VPN技术综述及应用

2.1.2 NAS发起的VPN

在NAS发起的VPN中，由服务提供商的POP中的NAS请求并创建到客户公司路由器（或者Home Gateway）的VPN隧道。NAS使用L2F（Layer 2 Forwarding Protocol）或者L2TP（Layer 2 Tunneling Protocol）协议来建立到客户Home Gateway的安全隧道。L2TP是不久前建立的标准，这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于Home Gateway来说，L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。

表现得似乎用户是直接拨号到公司内部网上。

在这种拨号VPN形式中，用户认证公两级处理。当用户拨入时，首先由服务提供商NAS执行基本的认证，这个认证仅仅识别出用户的公司身份。然后，NAS打开到用户公司Home Gateway的隧道，由Home Gateway来执行用户级的认证功能。

这种VPN形式有若干优点：对拨号用户透明，用户PC上无需特殊的客户软件，因而管理简单化；由于是由服务提供商初始化隧道，他们可以提供优质的拨号VPN服务，如通过预留Modem端口，优先的数据传送等手段保证拨号VPN用户得到所需的服务；NAS可以时支持Internet或其他公用网络和VPN服务；由于到某一目的的通信量全部通过单一隧道传送，大规模部署将更具有可扩充性和管理性。

这种VPN形式存在的缺点有：

（1）当远程用户进入其它网络时，需要重新拨号，并且只能以另一用户名登录。

（2）远程用户不能同时进入多个网络。

2.2 专线VPN

2.2.1 基于IP Tunnel的专线VPN

VPN与常规的直接拨号网络不同，在VPN中，PPP数据包流不是通过专用线路，而是通过共享IP网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成VPN隧道呢？

隧道是由隧道协议形成的，这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包，最普遍使用的方法是先把各种网络协议（IP、IPX和AppleTalk等）封装到PPP里，再把这整个PPP数据包装入隧道协议里。隧道协议一般封装在IP协议中，但也可以是ATM或Frame Relay。由于隧道搭载的是PPP数据包（第二层），所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中（3Com公司的VTP就是这种隧道协议），由于隧道直接搭载第三层协议的数据包，所以称为“第3层隧道”。

2.2.2 基于Vitual Circuit（虚拟电路）的VPN

服务提供商可以提供虚拟电路来建立IP VPN服务。用PVC在帧中继（Frame Relay）和ATM网络中建立点对点连接，并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法，充分利用其现有的帧交换（如帧中继）或信元交换（如ATM）基础设施提供IP VPN服务。

在前面叙述的专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道（tunnel）来提供服务的。与之不同，基于虚拟电路的VPN通过在公共的帧或信元交换网络上的路由来传送IP服务，是使用PVC而不是tunnel来建立隐私性。因此，加密是不需要的。

这种形式的VPN具有如下优点：受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法；可充分利用FR CIR（Committed Information Rate）和ATM QoS来确保QoS能力；虚拟电路拓扑的弹性；连接无须加密。

它的缺点是：不能灵活选择路由；比IP Tunnel的相对费用高；缺少IP的多业务能力（如Voice Over IP Video Over IP等）。
javascript:window.open(this.src);" style="cursor:pointer;"/>
3 VPN技术的应用领域及典型应用

3.1 VPN应用的四个领域

企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN。另外，在很多涉及公司重要信息的传输及对数据完整性安全性要求比较高的场合，也大多选择VPN技术。

3.2 VPN广域网建设新的解决方案（即典型应用）

目前各行业网、专用网的应用主要有两个方面：一是作为Internet或其他公用网络的一部分，组织本行业是信息资源上网；二是作为一个内部网，为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。

对于各专用网络两种应用的第一种应用，其解决方案可以根据网络的性质和信息资源的服务对象，各地就近接入当地的中国公用计算机互联网（简称163网）或中国公众多媒体通信网（简称169网），完全省去了用于连接跨省的DDN专线，只需在域名规划和信息主页设计中统一规划，统一形象，把有限的人力和物力用于专业的信息资源开发和深加工。

对地第三种应用或两者都有的应用，则各地就近接入当地的169网或163网，采用VPN技术，实现跨地区的数据通信，充分利用169网高速（155MATM）的跨省通信主干道，建设自己的内部网。其网络结构如图5所示。

图中的VPN表示内部专用网段。由于内部网的敏感数据在公网传输进是加密传，因此可以实现安全廉价的跨地域数据通信。

同样，本解决方案也适用于企业的跨地域数据通信，实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。

4 VPN技术的市场前景分析

Internet的飞速发展、用户数的迅猛增长以及Web通信量和个人域名注册都加速了其发展势头。美国商业部预测到2010年加入互联网的企业将会超过500尤。这清楚地描述了下世纪Intenet产生以及将会产生的影响。一些研究表明在下世纪将会有70%～80%的商务使用VPN设备。它们还指出，仅拥有200个远程用户美国某跨国公司弃专线而选用VPN后，仅仅4～5的时间就节省了150多万美金。

公司希望花费不高的代价来传输商务信息。VPN在这方面起了很重要的作用，它提供了减少开支、提高服务、维护客户基础的方法。许多公司选用VPN传输商务信息的原因是：

（1）VPN以Internet做支撑；

（2）无论对商业客户来说还是对私人客户来说，使用Internet都是一种经济可行的方式。

（3）Internet覆盖全球；

（4）现在Internet传输效率极高，大多ISP能承受进行连接所带来的负荷；

（5）VPN是灵活的、动态的、可升级的；

（6）VPN在可以利用公司硬件方面的现有投资。

虽然VPN在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。此外，在未来几年里，客户和厂商很可能会使用VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。