VPN技術詳解（二）

引言

虛擬專用網(wǎng)絡可以實現(xiàn)不同網(wǎng)絡的組件和資源之間的相互連接。虛擬專用網(wǎng)絡能夠利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡一樣的安全和功能保障。

?

（圖1）

虛擬專用網(wǎng)絡允許遠程通訊方，銷售人員或企業(yè)分支機構使用Internet等公共互聯(lián)網(wǎng)絡的路由基礎設施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務器建立連接。虛擬專用網(wǎng)絡對用戶端透明，用戶好象使用一條專用線路在客戶計算機和企業(yè)服務器之間建立點對點連接，進行數(shù)據(jù)的傳輸。

　　虛擬專用網(wǎng)絡技術同樣支持企業(yè)通過Internet等公共互聯(lián)網(wǎng)絡與分支機構或其它公司建立連接，進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網(wǎng)建立的連接。

　　雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡的基礎上，但是用戶在使用VPN時感覺如同在使用專用網(wǎng)絡進行通訊，所以得名虛擬專用網(wǎng)絡。

　　使用VPN技術可以解決在當今遠程通訊量日益增大，企業(yè)全球運作廣泛分布的情況下，員工需要訪問中央資源，企業(yè)相互之間必須進行及時和有效的通訊的問題。

　　如果希望企業(yè)員工無論身處何地都能夠與企業(yè)計算資源建立連接，企業(yè)必須采用一個可靠性高、擴展性強的遠程訪問解決方案。一般的，企業(yè)有如下選擇：

1.管理信息系統(tǒng)（MIS）部門驅動方案。建立一個內部的MIS部門專門負責購買，安裝和維護企業(yè)modem池和專用網(wǎng)絡基礎設施。

2.增值網(wǎng)絡（VAN）方案。企業(yè)雇傭一個外部公司負責購買，安裝和維護modem池和遠程通訊網(wǎng)絡基礎設施。

　　從費用，可靠性，管理和便于連接等幾方面來看，這兩種方案都不能最大程度的滿足企業(yè)對網(wǎng)絡安全性或擴展性的要求。因此，選擇一種基于Internet技術的廉價方案取代企業(yè)花費在modem池和專用網(wǎng)絡基礎設施上的投資就顯得極為重要。

虛擬專用網(wǎng)絡的基本用途

通過Internet實現(xiàn)遠程用戶訪問
　　虛擬專用網(wǎng)絡支持以安全的方式通過公共互聯(lián)網(wǎng)絡遠程訪問企業(yè)資源。

　　與使用專線撥打長途或（1-800）電話連接企業(yè)的網(wǎng)絡接入服務器（NAS）不同，虛擬專用網(wǎng)絡用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接在撥號用戶和企業(yè)VPN服務器之間創(chuàng)建一個跨越Internet或其它公共互聯(lián)網(wǎng)絡的虛擬專用網(wǎng)絡。

通過Internet實現(xiàn)網(wǎng)絡互連

　　可以采用以下兩種方式使用VPN連接遠程局域網(wǎng)絡。

1.使用專線連接分支機構和企業(yè)局域網(wǎng)。
　　不需要使用價格昂貴的長距離專用電路，分支機構和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。VPN軟件使用與當本地ISP建立的連接和Internet網(wǎng)絡在分支機構和企業(yè)端路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡。

2.使用撥號線路連接分支機構和企業(yè)局域網(wǎng)。
　　不同于傳統(tǒng)的使用連接分支機構路由器的專線撥打長途或（1-800）電話連接企業(yè)NAS的方式，分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機構和企業(yè)端路由器之間創(chuàng)建一個跨越Internet的虛擬專用網(wǎng)絡。

　　應當注意在以上兩種方式中，是通過使用本地設備在分支機構和企業(yè)部門與Internet之間建立連接。無論是在客戶端還是服務器端都是通過撥打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費用。建議作為VPN服務器的企業(yè)端路由器使用專線連接本地ISP。VPN服務器必須一天24小時對VPN數(shù)據(jù)流進行監(jiān)聽。

連接企業(yè)內部網(wǎng)絡計算機

　　在企業(yè)的內部網(wǎng)絡中，考慮到一些部門可能存儲有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個企業(yè)網(wǎng)絡斷開形成孤立的小網(wǎng)絡。這樣做雖然保護了部門的重要信息，但是由于物理上的中斷，使其他部門的用戶無法，造成通訊上的困難。

　　采用VPN方案，通過使用一臺VPN服務器既能夠實現(xiàn)與整個企業(yè)網(wǎng)絡的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠實現(xiàn)網(wǎng)絡之間的互聯(lián)，但是并不能對流向敏感網(wǎng)絡的數(shù)據(jù)進行限制。使用VPN服務器，但是企業(yè)網(wǎng)絡管理人員通過使用VPN服務器，指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問敏感信息的權利。此外，可以對所有VPN數(shù)據(jù)進行加密，從而確保數(shù)據(jù)的安全性。沒有訪問權利的用戶無法看到部門的局域網(wǎng)絡。