前言

随着网络经济的发展，越来越多企业的分布范围日益扩大，合作伙伴日益增多，公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构，组成自己的企业网，同时使移动办公人员能在企业以外的地方接入企业内部网络。

虚拟专用网VPN（Virtual Private Network）是依靠Internet服务提供商ISP（Internet Service Provider）和网络服务提供商NSP（Network Service Provider）在公共网络中建立的虚拟专用通信网络，来满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。

VPN如何工作

一、隧道技术

VPN的基本原理是利用隧道技术把报文封装在隧道中，利用VPN骨干网建立专用数据传输通道，实现报文的透明传输。隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。

二、VPN实现模式

VPN不是一种简单的高层业务，它比普通的点到点应用要复杂得多。VPN的实现需要建立用户之间的网络互联，包括建立VPN内部的网络拓扑、进行路由计算、管理用户等。因此，VPN体系结构较复杂，可以概括为以下三个组成部分：

VPN隧道：包括隧道的建立和管理。

VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理（管理服务提供商边缘设备PE上多个VPN的属性，区分不同的VPN地址空间）、VPN自动配置（指在二层VPN中，收到对端链路信息后，建立VPN内部链路之间的对应关系）。

VPN信令协议：完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享（对于L2VPN，需要交换数据链路信息；对于L3VPN，需要交换路由信息；对于VPDN，需要交换单条数据链路直连信息），以及在某些应用中完成VPN的成员发现。

结合VPN体系结构的三个主要组成部分，可以将VPN的实现分成三种模式：

【1】隧道＋VPN管理

这类VPN的构成简单：

VPN隧道的建立。

VPN管理负责部署VPN网管和计费、QoS等策略。

传统IP VPN采用这种实现方式，如IPSec VPN和GRE VPN。

【2】隧道＋VPN管理＋VPN信令协议

这类VPN需要进行：

VPN隧道的建立。

VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理和VPN自动配置。

VPN信令协议：完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享。

采用这种实现方式的VPN包括Martini方式的VLL、PWE3、Martini方式的VPLS以及VPDN。

【3】实例化

这类VPN要求在二层、三层中为每个VPN进行实例化，构建本VPN私有转发信息实例。VPN不仅管理隧道，还包括VPN成员发现、VPN成员管理、VPN自动配置等。

采用这种实现方式的VPN包括L3VPN和基于Kompella的L2VPN（包括Kompella方式的VPLS和Kompella方式的VLL）。

三、 VPN的实现要点

可运营

VPN技术的一个重要本质是使用共享网络提供企业内部之间的服务。根据VPN目前的使用前景可以看出，VPN技术必须具有可运营性。大多VPN用户（企业）不希望在网络维护上花很多时间和精力，需要由专门的运营商提供这样的服务。因此，在设计VPN网络的时候，首先需要考虑可运营性。

可管理

VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网络，甚至是客户和合作伙伴。企业可以将一些次要的网络管理任务交给服务提供商，但企业自己也要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。

VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理。VPN管理的目的：

减小网络风险：将企业内部网络延伸到公用网络基础设施上，VPN面临着新的安全与监控的挑战。网络管理需要在允许企业分支、客户和合作伙伴通过VPN访问内网资源的同时，确保内部数据资源的完整性。

扩展性：VPN管理需要对日益增多的客户和合作伙伴做出迅捷的反应，包括网络硬软件的升级、网络质量保证、安全策略维护等。

经济性：保证扩展性的同时不应过多地增加操作和维护成本。

可靠性：VPN构建于公用网之上，不同于传统的专线广域网，其受控性大大降低。因此VPN可靠而稳定地运行是VPN管理必须考虑的问题。

四、VPN的安全性

VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。

对于传统的IP VPN，企业自身必须确保VPN数据不被攻击者窥视和篡改，并且要防止非法用户对企业内部资源或私有信息的访问。尤其是Extranet VPN，对安全性提出了更高的要求。以下方案可以提高VPN的安全性：

隧道与加密：隧道能实现多协议封装，增加VPN应用的灵活性，可以在无连接的IP网络上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。

数据验证：在不安全的网络上，特别是构建VPN的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可以识别这种篡改，保证了数据的完整性。

用户验证：VPN可使合法用户访问其所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA，设备可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有重要意义。

防火墙与攻击检测：防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话连接，并产生非法访问记录。

基于MPLS的VPN技术在网络侧依靠转发表和数据包的标记来创建VPN，如果一个封闭的MPLS网络不与Internet相连，那么它具有内在的安全性。因此，MPLS VPN可以在一定程度上保证VPN的安全。

如果MPLS VPN的客户需要访问Internet，可以建立一个通道，在该通道上放置一个防火墙，这样就对整个VPN提供安全的连接。管理起来也很容易，因为对于整个VPN来说，只需要维护一种安全策略。

五、VPN QoS

构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。

VPN QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。