VPN是一個(gè)舶來(lái)詞，中文的意識(shí)就是“虛擬專(zhuān)用網(wǎng)絡(luò)”。他可以通過(guò)特殊點(diǎn)加密通信協(xié)議在互聯(lián)網(wǎng)上開(kāi)辟一條通道，為用戶(hù)之間通信建立連接。在外部看起來(lái)，好像是一條通信的專(zhuān)線，但是其不用鋪設(shè)通信光纜。所以，利用VPN技術(shù)的話，可以實(shí)現(xiàn)安全的、快捷的通信，而且，由于不需要專(zhuān)門(mén)鋪設(shè)光纜，成本也不是很高。所以，VPN技術(shù)的話，現(xiàn)在在企業(yè)中應(yīng)用的非常的廣泛。

VPN虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)，在企業(yè)中，主要有三種應(yīng)用的場(chǎng)景。掌握這三種應(yīng)用的配置與管理，那么對(duì)于VPN技術(shù)，就入門(mén)了。俗話說(shuō)，師傅領(lǐng)進(jìn)門(mén)，修行在自身。筆者在這里就充當(dāng)一回老大哥，談?wù)刅PN技術(shù)在企業(yè)中的三種典型應(yīng)用�；蛟S對(duì)大家有所幫助。

典型應(yīng)用一 連接企業(yè)不同辦事處或者不同公司之間的網(wǎng)絡(luò)

現(xiàn)在很多企業(yè)可能都不只一家生產(chǎn)工廠或者辦事處。像筆者這樣的一個(gè)外資企業(yè)，除了在浙江有一家生產(chǎn)工廠和外貿(mào)公司外，在內(nèi)地，如安徽等地，也有其加工廠。現(xiàn)在遇到的問(wèn)題是，這些公司之間的網(wǎng)絡(luò)如何進(jìn)行相互連接?若采用鋪設(shè)光纜的方法，明顯是行不通的，成本太大。為此，該如何進(jìn)行連接呢?可選的方法可能比較多。

如企業(yè)可以通過(guò)NAT技術(shù)實(shí)現(xiàn)對(duì)企業(yè)部分主機(jī)或者特殊應(yīng)用的連接，如可以利用NAT技術(shù)，讓安徽的加工成訪問(wèn)企業(yè)的ERP系統(tǒng)。但是，利用NAT技術(shù)的話，有一些限制。如訪問(wèn)的速度比較慢、安全性難以得到有效的保障;重要的是利用NAT技術(shù)的話，只能對(duì)一些特定的主機(jī)進(jìn)行訪問(wèn)，而不能像是在企業(yè)內(nèi)部網(wǎng)路一樣，訪問(wèn)自己想要訪問(wèn)的主機(jī)或者服務(wù)等等。真是由于NAT技術(shù)由種種的缺陷和限制，所以，利用NAT技術(shù)來(lái)解決企業(yè)不同辦事處或者分公司之間的網(wǎng)絡(luò)通信，只可以說(shuō)是一種可選的方案，而不是一種良好的方案。

筆者現(xiàn)在使用的是利用VPN技術(shù)，實(shí)現(xiàn)企業(yè)不同地點(diǎn)的分公司之間的網(wǎng)絡(luò)通信。其實(shí)，也是非常簡(jiǎn)單的一個(gè)配置。在企業(yè)不同分公司兩端的防火墻上，都配置一個(gè)VPN服務(wù)器。如此的話，兩個(gè)網(wǎng)絡(luò)就可以利用VPN技術(shù)在互聯(lián)網(wǎng)上開(kāi)辟一條局域網(wǎng)專(zhuān)用通道，把各個(gè)分公司之間的網(wǎng)絡(luò)進(jìn)行連接。如此的話，各個(gè)分公司的網(wǎng)絡(luò)就好像是在企業(yè)內(nèi)部網(wǎng)絡(luò)中一樣。一方面，利用VPN技術(shù)的話，可以在一定程度上保障通信內(nèi)容的安全性。VPN技術(shù)在安全上的設(shè)計(jì)，個(gè)人認(rèn)為比NAT技術(shù)要上一個(gè)層次。另一方面，利用虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)的話，在速度上也有保障。其實(shí)，對(duì)于大部分企業(yè)來(lái)說(shuō)，要在不同企業(yè)之間進(jìn)行訪問(wèn)，安全性上可能還是次要的，對(duì)于速度的追求反而是更加敏感。所以，VPN技術(shù)在速度上的優(yōu)勢(shì)，更加使NAT技術(shù)不可匹敵的。當(dāng)然，用戶(hù)申請(qǐng)的帶寬不同，這方面也有明顯的區(qū)別。

在利用VPN技術(shù)實(shí)現(xiàn)公司之間網(wǎng)絡(luò)對(duì)接的話，要注意以下幾個(gè)問(wèn)題：

1、涉及具體帶寬的問(wèn)題。VPN技術(shù)雖然可以提供比較高的網(wǎng)絡(luò)訪問(wèn)性能，但是，其仍然受到企業(yè)帶寬申請(qǐng)的限制。所以，我們網(wǎng)絡(luò)管理員在部署VPN應(yīng)用的時(shí)候，要注意分析，看看未來(lái)可能產(chǎn)生的帶寬與訪問(wèn)數(shù)量。這跟個(gè)人利用VPN服務(wù)器登陸企業(yè)內(nèi)部網(wǎng)絡(luò)不同，訪問(wèn)的數(shù)量、產(chǎn)生的數(shù)據(jù)流量?jī)烧叨疾荒芟啾�。故，在利用VPN技術(shù)實(shí)現(xiàn)不同企業(yè)網(wǎng)絡(luò)對(duì)接的時(shí)候，有必要收集一下用戶(hù)的需求，如會(huì)不會(huì)有視頻會(huì)議的需求;會(huì)不會(huì)在總公司的網(wǎng)絡(luò)上放置一些視頻培訓(xùn)內(nèi)容，讓下面各個(gè)子公司進(jìn)行訪問(wèn);如會(huì)不會(huì)在總公司部署文件服務(wù)器或者ERP服務(wù)器，讓下面的各個(gè)分公司使用等等。這些應(yīng)用都會(huì)產(chǎn)生很大的數(shù)據(jù)流量。所以，若現(xiàn)在或者將來(lái)可能會(huì)采取這些應(yīng)用的話，則企業(yè)在帶寬的申請(qǐng)或者VPN設(shè)備的購(gòu)置時(shí)，都要有這個(gè)預(yù)算。不然，等到需要時(shí)，再進(jìn)行網(wǎng)絡(luò)的升級(jí)，很可能會(huì)產(chǎn)生重復(fù)投資的浪費(fèi)。

2、訪問(wèn)權(quán)限的設(shè)置與管理。利用虛擬局域?qū)Ｓ镁W(wǎng)絡(luò)VPN進(jìn)行公司之間網(wǎng)絡(luò)的對(duì)接的時(shí)候，我們的設(shè)想是這對(duì)于用戶(hù)來(lái)說(shuō)是透明的。也就是說(shuō)，用戶(hù)在利用VPN技術(shù)訪問(wèn)其他公司的內(nèi)部網(wǎng)絡(luò)時(shí)，跟訪問(wèn)自己企業(yè)的內(nèi)部網(wǎng)絡(luò)差不多。最簡(jiǎn)單的說(shuō)，分公司的財(cái)務(wù)人員在往企業(yè)總公司放財(cái)務(wù)報(bào)表的時(shí)候，不需要頻繁的輸入用戶(hù)名與密碼。這就是說(shuō)，企業(yè)兩端的VPN服務(wù)器需要設(shè)置統(tǒng)一的訪問(wèn)帳戶(hù)與密碼。就好像現(xiàn)在有些網(wǎng)站推出的“一號(hào)通”功能，利用同一個(gè)帳號(hào)，就可以登陸博客、郵箱、論壇等等。根據(jù)用戶(hù)登錄系統(tǒng)的帳號(hào)，不但可以訪問(wèn)企業(yè)自己內(nèi)部的資源，也可以訪問(wèn)總公司的資源�？傊�，用一句話來(lái)概括，就是要最大限度的讓用戶(hù)感受不到VPN的存在。當(dāng)然，要實(shí)現(xiàn)這個(gè)目標(biāo)，就需要在不同公司的VPN服務(wù)器進(jìn)行統(tǒng)一的管理，并對(duì)訪問(wèn)權(quán)限進(jìn)行合理的配置;要對(duì)各個(gè)公司的用戶(hù)帳戶(hù)與密碼進(jìn)行統(tǒng)一的規(guī)劃。

典型應(yīng)用二 企業(yè)擴(kuò)展虛擬局域網(wǎng)

隨著信息化技術(shù)的發(fā)展，有時(shí)候，信息化管理已經(jīng)不再是企業(yè)自己的事情，更是一種跟客戶(hù)進(jìn)行談判的手段。

如筆者企業(yè)，就有不少的老外客戶(hù)，他們?cè)诟覀冋動(dòng)唵蔚臅r(shí)候，就特別強(qiáng)調(diào)，他們要能夠訪問(wèn)我們公司的ERP系統(tǒng)，查詢(xún)他們訂單的處理進(jìn)度�？蛻�(hù)是上帝，對(duì)于客戶(hù)的要求我們可不敢怠慢。為此，我們就可以使用VPN技術(shù)，實(shí)現(xiàn)企業(yè)擴(kuò)展虛擬局域網(wǎng)，讓客戶(hù)也能夠訪問(wèn)我們公司企業(yè)內(nèi)部的ERP服務(wù)器。

企業(yè)擴(kuò)展虛擬局域網(wǎng)，其就是來(lái)實(shí)現(xiàn)一個(gè)目標(biāo)，就是讓企業(yè)的外部合作伙伴，能夠快速、安全的訪問(wèn)企業(yè)的內(nèi)部應(yīng)用。其實(shí)現(xiàn)的原理，跟利用VPN技術(shù)，對(duì)不同公司之間網(wǎng)絡(luò)的對(duì)接，是一致的。不過(guò)，外部合作伙伴畢竟不是自己的人，所以，在關(guān)注上面所提到的注意點(diǎn)之外，還需要關(guān)注一下內(nèi)容。

一是數(shù)據(jù)的過(guò)濾。若有客戶(hù)需要訪問(wèn)公司內(nèi)部的ERP系統(tǒng)，那么，公司當(dāng)然不希望其看到其他公司的信息，也不希望看到公司的生產(chǎn)成本�？蛻�(hù)只能夠訪問(wèn)他們自己企業(yè)的訂單相關(guān)信息，如訂單的生產(chǎn)進(jìn)度、質(zhì)量檢驗(yàn)情況、出貨情況等等。而這些信息的話，通過(guò)VPN服務(wù)器是沒(méi)法進(jìn)行控制的，需要在應(yīng)用系統(tǒng)中，如ERP系統(tǒng)中，進(jìn)行帳戶(hù)設(shè)置并分配給其合理的權(quán)限。筆者企業(yè)的ERP管理員的做法是，為客戶(hù)設(shè)置幾份報(bào)表，這幾份報(bào)表中包含用戶(hù)所關(guān)心所有信息。也就是說(shuō)，客戶(hù)在訪問(wèn)ERP信息的時(shí)候，只能夠訪問(wèn)這幾份報(bào)表，而不能訪問(wèn)其他內(nèi)容。我們都知道，利用數(shù)據(jù)庫(kù)的視圖功能，可以實(shí)現(xiàn)數(shù)據(jù)的過(guò)濾，從而保障客戶(hù)不能夠看到其不應(yīng)該看到的內(nèi)容。

二是訪問(wèn)內(nèi)容的限制。在使用企業(yè)擴(kuò)展虛擬局域網(wǎng)的時(shí)候，要先明確客戶(hù)需要訪問(wèn)企業(yè)的哪些應(yīng)用。一般來(lái)說(shuō)，客戶(hù)只能夠訪問(wèn)有限的應(yīng)用，而不能訪問(wèn)企業(yè)所有的內(nèi)部網(wǎng)絡(luò)資源

可能企業(yè)允許客戶(hù)訪問(wèn)自己公司內(nèi)部對(duì)ERP系統(tǒng)、CRM系統(tǒng)或者報(bào)關(guān)系統(tǒng)等等，而不能訪問(wèn)其他資源，特別是對(duì)主機(jī)的隨意訪問(wèn)。所以，網(wǎng)絡(luò)此時(shí)就需要注意，給他們的帳戶(hù)在分配權(quán)限的時(shí)候，要遵循最小權(quán)限的原則。寧可他們認(rèn)為權(quán)限不夠時(shí)在進(jìn)行調(diào)整，而不要一開(kāi)始就給與他們太大的權(quán)限，讓他們可以訪問(wèn)不該訪問(wèn)的資源。