VPN技術概念及發展趨勢

一:VPN概念

VPN即虛擬專用網(Virtal Private Network)，是一條穿過混亂的公用網絡的安全、穩定的隧道。通過對網絡數據的封包和加密傳輸，在一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，從而實現在公網上傳輸私有數據、達到私有網絡的安全級別，如果接入方式為撥號方式，則稱之為VPDN。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。VPN可用於不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

二:VPN工作原理

VPN通過公眾IP網絡建立了私有數據傳輸通道，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔，節省電話費用開支，並且提供了安全的端到端的數據通訊。

用戶連接VPN的形式：

常規的直接撥號連接與虛擬專網連接的異同點在於在前一種情形中，PPP（點對點協議）數據包流是通過專用線路傳輸的。在VPN中，PPP數據包流是由一個LAN上的路由器發出，通過共享IP網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。

這兩者的關鍵不同點是隧道代替了實實在在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。那麼，如何形成VPN隧道呢？

建立隧道有兩種主要的方式：客戶啟動（Client－Initiated）或客戶透明（Client-Transparent）。客戶啟動要求客戶和隧道服務器（或網關）都安裝隧道軟件。後者通常都安裝在公司中心站上。通過客戶軟件初始化隧道，隧道服務器中止隧道，ISP可以不必支持隧道。客戶和隧道服務器只需建立隧道，並使用用戶ID和口令或用數字許可證鑒權。一旦隧道建立，就可以進行通信了，如同ISP沒有參與連接一樣。

另一方面，如果希望隧道對客戶透明，ISP的POPs就必須具有允許使用隧道的接入服務器以及可能需要的路由器。客戶首先撥號進入服務器，服務器必須能識別這一連接要與某一特定的遠程點建立隧道，然後服務器與隧道服務器建立隧道，通常使用用戶ID和口令進行鑒權。這樣客戶端就通過隧道與隧道服務器建立了直接對話。盡管這一方針不要求客戶有專門軟件，但客戶只能撥號進入正確配置的訪問服務器。

三:VPN的應用

目前，用於企業內部自建VPN的主要有兩種技術——IP Sec VPN和SSL VPN，IPSecVPN和SSL VPN主要解決的是基於互聯網的遠程接入和互聯，雖然在技術上來說，它們也可以部署在其它的網絡上(如專線)，但那樣就失去了其應用的靈活性，它們更適用於商業客戶等對價格特別敏感的客戶。

但針對IPSec VPN和SSL VPN兩種技術，目前業內存在著較多爭議。雖然目前企業應用最廣泛的是IPSec VPN，然而Infornetics Research研究表明，在未來的幾年中IPSec的市場份額將下降，而SSL VPN將逐漸上升。用戶在考慮采用哪種技術時經常會遇到兩難的選擇，即安全性與使用便利的沖突。而事實上沒有哪一種技術是完美的，只有用戶明確了自己的需求，才能選擇到適合自己的解決方案。IPSec VPN比較適合中小企業，其擁有較多的分支機構，並通過VPN隧道進行站點之間的連接，交換大容量的數據。企業有一定的規模，並且在IT建設、管理和維護方面擁有一定經驗的員工。企業的數據比較敏感，要求安全級別較高。企業員工不能隨便通過任意一台電腦就訪問企業內部信息，移動辦公員工的筆記本或電腦要配置防火牆和殺毒軟件。而SSL VPN更適合那些需要很強靈活性的企業，員工需要在不同地點都可以輕易的訪問公司內部資源，並可能通過各種移動終端或設備。企業的IT維護水平較低，員工對IT技術了解甚少，並且IT方面的投資不多。

SSL VPN 三大好處：

1、使用方便，不需要配置，可以立即安裝和使用；

2、無需客戶端，直接使用內嵌的SSL協議，而且幾乎所有的浏覽器都支持SSL協議。

3、兼容性好，支持電腦、PDA、智能手機、3G手機等一系列終端設備及大量移動用戶接入的應用。

SSL VPN缺點

只適合Site-to-LAN（點對網）的連接，無法解決LAN to LAN VPN 需求。

四：VPN的發展趨勢

從目前的市場情況看，IPSec仍占據最大的市場份額，但是它的種種弊端已經暴露出來。一些用戶已經開始同時部署兩種解決方案，比如遠程訪問辦公通過SSL VPN，而站點之間的連接通過IPSec。在未來幾年內，兩種解決方案還將共存，但是SSL VPN憑借其簡單易用、部署及維護成本低，會受到企業用戶的青睐，將會有更大的發展空間。