随着业务的快速发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式已难以适应现代企业的需求。于是企业对网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(×××)以其独特的优势赢得了越来越多的企业的青睐,让企业用户可以不用过多地关注网络的运行与维护,更多地致力于企业商业目标的实现。 什么是虚拟专用网 

  ×××这个词,大家或许经常听说,但恐怕真正了解的并不多,而实际上,在网络界它的名声远扬并已广泛应用于企业、政府、金融等各个行业。 
  ×××的英文全称是“Virtual Private Network”,即虚拟专用网络,顾名思义,我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议,在连接于Internet上的位于不同地方的两个或多个企业内部网之间建立一条专用的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正地去铺设光缆之类的物理线路(图1)。而且相对Internet这个全球性和开放性的、不可管理的国际互联网络,×××最大的优势在于企业用户拥有高度控制性,尤其是基于安全基础上的控制。一个内部×××能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全架构,集成和协调现有的内部安全技术。 



根据不同技术协议标准和应用范围,×××分为MPLS ×××VPDNIPsec ×××SSL ×××等几种类型。目前比较常见的×××应用形式包括有企业内部网的连接、企业外部网的连接以及移动工作者到企业的连接,企业实施加密的×××接入主要采用后两种方式,即 IPSec ×××SSL ×××(图2)。 



IPSec ×××SSL ×××在不同领域各有优势,在实施固定点到点的×××和复杂应用的移动用户接入××× 时,一般采用IPSec ×××技术,而在实施普通应用的移动用户接入××× 时,通常采用SSL ×××技术。单就技术角度而论,IPSec ×××的安全性要高于SSL ×××。在具有较多连接的IPSec ×××系统中,如果存在着安全性较低的传输端点,那么整个×××系统的安全性都要受到威胁。例如,一个企业的子公司网络被***者***之后,通向总公司的×××连接就为***者提供了一条访问路径,而且该路径可以直接穿透总公司的防火墙等安全设施。 
  要指出的是,无论采用哪种技术方式,都可以满足企业的需要,这不仅能为企业的员工、合作伙伴等提供对内网资源的安全远程访问,同时也可以消除因为远程用户客户端的维护等带来的诸多不便。目前,国内外的网络设备商都相继推出了自己的×××产品,其中包括思科(Cisco)、华为、ArrayNetworksF5、天融信等著名设备供应商,产品的形式有的是单独的×××网关,有的是和其它安全产品整合在一起的,如和防火墙集成在一起。 
×××为企业用户带来竞争力 
  对企业而言, ×××技术最吸引人的就是能够节约成本,这也是×××取胜传统专线网络的关键所在。据行业调查公司的研究报告显示,相比采用租用传统专线远程接入服务器的企业,拥有×××的企业能够节省30%70%的开销,开销的降低发生在移动通讯费用、专线费用、设备投资、支持费用这4个领域。 
  另一方面,安全性增强也是×××的一大优势。目前×××主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication),它们增强了网络的智能化和安全性。同时,对于采用拨号方式建立×××连接的情况,×××连接可以实现双重数据加密,使网络数据传输更安全。另外,可以使用×××连接通过×××服务器将具有高度敏感数据的服务器物理进行分隔,只有企业内部网上拥有适当权限的用户才能通过远程访问建立与×××服务器的×××连接,并且可以访问部门网络中受到保护的数据资源。 
  ×××还让企业管理者能突破了地域限制。基于×××采用互联网为通讯介质的特性,意味着它的扩展能力十分巨大。可以说,它能使分布在全国各地甚至世界各地的企业分支机构员工、长途旅行的工作人员有效掌握企业内部咨询,使得与合作伙伴、客户之间的联系更加紧密。而且如果企业想扩大×××的容量和覆盖范围,企业须做的事情很少,而且能及时实现,因为这些工作都可以交由专业的NSP(网络服务提供商)来负责,从而可以保证工程的质量,省去一大堆麻烦。 
×××的软硬之争 
  在×××领域,一直存在软件和硬件的口水战。硬件×××的支持者批评软件产品在安全性方面存在问题,而软件×××的支持者认为硬件产品在使用和升级上不方便。 
  与防火墙产品类似,硬件×××设备能够提供较好的性能表现,适用于性能要求较高的场合,尤其在远程维护方面,大多数硬件×××产品都可以通过TelnetWeb方式远程登录并进行控制。不过这种硬件方案非常贵,价格从几万元到10多万元不等。而软件×××方案最大的优势是建立成本相对要低,而且拥有极高的灵活性,缺点是软件×××维护起来相当麻烦,网络管理员不但要维护×××软件,还要考虑病毒、恶意***及相关设备的软、硬件冲突导致系统平台不稳定的因素出现,同时软件×××的性能在很大程度上取决于所应用的硬件平台。 
  因此在较大规模的应用环境中,更适合采用基于硬件的×××解决方案。如果网络规模不大,选择面向中小企业或小型办公室的软件×××产品比较合适,这种×××软件多集成于防火墙或路由器中,性价比非常高,且支持多种宽带接入方式,还提供了方便的管理工具,支持主流的×××协议,如NETGEAR FVL328NetScreen-50Vigor 2300等。 
  当然,最终如何选择企业要根据自身的情况而定。在很多情况下软硬件结合的×××方案能更好地满足用户的要求,以现有网络设备为基础,再配以适当的××× 软件来实现×××功能。下面我们以世界文字运算编码(中国)有限公司的×××方案为例进行分析,或许能对大家有所启示。 
×××典型应用案例分析 
  世界文字运算编码(中国)有限公司的总公司设在北京,分公司在香港、上海、广州、深圳、南宁、苏州、重庆。目前公司总部通过100Mbps 宽带接入方式接入Internet,各地分公司通过ADSL拨号方式或者宽带接入Internet,分公司要实时将信息传送到公司总部,总部也要将反馈的信息实时向分公司下发。现在公司的情况是:总部通过光纤接入互联网,内部实现办公自动化和WebE-Mail 等服务,其它各分公司与总部的信息交流主要是通过邮件来实现,现在无法实现办公自动化、Web 等服务。为实现办公自动化、内部WebE_Mail服务,能实时地与各地分公司互联,因此公司高层提出网络互联及网络安全的需求,希望在总公司与分公司之间建立×××连接,以达到以下目的: 
总公司与分公司之间能以安全、稳定、成本低廉的×××连接; 
●1个中心节点与30个分节点进行安全互联,加密要求:商业机密,处理速度:10Mbps 以上,要求支持动态IP 地址; 
通过×××传输实现语音传输,不受网络营运商对VoIP服务的限制; 
总部的网络联机必须支持多个WAN,以同时满足×××及内部上网带宽的需求; 
●×××设定容易,可由分公司人员自行设置。 




基于以上这些需求,总公司要求使用一条10MB光纤,配合两条ADSL电话线联机,而分公司以一条ADSL电话线作为联机的基础。在设备上,总公司使用QVM1000产品,可支持3WAN口和13LAN口,连接一条10MB光纤和两条ADSL线缆,使用两条ADSL联机是为方便选择不同的网络营运商服务,以避免单一营运商掉线的风险。未来连接WAN的数量还可根据带宽需要,增加光纤或ADSL联机。 
  分公司则采用QVM330 ×××路由器,具有两个网络接口,一个用于内网,一个通过ADSL线缆对外连接使用,各地分公司选择不同的网络营运商的线路,×××联机采用IPSec协议,以保证联机的安全性(图3)。总公司与各分公司的×××设定,通过侠诺专有的SmartLink功能进行,网管人员只要将设备寄到分公司,并提供总公司的×××闸道IP、用户名及密码,即可由具有一般计算机操作能力的用户完成设定。在外出差或想要连接总公司或分公司内部网的用户,可使用操作系统内建的PPTPIPSec应用软件,由网管人员代为设定,即可在出差时利用互联网与公司内部网联接。同时,为了确保VoIP及视频会议的服务水准,还可使用QVM系列产品中的QoS(服务品质)功能,限制上网或下载文件占用的带宽,提供比稳定的语音及影像传输服务。 
  本应用案例其实就是目前国内较为典型的×××网络连接架构,总公司具有固定真实的IP,各地分公司采用多种接入方式接入Internet,通过×××网关在Internet 上构建起了企业内部虚拟专用网络。 
  总结:×××之所以受到欢迎,主要原因是采用这种网络连接方式后,企业用户可以节省长话费、网络设备运行和维护费,而且具有连接快速、WAN连接管理方便的优势,这样企业用户就不必花较多的精力关注网络运行和维护了,可以更多地致力于企业商业目标的实现。