VPN，網絡安全，隧道技術，L2TP，GRE，IPSec，IKE，防火墻，QoS，網絡管理
　　
　　概述
　　隨著網絡，尤其是網絡經濟的發展，企業日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業的效益日益增長，另一方面也越來越凸現傳統企業網的功能缺陷：傳統企業網基于固定物理地點的專線連接方式已難以適應現代企業的需求。于是企業對于自身的網絡建設提出了更高的需求，主要表現在網絡的靈活性、安全性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。華為Quidway系列路由器在安全、網絡優化以及管理等方面對VPN給予了強大的支持。
　　
　　VPN定義
　　利用公共網絡來構建的私人專用網絡稱為虛擬私有網絡（VPN，Virtual Private Network），用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN象企業現有的私有網絡一樣提供安全性、可靠性和可管理性等。
　　
　　“虛擬”的概念是相對傳統私有網絡的構建方式而言的。對于廣域網連接，傳統的組網方式是通過遠程撥號連接來實現的，而VPN是利用服務提供商所提供的公共網絡來實現遠程的廣域連接。通過VPN，企業可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業務合作伙伴，如圖1所示。
　　
　　
　　
　　圖1 VPN應用示意圖
　　
　　由圖可知，企業內部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務提供點），即可相互通信；而利用傳統的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。虛擬網組成后，出差員工和外地客戶只需擁有本地ISP的上網權限就可以訪問企業內部資源； 如果接入服務器的用戶身份認證服務器支持漫游的話，甚至不必擁有本地ISP的上網權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。
　　
　　VPN的類型
　　VPN分為三種類型：遠程訪問虛擬網（Access VPN）、企業內部虛擬網（Intranet VPN）和企業擴展虛擬網（ExtranetVPN），這三種類型的 VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet相對應。
　　
　　Access VPN
　　隨著當前移動辦公的日益增多，遠程用戶需要及時地訪問Intranet和Extranet。對于出差流動員工、遠程辦公人員和遠程小辦公室，Access VPN通過公用網絡與企業的Intranet和Extranet建立私有的網絡連接。在Access VPN的應用中，利用了二層網絡隧道技術在公用網絡上建立VPN隧道（Tunnel）連接來傳輸私有網絡數據。
　　
　　Access VPN的結構有兩種類型，一種是用戶發起（Client-initiated）的VPN連接，另一種是接入服務器發起（NAS-initiated）的VPN連接。
　　
　　用戶發起的VPN連接指的是以下這種情況：首先，遠程用戶通過服務提供點（POP）撥入Internet，接著，用戶通過網絡隧道協議與企業網建立一條的隧道（可加密）連接從而訪問企業網內部資源。在這種情況下，用戶端必須維護與管理發起隧道連接的有關協議和軟件。
　　
　　在接入服務器發起的VPN連接應用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發起一條隧道連接連到用戶的企業網。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構建VPN所需的協議及軟件均由ISP負責管理和維護。
　　
　　Intranet VPN
　　Intranet VPN通過公用網絡進行企業各個分布點互聯，是傳統的專線網或其他企業網的擴展或替代形式。
　　
　　利用IP網絡構建VPN的實質是通過公用網在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網絡數據，用于構建這種VPN連接的隧道技術有IPSec、GRE等。結合服務商提供的QoS機制，可以有效而且可靠地使用網絡資源，保證了網絡質量。基于ATM或幀中繼的虛電路技術構建的VPN也可實現可靠的網絡質量，但其不足是互聯區域有較大的局限性。而另一方面，基于Internet構建VPN是最為經濟的方式，但服務質量難以保證。企業在規劃VPN建設時應根據自身的需求對以上的各種公用網絡方案進行權衡。
　　
　　1.2.3Extranet VPN
　　
　　Extranet VPN是指利用VPN將企業網延伸至合作伙伴與客戶。在傳統的專線構建方式下，Extranet通過專線互聯實現，網絡管理與訪問控制需要維護，甚至還需要在Extranet的用戶側安裝兼容的網絡設備；雖然可以通過撥號方式構建Extranet，但此時需要為不同的Extranet用戶進行設置，而同樣降低不了復雜度。 因合作伙伴與客戶的分布廣泛，這樣的Extranet建設與維護是非常昂貴的。 因此，諸多的企業常常是放棄構建Extranet，結果使得企業間的商業交易程序復雜化，商業效率被迫降低。
　　
　　Extranet VPN以其易于構建與管理為解決以上問題提供了有效的手段，其實現技術與Access VPN和Intranet VPN相同。Extranet用戶對于Extranet VPN的訪問權限可以通過防火墻等手段來設置與管理。