ＶＰＮ技术发展趋势

孔蕴藉

　　虚拟专用网络（ＶＰＮ：Ｖｉｒｔｕａｌ Ｐｒｉｖａｔｅ Ｎｅｔ）可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Ｉｎｔｅｒｎｅｔ或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

　　 纵观ＶＰＮ技术的发展，我们可以看到，安全与服务质量是ＶＰＮ的技术保障，企业用户的需求推动ＩＰＳｅｃ ＶＰＮ的广泛应用，运营商则大力建设ＭＰＬＳ ＶＰＮ，使得未来中国的ＶＰＮ技术发展更加具多样性、灵活性，技术服务与需求趋向紧密结合。

安全协议构筑ＶＰＮ的首要特性

　　随着因特网的快速发展，近几年不断出现了一些新的网络协议。其中ＰＰＴＰ协议允许对ＩＰ，ＩＰＸ或ＮｅｔＢＥＵＩ数据流进行加密，然后封装在ＩＰ包头中通过企业ＩＰ网络或公共互联网络发送；Ｌ２ＴＰ协议允许对ＩＰ，ＩＰＸ或ＮｅｔＢＥＵＩ数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如ＩＰ，Ｘ．２５，帧中继或ＡＴＭ；ＩＰＳｅｃ协议允许对ＩＰ负载数据进行加密，然后封装在ＩＰ包头中通过企业ＩＰ网络或公共ＩＰ互联网络如Ｉｎｔｅｒｎｅｔ发送。

　　ＶＰＮ利用各种安全协议，在公众网络中建立安全隧道，提供专用网络的功能和作用。ＶＰＮ隧道技术分别以第２层或第３层隧道协议为基础。第２层隧道协议对应ＯＳＩ模型中的数据链路层，使用帧作为数据交换单位。ＰＰＴＰ，Ｌ２ＴＰ和Ｌ２Ｆ都属于第２层隧道协议，都是将数据封装在点对点协议（ＰＰＰ）帧中通过互联网络发送。第３层隧道协议对应ＯＳＩ模型中的网络层，使用包作为数据交换单位。ＩＰｏｖｅｒＩＰ以及ＩＰＳｅｃ隧道模式都属于第３层隧道协议，都是将ＩＰ包封装在附加的ＩＰ包头中通过ＩＰ网络传送。

　　一个安全的ＶＰＮ方案必须能够验证用户身份并严格控制只有授权用户才能访问ＶＰＮ；必须能够提供审计和记费功能，显示何人在何时访问了何种信息；ＶＰＮ方案必须能够为用户分配专用网络上的地址并确保地址的安全性；对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息；ＶＰＮ方案必须能够生成并更新客户端和服务器的加密密钥；ＶＰＮ方案必须支持公共互联网络上普遍使用的基本协议，包括ＩＰ，ＩＰＸ等。在保证服务质量的同时，安全是ＶＰＮ的首要特性。

ＩＰＳｅｃ ＶＰＮ方兴未艾

　　ＩＰＳｅｃ ＶＰＮ是基于ＩＰＳｅｃ协议的ＶＰＮ产品，由ＩＰＳｅｃ协议提供隧道安全保障。ＩＰＳｅｃ是一种由ＩＥＴＦ设计的端到端的确保基于ＩＰ通讯的数据安全性的机制。ＩＰＳＥＣ支持对数据加密，同时确保数据的完整性。按照ＩＥＴＦ的规定，不采用数据加密时，ＩＰＳＥＣ使用验证包头（ＡＨ）提供验证来源验证（ｓｏｕｒｃｅ ａｕｔｈｅｎｔｉｃａｔｉｏｎ），确保数据的完整性；ＩＰＳｅｃ使用封装安全负载（ＥＳＰ）与加密一道提供来源验证，确保数据完整性。在ＩＰＳｅｃ协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。

　　ＩＰＳｅｃ位于ＴＣＰ／ＩＰ协议栈的下层。该层由每台机器上的安全策略和发送、接受方协商的安全关联（ｓｅｃｕｒｉｔｙ ａｓｓｏｃｉａｔｉｏｎ