一、ip虛擬專網業務介紹

    　　　　ip虛擬專用網（ip-vpn）是指互聯網服務提供商（isp）以ip骨干網為基礎提供的增值服務。最終用戶采用ip-vpn的服務，可以在多個地點之間傳送ip數據包，同時得到一定程度的服務質量保證和某種程度的安全保證。

    　　　　利用公用網絡構建虛擬專用網絡會給isp和vpn用戶帶來益處。對于isp來說，通過向企業提供ip-vpn增值服務，可以免費利用現有網絡資源，提高業務量。而對于vpn用戶而言，利用internet組建專用網，將大筆的專線費用縮減為少量的市話費用和internet費用，無疑是非常有吸引力的。而且企業甚至可以不必建立自己的廣域網維護系統，而將這一繁重的任務由專業的isp來完成。

    　　　　一個高效、成功的ip-vpn一般應具備安全保障、服務質量保證（qos）、可擴充性、靈活性、可管理性等幾個特點。

    　　二、vpn業務及實現方式

    　　　　ip-vpn業務主要分為兩種類型，即撥號vpn（簡稱vpdn）和專線vpn。vpdn業務主要應用于企業員工、企業用戶、企業合作伙伴的遠程撥號接入，專線vpn主要應用于企業的intranet和extranet的建設。

    　　　　1 撥號vpn

    　　　　對于vpdn業務，一般采用隧道協議，即pptp、l2tp或ipsec協議。vpdn業務可分為由用戶端建立的vpdn及由訪問服務器建立的vpdn。

    　　　　由用戶端建立的vpdn：首先由遠程客戶撥入一個本地網接入點（pop），然后它啟動一個支持隧道協議的客戶端軟件，與公司內聯網的vpn網關建立一條隧道，這樣就可以訪問vpn網關內的數據。優點是用戶可以同時訪問互聯網和內聯網，其局限性是遠程客戶端需要運行支持隧道協議的客戶端軟件，而且隧道對isp來說是完全透明的，故isp無法提供增值服務。

    　　　　由接入服務器（nas）建立的vpdn：首先，遠程客戶撥入isp的接入服務器（nas），由nas建立一條安全隧道到內聯網的vpn網關，由內聯網負責身份驗證和ip地址分配，遠程客戶就像直接連到內聯網一樣。其優點是遠程客戶端不需要特殊的軟件，用戶的ip地址由企業內部網分配，不占用isp的地址空間，隧道對isp來說是不透明的，故isp可以提供增值服務。

    　　　　2 專線vpn

    　　　　主要有基于用戶設備的vpn、基于網絡邊緣設備的vpn和基于網絡設備的vpn。

    　　　　基于用戶設備的vpn，企業內部網包含vpn網關設備（也可以是支持vpn隧道協議的路由器、防火墻等設備），通過租用專線接入internet。該方式解決兩個問題：隧道建立（tunneling）和地址轉換（nat）。vpn網關可由用戶購買或租用isp的設備，其安全性可由自己管理或由1sp代管。

    　　　　基于網絡邊緣設備的vpn：在ip網絡邊緣接入由運營商管理的vpn接入設備為用戶提供vpn業務。這類設備要連接多個vpn用戶，為每個用戶建立隧道（tunneling）、地址轉換（nat）、路由選擇，即要解決multi-tunneling、multi-nat、虛擬路選問題。設備由isp管理和維護。

    　　　　基于網絡的vpn：如mpls技術，要求網絡上的所有設備支持mpu協議。基于mpls的內嵌vpn是無連接的，無需定義隧道。mpls提供ip qos和流量管理，具有良好的網絡擴展性和增值服務擴展性。

    　　　　不同的運營商可以根據自己的經營模式選擇不同的vpn技術實現方式。

    　　三、vpn功能

    　　　　1、vpn功能：

    　　　　實現ip層加密、訪問控制等安全功能；

    　　　　全面符合ipsec；可保護子網間、主機間、子網與主機間的安全通訊；支持傳輸和隧道模式；

    　　　　支持基于數字證書和預共享密鑰方式的ike；

    　　　　支持多種密碼算法；

    　　　　開放的密鑰管理體系，支持符合x.509v2/v3標準的數字證書；

    　　　　基于時間和流量雙重要素的動態sa管理，并支持手工添加/刪除靜態sa；

    　　　　支持移動客戶（secure remote client）的安全接入；

    　　　　防火墻功能。

    　　　　2、典型配置模式

    　　　　vpn系統不需要改變系統原有的網絡拓撲結構，可以透明地接入用戶網絡系統。安全網關串接在外部網與內部網絡之間（如路由器和交換