智能化配电系统中的多现场总线技术 虚 拟 专 用 网 技 术 　　　　　　 潘莹玉 1 VPN的概念 虚拟专网VPN (Virtual Private Network)是业务提供者利用公众网的资源为客户构成的专用网。它有两层含义：一、它是虚拟的网，即任意两个节点之间的连接并没有传统专网所需要的端到端的物理链路，而是通过一个共享网络环境实现的，网路只有在用户需要时才建立；二、它是利用公网的设施构成的专用网。这样一个网兼顾了公网和专网的许多优点，将公网的可靠、功能丰富与专网的灵活、高效结合在一起，是介于公网与专用网之间的一种网。 VPN用于大中型企业的总公司和各地分公司或分支机构的网络互联、企业与商业合作伙伴之间的网络互联。目前VPN能实现的功能主要有：企业员工及授权商业伙伴共享企业的信息；在网上进行信息及文件安全快速的交换；通过网络实现无纸办公和无纸贸易等。 VPN的访问方式多种多样，包括拔号模拟方式、ISDN、DSL、专线、IP路由器或线缆MODEM。现在一般所说的VPN更多是指构建在公用IP网络之上的专用网，因而亦可称之为IP VPN（以IP为主要通信协议）。　 2 VPN的优越性 1) 建设成本低 虚拟专用网的显著特点是用户能够用公共网络结构提供专用网络业务传输和服务，而一般不需要大量的投资，比建立真正的专用网的成本要低得多，投资风险也小。用户可以凭借公用网的环境，把属于自己的网络用户终端、有关的接入线路、模块及端口模拟成自己的专用网，并通过自己的网络管理设施对VPN进行管理，就像真正的专用网那样。 远程专用网络RPN（Remote Private Network）的建造和维护非常昂贵，一般只有银行、跨国公司才有可能拥有。而Internet遍布世界各个角落，利用Internet可以节省网络建设的大部分开销，且只需付市话费用就可达到长途通信的效果。调查表明，利用Internet传输数据，公司可节省50%的传统租用网络运行费用。 2) 容易扩展 企业只需依靠提供VPN服务的ISP就可以随时扩大VPN的容量和覆盖范围，自己需要的事很少。 3) 使用方便 过去与合作伙伴联网，必须事先协商如何在双方之间建立租用线路或帧中继线路，VPN出现之后，这种协商已毫无必要，真正达到了随意连接和断开。 4) 易于管理 VPN使企业可以利用ISP的设施和服务，同时又完全自己掌握网络的控制权。例如，企业可以委托ISP提供拨号访问，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 采用VPN还可将用户原有的专用网与之无缝地综合在一起，使用户可以实施混合的VPN方案；VPN还具有灵活的计费方式，可以有各种方式接入，能满足不同需要，具有统一的网络功能…… 3 虚拟专网业务分类 VPN的分类有多种。按VPN的应用平台可分为软件平台VPN、专用硬件平台VPN和辅助硬件平台VPN；按构建VPN的隧道协议（第二层隧道协议、第三层隧道协议）又可分为L2TP VPN、IPSec VPN等；按VPN的部署模式又可分为端到端模式、供应商－企业模式和内部供应商模式等。 通常我们根据业务类型，把VPN业务大致分为二类： 1) 拨号VPN（VPDN） 拨号VPN是指企业员工或企业的小分支机构通过公网远程拔号的方式构筑的虚拟网。根据隧道发起方式它又分为由用户发起、由ISP拨号服务器发起或由企业网远程路由器发起三种。该VPN的核心是通过L2TP协议，来实现第二层的隧道封装。这样一来，企业员工到ISP的各节点出差或办公时，可通过当地的市话直接拨号上网，并访问企业网。这一方式使得企业网可以真正管理自己的用户。企业员工不必在ISP上拥有自己的账号，也可以使用自己在企业网中的账号和口令拨号上网。从目前的情况看，运营商在实现VPN业务时，急需解决不同厂商设备的互操作性的问题和认证、计费等问题。 2) 专线VPN 专线VPN为用户提供的应是安全可靠并具有QoS的虚拟专网。 专线VPN通常是由IPSEC协议来实现的。IPSEC是一套完整的协议，它定义了在公网上安全传输数据的方式。IPSEC要防止网络上的窃听者对数据的篡改，并确保数据通信双方的身份，对数据进行安全加密。其中，通信双方加密密钥的交换、安全信任关系的确立是IPSEC实现的关键。专线VPN另一个重要功能就是为用户提供QoS保障。 专线VPN又分内部网VPN（Intranet VPN）和外联网VPN(Extranet VPN)。 内部网VPN是企业的总部与分支机构间通过公网构筑的虚拟网。 外联网VPN是指多个具有合作伙伴关系的企业，通过公网来构筑的虚拟网。 ４ 虚拟专网技术的基本原理 　　 虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络（如因特网）上安全地通信。它采用复杂的算法来加密传输的信息，使得需要受保护的数据不会被窃取。一般来说，其工作流程大致如下：要保护的主机发送不加密信息到连接公共网络的虚拟专网设备；后者根据网络管理员设置的规则，确认是否需要对数据进行加密或让数据直接通过；对需要加密的数据，虚拟专网设备对整个数据包（包括要传送的数据、发送端和接收端的IP地址）进行加密和附上数字签名；虚拟专网设备加上新的数据包头，其中包括目的地虚拟专网设备需要的安全信息和一些初始化参数；虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设备IP地址进行重新封装，重新封装后数据包通过虚拟通道在公网上传输；当数据包到达目标虚拟专网设备时，数字签名被核对无误后数据包被解密。 　　典型的虚拟专网结构是：若干个内部网络通过公网连接起来，各个内部网络位于虚拟专网设备的后面，同时通过路由器连接到公网。这种虚拟专网结构中，数据按照严密的算法在公网中通过多层的虚拟通道（也称“隧道”）从一端虚拟专网设备到达另一端。隧道从一个虚拟专网设备开始，通过路由器横跨整个公网到达其他虚拟专网设备。隧道的第二层要对数据进行加密封装，到达目标虚拟专网设备后接收方得到的是重新封装后的数据。隧道的第三层主要任务是进行身份验证，采用不同的算法来验证信息来源的真实性。 隧道处理的结果使得各种被传输的信息只有预定的接收者才能读懂。虚拟专网系统根据系统设置的安全规则表来实施，对用户来说完全是透明的和自动的。在虚拟专网系统后面工作的企业员工照样可以上网，而由虚拟专网系统决定他们的数据哪些需要加密或不加密。 做为VPN基础的隧道技术，目前主要有两种：3Com和Microsoft公司制定的PPTP，它是当前应用最广的VPN协议，捆绑在Windows 95／98和Windows NT 4．0中；另一种是新出现的第2层隧道协议（L2TP）。L2TP标准由PPTP和第2层转发（L2F）协议合并而成，它优于PPTP的一个特点是可以建立多点隧道，这使用户可以开通多个VPN，以便同时访问Internet和企业网络。 ５ 虚拟专用网中的安全措施 安全问题一直是困扰网络应用的大问题。同样，VPN首先迫切需要解决的重要问题也是其安全性问题，即在Internet上传输的专用数据如何得到有效保护，防止被干扰和截获。 在VPN上实施了三种数据安全措施：加密，即对数据进行扰码操作，以便只有预期的接收者才能获得真实数据；鉴别，即接收者与发送者间的识别；集成，即确保数据在传输过程中不被改变。没有这三种功能，VPN解决方案就是不完整的。 为便于理解VPN的安全问题，我们先讨论加密关键字及其对VPN增长潜能的影响。试想一下，某人（A）要将一条要发送给另外一人（B）的信息输入一台在商店里买的扰码机里。由于每个人都能买一台相似的扰码机，只是简单地将专用信息输入到扰码机里就无法提供安全保护。然而，如果将专用信息和预先设定的只有双方知道的共享密码结合起来，那么信息就只能由A扰码，由B阅读。 这就是VPN上数据加密的工作原理。关键字就是能在扰码过程中提供实际安全的共享密码。双方必须知道密码，而且必须小心地管理它的使用。如果有人闯入试图了解专用信息的内容，而A和B又一再地使用同一关键字，那么闯入者利用他们的扰码机、公用短语和字出现频率知识最终找到关键字，这只是一个时间问题。就此而言,专用信息就不再是安全的了。简言之，如果A和B明智的话就应频繁地改变共享密码并将变化通知对方以确保进行有效的扰码通信。数据加密的原则也是如此--加密中使用的关键字必须定期更新并传送给对方以确保整个系统的安全性。最后再设想，如果A和B在其“虚拟专用”通信系统中再增加 100名以上的通信方，他们就需要一个单独的网络用来管理将关键字传送给系统中的每个通信方。在VPN上，将这一关键字――传送功能自动化的技术称作关键字管理。 尽管它在技术上比上述想象复杂得多，但关键一点是没有自动化关键字管理系统，几名用户或办公室就不可能同时使用VPN。由于VPN的目标是尽可能减少不必要的专用网络连接，关键字管理非常重要。