王鑫

摘 要 煤矿企业，拥有多家子单位，这些子单位需要通过专线网络访问总公司专网，进行办公，但是租用专线带宽成本较高，专线网络的使用资源有限，很大一部分的员工无法通过专网进行办公。VPN技术的使用，保障员工在何时何地都可以办公，安全、低成本、易管理、灵活性强。本文主要介绍了VPN技术的概念、特点、常用技术、工作原理以及在煤矿企业中的应用。

关键词 煤矿企业;虚拟专用网络;低成本;易管理;安全

1VPN概述

VPN（Virtual Private Network）即虚拟专用网络，属于远程访问技术，就是利用公用网络架设专用网络。

之所以稱为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如Internet等）之上的逻辑网络，用户数据在逻辑链路中传输。

2特点

（1）建网快速方便，用户只需将各网络节点采用专线方式本地接入公用网络，并对网络进行相关配置即可。

（2）降低建网投资，由于VPN是利用公用网络为基础而建立的虚拟专网，因而可以避免建设传统专用网络所需的高额软硬件投资。

（3）节约使用成本，用户采用VPN组网，可以大大节约链路租用费用及网络维护费用，从而减少企业的运营成本。

（4）网络安全可靠，实现VPN主要采用国际标准的网络安全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被修改和盗用，保证了用户数据的安全性及完整性。

（5）简化用户对网络的维护及管理工作，大量的网络管理维护工作由公用网络服务商来完成。

3常用技术

VPN常用技术有MPLS VPN、SSL VPN、IPSec VPN。

MPLS VPN是一种基于MPLS技术的IP VPN，实在网络路由和交换设备上应用MPLS（Multiprotocol Lable Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有优异的表现。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。

SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。

IPSec VPN是基于IPSec协议的VPN技术，由IPSec提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

4工作原理

（1）通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

（2）网络一（假定为公网Internet）的终端A访问网络二（假定为公司内网）的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

（3）网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

（4）网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

（5）网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

（6）网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

（7）从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

5VPN技术在煤矿企业中的应用

煤矿企业因为业务上的安全及保密性，办公多采用内外网结合的方式。一般煤矿企业拥有多家矿生产单位，各矿办公需要通过专线访问企业内网，现在专线的使用需要向运营商租赁，专线带宽限制了员工的使用数量，要满足所有员工的使用，成本高，且维护费用高。

VPN能够让各矿员工利用本地可用的宽带网连接到企业专网，且没用使用数量的限制，降低了地域及专线带宽的限制。

VPN使用方便灵活，煤矿员工的所受教育水平不是很高，对一些复杂的技术上手较慢，VPN能够让使用者使用一种很容易设置的互联网基础设施，让新的用户迅速和轻松地添加到这个网络。

煤矿企业的相关数据是需要严格保密的，对网络安全的要求高。VPN能够提供高水平的安全，使用高级的加密和身份识别协议保护数据避免收到窥探，阻止数据窃贼和其他非授权用户接触这种数据。

VPN技术可实现完全控制，虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其他的安全设置、网络管理变化可由自己管理。

总之，VPN技术的使用很大程度上解决了煤矿企业内网办公中地域、成本、使用数量、安全的问题，为煤矿企业现代化、高效办公提供了全新选择。