VPN技術在企業網絡中的應用

鄭士基

（新會廣播電視臺，廣東 新會 529100）

∶企業為了提升管理水平，加強信息溝通，提高運營效率，適應日益激烈的市場競爭和信息化發展，必須要建立一個高效穩定、覆蓋面廣、安全可靠的企業專用網絡，使得企業內部、各子公司、分支機構及合作伙伴之間能實現信息的快速傳遞及數據的交換和共享。傳統企業專用網絡的組建一般是租用或自建專用傳輸線路，其建設及后期的維護、管理費用高昂。而VPN技術的出現，使得企業能根據自己的實際需求，以較低的成本和技術門檻，方便、快捷、靈活地組建屬于自己的VPN虛擬專用網絡。本文將對VPN技術的原理，其所具有的優勢及在企業網絡中的應用進行論述。

∶VPN技術；企業網絡；VPN應用

1 VPN簡介

VPN(Virtual Private Network，即虛擬專用網絡)指的是在公用網絡上建立專用網絡的技術。它是以公用網絡為基礎建立的一個穩定、臨時、安全的信息連接通道。其之所以“虛擬”，是因為整個VPN網絡的任意兩個節點之間的連接是動態的，是架構在公共網絡平臺上，并沒有傳統專網所需的端到端的物理鏈路，用戶的數據只是在邏輯鏈路中進行傳輸。“專用”則是指VPN是通過加密與識別兩個組件來實現連接。加密通過變換信息實體，達到隱藏原有信息含義、保證信息安全的目的；識別則是對節點或者節點進行標識的過程，它在通過公共網絡平臺進行傳輸前就已經完成。

2 VPN技術原理

VPN主要采用了隧道技術、加解密技術和認證技術。

2.1 隧道技術

隧道技術的基本過程是在源局域網與公網的接口處將數據作為負載，封裝在一種可以在公網上傳輸的數據格式中，在目的局域網與公網的接口處將數據解封裝，取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。隧道由隧道協議形成，可分為第二層和第三層協議。第二層隧道協議將數據包封裝到PPP中，然后將整個數據包裝入隧道協議中在隧道中傳輸，第二層隧道協議有L2F、PPTP、L2TP等。第三層隧道協議將數據包直接封裝到隧道協議中，形成的數據包通過第三層協議傳輸，第三層隧道協議有VTP、IPSec等。其中IPSec隧道協議得到了廣泛的應用，IPSec有兩種工作模式，運輸模式和隧道模式。

運輸模式(Transport)∶在該模式中，僅利用傳輸層數據來計算AH或ESP首部。AH或ESP首部以及ESP加密的用戶數據被放置在原IP包頭后面。通常，傳輸模式應用在兩臺主機之間或一臺主機和一個安全網關之間的通信。

隧道模式(Tunnel)∶在該模式中，利用整個IP數據包來計算AH或ESP首部，AH或ESP首部以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常，隧道模式應用在兩個安全網關之間的通信。

2.2 加解密技術

VPN是在不安全的公用網絡中通信，通信的內容可能涉及企業的機密數據，因此其安全性非常重要，為了保證數據通信的機密性，VPN必須采用成熟的加解密技術來實現數據的安全傳輸。IPSec的ESP協議采用56位的DES算法實現加密傳輸，并使用ISAKMP密鑰交換協商機制來完成加密和解密密鑰的交換。

2.3 認證技術

認證技術防止數據的偽造和被篡改，它采用一種被稱為“摘要”的技術。“摘要”技術主要采用HASH函數將一段長的報文通過函數變換，映射為一段短的報文，即摘要。該特性使得摘要技術在VPN中有兩個用途：驗證數據的完整性、用戶認證。IPSec定義了兩個協議，鑒別首部(AH)協議和封裝安全有效載荷(ESP)協議，這兩個協議完成數據的完整性、消息源的鑒別和數據加密功能。①AH協議。AH協議被設計用來鑒別源主機，以確保IP分組所攜帶的有效載荷的完整性。AH采用散列算法和對稱密鑰來計算報文摘要，并根據IPSec的運輸方式插入到相應位置，AH可以實現數據的完整性、數據源的真實性，但不提供數據的保密傳輸功能。②ESP協議。ESP(封裝安全有效載荷)協議提供報文鑒別、完整性和加密功能，ESP增加首部和尾部，并根據IPSec的工作模式插入到相應的位置。③ESP協議是在AH協議的基礎上而設計的，ESP協議能完成AH所做的所有功能，但增加了加密機制。因此ESP協議與AH協議相比，ESP協議具有優越性。

3 VPN在企業網絡中的應用

VPN在企業網絡中的應用主要有以下三種形式：

3.1 企業內部虛擬網絡（即 Intranet VPN）

企業內部虛擬網絡主要適用于處于異地的企業總部及子公司、分支機構的網絡互聯，傳統的互聯方式主要是通過租用網絡運營商的專線進行連接，但是如果企業的分支機構不斷增多，地理位置越來越廣，則網絡的結構將會越來越復雜，相關聯網的費用也會不斷增加。企業在內部虛擬網絡建設的過程中，可以使用VPN技術，采用網關到網關的形式將企業總部及各子公司、分支機構通過Internet連接起來，從而實現企業內部虛擬網絡的組建。企業可以利用VPN的加密、識別等特性，保證信息通過Internet，在企業內部虛擬網絡內安全的傳輸。IPSec隧道協議可滿足所有網關到網關的VPN連接，在Intranet VPN組網方式中使用得最多。

3.2 企業遠程訪問（即Access VPN）

遠程訪問是VPN應用最為廣泛的一項技術，它提供了安全、可靠，但是價格低廉的遠程用戶接入企業內部網絡的技術，采用客戶端到網關的形式，通過Internet等公共互聯網絡的路由基礎設施，以安全的方式對位于VPN服務器后面的企業內部網絡進行訪問。這一技術利用了公共基礎設施與ISP，一旦與VPN服務系統進行連接，用戶與VPN服務器之間就架設了一條穿越Internet的專用通道，雖然互聯網具有開放性，安全系數較低等特點，但是因為VPN技術采用的是加密技術，這就保證了遠程用戶與VPN服務器之間連接的安全性和可靠性。

3.3 企業外部虛擬網絡（即 Extranet VPN）

企業外部虛擬網絡是將企業與其客戶、合作伙伴的網絡互聯構成Extranet，實現信息的共享，它既可以為企業客戶與合作伙伴提供非常便捷、準確的信息服務，又可以提高企業內部網絡的安全系數。企業外部虛擬網絡由于是不同企業之間的網絡相互通信，所以要更多考慮設備的互連、地址的協調、安全策略的協商等問題，也屬于網關到網關的連接方式，主要是使用專用的連接設備和VPN的IPSec協議將企業與客戶、合作伙伴的內部網絡進行連接。企業外部虛擬網絡有著與專用網絡相同的特性，包括了可靠性、安全等級、服務質量以及可管理性等。

結語

VPN技術是在公共網絡上建立安全的專用網絡，它是企業內部網絡在公共網絡上的延伸。VPN為用戶提供了一個低成本、高效率、高安全性的互聯服務，極大地加快了信息在企業內部不同區域間的流通，其在資源管理與配置、信息共享與交互、異地協同與移動辦公等方面都具有很高的應用價值。隨著信息技術的快速發展，VPN技術也必將更加完善，在未來的信息化建設中具有廣闊的前景。

[1]田曉東.淺談VPN應用和企業內部網絡安全[J].科協論壇(下半月)，2011.(08)

[2]戴 剛，文信翔，公丕強.VPN在企業中應用的研究[J].網絡安全技術與應用，2010.

[3]閆曉弟，耶 健.基于VPN的電子資源遠程訪問系統的研究與實現[J].情報雜志.2009(08).