目前，越來越多的企業正在尋求靈活安全的廣域通信方式。在Internet連接和基于IP網絡錯綜復雜的環境下，這些新的通信需求已經超出了傳統網絡解決方案的處理能力。基于IP的虛擬專用網(VPN)解決方案成為希望在全球連通的公司的自然之選。分析人員預測，到2003年，商業客戶每年將在VPN設備和服務中支出超過140億美元。 VPN定義為“采用加密和認證技術，在公共網絡上建立安全專用隧道的網絡”。隨著IP安全標準的問世和無所不在的IP網，VPN現在已經成為大多數企業可行的備選方案。
一、VPN實現方式
VPN有以下幾種實現方式：
1．自行管理。企業擁有和全面管理基于Internet的VPN。這種方法為企業提供了靈活性，使其能夠控制VPN的部署和管理。但是，存在著組網范圍窄、擴充能力弱、基礎設施必須支持全球電子商務以及需要企業一周七天、全天24小時的管理服務等問題，這些問題通常使企業不愿意投資采用。
2．全面外包。這是一種可以由一系列合作伙伴實現的管理服務，包括Internet服務供應商(ISP)和安全集成合作伙伴。通過這種方式，公司可以迅速部署、簡便實現全球擴充，沒有日常的網絡管理問題。
3．混合或共享管理方法。合作伙伴負責基礎設施部署和管理的主要部分，而企業則對策略定義和安全管理的關鍵方面保持控制能力。
二、VPN的發展趨勢：外包
隨著VPN市場的加速發展，一個重要趨勢是轉向外包。部署這些網絡的公司正選擇把VPN部署和維護工作外包給Internet服務供應商(ISP)、應用服務供應商(ASP)和其他連接供應商。外包的動因有：構建和運行全球網絡的成本問題、希望把重點放在核心能力上、改善網絡性能等等。
1．外包給企業帶來如下好處
（1）靈活性和擴充性: 需要在VPN服務中增加新站點或用戶時，只需服務供應商安裝一條帶有用戶端設備(CPE)或安全客戶端軟件的接入鏈路。服務供應商負責所需的任何站點和主干級開通工作。最優的VPN設計只需通過一條連接實現專用Intranet、半專用Extranet和公共Internet接入。這種整合能力使企業節約了成本，同時也給服務供應商帶來了優勢，因為服務供應商可以在當前專用網絡和公共網絡邊界的內部和之間低成本擴大服務。
（2）迅速部署和觸及全球：VPN 地理覆蓋范圍可以簡便地進行擴展，連接世界各地的個人和多用戶辦公室，同時支持流行的應用和協議。企業通過利用服務供應商的主干，而不是構建自己的主干網，把網絡擴展到內部有限資源之外，如Internet上。
（3）降低運營成本: 管理型端到端VPN服務可以提供全面的服務質量(QoS)和服務水平協議(SLA)性能，支持要求最苛刻的商業應用。通過利用外包合作伙伴的專業知識及專用資源，企業不必再招聘技術專家。
2．外包同樣給服務供應商帶來許多好處
（1）擴大收入來源：增加了虛擬主機、應用托管和電子商務支持等增值服務。
（2）迅速部署：由于不需改變現有的核心網絡，因此可以迅速部署新的基于CPE的服務，提高市場占有率。
（3）提供差別化服務：下一代功能如QoS和識別SLA的路由和交換技術，將給服務供應商提供競爭優勢。
（4）調整與客戶的戰略關系：由于服務供應商提供的是增值服務而不是帶寬，服務供應商和客戶將建立起長期的關系。
三、VPN涵蓋的功能和標準
由于VPN產品把機密的數據和網絡資源與不友好的網絡分隔開來，因此它在任何地方都必須像防火墻一樣強健。強大的認證、密碼、X.509v3數字證書和 ICS認證的防火墻功能確保VPN能夠保護數據的機密性。VPN安全策略是基于標準的，這些標準非常強健、穩定。
1．服務水平協議(SLA)。是端到端VPN解決方案的一種關鍵功能，它和網絡安全一樣重要。SLA提供了具體的性能標準，確保VPN能夠支持可靠的商業服務。同時，為網絡性能規劃和應用提供了寶貴的數據。SLA應涵蓋各條鏈路及所有客戶站點之間的整體性能。
2．服務質量(QoS)功能。服務質量對企業要求的優先通信和管理接入VPN至關重要。
四、選用VPN方案時應注意的問題
選用VPN方案時要注意基于用戶端的VPN服務和基于網絡的VPN服務之間的差別。前者包括CPE，實現真正的端到端安全和性能管理。后者則主要是使用服務供應商業務點(POP)中的設備開通，在最后一公里上不能提供同樣的保障。
基于用戶端的解決方案應注意以下幾個關鍵問題：
1．集中化策略管理。這是構建大規模VPN解決方案的關鍵。通過全面分布VPN配置和安全策略實現集中控制，策略管理簡化了VPN開通和管理工作。供應商網絡成為一個一體化系統，而不是不同產品拼湊在一起的集合，它能夠為網絡上任何地方的任何靈活服務集中提供支持。
2．強大的安全和認證。VPN解決方案與防火墻一樣關鍵。服務平臺應能夠緊密地與其他企業防火墻和入侵檢測系統實現同步管理。平臺中應包括一個緊密集成的經過ICSA認證的防火墻。為了實現用戶認證功能，平臺應支持SecurID令牌或X.509數字證書。應避免采用通用操作系統作為VPN設備的基礎，因為這些操作系統可能充滿了安全漏洞。
3．全面集成。由于VPN是保證商業合作伙伴和企業客戶安全通信的網絡，因此產品線中必須全面集成和管理一套互補的技術和設備。VPN可以使用專用VPN 路由器構建，也可以把VPN網關附加連接在現有的路由器上。下一代VPN路由器將是專用的，提供緊密集成的IP路由、安全、防火墻和帶寬管理功能。 VPN網關通常是一種低成本設備，它將在過去安裝的IP網絡之上，疊加提供隧道加密和防火墻服務等功能。
4．符合標準。安全VPN采用的標準是網際安全協議(IPSec)，這是一項Internet工程任務小組(IETF)標準，并不是所有供應商都部署了帶有128位IPSec加密技術的管理型VPN服務。
5．多個認證中心(CA)支持。企業不應局限于專有的認證中心(CA)或認證注冊協議，通過支持多個CA，如Entrust和VeriSign，網絡管理員可以選擇最優秀的公共密鑰基礎設施(PKI)技術。
6．硬件加速加密。執行加密和解密要求密集型處理能力，特別是在執行自動密鑰交換時。對T-3之類的高速應用，服務平臺應具有硬件加速加密功能。低速應用可以運行基于軟件的加密功能。
7．擴充能力。大多數企業面臨著不斷變化的網絡需求，包括更快速的連接和越來越多的連接位置。實現VPN解決方案后，不必更換所有硬件和軟件。VPN體系結構至少應支持數十臺VPN網關和數千個VPN客戶端。
五、構建端到端安全VPN
朗訊的安全VPN系列包括下述組成部分：
1. 策略管理。安全管理服務器(LSMS)和QVPN Builder是一種集成化集中式的VPN策略管理軟件，也是朗訊安全VPN系列的核心。LSMS為遠程接入應用而優化，可以處理公共密鑰基礎設施、接合 RADIUS和SecurID用戶認證服務器、管理VPN配置文件、防火墻規則和QoS策略定義。LSMS和QVPN Builder相集成，可以管理數百個VPN網關、Access Point、Pipeline和SuperPipe VPN路由器及數千個IPSec Client，它一次可以管理最多2.4萬條VPN隧道。
2．VPN防火墻。這為IP網絡提供了一種經濟的VPN重疊方法，包括防火墻和硬件加密服務。VPN防火墻模塊提供了專用的平臺，它采用硬件加密技術，可以保持75Mbps的3DES吞吐量，支持最多2000條同步隧道，它還支持高度機密的企業內部網使用的高級安全特性，包括ICSA認證和NSA認證的防火墻及強大的認證和接入控制功能。
3．VPN客戶端。朗訊IPSec客戶端軟件支持RADIUS或SecurID基于一次性令牌的認證系統。在IPSec客戶端連接到安全VPN系列中的任何網關時，它自動透明地認證用戶身份，執行安全策略。可以集中管理配置，確保通過LSMS嚴格地實施接入權限。
4．VPN路由器。Access Point和Pipeline/SuperPipe路由器把路由、帶寬管理、 VPN和防火墻功能融合在一個綜合服務平臺中。這些平臺可以部署在用戶端，也可以部署在服務供應商的業務點，同時為任何規模的站點間應用和遠程接入應用提供路由器和網關功能。
六、結語
從根本上看，管理型VPN服務擴大了企業控制的范圍。在混合VPN配置中，部署和管理VPN策略定義對公司過于復雜，公司不能有效地內部處理這些問題，因此外包是許多企業最好的選擇。