VPN介绍

kiss

       在国外，VPN已经迅速发展起来，2001年全球VPN市场将达到120亿美元。在中国，虽然人们对VPN的定义还有些模糊不清，对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使我们有理由相信，中国的VPN市场将逐渐热起来。
　　对国内的用户来说，VPN（虚拟专用网，Virtual Private Network）最大的吸引力在哪里？是价格。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%.
　　为什么VPN可以节约这么多的成本？这就先要从VPN的概念谈起。
　　认识VPN
　　现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为："使用 IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。
　　用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像 Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。
　　所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN.
　　由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。
　　越来越多的用户认识到，随着 Internet 和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于 Internet 的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为 Internet 是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理的国际互联网络，因此，基于 Internet 的商务活动就面临非善意的信息威胁和安全隐患。
　　还有一类用户，随着自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。
　　用户的需求正是虚拟专用网技术诞生的直接原因。
用户需要的 VPN
　　一 .VPN 的特点
　　在实际应用中，用户需要的是什么样的 VPN 呢？一般情况下，一个高效、成功的 VPN 应具备以下几个特点：
　　1 .安全保障
　　虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 ExtranetVPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。
　　2 .服务质量保证（ QoS ）
　　VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。 QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。
　　3 .可扩充性和灵活性
　　VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
　　4 .可管理性
　　从用户角度和运营商角度应可方便地进行管理、维护。在 VPN 管理方面， VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。 VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上， VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS 管理等内容。
二 . 自建还是外包
　　由于 VPN 低廉的使用成本和良好的安全性，许多大型企业及其分布在各地的办事处或分支机构成了 VPN 顺理成章的用户群。对于那些最需要 VPN 业务的中小企业来说，一样有适合的 VPN 策略。当然，不论何种 VPN 策略，它们都有一个基本目标：在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上，进一步扩展公司的网络连接。
　　1 .大型企业自建 VPN
　　大型企业用户由于有雄厚的资金投入做保证，可以自己建立 VPN ，将 VPN 设备安装在其总部和分支机构中，将各个机构低成本且安全地连接在一起。企业建立自己的 VPN ，最大优势在于高控制性，尤其是基于安全基础之上的控制。一个内部 VPN 能使企业对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。
　　企业还可以确保得到业内最好的技术以满足自身的特殊需要，这要优于 ISP 所提供的普通服务。而且，建立内部 VPN 能使企业有效节省 VPN 的运作费用。企业可以节省用于外包管理设备的额外费用，并且能将现有的远程访问和端到端的网络集成起来，以获取最佳性价比的 VPN .
　　虽然 VPN 外包能避免技术过时，但并不意味着企业可以节省开支。因为，企业最终还要为高额产品支付费用，以作为使用新技术的代价。虽然 VPN 外包可以简化企业网络部署，但这同样降低了企业对公司网的控制等级。网络越大，企业就越依赖于外包 VPN 供应商。因此，自建 VPN 是大型企业的最好选择。
　　2 .中小型企业外包 VPN
　　虽然每个中小型企业都是相对集中和固定的，但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通，在这种情况下就用得上 VPN .电信企业、 IDC 目前提供的 VPN 服务，更多的是面向中小企业，因为可以整合现有资源，包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买 VPN 设备，则财务成本较高，而且一般中小型企业的 IT 人员短缺、技能水平不足、资金能力有限，不足以支持 VPN ，所以，外包 VPN 是较好的选择。
　　* 外包 VPN 比企业自己动手建立 VPN 要快得多，也更为容易。
　　* 外包 VPN 的可扩展性很强，易于企业管理。有统计表明，使用外包 VPN 方式的企业，可以支持多于 2300 名用户，而内部 VPN 平均只能支持大约 150 名用户。而且，随着用户数目的增长，对用于监控、管理、提供 IT 资源和人力资源的要求也将呈指数增长。
　　* 企业 VPN 必须将安全和性能结合在一起，然而，实际情况中两者不能兼顾。例如，对安全加密级别的配置经常降低 VPN 的整体性能。而通过提供 VPN 外包业务的专业 ISP 的统一管理，可大大提高 VPN 的性能和安全。 ISP 的 VPN 专家还可帮助企业进行 VPN 决策。
　　* 对服务水平协议（ SLA ）的改进和服务质量（ QoS ）保证，为企业外包 VPN 方式提供了进一步的保证。
　　三 .VPN 安全技术
　　由于传输的是私有信息， VPN 用户对数据的安全性都比较关心。目前 VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术（ Tunneling ）、加解密技术（ Encryption & Decryption ）、密钥管理技术（ Key Management ）、使用者与设备身份认证技术（ Authentication ）。
　　1. 隧道技术是 VPN 的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有 L2F 、 PPTP 、 L2TP 等。 L2TP 协议是目前 IETF 的标准，由 IETF 融合 PPTP 与 L2F 而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有 VTP 、 IPSec 等。 IPSec （ IP Security ）是由一组 RFC 文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在 IP 层提供安全保障。
　　2. 加解密技术是数据通信中一项较成熟的技术， VPN 可直接利用现有技术。
　　3. 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。 SKIP 主要是利用 Diffie-Hellman 的演算法则，在网络上传输密钥；在 ISAKMP 中，双方都有两把密钥，分别用于公用、私用。
　　4. 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式
四 . 堵住安全漏洞
　　安全问题是 VPN 的核心问题。目前， VPN 的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司网络。但是，如果一个企业的 VPN 需要扩展到远程访问时，就要注意，这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为，远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容，这就构成了公司安全防御系统中的弱点。虽然，员工可以双倍地提高工作效率，并减少在交通上所花费的时间，但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。但是，企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为，公司网络处于一道网络防火墙之后是安全的，员工可以拨号进入系统，而防火墙会将一切非法请求拒之其外；还有一些网络管理员认为，为网络建立防火墙并为员工提供 VPN ，使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。
　　在家办公是不错，但从安全的观点来看，它是一种极大的威胁，因为，公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机，跟随它通过一条授权的连接进入公司网络系统。虽然，公司的防火墙可以将侵入者隔离在外，并保证主要办公室和家庭办公室之间 VPN 的信息安全。但问题在于，侵入者可以通过一个被信任的用户进入网络。因此，加密的隧道是安全的，连接也是正确的，但这并不意味着家庭计算机是安全的。
　　黑客为了侵入员工的家用计算机，需要探测 IP 地址。有统计表明，使用拨号连接的 IP 地址几乎每天都受到黑客的扫描。因此，如果在家办公人员具有一条诸如 DSL 的不间断连接链路（通常这种连接具有一个固定的 IP 地址），会使黑客的入侵更为容易。因为，拨号连接在每次接入时都被分配不同的 IP 地址，虽然它也能被侵入，但相对要困难一些。一旦黑客侵入了家庭计算机，他便能够远程运行员工的 VPN 客户端软件。因此，必须有相应的解决方案堵住远程访问 VPN 的安全漏洞，使员工与网络的连接既能充分体现 VPN 的优点，又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法，它可以使非法侵入者不能进入公司网络。当然，还有一些提供给远程工作人员的实际解决方法：
　　* 所有远程工作人员必须被批准使用 VPN ；
　　* 所有远程工作人员需要有个人防火墙，它不仅防止计算机被侵入，还能记录连接被扫描了多少次；
　　* 所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录；
　　* 监控安装在远端系统中的软件，并将其限制只能在工作中使用；
　　* IT 人员需要对这些系统进行与办公室系统同样的定期性预定检查；
　　* 外出工作人员应对敏感文件进行加密；
　　* 安装要求输入密码的访问控制程序，如果输入密码错误，则通过 Modem 向系统管理员发出警报
　　* 当选择 DSL 供应商时，应选择能够提供安全防护功能的供应商。

全面认识VPN(二)

寻求适合的VPN方案
　　VPN有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
　　1.如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN.
　　AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如图1所示。
　　　
　　图1 AceessVPN结构图
　　　　AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。
　　AccessVPN对用户的吸引力在于：
　　* 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；
　　* 实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用；
　　* 极大的可扩展性，简便地对加入网络的新用户进行调度；
　　* 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务；
　　* 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。
　　2.如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN.利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。如图2所示。
　　　
　　图2 IntranetVPN结构图
　　IntranetVPN对用户的吸引力在于：
　　* 减少WAN带宽的费用；
　　* 能使用灵活的拓扑结构，包括全网络连接；
　　* 新的站点能更快、更容易地被连接；
　　* 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。
　　3.如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN.
　　随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。
　　ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。如图3所示。
　　
　　 图3 ExtranetVPN结构图
ExtranetVPN对用户的吸引力在于：能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。
　　VPN的益处
　　Internet服务提供商（ISP）和企业将是VPN的直接受益者。ISP将VPN作为一项增值业务推向企业，并从企业得到回报。因此，VPN的最终目的是服务于企业，为企业带来可观的经济效益，为现代化企业的信息共享提供安全可靠的途径。
　　1.ISP受益
　　对于ISP来说，VPN提供了巨大商机。世纪互联的薛滔先生介绍说：世纪互联使用的是基于网通的全国网络，有很好的硬件条件。面对IDC在2001年更加激烈的竞争状况，世纪互联希望在IDC基础之上找到新的增长点。因为网站缩水，所以世纪互联将目光转向大中型传统企业，分析他们对电信资源有哪些需求，结果觉得VPN是一个机会。世纪互联现在正在探索，VPN的方案和技术已经准备就绪。世纪互联的目标用户是全国有分支机构，信息化建设已经达到一定水平的单位，世纪互联将整合现有资源，包括网络、托管和技术力量来为用户提供服务。通过向企业提供VPN增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务，资源利用率和业务量都会大大增加。同时，VPN使ISP能够经济地维持开发客户群、增加利润、提供增强服务，如视频会议、电子商务、IP电话、远程教学、多媒体商务应用等等。
　　2.用户受益
　　哪些用户适于使用VPN呢？在满足基本应用要求后，有三类用户比较适合采用VPN：
　　1）位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户；
　　2）用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户；
　　3）带宽和时延要求相对适中；
　　4）对线路保密性和可用性有一定要求的用户。
　　北京红帆沃德通信网络技术有限公司王军先生说：红帆的用户大多是北京的用户，这些用户利用VPN与外地或国外分支机构进行连接。用户的VPN线路大部分是建立在Cisco或华为路由器之间，利用Internet传送数据。不管用户使用哪个ISP，基本都能满足用户的需求，数据加密效果很好。在与用户接触的过程中，王先生感觉，分公司遍布全国或国外的企业对VPN需求比较强烈，希望数据在Internet上能够加密传输，并节省费用。还有一点，就是外资、合资公司使用VPN比较多，而国有企业计算机应用水平低，几乎不用VPN.
　　相对而言，有四种情况可能并不适于采用VPN：
　　1）非常重视传输数据的安全性；
　　2）不管价格多少，性能都被放在第一位的情况；
　　3）采用不常见的协议，不能在IP隧道中传送应用的情况；
　　4）大多数通信是实时通信的应用，如语音和视频。但这种情况可以使用公共交换电话网（PSTN）解决方案与VPN配合使用。
对于企业来说，VPN提供了安全、可靠的 Internet访问通道，为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务，是方便快捷的企业私有网络。企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的ISP来完成。由于VPN的出现，用户可以从以下几方面获益：
　　1）实现网络安全 具有高度的安全性，对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全，而VPN以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，VPN支持安全和加密协议，如SecureIP（IPsec）和Microsoft点对点加密（MPPE）。
　　2）简化网络设计 网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化企业广域网的设计。另外，VPN通过拨号访问来自于ISP或NSP的外部服务，减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设备和处理。
　　3）降低成本 VPN可以立即且显著地降低成本。当使用Internet时，实际上只需付短途电话费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费用。此外，VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些工作都可以交给ISP.VPN使用户可以降低如下的成本：
　　◆移动用户通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。
　　◆租用线路成本。VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。对于国际用户来说，这种节约是极为显著的。对于话音数据，节约金额会进一步增加。
　　◆主要设备成本。VPN通过支持拨号访问外部资源，使企业可以减少不断增长的调制解调器费用。另外，它还允许一个单一的WAN接口服务多种目的，从分支网络互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者，因此，只需要极少的WAN接口和设备。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外，由于VPN独立于初始协议，这就使得远端的接入用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。
　　4）容易扩展 如果企业想扩大VPN的容量和覆盖范围。企业需做的事情很少，而且能及时实现：企业只需与新的IPS签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单：几条命令就可以使Extranet路由器拥有Internet和VPN能力，路由器还能对工作站自动进行配置。
　　5）可随意与合作伙伴联网 在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后，这种协商也毫无必要，真正达到了要连就连，要断就断。
　　6）完全控制主动权 借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
　　7）支持新兴应用 许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。
　　正由于VPN能给用户带来诸多的好处，VPN在全球发展得异常红火，在北美和欧洲，VPN已经是一项相当普遍的业务；在亚太地区，该项服务也迅速开展起来。

VPN技术详解(一)

虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

　　　
　　虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。
　　虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。
　　虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。
　　使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。
　　如果希望企业员工无论身处何地都能够与企业计算资源建立连接，企业必须采用一个可靠性高、扩展性强的远程访问解决方案。一般的，企业有如下选择：
　　1.管理信息系统（MIS）部门驱动方案。建立一个内部的MIS部门专门负责购买，安装和维护企业modem池和专用网络基础设施。
　　2.增值网络（VAN）方案。企业雇佣一个外部公司负责购买，安装和维护modem池和远程通讯网络基础设施。
　　从费用，可靠性，管理和便于连接等几方面来看，这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。因此，选择一种基于Internet技术的廉价方案取代企业花费在modem池和专用网络基础设施上的投资就显得极为重要。
　　
　　■ 虚拟专用网络的基本用途
　　通过Internet实现远程用户访问
　　虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。

　　　
　　与使用专线拨打长途或（1-800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。
　　通过Internet实现网络互连
　　可以采用以下两种方式使用VPN连接远程局域网络。
　　1.使用专线连接分支机构和企业局域网。
　　不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。
　　2.使用拨号线路连接分支机构和企业局域网。
　　不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。

　　　
　　应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。
　　连接企业内部网络计算机
　　在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。

　　
　　采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。使用VPN服务器，但是企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。

■ VPN的基本要求
　　一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：
　　1.用户验证
　　VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。
　　2.地址管理
　　VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
　　3.数据加密
　　对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。
　　4.密钥管理
　　VPN方案必须能够生成并更新客户端和服务器的加密密钥。
　　5.多协议支持
　　VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念，协议，和部件（component）。
　　
　　■ 隧道技术基础
　　隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。
　　被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。

　　
　　隧道所使用的传输网络可以是任何类型的公共互联网络，本文主要以目前普遍使用Internet为例进行说明。此外，在企业网络同样可以创建隧道。隧道技术在经过一段时间的发展和完善之后，目前较为成熟的技术包括：
　　1.IP网络上的SNA隧道技术
　　当系统网络结构（SystemNetworkArchitecture）的数据流通过企业IP网络传送时，SNA数据桢将被封装在UDP和IP协议包头中。
　　2.IP网络上的NovellNetWareIPX隧道技术
　　当一个IPX数据包被发送到NetWare服务器或IPX路由器时，服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后，把数据包转发到IPX目的地。
　　近几年不断出现了一些新的隧道技术，本文将主要介绍这些新技术。具体包括：
　　1.点对点隧道协议（PPTP）
　　PPTP协议允许对IP，IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。
　　2.第2层隧道协议（L2TP）
　　L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，桢中继或ATM。
　　3.安全IP（IPSec)隧道模式
　　IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
　　
　　■ 隧道协议
　　为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。
　　隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联（OSI）的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。
　　
　　■ 隧道技术如何实现
　　对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。
　　第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。
　　隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。

■ 隧道协议和基本隧道要求
　　因为第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，因此继承了一整套的特性。
　　1.用户验证
　　第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
　　2.令牌卡（Tokencard）支持
　　通过使用扩展验证协议（EAP），第2层隧道协议能够支持多种验证方法，包括一次性口令（one-timepassword)，加密计算器（cryptographic calculator）和智能卡等。第3层隧道协议也支持使用类似的方法，例如，IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。
　　3.动态地址分配
　　第2层隧道协议支持在网络控制协议（NCP）协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
　　4.数据压缩
　　第2层隧道协议支持基于PPP的数据压缩方式。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
　　5.数据加密
　　第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
　　6.密钥管理
　　作为第2层协议的MPPE依靠验证用户时生成的密钥，定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。
　　7.多协议支持
　　第2层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用IP，IPX，或NetBEUI等多种协议企业网络。相反，第3层隧道协议，如IPSec隧道模式只能支持使用IP协议的目标网络
　　
　　■ 点对点协议
　　因为第2层隧道协议在很大程度上依靠PPP协议的各种特性，因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成4个不同的阶段。分别如下：
　　阶段1：创建PPP链路
　　PPP使用链路控制协议（LCP）创建，维护或终止一次物理连接。在LCP阶段的初期，将对基本的通讯方式进行选择。应当注意在链路创建阶段，只是对验证协议进行选择，用户验证将在第2阶段实现。同样，在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。
　　阶段2：用户验证
　　在第2阶段，客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式，包括口令验证协议（PAP），挑战握手验证协议（CHAP）和微软挑战握手验证协议（MSCHAP）。
　　1.口令验证协议（PAP）
　　PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。
　　2.挑战-握手验证协议（CHAP）
　　CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-wayhashingalgorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。

　　
　　CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack).在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remoteclient impersonation)进行攻击。
　　3.微软挑战-握手验证协议（MS-CHAP）
　　与CHAP相类似，MS-CHAP也是一种加密验证机制。同CHAP一样，使用MS-CHAP时，NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串，会话ID和用户口令的MD4哈希值。采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令，这样就能够提供进一步的安全保障。此外，MS-CHAP同样支持附加的错误编码，包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器（client-server)附加信息。使用MS-CHAP，客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP使用基于MPPE的数据加密，这一点非常重要，可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。
　　在第2阶段PPP链路配置阶段，NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器（位于NT主域控制器或远程验证用户拨入服务器）验证数据的有效性。
　　阶段3：PPP回叫控制（callbackcontrol)
　　微软设计的PPP包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议（CBCP）如果配置使用回叫，那么在验证之后远程客户和NAS之间的连接将会被断开。然后由NAS使用特定的电话号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS只支持对位于特定电话号码处的远程客户进行回叫。
　　阶段4：调用网络层协议
　　在以上各阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP).例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。在微软的PPP方案中，考虑到数据压缩和数据加密实现过程相同，所以共同使用压缩控制协议协商数据压缩（使用MPPC）和数据加密（使用MPPE）。
　　　■ 数据传输阶段
　　
　　一旦完成上述4阶段的协商，PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内，该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商，数据将会在被传送之间进行压缩。类似的，如果如果已经选择使用数据加密并完成了协商，数据（或被压缩数据）将会在传送之前进行加密。
　　点对点隧道协议（PPTP）
　　PPTP是一个第2层的协议，将PPP数据桢封装在IP数据报内通过IP网络，如Internet传送。PPTP还可用于专用局域网络之间的连接。RFC草案“点对点隧道协议”对PPTP协议进行了说明和介绍。该草案由PPTP论坛的成员公司，包括微软，Ascend，3Com，和ECI等公司在1996年6月提交至IETF。可在如下站点http://www.ietf.org http://www.ietf.org参看草案的在线拷贝.PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装（GRE）技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。图7所示为如何在数据传递之前组装一个PPTP数据包。
　　第2层转发（L2F）
　　L2F是Cisco公司提出隧道技术，作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器（路由器）。L2F服务器把数据包解包之重新注入（inject)网络。与PPTP和L2TP不同，L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。（自愿和强制隧道的介绍参看“隧道类型”）。
　　第2层隧道协议（L2TP）
　　L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。
　　L2TP是一种网络层协议，支持封装的PPP桢在IP，X.25，桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时，可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。草案RFC“第2层隧道协议”对L2TP进行了说明和介绍。该文档于1998年1月被提交至IETF。可以在以下网站http://www.ietf.org http://www.ietf.org获得草案拷贝。
　　IP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。L2TP同样使用UDP将L2TP协议封装的PPP桢通过隧道发送。可以对封装PPP桢中的负载数据进行加密或压缩。图8所示为如何在传输之前组装一个L2TP数据包。
　　PPTP与L2TP
　　PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：
　　1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。
　　2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。
　　3.L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。
　　4.L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道。
　　
　　■ IPSec隧道模式
　　IPSEC是第3层的协议标准，支持IP网络上数据的安全传输。本文将在“高级安全”一部分中对IPSEC进行详细的总体介绍，此处仅结合隧道协议讨论IPSEC协议的一个方面。除了对IP数据流的加密机制进行了规定之外，IPSEC还制定了IPoverIP隧道模式的数据包格式，一般被称作IPSEC隧道模式。一个IPSEC隧道由一个隧道客户和隧道服务器组成，两端都配置使用IPSEC隧道技术，采用协商加密机制。
　　为实现在专用或公共IP网络上的安全传输，IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理，在去除明文IP包头，对内容进行解密之后，获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
　　IPSEC隧道模式具有以下功能和局限：
　　1.只能支持IP数据流
　　2.工作在IP栈（IPstack）的底层，因此，应用程序和高层协议可以继承IPSEC的行为。
　　3.由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。
　　关于IPSEC的详细介绍参看本文稍后的“高级安全”部分。
　　
　　■ 隧道类型
　　1.自愿隧道（Voluntarytunnel)
　　用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。
　　2.强制隧道（Compulsorytunnel）
　　由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。
　　目前，自愿隧道是最普遍使用的隧道类型。以下，将对上述两种隧道类型进行详细介绍。
　　自愿隧道
　　当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的，客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接（通过局域网或拨号线路）。使用拨号方式时，客户端必须在建立隧道之前创建与公共互联网络的拨号连接。一个最典型的例子是Internet拨号用户必须在创建Internet隧道之前拨通本地ISP取得与Internet的连接。
　　对企业内部网络来说，客户机已经具有同企业网络的连接，由企业网络为封装负载数据提供到目标隧道服务器路由。
　　大多数人误认为VPN只能使用拨号连接。其实，VPN只要求支持IP的互联网络。一些客户机（如家用PC）可以通过使用拨号方式连接Internet建立IP传输。这只是为创建隧道所做的初步准备，并不属于隧道协议。
　　强制隧道
　　目前，一些商家提供能够代替拨号客户创建隧道的拨号接入服务器。这些能够为客户端计算机提供隧道的计算机或网络设备包括支持PPTP协议的前端处理器（FEP），支持L2TP协议的L2TP接入集线器（LAC）或支持IPSec的安全IP网关。本文将主要以FEP为例进行说明。为正常的发挥功能，FEP必须安装适当的隧道协议，同时必须能够当客户计算机建立起连接时创建隧道。
　　以Internet为例，客户机向位于本地ISP的能够提供隧道技术的NAS发出拨号呼叫。例如，企业可以与某个ISP签定协议，由ISP为企业在全国范围内设置一套FEP。这些FEP可以通过Internet互联网络创建一条到隧道服务器的隧道，隧道服务器与企业的专用网络相连。这样，就可以将不同地方合并成企业网络端的一条单一的Internet连接。
　　因为客户只能使用由FEP创建的隧道，所以称为强制隧道。一旦最初的连接成功，所有客户端的数据流将自动的通过隧道发送。使用强制隧道，客户端计算机建立单一的PPP连接，当客户拨入NAS时，一条隧道将被创建，所有的数据流自动通过该隧道路由。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道，也可以配置FEP基于不同的用户名或目的地创建不同的隧道。
　　自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享，而不必为每个客户建立一条新的隧道。因此，一条隧道中可能会传递多个客户的数据信息，只有在最后一个隧道用户断开连接之后才终止整条隧道。
　　
　　■ 高级安全功能
　　虽然Internet为创建VPN提供了极大的方便，但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击，确保通过公共网络传送的企业数据的安全。
　　对称加密与非对称加密（专用密钥与公用密钥）
　　对称加密，或专用密钥（也称做常规加密）由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法，数据加密标准（DES），国际数据加密算法（IDEA）以及Skipjack加密技术都属于对称加密方式。　
　　非对称加密，或公用密钥，通讯各方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥，任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。
　　公用密钥加密技术允许对信息进行数字签名。数字签名使用发送发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后，使用发送方的公用密钥解密数字签名，验证发送方身份。

　■ 证书
　　使用对称加密时，发送和接收方都使用共享的加密密钥。必须在进行加密通讯之前，完成密钥的分布。使用非对称加密时，发送方使用一个专用密钥加密信息或数字签名，接收方使用公用密钥解密信息。公用密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方，发送方只要保证专用密钥的安全性即可。
　　为保证公用密钥的完整性，公用密钥随证书一同发布。证书（或公用密钥证书）是一种经过证书签发机构（CA）数字签名的数据结构。CA使用自己的专用密钥对证书进行数字签名。如果接受方知道CA的公用密钥，就可以证明证书是由CA签发，因此包含可靠的信息和有效的公用密钥。
　　总之，公用密钥证书为验证发送方的身份提供了一种方便，可靠的方法。IPSec可以选择使用该方式进行端到端的验证。RAS可以使用公用密钥证书验证用户身份。
　　
　　■ 扩展验证协议（EAP）
　　如前文所述，PPP只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展，允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两端动态加入验证插件模块。
　　
　　■ 交易层安全协议（EAP-TLS）
　　EAP-TLS已经作为提议草案提交给IETF，用于建立基于公用密钥证书的强大的验证方式。使用EAP-TLS，客户向拨入服务器发送一份用户方证书，同时，服务器把服务器证书发送给客户。用户证书向服务器提供了强大的用户识别信息；服务器证书保证用户已经连接到预期的服务器。
　　用户方证书可以被存放在拨号客户PC中，或存放在外部智能卡。无论那种方式，如果用户不能提供没有一定形式的用户识别信息（PIN号或用户名和口令），就无法访问证书。
　　
　　■ IPSEC
　　IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSEC使用验证包头（AH）提供验证来源验证（source authentication)，确保数据的完整性；IPSEC使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。IPSEC协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。
　　可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联（security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址，协议，和端口号满足一个过滤机制，那么这个数据包将要遵守关联的安全行为。
　　
　　■ 协商安全关联（NegotiatedSecurityAssociation）
　　上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中，两台机器对验证和数据安全方式达成一致，进行相互验证，然后生成一个用于随后的数据加密的个共享密钥。
　　
　　■ 验证包头
　　通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSEC验证包头不提供数据加密；信息将以明文方式发送。
　　
　　■ 封装安全包头
　　为了保证数据的保密性并防止数据被第3方窃取，封装安全负载（ESP）提供了一种对IP负载进行加密的机制。另外，ESP还可以提供数据验证和数据完整性服务；因此在IPSEC包中可以用ESP包头替代AH包头。
　　
　　■ 用户管理
　　在选择VPN技术时，一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中（目录服务）便于管理人员和应用程序对信息进行添加，修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库，存储每一名用户的信息，包括用户名，口令，以及拨号接入的属性等。但是，这种由多台服务器维护多个用户帐号的作法难以实现及时的更新，给管理带来很大的困难。因此，大多数的管理人员采用在目录服务器，主域控制器或RADIUS服务器上建立一个主帐号数据库的方法，进行有效管理。
　　
　　■ RAS支持
　　微软的远程接入服务器（RAS）使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息，所以使用一台域控制器能够简化系统管理。
　　微软的RAS最初被用作拨号用户的接入服务器。现在，RAS可以作为PPTP和L2TP协议的隧道服务器（NT5将支持L2TP）。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。
　　
　　■ 扩展性
　　通过使用循环DNS在同属一个安全地带（securityperimeter）的VPN隧道服务器之间进行请求分配，可以实现容余和负荷平衡。一个安全地带只具有一个对外域名，但拥有多个IP地址，负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库，如NT域控制器验证访问请求。
　　
　　■ RADIUS
　　远程验证用户拨入服务（RADIUS）协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便（lightweight）协议。RADIUS服务器可以被放置在Internet网络的任何地方为客户NAS提供验证（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服务器可以提供代理服务将验证请求转发到远端的RADIUS服务器。例如，ISP之间相互合作，通过使用RADIUS代理服务实现漫游用户在世界各地使用本地ISP提供的拨号服务连接Internet和VPN。如果ISP发现用户名不是本地注册用户，就会使用RADIUS代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下，有效的使用ISP的网络基础设施，使企业的网络费用开支实现最小化。
　　
　　■ 记费，审计和报警
　　为有效的管理VPN系统，网络管理人员应当能够随时跟踪和掌握以下情况：系统的使用者，连接数目，异常活动，出错情况，以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费，审计和报警或其它错误提示具有很大帮助。例如，网络管理人员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。对设备进行实时的监测可以在系统出现问题时及时向管理员发出警告。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志，报告和数据存储设备。
　　NT4.0在RAS中提供了对记费，审计和报警的支持。RADIUS协议对呼叫-记费请求（call-accountingrequest)进行了规定。当RAS向RADIUS发送呼叫-记费请求后由后者建立记费记录分别记录呼叫开始，结束以及预定中断的情况。
　　
　　■ 结论
　　如本文所述，Windows系统自带的VPN服务允许用户或企业通过公共或专用网络与远端服务器，分支机构，或其他公司建立安全和可靠的连接。虽然上述通讯过程发生公共互联网络上，但是用户端如同使用专用网络进行通讯一样建立起安全的连接。使用Windows系统的VPN技术可以解决在当今远程通讯量日益增大，企业全球运作分布广泛的情况下，员工需要访问中央资源，企业相互之间必须能够进行及时和有效的通讯的问题。

金鹰

这个看到就有点头晕，还是支持老大。