传统的企业专网的解决方案大多通过向电信公司租用各种类型的长途线路来连接各分支机构的局域网，但是由于租赁长途线路费用昂贵，大多数企业难以承受。虚拟专网VPN技术是近年来兴起的一种新兴技术，它既可以使企业摆脱繁重的网络升级维护工作，又可以使公用网络得到有效的利用。在VPN技术的支持下，新的用户要想进入企业网，只需接入当地电信公司的公用网络,再通过公用网络接入企业网。这样企业不必再支付大量的长途线路费用，企业网络的可扩展性也大为提高，从而降低了网络使用和升级维护的费用,而电信公司也会因此得到更多的回报。
    什么是VPN
    VPN（Virtual Private Network）是采用隧道技术以及加密、身份认证等方法，在公共网络上构建企业网络的技术。
    隧道技术是VPN的核心。隧道是基于网络协议在两点或两端建立的通信，隧道由隧道开通器和隧道终端器建立。隧道开通器的任务是在公用网络中开出一条隧道。多种网络设备和软件可以充当隧道开通器：
    1. PC上的Modem卡和有VPN拨号功能的软件（该软件已经打包在Win95、Win98、WinNT或Win2000中）；
    2. 企业分支机构中有VPN功能的路由器；
    3. 网络服务商站点中有VPN功能的路由器。
    隧道终端器的任务是使隧道到此终止，充当隧道终端器的网络设备和软件有：
    1. 专用的隧道终端器；
    2. 企业网络中的防火墙；
    3. 网络服务商路由器上的VPN网关。
    隧道包括点到点和端到端隧道两种。在点到点隧道中，隧道由远程用户的PC延伸到企业服务器，两边的设备负责隧道的建立以及两点之间数据的加密和解密。第二种隧道是端到端隧道，隧道终止于防火墙等网络边缘设备，主要是连接两端局域网。在数据包传输中，数据包可能通过一系列隧道，才能到达目的地。隧道的设置是很灵活的。以一个远程用户通过ISP访问企业网为例。隧道开通器可以是用户的PC或者是被用户拨入的ISP路由器，隧道终端器一般是企业网络防火墙。那么隧道是由PC到企业防火墙，或者是由ISP路由器至企业防火墙。如果通过VPN实现互相访问的两个企业网分别使用不同的ISP服务，那么两个ISP公用网络之间也要建立相应的隧道。
    VPN网络中通常还有一个或多个安全服务器。其中最重要的是远程拨入用户安全服务器（RADIUS—Remote Authorization Dial-In User Service) 。VPN根据RADIUS服务器上的用户中心数据库对访问用户进行权限控制。RADIUS服务器确认用户是否有存取权限，如果该用户没有存取权限，隧道就此终止。同时RADIUS服务器向被访问的设备发送用户的IP地址分配、用户最长接入时间及该用户被允许使用的拨入电话号码等。VPN和访问服务器参照这些内容，对用户进行验证，如果情况完全相符，就允许建立隧道通信。
    VPN使用标准Internet安全技术，进行数据加密、用户身份认证等工作。
    VPN实现了什么功能
    根据前面的描述可以知道,VPN技术实现了企业信息在公用网络中的传输,就如同在茫茫的广域网中为企业拉出一条专线，对于企业来讲公共网络起到了“虚拟专用”的效果。
    VPN还有更深层的含义。通过VPN，网络对每个使用者也是专用的。也就是说，VPN根据使用者的身份和权限，直接将使用者接入他所应该接触的信息中。如果没有VPN技术的支持，访问企业信息时需要层层登录，逐级筛选自己相关的内容。如果在操作过程中，无意超过了自己的权限，系统会弹出类似“你无权访问此内容”的提示。这种操作过程既烦琐又不友好。在VPN技术支持下，用户输入口令和身份后，将可以直接进入与自己工作相关的内容。例如当访问用户是经销商时，那么他所访问的信息将是产品介绍、订货信息等，而不会出现工作安排、人事等信息和相关的提示。所以VPN对于每个用户，也是“专用”的，这一点应该是VPN给用户带来的最明显的变化。
    另外,VPN根据员工工作需要,实现工作组级的信息共享,只要身份相同,身处何地都可以是一个工作组。员工工作调动后，身份的变化，就可以实现工作组的改变。而不用改变网络设备的配置。这一点适应了企业兼并改组的需要。虚拟局域网（VLAN—Virtual LAN）也是一种实现类似功能的技术，它可以方便地修改网络配置，实现工作组级的信息共享。但是由于不同厂商的VLAN设备之间不兼容，来自不同厂家的VLAN设备不能构建虚拟局域网，而多数企业的网络都来自不同的厂商。而VPN技术由于是在协议级上解决了虚拟工作组的问题,因此只要使用VPN标准协议,不同厂商设备之间的兼容性就可以得到解决，并且是在广域网的范畴之上解决了这个问题。

[1] [2] 下一页