虚拟专用网络（VPN）技术应用与实践

高博，赵映红

（河北省水利水电勘测设计研究院，天津 300250）

虚拟专用网络（VPN）技术应用与实践

高博，赵映红

（河北省水利水电勘测设计研究院，天津 300250）

虚拟专用网络（Virtual Private Network，简称VPN）是在公用网络上建立专用网络的技术。VPN技术以其独具特色的优势赢得了越来越多的企业的青睐。河北省水利水电勘测设计研究院结合企业自身组织机构及网络现状对VPN技术进行了分析，利用VPN技术的特点组建了本企业的虚拟局域网络平台，为全院自动化办公和开展三维协同设计奠定了基础。

VPN；应用实践

1 现状与需求

河北省水利水电勘测设计研究院（以下简称河北院）创建于新中国成立之初的1956年，并于1997年加冠了“水利部”称谓，亦称水利部河北水利水电勘测设计研究院，总部驻在美丽的海滨城市——天津，并在省会石家庄有总院下属的公司、分院等5个二级单位，连锁单位多个分支结构覆盖全省乃至全国多个地区。分布在天津之外的公司、分院，既不能及时访问总部资源，又不能实时与总部进行信息交互，给工作带来了很大不便，造成了往来的人力、物力、财力等多方面资源的增加。为解决这一困扰，信息技术中心进行了市场调研与技术分析。如果通过传统专线网络将各分部连接起来，其组建成本太高，建设时间太长，且难于管理，严重影响和制约了企业发展。若引进VPN技术，在LAN与LAN连接时，比使用专线的成本节省20%～40%，就远程访问而言，VPN更能比直接接至企业内部网络节省60%～80%的成本。而且其连接方便灵活，比专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时，VPN可以轻易地达到目的。VPN数据传输安全可靠、管理控制自如，较少的网络设备及物理线路，不论分公司或是远程访问用户再多，均只需通过互联网的路径进入企业网路。VPN技术极大地满足了企业内部异地信息交互各个方面的要求。河北院单个用户和远程办公室站点多，用户、站点分布范围广，带宽和时延要求相对适中，对线路保密性和可用性有一定要求。因此决定引进VPN技术，建立我院内部虚拟专用网络，以达到各公司、分院与总部的信息交互与资源共享。

2 VPN关键技术分析

VPN是近年来随着Internet的发展而迅速发展起来的一种利用公用网络来构建的私有专用网络的技术。并使得在公共网络上组建的VPN像企业现有的私有网络一样提供安全性、可靠性和可管理性等。

2.1 各种隧道技术

利用基于IP协议的Internet实现VPN的核心技术是各种隧道技术。通过隧道，企业私有数据可以跨越公共网络安全地传递。对于广域网连接，传统的组网方式是通过专线或者电路交换连接来实现的。而VPN是利用服务提供商所提供的公共网路来建设虚拟的隧道，在远端用户与总部之间建立广域连接，保证连通性，同时也可以保证安全性。隧道传输过程如图1所示。

图1 隧道传输过程

2.2 实现远程访问

VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。它有多种分类方式，根据不同的划分标准，VPN可以按协议、应用、设备类型、实现原理等分类。VPN按隧道协议分类主要有3种，PPTP、L2TP和IPSec；VPN按应用分类主要有Access VPN（远程接入VPN）、Intranet VPN（内联网VPN）和Extranet VPN（外联网VPN）3类。从客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量的形式为远程接入VPN；从网关到网关，通过公司的网络架构连接来自同公司的资源为内联网；外联网VPN是指与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。VPN按照设备类型分类主要为交换机VPN、路由器VPN和防火墙VPN 3类。其中路由器式VPN部署较容易，只要在路由器上添加VPN服务即可，而交换机式VPN主要应用于连接用户较少的VPN网络，防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型。按实现原理分重叠VPN和对等VPN，重叠VPN需要用户自己建立端节点之间的VPN链路，主要包括：GRE、L2TP、IPSec等众多技术；对等VPN由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。

2.3 VPN网关

VPN网关一般采取双网卡结构，外网卡使用公网IP接入Internet。VPN技术工作原理拓扑图如图2所示。

图2 VPN技术工作原理拓扑图

VPN网关对数据包进行处理时，原始数据包的目标地址（VPN目标地址）和远程VPN网关地址对于VPN通讯十分重要。VPN网关依据VPN目标地址来判断针对哪些数据包需要进行VPN处理，不需要处理的数据包通常情况下可直接转发到上级路由。远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

3 河北院VPN解决方案的选定

尽管VPN技术在市场上早已得到了广泛应用，但为自己企业选择一款合适的VPN是至关重要的。

3.1 VPN实现方式选择

对于一个企业来说主要考虑的是VPN的实际应用效应，因此在选择解决方案的时候关键影响因素就是VPN的应用能力。从VPN的应用分类来进一步分析选定方案。

3.1.1 远程访问VPN

对于经常出差在外或在家办公的员工，要想接收或者访问企业内部网络，就需要建立远程访问VPN网络。在企业总部使用VPN防火墙路由器作为VPN Server接入Internet建立远程访问VPN网络，在外出差和在家办公的员工只要能接入Internet，就可以用已分配的用户名和密码登录企业总部的VPN Server，访问企业内网资源，实现信息交互，以满足工作需要。远程访问VPN应用拓扑图如图3所示。

图3 远程访问VPN应用拓扑图

3.1.2 内联网VPN

对于企业总部和外地分支机构的互联选择内联网VPN比较合适。在企业总部使用VPN防火墙路由器作为VPN Server接入Internet建立虚拟VPN网络，这样企业在外地的分支机构，就可依使用VPN宽带路由器作为VPN Client登录到总部的VPN Server。如果分支机构有一定规模，也可使用VPN防火墙路由器作为VPN Client。建立VPN连接后，总部和分支又处于同一“局域网”内，这样不仅能够做到资源共享、信息实时交互，而且还能够实现异地协同工作。内联网VPN应用拓扑图如图4所示。

图4 内联网VPN应用拓扑图

3.1.3 外联网VPN

企业之间的互联要用到外联网VPN。这种VPN是在企业总部使用VPN防火墙路由器作为VPN Server接入Internet建立虚拟VPN网络，其他与企业有业务往来的公司、企业也使用VPN防火墙路由器作为VPN Client与企业总部建立VPN连接，实现企业之间的资源交换、信息交互。外联网VPN应用拓扑图如图5所示。

图5 外联网VPN应用拓扑图

就河北院的实际需求选择内联网VPN解决方案，实现河北院总部和外地分支机构的互联。

3.2 VPN设备选择

结合河北院实际需求情况，相比较下选定了HUAWEI ASG2000防火墙路由器作为VPN Server。HUAWEI ASG2000系列产品提供URL过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

4 VPN技术带来的效益

有了VPN技术，无论是在河北院总部办公还是在外地各公司分院办公，只要能上互联网就能利用VPN访问内网资源，VPN网络的建立为河北院带了多方面的效益。

4.1 实时性效益

河北院建立VPN网络以后，资料传输、设计沟通、视频会议等传统应用越来越多的迁移到了网络上，VPN技术对企业上网带宽和VPN线路通道的带宽，进行高效的调控管理，大大提升了河北院带宽的使用率，节省了带宽成本。同时，在网络性能提升以后，河北院的经营和管理效率也随之得到了改善，为河北院争取了间接的效益。

4.2 安全性效益

VPN技术能够提供高信息安全的水平，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。防火墙VPN技术采用主动式封包检测功能及数据双向智能过滤，有效防御常见病毒与木马入侵，有力地保护内网安全。VPN网络的建立使河北院在节省成本的基础上，强有力地保护好网络的信息安全，避免遭受攻击而造成的间接损失。

4.3 实用性效益

河北院利用公用网络来建立虚拟专用网络，节省了大量的通信费用，同时这种网络接入方式也不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备，相应的也节省了人力资源和物力资源。与此同时虚拟专用网的产品都采用数据加密及身份验证等安全技术，在保证连接用户信息交互的同时，严谨地做到资源的可靠性及传输数据的安全和保密性。如果没有虚拟专用网络技术，异地部门联系及信息交换就必须在双方之间建立租用线路或帧中断线路，不但成本增加，在安装维护等方便都有诸多不便。有了虚拟专用网之后，只需要双方配置安全连接信息即可，连接方便灵活。并且虚拟专用网用户自己完全掌握着控制权，VPN虚拟专用网络使用户可以利用ISP的设备、服务和ISP提供的网络资源，同时其他安全设置、网络管理变化也可完全由自己管理。

5 结语

河北院结合企业自身的组织结构与多处异地办公的要求，采用VPN技术，成功地搭建了适用的局域网平台，为企业发展创造了现代化信息沟通和数据传递条件，有效地解决了企业当前的实际问题。通过VPN应用实践可以预测，VPN将成为未来网络发展的主要方向。

［1］龙淑萍.VPN技术在数字图书馆中的实现［J］.中国科技信息，2006（2）.

［2］李别.构建虚拟专用网（VPN）的技术策略［J］.中国西部科技，2004（8）.

［3］王春霞.基于VPN技术的网吧实名管理系统的设计［J］.浙江工商职业技术学院学报，2007（1）.

［4］楚艳萍，季超.VPN连接的建立和配置［J］.河南大学学报（自然科学），2003（1）.

［5］李别.构建虚拟专用网（VPN）的技术策略［J］.中国西部科技，2004（8）.

［6］王朗.利用VPN技术实现合并图书馆分馆互联［J］.现代图书情报技术，2004（5）.

Application and Practice of Virtual Private Network（VPN）Technology

GAO Bo，ZHAO Ying-hong
（Hebei Research Institute of Investigation&Design of Water Conservancy&Hydropower,Tianjin 300250,China）

The Virtual Private Network（VPN for short）is a technology of establishing private network on the public network.More and more enterprises are in favors of the VPN technology with its unique advantage.Based on enterprise’s own organization and network situation，the Hebei research institute of investigation﹠design of water conservancy﹠hydropower analyzed the VPN technique and used the characteristics of VPN technology constructing the VLAN platform，lying the foundation of office automation and the development of 3D collaborative design in the whole institute.

VPN;application and practice

TV222.2

B

1672-9900（2014）03-0093-04

2014-01-13

高博（1973-），男（汉族），河北丰润人，高级工程师，主要从事计算机在水利行业的研究与应用工作，（Tel）022-26154985。