什么是虛擬專用網

VPN這個詞，大家或許經常聽說，但恐怕真正了解的并不多，而實際上，在網絡界它的名聲遠揚并已廣泛應用于企業、政府、金融等各個行業。

VPN的英文全稱是“Virtual Private Network”，即虛擬專用網絡，顧名思義，我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密通訊協議，在連接于Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專用的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正地去鋪設光纜之類的物理線路（圖1）。而且相對Internet這個全球性和開放性的、不可管理的國際互聯網絡，VPN最大的優勢在于企業用戶擁有高度控制性，尤其是基于安全基礎上的控制。一個內部VPN能使企業對所有的安全認證、網絡系統以及網絡訪問情況進行控制，建立端到端的安全架構，集成和協調現有的內部安全技術。

根據不同技術協議標準和應用范圍，VPN分為MPLS VPN、VPDN、IPsec VPN、SSL VPN等幾種類型。目前比較常見的VPN應用形式包括有企業內部網的連接、企業外部網的連接以及移動工作者到企業的連接，企業實施加密的VPN接入主要采用后兩種方式，即 IPSec VPN和SSL VPN（圖2）。

IPSec VPN和SSL VPN在不同領域各有優勢，在實施固定點到點的VPN和復雜應用的移動用戶接入VPN 時，一般采用IPSec VPN技術，而在實施普通應用的移動用戶接入VPN 時，通常采用SSL VPN技術。單就技術角度而論，IPSec VPN的安全性要高于SSL VPN。在具有較多連接的IPSec VPN系統中，如果存在著安全性較低的傳輸端點，那么整個VPN系統的安全性都要受到威脅。例如，一個企業的子公司網絡被攻擊者滲透之后，通向總公司的VPN連接就為攻擊者提供了一條訪問路徑，而且該路徑可以直接穿透總公司的防火墻等安全設施。

要指出的是，無論采用哪種技術方式，都可以滿足企業的需要，這不僅能為企業的員工、合作伙伴等提供對內網資源的安全遠程訪問，同時也可以消除因為遠程用戶客戶端的維護等帶來的諸多不便。目前，國內外的網絡設備商都相繼推出了自己的VPN產品，其中包括思科（Cisco）、華為、ArrayNetworks、F5、天融信等著名設備供應商，產品的形式有的是單獨的VPN網關，有的是和其它安全產品整合在一起的，如和防火墻集成在一起。

VPN的軟硬之爭

在VPN領域，一直存在軟件和硬件的口水戰。硬件VPN的支持者批評軟件產品在安全性方面存在問題，而軟件VPN的支持者認為硬件產品在使用和升級上不方便。

與防火墻產品類似，硬件VPN設備能夠提供較好的性能表現，適用于性能要求較高的場合，尤其在遠程維護方面，大多數硬件VPN產品都可以通過Telnet或Web方式遠程登錄并進行控制。不過這種硬件方案非常貴，價格從幾萬元到10多萬元不等。而軟件VPN方案最大的優勢是建立成本相對要低，而且擁有極高的靈活性，缺點是軟件VPN維護起來相當麻煩，網絡管理員不但要維護VPN軟件，還要考慮病毒、惡意攻擊及相關設備的軟、硬件沖突導致系統平臺不穩定的因素出現，同時軟件VPN的性能在很大程度上取決于所應用的硬件平臺。

因此在較大規模的應用環境中，更適合采用基于硬件的VPN解決方案。如果網絡規模不大，選擇面向中小企業或小型辦公室的軟件VPN產品比較合適，這種VPN軟件多集成于防火墻或路由器中，性價比非常高，且支持多種寬帶接入方式，還提供了方便的管理工具，支持主流的VPN協議，如NETGEAR FVL328、NetScreen-50、Vigor 2300等。

當然，最終如何選擇企業要根據自身的情況而定。在很多情況下軟硬件結合的VPN方案能更好地滿足用戶的要求，以現有網絡設備為基礎，再配以適當的VPN 軟件來實現VPN功能。下面我們以世界文字運算編碼（中國）有限公司的VPN方案為例進行分析，或許能對大家有所啟示。

VPN典型應用案例分析

世界文字運算編碼（中國）有限公司的總公司設在北京，分公司在香港、上海、廣州、深圳、南寧、蘇州、重慶。目前公司總部通過100Mbps 寬帶接入方式接入Internet，各地分公司通過ADSL撥號方式或者寬帶接入Internet，分公司要實時將信息傳送到公司總部，總部也要將反饋的信息實時向分公司下發?，F在公司的情況是：總部通過光纖接入互聯網，內部實現辦公自動化和Web、E-Mail 等服務，其它各分公司與總部的信息交流主要是通過郵件來實現，現在無法實現辦公自動化、Web 等服務。為實現辦公自動化、內部Web和E_Mail服務，能實時地與各地分公司互聯，因此公司高層提出網絡互聯及網絡安全的需求，希望在總公司與分公司之間建立VPN連接，以達到以下目的：

●總公司與分公司之間能以安全、穩定、成本低廉的VPN連接；

●1個中心節點與30個分節點進行安全互聯，加密要求:商業機密，處理速度:10Mbps 以上，要求支持動態IP 地址；

●通過VPN傳輸實現語音傳輸，不受網絡營運商對VoIP服務的限制；

●總部的網絡聯機必須支持多個WAN，以同時滿足VPN及內部上網帶寬的需求；

●VPN設定容易，可由分公司人員自行設置。

基于以上這些需求，總公司要求使用一條10MB光纖，配合兩條ADSL電話線聯機，而分公司以一條ADSL電話線作為聯機的基礎。在設備上，總公司使用QVM1000產品，可支持3個WAN口和13個LAN口，連接一條10MB光纖和兩條ADSL線纜，使用兩條ADSL聯機是為方便選擇不同的網絡營運商服務，以避免單一營運商掉線的風險。未來連接WAN的數量還可根據帶寬需要，增加光纖或ADSL聯機。

分公司則采用QVM330 VPN路由器，具有兩個網絡接口，一個用于內網，一個通過ADSL線纜對外連接使用，各地分公司選擇不同的網絡營運商的線路，VPN聯機采用IPSec協議，以保證聯機的安全性（圖3）?？偣九c各分公司的VPN設定，通過俠諾專有的SmartLink功能進行，網管人員只要將設備寄到分公司，并提供總公司的VPN閘道IP、用戶名及密碼，即可由具有一般計算機操作能力的用戶完成設定。在外出差或想要連接總公司或分公司內部網的用戶，可使用操作系統內建的PPTP或IPSec應用軟件，由網管人員代為設定，即可在出差時利用互聯網與公司內部網聯接。同時，為了確保VoIP及視頻會議的服務水準，還可使用QVM系列產品中的QoS(服務品質)功能，限制上網或下載文件占用的帶寬，提供比穩定的語音及影像傳輸服務。

本應用案例其實就是目前國內較為典型的VPN網絡連接架構，總公司具有固定真實的IP，各地分公司采用多種接入方式接入Internet，通過VPN網關在Internet 上構建起了企業內部虛擬專用網絡。

總結：VPN之所以受到歡迎，主要原因是采用這種網絡連接方式后，企業用戶可以節省長話費、網絡設備運行和維護費，而且具有連接快速、WAN連接管理方便的優勢，這樣企業用戶就不必花較多的精力關注網絡運行和維護了，可以更多地致力于企業商業目標的實現。

【編輯推薦】

1. 經濟危機, IT經理如何為企業省錢
2. 從應用看VPN如何實現企業網絡安全
3. 如何看待VPN應用方便與安全兩不誤
4. 節省開流 俠諾VPN助力企業飛躍金融危機