详解VPN技术

　　 目前，越来越多的企业正在寻求灵活安全的广域通信方式。在Internet连接和基于IP网络错综复杂的环境下，这些新的通信需求已经超出了传统网络解决方案的处理能力。基于IP的虚拟专用网(VPN)解决方案成为希望在全球连通的公司的自然之选。分析人员预测，到2003年，商业客户每年将在VPN设备和服务中支出超过140亿美元。
　　 VPN定义为“采用加密和认证技术，在公共网络上建立安全专用隧道的网络”。随着IP安全标准的问世和无所不在的IP网，VPN现在已经成为大多数企业可行的备选方案。

　　 一、VPN实现方式
　　 VPN有以下几种实现方式：
　　 1．自行管理。企业拥有和全面管理基于Internet的VPN。这种方法为企业提供了灵活性，使其能够控制VPN的部署和管理。但是，存在着组网范围窄、扩充能力弱、基础设施必须支持全球电子商务以及需要企业一周七天、全天24小时的管理服务等问题，这些问题通常使企业不愿意投资采用。
　　 2．全面外包。这是一种可以由一系列合作伙伴实现的管理服务，包括Internet服务供应商(ISP)和安全集成合作伙伴。通过这种方式，公司可以迅速部署、简便实现全球扩充，没有日常的网络管理问题。
　　 3．混合或共享管理方法。合作伙伴负责基础设施部署和管理的主要部分，而企业则对策略定义和安全管理的关键方面保持控制能力。

　　 二、VPN的发展趋势：外包
　　 随着VPN市场的加速发展，一个重要趋势是转向外包。部署这些网络的公司正选择把VPN部署和维护工作外包给Internet服务供应商(ISP)、应用服务供应商(ASP)和其他连接供应商。外包的动因有：构建和运行全球网络的成本问题、希望把重点放在核心能力上、改善网络性能等等。
　　 1．外包给企业带来如下好处
　　 （1）灵活性和扩充性: 需要在VPN服务中增加新站点或用户时，只需服务供应商安装一条带有用户端设备(CPE)或安全客户端软件的接入链路。服务供应商负责所需的任何站点和主干级开通工作。最优的VPN设计只需通过一条连接实现专用Intranet、半专用Extranet和公共Internet接入。这种整合能力使企业节约了成本，同时也给服务供应商带来了优势，因为服务供应商可以在当前专用网络和公共网络边界的内部和之间低成本扩大服务。
　　 （2）迅速部署和触及全球：VPN 地理覆盖范围可以简便地进行扩展，连接世界各地的个人和多用户办公室，同时支持流行的应用和协议。企业通过利用服务供应商的主干，而不是构建自己的主干网，把网络扩展到内部有限资源之外，如Internet上。
　　 （3）降低运营成本: 管理型端到端VPN服务可以提供全面的服务质量(QoS)和服务水平协议(SLA)性能，支持要求最苛刻的商业应用。通过利用外包合作伙伴的专业知识及专用资源，企业不必再招聘技术专家。
　　 2．外包同样给服务供应商带来许多好处
　　 （1）扩大收入来源：增加了虚拟主机、应用托管和电子商务支持等增值服务。
　　 （2）迅速部署：由于不需改变现有的核心网络，因此可以迅速部署新的基于CPE的服务，提高市场占有率。
　　 （3）提供差别化服务：下一代功能如QoS和识别SLA的路由和交换技术，将给服务供应商提供竞争优势。
　　 （4）调整与客户的战略关系：由于服务供应商提供的是增值服务而不是带宽，服务供应商和客户将建立起长期的关系。

　　 三、VPN涵盖的功能和标准
　　 由于VPN产品把机密的数据和网络资源与不友好的网络分隔开来，因此它在任何地方都必须像防火墙一样强健。强大的认证、密码、X.509v3数字证书和ICS认证的防火墙功能确保VPN能够保护数据的机密性。VPN安全策略是基于标准的，这些标准非常强健、稳定。
　　 1．服务水平协议(SLA)。是端到端VPN解决方案的一种关键功能，它和网络安全一样重要。SLA提供了具体的性能标准，确保VPN能够支持可靠的商业服务。同时，为网络性能规划和应用提供了宝贵的数据。SLA应涵盖各条链路及所有客户站点之间的整体性能。
　　 2．服务质量(QoS)功能。服务质量对企业要求的优先通信和管理接入VPN至关重要。

　　 四、选用VPN方案时应注意的问题
　　 选用VPN方案时要注意基于用户端的VPN服务和基于网络的VPN服务之间的差别。前者包括CPE，实现真正的端到端安全和性能管理。后者则主要是使用服务供应商业务点(POP)中的设备开通，在最后一公里上不能提供同样的保障。
　　 基于用户端的解决方案应注意以下几个关键问题：
　　 1．集中化策略管理。这是构建大规模VPN解决方案的关键。通过全面分布VPN配置和安全策略实现集中控制，策略管理简化了VPN开通和管理工作。供应商网络成为一个一体化系统，而不是不同产品拼凑在一起的集合，它能够为网络上任何地方的任何灵活服务集中提供支持。
　　 2．强大的安全和认证。VPN解决方案与防火墙一样关键。服务平台应能够紧密地与其他企业防火墙和入侵检测系统实现同步管理。平台中应包括一个紧密集成的经过ICSA认证的防火墙。为了实现用户认证功能，平台应支持SecurID令牌或X.509数字证书。应避免采用通用操作系统作为VPN设备的基础，因为这些操作系统可能充满了安全漏洞。
　　 3．全面集成。由于VPN是保证商业合作伙伴和企业客户安全通信的网络，因此产品线中必须全面集成和管理一套互补的技术和设备。VPN可以使用专用VPN路由器构建，也可以把VPN网关附加连接在现有的路由器上。下一代VPN路由器将是专用的，提供紧密集成的IP路由、安全、防火墙和带宽管理功能。
　　 VPN网关通常是一种低成本设备，它将在过去安装的IP网络之上，叠加提供隧道加密和防火墙服务等功能。
　　 4．符合标准。安全VPN采用的标准是网际安全协议(IPSec)，这是一项Internet工程任务小组(IETF)标准，并不是所有供应商都部署了带有128位IPSec加密技术的管理型VPN服务。
　　 5．多个认证中心(CA)支持。企业不应局限于专有的认证中心(CA)或认证注册协议，通过支持多个CA，如Entrust和VeriSign，网络管理员可以选择最优秀的公共密钥基础设施(PKI)技术。
　　 6．硬件加速加密。执行加密和解密要求密集型处理能力，特别是在执行自动密钥交换时。对T-3之类的高速应用，服务平台应具有硬件加速加密功能。低速应用可以运行基于软件的加密功能。
　　 7．扩充能力。大多数企业面临着不断变化的网络需求，包括更快速的连接和越来越多的连接位置。实现VPN解决方案后，不必更换所有硬件和软件。VPN体系结构至少应支持数十台VPN网关和数千个VPN客户端。

　　 五、构建端到端安全VPN
　　 朗讯的安全VPN系列包括下述组成部分：
　　 1. 策略管理。安全管理服务器(LSMS)和QVPN Builder是一种集成化集中式的VPN策略管理软件，也是朗讯安全VPN系列的核心。LSMS为远程接入应用而优化，可以处理公共密钥基础设施、接合RADIUS和SecurID用户认证服务器、管理VPN配置文件、防火墙规则和QoS策略定义。LSMS和QVPN Builder相集成，可以管理数百个VPN网关、Access Point、Pipeline和SuperPipe VPN路由器及数千个IPSec Client，它一次可以管理最多2.4万条VPN隧道。
　　 2．VPN防火墙。这为IP网络提供了一种经济的VPN重叠方法，包括防火墙和硬件加密服务。VPN防火墙模块提供了专用的平台，它采用硬件加密技术，可以保持75Mbps的3DES吞吐量，支持最多2000条同步隧道，它还支持高度机密的企业内部网使用的高级安全特性，包括ICSA认证和NSA认证的防火墙及强大的认证和接入控制功能。
　　 3．VPN客户端。朗讯IPSec客户端软件支持RADIUS或SecurID基于一次性令牌的认证系统。在IPSec客户端连接到安全VPN系列中的任何网关时，它自动透明地认证用户身份，执行安全策略。可以集中管理配置，确保通过LSMS严格地实施接入权限。
　　 4．VPN路由器。Access Point和Pipeline/SuperPipe路由器把路由、带宽管理、 VPN和防火墙功能融合在一个综合服务平台中。这些平台可以部署在用户端，也可以部署在服务供应商的业务点，同时为任何规模的站点间应用和远程接入应用提供路由器和网关功能。

　　 六、结语
　　 从根本上看，管理型VPN服务扩大了企业控制的范围。在混合VPN配置中，部署和管理VPN策略定义对公司过于复杂，公司不能有效地内部处理这些问题，因此外包是许多企业最好的选择。