VPN基础知识

随着Internet访问的增加，传统的Internet接入服务已越来越满足不了用户需求，因为传统的Internet只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施，并增加了企业网络功能，扩大了其专用网的范围。

一 VPN概述

为了使得远程的企业员工可以与总部实时的交换数据信息。企业得向ISP租用网络提供服务。但公用网容易遭受各种安全攻击（比如拒绝服务攻击来堵塞正常的网络服务，或窃取重要的企业内部信息）

VPN这个概念的引进就是用来解决这个问题。它是利用公用网络来连接到企业私有网络。但在VPN中，用安全机制来保障机密型，真实可靠行，完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息。

虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接，并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 对于VPN的定义有很多说法，但是都基于这样一种思想：VPN利用公共网络基础设施，通过一定的技术手段，达到类似私有专网的数据安全传输。从定义上看，VPN首先是虚拟的，也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但是，VPN同时又具有专线的数据传输功能，因为VPN 能够像专线一样在公共网络上处理自己公司的信息。

二 VPN特性

一般VPN所具备的优点有以下几点：

a) 最小成本：无须购买网络设备和专用线路覆盖所有远程用户
b) 责任共享：通过购买公用网的资源，部分维护责任迁移至provider（更专业，有经验，是操作，维护成本降低）。
c) 安全性
d) 保障QoS
e) 可靠性：如果一个VPN节点坏了，可以一个替换VPN建立起来绕过他，这种恢复工作是得VPN操作可以尽可能的延续
f) 可扩展性：可以通过从公用网申请更多得资源达到非常容易的扩展VPN,或者协商重构VPN

其中安全性是vpn最重要的一个特性,也是各类vpn产品所必须具备和支持的要素.

三 VPN的安全技术

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

隧道指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，即网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。网络隧道技术是个关键技术,这项vpn的基本技术也是本文要详细和阐述的.

VPN应用实例

实例一、北京有一家电力建设公司共有30多家分公司，700多台计算机。公司原有的网络系统比较复杂，总公司与分支机构、甲方、监理之间是通过拨号方式连接，每月费用在2万元以上；而受上网速度的限制，公司内部的文件处理速度特别慢，导致公司的办公业务也受到影响，同时还会造成公司数据不能共享。另外，网络安全也得不到有效地保证。为此，该公司决定对原有网络进行改造，选择了一套基于ADSL的VPN解决方案。由此，该公司实现了各个节点之间的VPN互联；同时，实现了总部与10个分支机构，共500多台计算机的互联。试运行结果表明，每月费用从原来的2万多元下降至3500元。与此同时，公司办公可以做到及时发布信息，实现数据共享，还可以方便地进行网络维护。

实例二、现在单位192.168.0.2这台机器上设置好VPN服务，在家中通过VPN客户端访问单位这台机器，建立连接后，这两台机器通信时就像在局域网中一样，比如：要在192.168.1.10这台电脑中下载192.168.0.2这台机器的文件（假设该机已设好FTP服务），可以直接在浏览器中键入：ftp://192.168.0.2下载文件了。虽然是通过Internet进行通信，但整个过程都是加密的，就像是在Internet中穿了一条只有两

台机器才能通过的隧道，这就是VPN( Virtual Private Networks )虚拟专用网。