虛擬專用網（VPN）以其獨具特色的優勢，贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，更多地致力于企業商業目標的實現。

虛擬專用網（VPN）代表了當今網絡發展的最新趨勢，它綜合了傳統數據網絡的性能優點（安全和 QoS）和共享數據網絡結構的優點（簡單和低成本），能夠提供遠程訪問，外部網和內部網的連接，價格比專線或者幀中繼網絡要低得多。而且，VPN在降低成本的同時滿足了對網絡帶寬、接入和服務不斷增加的需求，因此，VPN必將成為未來企業傳輸業務的主要工具。

VPN是利用公網來構建專用網絡，它是通過特殊設計的硬件和軟件直接通過共享的IP網所建立的隧道來完成的。我們通常將 VPN當作 WAN解決方案，但它也可以簡單地用于 LAN。VPN類似于點到點直接撥號連接或租用線路連接，盡管它是以交換和路由的方式工作，如圖所示。許多企業擔心在共享的 IP網絡上傳輸的敏感數據會被網絡黑客截獲甚至修改。因此，在大多數情況下，在VPN上傳輸的數據流是經過加密處理的。使用VPN，企業內部資源享用者只需連入本地ISP的POP（介入服務提供點）即可相互通信。而利用傳統的WAN組網技術，彼此之間要有專線相連才可達到相同目的。有研究機構表明，如果企業采用VPN替代租用DDN專線，其整個網絡的成本可節約21%-45%，若替代撥號連網方式，可節約通信成本50%-80%，VPN的優勢顯而易見。

VPN公網開“隧道”

VPN的核心是被稱為“隧道”的技術。隧道允許 VPN的數據流被路由通過 IP網絡而不管生成該數據流的是何種類型的網絡或設備。從這個意義上說，VPN的操作獨立于其他的網絡協議，隧道內的數據流可以是IP、IPX、AppleTalk或其他類型的數據包。

隧道技術的核心是隧道協議。由 3Com公司和 Microsoft公司合作開發的點對點隧道協議 (PPTP)是第一個廣泛使用來建立 VPN的協議。目前，Windows 95、98和 NT 4.0都支持 PPTP，這就使絕大多數的桌面計算機可以初始化一個 VPN。PPTP可以將其他類型協議的數據包提取出來，然后封裝在一個PPTP包中，這樣就可以支持客戶機 - LAN（例如：移動用戶到園區 LAN）和 LAN - LAN（例如：銷售機構到園區 LAN）兩種隧道。

VPN改造企業網
Internet服務提供商（ISP）和企業將是VPN的直接受益者。ISP將VPN作為一項增值業務推向企業，并從企業得到回報。因此，VPN的最終目的是服務于企業，為企業帶來可觀的經濟效益，為現代化企業的信息共享提供安全可靠的途徑。

對于ISP來說，VPN提供了巨大商機。通過向企業提供VPN增值服務，ISP可以與企業建立更加緊密的長期合作關系，同時充分利用現有網絡資源，提高業務量。事實上，VPN用戶的數據流量較普通用戶大得多，而且時間上也是相互錯開的。VPN用戶通常是上班時間形成流量高峰，而普通用戶的流量高峰則在工作時間之外。同時，VPN使ISP能夠經濟地維持開發客戶群、增加利潤、提供增強服務，如視頻會議、電子商務、IP電話、遠程教學、多媒體商務應用等等。

對于企業來說，VPN改造了傳統的企業網，為企業進一步發展提供了可靠的技術保障。

VPN實現網絡安全

具有高度的安全性，對于現在的網絡是極其重要的。新的服務如在線銀行，在線交易都需要絕對的安全。VPN以多種方式增強了網絡的智能和安全性。首先，它在隧道的起點，在現有的企業認證服務器上，提供對分布用戶的認證。另外，VPN支持安全和加密協議，如 Secure IP (IPsec)和 Microsoft點對點加密 (MPPE)。

IPsec所提供的安全是基于標準和可互操作的；MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進行安全的通信。MPPE加密確保了數據的安全傳輸，并具有最小的公共密鑰開銷。

簡化網絡設計

網絡管理者可以使用VPN替代租用線路來實現分支機構的連接。這樣就可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小，僅此一點就可以極大地簡化企業廣域網的設計。另外，VPN通過撥號訪問來自于 ISP或 NSP的外部服務，減少了調制解調器池，簡化了所需的接口，同時簡化了與遠程用戶認證、授權和記賬相關的設備和處理。

降低成本

許多技術承諾可以降低成本，但 VPN降低成本的方法是立即且顯著的，它可以降低：

移動用戶通信成本：VPN可以通過減少長途費或800費用來節省移動用戶的花費。

租用線路成本：VPN可以以每條連接 40%到 60%的成本對租用線路進行控制和管理。對于國際用戶來說，這種節約是極為顯著的。對于話音數據，節約金額會進一步增加。

主要設備成本：VPN通過支持撥號訪問外部資源,使企業可以減少不斷增長的調制解調器費用。另外，它還允許一個單一的 WAN接口服務多種目的，從分支網絡互連、商業伙伴的外連網終端，本地提供高帶寬的線路連接到撥號訪問服務提供者。因此，只需要極少的 WAN接口和設備。由于 VPN是可以完全管理，并且能夠從中央網站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網絡接口所需的設備上的開銷。另外，由于 VPN獨立于初始的協議，這就使得遠端的接入用戶可以繼續使用傳統的設備，保護了用戶在現有硬件和軟件系統上的投資。

容易擴展

如果企業想擴大VPN的容量和覆蓋范圍，只需與新的ISP簽約，建立賬戶；或者與原有的ISP重簽合約，擴大服務范圍。在遠程辦公室增加VPN能力也很簡單：幾條命令就可以使Extranet路由器擁有Internet和VPN能力，路由器還能對工作站自動進行配置。

易于建立商業伙伴

在過去，企業如果想與合作伙伴聯網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協商已毫無必要，真正達到了要連就連、要斷就斷。這樣就可以迅速捕捉商業機會，建立可靠的商業伙伴關系。

完全控制主動權

VPN使企業可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。比方說，企業可以把撥號訪問交給ISP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

支持新興應用

許多專用網對于許多新興應用準備不足，如那些要求高帶寬的多媒體和協作交互式應用。VPN則可以支持各種高級的應用，如IP語音，IP傳真，還有各種協議，如RSIP、IPv6、MPLS、SNMPv3等。

VPN自建外包總相宜

由于VPN低廉的使用成本和良好的安全性，許多大型企業及其分布在各地的辦事處或分支機構成了VPN順理成章的用戶群。對于那些最需要VPN業務的中小企業來說，一樣有適合的VPN策略。當然，不論何種VPN策略，它們都有一個基本目標：在提供與現有專用網絡基礎設施相當或更高的管理性、可擴展性以及簡單性的基礎之上，進一步擴展公司的網絡連接。

大型企業自建VPN

大型企業用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設備安裝在其總部和分支機構中，將各個機構低成本而安全地連接在一起。

企業建立自己的VPN，最大的優勢在于高控制性，尤其是基于安全基礎之上的控制。一個內部VPN能使企業對所有的安全認證、網絡系統以及網絡訪問情況進行控制，建立端到端的安全結構，集成和協調現有的內部安全技術，例如PKI。而且，企業還可根據用戶的需要來調整Internet的費用、覆蓋面以及連接速度。

企業還可以確保得到業內最好的技術以滿足自身的特殊需要，這要優于ISP所提供的普通服務。而且，建立內部VPN能使企業有效節省VPN的運作費用。企業可以節省用于外包管理設備的額外費用，并且能將現有的遠程訪問和站到站的網絡集成起來，以獲取最佳性價比的VPN。

雖然VPN外包能避免技術過時，但并不意味著企業可以節省開支。因為，企業最終還要為高額產品支付費用，以作為使用新技術的代價。雖然VPN外包可以簡化企業網絡部署，但這同樣降低了企業對公司網的控制等級。網絡越大，企業就越依賴于外包VPN供應商。因此，自建VPN是大型企業的最好選擇。

中小型企業外包VPN

雖然每個中小型企業都是相對集中和固定的，但是部門與部門之間、企業與其業務相關企業之間的聯系依然需要廉價而安全的信息溝通。在這種情況下，VPN同樣非常重要。但是，如果讓中小型企業購買VPN設備，財務成本較高。因此，對IT人員短缺、技能水平不足、資金能力有限、不足以支持VPN的中小型企業來說，外包是最好的選擇。

首先，VPN外包比企業自己動手建立VPN要快得多，也更為容易。

另一方面，外包VPN的可擴展性很強，易于企業管理。有統計表明，使用外包VPN方式的企業，可以支持多于2300名用戶，而內部VPN平均只能支持大約150名用戶。而且，隨著用戶數目的增長，對用于監控、管理、提供IT資源和人力資源的要求也將呈指數增長。因此，VPN外包無疑是一種極具吸引力的方式。

另外，對可擴展性、冗余性、可靠性和管理性來說，企業VPN必須將安全和性能結合在一起，然而，實際情況中兩者不能兼顧。例如，對安全加密級別的配置經常降低VPN的整體性能。而通過提供VPN外包業務的專業ISP的統一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業進行VPN決策。

對服務水平協議（SLA）的改進和服務質量（QoS）保證，為企業外包VPN方式提供了進一步的保證。SLA可以提供網絡可用性、包丟失以及數據流的傳輸速度等方面的保證，并在不能滿足時，自動將其歸入企業賬戶。

VPN目前正處在完善的過程中，今后的發展主要體現在以下幾個方面:

擴充網絡裝置

在今后幾年內，VPN將增加目錄服務器，即裝載最終用戶建檔和網絡配置數據的存儲庫。它將作為一個獨立平臺放置在企業網上，并放置在由VPN實施控制的公網的某一部分(例如公共目錄服務器可以裝在ISP的數據中心或電信公司的網絡操作中心)。這樣，企業網能夠很容易地擴展到公網，從而消除過去公網和專網之間截然分開的界線。

移動和遠程用戶接入管理

隨著商務交往的增多，越來越多的用戶將要求在任何時間、任何地點接入VPN，因而移動和無線接入方式將成為未來VPN的一個顯著特征。所以，一些廠商，如微軟、高通、英國電信和諾基亞等目前都在從事這方面的軟件開發工作。

QoS有待提高

加密是QoS中的美中不足之處。當傳輸流被加密后，由于標記QoS的比特不能為網絡路由器所讀取，因此，QoS很難得到保證。這個問題在IPv6中通過增加包括QoS信息的額外的非加密包頭域得到了解決，這些信息可以為任何路由器所讀取。然而，IPv6還需要得到廣泛應用。

互操作性懸而未決

由于廠商設備間的互操作性問題，使用IPSec 中所規定的Internet IKE認證協議的工具，一般不能很好地工作，除非用戶在每個節點上都使用同一家公司生產的設備。但是，由于財務、后勤等各種原因，要想讓你的業務合作伙伴安裝相同廠商生產的設備是很難的。所以,用戶都指望Window 2000解決互操作的問題，現在看來，VPN客戶端可以運作在window 2000上，這樣供應商就可以建立這樣的客戶終端和其網關之間的互操作性。但是，Window 2000并沒有完全實現IP Security，比如它使用的L2TP和IP Security的通道是完全不一樣的。

除了VPN技術上的一些主要問題外，廠商仍在對一些細節問題進行研究。分發VPN客戶機軟件，并保持成千上萬個遠程接入用戶用的是相同的軟件版本，是在使用VPN時的一個挑戰。而且，如何在保持成千上萬加密對話進行的同時，不斷更換加密密鑰也是廠商和標準組織仍在努力解決的問題。

【編輯推薦】

1. VPN（虛擬專用網）學習
2. 虛擬專用網