3、IP-VPN和远程工作

　　虚拟专用网络（VPN）是指利用电信网络链路或者共享Internet中继线来提供点对点的专用逻辑信道，以进行数据或话音通信。IP的灵活性和普遍性已经激发了许多因特网和电信网设备制造商来投入开发基于IP的虚拟专用网络（IP-VPN）设备，用以支持在宽带IP链路上传输融合的实时通信和数据业务。如图4所示，宽带IP链路可以是一个数字用户线路，一个附装在有线电视上的线缆调制解调器（CATV），一个无线的或以太网本地环路，或异步传输模式（ATM）之上的IP，或光纤激光器之上的同步光网络（SONET）等等。

　　图4 IP-VPN和VOIP解决方案

　　许多大公司都已经在内部建立起了他们的IP-VPN，从而方便他们的员工、呼叫中心代理和差旅人员的使用。基于IP-VPN的VOIP业务主要益处是能够方便远程工作者（在家或者其他地方）使用和公司中心部署的VOIP设施和服务。

　　商业级的SOHO IP-VPN设备和IP-PBX能够提供从IP网络到PSTN网络的平滑VOIP呼叫，从而使得用户能够拥有可靠服务质量的业务。同样地，本地和应急呼叫能够通过本地模拟或者BRI线路被路由到PSTN网络。这使得企业能够实现向其他端点（PSTN电话）或者公众服务接入点（PSAP）传送低成本、高效的呼叫。

　　和所有的基于IP的业务一样，通过基于Internet逻辑私有网络管道提供IP-VPN和相关业务的主要问题有两个方面：

　　a)安全性
　　b)服务质量保证

　　为了满足安全性的需求，我们需要为终端提供完善的鉴权、加密解密、隧道和防火墙机制。同样地，为了满足服务质量的需求，我们有必要对通过网络的IP分组进行接入控制和带宽分配。因此，任何实际可行的IP-VPN设备都必须同时通过嵌入的软硬件支持安全性和服务质量。

　　目前，国际互联网工程任务组（IETF）和国际电信联盟（ITU）已经制定了系列的标准和草案来实现基于IP的安全性和服务质量控制。例如：

　　a)基于PKI (Public Key Infrastructure)的数字认证，用户鉴权、授权和计费的Diameter和Radius协议等都可以用于用户和终端的鉴权。

　　b)IETF的IPSec采用了基于多路数字加密标准（DES，三重DES比较常用）的消息加密机制，通常提供128位键字（key）。

　　c)基于包头压缩和加密的点到点隧道协议（PPTP），二层隧道协议（L2TP）等提供信息隧道技术。

　　d)基于TCP/UDP端口、IP地址、协议类型、业务、接口等的分组包过滤机制、有状态的分组包检测、服务登录、网络地址转换（NAT）等机制可以被用作构建防火墙服务。

　　为了支持服务质量保证，IETF的区分服务（Diff Serv）、综合服务（IntServ）、以及结合二者优点的资源预留协议（RSVP），多协议标记交换（MPLS）已经趋于成熟。