當(dāng)前位置：首頁 > 文庫 > 文案

vpn技術(shù)范文10篇

時(shí)間：2024-08-15 14:07:42 34

vpn技術(shù)

vpn技術(shù)范文第1篇

關(guān)鍵詞：VPN 隧道協(xié)議 PPTP L2TP IPSec

VPN是Virtual Private Network的縮寫，即虛擬專用網(wǎng)絡(luò)。VPN在公共IP網(wǎng)絡(luò)上建立用戶私有的數(shù)據(jù)傳輸通道，將遠(yuǎn)程訪問用戶與相應(yīng)企業(yè)的內(nèi)部網(wǎng)絡(luò)連接起來，并提供安全的端到端的數(shù)據(jù)通信，從而大大減輕了企業(yè)的遠(yuǎn)程訪問費(fèi)用，節(jié)省企業(yè)的運(yùn)行成本。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

1、VPN的使用隧道協(xié)議

VPN的實(shí)現(xiàn)，最關(guān)鍵的是在公共網(wǎng)洛上建立用于數(shù)據(jù)傳輸?shù)倪壿嬏摂M信道，而建立虛擬信道是通過使用隧道技術(shù)來實(shí)現(xiàn)的，隧道的建立可以是在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。第二層隧道技術(shù)主要是使用PPP連接，使用的隧道協(xié)議有PPTP和L2TP，其特點(diǎn)是協(xié)議簡(jiǎn)單，易于加密，適合于遠(yuǎn)程撥號(hào)用戶使用；第三層隧道技術(shù)是IPinIP，使用的隧道協(xié)議是IPSec，其可靠性及擴(kuò)展性優(yōu)于第二層隧道協(xié)議，但沒有前者簡(jiǎn)單直接。

1.1 PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）

點(diǎn)到點(diǎn)隧道協(xié)議（PPTP，Point-to-Point Tunneling Protocol），是一種用于使遠(yuǎn)程用戶通過撥號(hào)方式連接到本地的ISP，通過Internet安全的遠(yuǎn)程訪問公司內(nèi)部網(wǎng)絡(luò)資源的工業(yè)標(biāo)準(zhǔn)隧道協(xié)議，它在WIN NT 4.0系統(tǒng)中首先得到支持。PPTP是對(duì)“PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）”的擴(kuò)展，它能將PPP（點(diǎn)到點(diǎn)協(xié)議）幀封裝成IP數(shù)據(jù)包，以便能夠在基于IP的互聯(lián)網(wǎng)上進(jìn)行傳輸，它增強(qiáng)了PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP使用TCP（傳輸控制協(xié)議）來創(chuàng)建、維護(hù)、終止隧道，并使用GRE（通用路由封裝）將PPP幀封裝成隧道數(shù)據(jù)，被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時(shí)被加密與壓縮。PPTP協(xié)議數(shù)據(jù)包通過使用從MS-SHAP（微軟公司的盤問交握式協(xié)議）活EAP-TLS（EAP Transport LAN Service，可傳輸式身份驗(yàn)證協(xié)議）身份驗(yàn)證過程中生成的密鑰進(jìn)行加密。

1.2 第二層隧道協(xié)議（L2TP）

第二層隧道協(xié)議（L2TP）是思科公司開發(fā)的，具有RFC隧道協(xié)議的一種協(xié)議，是PPTP與L2F（第二層轉(zhuǎn)發(fā)）的一種綜合。它不同于PPTP，Windows系統(tǒng)中的L2TP不使用“MPPE（微軟點(diǎn)對(duì)點(diǎn)加密）”來加密PPP數(shù)據(jù)包，它是依賴于加密服務(wù)的IPSec（網(wǎng)際協(xié)議安全）的協(xié)議。現(xiàn)在被廣泛使用的是基于IPSec的L2TP。VPN客戶機(jī)和VPN服務(wù)器必須同時(shí)支持IPSec和L2TP，L2TP將在IPSec身份驗(yàn)證的過程中生成一個(gè)密鑰，而采用IPSec加密機(jī)制加密L2TP消息。

1.3 Internet協(xié)議安全性（IPSec）

IPSec是專門為了IP提供安全服務(wù)而設(shè)計(jì)的一種協(xié)議，它可以有效地保護(hù)IP數(shù)據(jù)報(bào)的安全，具體通過包括數(shù)據(jù)源驗(yàn)證、無連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)和抗重播保護(hù)等保護(hù)形式來實(shí)現(xiàn)。IPSec有兩種運(yùn)行模式：傳輸模式和隧道模式，有兩種安全協(xié)議：AH（認(rèn)證頭協(xié)議）和ESP（封裝安全載荷協(xié)議）。AH可以驗(yàn)證數(shù)據(jù)的起源，保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。ESP除具有AH的所有能力以外，還可以選擇保障數(shù)據(jù)的機(jī)密性，以及為數(shù)據(jù)流提供有限的機(jī)密性保障。即AH提供認(rèn)證，ESP提供認(rèn)證和/或加密。通過使用這兩種協(xié)議，可以對(duì)IP數(shù)據(jù)報(bào)或上層協(xié)議，如UDP和TCP，進(jìn)行保護(hù)，而這種保護(hù)由IPSec的兩種工作模式來提供。到目前為止，IPSec被業(yè)界認(rèn)為是最安全的IP協(xié)議，但是其過于復(fù)雜的問題也是系統(tǒng)安全的一個(gè)主要威脅。

2、VPN網(wǎng)絡(luò)服務(wù)的分類

從連接用途以及連接方式上，VPN網(wǎng)絡(luò)服務(wù)可以分為基于Internet的VPN和基于Intranet的VPN。

2.1 基于Internet的VPN

遠(yuǎn)程訪問客戶首先要激活與本地ISP所建立的物理連接，然后遠(yuǎn)程訪問客戶通過Internet來訪問企業(yè)的VPN服務(wù)器，同時(shí)初始化一條虛擬的專用隧道。VPN連接創(chuàng)建以后，遠(yuǎn)程訪問用戶就可以訪問VPN服務(wù)器所在Intranet上的有權(quán)限訪問的資源了。

2.2 基于Intranet的VPN

對(duì)于企業(yè)內(nèi)部的敏感或需保密的部門，這些部門在邏輯上或者物理上與企業(yè)Intranet上的其他部門是斷開的，即不能互訪。如何使需要訪問的用戶訪問這些部門呢？通過VPN鏈接，這些敏感部門的網(wǎng)絡(luò)將被允許連接到企業(yè)的Intranet內(nèi)，通過搭建VPN服務(wù)器將這些敏感部門和其他部門隔離開。VPN服務(wù)器不在企業(yè)的Intranet和部門網(wǎng)絡(luò)之間提供直接的路由連接。那些企業(yè)Intranet內(nèi)有訪問敏感部門權(quán)限的用戶可以與VPN服務(wù)器建立遠(yuǎn)程訪問連接，進(jìn)而訪問敏感部門網(wǎng)絡(luò)。為此，所有通過VPN的通信數(shù)據(jù)都會(huì)被加密。對(duì)于那些沒有訪問敏感部門權(quán)限的用戶，在Intranet上，敏感部門的網(wǎng)絡(luò)是隱藏的。

3、VPN的解決方案

3.1 Access VPN

這種方案最適合企業(yè)內(nèi)部有大量的遠(yuǎn)程辦公訪問需求和提供B2C（Business-to-Customer商家對(duì)顧客）方式的企業(yè)。遠(yuǎn)程訪問的企業(yè)員工或者客戶可以利用當(dāng)?shù)豂SP提供的VPN服務(wù)和企業(yè)的VPN網(wǎng)關(guān)建立專有隧道連接，這建立連接的過程中需對(duì)訪問者的身份進(jìn)行驗(yàn)證和授權(quán)，這樣可以使遠(yuǎn)程訪問用戶獲得相應(yīng)的訪問權(quán)限。

3.2 Intranet VPN

這種解決方案是企業(yè)內(nèi)部各分支機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)互聯(lián)的最優(yōu)解決方案。企業(yè)特別是大型的跨國企業(yè)可以利用VPN技術(shù)將分步在各地的分公司、辦事處等分支機(jī)構(gòu)通過Internet建立世界范圍內(nèi)的Intranet VPN。這個(gè)方案充分利用Internet廉價(jià)性和VPN的高安全性組建了安全的、專用的虛擬鏈路，使企業(yè)的數(shù)據(jù)和信息可以借助互聯(lián)網(wǎng)安全的在企業(yè)的各個(gè)分支機(jī)構(gòu)之間傳遞。

3.3 Extranet VPN

這種方案以Internet為數(shù)據(jù)鏈路基礎(chǔ)，通過VPN技術(shù)，在充分保證企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的基礎(chǔ)上，使企業(yè)能夠像其合作伙伴提供有效的、可靠的信息服務(wù)。該方案使得企業(yè)和企業(yè)之間的聯(lián)系更加緊密，也保障了企業(yè)與企業(yè)之間的信息的方便、快捷的傳遞。

4、VPN的應(yīng)用

VPN技術(shù)主要適用于哪些客戶呢？歸納起來以下這些情況需要使用VPN技術(shù)。

（1）客戶位置眾多而且極其分散。

（2）企業(yè)的機(jī)構(gòu)分布范圍廣，而且各個(gè)機(jī)構(gòu)的距離遠(yuǎn)，需要通過長途通信，特別需要使用國際長途通信的企業(yè)。

（3）對(duì)帶寬和時(shí)延沒有特殊要求的用戶。

vpn技術(shù)范文第2篇

【關(guān)鍵詞】SSL VPN；IPSEC VPN；網(wǎng)絡(luò)安全

【中圖分類號(hào)】TN711

【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】1672-5158（2012）12-0004-01

一、SSL VPN的基本學(xué)術(shù)概念

1.1 什么是SSL VPN

SSL（Secure Sockets Layer）是一種Intemet數(shù)據(jù)安全協(xié)議。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。VPN（Virtual Private Network虛擬專用網(wǎng)絡(luò)），可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)，被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是Internet）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

SSL VPN就是指應(yīng)用層的vpn，它是基于https來訪問受保護(hù)的應(yīng)用。目前常見的SSL VPN方案有兩種方式：直路方式和旁路方式。直路方式中，當(dāng)客戶端需要訪問一臺(tái)應(yīng)用服務(wù)器時(shí)：首先，客戶端和SSL VPN網(wǎng)關(guān)通過證書互相驗(yàn)證雙方；其次，客戶端和SSL VPN網(wǎng)關(guān)之間建立ssl通道；然后，SSL VPN網(wǎng)關(guān)作為客戶端的和應(yīng)用服務(wù)器之間建立tcp連接，在客戶端和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式和直路不同的是：為了減輕在進(jìn)行ssl加解密時(shí)的運(yùn)行負(fù)擔(dān)，也可以獨(dú)立出ssl加速設(shè)備，在SSL VPN server接收到https請(qǐng)求時(shí)，將ssl加密的過程交給ssl加速設(shè)備來處理，當(dāng)ssl加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSL VPN server。

1.2 SSL VPN的特性

保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊，保證信息不泄漏給未經(jīng)授權(quán)的人。由于使用的是Ssl協(xié)議，該協(xié)議是介于http層及tcp層的平安協(xié)議，傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSL VPN通過設(shè)置不同級(jí)別的用戶和不同級(jí)別的權(quán)限來屏蔽非授權(quán)用戶的訪問。用戶的設(shè)置可以有設(shè)置帳戶、使用證書、radius機(jī)制等不同的方式。ssl數(shù)據(jù)加密的平安性由加密算法來保證，各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡(luò)中的數(shù)據(jù)，就要能夠解開這些加密算法后的數(shù)據(jù)包。

完整性就是對(duì)抗對(duì)手主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改。由于SSL VPN一般在gateway上或者在防火墻后面，把企業(yè)內(nèi)部需要被授權(quán)外部訪問的內(nèi)部應(yīng)用注冊(cè)到SSL VPN上。這樣對(duì)于gateway來講，需要開通443這樣的端口到ssl vpn即可，而不需要開通所有內(nèi)部的應(yīng)用的端口。假如有黑客發(fā)起攻擊也只能到SSL VPN這里，攻擊不到內(nèi)部的實(shí)際應(yīng)用。

可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。前面已經(jīng)提到，對(duì)于SSL VPN要保護(hù)的后臺(tái)應(yīng)用，可以為其設(shè)置不同的級(jí)別，只有相應(yīng)級(jí)別的用戶才可以訪問到其對(duì)應(yīng)級(jí)別的資源，從而保證了信息的可用性。

可控性就是對(duì)信息及信息系統(tǒng)實(shí)施平安監(jiān)控。SSL VPN作為一個(gè)平安的訪問連接建立工具，所有的訪問信息都要經(jīng)過這個(gè)網(wǎng)關(guān)，所以記錄日志對(duì)于網(wǎng)關(guān)來說非常重要。不僅要記錄日志，還要提供完善的超強(qiáng)的日志分析能力，才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊，從而對(duì)信息系統(tǒng)實(shí)施監(jiān)控。

二、SSL VPN的優(yōu)勢(shì)

2.1 零客戶端

客戶端的區(qū)別是SSL VPN最大的優(yōu)勢(shì)。瀏覽器內(nèi)嵌了ssl協(xié)議，所以預(yù)先安裝了web瀏覽器的客戶機(jī)可以隨時(shí)作為SSL VPN的客戶端。這樣，使用零客戶端的SSL VPN遠(yuǎn)程訪問的用戶可以為遠(yuǎn)程員工、客戶、合作伙伴及供給商等。通過SSL VPN，客戶端可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問。也就是說是基于b/s結(jié)構(gòu)的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成ssl的vpn建立；而IPSEC VPN只答應(yīng)已經(jīng)定義好的客戶端進(jìn)行訪問，所以它更適用于企業(yè)內(nèi)部。

2.2 平安性

SSL VPN的平安性前面已經(jīng)討論過，和IPSEC VPN相比較，SSL VPN在防病毒和防火墻方面有它特有的優(yōu)勢(shì)。

一般企業(yè)在Internet聯(lián)機(jī)入口，都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)辦法。不論是IPSEC VPN或SSL VPN聯(lián)機(jī)，對(duì)于人口的病毒偵測(cè)效果是相同的，但是比較從遠(yuǎn)程客戶端入侵的可能性，就會(huì)有所差別。采用IPSEC VPN聯(lián)機(jī)，若是客戶端電腦遭到病毒感染，這個(gè)病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。而對(duì)于SSL VPN的聯(lián)機(jī)，病毒傳播會(huì)局限于這臺(tái)主機(jī)，而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類型，不同類型的病毒是不會(huì)感染到這臺(tái)主機(jī)的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

2.3 訪問控制

用戶部署vpn是為了保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)的平安。IPSEC VPN只是搭建虛擬傳輸網(wǎng)絡(luò)，SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對(duì)訪問人員的每個(gè)訪問，做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。

2.4 經(jīng)濟(jì)性

使用SSL VPN具有很好的經(jīng)濟(jì)性，因?yàn)橹恍枰诳偛糠胖靡慌_(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程平安訪問接入。但是對(duì)于IPSEC VPN來說，每增加一個(gè)需要訪問的分支，就需要添加一個(gè)硬件設(shè)備。就使用成本而言，SSL VPN具有更大的優(yōu)勢(shì)，由于這是一個(gè)即插即用設(shè)備，在部署實(shí)施以后，一個(gè)具有一定Internet知識(shí)的普通工作人員就可以完成日常的管理工作。

三、結(jié)束語

vpn技術(shù)范文第3篇

VPN的英文VirtualPrivateNetwork的縮寫，可文譯為虛擬專用網(wǎng)。VPN是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過“隧道”技術(shù)等手段達(dá)到類似私有專網(wǎng)的數(shù)據(jù)安全傳輸。VPN具有虛擬特點(diǎn)：VPN并不是某個(gè)公司專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路，但同時(shí)VPN又具有專線的數(shù)據(jù)傳輸功能，因?yàn)閂PN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。VPN可以說是一種網(wǎng)絡(luò)外包，企業(yè)不再追求擁有自己的專有網(wǎng)絡(luò)，而是將對(duì)另外一個(gè)公司的訪問任務(wù)部分或全部外包給一個(gè)專業(yè)公司去做。這類專業(yè)公司的典型代表是電信企業(yè)。VPN具有以下優(yōu)點(diǎn)：

（1）降低成本：企業(yè)不必租用長途專線建設(shè)專網(wǎng)，不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資。利用現(xiàn)有的公用網(wǎng)組建的Intranet，要比租用專線或鋪設(shè)專線要節(jié)省開支，而且當(dāng)距離越遠(yuǎn)時(shí)節(jié)省的越多。如：某企業(yè)的北京與紐約分部之間的連接，不太可能自鋪專線：當(dāng)一個(gè)遠(yuǎn)程用戶在紐約想要連到北京的Intranet，用拔號(hào)訪問時(shí)，花的是國際長途話費(fèi)；而用VPN技術(shù)時(shí)，只需在紐約和北京分別連接到當(dāng)?shù)氐腎nternet就實(shí)現(xiàn)了互聯(lián)，雙方花的都是市話費(fèi)。

（2）容易擴(kuò)展：網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單，無需增加太多的設(shè)備，省時(shí)省錢。對(duì)于發(fā)展很快的企業(yè)來說，VPN就更是不可不用了。如果企業(yè)組建自己的專用網(wǎng)，在擴(kuò)展網(wǎng)絡(luò)分支時(shí)，考慮到網(wǎng)絡(luò)的容量，架設(shè)新鏈路，增加互聯(lián)設(shè)備，升級(jí)設(shè)備等；而實(shí)現(xiàn)了VPN就方便多了，只需連接到公用網(wǎng)上，對(duì)新加入的網(wǎng)絡(luò)終端在邏輯上進(jìn)行設(shè)置，也不需要考慮公用網(wǎng)的容量問題、設(shè)備問題等。

（3）完全控制主動(dòng)權(quán)：VPN上的設(shè)施和服務(wù)完全掌握在企業(yè)手可。例如，企業(yè)可以把撥號(hào)訪問交給NSP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

VPN通過采用“隧道”技術(shù)，并在Internet或國際互聯(lián)網(wǎng)工程工作組（IETF）制定的Ipsec標(biāo)準(zhǔn)統(tǒng)一下，在公眾網(wǎng)可形成企業(yè)的安全、機(jī)密、順暢的專用鏈路。

2VPN的工作原理

圖1比較了常規(guī)的直接撥號(hào)連接與虛擬專網(wǎng)連接的異同點(diǎn)。在前一種情形可，PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）數(shù)據(jù)包流是通過專用線路傳輸?shù)?。在VPN可，PPP數(shù)據(jù)包流是由一個(gè)LAN上的路由器發(fā)出，通過共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸，再到達(dá)另一個(gè)LAN上的路由器。這兩者的關(guān)鍵不同點(diǎn)是隧道代替了實(shí)在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。

基于IP的VPN基本上歸結(jié)為兩類：撥號(hào)VPN（一般稱為VDPN，即虛擬撥號(hào)專網(wǎng)）和專線VPN（DedicatedVPN,即專線的VPN），完整的VPN解決方案通常把撥號(hào)VPN和專線VPN組合在一起來滿足所有用戶的使用需求。

撥號(hào)VPN（即VDPN）為移動(dòng)用戶和遠(yuǎn)程辦公用戶提供了對(duì)公司企業(yè)網(wǎng)的遠(yuǎn)程訪問。這是當(dāng)今最常見的一種VPN部署形式，主要是基于L2F協(xié)議。VDPN允許多個(gè)不同領(lǐng)域的用戶都能通過公共網(wǎng)絡(luò)或者Internet或其他公用網(wǎng)絡(luò)獲得安全的通路到他們的企業(yè)內(nèi)部網(wǎng)絡(luò)。

提供私有撥號(hào)網(wǎng)絡(luò)服務(wù)的服務(wù)提供商可以用單個(gè)電話號(hào)碼提供給所有的用戶組織。訪問者可以用撥號(hào)網(wǎng)絡(luò)進(jìn)入訪問服務(wù)器，訪問服務(wù)器通過PPP用戶名來區(qū)別訪問者。PPP用戶名用于建立一個(gè)到企業(yè)網(wǎng)關(guān)的連接，當(dāng)企業(yè)網(wǎng)關(guān)鑒別了用戶之后，訪問集成器建立一個(gè)通過網(wǎng)絡(luò)提供商的骨干網(wǎng)、到企業(yè)風(fēng)部網(wǎng)關(guān)的安全隧道。

PPP協(xié)議同時(shí)也被傳輸?shù)絻?nèi)部網(wǎng)關(guān)，在內(nèi)部網(wǎng)關(guān)的本地完全策略和本地認(rèn)證授權(quán)決定了用戶通過內(nèi)部網(wǎng)關(guān)之后對(duì)內(nèi)部網(wǎng)絡(luò)的訪問級(jí)別。

撥號(hào)VPN的原理如下圖2所示。服務(wù)提供商管理MODEM池和確?？煽康倪B通性，而商業(yè)公司管理某企業(yè)內(nèi)部網(wǎng)的用戶認(rèn)證。

專線VPN以多個(gè)用戶和比撥號(hào)VPN高速的連接為特片。有許多類型的專線VPN業(yè)務(wù)，但最常見的是在IP網(wǎng)上建立的IPVPN業(yè)務(wù)，如圖3所示。專線VPN提供了公司總部與公司分部、遠(yuǎn)程分支辦事處以及Extranet用戶的虛擬點(diǎn)對(duì)點(diǎn)連接。

虛擬專用網(wǎng)的體系結(jié)構(gòu)有多種形式，分類示意圖如圖4。

模擬目前國內(nèi)公眾多媒體通信網(wǎng)的狀況；在國內(nèi)采用VPN組網(wǎng)一般分為三類：

（1）ATMPVC組建方式，即利用電信部分提供的ATMPVC來組建用戶的專用網(wǎng)。這種專用網(wǎng)的通信速率快，安全性高，支持多媒體通信。

（2）IPTunneling組建方式。即在多媒體通信網(wǎng)的IP層組建專用網(wǎng)。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。

（3）Dial-upAccess組網(wǎng)方式（VDPN）。這是一種撥號(hào)方式的專用網(wǎng)組建方式，可以利用已遍布全國的撥號(hào)公網(wǎng)來組建專用網(wǎng)，其接入地點(diǎn)在國內(nèi)不限，上網(wǎng)可節(jié)省長途撥號(hào)的費(fèi)用。對(duì)于流動(dòng)性強(qiáng)、分支機(jī)構(gòu)多、通信量小的用戶而言，這是一種非常理想的組網(wǎng)方式。它可以將用戶內(nèi)部網(wǎng)的界限，從單位的地理所在延伸到全國范圍。

2.1撥號(hào)VPN（VDPN）

撥號(hào)VPN又可分為客戶發(fā)起的（Client-Initiated）VPN和NAS發(fā)起的VPN。

2.1.1客戶發(fā)起的VPN

在客戶發(fā)起的VNP中，用戶撥號(hào)到本地的POP遠(yuǎn)程，由客戶來發(fā)出請(qǐng)求并建立到某企業(yè)內(nèi)部網(wǎng)的加密隧道。為了建立一個(gè)安全的連接，客戶端運(yùn)行Ipsec軟件，客戶軟件與公司內(nèi)部網(wǎng)絡(luò)防火墻上的Ipsec進(jìn)程通信，或者直接與支持Ipsec的路由器通信，確保連接的安全性。這種形式的VPN優(yōu)點(diǎn)是：

（1）遠(yuǎn)程用戶能夠同時(shí)與多個(gè)HomeGateway建立IPTunnel。

（2）遠(yuǎn)程用戶不必重新?lián)芴?hào)，就可以進(jìn)入另一網(wǎng)絡(luò)。

（3）VPN的建立和管理與ISP無關(guān)。

缺點(diǎn)是：因?yàn)檫@種加密的VPN隧道對(duì)于服務(wù)提供商而言是透明的，在客戶端需要專用的撥號(hào)軟件，而且管理移動(dòng)PC上的Ipsec客戶端軟件也是麻煩的事件。因此，大部分的服務(wù)提供曾幾何時(shí)會(huì)選擇VPN隧道作為其網(wǎng)絡(luò)一部分的形式，如下面所討論的那樣。

2.1.2NAS發(fā)起的VPN

在NAS發(fā)起的VPN中，由服務(wù)提供商的POP中的NAS請(qǐng)求并創(chuàng)建到客戶公司路由器（或者HomeGateway）的VPN隧道。NAS使用L2F（Layer2ForwardingProtocol）或者L2TP（Layer2TunnelingProtocol）協(xié)議來建立到客戶HomeGateway的安全隧道。L2TP是不久前建立的標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)結(jié)合了Cisco公司的L2F和微軟公司的PPTP協(xié)議。對(duì)于HomeGateway來說，L2F或L2TP隧道表現(xiàn)得似乎用戶是直接撥號(hào)到公司內(nèi)部網(wǎng)上。

表現(xiàn)得似乎用戶是直接撥號(hào)到公司內(nèi)部網(wǎng)上。

在這種撥號(hào)VPN形式中，用戶認(rèn)證公兩級(jí)處理。當(dāng)用戶撥入時(shí)，首先由服務(wù)提供商N(yùn)AS執(zhí)行基本的認(rèn)證，這個(gè)認(rèn)證僅僅識(shí)別出用戶的公司身份。然后，NAS打開到用戶公司HomeGateway的隧道，由HomeGateway來執(zhí)行用戶級(jí)的認(rèn)證功能。

這種VPN形式有若干優(yōu)點(diǎn)：對(duì)撥號(hào)用戶透明，用戶PC上無需特殊的客戶軟件，因而管理簡(jiǎn)單化；由于是由服務(wù)提供商初始化隧道，他們可以提供優(yōu)質(zhì)的撥號(hào)VPN服務(wù)，如通過預(yù)留Modem端口，優(yōu)先的數(shù)據(jù)傳送等手段保證撥號(hào)VPN用戶得到所需的服務(wù)；NAS可以時(shí)支持Internet或其他公用網(wǎng)絡(luò)和VPN服務(wù)；由于到某一目的的通信量全部通過單一隧道傳送，大規(guī)模部署將更具有可擴(kuò)充性和管理性。

這種VPN形式存在的缺點(diǎn)有：

（1）當(dāng)遠(yuǎn)程用戶進(jìn)入其它網(wǎng)絡(luò)時(shí)，需要重新?lián)芴?hào)，并且只能以另一用戶名登錄。

（2）遠(yuǎn)程用戶不能同時(shí)進(jìn)入多個(gè)網(wǎng)絡(luò)。

2.2專線VPN

2.2.1基于IPTunnel的專線VPN

VPN與常規(guī)的直接撥號(hào)網(wǎng)絡(luò)不同，在VPN中，PPP數(shù)據(jù)包流不是通過專用線路，而是通過共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸。這兩者的關(guān)鍵不同點(diǎn)是隧道代替了實(shí)際的專用線路。如何形成VPN隧道呢？

隧道是由隧道協(xié)議形成的，這與流行的各種網(wǎng)絡(luò)是依靠相應(yīng)的網(wǎng)絡(luò)協(xié)議完成通信沒有區(qū)別。為了傳輸來自不同網(wǎng)絡(luò)的數(shù)據(jù)包，最普遍使用的方法是先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX和AppleTalk等）封裝到PPP里，再把這整個(gè)PPP數(shù)據(jù)包裝入隧道協(xié)議里。隧道協(xié)議一般封裝在IP協(xié)議中，但也可以是ATM或FrameRelay。由于隧道搭載的是PPP數(shù)據(jù)包（第二層），所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中（3Com公司的VTP就是這種隧道協(xié)議），由于隧道直接搭載第三層協(xié)議的數(shù)據(jù)包，所以稱為“第3層隧道”。

2.2.2基于VitualCircuit（虛擬電路）的VPN

服務(wù)提供商可以提供虛擬電路來建立IPVPN服務(wù)。用PVC在幀中繼（FrameRelay）和ATM網(wǎng)絡(luò)中建立點(diǎn)對(duì)點(diǎn)連接，并通過路由器來管理第三層的信息。電信運(yùn)營商或者郵電局可以采用這種辦法，充分利用其現(xiàn)有的幀交換（如幀中繼）或信元交換（如ATM）基礎(chǔ)設(shè)施提供IPVPN服務(wù)。

在前面敘述的專線VPN和撥號(hào)VPN本質(zhì)上都是通過在公共IP網(wǎng)絡(luò)中建立隧道（tunnel）來提供服務(wù)的。與之不同，基于虛擬電路的VPN通過在公共的幀或信元交換網(wǎng)絡(luò)上的路由來傳送IP服務(wù)，是使用PVC而不是tunnel來建立隱私性。因此，加密是不需要的。

這種形式的VPN具有如下優(yōu)點(diǎn)：受控的路由器服務(wù)為具有幀或信元基礎(chǔ)設(shè)施的服務(wù)提供商提供一種便宜、快速的建立VPN服務(wù)的辦法；可充分利用FRCIR（CommittedInformationRate）和ATMQoS來確保QoS能力；虛擬電路拓?fù)涞膹椥裕贿B接無須加密。

它的缺點(diǎn)是：不能靈活選擇路由；比IPTunnel的相對(duì)費(fèi)用高；缺少IP的多業(yè)務(wù)能力（如VoiceOverIPVideoOverIP等）。

3VPN技術(shù)的應(yīng)用領(lǐng)域及典型應(yīng)用

3.1VPN應(yīng)用的四個(gè)領(lǐng)域

企業(yè)內(nèi)部網(wǎng)Itranet、遠(yuǎn)程訪問、企業(yè)外部網(wǎng)Extranet、企業(yè)內(nèi)VPN。另外，在很多涉及公司重要信息的傳輸及對(duì)數(shù)據(jù)完整性安全性要求比較高的場(chǎng)合，也大多選擇VPN技術(shù)。

3.2VPN廣域網(wǎng)建設(shè)新的解決方案（即典型應(yīng)用）

目前各行業(yè)網(wǎng)、專用網(wǎng)的應(yīng)用主要有兩個(gè)方面：一是作為Internet或其他公用網(wǎng)絡(luò)的一部分，組織本行業(yè)是信息資源上網(wǎng)；二是作為一個(gè)內(nèi)部網(wǎng)，為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動(dòng)化和業(yè)務(wù)處理系統(tǒng)服務(wù)。兩者都是采用Internet或其他公用網(wǎng)絡(luò)技術(shù)的IP數(shù)據(jù)通信。

對(duì)于各專用網(wǎng)絡(luò)兩種應(yīng)用的第一種應(yīng)用，其解決方案可以根據(jù)網(wǎng)絡(luò)的性質(zhì)和信息資源的服務(wù)對(duì)象，各地就近接入當(dāng)?shù)氐闹袊糜?jì)算機(jī)互聯(lián)網(wǎng)（簡(jiǎn)稱163網(wǎng)）或中國公眾多媒體通信網(wǎng)（簡(jiǎn)稱169網(wǎng)），完全省去了用于連接跨省的DDN專線，只需在域名規(guī)劃和信息主頁設(shè)計(jì)中統(tǒng)一規(guī)劃，統(tǒng)一形象，把有限的人力和物力用于專業(yè)的信息資源開發(fā)和深加工。

對(duì)地第三種應(yīng)用或兩者都有的應(yīng)用，則各地就近接入當(dāng)?shù)氐?69網(wǎng)或163網(wǎng)，采用VPN技術(shù)，實(shí)現(xiàn)跨地區(qū)的數(shù)據(jù)通信，充分利用169網(wǎng)高速（155MATM）的跨省通信主干道，建設(shè)自己的內(nèi)部網(wǎng)。其網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。

圖中的VPN表示內(nèi)部專用網(wǎng)段。由于內(nèi)部網(wǎng)的敏感數(shù)據(jù)在公網(wǎng)傳輸進(jìn)是加密傳，因此可以實(shí)現(xiàn)安全廉價(jià)的跨地域數(shù)據(jù)通信。

同樣，本解決方案也適用于企業(yè)的跨地域數(shù)據(jù)通信，實(shí)現(xiàn)集數(shù)據(jù)、語音和圖像于一體的廣域網(wǎng)解決方案。實(shí)際上在國外率先采用VPN技術(shù)的就是跨國、跨地區(qū)的大公司和一些行業(yè)的網(wǎng)絡(luò)。

4VPN技術(shù)的市場(chǎng)前景分析

Internet的飛速發(fā)展、用戶數(shù)的迅猛增長以及Web通信量和個(gè)人域名注冊(cè)都加速了其發(fā)展勢(shì)頭。美國商業(yè)部預(yù)測(cè)到2010年加入互聯(lián)網(wǎng)的企業(yè)將會(huì)超過500尤。這清楚地描述了下世紀(jì)Intenet產(chǎn)生以及將會(huì)產(chǎn)生的影響。一些研究表明在下世紀(jì)將會(huì)有70%～80%的商務(wù)使用VPN設(shè)備。它們還指出，僅擁有200個(gè)遠(yuǎn)程用戶美國某跨國公司棄專線而選用VPN后，僅僅4～5的時(shí)間就節(jié)省了150多萬美金。

公司希望花費(fèi)不高的代價(jià)來傳輸商務(wù)信息。VPN在這方面起了很重要的作用，它提供了減少開支、提高服務(wù)、維護(hù)客戶基礎(chǔ)的方法。許多公司選用VPN傳輸商務(wù)信息的原因是：

（1）VPN以Internet做支撐；

（2）無論對(duì)商業(yè)客戶來說還是對(duì)私人客戶來說，使用Internet都是一種經(jīng)濟(jì)可行的方式。

（3）Internet覆蓋全球；

（4）現(xiàn)在Internet傳輸效率極高，大多ISP能承受進(jìn)行連接所帶來的負(fù)荷；

（5）VPN是靈活的、動(dòng)態(tài)的、可升級(jí)的；

（6）VPN在可以利用公司硬件方面的現(xiàn)有投資。

vpn技術(shù)范文第4篇

【關(guān)鍵詞】MPLS；VPN

【中圖分類號(hào)】TP393 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2012）09-0074-01

1、MPLS VPN簡(jiǎn)介

隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)對(duì)于自身網(wǎng)絡(luò)的建設(shè)提出了越來越高的要求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，VPN以其獨(dú)有的優(yōu)勢(shì)贏得了越來越多企業(yè)的青睞。利用公共網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network）。在公共網(wǎng)絡(luò)上組建的VPN像企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性和可管理性等。在所有的VPN技術(shù)中，MPLS VPN具有良好的可擴(kuò)展性和靈活性，是目前發(fā)展最為迅速的VPN技術(shù)之一。

MPLS即多協(xié)議標(biāo)簽交換屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP高速骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)，由IETF所提出，由Cisco、3Com等網(wǎng)絡(luò)設(shè)備大廠所主導(dǎo)。從MPLS字面上來看，它是一個(gè)可以在多種第二層媒質(zhì)上進(jìn)行標(biāo)簽交換的網(wǎng)絡(luò)技術(shù)。這一技術(shù)結(jié)合了第二層的交換和第三層路由的特點(diǎn)，將第二層的基礎(chǔ)設(shè)施和第三層路由有機(jī)地結(jié)合起來。第三層的路由在網(wǎng)絡(luò)的邊緣實(shí)施，在MPLS的網(wǎng)絡(luò)核心則采用第二層交換。

2、MPLS VPN工作原理

MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它把進(jìn)入網(wǎng)中的IP數(shù)據(jù)包分配標(biāo)簽，并通過標(biāo)簽的交換來實(shí)現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)簽作為替代品，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過的路徑沿途通過交換標(biāo)簽，而不是看數(shù)據(jù)包的IP包頭來實(shí)現(xiàn)轉(zhuǎn)發(fā)，當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時(shí)，去掉數(shù)據(jù)包上的標(biāo)簽，繼續(xù)按IP包的路由方式到達(dá)目的地。MPLSVPN有三種類型的路由器，CE路由器、PE路由器和P路由器，主要工作流程如下：

（1）CE到PE間通過IGP路由或BGP將用戶網(wǎng)絡(luò)中的路由信息通知PE，在PE上有對(duì)應(yīng)于每個(gè)VPN的虛擬路由表VRF，類似有一立的路由器與CE進(jìn)行連接。

（2）PE之間采用MP-BGP傳送VPN路由信息以及相應(yīng)的標(biāo)簽（VPN的標(biāo)簽，以下簡(jiǎn)稱為內(nèi)層標(biāo)簽），而在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP協(xié)議進(jìn)行路由信息與標(biāo)簽（用于MPLS標(biāo)簽轉(zhuǎn)發(fā)，以下稱為外層標(biāo)簽）的綁定。到此時(shí)，CE、PE以及P路由器中基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔⒁呀?jīng)形成。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè)VPN的路由信息VRF。

（3）當(dāng)屬于某一VPN的CE有數(shù)據(jù)進(jìn)入時(shí)，在CE與PE連接的接口上可以識(shí)別出該CE屬于哪一個(gè)VPN，進(jìn)而到該VPN的VRF路由表中去讀取下一跳的地址信息。同時(shí)，在前傳的數(shù)據(jù)包中打上內(nèi)層標(biāo)簽。下一跳地址為與該P(yáng)E作對(duì)等的PE的地址，為了到達(dá)這個(gè)目的端的PE，在起始端PE中需讀取MPLS骨干網(wǎng)絡(luò)的路由信息，從而得到下一個(gè)P路由器的地址，同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上用于MPLS標(biāo)簽交換的外層標(biāo)簽。

（4）在MPLS骨干網(wǎng)絡(luò)中，初始PE之后的P均只讀取外層標(biāo)簽的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)簽交換。

（5）在達(dá)到目的端PE之前的最后一個(gè)P路由器時(shí)，將把外層標(biāo)簽去掉，讀取內(nèi)層標(biāo)簽，找到VPN，并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。

（6）P路由器完全依據(jù)MPLS的標(biāo)簽來作出轉(zhuǎn)發(fā)決定。由于P路由器完全不需要讀取原始的數(shù)據(jù)包信息來作出轉(zhuǎn)發(fā)決定，P路由器不需要擁有VPN的路由信息，因此P只需要參與骨干IGP的路由，不需要參加MP-BGP的路由。從MPLS VPN工作過程可見，MPLSVPN絲毫不改變CE和PE原有的配置，一旦有新的cE加入到網(wǎng)絡(luò)時(shí)，只需在PE上簡(jiǎn)單配置，其余的改動(dòng)信息由BGP自動(dòng)通知到CE和P。

3、MPLS體系結(jié)構(gòu)

（1）標(biāo)簽邊界路由器LER是MPLS的入口/出口路由器，在MPLS域與其他網(wǎng)絡(luò)邊緣的標(biāo)記交換路由器，主要功能是進(jìn)行IP報(bào)文初始化處理、分類等第三層功能和標(biāo)簽綁定功能。在入口處將IP地址轉(zhuǎn)換成標(biāo)簽，在出口處又將標(biāo)塹恢復(fù)成IP地址。

（2）標(biāo)簽交換路由器LSR是支持標(biāo)記交換協(xié)議的路由器，具有第三層轉(zhuǎn)發(fā)分組和第二層交換分組的功能。它能運(yùn)行傳統(tǒng)的IP路由協(xié)議，并能執(zhí)行一個(gè)特殊控制協(xié)議以與鄰接的LSR協(xié)調(diào)標(biāo)簽的綁定信息。

（3）標(biāo)簽Label（如圖3-1所示）

4、MPLS VPN在信息網(wǎng)絡(luò)中的應(yīng)用

基于MPLS技術(shù)平臺(tái)實(shí)現(xiàn)的MPLS VPN，以其獨(dú)具特色的優(yōu)勢(shì)贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。

MPLS是多協(xié)議標(biāo)簽交換協(xié)議的簡(jiǎn)稱。MPLS VPN網(wǎng)絡(luò)中，有三種設(shè)備：CE、PE和P路由器，CE是用戶直接與服務(wù)提供商相連的邊緣設(shè)備，可以是路由器、交換機(jī)或者終端；PE是骨干網(wǎng)中的邊緣設(shè)備，它直接與用戶的CE相連；P路由器是骨干網(wǎng)中不與CE直接相連的設(shè)備。P路由器并也不知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸，但其必須能夠支持MPLS協(xié)議，并使能該協(xié)議；PE位于服務(wù)提供商網(wǎng)絡(luò)的邊緣，所有的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的。

采用MPLS VPN技術(shù)可以把物理上單一的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，并且每個(gè)VPN單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，即VPN之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN發(fā)生沖突，只需要考慮在本VPN之內(nèi)不沖突即可，這樣可以解決IP網(wǎng)絡(luò)地址不足的問題，也方便網(wǎng)絡(luò)的擴(kuò)展和變更。

5、總結(jié)

vpn技術(shù)范文第5篇

關(guān)鍵詞 VPN；原理；特點(diǎn)；應(yīng)用

中圖分類號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2011）35-0182-01

1 VPN的概念

所謂VPN（Virtual Private Network，虛擬私有網(wǎng)絡(luò)）是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)，這里的公用網(wǎng)主要指Interet。為了保障信息在Internet上傳輸?shù)陌踩裕琕PN通過建立隧道機(jī)制實(shí)現(xiàn)，隧道機(jī)制可以提供一定的安全性，并且使VPN中分組的封裝方式、地址信息與承載網(wǎng)絡(luò)的封裝方式、地址信息無關(guān)。VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸中不被偷看、篡改、復(fù)制。

2 IPSec是VPN最常用技術(shù)之一

IPSec VPN是基于IPSec（Internet Protocol Security）規(guī)范的VPN技術(shù)或網(wǎng)絡(luò)的統(tǒng)稱。IPSec即Intenet安全協(xié)議，是IETF提供Internet安全通信的一系列規(guī)范，它提供私有信息通過公用網(wǎng)的安全保障。IPSec規(guī)范相當(dāng)復(fù)雜，規(guī)范中包含大量的文檔。IPSec在TCP/IP協(xié)議的核心層―IP層實(shí)現(xiàn)，可以有效地保護(hù)各種上層協(xié)議，并為各種安全服務(wù)提供一個(gè)統(tǒng)一的平臺(tái)。

3 IPSec VPN工作原理

設(shè)想甲、乙兩個(gè)異地局域網(wǎng)需要進(jìn)行通訊，因?yàn)槭蔷钟蚓W(wǎng)內(nèi)網(wǎng)IP地址不能通過INTERNET公網(wǎng)進(jìn)行安全通訊。只有通過IPSec包封裝技術(shù)，利用Internet公網(wǎng)IP地址，封裝內(nèi)部私網(wǎng)的IP數(shù)據(jù)，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通：如果甲私網(wǎng)IP發(fā)信給乙私網(wǎng)IP地址，甲局域網(wǎng)IP數(shù)據(jù)經(jīng)甲私網(wǎng)IP地址傳至出口處甲地IPSec VPN網(wǎng)關(guān)進(jìn)行加密封裝，通過INTERNET公網(wǎng)傳送至乙地IPSec VPN網(wǎng)關(guān)進(jìn)行解密拆封裝后，交給乙局域網(wǎng)私網(wǎng)IP地址。相反乙私網(wǎng)IP地址回信給甲私網(wǎng)IP也是一樣過程，這樣就實(shí)現(xiàn)異地局域網(wǎng)對(duì)局域網(wǎng)的通訊。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能，保證數(shù)據(jù)通信安全正確。IPSec安全協(xié)議對(duì)數(shù)據(jù)封裝加密及身份認(rèn)證使用同一密鑰，既用于加密又用于解密。私鑰加密算法非?？?，特別適用于對(duì)較大的數(shù)據(jù)流執(zhí)行加密轉(zhuǎn)換。IPSEC通訊的數(shù)據(jù)認(rèn)證使用md5算法計(jì)算包文特征，報(bào)文還原以后，檢查這個(gè)特征碼，看看是否匹配，證明數(shù)據(jù)傳輸過程是否被篡改。

4 IPSec VPN特點(diǎn)

1）經(jīng)濟(jì)：用戶不再承擔(dān)昂貴的固定線路的租費(fèi)。DDN、幀中繼、SDH的異地租費(fèi)很高，而Internet的接入費(fèi)用則只承擔(dān)本地的寬帶費(fèi)用，費(fèi)用很低。此外VPN網(wǎng)關(guān)設(shè)備功能強(qiáng)勁但造價(jià)低廉；2）靈活：接入靈活，不受互聯(lián)網(wǎng)接入運(yùn)營商的限制，支持動(dòng)態(tài)IP地址和NAT穿越。連接Internet 的方式可以是10M 、100M 端口，也可以是2M 或更低速的端口，XDSL 或撥號(hào)都可以連接Internet。一個(gè)IPSec VPN網(wǎng)絡(luò)可以連接任意地點(diǎn)的分支，即使跨越大洋也毫不受限制。支持多分支多端口，擴(kuò)展性好；3）安全： IPSec VPN最顯著特點(diǎn)就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。通過領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、過濾/防火墻、通過RADIUS、LDAP和 SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全。同時(shí)，VPN 設(shè)備內(nèi)置專業(yè)防火墻功能，對(duì)數(shù)據(jù)包采用多維策略過濾，最大可能地防止黑客攻擊；4）可靠： VPN 設(shè)備可提供冗余機(jī)制，保證鏈路和設(shè)備的可靠性。在中心節(jié)點(diǎn)VPN 核心設(shè)備提供冗余CPU 、冗余電源的硬件設(shè)計(jì)。而在鏈路發(fā)生故障時(shí)，VPN交換機(jī)支持靜態(tài)隧道故障恢復(fù)功能，隧道定時(shí)巡檢機(jī)制，快速自動(dòng)修復(fù)功能，確保互聯(lián)數(shù)據(jù)的安全可靠；5）方便：技術(shù)人員可以通過管理軟件，實(shí)現(xiàn)遠(yuǎn)程配置節(jié)點(diǎn)設(shè)備，方便管理及故障處理；

6）多業(yè)務(wù)：通過IPSec VPN網(wǎng)絡(luò)可以傳送IP話音、視頻業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)，運(yùn)行ERP軟件，為現(xiàn)代化辦公提供便利條件。

5 IPSec VPN應(yīng)用

vpn技術(shù)范文第6篇

一般所說的虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡(jiǎn)稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。所以我們說的虛擬專用網(wǎng)一般指的是建筑在Internet上能夠自我管理的專用網(wǎng)絡(luò)，而不是Frame. Relay或ATM等提供虛擬固定線路（PVC）服務(wù)的網(wǎng)絡(luò)。以IP為主要通訊協(xié)議的VPN，也可稱之為IP-VPN。

二、VPN的特點(diǎn)

在實(shí)際應(yīng)用中，用戶需要的是什么樣的VPN呢？一般情況下，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：

1．安全保障

在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。

2．服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等，所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。

3．可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4．可管理性

VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。所以，VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

三、VPN安全技術(shù)

目前VPN主要采用四項(xiàng)技術(shù)來保證安全。

1.隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。第二層隧道協(xié)議有L2F、PPTP、L2TP等。第三層隧道協(xié)議有VTP、IPSec等。

2.加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)加密機(jī)制。微軟的PPTP方案支持在RSA/RC4算法的基礎(chǔ)上選擇使用MPPE。第3層隧道協(xié)議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法。

3.密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。一般分為對(duì)稱加密與非對(duì)稱加密（專用密鑰與公用密鑰）。

4.身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

四、VPN的應(yīng)用方案

隨著互聯(lián)網(wǎng)的興起，企業(yè)開始尋求利用互聯(lián)網(wǎng)來擴(kuò)展他們的網(wǎng)絡(luò)。按接入方式劃分VPN，這是用戶和運(yùn)營商最關(guān)心的劃分方式。建立在IP網(wǎng)上的VPN也就對(duì)應(yīng)的有兩種接入方式：專線接入方式和撥號(hào)接入方式。

一般來說，公司都會(huì)把搭建大型遠(yuǎn)程訪問VPN的工作外包給企業(yè)服務(wù)提供商（ESP）。例如，3Com為企業(yè)和NSP提供多種端對(duì)端的VPN解決方案。所有的3Com VPN產(chǎn)品彼此兼容，還配備了TranscendWare軟件，使用戶可以對(duì)常規(guī)網(wǎng)絡(luò)和VPN執(zhí)行統(tǒng)一的策略。TranscendWare軟件使邊界設(shè)備可以與終端設(shè)備通信，進(jìn)而強(qiáng)制執(zhí)行網(wǎng)絡(luò)策略。這些設(shè)備通過監(jiān)視VPN隧道，可以更好地管理撥號(hào)端口、帶寬分配、網(wǎng)絡(luò)負(fù)載等，對(duì)VPN環(huán)境進(jìn)行有效的控制。

華為公司提供了各種有效的VPN解決方案，包括：Access VPN、Intranet VPN、Extranet VPN及結(jié)合防火墻的VPN解決方案。Quidway系列路由器支持各種VPN技術(shù)，包括隧道技術(shù)、IPsec、密鑰交換技術(shù)、防火墻技術(shù)、QoS與配置管理等，并可繼續(xù)發(fā)展，支持越來越多的先進(jìn)技術(shù)，可以利用防火墻的許多安全特性在VPN上建立更加安全的網(wǎng)絡(luò)環(huán)境，增強(qiáng)抵御黑客攻擊、禁止非法訪問的能力。

五、結(jié)束語

基于公共網(wǎng)的VPN通過隧道技術(shù)、數(shù)據(jù)加密技術(shù)以及QoS機(jī)制，使得企業(yè)能夠降低成本、提高效率、增強(qiáng)安全性。VPN產(chǎn)品從第一代：VPN路由器、交換機(jī)，發(fā)展到第二代的VPN集中器，性能不斷得到提高。在網(wǎng)絡(luò)時(shí)代，企業(yè)發(fā)展取決于是否最大限度地利用網(wǎng)絡(luò)。VPN將是企業(yè)的最終選擇。

參考文獻(xiàn)：

[1]何寶宏，田輝等編著.IP虛擬專用網(wǎng)技術(shù).人民郵電,出版日期：2008年06月

[2]Richard Deal.Cisco VPN完全配置指南,人民郵電出版社.2007-4

[3]馬春光，郭方方.防火墻、入侵檢測(cè)與VPN.北京郵電大學(xué)出版社 2008-8

vpn技術(shù)范文第7篇

關(guān)鍵詞：VPN；隧道；安全傳輸

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）27-0042-03

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來越多的組織或單位的員工需要隨時(shí)隨地連接到總部的網(wǎng)絡(luò)，很多跨國企業(yè)在全球建立多個(gè)分支機(jī)構(gòu)，同時(shí)企業(yè)也要使用網(wǎng)絡(luò)與合作伙伴或客戶之間進(jìn)行動(dòng)態(tài)的聯(lián)系，這些都會(huì)給企業(yè)帶來了網(wǎng)絡(luò)的管理和安全性問題[1]。VPN（visual Private Network）技術(shù)就是在這種形勢(shì)下應(yīng)運(yùn)而生，它使企業(yè)能夠在公共網(wǎng)絡(luò)上創(chuàng)建自己的專用網(wǎng)絡(luò)，使得企業(yè)員工，分支機(jī)構(gòu)，以及合作伙伴之間可以進(jìn)行安全保密的通信。VPN已經(jīng)是當(dāng)前網(wǎng)絡(luò)中的一項(xiàng)重要的應(yīng)用。

1 VPN的工作原理

VPN就是在當(dāng)前現(xiàn)有網(wǎng)絡(luò)協(xié)議的基礎(chǔ)之上通過附加相關(guān)的協(xié)議使通信雙方可以在公共網(wǎng)絡(luò)上進(jìn)行通信時(shí)能夠?qū)嵤?shù)據(jù)機(jī)密性保護(hù)，數(shù)據(jù)完整性保護(hù)，數(shù)據(jù)源身份認(rèn)證，數(shù)據(jù)重放避免的方法進(jìn)行數(shù)據(jù)保護(hù)的技術(shù)。

1.1 網(wǎng)絡(luò)風(fēng)險(xiǎn)

數(shù)據(jù)泄漏風(fēng)險(xiǎn)是指網(wǎng)絡(luò)通信過程中撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)包括：攻擊者在撥入鏈路上實(shí)施監(jiān)聽； ISP查看用戶的數(shù)據(jù)；Internet上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。信息在到達(dá)請(qǐng)求或返回信息服務(wù)點(diǎn)之前穿越多個(gè)路由器，明文傳輸?shù)臄?shù)據(jù)很容易在路由器上被查看和修改[2]。竊聽者可以在其中任一段網(wǎng)絡(luò)鏈路上監(jiān)聽數(shù)據(jù)，逐段加密不能防止報(bào)文在路由器上被抓取，惡意的ISP（網(wǎng)絡(luò)提供商）經(jīng)常利用修改通道的終點(diǎn)的方法讓信息轉(zhuǎn)到一個(gè)存在風(fēng)險(xiǎn)的網(wǎng)關(guān)。安全在網(wǎng)關(guān)中的風(fēng)險(xiǎn)：數(shù)據(jù)在安全網(wǎng)關(guān)中是沒有經(jīng)過加密的，所以網(wǎng)關(guān)管理員可以隨意查看機(jī)密數(shù)據(jù)，網(wǎng)關(guān)本身也會(huì)存在漏洞，一旦被黑客攻破，流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)將面臨風(fēng)險(xiǎn)。單位內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)：內(nèi)部網(wǎng)中可能存在被內(nèi)部惡意人員或者惡意程序控制的主機(jī)、路由器等，內(nèi)部員工可以獲得企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)文。

數(shù)據(jù)源身份偽造：發(fā)送信息者偽造別人的身份進(jìn)行信息的傳送，而接收者不能明確的確定發(fā)送者的身份，從而給接收者帶來不必要的損失。在公司企業(yè)中如果接收到偽造公司領(lǐng)導(dǎo)身份發(fā)送重要的決策指令將會(huì)給公司和企業(yè)帶來重大的損失。

信息篡改，截?cái)啵寒?dāng)黑客通過其他相關(guān)手段掌握了信息的傳遞方式，以及信息格式等相應(yīng)的規(guī)律后，通過各種方法，將網(wǎng)絡(luò)上傳送的報(bào)文信息在中間路由器上被修改，然后再發(fā)向目的地，這種方式是惡意者常使用的方法 [9]。

重放攻擊：重放攻擊又稱重播攻擊、回放攻擊是計(jì)算機(jī)世界黑客常用的攻擊方式，所謂重放攻擊就是惡意人員發(fā)送一個(gè)目的主機(jī)已接收過的包，讓系統(tǒng)重新執(zhí)行相關(guān)操作來進(jìn)行惡意活的過程，這種方式主要用來身份認(rèn)證階段。

1.2 VPN協(xié)議介紹

采用VPN技術(shù)，通過使用VPN服務(wù)器可以通暢的鏈接單組或組織內(nèi)部網(wǎng)，同時(shí)又能保證信息的安全保密。當(dāng)前直接使用路由器可以很容易實(shí)現(xiàn)不同主機(jī)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對(duì)特別用途的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器進(jìn)行網(wǎng)絡(luò)信息的管控，只有符合單位身份要求的用戶才能連接VPN服務(wù)器獲得訪問信息的權(quán)限。此外，VPN服務(wù)器可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，部門內(nèi)部的局域網(wǎng)對(duì)其他用戶來說是不可見的，從而確保數(shù)據(jù)的安全性。

常用的VPN協(xié)議有：L2F（Layer 2 Forwarding Protocol），是由思科系統(tǒng)公司開發(fā)的，創(chuàng)建在互聯(lián)網(wǎng)上的虛擬專用網(wǎng)絡(luò)連接的隧道協(xié)議。L2F協(xié)議本身并不提供加密或保密；它依賴于協(xié)議被傳輸以提供保密，L2F是專為隧道點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）通信[3]。L2TP（Layer Two Tunneling Protocol，第二層隧道協(xié)議）是一種虛擬隧道協(xié)議，是一種虛擬專用網(wǎng)的協(xié)議。L2TP協(xié)議本身不具有加密的功能，因此必須跟其他協(xié)議配和使用才能完成保密通信的工作。與L2TP協(xié)議搭配的加密協(xié)議是IPsec，通常稱為L2TP/IPsec。點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point to Point Tunneling Protocol）是實(shí)現(xiàn)虛擬專用網(wǎng)（VPN）的方式之一，PPTP使用傳輸控制協(xié)議（TCP）創(chuàng)建控制通道來發(fā)送控制命令，以及利用通用路由封裝（GRE）通道來封裝點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）數(shù)據(jù)包以發(fā)送數(shù)據(jù)，這個(gè)協(xié)議最早由微軟等廠商主導(dǎo)開發(fā)，但因?yàn)樗募用芊绞饺菀妆黄平?，微軟已?jīng)不再建議使用這個(gè)協(xié)議。

1.3 VPN隧道技術(shù)

隧道技術(shù)是一種在現(xiàn)在網(wǎng)絡(luò)協(xié)議的基礎(chǔ)之上，通過在現(xiàn)有報(bào)文中增加相關(guān)的內(nèi)容，讓帶有這樣信息的報(bào)文在公共的網(wǎng)絡(luò)中進(jìn)行安全傳輸。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。這些包含有VPN相關(guān)協(xié)議的幀或包封裝到新帶有路由信息的包頭中，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。

經(jīng)過封裝的數(shù)據(jù)包在網(wǎng)絡(luò)上的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行傳輸，這段公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道[16]。一旦到達(dá)接收數(shù)據(jù)的網(wǎng)絡(luò)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)的本質(zhì)就是數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程如圖1所示。

PPP（Point to Point Protocol）協(xié)議隧道技術(shù)建立過程：

階段1：創(chuàng)建PPP鏈路

PPP使用鏈路控制協(xié)議（LCP）進(jìn)行物理鏈路的鏈接，鏈路創(chuàng)建的過程中首先是選擇通信的方式；通信雙方的驗(yàn)證協(xié)議；通信雙方的數(shù)據(jù)壓縮或加密方式。

階段2：用戶驗(yàn)證

這此階段客戶端將自己的身份信息發(fā)送給你遠(yuǎn)端接入服務(wù)器，這個(gè)過程是以安全的方式進(jìn)行的避免信息的泄露。這個(gè)過程通常使用包括口令驗(yàn)證協(xié)議（PAP），挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）和微軟挑戰(zhàn)握手驗(yàn)證協(xié)議（MSCHAP）。

階段3：PPP回叫控制

回叫控制階段是PPP中的一個(gè)可選的階段。當(dāng)驗(yàn)證完成后遠(yuǎn)程客戶和網(wǎng)絡(luò)訪問服務(wù)器斷開，然后由網(wǎng)絡(luò)服務(wù)器使用特點(diǎn)的電話號(hào)碼進(jìn)行回叫。這樣能夠?qū)h(yuǎn)程客戶身份進(jìn)行重新確認(rèn)，有效增加了通信的安全性。

階段4：調(diào)用網(wǎng)絡(luò)層協(xié)議

在上面階段完成后，在數(shù)據(jù)進(jìn)行傳輸以前要完成網(wǎng)絡(luò)層協(xié)議的調(diào)用，當(dāng)前網(wǎng)絡(luò)層的一般為IP協(xié)議，此時(shí)IP控制協(xié)議就會(huì)為用戶分配動(dòng)態(tài)地址。在微軟的PPP方案中還會(huì)調(diào)用壓縮控制協(xié)議和數(shù)據(jù)加密協(xié)議。

階段5：數(shù)據(jù)傳輸階段

在此階段PPP就開始在連接對(duì)等雙方之間數(shù)據(jù)轉(zhuǎn)發(fā)。每個(gè)被傳送的數(shù)據(jù)包都被封裝在PPP包頭內(nèi)，該包頭將會(huì)在到達(dá)接收方后被去除。如果選擇使用數(shù)據(jù)壓縮并且完成了協(xié)商，數(shù)據(jù)將會(huì)在被傳送之前進(jìn)行壓縮。同樣如果選擇了數(shù)據(jù)加密并完成了協(xié)商，數(shù)據(jù)將會(huì)在傳送之前進(jìn)行加密。

1.4 IPSec隧道數(shù)據(jù)傳輸過程

IPSec是網(wǎng)絡(luò)層的協(xié)議標(biāo)準(zhǔn)，主要負(fù)責(zé)數(shù)據(jù)的安全傳輸是當(dāng)前使用較多的網(wǎng)絡(luò)協(xié)議。IPsec對(duì)規(guī)定了IP數(shù)據(jù)流的加密機(jī)制，并且制定了隧道模式的數(shù)據(jù)包格式，使用IPsec協(xié)議隧道一般稱為IPSEC隧道。由一個(gè)隧道客戶和隧道服務(wù)器組成IPSec隧道，兩端都配置使用IPSec隧道技術(shù)，加密機(jī)制采用協(xié)商完成。為實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩?，IPSEC隧道模式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲的最初的負(fù)載IP包，負(fù)載IP包在經(jīng)過正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地[4]。

一個(gè)數(shù)據(jù)包經(jīng)IPsecVPN隧道的傳送過程，由左邊的VPN保護(hù)子網(wǎng)內(nèi)的PC機(jī)向右邊VPN保護(hù)子網(wǎng)內(nèi)的PC機(jī)傳送數(shù)據(jù)時(shí)。1HostA發(fā)送的數(shù)據(jù)由VPN網(wǎng)關(guān)1內(nèi)口；2VPN網(wǎng)關(guān)1內(nèi)口接收后發(fā)現(xiàn)需要經(jīng)過隧道，則把數(shù)據(jù)交由VPN網(wǎng)關(guān)1加密；3加完密后再由左eth0外口發(fā)送到VPN網(wǎng)關(guān)2的eth0外口；4右VPN網(wǎng)關(guān)2外口收到數(shù)據(jù)發(fā)現(xiàn)需要解密；5則由右VPN網(wǎng)關(guān)2內(nèi)口解完密后交由右內(nèi)網(wǎng)交換機(jī)轉(zhuǎn)發(fā)或由本機(jī)接收，具圖如圖2所示。

2 VPN技術(shù)應(yīng)用

2.1 用VPN連接分支機(jī)構(gòu)

隨著社會(huì)的發(fā)展當(dāng)前有很多大型的公司企業(yè)他們?cè)谌蛴泻芏喾种C(jī)構(gòu)，而每個(gè)分支機(jī)構(gòu)都要與總部進(jìn)行頻繁信息傳輸，這些信息之中有很多是重要的商業(yè)機(jī)密信息一旦泄露會(huì)給公司帶來巨大的損失。所以分支構(gòu)與總部以及分支之間的信息通信一定要進(jìn)行保護(hù)，由于公司地域范圍太大不可能建立私的網(wǎng)絡(luò)。使用VPN連接公司的各個(gè)各支機(jī)構(gòu)是進(jìn)行保密通信是VPN是當(dāng)前最好的選擇。由于公司各個(gè)分支以及總部的內(nèi)部都是安全的線路，只要在公共網(wǎng)上保證信息的保密就能保證信息的安全，所在各個(gè)分支以及總部接入到公網(wǎng)以前架設(shè)VPN網(wǎng)關(guān)，雙方的通信信息發(fā)出時(shí)對(duì)信息進(jìn)行加密，接收到信息對(duì)信息進(jìn)行解密，保證通信的安全?？偛颗c分支機(jī)構(gòu)之間VPN組網(wǎng)的示意如：圖3所示。

2.2用VPN連接合作伙伴

當(dāng)前很多大型的生產(chǎn)性企業(yè)都有很多的原料供應(yīng)商，眾多的原料供應(yīng)商是公司的業(yè)務(wù)伙伴。公司與這些原料供商之間有相應(yīng)的數(shù)據(jù)進(jìn)行傳輸。這種模式跟總部與分支機(jī)構(gòu)之間的關(guān)系是不相同的，公司與合作伙伴有時(shí)有競(jìng)爭(zhēng)關(guān)系業(yè)務(wù)伙伴間的主機(jī)不是可信任的，所以合作雙方對(duì)自己的數(shù)據(jù)都會(huì)使用更高級(jí)別的保護(hù)，因此在VPN網(wǎng)的設(shè)計(jì)時(shí)公司網(wǎng)與VPN網(wǎng)關(guān)之間的通信信息也要進(jìn)行保密保護(hù)。公司與合作機(jī)構(gòu)的VPN方案如圖4所示。

2.3 用VPN連接遠(yuǎn)程用戶

為保障單位內(nèi)部網(wǎng)的安全，很多應(yīng)用不會(huì)對(duì)公網(wǎng) 放，比如辦公協(xié)同OA系統(tǒng)、財(cái)務(wù)查詢系統(tǒng)等。但是有時(shí)候又需要在單位以外訪問，比如當(dāng)放假期間，老師可能需要在家里登陸OA查看學(xué)校最近的通知，這時(shí)可通過VPN的方式實(shí)現(xiàn)安全登錄單位內(nèi)部網(wǎng)。如圖所示在個(gè)人用戶在訪問到公司內(nèi)部網(wǎng)之前保證信息的安全，所以從個(gè)人到ISP提供商之間的網(wǎng)通信息也要進(jìn)行信息的保護(hù)，這時(shí)用戶一般使用戶名密碼的方式進(jìn)行登錄，然后取得雙方進(jìn)行通信的證書，然后通信雙方通過證書中指定的加密方式進(jìn)行保密通信，此方法是個(gè)人和單位進(jìn)行通信的常用方法。

3 結(jié)論

本文從Internet的發(fā)展說明VPN技術(shù)產(chǎn)生的背景和意義，再對(duì)VNP的相關(guān)技術(shù)、協(xié)議進(jìn)行研究與分析，對(duì)VPN中重要技術(shù)隧道的原量進(jìn)行了詳細(xì)的剖析。在此基礎(chǔ)上，結(jié)合當(dāng)前VPN的實(shí)際使用情況對(duì)三類使用方式結(jié)合示意進(jìn)行了說明。當(dāng)前對(duì)公共網(wǎng)絡(luò)進(jìn)行保密通信的技術(shù)還有很多新的技術(shù)的出現(xiàn)，本人會(huì)繼續(xù)對(duì)相關(guān)內(nèi)容進(jìn)行關(guān)注。

參考文獻(xiàn)：

[1] Gasey Wilson， Peter Doak. 虛擬專用網(wǎng)的創(chuàng)建與實(shí)現(xiàn)[M]. 鐘鳴，魏允韜，譯. 北京：機(jī)械工業(yè)出版社， 2000.

[2] 戴宗坤，唐三平. VPN 與網(wǎng)絡(luò)安全[M]. 北京：電子工業(yè)出版社， 2002（8）.

[3] 卿斯?jié)h等. 密碼學(xué)與計(jì)算機(jī)網(wǎng)絡(luò)安全[M]. 清華大學(xué)出版社， 2001： 121-125.

vpn技術(shù)范文第8篇

摘要：VPN是一項(xiàng)迅速發(fā)展起來的新技術(shù)，本文闡述了VPN（虛擬局域網(wǎng)）的基本概念以及其特點(diǎn)和優(yōu)勢(shì)，重點(diǎn)介紹了虛擬專用網(wǎng)的工作原理和相關(guān)技術(shù)包括隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。

關(guān)鍵詞：VPN;隧道技術(shù);數(shù)據(jù)加密;用戶認(rèn)證

VPN(Virtual Private Network)即虛擬專用網(wǎng)，是一項(xiàng)迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。一個(gè)網(wǎng)絡(luò)連接通常由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三個(gè)部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報(bào)的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報(bào)的路由器均不知道數(shù)據(jù)報(bào)的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。

VPN的主要特點(diǎn)

（1）網(wǎng)際互聯(lián)安全性高。VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

（2）經(jīng)濟(jì)實(shí)用、管理簡(jiǎn)化。由于VPN獨(dú)立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷和安全配置。

（3）可擴(kuò)展性好。如果想擴(kuò)大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級(jí)組織重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程地點(diǎn)增加VPN能力也很簡(jiǎn)單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。

（4）支持多種應(yīng)用。由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運(yùn)用在廣域網(wǎng)上。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語音，IP傳真等。

（5）有效實(shí)現(xiàn)網(wǎng)絡(luò)資源共建共享。在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下，可以實(shí)現(xiàn)整個(gè)VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開發(fā)帶來的巨大浪費(fèi)，甚至可以實(shí)現(xiàn)普通讀者在家用ADSL來訪問公共圖書館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫。

VPN技術(shù)分析

VPN技術(shù)主要由三個(gè)部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜?。挥脩粽J(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

（1）隧道技術(shù)

1.隧道技術(shù)的實(shí)現(xiàn)

假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個(gè)部門若利用因特網(wǎng)進(jìn)行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，?現(xiàn)在設(shè)部門A的主機(jī)X向部門B的主機(jī)Y發(fā)送數(shù)據(jù)報(bào)，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報(bào)從主機(jī)X發(fā)送給路由器R1。路由器R1收到這個(gè)內(nèi)部數(shù)據(jù)報(bào)后進(jìn)行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào)，這個(gè)外部數(shù)據(jù)報(bào)的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報(bào)后，對(duì)其進(jìn)行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報(bào)，并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道,而隧道又是靠隧道協(xié)議來實(shí)現(xiàn)數(shù)據(jù)封裝的。在第二層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議,同樣在第三層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中,通過公網(wǎng)Internet進(jìn)行傳輸。因此,VPN技術(shù)的復(fù)雜性首先建立在隧道協(xié)議復(fù)雜性的基礎(chǔ)之上。隧道協(xié)議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協(xié)議,L2TP、PPTP屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN系統(tǒng)使分散布局的專用網(wǎng)絡(luò)架構(gòu)在公共網(wǎng)絡(luò)上安全通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔?使敏感的數(shù)據(jù)不會(huì)被竊聽

2 .第二層隧道協(xié)議

L2TP是從Cisco主導(dǎo)的第二層向前傳送和Microsoft主導(dǎo)的點(diǎn)到點(diǎn)隧道協(xié)議的基礎(chǔ)上演變而來的,它定義了利用公網(wǎng)設(shè)施(如IP網(wǎng)絡(luò),ATM和幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層點(diǎn)到點(diǎn)協(xié)議幀的方法。目前,Internet中的撥號(hào)網(wǎng)絡(luò)只支持IP協(xié)議,而且必須注冊(cè)IP地址;而L2TP可以讓撥號(hào)用戶支持多種協(xié)議,并且可以保留網(wǎng)絡(luò)地址,包括保留IP地址。利用L2TP提供的撥號(hào)虛擬專用網(wǎng)服務(wù)對(duì)用戶和服務(wù)提供商都很有意義,它能夠讓更多的用戶共享撥號(hào)接入和骨干IP網(wǎng)絡(luò)設(shè)施,為撥號(hào)用戶節(jié)省長途通信費(fèi)用。同時(shí),由于L2TP支持多種網(wǎng)絡(luò)協(xié)議,用戶在非IP網(wǎng)絡(luò)和應(yīng)用上的投資不至于浪費(fèi)。

3.第三層隧道協(xié)議

IPSec是將幾種安全技術(shù)結(jié)合在一起形成的一個(gè)較完整的體系,它可以保證IP數(shù)據(jù)包的私有性、完整性和真實(shí)性。IPSec使用了Diffie-Hellman密鑰交換技術(shù),用于數(shù)字簽名的非對(duì)稱加密算法、加密用戶數(shù)據(jù)的大數(shù)據(jù)量加密算法、用于保證數(shù)據(jù)包的真實(shí)性和完整性的帶密鑰的安全哈希算法、以及身份認(rèn)證和密鑰發(fā)放的認(rèn)證技術(shù)等安全手段。IPSec協(xié)議定義了如何在IP數(shù)據(jù)包中增加字段來保證其完整性、私有性和真實(shí)性,這些協(xié)議還規(guī)定了如何加密數(shù)據(jù)包:Internet密鑰交換協(xié)議用于在兩個(gè)通信實(shí)體之間建立安全聯(lián)盟和交換密鑰。IPSec定義了兩個(gè)新的數(shù)據(jù)包頭增加到IP包上,這些數(shù)據(jù)包頭用于保證IP數(shù)據(jù)包的安全性。這兩個(gè)數(shù)據(jù)包頭是認(rèn)證包頭和安全荷載封裝。其中IP數(shù)據(jù)包的完整性和認(rèn)證由IPSec認(rèn)證包頭協(xié)議來完成,數(shù)據(jù)的加密性則由安全荷載封裝協(xié)議來實(shí)現(xiàn)。

（2）用戶認(rèn)證技術(shù)

如果數(shù)據(jù)包不經(jīng)過加密就通過不安全的Internet，即使已經(jīng)建立了用戶認(rèn)證，VPN也不完全是安全的。為保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸上的安全性，需利用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法中強(qiáng)度比較高，可用于保護(hù)敏感的財(cái)務(wù)信息的是IPSec的DES和3DES。?

除加密和解密外，VPN需要核實(shí)信息來源的真實(shí)性，確認(rèn)信息發(fā)送方的身份，防止非授權(quán)用戶的非法竊聽和惡意篡改信息。核實(shí)發(fā)送方身份的過程稱為“認(rèn)證”。認(rèn)證可通過用戶名和口令實(shí)現(xiàn)，或者通過“電子證書”或“數(shù)字證書”來完成，即證書和密鑰。它包含加密參數(shù)，可唯一地用作驗(yàn)證用戶或系統(tǒng)身份的工具，提供高級(jí)別的網(wǎng)絡(luò)信息安全傳輸。

（3）加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo?RC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強(qiáng)度比較高，可用于敏感的商業(yè)信息。

vpn技術(shù)范文第9篇

關(guān)鍵詞:VPN;信息化;防火墻

1 VPN技術(shù)應(yīng)用背景

天脊煤化工集團(tuán)有限公司從2003年進(jìn)入了信息化建設(shè)的發(fā)展階段,在浙江中控軟件技術(shù)有限公司、山西省信息工程設(shè)計(jì)院等單位共同合作下建立起了“天脊集團(tuán)綜合信息管理自動(dòng)化系統(tǒng)”。該自動(dòng)化系統(tǒng)包括領(lǐng)導(dǎo)查詢分系統(tǒng)、生產(chǎn)管理分系統(tǒng)、人力資源管理分系統(tǒng)、備品備件管理分系統(tǒng)、物資供應(yīng)資源分系統(tǒng)、銷售管理分系統(tǒng)等。隨著信息化建設(shè)的不斷深入,業(yè)務(wù)流程漸漸規(guī)范化,各種分系統(tǒng)也在不斷完善,分布在全國各地的分公司和子公司相應(yīng)業(yè)務(wù)也要納入到“天脊集團(tuán)綜合信息管理自動(dòng)化系統(tǒng)”中來。為此,集團(tuán)公司決定由信息管理中心組織并實(shí)施VPN技術(shù)。

2 VPN技術(shù)在天脊集團(tuán)企業(yè)信息化建設(shè)中的具體實(shí)施

(1) VPN的選型

用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)――IPSec VPN和SSL VPN。

IPSec VPN和SSL VPN各有優(yōu)缺點(diǎn)。IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能,因而是實(shí)現(xiàn)多專用網(wǎng)安全連接的最佳選項(xiàng);而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接,用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。SSL VPN存在一定安全風(fēng)險(xiǎn),因?yàn)橛脩艨蛇\(yùn)用公眾Internet站點(diǎn)接入;IPSec VPN需要軟件客戶端支撐,不支持公共Internet站點(diǎn)接入,但能實(shí)現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。

目前,天脊集團(tuán)主干網(wǎng)絡(luò)設(shè)備為CISCO的產(chǎn)品,路由器和防火墻均提供實(shí)現(xiàn)VPN的功能。綜合評(píng)比在防火墻上實(shí)現(xiàn)VPN功能更適合,且不改變網(wǎng)絡(luò)結(jié)構(gòu)、不增加任何硬件投資下實(shí)現(xiàn)VPN功能,而在路由器上實(shí)現(xiàn)VPN還需購買相關(guān)VPN模塊。根據(jù)天脊集團(tuán)具體的業(yè)務(wù)需要和現(xiàn)有的網(wǎng)絡(luò)狀況,天脊集團(tuán)選擇了CISCO的IPSec VPN方案。

(2) 網(wǎng)絡(luò)架構(gòu)

在項(xiàng)目的實(shí)施中,利用Cisco PIX 515防火墻提供的VPN功能來構(gòu)建虛擬專用網(wǎng)。Cisco PIX 515 Firewall提供基于IPSec標(biāo)準(zhǔn)的VPN功能。借助IPSec,當(dāng)數(shù)據(jù)在公共網(wǎng)上傳輸時(shí),用戶無需擔(dān)心數(shù)據(jù)會(huì)被查看、篡改或欺詐。借助IPSec,用戶可以通過互聯(lián)網(wǎng)等不受保護(hù)的網(wǎng)絡(luò)傳輸敏感信息。IPSec在網(wǎng)絡(luò)層操作,能保護(hù)和鑒別所涉及的IPSec設(shè)備(對(duì)等物)之間的IP包。

(3) 詳細(xì)配置信息

防火墻配置:

access-list 100 permit 172.16.5.0 255.

255.255.0 172.16.2.0 255.255.255.0

ip local pool vpnpool 192.168.1.1-192.

168.1.254

global(outside) 1 interface

nat(inside) 0 access-list 100

conduit permit tcp host 172.16.3.10 any

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-

des esp-md5-hmac

crypto dynamic-map dynmap 10 set tra

nsform-set myset

crypto map vpn 10 ipset-isakmp dynamic dynmap

crypto map vpn 20 ipsec-isakmp

crypto map vpn client configuration address initiate

crypto map vpn client configuration address respond

crypto map vpn interface outside

isakmp enable outside

isakmp key ******* address 0.0.0.0 netmask 0.0.0.0

isakmp identity address

isakmp policy 10 authentication pre-sha

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn3000 address-pool vpnpool

vpngroupvpn3000dns-server 172.16.

2.11

vpngroup vpn3000 split-tunnel 100

vpngroup vpn3000 idle-time 1800

vpngroup vpn3000 password ********

isakmp client configuration address-

poollocal vpnpool outside

路由器配置:

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

VPN客戶端要求:

在集團(tuán)公司分公司和子公司內(nèi)要求使用和信息管理中心一致的寬帶接入服務(wù),使用Microsoft Windows2000以上操作系統(tǒng);使用Cisco VPN Client v4.8遠(yuǎn)程連接控制工具;相關(guān)人員必須接受VPN客戶端使用相關(guān)知識(shí)學(xué)習(xí),達(dá)到獨(dú)立解決VPN客戶端問題的能力。

(4) VPN技術(shù)實(shí)施效果評(píng)價(jià)

降低費(fèi)用。遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到Internet,以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連,通信費(fèi)用大幅度降低;其次企業(yè)可以節(jié)省購買和維護(hù)通訊設(shè)備的費(fèi)用。

安全性得到了增強(qiáng)。VPN通過使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證,并對(duì)數(shù)據(jù)進(jìn)行加密處理。對(duì)于企業(yè)內(nèi)部的數(shù)據(jù),可以通過VPN使企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與服務(wù)器的連接,并且可以訪問業(yè)務(wù)部門網(wǎng)絡(luò)中受到保護(hù)的資源。

3 總結(jié)

vpn技術(shù)范文第10篇

1 VPN的概念

VPN的英文Virtual Private Network的縮寫，可文譯為虛擬專用網(wǎng)。VPN是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過“隧道”技術(shù)等手段達(dá)到類似私有專網(wǎng)的數(shù)據(jù)安全傳輸。VPN具有虛擬特點(diǎn)：VPN并不是某個(gè)公司專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路，但同時(shí)VPN又具有專線的數(shù)據(jù)傳輸功能，因?yàn)閂PN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。VPN可以說是一種網(wǎng)絡(luò)外包，企業(yè)不再追求擁有自己的專有網(wǎng)絡(luò)，而是將對(duì)另外一個(gè)公司的訪問任務(wù)部分或全部外包給一個(gè)專業(yè)公司去做。這類專業(yè)公司的典型代表是電信企業(yè)。VPN具有以下優(yōu)點(diǎn)：

2 VPN的工作原理

基于IP的VPN基本上歸結(jié)為兩類：撥號(hào)VPN（一般稱為VDPN，即虛擬撥號(hào)專網(wǎng)）和專線VPN（Dedicated VPN,即專線的VPN），完整的VPN解決方案通常把撥號(hào)VPN和專線VPN組合在一起來滿足所有用戶的使用需求。

撥號(hào)VPN的原理如下圖2所示。服務(wù)提供商管理MODEM池和確?？煽康倪B通性，而商業(yè)公司管理某企業(yè)內(nèi)部網(wǎng)的用戶認(rèn)證。

專線VPN以多個(gè)用戶和比撥號(hào)VPN高速的連接為特片。有許多類型的專線VPN業(yè)務(wù)，但最常見的是在IP網(wǎng)上建立的IP VPN業(yè)務(wù)，如圖3所示。專線VPN提供了公司總部與公司分部、遠(yuǎn)程分支辦事處以及Extranet用戶的虛擬點(diǎn)對(duì)點(diǎn)連接。

虛擬專用網(wǎng)的體系結(jié)構(gòu)有多種形式，分類示意圖如圖4。

模擬目前國內(nèi)公眾多媒體通信網(wǎng)的狀況；在國內(nèi)采用VPN組網(wǎng)一般分為三類：

（1）ATM PVC組建方式，即利用電信部分提供的ATM PVC來組建用戶的專用網(wǎng)。這種專用網(wǎng)的通信速率快，安全性高，支持多媒體通信。

（2）IP Tunneling組建方式。即在多媒體通信網(wǎng)的IP層組建專用網(wǎng)。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網(wǎng)方式的業(yè)務(wù)在公眾通信網(wǎng)遍及的地方均可提供。

（3）Dial-up Access組網(wǎng)方式（VDPN）。這是一種撥號(hào)方式的專用網(wǎng)組建方式，可以利用已遍布全國的撥號(hào)公網(wǎng)來組建專用網(wǎng)，其接入地點(diǎn)在國內(nèi)不限，上網(wǎng)可節(jié)省長途撥號(hào)的費(fèi)用。對(duì)于流動(dòng)性強(qiáng)、分支機(jī)構(gòu)多、通信量小的用戶而言，這是一種非常理想的組網(wǎng)方式。它可以將用戶內(nèi)部網(wǎng)的界限，從單位的地理所在延伸到全國范圍。

2.1 撥號(hào)VPN（VDPN）

撥號(hào)VPN又可分為客戶發(fā)起的（Client-Initiated）VPN和NAS發(fā)起的VPN。

2.1.1 客戶發(fā)起的VPN

（1）遠(yuǎn)程用戶能夠同時(shí)與多個(gè)Home Gateway建立IP Tunnel。

（2）遠(yuǎn)程用戶不必重新?lián)芴?hào)，就可以進(jìn)入另一網(wǎng)絡(luò)。

（3）VPN的建立和管理與ISP無關(guān)。

2.1.2 NAS發(fā)起的VPN

在NAS發(fā)起的VPN中，由服務(wù)提供商的POP中的NAS請(qǐng)求并創(chuàng)建到客戶公司路由器（或者Home Gateway）的VPN隧道。NAS使用L2F（Layer 2 Forwarding Protocol）或者L2TP（Layer 2 Tunneling Protocol）協(xié)議來建立到客戶Home Gateway的安全隧道。L2TP是不久前建立的標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)結(jié)合了Cisco公司的L2F和微軟公司的PPTP協(xié)議。對(duì)于Home Gateway來說，L2F或L2TP隧道表現(xiàn)得似乎用戶是直接撥號(hào)到公司內(nèi)部網(wǎng)上。

表現(xiàn)得似乎用戶是直接撥號(hào)到公司

內(nèi)部網(wǎng)上。在這種撥號(hào)VPN形式中，用戶認(rèn)證公兩級(jí)處理。當(dāng)用戶撥入時(shí)，首先由服務(wù)提供商N(yùn)AS執(zhí)行基本的認(rèn)證，這個(gè)認(rèn)證僅僅識(shí)別出用戶的公司身份。然后，NAS打開到用戶公司Home Gateway的隧道，由Home Gateway來執(zhí)行用戶級(jí)的認(rèn)證功能。

這種VPN形式存在的缺點(diǎn)有：

（1）當(dāng)遠(yuǎn)程用戶進(jìn)入其它網(wǎng)絡(luò)時(shí)，需要重新?lián)芴?hào)，并且只能以另一用戶名登錄。

（2）遠(yuǎn)程用戶不能同時(shí)進(jìn)入多個(gè)網(wǎng)絡(luò)。

2.2 專線VPN

2.2.1 基于IP Tunnel的專線VPN

隧道是由隧道協(xié)議形成的，這與流行的各種網(wǎng)絡(luò)是依靠相應(yīng)的網(wǎng)絡(luò)協(xié)議完成通信沒有區(qū)別。為了傳輸來自不同網(wǎng)絡(luò)的數(shù)據(jù)包，最普遍使用的方法是先把各種網(wǎng)絡(luò)協(xié)議（IP、IPX和AppleTalk等）封裝到PPP里，再把這整個(gè)PPP數(shù)據(jù)包裝入隧道協(xié)議里。隧道協(xié)議一般封裝在IP協(xié)議中，但也可以是ATM或Frame Relay。由于隧道搭載的是PPP數(shù)據(jù)包（第二層），所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中（3Com公司的VTP就是這種隧道協(xié)議），由于隧道直接搭載第三層協(xié)議的數(shù)據(jù)包，所以稱為“第3層隧道”。

2.2.2 基于Vitual Circuit（虛擬電路）的VPN

服務(wù)提供商可以提供虛擬電路來建立IP VPN服務(wù)。用PVC在幀中繼（Frame Relay）和ATM網(wǎng)絡(luò)中建立點(diǎn)對(duì)點(diǎn)連接，并通過路由器來管理第三層的信息。電信運(yùn)營商或者郵電局可以采用這種辦法，充分利用其現(xiàn)有的幀交換（如幀中繼）或信元交換（如ATM）基礎(chǔ)設(shè)施提供IP VPN服務(wù)。

這種形式的VPN具有如下優(yōu)點(diǎn)：受控的路由器服務(wù)為具有幀或信元基礎(chǔ)設(shè)施的服務(wù)提供商提供一種便宜、快速的建立VPN服務(wù)的辦法；可充分利用FR CIR（Committed Information Rate）和ATM QoS來確保QoS能力；虛擬電路拓?fù)涞膹椥?；連接無須加密。

它的缺點(diǎn)是：不能靈活選擇路由；比IP Tunnel的相對(duì)費(fèi)用高；缺少IP的多業(yè)務(wù)能力（如Voice Over IP Video Over IP等）。

3 VPN技術(shù)的應(yīng)用領(lǐng)域及典型應(yīng)用

3.1 VPN應(yīng)用的四個(gè)領(lǐng)域

3.2 VPN廣域網(wǎng)建設(shè)新的解決方案（即典型應(yīng)用）

4 VPN技術(shù)的市場(chǎng)前景分析

（1）VPN以Internet做支撐；

（2）無論對(duì)商業(yè)客戶來說還是對(duì)私人客戶來說，使用Internet都是一種經(jīng)濟(jì)可行的方式。

（3）Internet覆蓋全球；

（4）現(xiàn)在Internet傳輸效率極高，大多ISP能承受進(jìn)行連接所帶來的負(fù)荷；

（5）VPN是靈活的、動(dòng)態(tài)的、可升級(jí)的；

（6）VPN在可以利用公司硬件方面的現(xiàn)有投資。

本文鏈接：http://edgebase.com.cn/v-141-2670.htmlvpn技術(shù)范文10篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點(diǎn)，本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅，請(qǐng)大家謹(jǐn)防詐騙！若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。

上一篇：vi設(shè)計(jì)范文10篇

下一篇：vpn技術(shù)論文范文10篇

相關(guān)文章：

黃豆觀察日記四年級(jí)09-20

經(jīng)典新版早安微信問候語10-26

有得必有失懂得取舍的感悟句子10-25

水電站員工年終總結(jié)10-23

企業(yè)元旦晚會(huì)策劃書11-02

應(yīng)用電子技術(shù)的求職信10-30

媽媽寫給兒子的一封信10-26

寓言故事作文800字09-04

給遠(yuǎn)方的小學(xué)生寫一封信07-23