一、 剖析VPN原理

虚拟专用网(VPN)是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网的行为。

利用IP网络构建VPN，其实质是通过公用网在各个路由器之间建立VPN安全隧道以传输用户的私有网络数据。用于构建这种VPN连接的隧道技术有IPSec， GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量，但其不足之处是互联区域有较大的局限性。另一方面，基于Internet构建VPN是最为经济的方式，然而服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。

利用公用网络构建VPN是新型的网络概念，它给服务提供商(ISP)和VPN用户(企业)都将带来不少的益处。对于服务提供商来说，通过向企业提供VPN这种增值服务，服务提供商可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量；而对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，节省了开支，提高了经济效益。在家里或者旅途中工作的用户可以使用VPN建立到组织服务器的远程访问连接，方法是使用公共网络(例如 Internet)提供的基础结构。从用户的角度来讲，VPN是一种在计算机(VPN客户端)与团体服务器(VPN服务器)之间的点对点连接。VPN与共享或公用网络的具体基础结构无关，因为在逻辑上数据就如同通过专用的私有链接发送的。单位也能够使用VPN连接来为地理位置分开的办公室建立路由连接，或者在保持安全通信的同时通过公共网络，例如Internet，连接到其他单位。通过Internet的VPN连接逻辑上作为专用的WAN链接来操作。通过远程访问和路由连接，可以使用VPN连接将长途拨号或租用线路换成本地拨号，这无疑将节约大量的通信成本。

498)this.style.width=498;" border=1>

显示VPN连接的逻辑等价关系

VPN的设计包含以下原则：安全性、网络优化、VPN管理。VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业用户必需确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

VPN的安全性包含以下特征：

a)隧道与加密：隧道能实现多协议封装，增加VPN应用的灵活性，可以在无连接的IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。

b)数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。

c)用户验证：VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，路由器可以提供用户鉴别、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。

d)防火墙与攻击检测：防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。要模拟点对点链路，应压缩或包装数据，并加上一个提供路由信息的报头，该报头使数据能够通过共享或公用网络到达其终点。若要模拟专用链接，数据应加密以进行保密。如果没有加密密钥，在共享或公用网络上截取的数据包是无法破译的。