當前位置：首頁 > 文庫 > 文案

vpn技術范文10篇

時間：2024-08-15 14:07:42 55

vpn技術

vpn技術范文第1篇

關鍵詞：VPN 隧道協議 PPTP L2TP IPSec

VPN是Virtual Private Network的縮寫，即虛擬專用網絡。VPN在公共IP網絡上建立用戶私有的數據傳輸通道，將遠程訪問用戶與相應企業的內部網絡連接起來，并提供安全的端到端的數據通信，從而大大減輕了企業的遠程訪問費用，節省企業的運行成本。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

1、VPN的使用隧道協議

VPN的實現，最關鍵的是在公共網洛上建立用于數據傳輸的邏輯虛擬信道，而建立虛擬信道是通過使用隧道技術來實現的，隧道的建立可以是在數據鏈路層和網絡層。第二層隧道技術主要是使用PPP連接，使用的隧道協議有PPTP和L2TP，其特點是協議簡單，易于加密，適合于遠程撥號用戶使用；第三層隧道技術是IPinIP，使用的隧道協議是IPSec，其可靠性及擴展性優于第二層隧道協議，但沒有前者簡單直接。

1.1 PPTP（點對點隧道協議）

點到點隧道協議（PPTP，Point-to-Point Tunneling Protocol），是一種用于使遠程用戶通過撥號方式連接到本地的ISP，通過Internet安全的遠程訪問公司內部網絡資源的工業標準隧道協議，它在WIN NT 4.0系統中首先得到支持。PPTP是對“PPP（點對點協議）”的擴展，它能將PPP（點到點協議）幀封裝成IP數據包，以便能夠在基于IP的互聯網上進行傳輸，它增強了PPP的身份驗證、壓縮和加密機制。PPTP使用TCP（傳輸控制協議）來創建、維護、終止隧道，并使用GRE（通用路由封裝）將PPP幀封裝成隧道數據，被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。PPTP協議數據包通過使用從MS-SHAP（微軟公司的盤問交握式協議）活EAP-TLS（EAP Transport LAN Service，可傳輸式身份驗證協議）身份驗證過程中生成的密鑰進行加密。

1.2 第二層隧道協議（L2TP）

第二層隧道協議（L2TP）是思科公司開發的，具有RFC隧道協議的一種協議，是PPTP與L2F（第二層轉發）的一種綜合。它不同于PPTP，Windows系統中的L2TP不使用“MPPE（微軟點對點加密）”來加密PPP數據包，它是依賴于加密服務的IPSec（網際協議安全）的協議。現在被廣泛使用的是基于IPSec的L2TP。VPN客戶機和VPN服務器必須同時支持IPSec和L2TP，L2TP將在IPSec身份驗證的過程中生成一個密鑰，而采用IPSec加密機制加密L2TP消息。

1.3 Internet協議安全性（IPSec）

IPSec是專門為了IP提供安全服務而設計的一種協議，它可以有效地保護IP數據報的安全，具體通過包括數據源驗證、無連接數據的完整性驗證、數據內容的機密性保護和抗重播保護等保護形式來實現。IPSec有兩種運行模式：傳輸模式和隧道模式，有兩種安全協議：AH（認證頭協議）和ESP（封裝安全載荷協議）。AH可以驗證數據的起源，保障數據的完整性以及防止相同數據包的不斷重播。ESP除具有AH的所有能力以外，還可以選擇保障數據的機密性，以及為數據流提供有限的機密性保障。即AH提供認證，ESP提供認證和/或加密。通過使用這兩種協議，可以對IP數據報或上層協議，如UDP和TCP，進行保護，而這種保護由IPSec的兩種工作模式來提供。到目前為止，IPSec被業界認為是最安全的IP協議，但是其過于復雜的問題也是系統安全的一個主要威脅。

2、VPN網絡服務的分類

從連接用途以及連接方式上，VPN網絡服務可以分為基于Internet的VPN和基于Intranet的VPN。

2.1 基于Internet的VPN

遠程訪問客戶首先要激活與本地ISP所建立的物理連接，然后遠程訪問客戶通過Internet來訪問企業的VPN服務器，同時初始化一條虛擬的專用隧道。VPN連接創建以后，遠程訪問用戶就可以訪問VPN服務器所在Intranet上的有權限訪問的資源了。

2.2 基于Intranet的VPN

對于企業內部的敏感或需保密的部門，這些部門在邏輯上或者物理上與企業Intranet上的其他部門是斷開的，即不能互訪。如何使需要訪問的用戶訪問這些部門呢？通過VPN鏈接，這些敏感部門的網絡將被允許連接到企業的Intranet內，通過搭建VPN服務器將這些敏感部門和其他部門隔離開。VPN服務器不在企業的Intranet和部門網絡之間提供直接的路由連接。那些企業Intranet內有訪問敏感部門權限的用戶可以與VPN服務器建立遠程訪問連接，進而訪問敏感部門網絡。為此，所有通過VPN的通信數據都會被加密。對于那些沒有訪問敏感部門權限的用戶，在Intranet上，敏感部門的網絡是隱藏的。

3、VPN的解決方案

3.1 Access VPN

這種方案最適合企業內部有大量的遠程辦公訪問需求和提供B2C（Business-to-Customer商家對顧客）方式的企業。遠程訪問的企業員工或者客戶可以利用當地ISP提供的VPN服務和企業的VPN網關建立專有隧道連接，這建立連接的過程中需對訪問者的身份進行驗證和授權，這樣可以使遠程訪問用戶獲得相應的訪問權限。

3.2 Intranet VPN

這種解決方案是企業內部各分支機構進行網絡互聯的最優解決方案。企業特別是大型的跨國企業可以利用VPN技術將分步在各地的分公司、辦事處等分支機構通過Internet建立世界范圍內的Intranet VPN。這個方案充分利用Internet廉價性和VPN的高安全性組建了安全的、專用的虛擬鏈路，使企業的數據和信息可以借助互聯網安全的在企業的各個分支機構之間傳遞。

3.3 Extranet VPN

這種方案以Internet為數據鏈路基礎，通過VPN技術，在充分保證企業內部網絡的網絡安全的基礎上，使企業能夠像其合作伙伴提供有效的、可靠的信息服務。該方案使得企業和企業之間的聯系更加緊密，也保障了企業與企業之間的信息的方便、快捷的傳遞。

4、VPN的應用

VPN技術主要適用于哪些客戶呢？歸納起來以下這些情況需要使用VPN技術。

（1）客戶位置眾多而且極其分散。

（2）企業的機構分布范圍廣，而且各個機構的距離遠，需要通過長途通信，特別需要使用國際長途通信的企業。

（3）對帶寬和時延沒有特殊要求的用戶。

vpn技術范文第2篇

【關鍵詞】SSL VPN；IPSEC VPN；網絡安全

【中圖分類號】TN711

【文獻標識碼】A

【文章編號】1672-5158（2012）12-0004-01

一、SSL VPN的基本學術概念

1.1 什么是SSL VPN

SSL（Secure Sockets Layer）是一種Intemet數據安全協議。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。VPN（Virtual Private Network虛擬專用網絡），可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。VPN的核心就是在利用公共網絡建立虛擬私有網，被定義為通過一個公用網絡（通常是Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。

SSL VPN就是指應用層的vpn，它是基于https來訪問受保護的應用。目前常見的SSL VPN方案有兩種方式：直路方式和旁路方式。直路方式中，當客戶端需要訪問一臺應用服務器時：首先，客戶端和SSL VPN網關通過證書互相驗證雙方；其次，客戶端和SSL VPN網關之間建立ssl通道；然后，SSL VPN網關作為客戶端的和應用服務器之間建立tcp連接，在客戶端和應用服務器之間轉發數據。旁路方式和直路不同的是：為了減輕在進行ssl加解密時的運行負擔，也可以獨立出ssl加速設備，在SSL VPN server接收到https請求時，將ssl加密的過程交給ssl加速設備來處理，當ssl加速設備處理完之后再將數據轉發給SSL VPN server。

1.2 SSL VPN的特性

保密性就是對抗對手的被動攻擊，保證信息不泄漏給未經授權的人。由于使用的是Ssl協議，該協議是介于http層及tcp層的平安協議，傳輸的內容是經過加密的。SSL VPN通過設置不同級別的用戶和不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、radius機制等不同的方式。ssl數據加密的平安性由加密算法來保證，各家公司的算法可能都不一樣。黑客想要竊聽網絡中的數據，就要能夠解開這些加密算法后的數據包。

完整性就是對抗對手主動攻擊，防止信息被未經授權的篡改。由于SSL VPN一般在gateway上或者在防火墻后面，把企業內部需要被授權外部訪問的內部應用注冊到SSL VPN上。這樣對于gateway來講，需要開通443這樣的端口到ssl vpn即可，而不需要開通所有內部的應用的端口。假如有黑客發起攻擊也只能到SSL VPN這里，攻擊不到內部的實際應用。

可用性就是保證信息及信息系統確實為授權使用者所用。前面已經提到，對于SSL VPN要保護的后臺應用，可以為其設置不同的級別，只有相應級別的用戶才可以訪問到其對應級別的資源，從而保證了信息的可用性。

可控性就是對信息及信息系統實施平安監控。SSL VPN作為一個平安的訪問連接建立工具，所有的訪問信息都要經過這個網關，所以記錄日志對于網關來說非常重要。不僅要記錄日志，還要提供完善的超強的日志分析能力，才能幫助管理員有效地找到可能的漏洞和已經發生的攻擊，從而對信息系統實施監控。

二、SSL VPN的優勢

2.1 零客戶端

客戶端的區別是SSL VPN最大的優勢。瀏覽器內嵌了ssl協議，所以預先安裝了web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣，使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供給商等。通過SSL VPN，客戶端可以在任何時間任何地點對應用資源進行訪問。也就是說是基于b/s結構的業務時，可以直接使用瀏覽器完成ssl的vpn建立；而IPSEC VPN只答應已經定義好的客戶端進行訪問，所以它更適用于企業內部。

2.2 平安性

SSL VPN的平安性前面已經討論過，和IPSEC VPN相比較，SSL VPN在防病毒和防火墻方面有它特有的優勢。

一般企業在Internet聯機入口，都是采取適當的防毒偵測辦法。不論是IPSEC VPN或SSL VPN聯機，對于人口的病毒偵測效果是相同的，但是比較從遠程客戶端入侵的可能性，就會有所差別。采用IPSEC VPN聯機，若是客戶端電腦遭到病毒感染，這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對于SSL VPN的聯機，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應用系統的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

2.3 訪問控制

用戶部署vpn是為了保護網絡中重要數據的平安。IPSEC VPN只是搭建虛擬傳輸網絡，SSL VPN重點在于保護具體的敏感數據，比如SSL VPN可以根據用戶的不同身份，給予不同的訪問權限。就是說，雖然都可以進入內部網絡，但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數字簽名，保證每筆數據的不可抵賴性和不可否認性，為事后追蹤提供了依據。

2.4 經濟性

使用SSL VPN具有很好的經濟性，因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程平安訪問接入。但是對于IPSEC VPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設備。就使用成本而言，SSL VPN具有更大的優勢，由于這是一個即插即用設備，在部署實施以后，一個具有一定Internet知識的普通工作人員就可以完成日常的管理工作。

三、結束語

vpn技術范文第3篇

VPN的英文VirtualPrivateNetwork的縮寫，可文譯為虛擬專用網。VPN是利用公共網絡基礎設施，通過“隧道”技術等手段達到類似私有專網的數據安全傳輸。VPN具有虛擬特點：VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路，但同時VPN又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。VPN可以說是一種網絡外包，企業不再追求擁有自己的專有網絡，而是將對另外一個公司的訪問任務部分或全部外包給一個專業公司去做。這類專業公司的典型代表是電信企業。VPN具有以下優點：

（1）降低成本：企業不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資。利用現有的公用網組建的Intranet，要比租用專線或鋪設專線要節省開支，而且當距離越遠時節省的越多。如：某企業的北京與紐約分部之間的連接，不太可能自鋪專線：當一個遠程用戶在紐約想要連到北京的Intranet，用拔號訪問時，花的是國際長途話費；而用VPN技術時，只需在紐約和北京分別連接到當地的Internet就實現了互聯，雙方花的都是市話費。

（2）容易擴展：網絡路由設備配置簡單，無需增加太多的設備，省時省錢。對于發展很快的企業來說，VPN就更是不可不用了。如果企業組建自己的專用網，在擴展網絡分支時，考慮到網絡的容量，架設新鏈路，增加互聯設備，升級設備等；而實現了VPN就方便多了，只需連接到公用網上，對新加入的網絡終端在邏輯上進行設置，也不需要考慮公用網的容量問題、設備問題等。

（3）完全控制主動權：VPN上的設施和服務完全掌握在企業手可。例如，企業可以把撥號訪問交給NSP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

VPN通過采用“隧道”技術，并在Internet或國際互聯網工程工作組（IETF）制定的Ipsec標準統一下，在公眾網可形成企業的安全、機密、順暢的專用鏈路。

2VPN的工作原理

圖1比較了常規的直接撥號連接與虛擬專網連接的異同點。在前一種情形可，PPP（點對點協議）數據包流是通過專用線路傳輸的。在VPN可，PPP數據包流是由一個LAN上的路由器發出，通過共享IP網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。這兩者的關鍵不同點是隧道代替了實在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。

基于IP的VPN基本上歸結為兩類：撥號VPN（一般稱為VDPN，即虛擬撥號專網）和專線VPN（DedicatedVPN,即專線的VPN），完整的VPN解決方案通常把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。

撥號VPN（即VDPN）為移動用戶和遠程辦公用戶提供了對公司企業網的遠程訪問。這是當今最常見的一種VPN部署形式，主要是基于L2F協議。VDPN允許多個不同領域的用戶都能通過公共網絡或者Internet或其他公用網絡獲得安全的通路到他們的企業內部網絡。

提供私有撥號網絡服務的服務提供商可以用單個電話號碼提供給所有的用戶組織。訪問者可以用撥號網絡進入訪問服務器，訪問服務器通過PPP用戶名來區別訪問者。PPP用戶名用于建立一個到企業網關的連接，當企業網關鑒別了用戶之后，訪問集成器建立一個通過網絡提供商的骨干網、到企業風部網關的安全隧道。

PPP協議同時也被傳輸到內部網關，在內部網關的本地完全策略和本地認證授權決定了用戶通過內部網關之后對內部網絡的訪問級別。

撥號VPN的原理如下圖2所示。服務提供商管理MODEM池和確保可靠的連通性，而商業公司管理某企業內部網的用戶認證。

專線VPN以多個用戶和比撥號VPN高速的連接為特片。有許多類型的專線VPN業務，但最常見的是在IP網上建立的IPVPN業務，如圖3所示。專線VPN提供了公司總部與公司分部、遠程分支辦事處以及Extranet用戶的虛擬點對點連接。

虛擬專用網的體系結構有多種形式，分類示意圖如圖4。

模擬目前國內公眾多媒體通信網的狀況；在國內采用VPN組網一般分為三類：

（1）ATMPVC組建方式，即利用電信部分提供的ATMPVC來組建用戶的專用網。這種專用網的通信速率快，安全性高，支持多媒體通信。

（2）IPTunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網方式的業務在公眾通信網遍及的地方均可提供。

（3）Dial-upAccess組網方式（VDPN）。這是一種撥號方式的專用網組建方式，可以利用已遍布全國的撥號公網來組建專用網，其接入地點在國內不限，上網可節省長途撥號的費用。對于流動性強、分支機構多、通信量小的用戶而言，這是一種非常理想的組網方式。它可以將用戶內部網的界限，從單位的地理所在延伸到全國范圍。

2.1撥號VPN（VDPN）

撥號VPN又可分為客戶發起的（Client-Initiated）VPN和NAS發起的VPN。

2.1.1客戶發起的VPN

在客戶發起的VNP中，用戶撥號到本地的POP遠程，由客戶來發出請求并建立到某企業內部網的加密隧道。為了建立一個安全的連接，客戶端運行Ipsec軟件，客戶軟件與公司內部網絡防火墻上的Ipsec進程通信，或者直接與支持Ipsec的路由器通信，確保連接的安全性。這種形式的VPN優點是：

（1）遠程用戶能夠同時與多個HomeGateway建立IPTunnel。

（2）遠程用戶不必重新撥號，就可以進入另一網絡。

（3）VPN的建立和管理與ISP無關。

缺點是：因為這種加密的VPN隧道對于服務提供商而言是透明的，在客戶端需要專用的撥號軟件，而且管理移動PC上的Ipsec客戶端軟件也是麻煩的事件。因此，大部分的服務提供曾幾何時會選擇VPN隧道作為其網絡一部分的形式，如下面所討論的那樣。

2.1.2NAS發起的VPN

在NAS發起的VPN中，由服務提供商的POP中的NAS請求并創建到客戶公司路由器（或者HomeGateway）的VPN隧道。NAS使用L2F（Layer2ForwardingProtocol）或者L2TP（Layer2TunnelingProtocol）協議來建立到客戶HomeGateway的安全隧道。L2TP是不久前建立的標準，這個標準結合了Cisco公司的L2F和微軟公司的PPTP協議。對于HomeGateway來說，L2F或L2TP隧道表現得似乎用戶是直接撥號到公司內部網上。

表現得似乎用戶是直接撥號到公司內部網上。

在這種撥號VPN形式中，用戶認證公兩級處理。當用戶撥入時，首先由服務提供商NAS執行基本的認證，這個認證僅僅識別出用戶的公司身份。然后，NAS打開到用戶公司HomeGateway的隧道，由HomeGateway來執行用戶級的認證功能。

這種VPN形式有若干優點：對撥號用戶透明，用戶PC上無需特殊的客戶軟件，因而管理簡單化；由于是由服務提供商初始化隧道，他們可以提供優質的撥號VPN服務，如通過預留Modem端口，優先的數據傳送等手段保證撥號VPN用戶得到所需的服務；NAS可以時支持Internet或其他公用網絡和VPN服務；由于到某一目的的通信量全部通過單一隧道傳送，大規模部署將更具有可擴充性和管理性。

這種VPN形式存在的缺點有：

（1）當遠程用戶進入其它網絡時，需要重新撥號，并且只能以另一用戶名登錄。

（2）遠程用戶不能同時進入多個網絡。

2.2專線VPN

2.2.1基于IPTunnel的專線VPN

VPN與常規的直接撥號網絡不同，在VPN中，PPP數據包流不是通過專用線路，而是通過共享IP網絡上的隧道進行傳輸。這兩者的關鍵不同點是隧道代替了實際的專用線路。如何形成VPN隧道呢？

隧道是由隧道協議形成的，這與流行的各種網絡是依靠相應的網絡協議完成通信沒有區別。為了傳輸來自不同網絡的數據包，最普遍使用的方法是先把各種網絡協議（IP、IPX和AppleTalk等）封裝到PPP里，再把這整個PPP數據包裝入隧道協議里。隧道協議一般封裝在IP協議中，但也可以是ATM或FrameRelay。由于隧道搭載的是PPP數據包（第二層），所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網絡協議直接裝入隧道協議中（3Com公司的VTP就是這種隧道協議），由于隧道直接搭載第三層協議的數據包，所以稱為“第3層隧道”。

2.2.2基于VitualCircuit（虛擬電路）的VPN

服務提供商可以提供虛擬電路來建立IPVPN服務。用PVC在幀中繼（FrameRelay）和ATM網絡中建立點對點連接，并通過路由器來管理第三層的信息。電信運營商或者郵電局可以采用這種辦法，充分利用其現有的幀交換（如幀中繼）或信元交換（如ATM）基礎設施提供IPVPN服務。

在前面敘述的專線VPN和撥號VPN本質上都是通過在公共IP網絡中建立隧道（tunnel）來提供服務的。與之不同，基于虛擬電路的VPN通過在公共的幀或信元交換網絡上的路由來傳送IP服務，是使用PVC而不是tunnel來建立隱私性。因此，加密是不需要的。

這種形式的VPN具有如下優點：受控的路由器服務為具有幀或信元基礎設施的服務提供商提供一種便宜、快速的建立VPN服務的辦法；可充分利用FRCIR（CommittedInformationRate）和ATMQoS來確保QoS能力；虛擬電路拓撲的彈性；連接無須加密。

它的缺點是：不能靈活選擇路由；比IPTunnel的相對費用高；缺少IP的多業務能力（如VoiceOverIPVideoOverIP等）。

3VPN技術的應用領域及典型應用

3.1VPN應用的四個領域

企業內部網Itranet、遠程訪問、企業外部網Extranet、企業內VPN。另外，在很多涉及公司重要信息的傳輸及對數據完整性安全性要求比較高的場合，也大多選擇VPN技術。

3.2VPN廣域網建設新的解決方案（即典型應用）

目前各行業網、專用網的應用主要有兩個方面：一是作為Internet或其他公用網絡的一部分，組織本行業是信息資源上網；二是作為一個內部網，為本行業、本系統的內部辦公自動化和業務處理系統服務。兩者都是采用Internet或其他公用網絡技術的IP數據通信。

對于各專用網絡兩種應用的第一種應用，其解決方案可以根據網絡的性質和信息資源的服務對象，各地就近接入當地的中國公用計算機互聯網（簡稱163網）或中國公眾多媒體通信網（簡稱169網），完全省去了用于連接跨省的DDN專線，只需在域名規劃和信息主頁設計中統一規劃，統一形象，把有限的人力和物力用于專業的信息資源開發和深加工。

對地第三種應用或兩者都有的應用，則各地就近接入當地的169網或163網，采用VPN技術，實現跨地區的數據通信，充分利用169網高速（155MATM）的跨省通信主干道，建設自己的內部網。其網絡結構如圖5所示。

圖中的VPN表示內部專用網段。由于內部網的敏感數據在公網傳輸進是加密傳，因此可以實現安全廉價的跨地域數據通信。

同樣，本解決方案也適用于企業的跨地域數據通信，實現集數據、語音和圖像于一體的廣域網解決方案。實際上在國外率先采用VPN技術的就是跨國、跨地區的大公司和一些行業的網絡。

4VPN技術的市場前景分析

Internet的飛速發展、用戶數的迅猛增長以及Web通信量和個人域名注冊都加速了其發展勢頭。美國商業部預測到2010年加入互聯網的企業將會超過500尤。這清楚地描述了下世紀Intenet產生以及將會產生的影響。一些研究表明在下世紀將會有70%～80%的商務使用VPN設備。它們還指出，僅擁有200個遠程用戶美國某跨國公司棄專線而選用VPN后，僅僅4～5的時間就節省了150多萬美金。

公司希望花費不高的代價來傳輸商務信息。VPN在這方面起了很重要的作用，它提供了減少開支、提高服務、維護客戶基礎的方法。許多公司選用VPN傳輸商務信息的原因是：

（1）VPN以Internet做支撐；

（2）無論對商業客戶來說還是對私人客戶來說，使用Internet都是一種經濟可行的方式。

（3）Internet覆蓋全球；

（4）現在Internet傳輸效率極高，大多ISP能承受進行連接所帶來的負荷；

（5）VPN是靈活的、動態的、可升級的；

（6）VPN在可以利用公司硬件方面的現有投資。

vpn技術范文第4篇

【關鍵詞】MPLS；VPN

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0074-01

1、MPLS VPN簡介

隨著網絡經濟的發展，企業對于自身網絡的建設提出了越來越高的要求，主要表現在網絡的靈活性、經濟性、擴展性等方面。在這樣的背景下，VPN以其獨有的優勢贏得了越來越多企業的青睞。利用公共網絡來構建的私有專用網絡稱為虛擬私有網絡（VPN，Virtual Private Network）。在公共網絡上組建的VPN像企業現有的私有網絡一樣提供安全性和可管理性等。在所有的VPN技術中，MPLS VPN具有良好的可擴展性和靈活性，是目前發展最為迅速的VPN技術之一。

MPLS即多協議標簽交換屬于第三代網絡架構，是新一代的IP高速骨干網絡交換標準，由IETF所提出，由Cisco、3Com等網絡設備大廠所主導。從MPLS字面上來看，它是一個可以在多種第二層媒質上進行標簽交換的網絡技術。這一技術結合了第二層的交換和第三層路由的特點，將第二層的基礎設施和第三層路由有機地結合起來。第三層的路由在網絡的邊緣實施，在MPLS的網絡核心則采用第二層交換。

2、MPLS VPN工作原理

MPLS是一種特殊的轉發機制，它把進入網中的IP數據包分配標簽，并通過標簽的交換來實現IP數據包的轉發。標簽作為替代品，在網絡內部MPLS在數據包所經過的路徑沿途通過交換標簽，而不是看數據包的IP包頭來實現轉發，當數據包要退出MPLS網絡時，去掉數據包上的標簽，繼續按IP包的路由方式到達目的地。MPLSVPN有三種類型的路由器，CE路由器、PE路由器和P路由器，主要工作流程如下：

（1）CE到PE間通過IGP路由或BGP將用戶網絡中的路由信息通知PE，在PE上有對應于每個VPN的虛擬路由表VRF，類似有一立的路由器與CE進行連接。

（2）PE之間采用MP-BGP傳送VPN路由信息以及相應的標簽（VPN的標簽，以下簡稱為內層標簽），而在PE與P路由器之間則采用傳統的IGP協議相互學習路由信息，采用LDP協議進行路由信息與標簽（用于MPLS標簽轉發，以下稱為外層標簽）的綁定。到此時，CE、PE以及P路由器中基本的網絡拓撲以及路由信息已經形成。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息VRF。

（3）當屬于某一VPN的CE有數據進入時，在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN，進而到該VPN的VRF路由表中去讀取下一跳的地址信息。同時，在前傳的數據包中打上內層標簽。下一跳地址為與該PE作對等的PE的地址，為了到達這個目的端的PE，在起始端PE中需讀取MPLS骨干網絡的路由信息，從而得到下一個P路由器的地址，同時采用LDP在用戶前傳數據包中打上用于MPLS標簽交換的外層標簽。

（4）在MPLS骨干網絡中，初始PE之后的P均只讀取外層標簽的信息來決定下一跳，因此骨干網絡中只是簡單的標簽交換。

（5）在達到目的端PE之前的最后一個P路由器時，將把外層標簽去掉，讀取內層標簽，找到VPN，并送到相關的接口上，進而將數據傳送到VPN的目的地址處。

（6）P路由器完全依據MPLS的標簽來作出轉發決定。由于P路由器完全不需要讀取原始的數據包信息來作出轉發決定，P路由器不需要擁有VPN的路由信息，因此P只需要參與骨干IGP的路由，不需要參加MP-BGP的路由。從MPLS VPN工作過程可見，MPLSVPN絲毫不改變CE和PE原有的配置，一旦有新的cE加入到網絡時，只需在PE上簡單配置，其余的改動信息由BGP自動通知到CE和P。

3、MPLS體系結構

（1）標簽邊界路由器LER是MPLS的入口/出口路由器，在MPLS域與其他網絡邊緣的標記交換路由器，主要功能是進行IP報文初始化處理、分類等第三層功能和標簽綁定功能。在入口處將IP地址轉換成標簽，在出口處又將標塹恢復成IP地址。

（2）標簽交換路由器LSR是支持標記交換協議的路由器，具有第三層轉發分組和第二層交換分組的功能。它能運行傳統的IP路由協議，并能執行一個特殊控制協議以與鄰接的LSR協調標簽的綁定信息。

（3）標簽Label（如圖3-1所示）

4、MPLS VPN在信息網絡中的應用

基于MPLS技術平臺實現的MPLS VPN，以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。

MPLS是多協議標簽交換協議的簡稱。MPLS VPN網絡中，有三種設備：CE、PE和P路由器，CE是用戶直接與服務提供商相連的邊緣設備，可以是路由器、交換機或者終端；PE是骨干網中的邊緣設備，它直接與用戶的CE相連；P路由器是骨干網中不與CE直接相連的設備。P路由器并也不知道有VPN的存在，僅僅負責骨干網內部的數據傳輸，但其必須能夠支持MPLS協議，并使能該協議；PE位于服務提供商網絡的邊緣，所有的VPN的構建、連接和管理工作都是在PE上進行的。

采用MPLS VPN技術可以把物理上單一的IP網絡分解成邏輯上隔離的網絡，并且每個VPN單獨構成一個獨立的地址空間，即VPN之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN發生沖突，只需要考慮在本VPN之內不沖突即可，這樣可以解決IP網絡地址不足的問題，也方便網絡的擴展和變更。

5、總結

vpn技術范文第5篇

關鍵詞 VPN；原理；特點；應用

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708（2011）35-0182-01

1 VPN的概念

所謂VPN（Virtual Private Network，虛擬私有網絡）是指將物理上分布在不同地點的網絡通過公用骨干網聯接而成邏輯上的虛擬子網，這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性，VPN通過建立隧道機制實現，隧道機制可以提供一定的安全性，并且使VPN中分組的封裝方式、地址信息與承載網絡的封裝方式、地址信息無關。VPN技術采用了認證、存取控制、機密性、數據完整性等措施，以保證信息在傳輸中不被偷看、篡改、復制。

2 IPSec是VPN最常用技術之一

IPSec VPN是基于IPSec（Internet Protocol Security）規范的VPN技術或網絡的統稱。IPSec即Intenet安全協議，是IETF提供Internet安全通信的一系列規范，它提供私有信息通過公用網的安全保障。IPSec規范相當復雜，規范中包含大量的文檔。IPSec在TCP/IP協議的核心層―IP層實現，可以有效地保護各種上層協議，并為各種安全服務提供一個統一的平臺。

3 IPSec VPN工作原理

設想甲、乙兩個異地局域網需要進行通訊，因為是局域網內網IP地址不能通過INTERNET公網進行安全通訊。只有通過IPSec包封裝技術，利用Internet公網IP地址，封裝內部私網的IP數據，實現異地網絡的互通：如果甲私網IP發信給乙私網IP地址，甲局域網IP數據經甲私網IP地址傳至出口處甲地IPSec VPN網關進行加密封裝，通過INTERNET公網傳送至乙地IPSec VPN網關進行解密拆封裝后，交給乙局域網私網IP地址。相反乙私網IP地址回信給甲私網IP也是一樣過程，這樣就實現異地局域網對局域網的通訊。IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能，保證數據通信安全正確。IPSec安全協議對數據封裝加密及身份認證使用同一密鑰，既用于加密又用于解密。私鑰加密算法非常快，特別適用于對較大的數據流執行加密轉換。IPSEC通訊的數據認證使用md5算法計算包文特征，報文還原以后，檢查這個特征碼，看看是否匹配，證明數據傳輸過程是否被篡改。

4 IPSec VPN特點

1）經濟：用戶不再承擔昂貴的固定線路的租費。DDN、幀中繼、SDH的異地租費很高，而Internet的接入費用則只承擔本地的寬帶費用，費用很低。此外VPN網關設備功能強勁但造價低廉；2）靈活：接入靈活，不受互聯網接入運營商的限制，支持動態IP地址和NAT穿越。連接Internet 的方式可以是10M 、100M 端口，也可以是2M 或更低速的端口，XDSL 或撥號都可以連接Internet。一個IPSec VPN網絡可以連接任意地點的分支，即使跨越大洋也毫不受限制。支持多分支多端口，擴展性好；3）安全： IPSec VPN最顯著特點就是它的安全性，這是它保證內部數據安全的根本。通過領先的通道協議、數據加密、過濾/防火墻、通過RADIUS、LDAP和 SecurID實現授權等多種方式保證安全。同時，VPN 設備內置專業防火墻功能，對數據包采用多維策略過濾，最大可能地防止黑客攻擊；4）可靠： VPN 設備可提供冗余機制，保證鏈路和設備的可靠性。在中心節點VPN 核心設備提供冗余CPU 、冗余電源的硬件設計。而在鏈路發生故障時，VPN交換機支持靜態隧道故障恢復功能，隧道定時巡檢機制，快速自動修復功能，確保互聯數據的安全可靠；5）方便：技術人員可以通過管理軟件，實現遠程配置節點設備，方便管理及故障處理；

6）多業務：通過IPSec VPN網絡可以傳送IP話音、視頻業務、數據業務，運行ERP軟件，為現代化辦公提供便利條件。

5 IPSec VPN應用

vpn技術范文第6篇

一般所說的虛擬專用網不是真的專用網絡，虛擬專用網指的是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。虛擬專用網絡（Virtual Private Network ，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。所以我們說的虛擬專用網一般指的是建筑在Internet上能夠自我管理的專用網絡，而不是Frame. Relay或ATM等提供虛擬固定線路（PVC）服務的網絡。以IP為主要通訊協議的VPN，也可稱之為IP-VPN。

二、VPN的特點

在實際應用中，用戶需要的是什么樣的VPN呢？一般情況下，一個高效、成功的VPN應具備以下幾個特點：

1．安全保障

在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數據進行加密，以保證數據僅被指定的發送者和接收者了解，從而保證了數據的私有性和安全性。

2．服務質量保證（QoS）

VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素；而對于擁有眾多分支機構的專線VPN網絡，交互式的內部企業網應用則要求網絡能提供良好的穩定性；對于其它應用（如視頻等）則對網絡提出了更明確的要求，如網絡時延及誤碼率等，所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。

3．可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

4．可管理性

VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。所以，VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

三、VPN安全技術

目前VPN主要采用四項技術來保證安全。

1.隧道技術是VPN的基本技術，類似于點對點連接技術。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。第二層隧道協議有L2F、PPTP、L2TP等。第三層隧道協議有VTP、IPSec等。

2.加解密技術是數據通信中一項較成熟的技術，第2層隧道協議支持基于PPP的數據加密機制。微軟的PPTP方案支持在RSA/RC4算法的基礎上選擇使用MPPE。第3層隧道協議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協商確定幾種可選的數據加密方法。

3.密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。一般分為對稱加密與非對稱加密（專用密鑰與公用密鑰）。

4.身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

四、VPN的應用方案

隨著互聯網的興起，企業開始尋求利用互聯網來擴展他們的網絡。按接入方式劃分VPN，這是用戶和運營商最關心的劃分方式。建立在IP網上的VPN也就對應的有兩種接入方式：專線接入方式和撥號接入方式。

一般來說，公司都會把搭建大型遠程訪問VPN的工作外包給企業服務提供商（ESP）。例如，3Com為企業和NSP提供多種端對端的VPN解決方案。所有的3Com VPN產品彼此兼容，還配備了TranscendWare軟件，使用戶可以對常規網絡和VPN執行統一的策略。TranscendWare軟件使邊界設備可以與終端設備通信，進而強制執行網絡策略。這些設備通過監視VPN隧道，可以更好地管理撥號端口、帶寬分配、網絡負載等，對VPN環境進行有效的控制。

華為公司提供了各種有效的VPN解決方案，包括：Access VPN、Intranet VPN、Extranet VPN及結合防火墻的VPN解決方案。Quidway系列路由器支持各種VPN技術，包括隧道技術、IPsec、密鑰交換技術、防火墻技術、QoS與配置管理等，并可繼續發展，支持越來越多的先進技術，可以利用防火墻的許多安全特性在VPN上建立更加安全的網絡環境，增強抵御黑客攻擊、禁止非法訪問的能力。

五、結束語

基于公共網的VPN通過隧道技術、數據加密技術以及QoS機制，使得企業能夠降低成本、提高效率、增強安全性。VPN產品從第一代：VPN路由器、交換機，發展到第二代的VPN集中器，性能不斷得到提高。在網絡時代，企業發展取決于是否最大限度地利用網絡。VPN將是企業的最終選擇。

參考文獻：

[1]何寶宏，田輝等編著.IP虛擬專用網技術.人民郵電,出版日期：2008年06月

[2]Richard Deal.Cisco VPN完全配置指南,人民郵電出版社.2007-4

[3]馬春光，郭方方.防火墻、入侵檢測與VPN.北京郵電大學出版社 2008-8

vpn技術范文第7篇

關鍵詞：VPN；隧道；安全傳輸

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）27-0042-03

隨著網絡技術的快速發展，越來越多的組織或單位的員工需要隨時隨地連接到總部的網絡，很多跨國企業在全球建立多個分支機構，同時企業也要使用網絡與合作伙伴或客戶之間進行動態的聯系，這些都會給企業帶來了網絡的管理和安全性問題[1]。VPN（visual Private Network）技術就是在這種形勢下應運而生，它使企業能夠在公共網絡上創建自己的專用網絡，使得企業員工，分支機構，以及合作伙伴之間可以進行安全保密的通信。VPN已經是當前網絡中的一項重要的應用。

1 VPN的工作原理

VPN就是在當前現有網絡協議的基礎之上通過附加相關的協議使通信雙方可以在公共網絡上進行通信時能夠實施數據機密性保護，數據完整性保護，數據源身份認證，數據重放避免的方法進行數據保護的技術。

1.1 網絡風險

數據泄漏風險是指網絡通信過程中撥入段數據泄漏風險包括：攻擊者在撥入鏈路上實施監聽； ISP查看用戶的數據；Internet上數據泄漏的風險。信息在到達請求或返回信息服務點之前穿越多個路由器，明文傳輸的數據很容易在路由器上被查看和修改[2]。竊聽者可以在其中任一段網絡鏈路上監聽數據，逐段加密不能防止報文在路由器上被抓取，惡意的ISP（網絡提供商）經常利用修改通道的終點的方法讓信息轉到一個存在風險的網關。安全在網關中的風險：數據在安全網關中是沒有經過加密的，所以網關管理員可以隨意查看機密數據，網關本身也會存在漏洞，一旦被黑客攻破，流經安全網關的數據將面臨風險。單位內部網中數據泄漏的風險：內部網中可能存在被內部惡意人員或者惡意程序控制的主機、路由器等，內部員工可以獲得企業內部網的數據報文。

數據源身份偽造：發送信息者偽造別人的身份進行信息的傳送，而接收者不能明確的確定發送者的身份，從而給接收者帶來不必要的損失。在公司企業中如果接收到偽造公司領導身份發送重要的決策指令將會給公司和企業帶來重大的損失。

信息篡改，截斷：當黑客通過其他相關手段掌握了信息的傳遞方式，以及信息格式等相應的規律后，通過各種方法，將網絡上傳送的報文信息在中間路由器上被修改，然后再發向目的地，這種方式是惡意者常使用的方法 [9]。

重放攻擊：重放攻擊又稱重播攻擊、回放攻擊是計算機世界黑客常用的攻擊方式，所謂重放攻擊就是惡意人員發送一個目的主機已接收過的包，讓系統重新執行相關操作來進行惡意活的過程，這種方式主要用來身份認證階段。

1.2 VPN協議介紹

采用VPN技術，通過使用VPN服務器可以通暢的鏈接單組或組織內部網，同時又能保證信息的安全保密。當前直接使用路由器可以很容易實現不同主機網絡之間的互聯，但是并不能對特別用途的數據進行限制。使用VPN服務器進行網絡信息的管控，只有符合單位身份要求的用戶才能連接VPN服務器獲得訪問信息的權限。此外，VPN服務器可以對所有VPN數據進行加密，部門內部的局域網對其他用戶來說是不可見的，從而確保數據的安全性。

常用的VPN協議有：L2F（Layer 2 Forwarding Protocol），是由思科系統公司開發的，創建在互聯網上的虛擬專用網絡連接的隧道協議。L2F協議本身并不提供加密或保密；它依賴于協議被傳輸以提供保密，L2F是專為隧道點對點協議（PPP）通信[3]。L2TP（Layer Two Tunneling Protocol，第二層隧道協議）是一種虛擬隧道協議，是一種虛擬專用網的協議。L2TP協議本身不具有加密的功能，因此必須跟其他協議配和使用才能完成保密通信的工作。與L2TP協議搭配的加密協議是IPsec，通常稱為L2TP/IPsec。點對點隧道協議（Point to Point Tunneling Protocol）是實現虛擬專用網（VPN）的方式之一，PPTP使用傳輸控制協議（TCP）創建控制通道來發送控制命令，以及利用通用路由封裝（GRE）通道來封裝點對點協議（PPP）數據包以發送數據，這個協議最早由微軟等廠商主導開發，但因為它的加密方式容易被破解，微軟已經不再建議使用這個協議。

1.3 VPN隧道技術

隧道技術是一種在現在網絡協議的基礎之上，通過在現有報文中增加相關的內容，讓帶有這樣信息的報文在公共的網絡中進行安全傳輸。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。這些包含有VPN相關協議的幀或包封裝到新帶有路由信息的包頭中，從而使封裝的負載數據能夠通過互聯網絡傳遞。

經過封裝的數據包在網絡上的兩個端點之間通過公共互聯網絡進行傳輸，這段公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道[16]。一旦到達接收數據的網絡，數據將被解包并轉發到最終目的地。隧道技術的本質就是數據封裝，傳輸和解包在內的全過程如圖1所示。

PPP（Point to Point Protocol）協議隧道技術建立過程：

階段1：創建PPP鏈路

PPP使用鏈路控制協議（LCP）進行物理鏈路的鏈接，鏈路創建的過程中首先是選擇通信的方式；通信雙方的驗證協議；通信雙方的數據壓縮或加密方式。

階段2：用戶驗證

這此階段客戶端將自己的身份信息發送給你遠端接入服務器，這個過程是以安全的方式進行的避免信息的泄露。這個過程通常使用包括口令驗證協議（PAP），挑戰握手驗證協議（CHAP）和微軟挑戰握手驗證協議（MSCHAP）。

階段3：PPP回叫控制

回叫控制階段是PPP中的一個可選的階段。當驗證完成后遠程客戶和網絡訪問服務器斷開，然后由網絡服務器使用特點的電話號碼進行回叫。這樣能夠對遠程客戶身份進行重新確認，有效增加了通信的安全性。

階段4：調用網絡層協議

在上面階段完成后，在數據進行傳輸以前要完成網絡層協議的調用，當前網絡層的一般為IP協議，此時IP控制協議就會為用戶分配動態地址。在微軟的PPP方案中還會調用壓縮控制協議和數據加密協議。

階段5：數據傳輸階段

在此階段PPP就開始在連接對等雙方之間數據轉發。每個被傳送的數據包都被封裝在PPP包頭內，該包頭將會在到達接收方后被去除。如果選擇使用數據壓縮并且完成了協商，數據將會在被傳送之前進行壓縮。同樣如果選擇了數據加密并完成了協商，數據將會在傳送之前進行加密。

1.4 IPSec隧道數據傳輸過程

IPSec是網絡層的協議標準，主要負責數據的安全傳輸是當前使用較多的網絡協議。IPsec對規定了IP數據流的加密機制，并且制定了隧道模式的數據包格式，使用IPsec協議隧道一般稱為IPSEC隧道。由一個隧道客戶和隧道服務器組成IPSec隧道，兩端都配置使用IPSec隧道技術，加密機制采用協商完成。為實現數據傳輸的安全，IPSEC隧道模式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理，在去除明文IP包頭，對內容進行解密之后，獲的最初的負載IP包，負載IP包在經過正常處理之后被路由到位于目標網絡的目的地[4]。

一個數據包經IPsecVPN隧道的傳送過程，由左邊的VPN保護子網內的PC機向右邊VPN保護子網內的PC機傳送數據時。1HostA發送的數據由VPN網關1內口；2VPN網關1內口接收后發現需要經過隧道，則把數據交由VPN網關1加密；3加完密后再由左eth0外口發送到VPN網關2的eth0外口；4右VPN網關2外口收到數據發現需要解密；5則由右VPN網關2內口解完密后交由右內網交換機轉發或由本機接收，具圖如圖2所示。

2 VPN技術應用

2.1 用VPN連接分支機構

隨著社會的發展當前有很多大型的公司企業他們在全球有很多分支機構，而每個分支機構都要與總部進行頻繁信息傳輸，這些信息之中有很多是重要的商業機密信息一旦泄露會給公司帶來巨大的損失。所以分支構與總部以及分支之間的信息通信一定要進行保護，由于公司地域范圍太大不可能建立私的網絡。使用VPN連接公司的各個各支機構是進行保密通信是VPN是當前最好的選擇。由于公司各個分支以及總部的內部都是安全的線路，只要在公共網上保證信息的保密就能保證信息的安全，所在各個分支以及總部接入到公網以前架設VPN網關，雙方的通信信息發出時對信息進行加密，接收到信息對信息進行解密，保證通信的安全。總部與分支機構之間VPN組網的示意如：圖3所示。

2.2用VPN連接合作伙伴

當前很多大型的生產性企業都有很多的原料供應商，眾多的原料供應商是公司的業務伙伴。公司與這些原料供商之間有相應的數據進行傳輸。這種模式跟總部與分支機構之間的關系是不相同的，公司與合作伙伴有時有競爭關系業務伙伴間的主機不是可信任的，所以合作雙方對自己的數據都會使用更高級別的保護，因此在VPN網的設計時公司網與VPN網關之間的通信信息也要進行保密保護。公司與合作機構的VPN方案如圖4所示。

2.3 用VPN連接遠程用戶

為保障單位內部網的安全，很多應用不會對公網放，比如辦公協同OA系統、財務查詢系統等。但是有時候又需要在單位以外訪問，比如當放假期間，老師可能需要在家里登陸OA查看學校最近的通知，這時可通過VPN的方式實現安全登錄單位內部網。如圖所示在個人用戶在訪問到公司內部網之前保證信息的安全，所以從個人到ISP提供商之間的網通信息也要進行信息的保護，這時用戶一般使用戶名密碼的方式進行登錄，然后取得雙方進行通信的證書，然后通信雙方通過證書中指定的加密方式進行保密通信，此方法是個人和單位進行通信的常用方法。

3 結論

本文從Internet的發展說明VPN技術產生的背景和意義，再對VNP的相關技術、協議進行研究與分析，對VPN中重要技術隧道的原量進行了詳細的剖析。在此基礎上，結合當前VPN的實際使用情況對三類使用方式結合示意進行了說明。當前對公共網絡進行保密通信的技術還有很多新的技術的出現，本人會繼續對相關內容進行關注。

參考文獻：

[1] Gasey Wilson， Peter Doak. 虛擬專用網的創建與實現[M]. 鐘鳴，魏允韜，譯. 北京：機械工業出版社， 2000.

[2] 戴宗坤，唐三平. VPN 與網絡安全[M]. 北京：電子工業出版社， 2002（8）.

[3] 卿斯漢等. 密碼學與計算機網絡安全[M]. 清華大學出版社， 2001： 121-125.

vpn技術范文第8篇

摘要：VPN是一項迅速發展起來的新技術，本文闡述了VPN（虛擬局域網）的基本概念以及其特點和優勢，重點介紹了虛擬專用網的工作原理和相關技術包括隧道技術，數據加密和用戶認證。

關鍵詞：VPN;隧道技術;數據加密;用戶認證

VPN(Virtual Private Network)即虛擬專用網，是一項迅速發展起來的新技術，主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡，僅在效果上和真正的專用網一樣，故稱之為虛擬專用網。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術，使得傳送數據報的路由器均不知道數據報的內容，就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。

VPN的主要特點

（1）網際互聯安全性高。VPN技術繼承了現有網絡的安全技術，并結合了下一代IPv6的安全特性，通過隧道、認證、接入控制、數據加密技術，利用公網建立互聯的虛擬專用通道，實現網絡互聯的安全。

（2）經濟實用、管理簡化。由于VPN獨立于初始協議，用戶可以繼續使用傳統設備，保護了用戶在現有硬件和軟件系統上的投資。由于VPN可以完全管理，并且能夠從中央網站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷和安全配置。

（3）可擴展性好。如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務范圍。在遠程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網和VPN能力，路由器還能對工作站自動進行配置。

（4）支持多種應用。由于VPN給我們提供了安全的通道，可以把目前在局域網上的應用直接運用在廣域網上。VPN則可以支持各種高級的應用，如IP語音，IP傳真等。

（5）有效實現網絡資源共建共享。在網絡安全的保證下和認證技術的支持下，可以實現整個VPN體系中互聯單位的資源共建共享，避免資源重復開發帶來的巨大浪費，甚至可以實現普通讀者在家用ADSL來訪問公共圖書館局域網絡中的全文數據庫。

VPN技術分析

VPN技術主要由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

（1）隧道技術

1.隧道技術的實現

假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網，其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，?現在設部門A的主機X向部門B的主機Y發送數據報，源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機X發送給路由器R1。路由器R1收到這個內部數據報后進行加密，然后重新封裝成在因特網上發送的外部數據報，這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3，而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后，對其進行解密，恢復出原來的內部數據報，并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。

VPN實現的關鍵技術是隧道,而隧道又是靠隧道協議來實現數據封裝的。在第二層實現數據封裝的協議稱為第二層隧道協議,同樣在第三層實現數據封裝的協議叫第三層隧道協議。VPN將企業網的數據封裝在隧道中,通過公網Internet進行傳輸。因此,VPN技術的復雜性首先建立在隧道協議復雜性的基礎之上。隧道協議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協議,L2TP、PPTP屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝在哪種數據包中在隧道中傳輸。VPN系統使分散布局的專用網絡架構在公共網絡上安全通信。它采用復雜的算法來加密傳輸的信息,使敏感的數據不會被竊聽

2 .第二層隧道協議

L2TP是從Cisco主導的第二層向前傳送和Microsoft主導的點到點隧道協議的基礎上演變而來的,它定義了利用公網設施(如IP網絡,ATM和幀中繼網絡)封裝傳輸鏈路層點到點協議幀的方法。目前,Internet中的撥號網絡只支持IP協議,而且必須注冊IP地址;而L2TP可以讓撥號用戶支持多種協議,并且可以保留網絡地址,包括保留IP地址。利用L2TP提供的撥號虛擬專用網服務對用戶和服務提供商都很有意義,它能夠讓更多的用戶共享撥號接入和骨干IP網絡設施,為撥號用戶節省長途通信費用。同時,由于L2TP支持多種網絡協議,用戶在非IP網絡和應用上的投資不至于浪費。

3.第三層隧道協議

IPSec是將幾種安全技術結合在一起形成的一個較完整的體系,它可以保證IP數據包的私有性、完整性和真實性。IPSec使用了Diffie-Hellman密鑰交換技術,用于數字簽名的非對稱加密算法、加密用戶數據的大數據量加密算法、用于保證數據包的真實性和完整性的帶密鑰的安全哈希算法、以及身份認證和密鑰發放的認證技術等安全手段。IPSec協議定義了如何在IP數據包中增加字段來保證其完整性、私有性和真實性,這些協議還規定了如何加密數據包:Internet密鑰交換協議用于在兩個通信實體之間建立安全聯盟和交換密鑰。IPSec定義了兩個新的數據包頭增加到IP包上,這些數據包頭用于保證IP數據包的安全性。這兩個數據包頭是認證包頭和安全荷載封裝。其中IP數據包的完整性和認證由IPSec認證包頭協議來完成,數據的加密性則由安全荷載封裝協議來實現。

（2）用戶認證技術

如果數據包不經過加密就通過不安全的Internet，即使已經建立了用戶認證，VPN也不完全是安全的。為保護數據在網絡傳輸上的安全性，需利用密碼技術對數據進行加密。數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法中強度比較高，可用于保護敏感的財務信息的是IPSec的DES和3DES。?

除加密和解密外，VPN需要核實信息來源的真實性，確認信息發送方的身份，防止非授權用戶的非法竊聽和惡意篡改信息。核實發送方身份的過程稱為“認證”。認證可通過用戶名和口令實現，或者通過“電子證書”或“數字證書”來完成，即證書和密鑰。它包含加密參數，可唯一地用作驗證用戶或系統身份的工具，提供高級別的網絡信息安全傳輸。

（3）加密技術

數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo?RC4雖然強度比較弱，但是保護免于非專業人士的攻擊已經足夠了;DES和三次DES強度比較高，可用于敏感的商業信息。

vpn技術范文第9篇

關鍵詞:VPN;信息化;防火墻

1 VPN技術應用背景

天脊煤化工集團有限公司從2003年進入了信息化建設的發展階段,在浙江中控軟件技術有限公司、山西省信息工程設計院等單位共同合作下建立起了“天脊集團綜合信息管理自動化系統”。該自動化系統包括領導查詢分系統、生產管理分系統、人力資源管理分系統、備品備件管理分系統、物資供應資源分系統、銷售管理分系統等。隨著信息化建設的不斷深入,業務流程漸漸規范化,各種分系統也在不斷完善,分布在全國各地的分公司和子公司相應業務也要納入到“天脊集團綜合信息管理自動化系統”中來。為此,集團公司決定由信息管理中心組織并實施VPN技術。

2 VPN技術在天脊集團企業信息化建設中的具體實施

(1) VPN的選型

用于企業內部自建VPN的主要有兩種技術――IPSec VPN和SSL VPN。

IPSec VPN和SSL VPN各有優缺點。IPSec VPN提供完整的網絡層連接功能,因而是實現多專用網安全連接的最佳選項;而SSL VPN的“零客戶端”架構特別適合于遠程用戶連接,用戶可通過任何Web瀏覽器訪問企業網Web應用。SSL VPN存在一定安全風險,因為用戶可運用公眾Internet站點接入;IPSec VPN需要軟件客戶端支撐,不支持公共Internet站點接入,但能實現Web或非Web類企業應用訪問。

目前,天脊集團主干網絡設備為CISCO的產品,路由器和防火墻均提供實現VPN的功能。綜合評比在防火墻上實現VPN功能更適合,且不改變網絡結構、不增加任何硬件投資下實現VPN功能,而在路由器上實現VPN還需購買相關VPN模塊。根據天脊集團具體的業務需要和現有的網絡狀況,天脊集團選擇了CISCO的IPSec VPN方案。

(2) 網絡架構

在項目的實施中,利用Cisco PIX 515防火墻提供的VPN功能來構建虛擬專用網。Cisco PIX 515 Firewall提供基于IPSec標準的VPN功能。借助IPSec,當數據在公共網上傳輸時,用戶無需擔心數據會被查看、篡改或欺詐。借助IPSec,用戶可以通過互聯網等不受保護的網絡傳輸敏感信息。IPSec在網絡層操作,能保護和鑒別所涉及的IPSec設備(對等物)之間的IP包。

(3) 詳細配置信息

防火墻配置:

access-list 100 permit 172.16.5.0 255.

255.255.0 172.16.2.0 255.255.255.0

ip local pool vpnpool 192.168.1.1-192.

168.1.254

global(outside) 1 interface

nat(inside) 0 access-list 100

conduit permit tcp host 172.16.3.10 any

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-

des esp-md5-hmac

crypto dynamic-map dynmap 10 set tra

nsform-set myset

crypto map vpn 10 ipset-isakmp dynamic dynmap

crypto map vpn 20 ipsec-isakmp

crypto map vpn client configuration address initiate

crypto map vpn client configuration address respond

crypto map vpn interface outside

isakmp enable outside

isakmp key ******* address 0.0.0.0 netmask 0.0.0.0

isakmp identity address

isakmp policy 10 authentication pre-sha

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn3000 address-pool vpnpool

vpngroupvpn3000dns-server 172.16.

2.11

vpngroup vpn3000 split-tunnel 100

vpngroup vpn3000 idle-time 1800

vpngroup vpn3000 password ********

isakmp client configuration address-

poollocal vpnpool outside

路由器配置:

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

VPN客戶端要求:

在集團公司分公司和子公司內要求使用和信息管理中心一致的寬帶接入服務,使用Microsoft Windows2000以上操作系統;使用Cisco VPN Client v4.8遠程連接控制工具;相關人員必須接受VPN客戶端使用相關知識學習,達到獨立解決VPN客戶端問題的能力。

(4) VPN技術實施效果評價

降低費用。遠程用戶可以通過向當地的ISP申請賬戶登錄到Internet,以Internet作為隧道與企業內部專用網絡相連,通信費用大幅度降低;其次企業可以節省購買和維護通訊設備的費用。

安全性得到了增強。VPN通過使用點到點協議(PPP)用戶級身份驗證的方法進行驗證,并對數據進行加密處理。對于企業內部的數據,可以通過VPN使企業Intranet上擁有適當權限的用戶才能通過遠程訪問建立與服務器的連接,并且可以訪問業務部門網絡中受到保護的資源。

3 總結

vpn技術范文第10篇

1 VPN的概念

VPN的英文Virtual Private Network的縮寫，可文譯為虛擬專用網。VPN是利用公共網絡基礎設施，通過“隧道”技術等手段達到類似私有專網的數據安全傳輸。VPN具有虛擬特點：VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路，但同時VPN又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。VPN可以說是一種網絡外包，企業不再追求擁有自己的專有網絡，而是將對另外一個公司的訪問任務部分或全部外包給一個專業公司去做。這類專業公司的典型代表是電信企業。VPN具有以下優點：

VPN通過采用“隧道”技術，并在Internet或國際互聯網工程工作組（IETF）制定的Ipsec標準統一下，在公眾網可形成企業的安全、機密、順暢的專用鏈路。

2 VPN的工作原理

基于IP的VPN基本上歸結為兩類：撥號VPN（一般稱為VDPN，即虛擬撥號專網）和專線VPN（Dedicated VPN,即專線的VPN），完整的VPN解決方案通常把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。

PPP協議同時也被傳輸到內部網關，在內部網關的本地完全策略和本地認證授權決定了用戶通過內部網關之后對內部網絡的訪問級別。

撥號VPN的原理如下圖2所示。服務提供商管理MODEM池和確保可靠的連通性，而商業公司管理某企業內部網的用戶認證。

專線VPN以多個用戶和比撥號VPN高速的連接為特片。有許多類型的專線VPN業務，但最常見的是在IP網上建立的IP VPN業務，如圖3所示。專線VPN提供了公司總部與公司分部、遠程分支辦事處以及Extranet用戶的虛擬點對點連接。

虛擬專用網的體系結構有多種形式，分類示意圖如圖4。

模擬目前國內公眾多媒體通信網的狀況；在國內采用VPN組網一般分為三類：

（1）ATM PVC組建方式，即利用電信部分提供的ATM PVC來組建用戶的專用網。這種專用網的通信速率快，安全性高，支持多媒體通信。

（2）IP Tunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好；這種組網方式的業務在公眾通信網遍及的地方均可提供。

（3）Dial-up Access組網方式（VDPN）。這是一種撥號方式的專用網組建方式，可以利用已遍布全國的撥號公網來組建專用網，其接入地點在國內不限，上網可節省長途撥號的費用。對于流動性強、分支機構多、通信量小的用戶而言，這是一種非常理想的組網方式。它可以將用戶內部網的界限，從單位的地理所在延伸到全國范圍。

2.1 撥號VPN（VDPN）

撥號VPN又可分為客戶發起的（Client-Initiated）VPN和NAS發起的VPN。

2.1.1 客戶發起的VPN

（1）遠程用戶能夠同時與多個Home Gateway建立IP Tunnel。

（2）遠程用戶不必重新撥號，就可以進入另一網絡。

（3）VPN的建立和管理與ISP無關。

2.1.2 NAS發起的VPN

在NAS發起的VPN中，由服務提供商的POP中的NAS請求并創建到客戶公司路由器（或者Home Gateway）的VPN隧道。NAS使用L2F（Layer 2 Forwarding Protocol）或者L2TP（Layer 2 Tunneling Protocol）協議來建立到客戶Home Gateway的安全隧道。L2TP是不久前建立的標準，這個標準結合了Cisco公司的L2F和微軟公司的PPTP協議。對于Home Gateway來說，L2F或L2TP隧道表現得似乎用戶是直接撥號到公司內部網上。

表現得似乎用戶是直接撥號到公司

內部網上。在這種撥號VPN形式中，用戶認證公兩級處理。當用戶撥入時，首先由服務提供商NAS執行基本的認證，這個認證僅僅識別出用戶的公司身份。然后，NAS打開到用戶公司Home Gateway的隧道，由Home Gateway來執行用戶級的認證功能。

這種VPN形式存在的缺點有：

（1）當遠程用戶進入其它網絡時，需要重新撥號，并且只能以另一用戶名登錄。

（2）遠程用戶不能同時進入多個網絡。

2.2 專線VPN

2.2.1 基于IP Tunnel的專線VPN

隧道是由隧道協議形成的，這與流行的各種網絡是依靠相應的網絡協議完成通信沒有區別。為了傳輸來自不同網絡的數據包，最普遍使用的方法是先把各種網絡協議（IP、IPX和AppleTalk等）封裝到PPP里，再把這整個PPP數據包裝入隧道協議里。隧道協議一般封裝在IP協議中，但也可以是ATM或Frame Relay。由于隧道搭載的是PPP數據包（第二層），所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網絡協議直接裝入隧道協議中（3Com公司的VTP就是這種隧道協議），由于隧道直接搭載第三層協議的數據包，所以稱為“第3層隧道”。

2.2.2 基于Vitual Circuit（虛擬電路）的VPN

服務提供商可以提供虛擬電路來建立IP VPN服務。用PVC在幀中繼（Frame Relay）和ATM網絡中建立點對點連接，并通過路由器來管理第三層的信息。電信運營商或者郵電局可以采用這種辦法，充分利用其現有的幀交換（如幀中繼）或信元交換（如ATM）基礎設施提供IP VPN服務。

這種形式的VPN具有如下優點：受控的路由器服務為具有幀或信元基礎設施的服務提供商提供一種便宜、快速的建立VPN服務的辦法；可充分利用FR CIR（Committed Information Rate）和ATM QoS來確保QoS能力；虛擬電路拓撲的彈性；連接無須加密。

它的缺點是：不能靈活選擇路由；比IP Tunnel的相對費用高；缺少IP的多業務能力（如Voice Over IP Video Over IP等）。

3 VPN技術的應用領域及典型應用

3.1 VPN應用的四個領域

3.2 VPN廣域網建設新的解決方案（即典型應用）

圖中的VPN表示內部專用網段。由于內部網的敏感數據在公網傳輸進是加密傳，因此可以實現安全廉價的跨地域數據通信。

4 VPN技術的市場前景分析

（1）VPN以Internet做支撐；

（2）無論對商業客戶來說還是對私人客戶來說，使用Internet都是一種經濟可行的方式。

（3）Internet覆蓋全球；