虚拟私有网（ VPN）技术及其应用

深圳华为技术有限公司 北京研究所 王盛

摘要：本文通过对 VPN 技术的介绍，阐述了 VPN 技术在应用方面的优势，同时结合华为公司的接入服务器，对 VPN 的功能进行了说明。

VPN 概要和技术：

VPN 概述：

　　虚拟私有网（ Virtual Private Network ,VPN ），又称虚拟私有拨号网（ Virtual Private Dialup Network ,VPDN ），是近年来随着 Internet 的发展而迅速发展起来的一种技术。现代企业越来越多地利用 Internet 资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用 Internet 来替代它们私有数据网络。这种利用 Internet 来传输私有信息而形成的逻辑网络就称为虚拟私有网。

　　虚拟私有网实际上就是将 Internet 看作一种公有数据网（ Public Data Network ），这种公有网和 PSTN 网在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。

　至于“虚拟”，则主要是相对现存企业 Intranet 的组建方式而言的。通常企业 Intranet 相距较远的各局域网都是用 PSTN 物理线路相连的，而虚拟私有网提供的是 Internet 上的虚拟链路。

　这种利用 Internet 来组建私有网的方式对 Internet 服务提供商（ ISP ）和 VPN 用户都是有益的。

　无庸置疑， ISP 的利润大量来自于企业用户。通过向企业提供 VPN 服务， ISP 可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上， VPN 用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。 VPN 用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。 ISP 对外提供两种服务，资源利用率和业务量都会大大增加。

　而对于 VPN 用户而言，利用 Internet 组建私有网，将大笔的专线费用缩减为少量的市话费用和 Internet 费用，无疑是非常有吸引力的。如果愿意，企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的 ISP 来完成。

　正由于其强大的吸引力， VPN 在全球发展得异常红火，在北美和欧洲， VPN 已经是一项相当普遍的业务；在亚太地区，该项服务也迅速开展起来。著名的网络提供商 Global One 在香港地区的 VPN 服务已经大规模开通。而在中国大陆，网络服务提供商也开始设立 VPN 服务。

2 、 VPN 的基本技术

以某企业为例，通过 VPN 建立的企业内部网图示如下：

　　图中可以看到，企业内部资源享用者通过 PSTN 网连入本地 ISP 的 POP （ Point of Presence ）服务器，即可相互通信，而利用传统的 WAN 组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户甚至不必拥有本地 ISP 的上网权限就可以访问企业内部资源。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。

　　企业开设 VPN 服务所需的设备很少，只需在资源共享处放置一台 VPN 的服务器（如一台 Windows NT 或支持 VPN 的路由器）就可以了。资源享用者通过 PSTN 连入本地 POP 服务器后，直接呼叫企业的远程服务器（ VPN 服务器）。呼叫的方式和拥有 PSTN 连接的呼叫方式完全是一样的，剩下的工作就完全由 ISP 的接入服务器（ Access Server ）来完成。

　　下面简要说说 ISP 是如何完成这个任务的。

Figure 2

NAS （ Network Access Server, 网络接入服务器）主要使用了一种称之为 tunneling 的技术。这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。上图中，用户通过 PSTN 网拨入 ISP 的 NAS 服务器， NAS 服务器通过用户名或接入号码识别出该用户为 VPN 用户后，就和用户的目的 VPN 服务器建立一条连接，称为隧道，然后将用户数据包封装成 IP 报文后从该隧道传送给 VPN 服务器， VPN 服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理，使 Internet 上的其他用户无法读取，因而是安全可靠的。对用户来说，隧道是其 PSTN 链路的逻辑延伸，操作起来和存在物理链路相同。

　　支持这种 tunneling 技术的 NAS--VPN Server 间协议主要有三种。一种是微软、 Ascend 、 3COM 等公司支持的 PPIP （ Point to Point Tunneling Protocol ，点对点通道协议），在 Windows NT 4.0 以上版本中即有支持。另一种是 Cisco 北方电信等公司支持的 L2F （ Layer 2 Forwarding ，二层转发协议），在 Cisco 路由器中有支持。而由 IETF 起草，微软 Ascend 、 Cisco 、 3COM 等公司参予的 L2TP （ Layer 2 Tunneling Protocol ，二层通道协议）结合上述两个协议的优点，为众多公司所接受，相信各公司的新产品都会对它进行支持。

　　由于传输的是私有信息， VPN 用户对数据安全性比较关心，下面就这个问题略加说明。在数据传输过程中，用户和他的 VPN 服务器之间可以协商数据加密传输。加密之后，即便是 ISP 的 NAS ，也无法看到数据包的内容。而且即使是用户不对其数据加密， NAS 和 VPN 服务器建立的隧道两侧也可以协商加密传输，使得 Internet 上的其他用户无法看到隧道中传输的数据信息。因此 VPN 服务的安全性是完全可以放心的。

A8010 的 VPN 功能

　　深圳市华为技术有限公司新研制的接入服务器 A8010 是一种高性能、大容量的接入服务器。 A8010 的 VPN 功能也是非常丰富的，具体表现在它的多协议，多接入方式，业务开设和使用简单，支持多种新业务以及安全可靠等方面。

1 、多协议：

A8010 的 VPN 支持全部 PPTP 、 L2F 和 L2TP 三种协议。 PPTP 的 VPN 服务器对象主要是 Windows NT 。小型企业利用 Windows NT 作为 VPN 服务器，不用另购支持 VPN 的路由器。操作也很简单，用户管理直接在 Windows NT 上完成。 L2F 的 VPN 服务器对象则主要是 Cisco 路由器。 Windows NT 作为 VPN 服务器对于大型企业而言，接入带宽不够，用户管理也不够安全，而用路由器配备 Radius 服务器来作 VPN 服务器，则能满足要求。而 L2TP 作为更优更新的标准，必为更多的设备所支持，将是使用最广泛的 VPN 协议。

Figure 3

　　多种 VPN 协议提供给用户足够的选择余地，而且协议的选择也非常的简单，只需在开设 VPN 业务时说明其 VPN 服务器类型及选择的协议。企业可以有多台 VPN 服务器，也可以选择多种协议，并且由用户选择服务器和协议的优先选择顺序。

2 、多接入方式：

　　从连接链路的性质上分， A8010 支持的接入方式包括模拟拨号用户，数字拨号用户和专线用户，这三种方式都提供有 VPN 的支持。

　　而就 VPN 用户和普通用户的区分方式来说， A8010 提供的 VPN 接入方式包括被叫号码接入，用户名接入和出租端口三种方式。

Figure 4

　　被叫号码接入方式中，企业在开设 VPN 业务时， ISP 分给该企业一个特殊的被叫号码。该企业的 VPN 用户在使用该项服务时，通过该号码连入 A8010 ， A8010 根据用户信息找到对应的 VPN 服务器，通信就可以开始了。

　　用户名接入方式中，用户仍和普通上网用户一样使用普通被叫号码呼叫 ISP ，呼通之后输入特定的用户名（通常是用户名 @ 域名）。 A8010 根据域名连接 VPN 服务器，余下的过程和被叫号接入方式完全相同。

　　还有一类用户，由于其 VPN 业务量大，需要保留若干条链路，以保证呼叫通畅。这种情况下， A8010 可以提供线路预留或出租中继的端口的业务。

3 、支持的新业务：

1) 漫游： A8010 支持漫游。企业只需在一个地方申请 VPN 业务，就可以在全国各地使用 VPN 服务。用户拨入当地的 ISP 时，甚至可以不必在该 ISP 上拥有帐户，这对出差职员或客户支持是非常有用的。

2) 保留带宽： A8010 可以为接入用户保留一定数量的链路，以保证用户呼叫时不至于更阻。是否保留带宽和保留多少条链路则是在开设 VPN 业务时由企业自己决定的。

3) 代理验证： A8010 可以为企业代理验证 VPN 用户。通常 VPN 用户是由企业的 VPN 服务器来进行验证和计费的，而对一些业务量大而又缺乏维护人力物力的企业来说，可以将验证、安全性检查和计费等任务交给 A8010 来完成。

4) 拨出业务： A8010 提供拨出业务。在通讯的两端都有 VPN 服务器或者需要支持回呼的情况下， A8010 可以为用户提供拨出功能。

Figure 5

　　如图，可以由一台 VPN 服务器呼叫另一台 VPN 服务器，或者由 VPN 服务器呼叫普通用户。

4 、安全性

　　对于 VPN 业务，企业比较关心的一个问题能是传输的安全性。在这个问题上， A8010 提供全面的安全性保证。首先， A8010 可以应企业的要求，在 VPN 用户拨入时对他的身份进行验证，然后才建立隧道，将用户交由 VPN 服务器进行再次验证。其次， A8010 对用户数据包进行完整转发，并不读取数据包的内容。因此，用户可以对它的数据进行加密，而不会影响 A8010 的工作，而且此时即使是 A8010 也无法读取用户数据。第三， A8010 支持 A8010 到 VPN 服务器间隧道的数据加密。这样，即使拨入用户不对其数据加密，由于 A8010 的工作， Internet 上的其他用户也无法读取 VPN 用户的私有数据。