计算机应用
COMPUTER APPLICATIONS
1999年 第19卷 第9期 Vol.19 No.9 1999



虚拟专用网(VPN)
――安全灵活的电子商务网络平台
宋伟　刘卫宁
　　摘　要　本文从电子商务网络平台的角度出发，介绍了VPN的基本概念及其产生原因，并从网络的不同层次上讨论了VPN的几种实现技术，最后给出了几个网络厂家的VPN解决方案。
　　关键词　电子商务，网络平台，虚拟专用网
　　电子商务作为信息社会的商务模式正以超过人们预料的速度向前发展，这预示着网络经济时代正在到来。在网络经济时代，企业面临的市场是没有国界的市场，企业间的竞争是国际范围内的竞争。那么，企业是以何种方式将自己的业务范围扩展到世界的每个角落呢？答案显而易见：通过无处没有的Internet。以Internet为传输媒介，将远程客户、远程分支机构和合作伙伴等连接起来构成一个灵活的商务网络平台，同时它又必须具备专用网的安全性，这样就产生了虚拟专用网VPN。
1　VPN的概念
　　VPN实际上是一个基于Internet的企业广域网，它也可以看成是Intranet的一种延伸。VPN使分布在不同地方的专用网络能在不可信任的公用网络上安全地通信，是因为综合采用了隧道、加密和认证等安全技术。
　　在电子商务活动中，VPN网络平台可以扮演以下几种角色：
　　远程访问VPN（Remote Access VPN) 这种功能使个人可通过Internet对企业的中心网络进行远程访问。
　　企业内部网VPN（Intranet VPN） 这种功能可通过Internet 将远程分支与中心Intranet 连接起来。
　　企业协作网VPN（Extranet VPN） 这种功能可通过Internet 将客户、供应商、合作伙伴或相关企业连接到中心Intranet 的非管制区。
　　VPN与传统专用网相比具有以下优点：
　　减少网络建设投资
　　VPN将专用网络建立在公用网络之上，用户只需要投入用户端网络设备及只支付本地通信费用（免去长途通信费用），这将极大地降低网络建设、通信和维护成本。
　　网络覆盖面宽
　　利用Internet的广域特性，可将企业的业务范围延伸到世界的每个角落。
　　理想的专用性
　　虽然VPN是建立在开放的Internet之上，但由于综合采用了隧道、加密和认证等安全技术，使VPN的专用性和安全性几乎可与传统的专用网媲美。
　　良好的灵活性
　　通过VPN技术可以方便地重构Intranet与Extranet中的网络结构关系，移动用户也可在任何地点访问Intranet和Extranet中的网络资源，这是传统专用网无法相比的。
　　上述优点使VPN成为一种安全灵活的电子商务网络平台。
2　VPN的实现
　　TCP/IP协议可分为链路层、网络层、传输层及应用层。根据TCP/IP的协议模型，VPN可以分别在链路层、网络层、传输层、应用层上实现。
2.1　采用路由过滤技术建立VPN
　　通常情况下，各种公用网将为所有连接其上的子网完成路由的传输和处理，因此，一种最简便的方法是通过在网络层上实施路由控制来实现VPN。具体地说，我们可以把通过公用网络连接起来的、属于某企业或机构的各子网抽象为一个网络集合，该集合中的所有路由器不对非本集合的子网传播路由信息；同时，任何非本集合的子网的路由信息也不能到达该网络集合，这种技术被称为路由过滤（Route Filtering）。路由过滤技术既保证了属于同一集合中的各子网间的路由互通， 同时，又将本集合中的子网与连接在同一公用网络平台之上的其他子网进行了有效的隔离，从而将该集合中的各个子网组成一个虚拟专用网络。
　　优点：
　　通过对传统的路由器进行配置构造VPN，实现简便，思路清晰。
　　缺点：
　　需要与公用网平台的路由器进行协作（不利于VPN的私有性和安全性）；
　　当VPN的规模较大时，难以对网络进行维护和管理；
　　VPN的地址空间必须与公用网络地址空间保持一致，企业不能根据需要规划私有网络地址空间，也不能有效地控制VPN与公用网（如：Internet）和其他外网的接入点；
　　路由过滤技术通常需要与防火墙技术结合使用。
2.2　通过IP隧道技术建立VPN
　　IP隧道技术是目前在网络层构建VPN的主流技术。通过IP隧道技术给两台主机间传送的数据进行封装或加密，然后将这些封装过的数据从一台VPN网关向另一台VPN网关传送。VPN中的发送主机将需要路由的数据发送给发送端的VPN网关，由该网关对发送数据进行加密，并把这些数据封装在发往接收端网关的IP数据包内。接收端VPN网关先剥去相应的IP消息头，并将加密数据解密后发往接收端主机。过程如图1所示。

图1　IP隧道中数据报发送流程
　　IP隧道技术通常与IP加密技术相结合，用于构建Intranet和Extranet，最常用的IP隧道协议是通用路由封装协议GRE (Generic Routing Encapsulation) 。
　　优点：
　　. 良好的专用性和安全性
　　VPN虽然借用了公网中的网络地址和路由，但由于采用了IP隧道技术和加密技术对VPN中的数据包进行再封装，公用网对VPN只相当于一个廉价的虚拟物理链路平台；通过该平台构建的虚拟专用网在专用性、安全性及私有性等方面与传统的封闭型专用网几乎可以媲美。
　　. VPN路由与公用网路由分离
　　在同一VPN中的IP地址段是独立的，用户便可以根据自己的需求规划IP地址空间，也可以通过同一公用网络平台建立多个相互间完全独立的VPN。
　　. 能模拟多种不同的专用网络协议
　　IP隧道技术可以对多种不同协议进行封装，因此，便于模拟实现专用网络中的许多协议及功能，使VPN的性能更接近于传统的专用网。
　　缺点：
　　. 难于管理
　　IP隧道需要手工建立，技术要求较强，因此，IP隧道一般由专业ISP提供。
　　. VPN规模受限制
　　IP隧道通常是点对点的，当VPN规模较大时，IP隧道的数量将会很快增长。
　　. 影响服务质量（QOS）和性能
　　IP隧道需要对网络中的数据包进行封装和加密，因此，如何有效地缩减这一过程的处理开销，是提高VPN服务质量和性能的关键。
2.3　虚拟拨号专用网VPDN
　　拨号网络是建立广域网络的一个重要方式，因此，利用拨号网络建立VPN已越来越引起VPN开发商的重视。
　　目前，拨号网络VPN主要通过在第二层即数据链路层采用隧道协议来实现。
　　2.3.1　拨号隧道的两种模式
　　. 主动式隧道（voluntary tunneling）
　　这种方式由客户端发起并初始化隧道，隧道服务器终止隧道，ISP可不支持隧道。主动式隧道构建灵活，便于用户在不同的网络服务平台间移动。
　　. 被动式隧道（compulsory tunneling）
　　这种方式通过拨号访问服务器发起并初始化隧道，客户拨号进入访问服务器后，访问服务器识别这一连接要求，并与某一特定的远程点建立隧道。被动式隧道的发起和初始化对客户端是全透明的，常用于Intranet中。
　　2.3.2　隧道协议
　　. PPTP协议：PPTP隧道协议是微软基于Windows NT 4.0 制定的主动式隧道协议，在该协议中，与PPTP服务器之间的点到点隧道由终端客户建立并配置，而不需要中间的NAS(访问服务器)参与。具体地说，客户机首先拨号到拨号服务器并建立一个标准的TCP/IP连接，在此基础上，客户机通过该连接访问远端的PPTP服务器，并根据客户机上的VPN配置建立与远端PPTP服务器之间的PPTP连接。一旦PPTP连接建立成功，客户机与VPN平台之间的所有信息传输均在PPTP隧道内完成。整个过程实际上是在客户端建立了一个类似于串口的PPTP虚拟接口，如图2所示。

图2　建立在PPTP之上的VPDN
　　特点：
　　隧道的建立及配置由终端用户控制，特别适合于隧道终点更换频繁的情况(如，经常在不同的VPN间切换)。
　　隧道的建立不需要ISP参与，对ISP透明。
　　. L2TP协议：L2TP隧道协议是典型的被动式隧道协议，由PPTP和L2F（第二层转发协议）融合而成。在该协议中，客户机首先拨号到拨号服务器，与拨号服务器建立基于V.X Modem协议的链路层连接；拨号服务器识别该连接请求后，根据其上的配置建立与远端的L2TP服务器之间的L2TP隧道，然后在此隧道上，客户机与远端L2TP服务器之间进行PPP连接，成功后，L2TP服务器为客户机分配一个VPN内部IP地址。
　　在该协议中，拨号服务器实际上是远端L2TP服务器的客户端，它们一起组成了为客户机提供网络服务的NAS平台。该过程如图3所示。

图3　建立在L2TP之上的VPDN
特点：
　　隧道的建立和配置由拨号服务器完成，对终端客户完全透明，用户似乎直接拨号到VPN的访问服务器。
　　可以利用众多的ISP建立企业庞大的拨号服务器池。
　　ISP可通过L2TP进行增值服务。
2.4　建立在ATM和FR之上的VPN
　　在链路层中，除了通过拨号网建立VPN之外，还可以通过ATM或FR（Frame Relay）建立VPN。传统的专用线路方式中，ATM、FR通过时分或频分将链路分给网络用户，在网络信息的发送端和接收端之间存在共享时钟周期；与此相反，建立在ATM和FR之上的VPN只在网络信息的发送端和接收端之间保留一条虚拟链路。在本方式中的代表协议是Cisco指定的L2F、L2TP等，两者均采用ATM和FR来建立隧道。
2.5　建立在传输层和应用层的VPN
　　可以通过数据加密、数据封装技术在传输层和应用层上实现基于各种应用的VPN。例如，通过带认证的域名解析系统（authenticated Domain Name System）实现基于DNS的VPN等。
　　建立在传输层和应用层之上的VPN标准尚需要随着应用的发展而完善。
3　VPN产品
　　由于VPN是构建企业广域网的理想平台，各主要网络厂商已陆续推出了自己成套的VPN实用产品。Cisco公司提出了企业级VPN解决方案，它通过一系列的VPN安全功能来实现安全保障，包括隧道技术、加密技术、分组验证、防火墙、用户认证等。其中，通过PIX防火墙、NetRanger入侵检测系统和Netsonar安全扫描程序三者配合，极大地提高了企业VPN地安全性和可靠性。上述功能都集成在CiscoIOS中，目前，所有Cisco路由器均可实现VPN功能。
　　IBM率先提出安全的电子商务(e-Business)构架并推出电子商务软件系统，在电子商务的网络支撑平台上也作了大量的工作。目前，IBM的2210、2212及2216系列产品已能支持IPSec、IKE(Internet Key Exchange)、 L2F、L2TP、X.509 数字认证协议等多种VPN协议，为VPN的建立提供了良好的解决方案。
　　微软的桌面操作系统占了桌面机近90%的市场，因此，微软在客户端发起的VPDN上位于同行前列，PPTP协议便是由微软基于Windows NT 4.0制定。目前，微软已有相应的PPTP客户端和服务器端软件面市。
4　结束语
　　本文从电子商务网络平台的角度介绍了VPN的概念、实现技术及产品，虽然目前VPN技术在我国还用得不够广泛，但随着网络建设的不断深入和电子商务应用的推动，中国用户采用VPN技术的时间不会太遥远。
作者简介：宋伟　硕士，讲师。主要研究方向：电子商务、数据库技术、智能交通系统(ITS)。
刘卫宁　博士，副教授。主要研究方向：计算机网络及通信、智能交通系统。
作者单位：重庆大学计算机科学与工程学院　重庆（400044）
参考文献
［1］　Daviddd Kosiur，著.电子贸易.陈曙辉，译.北京：清华大学出版社
［2］　Peter Loshin，著.Extranet设计与实现.付　莜，乔一林，译.北京：电子工业出版社
收稿日期:1999-04-14
