安全无价 带你揭秘联通无线VPN组网技术

　　随着经济的发展，企业网络日益扩张，客户分布日益广泛，合作伙伴日益增多。这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷。传统企业网是基于固定物理结构的专线连接方式，并且网络专用性强，扩展性能较差。企业的发展对其网络建设提出了更高的需求，主要表现在网络的安全性、灵活性、经济性、扩展性等方面。传统企业网已难以适应现代企业对网络发展的需求。于是在这样的背景下，VPN (Virtual Private Network)以其独具特色的优势赢得了越来越多的企业的青睐。利用运营商提供的VPN，企业可以较少地关注网络的运行与维护，而更多地致力于企业商业目标的实现。

　　联通网络作为提供公共网络服务的运营商，拥有丰富的网络资源，先进的技术，较强的网络维护力量，可利用VPN技术为拥有众多分支机构的企业用户提供更好更快捷的网络连接服务和灵活组网的关键技术和方法。

　　联通无线VPN是在MPLS封装隧道上再利用带加密选项的IPsec隧道封装构成，基于MPLS的隧道VPN由联通提供，IPsec隧道封装可以由联通提供也可以由企业根据自己的情况配置。本文深入调查联通公司无线VPN组网的技术原理和工程实现过程，在此基础上形成较有条理的技术文章。本文重点探讨如何在Internet上利用MPLS及工PSEC隧道封装构建联通无线VPN的技术和方法问题，并结合信息系统安全理论论述了利用MPLS及工PSEC构建VPN的安全性能。

　　2. VPN的概念

　　VPN是英文Virtual Private Network的缩写，其中文意思为“虚拟专用网络”或“虚拟私用网络”。顾名思义，这种“专用”或“私用”网络是一种技术虚拟。也就是说，VPN通过共享的公共通信基础设施为用户提供网络连接。当一个组织机构利用这种虚拟连接技术组成自己的“专用”网络时，在这个专用网络内，所有用户共享相同的安全性、优先权服务、可靠性和可管理性等策略。因此，VPN既能在因特网上通过配置形成，也可建立在ISP现有的IP、帧中继和ATM等基础通信网络设施上。

　　从经济利益考虑，VPN具有节省远程访问的长话费、网络设备运行和维护管理费、快速连接、简便和简化WAN连接管理的优势。

图2.1

　　用于构建VPN的公共网络包括帧中继、ATM等。在公共网络上组建的VPN如企业现有的私有网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的固定网络拓扑而言的。例如，对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用共享通信基础设施来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴，如图2. 1所示

　　由图可知，企业内部资源享用者只需连入本地工SP的POP (Point Of Presence，接入服务提供点)，即可相互通信，而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地工SP的_L网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。

[1] [2] 下一页