隨著Internet訪問的增加，傳統的Internet接入服務已越來越滿足不了用戶需求，因為傳統的Internet只提供瀏覽、電子郵件等單一服 務，沒有服務質量保證，沒有權限和安全機制，界面復雜不易掌握，VPN的提出就是來解決這些問題。VPN的組網方式為企業提供了一種低成本的網絡基礎設 施，并增加了企業網絡功能，擴大了其專用網的范圍。

而且目前我國龐大中小企業群體正面臨著管理與流通運營日益艱難，成本一天天增加，利潤空間越來越小的管理瓶頸。因此，建立安全、快速、高效的資源與信息的 流通方式，是當前的成長型中小企業最為關注的話題!面對上述中小企業要解決的當務之急，同時具備高度安全與資源共享概念的VPN網絡技術無疑是最有效的解 決方式。

技術門診是51CTO社區品牌欄目，每周邀請一位客座專家，為廣大技術網友解答疑問。從熱門技術到前沿知識，從技術答疑到職業規劃。每期一個主題，站在最新最熱的技術前沿為你引航！

本期門診特邀網絡技術專家曹重英曹博士與我們一起探討VPN在企業中的應用以及如何更好的利用VPN建立高效、安全、快速的企業網絡環境！

專家介紹：

姓　　名：曹重英

擅長領域：網絡、云計算、數字家庭、嵌入式系統

博士，著名企業研發部平臺經理，ISO/IEC和國標委標準技術專家，閃聯標準工作組技術負責人，中國計算機學會普適計算專委會委員和YOCSEF委員。曾在科創、華博、計算所、UT斯達康、閃聯等多家企事業從事相關的系統研究和開發工作。專注于數字家庭、網絡管理、MPLS、WCDMA、服務融合、云計算等方向的研究工作，個人共申請十幾項專利，在國際上發表多篇被SCI和EI檢索的文章。參與撰寫的閃聯標準1.0版被工信部頒布為國家推薦性行業標準，該標準的國際提案于2008年被ISO/IEC SC25工作組正式批準成為國際標準。目前，作為主要技術負責人參與承擔多項與閃聯標準以及普適計算相關的國家和部委級重大項目。

查看本期門診精彩實錄：http://doctor.51cto.com/develop-152.html

參與最新技術門診：http://doctor.51cto.com/

精選本期網友提問與專家解答，以供網友學習參考。

Q：您好!曹博士.感謝你的這次光臨,有幾個問題請教下你:

1.vpn的種類分那幾種,各有什么區別?

2.現在流行的VPN的方式那幾種？MPLS是什么樣的VPN，優勢如何？

3.企業如何選擇自己VPN，VPN跟專線的區別？

A：1.1）按使用的網絡分，MPLS VPN和IP VPN。

2）按加密方法分，IPSec VPN和SSL VPN。

3）網絡層次分，二層VPN和三層 VPN。

這是主要的分法，當然也可以從其他角度來分。

2.現在一般還是使用IP VPN。MPLS VPN是專門曾對MPLS網絡來建立的，可以充分了MPLS網絡的優勢。

Q：我們公司電腦大概有400+吧,連同服務器一共有10個網段.公司在網絡設備上花費不多,所以至今沒有劃分VLAN。不過我們在核心三層交換機確保每網段至少有一個接口，不論是光纖還是E口。照這樣看對于網絡風暴來說用不用VLAN是不是差別不大？

另外公司一般來說每個部門都是在一起的，所以接入層交換機和匯聚層交換機都是每個網段獨立的。我覺得這種情況下把所有交換機都換成可管理的，并且按網段劃分VLAN是不是沒有太大的必要？逼近更換所有接入層交換機使之可管理也不是一筆小數目。

A：每個網段至少有一個接口并不能保證沒有網絡風暴，使用VPN實際上是提供了一種管理方法，因此合適的配置是防止網絡風暴的關鍵。

Q：您好：非常高興能提問題！由于最近在研究VPN,對VPN這個領域也很感興趣！但是本人對VPN的了解尚淺，對于IPSEC了解的最多，我想問目前市場上應用最多的IPSEC,SSL--VPN,各有個的優勢，那么您認為兩者在以后的發展中會共存？還是？

還有一個問題，如果給VPN一個明確的定義，您應該怎么定義？基于連接方式的不同，有很多被當作VPN，比如幀中繼，ATM等。如果我要實現企業與分支機構之間的連接，具體應該做些什么？謝謝！

A：1.應該還是會共存的。

2.VPN的英文全稱是"Virtual Private Network"，翻譯過來就是"虛擬專用網絡"。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。

3.具體實現企業與分支機構之間的連接需要一個方案，不光是一個配置的問題。

Q：請問VPN都包括哪些內容!我對VPN不是很了解！只是簡單的做過遠程聯入企業網絡的實驗！實現遠程VPN撥號，能否大概介紹下呢？謝謝專家的解答！

A：1.VPN的英文全稱是"Virtual Private Network"，翻譯過來就是"虛擬專用網絡"。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。

2.遠程VPN撥號的方法，可以參閱：http://technet.microsoft.com/zh-cn/cc782585(WS.10).aspx

Q：曹老師好，我想問一下集成vpn的網關路由的安全性如何來保證？遠程的線路在公網上的加密方式有哪些？

A：主要還是通過加密以及安全認證方法來保證。

一般加密方式采用IPSec或SSL。

Q：您好!曹博士.

感謝你的這次光臨,有幾個問題請教下你:

1.vpn的種類分那幾種,各有什么區別?

2.現在流行的VPN的方式那幾種？MPLS是什么樣的VPN，優勢如何？

3.企業如何選擇自己VPN，VPN跟專線的區別？

A：1.1）按使用的網絡分，MPLS VPN和IP VPN。

2）按加密方法分，IPSec VPN和SSL VPN。

3）網絡層次分，二層VPN和三層 VPN。

這是主要的分法，當然也可以從其他角度來分。

2.現在一般還是使用IP VPN。MPLS VPN是專門曾對MPLS網絡來建立的，可以充分了MPLS網絡的優勢。

3.VPN是一種虛擬的專線，而專線是實際的專線。

Q：曹博士好，VPN的核心就是在利用公共網絡建立虛擬私有網，但是它仍舊要借助Internet來實現，怎么解決安全問題，還有，"一種低成本的網絡基礎設施"體現在哪些地方呢？特殊的安全機制是不是需要更多的去維護？

A：1.VPN的安全主要靠采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術來保證。

2.低成本主要體現在使用成本、建網陳本、維護成本等這些點上。

3.對于特殊的安全機制的維護主要看它本身是如何實現的。

#p#

Q：曹老師好，請問下VPN里有PP2P和L2TP兩種協議，這兩種協議有什么區分呢？分別用在什么場合呢？能否簡單的介紹下？謝謝老師的解答！

A：PPTP和L2TP都使用PPP協議對數據進行封裝，然后添加附加包頭用于數據在互聯網絡上的傳輸。盡管兩個協議非常相似，但是仍存在以下幾方面的不同：

1.PPTP要求互聯網絡為IP網絡。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATM VCs網絡上使用。

2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質量創建不同的隧道。

3.L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（overhead）占用4個字節，而PPTP協議下要占用6個字節。

4.L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協議上驗證隧道

Q：專家，想問一下支持vpn的產品和在服務器上搭建的vpn哪個更安全一些，哪個更好用呀。還想問一下專家為什么我在虛機上配完域控、路由和遠程訪問，把另一個客戶端加入域在這臺域控沒重起前可以直接拔入，訪問都沒問題但一重啟之后電腦就上不了網了，必須得把路由和遠程訪問中的服務器狀態變為停用才能上網。想問一下專家是我配的有問題嗎？請您指點一下。

A：應該說在服務器搭建的VPN的安全可管理性要強一些。我想應該是配置有問題。

Q：我想問下在思科路由與H3C上配置VPN有什么不同！SSL VPN比IPSec VPN這兩個之間的具體區別！那個更安全一些？謝謝專家！

A：兩者鍵入的命令都是不一樣的，請具體查使用說明。

SSL VPN和IPSec VPN應用在不同網絡條件下是不一樣的。應該說：在局域網里，SSL　VPN要強一些；而在廣域網中，IPSec VPn要強一些。

Q：曹老師：請問1,有什么有效措施來保證VPN速度?

2，跨運營商之間的網絡適合建VPN嗎？

3，請談談MPLS 的發展趨勢，據廠家給出的MPLS 的報價并不比專線的費用低！

A：1.保證VPN的速度不是一個單一的問題，

1）如果能采用硬件VPN當然比軟件VPN要強；

2）如果能采用MPLS VPN當然比IP VPN要強；

3）對各種接入的業務要進行有效的控制。

2.跨運營商之間的網絡可以建VPN，但是需要采取一些手段，稍微麻煩一點。

3.MPLS是一種很好的技術。但是，目前由于市場延續性的原因，能不能完全推廣開還很難說，所以現在的報價并不比專線的費用低。

Q：兩臺思科路由器可以建立一條vpn隧道，兩臺vpn網關也可以建立一條vpn隧道，還有兩臺windows計算機或linux計算通過安裝軟件也可以建立一條vpn隧道。

我想問下這三種方式，再考慮成本，效率，管理的簡便性后應該做怎么的選擇，各有什么樣的優勢？

A：這個很難說。采用路由器建立VPN隧道效率最高；采用兩臺VPN網關建立VPN的管理容易一點；采用計算機之間直接建立VPN的成本更低。這些需要您綜合平衡。

Q：你好，曹老師。VPN網關這種有何優點，適用于哪些個行業？

A：1.VPN網關技術能為在任何位置的用戶提供到任何企業應用的安全接入，只要他們擁有網絡/瀏覽器設備就可以了。

2.主要適合需要把分散在各處的員工、合作伙伴和客戶溝通起來的企業。

Q：曹老師您好：我公司現在用的是H3C設備，采用IPSec VPN模式組網，請問還有沒有更好的組網方式，我想改用DVPN模式，具體怎么做？

A：1.使用什么樣組網的方式主要要看您的目的和環境。

2.以H3C的secpath100f DVPN配置為例子：

Server 端配置 (本例使用Secpath 100f ,相關配置文件可參照漣邵集團VPN配置)

1.Secpath基本配置

firewall packet-filter default permit       //*這條命令必須,secpath默認禁止所有的數據包通過*/

2.DVPN 服務端的配置

interface t unnel0          /*創建遂道接口*/

ip add 172.16.2.1 255.255.255.0         /*定義IP地址和子網掩碼*/

tunnel-protocol udp dvpn                    /*使用udp作為遂道協議,也可使用GRE,此處可選*/

source e0/1                       /*指定建立遂道時的源接口,此接口必須有公網地址!!*/

                                          /*如果是ADSL撥號,則應指定為虛擬的撥號口*/

dvpn interface-type server                   /*指定DVPN接口類型為服務器端*/

dvpn dvpn-id 169                                 /*指定DVPN ID號,如果對端ID號不同,或者沒有指定ID號,

                                                    在使用dis dvpn map all的時候能看到對端公網IP地址,但是不能看到對端DVPN ID和遂道地址*/

Client 端的配置

1.定義一個DVPN類別

dvpn class leaf                                  /*定義一個名為leaf的類別*/

public-ip 222.170.xxx.xxx                                     /*指定服務端公網IP地址*/

private-ip 172.16.2.1                                      /*指定對端遂道地址*/

2.遂道端口的配置

interface tunnel0                                     /*創建遂道0端口*/

ip add 172.16.2.21 255.255.255.0                                    /*定義IP地址和子網掩碼*/

tunnel-protocol udp dvpn                                  /*使用UDP作為遂道協議,注意與Server端對應*/

sourece e2/1                                          /*指定建立遂道時的源端口,必須有公網IP*/

dvpn interface-type client                               /*指定DVPN接口類型為客戶端*/

dvpn dvpn-id 169                                    /*指定DVPN ID號,注意和服務端對應*/

dvpn server leaf                                          /*與上面定義的DVPN類別相關聯*/

dvpn register-type forward                                   /*這條命令是指在星形的DVPN情況下,和各分部互通經過SERVER端轉發,不加

這條命令估計是無法和其它分部互通*/

最后別忘了添加到對方私網的路由,還有就是別忘了把遂道口添加到相關區域,我用到DMZ區。

#p#

Q：曹老師好：有幾個問題想請教一下...我對VPN的了解只是基于分公司通過撥號連到總公司的VPN..然后連接ERP數據庫服務器這樣著...我也看了一些關于VPN方面的資料..但是說的也都是和我用的差不多的模式，方式不同罷了..比如只是有的采取專線或什么的。

因為最近好像很多人在說VPN..我就想問一下..VNP到底在什么地方存在著不安全的地方；如果我在服務器上把遠程撥號用戶的權限都設置好了話...那還有其它地方有安全隱患嗎?

也就是說..使用VPN的用戶在哪些方面存在安全隱患？.應該如何防御這些安全隱患？謝謝！

A：安全是個多維度的問題。VPN主要靠靠采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術來保證。

Q：曹老師好，我想問下，在企業間建立遠程的VPN連接，使用路由和遠程訪問設置好VPN服務器就可以了么？看到網絡上很多的文章，感覺到VPN的連接架設很復雜，但是微軟介紹的并不復雜，請問下！是VPN有很多種連接方式還是可以實現很多功能呢？謝謝老師的解答！

A：1.應該可以。

2.這個與連接方式以及實現的功能沒有關系，主要看其配置管理是否簡單實用。

Q：A公司、B分公司，現在A和B都能上互聯網，但是A公司運行了3種（不包括互聯網）獨立的內部網絡，現在能通過VPN把A公司的3種內網連接到B分公司嗎

A：需要在內網上配置VLAN。

Q：我還是第16樓的,想繼續問下曹工.我們公司運行情況還行，網絡感覺沒有什么太大的問題。在這樣的情況下，如果上馬VLAN，把交換機都換成可管理的，那可是不小的費用。雖然可管理的網絡相比來說更加安全和可控，但是費用問題是很現實的。我想咨詢下，如何能夠在全VLAN和目前公司網絡現狀之間來個折中。

A：可以選擇部分網絡可管理的方法。

Q：再補充一下，由于我們公司的網絡、電話這些都是公司辦和電信簽的統一合同，我們信息部門對具體的情況不太了解。我發現書上說總部和分部的連接用VPN，我們公司也是這樣的，不過好像沒有書上說的那些VPN服務器，直接就是電信的線拉到分部和本部的交換機上，VPN好像就是電信在自己的設備上做的。這種方法好像沒有看見書上有介紹， 曹工能否給我解惑？

A：這是通過電信自己交換機來設置VPN也是可以的。

Q：您好！曹博士，想問您個我在實際工作中遇見的問題，就是我搭建完成VPN并且撥號成功以后，為什么客戶端就不可以連接到互聯網上網了？我查過很多相關資料，但是沒有好的解決辦法。懇請您能給我解惑，謝謝您百忙之中來到這里，謝謝。

A：應該還是您的VPN配置有問題。

Q：我是20樓的，就20樓的問題還有個擴展的想法。既然電信可以做VPN，是不是說可以就讓電信負責這一塊，這樣對于像我們這種經費較少的企業非常合適？因為免了VPN服務器的費用，還有日常的管理？電信的VPN和自己公司搭建VPN差別在哪些？

A：是不是省錢，主要還是自己對網絡管理的熟悉程度。

Q：您好!曹老師：請問，你知道VPN安全設備有那些呢？最近公司要采購一些VPN硬件設備，現在有兩家，一家是國內的天隔信，另一家是國外的飛塔，請問你知道這兩個設備如何，謝謝！

A：1. 應該說沒有單純的VPN安全設備，整個VPN系統都涉及安全問題，包括帶vpn功能的路由器，VPN服務器、域管理服務器、防火墻等。

2.這兩家的產品，我不是很熟悉。您最好問問他們的技術參數、市場的口碑以及售后服務，再做出判斷。

Q：您好！曹博士！我們公司這對在外出差人員的筆記本配置了VPN,checkpoint ssl networkwork extender.在外需要登錄驗證窗口，輸入用戶名與密碼的，但經常性會驗證無效，停在空白驗證窗口。ping VPN服務器公網地址正常，該用戶的域賬戶正常，請問會是什么原因？沒有任何提示，輸入驗證后重新回到空白驗證頁，網絡連接正常。是什么原因？

A：驗證無效的原因很多。例如，如果是提示沒有權限，看看是否在開始的時候程序檢查了權限數據庫。

Q：曹老師您好！vpn如何設置遠程訪問的身份識別？

A：不同的網絡設備配置方法不同。請參考使用說明。

Q：曹博士好,我司是專業運營中港臺(國際)MPLS-VPN的ISP服務提供商,就傳輸速度上與安全性能及維護上對比MPLS -VPN與IPSec VPN SSL VPN的優勢與區別?謝謝!

A：首先MPLS VPN與IP VPN是不同的兩種網絡的VPN方法，而IPsec VPN和 SSL VPN是按安全方法來區分的。MPLS VPN的傳輸速度在同樣條件下要優于IP VPN。IPSec VPN和SSL VPN的安全性區分在于它們適合于不同的網絡條件。我在前面已做了一定的解釋。

Q：您好！曹博士！我們公司馬上就要通過VPN互聯，請問該怎么實現？目前4個分公司都是10mb光線接入。但不在一個地區，計劃把四個分公司和上?？偛炕ヂ摶ネǎ垎栍心男┓桨缚尚?？

A：VPN的方案很多。一般可以選用IP Sec VPN的方案。

Q：曹博士：目前公司有4個分公司的監控系統都有vnp功能，即我在上海通過一個加密狗，就可以連接一個地方的監控，實時查看監控記錄。目前是我們有幾個分公司，一個加密狗只能同時連接一個分公司，有什么辦法能同時插上4個加密狗，通過vpn同時顯示4個地方的監控畫面呢？

A：這個跟加密狗本身設置的連接數有關系。

Q：地的路由器只要都能vpn功能，就能實現互聯嗎？怎么實現互聯？

A：這要看兩個路由器是實現那一類VPN。

Q：想請問一下，我現在遇到一個網絡，在這個網絡里面，任何一臺電腦都可以訪問服務器的資源，而其他電腦在互聯網的其他地方，也可以訪問這臺服務器的資源，我懷疑是不是這些電腦里面都裝有一個控件或者其他什么軟件，才可以達到這個資源共享的，請問這是VPN技術嗎？如何架構這個VPN網絡呢？謝謝 ！

A：這個應該不是涉及VPN的問題，應該是裝了共享軟件。

Q：你好！曹博士。我想問一下政府單位使用的是什么形式的VPN實現的縣級訪問市級政府的辦公系統的。

A：各個單位使用VPN的辦法是不一樣的。

Q：你好， 我Windows2003系統上搭建了PPTP VPN，用戶差不多有五十多個。 今日服務器的系統出現異常， 想重裝系統， 但是用戶不知道怎么備份。 希望能夠指導。

A：你看看有沒有用戶信息的導出機制。

Q：您好 曹博士!本人處于內網 連接外部vpn 通過默認端口1723能正常連上vpn 但是vpn服務器改了端口后 我在注冊表也改了對應的端口 連接時候卡在驗證用戶名和密碼那里 提示721錯誤 但換一種網絡就很正常 請曹工幫忙分析下可能是內網防火墻哪里限制了呢?

A：應該還是該內網存儲的VPN信息并沒有更新。

Q：你好，曹老師，我想問一下現在企業做VPN事基于路由的做的多呢，還是基于防火墻做的VPN多呢？

A：應該還是基于防火墻的多一些。

Q：我想要問曹老師的是：VPN的功能是安全數據傳輸。但是，我要如何直觀的展示這個安全給客戶看。畢竟，即使不用VPN數據傳輸客戶也感覺不到不安全。能否給我一些方法來展示VPN的安全？

A：這個好像不是太好演示。

 Q：博士，你好，我是一名在校學生，想請問的是，在學校的這里可以用VPN嗎？？

 

應該是用MPLS VPN還IP VPN呢？我自己的電腦能聯入么？

A：學校里應該沒有MPLS網絡吧，應該還是使用IP VPN。

 

【編輯推薦】

1. [第138期] DBA大討論：數據庫應用與故障排除
2. [第137期] 玩轉08活動目錄，助力您的企業管理
3. 閱卷組長解析：軟考網絡系列重難點與論文寫作