VPN的两大典型应用及问题分析

VPN是一个舶来词，中文的意识就是“虚拟专用网络”。他可以通过特殊点加密通信协议在互联网上开辟一条通道，为用户之间通信建立连接。在外部看起来，好像是一条通信的专线，但是其不用铺设通信光缆。所以，利用VPN技术的话，可以实现安全的、快捷的通信，而且，由于不需要专门铺设光缆，成本也不是很高。所以，VPN技术的话，现在在企业中应用的非常的广泛。

VPN虚拟局域专用网络，在企业中，主要有三种应用的场景。掌握这三种应用的配置与管理，那么对于VPN技术，就入门了。俗话说，师傅领进门，修行在自身。笔者在这里就充当一回老大哥，谈谈VPN技术在企业中的三种典型应用。或许对大家有所帮助。

典型应用一 连接企业不同办事处或者不同公司之间的网络

现在很多企业可能都不只一家生产工厂或者办事处。像笔者这样的一个外资企业，除了在浙江有一家生产工厂和外贸公司外，在内地，如安徽等地，也有其加工厂。现在遇到的问题是，这些公司之间的网络如何进行相互连接?若采用铺设光缆的方法，明显是行不通的，成本太大。为此，该如何进行连接呢?可选的方法可能比较多。

如企业可以通过NAT技术实现对企业部分主机或者特殊应用的连接，如可以利用NAT技术，让安徽的加工成访问企业的ERP系统。但是，利用NAT技术的话，有一些限制。如访问的速度比较慢、安全性难以得到有效的保障;重要的是利用NAT技术的话，只能对一些特定的主机进行访问，而不能像是在企业内部网路一样，访问自己想要访问的主机或者服务等等。真是由于NAT技术由种种的缺陷和限制，所以，利用NAT技术来解决企业不同办事处或者分公司之间的网络通信，只可以说是一种可选的方案，而不是一种良好的方案。

笔者现在使用的是利用VPN技术，实现企业不同地点的分公司之间的网络通信。其实，也是非常简单的一个配置。在企业不同分公司两端的防火墙上，都配置一个VPN服务器。如此的话，两个网络就可以利用VPN技术在互联网上开辟一条局域网专用通道，把各个分公司之间的网络进行连接。如此的话，各个分公司的网络就好像是在企业内部网络中一样。一方面，利用VPN技术的话，可以在一定程度上保障通信内容的安全性。VPN技术在安全上的设计，个人认为比NAT技术要上一个层次。另一方面，利用虚拟局域专用网络的话，在速度上也有保障。其实，对于大部分企业来说，要在不同企业之间进行访问，安全性上可能还是次要的，对于速度的追求反而是更加敏感。所以，VPN技术在速度上的优势，更加使NAT技术不可匹敌的。当然，用户申请的带宽不同，这方面也有明显的区别。

在利用VPN技术实现公司之间网络对接的话，要注意以下几个问题：

1、涉及具体带宽的问题。VPN技术虽然可以提供比较高的网络访问性能，但是，其仍然受到企业带宽申请的限制。所以，我们网络管理员在部署VPN应用的时候，要注意分析，看看未来可能产生的带宽与访问数量。这跟个人利用VPN服务器登陆企业内部网络不同，访问的数量、产生的数据流量两者都不能相比。故，在利用VPN技术实现不同企业网络对接的时候，有必要收集一下用户的需求，如会不会有视频会议的需求;会不会在总公司的网络上放置一些视频培训内容，让下面各个子公司进行访问;如会不会在总公司部署文件服务器或者ERP服务器，让下面的各个分公司使用等等。这些应用都会产生很大的数据流量。所以，若现在或者将来可能会采取这些应用的话，则企业在带宽的申请或者VPN设备的购置时，都要有这个预算。不然，等到需要时，再进行网络的升级，很可能会产生重复投资的浪费。

2、访问权限的设置与管理。利用虚拟局域专用网络VPN进行公司之间网络的对接的时候，我们的设想是这对于用户来说是透明的。也就是说，用户在利用VPN技术访问其他公司的内部网络时，跟访问自己企业的内部网络差不多。最简单的说，分公司的财务人员在往企业总公司放财务报表的时候，不需要频繁的输入用户名与密码。这就是说，企业两端的VPN服务器需要设置统一的访问帐户与密码。就好像现在有些网站推出的“一号通”功能，利用同一个帐号，就可以登陆博客、邮箱、论坛等等。根据用户登录系统的帐号，不但可以访问企业自己内部的资源，也可以访问总公司的资源。总之，用一句话来概括，就是要最大限度的让用户感受不到VPN的存在。当然，要实现这个目标，就需要在不同公司的VPN服务器进行统一的管理，并对访问权限进行合理的配置;要对各个公司的用户帐户与密码进行统一的规划。

典型应用二 企业扩展虚拟局域网

随着信息化技术的发展，有时候，信息化管理已经不再是企业自己的事情，更是一种跟客户进行谈判的手段。

如笔者企业，就有不少的老外客户，他们在跟我们谈订单的时候，就特别强调，他们要能够访问我们公司的ERP系统，查询他们订单的处理进度。客户是上帝，对于客户的要求我们可不敢怠慢。为此，我们就可以使用VPN技术，实现企业扩展虚拟局域网，让客户也能够访问我们公司企业内部的ERP服务器。

企业扩展虚拟局域网，其就是来实现一个目标，就是让企业的外部合作伙伴，能够快速、安全的访问企业的内部应用。其实现的原理，跟利用VPN技术，对不同公司之间网络的对接，是一致的。不过，外部合作伙伴毕竟不是自己的人，所以，在关注上面所提到的注意点之外，还需要关注一下内容。

一是数据的过滤。若有客户需要访问公司内部的ERP系统，那么，公司当然不希望其看到其他公司的信息，也不希望看到公司的生产成本。客户只能够访问他们自己企业的订单相关信息，如订单的生产进度、质量检验情况、出货情况等等。而这些信息的话，通过VPN服务器是没法进行控制的，需要在应用系统中，如ERP系统中，进行帐户设置并分配给其合理的权限。笔者企业的ERP管理员的做法是，为客户设置几份报表，这几份报表中包含用户所关心所有信息。也就是说，客户在访问ERP信息的时候，只能够访问这几份报表，而不能访问其他内容。我们都知道，利用数据库的视图功能，可以实现数据的过滤，从而保障客户不能够看到其不应该看到的内容。

二是访问内容的限制。在使用企业扩展虚拟局域网的时候，要先明确客户需要访问企业的哪些应用。一般来说，客户只能够访问有限的应用，而不能访问企业所有的内部网络资源

可能企业允许客户访问自己公司内部对ERP系统、CRM系统或者报关系统等等，而不能访问其他资源，特别是对主机的随意访问。所以，网络此时就需要注意，给他们的帐户在分配权限的时候，要遵循最小权限的原则。宁可他们认为权限不够时在进行调整，而不要一开始就给与他们太大的权限，让他们可以访问不该访问的资源。