随着信息时代的到来，企业内部和企业间数据通信的数量大大增加，企业纷纷建立起自己的内部网络(Intranet) ，甚至企业间也建立起专用的外部网（Extranet）以加快信息交换的速率。传统的Intranet在分支办公室与中心办公室之间的广域连接（WAN）部分采用租用专线（Lease Line），其成本居高不下成为限制企业Intranet发展的主要障碍。此时，VPN技术的出现，使得这个问题迎刃而解。VPN技术可使租用线路成本下降一半，从而大大降低企业的通信费用。因此，VPN技术市场将成为IT界新的热点。想了解这一新技术吗？请跟我来看

虚拟专用网络（VPN）技术浅析
文／图 汪帆

1．VPN的定义

　　VPN即虚拟专用网络，它是利用公用网如Internet来搭建私人专用网络。当需要时VPN从公用网中“挖走”一部分带宽，作为私用网使用，当通讯停止后，这部分带宽又还给公用网。“虚拟”的概念是相对传统私用网络搭建方式而言的，VPN不需要建设远程连接，而是通过服务提供商提供的公用网来实现广域连接。VPN的使用者只需要连入本地提供VPN服务的ISP提供的POP（point of presence，接人服务提供点），就可相互通信，而不像传统的WAN需要架设专线。特别是，当两个企业需要建立EXtranet时，不必再协商申请专线，只要两者都接人了VPN服务，就可以直接通讯。出差员工和外地客户只需要拥有本地或漫游ISP的上网权限就可以访问企业内部资源。如图1所示：

2.VPN的优势

　　与传统专用网相比，VPN给企业带来很多的好处，同时也给服务供应商特别是ISP带来很多机会。VPN给企业带来的好处主要有以下四点：（1）降低成本（2）易于扩展（3）可随意与合作伙伴联网（4）完全控制主动权

3.实现VPN的要求

实现VPN要求能够做到以下几点：“保证安全性、实现网络优化、对VPN实施管理”

（1）保证安全牲
　　VPN直接构建在公用网上，任何人都有可能截获通过VPN传递的数据，因此企业需保证自己的数据不被窥探和篡改，并防止敏感信息被非法访问。

　　保证VPN安全性通过以下手段：
　　　　*隧道和加密：在安全性较高的场合使用加密隧道保护私有数据不被非法窥视和篡改。
　　　　*数据验证：数据验证使接收方识别被篡改的数据，保证数据完整性。
　　　　*用户验证：通过AAA，路由器提供用户验证、访问级别和访问记录，禁止非法访问。
　　　　*防火墙与攻击检测：防火墙用于过滤数据包。防止非法访问，攻击检测则更近一部分析数据包的内容，确定其合法性，并可及时采用安全策略，断开非法访问。

（2）实现网络优化
　　构件VPN的另一重要需求是有效的利用有限的广域网资源，为重要数据提供可靠的带宽。QoS（服务质量）通过流量预测与流量控制策略，可按照优先级分配带宽管理，使各类数据合理的先后发送，并预防阻塞的发生，因此，在设计VPN时需考虑采用多种QoS策略以优化网络资源（3）对VPN实施管理VPN要求企业将其网络管理功能无缝延伸到公用网，甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。

4.VPN技术的实施
（1）VPN的分类
　　VPN的解决方案根据应用环境的不同分为三类：
　　*Access VPN：主要提供给公司内部在外出差和在家中办公的人员与公司建立通信。
　　*Intranet VPN：主要提供给公司内部各分支办公室与中心办公室之间建立通信。
　　*Extranet VPN：主要提供给合作伙伴和重要客户与本公司间建立通信。

三种应用如图2所示（三种VPN实现方案简图）

（2）结合防火墙的VPN解决方案
　　将VPN结合防火墙有两种方式，一是采用单层防火墙，将隧道中断器设置在防火墙以外。二是采用两层防火墙，将隧道中断器设置于两层防火墙之间的DMZ（非军事区）内。不管是哪一种方法，远程用户只能访问网络边界处的连接点的网络资源，防火墙可以防止非法用户窃取企业网络的信息（如图3）。

　　VPN技术是当前最有前途的网络技术之一，国外已大规模开展应用，而国内才刚刚起步。在这里，笔者希望这篇文章能帮助读者了解VPN技术，并使VPN技术能在国内被广泛认知。