序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程，我們?yōu)槟扑]十篇vpn技術(shù)論文范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來(lái)更深刻的閱讀感受。

篇（1）

就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言，典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個(gè)總部（省級(jí)網(wǎng)絡(luò)中心）和若干個(gè)地市分支機(jī)構(gòu)、以及數(shù)量不等的合作伙伴和移動(dòng)遠(yuǎn)程（撥號(hào)）用戶(hù)所組成。除遠(yuǎn)程用戶(hù)外，其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。其中省級(jí)局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，為金融機(jī)構(gòu)中心服務(wù)所在地，同時(shí)也是該金融企業(yè)的省級(jí)網(wǎng)絡(luò)管理中心。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣，包括遠(yuǎn)程撥號(hào)、專(zhuān)線(xiàn)、Internet等。

從省級(jí)和地市金融機(jī)構(gòu)的互聯(lián)方式來(lái)看，可以分為以下三種模式：（1）移動(dòng)用戶(hù)和遠(yuǎn)程機(jī)構(gòu)用戶(hù)通過(guò)撥號(hào)訪(fǎng)問(wèn)網(wǎng)絡(luò)，撥號(hào)訪(fǎng)問(wèn)本身又可分為通過(guò)電話(huà)網(wǎng)絡(luò)撥入管理中心訪(fǎng)問(wèn)服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式；（2）各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過(guò)專(zhuān)線(xiàn)或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接；（3）合作伙伴（客戶(hù)、供應(yīng)商）局域網(wǎng)通過(guò)專(zhuān)線(xiàn)或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接。

由于各類(lèi)金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史，其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過(guò)程中，主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營(yíng)運(yùn)。

就網(wǎng)絡(luò)信息系統(tǒng)安全而言，目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的，一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施，這些措施包括利用操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)自身的安全設(shè)施；購(gòu)買(mǎi)并部署商用的防火墻和防病毒產(chǎn)品等。在應(yīng)用程序的設(shè)計(jì)中，也僅考慮到了部分信息安全問(wèn)題。應(yīng)該說(shuō)這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的，也是客觀條件限制下的必然。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專(zhuān)為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件，這些軟件通常僅具備一些基本的安全功能，而且在安裝時(shí)的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性，如考慮不周很容易留下安全漏洞。此外，金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時(shí)并不能可靠地獲得安全保障，Internet服務(wù)提供商（ISP）采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性，而不是保護(hù)他們的客戶(hù)不被攻擊，他們對(duì)于你的安全問(wèn)題的反應(yīng)可能是提供建議，也可能是盡力幫助，或者只是關(guān)閉你的連接直到你恢復(fù)正常。因此，總的來(lái)說(shuō)金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒(méi)有達(dá)到與金融系統(tǒng)信息的重要性相稱(chēng)的安全級(jí)別，有的甚至對(duì)于一些常規(guī)的攻擊手段也無(wú)法抵御，這些都是金融管理信息系統(tǒng)亟待解決的安全問(wèn)題。

二、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求

目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅，就其攻擊手段而言可分為針對(duì)信息的攻擊、針對(duì)系統(tǒng)的攻擊、針對(duì)使用者的攻擊以及針對(duì)系統(tǒng)資源的攻擊等四類(lèi)，而實(shí)施安全攻擊的人員則可能是外部人員，也可能是機(jī)構(gòu)內(nèi)部人員。

針對(duì)信息的攻擊是最常見(jiàn)的攻擊行為，信息攻擊是針對(duì)處于傳輸和存儲(chǔ)形態(tài)的信息進(jìn)行的，其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi)，也可以在廣域網(wǎng)上。針對(duì)信息的攻擊手段的可怕之處在于其隱蔽性和突然性，攻擊者可以不動(dòng)聲色地竊取并利用信息，而無(wú)慮被發(fā)現(xiàn)；犯罪者也可以在積聚足夠的信息后驟起發(fā)難，進(jìn)行敲詐勒索。此類(lèi)案件見(jiàn)諸報(bào)端層出不窮，而未公開(kāi)案例與之相比更是數(shù)以倍數(shù)。

利用系統(tǒng)（包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng)）固有的或系統(tǒng)配置及管理過(guò)程中的安全漏洞，穿透或繞過(guò)安全設(shè)施的防護(hù)策略，達(dá)到非法訪(fǎng)問(wèn)直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其他系統(tǒng)。由于我國(guó)的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專(zhuān)為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和支撐平臺(tái)，為了照顧使用的方便性而忽略了安全性，導(dǎo)致許多安全漏洞的產(chǎn)生，如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的，可能在系統(tǒng)中預(yù)留“后門(mén)”，因此必須采用有效的技術(shù)手段加以預(yù)防。

針對(duì)使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑，攻擊者多利用管理者和使用者安全意識(shí)不強(qiáng)、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn)，通過(guò)種種手段竊取系統(tǒng)權(quán)限，通過(guò)合法程序來(lái)達(dá)到非法目的，并可在事后嫁禍他人或毀滅證據(jù)，導(dǎo)致此類(lèi)攻擊難以取證。

針對(duì)資源的攻擊是以各種手段耗盡系統(tǒng)某一資源，使之喪失繼續(xù)提供服務(wù)的能力，因此又稱(chēng)為拒絕服務(wù)類(lèi)攻擊。拒絕服務(wù)攻擊的高級(jí)形式為分布式拒絕服務(wù)攻擊，即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻擊，迫使攻擊對(duì)象癱瘓。由于針對(duì)資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，尤其是Internet以及TCP/IP協(xié)議的固有缺陷，因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒(méi)有得到大的改進(jìn)前，難以徹底解決。

金融的安全需求安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可審查性和可控性。目前國(guó)內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層面所面臨的安全問(wèn)題，即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳輸安全和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制問(wèn)題。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問(wèn)題概括起來(lái)主要有：傳輸信息的安全、節(jié)點(diǎn)身份認(rèn)證、交易的不可抵賴(lài)性和對(duì)非法攻擊事件的可追蹤性。

必須指出：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。

三、網(wǎng)絡(luò)安全基本技術(shù)與vpn技術(shù)

解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問(wèn)題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來(lái)攻擊。密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶(hù)身份、抗否認(rèn)等。

密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一，實(shí)際上，數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶(hù)的搭線(xiàn)竊聽(tīng)和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法，這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)，在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用。

虛擬專(zhuān)用網(wǎng)絡(luò)（VPN：VirtualPrivateNetwork）技術(shù)就是在網(wǎng)絡(luò)層通過(guò)數(shù)據(jù)包封裝技術(shù)和密碼技術(shù)，使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過(guò)“加密管道”傳播，從而在公共網(wǎng)絡(luò)中建立起安全的“專(zhuān)用”網(wǎng)絡(luò)。利用VPN技術(shù)，金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專(zhuān)線(xiàn)，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相安全的傳遞信息；另外，金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶(hù)撥號(hào)到公眾信息網(wǎng)上，就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中，進(jìn)行各類(lèi)網(wǎng)絡(luò)結(jié)算和匯兌。

綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)，并通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制，在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)系統(tǒng)，可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案。對(duì)于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下，極大地提高系統(tǒng)的安全性能，是一種較為理想的基礎(chǔ)解決方案。

當(dāng)今VPN技術(shù)中對(duì)數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層（對(duì)于TCP/IP網(wǎng)絡(luò)，發(fā)生在IP層），從而既克服了傳統(tǒng)的鏈（線(xiàn)）路加密技術(shù)對(duì)通訊方式、傳輸介質(zhì)、傳輸協(xié)議依賴(lài)性高，適應(yīng)性差，無(wú)統(tǒng)一標(biāo)準(zhǔn)等缺陷，又避免了應(yīng)用層端——端加密管理復(fù)雜、互通性差、安裝和系統(tǒng)遷移困難等問(wèn)題，使得VPN技術(shù)具有節(jié)省成本、適應(yīng)性好、標(biāo)準(zhǔn)化程度高、便于管理、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢(shì)，成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個(gè)必然趨勢(shì)。

篇（2）

2民航數(shù)據(jù)通信網(wǎng)中組播VPN的實(shí)現(xiàn)

在民航數(shù)據(jù)通信網(wǎng)中實(shí)現(xiàn)組播VPN主要需完成骨干網(wǎng)絡(luò)的準(zhǔn)備工作以及組播VPN設(shè)計(jì)與實(shí)施等工作。

2.1組播VPN的規(guī)劃設(shè)計(jì)民航ATM數(shù)據(jù)網(wǎng)華東地區(qū)ATM交換機(jī)上的RPM-PR板卡提供了MPLSVPN業(yè)務(wù)，目前部署的MPLSVPN業(yè)務(wù)網(wǎng)絡(luò)拓?fù)錇樾切谓Y(jié)構(gòu)，即由區(qū)域一級(jí)節(jié)點(diǎn)9槽RPM板卡作為P設(shè)備和路由反射器，而其他節(jié)點(diǎn)均為PE設(shè)備。華東地區(qū)ATM網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù)：ATM數(shù)據(jù)網(wǎng)公網(wǎng)組播實(shí)例和名為YJCJ2的用戶(hù)私網(wǎng)組播實(shí)例。VPN組播實(shí)例是通過(guò)在P和PE設(shè)備上部署實(shí)現(xiàn)的，網(wǎng)絡(luò)中，作為P和PE的RPM板卡上運(yùn)行著公網(wǎng)組播實(shí)例，而作為PE的RPM板卡同時(shí)又運(yùn)行著用戶(hù)私網(wǎng)組播實(shí)例。公網(wǎng)的組播實(shí)例是在所有RPM板卡上開(kāi)啟組播應(yīng)用。上海虹橋和浦東機(jī)場(chǎng)兩個(gè)節(jié)點(diǎn)的10槽RPM板卡負(fù)責(zé)接入用戶(hù)的VPN組播業(yè)務(wù)，所以需在這兩臺(tái)設(shè)備上部署MPLSVPN應(yīng)用，并在這兩個(gè)用戶(hù)站點(diǎn)相應(yīng)的VRF實(shí)例中開(kāi)啟組播應(yīng)用。在本案例中，VPN用戶(hù)接入側(cè)要求使用的是PIM密集模式，而民航數(shù)據(jù)網(wǎng)MPLSVPN公網(wǎng)則使用的是PIM稀松模式。在MPLSVPN網(wǎng)絡(luò)中不同用戶(hù)的VPN站點(diǎn)都是彼此邏輯獨(dú)立的，并且VPN用戶(hù)數(shù)據(jù)封裝MPLS標(biāo)簽后通過(guò)公網(wǎng)的PE和P設(shè)備進(jìn)行傳輸。對(duì)于VPN組播來(lái)說(shuō)，數(shù)據(jù)的傳輸模式也是類(lèi)似的。PE設(shè)備通過(guò)將該VPN實(shí)例中的用戶(hù)VPN組播數(shù)據(jù)報(bào)文封裝成公網(wǎng)所能“識(shí)別”的公網(wǎng)組播數(shù)據(jù)報(bào)文進(jìn)行組播轉(zhuǎn)發(fā)。這種將私網(wǎng)組播報(bào)文封裝成公網(wǎng)組播報(bào)文的過(guò)程就叫做構(gòu)造組播隧道（MT）。在PE上，每個(gè)VPN用戶(hù)的組播數(shù)據(jù)是通過(guò)不同的MTI(MulticastTunnelInterfac)組播隧接口在公網(wǎng)構(gòu)造組播隧道，參見(jiàn)圖2。由于公網(wǎng)、VPN網(wǎng)以及用戶(hù)接入側(cè)各組播部署中都采用PIM協(xié)議啟用了組播應(yīng)用，MPLSVPN中組播應(yīng)用包含如下的PIM鄰居關(guān)系：（1）PE-P鄰居關(guān)系：指PE上公網(wǎng)實(shí)例接口與鏈路對(duì)端P上的接口之間所建立的PIM鄰居關(guān)系。（2）PE-PE鄰居關(guān)系：指PE上的VPN實(shí)力通過(guò)MTI收到遠(yuǎn)端PE上的VPN實(shí)例發(fā)來(lái)的PIMHello報(bào)文后建立的鄰居關(guān)系。（3）PE-CE鄰居關(guān)系：指PE上綁定VPN實(shí)例的接口與鏈路對(duì)端CE上的接口之間建立的PIM鄰居關(guān)系。部署公網(wǎng)組播實(shí)例需在華東地區(qū)所有相關(guān)RPM板卡開(kāi)啟組播服務(wù)，考慮到密集模式對(duì)RPM設(shè)備和骨干網(wǎng)資源的開(kāi)銷(xiāo)，在民航ATM數(shù)據(jù)網(wǎng)中使用了PIM稀松模式。根據(jù)網(wǎng)絡(luò)的物理網(wǎng)絡(luò)拓?fù)淠Ｐ?，選取上海虹橋9槽RPM板卡作為RP。

2.2組播VPN的實(shí)施運(yùn)行在MPLSVPN網(wǎng)絡(luò)中的P和PE設(shè)備上部署PIM協(xié)議，這些設(shè)備之間會(huì)形成PE-P鄰居關(guān)系，從而使得公網(wǎng)支持組播功能，并形成公網(wǎng)的組播分發(fā)樹(shù)。本案例中使用PIM稀松模式，即在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的9、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式，這樣就構(gòu)造了公網(wǎng)的PIM共享樹(shù)。在傳輸用戶(hù)私網(wǎng)組播報(bào)文的PE上部署基于VRF實(shí)例的組播，一個(gè)VPN實(shí)例唯一制定一個(gè)Share-Group地址。同一個(gè)VPN組播域內(nèi)的PE之間形成PE-PE鄰居，并形成該組播域的共享組播分發(fā)樹(shù)（Share-MDT）。在本例中就是在虹橋和浦東機(jī)場(chǎng)的10槽YJCJ2VRF實(shí)例中部署相應(yīng)的defaultMDT地址239.255.0.5。用戶(hù)CE設(shè)備和PE連接CE的相應(yīng)接口啟用組播，本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關(guān)系。本例中是在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的相應(yīng)VPN業(yè)務(wù)端口配置PIM密集模式。當(dāng)用戶(hù)有組播報(bào)文需要傳輸?shù)臅r(shí)候，就將組播報(bào)文發(fā)送給PE的VRF實(shí)例，PE設(shè)備收到報(bào)文后識(shí)別組播數(shù)據(jù)所屬的VRF實(shí)例。用戶(hù)私網(wǎng)的數(shù)據(jù)報(bào)文對(duì)于公網(wǎng)是透明的，不論數(shù)據(jù)歸屬或類(lèi)別，PE都統(tǒng)一將其封裝為公網(wǎng)組播數(shù)據(jù)報(bào)文，并以Share-Group作為其所屬的公網(wǎng)組播組。一個(gè)Share-Group唯一對(duì)應(yīng)一個(gè)MD，并利用公網(wǎng)資源唯一創(chuàng)建一棵Share-MDT進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在該VPN中所有私網(wǎng)組播報(bào)文，都通過(guò)此Share-MDT進(jìn)行轉(zhuǎn)發(fā)。如圖3所示，可以看到華東地區(qū)公網(wǎng)上的Share-MDT創(chuàng)建的過(guò)程。虹橋節(jié)點(diǎn)10槽RPM向9槽RPM(RP節(jié)點(diǎn))發(fā)起加入消息，以Share-Group地址作為組播組地址，在公網(wǎng)沿途的設(shè)備上分別創(chuàng)建（*，239.255.0.5）表項(xiàng)。同時(shí)虹橋浦東機(jī)場(chǎng)節(jié)點(diǎn)也發(fā)起類(lèi)似的加入過(guò)程，最終在MD中形成一棵以虹橋節(jié)點(diǎn)9槽RPM為根，以虹橋、浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM為葉的共享樹(shù)（RPT）。隨后，虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM的公網(wǎng)實(shí)例向公網(wǎng)RP發(fā)起注冊(cè)，并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址，在公網(wǎng)的沿途設(shè)備上分別創(chuàng)建（20.51.5.6，239.255.0.5）和（20.51.5.3，239.255.0.5）表項(xiàng)，形成連接PE和RP的最短路徑樹(shù)（SPT）。在PIM-SM網(wǎng)絡(luò)中，由（*，239.255.0.5）和這兩棵相互獨(dú)立的SPT共同組成了Share-MDT。虹橋節(jié)點(diǎn)PE的私網(wǎng)組播報(bào)文在進(jìn)入公網(wǎng)后，均沿該Share-MDT向浦東機(jī)場(chǎng)節(jié)點(diǎn)PE轉(zhuǎn)發(fā)。圖4是私網(wǎng)組播報(bào)文在公網(wǎng)中轉(zhuǎn)發(fā)的過(guò)程。當(dāng)浦東機(jī)場(chǎng)節(jié)點(diǎn)的YJCJ2VPN用戶(hù)CE設(shè)備加入到虹橋節(jié)點(diǎn)數(shù)據(jù)源所在的組播組，此時(shí)由于這兩個(gè)站點(diǎn)部署為PIM-DM模式，虹橋節(jié)點(diǎn)組播設(shè)備會(huì)立刻將數(shù)據(jù)推送到虹橋節(jié)點(diǎn)10槽RPM的YJCJ2VRF實(shí)例中，并通過(guò)該VPN構(gòu)建的Share-MDT在公網(wǎng)上以（20.51.5.6，239.255.0.5）構(gòu)建的SPT進(jìn)行公網(wǎng)組播報(bào)文傳輸。當(dāng)公網(wǎng)組播報(bào)文被浦東機(jī)場(chǎng)10槽PE設(shè)備收到后會(huì)將其解封裝成原始的私網(wǎng)組播報(bào)文，并轉(zhuǎn)發(fā)給相應(yīng)的接收CE，最終完成用戶(hù)私網(wǎng)組播數(shù)據(jù)在MPLSVPN網(wǎng)絡(luò)中的傳輸。

篇（3）

 

1.校園網(wǎng)問(wèn)題分析及其解決方案的提出

虛擬專(zhuān)用網(wǎng)（VPN），是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。它通過(guò)“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪(fǎng)問(wèn)控制等手段提供一種通過(guò)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）安全地對(duì)單位內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的連接方式。

近年來(lái)，隨著高校信息化建設(shè)工作的深入開(kāi)展，校園網(wǎng)用戶(hù)對(duì)校園網(wǎng)的要求也越來(lái)越高，傳統(tǒng)的單一公網(wǎng)接入模式已經(jīng)很難滿(mǎn)足日趨復(fù)雜的應(yīng)用需求。大多數(shù)的教師習(xí)慣于利用家里的計(jì)算機(jī)上網(wǎng)查資料、寫(xiě)論文。如果要去學(xué)校圖書(shū)館網(wǎng)站，或者是教育網(wǎng)內(nèi)查資料，一般情況下是無(wú)法查找并下載的，因?yàn)閷W(xué)校圖書(shū)館的電子資源都做了訪(fǎng)問(wèn)限制，普通Internet用戶(hù)也是不能訪(fǎng)問(wèn)教育網(wǎng)的。在每年期末考試后，老師在線(xiàn)提交成績(jī)時(shí)，都要登錄學(xué)校內(nèi)部“教務(wù)處”的網(wǎng)站在線(xiàn)提交，這時(shí)也只能到學(xué)校提交。

為此，校園網(wǎng)的建設(shè)可采用多ISP連接的網(wǎng)絡(luò)訪(fǎng)問(wèn)模式：在原有的教育網(wǎng)出口的基礎(chǔ)上增加一個(gè)當(dāng)?shù)豂SP（移動(dòng)、聯(lián)通或電信寬帶ISP）出口，形成多ISP連接的校園網(wǎng)絡(luò)結(jié)構(gòu)，并且需學(xué)校的網(wǎng)絡(luò)中心在學(xué)校組建VPN服務(wù)器，供教職工在校外使用校內(nèi)資源。在組建VPN服務(wù)器時(shí)，使用當(dāng)?shù)豂SP出口，為校外的教職工提供VPN接入服務(wù)，因?yàn)樾Ｍ饨搪毠ご蠖嗍褂卯?dāng)?shù)豂SP提供的ADSL寬帶業(yè)務(wù)。當(dāng)校外職工使用VPN接入學(xué)校的VPN服務(wù)器后，就可以訪(fǎng)問(wèn)校園網(wǎng)與教育網(wǎng)上的資源，這將為教職工提供很大的便利。

2.VPN關(guān)鍵技術(shù)研究

⑴隧道技術(shù)：隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對(duì)應(yīng)于OSI模型的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）、L2TP（第二層隧道協(xié)議）和L2F（第2層轉(zhuǎn)發(fā)協(xié)議）都屬于第2層隧道協(xié)議，是將用戶(hù)數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）幀中通過(guò)互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議，是將IP包封裝在附加的IP包頭中，通過(guò)IP網(wǎng)絡(luò)傳送。無(wú)論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶(hù)數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于，用戶(hù)的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。

⑵安全技術(shù)：VPN安全技術(shù)主要包括加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)；密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊??；使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱(chēng)與密碼認(rèn)證等方式。

3.基于VPN技術(shù)的多出口校園網(wǎng)的設(shè)計(jì)

3.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

為了滿(mǎn)足可擴(kuò)展性和適應(yīng)性目標(biāo)，網(wǎng)絡(luò)結(jié)構(gòu)采用典型的層次化拓?fù)?，即核心層、分布層、訪(fǎng)問(wèn)層。核心層路由器用于優(yōu)化網(wǎng)絡(luò)可用性和性能，主要承擔(dān)校園網(wǎng)的高速數(shù)據(jù)交換任務(wù)，同時(shí)要為各分布層節(jié)點(diǎn)提供最佳數(shù)據(jù)傳輸路徑；分布層交換機(jī)用于執(zhí)行策略，分別連接圖書(shū)館、辦公樓、實(shí)驗(yàn)樓以及各院系；接入層通過(guò)低端交換機(jī)和無(wú)線(xiàn)訪(fǎng)問(wèn)節(jié)點(diǎn)連接用戶(hù)。畢業(yè)論文。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

3.2 網(wǎng)絡(luò)工作原理

在該組網(wǎng)方案中，學(xué)校通過(guò)核心層路由器分別接入教育網(wǎng)與Internet，然后通過(guò)一硬件防火墻與分布層交換機(jī)連接，分布層交換機(jī)負(fù)責(zé)連接圖書(shū)館、辦公樓、實(shí)驗(yàn)樓以及各院系的接入層設(shè)備，校園網(wǎng)內(nèi)的終端計(jì)算機(jī)直接與接入層設(shè)備相連。終端計(jì)算機(jī)可直接使用教育網(wǎng)分配的IP地址。校園網(wǎng)內(nèi)有一臺(tái)安裝了ISAServer2006的VPN服務(wù)器，給其分配一個(gè)教育網(wǎng)IP地址（假設(shè)Ip：202.102.134.100，網(wǎng)關(guān)地址202.102.134.68），在防火墻中將一個(gè)公網(wǎng)地址（假設(shè)為222.206.176.12）映射到該地址。VPN服務(wù)器可通過(guò)“防火墻”與“核心層路由器”訪(fǎng)問(wèn)Internet與教育網(wǎng)，Internet上的用戶(hù)，可以通過(guò)“Internet上的VPN客戶(hù)端—>Internet網(wǎng)絡(luò)—>核心層路由器—>防火墻—>分布層交換機(jī)—>ISA Server2006VPN服務(wù)器”的路線(xiàn)連接到VPN服務(wù)器，之后，ISAServer2006 VPN服務(wù)器通過(guò)防火墻和核心層路由器訪(fǎng)問(wèn)教育網(wǎng)，并且ISA Server2006 VPN服務(wù)器通過(guò)分布層交換機(jī)提供了到學(xué)校內(nèi)網(wǎng)的訪(fǎng)問(wèn)。

3.3 技術(shù)要點(diǎn)

⑴防火墻內(nèi)網(wǎng)地址問(wèn)題。如果防火墻是透明模式接入，各個(gè)網(wǎng)口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個(gè)網(wǎng)口配置同一個(gè)網(wǎng)段的IP。如果是路由模式，需要給防火墻的每個(gè)網(wǎng)口配置不同網(wǎng)段的IP，就象路由器一樣。現(xiàn)在有一些防火墻已經(jīng)有所謂的混合模式，也就是透明和路由同時(shí)工作，這屬于路由模式的擴(kuò)展。畢業(yè)論文。

⑵VPN服務(wù)器的注意事項(xiàng)。ISA Server2006VPN服務(wù)器要求至少有“兩塊網(wǎng)卡”才能做VPN服務(wù)器，若服務(wù)器上只有一塊網(wǎng)卡，需為其安裝一塊“虛擬網(wǎng)卡”。另外，VPN服務(wù)器不一定要直接連接在分布層交換機(jī)上，也可以是圖書(shū)館、辦公樓、實(shí)驗(yàn)樓以及各院系的一臺(tái)服務(wù)器，只要映射一個(gè)公網(wǎng)地址即可。

⑶設(shè)定ISA Server2006接受VPN呼叫。VPN 可通過(guò)默認(rèn)設(shè)置的動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）或者通過(guò)使用路由選擇和遠(yuǎn)程訪(fǎng)問(wèn)控制臺(tái)分配的一組地址來(lái)分配地址。如果選擇了DHCP，VPN客戶(hù)端永遠(yuǎn)不會(huì)同DHCP服務(wù)器進(jìn)行直接通信，運(yùn)行ISA Server2006的VPN服務(wù)器將分配從DHCP服務(wù)器所獲得的地址；它將基于運(yùn)行ISA Server2006的VPN 服務(wù)器的內(nèi)部接口配置來(lái)分配名稱(chēng)服務(wù)器地址。如果擁有多個(gè)內(nèi)部接口，運(yùn)行ISA Server的VPN 服務(wù)器將選擇其中之一。

⑷VPN客戶(hù)端地址的分配。在給VPN客戶(hù)端分配IP地址時(shí)，在為VPN客戶(hù)端分配IP地址的時(shí)候，要保證所分配的地址不能與VPN服務(wù)器本身以及VPN服務(wù)器所屬內(nèi)網(wǎng)、公網(wǎng)的地址沖突，否則VPN客戶(hù)端在訪(fǎng)問(wèn)內(nèi)網(wǎng)時(shí)，會(huì)造成尋址問(wèn)題而不能訪(fǎng)問(wèn)。畢業(yè)論文。為了避免出現(xiàn)問(wèn)題，直接分配私網(wǎng)的IP地址即可，比如192.168.14.0/24網(wǎng)段。另外，校園網(wǎng)外的教職工，在撥叫VPN服務(wù)器時(shí)，應(yīng)是防火墻映射的地址，本文中即222.206.176.12。

4.結(jié)束語(yǔ)

多出口是目前許多高校組建校園網(wǎng)時(shí)所采取的方式，多出口解決了教育網(wǎng)與Internet之間的出口速度很慢的問(wèn)題，將VPN技術(shù)應(yīng)用到具有多出口的高校校園網(wǎng)，可以讓校外Internet用戶(hù)更容易、更方便的獲得對(duì)教育網(wǎng)、校園網(wǎng)數(shù)字資源的使用權(quán)。

參考文獻(xiàn)

[1]曹利峰,杜學(xué)繪,陳性元.一種新的IPsecVPN的實(shí)現(xiàn)方式研究[J].計(jì)算機(jī)應(yīng)用與軟件,2008,07

[2]賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用[J].銅仁學(xué)院學(xué)報(bào),2009,11

[3]吳建國(guó),王鐵,許興華.校園網(wǎng)雙(多)出口的基本解決策略和方法[J].云南師范大學(xué)學(xué)報(bào),2010.01

篇（4）

 

背景需求分析

近年來(lái)，數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活、信息容量大、存儲(chǔ)和檢索便利等優(yōu)點(diǎn)逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng)，被廣泛應(yīng)用于監(jiān)控、安防、質(zhì)檢等方面。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展、普及和網(wǎng)絡(luò)帶寬的迅速擴(kuò)大，視頻監(jiān)控已經(jīng)發(fā)展到了網(wǎng)絡(luò)多媒體監(jiān)控系統(tǒng)，即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合，在現(xiàn)場(chǎng)監(jiān)控主機(jī)無(wú)人職守情況下，實(shí)現(xiàn)局域網(wǎng)或Internet遠(yuǎn)程監(jiān)控的功能。如此一來(lái)，將監(jiān)控信息從監(jiān)控中心釋放出來(lái)，從而提高了治理水平和效率。但假如遠(yuǎn)程訪(fǎng)問(wèn)視頻監(jiān)控服務(wù)技術(shù)功能不足，則無(wú)法保證監(jiān)控信息所需的保密性和速度性，這該怎樣解決呢？VPN?（VirtualPrivate Networking）技術(shù)的出現(xiàn)，正好解決了該問(wèn)題，實(shí)現(xiàn)了遠(yuǎn)程視頻監(jiān)控信息安全便利的傳輸。

經(jīng)調(diào)查發(fā)現(xiàn)，實(shí)現(xiàn)VPN遠(yuǎn)程視頻監(jiān)控系統(tǒng)較重視的需求為：

虛擬私有網(wǎng)絡(luò)VPN安全傳輸：完整的VPN網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)，最重要的需求是要讓各分支外點(diǎn)及本地局域網(wǎng)的監(jiān)控視頻能安全、實(shí)時(shí)的傳送到總公司監(jiān)控中心的治理服務(wù)器，統(tǒng)一作企業(yè)安全防護(hù)及報(bào)警。視頻監(jiān)控信息若不作加密處理就直接通過(guò)公眾互聯(lián)網(wǎng)進(jìn)行傳送，可能會(huì)造成企業(yè)內(nèi)部機(jī)密外露等問(wèn)題。因此，需要建置完善的VPN傳輸，不僅可節(jié)約高昂的專(zhuān)線(xiàn)成本，還能得到安全穩(wěn)定的傳輸質(zhì)量。

穩(wěn)定良好的寬帶接入服務(wù)：將視頻監(jiān)控信息集成到VPN中，雖然可以確保得到安全穩(wěn)定的聯(lián)機(jī)，但VPN線(xiàn)路還是建立在公眾互聯(lián)網(wǎng)上，一但接入的寬帶線(xiàn)路不穩(wěn)定輕易掉線(xiàn)，也連帶影響到VPN的聯(lián)機(jī)質(zhì)量。穩(wěn)定良好的的寬帶接入服務(wù)或于運(yùn)營(yíng)商掉線(xiàn)斷網(wǎng)時(shí)可以實(shí)時(shí)提供備援的支持是必要的。

帶寬增級(jí)同時(shí)也能節(jié)省成本：多媒體視頻監(jiān)控系統(tǒng)包括視頻、音頻及相關(guān)數(shù)據(jù)的傳送，若要得到實(shí)時(shí)、順暢的傳送質(zhì)量，需要相當(dāng)大的帶寬才可達(dá)成，因此首先就面臨到帶寬的增級(jí)。如此就會(huì)導(dǎo)致線(xiàn)路成本的增加及可能的線(xiàn)路添加，帶來(lái)成本及治理上的諸多問(wèn)題。這時(shí)，兼顧成本的考慮下，適當(dāng)?shù)木€(xiàn)路集成整合成為企業(yè)的需求。

網(wǎng)絡(luò)安全防攻擊防火墻：越來(lái)越多的攻擊及病毒，造成企業(yè)網(wǎng)絡(luò)安全的潛危機(jī)。一旦寬帶接入受到惡意攻擊影響網(wǎng)絡(luò)正常運(yùn)作，輕則讓監(jiān)控信息傳輸效率大減，嚴(yán)重時(shí)發(fā)生整個(gè)網(wǎng)絡(luò)斷網(wǎng)，造成視頻監(jiān)控系統(tǒng)停擺的窘境。若是多購(gòu)置防火墻，等于是增加成本，因此路由器中需要有適當(dāng)?shù)姆阑饓δ?，以進(jìn)行網(wǎng)絡(luò)安全的防護(hù)。

內(nèi)部上網(wǎng)行為管控避免影響重要傳輸：多數(shù)員工在上班時(shí)間通過(guò)BT等下載音樂(lè)電影，或是聊QQ、MSN等實(shí)時(shí)交流工具，不僅影響工作效率，也很大可能會(huì)造成帶寬被占用、影響監(jiān)控信息傳送速度降低影響監(jiān)控實(shí)時(shí)反應(yīng)，更嚴(yán)重是可能隨之而來(lái)的病毒、蠕蟲(chóng)和木馬的威脅。有效而可靠的管制內(nèi)網(wǎng)用戶(hù)使用特定軟件是很必要的。

方便的配置及治理：當(dāng)今講求效率的時(shí)代，路由器也需要提供簡(jiǎn)易配置好治理的配置接口設(shè)計(jì)，讓網(wǎng)管由繁復(fù)工作中解放。另外VPN客戶(hù)端大多不配備專(zhuān)業(yè)的網(wǎng)管，很多指令行的路由器給設(shè)置帶來(lái)了困擾，而想要對(duì)路由器進(jìn)行任一個(gè)操作，都必須找來(lái)專(zhuān)業(yè)的人員，這又為實(shí)時(shí)反應(yīng)帶來(lái)了變量。因此路由器的配置，最好使用直觀的配置接口及簡(jiǎn)化的配置設(shè)計(jì)，即使不是是專(zhuān)門(mén)的網(wǎng)管人員經(jīng)簡(jiǎn)單的培訓(xùn)后也可輕易上手，節(jié)省不必要的時(shí)間浪費(fèi)。

VPN遠(yuǎn)程視頻監(jiān)控應(yīng)用

依據(jù)企業(yè)遠(yuǎn)程VPN視頻監(jiān)控系統(tǒng)服務(wù)需求及以上組網(wǎng)分析，具有高度性?xún)r(jià)比優(yōu)勢(shì)的多WAN VPN防火墻廠商俠諾科技，為遠(yuǎn)程VPN視頻監(jiān)控系統(tǒng)提出一完整的組網(wǎng)方案。

方案功能特點(diǎn)

多WAN端口接入?yún)R聚帶寬：Qno俠諾多WAN產(chǎn)品支持帶寬匯聚、自動(dòng)線(xiàn)路備援等功能，多WAN口接入方式，讓企業(yè)有更大和彈性配置空間?？芍С侄嗑€(xiàn)路多ISP接入，不僅可以匯聚帶寬以節(jié)省成本，而且還可以實(shí)現(xiàn)線(xiàn)路備援、數(shù)據(jù)分流、負(fù)載均衡等效果。當(dāng)一條線(xiàn)路掉線(xiàn)，會(huì)自動(dòng)改用另一個(gè)WAN連接端口的線(xiàn)路連接，確保VPN聯(lián)機(jī)不掉線(xiàn)，避免掉線(xiàn)時(shí)造成無(wú)形的損失與傷害。

強(qiáng)效防火墻有效防病毒攻擊：VPN防火墻，具備主動(dòng)式封包檢測(cè)功能，只需單向啟動(dòng)各式黑客攻擊、蠕蟲(chóng)病毒防護(hù)功能，即可簡(jiǎn)易完成配置，有效防止內(nèi)外網(wǎng)惡意攻擊，確保企業(yè)網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)受攻擊帶來(lái)的損失。具有內(nèi)建的防制ARP功能，憑借自動(dòng)檢視封包的機(jī)制，偵測(cè)過(guò)濾可疑的封包，做為防制ARP攻擊的第一道防線(xiàn)?？纱钆銲P /MAC雙向綁定，在路由器端以?xún)?nèi)網(wǎng)PC端進(jìn)行IP/MAC綁定，即可達(dá)到防堵ARP無(wú)漏洞的效果。論文參考網(wǎng)。

QoS帶寬治理優(yōu)化帶寬使用：視頻監(jiān)控多媒體傳輸需要有穩(wěn)定的帶寬，而少數(shù)BT下載等惡意占用帶寬造成網(wǎng)絡(luò)卡，經(jīng)常會(huì)造成客戶(hù)抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能，支持一周七天、一天三個(gè)時(shí)段采取不同的帶寬治理政策，依據(jù)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境、時(shí)段，自由選擇管控方式，達(dá)到帶寬利用率最佳化的目的。該功能包含有傳統(tǒng)QoS帶寬管控及智能SmartQoS治理，可依據(jù)聯(lián)機(jī)數(shù)、要害字、最大或最小帶寬等方式進(jìn)行管控，也可啟動(dòng)動(dòng)態(tài)智能治理，對(duì)于非凡的應(yīng)用或用戶(hù)進(jìn)行非凡限制。這個(gè)功能并不禁止特定的應(yīng)用，只是加以限制，從而更彈性的提供帶寬服務(wù)。

輕松實(shí)現(xiàn)了中心管控：同時(shí)治理外點(diǎn)多條VPN接入聯(lián)機(jī)，對(duì)于大部分網(wǎng)管來(lái)說(shuō)，是非常棘手的問(wèn)題，尤其是必須反復(fù)留心查詢(xún)各點(diǎn)聯(lián)機(jī)狀況、帶寬使用率、視頻監(jiān)控等信息，更是耗費(fèi)許多時(shí)間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問(wèn)題，其所具備的中心控管功能，可一次看清全部VPN聯(lián)機(jī)的情況，再也不必一一地檢查聯(lián)機(jī)的狀況。若需進(jìn)一步協(xié)助設(shè)定或排解問(wèn)題，網(wǎng)管也可直接進(jìn)入分點(diǎn)的治理接口查看或進(jìn)行設(shè)定治理，安全又有效率。

簡(jiǎn)易又方便的系統(tǒng)治理：Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面，所有設(shè)定參數(shù)與組態(tài)清楚明確、簡(jiǎn)單易懂，輕松完成網(wǎng)絡(luò)設(shè)置。還支持強(qiáng)大的系統(tǒng)日志功能，可通過(guò)對(duì)日志治理和查找，即時(shí)監(jiān)控系統(tǒng)狀態(tài)及內(nèi)外流量，進(jìn)而作對(duì)應(yīng)的配置，確保內(nèi)網(wǎng)運(yùn)作無(wú)誤。

支持多VPN協(xié)議外點(diǎn)靈活選擇：Qno俠諾高階產(chǎn)品系列，可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶(hù)端密鑰等多種連機(jī)方式，可滿(mǎn)足外點(diǎn)多種VPN彈性配置需求，實(shí)現(xiàn)總部中心端與各分點(diǎn)建構(gòu)實(shí)時(shí)、穩(wěn)定、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。由此可見(jiàn)，多通道多協(xié)議的特點(diǎn)完全能勝任企業(yè)擴(kuò)展及網(wǎng)絡(luò)視頻布點(diǎn)，而且外點(diǎn)可根據(jù)實(shí)際規(guī)劃與應(yīng)用，靈活選擇適用的方式接入中心端。

SmartLink VPN快速設(shè)定：俠諾SmartLinkVPN快速聯(lián)機(jī)，簡(jiǎn)化20多復(fù)雜設(shè)置步驟，將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動(dòng)完成，用戶(hù)只需要輸中心端服務(wù)器IP地址、用戶(hù)名、密碼三個(gè)參數(shù)，即可完成超快速VPN連機(jī)設(shè)定。

策略路由解決VPN跨網(wǎng)瓶頸：由于國(guó)內(nèi)長(zhǎng)期存在電信、網(wǎng)通互連不互通的問(wèn)題，許多企業(yè)建立VPN時(shí)會(huì)發(fā)生跨ISP網(wǎng)絡(luò)時(shí)帶寬不足，導(dǎo)致VPN不穩(wěn)定或易于掉線(xiàn)。俠諾多WAN口的設(shè)計(jì)，可搭配策略路由的設(shè)定，讓不同ISP外點(diǎn)可直接連到對(duì)應(yīng)VPN服務(wù)器入口，實(shí)現(xiàn)“電信走電信、網(wǎng)通走網(wǎng)通”，從而有效解決跨網(wǎng)受限問(wèn)題。

指定路由強(qiáng)化網(wǎng)絡(luò)穩(wěn)定性：另外一方面，多WAN口的設(shè)計(jì)，也提供了訪(fǎng)問(wèn)網(wǎng)絡(luò)快速穩(wěn)定的途徑。支持指定路由功能，可通過(guò)協(xié)議綁定，將特定的服務(wù)或應(yīng)用綁定在指定的端口，如WEB走WAN1，MAIL走WAN2等等，加速訪(fǎng)問(wèn)速度，進(jìn)一步保障網(wǎng)絡(luò)的穩(wěn)定性。也可將VPN綁定特定端口，保證VPN通道的穩(wěn)定流暢。

總結(jié)

通過(guò)以上介紹，可以看出，Qno俠諾多WAN VPN防火墻產(chǎn)品多項(xiàng)功能，都體現(xiàn)了俠諾簡(jiǎn)單、安全、快速的“3S”研發(fā)理念和貼近用戶(hù)需求的專(zhuān)心，幫助企業(yè)以較少的成本、時(shí)間與精力，達(dá)成高效、快速、安全的運(yùn)營(yíng)效能。非凡對(duì)于遠(yuǎn)程VPN視頻監(jiān)控服務(wù)來(lái)說(shuō)，在帶寬、安全性穩(wěn)定性等多方面都有較高要求，VPN遠(yuǎn)程視頻監(jiān)控解決方案，可有效保持企業(yè)總部和分支機(jī)構(gòu)間的隧道暢通，進(jìn)而保證其服務(wù)的穩(wěn)定性和可靠度，提高安全監(jiān)控的視頻質(zhì)量，當(dāng)異常事件發(fā)生時(shí)，可以在第一時(shí)間進(jìn)行處理。論文參考網(wǎng)?？芍^是最省成本、且最方便的解決途徑。

春節(jié)假期，偶然在街上碰到大學(xué)同學(xué)小張。多年不見(jiàn)話(huà)題就多了，在了解到本人現(xiàn)在所從事的是網(wǎng)絡(luò)安全技術(shù)方面的工作后，他像是碰到了大救星，一個(gè)勁兒要請(qǐng)客吃飯。原來(lái)，他利用這幾年打工的儲(chǔ)蓄獨(dú)立創(chuàng)業(yè)，加盟了一家全國(guó)聞名的服裝連鎖店，連鎖總店要求必須部署VPN信息網(wǎng)絡(luò)。年前，他便按照要求進(jìn)行了統(tǒng)一購(gòu)買(mǎi)了VPN設(shè)備，但是由于其設(shè)置和應(yīng)用過(guò)于復(fù)雜，對(duì)于作為網(wǎng)絡(luò)“外行”的人來(lái)說(shuō)，實(shí)在是有點(diǎn)難以應(yīng)付。此外，因?yàn)榻鹑谖C(jī)的影響，為了壓縮人力資源成本，他暫時(shí)還沒(méi)有聘請(qǐng)專(zhuān)業(yè)網(wǎng)管的計(jì)劃，正為這事上火。論文參考網(wǎng)。

其實(shí)，這種問(wèn)題在國(guó)內(nèi)數(shù)萬(wàn)家中小連鎖企業(yè)的經(jīng)營(yíng)治理過(guò)程中絕不是首例。產(chǎn)生這種矛盾的原因有兩點(diǎn)：專(zhuān)業(yè)化的高端設(shè)備滿(mǎn)足了企業(yè)的應(yīng)用需求，但是一般的兼職網(wǎng)管無(wú)法應(yīng)付其治理和維護(hù)；平民化的低端設(shè)備，使用和治理倒是比較簡(jiǎn)單，卻達(dá)不到企業(yè)信息化治理的全面需求。VPN網(wǎng)絡(luò)是未來(lái)企業(yè)發(fā)展的大勢(shì)所趨，但當(dāng)務(wù)之急是為企業(yè)提供最為合適的設(shè)備，即要能兼具安全與簡(jiǎn)便的基本特性。安全無(wú)須多說(shuō)，簡(jiǎn)便性就成了體現(xiàn)產(chǎn)品技術(shù)水平的最大差異化，也同樣彰顯了企業(yè)客戶(hù)在應(yīng)用上的突出需求之一。事實(shí)證實(shí)，其簡(jiǎn)便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀，得到了較好的市場(chǎng)效果。

篇（5）

2 綜合承載傳送網(wǎng)的組網(wǎng)結(jié)構(gòu)

綜合承載傳送網(wǎng)采用分層結(jié)構(gòu)組網(wǎng)，分為核心匯聚層和邊緣接入層。核心匯聚層組網(wǎng)結(jié)構(gòu)主要分為三種：環(huán)形組網(wǎng)、口字型組網(wǎng)和雙上聯(lián)組網(wǎng)。

山東聯(lián)通各地市組網(wǎng)主要采用環(huán)形和口字型組網(wǎng)方式。雙上聯(lián)組網(wǎng)和口字型組網(wǎng)結(jié)構(gòu)類(lèi)似，但由于需要耗費(fèi)大量的光纖資源或者波分波道資源，因此在實(shí)際組網(wǎng)時(shí)主要還是采用折中的口字型組網(wǎng)方式。

邊緣專(zhuān)業(yè)提供論文寫(xiě)作和寫(xiě)作論文的服務(wù)，歡迎光臨dylw.net接入層主要根據(jù)光纖資源情況，分為雙掛環(huán)形組網(wǎng)和單掛環(huán)形組網(wǎng)方式，一般光纖資源能保證的區(qū)域優(yōu)先選用雙掛方式，因?yàn)殡p掛方式除了能實(shí)現(xiàn)傳統(tǒng)的路徑保護(hù)（1：1 LSP）外，還能實(shí)現(xiàn)雙歸保護(hù)，從而避免匯聚設(shè)備單點(diǎn)故障引起的大面積掉站。

3 業(yè)務(wù)承載方案

3.1 業(yè)務(wù)承載需求

山東聯(lián)通綜合承載傳送網(wǎng)主要有兩大類(lèi)業(yè)務(wù)承載需求：

⑴基站回傳等自營(yíng)業(yè)務(wù)或者系統(tǒng)的承載需求：

具備IP化、以太化基站的接入能力，提供高可靠、大容量的基站回傳流量的承載；

滿(mǎn)足LTE網(wǎng)絡(luò)的承載需求，實(shí)現(xiàn)基站間靈活互訪(fǎng)、基站多歸屬、基站組播等承載能力；

能夠滿(mǎn)足動(dòng)力監(jiān)控、綜合業(yè)務(wù)接入網(wǎng)網(wǎng)管等各類(lèi)系統(tǒng)的承載需求。

⑵政企業(yè)務(wù)或者大客戶(hù)的承載需求：

⑶提供高可靠、大容量的二、三層VPN接入能力，能夠滿(mǎn)足點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)、多點(diǎn)到多點(diǎn)等二、三層VPN的組網(wǎng)需求；

⑷具備電路仿真能力，提供ATM/FR/DDN等電路的接入能力。

3.2 承載方案分析

山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案可歸結(jié)為三點(diǎn)：

⑴對(duì)于2G和3G基站的TDM業(yè)務(wù)，可以采用偽線(xiàn)方式一PWE3實(shí)現(xiàn)。并在核心節(jié)點(diǎn)采用CSTM1端口進(jìn)行匯聚。El業(yè)務(wù)一般采用SAToP方式，封裝幀數(shù)和抖動(dòng)緩存暫按設(shè)備缺省值取定。

⑵對(duì)于TDM、以太網(wǎng)、ATM等大客戶(hù)專(zhuān)線(xiàn)，應(yīng)采用相應(yīng)的偽線(xiàn)方式實(shí)現(xiàn)。對(duì)于L3VPN的大客戶(hù)專(zhuān)線(xiàn)，可采用核心匯聚層L3VPN加邊緣接入層偽線(xiàn)、層次化L3VPN等兩種方式實(shí)現(xiàn)。

⑶對(duì)于未來(lái)的LTE業(yè)務(wù)，分組傳送網(wǎng)絡(luò)需要承載s1和X2接口的流量。業(yè)務(wù)對(duì)IP轉(zhuǎn)發(fā)的層面要求將進(jìn)一步下移?？刹捎煤诵膮R聚層L3VPN或?qū)哟位疞3VPN到邊緣的方式。

不同廠家對(duì)于3G IP業(yè)務(wù)承載方案的推薦會(huì)有所不同，就山東聯(lián)通而言，基站數(shù)據(jù)域業(yè)務(wù)承載方式主要存在兩種，（1）L3VPN部署到邊緣-華為主推；（2）L3VPN部署到匯聚-中興和貝爾主推。兩者各有優(yōu)勢(shì)，L3VPN部署到邊緣需要為基站互聯(lián)端口分配IP地址，根據(jù)目前3G基站的IP地址分配規(guī)則，會(huì)涉及大量基站的IP地址調(diào)整，但符合中遠(yuǎn)期網(wǎng)絡(luò)的演進(jìn)思路；L3VPN部署到匯聚，基站IP地址的調(diào)整量將大大減少，與現(xiàn)有MSTP提供3G移動(dòng)回傳FE的業(yè)務(wù)提供方式、維護(hù)方式相似度高，利于分組傳送技術(shù)引入后網(wǎng)絡(luò)運(yùn)行維護(hù)的逐步過(guò)渡。

山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案如圖3和圖4：

4 綜合承載傳送網(wǎng)與RNC的互聯(lián)方案

目前，山東聯(lián)通2G/3G基站的電路域業(yè)務(wù)在核心機(jī)房均通過(guò)155M電路與BSC/RNC直接相連。3G基站的分組專(zhuān)業(yè)提供論文寫(xiě)作和寫(xiě)作論文的服務(wù)，歡迎光臨dylw.net域業(yè)務(wù)與RNC對(duì)接現(xiàn)網(wǎng)有兩種方式，一種是RNC直接與分組承載傳送網(wǎng)業(yè)務(wù)匯聚設(shè)備互連，另一種是RNC通過(guò)CE與分組承載傳送網(wǎng)互連。

在RNC直接與分組承載傳送網(wǎng)互聯(lián)情況下，若RNC的GE或STM-1接口不足，可采用以下方式：

4.1 RNC接入端口擴(kuò)容

通過(guò)對(duì)RNC的GE和STM-1端口成對(duì)擴(kuò)容，滿(mǎn)足與分組承載傳送網(wǎng)業(yè)務(wù)互聯(lián)的需求，同時(shí)可以減少對(duì)已有3G業(yè)務(wù)的影響。通過(guò)逐步割接，可將現(xiàn)有以MSTP網(wǎng)絡(luò)承載的3G分組業(yè)務(wù)割接到分組承載傳送網(wǎng)上。

4.2 RNC接入端口不方便擴(kuò)容

應(yīng)將MSTP上的分組業(yè)務(wù)在匯聚層或核心層直接割接到分組承載傳送網(wǎng)上。通過(guò)分組承載傳送網(wǎng)設(shè)備與RNC相連。

就山東聯(lián)通目前的組網(wǎng)而言，由于還存在著大規(guī)模的2G/3G基站采用MSTP傳輸接入，在一定的時(shí)間段內(nèi)無(wú)法保證IP化，因此還存在著核心設(shè)備與RNC有大量的CSTM-1口對(duì)接，RNC的擴(kuò)容在未來(lái)2-3年內(nèi)也將繼續(xù)進(jìn)行，也會(huì)帶來(lái)一定規(guī)模的GE口擴(kuò)容，因此中大型地市的綜合承載網(wǎng)與RNC互聯(lián)通過(guò)分組業(yè)務(wù)匯聚設(shè)備顯得更為合理。

5 傳輸背景人員快速融入IP RAN維護(hù)

引入分組傳送技術(shù)后，整個(gè)綜合承載傳送網(wǎng)解決方案都是以數(shù)通技術(shù)作為基礎(chǔ)，如何使傳輸背景人員快速融入IPRAN的建設(shè)維護(hù)顯得尤為重要，結(jié)合實(shí)際工作，建議從以下幾個(gè)方面入手：

5.1 比較傳統(tǒng)傳輸理念和IP化理念的異同

傳統(tǒng)的MSTP網(wǎng)絡(luò)屬于硬管道交換，所有業(yè)務(wù)都是建立端到端的連接通道占用固定帶寬，

但是綜合承載傳送不一樣，它既繼承了傳輸端到端OAM的特性，又有數(shù)據(jù)網(wǎng)絡(luò)逐跳建立連接的特性，整個(gè)網(wǎng)絡(luò)是一張彈性的網(wǎng)。我們可以借助傳統(tǒng)IP城域網(wǎng)的理念去類(lèi)比IPRAN技術(shù)的相關(guān)概念，深入理解數(shù)通相關(guān)知識(shí)。

5.2 深刻認(rèn)識(shí)全程全網(wǎng)和端到端業(yè)務(wù)理念

與傳統(tǒng)的MSTP一樣，綜合承載傳送網(wǎng)也需要建立端到端業(yè)務(wù)的概念，我們不僅僅需要理解分組網(wǎng)絡(luò)是如何進(jìn)行信息傳遞的，而且還需要把無(wú)線(xiàn)接入和核心網(wǎng)納入到我們關(guān)注的范圍，從NODEB和UTN如何連接，RNC與UTN如何對(duì)接，整個(gè)數(shù)據(jù)流進(jìn)入U(xiǎn)TN以后如何進(jìn)行封裝傳送等等，理解整個(gè)UTN、在配置數(shù)據(jù)排除故專(zhuān)業(yè)提供論文寫(xiě)作和寫(xiě)作論文的服務(wù)，歡迎光臨dylw.net障時(shí)才能得心應(yīng)手。

5.3 認(rèn)真學(xué)習(xí)實(shí)施方案

建議在工程建設(shè)期間認(rèn)真學(xué)習(xí)具體的實(shí)施方案，一般而言，廠家會(huì)根據(jù)設(shè)計(jì)文件完成具體的實(shí)施方案，從組網(wǎng)方案、拓?fù)湓O(shè)計(jì)及設(shè)備選型、IP地址規(guī)劃、路由部署設(shè)計(jì)、MPLS隧道設(shè)計(jì)、業(yè)務(wù)部署設(shè)計(jì)、可靠性設(shè)計(jì)、時(shí)鐘/網(wǎng)管同步設(shè)計(jì)、QOS部署設(shè)計(jì)等等。這個(gè)過(guò)程可以幫助你學(xué)習(xí)完成一張網(wǎng)搭建所需的所有知識(shí)。

5.4 熟練掌握網(wǎng)管

網(wǎng)管需要掌握相關(guān)的數(shù)通知識(shí)，如I-SIS/BGP/MPLS/VPN/RSVP TE等等，需要對(duì)解決方案中用到的知識(shí)點(diǎn)有個(gè)較深入的理解，另外一方 面我們又要熟練掌握網(wǎng)管的相關(guān)操作，在IPRAN的維護(hù)習(xí)慣上，我們更偏向于網(wǎng)管操作，不會(huì)像傳統(tǒng)數(shù)通設(shè)備維護(hù)那樣通過(guò)命令行進(jìn)行操作，但是網(wǎng)管操作的基礎(chǔ)又是數(shù)通知識(shí)，因?yàn)榫W(wǎng)管只是提供一個(gè)界面，提升效率，真正要配置的還是數(shù)通協(xié)議。理論和網(wǎng)管是IPRAN的兩個(gè)關(guān)鍵點(diǎn)，兩者相輔相成缺一不可，所以我們要同時(shí)加強(qiáng)這兩方面的技能。

5.5 工程隨工學(xué)習(xí)

更多的現(xiàn)場(chǎng)隨工學(xué)習(xí)可以幫助你快速提升，深入現(xiàn)場(chǎng)多操作設(shè)備，通過(guò)實(shí)際對(duì)比分IPRAN技術(shù)與MSTP傳統(tǒng)傳輸?shù)膮^(qū)別。工程建設(shè)期的隨工是一個(gè)很好的機(jī)會(huì)，因?yàn)楣こ探ㄔO(shè)期不用擔(dān)心業(yè)務(wù)是否受影響，操練起來(lái)能更充分。

6 結(jié)束語(yǔ)

篇（6）

    引言

    虛擬專(zhuān)用網(wǎng)即VPN(Virtual Private Network)是利用接入服務(wù)器(Access Sever)、廣域網(wǎng)上的路由器以及VPN專(zhuān)用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng)技術(shù)。通常利internet上開(kāi)展的VPN服務(wù)被稱(chēng)為IPVPN。

    利用共用的WAN網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個(gè)關(guān)鍵的問(wèn)題就是信息的安全問(wèn)題。為了解決此問(wèn)題,VPN采用了一系列的技術(shù)措施來(lái)加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

    1. 隧道技術(shù)

    Internet中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)?？偛亢头止镜絀SP的接入點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以?xún)?nèi)部IP地址表示的"目的地址A""源地址B"。因此分組到達(dá)分公司的VPN設(shè)備后,立即在它的前部加上與全局IP地址對(duì)應(yīng)的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過(guò)Internet中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后,全局IP地址即被刪除,恢復(fù)成IP分組發(fā)往地址A。由此可見(jiàn),隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在IP分組上添加新頭標(biāo),這就是所謂IP的封裝化。同時(shí)利用隧道技術(shù),還必須使得隧道的入口與出口相對(duì)地出現(xiàn)。

    基于隧道技術(shù)VPN網(wǎng)絡(luò),對(duì)于通信的雙方,感覺(jué)如同在使用專(zhuān)用網(wǎng)絡(luò)進(jìn)行通信。

    2. 隧道協(xié)議

    在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱(chēng)為封裝化。對(duì)封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用VPN技術(shù)還需要有隧道協(xié)議。

    2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類(lèi):

    ⑴ L2F(Layer 2 Forwarding)

    L2F是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器).

    ⑵ PTP(Point to point Tunnelimg protocol)

    PPTP協(xié)議又稱(chēng)為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP,IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。

    ⑶ 2TP(Layer 2 Tunneling Protocol)

    該協(xié)議是遠(yuǎn)程訪(fǎng)問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。

    L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶(hù)直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接,端口用戶(hù)可以在客戶(hù)側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱(chēng)作第二層隧道。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理,稱(chēng)其為第三層隧道,以區(qū)分于第二層隧道。

    ⑷ TMP/BAYDVS

    ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠(yuǎn)程訪(fǎng)問(wèn)的VPN協(xié)議,它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此,用戶(hù)可以不裝與VPN想適配的軟件。

    ⑸ PSEC

    IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。

    IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中,通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。

    從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類(lèi)是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類(lèi)技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層VPN "與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會(huì)話(huà)加密的SSLVPN技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類(lèi),將出現(xiàn)"四層VPN"、"五層VPN",分類(lèi)教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類(lèi)。

    2.2 改進(jìn)后的幾種隧道機(jī)制的分類(lèi)

    ⑴ J.Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類(lèi),將隧道分成四類(lèi)。分別是使用撥號(hào)方式的VPN,使用路由方式的VPN,使用專(zhuān)線(xiàn)方式的VPN和使用局域網(wǎng)仿真方式的VPLS。

    例如同樣是以太網(wǎng)的技術(shù),根據(jù)實(shí)際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來(lái)分類(lèi)也無(wú)法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實(shí)際應(yīng)用中對(duì)VPN技術(shù)選型造成誤導(dǎo)。

    ⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類(lèi)方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道。

    隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道,而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢(shì)。

    采用隔離型隧道技術(shù),則不存在以上問(wèn)題,可以根據(jù)實(shí)際需要,提供點(diǎn)對(duì)點(diǎn),點(diǎn)對(duì)多點(diǎn),多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?/p>

    3. 諸種安全與加密技術(shù)

    IPVPN技術(shù),由于利用了Internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來(lái)的是由于Internet技術(shù)的標(biāo)準(zhǔn)化和開(kāi)放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪(fǎng)問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此,利用IPVPN通信時(shí),應(yīng)比專(zhuān)線(xiàn)更加注意Internet接入點(diǎn)的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。[2]

    ⑴ 防火墻技術(shù)

    防火墻技術(shù),主要用于抵御來(lái)自黑客的攻擊。

    ⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)

    加密技術(shù)可以分為對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密(專(zhuān)用密鑰號(hào)與公用密鑰)。對(duì)稱(chēng)加密(或?qū)Ｓ眉用?也稱(chēng)常規(guī)加密,由通信雙方共享一個(gè)秘密密鑰。

    非對(duì)稱(chēng)加密,或公用密鑰,通信雙方使用兩個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的專(zhuān)用密鑰,另一個(gè)則是對(duì)應(yīng)的公用密鑰。任何一方都可以得到公用密鑰?；谒淼兰夹g(shù)的VPN虛擬專(zhuān)用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。

    參考文獻(xiàn)

篇（7）

圖書(shū)館在使用過(guò)程中由于涉及到版權(quán)保護(hù)，容易導(dǎo)致異地用戶(hù)或者外網(wǎng)用戶(hù)無(wú)法對(duì)其資源進(jìn)行訪(fǎng)問(wèn)。為了解決此問(wèn)題，一個(gè)典型的遠(yuǎn)程訪(fǎng)問(wèn)技術(shù)VPN(虛擬專(zhuān)用網(wǎng))正在被越來(lái)越廣泛的使用。本文在介紹虛擬專(zhuān)用網(wǎng)技術(shù)的基礎(chǔ)上，給出了基于VPN的圖書(shū)館資源遠(yuǎn)程訪(fǎng)問(wèn)解決方案。

1 VPN技術(shù)簡(jiǎn)介

VPN即虛擬專(zhuān)用網(wǎng)，SSL VPN是VPN的一種。其實(shí)現(xiàn)軟件既可以安裝在現(xiàn)有服務(wù)器上也可以固化在專(zhuān)業(yè)的硬件上?；谔摂M專(zhuān)用網(wǎng)的圖書(shū)館數(shù)字資源訪(fǎng)問(wèn)技術(shù)優(yōu)勢(shì)集中體現(xiàn)在以下幾個(gè)方面:

虛擬專(zhuān)用網(wǎng)的簡(jiǎn)單性。SSL VPN是最簡(jiǎn)單的一種解決遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)圖書(shū)館的形式。原因在于SSL協(xié)議是內(nèi)嵌于用戶(hù)瀏覽器中的，因此就舍去了客戶(hù)端上安裝軟件的步驟，用戶(hù)只需連接Internet，就能通過(guò)網(wǎng)頁(yè)訪(fǎng)問(wèn)圖書(shū)館資源。因此，通過(guò)VPN就可以在外網(wǎng)用戶(hù)和圖書(shū)館之間的建立一條專(zhuān)用的數(shù)據(jù)傳輸通道，客戶(hù)對(duì)資源的任何訪(fǎng)問(wèn)均需進(jìn)行安全的身份驗(yàn)證。

虛擬專(zhuān)用網(wǎng)的安全性。采取SSL VPN，攻擊者難以偵測(cè)出系統(tǒng)網(wǎng)絡(luò)設(shè)置，攻擊機(jī)會(huì)就會(huì)降低許多。通過(guò)SSL VPN進(jìn)行連接，還能夠在很大程度上低于病毒的侵害，保證了圖書(shū)館信息系統(tǒng)的安全運(yùn)行。

保護(hù)敏感的數(shù)據(jù)。結(jié)合不同用戶(hù)的身份，賦予其相應(yīng)的訪(fǎng)問(wèn)權(quán)限。通過(guò)用戶(hù)劃分，降低客戶(hù)端的維護(hù)工作量，保護(hù)了敏感數(shù)據(jù)，同時(shí)也實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng)在圖書(shū)館應(yīng)用的快速部署。

擴(kuò)展性強(qiáng)。隨著網(wǎng)絡(luò)的擴(kuò)張，虛擬專(zhuān)用網(wǎng)可以實(shí)現(xiàn)靈活的擴(kuò)展。如果圖書(shū)館需要添加新的用戶(hù)或新的子網(wǎng)，只需在VPN服務(wù)器上對(duì)已有網(wǎng)絡(luò)軟件配置進(jìn)行相應(yīng)的修改即可。

2 基于VPN的遠(yuǎn)程訪(fǎng)問(wèn)模式設(shè)計(jì)

2.1 SSL VPN 的具體部署方案

圖書(shū)館的SSL VPN所部署的位置是內(nèi)網(wǎng)的防火墻后面，結(jié)合具體的安全控制策略，為那些位置分散的用戶(hù)架設(shè)從公網(wǎng)進(jìn)入圖書(shū)館內(nèi)網(wǎng)信息資源的訪(fǎng)問(wèn)途徑。通常采取的方式為:對(duì)圖書(shū)館內(nèi)網(wǎng)的信息資源服務(wù)器進(jìn)行設(shè)置，使之為位于外部網(wǎng)絡(luò)的用戶(hù)提供虛擬地址，當(dāng)位于外網(wǎng)的用戶(hù)根據(jù)所提供的虛擬URL對(duì)圖書(shū)館內(nèi)網(wǎng)資源進(jìn)行訪(fǎng)問(wèn)時(shí)，由SSL VPN網(wǎng)關(guān)獲取來(lái)自用戶(hù)發(fā)起的連接，同時(shí)為遠(yuǎn)程客戶(hù)與服務(wù)器之間建立加密、解密的隧道，同時(shí)采取一定的訪(fǎng)問(wèn)控制策略，通過(guò)對(duì)用戶(hù)信息進(jìn)行認(rèn)證后，向不同的應(yīng)用服務(wù)器進(jìn)行映射。

結(jié)合圖書(shū)館用戶(hù)的實(shí)際情況，(大部分圖書(shū)館用戶(hù)均屬于公網(wǎng)用戶(hù))，在本文的設(shè)計(jì)中，以思科公司的產(chǎn)品應(yīng)用為例，選擇CiscoASA5510設(shè)備，利用其SSL VPN功能，布署于公網(wǎng)和策略分流交換機(jī)之間。具體的做法是:以思科CiscoASA 5510服務(wù)器實(shí)現(xiàn)Web VPN功能，用戶(hù)身份的驗(yàn)證由Radius Server服務(wù)器實(shí)現(xiàn)，處于外網(wǎng)的用戶(hù)通過(guò)所在的網(wǎng)絡(luò)服務(wù)商接入互聯(lián)網(wǎng)，之后向WebVPN服務(wù)器發(fā)出身份驗(yàn)證的請(qǐng)求，身份驗(yàn)證通過(guò)以后，就可以對(duì)圖書(shū)館內(nèi)網(wǎng)的圖書(shū)資源進(jìn)行訪(fǎng)問(wèn)。思科CiscoASA 5510服務(wù)器的外網(wǎng)接口與因特網(wǎng)相連，為此接口配置公網(wǎng)的IP地址，位于圖書(shū)館外網(wǎng)的用戶(hù)可以通過(guò)公網(wǎng)地址對(duì)其進(jìn)行訪(fǎng)問(wèn)，服務(wù)器的內(nèi)網(wǎng)接口連接策略分流交換機(jī)，為此接口配置圖書(shū)館內(nèi)網(wǎng)IP地址，使之可以和 Radius Server服務(wù)器進(jìn)行通訊，實(shí)現(xiàn)用戶(hù)身份的驗(yàn)證，用戶(hù)通過(guò)驗(yàn)證之后，就會(huì)被分配一個(gè)圖書(shū)館內(nèi)網(wǎng)的IP地址，就可以對(duì)圖書(shū)館資源服務(wù)器群進(jìn)行訪(fǎng)問(wèn)了。

2.2 SSL VPN的主要配置過(guò)程

以思科ASA5510內(nèi)置的SSL VPN功能構(gòu)建基于網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)服務(wù)器，需要設(shè)置的內(nèi)容包括DNS、網(wǎng)關(guān)和SSL VPN的接口地址等，在初始化設(shè)置之后，為共享圖書(shū)資源，還需要配置SSL VPN設(shè)備，下面對(duì)幾個(gè)關(guān)鍵的配置進(jìn)行介紹。 轉(zhuǎn)貼于

2.2.1 用戶(hù)認(rèn)證服務(wù)器的添加

因?yàn)橹荒茉试S一些特定的注冊(cè)用戶(hù)作為合法的外網(wǎng)用戶(hù)，所以，為了對(duì)用戶(hù)進(jìn)行身份的確認(rèn)，必須提供用戶(hù)名和密碼。圖書(shū)館遠(yuǎn)程訪(fǎng)問(wèn)的權(quán)限包括SSL VPN的使用期限和用戶(hù)的并發(fā)數(shù)。本文所選取的思科ASA5510服務(wù)器能夠兼容多種身份認(rèn)證協(xié)議，系統(tǒng)的管理員可以結(jié)合單位內(nèi)部的認(rèn)證服務(wù)器進(jìn)行認(rèn)證，也可以使用SSL VPN 內(nèi)部的自建帳號(hào)進(jìn)行認(rèn)證，本文推薦采用的認(rèn)證協(xié)議是Radius， 進(jìn)行如下配置:

#啟用radius協(xié)議認(rèn)證

#配置radius服務(wù)器的使用的key和IP 地址

#應(yīng)用于內(nèi)網(wǎng)口，配置VPN組使用radius協(xié)議

2.2.2 增設(shè)內(nèi)網(wǎng)資源和訪(fǎng)問(wèn)資源

在系統(tǒng)的資源管理中增設(shè)Web資源或APP資源。例如，在”姓名”一欄中寫(xiě)入用戶(hù)專(zhuān)屬的名字，例如”圖書(shū)館資源網(wǎng)”;在”描述”一欄中寫(xiě)入描述內(nèi)容;在”地址”一欄中寫(xiě)入訪(fǎng)問(wèn)網(wǎng)站的主機(jī)域名或是IP地址。然后執(zhí)行”Everything under this Url”和“Auto-allow Bookmark”，執(zhí)行完畢后，對(duì)學(xué)術(shù)期刊網(wǎng)的遠(yuǎn)程訪(fǎng)問(wèn)設(shè)置進(jìn)行保存。

2.2.3 用戶(hù)角色管理的設(shè)置

這一步驟的主要內(nèi)容是為用戶(hù)建立不同訪(fǎng)問(wèn)權(quán)限的角色，并將這些角色與圖書(shū)資源進(jìn)行關(guān)聯(lián)。這樣，就能讓不同角色的用戶(hù)在成功登陸SSL之后，能夠?qū)ο鄳?yīng)角色所具有權(quán)限的圖書(shū)館資源進(jìn)行訪(fǎng)問(wèn)。因?yàn)楸疚乃x擇的身份認(rèn)證是Radius協(xié)議，所以由radius服務(wù)器來(lái)完成用戶(hù)的建立和管理，此時(shí)思科ASA5510并不需要對(duì)本地用戶(hù)進(jìn)行建立，用戶(hù)管理的工作量顯著降低了。

2.2.4 外網(wǎng)用戶(hù)的訪(fǎng)問(wèn)

因?yàn)閳D書(shū)館內(nèi)網(wǎng)的ASA5510服務(wù)器與公網(wǎng)相連，所以對(duì)外提供Web VPN的地址就是外網(wǎng)口的 IP 地址。具有用戶(hù)身份的外網(wǎng)用戶(hù)在連接到因特網(wǎng)之后，輸入圖書(shū)館內(nèi)網(wǎng)地址就會(huì)接收到圖書(shū)館 SSL VPN的界面，用戶(hù)根據(jù)提示輸入ID和密碼，結(jié)果服務(wù)器認(rèn)證后，就能夠得到圖書(shū)館內(nèi)網(wǎng)的 IP地址以對(duì)圖書(shū)館資源進(jìn)行訪(fǎng)問(wèn)。

3 結(jié)語(yǔ)

虛擬專(zhuān)用網(wǎng)是目前網(wǎng)絡(luò)應(yīng)用發(fā)展的趨勢(shì)，隨著信息技術(shù)的發(fā)展和寬帶應(yīng)用的普及，人們對(duì)網(wǎng)絡(luò)依賴(lài)的日益增強(qiáng)，虛擬專(zhuān)用網(wǎng)應(yīng)用也將變得更加廣泛。對(duì)于圖書(shū)館服務(wù)而言，VPN正在得到廣泛的推廣與應(yīng)用，既能夠?yàn)閳D書(shū)館之間的資源共享提供網(wǎng)絡(luò)傳輸途徑，又可以為遠(yuǎn)程異地用戶(hù)提供資源服務(wù)，提高了圖書(shū)館資源利用效率，必將成為未來(lái)圖書(shū)館的發(fā)展方向。

參考文獻(xiàn)

[1] 張穎.利用VPN技術(shù)實(shí)現(xiàn)圖書(shū)館信息資源遠(yuǎn)程訪(fǎng)問(wèn)[J].情報(bào)探索，2008(7)69～70.

篇（8）

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2013）02-0032-03

0引言

隨著信息化進(jìn)程的加快，各個(gè)高校對(duì)校園信息化投入不斷增加，致力于建成數(shù)據(jù)交換與共享的數(shù)字化校園平臺(tái)。雖然目前很多學(xué)校已經(jīng)擁有了應(yīng)用管理系統(tǒng)、數(shù)據(jù)資源庫(kù)系統(tǒng)、公共通訊平臺(tái)，但這些網(wǎng)絡(luò)資源和辦公平臺(tái)常常受到網(wǎng)絡(luò)的限制，只能在校園內(nèi)部使用。本校2012年師生問(wèn)卷調(diào)查顯示：居住在外的教師、經(jīng)常出差的行政辦公人員以及在外實(shí)習(xí)的大四畢業(yè)生對(duì)于校外不能訪(fǎng)問(wèn)校內(nèi)數(shù)字化資源，均已感到極為不便。具體來(lái)說(shuō)，教師在外網(wǎng)不能登錄學(xué)習(xí)平臺(tái)批改作業(yè)；行政人員出差時(shí)，不能獲取部門(mén)統(tǒng)計(jì)數(shù)據(jù)；大四未在校的學(xué)生不能通過(guò)畢業(yè)設(shè)計(jì)系統(tǒng)提交論文。這些狀況即已表明目前校園的基礎(chǔ)網(wǎng)絡(luò)及其實(shí)現(xiàn)方案存在一定的不足，亟需新技術(shù)的應(yīng)用以解決校園外部訪(fǎng)問(wèn)校內(nèi)數(shù)字化資源的問(wèn)題。經(jīng)過(guò)廣泛，深入的調(diào)研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術(shù)方案。

1VPN 的原理及SSL VPN方案的優(yōu)勢(shì)

11VPN原理

VPN，即虛擬專(zhuān)用網(wǎng)絡(luò)，其含義指通過(guò)使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，利用“隧道”技術(shù)、認(rèn)證技術(shù)、加密技術(shù)以及控制訪(fǎng)問(wèn)等相應(yīng)技術(shù)向單位內(nèi)部專(zhuān)用網(wǎng)絡(luò)提供遠(yuǎn)程訪(fǎng)問(wèn)的連接方式[1]。VPN利用公用網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的專(zhuān)有連接，適用于移動(dòng)用戶(hù)、分支機(jī)構(gòu)以及遠(yuǎn)程用戶(hù)安全、穩(wěn)定地接入到內(nèi)部網(wǎng)絡(luò)。同時(shí)，VPN還向用戶(hù)提供了專(zhuān)用網(wǎng)絡(luò)所獨(dú)具的功能，但其本身卻不是一種真正意義上的獨(dú)立物理網(wǎng)絡(luò)，沒(méi)有固定物理線(xiàn)路連接。近年來(lái)，VPN技術(shù)已經(jīng)大量應(yīng)用于高校的移動(dòng)辦公，并且在數(shù)字化資源的多校區(qū)數(shù)據(jù)訪(fǎng)問(wèn)方面也有著廣泛應(yīng)用。VPN遠(yuǎn)程訪(fǎng)問(wèn)的思路是，用戶(hù)在網(wǎng)絡(luò)覆蓋的任意地點(diǎn)，首先，通過(guò)ADSL或者LAN方式接入互聯(lián)網(wǎng)；其后，通過(guò)撥號(hào)校園網(wǎng)的VPN網(wǎng)關(guān)，構(gòu)建一條從用戶(hù)所在網(wǎng)絡(luò)地址到校園網(wǎng)的二層隧道；而后是VPN服務(wù)器給用戶(hù)分配相應(yīng)的校園網(wǎng)地址，從而實(shí)現(xiàn)校園網(wǎng)數(shù)字化資源的遠(yuǎn)程訪(fǎng)問(wèn)[2]。

12兩種VPN方案的對(duì)比

按照協(xié)議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術(shù)是由IP安全體系架構(gòu)協(xié)議來(lái)提供隧道的安全保障，IPsec協(xié)議是一組協(xié)議套件，包括安全協(xié)議、加密算法、認(rèn)證算法、密鑰管理協(xié)議等[3]。IPsec VPN構(gòu)建于網(wǎng)絡(luò)層，通過(guò)對(duì)數(shù)據(jù)的加密和認(rèn)證來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⒈Ｃ苄院退接行?，最適合Site to Site之間的虛擬專(zhuān)用網(wǎng)。相比之下，SSL VPN采用的是SSL安全套接層協(xié)議，構(gòu)建于網(wǎng)絡(luò)的應(yīng)用層。SSL VPN方案無(wú)需安裝客戶(hù)端軟件，經(jīng)過(guò)認(rèn)證的用戶(hù)是通過(guò)Web瀏覽器而接入網(wǎng)絡(luò)，適用于Point to Site的連接方式?？傮w來(lái)看，相比于IPsec VPN方案，SSL VPN方案有三點(diǎn)優(yōu)勢(shì)，具體如下。

（1）兼容性較好。SSL VPN適用于現(xiàn)存的各款操作系統(tǒng)和使用終端，對(duì)用戶(hù)也無(wú)任何特殊的操作要求。用戶(hù)不需要下載客戶(hù)端，由此免去了對(duì)客戶(hù)端軟件的更新升級(jí)、配置維護(hù)，否則，在進(jìn)行VPN策略調(diào)整的時(shí)候，其管理難度將呈幾何級(jí)數(shù)的增長(zhǎng)。SSL VPN方案只需在普通的瀏覽器中內(nèi)嵌入SSL協(xié)議，就可以使客戶(hù)端簡(jiǎn)便、安全地訪(fǎng)問(wèn)內(nèi)網(wǎng)信息，維護(hù)成本較低。

（2）提供更為精細(xì)的訪(fǎng)問(wèn)控制。由于校園網(wǎng)內(nèi)、外部流量均經(jīng)過(guò)VPN硬件設(shè)備，由此在服務(wù)器端就可以控制其資源以及URL的訪(fǎng)問(wèn)。SSL VPN方案具備接入控制的功能，可提供用戶(hù)級(jí)別鑒定，確證只有一定權(quán)限之上的用戶(hù)才能訪(fǎng)問(wèn)校園網(wǎng)內(nèi)的特定網(wǎng)絡(luò)資源。比如大四在外的實(shí)習(xí)學(xué)生只具有期刊檢索的訪(fǎng)問(wèn)功能，而在外的辦公行政人員還可以訪(fǎng)問(wèn)某個(gè)特定部門(mén)的相關(guān)數(shù)據(jù)。

（3）具備更強(qiáng)的安全性。IPsec是基于網(wǎng)絡(luò)層的VPN方案，對(duì)IP應(yīng)用均是高度透明的。而SSL VPN是基于應(yīng)用層的，在Web的應(yīng)用防護(hù)方面更具一定優(yōu)勢(shì)。某些高端的SSL VPN產(chǎn)品同樣支持文件共享、網(wǎng)絡(luò)鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應(yīng)用。2SSL-VPN的關(guān)鍵技術(shù)及性能分析

21訪(fǎng)問(wèn)控制技術(shù)

訪(fǎng)問(wèn)控制技術(shù)是由VPN服務(wù)的提供者根據(jù)用戶(hù)的身份標(biāo)志對(duì)訪(fǎng)問(wèn)某些信息項(xiàng)進(jìn)行相應(yīng)操控的作用機(jī)制。目前，通用的VPN方案中，常常是由系統(tǒng)管理員來(lái)控制相關(guān)用戶(hù)的訪(fǎng)問(wèn)權(quán)限。作為安全的VPN設(shè)備，SSL VPN可通過(guò)“組”策略對(duì)應(yīng)用進(jìn)行訪(fǎng)問(wèn)控制[4]。有些SSL VPN產(chǎn)品可以將Web應(yīng)用定義為一系列的URL，而組和用戶(hù)則可允許和禁止訪(fǎng)問(wèn)相應(yīng)的應(yīng)用。其它一些SSL VPN產(chǎn)品可以提供更為精細(xì)的高級(jí)控制，控制策略不僅含有“允許”和“禁止”，還包括用戶(hù)能訪(fǎng)問(wèn)的資源列表以及對(duì)這些資源的操作權(quán)限控制。由于SSL VPN工作在網(wǎng)絡(luò)的應(yīng)用層，管理員可以基于應(yīng)用需求、用戶(hù)特征以及TCP/IP端口進(jìn)行嚴(yán)密的訪(fǎng)問(wèn)控制策略設(shè)置。SSL VPN還能通過(guò)瀏覽器中的參數(shù)支持動(dòng)態(tài)訪(fǎng)問(wèn)部署策略，管理員可以依據(jù)用戶(hù)身份、設(shè)備類(lèi)型、網(wǎng)絡(luò)信任級(jí)別、會(huì)話(huà)參數(shù)等各型因子，定義不同的會(huì)話(huà)角色，并給與不同的訪(fǎng)問(wèn)權(quán)限。另外，基于用戶(hù)的訪(fǎng)問(wèn)控制需要維護(hù)大量的用戶(hù)信息，當(dāng)前最流行的控制策略則是基于角色的訪(fǎng)問(wèn)控制，在握手協(xié)議的過(guò)程中統(tǒng)一集成訪(fǎng)問(wèn)控制的基礎(chǔ)功能，再將資源的控制權(quán)交托于可信的授權(quán)管理模型。

22性能分析

VPN的性能指標(biāo)值對(duì)校園網(wǎng)中關(guān)鍵業(yè)務(wù)的應(yīng)用實(shí)現(xiàn)具有直接影響，在設(shè)計(jì)數(shù)字化校園的VPN詳盡方案之前，有必要了解其性能指標(biāo)。SSL VPN中，常見(jiàn)的性能指標(biāo)有連接速率、網(wǎng)絡(luò)延遲、加密吞吐量、并發(fā)用戶(hù)數(shù)，等。其中，連接速率表示了SSL VPN系統(tǒng)每秒鐘可建立或終止的最大會(huì)話(huà)連接數(shù)目，用以度量被測(cè)VPN設(shè)備在單位時(shí)間內(nèi)交易事務(wù)的處理能力[5]。可以通過(guò)添置SSL硬件加速卡、提高控制速率上限等舉措來(lái)改善其性能。另外，SSL VPN使用的是非對(duì)稱(chēng)加密算法，這就導(dǎo)致VPN服務(wù)器的CPU將在高負(fù)荷狀況下處理SSL的加解密。而對(duì)于這種計(jì)算密集型的加解密操作，為了保障服務(wù)器能夠正常工作，既可以限制SSL會(huì)話(huà)的數(shù)量，也可以添加服務(wù)器的數(shù)目。只是這兩種方式各有利弊，若限制會(huì)話(huà)數(shù)目，就會(huì)出現(xiàn)高峰期間的部分用戶(hù)無(wú)法連接服務(wù)器，而添加服務(wù)器數(shù)目又會(huì)大幅增加VPN系統(tǒng)的財(cái)務(wù)用度。因而，通常情況下，使用SSL加速器來(lái)提升加解密速度，進(jìn)入SSL的數(shù)據(jù)流由加速器解密并傳給服務(wù)器，而外流的數(shù)據(jù)又經(jīng)過(guò)加速器加密再回傳給客戶(hù)。服務(wù)器方面，只需要處理簡(jiǎn)單的SSL請(qǐng)求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數(shù)字化校園解決方案

31需求分析與設(shè)計(jì)目標(biāo)

校園數(shù)字化資源中集結(jié)了多種重要的數(shù)據(jù)庫(kù)以及多款辦公軟件。大四年級(jí)的學(xué)生會(huì)經(jīng)常需要登錄畢業(yè)設(shè)計(jì)系統(tǒng)上傳學(xué)科論文；校外居住的教師也需要登錄圖書(shū)館期刊檢索系統(tǒng)，下載專(zhuān)業(yè)文獻(xiàn)；另外，因公在外的招生、財(cái)務(wù)人員又需要及時(shí)獲取部門(mén)的數(shù)字化信息，并借助辦公自動(dòng)化的高端平臺(tái)與其它部門(mén)順暢溝通。上述校園網(wǎng)的這些外部訪(fǎng)問(wèn)通常都是不確定的動(dòng)態(tài)IP地址，在數(shù)據(jù)庫(kù)服務(wù)器的安全策略中多會(huì)將之認(rèn)定為是非法用戶(hù)而遭到拒絕。因此，在外部訪(fǎng)問(wèn)校園網(wǎng)之?dāng)?shù)字化校園時(shí)，就需要研發(fā)一個(gè)遠(yuǎn)程訪(fǎng)問(wèn)方案，該方案可將合法的非授權(quán)校外地址轉(zhuǎn)化為授權(quán)的校園網(wǎng)內(nèi)地址。此方案需要考慮的用戶(hù)有三種，分別是：在外居住的教師、大四實(shí)習(xí)生以及在外辦公的行政人員。

32系統(tǒng)體系結(jié)構(gòu)

經(jīng)過(guò)實(shí)地調(diào)研和深入分析，采用了SSL VPN架構(gòu)，具體框架如圖1所示。

由圖1可知，這是一個(gè)基于Web模式的SSL VPN系統(tǒng)，在用戶(hù)和應(yīng)用服務(wù)器之間構(gòu)建了一個(gè)安全的信息傳遞通道。其中，SSL VPN服務(wù)器相當(dāng)于一個(gè)網(wǎng)關(guān)，且具備雙重身份。對(duì)用戶(hù)而言，這是服務(wù)器，負(fù)責(zé)提供基于證書(shū)的身份鑒別；對(duì)應(yīng)用服務(wù)器而言，則屬于客戶(hù)端的身份，并向服務(wù)器遞交訪(fǎng)問(wèn)申請(qǐng)。由此，通過(guò)在防火墻后安裝VPN設(shè)備，校外用戶(hù)只需要打開(kāi)IE瀏覽器，就可以訪(fǎng)問(wèn)到校園數(shù)字化資源的URL。其后，SSL VPN 設(shè)備將取得連接并驗(yàn)證用戶(hù)的身份，此時(shí)SSL服務(wù)器就會(huì)將連接映射到不同應(yīng)用的服務(wù)器上。而且方案中又采用了技術(shù)，所有成功接入SSL VPN系統(tǒng)的校外用戶(hù)都可以全面訪(fǎng)問(wèn)LAN口所能獲得的數(shù)字化資源。本系統(tǒng)還具備較高的傳輸性能，優(yōu)先考慮SSL VPN服務(wù)器的性能，將需要消耗大量資源的加解密工作交給加速器。實(shí)現(xiàn)過(guò)程中，采用的設(shè)備是由Cisco ASA建立Web VPN服務(wù)器，而將Radius Server作為驗(yàn)證用戶(hù)身份的服務(wù)器。

33改進(jìn)型安全策略——基于角色的控制

本校SSL VPN系統(tǒng)采用的是基于角色的訪(fǎng)問(wèn)控制策略，既包括用戶(hù)安全認(rèn)證的接口也包括用戶(hù)訪(fǎng)問(wèn)的資源列表。實(shí)際上，校園網(wǎng)系統(tǒng)的用戶(hù)認(rèn)證和訪(fǎng)問(wèn)控制均在控制協(xié)議部分獲得實(shí)現(xiàn)，可以在此過(guò)程中添加角色的訪(fǎng)問(wèn)控制。通過(guò)在證書(shū)中集成角色屬性，系統(tǒng)在進(jìn)行安全認(rèn)證時(shí)，就可以同步實(shí)現(xiàn)角色驗(yàn)證。VPN系統(tǒng)在明確用戶(hù)角色屬性的基礎(chǔ)上確定其訪(fǎng)問(wèn)權(quán)限，而后給出該用戶(hù)可以訪(fǎng)問(wèn)的資源列表信息。另外，用戶(hù)在登錄VPN系統(tǒng)時(shí)，還需要在登錄界面輸入身份信息。

4結(jié)束語(yǔ)

隨著校外用戶(hù)對(duì)數(shù)字化校園資源訪(fǎng)問(wèn)需求的日益迫切增長(zhǎng)，使得VPN技術(shù)也隨之廣受關(guān)注[6]。為了給予校外訪(fǎng)問(wèn)、使用校園數(shù)字化資源提供更大便利，因而在綜合考慮本校實(shí)際用戶(hù)數(shù)量和主要用戶(hù)角色的基礎(chǔ)上，由網(wǎng)絡(luò)中心主持設(shè)計(jì)并全面實(shí)現(xiàn)了SSL VPN系統(tǒng)。目前，本校SSL VPN系統(tǒng)運(yùn)轉(zhuǎn)良好，能夠滿(mǎn)足現(xiàn)有的使用需求，并且也具備了一定的擴(kuò)展能力。當(dāng)然，該實(shí)施方案并不是唯一可選，當(dāng)校園網(wǎng)的VPN用戶(hù)數(shù)量并不多、要求也不高時(shí)，就可以考慮軟件型VPN方案。不然，還可通過(guò)購(gòu)買(mǎi)專(zhuān)業(yè)的VPN設(shè)備打造高水準(zhǔn)、高級(jí)別的SSL VPN系統(tǒng)。

參考文獻(xiàn)：

[1]王達(dá). 虛擬專(zhuān)用網(wǎng)（VPN）精解[M]. 北京：清華大學(xué)出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術(shù)實(shí)現(xiàn)高校圖書(shū)館資源共享[J]. 情報(bào)科學(xué)，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2004，25（4）：186-188.

篇（9）

0引言

隨著電力信自、化水平的不斷提高，縣級(jí)供電企業(yè)綜合管理信息系統(tǒng)開(kāi)始逐步建立，但基層變電站、鄉(xiāng)鎮(zhèn)供電聽(tīng)與供電公司局域網(wǎng)聯(lián)網(wǎng)問(wèn)題嚴(yán)重地制約著縣級(jí)供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用，這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶(hù)的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響，解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問(wèn)題成為縣級(jí)供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。

1廬江供電公司信息化建設(shè)現(xiàn)狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動(dòng)化OA的單軌制運(yùn)行，總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率。如今，廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動(dòng)化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財(cái)務(wù)服務(wù)器。力、公用微機(jī)80多臺(tái)，每位管理人員以及每個(gè)班組都配有微機(jī)。

在實(shí)施信息化建設(shè)與管理中，深深體會(huì)到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理、物資管理、項(xiàng)目管理、資料管理等方面的管理成本，并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類(lèi)編號(hào)，輸人數(shù)據(jù)庫(kù)，實(shí)行設(shè)備、設(shè)施缺陷管理，科學(xué)地制定缺陷檢修計(jì)劃，提高設(shè)備運(yùn)行可靠度，降低故障率，提高供電可靠性;同時(shí)，廬江供電公司的營(yíng)銷(xiāo)管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)、電量電費(fèi)f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢(xún)系統(tǒng)，通過(guò)這些系統(tǒng)，可方便與客戶(hù)的交流、溝通，節(jié)約成本開(kāi)支，實(shí)現(xiàn)科學(xué)化營(yíng)銷(xiāo)流程管理。這些管理信息系統(tǒng)的應(yīng)用，加強(qiáng)J’企業(yè)的規(guī)范化管理，增強(qiáng)了管理的科學(xué)化水平，減輕了工作人員的負(fù)擔(dān)，提高了企業(yè)的經(jīng)濟(jì)效益。

為此，廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營(yíng)銷(xiāo)MIS應(yīng)用系統(tǒng)的推進(jìn)力度，進(jìn)一步減輕了抄表人員的負(fù)擔(dān)，縮短了開(kāi)票時(shí)間，加強(qiáng)了電費(fèi)電價(jià)的控制與管理，提高了營(yíng)銷(xiāo)管理自動(dòng)化水平。全縣17個(gè)鄉(xiāng)鎮(zhèn)供電聽(tīng)，都使用同一版本的營(yíng)銷(xiāo)MIS應(yīng)用系統(tǒng)。舟個(gè)供電聽(tīng)都有3臺(tái)以上的微機(jī)，其中1臺(tái)所長(zhǎng)用于日常辦公，另外2臺(tái)分別作為用電MIS系統(tǒng)的服務(wù)器與客戶(hù)端，并兼為所里其他工作人員辦公使用。其中，已有10個(gè)供電所可利用變電站的光纖系統(tǒng)，與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高了工作效率，節(jié)省了開(kāi)支。其余7個(gè)供電所仍不能夠?qū)崿F(xiàn)信息化共享，這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。

2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程

這些供電所若使用以前的光纖聯(lián)網(wǎng)方式，不僅投資大，施工工期長(zhǎng)，而且日后的維護(hù)量也多?？紤]到以上原因，為盡快解決其余7個(gè)光纖未開(kāi)通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問(wèn)題，達(dá)到信息、共享，推廣鄉(xiāng)鎮(zhèn)供電所的營(yíng)銷(xiāo)MIS系統(tǒng)應(yīng)用，公司決定采用虛擬局域網(wǎng)(VPN)，在現(xiàn)有設(shè)備基礎(chǔ)上，進(jìn)行簡(jiǎn)單的改造。通過(guò)在VPN網(wǎng)關(guān)中配置7個(gè)供電所的用戶(hù)、密碼以及訪(fǎng)問(wèn)策略，并分別在7個(gè)供電所安裝VPN客戶(hù)端，安裝公司的MIS應(yīng)用系統(tǒng)，實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN ， Virtual Private Network ) 。 VPN是一個(gè)被加密或封裝的通信過(guò)程，該過(guò)程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來(lái)保障，而數(shù)據(jù)是在一個(gè)開(kāi)放的、沒(méi)有安全保障的、經(jīng)過(guò)路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性、完整性、不可抵賴(lài)性”問(wèn)題。

3方案效果比較

對(duì)2種方案的可能性進(jìn)行了比較，如圖1所示。如果廬江供電公司全部運(yùn)用光纖法來(lái)實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián)，每個(gè)供電所的材料費(fèi)、施工費(fèi)按3.5萬(wàn)元，施工工期10天計(jì)算，7個(gè)供電所就需要3.5 x 7=24.5萬(wàn)元，需要10 x 7=70天。若這7個(gè)供電所采用VPN方案，只需要購(gòu)買(mǎi)VPN網(wǎng)關(guān)1臺(tái)，價(jià)值3.5萬(wàn)元和7個(gè)客戶(hù)端鑰匙，價(jià)值7 x 480=3360元，5天內(nèi)就能完成7個(gè)供電所安裝。因此，應(yīng)用VPN方案，廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬(wàn)元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線(xiàn)路維護(hù)所需要工作量。

現(xiàn)在，這7個(gè)鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng)，在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s，生產(chǎn)MIS系統(tǒng)響應(yīng)時(shí)間為2--3 s，辦公自動(dòng)化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時(shí)間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對(duì)稱(chēng)數(shù)字環(huán)路，所以發(fā)送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運(yùn)行效果來(lái)看，完全能夠滿(mǎn)足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。

4下一步信息化建設(shè)的主攻方向

篇（10）

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對(duì)于企業(yè)和一些跨區(qū)域?qū)ｉT(mén)從事特定業(yè)務(wù)的部門(mén)，從經(jīng)濟(jì)實(shí)用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來(lái)，看VPN技術(shù)無(wú)疑是一種不錯(cuò)的選擇。下面就VPN技術(shù)的實(shí)現(xiàn)做一下粗淺的分析:

1 VPN簡(jiǎn)介

虛擬專(zhuān)用網(wǎng)(VirtuaIPrivateNetwork， VPN)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶(hù)一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。VPN極大地降低了用戶(hù)的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。

VPN可分為三大類(lèi):(1)企業(yè)各部門(mén)與遠(yuǎn)程分支之間的In-tranet VPN;(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動(dòng))雇員之間的遠(yuǎn)程訪(fǎng)問(wèn)(Re-mote Access)VPN;(3)企業(yè)與合作伙伴、客戶(hù)、供應(yīng)商之間的Extranet VPNo

在ExtranetVPN中，企業(yè)要與不同的客戶(hù)及供應(yīng)商建立聯(lián)系，VPN解決方案也會(huì)不同。因此，企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點(diǎn)到點(diǎn)隧道協(xié)議(PointtoPoint Tunneling Protocol，PPTP)、第二層隧道協(xié)議(layer2 Tunneling Protocol，I，2TP)等。

2 VPN的實(shí)現(xiàn)技術(shù)

VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。

2.1 VPN訪(fǎng)問(wèn)點(diǎn)模型

首先提供一個(gè)VPN訪(fǎng)問(wèn)點(diǎn)功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。

2.2隧道技術(shù)

隧道技術(shù)簡(jiǎn)單的說(shuō)就是:原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generi-cRoutingEncapsulation， GRE )I，2TP和PPTPo

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過(guò)隧道的報(bào)文用一個(gè)新的報(bào)文頭(GRE報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放人隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí)，GRE報(bào)文頭被剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許一點(diǎn)到多點(diǎn)，即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一條路由協(xié)議(Next-HopRoutingProtocol ， NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來(lái)建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來(lái)看，VPN就象是通過(guò)普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接，配置成一個(gè)或多個(gè)隧道。在GRE隧道技術(shù)中人口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間，而在隧道中流動(dòng)的原始報(bào)文用的是VPN的地址空間，這樣反過(guò)來(lái)就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來(lái)，多個(gè)VPN可以重復(fù)利用同一個(gè)地址空間而沒(méi)有沖突，這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來(lái)。從而滿(mǎn)足了VPN的關(guān)鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有，對(duì)許多VPN所支持的體系結(jié)構(gòu)來(lái)說(shuō)，用同一種格式來(lái)支持多種協(xié)議同時(shí)又保留協(xié)議的功能，這是非常重要的。IP路由過(guò)濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開(kāi)來(lái)。基于隧道技術(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對(duì)VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合，VPN能夠用其路由協(xié)議穿過(guò)符合VPN管理要求的虛擬網(wǎng)。同樣，主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案，而不必受VPN用戶(hù)網(wǎng)絡(luò)的路由協(xié)議限制。

雖然GRE隧道技術(shù)有很多優(yōu)點(diǎn)，但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn)，例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的，所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點(diǎn)改變，隧道要重新配置。隧道也可自動(dòng)配置，但有缺點(diǎn)，如不能考慮相關(guān)路由信息、性能問(wèn)題以及容易形成回路問(wèn)題。一旦形成回路，會(huì)極大惡化路由的效率。除此之外，通信分類(lèi)機(jī)制是通過(guò)一個(gè)好的粒度級(jí)別來(lái)識(shí)別通信類(lèi)型。如果通信分類(lèi)過(guò)程是通過(guò)識(shí)別報(bào)文(進(jìn)人隧道前的)進(jìn)行的話(huà)，就會(huì)影響路由發(fā)送速率的能力及服務(wù)性能。

GRE隧道技術(shù)是用在路由器中的，可以滿(mǎn)足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪(fǎng)問(wèn)VPN中，多數(shù)用戶(hù)是采用撥號(hào)上網(wǎng)。這時(shí)可以通過(guò)L2TP和PPTP來(lái)加以解決。

(2)L2TP和PPTP

L2TP是L2F( Layer2Forwarding)和PPT’I〕的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP，因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶(hù)初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動(dòng)’，隧道，后者指“強(qiáng)制”隧道?！爸鲃?dòng)”隧道是用戶(hù)為某種特定目的的請(qǐng)求建立的，而“強(qiáng)制”隧道則是在沒(méi)有任何來(lái)自用戶(hù)的動(dòng)作以及選擇的情況下建立的。L2TP作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶(hù)與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下:

a.用戶(hù)通過(guò)Modem與NAS建立連接;b.用戶(hù)通過(guò)NAS的L2TP接入服務(wù)器身份認(rèn)證;;c.在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道;d.用戶(hù)與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocol， PPP)訪(fǎng)問(wèn)服務(wù)隧道;e.用戶(hù)通過(guò)該隧道獲得VPN服務(wù)。

與之相反的是，PPTP作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且，PPTP協(xié)商和隧道建立過(guò)程都沒(méi)有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過(guò)程如下:a.用戶(hù)通過(guò)串口以撥號(hào)IP訪(fǎng)問(wèn)的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù);b.用戶(hù)通過(guò)路由信息定位PPTP接入服務(wù)器;c.用戶(hù)形成一個(gè)PPTP虛擬接口;d.用戶(hù)通過(guò)該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪(fǎng)問(wèn)服務(wù)隧道;e.用戶(hù)通過(guò)該隧道獲得VPN服務(wù)。

在L2TP中，用戶(hù)感覺(jué)不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對(duì)NAS是透明的;NAS不需要知道PPTP接入服務(wù)器的存在，只是簡(jiǎn)單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶(hù)手中。硯TP比PPTP更安全，因?yàn)槌嶵P接入服務(wù)器能夠確定用戶(hù)從哪里來(lái)的。硯TP主要用于比較集中的、固定的VPN用戶(hù)，而PPTP比較適合移動(dòng)的用戶(hù)。

2.3加密技術(shù)

數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專(zhuān)業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強(qiáng)度比較高，可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”:加密只在路由器中進(jìn)行，而終端與第一條路由之間不加密。這種方法不太安全，因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案，VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒(méi)有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的，需要特別的加密硬件。