了解一些接入網(wǎng)技術(shù)還是比較常用的，于是我研究了一下接入網(wǎng)技術(shù)中VPN的作用和特點，在這里拿出來和大家分享一下，希望對大家有用。作為企業(yè)網(wǎng)絡(luò)平臺的一種有效的延伸，遠(yuǎn)程訪問接入技術(shù)一直在我們的網(wǎng)絡(luò)應(yīng)用中扮演著非常重要的角色。但遠(yuǎn)程接入網(wǎng)技術(shù)既需要跨越地域局限，又需要具有靈活性，還需要有足夠的帶寬。VPN正好在這方面可以發(fā)揮作用。

顧名思義，遠(yuǎn)程訪問技術(shù)首先解決的問題就是地域的局限。用戶不再需要處于企業(yè)局域網(wǎng)絡(luò)平臺覆蓋范圍之內(nèi)，通過局域網(wǎng)接入方式來訪問企業(yè)網(wǎng)絡(luò)應(yīng)用服務(wù)。此外，遠(yuǎn)程訪問技術(shù)解決的另一個問題是靈活性，不論用戶身在何處——在家中，亦或在另一個城市出差，均能夠利用遠(yuǎn)程訪問技術(shù)接入到企業(yè)內(nèi)部網(wǎng)絡(luò)平臺。正因為要實現(xiàn)這些目標(biāo)，遠(yuǎn)程訪問技術(shù)必須要使用公共傳輸媒介。換句話說，企業(yè)私有網(wǎng)絡(luò)平臺是無法實現(xiàn)該功能的，盡管目前有某些網(wǎng)絡(luò)技術(shù)可以突破局域網(wǎng)覆蓋范圍，使傳輸距離達(dá)到數(shù)公里甚至數(shù)十公里。姑且不談其建設(shè)成本問題，僅僅靈活性一項要求便是私有網(wǎng)絡(luò)無法滿足的。

◆各種接入層出不窮

由于上述原因，遠(yuǎn)程訪問技術(shù)長期以來一直使用一種最為普通、隨處可得的傳輸媒介——PSTN(公用電話網(wǎng))。利用Modem模擬撥號技術(shù)來實現(xiàn)遠(yuǎn)程連接。利用PSTN進(jìn)行遠(yuǎn)程接入網(wǎng)技術(shù)，用戶只要利用一條電話線和普通的Modem，對于用戶來說，一次性投入很小。當(dāng)然，如果用戶想同時獲得數(shù)據(jù)服務(wù)和模擬的電話傳真服務(wù)，就不得不再申請一個號碼，因為在這種通訊方式下，數(shù)據(jù)和模擬通訊均要求獨占一個信道。而企業(yè)需在局域網(wǎng)邊緣設(shè)置遠(yuǎn)程訪問接入設(shè)備，并配備一定數(shù)量的語音中繼線路，供遠(yuǎn)程訪問用戶撥入。

盡管經(jīng)歷了若干年的發(fā)展，PSTN遠(yuǎn)程撥號接入網(wǎng)技術(shù)方式對于大量的遠(yuǎn)程訪問用戶來說，只是一種無奈的選擇。始終存在的帶寬不足、接入速度慢、服務(wù)質(zhì)量差等問題，嚴(yán)重阻礙了遠(yuǎn)程網(wǎng)絡(luò)應(yīng)用的發(fā)展。用戶的抱怨在與日俱增，遠(yuǎn)程用戶們需要的是快速而又優(yōu)質(zhì)的接入方式。尤其隨著近年來層出不窮的新興的網(wǎng)絡(luò)應(yīng)用，對網(wǎng)絡(luò)帶寬的要求和對延遲的敏感性越來越高。最高速率為56kbps的PSTN撥號接入方式，已遠(yuǎn)遠(yuǎn)無法滿足今天的應(yīng)用需求。因此，又出現(xiàn)了一些接入技術(shù)。從利用電話線作為傳輸介質(zhì)的xDSL，到依靠有線電視電纜的Cable Modem，直到城域網(wǎng)Ethernet接入，各種新技術(shù)層出不窮，更新?lián)Q代極快。

xDSL寬帶接入包括ADSL、CDSL、HDSL、IDSL、UDSL等，典型的是ADSL，即不對稱數(shù)字用戶線。ADSL被認(rèn)為將是一種在21世紀(jì)有廣闊應(yīng)用前景的接入技術(shù)之一，將代替?zhèn)鹘y(tǒng)Modem模擬接入方式，成為家庭和小型商務(wù)應(yīng)用的主流接入技術(shù)。Cable Modem即電纜調(diào)制解調(diào)器，是在有線電視電纜上將數(shù)據(jù)進(jìn)行調(diào)制，然后在有線網(wǎng)的某個頻率范圍內(nèi)進(jìn)行傳輸、接收一方再在同一頻率范圍內(nèi)對該已調(diào)制的信號進(jìn)行解調(diào)，解析出數(shù)據(jù)，傳遞給接收方。其在物理層上的傳輸機(jī)制與電話線上的調(diào)制解調(diào)器無異，同樣也是通過調(diào)頻或調(diào)幅對數(shù)據(jù)編碼。由于有線電視網(wǎng)具有四通八達(dá)、共享介質(zhì)、線路質(zhì)量較好及多頻率帶寬的優(yōu)勢，使得通過有線電視網(wǎng)訪問Internet成為下一世紀(jì)接入技術(shù)的發(fā)展方向之一。

隨著目前城域網(wǎng)建設(shè)及信息化小區(qū)的普遍推廣，以太網(wǎng)作為最成熟、最經(jīng)濟(jì)的網(wǎng)絡(luò)技術(shù)在城域網(wǎng)接入這一領(lǐng)域獲得廣泛使用。憑借其帶寬的優(yōu)勢和在服務(wù)質(zhì)量及安全性方面的突破，以太網(wǎng)技術(shù)在帶寬接入領(lǐng)域具有極強(qiáng)的競爭力。上述寬帶接入技術(shù)目前均廣泛運用于Internet接入，但是由于其對各自傳輸介質(zhì)的依賴性而不能直接運用于企業(yè)網(wǎng)遠(yuǎn)程訪問。舉例來說，如欲使用ADSL技術(shù)實現(xiàn)企業(yè)網(wǎng)遠(yuǎn)程訪問，企業(yè)必須自己提供端到端電話線路來接入遠(yuǎn)程用戶，而無法使用PSTN公共電話網(wǎng)。這已經(jīng)完全喪失了遠(yuǎn)程訪問的意義。

◆VPN適宜遠(yuǎn)程接入網(wǎng)技術(shù)
那么企業(yè)網(wǎng)遠(yuǎn)程訪問到底能否利用上述的寬帶接入網(wǎng)技術(shù)呢？答案是肯定的。解決方案就是利用Internet作為傳輸載體，采用VPN技術(shù)，實現(xiàn)企業(yè)網(wǎng)寬帶遠(yuǎn)程訪問。該方案將具有如下主要優(yōu)點：

◆高度靈活性
用戶不論在家中、在出差途中，或是在其它任何環(huán)境中，只要該用戶能夠接入Internet，便能夠安全地接入企業(yè)網(wǎng)內(nèi)部。既不受地域限制，也不受接入方式限制。

◆高帶寬
用戶可以選擇使用本地服務(wù)供應(yīng)商所能夠提供的任何寬帶接入網(wǎng)技術(shù)，不論是ADSL、Cable Modem，還是在信息化小區(qū)或酒店中使用以太網(wǎng)接入。

◆高安全性
所有的流量均經(jīng)過加密和壓縮后在網(wǎng)絡(luò)中傳輸，為用戶信息提供了最高的安全性保證。今天的加密技術(shù)已經(jīng)發(fā)展到即便使用最先進(jìn)的計算機(jī)，也需要花費超過一個世紀(jì)的時間才能將其解密。因此，即便您的數(shù)據(jù)信息在傳輸過程中存在被竊取的可能，您也完全不必?fù)?dān)心企業(yè)內(nèi)部機(jī)密會泄露。相比而言，傳統(tǒng)的PSTN撥號接入方式只具有地域靈活性，而不具備接入方式靈活性，帶寬自然更不必說了。唯一值得一提的是，很多用戶認(rèn)為，相對于開放的Internet而言，點到點電路交換的PSTN撥號連接具有更高的安全性。事實上，電話竊聽技術(shù)幾乎是緊隨著電話的出現(xiàn)而出現(xiàn)的，用戶數(shù)據(jù)在PSTN網(wǎng)絡(luò)中同樣存在被竊取的可能。而且，請不要忘記此時被竊取的數(shù)據(jù)是完全沒有加密的。

因此，利用先進(jìn)成熟的VPN技術(shù)，使我們的企業(yè)網(wǎng)用戶不僅可以隨時隨地遠(yuǎn)程訪問企業(yè)網(wǎng)絡(luò)平臺，同時又可以擺脫PSTN撥號接入的帶寬限制，充分享受Internet寬帶接入所帶來的全新體驗。這的確是一個非常理想的企業(yè)網(wǎng)遠(yuǎn)程寬帶訪問解決方案。

◆實現(xiàn)遠(yuǎn)程寬帶接入
雖然實現(xiàn)的方法可能有所不同，但是所有VPN技術(shù)都在共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上提供私密性。通道在無連接的IP網(wǎng)絡(luò)中創(chuàng)建了邏輯端到端連接。加密通道利用對數(shù)據(jù)進(jìn)行擾碼的方式提供網(wǎng)絡(luò)數(shù)據(jù)和私密性，從而只有指定的發(fā)送者和接收者才能明白。IPSec是一個新業(yè)界標(biāo)準(zhǔn)，提供了可擴(kuò)展的第三層解決方案，實現(xiàn)網(wǎng)絡(luò)加密。它使用包括安全封裝協(xié)議（ESP）和數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）等已經(jīng)驗證的加密技術(shù)，當(dāng)數(shù)據(jù)已在網(wǎng)絡(luò)上傳輸時，提供凈荷保護(hù)。

遠(yuǎn)程接入網(wǎng)技術(shù)VPN包含兩種體系結(jié)構(gòu)：客戶機(jī)驅(qū)動連接或網(wǎng)絡(luò)接入網(wǎng)技術(shù)服務(wù)器（NAS）驅(qū)動連接。使用客戶驅(qū)動的連接，用戶可以從他們的客戶端開始，通過服務(wù)供應(yīng)商的共享網(wǎng)絡(luò)，到企業(yè)網(wǎng)絡(luò)建立一條加密的IP通道。利用這種體系結(jié)構(gòu)，用戶并不需要服務(wù)供應(yīng)商提供與VPN應(yīng)用相關(guān)的附加值服務(wù)。

遠(yuǎn)程接入網(wǎng)技術(shù)VPN的另一種體系結(jié)構(gòu)定義了由NAS驅(qū)動的通道。在這種情況下，遠(yuǎn)端用戶接入服務(wù)供應(yīng)商的營業(yè)點（POP）。服務(wù)供應(yīng)商則建立一條安全的、加密的通道連接企業(yè)網(wǎng)絡(luò)。利用由NAS驅(qū)動的體系結(jié)構(gòu)，服務(wù)供應(yīng)商對用戶的身份進(jìn)行驗證，使他們能夠初步接入到企業(yè)網(wǎng)絡(luò)中；然而，企業(yè)仍保留有控制他們自己的安全策略、對用戶進(jìn)行身份驗證、授與用戶訪問權(quán)限并在網(wǎng)絡(luò)上跟蹤用戶活動的權(quán)力。使用這種體系結(jié)構(gòu)需要服務(wù)供應(yīng)商支持，而且存在一個問題——遠(yuǎn)端用戶接入服務(wù)供應(yīng)商的營業(yè)點之前的數(shù)據(jù)是未經(jīng)加密的。因此，如果企業(yè)用戶要實現(xiàn)一個完善的遠(yuǎn)程寬帶接入VPN方案，我們建議采用上述第一種體系結(jié)構(gòu)，由企業(yè)自己部署和控制安全策略以及對遠(yuǎn)程用戶的認(rèn)證、授權(quán)及監(jiān)控。

使用Avaya公司的VSU系列產(chǎn)品、VPNManager和VPNRemote組成遠(yuǎn)程寬帶訪問VPN的拓?fù)浣Y(jié)構(gòu)如圖所示，企業(yè)網(wǎng)絡(luò)中心利用VPNManager建立全網(wǎng)的LDAP認(rèn)證目錄服務(wù)系統(tǒng)或使用RADIUS認(rèn)證系統(tǒng)。當(dāng)遠(yuǎn)程用戶接入本地的ISP之后需要訪問企業(yè)網(wǎng)內(nèi)部的資源時，安裝在移動用戶計算機(jī)上VPNremote Client即登錄網(wǎng)絡(luò)中心的LDAP服務(wù)器或RADIUS服務(wù)器進(jìn)行驗證工作，通過后即可訪問相應(yīng)權(quán)限的資源。然后遠(yuǎn)程主機(jī)通過Internet發(fā)送加密信息到企業(yè)網(wǎng)絡(luò)中心的VPN設(shè)備；當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時，數(shù)據(jù)包被解開封裝，數(shù)字簽名被核對無誤后數(shù)據(jù)包被解密。

通過VPN實現(xiàn)遠(yuǎn)程寬帶訪問

在本方案中，VPN設(shè)備選用Avaya公司的VPN系列網(wǎng)關(guān)產(chǎn)品，網(wǎng)絡(luò)中心使用VSU-2000實現(xiàn)高速的數(shù)據(jù)交換以滿足需要。VPN設(shè)備和移動用戶的管理采用VPNManager和VPNRemote軟件來完成。VPNManager能夠?qū)崿F(xiàn)對整個VPN網(wǎng)絡(luò)進(jìn)行管理，滿足用戶認(rèn)證、加密策略的制定和修改等等重要工作。VPNRemote安裝在移動用戶的計算機(jī)上，為用戶提供在任何地點只需接入網(wǎng)技術(shù)任意一個ISP即可建立VPN連接的功能，充分滿足移動用戶的的需要。企業(yè)網(wǎng)絡(luò)中心不再需要建立撥入服務(wù)系統(tǒng)為遠(yuǎn)程用戶提供撥入服務(wù)。