VPN，網(wǎng)絡(luò)安全，隧道技術(shù)，L2TP，GRE，IPSec，IKE，防火墻，QoS，網(wǎng)絡(luò)管理
　　
　　概述
　　隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長(zhǎng)，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對(duì)于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，VPN以其獨(dú)具特色的優(yōu)勢(shì)贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。華為Quidway系列路由器在安全、網(wǎng)絡(luò)優(yōu)化以及管理等方面對(duì)VPN給予了強(qiáng)大的支持。
　　
　　VPN定義
　　利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。
　　
　　“虛擬”的概念是相對(duì)傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對(duì)于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號(hào)連接來實(shí)現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實(shí)現(xiàn)遠(yuǎn)程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴，如圖1所示。
　　
　　
　　
　　圖1 VPN應(yīng)用示意圖
　　
　　由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務(wù)提供點(diǎn)），即可相互通信；而利用傳統(tǒng)的WAN組建技術(shù)，彼此之間要有專線相連才可以達(dá)到同樣的目的。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源； 如果接入服務(wù)器的用戶身份認(rèn)證服務(wù)器支持漫游的話，甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限。這對(duì)于流動(dòng)性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺(tái)VPN服務(wù)器就可以了。
　　
　　VPN的類型
　　VPN分為三種類型：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。
　　
　　Access VPN
　　隨著當(dāng)前移動(dòng)辦公的日益增多，遠(yuǎn)程用戶需要及時(shí)地訪問Intranet和Extranet。對(duì)于出差流動(dòng)員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室，Access VPN通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。
　　
　　Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起（Client-initiated）的VPN連接，另一種是接入服務(wù)器發(fā)起（NAS-initiated）的VPN連接。
　　
　　用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠(yuǎn)程用戶通過服務(wù)提供點(diǎn)（POP）撥入Internet，接著，用戶通過網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道（可加密）連接從而訪問企業(yè)網(wǎng)內(nèi)部資源。在這種情況下，用戶端必須維護(hù)與管理發(fā)起隧道連接的有關(guān)協(xié)議和軟件。
　　
　　在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過本地號(hào)碼或免費(fèi)號(hào)碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對(duì)遠(yuǎn)端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負(fù)責(zé)管理和維護(hù)。
　　
　　Intranet VPN
　　Intranet VPN通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。
　　
　　利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時(shí)應(yīng)根據(jù)自身的需求對(duì)以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。
　　
　　1.2.3Extranet VPN
　　
　　Extranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。在傳統(tǒng)的專線構(gòu)建方式下，Extranet通過專線互聯(lián)實(shí)現(xiàn)，網(wǎng)絡(luò)管理與訪問控制需要維護(hù)，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備；雖然可以通過撥號(hào)方式構(gòu)建Extranet，但此時(shí)需要為不同的Extranet用戶進(jìn)行設(shè)置，而同樣降低不了復(fù)雜度。 因合作伙伴與客戶的分布廣泛，這樣的Extranet建設(shè)與維護(hù)是非常昂貴的。 因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet，結(jié)果使得企業(yè)間的商業(yè)交易程序復(fù)雜化，商業(yè)效率被迫降低。
　　
　　Extranet VPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實(shí)現(xiàn)技術(shù)與Access VPN和Intranet VPN相同。Extranet用戶對(duì)于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。