VPN技术综述及应用

虚拟专用网的体系结构有多种形式，分类示意图如图4。

（1）ATM PVC组建方式，即利用电信部分提供的ATM PVC来组建用户的专用网。这种专用网的通信速率快，安全性高，支持多媒体通信。

（2）IP Tunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证，不支持多媒体通信；使用国际通行的加密算法，安全性好；这种组网方式的业务在公众通信网遍及的地方均可提供。

（3）Dial-up Access组网方式（VDPN）。这是一种拨号方式的专用网组建方式，可以利用已遍布全国的拨号公网来组建专用网，其接入地点在国内不限，上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言，这是一种非常理想的组网方式。它可以将用户内部网的界限，从单位的地理所在延伸到全国范围。

2.1 拨号VPN（VDPN）

拨号VPN又可分为客户发起的（Client-Initiated）VPN和NAS发起的VPN。

2.1.1 客户发起的VPN

在客户发起的VNP中，用户拨号到本地的POP远程，由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接，客户端运行Ipsec软件，客户软件与公司内部网络防火墙上的Ipsec进程通信，或者直接与支持Ipsec的路由器通信，确保连接的安全性。这种形式的VPN优点是：

（1）远程用户能够同时与多个Home Gateway建立IP Tunnel。

（2）远程用户不必重新拨号，就可以进入另一网络。

（3）VPN的建立和管理与ISP无关。

    缺点是：因为这种加密的VPN隧道对于服务提供商而言是透明的，在客户端需要专用的拨号软件，而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此，大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式，如下面所讨论的那样。

2.1.2 NAS发起的VPN

在NAS发起的VPN中，由服务提供商的POP中的NAS请求并创建到客户公司路由器（或者Home Gateway）的VPN隧道。NAS使用L2F（Layer 2 Forwarding Protocol）或者L2TP（Layer 2 Tunneling Protocol）协议来建立到客户Home Gateway的安全隧道。L2TP是不久前建立的标准，这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于Home Gateway来说，L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。

表现得似乎用户是直接拨号到公司内部网上。

在这种拨号VPN形式中，用户认证公两级处理。当用户拨入时，首先由服务提供商NAS执行基本的认证，这个认证仅仅识别出用户的公司身份。然后，NAS打开到用户公司Home Gateway的隧道，由Home Gateway来执行用户级的认证功能。

这种VPN形式有若干优点：对拨号用户透明，用户PC上无需特殊的客户软件，因而管理简单化；由于是由服务提供商初始化隧道，他们可以提供优质的拨号VPN服务，如通过预留Modem端口，优先的数据传送等手段保证拨号VPN用户得到所需的服务；NAS可以时支持Internet或其他公用网络和VPN服务；由于到某一目的的通信量全部通过单一隧道传送，大