（一）虚拟专用网（VPN）的概念

VPN（Virtual Private Network）即虚拟专用网络，是指采用“隧道”技术以及加密、身份认证等方法在公共网络上构建专用网络的技术，数据通过安全的“加密管道”在公众网络中传播。整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如Internet、ATM、Frame Relay等）之上的逻辑网络，用户数据在逻辑链路中传输。当需要时，VPN从公用网中独占一部分带宽，作为私有网络使用；当VPN通信结束后，这部分带宽就被释放出来还给公用网。VPN的目的是以更低的成本，采用更灵活的与ISP的连接方式，提供在传统WAN环境下的可靠性、安全性和高性能。

虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN允许专用企业内部网安全地在Internet或其他网络服务上扩展，使电子商务网以及外部网与商业伙伴、供应商和顾客的连接更加方便可靠。特别是对那种具有多个子公司，而且子公司物理上分布在多个不同地方的大企业，在企业内部，使用VPN作为员工协同工作的解决方案既可以保证安全性，又可以减少企业网络费用。企业运用VPN的协作解决方案如图5-11所示。

图5-11　运用VPN的协作解决方案

（二）VPN的分类

根据VPN所起的作用，可以将VPN分为三类：VPDN、Intranet VPN和Extranet VPN。

1.VPDN（Virtual Private Dial Network）

VPDN也被称为远程访问虚拟专用网（Access VPN），它是指远程移动的雇员通过VPN访问企业内部网的方式。实现过程如下：用户拨号网络服务提供商的网络访问服务器NAS（Network Access Server），发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。如果企业内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用远程访问虚拟专用网。

2.Intranet VPN

Intranet VPN也被称为内部网虚拟专用网，它是指企业远程分支与公司总部之间的VPN网。通过Internet公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。如果要进行企业内部各分支机构的互联，使用Intranet VPN是很好的方式。

3.Extranet VPN

Extranet VPN也被称为外联网虚拟专用网，它是指企业与合作伙伴、客户、供应商之间的VPN网。由于不同公司网络环境的差异性，Extranet VPN必须能兼容不同的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置特定的访问控制表，根据访问者的身份、网络地址等参数来确定他所相应的访问权限，开放部分资源而非全部资源给外联网的用户。如果是提供B2B之间的安全访问服务，则可以考虑Extranet VPN。

（三）VPN的安全协议

1.点对点隧道协议(www.daowen.com)

提供点对点隧道协议（point to Point Tunnel protocol，简称PPTP）是PPTP客户机与PPTP服务器之间的加密通信，允许使用专用的“隧道”，通过公共Internet来扩展公司的网络。PPTP的实现对数据流进行封装和加密，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或“隧道”服务，使非IP网络可以进行Internet通信。PPTP提供流量控制，减少拥塞的可能性，避免由包丢弃而引发包重传的数量。但是PPTP会话不可通过代理器进行，PPTP是Microsoft和其他厂家支持的标准，是PPP协议的扩展，它可以通过Internet建立多协议VPN。

2.第二层隧道协议

Cisco的L2F（Layer2 Forwarding）是另一个隧道协议。Microsoft、Cisco和其他一些网络厂商正一起努力使L2F与PPTP融合，产生一个新的第二层隧道协议L2TP（Layer2 Tunneling Protocol）协议。PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP正在由包括Microsoft在内的几家厂商开发。L2TP还支持信道认证，但它没有规定信道保护的方法。PPTP和L2TP最适合用于远程访问虚拟专用网VPDN。

3.IP安全协议

IP安全协议IPSec（Internet Protocol Security）是由IETFIP安全工作组定义的协议集，它用于确保网络层之间的安全通信。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec提供所有在网络层上的数据保护，提供透明的安全通信。IPSec通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec用密码技术从认证、完整性检查以及加密三个方面来保证数据的安全。IPSec最适合内部网虚拟专用网Intranet VPN。

4.SOCKs V5

SOCKs V5是建立在TCP层上安全协议，它可协同IPSec、L2TP、PPTP等一起使用。SOCKs V5能对连接请求进行认证和授权。SOCKs V5是一个需要认证的防火墙协议。当SOCKs同SSL协议配合使用时，可作为建立高度安全的虚拟专用网的基础。SOCKs协议的优势在访问控制，因此适合用于安全性较高的虚拟专用网。基于SOCKs V5的虚拟专用网最适合用于客户机到服务器的连接模式，适合用于Extranet VPN。

（四）VPN的安全性

VPN采取一系列的步骤以保证数据在公共网络中传输的安全性。

1.用户认证

用户把姓名、口令通过增强用户握手认证协议CHAP（Challenge Handshake Authentication Protocol），发送到ISP网络。ISP网络联系企业用户安全服务器RADIUS，根据RADIUS服务器上的用户中心数据库对访问用户进行权限判定。RADIUS服务器确认用户是否有存取权限，如果该用户没有存取权限，隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。VPN和访问服务器参照这些内容，对用户进行验证，如果情况完全相符，就允许建立隧道通信，并将用户确认信息发送给ISP网络。收到确认后，ISP网络又以CHAP将应答传给用户。同时ISP收到企业服务器发回的用户IP及子网掩码分配，以及隧道终端器的IP地址分配。

2.进行设备确认，建立安全隧道

隧道开通器使用自己的私钥进行数字签名，并发送给隧道终端器，隧道终端器使用隧道开通器的公钥，对隧道开通器进行签名确认。反之，隧道开通器对终端器进行确认。然后双方协商对数据进行加密时使用的算法。

3.使用安全策略

下一步确认对本次传输的特定用户采取的安全策略。用户身份级别越高，消息认证等过程就越严格。