鄭士基

（新會廣播電視臺，廣東 新會 529100）

∶企業(yè)為了提升管理水平，加強信息溝通，提高運營效率，適應(yīng)日益激烈的市場競爭和信息化發(fā)展，必須要建立一個高效穩(wěn)定、覆蓋面廣、安全可靠的企業(yè)專用網(wǎng)絡(luò)，使得企業(yè)內(nèi)部、各子公司、分支機構(gòu)及合作伙伴之間能實現(xiàn)信息的快速傳遞及數(shù)據(jù)的交換和共享。傳統(tǒng)企業(yè)專用網(wǎng)絡(luò)的組建一般是租用或自建專用傳輸線路，其建設(shè)及后期的維護、管理費用高昂。而VPN技術(shù)的出現(xiàn)，使得企業(yè)能根據(jù)自己的實際需求，以較低的成本和技術(shù)門檻，方便、快捷、靈活地組建屬于自己的VPN虛擬專用網(wǎng)絡(luò)。本文將對VPN技術(shù)的原理，其所具有的優(yōu)勢及在企業(yè)網(wǎng)絡(luò)中的應(yīng)用進行論述。

∶VPN技術(shù)；企業(yè)網(wǎng)絡(luò)；VPN應(yīng)用

1 VPN簡介

VPN(Virtual Private Network，即虛擬專用網(wǎng)絡(luò))指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。它是以公用網(wǎng)絡(luò)為基礎(chǔ)建立的一個穩(wěn)定、臨時、安全的信息連接通道。其之所以“虛擬”，是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接是動態(tài)的，是架構(gòu)在公共網(wǎng)絡(luò)平臺上，并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，用戶的數(shù)據(jù)只是在邏輯鏈路中進行傳輸。“專用”則是指VPN是通過加密與識別兩個組件來實現(xiàn)連接。加密通過變換信息實體，達到隱藏原有信息含義、保證信息安全的目的；識別則是對節(jié)點或者節(jié)點進行標(biāo)識的過程，它在通過公共網(wǎng)絡(luò)平臺進行傳輸前就已經(jīng)完成。

2 VPN技術(shù)原理

VPN主要采用了隧道技術(shù)、加解密技術(shù)和認證技術(shù)。

2.1 隧道技術(shù)

隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負載，封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。隧道由隧道協(xié)議形成，可分為第二層和第三層協(xié)議。第二層隧道協(xié)議將數(shù)據(jù)包封裝到PPP中，然后將整個數(shù)據(jù)包裝入隧道協(xié)議中在隧道中傳輸，第二層隧道協(xié)議有L2F、PPTP、L2TP等。第三層隧道協(xié)議將數(shù)據(jù)包直接封裝到隧道協(xié)議中，形成的數(shù)據(jù)包通過第三層協(xié)議傳輸，第三層隧道協(xié)議有VTP、IPSec等。其中IPSec隧道協(xié)議得到了廣泛的應(yīng)用，IPSec有兩種工作模式，運輸模式和隧道模式。

運輸模式(Transport)∶在該模式中，僅利用傳輸層數(shù)據(jù)來計算AH或ESP首部。AH或ESP首部以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺主機之間或一臺主機和一個安全網(wǎng)關(guān)之間的通信。

隧道模式(Tunnel)∶在該模式中，利用整個IP數(shù)據(jù)包來計算AH或ESP首部，AH或ESP首部以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通信。

2.2 加解密技術(shù)

VPN是在不安全的公用網(wǎng)絡(luò)中通信，通信的內(nèi)容可能涉及企業(yè)的機密數(shù)據(jù)，因此其安全性非常重要，為了保證數(shù)據(jù)通信的機密性，VPN必須采用成熟的加解密技術(shù)來實現(xiàn)數(shù)據(jù)的安全傳輸。IPSec的ESP協(xié)議采用56位的DES算法實現(xiàn)加密傳輸，并使用ISAKMP密鑰交換協(xié)商機制來完成加密和解密密鑰的交換。

2.3 認證技術(shù)

認證技術(shù)防止數(shù)據(jù)的偽造和被篡改，它采用一種被稱為“摘要”的技術(shù)?！罢奔夹g(shù)主要采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文，即摘要。該特性使得摘要技術(shù)在VPN中有兩個用途：驗證數(shù)據(jù)的完整性、用戶認證。IPSec定義了兩個協(xié)議，鑒別首部(AH)協(xié)議和封裝安全有效載荷(ESP)協(xié)議，這兩個協(xié)議完成數(shù)據(jù)的完整性、消息源的鑒別和數(shù)據(jù)加密功能。①AH協(xié)議。AH協(xié)議被設(shè)計用來鑒別源主機，以確保IP分組所攜帶的有效載荷的完整性。AH采用散列算法和對稱密鑰來計算報文摘要，并根據(jù)IPSec的運輸方式插入到相應(yīng)位置，AH可以實現(xiàn)數(shù)據(jù)的完整性、數(shù)據(jù)源的真實性，但不提供數(shù)據(jù)的保密傳輸功能。②ESP協(xié)議。ESP(封裝安全有效載荷)協(xié)議提供報文鑒別、完整性和加密功能，ESP增加首部和尾部，并根據(jù)IPSec的工作模式插入到相應(yīng)的位置。③ESP協(xié)議是在AH協(xié)議的基礎(chǔ)上而設(shè)計的，ESP協(xié)議能完成AH所做的所有功能，但增加了加密機制。因此ESP協(xié)議與AH協(xié)議相比，ESP協(xié)議具有優(yōu)越性。

3 VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用主要有以下三種形式：

3.1 企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)（即 Intranet VPN）

企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)主要適用于處于異地的企業(yè)總部及子公司、分支機構(gòu)的網(wǎng)絡(luò)互聯(lián)，傳統(tǒng)的互聯(lián)方式主要是通過租用網(wǎng)絡(luò)運營商的專線進行連接，但是如果企業(yè)的分支機構(gòu)不斷增多，地理位置越來越廣，則網(wǎng)絡(luò)的結(jié)構(gòu)將會越來越復(fù)雜，相關(guān)聯(lián)網(wǎng)的費用也會不斷增加。企業(yè)在內(nèi)部虛擬網(wǎng)絡(luò)建設(shè)的過程中，可以使用VPN技術(shù)，采用網(wǎng)關(guān)到網(wǎng)關(guān)的形式將企業(yè)總部及各子公司、分支機構(gòu)通過Internet連接起來，從而實現(xiàn)企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)的組建。企業(yè)可以利用VPN的加密、識別等特性，保證信息通過Internet，在企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)內(nèi)安全的傳輸。IPSec隧道協(xié)議可滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接，在Intranet VPN組網(wǎng)方式中使用得最多。

3.2 企業(yè)遠程訪問（即Access VPN）

遠程訪問是VPN應(yīng)用最為廣泛的一項技術(shù)，它提供了安全、可靠，但是價格低廉的遠程用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)的技術(shù)，采用客戶端到網(wǎng)關(guān)的形式，通過Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施，以安全的方式對位于VPN服務(wù)器后面的企業(yè)內(nèi)部網(wǎng)絡(luò)進行訪問。這一技術(shù)利用了公共基礎(chǔ)設(shè)施與ISP，一旦與VPN服務(wù)系統(tǒng)進行連接，用戶與VPN服務(wù)器之間就架設(shè)了一條穿越Internet的專用通道，雖然互聯(lián)網(wǎng)具有開放性，安全系數(shù)較低等特點，但是因為VPN技術(shù)采用的是加密技術(shù)，這就保證了遠程用戶與VPN服務(wù)器之間連接的安全性和可靠性。

3.3 企業(yè)外部虛擬網(wǎng)絡(luò)（即 Extranet VPN）

企業(yè)外部虛擬網(wǎng)絡(luò)是將企業(yè)與其客戶、合作伙伴的網(wǎng)絡(luò)互聯(lián)構(gòu)成Extranet，實現(xiàn)信息的共享，它既可以為企業(yè)客戶與合作伙伴提供非常便捷、準(zhǔn)確的信息服務(wù)，又可以提高企業(yè)內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。企業(yè)外部虛擬網(wǎng)絡(luò)由于是不同企業(yè)之間的網(wǎng)絡(luò)相互通信，所以要更多考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題，也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接方式，主要是使用專用的連接設(shè)備和VPN的IPSec協(xié)議將企業(yè)與客戶、合作伙伴的內(nèi)部網(wǎng)絡(luò)進行連接。企業(yè)外部虛擬網(wǎng)絡(luò)有著與專用網(wǎng)絡(luò)相同的特性，包括了可靠性、安全等級、服務(wù)質(zhì)量以及可管理性等。

結(jié)語

VPN技術(shù)是在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)，它是企業(yè)內(nèi)部網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上的延伸。VPN為用戶提供了一個低成本、高效率、高安全性的互聯(lián)服務(wù)，極大地加快了信息在企業(yè)內(nèi)部不同區(qū)域間的流通，其在資源管理與配置、信息共享與交互、異地協(xié)同與移動辦公等方面都具有很高的應(yīng)用價值。隨著信息技術(shù)的快速發(fā)展，VPN技術(shù)也必將更加完善，在未來的信息化建設(shè)中具有廣闊的前景。

[1]田曉東.淺談VPN應(yīng)用和企業(yè)內(nèi)部網(wǎng)絡(luò)安全[J].科協(xié)論壇(下半月)，2011.(08)

[2]戴 剛，文信翔，公丕強.VPN在企業(yè)中應(yīng)用的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010.

[3]閆曉弟，耶 健.基于VPN的電子資源遠程訪問系統(tǒng)的研究與實現(xiàn)[J].情報雜志.2009(08).