VPN應用越來(lái)越廣，可(kě)能用戶疑問也越來(lái)越多(duō)，這裏列舉了VPN應用中最常見的十三個(gè)問題，并給出解答(dá)。 
　　商業的流通(tōng)性帶來(lái)了更大(dà)的分支機構遠程通(tōng)訊需求，VPN應用越來(lái)越廣，可(kě)能用戶疑問也越來(lái)越多(duō)，來(lái)看看VPN應用的一些(xiē)比較有(yǒu)代表性的常見問題，也許就有(yǒu)你(nǐ)需要的答(dá)案。   
VPN和(hé)DDN專線誰更好？  
　　這個(gè)問題在很(hěn)多(duō)用戶都在咨詢，其實不是簡單的用好壞來(lái)評估的。可(kě)以說以DDN為(wèi)代表的專線技(jì)術(shù)和(hé)以IPSEC為(wèi)代表的SITE TO SITE的VPN解決方案各有(yǒu)優勢、相互補充。為(wèi)了方便的描述，以DDN為(wèi)例和(hé)VPN做(zuò)一個(gè)比較。  
　　DDN成本高(gāo)，但(dàn)是比較穩定；VPN穩定性雖然不如DDN線路，但(dàn)是通(tōng)訊成本低(dī)，易于擴展，而且随着Internet的發展，在速度、穩定性、移動性、擴展性上(shàng)越來(lái)越占有(yǒu)優勢，所以現在越來(lái)越普及。  
　　　   
VPN與專線技(jì)術(shù)全面比較  
　　一般在DDN線路中，都是采用專用線路，沒有(yǒu)與公衆線路連接在一起，所以在很(hěn)大(dà)程度上(shàng)與VPN相比，容易導緻安全上(shàng)的誤解。  
　　從實際使用上(shàng)看，由于DDN線路的專用性，所以也大(dà)大(dà)減少(shǎo)了其被攻擊破壞的可(kě)能性。但(dàn)是另外一方面，從原理(lǐ)上(shàng)分析，數(shù)據在DDN網絡上(shàng)面傳輸其實是不安全的，數(shù)據傳送的過程中可(kě)能會(huì)被人(rén)竊取、修改等；數(shù)據在VPN虛拟專網中傳輸的過程是安全的，通(tōng)過加密、身份認證、封包認證等過程保證數(shù)據包在傳送的過程中不被竊取、删除和(hé)修改。  
　　 　　   
建設VPN對網絡有(yǒu)什麽要求？  
　　這個(gè)問題還(hái)是對VPN技(jì)術(shù)的理(lǐ)解。VPN是基于“公網”建立“私網”的技(jì)術(shù)。公網不一定是Internet，例如APN實施的工程中，部分行(xíng)業用戶就是在自己已經建立的專用網絡上(shàng)再加密。其實凡是基于Internet技(jì)術(shù)、TCP/IP建立起來(lái)的網絡，就可(kě)以在這個(gè)網絡裏面再建立自己的專用網絡。  
　　對于Internet來(lái)說，VPN設備需要對網絡的接入方式有(yǒu)很(hěn)好的适應能力。APN産品在經過市場(chǎng)的磨練，在國內(nèi)各種接入、各個(gè)運營商的接入方式例如ADSL/VDSL/LAN/CDMA/GPRS/等等都可(kě)以很(hěn)好的适應。  
南北電(diàn)信互通(tōng)的問題  
    南北電(diàn)信拆分後，由于網間(jiān)的互聯互通(tōng)問題遲遲得(de)不到解決，對很(hěn)多(duō)分支機構覆蓋全國各地的公司而言，網間(jiān)速度就難以得(de)到保障。  
　　為(wèi)了解決這個(gè)問題，針對不同運營商的互通(tōng)解決方法。主要是通(tōng)過合理(lǐ)的通(tōng)過IP規劃和(hé)APN的節點可(kě)定義以及在彙聚點設置的兩條不同運營商的線路，實現電(diàn)信和(hé)電(diàn)信、網通(tōng)和(hé)網通(tōng)實行(xíng)VPN連接。  
NAT的問題  
　　網絡地址轉換（NAT）是IETF為(wèi)了解決IPv4協議定義的IP地址不足問題而提出的一種解決方案。它的主要工作(zuò)原理(lǐ)是：在內(nèi)部網絡中使用IPv4保留的私有(yǒu)地址對主機進行(xíng)地址分配，同時(shí)在NAT網關處将所有(yǒu)的內(nèi)部網絡地址以某種方式動态映射為(wèi)一個(gè)或多(duō)個(gè)因特網合法IP地址（通(tōng)常為(wèi)NAT網關的外網口地址）。目前NAT技(jì)術(shù)以其簡單實用的特點在國內(nèi)得(de)到了非常廣泛的應用，比如：企業局域網通(tōng)過代理(lǐ)或防火(huǒ)牆共享上(shàng)網，小(xiǎo)區(qū)和(hé)智能大(dà)廈提供的寬帶接入，寬帶城域網接入業務等等；而且在很(hěn)多(duō)地方用戶訪問因特網的數(shù)據往往通(tōng)過了多(duō)層NAT網關的轉換。  
　　在多(duō)數(shù)情況下NAT的處理(lǐ)對用戶使用是完全透明(míng)的，但(dàn)是當希望使用IPSec技(jì)術(shù)組建VPN網絡時(shí)，NAT卻帶來(lái)了很(hěn)大(dà)的麻煩。由于NAT處理(lǐ)過程是需要修改IP數(shù)據報文的IP頭數(shù)據、傳輸層報文頭數(shù)據甚至傳輸數(shù)據的內(nèi)容（如FTP應用），而在IPSec協議中是對整個(gè)IP報文數(shù)據進行(xíng)了加密和(hé)完整性認證處理(lǐ)的，所以一旦經過IPSec處理(lǐ)的IP包穿過NAT網關時(shí)，包內(nèi)容被網關所改動，改數(shù)據包到達目的主機後其解密或完整性認證處理(lǐ)就會(huì)失敗，于是這個(gè)報文被認為(wèi)是非法數(shù)據而被丢棄。這就是組建VPN網關最常見的“IPSec與NAT協調工作(zuò)”的問題。  
　　為(wèi)了解決這個(gè)問題IETF專門(mén)為(wèi)IPSec制(zhì)定的“NAT穿越（NATT）”的協議草案，目前該草案的最新版本為(wèi)v0.3，是2002年剛剛提出的。協議中解決NAT穿越問題的基本思路是在IPSec封裝好的數(shù)據包外再進行(xíng)一次UDP的數(shù)據封裝，這樣當此數(shù)據包穿過NAT網關時(shí)，被修改的隻是最外層的IP/UDP數(shù)據，而對其內(nèi)部真正的IPSec數(shù)據沒有(yǒu)進行(xíng)改動；在目的主機處再把外層的IP/UDP封裝去掉，就可(kě)以獲得(de)完整的IPSec數(shù)據包。  
　　由于NATT協議标準制(zhì)定的時(shí)間(jiān)還(hái)比較短(duǎn)，而且還(hái)沒有(yǒu)最終形成RFC的标準，所以目前國內(nèi)VPN廠商真正支持這個(gè)标準的産品幾乎沒有(yǒu)，國外的VPN廠商也隻有(yǒu)象NetScreen這樣的大(dà)型的VPN設備供應商才支持NATT标準。　在同一的NATT環境下設備間(jiān)通(tōng)訊以及在不同的NATT環境下設備間(jiān)通(tōng)訊。 　　  
是否所有(yǒu)的程序都可(kě)以在VPN上(shàng)運行(xíng)？  
　　目前基于網絡的程序都可(kě)以在VPN上(shàng)運行(xíng)。如果是嚴格的說法，應該是基于TCP/IP的應用可(kě)以在VPN上(shàng)運行(xíng)。很(hěn)早基于IPX開(kāi)發的就不可(kě)以。  
　　值得(de)提醒的是，目前部分國內(nèi)的ERP軟件在開(kāi)發過程中，因為(wèi)開(kāi)發環境是在局域網內(nèi)完成的，即使是基于Internet，也是通(tōng)過讀取計(jì)算(suàn)機名來(lái)标識主機的。所以在設置這樣的網絡的時(shí)候，需要在客戶端配置host，對應目标主機名字為(wèi)IP地址。  
VPN傳輸中的數(shù)據可(kě)以壓縮嗎？  
　　目前部分産品宣傳的壓縮技(jì)術(shù)，可(kě)以提供比網絡帶寬還(hái)有(yǒu)高(gāo)的網絡，但(dàn)是壓縮能提高(gāo)VPN的效率嗎？  
　　壓縮當然需要消耗CPU的資源，數(shù)據在傳輸之前先壓縮，然後到達目的地址之後就解開(kāi)，這能否變向的擴展網絡帶寬，需要綜合考慮。例如word文檔、BMP文檔的壓縮比例高(gāo)，壓縮後傳輸比直接傳輸快，這是有(yǒu)可(kě)能的。SQL查詢的時(shí)候産生(shēng)很(hěn)多(duō)數(shù)據也是可(kě)以壓縮的，所以也可(kě)以在一定程度上(shàng)提高(gāo)運行(xíng)速度。  
标準的IPSEC VPN一般都支持IP壓縮。  
　　但(dàn)是就很(hěn)多(duō)程序運用而言，一定要同時(shí)考慮設備處理(lǐ)CPU消耗和(hé)數(shù)據的可(kě)壓縮比例，才能決定是否采用壓縮。一般例如視(shì)頻、複雜數(shù)據應用上(shàng)由于應用軟件已經考慮了壓縮機制(zhì)，所以啓動壓縮功能對速度沒有(yǒu)提高(gāo)反而消耗CPU資源。最簡單的測試方法是啓動和(hé)停止壓縮功能，看看運行(xíng)情況比較。  
标準的IPSEC需要配置那(nà)些(xiē)參數(shù)？  
　　配置一個(gè)傳統的IPSEC,需要配置：隧道(dào)名稱、本地ID、本地IP、對方IP、本地內(nèi)網、對方內(nèi)網、本地下一跳(tiào)地址、VPN方式（隧道(dào)模式？）、加密方式（ESP?)、數(shù)據加密算(suàn)法、傳輸認證算(suàn)法、psk、IKE時(shí)間(jiān)、key協商時(shí)間(jiān)、PFS……APN産品采用License獨創技(jì)術(shù)，無需了解IPSEC的細節，可(kě)以在5分鍾內(nèi)設置完畢，建立VPN網絡。  
　　傳統星狀VPN的安全隐患：最早的IPSEC VPN産品，幾乎都是基于固定IP地址去實現的。這是因為(wèi)IPSEC這個(gè)協議源自美國，在IP地址豐富的情況下，需要解決的主要是安全問題。到了産品在市場(chǎng)上(shàng)應用，尤其是到了中國市場(chǎng)之後，部分VPN産品就用1個(gè)固定IP加上(shàng)其他是動态IP形成星狀連接的方式。這樣設計(jì)的方式要求中心點的VPN策略是允許所有(yǒu)建立VPN的請(qǐng)求，因為(wèi)來(lái)源的地址不固定，所以隻能采取這樣的方式。一旦洩漏了PSK等VPN配置信息，就可(kě)以聯入VPN。V  
IPSEC中的加密算(suàn)法是指什麽？  
　　IPSEC産品往往都包含多(duō)種算(suàn)法。每種加密算(suàn)法的設計(jì)，都是為(wèi)了完成不同的安全功能。例如在數(shù)據傳輸過程中用的加密算(suàn)法主要是保證數(shù)據的安全，不能被别人(rén)竊聽(tīng)；而為(wèi)了保證數(shù)據在傳輸的過程中不能被更改，設計(jì)了MD5這樣的加密算(suàn)法；而為(wèi)了保證通(tōng)訊對方的身份是特定的身份，設計(jì)了RSA這樣的算(suàn)法。  
　　加密算(suàn)法以VPN為(wèi)例解釋如下：  
　　VPN産品支持多(duō)種加密算(suàn)法，數(shù)據傳輸可(kě)自由選擇：這是用在數(shù)據傳輸的過程，即從A到B，數(shù)據是經過這樣的加密了傳輸過去的。  
　　AES/128位加密算(suàn)法  
　　3DES/168位加密算(suàn)法  
　　SERPENT/128位加密算(suàn)法  
　　BLOWFISH/128位加密算(suàn)法  
　　TWOFISH/128位加密算(suàn)法  
　　硬件加密卡或第三方算(suàn)法  
　　國家(jiā)密碼算(suàn)法  
　　保證數(shù)據完整可(kě)自由選擇：這個(gè)是用在保證傳輸過程中數(shù)據不被竄改的。一般這些(xiē)算(suàn)法叫做(zuò)“摘要算(suàn)法”，可(kě)以理(lǐ)解成在數(shù)據上(shàng)做(zuò)了一些(xiē)标簽，到達目的之後會(huì)判斷是否被更改  
　　MD5-96  
　　SHA1-96  
　　SHA2-256  
　　SHA2-512  
　　身份認證支持：這是用來(lái)做(zuò)身份識别的，主要是為(wèi)了防止被假冒對端進行(xíng)通(tōng)訊。  
　　RSA 2048  
　　Pre-share Key  
　　證書(shū)  
　　以上(shàng)的加密算(suàn)法加上(shàng)IKE，構成了完整的IPSEC架構安全體(tǐ)系。  
不同廠家(jiā)的VPN産品之間(jiān)能通(tōng)訊嗎？  
　　不同廠家(jiā)提供的VPN産品之間(jiān)能夠互通(tōng)嗎？事實上(shàng)，如果都是基于IPSEC協議，選擇同樣的加密算(suàn)法，采用IKE交換和(hé)PSK認證，是可(kě)以通(tōng)訊的而且比較容易實現。例如APN産品和(hé)NETSCEEN之間(jiān)，是可(kě)以互聯互通(tōng)的。選擇VPN的産品的時(shí)候，這個(gè)也是可(kě)以作(zuò)為(wèi)判斷是否是基于IPSEC構架的一個(gè)方法。  
動态IP地址如何實現VPN？  
　　目前其他VPN産品解決動态IP地址的方法，主要有(yǒu)動态網頁、DDNS等方法。這些(xiē)解決方法都是或多(duō)或少(shǎo)依賴于第三方的技(jì)術(shù)或者服務，究其中心點來(lái)說，原理(lǐ)上(shàng)是一個(gè)被動接受的方式，有(yǒu)請(qǐng)求才能回應，所以為(wèi)了獲得(de)各節點的地址，設計(jì)上(shàng)需要不斷的到網站(zhàn)刷新獲得(de)可(kě)能變化的地址。這種設計(jì)很(hěn)大(dà)程度上(shàng)導緻了穩定問題。  
　　APN和(hé)其他動态IP比較，采用獨立開(kāi)發的VDN技(jì)術(shù)，APNGW産品采用了交互式的基于APNGW-VDN之間(jiān)的設計(jì)，可(kě)以由VDN來(lái)協調網絡拓撲，形成節點可(kě)定義；同時(shí)完成隧道(dào)的自動巡檢，保證隧道(dào)的穩定性。  
為(wèi)什麽需要IKE  
　　Internet 密鑰交換協議（IKE）用于在兩個(gè)通(tōng)信實體(tǐ)協商和(hé)建立安全相關，交換密鑰。安全相關(Security Association)是 IPSec 中的一個(gè)重要概念。一個(gè)安全相關表示兩個(gè)或多(duō)個(gè)通(tōng)信實體(tǐ)之間(jiān)經過了身份認證，且這些(xiē)通(tōng)信實體(tǐ)都能支持相同的加密算(suàn)法，成功地交換了會(huì)話(huà)密鑰，可(kě)以開(kāi)始利用 IPSec 進行(xíng)安全通(tōng)信。IPSec 協議本身沒有(yǒu)提供在通(tōng)信實體(tǐ)間(jiān)建立安全相關的方法，利用 IKE 建立安全相關。IKE 定義了通(tōng)信實體(tǐ)間(jiān)進行(xíng)身份認證、協商加密算(suàn)法以及生(shēng)成共享的會(huì)話(huà)密鑰的方法。IKE中身份認證采用共享密鑰和(hé)數(shù)字簽名兩種方式，密鑰交換采用 Diffie?Hellman 協議。  
　　如果不是基于IPSEC協議的VPN，注意了解其密鑰交換的方式。  
是否加密了就會(huì)安全？  
　　VPN産品涉及最多(duō)的技(jì)術(shù)就是加密了。加密了是否究可(kě)以保證安全呢？通(tōng)過以上(shàng)的幾個(gè)描述，應該認識到，加密隻是一種技(jì)術(shù)，在整個(gè)通(tōng)訊過程中需要完整的體(tǐ)系結構，結合加密技(jì)術(shù)、IKE、密鑰管理(lǐ)等方面的技(jì)術(shù)，才能構建真正安全的VPN系統。也正是IPSEC的誕生(shēng)初衷，以安全體(tǐ)系架構安全網絡。  
　　APN是基于IPSEC的VPN，安全的架構設計(jì)保證通(tōng)訊的整體(tǐ)安全。  　　  
防火(huǒ)牆和(hé)VPN是什麽關系？  
    最早在國內(nèi)的安全領域，VPN概念出現是一些(xiē)加密設備。很(hěn)多(duō)是用在專線上(shàng)進行(xíng)鏈路加密或者工作(zuò)在網橋模式下的加密。一般較少(shǎo)考慮防火(huǒ)牆問題，反之，最開(kāi)始的防火(huǒ)牆，都是考慮NAT、過濾等因素，對遠程聯網考慮少(shǎo)一些(xiē)。随着Internet的發展，很(hěn)多(duō)企業的應用都和(hé)Internet結合起來(lái)，而IPSEC的出現也很(hěn)好的解決了安全問題，所以VPN和(hé)防火(huǒ)牆越來(lái)越近，大(dà)有(yǒu)合二為(wèi)一的趨勢。