一、ip虚拟专网业务介绍

    　　　　ip虚拟专用网（ip-vpn）是指互联网服务提供商（isp）以ip骨干网为基础提供的增值服务。最终用户采用ip-vpn的服务，可以在多个地点之间传送ip数据包，同时得到一定程度的服务质量保证和某种程度的安全保证。

    　　　　利用公用网络构建虚拟专用网络会给isp和vpn用户带来益处。对于isp来说，通过向企业提供ip-vpn增值服务，可以免费利用现有网络资源，提高业务量。而对于vpn用户而言，利用internet组建专用网，将大笔的专线费用缩减为少量的市话费用和internet费用，无疑是非常有吸引力的。而且企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务由专业的isp来完成。

    　　　　一个高效、成功的ip-vpn一般应具备安全保障、服务质量保证（qos）、可扩充性、灵活性、可管理性等几个特点。

    　　二、vpn业务及实现方式

    　　　　ip-vpn业务主要分为两种类型，即拨号vpn（简称vpdn）和专线vpn。vpdn业务主要应用于企业员工、企业用户、企业合作伙伴的远程拨号接入，专线vpn主要应用于企业的intranet和extranet的建设。

    　　　　1 拨号vpn

    　　　　对于vpdn业务，一般采用隧道协议，即pptp、l2tp或ipsec协议。vpdn业务可分为由用户端建立的vpdn及由访问服务器建立的vpdn。

    　　　　由用户端建立的vpdn：首先由远程客户拨入一个本地网接入点（pop），然后它启动一个支持隧道协议的客户端软件，与公司内联网的vpn网关建立一条隧道，这样就可以访问vpn网关内的数据。优点是用户可以同时访问互联网和内联网，其局限性是远程客户端需要运行支持隧道协议的客户端软件，而且隧道对isp来说是完全透明的，故isp无法提供增值服务。

    　　　　由接入服务器（nas）建立的vpdn：首先，远程客户拨入isp的接入服务器（nas），由nas建立一条安全隧道到内联网的vpn网关，由内联网负责身份验证和ip地址分配，远程客户就像直接连到内联网一样。其优点是远程客户端不需要特殊的软件，用户的ip地址由企业内部网分配，不占用isp的地址空间，隧道对isp来说是不透明的，故isp可以提供增值服务。

    　　　　2 专线vpn

    　　　　主要有基于用户设备的vpn、基于网络边缘设备的vpn和基于网络设备的vpn。

    　　　　基于用户设备的vpn，企业内部网包含vpn网关设备（也可以是支持vpn隧道协议的路由器、防火墙等设备），通过租用专线接入internet。该方式解决两个问题：隧道建立（tunneling）和地址转换（nat）。vpn网关可由用户购买或租用isp的设备，其安全性可由自己管理或由1sp代管。

    　　　　基于网络边缘设备的vpn：在ip网络边缘接入由运营商管理的vpn接入设备为用户提供vpn业务。这类设备要连接多个vpn用户，为每个用户建立隧道（tunneling）、地址转换（nat）、路由选择，即要解决multi-tunneling、multi-nat、虚拟路选问题。设备由isp管理和维护。

    　　　　基于网络的vpn：如mpls技术，要求网络上的所有设备支持mpu协议。基于mpls的内嵌vpn是无连接的，无需定义隧道。mpls提供ip qos和流量管理，具有良好的网络扩展性和增值服务扩展性。

    　　　　不同的运营商可以根据自己的经营模式选择不同的vpn技术实现方式。

    　　三、vpn功能

    　　　　1、vpn功能：

    　　　　实现ip层加密、访问控制等安全功能；

    　　　　全面符合ipsec；可保护子网间、主机间、子网与主机间的安全通讯；支持传输和隧道模式；

    　　　　支持基于数字证书和预共享密钥方式的ike；

    　　　　支持多种密码算法；

    　　　　开放的密钥管理体系，支持符合x.509v2/v3标准的数字证书；

    　　　　基于时间和流量双重要素的动态sa管理，并支持手工添加/删除静态sa；

    　　　　支持移动客户（secure remote client）的安全接入；

    　　　　防火墙功能。

    　　　　2、典型配置模式

    　　　　vpn系统不需要改变系统原有的网络拓扑结构，可以透明地接入用户网络系统。安全网关串接在外部网与内部网络之间（如路由器和交换