×××基礎知識

　　虛拟專用網絡(×××)是一門新型的網絡技術，它為我們提供了一種通過公用網絡(如最大的公用網際網路)安全地對企業内部專用網絡進行遠端通路的連接配接方式。我們知道一個網絡連接配接通常由三個部分組成:客戶機、傳輸媒體和伺服器。×××網絡同樣也需要這三部分，不同的是×××連接配接不是采用實體的傳輸媒體，而是使用一種稱之為“隧道”的東西來作為傳輸媒體的，這個隧道是建立在公共網絡或專用網絡基礎之上的，如網際網路或專用intranet等。同時要實作×××連接配接，企業内部網絡中必須配置有一台基于windows nt或windows2000 server(目前windows系統是最為普及，也是對×××技術支援最為全面的一種作業系統)的×××伺服器，×××伺服器一方面連接配接企業内部專用網絡(lan)，另一方面要連接配接到網際網路或其它專用網絡，這就要×××伺服器必須擁有一個公用的ip位址，也就是說企業必須先擁有一個合法的internet或專用網域名。當客戶機通過×××連接配接與專用網絡中的計算機進行通信時，先由nsp(網絡服務提供商)将所有的資料傳送到×××伺服器，然後再由×××伺服器将所有的資料傳送到目标計算機。因為在×××隧道中通信能確定通信通道的專用性，并且傳輸的資料是經過壓縮、加密的，是以×××通信同樣具有專用網絡的通信安全性。整個×××通信過程可以簡化為以下4個通用步驟:

　　(1)客戶機向×××伺服器送出請求;

　　(2) ×××伺服器響應請求并向客戶機發出身份質詢，客戶機将加密的使用者身份驗證響應資訊發送到×××伺服器;

　　(3) ×××伺服器根據使用者資料庫檢查該響應，如果賬戶有效，×××伺服器将檢查該使用者是否具有遠端通路權限;如果該使用者擁有遠端通路的權限，×××伺服器接受此連接配接;

　　(4)最後×××伺服器将在身份驗證過程中産生的客戶機和伺服器公有密鑰将用來對資料進行加密，然後通過×××隧道技術進行封裝、加密、傳輸到目的内部網絡。

　　1. ×××的優勢

　　×××網絡給使用者所帶來的好處主要表現在以下幾個方面:

　　(1)節約成本

　　這是×××網絡技術的最為重要的一個優勢，也是它取勝傳統的專線網絡的關鍵所在。據行業調查公司的研究報告顯示擁有×××的企業相比起采用傳統租用專線的遠端接入伺服器或modem池和撥号線路的企業能夠節省30%到70%的開銷。開銷的降低發生在4個領域之中:

　　移動通訊費用的節省:這主要是針對于有許多職工需要移動辦公的企業來說的，因為這樣對于出差在外地的移動使用者來說隻需要接入本地的isp就可以與公司内部的網絡進行互連，大大減少了長途通信費。企業可以從他們的移動辦公使用者的電話費用上看到立竿見影的好處。

　　專線費用的節省:采用×××的費用比起租用專線來要低40～60%，而無論是在性能、可管理性和可控性方面兩者都沒有太大的差别。通過向虛拟專線中加入語音或多媒體流量，企業還可以進一步獲得成本的節約。這一點對于過去有過租用象ddn之類的專線的企業使用者就會有更深刻的感受了，租用ddn一個小小的64k就得每月花費幾千上萬元費用，采用×××後不僅這方面的費用會大大減少(但通常不能全免，因為在企業與nsp之間這一段還得租用nsp的專用線路，但這已是相當短的了)，而且還可能會在帶寬上有更大的優勢，因為現在的×××技術可以支援寬帶技術了。

　　裝置投資的節省:×××允許将一個單一的廣域網接口用作多種用途，從分支機構的互聯到合作夥伴通過外聯網(extranet)的接入。是以，原先需要流經不同裝置的流量可以統一地流經同一裝置。由此帶來的好處便是企業不再像原先那樣需要大量的廣域網接口了，也不必再像以前那樣頻繁地進行周期性的硬體更新了，這樣就可大大減少了企業固定裝置的投資，這對于是、小型企業來說是非常之重要的。此外，×××還使企業得以繼續對其關鍵業務型的舊有系統進行有效利用，進而達到保護軟硬體投資的目的。

　　支援費用的節省:通過減少modem池的數量，企業自身支援費用可以被降至最低。原先用來對遠端使用者進行支援的、經常超負荷工作的企業支援熱線(通常還需由專人負責)被nsp幫助桌面系統所取代。而且，由于nsp幫助桌面系統可以完全實作從總部中心端進行管理，是以×××可以極大地降低對遠端網絡的安裝和配置成本。在降低費用方面主要表現為:遠端使用者可以隻通過向當地的isp申請賬戶登入到網際網路，以網際網路作為隧道與遠端企業内部專用網絡相連。這樣采用撥号方式的遠端使用者則不需要采用長途撥号，企業總部也可隻支付isp本地網絡使用費，在長途通信費用方面就會大幅度降低，據專業分析機構調查顯示，采用×××與傳統的撥号方式相比可以節約通訊成本可達50%-80%。與租用專線方式相比更具有明顯的費用優勢，一般×××每條連接配接的費用成本隻相當于租用專線的40%到60%;×××還允許一個單一的wan接口服務多種用途，是以使用者端隻需要極少的wan接口和裝置。而且由于×××是可以完全管理，并且能夠從中央網站進行基于政策的控制，是以可以大幅度地減少在安裝配置遠端網絡接口所需的裝置上的開銷。另外，由于×××獨立于初始的協定，這就使得遠端的接入使用者可以繼續使用傳統的裝置，保護了使用者在現有硬體和軟體系統上的投資。

　　(2)增強的安全性

　　目前×××主要采用四項技術來保證資料通信安全，這四項技術分别是隧道技術(tunneling)、加解密技術(encryption & decryption)、密鑰管理技術(key management)、身份認證技術(authentication)。

　　在使用者身份驗證安全技術方面，×××是通過使用點到點協定(ppp)使用者級身份驗證的方法來進行驗證，這些驗證方法包括:密碼身份驗證協定(pap)、質詢握手身份驗證協定(chap)、shiva密碼身份驗證協定(spap)、microsoft質詢握手身份驗證協定(ms-chap)和可選的可擴充身份驗證協定(eap);

　　在資料加密和密鑰管理方面×××采用微軟的點對點加密算法(mppe)和網際協定安全(ipsec)機制對資料進行加密，并采用公、私密鑰對的方法對密鑰進行管理。mppe使windows 95、98和nt 4.0終端可以從全球任何地方進行安全的通信。mppe加密確定了資料的安全傳輸，并具有最小的公共密鑰開銷。以上的身份驗證和加密手段由遠端×××伺服器強制執行。對于采用撥号方式建立×××連接配接的情況下，×××連接配接可以實作雙重資料加密，使網絡資料傳輸更安全。

　　還有，對于敏感的資料，可以使用×××連接配接通過×××伺服器将高度敏感的資料伺服器實體地進行分隔，隻有企業intranet上擁有适當權限的使用者才能通過遠端通路建立與×××伺服器的×××連接配接，并且可以通路敏感部門網絡中受到保護的資源。