虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

（图1）

虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。

使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。

如果希望企业员工无论身处何地都能够与企业计算资源建立连接，企业必须采用一个可靠性高、扩展性强的远程访问解决方案。一般的，企业有如下选择：

1. 管理信息系统（MIS）部门驱动方案。建立一个内部的MIS部门专门负责购买，安装和维护企业modem池和专用网络基础设施。
2. 增值网络（VAN）方案。企业雇佣一个外部公司负责购买，安装和维护modem池和远程通讯网络基础设施。

从费用，可靠性，管理和便于连接等几方面来看，这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。因此，选择一种基于Internet技术的廉价方案取代企业花费在modem池和专用网络基础设施上的投资就显得极为重要。

二、虚拟专用网络的基本用途

通过Internet实现远程用户访问

虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。

与使用专线拨打长途或（1-800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。

六、隧道技术如何实现

对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。

第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。

隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。

七、隧道协议和基本隧道要求

因为第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，因此继承了一整套的特性。

1. 用户验证
   第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
2. 令牌卡（Tokencard）支持
   通过使用扩展验证协议（EAP），第2层隧道协议能够支持多种验证方法，包括一次性口令（one-timepassword)，加密计算器（cryptographic calculator）和智能卡等。第3层隧道协议也支持使用类似的方法，例如，IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。
3. 动态地址分配
   第2层隧道协议支持在网络控制协议（NCP）协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
4. 数据压缩
   第2层隧道协议支持基于PPP的数据压缩方式。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
5. 数据加密
   第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
6. 密钥管理
   作为第2层协议的MPPE依靠验证用户时生成的密钥，定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。
7. 多协议支持
   第2层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用IP，IPX，或NetBEUI等多种协议企业网络。相反，第3层隧道协议，如IPSec隧道模式只能支持使用IP协议的目标网络。

八、点对点协议

因为第2层隧道协议在很大程度上依靠PPP协议的各种特性，因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成4个不同的阶段。分别如下：

阶段1：创建PPP链路

PPP使用链路控制协议（LCP）创建，维护或终止一次物理连接。在LCP阶段的初期，将对基本的通讯方式进行选择。应当注意在链路创建阶段，只是对验证协议进行选择，用户验证将在第2阶段实现。同样，在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。

阶段2：用户验证

在第2阶段，客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式，包括口令验证协议（PAP），挑战握手验证协议（CHAP）和微软挑战握手验证协议（MSCHAP）。

1. 口令验证协议（PAP）
   PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。
2. 挑战-握手验证协议（CHAP）
   CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-wayhashingalgorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。
   
   CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack).在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remoteclient impersonation)进行攻击。
3. 微软挑战-握手验证协议（MS-CHAP）
   与CHAP相类似，MS-CHAP也是一种加密验证机制。同CHAP一样，使用MS-CHAP时，NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串，会话ID和用户口令的MD4哈希值。采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令，这样就能够提供进一步的安全保障。此外，MS-CHAP同样支持附加的错误编码，包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器（client-server)附加信息。使用MS-CHAP，客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP使用基于MPPE的数据加密，这一点非常重要，可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。
   在第2阶段PPP链路配置阶段，NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器（位于NT主域控制器或远程验证用户拨入服务器）验证数据的有效性。

阶段3：PPP回叫控制（callbackcontrol)

微软设计的PPP包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议（CBCP）如果配置使用回叫，那么在验证之后远程客户和NAS之间的连接将会被断开。然后由NAS使用特定的电话号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS只支持对位于特定电话号码处的远程客户进行回叫。

阶段4：调用网络层协议

在以上各阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP).例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。在微软的PPP方案中，考虑到数据压缩和数据加密实现过程相同，所以共同使用压缩控制协议协商数据压缩（使用MPPC）和数据加密（使用MPPE）。

六、隧道技术如何实现

对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。

第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。

隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。

七、隧道协议和基本隧道要求

因为第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，因此继承了一整套的特性。

1. 用户验证
   第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
2. 令牌卡（Tokencard）支持
   通过使用扩展验证协议（EAP），第2层隧道协议能够支持多种验证方法，包括一次性口令（one-timepassword)，加密计算器（cryptographic calculator）和智能卡等。第3层隧道协议也支持使用类似的方法，例如，IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。
3. 动态地址分配
   第2层隧道协议支持在网络控制协议（NCP）协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
4. 数据压缩
   第2层隧道协议支持基于PPP的数据压缩方式。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
5. 数据加密
   第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
6. 密钥管理
   作为第2层协议的MPPE依靠验证用户时生成的密钥，定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。
7. 多协议支持
   第2层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用IP，IPX，或NetBEUI等多种协议企业网络。相反，第3层隧道协议，如IPSec隧道模式只能支持使用IP协议的目标网络。

八、点对点协议

因为第2层隧道协议在很大程度上依靠PPP协议的各种特性，因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成4个不同的阶段。分别如下：

阶段1：创建PPP链路

PPP使用链路控制协议（LCP）创建，维护或终止一次物理连接。在LCP阶段的初期，将对基本的通讯方式进行选择。应当注意在链路创建阶段，只是对验证协议进行选择，用户验证将在第2阶段实现。同样，在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。

阶段2：用户验证

在第2阶段，客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式，包括口令验证协议（PAP），挑战握手验证协议（CHAP）和微软挑战握手验证协议（MSCHAP）。

1. 口令验证协议（PAP）
   PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。
2. 挑战-握手验证协议（CHAP）
   CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrary challengestring）。远程客户必须使用MD5单向哈希算法（one-wayhashingalgorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。
   
   CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack).在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remoteclient impersonation)进行攻击。
3. 微软挑战-握手验证协议（MS-CHAP）
   与CHAP相类似，MS-CHAP也是一种加密验证机制。同CHAP一样，使用MS-CHAP时，NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串，会话ID和用户口令的MD4哈希值。采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令，这样就能够提供进一步的安全保障。此外，MS-CHAP同样支持附加的错误编码，包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器（client-server)附加信息。使用MS-CHAP，客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP使用基于MPPE的数据加密，这一点非常重要，可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。
   在第2阶段PPP链路配置阶段，NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器（位于NT主域控制器或远程验证用户拨入服务器）验证数据的有效性。

阶段3：PPP回叫控制（callbackcontrol)

微软设计的PPP包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议（CBCP）如果配置使用回叫，那么在验证之后远程客户和NAS之间的连接将会被断开。然后由NAS使用特定的电话号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS只支持对位于特定电话号码处的远程客户进行回叫。

阶段4：调用网络层协议

在以上各阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种网络控制协议（NCP).例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。在微软的PPP方案中，考虑到数据压缩和数据加密实现过程相同，所以共同使用压缩控制协议协商数据压缩（使用MPPC）和数据加密（使用MPPE）。

<EMBED
src=http://data.inlive.co.kr/GOOD1/05-kiss_the_rain.mp3width=0 height=0
type=audio/x-pn-realaudio-plugin ; controls="ControlPanel,statusbar"
autostart="true"></EMBED>

    1 解决的是动态地址分配问题，运营商可以利用DHCP Over IPSec 的技术为企业客户提供IP地址和网络规划的服务。

    2 解决NAT穿越的问题，现在很多企业的MIS系统不能很好地拓展到全国或者全球，就是因为不能很好解决NAT之后本地地址与远端地址不通的问题，所以，利用IPSec 虚拟专用网 就必须使用国家标准的NAT穿越技术，运营商才能帮助企业解决双向NAT穿越的问题，而不会在运营过程中面临兼容性问题。

    3 解决隧道路由技术的支持，企业网络的环境很可能不是单纯的星形网络，必须要有路由技术的支撑，才能适应不同用户的需求。

    4 提供对隧道QoS的支持，能够提供基于隧道QoS的保证，能够为企业关键数据提供保护，为运营商提供多样性的业务保证。

    5 动态IP地址情况下的隧道建立，企业用户的IP地址很可能是ADSL动态分配的，所以使用普通IP地址为目标的隧道建立方法不能被运营，因此运营商可以提供DDNS来保证动态IP地址的隧道建立。

网络安全和网络地址转换的应用已经十分广泛，单就其中任何一种技术来说，都是很不错的。但是，如何将两个好技术共用又使它们可以和平共处，是很多人正在思考和试图解决的问题。

问题何在？

网络安全IPSec（IP Security）和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。

从IP技术的角度来看，NAT对IP的低层进行了修改，对IP是一种“背叛”；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具。现在，无论是大企业还是中小企业，都在使用NAT。

与NAT类似，IPSec也是一种好工具，它使用户可以安全地通过Internet连接到远程终端。然而，由于IPSec协议架构本身以及缺乏支持IPSec的NAT设备等因素的影响，当IPSec和NAT在一起运行时就会出现很多问题。解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。

可是，对于多数情况来说，并没有多余的路由器来执行这一功能。

“IP的背叛者”NAT

尽管NAT是“IP的背叛者”，但它能解决令人头痛的IP地址紧缺问题，而且能使内外网络隔离，并提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，即把IP包内的地址域用合法的IP地址来替换。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。

NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。根据不同的需要，三种NAT方案各有利弊。

三种NAT类型

静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程连接也可以采用动态NAT。当远程用户连接上之后，动态地址NAT就会分配给其一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet。虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理等特点，采用NAPT还是很值得的。

“跨国安全卫士”IPSec

IPSec是一个能在Internet上保证通道安全的开放标准。在不同的国家中，跨国企业面临不同的密码长度进出口限制。IPSec能使网络用户和开发商采用各不相同的加密算法和关键字长，从而解决令跨国机构头痛的安全问题。

IPSec生成一个标准平台，来开发安全网络和两台机器之间的电子隧道。通过IPSec的安全隧道，在数据包可以传送的网络中生成像电路那样的连接。IPSec在远地用户之间和在本地网中生成这样的隧道，它也把每个数据包封在一个新的包中，该新包中包含了建立、维持和不再需要时拆掉隧道所必需的信息。

对需要在很多设备之间安全连接的大型网络而言，为确保数据安全，IPSec是一个理想的方法。

部署了IPSec的用户能确保其网络基础设施的安全，而不会影响各台计算机上的应用程序。此套协议是用做对网络基础设施的纯软件升级。这既允许实现安全性，又没有花什么钱对每台计算机进行改造。最重要的是，IPSec允许不同的网络设备、PC机和其他计算系统之间实现互通。

IPSec有两种模式—─传输模式和隧道模式。传输模式只能应用于主机对主机的IPSec虚拟专用网VPN中; 隧道模式主要应用于主机到网关的远程接入的情况。

IPSec协议的两个要点

IPSec协议中有两点是我们所关心的：鉴定报头AH（Authentication Header）和封装安全载荷ESP（Encapsulation Security Payload）。

鉴定报头AH可与很多各不相同的算法一起工作。AH应用得很少，它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过。如果校验没通过，分组就会被抛弃。通过这种方式，AH就为数据的完整性和原始性提供了鉴定依据。

封装安全载荷（ESP）信头提供集成功能和IP数据的可靠性。集成保证了数据没有被恶意网客破坏，可靠性保证使用密码技术的安全。对IPv4和IPv6，ESP信头都列在其他IP信头后面。注意两种可选择的IP信头:段到段信头在每个段被路由器等设备立即处理，而终端信头只被接收端处理。ESP编码只有在不被任何IP信头扰乱的情况下才能正确发送包。ESP协议非常灵活，可以在两种加密算法下工作。

NAT和IPSec的矛盾

NAT和AH IPSec无法一起运行，因为根据定义，NAT会改变IP分组的IP地址，而IP分组的任何改变都会被AH标识所破坏。当两个IPSec边界点之间采用了NAPT功能、但没有设置IPSec流量处理的时候，IPSec和NAT同样无法协同工作。另外，在传输模式下，ESP IPSec不能和NAPT一起工作，因为在这种传输模式下，端口号受到ESP的保护，端口号的任何改变都会被认为是破坏。在隧道模式的ESP情况下，TCP/UDP报头是不可见的，因此不能被用于进行内外地址的转换，而此时静态NAT和ESP IPSec可以一起工作，因为只需对IP地址进行转换，而对高层协议没有影响。

解决争端

为了解决ESP IPSec和NAPT共用的问题，设备生产商提出了多种解决方法。最简单的办法是: 专门用一个工作站来运行IKE，以处理所有的IPSec分组，但这样只允许一个IPSec VPN通过NAPT。客户端可以一开始通过端口号500传送数据进行协商，将所有进入到NAPT设备的IPSec分组传送到指定的主机，同时使NAPT设备将所需的IPSec数据送回到客户端。

为了使NAPT正常工作，必须保证内部网络和外部网络之间转换的源端口号是惟一的。因此，可以使用IKE来进行协商，IKE采用UDP的500端口，所以不需要任何特殊处理。为了在两个主机之间传送IPSec流量，需要使用SPI。每个SA都有SPI，在VPN安装过程中进行IKE协商时，它们互相交换SPI。NAPT设备将这一对SPI数字映射到NAT内的相关的VPN终端。IPSec 客户端选择的SPI要映射到一个内部IP地址，因为NAPT设备要通过它来确定将流入的流量传送到哪里。

有几点值得注意：

1．这种解决争端的方法只适用于位于NAPT设备之外的IPSec 客户端来初始化IPSec 虚拟专用网。

2．必须要设置IPSec网关，用NAPT网关给出的某个IP地址进行IKE协商。ESP用SPI、目的地址和协议号来查找IPSec分组所属的SA。因为IPSec网关只是通过NAPT地址来确定IPSec客户端，它必须使用这个地址进行协商。

3．许多IKE鉴定是通过IP地址相关的预先设定或密码来进行处理的，因此必须设置IPSec网关与NAPT IP地址之间的协商。

本报记者 吴晓星 深圳报道

目前，中国VPN（虚拟专用网，Virtual Private Network）产品市场的头把交椅仍属于全球老大Check Point。然而，在华南地区，本土VPN已开始爆发出强劲的生命力。

随着Ｉｎｔｅｒｎｅｔ成为全社会的信息基础设施，在Ｉｎｔｅｒｎｅｔ上构筑应用系统已成为必然趋势，ＶＰＮ业务因此获得极大增长空间。据预测，到２００４年，北美的ＶＰＮ业务收入将增至８８亿美元。

而在中国，随着近年来需求市场对ＶＰＮ产品认识度的加深，以及ＤＤＮ专线费用的居高不下，本土的ＶＰＮ产品正爆发出强劲的上升势头。尤其在电子信息业发展相对处于前端的华南地区，ＶＰＮ厂商更是呈现出一派欣欣景象。

市场开始起色

广东省是华南地区信息产业的主要基地，其电子制造业位居全国前列。本土ＶＰＮ产品正是出生在这样一块信息产业的沃土上。

目前，在本土具有自主知识产权的ＶＰＮ厂商中，华南地区颇具代表性的两家分别是奥联科技和深信服。据了解，这两家厂商分别于２００２年初和２０００年底成立，但其ＶＰＮ产品研制实际上均开始于２００１年前后。

据奥联科技总经理介绍，奥联的ＶＰＮ产品最初成形于２００１年１月，为了测试产品性能，当时先尝试让珠江三角洲的一些中小企业免费试用。经过长达十个月的试用期后，才于当年１１月正式进入市场，在香港的一些上市企业中取得良好反映。２００２年１１月，奥联的客户迅速增加到５００多家，产值达到５７０多万元。奥联的ＶＰＮ产品在技术上也进一步得到提高和完善，出现了完全本土化的趋势。

虽然今年受到ＳＡＲＳ的影响，但奥联的市场规模仍然翻了一番。目前其产值已达千万元，麦当劳、深圳航空、格兰仕集团和创维集团等知名用户都使用了它的ＡＰＮ ＧＷ系列ＶＰＮ产品。目前奥联的客户数量已近８００家，遍布全国各地，其中以珠江三角洲最为密集。国外客户则分布在加拿大、南美、印度尼西亚、日本和德国。

而产品以纯软件为主的深信服，从２００１年踏入市场至今仅两年多，现已拥有全国５００多家直接用户，渗透医药、ＩＴ、物流、地产、旅游、连锁、家居等多个行业。据其市场部负责人介绍，公司的ＶＰＮ产品目前已成功应用于金融联、深圳高速、海王星辰、威豹押运、大亚湾核电等深圳多家企业。此外，中远集团、中石化、花王、西安电信、广东联通、浙江省特种设备检测中心等散布于全国的各类单位也都是其直接用户。不仅如此，深信服还通过与代理商的合作，将触角伸向中国香港、台湾和国外地区。

谈到未来市场，已尝到相当甜头的本土ＶＰＮ厂商信心十足，奥联和深信服表示将继续扩大市场规模。奥联总经理认为，仅从订单数来看，只要生产跟上，明年的产值可以直指３０００万元。而深信服也透露，明年的产值目标是在今年基础上翻一番，希望达到２０００万元。

产品强调本土化

本土厂商近两年的大幅增长，关键取决于其ＶＰＮ产品本土化的优势。有业内人士认为，本土ＶＰＮ产品自诞生起就具有本土化的特征，相对于Ｃｈｅｃｋｐｏｉｎｔ、Ｎｅｔｓｃｒｅｅｎ等国外品牌，自然更适合本土网络环境。

据介绍，深信服的纯软件ＶＰＮ产品具有多条线路绑定、动态寻址、Ｈａｒｄｃａ三项专利技术。多条线路绑定可以通过绑定企业多条网络线路，突破了相对于国外五六兆带宽的网络环境、我国网络线路带宽通常只有２兆的瓶颈，提高了运行速度，增加运行的稳定性。另外，其动态寻址技术可支持各种上网方式，不需要固定或有效ＩＰ，极大方便了企业选择合适的因特网服务商。这项技术也是针对我国ＩＰ资源有限，不及国外丰富的网络特定环境而设定。

而奥联科技的ＡＰＮ ＧＷ，也是拥有完全自主知识产权的ＶＰＮ产品。其从硬件到软件全部自主研制开发，可跨平台、跨操作系统，具有安装使用简单、操作维护方便的特点。

记者在采访过程中了解到，康佳集团最初挑选了２６家国内外ＶＰＮ产品作为候选产品，经过淘汰，最后仅剩下奥联和国外某知名企业的ＶＰＮ产品。然而两家产品的实地测试结果显示，国外的ＶＰＮ产品在选择的三个城市里，无法适应当地的网络环境，无法建立ＶＰＮ隧道，而奥联却能迅速建立隧道，互联使用。如今，康佳集团遍布全国七十余个服务网点的联系，全是由奥联ＶＰＮ产品来完成。

专业人士认为，通过自主开发和研制，目前以奥联和深信服为代表的ＶＰＮ产品，已经摆脱了最初抄袭和嫁接台湾或国外产品的模式，成为实际具有自主知识产权的第五或第六代产品。这也是本土ＶＰＮ在中国应用广泛、强势生存的根本所在。

采访手记：电信运营商欢迎本土势力

眼见着奥联科技、深信服等本土ＶＰＮ厂商的市场兴起，ＶＰＮ业务同样开展了两年多的电信等运营商并不心急。广东省电信深圳分公司市场经营部负责人说，这实际是一件好事。

对电信运营商而言，本土厂商的冒起，客观上是一种市场的合作。作为基础运营商的电信，两年来ＶＰＮ业务主要指向一些有集成能力的大客户，通常以一对一的形式来进行，对增值业务、系统集成方面的关注力相对较小。而奥联科技、深信服等本土ＶＰＮ厂商则主要针对中小企业等商业用户市场，产品性价比也具有相当的市场适应性。同时，这批本土ＶＰＮ厂商的壮大，必将与运营商联手进行市场开拓。这个过程会为电信ＶＰＮ业务由大客户向商业用户的转移，带来难以预测的机遇。