當(dāng)前位置：首頁 > 文庫 > 文案

vpn技術(shù)論文范文8篇

時間：2024-08-15 14:15:42 28

vpn技術(shù)論文

vpn技術(shù)論文篇1

關(guān)鍵詞：分校區(qū)；VPN；專用網(wǎng)絡(luò)

中圖分類號：TP393.18 文獻標(biāo)識碼：A 文章編號：1007-9599 (2012) 08-0000-02

一、引言

隨著信息化技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)尤其是大學(xué)校園網(wǎng)絡(luò)的應(yīng)用已經(jīng)滲透在我們生活的每個角落里。校園網(wǎng)的服務(wù)質(zhì)量尤其安全狀況方面的好壞將直接影響學(xué)校正常的教學(xué)活動。但是近年來大學(xué)高校不斷擴招，高校合并、分校區(qū)設(shè)立、新校區(qū)建設(shè)等情況在高校中比比皆是?，F(xiàn)有的公共互聯(lián)網(wǎng)不但帶寬無法保障，學(xué)校信息資源的安全也受到了極大的威脅，因此如何保障各個校區(qū)安全、高效的共享校園資源，已成為校園網(wǎng)絡(luò)亟待解決的問題。VPN技術(shù)的出現(xiàn)，大大改善了校園網(wǎng)這一尷尬的局面，VPN技術(shù)是通過改造現(xiàn)有互聯(lián)網(wǎng)，實現(xiàn)了不同校區(qū)既安全又高效的共享信息資源[1]。

二、VPN技術(shù)

VPN（Virtual Private Network）即虛擬專用網(wǎng)，是在公共互聯(lián)網(wǎng)中為客戶搭建專有網(wǎng)絡(luò)的一種技術(shù)[2]。相對于物理存在的專有網(wǎng)絡(luò)而言，它是在公共Internet中，通過對網(wǎng)絡(luò)數(shù)據(jù)進行加密傳輸，實現(xiàn)了邏輯上存在的一個私有網(wǎng)絡(luò)。

（一）VPN接入技術(shù)的分類

目前VPN安全接入組網(wǎng)技術(shù)主要分為以下三種，即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。這三種接入方式所處的網(wǎng)絡(luò)協(xié)議層次不同，所注重的側(cè)重點不同。在實際運用中，需要根據(jù)自己的應(yīng)用環(huán)境來選擇不同的接入技術(shù)，以此達到事半功倍的效果。

1.L2TR/PPTP VPN

L2TR/PPTP VPN屬于二層VPN技術(shù)。用戶一般不需要自己安裝該客戶端軟件，因為目前L2TR/PPTP VPN客戶端軟件一般都已經(jīng)建成在主流的windows操作系統(tǒng)中了，大大方便了用戶的使用。但是該軟件的加密和認證手段都相對簡單，面對安全性要求較高的應(yīng)用環(huán)境，其安全系數(shù)低的缺陷就凸顯了出來，因此它僅適用于安全性要求一般的應(yīng)用環(huán)境。

2.IPSec VPN

IPSec VPN屬于三次VPN技術(shù)，對于應(yīng)用層來說是透明的。當(dāng)接收到數(shù)據(jù)包后，IPSec VPN通過查詢SPD即安全策略數(shù)據(jù)庫來決定對數(shù)據(jù)包的處理。根據(jù)查詢結(jié)果，不僅可以對數(shù)據(jù)包丟棄或者轉(zhuǎn)發(fā)，還可以對數(shù)據(jù)包進行IPSec處理，數(shù)據(jù)包的IPSec處理大大增加了網(wǎng)絡(luò)數(shù)據(jù)的安全性。同時其安全性的提升，是以增加網(wǎng)絡(luò)協(xié)議復(fù)雜度為代價，用戶的計算機上需要安裝單獨的IPSec VPN軟件，這將對客戶端造成一定的不便。

3.SSL VPN

SSL VPN屬于協(xié)議的最上層即應(yīng)用層VPN技術(shù)，SSL VPN技術(shù)的安全性主要是通過SSL協(xié)議來保證的。現(xiàn)有的瀏覽器都已經(jīng)支持SSL協(xié)議，用戶只需要安裝瀏覽器就可以實現(xiàn)SSL VPN的應(yīng)用，其部署簡單、高效。但是在日常生活中，瀏覽器并不能支持所有的應(yīng)用，因此在非WEB應(yīng)用情況下，用戶同樣需要安裝專門的客戶端軟件。

（二）VPN的關(guān)鍵技術(shù)

VPN是近年來在網(wǎng)絡(luò)安全方面發(fā)展較快的一項高效應(yīng)用技術(shù)，它擁有橫跨加密技術(shù)、數(shù)學(xué)理論、互聯(lián)網(wǎng)技術(shù)等多學(xué)科領(lǐng)域的特點，其中最核心的關(guān)鍵技術(shù)包括：隧道技術(shù)、加密技術(shù)、認證技術(shù)[4]。

1.隧道技術(shù)

隧道技術(shù)是VPN功能實現(xiàn)中最基本的技術(shù)。它是將待傳輸?shù)臄?shù)據(jù)信息加密、封裝后嵌入在公共互聯(lián)網(wǎng)協(xié)議中，以實現(xiàn)信息數(shù)據(jù)的有效傳輸?shù)囊环N技術(shù)。隧道技術(shù)可以將加密、封裝后的信息嵌入在開放性的通行系統(tǒng)互連參考模型的任何一層協(xié)議中，例如：應(yīng)用層VPN協(xié)議即SSL VPN、網(wǎng)絡(luò)層VPN協(xié)議即IPSec VPN、數(shù)據(jù)鏈路層VPN協(xié)議即L2TR/PPTP VPN。

2.加密技術(shù)

VPN是在公共互聯(lián)網(wǎng)上建立私有網(wǎng)絡(luò)，在公共網(wǎng)絡(luò)中不法分子可以通過一定技術(shù)得到這些信息，為了防止信息數(shù)據(jù)被不法分子獲取或者篡改，對原始信息進行加密處理顯得尤為重要。信息加密技術(shù)隨著互聯(lián)網(wǎng)的發(fā)展已經(jīng)非常的成熟，可以借鑒現(xiàn)有成熟的加密技術(shù)即可。在VPN解決方案中比較普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。

3.認證技術(shù)

VPN作為一個單位內(nèi)的私有專用網(wǎng)絡(luò)，在信息傳輸過程中，不僅要對信息的安全性、完整性認證，更需要對網(wǎng)絡(luò)上的用戶和設(shè)備進行認證。目前對使用者的身份認證方法非常多，僅僅使用用戶ID、密碼的驗證方式還遠遠不能提供足夠的安全保障，還可以綜合利用數(shù)字認證、數(shù)字簽名、動態(tài)口令等方法進行安全認證。

（三）VPN的優(yōu)點

VPN作為一種虛擬專用網(wǎng)絡(luò)，與傳統(tǒng)的物理專用網(wǎng)絡(luò)相比，有以下幾方面的優(yōu)點：

1.成本低

傳統(tǒng)的物理專用網(wǎng)絡(luò)需要點對點的部署專用物理線路，如需要鋪設(shè)光纖、中轉(zhuǎn)器等網(wǎng)絡(luò)設(shè)備，但是VPN技術(shù)是在現(xiàn)實互聯(lián)網(wǎng)的基礎(chǔ)上，通過建立安全隧道，完成信息專線傳輸?shù)?。在信息傳輸過程中，不需要特殊的點對點物理網(wǎng)絡(luò)，僅公共網(wǎng)絡(luò)即可實現(xiàn)，大大減少了運行成本；

2.可擴展性強

如果學(xué)校有了新的分?；蛐枰c其他高校實現(xiàn)信息資源共享時，在校園網(wǎng)中必然需要增加新的網(wǎng)絡(luò)節(jié)點，相對于傳統(tǒng)專用網(wǎng)絡(luò)，VPN只需要簡單的設(shè)置、部署即可完成擴展工作，其擴展性是傳統(tǒng)專用網(wǎng)絡(luò)所不具備的。

3.安全性強

VPN在發(fā)送端利用隧道技術(shù)對原始數(shù)據(jù)進行加密、封裝；在傳輸過程中對數(shù)據(jù)采用加解密技術(shù)處理；在接收端對用戶身份進行認證處理。信息數(shù)據(jù)在通過以上幾個環(huán)節(jié)的處理，不僅實現(xiàn)了信息的專用傳輸，而且加強了信息數(shù)據(jù)傳輸?shù)陌踩浴?span style="display:none">fT5萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

三、VPN在分布式校園網(wǎng)絡(luò)中應(yīng)用

近年來，大學(xué)高校在不斷擴招、快速發(fā)展的背景下，已經(jīng)形成了一所高校、多個分校區(qū)、地域分散的特點。在多個校區(qū)里，無論是信息資源共享還是管理方面都必須滿足統(tǒng)一性、高效性的要求。為了實現(xiàn)這一要求，必然導(dǎo)致跨地域分布校園網(wǎng)絡(luò)的信息交換呈現(xiàn)以下幾個特點：

（1）信息交換量大，不同地域的校園網(wǎng)需要實現(xiàn)共享信息資源、統(tǒng)一管理平臺等要求，相對于互聯(lián)網(wǎng)而言，校園網(wǎng)內(nèi)信息的交換量十分龐大；

（2）信息交換頻率高，例如在校園內(nèi)需要對校園某一活動進行投票，則在該時段內(nèi)，信息交換的頻率必然非常高；

（3）信息安全性強，在校園內(nèi)經(jīng)常會傳輸一些性較強的信息，例如校園財務(wù)管理、圖書館數(shù)據(jù)庫信息、校園學(xué)生基本信息等方面，都需要保證其安全性；

可見，校園網(wǎng)必須滿足網(wǎng)絡(luò)架構(gòu)分布式、信息傳輸高效性以及數(shù)據(jù)的安全性；然而一方面學(xué)校經(jīng)費有限，另一方面各個校區(qū)地域分布較遠，甚至很多分校都不在同一個城市，如果按照傳統(tǒng)的方法來搭建專用網(wǎng)絡(luò)，學(xué)校需要鋪設(shè)專用的光纖線路和其他設(shè)備，顯然在運行成本和效率方面都不理想。本文通過分析VPN技術(shù)的特點及其優(yōu)點，并結(jié)合現(xiàn)高校校園網(wǎng)絡(luò)實際存在的問題，筆者認為，VPN技術(shù)不僅可以高效的解決以上問題，同時還可以提供以下幾方面的應(yīng)用：

（一）校區(qū)互聯(lián)

針對高校存在的一所高校、多個分校區(qū)、地域分散的特點，可以將每所分校的子網(wǎng)絡(luò)通過VPN技術(shù)專線連接在一起，實現(xiàn)各個校區(qū)資源共享、管理統(tǒng)一，不僅大大提高了工作、學(xué)習(xí)、管理效率，而且不需要鋪設(shè)專門的網(wǎng)絡(luò)線路，大大減少了運行管理成本。

（二）移動辦公

在高校學(xué)術(shù)交流越來越頻繁的背景下，學(xué)生、老師外出交流、學(xué)習(xí)的機會將越來越多，VPN技術(shù)可以保證外出校內(nèi)人員，可以在其他地域共享校內(nèi)豐富的信息資源。從而實現(xiàn)傳統(tǒng)物理專用網(wǎng)絡(luò)所不能提供的功能，提高他們的工作、學(xué)習(xí)效率。

（三）校際交流

在高校經(jīng)費有限的背景下，要獲取更多的信息資源，多個高校實現(xiàn)信息資源共享，無疑是最經(jīng)濟、最有效的辦法。但是對處于不同城市的高校來說，鋪設(shè)專用的網(wǎng)絡(luò)線路對高校來說，顯然是不可能的。然而VPN技術(shù)僅需要簡單的部署即可完成上述效果，既經(jīng)濟又高效。

四、結(jié)論

針對高校多分校區(qū)、地域分散的特點，筆者通過VPN接入技術(shù)的分類、關(guān)鍵技術(shù)及其優(yōu)點等方面詳細論述了VPN技術(shù)，并總結(jié)了分布式校園網(wǎng)絡(luò)中，信息交換所呈現(xiàn)的一些特點，最后提出利用VPN技術(shù)，實現(xiàn)安全、高效的數(shù)據(jù)傳輸，并將其運用在高校內(nèi)部網(wǎng)絡(luò)的各種方面。

參考文獻：

[1]郭小輝.高校多校區(qū)教學(xué)資源的整合與利用初探[J].重慶科技學(xué)院學(xué)報；社會科學(xué)版,2009,5:197-198

[2]王子悅.多校區(qū)大學(xué)教育管理體系研究[D].天津師范大學(xué)學(xué)報,2009

[3]陳震.VPN技術(shù)及其應(yīng)用的研究[J].電腦知識與技術(shù),2009,4:798-799

vpn技術(shù)論文篇2

關(guān)鍵詞：計算機網(wǎng)絡(luò)；VPN技術(shù)；運用；實踐

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）27-0012-02

隨著計算機網(wǎng)絡(luò)的快速發(fā)展，使得計算機網(wǎng)絡(luò)逐漸進入人們的實際工作中，并有效提高工作效率與工作質(zhì)量，強化了計算機技術(shù)水平和技術(shù)含量。就現(xiàn)有計算機網(wǎng)絡(luò)來看，各項計算機技術(shù)的運用都存在極強的針對性，在各自的領(lǐng)域中發(fā)揮著巨大的作用，促進了行業(yè)發(fā)展的現(xiàn)代化和技術(shù)化。 VPN技術(shù)是計算機網(wǎng)絡(luò)技術(shù)發(fā)展后的成果，主要依托于ISP技術(shù)與NSP技術(shù)，通過虛擬專用網(wǎng)絡(luò)建立通信專門線路，實現(xiàn)信息數(shù)據(jù)的及時交換和共享。因此，VPN技術(shù)可以有效提高數(shù)據(jù)信息的準確性和安全性，保證計算機網(wǎng)絡(luò)系統(tǒng)的高效運行。

1 VPN技術(shù)綜合概述分析

1.1 VPN技術(shù)運行原理

就目前而言，VPN技術(shù)在實際運行中，主要利用雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡通過公網(wǎng)IP連接Internet。若公網(wǎng)終端A訪問公司內(nèi)網(wǎng)終端B，其訪問數(shù)據(jù)地址為公司內(nèi)網(wǎng)終端B的IP地址。公網(wǎng)VPN網(wǎng)關(guān)接收終端A訪問數(shù)據(jù)包后，會對終端A的目標(biāo)地址進行程序檢查，若目標(biāo)地址為公司內(nèi)網(wǎng)地址，公網(wǎng)VPN網(wǎng)關(guān)會對該數(shù)據(jù)包采取封裝處理，封裝的方式由VPN技術(shù)而決定。同時，VPN網(wǎng)關(guān)也會建立新VPN網(wǎng)關(guān)數(shù)據(jù)包，封裝后的數(shù)據(jù)包直接轉(zhuǎn)化成新VPN數(shù)據(jù)包的載荷，VPN數(shù)據(jù)包的目標(biāo)地址就是公司內(nèi)網(wǎng)VPN網(wǎng)關(guān)外部地址。因此，在VPN網(wǎng)關(guān)進行數(shù)據(jù)處理的過程中，原始數(shù)據(jù)包目標(biāo)地址與遠程VPN網(wǎng)關(guān)地址起著至關(guān)重要的作用，在VPN地址的基礎(chǔ)上，VPN網(wǎng)關(guān)可以明確需要進行VPN處理的信息數(shù)據(jù)，識別不需要VPN處理的數(shù)據(jù)包，并將其直接上傳到上級路由中。遠程VPN網(wǎng)關(guān)地址主要是對特定VPN數(shù)據(jù)包地址進行統(tǒng)一處理，也就是VPN隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對應(yīng)的遠端VPN網(wǎng)關(guān)地址。

1.2 VPN技術(shù)通信過程分析

在VPN技術(shù)的實際使用中，首先，網(wǎng)絡(luò)用戶要利用個人終端向區(qū)域內(nèi)的 VPN 技術(shù)服務(wù)器進行訪問請求的發(fā)送，建立傳輸通道。VPN 服務(wù)器會及時接受個人終端發(fā)來的訪問請求，并對個人終端的身份進行有效驗證。其次，若個人終端身份通過訪問認證，訪問權(quán)限被允許，可以進行網(wǎng)頁的訪問；若個人終端身份沒有通過訪問認證，則訪問受限制，要進行重新訪問。在訪問允許后，計算機網(wǎng)會形成VPN虛擬化技術(shù)，使得網(wǎng)絡(luò)線路更具安全性和針對性。最后，用戶終端和網(wǎng)絡(luò)服務(wù)器建立有效的訪問聯(lián)系后，所有的傳輸數(shù)據(jù)在實際使用和運行過程中會進行加密與封裝處理，通過 VPN 網(wǎng)關(guān)技術(shù)隧道，將數(shù)據(jù)從發(fā)送端傳輸?shù)絍PN接收端。

1.3 VPN技術(shù)的優(yōu)勢

VPN技術(shù)在實際應(yīng)用中具有很大的優(yōu)勢，主要表現(xiàn)在以下幾方面，第一，VPN技術(shù)易操作，使用流程相對簡單，并具有很高的經(jīng)濟性，運行成本相比于傳統(tǒng)租用DDN方式來說較低，后期維護費用也相對較低，這也是VPN技術(shù)被廣泛使用的重要原因之一。第二，VPN技術(shù)具有極強的高效性與便利性，在實際使用的過程中，通過專用網(wǎng)絡(luò)的連接，根據(jù)復(fù)雜性的網(wǎng)絡(luò)結(jié)構(gòu)與傳輸訪問地址，構(gòu)建多樣性與豐富性的通信線路，進而實現(xiàn)信息數(shù)據(jù)的快速傳輸。第三，VPN技術(shù)可以有效保證傳輸數(shù)據(jù)信息的真實性與可靠性，并在實際傳輸中通過高強度的認證系統(tǒng)和加密系統(tǒng)，保證了數(shù)據(jù)信息的安全性，防止出現(xiàn)信息數(shù)據(jù)泄漏等安全問題，為網(wǎng)絡(luò)用戶的隱私提供了重要的安全保障。

2 計算機網(wǎng)絡(luò)中VPN技術(shù)分析

2.1 MPLS VPN技術(shù)

MPLS VPN主要是建立在MPLS技術(shù)基礎(chǔ)之上的IP VPN，主要是在網(wǎng)絡(luò)路由或者是交換器設(shè)備上通過MPLS多協(xié)議標(biāo)記交換技術(shù)來優(yōu)化核心路由器的選擇方式，充分結(jié)合傳統(tǒng)路由交換技術(shù)實現(xiàn)IP專用網(wǎng)絡(luò)的虛擬化。MPLS VPN技術(shù)的最大特點在于在實際應(yīng)用過程中，可以將網(wǎng)關(guān)二層交換與三層路由技術(shù)充分的結(jié)合在一起，進而共同作用實現(xiàn)VPN和服務(wù)分類以及流量工程等方面的管理。從另一方面上看，MPLS VPN 技術(shù)可以在數(shù)據(jù)訪問與傳輸中，迅速建立 IP 虛擬專用網(wǎng)絡(luò)，加快網(wǎng)頁訪問以及數(shù)據(jù)傳輸?shù)乃俣扰c效率，簡化路由器的選擇方式，避免虛擬專用網(wǎng)絡(luò)運行中的沖突，用戶提供更好的網(wǎng)絡(luò)服務(wù)。

2.2 IPSEC VPN 技術(shù)

IPSEC VPN 技術(shù)主要是建立在IPSEC協(xié)議基礎(chǔ)上的VPN技術(shù)，IPSEC協(xié)議是一種由IETF設(shè)計、確保基于IP通訊數(shù)據(jù)安全性的機制，可以為VPN通信傳輸提供隧道安全保證。在IPSEC VPN 技術(shù)的實際應(yīng)用中，通過VPN網(wǎng)關(guān)的遠程連接，將多個局域網(wǎng)進行有效的組建與分析，進而構(gòu)建一個新的虛擬局域網(wǎng)絡(luò)。同時，通過IPSEC VPN 技術(shù)構(gòu)建的虛擬局域網(wǎng)具有極強的穩(wěn)定性和有效性。IPSEC VPN技術(shù)的實現(xiàn)原理與計算機過濾防火墻相似，在實際操作中，網(wǎng)絡(luò)服務(wù)器接收數(shù)據(jù)包后，會按照安全策略在數(shù)據(jù)庫中進行數(shù)據(jù)包的查詢處理，將查詢處理結(jié)果列為操作依據(jù)。在局域網(wǎng)特定范圍內(nèi)，IPSEC VPN 技術(shù)的數(shù)據(jù)傳輸和處理能力，具有加密機制，進而強化認證手段。針對外部站點，在進行虛擬局域網(wǎng)訪問中，會進行信息過濾，全方位確認數(shù)據(jù)的質(zhì)量。因此，PSEC VPN技術(shù)的廣泛使用，無論是在經(jīng)濟效益還是在社會效益方面，都具有很大優(yōu)勢，獲得廣大用戶的高度重視。

2.3 SSL VPN技術(shù)

SSL VPN技術(shù)主要依托于HTTPS，應(yīng)用在傳輸層與應(yīng)用層間的數(shù)據(jù)傳輸、交換以及共享。SSL VPN通過SSL協(xié)議設(shè)置生局域網(wǎng)訪問權(quán)限，建立身份認證和數(shù)據(jù)加密以及消息完整性驗證等安全訪問機制，在應(yīng)用層于傳輸層間建立一條安全的通信渠道。在實際應(yīng)用過程中，SSL VPN技術(shù)存在Web 瀏覽器、SSL VPN 客戶端和 LAN 到 LAN 等工作模式，在Web 瀏覽器工作模式中，用戶可以通過SSL 協(xié)議構(gòu)建虛擬專用網(wǎng)絡(luò)，對公司內(nèi)部網(wǎng)關(guān)進行遠程訪問，可以完全忽略網(wǎng)絡(luò)配置對遠程訪問的影響，進而有效減少VPN 系統(tǒng)運行時間和工作量，提高VPN管理效率。在SSL VPN 客戶端工作模式中，可以利用 SSL 協(xié)議客戶端實現(xiàn)遠程應(yīng)用服務(wù)器的訪問，在此過程中客戶端和服務(wù)器中的加密數(shù)據(jù)主要靠隧道數(shù)據(jù)進行傳輸，進而提高數(shù)據(jù)傳輸?shù)姆€(wěn)定性與安全性。LAN 到 LAN 工作模式主要適用于不同局域網(wǎng)絡(luò)的數(shù)據(jù)傳輸，實現(xiàn)各個局域網(wǎng)之間的通信傳輸，并設(shè)置加密處理，提高數(shù)據(jù)包的可靠性。目前，SSL VPN廣泛應(yīng)用在基于Web遠程接入領(lǐng)域中，為用戶遠程訪問公司內(nèi)部網(wǎng)絡(luò)提供了安全保證。

3 計算機網(wǎng)絡(luò)中VPN技術(shù)的實際應(yīng)用

3.1 在公司內(nèi)部網(wǎng)絡(luò)中的應(yīng)用

VPN技術(shù)在公司內(nèi)部網(wǎng)絡(luò)中的應(yīng)用主要體現(xiàn)在地址管理中，為用戶提供安全性高的網(wǎng)絡(luò)地址。例如，某集團有大約30個分公司，分布在全國各地，為了便于各個分公司與總公司交流溝通，保證工作效率和工作質(zhì)量，集團企業(yè)可以通過VPN技術(shù)進行計算機網(wǎng)絡(luò)溝通。首先，集團企業(yè)要和旗下分公司建立VPN網(wǎng)絡(luò)聯(lián)系，利用加密處理的VPN共網(wǎng)實現(xiàn)集團企業(yè)服務(wù)器與子公司服務(wù)器的訪問。在服務(wù)器系統(tǒng)中設(shè)置視頻會議、郵件以及辦公自動化系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)聯(lián)系的多元化，滿足實際的工作需求。

在VPN技術(shù)實際運行的過程中，集團企業(yè)可以根據(jù)子公司網(wǎng)絡(luò)用戶的屬性以及運營規(guī)模將其分為以下幾個方面。第一，移動用戶。規(guī)模較小分公司或者是利用網(wǎng)絡(luò)連接集團企業(yè)單機，在進行VPN技術(shù)使用中要設(shè)置Client軟件，將用戶所在局域網(wǎng)絡(luò)與VPN虛擬技術(shù)聯(lián)系在一起，依托SplitTunneling安全機制有效保障核心網(wǎng)關(guān)的使用安全。另一方面看，這種傳輸方式可以讓遠程辦公室網(wǎng)關(guān)將VPN作為傳輸載體進行集團企業(yè)內(nèi)網(wǎng)的訪問。第二，子公司用戶所在局域網(wǎng)不具備地址轉(zhuǎn)換器以及防火墻功能，并占用集團企業(yè)共網(wǎng)地址。對于這樣的子公司，集團企業(yè)要在子公司的以太網(wǎng)中設(shè)置網(wǎng)關(guān)交換器與路由器進行與子公司網(wǎng)絡(luò)的連接。第三，對于需要安裝防火墻的子公司，一方面，集團企業(yè)可以利用VPN技術(shù)進一步完善企業(yè)網(wǎng)絡(luò)設(shè)計，減少不必要的安裝程序，建立VPN網(wǎng)絡(luò)通信系統(tǒng)，使子公司的公司活動與銷售情況始終處于集團企業(yè)網(wǎng)絡(luò)監(jiān)控中，降低通信成本。另一方面，為了保證網(wǎng)絡(luò)通信的安全性，集團企業(yè)可以通過VPN技術(shù)提高網(wǎng)絡(luò)通信的安全性，在企業(yè)內(nèi)部網(wǎng)關(guān)中設(shè)置VPN機密機制，保證內(nèi)外網(wǎng)的安全性。同時，還要進行VPN軟件的擴展，為子公司的增加做好充分的準備。

綜上所述，集團企業(yè)通過VPN技術(shù)與子公司進行溝通的過程中，形成VPN通信網(wǎng)絡(luò)通道，不僅節(jié)省了大量的通信費用，其建設(shè)投資與后期維護費用也相對較低。在遠程訪問中要做好安全防護措施，安裝安全認證機制，強化生產(chǎn)管理監(jiān)督、視頻會議以及異地協(xié)同辦公等具體功能，促進集團企業(yè)管理的現(xiàn)代化和信息化以及系統(tǒng)化，滿足集團企業(yè)的發(fā)展需求。

3.2 在圖書館管理中的應(yīng)用

目前，VPN技術(shù)已經(jīng)廣泛地應(yīng)用在高校圖書館計算機網(wǎng)絡(luò)管理系統(tǒng)中，有效提高高校圖書館管理效率和管理質(zhì)量，實現(xiàn)現(xiàn)代化管理模式。隨著學(xué)校規(guī)模的擴大，增加了分校的數(shù)量，學(xué)?？梢砸隫PN技術(shù)實現(xiàn)各個學(xué)校之間的聯(lián)系與溝通，各個學(xué)校圖書館局域網(wǎng)可以互相訪問，節(jié)省了大量的訪問時間，實現(xiàn)各個分校圖書館資源的共享，進而提高了高校圖書館管理效率。在實際的使用過程中，圖書館VPN服務(wù)器不僅要連接互聯(lián)網(wǎng)，還要連接到高校內(nèi)部VPN專網(wǎng)，通過公共目標(biāo)地址，在分校與總校進行網(wǎng)絡(luò)通信過程中，要將相關(guān)數(shù)據(jù)信息上傳到本地計算機中，并通過身份認證和數(shù)據(jù)加密以及隧道協(xié)議等VPN技術(shù)安全機制提高信息傳輸?shù)挠行院桶踩浴Ｔ谟嬎銠C發(fā)出指令后，VPN服務(wù)器要對計算機指令進行分析與判斷，過濾信息數(shù)據(jù)，驗證用戶身份，若安全，訪問用戶才會有局域網(wǎng)訪問權(quán)限，服務(wù)器認可網(wǎng)絡(luò)連接，反之則阻止用戶訪問。在實際身份驗證中，VPN服務(wù)器會通過公鑰進行訪問信息的加密，路由將數(shù)據(jù)信息傳送到目標(biāo)地址。

3.3 VPN 技術(shù)在計算機教學(xué)資源網(wǎng)中的應(yīng)用

VPN技術(shù)應(yīng)用在計算機教學(xué)資源網(wǎng)中，可以豐富教學(xué)資源，利用校園內(nèi)外網(wǎng)關(guān)的連接訪問，使得教育信息網(wǎng)絡(luò)連接公網(wǎng)internet ，在此過程中，校園外網(wǎng)很容易受到其他網(wǎng)絡(luò)攻擊，傳統(tǒng)網(wǎng)絡(luò)無法進行教育資源的加密，在用戶身份安全和教學(xué)資源安全方面都存在較大的漏洞，不利于計算機教學(xué)資源網(wǎng)的應(yīng)用與發(fā)展。針對以上安全問題，VPN技術(shù)的實際應(yīng)用很好地解決了信息傳輸以及用戶身份的安全問題，有效提高網(wǎng)絡(luò)使用的安全性和有效性。在VPN技術(shù)中，SSL是一個相對于平臺與應(yīng)用的獨立協(xié)議，主要應(yīng)用在安全層中，利用 TCP技術(shù)保障訪問用戶的個人信息。因此，在構(gòu)建校園計算機教學(xué)資源網(wǎng)中，要重視VPN網(wǎng)絡(luò)工程設(shè)計，特別是用戶身份認證以及訪問權(quán)限，利用SSL VPN 技術(shù)構(gòu)建VPN公網(wǎng)，加強數(shù)字證書技術(shù)的用戶身份認證控制，通過USB-key 實現(xiàn)教學(xué)資源的安全操作，進而對校園計算機教學(xué)資源網(wǎng)進行不斷的優(yōu)化和完善，滿足學(xué)校的教學(xué)需求。

4 結(jié)束語

綜上所述，VPN技術(shù)日益發(fā)展成熟，在進行數(shù)據(jù)傳輸和共享中可以有效提高網(wǎng)絡(luò)環(huán)境的穩(wěn)定性和安全性，為數(shù)據(jù)信息的真實與完整提供了重要的安全保障，實現(xiàn)現(xiàn)代化與信息化管理水平。

參考文獻：

[1] 李春泉，周德儉，吳兆華. VPN技術(shù)及其在企業(yè)網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用[J]. 桂林工學(xué)院學(xué)報， 2004（3）.

[2] 李亞利. 關(guān)于計算機網(wǎng)絡(luò)中常用VPN技術(shù)的分析[J]. 信息與電腦（理論版）， 2014（10）.

[3] 許偉，婁松濤. VPN 技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用研究[J]. 電子技術(shù)與軟件工程， 2014（4）.

[4] 劉晉州. 基于VPN的計算機虛擬網(wǎng)絡(luò)技術(shù)及應(yīng)用[J]. 電腦知識與技術(shù)， 2016（7）.

[5] 趙凌琪. VPN技術(shù)及其在網(wǎng)絡(luò)管理系統(tǒng)開發(fā)中的應(yīng)用[J]. 內(nèi)蒙古師范大學(xué)學(xué)報（自然科學(xué)漢文版）， 2003（4）.

[6] 王文波，王亞萍，劉U. VPN 技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用研究[J]. 中國醫(yī)療設(shè)備， 2014（4）.

vpn技術(shù)論文篇3

［關(guān)鍵詞］VPN 隧道 internet

［中圖分類號］F626.5 ［文獻標(biāo)識碼］A ［文章編號］1009－5349（2012）02－0111－01

隨著以Internet為標(biāo)志的信息技術(shù)革命的飛速發(fā)展，網(wǎng)絡(luò)正在迅速地滲入人們的生活中，依靠互聯(lián)網(wǎng)絡(luò)人們的生活越來越便捷，溝通越來越緊密。伴隨著internet應(yīng)用在商務(wù)活動中的不斷深入，越來越多的企業(yè)希望其生意伙伴、供應(yīng)商及附屬企業(yè)等也能夠訪問本企業(yè)的局域網(wǎng)，從而使商務(wù)活動可以通過網(wǎng)絡(luò)就能進行，大大節(jié)約了人力和物力，縮短了交易時間，減少了支出成本。但是這些企業(yè)間的商務(wù)活動是動態(tài)變化的，并需要依托于公用網(wǎng)絡(luò)之上的，且由于公用網(wǎng)絡(luò)是一個全球性的計算機通信網(wǎng)絡(luò)，它具有資源共享和信息互通的特性，而一些用戶間的互通和交流又是想要對其他用戶進行保密的，于是網(wǎng)絡(luò)的安全性逐漸成為一個潛在的巨大問題，這就需要有一種技術(shù)來解決這些問題，保證這些有保密需要的企業(yè)能順利地進行信息交流，并保證企業(yè)信息的安全性。

基于各種需求，VPN技術(shù)應(yīng)時而生。VPN（Virtual Private Network），即“虛擬專用網(wǎng)絡(luò)”，簡單地可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它在Internet上通過特殊的加密的通訊協(xié)議連接位于網(wǎng)絡(luò)上不同地理位置的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，VPN是指依靠Internet服務(wù)提供商（ISP）和其他網(wǎng)絡(luò)服務(wù)提供商（NSP），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。

一、VPN原理

VPN即在公用數(shù)據(jù)網(wǎng)上建立一條數(shù)據(jù)通道，這條數(shù)據(jù)通道就是隧道，隧道技術(shù)是VPN得以實現(xiàn)的關(guān)鍵技術(shù)，數(shù)據(jù)包從這條隧道上通過，從而實現(xiàn)虛擬通信。VPN的原理就是兩臺計算機通過連接到internet建立一條臨時的、安全的、專用的連接。這倆臺計算機之間組成一個私有網(wǎng)絡(luò)，它們之間的通信內(nèi)容進行封裝后經(jīng)過這條專用的隧道進行傳輸，然后在接收方進行解封裝，還原成發(fā)送方的通信內(nèi)容。沒有參與虛擬通信的設(shè)備共享不到進行虛擬通信的設(shè)備之間傳輸?shù)臄?shù)據(jù)，因為這些私有的網(wǎng)絡(luò)和沒參與虛擬通信的網(wǎng)絡(luò)使用了不同的地址空間和協(xié)議，即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的，VPN是一種邏輯意義上的網(wǎng)絡(luò)。

二、VPN的安全保障

由于VPN越來越廣泛的應(yīng)用和其技術(shù)特點，數(shù)據(jù)的安全問題成為VPN技術(shù)的關(guān)鍵問題。為保證數(shù)據(jù)的安全性，目前VPN主要采用四項技術(shù)：1.隧道技術(shù)（Tunneling）。隧道技術(shù)對于VPN具有重要意義。隧道技術(shù)的技術(shù)關(guān)鍵是分組封裝，它將私有網(wǎng)的數(shù)據(jù)進行封裝并在隧道中進行傳輸，隧道技術(shù)在虛擬網(wǎng)接入公用網(wǎng)的接口處將數(shù)據(jù)打包封裝成可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式，在虛擬網(wǎng)結(jié)點與公網(wǎng)的接口處將數(shù)據(jù)解封裝，得到數(shù)據(jù)。隧道由一系列隧道協(xié)議組成，定義了較為完整的數(shù)據(jù)封裝和安全協(xié)議及其算法。2.加解密技術(shù)（Encryption & Decryption）。發(fā)送的一方將數(shù)據(jù)進行特定加密后再發(fā)送數(shù)據(jù)，當(dāng)數(shù)據(jù)到達接收的一方時由接收方對數(shù)據(jù)進行解密處理的全過程。3.密鑰管理技術(shù)（Key Management）。為了滿足在公用數(shù)據(jù)網(wǎng)上所傳送的數(shù)據(jù)的安全性和完整性的需要，密鑰管理技術(shù)是解決如何傳遞密鑰而不被非法篡改和盜竊的技術(shù)。4.使用者與設(shè)備身份認證技術(shù)（Authentication）。最常用的是用戶名、口令或智能卡認證等方式。

三、VPN特點

1.低廉的成本。由于VPN是利用現(xiàn)有的公共網(wǎng)絡(luò)，不需要重新構(gòu)建一個新的網(wǎng)絡(luò)，只是在公共網(wǎng)絡(luò)上建立一個虛擬的邏輯上的網(wǎng)絡(luò)，因此VPN可以大大降低構(gòu)建網(wǎng)絡(luò)的成本。與專線式的架構(gòu)方式相比較，VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，都很節(jié)省，企業(yè)也不必投入大量的人力物力安裝維護設(shè)備。2.網(wǎng)絡(luò)架構(gòu)靈活。VPN與專線式的結(jié)構(gòu)相比更加靈活，VPN的構(gòu)架可以根據(jù)用戶的需要進行修改，可以隨意增加新的節(jié)點，具有良好的擴展性，無論是企業(yè)的專線用戶，還是個人撥號用戶都可以采用VPN的方式實現(xiàn)互聯(lián)。3.良好的安全性。為了確保數(shù)據(jù)的安全性，VPN架構(gòu)中采用了多種安全機制，如隧道技術(shù)、加解密技術(shù)、身份認證技術(shù)、防火墻等技術(shù)，通過這些網(wǎng)絡(luò)安全技術(shù)，確保通過VPN上傳送的數(shù)據(jù)不會被攻擊者窺視和篡改，防止非法用戶的訪問。4.便于管理。VPN使用了較少的設(shè)備來建立網(wǎng)絡(luò)，使網(wǎng)絡(luò)的管理較為輕松；各種類型的用戶，都通過VPN的隧道進入內(nèi)部網(wǎng)，可以實現(xiàn)各種類型的用戶間的互聯(lián)。5.使用方便。VPN的建立無需安裝任何軟件，無論何時何地，在有公用網(wǎng)絡(luò)的前提下，只需在電腦中添加一個網(wǎng)絡(luò)連接，即可與服務(wù)器瞬時連接，遠程進行操作。

四、VPN發(fā)展與應(yīng)用

VPN適用于那些位置眾多、用戶分布范圍較廣，特別是遠程辦公室站點多的企業(yè)和那些彼此之間的距離遠、遍布全球各地的用戶；還有那些要求對所傳輸?shù)男畔⑦M行保密并保證信息準確性的用戶。隨著internet的迅猛發(fā)展，為VPN提供了良好的網(wǎng)絡(luò)基礎(chǔ)，全球化的企業(yè)為VPN提供了廣闊的市場，這都使VPN的發(fā)展與普及成為必然，VPN將具有巨大的發(fā)展前景。

vpn技術(shù)論文篇4

【關(guān)鍵詞】 MplsVpn Mpls/BgpVpn

引言

MPLS VPN是一種基于MPLS技術(shù)的IP-VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)，滿足多種靈活的業(yè)務(wù)需求。采用此技術(shù)可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，提高網(wǎng)絡(luò)安全性和可管理性；且基于MPLS VPN的QoS策略也為新興業(yè)務(wù)提供了強有力保障。

1 MplsVpn的技術(shù)

MPLS是一種介于二層和三層之間的技術(shù)，它沒有限定二層所必需使用的鏈路層協(xié)議，具有很好的網(wǎng)絡(luò)適應(yīng)性。MPLS包頭包含20比特的標(biāo)簽，3個比特的EXP，1個比特的S，用于標(biāo)識這個MPLS標(biāo)簽是否是最低層的標(biāo)簽，和8個比特的TTL-Time To Live。理論上標(biāo)簽可以多層嵌套。

如果2層協(xié)議具有標(biāo)簽域，標(biāo)簽封裝在這些域中，反之，標(biāo)簽則封裝在2層和IP層之間的一個薄層中。這樣，標(biāo)簽可被任意的鏈路層所支持。MPLS可承載的報文通常是IP包，也可承載二層數(shù)據(jù)報文，可承載MPLS的二層協(xié)議可以是PPP、以太網(wǎng)、ATM和幀中繼等。在MPLS中，一個標(biāo)簽標(biāo)識了一個轉(zhuǎn)發(fā)等價類。一個轉(zhuǎn)發(fā)等價類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報文的集合，這些報文的目的地址甚至可以不同。

2 MplsVpn的實現(xiàn)原理

MPLS是一種面向連接的技術(shù)，網(wǎng)絡(luò)整體由LSR和LSE組成。LSR是MPLS的網(wǎng)絡(luò)的核心交換機，它提供標(biāo)簽交換和分發(fā)功能。LER部屬在MPLS的網(wǎng)絡(luò)邊緣，進入到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC，并為這些FEC請求相應(yīng)的標(biāo)簽。它提供流量分類和標(biāo)簽的映射、移除功能。MPLS通過MPLS信令或手工配置的方法，建立MPLS標(biāo)記交換連接。在數(shù)據(jù)轉(zhuǎn)發(fā)過程中，在網(wǎng)絡(luò)入口進行流分類，根據(jù)數(shù)據(jù)流所屬的FEC選擇相應(yīng)的LSP，把需要通這條LSP的報文打上相應(yīng)的標(biāo)簽，中間路由器在收到MPLS報文后直接根據(jù)MPLS報頭的標(biāo)簽進行轉(zhuǎn)發(fā)，大大加快了包文轉(zhuǎn)發(fā)速率。在MPLS標(biāo)記交換路徑的出口，彈出MPLS包頭，還回原來的IP包。由于FEC可以按照目的地址劃分，這同傳統(tǒng)的IP轉(zhuǎn)發(fā)相同，也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型等等信息的任意組合。而MPLS可把任何流關(guān)聯(lián)到一個FEC，然后把一個FEC映射到一個LSP，這個LSP可以是為了這種FEC而特殊構(gòu)造的，這使得服務(wù)提供商可以非常精確地控制網(wǎng)絡(luò)中的每個流。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測的服務(wù)。

MPLS VPN有三種類型的路由器，P路由器、PE路由器和CE路由器。其中，P路由器是MPLS網(wǎng)絡(luò)骨干路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器（LSR），它根據(jù)分組的外層標(biāo)簽對VPN數(shù)據(jù)進行透明轉(zhuǎn)發(fā)，P路由器只維護到PE路由器的路由信息而不維護VPN相關(guān)的路由信息； PE路由器是MPLS網(wǎng)絡(luò)骨干邊緣路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器（LER），它將來自CE路由器或標(biāo)簽交換路徑（LSP）的VPN數(shù)據(jù)處理后進行轉(zhuǎn)發(fā)，同時負責(zé)和其他PE路由器交換路由信息；CE路由器是客戶端路由器，為用戶提供到PE路由器的連接。

MPLS VPN可以分為BGP擴展和LDP擴展。根據(jù)PE設(shè)備是否參與VPN路由又細分為二層VPN和三層VPN。同傳統(tǒng)IP VPN不同，MPLS VPN是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個安全的VPN。其中以BGP擴展實現(xiàn)的三層VPN應(yīng)用最為廣泛。

3 Mpls/Vpn技術(shù)的應(yīng)用方式和優(yōu)勢

MPLS VPN可分為企業(yè)內(nèi)部虛擬網(wǎng)、企業(yè)擴展虛擬網(wǎng)、遠程訪問虛擬網(wǎng)。該技術(shù)特別適合改造企業(yè)網(wǎng)，它具有如下優(yōu)勢：

（1）以多種方式增強了網(wǎng)絡(luò)的智能和安全性。

（2）簡化了網(wǎng)絡(luò)設(shè)計，以及所需的接口、用戶認證等的設(shè)備和處理。

（3）降低了通信成本和主要設(shè)備成本。

（4）容易擴展。

（5）支持新興應(yīng)用，可以支持各種高級的應(yīng)用和各種協(xié)。

綜上所述，利用 MPLS VPN技術(shù)改造傳統(tǒng)的企業(yè)網(wǎng)，為企業(yè)進一步發(fā)展提供了可靠的技術(shù)保障。

4 Mpls/BgpVpn在網(wǎng)絡(luò)實現(xiàn)

在MPLS/BGP VPN的模型中，網(wǎng)絡(luò)由MPLS的骨干網(wǎng)與用戶的各個Site組成，所謂VPN就是對site集合的劃分，一個VPN就對應(yīng)一個由若干site組成的集合。但必須遵循如下規(guī)則：兩個Site之間只有至少同時屬于一個VPN定義的Site集合，才具有IP連通性。

在基于MP-BGP協(xié)議的MPLS VPN體系中，存在兩個層面的路由，即域內(nèi)路由和VPN路由。所有的PE路由器及P路由器上要運行主干網(wǎng)的域內(nèi)路由，生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立，通過CR-LDP或RSVP等信令協(xié)議建立LSP，產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組外層標(biāo)簽的交換。PE路由器之間運行MP-iBGP協(xié)議，該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標(biāo)簽，形成VPN路由，MP-iBGP的一條VPN路由包含的信息有：IPv4地址、路由區(qū)分符（RD）、路由目標(biāo)（RT）、VPN標(biāo)簽和下一跳PE地址。

MPLS VPN IP路由表及相關(guān)的VPN IP轉(zhuǎn)發(fā)表被統(tǒng)稱為VPN路由和轉(zhuǎn)發(fā)實例（VRF）。通常PE路由器上每個用戶的端口與一個特定的VRF相關(guān)聯(lián)，從該端口輸入的VPN分組將根據(jù)各自對應(yīng)的VRF查找其VPN標(biāo)簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。VPN的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的，每個VRF配置了一些策略，規(guī)定一個VPN可以接收或向外哪些Site來的路由信息。每個PE根據(jù)BGP擴展的信息進行路由計算，生成每個相關(guān)VPN的路由表。

RT來控制VRF的導(dǎo)入和導(dǎo)出策略，以構(gòu)成各種復(fù)雜的VPN拓撲。一個VPN有可能不止使用一個RT，RT的具體使用與VPN的拓撲結(jié)構(gòu)密切相關(guān)，可以用一個或多個RT。當(dāng)從PE導(dǎo)出VPN路由時，要用RT對VPN路由進行標(biāo)記，在往VRF中導(dǎo)入路由時，可以使用多個RT，只要有一個VPN路由中附帶的RT與導(dǎo)入路由中的任意RT相同，都將被導(dǎo)入到該VRF中。通過RT的導(dǎo)入和導(dǎo)出，MPLS可靈活的實現(xiàn)多種拓撲結(jié)構(gòu)和路由層面的VPN訪問控制。

在MPLS/BGP VPN中，屬于同一VPN的兩個site之間轉(zhuǎn)發(fā)報文，使用兩層標(biāo)簽來解決，在入口PE上為報文打上兩層標(biāo)簽，第一層（外層）標(biāo)簽在骨干網(wǎng)內(nèi)部進行交換，代表了從PE到對端PE的一條隧道，VPN報文打上這層標(biāo)簽，就可以沿著LSP到達對端PE，這時候就需要使用第二層（內(nèi)層）標(biāo)簽，這層標(biāo)簽指示了報文應(yīng)該到達哪個site，這樣，根據(jù)內(nèi)層標(biāo)簽，就可以找到轉(zhuǎn)發(fā)的接口。

5 結(jié)束語

MPLS VPN已其高安全性、高可靠性及低成本等優(yōu)勢的到了各行業(yè)的廣泛應(yīng)用；發(fā)展前景較為樂觀，經(jīng)過MPLS VPN技術(shù)的不斷完善和發(fā)展，為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù)，成為VPN技術(shù)的主流。

參考文獻：

[1]《MPLS技術(shù)白皮書》華為公司

vpn技術(shù)論文篇5

關(guān)鍵詞：VPN；隧道；加解密；認證；安全性

中圖分類號：TP393.18 文獻標(biāo)識碼：A文章編號：1007-9599 (2011) 14-0000-01

Analysis of Virtual Professional Network VPN Technology

Wang Ke

(Zhengzhou University,Information Network Key Laboratory 2009 Grade,Zhengzhou450001,China)

Abstract:The virtual professional network VPN tunneling technology,encryption technology,key management and authentication technology for a specific description,also referred to the VPN security issues for further follow-up research and application of the VPN to lay a theoretical basis.

Keywords:VPN;Tunnel;Encryption and decryption;Certification;Security

一、VPN技術(shù)介紹

VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認證技術(shù)。

（一）隧道技術(shù)

1.隧道技術(shù)基礎(chǔ)。隧道技術(shù)是VPN的關(guān)鍵技術(shù)，主要包括數(shù)據(jù)封裝、傳輸和數(shù)據(jù)拆封三個部分。隧道技術(shù)是一種通過公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，在專用網(wǎng)絡(luò)或?qū)Ｓ迷O(shè)備之間實現(xiàn)加密數(shù)據(jù)通信的技術(shù)。通信的內(nèi)容包括各種通信協(xié)議的數(shù)據(jù)包，隧道協(xié)議將這些數(shù)據(jù)包重新封裝在新的包中發(fā)送，新的包頭提供了路由信息，從而使封裝的數(shù)據(jù)能夠通過公共網(wǎng)絡(luò)傳遞，傳遞時所經(jīng)過的邏輯路徑稱為隧道，當(dāng)數(shù)據(jù)包到達通信終點后，將被拆封并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)就是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程，如圖1所示。

圖1：隧道傳輸過程

2.隧道協(xié)議。隧道的客戶機和服務(wù)器雙方必須使用相同的隧道協(xié)議創(chuàng)建隧道。隧道協(xié)議是隧道技術(shù)的核心，基于不同的隧道協(xié)議所實現(xiàn)的VPN是不同的。典型的隧道協(xié)議有PPTP、L2TP和IPSec等協(xié)議。

（二）加解密技術(shù)

加解密技術(shù)主要就是處理好保密、認證和完整性這三個方面的問題。

1.保密。數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^程中，由于需要經(jīng)過多個中間節(jié)點進行轉(zhuǎn)發(fā)，因此很容易就被截獲。為了保證數(shù)據(jù)的保密性，就需要對數(shù)據(jù)使用密文進行加密傳輸。密文即使被第三方截獲，也無法解析其含義。

2.認證。接收方在收到數(shù)據(jù)后，為了驗證數(shù)據(jù)確實是從發(fā)送放發(fā)來的，而不是第三方冒充的，就需要對發(fā)送方進行認證。認證需要使用一個憑據(jù)，即數(shù)字證書（Certificate），相當(dāng)于個人的護照。Certificate由專門的證書管理機構(gòu)CA（Certificate Authority）發(fā)放。

3.完整性。雖然數(shù)據(jù)在加密傳輸?shù)倪^程中第三方無法截獲內(nèi)容，但是第三方還是可以對其實施破壞活動，譬如將數(shù)據(jù)截掉部分，接收者進行解密后便獲得不了完整的信息。為了保證傳送的數(shù)據(jù)完整性，對接收到的數(shù)據(jù)進行完整性校驗是非常有必要的。

（三）密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。從密鑰管理技術(shù)角度進行分類，可將其分為對稱密鑰管理和公開密鑰管理（數(shù)字證書）兩部分。

1.對稱密鑰管理技術(shù)。對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。

2.公開密鑰管理（數(shù)字證書）技術(shù)。貿(mào)易伙伴間可以使用數(shù)字證書（公開密鑰證書）來交換公開密鑰。數(shù)字證書通常包含有唯一標(biāo)識證書所有者（即貿(mào)易方）的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等，證書由專門的證書管理機構(gòu)CA發(fā)放。

（四）身份認證技術(shù)

VPN需要解決的首要問題是網(wǎng)絡(luò)上的用戶與設(shè)備都需要有確定的身份認證。不管其它安全設(shè)施有多嚴密，一旦身份認證將錯誤，必將導(dǎo)致整個VPN的失效。隨著技術(shù)的發(fā)展，常規(guī)用戶名+密碼方式（PAP）已經(jīng)不能提供足夠的安全保障。有專門機構(gòu)發(fā)放的數(shù)字證書，可以為設(shè)備提供更安全的認證。

二、VPN的安全性問題介紹

VPN的核心問題時安全問題。目前，VPN主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)安全保證的。但是，當(dāng)一個企業(yè)的VPN需要擴展到遠程訪問時，那么長時間在線就容易受到黑客的攻擊。公司安全防御系統(tǒng)中的弱點就是遠程工作員工通過防火墻之外的個人計算機可以接觸到公司的核心內(nèi)容。從安全的觀點來看，在家辦公的個人，是黑客攻擊的重點目標(biāo)，因為為家用計算機在安全軟件使用方面沒有公司做的到位。一般情況下，員工使用家用計算機時，僅僅是跟隨計算機通過一條授權(quán)的連接進入公司網(wǎng)絡(luò)系統(tǒng)，侵入者可以通過一個被信任的用戶進入網(wǎng)絡(luò)。

安全的加密隧道和正確的連接，也無法保證家庭計算機的安全。黑客為了侵入員工的家用計算機，首先需要做的是探測IP地址，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個固定的IP地址），這時就要當(dāng)心黑客的入侵。因此，必須在個人計算機上安裝個人防火墻區(qū)有效的堵住遠程訪問VPN的安全漏洞，保護網(wǎng)絡(luò)的安全。

三、總結(jié)

文章對虛擬專業(yè)網(wǎng)絡(luò)VPN的隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認證技術(shù)進行了具體介紹，同時還提及了VPN的安全性問題，為后續(xù)進一步對VPN的研究和應(yīng)用打下了理論基礎(chǔ)。

參考文獻：

[1]肖銘.VPN隧道封裝性能分析與研究[J].計算機與數(shù)字工程,2003

[2]利業(yè)韃.淺談虛擬專業(yè)網(wǎng)絡(luò)(VPN)及其應(yīng)用[J].高技術(shù)縱覽,2006

[3]邊倩.虛擬專用網(wǎng)(VPN)的實現(xiàn)方法[J].計算機應(yīng)用,2005

vpn技術(shù)論文篇6

論文摘要：本文通過對網(wǎng)絡(luò)存儲技術(shù)、虛擬專網(wǎng)vpn技術(shù)的設(shè)計原則和關(guān)健技術(shù)的詳細介紹，全面分析了這兩項技術(shù)的性能特點，以及在“共享工程”天津分中心和18家區(qū)縣支中心的具體實現(xiàn)方案與發(fā)展設(shè)計構(gòu)想，闡述了這兩項技術(shù)的發(fā)展前景，及其在全國文化信息資源共享工程得到廣泛應(yīng)用的必然性。

全國文化信息資源共享工程(以下簡稱文化共享工程)是由文化部、財政部共同組織實施的一項社會主義文化建設(shè)標(biāo)志性工程，是新形勢下構(gòu)建我國公共文化服務(wù)體系、惠及千家萬戶的一項重要文化基礎(chǔ)工程。“共享工程”將充分利用現(xiàn)代高新技術(shù)手段，將中華民族幾千年來積淀的各種類型的文化信息資源精華以及貼近大眾生活的現(xiàn)代社會文化信息資源，進行數(shù)字化加工處理與整合;建成互聯(lián)網(wǎng)上的中華文化信息中心和網(wǎng)絡(luò)中心，并通過覆蓋全國所有省、自治區(qū)、直轄市和大部分地(市)、縣(區(qū))以及部分鄉(xiāng)鎮(zhèn)、街道(社區(qū))的文化信息資源網(wǎng)絡(luò)傳輸系統(tǒng)，實現(xiàn)優(yōu)秀文化信息在全國范圍內(nèi)的共建共享。該工程于2004年4月正式啟動實施。

在中央和地方各級財政的大力支持下經(jīng)過不斷努力，文化共享工程技術(shù)體系已經(jīng)初步形成:在資源數(shù)字化方面，以數(shù)字圖書館技術(shù)為依托，建成了國家中心和各省級分中心的資源加工管理系統(tǒng);在傳輸建設(shè)方面，形成了以互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)、有線電視及數(shù)字電視網(wǎng)為主要傳輸渠道，光盤、移動存儲設(shè)備為輔助傳輸手段的網(wǎng)絡(luò)傳輸體系，實現(xiàn)了文化信息資源的有效傳遞;在終端服務(wù)上，提供了國家中心網(wǎng)站、省分中心網(wǎng)站、省分中心鏡像站、衛(wèi)星終端服務(wù)系統(tǒng)、文化共享工程基層服務(wù)系統(tǒng)、有線電視、數(shù)字電視、光盤、移動硬盤等手段，方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。

本文從動態(tài)發(fā)展的角度，以現(xiàn)有的技術(shù)體系為基礎(chǔ)，簡要對網(wǎng)絡(luò)存儲技術(shù)與虛擬專網(wǎng)vpn技術(shù)在“文化共享工程”中應(yīng)用加以論述。

1網(wǎng)絡(luò)存儲技術(shù)

文化共享工程以加工整合各類優(yōu)秀文獻信息資源為重點，建成了具有一定規(guī)模的文獻信息資源庫群。截至2007年6月，數(shù)字資源的總量己達到60tb。資源的存儲成為了各級分中心核心建設(shè)的重中之重。

1.1存儲系統(tǒng)設(shè)計原則

存儲系統(tǒng)的設(shè)計要遵循以下原則:

先進性和實用性:在方案總體設(shè)計規(guī)劃時不僅要滿足當(dāng)時業(yè)務(wù)需求，而且充分考慮未來的需求可能。保證硬件環(huán)境的先進性，盡可能采用業(yè)界領(lǐng)先的技術(shù)。軟件環(huán)境的先進性，要從軟件平臺，設(shè)計思想、系統(tǒng)結(jié)構(gòu)等方面考慮，選擇先進、可靠的應(yīng)用平臺。

安全可靠性:存儲系統(tǒng)要保證365 x 24小時的不間斷穩(wěn)定運行，具有災(zāi)難恢復(fù)能力。

靈活性與可擴展性:網(wǎng)絡(luò)存儲系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以它具有良好的擴展性，方便的擴大容量和提高層次的功能，支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。

開放性/互聯(lián)性:具備與多種協(xié)議計算機通信網(wǎng)絡(luò)互聯(lián)互通的特性，確保網(wǎng)絡(luò)存儲系統(tǒng)基礎(chǔ)設(shè)施的作用可以充分發(fā)揮。

經(jīng)濟性/投資保護:以較高的性能價格構(gòu)建網(wǎng)絡(luò)系統(tǒng)，充分利用以往在資金與技術(shù)方面的投人。

可管理性:采用智能化，可管理的設(shè)備，先進的管理軟件，實現(xiàn)先進的分布式管理。實現(xiàn)監(jiān)控、監(jiān)測整個系統(tǒng)的運行狀況，合理分配資源、動態(tài)配置負載等等。

綜上所述，存儲設(shè)備的選擇可按需定制，根據(jù)不同預(yù)算情況，不僅滿足當(dāng)前需求，還要兼顧將來的升級維護。

1. 2存儲系統(tǒng)解決方案

1.2.1省級分中心的存儲解決方案

天津圖書館作為“共享工程”的省級分中心，以其存儲系統(tǒng)為例:存儲設(shè)備采用的是emc clari-ion cx500存儲系統(tǒng)。cx500提供了一種沒有任何單點故障的可擴展、高可用性體系結(jié)構(gòu)，采用了通用的硬件體系結(jié)構(gòu)和軟件應(yīng)用程序套件，通過emcnavisphere進行集中管理并支持基于存儲的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)功能，保證了數(shù)據(jù)的完整性和高可用性。具有了全局熱備功能，冗余電源和冷卻，通向光纖通道和ata磁盤驅(qū)動器的四條通路，雙活動存儲處理器，整個陣列內(nèi)的數(shù)據(jù)通路奇偶校驗等許多特性。

在性能方面，cx500配有4個用于san連接的2gb前端光纖通道端口和4個光纖通道和ata磁盤驅(qū)動器的2gb后端光纖通道通路，可以有效地支持多達120個驅(qū)動器而不會出現(xiàn)性能降級。cx500同時支持高性能光纖通道驅(qū)動器和高容量ata驅(qū)動器，所以提供了最好的部署靈活性。鑒于共享工程資源存儲的需求，天津圖書館的cx500共配置了3個光纖磁盤柜共15tb的存儲空間，其中包括7. 5tb的光纖硬盤和7. 5tb的sata硬盤。

在軟件支持方面，cx500在設(shè)計上可同時支持多達128部服務(wù)器，大大簡化存儲設(shè)施的整合過程。它符合絕大多數(shù)常用服務(wù)器操作環(huán)境的要求，其中包括microsoft windows, sun solaris, unix, linux和netware平臺等，而且在san,nas和das環(huán)境中運行時具有高度的靈活性。采用navisphere管理框架，該系統(tǒng)是一套簡單易用的基于圖形用戶界面<glti)的存儲管理工具。cx500能實現(xiàn)高數(shù)據(jù)的可用性、無中斷在線備份、高速數(shù)據(jù)移動、應(yīng)用程序測試和災(zāi)難恢復(fù)等要求?？蛻艨稍诓煌Ｖ筩x500陣列前提下，升級以下各項內(nèi)容:添加新軟件，如snap-view,mirrorview, san copy, navisphere agent, bi-os、核心軟件;在san中添加或刪除服務(wù)器;調(diào)整raid重建設(shè)置;重新分配讀/寫緩存等等。

1.2.2區(qū)縣支中心的存儲解決方案

以天津市的十八家區(qū)縣支中心為例:

存儲設(shè)備統(tǒng)一采用h3c的ex1000存儲磁盤陣列柜。該設(shè)備為基于成熟的ip協(xié)議傳輸?shù)拇鎯υO(shè)備，使用更靈活，配置更方便?？梢栽诤唵闻渲煤鬄榫W(wǎng)絡(luò)中的各種服務(wù)器提供海量存儲空間，同時也具備極大的擴展性和靈活的升級。此存儲配置了4. 5t的存儲空間(共9塊5006盤)，其中一塊硬盤做為全局熱備盤，在最大程度上保證了磁盤的冗余，確保數(shù)據(jù)的安全。在數(shù)據(jù)傳輸上將4個1000m數(shù)據(jù)端口進行連路聚合，既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除，同時也對數(shù)據(jù)的鏈路提供了必要的保護，同時4條鏈路的存在即意味著可以承受75%的故障率，所以，這樣的技術(shù)保證是完善的安全運行應(yīng)用的保證。

2 vpn技術(shù)

互聯(lián)網(wǎng)作為“共享工程”的文化信息資源的主要傳輸渠道，所有信息服務(wù)都暴露在internet上，很容易被入侵者竊取和篡改，安全性不夠。如果改用專線方式，一方面造價較高，維護也較困難;另一方面升級和擴展也受限制。因此尋找一種比較經(jīng)濟，對數(shù)據(jù)的安全又較有保障，而且又有利用網(wǎng)絡(luò)的升級和擴展的組網(wǎng)方式顯得異常的重要，而vpn技術(shù)恰恰能滿足這方面的需要。

vpn(virtual private network)中文譯為虛擬專用網(wǎng)，它是一種通過isp和其它nsp，在公網(wǎng)中建立用戶私有專用網(wǎng)的數(shù)據(jù)通信技術(shù)，是一種通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點到點的專線技術(shù)。是對專用網(wǎng)絡(luò)的擴展，它是指共享或公共網(wǎng)絡(luò)上經(jīng)封裝，加密和身份驗證的鏈路。vpn模仿專用網(wǎng)的一些屬性;它允許數(shù)據(jù)通過諸如internet的網(wǎng)絡(luò)在兩臺計算機間傳遞;通過隧道技術(shù)模仿點對點的連接。

2. 1核心技術(shù)

①隧道技術(shù):隧道技術(shù)是vpn的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到ppp中，再把整個數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有l(wèi)2f, pptp, l2tp等。l2tp協(xié)議是目前ietf的標(biāo)準，由ietf融合pptp與l2f而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝人隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有vtp,ipsec等。ipsec(ip securi-ty)是由一組rfc文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在ip層提供安全保障。

②加解密技術(shù):加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，vpn可直接利用現(xiàn)有技術(shù)。

③密鑰管理技術(shù):密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為skip與isakmp/oak-ley兩種。skip主要是利用diffie-hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰;在isakmi〕中，雙方都有兩把密鑰，分別用于公用、私用。

④使用者與設(shè)備身份認證技術(shù):使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與密碼或卡片式認證等方式。

2. 2 vpn技術(shù)在“共享工程”中應(yīng)用的必要性與實現(xiàn)方法

“共享工程”在資源數(shù)字化方面，以數(shù)字圖書館技術(shù)為依托，建成了國家中心和各省級分中心的資源加工管理系統(tǒng)。

天津圖書館作為天津市“共享工程”的省分中心，數(shù)字資源經(jīng)過多年建設(shè)已初具規(guī)模，數(shù)字資源近5t。內(nèi)容涉及電子圖書、數(shù)字化期刊、津門曲藝庫、津門群星庫，以及與本地經(jīng)濟、文化發(fā)展息息相關(guān)的各種特色資源庫。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用，能夠在合理范圍內(nèi)為各區(qū)縣支中心、共享工程基層服務(wù)中心進行有效共享?？梢岳胿pn技術(shù)來實現(xiàn)，首先建立vpn數(shù)字資源中心，向各區(qū)縣支中心、共享工程基層服務(wù)中心等基層單位提供vpn接人和數(shù)據(jù)資源內(nèi)容的提供服務(wù)。

2. 2. 1 vpn技術(shù)的實現(xiàn)方式

構(gòu)建vpn網(wǎng)絡(luò)可分為硬件、tpn和軟件、’pn兩種形式:軟件、’pn的建立成本低，硬件vpn在系統(tǒng)防御上要穩(wěn)定，軟件vpn維護起來相當(dāng)麻煩，網(wǎng)絡(luò)管理員不但要維護vpn軟件，還需要考慮病毒、惡意攻擊及相關(guān)設(shè)備的軟、硬件沖突導(dǎo)致系統(tǒng)平臺運行不穩(wěn)定的因素出現(xiàn)，而硬件vpn一般采用專用硬件，維護量相對減少很多。

2. 2. 2實現(xiàn)vpn技術(shù)的方案

主要有三種:硬件平臺vpn、軟件平臺vpn和輔助硬件平臺vpna

(1)軟件平臺vpn

利用一些軟件公司所提供的完全基于軟件的vpn產(chǎn)品來實現(xiàn)簡單vpn的功能，甚至可以不需要另外購置軟件，僅依靠微軟的windows操作系統(tǒng)就可實現(xiàn)純軟件平臺的vpn。特別從windows2000系統(tǒng)開始對傳統(tǒng)的ipsec vpn方案提供了全面支持，不僅可以提供原來pptp隧道協(xié)議vpn的方案支持，而且還提出了新的l2tp隧道協(xié)議vpn方案，使vpn的應(yīng)用得到前所未有的推進。

(2)硬件平臺vpn

使用硬件平臺的vpn設(shè)備可以滿足不同用戶對高數(shù)據(jù)安全及通信性能的需求，特別是加密及數(shù)據(jù)亂碼等對cpu處理能力需求很高的功能。能提供這些平臺的硬件廠商較多，如cisco, 3com、華為、聯(lián)想等，這類vpn平臺投資了大量的硬件設(shè)備，投資成本較高。

(3)輔助硬件平臺vpn

輔助硬件平臺vpn作為最常見的vpn平臺，介于軟件平臺和硬件平臺之間，主要是以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)膙pn軟件以實現(xiàn)vpn的功能。但通常這種平臺中的硬件也不能完全由原來的網(wǎng)絡(luò)硬件來完成，必要時還要添加專業(yè)的vpn設(shè)備，如vpn交換機、vpn網(wǎng)關(guān)或路由器等。

2.2.3構(gòu)建vpn專網(wǎng)的關(guān)鍵問題

由于“共享工程”天津分中心與各區(qū)縣支中心都已建成了自己的局域網(wǎng)，那么vpn設(shè)備與防火墻的安裝方式，成為構(gòu)建vpn專網(wǎng)的關(guān)鍵問題。

現(xiàn)在最普遍采用的方式:是將、’pn設(shè)備與防火墻平行安裝，它不需要改變防火墻目前的結(jié)構(gòu)體系，但也意味著進人內(nèi)部網(wǎng)絡(luò)將有兩個人口。在大部分vpn設(shè)備上，檢查進人的數(shù)據(jù)，并阻擋非vpn流量進人內(nèi)部網(wǎng)絡(luò)，以減小額外的安全風(fēng)險。依賴網(wǎng)絡(luò)建設(shè)的方式，也需要vpn設(shè)備做一些地址翻譯的工作，或者將流量重定向到防火墻。

還有一種方式:是將vpn設(shè)備安裝在防火墻后，對防火墻做出一些改變。需要防火墻配置一個足夠“聰明”的過濾器以允許vpn流量通過。另外，一些防火墻不能處理碎片，而碎片對于vpn來說是非常普遍的。因此，如果不在客戶軟件中人為減小mtu(最大傳輸單元)，就不可能將vpn安裝在防火墻之后。

信息資源廣域vpn網(wǎng)建成后，邏輯上把物理位置省級分中心與不同的區(qū)縣支中心、共享工程基層中心連接成統(tǒng)一的內(nèi)部網(wǎng)，從而提升了文化信息資源共享工程的實在意義。

3結(jié)束語

vpn技術(shù)論文篇7

關(guān)鍵詞：VPN；中小企業(yè)；網(wǎng)絡(luò)

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2008)36-2891-02

The Implementation of VPN on The Company-Internal Network

ZHOU Shi-jie

(Fujian Communications Technology College, Fuzhou 350007, China)

Abstract: Do the research of the implementation of VPN on the company-internal network, propose a highly efficient and low-cost method. Descript how to achieve VPN technology in the LINUX system. Provides a method to create the server and firewall settings skills. It has great reference value to use VPN technology with a flexible network access on the company-internal network.

Key words: VPN; company; network

1 引言

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，以及企業(yè)信息化進程的加速，大部分的政府部門、企事業(yè)單位均已建設(shè)了單位內(nèi)部的網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)了辦公自動化，日常工作也漸漸從以往的文書往來向網(wǎng)絡(luò)辦公發(fā)展，大家已經(jīng)越來越離不開計算機網(wǎng)絡(luò)。本文主要討論了如何在中小企業(yè)網(wǎng)絡(luò)中實現(xiàn)VPN技術(shù)。

2 中小企業(yè)網(wǎng)的VPN實現(xiàn)選擇

目前主流的內(nèi)部網(wǎng)絡(luò)組網(wǎng)方式較為統(tǒng)一，內(nèi)部使用私有地址部署，內(nèi)網(wǎng)出口使用防火墻或路由器做NAT地址轉(zhuǎn)換，在ISP提供的線路幫助下，從而實現(xiàn)中小型企業(yè)內(nèi)部網(wǎng)絡(luò)與INTERNET的互聯(lián)。這種組網(wǎng)方式能大量節(jié)約IP地址資源，降低聯(lián)網(wǎng)成本，同時也能夠有效的保護中小企業(yè)內(nèi)部網(wǎng)絡(luò)上各自信息資源的安全。隨著企業(yè)業(yè)務(wù)的不斷擴展，越來越多的工作需要在企業(yè)之外完成，比如在外地出差或者對用戶進行上門服務(wù)或者在家辦公時。這時，我們需要一種能方便而又安全的聯(lián)入企業(yè)內(nèi)部網(wǎng)絡(luò)，從而使用網(wǎng)絡(luò)中的各種信息和資源，讓我們的工作方式更加靈活和有效。傳統(tǒng)的解決方法是在企業(yè)內(nèi)部建立遠程訪問服務(wù)器，遠程用戶通過電話線路等遠程撥號到遠程訪問服務(wù)器，這種解決方法一是速度慢，二是要支付較高的電話費用，成本較高。而VPN技術(shù)就彌補了這些缺陷，它利用廉價的INTERNET或其他公共網(wǎng)絡(luò)傳輸數(shù)據(jù)，在網(wǎng)絡(luò)出口處提供服務(wù)，有需要的客戶端通過INTERNET連入VPN服務(wù)器，在服務(wù)器的幫助下，獲得一個事先劃分的內(nèi)網(wǎng)IP地址。此時，該客戶端就虛擬的聯(lián)入了企業(yè)內(nèi)部局域網(wǎng)，和平常在辦公室里一樣，可以獲得各種內(nèi)網(wǎng)資源。

圖1

那么，VPN技術(shù)如何部署以及實現(xiàn)呢？在各種網(wǎng)絡(luò)連接設(shè)備上，一些專門的廠商都會有VPN模塊可以提供VPN服務(wù)。例如CISCO的防火墻，三層交換機等設(shè)備上均有VPN模塊可以選配。也有一些第三方的VPN技術(shù)，如SSLVPN、IPSECVPN等等。但是，這些設(shè)備的價格以及LICENCE的費用都比較高，對于一個中小型企業(yè)局域網(wǎng)來講，這樣的投入也許超出了各自的承受范圍。那么有沒有一些簡單而又經(jīng)濟的替代方法呢？免費的LINUX系統(tǒng)就給我們提供了這樣一種實現(xiàn)的方法。

3 使用的VPN協(xié)議

VPN技術(shù)在創(chuàng)建隧道實現(xiàn)虛擬專用網(wǎng)的過程中，隧道兩端需使用相同的隧道協(xié)議。根據(jù)OSI參考模型劃分，隧道技術(shù)可以分為2層和3層隧道協(xié)議。第二層隧道協(xié)議主要有：PPTP、L2TP和L2F，第三層協(xié)議主要有IP over IP和IPSec。通常在LINUX中我們使用PPTP協(xié)議實現(xiàn)VPN。

PPTP協(xié)議是PPP協(xié)議的擴展，并協(xié)調(diào)使用PPP的身份驗證、壓縮和加密機制。PPTP協(xié)議是使用一般路由封裝（GRE）報頭和IP報頭封裝在PPP幀中的，結(jié)構(gòu)如圖1。

4 VPN服務(wù)的實現(xiàn)

以RED HAT ENTERPRISE AS 4.0系統(tǒng)為例說明VPN服務(wù)的實現(xiàn)方法。

為VPN服務(wù)器配置兩塊網(wǎng)卡，分別為eth0和eht1。其中eth0連接到內(nèi)部網(wǎng)絡(luò)，假設(shè)IP為172.26.1.1；eth1連接到INTERNET，假設(shè)IP為218.1.2.3。

首先，需要下載內(nèi)核補丁、升級自帶的PPP程序、安裝PPTP以及MPPE軟件包以便支持PPTP協(xié)議和微軟的點對點加密MPPE。

1) dkms-2.0.5-1.noarch.rpm 動態(tài)內(nèi)核模塊支持的RPM安裝包

2) kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm MPPE加密協(xié)議的內(nèi)核補丁的RPM安裝包

3) ppp-2.4.3-5.rhel4.i386.rpm 升級內(nèi)置PPP到2.4.3版本，以支持MPPE加密協(xié)議

4) pptpd-1.3.0-0.i386.rpm PPTP點對點隧道協(xié)議的RPM安裝包

下載完成后使用一下命令進行安裝和升級。

rpm - ivh dkms-2.0.5-1.noarch.rpm

rpm - ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm

rpm - Uvh ppp-2.4.3-5.rhel4.i386.rpm

rpm - ivh pptpd-1.3.0-0.i386.rpm

全部安裝升級完成后使用vi程序打開PPTP的主配置文件。

vi /etc/pptpd.conf

在文件中加入以下配置語句：

localip 172.26.1.1

remoteip 172.26.1.100-200,172.26.1.240

文件/etc/ppp/chap-secrets中保存了VPN客戶機撥入時所使用的帳戶名、口令、固定分配的IP地址等信息，每個賬戶在該文件中使用一行，格式如下：

帳戶名服務(wù) 口令分配給該賬戶的IP地址

“test” pptpd “password” “*”

“admin” pptpd “admin” “172.26.1.240”

其中*代表由pptp服務(wù)在地址段中隨機選擇。

接著打開LINUX內(nèi)核的路由功能，使VPN客戶端能通過eth0路由到內(nèi)部網(wǎng)絡(luò)，執(zhí)行以下命令：

echo “1”>/proc/sys/net/ipv4/ip_forward

5 VPN服務(wù)的管理

啟動VPN服務(wù)：

/etc/init.d/pptpd start

停止VPN服務(wù)：

/etc/init.d/pptpd stop

重新啟動VPN服務(wù)：

/etc/init.d/pptpd restart

該命令在重啟服務(wù)時不能終止已存在的VPN連接，在重啟后可能造成IP沖突的錯誤?？墒褂靡韵旅钤谕Ｖ狗?wù)時同時終止所有已存在的VPN連接，然后再使用啟動VPN服務(wù)命令。

/etc/init.d/pptpd restart-kill

自動啟動VPN服務(wù)：

執(zhí)行命令”ntsysv”啟動服務(wù)配置程序，在”pptpd”服務(wù)前面選中”*”，接著“確定”即可。

6 防火墻的設(shè)置

PPTP服務(wù)使用TCP協(xié)議中的1723端口和IP協(xié)議中編號為47的GRE常規(guī)路由封裝，若啟用了防火墻，則需開放1723端口并允許編號為47的IP協(xié)議通過。若使用的是iptables，則執(zhí)行以下命令：

iptables - I INPUT - p tcp - dport 1723 - j ACCEPT

iptables - I INPUT - p gre - j ACCEPT

7 VPN客戶端的配置

一般的VPN客戶端均使用WINDOWS操作系統(tǒng)，以在WINDOS XP系統(tǒng)中創(chuàng)建VPN客戶端為例說明操作步驟：

1) 網(wǎng)上鄰居右鍵菜單中選擇屬性；

2) 雙擊“新建連接向?qū)А保?span style="display:none">fT5萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

3) 在向?qū)υ捒蛑袉螕簟跋乱徊健保?span style="display:none">fT5萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

4) 在“網(wǎng)絡(luò)連接類型”中選擇“連接到我工作場所的網(wǎng)絡(luò)”；

5) 在“網(wǎng)絡(luò)連接”中選擇“虛擬專用網(wǎng)連接”；

6) 在“連接名”中輸入您想設(shè)定的連接名稱；

7) 在“VPN服務(wù)器選擇”中輸入VPN服務(wù)器的域名或IP，本例中應(yīng)輸入eth1上的IP地址”218.1.2.3”；

8) 單擊“完成”即可創(chuàng)建VPN客戶端連接。

雙擊創(chuàng)建的VPN連接，輸入服務(wù)器上創(chuàng)建的帳號”admin”與密碼”admin”點擊連接即可聯(lián)入VPN服務(wù)器。連接成功后雙擊該連接，選擇“詳細信息”，若顯示使用PPTP和MPPE 128加密則表明VPN服務(wù)器配置成功。在本例的連接中應(yīng)獲得一個固定分配給”admin”用戶的IP地址”172.26.1.240”。

此時，該客戶端即可像在內(nèi)部網(wǎng)絡(luò)里一樣直接訪問各種資源。

8 結(jié)束語

VPN技術(shù)的實現(xiàn)，對于業(yè)務(wù)靈活性要求越來越高的企業(yè)有極大助益，而使用免費的linux系統(tǒng)實現(xiàn)VPN技術(shù)，無疑是一種廉價而又高效的手段，具備相當(dāng)?shù)膮⒖家饬x。

參考文獻：

[1] 童珉,冉曉F.VPN的擴展性研究[J].計算機時代,2003(7).

[2] 趙金萍,熊君星,羅華群.VPN關(guān)鍵技術(shù)的研究[J].電腦知識與技術(shù):學(xué)術(shù)交流,2007(22).

vpn技術(shù)論文篇8

論文摘要:重點分析了vpn的實現(xiàn)技術(shù)。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對于企業(yè)和一些跨區(qū)域?qū)ｉT從事特定業(yè)務(wù)的部門，從經(jīng)濟實用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來，看vpn技術(shù)無疑是一種不錯的選擇。下面就vpn技術(shù)的實現(xiàn)做一下粗淺的分析:

1 vpn簡介

虛擬專用網(wǎng)(virtuaiprivatenetwork, vpn)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。vpn極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可靠性。

vpn可分為三大類:(1)企業(yè)各部門與遠程分支之間的in-tranet vpn;(2)企業(yè)網(wǎng)與遠程(移動)雇員之間的遠程訪問(re-mote access)vpn;(3)企業(yè)與合作伙伴、客戶、供應(yīng)商之間的extranet vpno

在extranetvpn中，企業(yè)要與不同的客戶及供應(yīng)商建立聯(lián)系，vpn解決方案也會不同。因此，企業(yè)的vpn產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進行互操作。這就要求所選擇的vpn方案應(yīng)該是基于工業(yè)標(biāo)準和協(xié)議的。這些協(xié)議有ipsec、點到點隧道協(xié)議(pointtopoint tunneling protocol,pptp)、第二層隧道協(xié)議(layer2 tunneling protocol,i,2tp)等。

2 vpn的實現(xiàn)技術(shù)

vpn實現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時qos技術(shù)對vpn的實現(xiàn)也至關(guān)重要。

2.1 vpn訪問點模型

首先提供一個vpn訪問點功能組成模型圖作為參考。其中ipsec集成了ip層隧道技術(shù)和加密技術(shù)。

2.2隧道技術(shù)

隧道技術(shù)簡單的說就是:原始報文在a地進行封裝，到達b地后把封裝去掉還原成原始報文，這樣就形成了一條由a到b的通信隧道。目前實現(xiàn)隧道技術(shù)的有一般路由封裝(generi-croutingencapsulation, gre )i,2tp和pptpo

(1)gre

gre主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的報文頭(gre報文頭)進行封裝然后帶著隧道終點地址放人隧道中。當(dāng)報文到達隧道終點時，gre報文頭被剝掉，繼續(xù)原始報文的目標(biāo)地址進行尋址。gre隧道通常是點到點的，即隧道只有一個源地址和一個終地址。然而也有一些實現(xiàn)允許一點到多點，即一個源地址對多個終地址。這時候就要和下一條路由協(xié)議(next-hoproutingprotocol , nhrp)結(jié)合使用。nhrp主要是為了在路由之間建立捷徑。

gre隧道用來建立vpn有很大的吸引力。從體系結(jié)構(gòu)的觀點來看，vpn就象是通過普通主機網(wǎng)絡(luò)的隧道集合。普通主機網(wǎng)絡(luò)的每個點都可利用其地址以及路由所形成的物理連接，配置成一個或多個隧道。在gre隧道技術(shù)中人口地址用的是普通主機網(wǎng)絡(luò)的地址空間，而在隧道中流動的原始報文用的是vpn的地址空間，這樣反過來就要求隧道的終點應(yīng)該配置成vpn與普通主機網(wǎng)絡(luò)之間的交界點。這種方法的好處是使vpn的路由信息從普通主機網(wǎng)絡(luò)的路由信息中隔離出來，多個vpn可以重復(fù)利用同一個地址空間而沒有沖突，這使得vpn從主機網(wǎng)絡(luò)中獨立出來。從而滿足了vpn的關(guān)鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實現(xiàn)vpn功能函數(shù)的數(shù)量。還有，對許多vpn所支持的體系結(jié)構(gòu)來說，用同一種格式來支持多種協(xié)議同時又保留協(xié)議的功能，這是非常重要的。ip路由過濾的主機網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把vpn私有協(xié)議從主機網(wǎng)絡(luò)中隔離開來?；谒淼兰夹g(shù)的vpn實現(xiàn)的另一特點是對主機網(wǎng)絡(luò)環(huán)境和vpn路由環(huán)境進行隔離。對vpn而言主機網(wǎng)絡(luò)可看成點到點的電路集合，vpn能夠用其路由協(xié)議穿過符合vpn管理要求的虛擬網(wǎng)。同樣，主機網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計方案，而不必受vpn用戶網(wǎng)絡(luò)的路由協(xié)議限制。

雖然gre隧道技術(shù)有很多優(yōu)點，但用其技術(shù)作為vpn機制也有缺點，例如管理費用高、隧道的規(guī)模數(shù)量大等。因為gre是由手工配置的，所以配置和維護隧道所需的費用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點改變，隧道要重新配置。隧道也可自動配置，但有缺點，如不能考慮相關(guān)路由信息、性能問題以及容易形成回路問題。一旦形成回路，會極大惡化路由的效率。除此之外，通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進人隧道前的)進行的話，就會影響路由發(fā)送速率的能力及服務(wù)性能。

gre隧道技術(shù)是用在路由器中的，可以滿足extranetvpn以及intranetvpn的需求。但是在遠程訪問vpn中，多數(shù)用戶是采用撥號上網(wǎng)。這時可以通過l2tp和pptp來加以解決。

(2)l2tp和pptp

l2tp是l2f( layer2forwarding)和ppt’i〕的結(jié)合。但是由于pc機的桌面操作系統(tǒng)包含著pptp，因此ppt’i〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主動’，隧道，后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的，而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。l2tp作為“強制”隧道模型是讓撥號用戶與網(wǎng)絡(luò)中的另一點建立連接的重要機制。建立過程如下:

a.用戶通過modem與nas建立連接;b.用戶通過nas的l2tp接入服務(wù)器身份認證;;c.在政策配置文件或nas與政策服務(wù)器進行協(xié)商的基礎(chǔ)上，nas和l2tp接入服務(wù)器動態(tài)地建立一條l2tp隧道;d.用戶與l2tp接入服務(wù)器之間建立一條點到點協(xié)議(pointtopointprotocol, ppp)訪問服務(wù)隧道;e.用戶通過該隧道獲得vpn服務(wù)。

與之相反的是，pptp作為“主動”隧道模型允許終端系統(tǒng)進行配置，與任意位置的pptp服務(wù)器建立一條不連續(xù)的、點到點的隧道。并且，pptp協(xié)商和隧道建立過程都沒有中間媒介nas的參與。nas的作用只是提供網(wǎng)絡(luò)服務(wù)。pptp建立過程如下:a.用戶通過串口以撥號ip訪問的方式與nas建立連接取得網(wǎng)絡(luò)服務(wù);b.用戶通過路由信息定位pptp接入服務(wù)器;c.用戶形成一個pptp虛擬接口;d.用戶通過該接口與pptp接入服務(wù)器協(xié)商、認證建立一條ppp訪問服務(wù)隧道;e.用戶通過該隧道獲得vpn服務(wù)。

在l2tp中，用戶感覺不到nas的存在，仿佛與pptp接入服務(wù)器直接建立連接。而在pptp中，pptp隧道對nas是透明的;nas不需要知道pptp接入服務(wù)器的存在，只是簡單地把pptp流量作為普通ip流量處理。

采用l2tp還是pptp實現(xiàn)vpn取決于要把控制權(quán)放在nas還是用戶手中。硯tp比pptp更安全，因為硯tp接入服務(wù)器能夠確定用戶從哪里來的。硯tp主要用于比較集中的、固定的vpn用戶，而pptp比較適合移動的用戶。

2.3加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權(quán)者不能了解被保護信息的內(nèi)容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了;des和三次des強度比較高，可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進行;可以對數(shù)據(jù)或報文頭進行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準是ipsec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，vpn安全粒度達到個人終端系統(tǒng)的標(biāo)準;而“隧道模式”方案，vpn安全粒度只達到子網(wǎng)標(biāo)準。在鏈路層中，目前還沒有統(tǒng)一的加密標(biāo)準，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的，需要特別的加密硬件。

2.4 qos技術(shù)

通過隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個具有安全性、互操作性的vpn。但是該vpn性能上不穩(wěn)定，管理上不能滿足企業(yè)的要求，這就要加入qos技術(shù)。實行qos應(yīng)該在主機網(wǎng)絡(luò)中，即vpn所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。

本文鏈接：http://www.lbgj202.com/v-141-3383.htmlvpn技術(shù)論文范文8篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻，不代表本站觀點，本站不承擔(dān)任何法律責(zé)任。天上不會到餡餅，請大家謹防詐騙！若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。

上一篇：vr技術(shù)論文范文8篇

下一篇：vpn技術(shù)范文8篇

相關(guān)文章：

三伏天最吸引顧客的話術(shù)07-20

淘寶賣家道歉信10-05

個人認錯態(tài)度誠懇的檢討書09-27

喬遷之喜酒宴邀請函10-19

讀書心得400字活著09-24

多彩的活動滿分作文10-16

大學(xué)晚自習(xí)在什么時候幾點？10-26