當前位置：首頁 > 文庫 > 文案

vpn技術范文8篇

時間：2024-08-15 14:15:44 54

vpn技術

vpn技術篇1

關鍵詞:VPN;信息化;防火墻

1 VPN技術應用背景

天脊煤化工集團有限公司從2003年進入了信息化建設的發展階段,在浙江中控軟件技術有限公司、山西省信息工程設計院等單位共同合作下建立起了“天脊集團綜合信息管理自動化系統”。該自動化系統包括領導查詢分系統、生產管理分系統、人力資源管理分系統、備品備件管理分系統、物資供應資源分系統、銷售管理分系統等。隨著信息化建設的不斷深入,業務流程漸漸規范化,各種分系統也在不斷完善,分布在全國各地的分公司和子公司相應業務也要納入到“天脊集團綜合信息管理自動化系統”中來。為此,集團公司決定由信息管理中心組織并實施VPN技術。

2 VPN技術在天脊集團企業信息化建設中的具體實施

(1) VPN的選型

用于企業內部自建VPN的主要有兩種技術――IPSec VPN和SSL VPN。

IPSec VPN和SSL VPN各有優缺點。IPSec VPN提供完整的網絡層連接功能,因而是實現多專用網安全連接的最佳選項;而SSL VPN的“零客戶端”架構特別適合于遠程用戶連接,用戶可通過任何Web瀏覽器訪問企業網Web應用。SSL VPN存在一定安全風險,因為用戶可運用公眾Internet站點接入;IPSec VPN需要軟件客戶端支撐,不支持公共Internet站點接入,但能實現Web或非Web類企業應用訪問。

目前,天脊集團主干網絡設備為CISCO的產品,路由器和防火墻均提供實現VPN的功能。綜合評比在防火墻上實現VPN功能更適合,且不改變網絡結構、不增加任何硬件投資下實現VPN功能,而在路由器上實現VPN還需購買相關VPN模塊。根據天脊集團具體的業務需要和現有的網絡狀況,天脊集團選擇了CISCO的IPSec VPN方案。

(2) 網絡架構

在項目的實施中,利用Cisco PIX 515防火墻提供的VPN功能來構建虛擬專用網。Cisco PIX 515 Firewall提供基于IPSec標準的VPN功能。借助IPSec,當數據在公共網上傳輸時,用戶無需擔心數據會被查看、篡改或欺詐。借助IPSec,用戶可以通過互聯網等不受保護的網絡傳輸敏感信息。IPSec在網絡層操作,能保護和鑒別所涉及的IPSec設備(對等物)之間的IP包。

(3) 詳細配置信息

防火墻配置:

access-list 100 permit 172.16.5.0 255.

255.255.0 172.16.2.0 255.255.255.0

ip local pool vpnpool 192.168.1.1-192.

168.1.254

global(outside) 1 interface

nat(inside) 0 access-list 100

conduit permit tcp host 172.16.3.10 any

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-

des esp-md5-hmac

crypto dynamic-map dynmap 10 set tra

nsform-set myset

crypto map vpn 10 ipset-isakmp dynamic dynmap

crypto map vpn 20 ipsec-isakmp

crypto map vpn client configuration address initiate

crypto map vpn client configuration address respond

crypto map vpn interface outside

isakmp enable outside

isakmp key ******* address 0.0.0.0 netmask 0.0.0.0

isakmp identity address

isakmp policy 10 authentication pre-sha

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn3000 address-pool vpnpool

vpngroupvpn3000dns-server 172.16.

2.11

vpngroup vpn3000 split-tunnel 100

vpngroup vpn3000 idle-time 1800

vpngroup vpn3000 password ********

isakmp client configuration address-

poollocal vpnpool outside

路由器配置:

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

VPN客戶端要求:

在集團公司分公司和子公司內要求使用和信息管理中心一致的寬帶接入服務,使用Microsoft Windows2000以上操作系統;使用Cisco VPN Client v4.8遠程連接控制工具;相關人員必須接受VPN客戶端使用相關知識學習,達到獨立解決VPN客戶端問題的能力。

(4) VPN技術實施效果評價

降低費用。遠程用戶可以通過向當地的ISP申請賬戶登錄到Internet,以Internet作為隧道與企業內部專用網絡相連,通信費用大幅度降低;其次企業可以節省購買和維護通訊設備的費用。

安全性得到了增強。VPN通過使用點到點協議(PPP)用戶級身份驗證的方法進行驗證,并對數據進行加密處理。對于企業內部的數據,可以通過VPN使企業Intranet上擁有適當權限的用戶才能通過遠程訪問建立與服務器的連接,并且可以訪問業務部門網絡中受到保護的資源。

3 總結

vpn技術篇2

關鍵詞：VPN；MPLS；多協議標記交換

中圖法分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發展，人們對其連接質量提出了更高的要求。但常規的VPN連接方法缺乏高效的連接手段，網絡經常會發生阻塞，許多應用對于目前的IP技術(如語音和視頻等)顯得力不從心，并且實現成本也很高。而新興的多協議標記交換技術(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

首先引入現實中的一個例子，經常在外地出差的公司用戶希望能從外地的網絡訪問公司的內網辦公，而訪問的結果就像在公司內網一樣，不會有對資源、權限的限制，就好像在內網里面一樣，我們可以利用VPN技術實現這個目的。

由以上來看，究竟什么是VPN呢？虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

2 常規VPN技術

以往常規的VPN連接技術是在PPTP或者L2TP協議的控制下進行隧道封裝加密傳輸，其中，PPTP協議將控制包與數據包分開，控制包采用TCP控制，用于嚴格的狀態查詢及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE V2協議中。目前，PPTP協議基本已被淘汰。L2TP是國際標準隧道協議，它結合了PPTP協議以及第二層轉發L2F協議的優點，能以隧道方式使PPP包通過各種網絡協議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協議結合使用，提供隧道驗證。

但是，IPsec協議首要的和最明顯的缺點就是性能的下降，其次，在實現成本上非常不利，低端的設備通常用軟件實現所有的IPsec功能，因而其速度最慢。價格貴些的用硬件實現IPsec功能。一般來說，性能越好，其價格越貴。

3 基于MPLS的VPN的新技術

同傳統的VPN不同，MPLS VPN不依靠封裝和加密技術，MPLS VPN依靠轉發表和數據包的標記來創建一個安全的VPN，MPLS VPN的所有技術產生于InternetConnect網絡。

CPE被稱為客戶邊緣路由器（CE）。在InternetConnect網絡中，同CE相連的路由器稱為供應商邊緣路由器(PE)。一個VPN數據包括一組CE路由器，以及同其相連的InternetConnect網中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網絡。

CE可以感覺到同一個專用網相連。每個VPN對應一個VPN路由/轉發實例（VRF）。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數據包括IP路由表，一個派生的Cisco Express Forwarding (CEF)表，一套使用轉發表的接口，一套控制路由表中信息的規則和路由協議參數。一個站點可以且僅能同一個VRF相聯系?？蛻粽军c的VRF中的數據包含了其所在的VPN中，所有的可能連到該站點的路由。

對于每個VRF，數據包轉發信息存儲在IP路由表和CEF表中。每個VRF維護一個單獨的路由表和CEF表。這些表各可以防止轉發信息被傳輸到VPN之外，同時也能阻止VPN之外的數據包轉發到VPN內不的路由器中。這個機制使得VPN具有安全性。

在每個VPN內部，可以建立任何連接：每個站點可以直接發送IP數據包到VPN中另外一個站點，無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網絡可以支持成千上萬個VPN。每個MPLS VPN網絡的內部是由供應商(P)設備組成。這些設備構成了MPLS核，且不直接同CE路由器相連。圍繞在P設備周圍的供應商邊緣路由器(PE)可以讓MPLS VPN網絡發揮VPN的作用。P和PE路由器稱為標記交換路由器(LSR)。LSR設備基于標記來交換數據包。

客戶站點可以通過不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。

三種不同的VPN，分別用Route Distinguishers 10，20和30來表示。

MPLS VPN中，客戶站點運行的是通常的IP協議。它們并不需要運行MPLS，IPSec或者其他特殊的VPN功能。在PE路由器中，路由識別器對應同每個客戶站點的連接。這些連接可以是諸如T1，單一的幀中繼，ATM虛電路，DSL等這樣的物理連接。路由識別器在PE路由器中被配置，是設置VPN站點工作的一部分，它并不在客戶設備上進行配置，對于客戶來說是透明的。

每個MPLS VPN具有自己的路由表，這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進行尋址的多種客戶來說，上述特點很有用處。例如，任何數量的客戶都可以在其MPLS VPN中，使用地址為10.1.1.X的網絡。MPLS VPN的一個最大的優點是CPE設備不需要智能化。因為所有的VPN功能是在InternetConnect的核心網絡中實現的，且對CPE是透明的。CPE并不需要理解VPN，同時也不需要支持IPSec。這意味著客戶可以使用價格便宜的CPE，或者甚至可以繼續使用已有的CPE。

4 基于MPLS VPN的優點

時延被降到最低，因為數據包不再經過封裝或者加密。加密之所以不再需要，是因為MPLS VPN可以創建一個專用網，它同幀中繼網絡具備的安全性很相似。因為不需要隧道，所以要創建一個全網狀的VPN網也將變得很容易。事實上，缺省的配置是全網狀布局。站點直接連到PE，之后可以到達VPN中的任何其他站點。如果不能連通到中心站點，遠程站點之間仍然能夠相互通信。

配置MPLS VPN網絡的設備也變得容易了，僅需配置核心網絡，不需訪問CPE。一旦配置好一個站點，在配置其他站點時無需重新配置。因為添加新的站點時，僅需改變所連到的PE的配置。

在MPLS VPN中，安全性可以得到容易地實現。一個封閉的VPN具有內在的安全性，因為它不同Public Internet相連。如果需要訪問Internet，則可以建立一個通道，在該通道上，可放置一個防火墻，這樣就對整個VPN提供安全的連接。管理起來也很容易，因為對于整個VPN來說，只需要維護一種安全策略。

MPLS VPN的另外一個好處是對于一個遠程站點，僅需要一個連接即可。想象一下，帶有一個中心站點和10個遠程站點的傳統幀中繼網，每個遠程站點需要一個幀中繼PVC(永久性虛電路)，這意味者需要10個PVC。而在MPLS VPN網中，僅需要在中心站點位置建立一個PVC，這就降低了網絡的成本。

5 總結

MPLS是一種結合了鏈路層和IP層優勢的新技術。在MPLS網絡上不僅僅能提供VPN業務，也能夠開展QoS、TE、組播等等的業務。隨著MPLS應用的不斷升溫，不論是產品還是網絡，對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網絡新技術，但卻已經顯示了其強大的生命力。在我國網絡基礎薄弱，政府和企業對IP虛擬專用網的需求不高，但相信隨著政府上網、特別是在電子商務的推動下，基本MPLS的IP虛擬專用網技術的解決方案必將有不可估量的市場前景。

參考文獻：

[1]王達.虛擬專用網（VPN）精解[J].清華大學出版社,2004,173-7.

[2]Ivan Pepelnjak, Jim Guichard, MPLS和VPN體系結構CCIP版（英文版）[J].人民郵電出版社,2003.

vpn技術篇3

關鍵詞：VPN技術；應用；研究

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）17-3996-03

虛擬專用網，用英文翻譯過來就是Virtual Private Network，簡稱為VPN。虛擬專用網是通過公共網絡中相關的基礎設施，采用先進的技術方式，對不同的兩臺計算機進行一種專用的連接，使相關的網絡數據信息在通過公共網絡進行上傳的過程中，保證網絡數據信息私密性的一項技術。如何有效的應用虛擬專用網技術，是企業在發展過程中必須解決的一個重要問題。

1 VPN技術的優點

1.1 節約成本

VPN技術對公共網絡進行了利用，建立并組成了虛擬的專用網絡，不需要在單獨依靠公共網絡中專用的線路來保障數據信心傳輸的安全，利用專用的網絡就能夠實現數據信心的安全性，這一種方式相對于其他通信方式而言，所需要使用的成本更為低廉，例如：長途電話、專線電話等。

1.2 使用便捷

VPN技術在公共網絡中的使用較為便捷，易于在公共網絡中進行擴展。當公共網絡內部中的節結點逐漸增多的時候，專線連接網絡的結構也會變得越來越復雜，而且所需要花費的成本也非常的高，而在使用虛擬專用網的過程中，只需要在公共網絡的節點位置構架相關的VPN設備，就能夠在對Internet進行利用時在計算機網絡中建立安全連接，若是公共網絡內部中有其他的網絡想要進入安全連接，只需要在使用使用一臺虛擬專用網設備，對相關的配置的配置進行調整就能夠使其他的網絡加入到安全連接之中。

1.3 確保安全性

確保公共網絡中的安全性，是VPN技術在計算機網絡中的基礎，為了確保相關的數據信息在通過公共網絡進行傳輸過程中的安全性，VPN技術對加密認證這一項技術進行利用，在公共網絡內部中對相關的安全隧道進行構建，重要的數據信息通過安全隧道進行傳輸，有效的保證了數據信息在傳輸時的安全性，避免數據信息被惡意的篡改、破壞。

2 VPN得以實現的主要技術

VPN不是一個實體，而是一種虛擬的網絡形態，是計算機網絡中的一個概念，是一個通過公共網絡中的基礎設施對虛擬專用網絡進行構建時，所運用連接技術綜合起來的名稱。VPN技術的實現，離不開隧道技術，隧道技術是VPN技術得以實現的前提，隧道技術是一種對公共網絡中的數據信息進行包裝，然后在公共網絡中構建一條網絡隧道，使公共網絡中的數據信心通過這一條網絡隧道進行傳輸，以下是VPN技術在運用過程中的主要隧道技術。

2.1 點到點隧道協議

點到點隧道協議簡稱為PPTP，即Point-to-Point Tunneling Protocol，PPTP將公共網絡中的PPP數據信息進行包裝之后，通過Internet對這些數據信息進行傳輸，PPTP協議提供了使多協議VPN構建于Internet中的一種通信方式，遠程的客戶端能夠通過PPTP對專用網絡進行訪問。

2.2 二層轉發協議

二層轉發協議簡稱L2F，即Layer Two Forwarding Protocol，二層轉發協議能夠對各種不同的傳輸協議提供支持，例如：幀中繼、ATM以及IP等，二層轉發協議可以讓遠程客戶端的客戶在接入公共IP網絡中時，在撥號方式上不會受到任何的限制，例如：遠程客戶端的客戶在運用常規的撥號方式對ISP中的NAS進行撥號時，對PPP連接進行構建，NAS則通過對遠程客戶端客戶的一些基本信息的了解，在網絡中進行第二重連接，向公司所在地的二層轉發協議中的網絡服務器進行傳輸，二層轉發協議中的網絡服務器在將接收到的數據信心傳輸到公司內部的網絡中。

2.3 IP安全協議

IP安全協議簡稱為IP Sec，IP安全協議包含了秘鑰協商與安全協議這兩個方面中的一部分，IP Sec安全協議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護作用的機制。鑒別頭用英文表示為Authentication Header，簡稱AH，它給計算機網絡通信中提供的是一種完全性的保護。封裝安全載荷用英文表示為Encapsulations Security Payload，簡稱ESP，它給計算機網絡通信中提供的不僅僅是完整性的保護，還有機密文件在通過網絡進行傳輸這一過程中的保護。鑒別頭與封裝安全載荷對計算機網絡通信的保護具有實效性，對于公司內部在使用網絡進行數據信息傳輸的安全性有著十分重要的意義。IP安全協議是虛擬專用網技術中一個非常重要的組成部分，它對于網絡的保護具有完整性，是虛擬專用網在計算機網絡的應用中，不可缺少的一個部分，不僅僅保護了數據信息在通過網絡進行傳輸中的安全，還在很大程度上保障了數據信息來源的安全性、可靠性。

3 VPN技術的應用

在對VPN技術進行應用的過程中，能夠有效的解決虛擬專用網絡在對公共網絡進行利用中存在的問題。

以下是VPN技術主要的幾種應用：

3.1 遠程訪問VPN

隨著我國科學技術的深入發展，人們對于遠程通信的需求逐漸的擴大，各個行業辦公方式由辦公室辦公轉變為在辦公室以外進行辦公，企業中的工作人員對于企業網絡中的遠程客戶端訪問的要求逐漸增高，在這一形勢下遠程訪問VPN的出現是必然的趨勢。

一些公司或企業在網絡中進行遠程訪問的過程中，為了保證遠程訪問的安全性，傳統的方法是公司或企業的內部網絡中對RAS進行構建，即遠程訪問服務器。遠程客戶端客戶利用電話這一形式進行網絡撥號，然后接入RAS，接著進行入到公司或企業的內部網絡中，在利用這種傳統的方法進行遠程訪問時，需要對相關的RAS設備進行購買，RAS設備的價格都非常的高，而且遠程客戶端客戶只能采取撥號這一種形式進行遠程訪問，遠程訪問的效率非常低，在遠程訪問時的安全性也得不到有效的保障，在進行撥號時所需要的花費的費用也非常的多。遠程訪問VPN，通過數字用戶線路、ISDN以及撥號等一系列方式，進入到公司或企業所在地的ISP中，再進入Internet中，然后對公司或企業中的VPN網關進行連接，在VPN與遠程客戶端的客戶之間構建一條安全隧道，遠程客戶端的客戶可以通過這一條安全隧道對公司或企業內部中的網絡進行訪問，這種方式不僅僅節約了遠程訪問過程中所需要花費的費用，還在很大程度上保障了遠程訪問中的安全性。

遠程訪問VPN的結構示意圖，如圖1所示。

3.2 站點到站點的內聯網

一般情況下，在對同一個企業中兩個不同的分支機構進行連接的過程中，專用私有線路是必不可少的連接工具，但是專用私有線路非常的難找，尋找一條專用私有線路需要花費很多的時間與精力，而且專用私有線路一般都以出租的方式進行利用，租金非常的高。企業在利用一條專用私有線路對內部中不同的分支機構進行連接時，如果專用私有線路對企業內部網絡造成了破壞，則會導致連接的失敗，而且在利用專用私有線路對企業內部網絡中的數據信息進行傳輸的時候，傳輸數據信息的網絡通道沒有進行相關的加密，這就造成了數據信息在傳輸過程中存在著不安全因素。

站點到站點的內聯網，能夠有效的解決企業內聯網結構、傳輸、連接在安全這一方面存在的問題，站點到站點的內聯網結構示意圖，如圖2所示。

VPN網關，處于公共網絡與企業專用網絡的交界處，站點到站點的內聯網對數據信息通信進行加密，通過Internet將數據信息傳輸到相關的VPN網關中。站點到站點的內聯網在接收到Internet所傳輸的數據信息已被加密，然后通過將數據信息傳輸到VPN網關對數據信息進行解密，接著傳輸到企業的內部網絡中。站點與站點的內聯網在傳輸數據信息時，不需要專用的私有線路，而且還能夠使VPN變得非常的靈活。

3.3 VPN技術應用的實例

VPN技術在宜春供水有限公司中的應用，圖3是宜春供水有限公司中VPN網絡結構圖。

VPN技術在宜春供水有限公司中的應用，取代了宜春供水有限公司內部中傳統的專線網絡，VPN技術的應用極大的增強了宜春供水有限公司在利用網絡進行數據信息傳遞時的安全性，有效的節約了宜春供水有限公司在網絡信息數據傳輸這一方面的資金成本，在總體上為公司節省了85%左右的信息數據通訊的資金成本，而且只需要普通寬帶就能夠實現。

4 結束語

虛擬專用網技術在企業應用計算機網絡的過程中有著重要的作用，企業采用VPN這一技術，能夠有效的保障計算機網絡的安全性、可靠性、經濟性，能夠確保企業中的一些重要的私密性文件在通過網絡進行傳輸時的安全。

參考文獻：

[1] 浦兜，陳依群，曾鴻文.虛擬專用網絡（VPN）信息加密技術研究[J].電訊技術，2010（17）.

[2] 束坤，凳國新.基于計算機網絡的VPN技術[J].計算機應用，2008（11）.

[3] 曾勇軍，暢貞斌，羅必國.通過隧道技術建立安全的虛擬專用網[J].計算機工程與應用，2010（8）.

vpn技術篇4

【論文摘要】：虛擬專用網(vpn)技術主要包括數據封裝化，隧道協議，防火墻技術，加密及防止數據被篡改技術等等。文章著重介紹了虛擬專用網以及對相關技術。并對vpn隧道技術的分類提出了一些新的探索。

引言

虛擬專用網即vpn（virtual private network）是利用接入服務器（access sever）、廣域網上的路由器以及vpn專用設備在公用的wan上實現虛擬專用網技術。通常利internet上開展的vpn服務被稱為ipvpn。

利用共用的wan網，傳輸企業局域網上的信息，一個關鍵的問題就是信息的安全問題。為了解決此問題，vpn采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。

1. 隧道技術

internet中的隧道是邏輯上的概念。假設總部的lan上和分公司的lan上分別連有內部的ip地址為a和b的微機。總部和分公司到isp的接入點上的配置了vpn設備。它們的全局ip地址是c和d。假定從微機b向微機a發送數據。在分公司的lan上的ip分組的ip地址是以內部ip地址表示的"目的地址a""源地址b"。因此分組到達分公司的vpn設備后，立即在它的前部加上與全局ip地址對應的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設備從d發往vpn設備c而添加的。WWw.133229.COm此ip分組到達總部的vpn設備c后，全局ip地址即被刪除，恢復成ip分組發往地址a。由此可見，隧道技術就是vpn利用公用網進行信息傳輸的關鍵。為此，還必須在ip分組上添加新頭標，這就是所謂ip的封裝化。同時利用隧道技術，還必須使得隧道的入口與出口相對地出現。

基于隧道技術vpn網絡，對于通信的雙方，感覺如同在使用專用網絡進行通信。

2. 隧道協議

在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此，要成功的使用vpn技術還需要有隧道協議。

2.1 當前主要的隧道協議以及隧道機制的分類：

⑴ l2f（layer 2 forwarding）

l2f是cisco公司提出的隧道技術，作為一種傳輸協議l2f支持撥號接入服務器。將撥號數據流封裝在ppp幀內通過廣域網鏈路傳送到l2f服務器（路由器）.

⑵ ptp(point to point tunnelimg protocol)

pptp協議又稱為點對點的隧道協議。pptp協議允許對ip，ipx或netbeut數據流進行加密，然后封裝在ip包頭中通過企業ip網絡或公共互連網絡傳送。

⑶ 2tp（layer 2 tunneling protocol）

該協議是遠程訪問型vpn今后的標準協議。

l2f、pptp、l2tp共同特點是從遠程客戶直至內部網入口的vpn設備建立ppp連接，端口用戶可以在客戶側管理ppp。它們除了能夠利用內部ip地址的擴展功能外，還能在vpn上利用ppp支持的多協議通信功能，多鏈路功能及ppp的其他附加功能。因此在internet上實現第二層連接的pppsecsion的隧道協議被稱作第二層隧道。對于不提供ppp功能的隧道協議都由標準的ip層來處理，稱其為第三層隧道，以區分于第二層隧道。

⑷ tmp/baydvs

atmp（ascend tumneling management protocol）和baydvs(bay dial vpn service)是基于isp遠程訪問的vpn協議，它部分采用了移動ip的機制。atmp以gre實現封裝化，將vpn的起點和終點配置isp內。因此，用戶可以不裝與vpn想適配的軟件。

⑸ psec

ipsec規定了在ip網絡環境中的安全框架。該規范規定了vpn能夠利用認證頭標（ah：authmentication header）和封裝化安全凈荷（esp：encapsnlating security paylamd）。

ipsec隧道模式允許對ip負載數據進行加密，然后封裝在ip包頭中，通過企業ip網絡或公共ip互聯網絡如internet發送。

從以上的隧道協議，我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡，dsi七層網絡中的位置，將自己定義為第二層的隧道分類技術。按照這種劃分方法，從此產生了"二層vpn "與"三層vpn"的區別。但是隨著技術的發展，這樣的劃分出現了不足，比如基于會話加密的sslvpn技術[2]、基于端口轉發的httptunnel[1]技術等等。如果繼續使用這樣的分類，將出現"四層vpn"、"五層vpn"，分類教為冗余。因此，目前出現了其他的隧道機制的分類。

2.2 改進后的幾種隧道機制的分類

⑴ j.heinanen等人提出的根據隧道建立時采用的接入方式不同來分類，將隧道分成四類。分別是使用撥號方式的vpn，使用路由方式的vpn，使用專線方式的vpn和使用局域網仿真方式的vpls。

例如同樣是以太網的技術，根據實際情況的不同，可能存在pppoe、mplsybgp、msip、或者ipsec等多種vpn組網方式所提供的網絡性能將大有區別，因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異，由此將引起在實際應用中對vpn技術選型造成誤導。

⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同，可以將隧道分成封裝型隧道和隔離型隧道的vpn分類方法。封裝型隧道技術是利用封裝的思想，將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息，從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。例如l2tp就是典型的封裝型隧道。

隔離型隧道的建立，則是參考了數據交換的原理，根據不同的標記，直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離，如果接入網絡的數據包也是相互隔離的就保證了數據的安全性，例如lsvpn。從性能上看，使用封裝型隧道技術一般只能提供點對點的通道，而點對多點的業務支持能力教差，但是可擴展性，靈活性具有優勢。

采用隔離型隧道技術，則不存在以上問題，可以根據實際需要，提供點對點，點對多點，多點對多點的網絡拓撲。

3. 諸種安全與加密技術

ipvpn技術，由于利用了internet網絡傳輸總部局域網的內部信息，使得低成本，遠距離。但隨之而來的是由于internet技術的標準化和開放性，導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性，但黑客仍可以從世界上任何地方對網絡進行攻擊，使得在ipvpn的網點a和網點b之間安全通信受到威脅。因此，利用ipvpn通信時，應比專線更加注意internet接入點的安全。為此，ipvpn采用了以下諸種安全與加密技術。[2]

⑴ 防火墻技術

防火墻技術，主要用于抵御來自黑客的攻擊。

⑵ 加密及防止數據被篡改技術

加密技術可以分為對稱加密和非對稱加密（專用密鑰號與公用密鑰）。對稱加密（或專用加密）也稱常規加密，由通信雙方共享一個秘密密鑰。

非對稱加密，或公用密鑰，通信雙方使用兩個不同的密鑰，一個是只有發送方知道的專用密鑰，另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰?；谒淼兰夹g的vpn虛擬專用網，只有采用了以上諸種技術以后，才能夠發揮其良好的通信功能。

參考文獻

[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.

vpn技術篇5

引言

1. 隧道技術

internet中的隧道是邏輯上的概念。假設總部的lan上和分公司的lan上分別連有內部的ip地址為a和b的微機。總部和分公司到isp的接入點上的配置了vpn設備。它們的全局ip地址是c和d。假定從微機b向微機a發送數據。在分公司的lan上的ip分組的ip地址是以內部ip地址表示的"目的地址a""源地址b"。因此分組到達分公司的vpn設備后，立即在它的前部加上與全局ip地址對應的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設備從d發往vpn設備c而添加的。此ip分組到達總部的vpn設備c后，全局ip地址即被刪除，恢復成ip分組發往地址a。由此可見，隧道技術就是vpn利用公用網進行信息傳輸的關鍵。為此，還必須在ip分組上添加新頭標，這就是所謂ip的封裝化。同時利用隧道技術，還必須使得隧道的入口與出口相對地出現。

基于隧道技術vpn網絡，對于通信的雙方，感覺如同在使用專用網絡進行通信。

2. 隧道協議

在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此，要成功的使用vpn技術還需要有隧道協議。

2.1 當前主要的隧道協議以及隧道機制的分類：

⑴ l2f（layer 2 forwarding）

l2f是cisco公司提出的隧道技術，作為一種傳輸協議l2f支持撥號接入服務器。將撥號數據流封裝在ppp幀內通過廣域網鏈路傳送到l2f服務器（路由器）.

⑵ ptp(point to point tunnelimg protocol)

pptp協議又稱為點對點的隧道協議。pptp協議允許對ip，ipx或netbeut數據流進行加密，然后封裝在ip包頭中通過企業ip網絡或公共互連網絡傳送。

⑶ 2tp（layer 2 tunneling protocol）

該協議是遠程訪問型vpn今后的標準協議。

⑷ tmp/baydvs

⑸ psec

ipsec規定了在ip網絡環境中的安全框架。該規范規定了vpn能夠利用認證頭標（ah：authmentication header）和封裝化安全凈荷（esp：encapsnlating security paylamd）。

ipsec隧道模式允許對ip負載數據進行加密，然后封裝在ip包頭中，通過企業ip網絡或公共ip互聯網絡如internet發送。

2.2 改進后的幾種隧道機制的分類

采用隔離型隧道技術，則不存在以上問題，可以根據實際需要，提供點對點，點對多點，多點對多點的網絡拓撲。

3. 諸種安全與加密技術

⑴ 防火墻技術

防火墻技術，主要用于抵御來自黑客的攻擊。

⑵ 加密及防止數據被篡改技術

加密技術可以分為對稱加密和非對稱加密（專用密鑰號與公用密鑰）。對稱加密（或專用加密）也稱常規加密，由通信雙方共享一個秘密密鑰。

參考文獻

[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.

vpn技術篇6

VPN虛擬專用網 (Virtual private network)：建立在實在網路(或稱物理網路)基礎上的一種功能性網路，或者說是一種專用網的組網方式，簡稱VPN。它向使用者提供一般專用網所具有的功能，但本身卻不是一個獨立的物理網路；也可以說虛擬專用網是一種邏輯上的專用網路。

2 VPN的特點

(1)安全保障

雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。

(2)服務質量保證（QoS）

VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。所有網絡應用均要求網絡根據需要提供不同等級的服務質量。

(3)可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

(4)可管理性

在VPN管理方面，VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。

3 VPN安全技術

目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者與設備身份認證技術（Authentication）。

(1) 隧道技術

隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用網建立一條數據通道（隧道），讓數據包通過這條隧道傳輸。VPN使用兩種隧道協議：點到點隧道協議（PPTP）和第二層隧道協議（L2TP）。

(2)加解密技術

VPN采用何種加密技術依賴于VPN服務器的類型，因此可以分為兩種情況。

對于PPTP服務器，將采用MPPE加密技術。MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。

對于L2TP服務器，將使用IPSec機制對數據進行加密。IPSec是基于密碼學的保護服務和安全協議的套件。

(3)密鑰管理技術

密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取?，F行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。

(4)使用者與設備身份認證技術

使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。VPN的身份驗證采用PPP的身份驗證方法，下面介紹一下VPN進行身份驗證的幾種方法。

CHAP：CHAP通過使用MD5（一種工業標準的散列方案）來協商一種加密身份驗證的安全形式。MS-CHAP：同CHAP相似，微軟開發MS-CHAP是為了對遠程Windows工作站進行身份驗證，它在響應時使用質詢-響應機制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。 MS-CHAP v2：MS-CHAP v2是微軟開發的第二版的質詢握手身份驗證協議，它提供了相互身份驗證和更強大的初始數據密鑰，而且發送和接收分別使用不同的密鑰。

4 VPN發展現狀

在國外，Internet已成為全社會的信息基礎設施，企業端應用也大都基于IP，在Internet上構筑應用系統已成為必然趨勢，因此基于IP的VPN業務獲得了極大的增長空間。在中國，制約VPN的發展、普及的因素大致可分為客觀因素和主觀因素兩方面。

(1)客觀因素包括因特網帶寬和服務質量QoS問題。

在過去無論因特網的遠程接入還是專線接入，以及骨干傳輸的帶寬都很小，QoS更是無法保障，造成企業用戶寧愿花費大量的金錢去投資自己的專線網絡或是寧愿花費巨額的長途話費來提供遠程接入?，F在隨著ADSL、DWDM、MPLS等新技術的大規模應用和推廣，上述問題將得到根本改善和解決。

(2)主觀因素之一是用戶總害怕自己內部的數據在Internet上傳輸不安全。主觀因素之二，也是VPN應用最大的障礙，是客戶自身的應用跟不上，只有企業將自己的業務完全和網絡聯系上，VPN才會有了真正的用武之地。

可以想象，當我們消除了所有這些障礙因素后，VPN將會成為我們網絡生活的主要組成部分。在不遠的將來，VPN技術將成為廣域網建設的最佳解決方案。同時，VPN會加快企業網的建設步伐，使得集團公司不僅僅只是建設內部局域網，而且能夠很快地把全國各地分公司的局域網連起來，從而真正發揮整個網絡的作用。VPN對推動整個電子商務、電子貿易將起到不可低估的作用。

參考文獻

[1]張忠玉.VPN 技術綜述及應用.工程技術，2007（25）.

[2]范青.淺談虛擬專用網(VPN)的技術研究與應用.科技信息，2007（33）.

vpn技術篇7

[關鍵詞]VPN技術無線局域網SSL VPN

[中圖分類號]TP3[文獻標識碼]A[文章編號]1007-9416(2010)03-0091-02

隨著信息產業的飛速發展,通信技術和計算機技術的融合越來越快。無線通信已經成為我們生活不可缺少的一部分。但由于其無線通信設備采用的是無線信號的空中傳輸,使得在無線鏈路中傳輸的信息很容易被竊聽,存在很不安全的因素。嚴重的話甚至導致整個網絡的癱瘓。為此在一個企業當中建立一個無線局域網,安全性應是頭號要解決的問題。VPN是無線網絡建設當中解決無線通信安全問題的一個很好的方案。本文試圖就VPN技術在無線局域網中的應用做出一定的探討。

1 VPN技術概述

VPN (Virtual Private Network,虛擬專用網)是專用網絡在公共網絡如Internet上的擴展。VPN通過隧道技術在公共網絡上仿真一條點到點的專線,從而達到安全的數據傳輸目的,基于Internet的VPN也稱為IP-VPN。所以從本質上說,虛擬專用網(VPN)是一種能夠通過公用網絡安全地對內部專用網進行遠程訪問的技術。其要點是在遠程用戶和VPN服務器之間建立一條加密隧道,將原始數據包加密,并在外面封裝新的協議包頭。這樣只有知道密鑰的通信雙方能夠解開數據包,保證了數據包在公共媒質上傳送的時候,不會被非VPN 用戶截取。

2 VPN技術在無線局域網中的應用分析

無線局域網因其傳輸介質、訪問方式等原因,使得其很容易受到攻擊。無線局域網常用的安全方式,如MAC地址過濾、服務區標識符(SSID)匹配等存在很多明顯的弊端。利用VPN技術可以為無線局域網提供更可靠的安全解決方案。但是從目前現狀來看,VPN在無線局域網中應用實現方式主要有兩種,一種是基于IPSec 的無線VPN設計,另外一種是基于SSL的無線VPN設計。但是IPSec 的無線VPN設計是較早時期VPN在無線局域網中的實現方式,隨著近年來無線局域網以及VPN技術的逐漸成熟,基于SSL的無線局域網實現技術已經成為主流,本文將重點探討基于SSL的VPN技術在無線局域網中的應用。

2.1 SSL VPN在無線局域網中應用原理及功能特點

SSL(Secure Socket Layer,安全套接層)是一種在兩臺機器間提供安全通道的協議,它具有保護傳輸數據以及識別通信機器的功能。SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。SSL VPN使用SSL協議和為終端用戶提供基于HTTP, C/S和共享文件資源的認證和安全訪問。與復雜的IPSec VPN相比,SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN,這是因為SSL內嵌在瀏覽器中,它不需要象傳統IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。SSL VPN的工作原理如圖1所示:

SSL VPN的功能特點主要體現在以下幾個方面:一是無需安裝客戶端軟件。大多數執行基于SSL協議的遠程訪問不需要在遠程客戶端設備上安裝軟件,只需使用標準Web瀏覽器即可訪問到企業內部的網絡資源。這樣無論是從軟件協議購買成本上,還是從維護、管理成本上都可以節省一大筆資金,從而大幅降低VPN網絡的實施成本。二是適用于大多數設備及系統。由于Web方式的開放性,支持標準瀏覽器的任何設備都可以使用SSLVPN進行遠程訪問,包括非傳統設備,如PDA等。三是適用于大多數操作系統。任何支持標準Web瀏覽器的操作系統都可以作為S SL VPN的客戶端進行遠程訪問。不管用戶使用的操作系統是Windows、Macintosh、UNIX還是Linux。都可以非常容易地訪問到企業內部網站的資源。

2.2 SSL VPN在無線局域網中的具體應用

通過圖1的示意圖可以看出,SSL VPN在無線局域網網中應用的整個系統由SSL網關和Web服務器以及AP組成,其中最重要的是SSL網關。網關由多個服務器組成,LDAP服務器負責證書以及證書吊銷列表的保存,RADIUS服務器負責訪問控制策略,DHCP服務器負責為接入網關的局域網計算機分配IP地址,AD是證書驗證服務器。

對于SSL VPN來說,要保證通信的安全,必須要做到保密性、消息完整性和端點的認證。保密性是指傳輸的數據必須經過加密,消息完整性是指傳輸的數據能夠確認是沒有被黑客或攻擊者篡改過,端點認證是指客戶端或者服務器端能夠對另一方確認是否是正確的通信者。SSL協議通過SSL握手來確定密鑰并用該對稱密鑰來對通信的數據進行加密。在握手期間通過公鑰技術對雙方進行認證,并用密鑰交換技術交換通信使用的對稱密鑰,然后使用對稱密鑰加密通信數據。SSL的安全依賴于所使用的加密套件,每個加密套件使用四種算法,即:數字簽名算法,消息摘要算法,密鑰確立算法以及數據加密算法。

SSL VPN在無線局域網中具體應用需要重點解決以下幾個方面的問題:一是客戶端安全接入問題。對于SSL VPN服務器來說,有效地保證自身的安全和對客戶端接入的控制是最重要的。應該具備一個專門的子系統來負責對客戶端的認證,它的功能是針對不同的客戶端選擇相應的策略進行認證;二是有效的訪問控制策略。當用戶通過了系統的認證之后,如何有效而靈活控制客戶的訪問權限,是非常重要的問題,同時也是SSL VPN系統最具特色的特點之一。如何實施用戶的集中化管理,通過SSL VPN控制臺進行管理,更加有效的監控用戶使用權限,如何做到能夠基于內容的訪問控制策略等等都需要更多的關注。三是傳輸性能問題。對于一個SSL VPN服務器來說,傳輸在整個SSL VPN系統中是一個性能的瓶頸點。

總之,隨著我國網絡用戶的快速增長,無線網絡作為有效網絡的有效補充,在人們的網絡生活中將會占據更加重要的地位。而VPN技術作為無線局域網的一種有效安全措施,在無線局域網中具有非常廣泛的應用。

[參考文獻]

[1] 劉乃安.無線局域網(WLAN)――原理、技術與應用[M].西安:電子科技大學出版社,2004.

[2] 周明.SSL VPN體系結構在無線局域網中的應用與設計[J].電子科技大學.2006(4).

[3] 吳麗華,史烈.基于VPN技術的安全無線局域網的構建[J].計算機工程,2005(2).

vpn技術篇8

關鍵詞:MPLS VPN;校園網;技術優勢;應用;初步規劃

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)04-0831-02

MPLS VPN Technology and in Campus Net Construction Research

LIU Li-juan

(Nanjing Normal University Taizhou College, Taizhou 225300, China)

Abstract: Through introduced MPLS VPN technology basic concept, principle, realization way,has analyzed the MPLS VPN technical superiority, elaborated MPLS VPN technology in the large-scale network design practical application, preliminary study under MPLS VPN environment campus network plan, the endeavour will cause on a next university informationization construction new stair.

Key words: MPLS VPN; campus net; technical superiority; using; preliminary plan

隨著信息化程度的加深,校園網上各種管理應用系統平臺不斷增加,各種各樣的網絡需求和安全問題對傳統校園網提出了巨大的挑戰,如何實現學校教學、科研、管理等多個業務系統的“隔離與受控訪問”,并能檢測、調節、設定不同業務優先級,提供多等級校園網絡服務質量,優化網絡性能,成為校園網工程改造的難題。由于MPLS VPN技術能夠非常簡單的實現學校各部門之間的橫向和縱向互訪,并且在增加新的節點時,不需要對原有節點的配置進行修改。所以相對其他VPN技術,采用MPLS技術組建的VPN具有更好的可維護性及可擴展性,MPLS VPN更適合于組建較大規模的復雜的VPN網絡,MPLS VPN的這些優點已經成為建設校園網的主流技術。

1 MPLS VPN技術

1.1 MPLS VPN技術概述

MPLS VPN是一種基于MPLS技術的VPN,它在MPLS/IP公共網絡上,利用MPLS技術創建隧道,實現二、三層VPN業務。MPLS VPN的隧道建立就是采用MPLS的標簽堆疊技術,通過給用戶數據封裝雙層標簽來實現。其中內層標簽即私網標簽,用來識別用戶信息的VPN信息,外層標簽即公網標簽,用來在公網中轉發私網報文。將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起,為用戶提供高質量的服務。

1.2 MPLS VPN原理

MPLS VPN中的路由器有P路由器、PE路由器、CE路由器3種。P路由器是主干路由器,負責VPN分組外層標簽的交換;PE路由器一般是邊界路由器,存放著VRF表和全局路由表;CE路由器為客戶端路由器。當CE路由器將一個VPN分組轉發給PE路由器后,PE路由器查找該VPN對應的VRF,從VRF中得到一個VPN標簽和下一跳出口PE路由器的地址,VPN標簽為“最內層標簽”打在VPN分組上,根據下一跳出口,PE路由器的地址可以在全局路由表中查找出到達該PE路由器應打上的域內路由的標簽,即外層標簽,于是VPN分組被打上了兩層標簽,P路由器根據外層標簽轉發VPN分組,在最后一個P路由器處,外層標簽彈出,VPN分組只剩下內層標簽,接著VPN分組被發往出口PE路由器。出口路由器根據內層標簽查找到相應的出口,將VPN分組上的內層標簽刪除,把不含標簽的VPN分組發給正確的CE路由器,CE路由器根據自己的路由表將分組轉發到正確的目的地。

1.3 MPLS VPN的實現方式

MPLS VPN的實現方式,根據Internet邊界設備PE是否參與客戶的路由,Internet在建立基于MPLS的VPN時有兩種選擇:第三層的解決方案(Layer3MPLS VPN)和第二層的解決方案(Layer2MPLS VPN)。第二層和第三層MPLS VPN的主要區別在于:在一個第三層的MPLS VPN里,PE路由器和CE路由器建立了對等關系,并且維護獨立的路由表,而不是在CE路由器之間建立對等關系。

1.4 MPLS VPN的技術優勢

1.4.1 VPN實現網絡安全

VPN以多種方式增強了網絡的智能和安全性。具有高度的安全性,對于現在的網絡是極其重要的。新的服務如在線銀行、在線交易都需要絕對的安全。

1.4.2 簡化網絡設計

網絡管理者可以使用VPN替代租用線路來實現分支機構的連接。這樣就可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小,僅此一點就可以極大地簡化企業廣域網的設計。另外,VPN通過撥號訪問來自ISP或NSP的外部服務,減少了調制解調器池,簡化了所需的接口,同時簡化了與遠程用戶認證、授權和記帳相關的設備和處理。

1.4.3 降低成本

許多技術承諾可以降低成本,但VPN降低成本的方法是立即且顯著的,它可以降低:

1)移動用戶長途通信成本費。

2)可以以每條連接40%到60%的成本對租用線路進行控制和管理,對國際電路成本節約是極為顯著的。

3)主要設備成本:VPN通過支持撥號訪問外部資源,使企業可以減少不斷增長的調制解調器費用。另外,它還允許一個單一的WAN接口服務多種目的,從分支網絡互連、商業伙伴的外連網終端,本地提供高帶寬的線路連接到撥號訪問服務提供者。因此,只需要極少的WAN接口和設備。另外,由于VPN獨立于初始的協議,這就使得遠端的接入用戶可以繼續使用傳統的設備,保護了用戶在現有硬件和軟件系統上的投資。

1.4.4 容易擴展

如果企業想擴大VPN的容量和覆蓋范圍,只需與新的ISP簽約,建立帳戶,或者與原有的ISP重簽合約,擴大服務范圍。

1.4.5 易于建立商業伙伴

在過去,企業如果想與合作伙伴聯網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后,這種協商已毫無必要,真正達到了要連就連、要斷就斷。這樣就可以迅速捕捉商業機會,建立可靠的商業伙伴關系。

1.4.6 完全控制主動權

VPN使企業可以利用ISP的設施和服務,同時又完全掌握著自己網絡的控制權。比方說,企業可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

1.4.7 支持新興應用

許多專用網對于新興應用準備不足,如那些要求高帶寬的多媒體和協作交互式應用。VPN則可以支持各種高級的應用,如IP語音,IP傳真,還有各種協議,如RSIP、IM、MPLS等。

2 MPLS VPN的應用

MPLS VPN應用的范圍比較廣泛,在企業中利用MPLS VPN可以大大縮小總部和各分支機構之間的差距,在VPN中實施軟交換IP電話,可以大大節省長途話費,利用VPN開通會議電視,大大方便各分支機構之間的業務交流。在政府機構中,從中央到省級到市/地級到縣級到鄉鎮,都可以組建MPLS VPN網,在各級VPN中開通E-mail、IP 電話、會議電視,方便各級政府官員互相通郵通電,隨時啟用會議電視開展會議。各級VPN的級別設置與各級政府級別、機密級別設置相當,將網絡風險降低到零。另外,MPLS VPN還可以在遠程教育、跨地域銀行、電力遠程監控、大型商行或超市、物流業等領域應用。

2.1 校園網改造需求分析

針對原有網絡運行模式,需要一個便于擴展的解決方案,來保持用戶組完全隔離,實現服務和安全策略的集中,并保留校園園區網設計的高可用性、安全性和可擴展性優勢。網絡改造設計必須高效地解決以下幾個問題:

2.1.1 訪問控制

確保能識別合法用戶和設備,對其分類,并允許其接入獲得訪問授權的網絡部分。

2.1.2 路徑隔離

確保各用戶或設備都能高效地分配到正確、安全的可用資源集,即正確的VPN。

2.1.3 服務邊緣

確保合法的用戶和設備能訪問相應的正確服務,并集中實施策略。

2.1.4 網絡擴展

可以為其他校區、辦學點、移動辦公的人員提供遠程接入訪問服務。

2.2 校園網MPLS VPN初步規劃

2.2.1 整體規劃

采用MPLS/BGP VPN技術作為實現基本MPLS VPN業務的技術路線,建立各業務系統虛擬獨立網絡,各業務系統部門之間的可控互通訪問;通過構建全局共享VPN實現整個網絡電子信息資源庫、視頻會議系統的互連互通;在MPLS VPN基礎上,通過部署IP VPN提供更進一步的安全保證;在網絡未來擴展中,采用VPE技術實現VPDN與MPLS VPN的結合;

2.2.2 專網規劃

主校區可以通過虛擬園區網實現校內各業務系統的專網實現,要解決接入控制、通道隔離、統一應用三個問題,實現對接入用戶身份的識別和動態訪問權限的下發,從而使用一套物理網絡為多個部門的用戶提供不同的安全訪問級別服務,并且滿足網絡的安全性和靈活辦公的需要。

各分校區從原有基于專線的網絡上遷移到校園網絡上,需要改變原有網絡的接入方式,設備也要做適當調整,需要配置支持MPLS VPN的接入路由器。

3 結論

MPLS VPN技術是目前大型復雜網絡建設中解決信息受控訪問和安全隔離的有效途徑,它使企業得以在一個公共的通信平臺上,構建內部的VPN專網,能夠在一個無連接的網絡中引入連接模式的特性,有效減少了網絡復雜性。MPLS VPN技術在校園網的建設中雖然還沒有得到普及化的應用,但相信隨著時代的發展,MPLS VPN必將為實現全面“數字化校園”作出巨大貢獻。

參考文獻:

[1] 郭宏宇.MPLS VPN技術原理與實際應用[D].吉林:吉林大學,2008.

[2] 魏岳,王文靜,趙蔚.基于VPN的校園網組網模式分析[J].福建電腦,2009(2):85-86.

[3] 吳榮生,郭聯志.MPLS VPN的探究與應用[J].重慶科技學院學報:自然科學版,2009,11(2):130-133.

本文鏈接：http://www.svtrjb.com/v-141-3384.htmlvpn技術范文8篇

聲明：本網頁內容由互聯網博主自發貢獻，不代表本站觀點，本站不承擔任何法律責任。天上不會到餡餅，請大家謹防詐騙！若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。

上一篇：vpn技術論文范文8篇

下一篇：vi設計邀請函范文8篇

小升初簡歷的自我介紹01-30

初二暑假日記10-16

廉潔文化典故范文8篇08-15

經典真誠溫暖的早安心語朋友圈57條12-28