【IT168专稿】在企业信息化时代，企业管理最关注的问题之一就是，如何更有效率地使用网络信息来为自己服务；以及如何自己的企业网络，以适应更多的用户实现任何时间、地点都能方便的访问企业信息资源，即如何实现低成本高效率的异地连接。这当中较为理想的解决方案就是采用VPN方案。
　　下面将从传统异地网络与VPN网络的优劣对比出发，为SMB提出一个较为合理的VPN解决方案，从而使SMB能在异地网络的组建中能有更多的选择。

　　一、中小企业异地网络环境分析
　　为了体现VPN网络与传统异地网络的不同特点，这里有必要先对传统的异地网络环境做简要的分析。
　　为了企业发展的需要，在企业现有内部网络的基础上，必定会考虑将这些网络应用推向公司的每一个分支机构；同时为了提高工作效率，需要让外出人员随时随地都能通过企业内部网络应用对企业的运作信息（财务信息、客户信息、物流信息等）进行查询和输入。在此种情况下，传统的解决方法就是采用长途电话与互联网络的方式。
　　我们不难发现，采用长途电话和互联网络所带给企业的困扰。首先，所有外出人员必须通过公用电话网进行与企业的通讯，这样企业的电话费用特别是出差用户的长途电话费用将是一笔不小的开支；另一方面在企业总部为了接入大量移动用户，需要购买昂贵的拨号访问服务器并租用大量多余的电话线，这类网络最典型的特点就是初期投入成本大、而且运行成本高的问题，网络结构如图1所示。
　　

图1

　　另外，将企业的内部信息网与Internet直接连接，虽然在初期投入、中期维护等方面较有优势（企业只需承担Internet接入费用即可），但互联网安全始终是一个不可解决的现实；与Internet连接，也就意味着必然要采用一套体系完善的安全方案，来解决企业内部重要信息的泄露问题，安全方案的应用同样也从另一方面增加了企业投入及维护的人力和物力。
　　
　　二、VPN网络优劣分析
　　它与传统的专网技术不同在于前者是分支机构与企业总部之间通过租用运营商长途专线构建专用网络，后者不用租用长途专线而是通过当地的电信运营商接入Internet，并利用Internet构建企业内部的虚拟专用网络，VPN网络结构如图2所示。
　　

　　图2

　　VPN网络属于一种仿物理连接的逻辑网络连接，通常这类网络连接模式没有固定的物理连接，利用的是公共网络资源。虽然利用的公共网络资源，但其却存在着与内部网络相同的安全性、易管理性和稳定性，因此其就相当于一个异地间的虚拟内部安全网络。
　　VPN网络的特点是显著的，它可对传输的数据进行加密；对传输信息和用户身份进行认证；提供访问控制，让不同的用户有不同的访问权限。而其根据连接方式的不同，通常又存在三种不同的连接形态：
　　* VPN点对点连接：主要用于企业内部网的两台主机之间的安全通信。
　　* VPN网络互联：主要用于企业总部网络和分支机构网络的内部主机之间的安全通信。
　　* VPN远程访问：主要用于远程移动用户对企业内部网的安全访问。
　　知识链接：中国电信VPN网
　　其全称为MPLS VPN，它是依托公共IP网络，采用MPLS（多协议标记交换）协议，结合服务等级、流量控制等技术，为用户在公共IP网络上构建企事业的虚拟专网，以满足不同地点分支机构间安全、快速、可靠的通信需求；并能够支持数据、语音、图像等高质量、高可靠性的多媒体业务需求。
　　
　　三、VPN具体实施介绍
　　通过以下优劣对比，相信大家已经对VPN网络的连接优势已经有所体会，那么其具体实施又该如何进行呢？下面以VPN网络互联为例介绍大致的组建过程。
　　1、硬件安装配置
　　首先是选择一台适合的VPN设备。目前可用于VPN连接的设备主要是路由器产品（如图3所示为思科-Linksys 8端口VPN 路由器），其他还包括安全周边的VPN专用防火墙等。用户在选择VPN路由器产品时，要注意产品是否与其它通过IPSec认证的厂商产品兼容；VPN加密是否安全；是否易于配置和管理；是否提供QoS保证；VPN通道的数量不要太少；能否穿透防火墙。
　　

图3

　　然后是安装。分别在企业总部网络和分支机构的Internet接入处安装VPN路由器；然后确定好用户身份认证的证书发放方式，通常有文件方式发放和口令保护的USB KEY方式两种；如果还有移动用户的VPN接入需求，只需在移动计算机上安装相应的VPN软件即可。
　　2、IP地址规划
　　完成VPN系统的物理连接后，接下来考虑的就是网络IP地址问题。我们都知道，网络访问特别是异地的网络访问，IP地址的规划是相当重要的。鉴于对VPN网络适应性的考虑，可采用如下表所示来规划整个VPN网络的IP地址方案：
　　单位         IP地址         　　　　      说    明   
　　总部     　192.168.0.xx         总部规划一个C类网络
　　分支机构 192.168.xx.yy        每个分支机构规划一个C类网络
        　　　　 xx 从1顺序增加 

　　3、实施访问
　　当VPN系统组建完成后，所有的网络访问都可通过此IP地址方案来完成。比如异地机构直接在浏览器输入“http://192.168.0.1”即可访问总部的Web服务器。再通过总部VPN网络的用户认证，即可访问具体的内部信息。
　　
　　VPN 技术在IP 传输上通过加密隧道，在用公网传送内部专网的内容的同时，保证内部数据的安全性，从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。
　　投入成本低、安装实施较为方便而且安全性较高是此类网络最主要的特色。因此，此类网络结构可广泛适用于中小企业、教育机构、大型企业重要部门、电信行业、ISP及大型国际公司、电子商务应用、物流公司等环境。