虚拟专用网络

来自EEWiki.

从传统意义上来说，专用网络通常由专用租用线路、拨号线路或其他链路(如卫星或微波)构建，链路在远程站点之间建立。由于在链路中除了租用链路的公司的通信之外没有其他的通信，因此链路是“专用的”。在过去，大型企业为了网络通讯的需求，往往必须投资人力、物力及财力，来建立企业专用的广域网络通讯管道，或采用长途电话甚至国际电话的昂贵拨接方式。 在Internet蓬勃发展的现在，企业为了维持竞争力，通常需要将专用网络与Internet适当地整合在一起，但是又必须花费一笔Internet连接的固定费用。基本上Internet是建立在公众网络的基础之上，如果企业可以将专用网络中的广域网络连结与远程拨号连接这两部份，架构在Internet这一类的公众网络之上，同时又可以维持原有的功能与安全需求的话，则将可以节省下一笔不算小的通讯费用支出。这个问题的解决方法，可以通过所谓的虚拟专用网络来达成。

虚拟专用网络是由公共网络(如因特网)的专用链路创建的，其思路是使用加密和隧道技术在共享网络上创建一条如同是专用保密链路。任何人都可以创建保密连接，方法是将通过网络发送的通信内容进行加密，但真正安全的VPN最好与服务提供商合作建造，服务提供商可以通过他们网络来创建具有保证服务等级的专用路径。

在ATM和帧中继网络中创建VPN要相对容易些，原因是网络提供商在网络上创建虚电路，这些虚电路为用户提供专用带宽和路径控制。然后通信由发送方进行加密并通过虚电路发送出去。在某些情况下，用户将所有VPN控制外包给服务提供商。提供商在用户和其存在点之间敷设了短距离的物理链路并且处理加密和路径控制的所有方面。

因特网的开放环境使得任何人都可以通过加密网络传送的数据分组来建立专用链路。但是，VPN的虚拟网络部分(与专用部分相对)需要服务提供商的合作，服务提供商可以使用以保留带宽设立路径的业务流量工程技术来建立虚电路。使用为因特网提供业务流量工程技术的MPLS(多协议标记交换)可以实现这一功能。至于使通信保密，IPSec是一个很好的选择。

公共网络上的VPN可能需要很多提供商的合作。例如，如果要在洛杉矶和纽约之间的某个虚电路上创建横贯美国全国的VPN，可能需要征集几个服务提供商的服务来在因特网上合作建立MPLS路径。 在MPLS和IPSec之前，基本的隧道和加密方案用于创建因特网VPN。L2TP(第2层隧道协议)是一种协议，它将IP数据分组封装在隐藏基本因特网路由结构的“隧道”数据分组中。L2TP使得用户可以通过因特网创建到公司网络的如同本地的拨号会话，从而节省了长途话费。

VPN的优点

相对于传统的专线式网络连接，VPN提供了下列主要的优点：

（1）成本较低

VPN 在设备的使用量及广域网络的频宽使用上，均比专线式的架构节省，故能使企业网络的总成本（Total Cost of Ownership）降低。根据分析，在LAN-to-LAN连接时，用 VPN较使用专线的成本节省20%-40%左右；而就远程访问而言，用 VPN 更能比直接拨接至企业内部网络节省60%--80%的成本。

（2）网络架构弹性较大 VPN较专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时，VPN可以轻易的达到目的；相对而言，传统的专线式架构便需大费脑筋了。

（3）管理方便

VPN较少的网络设备及物理线路，使网络的管理较为轻松；不论分公司或是远程访问用户再多，均只需通过互联网的路径进入企业网络。

VPN的安全技术

资料在公众网络中传输的安全性是 VPN 架构中相当重要的一个因素；这些相关的技术包括信道、加密、封包认证（ Packet Authentication ）、防火墙、使用者认证（User Authentication）及入侵侦防系统。

（1）信道与加密

采用对资料加密的信道点对点传输技术， VPN 可以确保非授权的用户，无法读取到他人的机密文件。信道技术让企业能建立逻辑上的点对点网络连接，而加密技术则是将欲传送的资料加以编码、计算，使得惟有发送者及接收者能够解读其中的意义。

一般常见的信道技术协议为Layer 2 Tunneling Protocol（L2TP）、Layer2 Forwarding（L2F）、Generic Routing Encapsulation（GRE）及IP Security（IPSec）。而加密的技术则依加密钥匙的长度不同，有DES及3DES等，至于加密钥匙的管理，则可配合相关的管理服务器（Certificate Authentication Server,CA Server）来达到。

（2）封包认证

VPN 的虚拟信道建立，数据将开始在信道上传输时，为了确保数据的完整性及确认其未被黑客修改过，便需利用一些封包认证的协议来达到此目的。常见的技术如AH 、ESP 、 MD-5及SHA等协议。传送者及接收者在加密信道建立时，便需沟通好根据何种封包认证技术来做资料的传输，故当接收者收到资料封包之后，便可利用事先约定好的封包认证方式，来检查封包是否在公众网络传输时被修改过。

（3）防火墙及入侵侦防

提供网络安全，便不能不谈到防火墙及侦防系统，尤其在 VPN 的网络架构下，这些功能的建立更是不可缺少的。通过防火墙及侦防系统，可以将可能的黑客入侵或是非授权用户阻隔于企业网络之外，以保障企业网络的安全。

（4）使用者认证

VPN既然允许远程的用户通过互联网络进入企业网络内部存取资料，对于使用者身份的确认及权限的管理便极为重要。使用完整的安全认证服务器（Authentication, Authorization and Accounting Server），便可加强使用者的认证管理，以确保机密资料不会被非相关人员所读取。

VPN的应用

VPN 可以有三大应用，分别为远程访问（Remote Access）、Intranets及Extranets。远程访问VPN乃是连接移动用户（Mobile User）及小型的分公司，通过电话拨号上网来存取企业网络资源。Intranet VPN是利用互联网来将固定地点的总公司及分公司加以连接，成为一个企业总体网络。而Extranet VPN 则是将Intranet VPN的连接再扩展到企业的经营伙伴，如供货商及客户，以达到彼此信息共享的目的。