當(dāng)前位置：首頁 > 文庫(kù) > 文案

vpn技術(shù)范文8篇

時(shí)間：2024-08-15 14:15:44 138

vpn技術(shù)

vpn技術(shù)篇1

關(guān)鍵詞:VPN;信息化;防火墻

1 VPN技術(shù)應(yīng)用背景

天脊煤化工集團(tuán)有限公司從2003年進(jìn)入了信息化建設(shè)的發(fā)展階段,在浙江中控軟件技術(shù)有限公司、山西省信息工程設(shè)計(jì)院等單位共同合作下建立起了“天脊集團(tuán)綜合信息管理自動(dòng)化系統(tǒng)”。該自動(dòng)化系統(tǒng)包括領(lǐng)導(dǎo)查詢分系統(tǒng)、生產(chǎn)管理分系統(tǒng)、人力資源管理分系統(tǒng)、備品備件管理分系統(tǒng)、物資供應(yīng)資源分系統(tǒng)、銷售管理分系統(tǒng)等。隨著信息化建設(shè)的不斷深入,業(yè)務(wù)流程漸漸規(guī)范化,各種分系統(tǒng)也在不斷完善,分布在全國(guó)各地的分公司和子公司相應(yīng)業(yè)務(wù)也要納入到“天脊集團(tuán)綜合信息管理自動(dòng)化系統(tǒng)”中來。為此,集團(tuán)公司決定由信息管理中心組織并實(shí)施VPN技術(shù)。

2 VPN技術(shù)在天脊集團(tuán)企業(yè)信息化建設(shè)中的具體實(shí)施

(1) VPN的選型

用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)――IPSec VPN和SSL VPN。

IPSec VPN和SSL VPN各有優(yōu)缺點(diǎn)。IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能,因而是實(shí)現(xiàn)多專用網(wǎng)安全連接的最佳選項(xiàng);而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接,用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。SSL VPN存在一定安全風(fēng)險(xiǎn),因?yàn)橛脩艨蛇\(yùn)用公眾Internet站點(diǎn)接入;IPSec VPN需要軟件客戶端支撐,不支持公共Internet站點(diǎn)接入,但能實(shí)現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。

目前,天脊集團(tuán)主干網(wǎng)絡(luò)設(shè)備為CISCO的產(chǎn)品,路由器和防火墻均提供實(shí)現(xiàn)VPN的功能。綜合評(píng)比在防火墻上實(shí)現(xiàn)VPN功能更適合,且不改變網(wǎng)絡(luò)結(jié)構(gòu)、不增加任何硬件投資下實(shí)現(xiàn)VPN功能,而在路由器上實(shí)現(xiàn)VPN還需購(gòu)買相關(guān)VPN模塊。根據(jù)天脊集團(tuán)具體的業(yè)務(wù)需要和現(xiàn)有的網(wǎng)絡(luò)狀況,天脊集團(tuán)選擇了CISCO的IPSec VPN方案。

(2) 網(wǎng)絡(luò)架構(gòu)

在項(xiàng)目的實(shí)施中,利用Cisco PIX 515防火墻提供的VPN功能來構(gòu)建虛擬專用網(wǎng)。Cisco PIX 515 Firewall提供基于IPSec標(biāo)準(zhǔn)的VPN功能。借助IPSec,當(dāng)數(shù)據(jù)在公共網(wǎng)上傳輸時(shí),用戶無需擔(dān)心數(shù)據(jù)會(huì)被查看、篡改或欺詐。借助IPSec,用戶可以通過互聯(lián)網(wǎng)等不受保護(hù)的網(wǎng)絡(luò)傳輸敏感信息。IPSec在網(wǎng)絡(luò)層操作,能保護(hù)和鑒別所涉及的IPSec設(shè)備(對(duì)等物)之間的IP包。

(3) 詳細(xì)配置信息

防火墻配置:

access-list 100 permit 172.16.5.0 255.

255.255.0 172.16.2.0 255.255.255.0

ip local pool vpnpool 192.168.1.1-192.

168.1.254

global(outside) 1 interface

nat(inside) 0 access-list 100

conduit permit tcp host 172.16.3.10 any

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-

des esp-md5-hmac

crypto dynamic-map dynmap 10 set tra

nsform-set myset

crypto map vpn 10 ipset-isakmp dynamic dynmap

crypto map vpn 20 ipsec-isakmp

crypto map vpn client configuration address initiate

crypto map vpn client configuration address respond

crypto map vpn interface outside

isakmp enable outside

isakmp key ******* address 0.0.0.0 netmask 0.0.0.0

isakmp identity address

isakmp policy 10 authentication pre-sha

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn3000 address-pool vpnpool

vpngroupvpn3000dns-server 172.16.

2.11

vpngroup vpn3000 split-tunnel 100

vpngroup vpn3000 idle-time 1800

vpngroup vpn3000 password ********

isakmp client configuration address-

poollocal vpnpool outside

路由器配置:

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

VPN客戶端要求:

在集團(tuán)公司分公司和子公司內(nèi)要求使用和信息管理中心一致的寬帶接入服務(wù),使用Microsoft Windows2000以上操作系統(tǒng);使用Cisco VPN Client v4.8遠(yuǎn)程連接控制工具;相關(guān)人員必須接受VPN客戶端使用相關(guān)知識(shí)學(xué)習(xí),達(dá)到獨(dú)立解決VPN客戶端問題的能力。

(4) VPN技術(shù)實(shí)施效果評(píng)價(jià)

降低費(fèi)用。遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到Internet,以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連,通信費(fèi)用大幅度降低;其次企業(yè)可以節(jié)省購(gòu)買和維護(hù)通訊設(shè)備的費(fèi)用。

安全性得到了增強(qiáng)。VPN通過使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證,并對(duì)數(shù)據(jù)進(jìn)行加密處理。對(duì)于企業(yè)內(nèi)部的數(shù)據(jù),可以通過VPN使企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與服務(wù)器的連接,并且可以訪問業(yè)務(wù)部門網(wǎng)絡(luò)中受到保護(hù)的資源。

3 總結(jié)

vpn技術(shù)篇2

關(guān)鍵詞：VPN；MPLS；多協(xié)議標(biāo)記交換

中圖法分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發(fā)展，人們對(duì)其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段，網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生阻塞，許多應(yīng)用對(duì)于目前的IP技術(shù)(如語音和視頻等)顯得力不從心，并且實(shí)現(xiàn)成本也很高。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡(jiǎn)介

首先引入現(xiàn)實(shí)中的一個(gè)例子，經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡(luò)訪問公司的內(nèi)網(wǎng)辦公，而訪問的結(jié)果就像在公司內(nèi)網(wǎng)一樣，不會(huì)有對(duì)資源、權(quán)限的限制，就好像在內(nèi)網(wǎng)里面一樣，我們可以利用VPN技術(shù)實(shí)現(xiàn)這個(gè)目的。

由以上來看，究竟什么是VPN呢？虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

2 常規(guī)VPN技術(shù)

以往常規(guī)的VPN連接技術(shù)是在PPTP或者L2TP協(xié)議的控制下進(jìn)行隧道封裝加密傳輸，其中，PPTP協(xié)議將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰。L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協(xié)議結(jié)合使用，提供隧道驗(yàn)證。

但是，IPsec協(xié)議首要的和最明顯的缺點(diǎn)就是性能的下降，其次，在實(shí)現(xiàn)成本上非常不利，低端的設(shè)備通常用軟件實(shí)現(xiàn)所有的IPsec功能，因而其速度最慢。價(jià)格貴些的用硬件實(shí)現(xiàn)IPsec功能。一般來說，性能越好，其價(jià)格越貴。

3 基于MPLS的VPN的新技術(shù)

同傳統(tǒng)的VPN不同，MPLS VPN不依靠封裝和加密技術(shù)，MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個(gè)安全的VPN，MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。

CPE被稱為客戶邊緣路由器（CE）。在InternetConnect網(wǎng)絡(luò)中，同CE相連的路由器稱為供應(yīng)商邊緣路由器(PE)。一個(gè)VPN數(shù)據(jù)包括一組CE路由器，以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。

CE可以感覺到同一個(gè)專用網(wǎng)相連。每個(gè)VPN對(duì)應(yīng)一個(gè)VPN路由/轉(zhuǎn)發(fā)實(shí)例（VRF）。一個(gè)VRF定義了同PE路由器相連的客戶站點(diǎn)的VPN成員資格。一個(gè)VRF數(shù)據(jù)包括IP路由表，一個(gè)派生的Cisco Express Forwarding (CEF)表，一套使用轉(zhuǎn)發(fā)表的接口，一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個(gè)站點(diǎn)可以且僅能同一個(gè)VRF相聯(lián)系?？蛻粽军c(diǎn)的VRF中的數(shù)據(jù)包含了其所在的VPN中，所有的可能連到該站點(diǎn)的路由。

對(duì)于每個(gè)VRF，數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲(chǔ)在IP路由表和CEF表中。每個(gè)VRF維護(hù)一個(gè)單獨(dú)的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外，同時(shí)也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個(gè)機(jī)制使得VPN具有安全性。

在每個(gè)VPN內(nèi)部，可以建立任何連接：每個(gè)站點(diǎn)可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個(gè)站點(diǎn)，無需穿越中心站點(diǎn)。一個(gè)路由識(shí)別器(RD)可以識(shí)別每一個(gè)單獨(dú)的VPN。一個(gè)MPLS網(wǎng)絡(luò)可以支持成千上萬個(gè)VPN。每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核，且不直接同CE路由器相連。圍繞在P設(shè)備周圍的供應(yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來交換數(shù)據(jù)包。

客戶站點(diǎn)可以通過不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。

三種不同的VPN，分別用Route Distinguishers 10，20和30來表示。

MPLS VPN中，客戶站點(diǎn)運(yùn)行的是通常的IP協(xié)議。它們并不需要運(yùn)行MPLS，IPSec或者其他特殊的VPN功能。在PE路由器中，路由識(shí)別器對(duì)應(yīng)同每個(gè)客戶站點(diǎn)的連接。這些連接可以是諸如T1，單一的幀中繼，ATM虛電路，DSL等這樣的物理連接。路由識(shí)別器在PE路由器中被配置，是設(shè)置VPN站點(diǎn)工作的一部分，它并不在客戶設(shè)備上進(jìn)行配置，對(duì)于客戶來說是透明的。

每個(gè)MPLS VPN具有自己的路由表，這樣客戶可以重疊使用地址且互不影響。對(duì)用RFC 1918建議進(jìn)行尋址的多種客戶來說，上述特點(diǎn)很有用處。例如，任何數(shù)量的客戶都可以在其MPLS VPN中，使用地址為10.1.1.X的網(wǎng)絡(luò)。MPLS VPN的一個(gè)最大的優(yōu)點(diǎn)是CPE設(shè)備不需要智能化。因?yàn)樗械腣PN功能是在InternetConnect的核心網(wǎng)絡(luò)中實(shí)現(xiàn)的，且對(duì)CPE是透明的。CPE并不需要理解VPN，同時(shí)也不需要支持IPSec。這意味著客戶可以使用價(jià)格便宜的CPE，或者甚至可以繼續(xù)使用已有的CPE。

4 基于MPLS VPN的優(yōu)點(diǎn)

時(shí)延被降到最低，因?yàn)閿?shù)據(jù)包不再經(jīng)過封裝或者加密。加密之所以不再需要，是因?yàn)镸PLS VPN可以創(chuàng)建一個(gè)專用網(wǎng)，它同幀中繼網(wǎng)絡(luò)具備的安全性很相似。因?yàn)椴恍枰淼溃砸獎(jiǎng)?chuàng)建一個(gè)全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實(shí)上，缺省的配置是全網(wǎng)狀布局。站點(diǎn)直接連到PE，之后可以到達(dá)VPN中的任何其他站點(diǎn)。如果不能連通到中心站點(diǎn)，遠(yuǎn)程站點(diǎn)之間仍然能夠相互通信。

配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了，僅需配置核心網(wǎng)絡(luò)，不需訪問CPE。一旦配置好一個(gè)站點(diǎn)，在配置其他站點(diǎn)時(shí)無需重新配置。因?yàn)樘砑有碌恼军c(diǎn)時(shí)，僅需改變所連到的PE的配置。

在MPLS VPN中，安全性可以得到容易地實(shí)現(xiàn)。一個(gè)封閉的VPN具有內(nèi)在的安全性，因?yàn)樗煌琍ublic Internet相連。如果需要訪問Internet，則可以建立一個(gè)通道，在該通道上，可放置一個(gè)防火墻，這樣就對(duì)整個(gè)VPN提供安全的連接。管理起來也很容易，因?yàn)閷?duì)于整個(gè)VPN來說，只需要維護(hù)一種安全策略。

MPLS VPN的另外一個(gè)好處是對(duì)于一個(gè)遠(yuǎn)程站點(diǎn)，僅需要一個(gè)連接即可。想象一下，帶有一個(gè)中心站點(diǎn)和10個(gè)遠(yuǎn)程站點(diǎn)的傳統(tǒng)幀中繼網(wǎng)，每個(gè)遠(yuǎn)程站點(diǎn)需要一個(gè)幀中繼PVC(永久性虛電路)，這意味者需要10個(gè)PVC。而在MPLS VPN網(wǎng)中，僅需要在中心站點(diǎn)位置建立一個(gè)PVC，這就降低了網(wǎng)絡(luò)的成本。

5 總結(jié)

MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢(shì)的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù)，也能夠開展QoS、TE、組播等等的業(yè)務(wù)。隨著MPLS應(yīng)用的不斷升溫，不論是產(chǎn)品還是網(wǎng)絡(luò)，對(duì)MPLS的支持已不再是額外的要求。VPN雖然是一項(xiàng)剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù)，但卻已經(jīng)顯示了其強(qiáng)大的生命力。在我國(guó)網(wǎng)絡(luò)基礎(chǔ)薄弱，政府和企業(yè)對(duì)IP虛擬專用網(wǎng)的需求不高，但相信隨著政府上網(wǎng)、特別是在電子商務(wù)的推動(dòng)下，基本MPLS的IP虛擬專用網(wǎng)技術(shù)的解決方案必將有不可估量的市場(chǎng)前景。

參考文獻(xiàn)：

[1]王達(dá).虛擬專用網(wǎng)（VPN）精解[J].清華大學(xué)出版社,2004,173-7.

[2]Ivan Pepelnjak, Jim Guichard, MPLS和VPN體系結(jié)構(gòu)CCIP版（英文版）[J].人民郵電出版社,2003.

vpn技術(shù)篇3

關(guān)鍵詞：VPN技術(shù)；應(yīng)用；研究

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）17-3996-03

虛擬專用網(wǎng)，用英文翻譯過來就是Virtual Private Network，簡(jiǎn)稱為VPN。虛擬專用網(wǎng)是通過公共網(wǎng)絡(luò)中相關(guān)的基礎(chǔ)設(shè)施，采用先進(jìn)的技術(shù)方式，對(duì)不同的兩臺(tái)計(jì)算機(jī)進(jìn)行一種專用的連接，使相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)信息在通過公共網(wǎng)絡(luò)進(jìn)行上傳的過程中，保證網(wǎng)絡(luò)數(shù)據(jù)信息私密性的一項(xiàng)技術(shù)。如何有效的應(yīng)用虛擬專用網(wǎng)技術(shù)，是企業(yè)在發(fā)展過程中必須解決的一個(gè)重要問題。

1 VPN技術(shù)的優(yōu)點(diǎn)

1.1 節(jié)約成本

VPN技術(shù)對(duì)公共網(wǎng)絡(luò)進(jìn)行了利用，建立并組成了虛擬的專用網(wǎng)絡(luò)，不需要在單獨(dú)依靠公共網(wǎng)絡(luò)中專用的線路來保障數(shù)據(jù)信心傳輸?shù)陌踩?，利用專用的網(wǎng)絡(luò)就能夠?qū)崿F(xiàn)數(shù)據(jù)信心的安全性，這一種方式相對(duì)于其他通信方式而言，所需要使用的成本更為低廉，例如：長(zhǎng)途電話、專線電話等。

1.2 使用便捷

VPN技術(shù)在公共網(wǎng)絡(luò)中的使用較為便捷，易于在公共網(wǎng)絡(luò)中進(jìn)行擴(kuò)展。當(dāng)公共網(wǎng)絡(luò)內(nèi)部中的節(jié)結(jié)點(diǎn)逐漸增多的時(shí)候，專線連接網(wǎng)絡(luò)的結(jié)構(gòu)也會(huì)變得越來越復(fù)雜，而且所需要花費(fèi)的成本也非常的高，而在使用虛擬專用網(wǎng)的過程中，只需要在公共網(wǎng)絡(luò)的節(jié)點(diǎn)位置構(gòu)架相關(guān)的VPN設(shè)備，就能夠在對(duì)Internet進(jìn)行利用時(shí)在計(jì)算機(jī)網(wǎng)絡(luò)中建立安全連接，若是公共網(wǎng)絡(luò)內(nèi)部中有其他的網(wǎng)絡(luò)想要進(jìn)入安全連接，只需要在使用使用一臺(tái)虛擬專用網(wǎng)設(shè)備，對(duì)相關(guān)的配置的配置進(jìn)行調(diào)整就能夠使其他的網(wǎng)絡(luò)加入到安全連接之中。

1.3 確保安全性

確保公共網(wǎng)絡(luò)中的安全性，是VPN技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的基礎(chǔ)，為了確保相關(guān)的數(shù)據(jù)信息在通過公共網(wǎng)絡(luò)進(jìn)行傳輸過程中的安全性，VPN技術(shù)對(duì)加密認(rèn)證這一項(xiàng)技術(shù)進(jìn)行利用，在公共網(wǎng)絡(luò)內(nèi)部中對(duì)相關(guān)的安全隧道進(jìn)行構(gòu)建，重要的數(shù)據(jù)信息通過安全隧道進(jìn)行傳輸，有效的保證了數(shù)據(jù)信息在傳輸時(shí)的安全性，避免數(shù)據(jù)信息被惡意的篡改、破壞。

2 VPN得以實(shí)現(xiàn)的主要技術(shù)

VPN不是一個(gè)實(shí)體，而是一種虛擬的網(wǎng)絡(luò)形態(tài)，是計(jì)算機(jī)網(wǎng)絡(luò)中的一個(gè)概念，是一個(gè)通過公共網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施對(duì)虛擬專用網(wǎng)絡(luò)進(jìn)行構(gòu)建時(shí)，所運(yùn)用連接技術(shù)綜合起來的名稱。VPN技術(shù)的實(shí)現(xiàn)，離不開隧道技術(shù)，隧道技術(shù)是VPN技術(shù)得以實(shí)現(xiàn)的前提，隧道技術(shù)是一種對(duì)公共網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行包裝，然后在公共網(wǎng)絡(luò)中構(gòu)建一條網(wǎng)絡(luò)隧道，使公共網(wǎng)絡(luò)中的數(shù)據(jù)信心通過這一條網(wǎng)絡(luò)隧道進(jìn)行傳輸，以下是VPN技術(shù)在運(yùn)用過程中的主要隧道技術(shù)。

2.1 點(diǎn)到點(diǎn)隧道協(xié)議

點(diǎn)到點(diǎn)隧道協(xié)議簡(jiǎn)稱為PPTP，即Point-to-Point Tunneling Protocol，PPTP將公共網(wǎng)絡(luò)中的PPP數(shù)據(jù)信息進(jìn)行包裝之后，通過Internet對(duì)這些數(shù)據(jù)信息進(jìn)行傳輸，PPTP協(xié)議提供了使多協(xié)議VPN構(gòu)建于Internet中的一種通信方式，遠(yuǎn)程的客戶端能夠通過PPTP對(duì)專用網(wǎng)絡(luò)進(jìn)行訪問。

2.2 二層轉(zhuǎn)發(fā)協(xié)議

二層轉(zhuǎn)發(fā)協(xié)議簡(jiǎn)稱L2F，即Layer Two Forwarding Protocol，二層轉(zhuǎn)發(fā)協(xié)議能夠?qū)Ω鞣N不同的傳輸協(xié)議提供支持，例如：幀中繼、ATM以及IP等，二層轉(zhuǎn)發(fā)協(xié)議可以讓遠(yuǎn)程客戶端的客戶在接入公共IP網(wǎng)絡(luò)中時(shí)，在撥號(hào)方式上不會(huì)受到任何的限制，例如：遠(yuǎn)程客戶端的客戶在運(yùn)用常規(guī)的撥號(hào)方式對(duì)ISP中的NAS進(jìn)行撥號(hào)時(shí)，對(duì)PPP連接進(jìn)行構(gòu)建，NAS則通過對(duì)遠(yuǎn)程客戶端客戶的一些基本信息的了解，在網(wǎng)絡(luò)中進(jìn)行第二重連接，向公司所在地的二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器進(jìn)行傳輸，二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器在將接收到的數(shù)據(jù)信心傳輸?shù)焦緝?nèi)部的網(wǎng)絡(luò)中。

2.3 IP安全協(xié)議

IP安全協(xié)議簡(jiǎn)稱為IP Sec，IP安全協(xié)議包含了秘鑰協(xié)商與安全協(xié)議這兩個(gè)方面中的一部分，IP Sec安全協(xié)議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護(hù)作用的機(jī)制。鑒別頭用英文表示為Authentication Header，簡(jiǎn)稱AH，它給計(jì)算機(jī)網(wǎng)絡(luò)通信中提供的是一種完全性的保護(hù)。封裝安全載荷用英文表示為Encapsulations Security Payload，簡(jiǎn)稱ESP，它給計(jì)算機(jī)網(wǎng)絡(luò)通信中提供的不僅僅是完整性的保護(hù)，還有機(jī)密文件在通過網(wǎng)絡(luò)進(jìn)行傳輸這一過程中的保護(hù)。鑒別頭與封裝安全載荷對(duì)計(jì)算機(jī)網(wǎng)絡(luò)通信的保護(hù)具有實(shí)效性，對(duì)于公司內(nèi)部在使用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳輸?shù)陌踩杂兄种匾囊饬x。IP安全協(xié)議是虛擬專用網(wǎng)技術(shù)中一個(gè)非常重要的組成部分，它對(duì)于網(wǎng)絡(luò)的保護(hù)具有完整性，是虛擬專用網(wǎng)在計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用中，不可缺少的一個(gè)部分，不僅僅保護(hù)了數(shù)據(jù)信息在通過網(wǎng)絡(luò)進(jìn)行傳輸中的安全，還在很大程度上保障了數(shù)據(jù)信息來源的安全性、可靠性。

3 VPN技術(shù)的應(yīng)用

在對(duì)VPN技術(shù)進(jìn)行應(yīng)用的過程中，能夠有效的解決虛擬專用網(wǎng)絡(luò)在對(duì)公共網(wǎng)絡(luò)進(jìn)行利用中存在的問題。

以下是VPN技術(shù)主要的幾種應(yīng)用：

3.1 遠(yuǎn)程訪問VPN

隨著我國(guó)科學(xué)技術(shù)的深入發(fā)展，人們對(duì)于遠(yuǎn)程通信的需求逐漸的擴(kuò)大，各個(gè)行業(yè)辦公方式由辦公室辦公轉(zhuǎn)變?yōu)樵谵k公室以外進(jìn)行辦公，企業(yè)中的工作人員對(duì)于企業(yè)網(wǎng)絡(luò)中的遠(yuǎn)程客戶端訪問的要求逐漸增高，在這一形勢(shì)下遠(yuǎn)程訪問VPN的出現(xiàn)是必然的趨勢(shì)。

一些公司或企業(yè)在網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程訪問的過程中，為了保證遠(yuǎn)程訪問的安全性，傳統(tǒng)的方法是公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中對(duì)RAS進(jìn)行構(gòu)建，即遠(yuǎn)程訪問服務(wù)器。遠(yuǎn)程客戶端客戶利用電話這一形式進(jìn)行網(wǎng)絡(luò)撥號(hào)，然后接入RAS，接著進(jìn)行入到公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中，在利用這種傳統(tǒng)的方法進(jìn)行遠(yuǎn)程訪問時(shí)，需要對(duì)相關(guān)的RAS設(shè)備進(jìn)行購(gòu)買，RAS設(shè)備的價(jià)格都非常的高，而且遠(yuǎn)程客戶端客戶只能采取撥號(hào)這一種形式進(jìn)行遠(yuǎn)程訪問，遠(yuǎn)程訪問的效率非常低，在遠(yuǎn)程訪問時(shí)的安全性也得不到有效的保障，在進(jìn)行撥號(hào)時(shí)所需要的花費(fèi)的費(fèi)用也非常的多。遠(yuǎn)程訪問VPN，通過數(shù)字用戶線路、ISDN以及撥號(hào)等一系列方式，進(jìn)入到公司或企業(yè)所在地的ISP中，再進(jìn)入Internet中，然后對(duì)公司或企業(yè)中的VPN網(wǎng)關(guān)進(jìn)行連接，在VPN與遠(yuǎn)程客戶端的客戶之間構(gòu)建一條安全隧道，遠(yuǎn)程客戶端的客戶可以通過這一條安全隧道對(duì)公司或企業(yè)內(nèi)部中的網(wǎng)絡(luò)進(jìn)行訪問，這種方式不僅僅節(jié)約了遠(yuǎn)程訪問過程中所需要花費(fèi)的費(fèi)用，還在很大程度上保障了遠(yuǎn)程訪問中的安全性。

遠(yuǎn)程訪問VPN的結(jié)構(gòu)示意圖，如圖1所示。

3.2 站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)

一般情況下，在對(duì)同一個(gè)企業(yè)中兩個(gè)不同的分支機(jī)構(gòu)進(jìn)行連接的過程中，專用私有線路是必不可少的連接工具，但是專用私有線路非常的難找，尋找一條專用私有線路需要花費(fèi)很多的時(shí)間與精力，而且專用私有線路一般都以出租的方式進(jìn)行利用，租金非常的高。企業(yè)在利用一條專用私有線路對(duì)內(nèi)部中不同的分支機(jī)構(gòu)進(jìn)行連接時(shí)，如果專用私有線路對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)造成了破壞，則會(huì)導(dǎo)致連接的失敗，而且在利用專用私有線路對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行傳輸?shù)臅r(shí)候，傳輸數(shù)據(jù)信息的網(wǎng)絡(luò)通道沒有進(jìn)行相關(guān)的加密，這就造成了數(shù)據(jù)信息在傳輸過程中存在著不安全因素。

站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)，能夠有效的解決企業(yè)內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)、傳輸、連接在安全這一方面存在的問題，站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)示意圖，如圖2所示。

VPN網(wǎng)關(guān)，處于公共網(wǎng)絡(luò)與企業(yè)專用網(wǎng)絡(luò)的交界處，站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)對(duì)數(shù)據(jù)信息通信進(jìn)行加密，通過Internet將數(shù)據(jù)信息傳輸?shù)较嚓P(guān)的VPN網(wǎng)關(guān)中。站點(diǎn)到站點(diǎn)的內(nèi)聯(lián)網(wǎng)在接收到Internet所傳輸?shù)臄?shù)據(jù)信息已被加密，然后通過將數(shù)據(jù)信息傳輸?shù)絍PN網(wǎng)關(guān)對(duì)數(shù)據(jù)信息進(jìn)行解密，接著傳輸?shù)狡髽I(yè)的內(nèi)部網(wǎng)絡(luò)中。站點(diǎn)與站點(diǎn)的內(nèi)聯(lián)網(wǎng)在傳輸數(shù)據(jù)信息時(shí)，不需要專用的私有線路，而且還能夠使VPN變得非常的靈活。

3.3 VPN技術(shù)應(yīng)用的實(shí)例

VPN技術(shù)在宜春供水有限公司中的應(yīng)用，圖3是宜春供水有限公司中VPN網(wǎng)絡(luò)結(jié)構(gòu)圖。

VPN技術(shù)在宜春供水有限公司中的應(yīng)用，取代了宜春供水有限公司內(nèi)部中傳統(tǒng)的專線網(wǎng)絡(luò)，VPN技術(shù)的應(yīng)用極大的增強(qiáng)了宜春供水有限公司在利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳遞時(shí)的安全性，有效的節(jié)約了宜春供水有限公司在網(wǎng)絡(luò)信息數(shù)據(jù)傳輸這一方面的資金成本，在總體上為公司節(jié)省了85%左右的信息數(shù)據(jù)通訊的資金成本，而且只需要普通寬帶就能夠?qū)崿F(xiàn)。

4 結(jié)束語

虛擬專用網(wǎng)技術(shù)在企業(yè)應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的過程中有著重要的作用，企業(yè)采用VPN這一技術(shù)，能夠有效的保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性、可靠性、經(jīng)濟(jì)性，能夠確保企業(yè)中的一些重要的私密性文件在通過網(wǎng)絡(luò)進(jìn)行傳輸時(shí)的安全。

參考文獻(xiàn)：

[1] 浦兜，陳依群，曾鴻文.虛擬專用網(wǎng)絡(luò)（VPN）信息加密技術(shù)研究[J].電訊技術(shù)，2010（17）.

[2] 束坤，凳國(guó)新.基于計(jì)算機(jī)網(wǎng)絡(luò)的VPN技術(shù)[J].計(jì)算機(jī)應(yīng)用，2008（11）.

[3] 曾勇軍，暢貞斌，羅必國(guó).通過隧道技術(shù)建立安全的虛擬專用網(wǎng)[J].計(jì)算機(jī)工程與應(yīng)用，2010（8）.

vpn技術(shù)篇4

【論文摘要】：虛擬專用網(wǎng)(vpn)技術(shù)主要包括數(shù)據(jù)封裝化，隧道協(xié)議，防火墻技術(shù)，加密及防止數(shù)據(jù)被篡改技術(shù)等等。文章著重介紹了虛擬專用網(wǎng)以及對(duì)相關(guān)技術(shù)。并對(duì)vpn隧道技術(shù)的分類提出了一些新的探索。

引言

虛擬專用網(wǎng)即vpn（virtual private network）是利用接入服務(wù)器（access sever）、廣域網(wǎng)上的路由器以及vpn專用設(shè)備在公用的wan上實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的vpn服務(wù)被稱為ipvpn。

利用共用的wan網(wǎng)，傳輸企業(yè)局域網(wǎng)上的信息，一個(gè)關(guān)鍵的問題就是信息的安全問題。為了解決此問題，vpn采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

1. 隧道技術(shù)

internet中的隧道是邏輯上的概念。假設(shè)總部的lan上和分公司的lan上分別連有內(nèi)部的ip地址為a和b的微機(jī)?？偛亢头止镜絠sp的接入點(diǎn)上的配置了vpn設(shè)備。它們的全局ip地址是c和d。假定從微機(jī)b向微機(jī)a發(fā)送數(shù)據(jù)。在分公司的lan上的ip分組的ip地址是以內(nèi)部ip地址表示的"目的地址a""源地址b"。因此分組到達(dá)分公司的vpn設(shè)備后，立即在它的前部加上與全局ip地址對(duì)應(yīng)的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設(shè)備從d發(fā)往vpn設(shè)備c而添加的。WWw.133229.COm此ip分組到達(dá)總部的vpn設(shè)備c后，全局ip地址即被刪除，恢復(fù)成ip分組發(fā)往地址a。由此可見，隧道技術(shù)就是vpn利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此，還必須在ip分組上添加新頭標(biāo)，這就是所謂ip的封裝化。同時(shí)利用隧道技術(shù)，還必須使得隧道的入口與出口相對(duì)地出現(xiàn)。

基于隧道技術(shù)vpn網(wǎng)絡(luò)，對(duì)于通信的雙方，感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。

2. 隧道協(xié)議

在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱為封裝化。對(duì)封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此，要成功的使用vpn技術(shù)還需要有隧道協(xié)議。

2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類：

⑴ l2f（layer 2 forwarding）

l2f是cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議l2f支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在ppp幀內(nèi)通過廣域網(wǎng)鏈路傳送到l2f服務(wù)器（路由器）.

⑵ ptp(point to point tunnelimg protocol)

pptp協(xié)議又稱為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。pptp協(xié)議允許對(duì)ip，ipx或netbeut數(shù)據(jù)流進(jìn)行加密，然后封裝在ip包頭中通過企業(yè)ip網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。

⑶ 2tp（layer 2 tunneling protocol）

該協(xié)議是遠(yuǎn)程訪問型vpn今后的標(biāo)準(zhǔn)協(xié)議。

l2f、pptp、l2tp共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的vpn設(shè)備建立ppp連接，端口用戶可以在客戶側(cè)管理ppp。它們除了能夠利用內(nèi)部ip地址的擴(kuò)展功能外，還能在vpn上利用ppp支持的多協(xié)議通信功能，多鏈路功能及ppp的其他附加功能。因此在internet上實(shí)現(xiàn)第二層連接的pppsecsion的隧道協(xié)議被稱作第二層隧道。對(duì)于不提供ppp功能的隧道協(xié)議都由標(biāo)準(zhǔn)的ip層來處理，稱其為第三層隧道，以區(qū)分于第二層隧道。

⑷ tmp/baydvs

atmp（ascend tumneling management protocol）和baydvs(bay dial vpn service)是基于isp遠(yuǎn)程訪問的vpn協(xié)議，它部分采用了移動(dòng)ip的機(jī)制。atmp以gre實(shí)現(xiàn)封裝化，將vpn的起點(diǎn)和終點(diǎn)配置isp內(nèi)。因此，用戶可以不裝與vpn想適配的軟件。

⑸ psec

ipsec規(guī)定了在ip網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了vpn能夠利用認(rèn)證頭標(biāo)（ah：authmentication header）和封裝化安全凈荷（esp：encapsnlating security paylamd）。

ipsec隧道模式允許對(duì)ip負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在ip包頭中，通過企業(yè)ip網(wǎng)絡(luò)或公共ip互聯(lián)網(wǎng)絡(luò)如internet發(fā)送。

從以上的隧道協(xié)議，我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò)，dsi七層網(wǎng)絡(luò)中的位置，將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法，從此產(chǎn)生了"二層vpn "與"三層vpn"的區(qū)別。但是隨著技術(shù)的發(fā)展，這樣的劃分出現(xiàn)了不足，比如基于會(huì)話加密的sslvpn技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的httptunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類，將出現(xiàn)"四層vpn"、"五層vpn"，分類教為冗余。因此，目前出現(xiàn)了其他的隧道機(jī)制的分類。

2.2 改進(jìn)后的幾種隧道機(jī)制的分類

⑴ j.heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來分類，將隧道分成四類。分別是使用撥號(hào)方式的vpn，使用路由方式的vpn，使用專線方式的vpn和使用局域網(wǎng)仿真方式的vpls。

例如同樣是以太網(wǎng)的技術(shù)，根據(jù)實(shí)際情況的不同，可能存在pppoe、mplsybgp、msip、或者ipsec等多種vpn組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別，因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡(luò)性能上的差異，由此將引起在實(shí)際應(yīng)用中對(duì)vpn技術(shù)選型造成誤導(dǎo)。

⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同，可以將隧道分成封裝型隧道和隔離型隧道的vpn分類方法。封裝型隧道技術(shù)是利用封裝的思想，將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息，從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡(luò)傳遞。例如l2tp就是典型的封裝型隧道。

隔離型隧道的建立，則是參考了數(shù)據(jù)交換的原理，根據(jù)不同的標(biāo)記，直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離，如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性，例如lsvpn。從性能上看，使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道，而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力教差，但是可擴(kuò)展性，靈活性具有優(yōu)勢(shì)。

采用隔離型隧道技術(shù)，則不存在以上問題，可以根據(jù)實(shí)際需要，提供點(diǎn)對(duì)點(diǎn)，點(diǎn)對(duì)多點(diǎn)，多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?span style="display:none">UsI萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

3. 諸種安全與加密技術(shù)

ipvpn技術(shù)，由于利用了internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息，使得低成本，遠(yuǎn)距離。但隨之而來的是由于internet技術(shù)的標(biāo)準(zhǔn)化和開放性，導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問控制來提高網(wǎng)絡(luò)的安全性，但黑客仍可以從世界上任何地方對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，使得在ipvpn的網(wǎng)點(diǎn)a和網(wǎng)點(diǎn)b之間安全通信受到威脅。因此，利用ipvpn通信時(shí)，應(yīng)比專線更加注意internet接入點(diǎn)的安全。為此，ipvpn采用了以下諸種安全與加密技術(shù)。[2]

⑴ 防火墻技術(shù)

防火墻技術(shù)，主要用于抵御來自黑客的攻擊。

⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)

加密技術(shù)可以分為對(duì)稱加密和非對(duì)稱加密（專用密鑰號(hào)與公用密鑰）。對(duì)稱加密（或?qū)Ｓ眉用埽┮卜Q常規(guī)加密，由通信雙方共享一個(gè)秘密密鑰。

非對(duì)稱加密，或公用密鑰，通信雙方使用兩個(gè)不同的密鑰，一個(gè)是只有發(fā)送方知道的專用密鑰，另一個(gè)則是對(duì)應(yīng)的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術(shù)的vpn虛擬專用網(wǎng)，只有采用了以上諸種技術(shù)以后，才能夠發(fā)揮其良好的通信功能。

參考文獻(xiàn)

[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.

vpn技術(shù)篇5

引言

1. 隧道技術(shù)

internet中的隧道是邏輯上的概念。假設(shè)總部的lan上和分公司的lan上分別連有內(nèi)部的ip地址為a和b的微機(jī)?？偛亢头止镜絠sp的接入點(diǎn)上的配置了vpn設(shè)備。它們的全局ip地址是c和d。假定從微機(jī)b向微機(jī)a發(fā)送數(shù)據(jù)。在分公司的lan上的ip分組的ip地址是以內(nèi)部ip地址表示的"目的地址a""源地址b"。因此分組到達(dá)分公司的vpn設(shè)備后，立即在它的前部加上與全局ip地址對(duì)應(yīng)的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設(shè)備從d發(fā)往vpn設(shè)備c而添加的。此ip分組到達(dá)總部的vpn設(shè)備c后，全局ip地址即被刪除，恢復(fù)成ip分組發(fā)往地址a。由此可見，隧道技術(shù)就是vpn利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此，還必須在ip分組上添加新頭標(biāo)，這就是所謂ip的封裝化。同時(shí)利用隧道技術(shù)，還必須使得隧道的入口與出口相對(duì)地出現(xiàn)。

基于隧道技術(shù)vpn網(wǎng)絡(luò)，對(duì)于通信的雙方，感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。

2. 隧道協(xié)議

2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類：

⑴ l2f（layer 2 forwarding）

⑵ ptp(point to point tunnelimg protocol)

⑶ 2tp（layer 2 tunneling protocol）

該協(xié)議是遠(yuǎn)程訪問型vpn今后的標(biāo)準(zhǔn)協(xié)議。

⑷ tmp/baydvs

⑸ psec

2.2 改進(jìn)后的幾種隧道機(jī)制的分類

3. 諸種安全與加密技術(shù)

⑴ 防火墻技術(shù)

防火墻技術(shù)，主要用于抵御來自黑客的攻擊。

⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)

參考文獻(xiàn)

[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.

vpn技術(shù)篇6

VPN虛擬專用網(wǎng) (Virtual private network)：建立在實(shí)在網(wǎng)路(或稱物理網(wǎng)路)基礎(chǔ)上的一種功能性網(wǎng)路，或者說是一種專用網(wǎng)的組網(wǎng)方式，簡(jiǎn)稱VPN。它向使用者提供一般專用網(wǎng)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)路；也可以說虛擬專用網(wǎng)是一種邏輯上的專用網(wǎng)路。

2 VPN的特點(diǎn)

(1)安全保障

雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。

(2)服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。所有網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。

(3)可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

(4)可管理性

在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。

3 VPN安全技術(shù)

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

(1) 隧道技術(shù)

隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。VPN使用兩種隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。

(2)加解密技術(shù)

VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型，因此可以分為兩種情況。

對(duì)于PPTP服務(wù)器，將采用MPPE加密技術(shù)。MPPE可以支持40位密鑰的標(biāo)準(zhǔn)加密方案和128位密鑰的增強(qiáng)加密方案。

對(duì)于L2TP服務(wù)器，將使用IPSec機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密。IPSec是基于密碼學(xué)的保護(hù)服務(wù)和安全協(xié)議的套件。

(3)密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

(4)使用者與設(shè)備身份認(rèn)證技術(shù)

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。VPN的身份驗(yàn)證采用PPP的身份驗(yàn)證方法，下面介紹一下VPN進(jìn)行身份驗(yàn)證的幾種方法。

CHAP：CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來協(xié)商一種加密身份驗(yàn)證的安全形式。MS-CHAP：同CHAP相似，微軟開發(fā)MS-CHAP是為了對(duì)遠(yuǎn)程Windows工作站進(jìn)行身份驗(yàn)證，它在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。 MS-CHAP v2：MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。

4 VPN發(fā)展現(xiàn)狀

在國(guó)外，Internet已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。在中國(guó)，制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。

(1)客觀因素包括因特網(wǎng)帶寬和服務(wù)質(zhì)量QoS問題。

在過去無論因特網(wǎng)的遠(yuǎn)程接入還是專線接入，以及骨干傳輸?shù)膸挾己苄?，QoS更是無法保障，造成企業(yè)用戶寧愿花費(fèi)大量的金錢去投資自己的專線網(wǎng)絡(luò)或是寧愿花費(fèi)巨額的長(zhǎng)途話費(fèi)來提供遠(yuǎn)程接入?，F(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問題將得到根本改善和解決。

(2)主觀因素之一是用戶總害怕自己內(nèi)部的數(shù)據(jù)在Internet上傳輸不安全。主觀因素之二，也是VPN應(yīng)用最大的障礙，是客戶自身的應(yīng)用跟不上，只有企業(yè)將自己的業(yè)務(wù)完全和網(wǎng)絡(luò)聯(lián)系上，VPN才會(huì)有了真正的用武之地。

可以想象，當(dāng)我們消除了所有這些障礙因素后，VPN將會(huì)成為我們網(wǎng)絡(luò)生活的主要組成部分。在不遠(yuǎn)的將來，VPN技術(shù)將成為廣域網(wǎng)建設(shè)的最佳解決方案。同時(shí)，VPN會(huì)加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國(guó)各地分公司的局域網(wǎng)連起來，從而真正發(fā)揮整個(gè)網(wǎng)絡(luò)的作用。VPN對(duì)推動(dòng)整個(gè)電子商務(wù)、電子貿(mào)易將起到不可低估的作用。

參考文獻(xiàn)

[1]張忠玉.VPN 技術(shù)綜述及應(yīng)用.工程技術(shù)，2007（25）.

[2]范青.淺談虛擬專用網(wǎng)(VPN)的技術(shù)研究與應(yīng)用.科技信息，2007（33）.

vpn技術(shù)篇7

[關(guān)鍵詞]VPN技術(shù)無線局域網(wǎng)SSL VPN

[中圖分類號(hào)]TP3[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1007-9416(2010)03-0091-02

隨著信息產(chǎn)業(yè)的飛速發(fā)展,通信技術(shù)和計(jì)算機(jī)技術(shù)的融合越來越快。無線通信已經(jīng)成為我們生活不可缺少的一部分。但由于其無線通信設(shè)備采用的是無線信號(hào)的空中傳輸,使得在無線鏈路中傳輸?shù)男畔⒑苋菀妆桓`聽,存在很不安全的因素。嚴(yán)重的話甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。為此在一個(gè)企業(yè)當(dāng)中建立一個(gè)無線局域網(wǎng),安全性應(yīng)是頭號(hào)要解決的問題。VPN是無線網(wǎng)絡(luò)建設(shè)當(dāng)中解決無線通信安全問題的一個(gè)很好的方案。本文試圖就VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用做出一定的探討。

1 VPN技術(shù)概述

VPN (Virtual Private Network,虛擬專用網(wǎng))是專用網(wǎng)絡(luò)在公共網(wǎng)絡(luò)如Internet上的擴(kuò)展。VPN通過隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線,從而達(dá)到安全的數(shù)據(jù)傳輸目的,基于Internet的VPN也稱為IP-VPN。所以從本質(zhì)上說,虛擬專用網(wǎng)(VPN)是一種能夠通過公用網(wǎng)絡(luò)安全地對(duì)內(nèi)部專用網(wǎng)進(jìn)行遠(yuǎn)程訪問的技術(shù)。其要點(diǎn)是在遠(yuǎn)程用戶和VPN服務(wù)器之間建立一條加密隧道,將原始數(shù)據(jù)包加密,并在外面封裝新的協(xié)議包頭。這樣只有知道密鑰的通信雙方能夠解開數(shù)據(jù)包,保證了數(shù)據(jù)包在公共媒質(zhì)上傳送的時(shí)候,不會(huì)被非VPN 用戶截取。

2 VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用分析

無線局域網(wǎng)因其傳輸介質(zhì)、訪問方式等原因,使得其很容易受到攻擊。無線局域網(wǎng)常用的安全方式,如MAC地址過濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配等存在很多明顯的弊端。利用VPN技術(shù)可以為無線局域網(wǎng)提供更可靠的安全解決方案。但是從目前現(xiàn)狀來看,VPN在無線局域網(wǎng)中應(yīng)用實(shí)現(xiàn)方式主要有兩種,一種是基于IPSec 的無線VPN設(shè)計(jì),另外一種是基于SSL的無線VPN設(shè)計(jì)。但是IPSec 的無線VPN設(shè)計(jì)是較早時(shí)期VPN在無線局域網(wǎng)中的實(shí)現(xiàn)方式,隨著近年來無線局域網(wǎng)以及VPN技術(shù)的逐漸成熟,基于SSL的無線局域網(wǎng)實(shí)現(xiàn)技術(shù)已經(jīng)成為主流,本文將重點(diǎn)探討基于SSL的VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用。

2.1 SSL VPN在無線局域網(wǎng)中應(yīng)用原理及功能特點(diǎn)

SSL(Secure Socket Layer,安全套接層)是一種在兩臺(tái)機(jī)器間提供安全通道的協(xié)議,它具有保護(hù)傳輸數(shù)據(jù)以及識(shí)別通信機(jī)器的功能。SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。SSL VPN使用SSL協(xié)議和為終端用戶提供基于HTTP, C/S和共享文件資源的認(rèn)證和安全訪問。與復(fù)雜的IPSec VPN相比,SSL通過簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN,這是因?yàn)镾SL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。SSL VPN的工作原理如圖1所示:

SSL VPN的功能特點(diǎn)主要體現(xiàn)在以下幾個(gè)方面:一是無需安裝客戶端軟件。大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件,只需使用標(biāo)準(zhǔn)Web瀏覽器即可訪問到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。這樣無論是從軟件協(xié)議購(gòu)買成本上,還是從維護(hù)、管理成本上都可以節(jié)省一大筆資金,從而大幅降低VPN網(wǎng)絡(luò)的實(shí)施成本。二是適用于大多數(shù)設(shè)備及系統(tǒng)。由于Web方式的開放性,支持標(biāo)準(zhǔn)瀏覽器的任何設(shè)備都可以使用SSLVPN進(jìn)行遠(yuǎn)程訪問,包括非傳統(tǒng)設(shè)備,如PDA等。三是適用于大多數(shù)操作系統(tǒng)。任何支持標(biāo)準(zhǔn)Web瀏覽器的操作系統(tǒng)都可以作為S SL VPN的客戶端進(jìn)行遠(yuǎn)程訪問。不管用戶使用的操作系統(tǒng)是Windows、Macintosh、UNIX還是Linux。都可以非常容易地訪問到企業(yè)內(nèi)部網(wǎng)站的資源。

2.2 SSL VPN在無線局域網(wǎng)中的具體應(yīng)用

通過圖1的示意圖可以看出,SSL VPN在無線局域網(wǎng)網(wǎng)中應(yīng)用的整個(gè)系統(tǒng)由SSL網(wǎng)關(guān)和Web服務(wù)器以及AP組成,其中最重要的是SSL網(wǎng)關(guān)。網(wǎng)關(guān)由多個(gè)服務(wù)器組成,LDAP服務(wù)器負(fù)責(zé)證書以及證書吊銷列表的保存,RADIUS服務(wù)器負(fù)責(zé)訪問控制策略,DHCP服務(wù)器負(fù)責(zé)為接入網(wǎng)關(guān)的局域網(wǎng)計(jì)算機(jī)分配IP地址,AD是證書驗(yàn)證服務(wù)器。

對(duì)于SSL VPN來說,要保證通信的安全,必須要做到保密性、消息完整性和端點(diǎn)的認(rèn)證。保密性是指?jìng)鬏數(shù)臄?shù)據(jù)必須經(jīng)過加密,消息完整性是指?jìng)鬏數(shù)臄?shù)據(jù)能夠確認(rèn)是沒有被黑客或攻擊者篡改過,端點(diǎn)認(rèn)證是指客戶端或者服務(wù)器端能夠?qū)α硪环酱_認(rèn)是否是正確的通信者。SSL協(xié)議通過SSL握手來確定密鑰并用該對(duì)稱密鑰來對(duì)通信的數(shù)據(jù)進(jìn)行加密。在握手期間通過公鑰技術(shù)對(duì)雙方進(jìn)行認(rèn)證,并用密鑰交換技術(shù)交換通信使用的對(duì)稱密鑰,然后使用對(duì)稱密鑰加密通信數(shù)據(jù)。SSL的安全依賴于所使用的加密套件,每個(gè)加密套件使用四種算法,即:數(shù)字簽名算法,消息摘要算法,密鑰確立算法以及數(shù)據(jù)加密算法。

SSL VPN在無線局域網(wǎng)中具體應(yīng)用需要重點(diǎn)解決以下幾個(gè)方面的問題:一是客戶端安全接入問題。對(duì)于SSL VPN服務(wù)器來說,有效地保證自身的安全和對(duì)客戶端接入的控制是最重要的。應(yīng)該具備一個(gè)專門的子系統(tǒng)來負(fù)責(zé)對(duì)客戶端的認(rèn)證,它的功能是針對(duì)不同的客戶端選擇相應(yīng)的策略進(jìn)行認(rèn)證;二是有效的訪問控制策略。當(dāng)用戶通過了系統(tǒng)的認(rèn)證之后,如何有效而靈活控制客戶的訪問權(quán)限,是非常重要的問題,同時(shí)也是SSL VPN系統(tǒng)最具特色的特點(diǎn)之一。如何實(shí)施用戶的集中化管理,通過SSL VPN控制臺(tái)進(jìn)行管理,更加有效的監(jiān)控用戶使用權(quán)限,如何做到能夠基于內(nèi)容的訪問控制策略等等都需要更多的關(guān)注。三是傳輸性能問題。對(duì)于一個(gè)SSL VPN服務(wù)器來說,傳輸在整個(gè)SSL VPN系統(tǒng)中是一個(gè)性能的瓶頸點(diǎn)。

總之,隨著我國(guó)網(wǎng)絡(luò)用戶的快速增長(zhǎng),無線網(wǎng)絡(luò)作為有效網(wǎng)絡(luò)的有效補(bǔ)充,在人們的網(wǎng)絡(luò)生活中將會(huì)占據(jù)更加重要的地位。而VPN技術(shù)作為無線局域網(wǎng)的一種有效安全措施,在無線局域網(wǎng)中具有非常廣泛的應(yīng)用。

[參考文獻(xiàn)]

[1] 劉乃安.無線局域網(wǎng)(WLAN)――原理、技術(shù)與應(yīng)用[M].西安:電子科技大學(xué)出版社,2004.

[2] 周明.SSL VPN體系結(jié)構(gòu)在無線局域網(wǎng)中的應(yīng)用與設(shè)計(jì)[J].電子科技大學(xué).2006(4).

[3] 吳麗華,史烈.基于VPN技術(shù)的安全無線局域網(wǎng)的構(gòu)建[J].計(jì)算機(jī)工程,2005(2).

vpn技術(shù)篇8

關(guān)鍵詞:MPLS VPN;校園網(wǎng);技術(shù)優(yōu)勢(shì);應(yīng)用;初步規(guī)劃

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2010)04-0831-02

MPLS VPN Technology and in Campus Net Construction Research

LIU Li-juan

(Nanjing Normal University Taizhou College, Taizhou 225300, China)

Abstract: Through introduced MPLS VPN technology basic concept, principle, realization way,has analyzed the MPLS VPN technical superiority, elaborated MPLS VPN technology in the large-scale network design practical application, preliminary study under MPLS VPN environment campus network plan, the endeavour will cause on a next university informationization construction new stair.

Key words: MPLS VPN; campus net; technical superiority; using; preliminary plan

隨著信息化程度的加深,校園網(wǎng)上各種管理應(yīng)用系統(tǒng)平臺(tái)不斷增加,各種各樣的網(wǎng)絡(luò)需求和安全問題對(duì)傳統(tǒng)校園網(wǎng)提出了巨大的挑戰(zhàn),如何實(shí)現(xiàn)學(xué)校教學(xué)、科研、管理等多個(gè)業(yè)務(wù)系統(tǒng)的“隔離與受控訪問”,并能檢測(cè)、調(diào)節(jié)、設(shè)定不同業(yè)務(wù)優(yōu)先級(jí),提供多等級(jí)校園網(wǎng)絡(luò)服務(wù)質(zhì)量,優(yōu)化網(wǎng)絡(luò)性能,成為校園網(wǎng)工程改造的難題。由于MPLS VPN技術(shù)能夠非常簡(jiǎn)單的實(shí)現(xiàn)學(xué)校各部門之間的橫向和縱向互訪,并且在增加新的節(jié)點(diǎn)時(shí),不需要對(duì)原有節(jié)點(diǎn)的配置進(jìn)行修改。所以相對(duì)其他VPN技術(shù),采用MPLS技術(shù)組建的VPN具有更好的可維護(hù)性及可擴(kuò)展性,MPLS VPN更適合于組建較大規(guī)模的復(fù)雜的VPN網(wǎng)絡(luò),MPLS VPN的這些優(yōu)點(diǎn)已經(jīng)成為建設(shè)校園網(wǎng)的主流技術(shù)。

1 MPLS VPN技術(shù)

1.1 MPLS VPN技術(shù)概述

MPLS VPN是一種基于MPLS技術(shù)的VPN,它在MPLS/IP公共網(wǎng)絡(luò)上,利用MPLS技術(shù)創(chuàng)建隧道,實(shí)現(xiàn)二、三層VPN業(yè)務(wù)。MPLS VPN的隧道建立就是采用MPLS的標(biāo)簽堆疊技術(shù),通過給用戶數(shù)據(jù)封裝雙層標(biāo)簽來實(shí)現(xiàn)。其中內(nèi)層標(biāo)簽即私網(wǎng)標(biāo)簽,用來識(shí)別用戶信息的VPN信息,外層標(biāo)簽即公網(wǎng)標(biāo)簽,用來在公網(wǎng)中轉(zhuǎn)發(fā)私網(wǎng)報(bào)文。將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起,為用戶提供高質(zhì)量的服務(wù)。

1.2 MPLS VPN原理

MPLS VPN中的路由器有P路由器、PE路由器、CE路由器3種。P路由器是主干路由器,負(fù)責(zé)VPN分組外層標(biāo)簽的交換;PE路由器一般是邊界路由器,存放著VRF表和全局路由表;CE路由器為客戶端路由器。當(dāng)CE路由器將一個(gè)VPN分組轉(zhuǎn)發(fā)給PE路由器后,PE路由器查找該VPN對(duì)應(yīng)的VRF,從VRF中得到一個(gè)VPN標(biāo)簽和下一跳出口PE路由器的地址,VPN標(biāo)簽為“最內(nèi)層標(biāo)簽”打在VPN分組上,根據(jù)下一跳出口,PE路由器的地址可以在全局路由表中查找出到達(dá)該P(yáng)E路由器應(yīng)打上的域內(nèi)路由的標(biāo)簽,即外層標(biāo)簽,于是VPN分組被打上了兩層標(biāo)簽,P路由器根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)VPN分組,在最后一個(gè)P路由器處,外層標(biāo)簽彈出,VPN分組只剩下內(nèi)層標(biāo)簽,接著VPN分組被發(fā)往出口PE路由器。出口路由器根據(jù)內(nèi)層標(biāo)簽查找到相應(yīng)的出口,將VPN分組上的內(nèi)層標(biāo)簽刪除,把不含標(biāo)簽的VPN分組發(fā)給正確的CE路由器,CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。

1.3 MPLS VPN的實(shí)現(xiàn)方式

MPLS VPN的實(shí)現(xiàn)方式,根據(jù)Internet邊界設(shè)備PE是否參與客戶的路由,Internet在建立基于MPLS的VPN時(shí)有兩種選擇:第三層的解決方案(Layer3MPLS VPN)和第二層的解決方案(Layer2MPLS VPN)。第二層和第三層MPLS VPN的主要區(qū)別在于:在一個(gè)第三層的MPLS VPN里,PE路由器和CE路由器建立了對(duì)等關(guān)系,并且維護(hù)獨(dú)立的路由表,而不是在CE路由器之間建立對(duì)等關(guān)系。

1.4 MPLS VPN的技術(shù)優(yōu)勢(shì)

1.4.1 VPN實(shí)現(xiàn)網(wǎng)絡(luò)安全

VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。具有高度的安全性,對(duì)于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行、在線交易都需要絕對(duì)的安全。

1.4.2 簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)

網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來實(shí)現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對(duì)遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小,僅此一點(diǎn)就可以極大地簡(jiǎn)化企業(yè)廣域網(wǎng)的設(shè)計(jì)。另外,VPN通過撥號(hào)訪問來自ISP或NSP的外部服務(wù),減少了調(diào)制解調(diào)器池,簡(jiǎn)化了所需的接口,同時(shí)簡(jiǎn)化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記帳相關(guān)的設(shè)備和處理。

1.4.3 降低成本

許多技術(shù)承諾可以降低成本,但VPN降低成本的方法是立即且顯著的,它可以降低:

1)移動(dòng)用戶長(zhǎng)途通信成本費(fèi)。

2)可以以每條連接40%到60%的成本對(duì)租用線路進(jìn)行控制和管理,對(duì)國(guó)際電路成本節(jié)約是極為顯著的。

3)主要設(shè)備成本:VPN通過支持撥號(hào)訪問外部資源,使企業(yè)可以減少不斷增長(zhǎng)的調(diào)制解調(diào)器費(fèi)用。另外,它還允許一個(gè)單一的WAN接口服務(wù)多種目的,從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端,本地提供高帶寬的線路連接到撥號(hào)訪問服務(wù)提供者。因此,只需要極少的WAN接口和設(shè)備。另外,由于VPN獨(dú)立于初始的協(xié)議,這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備,保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。

1.4.4 容易擴(kuò)展

如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍,只需與新的ISP簽約,建立帳戶,或者與原有的ISP重簽合約,擴(kuò)大服務(wù)范圍。

1.4.5 易于建立商業(yè)伙伴

在過去,企業(yè)如果想與合作伙伴聯(lián)網(wǎng),雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后,這種協(xié)商已毫無必要,真正達(dá)到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機(jī)會(huì),建立可靠的商業(yè)伙伴關(guān)系。

1.4.6 完全控制主動(dòng)權(quán)

VPN使企業(yè)可以利用ISP的設(shè)施和服務(wù),同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說,企業(yè)可以把撥號(hào)訪問交給ISP去做,由自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

1.4.7 支持新興應(yīng)用

許多專用網(wǎng)對(duì)于新興應(yīng)用準(zhǔn)備不足,如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級(jí)的應(yīng)用,如IP語音,IP傳真,還有各種協(xié)議,如RSIP、IM、MPLS等。

2 MPLS VPN的應(yīng)用

MPLS VPN應(yīng)用的范圍比較廣泛,在企業(yè)中利用MPLS VPN可以大大縮小總部和各分支機(jī)構(gòu)之間的差距,在VPN中實(shí)施軟交換IP電話,可以大大節(jié)省長(zhǎng)途話費(fèi),利用VPN開通會(huì)議電視,大大方便各分支機(jī)構(gòu)之間的業(yè)務(wù)交流。在政府機(jī)構(gòu)中,從中央到省級(jí)到市/地級(jí)到縣級(jí)到鄉(xiāng)鎮(zhèn),都可以組建MPLS VPN網(wǎng),在各級(jí)VPN中開通E-mail、IP 電話、會(huì)議電視,方便各級(jí)政府官員互相通郵通電,隨時(shí)啟用會(huì)議電視開展會(huì)議。各級(jí)VPN的級(jí)別設(shè)置與各級(jí)政府級(jí)別、機(jī)密級(jí)別設(shè)置相當(dāng),將網(wǎng)絡(luò)風(fēng)險(xiǎn)降低到零。另外,MPLS VPN還可以在遠(yuǎn)程教育、跨地域銀行、電力遠(yuǎn)程監(jiān)控、大型商行或超市、物流業(yè)等領(lǐng)域應(yīng)用。

2.1 校園網(wǎng)改造需求分析

針對(duì)原有網(wǎng)絡(luò)運(yùn)行模式,需要一個(gè)便于擴(kuò)展的解決方案,來保持用戶組完全隔離,實(shí)現(xiàn)服務(wù)和安全策略的集中,并保留校園園區(qū)網(wǎng)設(shè)計(jì)的高可用性、安全性和可擴(kuò)展性優(yōu)勢(shì)。網(wǎng)絡(luò)改造設(shè)計(jì)必須高效地解決以下幾個(gè)問題:

2.1.1 訪問控制

確保能識(shí)別合法用戶和設(shè)備,對(duì)其分類,并允許其接入獲得訪問授權(quán)的網(wǎng)絡(luò)部分。

2.1.2 路徑隔離

確保各用戶或設(shè)備都能高效地分配到正確、安全的可用資源集,即正確的VPN。

2.1.3 服務(wù)邊緣

確保合法的用戶和設(shè)備能訪問相應(yīng)的正確服務(wù),并集中實(shí)施策略。

2.1.4 網(wǎng)絡(luò)擴(kuò)展

可以為其他校區(qū)、辦學(xué)點(diǎn)、移動(dòng)辦公的人員提供遠(yuǎn)程接入訪問服務(wù)。

2.2 校園網(wǎng)MPLS VPN初步規(guī)劃

2.2.1 整體規(guī)劃

采用MPLS/BGP VPN技術(shù)作為實(shí)現(xiàn)基本MPLS VPN業(yè)務(wù)的技術(shù)路線,建立各業(yè)務(wù)系統(tǒng)虛擬獨(dú)立網(wǎng)絡(luò),各業(yè)務(wù)系統(tǒng)部門之間的可控互通訪問;通過構(gòu)建全局共享VPN實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)電子信息資源庫(kù)、視頻會(huì)議系統(tǒng)的互連互通;在MPLS VPN基礎(chǔ)上,通過部署IP VPN提供更進(jìn)一步的安全保證;在網(wǎng)絡(luò)未來擴(kuò)展中,采用VPE技術(shù)實(shí)現(xiàn)VPDN與MPLS VPN的結(jié)合;

2.2.2 專網(wǎng)規(guī)劃

主校區(qū)可以通過虛擬園區(qū)網(wǎng)實(shí)現(xiàn)校內(nèi)各業(yè)務(wù)系統(tǒng)的專網(wǎng)實(shí)現(xiàn),要解決接入控制、通道隔離、統(tǒng)一應(yīng)用三個(gè)問題,實(shí)現(xiàn)對(duì)接入用戶身份的識(shí)別和動(dòng)態(tài)訪問權(quán)限的下發(fā),從而使用一套物理網(wǎng)絡(luò)為多個(gè)部門的用戶提供不同的安全訪問級(jí)別服務(wù),并且滿足網(wǎng)絡(luò)的安全性和靈活辦公的需要。

各分校區(qū)從原有基于專線的網(wǎng)絡(luò)上遷移到校園網(wǎng)絡(luò)上,需要改變?cè)芯W(wǎng)絡(luò)的接入方式,設(shè)備也要做適當(dāng)調(diào)整,需要配置支持MPLS VPN的接入路由器。

3 結(jié)論

MPLS VPN技術(shù)是目前大型復(fù)雜網(wǎng)絡(luò)建設(shè)中解決信息受控訪問和安全隔離的有效途徑,它使企業(yè)得以在一個(gè)公共的通信平臺(tái)上,構(gòu)建內(nèi)部的VPN專網(wǎng),能夠在一個(gè)無連接的網(wǎng)絡(luò)中引入連接模式的特性,有效減少了網(wǎng)絡(luò)復(fù)雜性。MPLS VPN技術(shù)在校園網(wǎng)的建設(shè)中雖然還沒有得到普及化的應(yīng)用,但相信隨著時(shí)代的發(fā)展,MPLS VPN必將為實(shí)現(xiàn)全面“數(shù)字化校園”作出巨大貢獻(xiàn)。

參考文獻(xiàn):

[1] 郭宏宇.MPLS VPN技術(shù)原理與實(shí)際應(yīng)用[D].吉林:吉林大學(xué),2008.

[2] 魏岳,王文靜,趙蔚.基于VPN的校園網(wǎng)組網(wǎng)模式分析[J].福建電腦,2009(2):85-86.

[3] 吳榮生,郭聯(lián)志.MPLS VPN的探究與應(yīng)用[J].重慶科技學(xué)院學(xué)報(bào):自然科學(xué)版,2009,11(2):130-133.

本文鏈接：http://m.9105763.cn/v-141-3384.htmlvpn技術(shù)范文8篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點(diǎn)，本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅，請(qǐng)大家謹(jǐn)防詐騙！若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。

顯示全文

上一篇：vpn技術(shù)論文范文8篇

下一篇：vi設(shè)計(jì)邀請(qǐng)函范文8篇

相關(guān)文章：

高三加油打氣祝福文案05-15

簡(jiǎn)短的優(yōu)秀員工頒獎(jiǎng)詞01-23

武漢地鐵社會(huì)調(diào)查報(bào)告01-13

寒假高一學(xué)習(xí)計(jì)劃安排08-31

2024年，全國(guó)數(shù)據(jù)企業(yè)數(shù)量超40萬家，較“十三五”末增長(zhǎng)117%08-14

陜西當(dāng)?shù)厥斜O(jiān)局介入調(diào)查趙露思“假助農(nóng)”風(fēng)波08-14

違法犯罪經(jīng)歷豈能作流量密碼05-17

經(jīng)典唯美傷感句子65條07-04