VPN业务让同城网络实现互联

随着宽带城域网的普及，在同一城市内拥有多家分支机构的企业和组织，可以选择在宽带城域网中运用VPN技术组建网络，作为实现总部与分支机构、分支机构与分支机构之间网络互联的解决方案。

作为一种广泛用于企业网络扩展升级的网络技术，VPN被更多地用于实现跨地区乃至国际网络互联业务，人们往往容易忽视基于本地网的VPN业务，即同城VPN业务。

VPN实现同城互联优势

节省费用。即使是本地电信的专线，价格也不便宜。VPN替代传统的租用专用线路，费用很低。

高速上网。宽带城域网接入的性价比优势明显，可以极低的价格获得高速的互联通道。采用ADSL方式，带宽可达到1M以上；采用以太网接入方式，带宽可达到10M以上。

总部与分支机构互联拓扑图

不受IP地址限制。许多城市在宽带城域网范围内采用保留的IP地址，通过NAT方式统一接入Internet。

受干扰少。宽带城域网内部的通信链路相对稳定，受干扰少，带宽充足，即使没有专门的服务质量保证，也可开展数据业务（如文件传输、信息管理系统）之外的语音和视频业务，如网络电话、传真、视频会议等。

硬件和软件VPN比较

在城域网中，实现总部和分支机构的互联，既可以选择硬件VPN方案，也可以选择软件VPN方案。

由于VPN的加密传输机制需要消耗系统资源，影响网络性能，而硬件VPN将加密和解密功能交由专门的高速硬件处理，提供了较好的性能，并且可以提供强大的物理和逻辑安全，更好地防止非法入侵，同时配置和操作也更为简单。一般情况下，硬件方案的性价比较高。但是，如果网络规模不大，选择面向中小企业或小型办公室的VPN产品还是非常划算的。此类VPN产品多为集成防火墙、VPN路由器，性价比非常高，且支持多种宽带接入方式，还提供方便的管理工具，支持主流的VPN协议，如NETGEAR FVL328、NetScreen-50、Vigor 2300等。许多VPN产品还支持动态IP地址接入方式，对于采用ADSL连接的许多中小型企业来说，非常有用。

软件VPN方案的价格低廉，且更具灵活性。但是，在性能、安全性、可靠性以及安装和管理的便捷性等方面，软件方案都不如硬件方案。软件VPN方案适用于安全要求相对较低、规模较小的网络，能满足许多中小企业的同城联网业务需求。微软的VPN解决方案很实用。它的网络操作系统Windows 2000 Server和Windows .Net Server内置VPN和路由协议，都支持基于PPTP、L2TP/IPSec或IPSec协议的网络互联，组建VPN，配置简单，投资少，即使用PC机充当VPN路由器，功能也可以满足中小企业的需要，非常适合同城联网。如果选用微软的方案，最好选用L2TP/IPSec协议，因为L2TP/IPSec对数据通信提供更强的安全保护，要求更强的身份验证。尽管微软建议使用PKI证书进行身份验证，对于规模较小的网络来说，采用预共享密钥也是不错的选择。

同城VPN互联具体实施

在具体实现VPN网络互联之前，应考虑以下几个问题，做好统一规划。

VPN路由器初始化。确定VPN路由器之间是采用单向初始化连接，还是双向初始化连接。使用单向初始化连接，一个VPN路由器是VPN服务器（或称为拨入路由器、应答路由器），另一个路由器是VPN客户机（或称为拨出路由器、呼叫路由器），VPN服务器只能接受隧道建立请求，VPN客户机只能请求建立隧道。双向初始化连接即两端VPN路由器既可作为VPN服务器，又可作为VPN客户机，任何一端都可发起VPN连接。当VPN隧道不能全天24小时启用，需要从任何一端发起VPN连接时，可考虑使用双向初始化连接。

确定所用的VPN协议。IPSec基于IP网络，安全性高，兼容性好，是网络互联的首选。另外，L2TP/IPSec集L2TP和IPSec的优点于一身，能支持多种协议，使得在原来非IP网上的投资不会浪费。该协议得到了越来越多的厂商支持，面向中小企业的VPN产品也开始支持此协议。

确定IP地址配置方案。通常连接到公网（宽带城域网）的IP地址由电信运营商指定，连接到内网的IP地址由自己分配，要使用保留的内网地址，可采取动态分配或指定静态IP地址。

确定路由选择方案。两端的VPN路由器必须在其路由表中有合适的路由配置，使得各自所连接局域网之间能够互相访问。

下面介绍VPN实施的一般步骤

安装VPN路由器。在总部网络和分支机构网络分别安装VPN路由器。

接口连接。将VPN路由器的外部接口（WAN接口）连接到宽带城域网，内部接口（LAN接口）连接到本地局域网。

配置接口。分别配置外部接口和内部接口的网络连接属性。

设置网络互联的配置参数。通常包括VPN协议、拨入选项、拨出选项、用户账号、加密选项、路由配置等。

建立VPN隧道。激活VPN连接，建立VPN隧道。可以由数据请求（如分支机构网络客户访问总部网络服务器）自动建立隧道，也可由管理员手动发起VPN连接，建立隧道。一旦隧道建立，网络的互联就完成了。

VPN网络的应用业务

VPN网络一经组建，就可像本地局域网一样使用。凡是能在局域网上开展的业务，都可考虑在VPN应用。最常见的是数据业务，在总部和分支机构之间实现数据传输，如运行信息管理系统，架设内部网站、邮件系统等。

由于宽带城域网提供安全、高速的通道，除数据业务外，还可开发语音和视频等增值业务，如IP电话业务、IP传真、视频会议等。最简便的办法就是在企业内部使用Windows内置的Netmeeting软件，多媒体计算机再配上USB摄像头，企业内部可打可视电话，当然，还可使用文件传输、桌面共享、电子白板等功能。

与本地局域网一样，VPN网络还可实现整个企业Internet访问的集中管理。将分支机构VPN路由器的默认路由设置为指向总部VPN路由器的VPN隧道，使各分支机构的Internet访问都汇聚到总部网络，由总部提供Internet出口，并部署专用的防火墙，确保网络安全，规范员工的Internet访问行为。