虚拟专用网络（VPN：Virtual Private Net）可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

　　企业通常可以采用以下两种方式使用VPN连接远程局域网络。1.使用专线连接分支机构和企业局域网，不需要使用价格昂贵的长距离专用电路；2.使用拨号线路连接分支机构和企业局域网，分支机构端的路由器可以通过拨号方式连接本地ISP。

　　纵观VPN技术的发展，我们可以看到，安全与服务质量是VPN的技术保障，企业用户的需求推动IPSec VPN的广泛应用，运营商则大力建设MPLS VPN，使得未来中国的VPN技术发展更加具多样性、灵活性，技术服务与需求趋向紧密结合。

　　一、安全协议构筑VPN的首要特性

　　随着因特网的快速发展，近几年不断出现了一些新的网络协议，包括点对点隧道协议（PPTP）、第2层隧道协议（L2TP）、安全IP（IPSec）协议等。其中PPTP协议允许对IP，IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送；L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM；IPSec协议允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。

　　VPN利用各种安全协议，在公众网络中建立安全隧道，提供专用网络的功能和作用。VPN隧道技术分别以第2层或第3层隧道协议为基础。第2层隧道协议对应OSI模型中的数据链路层，使用帧作为数据交换单位。PPTP，L2TP和L2F都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPoverIP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。

　　一个安全的VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN；必须能够提供审计和记费功能，显示何人在何时访问了何种信息；VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性；对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息；VPN方案必须能够生成并更新客户端和服务器的加密密钥；VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。在保证服务质量的同时，安全是VPN的首要特性。

　　二、IPSec VPN方兴未艾

　　IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSEC使用验证包头（AH）提供验证来源验证（source authentication），确保数据的完整性；IPSec使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。在IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。

　　IPSec位于TCP/IP协议栈的下层。该层由每台机器上的安全策略和发送、接受方协商的安全关联（security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址，协议，和端口号满足一个过滤机制，那么这个数据包将要遵守关联的安全行为。

　　通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSEC验证包头不提供数据加密；信息将以明文方式发送。为了保证数据的保密性并防止数据被第3方窃取，封装安全负载（ESP）提供了一种对IP负载进行加密的机制。另外，ESP还可以提供数据验证和数据完整性服务；因此在IPSec包中可以用ESP包头替代AH包头。

　　为实现在专用或公共IP网络上的安全传输，IPSec隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理，在去除明文IP包头，对内容进行解密之后，获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

　　IPSec隧道模式具有以下特点：只能支持IP数据流；工作在IP栈（IPstack）的底层，因此，应用程序和高层协议可以继承IPSEC的行为；由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。

　　目前防火墙产品中集成的VPN多为使用IPSec 协议，在中国其发展处于蓬勃状态。

转载地址:http://www.voipchina.cn/technology/2004-03-20/36497.shtml