VPN技术原理及应用研究

第 5 期

兰州工业高等专科学校学报

Vol. 16, No. 5

2009 年 10 月

Journal of L anzhou Poly technic Co llege

Oct. , 2009

文章编号: 1009- 2269( 2009) 05- 0018- 05

VPN技术原理及应用研究

*

王文英

( 陕西邮电职业技术学院, 陕西 咸阳 712000)

摘要: 对 VP N 的基本概念, VPN 的工作原理及实现 VPN 的隧道技术进行了阐述. 结合企业网

络的需求提出了 VPN 实际解决方案, 并对 V PN 的联网方式、拓扑结构及组网方案做了相应的描

述. 主要对产品选型及基于 VPN 网络安全解决方案的效果和特点做了详细介绍.

关

键

词: 虚拟专用网络; 隧道技术; VPN 技术

中图分类号: T P 393. 08

0 引言

随着 Int ernet 在企业领域 应用的不断深 化,

VPN 作为一种廉价安全的组网方案越来越 受到

人们的青睐. 在全球范 围内, VP N 已经得到 快速

文献标识码: A

企业的信息化程度比较高; 企业在多个 地区具有

分支机构. VPN 技术以其网络结构简单和低成本

的投入等特点, 正在逐步 脱颖而出. V PN 产 品广

泛应用于各行业中, 如有异地互联、移动办公需求

的企业.

发展. 在国内市场, VPN 也成为众多有实力 的互

联网服务商争夺的热点. VPN 的魅力为何如此之

1

VPN 技术介绍

大? 对于企业, VPN 价值何在? 正如一些市场专

家对 VP N 的评价: V PN 对整个产业 链来说都可

谓意义重大. 它为用户带来的是更加简单、灵活的

业务方式; 为制造企业带来的是更多的商机; 而为

运营商带来的是更加先进的技术与管理模式.

利用传统专用线路( 如 DDN) 连接网络, 成本

高、长期使用费、维护的不方便也成为企业很大的

负担. 利用 V PN 技术实现网络的互联, 公司异地

的分支机构、工厂以及出差人员也能 随时随地的

同步访问远程办公, 网络结构简单、成本低, 因此

VPN 技术的使用在企业的异地网络连接中 有着

举足轻重的地位.

目前, VPN 产品和技术主要应用地跨多个不

同地理位置的大型企业, 以及住处化 程度比较高

的中小型企业, 这些企业都有着明显的共同特点:

1. 1 VPN 基本概念

V PN( Virt ual Priv at e Netw o rk) 是指采 用隧

道技术以及加密、身份认证等方法, 在公用网络上

构建专用网络, 数据通过安全的 加密管道 在公

用网络中传播. VPN 不是某个单位专有的封闭线

路或者是租用某个网络服务商提供的封闭线路.

V PN 具有专线的数据传输功能, 根据使用者的身

份和权限, 直接将使用者接入所应该接 触的信息

中. 它是建立在实际网络( 或称物理网络) 基础上

的一种功能性网络, 是一种专用网的组网方式, 向

使用者提供一般专用网所具有的功能, 但本身却

不是一个的物理网络. 所以, 可以说它是一种

逻辑上的专用网络, 也就是说 VPN 依靠网络服务

供应商, 将企业的内部网与公共网络建立连接, 在

公用网络中建立起内部网络间的专用数据传输通

*

收稿日期: 2008 12 03

基金项目: 铁道部科技研究开发计划项目( 2008G 30- B)

作者简介: 王文英( 1972 ) , 女, 陕西咸阳人, 讲师, 硕士.

第 5 期

王文英: VP N 技术原理及应用研究

! 19 !

道( 隧道) , 而这类专用通道并非真实的物理专用

线路, 只是在现有的公用网络中临时搭建的, 因而

它是一种虚拟专用网.

VPN 通过采用 隧道 技术, 利用 IET F 制定

的 Ipsec 标准, 在公用网 中形成 单位的 安全、机

密、顺畅的专用链路. 事实上, VP N 的效果相当于

在 Int ernet 上形成一条专用线路( 隧道) , 从作用

的效果看, VPN 与 IP 电话类似, 但 VPN 对于数

据加密的要求更高. V PN 由三 个部分组成: 隧道

技术, 数据加密和用户认证. 隧道技术定义数据的

封装形式, 并利用 IP 协议以安全方式在 Internet

上传送. 数据加密和用户认证则包含 安全性的两

个方面: 数据加密保证敏感数据不会被盗取, 用户

认证则保证未获认证的用户无法访问内部 网络.

目前 VP N 主要采用 4 项技术保证安全, 即: 隧道

成了很多厂商和科研机构望而却步的技术难题,

实现起来并解决大规模的实际应用就更加困难.

V PN 通过 IPSEC 隧道协议对 IP 数据报进行

封装, 使之在 INT ERNAT 上传输, 就好像一条通

道一样; VP N 使用 DES 加 密算 法保 证机 密性,

M D5 信息摘要算法保证完整性, 充分保证了数据

的安全. 现在 VPN 以成为非常流行的远程连接技

术.

2 企业的需求分析

2. 1 企业现状

某健康体检中心是某地 区首家健康体 检专

业医疗机构, 共包括有一 个总部, 若干个分支. 该

健康体检中心于 2006 年 3 月 28 日正式开业, 不

到一年的时间里已经向 2 万余人提供了高质量的

技 术

( T unneling ) 、 加 解 密 技 术

(

健康体检服务. 随着人们健康意识的提高, 健康体

Encryptio n& Decryption) 、密 钥 管 理 技 术 ( Key

Manag ement ) 、使用者与设备身份认证技术( Au

t hent icat ion) .

1. 2 VPN 工作原理

VPN 实现的关键技术是隧道, 而隧道又是靠

隧道协议来实现数据封装的. VP N 将企业网的数

据封装在隧道中, 通过公网 Int ernet 进行传输. 因

此, VP N 技术的复杂性首先建立在隧道协议复杂

性的基础之上. 隧道协议中最为典型的有 IP SEC、

L2T P、PP T P 等. 其中 IPSEC 属于第三层隧道协

议, L 2T P、PPT P 属于第二层隧道协议. 第二层隧

道和第三层隧道的本质区别在于用户的 IP 数据

包是被封装在哪种数据包中在隧道中传输. VPN

系统使分散布局的专用网络架构在公共网络上安

全通信. 它采用复杂的算法来加密传输的信息, 使

敏感的数据不会被窃听.

1. 3 VPN 的联网方式

VPN 的联网方式大致有三种: 固定 IP 与固

定 IP ; 固定 IP 与动态 IP ; 动态 IP 与动态 IP .

第一种的联网方式是比较传统的方式, 技术

上实现最容易实现, 目前的防火墙等 设备就可以

实现这种功能; 第二种的 VPN 联网方式, 对于目

前大多数专业的 V PN 厂商也基本能解决; 而第三

种方式即动态 IP 与动态 IP 之间的 VP N 通讯却

检市场需求越来越大, 而整个企业的网 络规模及

应用则停留在单个机构或部门上面, 关 键的体检

数据不能有效的汇总和整理, 不能满足 愈来愈大

的市场需求.

目前, 该中心主要存在以下问题:

1) 各个分部与总部间的数据交换沟通不畅

总部和分部 的数据交流途径简单, 而且在数

据交换过程中存在安全隐患. Mo dem 拨号连接的

方式速度慢、稳定性差, 严重堵塞了现有的交流渠

道.

2) 各个分部与总部间的数据交换时间固定,

不能实现信息的实时获取.

各分部之间 各自为政 , 总部对各 分部的数

据不能实时获取, 各分部也得不到总部 的及时指

导.

3) 没有足够的财力构建 DDN 专网.

如果总公司与各个分部之间为了业务需要采

用 DDN 专线, 则要面临昂贵的运营及维护费用,

这对于该中心来说是无法承受的.

2. 2 企业需求

虚拟专用网 是对企业内部网的扩展, 可以帮

助远程用户、公司分支机构、商业伙伴及供应商同

公司的内部网建立可信的安全连接, 并 保证数据

的安全传输, 一个企业的虚拟专用网解 决方案将

! 20 !

兰 州工业 高等专科 学校学 报

第 16 卷

大幅度地减少用户花费在网络连接上的费用. 同

时, 这将简化网络的设计和管理, 加速连接新的用

户和网站. 另外, 虚拟专用网还可以保护现有的网

络投资. 随着用户的商业服务不断发展, 企业的虚

拟专用网解决方案可以使用户将精力集中到自己

的生意上, 而不是网络上.

3 VPN 组网方案

3. 1 设计原则

在方案刚刚提出的时候, 该健康 体检中心总

部经过研讨, 确定了如下的基本原则:

1) 客户端设备必须支持动态 IP: 因为, 电信

如果提供静态 IP , 则要收取租赁费, 而且, 不是所

有分部所在地电信都可以提供静态 IP .

2) 客户端最好为硬件, 而且在 PC 机上不要

安装客户端软件. 这样可以保证网络 传递的高效

性; 其次可以减少微机的维护工作量.

3) 客户端的 VP N 路 由应支持 内部 P PP 拨

号. 支持内部 PPP 拨号, 可以隐藏 ADSL 上网密

码, 达到控制值班员上互联网的目的. 如果不具有

这一项功 能, 该分 部机构完全可 以绕过 VPN 设

备, 直接接入到 ADSL 适配器上, 在工作时间接入

互联网.

V PN 设备的 SERVER 端, 应 同时支持第 二

层隧 道 协 议 和 第 三 层 隧 道 协 议, 支 持 ADL S/

LAN/ Mo dem/ WL AN/ GPRS / CDM A 1X 等任何

Int er net 接入方式均可支持, 可以穿透 NAT 和防

火墙. 支持最流行的协议 L2T P 和 IP Sec. 支持动

态 IP、宽带 内部 IP 地址. 对 于任 一 种操 作系 统

Window s98, Window s 2000, Window sXP 都可 以

方便设置, 快速接入局域网.

3. 2 解决方案

如何使 相距很 远的 机构的 局域网 络连在 一

起, 有 VP N 技术和专线技术两种, 但是架设专线

的高成本和复杂度以及 VPN 技术的优越性, 使得

V PN 技术变的愈来愈流行和易用. 曾经广域网的

建立专线的应用使只有一些大企业才能够建立自

己公司的广域网, 但是 VPN 的出现, 它使中小企

业, 甚至家庭都可以拥有自己的广域网连接. 相距

远距离的两端只要能够上网, 就可以将 两端各自

的局域网互联. 对于用户来说, 就好像在同一个地

方一样没什么区别. 通过对 VPN 技术与专线技术

对比, 该地区健康体检中心总部决定采用 V PN 技

术. 如表 1 所示.

表 1 VPN 技术与专线技术对照表

名称

安全性

可扩展性

投资成本

对移动用

户的支持

带宽

升级

V PN 技术

非常高, 保护数据传输 的完整 性、保 密性、不可 抵

赖性; 安全控制在用户手里.

基于 T CP/ IP 技 术, 接 入方 式 灵 活, 只 要网 络 可

达, 就可以方便扩展.

设备一次性投 入, 不需 要支 出 每月 的运 营 费用,

长期看来大幅度节省支出.

能对 Int ernet 上的内部移动 用户安 全接入, 彻 底

消除地域差异, 构造全球的 VP N .

使用各种廉价的宽带介入方式, 如: A DSL, Ether

net 等.

依赖于设备的升级, 非常方便.

专线技术

比较高. 但是, 安全 是建 立在 对 电信 部门 相 信的

基础上, 对电信运营商, 无任何安全可言.

依靠当地运营商的支持, 扩展很不方便.

专线费 用高, 需 要每 月 支 付 昂贵 的 专 线 租用 费

用, 而且在初期要一次性投入路由器的费用.

只能联通专线拉到的网 络, 不支持 离开局 域网的

内部用户接入专网.

由于价格昂贵, 一般租用的带宽都比较窄.

依赖于电信部门.

公网采用电信最普及的 ADSL , 它有比较明

显的优点, 网络覆盖范围广, 最长距离可以达到 5

公里, 该健康体验中心的各分部都在 它的覆盖范

围之内; 价格的低 廉. ADSL 普 遍采用包月方 式,

如果选择其他专线, 费用都比较高; 各分部基本上

都已经安装了电信的有线电话, 再安装 ADSL 比

较容易.

该中心的网络拓扑图如图 1:

第 5 期

王文英: VP N 技术原理及应用研究

! 21 !

4. 2 选择 NETGEAR 的防火墙架设 VPN 的原因

该健康 体检中 心的 分支机 构全部 采用网 通

A DSL 动态 IP 地址上网, 总部暂时也是采用这样

的方式, 这样 VPN 隧道的两端都是动态 IP 地址,

其它的 VP N 产品不 能支持 这种 方式, 而 NET

GEAR VPN 防火墙则创新性的采用 DDN S 技术,

为用户提供了两端都是动态 IP 地址建立 V PN 的

方法, 极大的方便了公司的建网成本和复杂程度.

图 1

该中心的网络拓扑图

5 基于 VPN 网络安全解决方案的效

4 产品选型

4. 1 相关产品

NET EGAR ProSaf e FVS318 VP N 防火墙是

那些想用一个简单的设备来执行关键功能的公司

的理想选择. F VS318 以一个经济的价格提供了企

业级的保护并且适合任何规模的企业的网络基础

架构. 这个完善的配备, 宽带特性的 8 端口以太网

路由器防火墙赋予了完全状态包检测( SP I) 防火

墙, 拒绝服务( DoS) 攻击保护和入侵监测, U RL 关

键字和内容 过滤, 日志, 报告和 适时告警. VPN C

已认证的, 它最大同步发起 8 路 IPSec VPN 隧道,

也可称为安全关联( securit y asso ciations) , 减少了

你的网络运行的费用并且最大化你的网络 安全.

基于 WEB 配置界 面的 VPN 配置向导具有 准确

的默认值可凭直觉轻松操作, 给予你 更多的时间

去处理你的商务业务. 具有 8 个 10/ 100 M Bps 自

果和特点

5. 1 运行效果

V PN 网络搭建至今, 快速, 稳定, 客户十分满

意. 简言之, 有以下 3 点优势:

1) 降低成本: 借助 ISP 来建立 V PN, 就可以

节省大量的通信费用. 此外, 本套 VP N 还使企业

不必投入大量的人力和物力去安装和维护 WAN

设备和远程访问设备. 这些工作都由 ISP 负责完

成.

2) 容易扩展: 如果用户想扩大 VPN 的容量

和覆盖范围. 总部需做的事情很少, 而且能立时实

现. 企业只需与新的 ISP 签约, 建立账户; 或者与

原有的 ISP 重签合约, 扩大服务范围.

3) 简化工作环节: 这种启用 VPN 互联的方

式, 可随意与相关工作单位进行健康数据交换. 在

各个环节都有着本身所具有的优势, 尤 其是在疾

TM

的局域网端口和网络地址转

病控制方面取缔了以往复杂的工作方式, 避免一

化( NA T ) 路由, 最多支持 253 个局域网用户同时

访问你的宽带互联网的连接. 这个简洁的, 多功能

的防火墙是需要安全地通过一个远程 VP N 连接

访问企业网络的用户的理想解决方案.

产品主要特性:

1) 最大支持 8 路并发的 IP Sec VPN 隧道.

2) 具 V PN 透传和 路由 的完 全状态 包监 测

( SPI) 防火墙.

3) 容易 使用的 基于 WEB 浏览器 界面的 设

置, 配置和远程管理.

4) 安全地连接移动工 作职员和分支办 公室

到总公司的资源.

5) 8 个超快的 10/ 100 M Bps 局域网端口.

些不必要的交互接触.

5. 2 方案特点

1) 企业级的安全.

最多支持 8 路并发的 VP N 隧道. 顾及分支办

公室和移动办公职员的安全连接, 网络 地址转换

( NAT ) 路由赋予了共享访问你的宽带互联网的连

接, 内置基于 WEB 页面的 URL 内容过滤和强壮

的 IP Sec 加密和证书支持. 网络活跃性的 EM AIL

通告 ∀ 黑客入侵尝试的报告和跟踪以及适时的告

警.

2) 更好的防护.

为该中心提 供最大的安全防护, 防 火墙利用

完全状态包检测( SPI) 和入侵检测特性, 拒绝服务

适应, Aut o Uplink

! 22 !

兰 州工业 高等专科 学校学 报

第 16 卷

( DoS) 攻击保护等. VPN 技术允许用户 通过 IP

Sec, PPT P 或 L 2T P 隧道安全地连接到基于互联

网的多个 P C. 并且 AES( 256 位) 安全提供了一个

参考文献:

可选用的最强壮的难以渗透的加密算法. F VS318

[ 1]

宗

坤. V P N 与 网 络安 全 [ B] . 电 子 工业 出 版 社,

Pro Saf e VPN 防火墙提供了超值的特性并且抵御

2002.

了来自于互联网的安全威胁.

3) 友好使用.

NET GEAR 安全产品家族特色的智能向导安

装助手能非常快速的 连接到你的 ISP, 并且 基于

WEB 界面的 VP N 配置向导容易使用, 减少了设

[ 2]

[ 3]

[ 4]

张云飞. 网 络与 信息 安全 管理 [ M ] . 人民 邮电 出版

社, 2002.

杨永 斌. V PN 技术 应用 研究 [ J] . 计算 机 科学, 2004

( 10) : 17 19.

王 达. 虚 拟专用 网( V PN ) 精 解[ M ] . 北京: 清 华大

学出版社, 2004.

置的时间. 远程管理能轻而易举的连 接到多个节

[ 5]

肖

玲. V P N 在远 程教 育中的 应用 [ J] . 计算 技术

点. 所 有 的 NET GEAR Pro Saf e 防 火 墙 都 是

与自动化, 2003, 3( 1) : 61 .

VPNC 组织测试和认证过的, 能确保 与其他厂商

的安全产品更好的兼容.

6 结 语

简单的共享数据网络结构、低成本的投入、安

全的数据通道等特点, 使得 VPN 技术及其产品在

降低成本的同时满足了用户对网络带宽、接入和

服务不断增加的需求. 随着市场的扩大, 用户需求

将成为 VPN 技术发展的动力, 多形式、多用途、灵

活易用、功能强大、服务优异的 VP N 产品将适用

[ 6]

[ 7]

[ 8]

[ 9]

[ 10]

石淑华. 用 W indo ws2000 实 现企 业 V P N 的分 析与

研究[ J] . 微机发展, 2002( 5) : 69 71.

黄世权. V P N 技术 及其 应用分 析研 究[ J] . 计 算机

与数字工程, 2006( 6) :  66.

傅在善, 宋志强 . 基于 VP N 技术的 军事物流 信息系

统应用研究[ J] . 物流科技, 2008( 6) : 78 81.

祁 伟, 张丽娟, 孙 旸. 基于 IPSec 的 V PN 网关设

计[ J] . 长春理工大学学报( 自然科学版) , 2006( 2) :

76 79.

毛志 勇. VP N 技 术在 分 布 式 校园 网 络 中 的应 用

[ J] . 电脑知识与技术, 2008( 7) : 1284 1285.

于不同的用户群, 部署在宽带、窄带、拨号或者移

动通信网络上.

The Principle and Appliction Studies of VPN Techniques

WA N G W en- y ing

( Shanxi Vo cational Co llege of P osts and T eleco mmunications, Xian y ang 712000, China)

Abstract: T he Basic concepts of t he VPN w orking principle and key t echno logies fo r achineving VPN

tunnel technigues w ere elaBor at ed. T he pract ical so lut ion o f VPN , net w ork to polo gy w ere put f orw ard

acco rding t o t he needs of ent erprises the ef f ect s and charact ristics of production and VPN - Based net

w o rk securit y so lut ions w ere int roduced in det ail.

Key words: virt ual privat e net w ork; t unnel t echnolo gy; VP N t echno logy