保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认(IP Spoofing)的能力。

　　1.1 VPN产生背景

　　在当今世界，随着企业网应用的日益广泛，企业网的范围也在不断扩大，从本地网络，发展到跨地区跨城市，甚至是跨国家的网络。网络的范围日渐扩大，导致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。而在此同时，国内公众信息网(ChinaNET与Internet)在近几年来得到高速发展，已经遍布全国各地，在物理上，各地的公众信息网都是连通的，但由于公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网，来安全地建立企业的专有网络，就成为了现今网络应用上最迫切需要解决的一个重要课题。VPN技术的出现，为问题的解决带来了新的方向。VPN技术，也就是虚拟专网技术，是指在公共网络中建立私有专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

　　未来机遇

　　目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的，目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础(见draft-ietf-pppext-l2tp-security-01)。同时IPSEC得到厂家支持广泛，Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙，包括天网防火墙，都支持IPSEC标准。因此在构造VPN基础设施时{zh0}采用IPSEC标准，至少也必须采取以IPSEC为加密基础的L2TP协议。

　　1.3 VPN发展前景

　　广泛来说，VPN的发展具有以下发展前景:

　　使用价值

　　市场潜力

　　保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。

　　信息产业部部长吴基传指出，建立一个完整、统一、先进的国家公用信息基础网，是当前的首要任务。同时，要充分利用这个网络，构建面向各种业务和应用的信息应用系统。

　　ISP的角色

　　VPN的服务必须有Internet服务提供商(ISP)的介入，因为只有ISP才能建立起具有完善功能的、可重复使用的VPN服务体系，所以Internet服务提供商(ISP)将会在VPN市场上发挥越来越大的作用，作为一个整体解决方案的提供者，服务提供商除了能够提供各种本地和长途专线和拨号用户的服务，还能提供基于目前广泛的Internet网络的VPN的服务，以满足绝大多数用户和企业应用目前以及将来发展的需求。

　　1.2 VPN技术支撑

　　VPN业务的开展将刺激国内企业内部网信息资源挖掘的力度，如此庞大的市场并非海市蜃楼，中国的ISP，特别是作为中国{zd0}的ISP的中国电信，不应在观望中错失良机。

　　同时VPN可以在多种场合得到应用。从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络(有厂家称之为VPDN，属于VPN的一种特例)。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网；虚拟专用拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件：

1. VPN概念

　　目前，VPN技术越来越体现出其价值，作为一种非常灵活和可靠的技术和手段，跨国、跨区域公司中分布于各地的雇员、客户、供货商、代理商、合作伙伴可利用此技术以非常可靠和简易的方式借助公众网络与公司内部网络联系，并进行统一的规划和管理。根据Infonetics的研究报告，VPN业务的开展将为企业提供节省长途专线租用成本的20%～47%，节省远程拨号费用的60%～80%。

　　保证通道的机密性，提供强有力的加密手段，必须使偷听者不能xx拦截到的通道数据。 l 提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演(Replay)的功能，保证通道不能被重演。

　　提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制(Access Control)。

　　2. 国内运营商VPN需求分析

　　根据统计报告，VPN产品、系统集成和服务的市场将以每年超过{bfb}的增长率发展，从1997年的205万美元到2001年的11。9亿美元。到2001年，ISP将通过VPN获益90亿美元，55%的企业有意建立VPN。对于国内，今年是政府上网年，VPN技术又恰恰能够解决国家政府机关、各大部委的上网、安全及互联问题，因而国内的VPN市场蕴含着无穷的潜力。

　　根据我们对VPN技术、IP发展趋势的跟踪和研究，就目前我国面向公众提供信道接入的部门应如何充分利用国家公用信息基础网建设各部门、各行业的专用广域网提出一点建设思路，利用VPN提供增值服务进行可行性分析，以期提高服务商的行业竞争力，同时籍着提供的VPN服务改变目前各行业网和各专业网过于分散、规模过小、技术层次不高等局面。

　　2.1 目前现状

　　经过十几年的发展，我国通信部门已基本建成了覆盖全国的大容量、数字化的通信传输主干道，其数字化水平和技术层次已达到世界先进水平。目前，国内跨省干线SDH传输网主要采用10Gbps、2.5Gbps速率。中国公众多媒体网(简称169网)已经全国开通(除少数省市外)，该网的省间骨干由34M 到155M的ATM构成，部分省份还建成了省内ATM高速网(如广东省、江苏省)。这是一个基于IP应用的高速骨干网，为跨省、跨地区的通信提供了一个高速的通信主干道。如何充分利用这个高速主干道为国内用户提供增值服务，我国电信部门应有相应的积极可行的政策和策略。

　　另一方面，由中央各部委、各行业主管部门牵头的各个行业网在最近几年得到了飞速发展，各行业纷纷建设自己的行业网(如科技网、经济网、卫生网、劳动网、医学网、电力网等等)，在本行业中发挥了很好的作用。从网络结构上来看，一般都是在北京建立中心节点，各个地区建立区域节点，区域节点以64K(或128K)DDN连入中心节点，各个市级节点也以64K DDN接入区域节点，形成一个以DDN专线或卫星专线为广域网联网手段的三级网络结构。在北京的中心节点又以64K(或64K以上)DDN专线接入我国四大Internet出口中的一个。

　　这种广域网的结构体系，在当时的技术条件下，也不能说有什么问题。但目前看来，有两个明显的弊病：一是各个网络之间相互独立，规模小，互相访问很慢(都要绕道北京或国外)，不利于信息资源的共享和提高信息资源利用率，不利于形成规模效益；二是网络运行维护费用高、可靠性差。各个中心节点不仅要支付昂贵的DDN专线租用费，还要支付Internet出口费用；同时还要专人维护并不可靠的广域网。而且，一般情况下都是主要由中心节点来组织信息源上网，可见中心节点的负担之重。

　　从以上两个方面(电信、各专业系统)的情况来看，不难看出为什么信息产业部提出要“以国家公用信息基础网络为基础，通过联合投资、合作改造等形式，构建面向各种业务和应用的信息应用系统”的策略。目前，由国家发起的“政府上网”工程，正是对这一思路的具体体现，但如何实现，不是一个行政指令就能完成的，需要依靠采用先进的技术手段来进行改造。Top