种可能。关键性的加密技术、认证技术、隧道协议的无缝结合，使得在公用因特网的基础上建立安全的虚拟专用网成为可能。虚拟专用网(VPN)结合了因特网和专用网的优点，同时也弥补了两者的缺点，使Internet再次成为组成无限商机的宝藏。

1 VPN分类

1.1 按接入方式划分

（1）专线VPN

专线VPN是为已经通过专线接入ISP路由器的用户提供的VPN实现方案。

（2）拨号VPN

拨号VPN是为通过PSTN或ISDN拨号接入ISP的用户提供的VPN实现方案。这种VPN方式是目前最主要的VPN解决方案。

1.2 按隧道协议所属的层次划分

（1）第二层隧道协议

第二层隧道建立在链路层，此协议先要把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有PPTP，L2F，L2TP等。

（2）第三层隧道协议

第三层隧道协议即网络层隧道协议，此协议把各种网络协议直接装入隧道协议中，形成数据包来传输。现有的第三层隧道协议主有是：通用路由封装协议GRE，IP安全协议IPsec。

1.3 按VPN的发起主体不同来划分

（1）基于客户

VPN服务提供的起始点和终止点是面向客户的。需要客户和隧道服务器(或网关)方安装隧道软件。客户方的软件发起隧道，在单位隧道服务器处终止隧道。经过对用户身份和口令的验证，客户方和隧道服务器极易建立隧道。隧道一经建立，用户就会感到通信的进行似乎不再有ISP参与。

（2）基于网络

在单位中心部门和ISP处安装VPN软件，客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务，服务提供的起始点和终止点是ISP的POP，其内部构成、实施和管理对VPN客户完全透明。

1.4 按VPN的业务类型划分

按服务类型划分，VPN业务可以大致分为三类：接入网VPN、企业内部网VPN和企业外部网VPN。

（1）接入网VPN

是一种拨号方式的VPN，是企业员工或企业的小分支机构通过公网远程拨号的方式构筑的 VPN，用户与网络通过VPN互联的示意图如1所示。

图1 VPN互联的示意图

（2）企业内部网VPN

企业的总部与分支机构之间通过公网构筑的VPN网络。

（3）企业外部网VPN

即不同企业间通过公网来构筑的VPN网络。

通常把企业内部网和企业外部网VPN都归为专线VPN，结构如图2所示。

图2 专线VPN结构

1.5 按VPN的应用平台划分

VPN的应用平台分为3类：软件平台和专用硬件平台。

（1）软件平台

对数据传输速率要求不高，对性能和安全性需求不强时，可以利用一些软件公司所提供的完全基于软件的 VPN产品来实现简单的 VPN功能，如 Checkpoint software，Aventail Corp等公司的产品。甚至可以不需要另外购置软件，仅依靠微软的Windows操作系统，特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。

（2）专用硬件平台

专用硬件平台的 VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求，尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多，比较有名的如国外的：Nortel、Cisco、3Com 等，国内的如华为、联想等。

2 各种企业的需求及VPN解决方案

不同规模的企业，对远程传输数据信息的安全性要求不同，下面将按企业的规模来分析企业的需求和VPN解决方案。

2.1 小型企业

（1）需求分析

综合小型企业的特点和目前发展现状，小型企业对信息安全的需求是存在的，要求见效快，产品使用维护方便，但是企业所能投入信息化的资金有限，因此，用于信息安全方面的投资会有所限制。总之，小型企业受到客观条件的限制，远程数据通信需要价格便宜、简单易用、性能稳定、维护方便的产品和技术。

（2）解决方案

从上面的需求分析，小型企业对数据传输速率要求不高，同时在安全性方面也较低，连接用户也少，可以得到合理的VPN解决方案：基于现有的公网采用拨号VPN方式，使用软件平台。VPN服务提供商控制了整个VPN设施，最大优点是他们不需要做任何实现 VPN的工作，客户不需要增加任何设备或软件投资，整个网络都由 VPN服务提供商维护。最大的不足就是用户自身自主权不足，存在一定的不安全因素(如图3所示)。

图3 解决方案

2.2 中型企业

（1）需求分析

综合中型企业的特点和目前发展现状，中型企业对信息安全的需求迫切的，要求 VPN产品性能可靠稳定，使用简便，便于维护，且企业能投入一定的信息化资金，但是仍然无法承受巨额的专线建设资金投资，因此，用于信息安全方面的仍然会有一定的限制。

（2）解决方案

从上面的需求分析，中型企业对数据传输速率及安全性方面有一定要求，连接用户不多，可以得到合理的 VPN解决方案：在总部与分部之间租用服务提供商的虚拟专线，客户不需要购买专门的隧道设备、软件，由 VPN服务提供商(NSP)提供设备来建立通道并验证。企业仍然可以通过加密数据实现端到端的全面安全性。可以使用最常见的隧道协议有L2TP、L2F或者PPTP。

对于企业员工出差或者在家办公，则采用拨号 VPN方式访问公司内部网，既允许远程拨号连接，又防止未授权访问和数据被截获。对于远程VPN接入的方式可以根据用户采用的加密算法的强度、隧道流量等属性选择灵活的计费策略。

2.3 大型企业

大型企业的特点为规模很大，有多个分部或者分公司，在本行业中占有领导地位，资金雄厚，企业员工众多，有很强的抵抗风险能力等。大型企业为了追求更大利润，稳定和扩大市场，保持与客户的关系，继续保持行业内的竞争力，并逐步涉足其他行业，在财务、客户、人力资源、产品产销等方面的需要信息化的管理，使得减少企业的管理成本，提供企业运行与管理的效率，对企业信息化的需求非常迫切。

（1）需求分析

综合大型企业的特点和目前发展现状，大型企业要求VPN产品性能可靠稳定，安全性高，传输效率高，可管理，且企业能够专项资金投入，有足够的技术人员对网络进行维护和管理。

（2）解决方案

由于大型企业在信息化方面要求很高，使用用户较多，从上面的分析中可以得到合理的 VPN解决方案：使用专用的硬件平台，需要购买成套昂贵的 VPN设备和防火墙，配备专业技术人员，整个网络都是在加密的隧道中完成通信的，非常安全。这是最为彻底的 VPN网络，在这种方案中企业具有完全的自主控制权，但是新建 VPN网络需要企业自身具备足够的资金和人才实力，这种模式在总体投资上是最多的。

与中型企业一样，对于企业员工出差或者在家办公，则采用拨号VPN方式访问公司内部网(如图4所示)。

图4 大型企业解决方案

3 结束语

各种企业可以灵活的选择适合的 VPN方案，实现企业内部的OA系统，邮件系统，财务系统等，方便企业出差员工的安全移动办公，能够加快企业的信息化进程，提供公司的管理水平，极大的增加了企业的生产效率和竞争力。随着信息化的发展，VPN业务将是电信运营商的一项重要的 IP增值业务。

[1] 李超.基于IPsec的VPN网关的设计与实现.网络通讯.2002.

[2] 戴宗坤.VPN与网络安全[J].网络安全技术与应用.2001.

[3] 王达等编著.虚拟专用网(VPN)精解[M].清华大学出版社.2004.

[4] 电信运营商IPSec VPN业务部署模式研究. 2004.http://www.vlan9.com/net-provider/z008013246.html.2007.

[5] VPN技术的全面详细介绍.http://www.wbsz.com/html/6255_3.html.2009.