虚 拟 专 用 网（VPN） 是 由 在 公 用 网 上 提 供 安 全 路 径 的 一 些 路 由 器 及 防 火 墙 组 成， 但 下 一 代VPN 的 概 念 有 所 不 同， 它 还 包 括 网 络 设 计 策 略。 为 此， 下 一 代 的VPN 要 求 设 计 师 不 仅 要 仔 细 研 究VPN 的 每 一 个 技 术 细 节， 而 且 要 有 宏 观 意 识。
　　
　　----目 录 服 务
　　
　　----下 一 代VPN 的 最 为 主 要 的 部 件 是 目 录 服 务 器， 主 要 用 于 存 放 端 用 户 的 信 息 及 网 络 配 置 数 据， 目 录 服 务 器 决 定 了 未 来VPN 的 发 展 方 向， 它 既 可 以 运 行 于 由VPN 提 供 控 制 的 公 用 网 的 某 一 部 分， 也 可 以 作 为 运 行 于 公 司 网 络 的 一 个 平 台。VPN 的 设 备 与 内 容 都 可 在 专 用 网 与 公 用 网 上 进 行 复 制， 公 司 的 网 络 可 以 横 跨 网 络 公 共 服 务 设 施， 因 此， 传 统 公 用 网 与 专 用 网 的 界 线 已 经 变 得 模 糊。
　　
　　----VPN 的 这 一 变 化 直 接 影 响 了 它 的 设 计， 为 此 网 络 设 计 师 必 须 生 成 一 个 逻 辑 与 物 理 目 录 服 务 器， 该 服 务 器 既 可 设 置 于 公 司 的 一 端， 也 可 设 置 于 电 话 公 司 的NOC 处， 且 有 防 火 墙 的 保 护。 但 是 该 设 计 的 最 大 缺 点 是 单 点 故 障， 另 外， 这 种 多 个 地 点 使 用 的 目 录 服 务 器 在NOC 端 做 镜 像， 虽 然 提 供 了 物 理 与 逻 辑 的 冗 余 备 份， 但 却 给 黑 客 提 供 了 攻 击 的 机 会。
　　
　　----这 种 使 用 网 络 目 录 的 方 式 也 改 变 了 传 统 网 络 的 访 问 点， 与 路 由 器 不 同 的 是， 这 些 载 有 整 个 公 司 用 户 相 关 资 料 及 网 络 配 置 的 目 录 应 置 于 用 户 或 网 络 运 行 中 心NOC 的 安 全 区 内。 该 安 全 区 是 进 一 步 开 发VPN 的 基 础， 它 主 要 由 策 略 服 务 器 与 认 证 服 务 器 组 成。 策 略 服 务 器 根 据 公 司 的 规 则 制 定 访 问 策 略， 认 证 服 务 器 则 负 责 公 共 密 钥 的 认 证 及 其 他 有 关 安 全 任 务， 另 外，VoIP 网 关 也 置 于 上 述 安 全 区 内。 网 络 如 果 具 有 了 上 述 安 全 机 制、 网 络 目 录 及QoS 的 保 证， 那 么 端 用 户 就 可 以 建 立 用 于 远 程 教 育、 远 程 医 疗 及 虚 拟 会 议 的VPN 连 接 了。
　　
　　----实 现QoS
　　
　　----实 现 上 述VPN 仍 有 许 多 工 作 要 做， 首 当 其 冲 的 是 要 解 决 服 务 质 量QoS 问 题。 基 于 策 略 的 网 络 提 供 这 样 一 种QoS 方 案， 策 略 服 务 器 装 载 有 关 应 用 及 网 络 资 源 的 信 息， 动 态 地 确 定 端 用 户 如 何 访 问 应 用 程 序。IPv6 是 人 们 多 年 来 努 力 的 结 果， 其QoS 的 实 现 是 通 过 将IPv6 的 信 息 包 定 义 为 不 同 级 别 的 信 息 流。 例 如， 可 将 实 时 多 媒 体 的 演 示 定 义 为 具 有 最 高 级 别 的 信 息 流。 须 注 意 的 是， 由 于QoS 要 求 提 供 跨 越LAN 与WAN 的 端 对 端 的 服 务， 因 此 增 加 了 问 题 的 复 杂 性： 网 络 设 计 人 员 必 须 了 解 每 个 公 司 的 网 络 在 何 处 结 束， 公 用 网 的VPN 又 从 何 处 开 始。 因 此， 要 求 网 络 设 计 师 要 予 以 规 划、 区 分 不 同 系 统 间 的 各 种 进 程 流 及 每 个 公 司 各 拥 有 哪 些VPN 部 件 等。
　　
　　----高 速 主 干 网 上 真 正 实 现QoS 还 有 很 多 工 作 有 待 完 成。 因 此， 某 些ISP 也 在 寻 找 使 用 传 统 网 关 在 传 统 公 用 网 与IP VPN 之 间 进 行 传 输 的 办 法 来 将QoS 提 供 到 桌 面。 这 里 的 问 题 是， 当 端 用 户 退 出 某 一 特 定 电 话 公 司 的VPN 时，QoS 的 保 证 也 将 丢 失。 另 一 个 问 题 是， 如 何 对 那 些 跨 越 多 个VPN 的 信 息 包 进 行 跟 踪 与 收 费， 因 为 人 们 开 发 这 种 软 件 将 耗 费 大 量 的 人 力 与 财 力， 甚 至 得 不 偿 失。 此 外，ISP 还 应 考 虑 计 费 的 可 行 性， 例 如 由 谁 结 算 账 单 等， 所 有 这 些 问 题 都 有 待 于 下 一 代VPN 来 解 决。
　　
　　----安 全 性
　　
　　----安 全 是VPN 的 核 心 问 题。 目 前，VPN 的 安 全 保 证 主 要 是 通 过 使 用 防 火 墙 技 术、 路 由 器 并 配 之 以 网 络 隧 道（Tunnels）、 加 密 协 议 及 安 全 密 钥 实 现， 这 些 足 以 保 证 移 动 端 用 户 及 远 程 用 户 安 全 地 访 问 公 司 网 络。
　　
　　----由 于 这 一 方 法 需 要 所 有 的 设 备 都 必 须 使 用 相 同 的 安 全 协 议， 因 此 它 的 实 现 是 非 常 困 难 的。 另 外， 认 证 与 访 问 工 作 也 都 须 由 公 司IT 部 门 的 一 个 中 心 设 备 所 管 理， 因 此 也 排 除 了 用 户 动 态 请 求 加 入VPN 的 可 能， 而 该 项 功 能 又 是 外 部 网 所 必 需 的， 这 样， 随 着 用 户 的 退 出、 加 入 等 变 动 的 增 加， 其 维 护 开 销 也 将 增 大。
　　
　　----上 述 方 法 将 被 一 种 灵 活 的、 可 伸 缩 性 的、 并 具 有 互 操 作 性 的 安 全 服 务， 如PKI( 公 共 密 钥 结 构) 及IKE（ 因 特 网 密 钥 交 换） 所 取 代。PKI 允 许 端 用 户 使 用 从 有 关 权 威 部 门 获 得 的 公 用 及 专 用 密 钥 在 因 特 网 上 加 密 与 交 换 信 息。 目 前，ITU T 的X.509 标 准 已 成 为 公 认 的 构 建 上 述 结 构 的 基 础， 并 用 以 定 义 经 由 认 证 部 门 签 署 的 有 关 公 共 密 钥 的 过 程 及 数 据 格 式。 权 威 认 证 中 心(CA) 发 放 和 管 理 用 于 信 息 加 密、 解 密 的 安 全 证 与 公 用 密 钥。 作 为PKI 的 一 部 分，CA 在 核 实 登 记（RA） 后 确 认 端 用 户 提 交 的 信 息。 如 果RA 符 合 验 证， 则CA 为 端 用 户 颁 发 访 问 应 用 程 序 及 建 立 安 全 会 话。
　　
　　----目 前，IETF 正 在 研 究PKI 的 简 化 版 本SPKI， SPKI 将 简 化 目 前 所 使 用 的 层 次 验 证 机 制。

转载地址：http://www.netsp.com.cn/Article/netsafe/VPN/200506/20050601121200.html