【摘 要】随着企业规模逐渐扩大，远程用户、远程办公人员、分支机构、合作伙伴也在不断增多，关键业务的需求增加，出现了一种通过公共网络(如internet)来建立自己的专用网络的技术，这种技术就是虚拟专用网(简称vpn)。
【关键词】vpn隧道 ipsec qos

1 概述
虚拟专用网(简称vpn)是一种利用公共网络来构建私有数据传输通道，将远程的用户端连接起来，提供端到端的服务质量（qos）保证以及安全服务的私有专用网络。目前，能够用于构建 vpn的公共网络包括 internet和服务提供商(isp)所提供的ddn专线、帧中继(fr)、atm等，构建在这些公共网络上的 vpn将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。
2vpn的要求
2.1 安全性
vpn提供用户一种私人专用的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。vpn的安全性可通过隧道技术、加密和认证技术得到解决。在intranet vpn中，要有高强度的加密技术来保护敏感信息；在远程访问vpn中要有对远程用户可靠的认证机制。
2.2性能
vpn要发展，其性能至少不应该低于传统方法。尽管网络速度不断提高，但在internet时代，随着电子商务活动的激增，网络拥塞经常发生，这给vpn性能的稳定带来极大的影响。因此，vpn解决方案应能够让管理员进行通信控制来确保其性能。通过vpn平台，管理员定义管理策略来激活基于重要性的出入口带宽分配。loCaLHOsT这样既能确保对数据丢失有严格要求和高优先级应用的性能，又不会“饿死”低优先级的应用。
2.3管理问题
由于网络设施、应用不断增加，网络用户所需的ip地址数量持续增长，对越来越复杂的网络进行管理，网络安全处理能力的大小是vpn解决方案好坏至关紧要的区分。因此，vpn要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法，将安全策略进行分布，并管理大量设备。
2.4互操作
在extranet vpn中，企业要与不同的客户及合作伙伴建立联系，vpn解决方案也会不同。因此，企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec（internet安全协议）、pptp（点到点隧道协议）、l2tp（第二层隧道协议）等。
3 vpn的实现技术
3.1隧道技术
vpn区别于一般网络互联的关键是隧道的建立，然后数据包经过加密，按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问vpn；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建 intranet vpn和 extranet vpn。
3.2加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次des。rc4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；des和三次des强度比较高，可用于保护敏感的商业信息。
加密技术可以在协议栈的任意层进行，可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，vpn安全粒度达到个人终端系统的标准；而“隧道模式”方案，vpn安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此，所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。
3.3qos技术
通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的vpn。但是该vpn性能上不稳定，管理上不能满足企业的要求，这就要加入qos技术。实行qos应该在主机网络中，即vpn所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。
qos机制具有通信处理机制以及供应和配置机制。网络资源是有限的，有时用户要求的网络资源得不到满足，管理员基于一定的策略进行qos机制配置，通过qos机制对用户的网络资源分配进行控制以满足应用的需求，这些qos机制相互作用使网络资源得到最大化利用，同时又向用户提供了一个性能良好的网络服务。
除了这3种主要技术以外，还有如备份技术，流量控制技术，包过滤技术，网络地址转换技术，抗击打能力和网络监控和管理技术等。

4 vpn的应用模式
4.1远程访问

为克服传统远程访问的问题，推出了基于vpn的远程访问解决方案。如图1所示，这种方案充分利用了公共基础设施和isp，远程用户通过isp接入internet，再穿过internet连接与internet相连的企业vpn服务器，来访问位于vpn服务器后面的内部网络。一旦接入vpn服务器，就在远程用户与vpn服务器之间建立一条穿越internet的专用隧道连接。这样，远程客户到当地isp的连接和vpn服务器到当地isp的连接都是本地网内通信，虽然internet不够安全，但是由于采用加密技术，远程客户到vpn服务器之间的连接是安全的。
4.

[1] [2] 下一页