VPN技术在企业中应用研究与探索

    IP虚拟专用网(IP-VPN)是指互联网服务提供商(ISP)以IP骨干网为基础提供的增值服务。最终用户采用IP-VPN的服务，可以在多个地点之间传送IP数据包，同时得到一定程度的服务质量保证和某种程度的安全保证。

    利用公用网络构建虚拟专用网络会给ISP和VPN用户带来益处。对于ISP来说，通过向仑业提供IP-VPN增值服务，可以免费利用现有网络资源，提高业务量。将这一繁重的任务由专业的ISP来完成。

    一个高效、成功的IP-VPN一般应具备安全保障、服务质量保证(QoS)、可扩充性、灵活性、可管理性等几个特点。IP-VPN业务主要分为两种类型，即拨号VPN(简称VPDN)和专线VPN。

    1.专线VPN:专线连接不需要使用昂贵的远距离的专用线路，分支机构和企业端的路由器可以各自使用本地一专用线路，通过本地的ISP连接到internet。VPN软件使用与本地ISP建立连接到Internet网络分支机构和企业端路由器之间创建一个虚拟专用网络。主要应用于企业员工、企业用户、企业合作伙伴的远程拨号接入，专线VPN主要应用于企业的Intranet和Extranet的建设。

    2、拨号接入VPN:简称VPDN，使用拨号连接(如模拟电话、ISDN和ADSL等)连接到ISP，是一个不同于传统的使用连接分支机构的路由器专线拨打长途或电话接入企业的方式，分支机构路由器可以拨号连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越internet的虚拟专用网络。

    3、用户设备的VPN:企业内部网包含VPN网关设备(也可以是支持VPN隧道协议的路由器、防火墙等设各)，通过租用专线接入Internet。该方式解决两个问题:隧道建立(Tunneling)和地址转换(NAT)。VPN网关可由用户购买或租用ISP的设备，其安全性可由自己管理或由ISP代管。

    4、网络边缘设备的VPN:在IP网络边缘接入由运营商管理的VPN接入设备为用户提供VPN业务。这类设各要连接多个VPN用户，网络的VPN:如MPLS技术，要求网络上的所有设备支持MPU协议。基于MPLS的内嵌VPN是无连接的，无需定义隧道。MPLS提供IPQoS和流量管理，具有良好的网络扩展性和增值服务扩展性。网络运营商的公共数据网络r设置VPN网关设备，用于接入企业的专线用户或远程拨号接入用户。利用该网关设备，可以在全网范围内，根据具体的VPN网络需求.通过隧道封装或虚拟路由以及MPLS等技术，建立完全的或不完全的VPN网络结构，并且也可以采用加密技术以保障数据传输的安全性。VPN连接的建立完全由网络运营商负责，对用户透明。用户的管理可以灵活地由用户和网络运营商共同管理。运营商要根据具体的需要调整或改变网络结构与设备性能来支持这种VPN的实现。网络运营商提供VPN增值服务，可以得到额外的收入，例如用户管理和增加的专线或拨号接入租费等。另外，由于网关设备由网络运营商提供并管理，可以同时为多个企业用户提供VPN服务。

    VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。

    (1)AccessVPN(远程访问VPN):客户端到网关。VPN允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。远程用户拨号接入到本地的ISP，它适用于流动人员远程办公，可大大降低电话费。SOCKSv5协议比较适合这类连接。

    (2)IntranetVPN企业内部VPN):网关到网关。它适用于公司两个异地机构的局域网互连，在Internet上组建世界范围内的企业网。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接，因此，在这类组网方式中用得最多。

    (3)ExtranetVPN(扩展的企业内部VPN):与合作伙伴企业网构成Extranet。由于不同公司的网络相互通信，所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题，它也属于网关到网关的连接，选择IPSec协议是明智之举。

    使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。

    VPN可以实现不同网络的组件和资源之间的相互连接，能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

    对中小企业来说，VPN是实现自建专网向利用运营商网络方向发展的重要技术，通过部署VPN，利用地理范围覆盖广阔，骨干网络带宽很高的运营商网络可以提供满足企业网络互连的需求，企业因此省去建设费用高昂的专有网络。

    对于建设了专用网络的大企业集团，利用MPLSVPN可以实现数据、语音、视频的多业务承载和、不同业务系统之间的隔离。MPLSVPN在保证不同业务的QOS和业务系统的安全隔离方面具有天然的优势。VPN组网应是企业信息化网络建设中性价比最高的解决方案。

    通过上面的讲述可以发现，VPN可以大大节省连接的费用。建立作为VPN服务器都是通过拨打本地接入电话实现建立连接。虚拟专用网可以节省连接的费用。所以可以作为企业端路由器使用专线连接专线本地。不仅减少WAN带宽的费用，能使用灵活的拓扑结构，包括全球网络连接，新的站点能更快、更容易地被连接，通过设备供应商WAN的连接冗余，可以延长网络的可用时间。