VPN在企业中应用

VPN在企业中应用（精选10篇）

VPN在企业中应用 第1篇

防火墙、电子护照、各种认证加密方法来来弥补因特网的不足,但都有其各自的局限性。虚拟专用网为有安全需求的用户重返因特网提供了一种可能。关键性的加密技术、认证技术、隧道协议的无缝结合,使得在公用因特网的基础上建立安全的虚拟专用网成为可能。虚拟专用网(VPN)结合了因特网和专用网的优点,同时也弥补了两者的缺点,使Internet再次成为组成无限商机的宝藏。

1 VPN分类

1.1 按接入方式划分

(1)专线VPN

专线VPN是为已经通过专线接入ISP路由器的用户提供的VPN实现方案。

(2)拨号VPN

拨号VPN是为通过PSTN或ISDN拨号接入ISP的用户提供的VPN实现方案。这种VPN方式是目前最主要的VPN解决方案。

1.2 按隧道协议所属的层次划分

(1)第二层隧道协议

第二层隧道建立在链路层,此协议先要把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有PPTP,L2F,L2TP等。

(2)第三层隧道协议

第三层隧道协议即网络层隧道协议,此协议把各种网络协议直接装入隧道协议中,形成数据包来传输。现有的第三层隧道协议主有是:通用路由封装协议GRE,IP安全协议IPsec。

1.3 按VPN的发起主体不同来划分

(1)基于客户

VPN服务提供的起始点和终止点是面向客户的。需要客户和隧道服务器(或网关)方安装隧道软件。客户方的软件发起隧道,在单位隧道服务器处终止隧道。经过对用户身份和口令的验证,客户方和隧道服务器极易建立隧道。隧道一经建立,用户就会感到通信的进行似乎不再有ISP参与。

(2)基于网络

在单位中心部门和ISP处安装VPN软件,客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对VPN客户完全透明。

1.4 按VPN的业务类型划分

按服务类型划分,VPN业务可以大致分为三类:接入网VPN、企业内部网VPN和企业外部网VPN。

(1)接入网VPN

是一种拨号方式的VPN,是企业员工或企业的小分支机构通过公网远程拨号的方式构筑的VPN,用户与网络通过VPN互联的示意图如1所示。

(2)企业内部网VPN

企业的总部与分支机构之间通过公网构筑的VPN网络。

(3)企业外部网VPN

即不同企业间通过公网来构筑的VPN网络。

通常把企业内部网和企业外部网VPN都归为专线VPN,结构如图2所示。

1.5 按VPN的应用平台划分

VPN的应用平台分为3类:软件平台和专用硬件平台。

(1)软件平台

对数据传输速率要求不高,对性能和安全性需求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能,如Checkpoint software,Aventail Corp等公司的产品。甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。

(2)专用硬件平台

专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com等,国内的如华为、联想等。

2 各种企业的需求及VPN解决方案

不同规模的企业,对远程传输数据信息的安全性要求不同,下面将按企业的规模来分析企业的需求和VPN解决方案。

2.1 小型企业

(1)需求分析

综合小型企业的特点和目前发展现状,小型企业对信息安全的需求是存在的,要求见效快,产品使用维护方便,但是企业所能投入信息化的资金有限,因此,用于信息安全方面的投资会有所限制。总之,小型企业受到客观条件的限制,远程数据通信需要价格便宜、简单易用、性能稳定、维护方便的产品和技术。

(2)解决方案

从上面的需求分析,小型企业对数据传输速率要求不高,同时在安全性方面也较低,连接用户也少,可以得到合理的VPN解决方案:基于现有的公网采用拨号VPN方式,使用软件平台。VPN服务提供商控制了整个VPN设施,最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。最大的不足就是用户自身自主权不足,存在一定的不安全因素(如图3所示)。

2.2 中型企业

(1)需求分析

综合中型企业的特点和目前发展现状,中型企业对信息安全的需求迫切的,要求VPN产品性能可靠稳定,使用简便,便于维护,且企业能投入一定的信息化资金,但是仍然无法承受巨额的专线建设资金投资,因此,用于信息安全方面的仍然会有一定的限制。

(2)解决方案

从上面的需求分析,中型企业对数据传输速率及安全性方面有一定要求,连接用户不多,可以得到合理的VPN解决方案:在总部与分部之间租用服务提供商的虚拟专线,客户不需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。企业仍然可以通过加密数据实现端到端的全面安全性。可以使用最常见的隧道协议有L2TP、L2F或者PPTP。

对于企业员工出差或者在家办公,则采用拨号VPN方式访问公司内部网,既允许远程拨号连接,又防止未授权访问和数据被截获。对于远程VPN接入的方式可以根据用户采用的加密算法的强度、隧道流量等属性选择灵活的计费策略。

2.3 大型企业

大型企业的特点为规模很大,有多个分部或者分公司,在本行业中占有领导地位,资金雄厚,企业员工众多,有很强的抵抗风险能力等。大型企业为了追求更大利润,稳定和扩大市场,保持与客户的关系,继续保持行业内的竞争力,并逐步涉足其他行业,在财务、客户、人力资源、产品产销等方面的需要信息化的管理,使得减少企业的管理成本,提供企业运行与管理的效率,对企业信息化的需求非常迫切。

(1)需求分析

综合大型企业的特点和目前发展现状,大型企业要求VPN产品性能可靠稳定,安全性高,传输效率高,可管理,且企业能够专项资金投入,有足够的技术人员对网络进行维护和管理。

(2)解决方案

由于大型企业在信息化方面要求很高,使用用户较多,从上面的分析中可以得到合理的VPN解决方案:使用专用的硬件平台,需要购买成套昂贵的VPN设备和防火墙,配备专业技术人员,整个网络都是在加密的隧道中完成通信的,非常安全。这是最为彻底的VPN网络,在这种方案中企业具有完全的自主控制权,但是新建VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投资上是最多的。

与中型企业一样,对于企业员工出差或者在家办公,则采用拨号VPN方式访问公司内部网(如图4所示)。

3 结束语

各种企业可以灵活的选择适合的VPN方案,实现企业内部的OA系统,邮件系统,财务系统等,方便企业出差员工的安全移动办公,能够加快企业的信息化进程,提供公司的管理水平,极大的增加了企业的生产效率和竞争力。随着信息化的发展,VPN业务将是电信运营商的一项重要的IP增值业务。

参考文献

[1]李超.基于IPsec的VPN网关的设计与实现.网络通讯.2002.

[2]戴宗坤.VPN与网络安全[J].网络安全技术与应用.2001.

[3]王达等编著.虚拟专用网(VPN)精解[M].清华大学出版社.2004.

[4]电信运营商IPSec VPN业务部署模式研究.2004.http://www.vlan9.com/net-provider/z008013246.html.2007.

VPN在企业中应用 第2篇

关键词：VPN IP电话 VoIP 网守

一、VPN和VOIP技术

1.VPN技术

VPN的英文Virtual Private Network的缩写，可翻译为虚拟专用网。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是利用公共网络基础设施，通过“隧道”技术等手段达到类似私有专网的数据安全传输。虚拟专用网是对企业内部网的扩展。当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。

虚拟专用网可以帮助远程用户、公司分支机构同公司的内部网建立可信的安全连接，并保证数据的安全传输。

2.VOIP技术

VOIP（Voice Over IP）是IT行业和电信行业一个闪亮的名词，我们从字面上就可以大概知道它是解决什么问题的技术。简单地说，VOIP的基本原理就是通过语音压缩的设备对我们的话音进行压缩编码处理，然后把这些语音数据根据相关协议进行打包，经过IP网络把数据包传输到目的地，再把这些语音数据包串起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由IP网络传送话音的目的。

IP电话成为信息技术进步带来的一项新型电话业务在全世界开展，并对传统电话业务形成越来越大的威胁。IP电话从当初的PC到PC发展到今天的PC到PC、PC电话、电话到电话等多种业务形式，但不论是现在还是将来，电话到电话的应用将拥有最大的市场，IP电话承载网络可以是Internet ，更多的是遵循TCP/IP协议的专用网或Internet。

二、IP电话和普通电话的区别

IP电话与传统电话相比较，有许多不相同的地方。语音传输的媒介是完全不同的，IP电话的传输媒介为Internet网络，而传统电话为公众电话交换网。它们的交换方式也是完全不同的。

1.从传输技术来说，电话网是采用电路交换方式，即电话通信的电路一旦接通后，电话用户就占用了一个信道，无论用户是否在讲话，只要用户不挂断，信道就一直被占用着，因此用电路交换方式时线路利用率很低，至少有50%以上的时间被浪费掉。而因特网的信息传送是采用分组交换方式，所谓分组交换，是把数字化的信息，按一定的长度“分组”、打“包”，每个“包”加上地址标识和控制信息，在网络中以“存储—转发”的方式传送，即遇到电路有空就传送，并不占用固定的电路或信道，因此被称为是“无连接”的方式。因此，利用因特网传送语音信息要比电话网传送语音的线路利用率提高许多倍，这也是电话费用大大降低的重要原因。

2.从费用上讲，IP电话的费用组成是：Internet通信资费+市内电话通话资费+IP电话相关设备费用，由于Internet资费我国仅每分钟6分6厘，市话费也相当便宜，加上IP电话所占带宽比较低的原因，所以与传统的国际长途电话费的成本比较相对较低，也有一些国家或地区对传统的国际长话要加收一定的税金，所以，国际长话费相对较高。

3.从话音质量上讲，IP电话相对传统电话的语音质量较差，其中有带宽、延迟等因素，尤其在网络拥塞时，通话质量可能难以保证。

IP电话发展迅速、受到人们关注的主要原因是IP电话能大量节省打长途电话的费用，尤其是打国际长途电话时更为显著。它可以比普通的长途电话节省很多费用是因为普通的长途电话是通过电话网传送的，而IP电话是利用因特网传送的。

三、企业VOIP网络建设的目的

现在大部分的煤炭企业都已经有了自己的网络系统，建VOIP网的目的，想利用企业已有网络，再采用相关厂商的VOIP语音设备，一方面是把总部和分部之间的业务网提升为一个数据话音综合网，使总部和分部之间构成一个企业内部的电话网。免去企业内部的长话和市话费用，基本做到零成本通信，并降低企业打外部电话的费用；另一方面，是想通过VOIP网络的建设，能够让公司的管理模式有所完善，使企业内部业务管理、办公自动化提升到一个更高的水平，以及企业的资源能够高效利用，并能够提供高质量的话音服务及Web、E-mail、互联网电话和文字等多种接入方式。

四、VOIP 基本原理

由Voice Over IP的字面意义，可以直译为透过IP网络传输的语音讯号或影像讯号，所以VOIP就是一种可以在IP网络上互传模拟音讯或视讯的一种技术。简单地说，它是藉由一连串的转码、编码、压缩、打包等程序，好让该语音数据可以在IP网络上传输到目的端，然后再经由相反的程序，还原成原来的语音讯号以供接听者接收。进一步来说，VOIP大致透过5道程序来互传语音讯号，首先是将发话端的模拟语音讯号进行编码的动作，目前主要是采用ITU-T G.711语音编码标准来转换。第二道程序则是将语音封包加以压缩，同时并添加控制信息，如此便可以在第三阶段中，也就是传输IP封包阶段，在浩瀚的IP网络中寻找到传送的目的端。到了目的端，IP封包会进行译码还原的作业，最后并转换成喇叭、听筒或耳机能播放的模拟音讯。在这里，我们先来看一下，VOIP的框架是怎么样的，主要包括些什么东西，下面我们一起来了解一下。

1.媒体网关器（Media Gateway）：主要扮演将语音讯号转换成为IP封包的角色。

2.媒体网关控制器（Media Gateway Controller）：又称为Gate Keeper或Call Server。主要负责管理讯号传输与转换的工作。

3.语音服务器：主要提供电话不通、占线或忙线时的语音响应服务。

4.信号网关器（Signaling Gateway）：主要工作是在交换过程中进行相关控制，以决定通话建立与否，以及提供相关应用的增值服务。

五、总结

企业IP电话系统所带来的不仅仅是电话费用的降低，还有管理模式的变化，以及企业资源的高效利用。真正的企业IP电话系统，不仅能够提供高质量的话音服务，还支持Web、E-mail、互联网电话和文字等多种接入方式。IP电话网络系统可以建立在一个全球可达的无距离概念的IP网络之上，IP电话终端具有在办公室或者全球范围内移动办公的特性。

参考文献：

[1]曾红，戴国俊. VoIP的关键技术和语音终端的研制[N]. 计算机工程与应用， 2004， （6）.

[2]邱晓理. 中国银行福建分行VoIP网络电话设计方案[N]. 网络安全与技术， 2006， （2）.

[3]郝又超，王文东. 网守实现若干问题和策略的研究[N]. 北京邮电大学学报 2000.

[4] 张登银，孙精科吗，VOIP技术分析与系统统计，人民邮电出版社.2003年5月.

[5] 舒华英，李勇，VOIP技术与应用，人民邮电出版社.2003年7月.

[6] 凡璇，部署VOIP解决方案，人民邮电出版社.2003年7月.

VPN技术在企业网络中的应用 第3篇

VPN (Virtual Private Network, 即虚拟专用网络) 指的是在公用网络上建立专用网络的技术。它是以公用网络为基础建立的一个稳定、临时、安全的信息连接通道。其之所以“虚拟”, 是因为整个VPN网络的任意两个节点之间的连接是动态的, 是架构在公共网络平台上, 并没有传统专网所需的端到端的物理链路, 用户的数据只是在逻辑链路中进行传输。“专用”则是指VPN是通过加密与识别两个组件来实现连接。加密通过变换信息实体, 达到隐藏原有信息含义、保证信息安全的目的;识别则是对节点或者节点进行标识的过程, 它在通过公共网络平台进行传输前就已经完成。

2 VPN技术原理

VPN主要采用了隧道技术、加解密技术和认证技术。

2.1 隧道技术

隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载, 封装在一种可以在公网上传输的数据格式中, 在目的局域网与公网的接口处将数据解封装, 取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。隧道由隧道协议形成, 可分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP中, 然后将整个数据包装入隧道协议中在隧道中传输, 第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议将数据包直接封装到隧道协议中, 形成的数据包通过第三层协议传输, 第三层隧道协议有VTP、IPSec等。其中IPSec隧道协议得到了广泛的应用, IPSec有两种工作模式, 运输模式和隧道模式。

运输模式 (Transport) :在该模式中, 仅利用传输层数据来计算AH或ESP首部。AH或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常, 传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。

隧道模式 (Tunnel) :在该模式中, 利用整个IP数据包来计算AH或ESP首部, AH或ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常, 隧道模式应用在两个安全网关之间的通信。

2.2 加解密技术

VPN是在不安全的公用网络中通信, 通信的内容可能涉及企业的机密数据, 因此其安全性非常重要, 为了保证数据通信的机密性, VPN必须采用成熟的加解密技术来实现数据的安全传输。IPSec的ESP协议采用56位的DES算法实现加密传输, 并使用ISAKMP密钥交换协商机制来完成加密和解密密钥的交换。

2.3 认证技术

认证技术防止数据的伪造和被篡改, 它采用一种被称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换, 映射为一段短的报文, 即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。IPSec定义了两个协议, 鉴别首部 (AH) 协议和封装安全有效载荷 (ESP) 协议, 这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。 (1) AH协议。AH协议被设计用来鉴别源主机, 以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文摘要, 并根据IPSec的运输方式插入到相应位置, AH可以实现数据的完整性、数据源的真实性, 但不提供数据的保密传输功能。 (2) ESP协议。ESP (封装安全有效载荷) 协议提供报文鉴别、完整性和加密功能, ESP增加首部和尾部, 并根据IPSec的工作模式插入到相应的位置。 (3) ESP协议是在AH协议的基础上而设计的, ESP协议能完成AH所做的所有功能, 但增加了加密机制。因此ESP协议与AH协议相比, ESP协议具有优越性。

3 VPN在企业网络中的应用

VPN在企业网络中的应用主要有以下三种形式:

3.1 企业内部虚拟网络 (即IntranetVPN)

企业内部虚拟网络主要适用于处于异地的企业总部及子公司、分支机构的网络互联, 传统的互联方式主要是通过租用网络运营商的专线进行连接, 但是如果企业的分支机构不断增多, 地理位置越来越广, 则网络的结构将会越来越复杂, 相关联网的费用也会不断增加。企业在内部虚拟网络建设的过程中, 可以使用VPN技术, 采用网关到网关的形式将企业总部及各子公司、分支机构通过Internet连接起来, 从而实现企业内部虚拟网络的组建。企业可以利用VPN的加密、识别等特性, 保证信息通过Internet, 在企业内部虚拟网络内安全的传输。IPSec隧道协议可满足所有网关到网关的VPN连接, 在Intranet VPN组网方式中使用得最多。

3.2 企业远程访问 (即Access VPN)

远程访问是VPN应用最为广泛的一项技术, 它提供了安全、可靠, 但是价格低廉的远程用户接入企业内部网络的技术, 采用客户端到网关的形式, 通过Internet等公共互联网络的路由基础设施, 以安全的方式对位于VPN服务器后面的企业内部网络进行访问。这一技术利用了公共基础设施与ISP, 一旦与VPN服务系统进行连接, 用户与VPN服务器之间就架设了一条穿越Internet的专用通道, 虽然互联网具有开放性, 安全系数较低等特点, 但是因为VPN技术采用的是加密技术, 这就保证了远程用户与VPN服务器之间连接的安全性和可靠性。

3.3 企业外部虚拟网络 (即ExtranetVPN)

企业外部虚拟网络是将企业与其客户、合作伙伴的网络互联构成Extranet, 实现信息的共享, 它既可以为企业客户与合作伙伴提供非常便捷、准确的信息服务, 又可以提高企业内部网络的安全系数。企业外部虚拟网络由于是不同企业之间的网络相互通信, 所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题, 也属于网关到网关的连接方式, 主要是使用专用的连接设备和VPN的IPSec协议将企业与客户、合作伙伴的内部网络进行连接。企业外部虚拟网络有着与专用网络相同的特性, 包括了可靠性、安全等级、服务质量以及可管理性等。

结语

VPN技术是在公共网络上建立安全的专用网络, 它是企业内部网络在公共网络上的延伸。VPN为用户提供了一个低成本、高效率、高安全性的互联服务, 极大地加快了信息在企业内部不同区域间的流通, 其在资源管理与配置、信息共享与交互、异地协同与移动办公等方面都具有很高的应用价值。随着信息技术的快速发展, VPN技术也必将更加完善, 在未来的信息化建设中具有广阔的前景。

摘要：企业为了提升管理水平, 加强信息沟通, 提高运营效率, 适应日益激烈的市场竞争和信息化发展, 必须要建立一个高效稳定、覆盖面广、安全可靠的企业专用网络, 使得企业内部、各子公司、分支机构及合作伙伴之间能实现信息的快速传递及数据的交换和共享。传统企业专用网络的组建一般是租用或自建专用传输线路, 其建设及后期的维护、管理费用高昂。而VPN技术的出现, 使得企业能根据自己的实际需求, 以较低的成本和技术门槛, 方便、快捷、灵活地组建属于自己的VPN虚拟专用网络。本文将对VPN技术的原理, 其所具有的优势及在企业网络中的应用进行论述。

关键词：VPN技术,企业网络,VPN应用

参考文献

[1]田晓东.浅谈VPN应用和企业内部网络安全[J].科协论坛 (下半月) , 2011. (08)

[2]戴刚, 文信翔, 公丕强.VPN在企业中应用的研究[J].网络安全技术与应用, 2010.

论VPN技术在高校校园网中的应用 第4篇

关键词：高校校园网;VPN技术;架设方案

中图分类号： G64            文献标识码： A            文章编号： 1673-1069（2016）30-159-2

0  引言

高校的信息化建设水平一直是国家教育事业发展的重点内容，加快信息化的建设步伐不仅能够提高学校的教育功能，更有利于加大学校在社会的影响力，将教育资源的应用率发挥到最大。从传统的学校面授到网络幕课，带给学生的改变不仅仅是“同学”数量的增加，而是全新的教学方式的改变。在校园网内，师生可以利用电脑、手机等终端任意访问这些数字资源，可以说这是一个永不闭馆的数字学校。这些利用互联网技术优化教育资源的例子不胜枚举，但是与此同时网络的局限性也纷纷显示了出来。高校拥有自己的教育网，用户如果在教育网外访问网内资源就会无法访问。同时，某些教学互动软件只能够在局域网环境中使用，跨网络的使用是无法进行的。传统的解决方式是使用端口映射，但是端口映射会增加安全隐患，同时操作起来也非常的烦琐，稳定性也不好，需要专业人员进行维护。针对这样的情况，越来越多的高校选择利用VPN技术来解决上述的问题。

1  VPN概述

所谓“VPN”就是“虚拟专用网络”，换句话说就是利用现有的网络环境虚拟出一条专用线路，在这条虚拟专线上能够实现专用网络的功能。需要说明的是，这种“专用网络”是由Internet服务提供商（ISP）的网络资源动态组成的，先由访问发起端向当地ISP提出要求，再由ISP负责与需访问端建立会话。高校可以根据自身网络建设的具体要求，选择一个最符合自己需求的网络建设方案选择。为此，我们要考虑到这样几个问题：专线对面的终端是否足够的信任，是否需要限制对方的访问权限？是否能够快捷的将远程访问的VPN端与真实的本地局域网络分隔通讯？如果远程端出现故障，是否可以方便快捷的解决故障？为此，我们必须需要先来探讨一下VPN的实现技术。

对于高校校园网来说，涉及办公OA系统、学校资料管理、校园卡安全消费等各个方面，因此对于VPN的安全技术要求非常高，同时VPN本身的技术也非常复杂，因此网络的数据封装与安全技术是高校VPN技术的核心。

VPN中源局域网与公网的接口连接称为隧道技术，如同架设一个隧道将内、外网打通，如同修路一样，隧道能否顺利打通、如何打通是VPN构建的核心要点。数据包在源局域网终端和公网终端之间传输时，发送数据的终端先将目标地址写进数据内部，然后发送到自己一侧的VPN网关，而VPN网关拿到数据并验证目标地址属于VPN网络后，将数据进行封装，相当于在信件的外面再套上一个信封，然后书写上接收端一侧VPN网关的对外地址，这样数据就可以在公网内传输。接收端VPN网关拿到“信件”后，拆掉外层封装的“信封”，就可以读到目标地址，并进行数据的传递，反之亦然。在这个过程中，数据在传输时，源局域网、双方VPN网关、所经过的逻辑路径就被称为“隧道”。

高校VPN架设主要有这样几种隧道协议：点对点隧道协议（PPTP协议）、第二层隧道协议（L2TP）协议、网络协议安全协议（IPSec协议）和SSL VPN。应用最为广泛的是第二层隧道协议，该协议又称国际标准隧道协议，最初是由IETF基于微软的点对点隧道协议 （PPTP）和思科2层转发协议（L2F）进行制定，因此它继承了PPTP协议的优点，通俗地来说就是PPTP协议像景区的检票口，它会将入口处的“散客游人”与“景区”进行连接。而L2TP协议使用多隧道更像是旅行社组团，并利用许多辆大巴车将游人直接送入景区，这样就可以加大数据的吞吐量。而且，L2TP协议在传输数据时所使用的消息类型有两种：数据控制消息和数据传输消息，非常类似于一个是导游，控制着数据传输路径，一个是大巴车司机，专门负责数据的运输。但是，L2TP也有一个比较大的缺点是没有数据加密的措施，如同游客乘坐的大巴车没有任何车厢保护和安全措施，这样就加大了数据被劫持、重放的风险。因此很多情况下，高校在架设自己的VPN网络时大多采用L2TP+IPSec组合协议。用L2TP隧道协议传输数据，用IPSec协议保护数据。IPSec的安全协议主要包含两个方面：认证报头AH和安全封装ESP，需要说明的是无论是AH还是ESP都具备了通信保护的功能，都可以提供数据完整性检测和数据源认证。虽然IPSec在IPV4规范中仅仅是作为选用，但是在IPV6中是强制的，在配置VPN网络时要注意这一点。

在实际操作过程中，我们会发现IPSec VPN虽然成熟、安全，但是需要在终端安装专用软件才能正常使用，这样一方面让动手能力弱的电脑望而却步，也让越来越普及的手机用户望而兴叹，基于这种原因SSL VPN应运而生。SSL存在于任意一个浏览器内，工作在应用层，指定了浏览器与TCP/IP数据交换时的安全机制，并提供数据加密、用户认证、客户机选择以及数据的封装与加密等功能支持。在数据传输之初，SSL VPN首先确认双方身份，统一加密算法，最有将数据加密密钥传输给双方。数据传输过程中借助的是可靠的传输协议如TCP，传输质量非常稳定。并且由于使用的是浏览器接口，隐藏了终端和服务器，避免了病毒或者黑客对内部服务器的破坏。

2  VPN架设方案

2.1 VPN方案的选择

在建立VPN网络时需要先期将学校的校园网络建设完成，并能正常连接互联网，这里不再赘述。在实际使用过程中，在校园网中的VPN要能够给出差在外地的老师、分校区员工、不在校园网内的学生等提供直接连接到校园局域网的服务。同时还应该考虑到分校区间多媒体教学的需要。因此在构建VPN网络时综合考虑网络的负载平衡，确定VPN网关的吞吐能力和数据加密的性能。学校网络连接互联网的方式也是需要构建VPN网络时需要考虑的问题，客户端可以采取拨号或者光纤的接入方式，而服务器端要采用固定IP地址的连接方式，这样才能够方便连接。在服务器端还应配备VPN的数据接入服务器，在多用户同时接入时服务器应能够自动平衡负载。校园网常用的VPN方案主要就是IPsec VPN和SSL VPN，如果VPN承担的主要工作是各个校区之间的数据连接，那么可以选择IPSEC VPN;如果VPN承担的主要工作是零散终端就可以选择SSL VPN。

2.2 VPN方案的部署方式

首先要借助VPN的管理系统在网络内部建立域方便管理相关的VPN设备，特别是防火墙和VPN网关等重要设备更要做到实时的监控。目前常用的管理软件都可以对建立的域进行“内部域名”的编辑，将同一域内的网络设备“捆绑”在一个域名下，相关的域又可以建立多达三层的子域，大大方便了VPN的管理。在此基础上，管理员还可以为不同子域配备不同的“区域”管理人员。针对手机、平板电脑等移动用户，要在管理系统里部署不同权限的组，新用户加入时先对其用户身份进行甄别，然后将用户加入到不同权限的组内，以获得访问权限，当用户退出VPN网络时只需将用户从组内删除，这样可以加快移动端访问VPN网络的速度。

3  校园网在使用VPN时应注意的问题

VPN在高校工作中应用意义重大，可以将校园教科研延伸到校外，但是网络的速度受限于ISP提供的网速，同时稳定性也不在学校的控制下。因此在VPN部署过程中先要仔细分析和规划，认真选择软硬件，避免兼容性不好的问题。在运行过程中还应由专业技术人员仔细监控各个环节的运行情况。在规划VPN网络是要留足升级的空间，特别是针对用户数量增加后软硬件的升级更要考虑到。

4  总结

可以说日益成熟的校园网VPN技术无限地扩展了教师办公和学生学习的距离，构建学校自己的虚拟专用网不仅可以提高教学效率，还能最大化的发挥内网资源的利用率。而这些提升不需要太多的改变校园网的网络架构，成本低廉。相信随着网络技术的发展VPN在校园网中的作用将越来越重要。

参 考 文 献

[1] 杨沛.VPN技术在图书管理信息系统中的应用[J].现代情报，2005（05）.

VPN在企业中应用 第5篇

信息科学技术革命, 带来了社会生产方式、生活方式的多重性变革, 计算机技术的普及、应用网络的推广、移动终端的规模化发展成为信息时代的重要特征。在这种时代背景下, 企业的信息化建设已经成为一种潮流和必须, 利用信息技术提升企业的管理水平、经营水平成为企业进行信息化建设的目的之所在。在信息膨胀的时代, 信息传输的安全成为企业利用网络技术必须考虑的重要因素, 既保证信息资源的高效传递, 有保证企业的商业秘密不被窃取, 是越来越多的企业选择VPN技术的原因所在。

VPN 即虚拟专用网 (Virtual Private Network, VPN) , 与我们通常使用的公共网络相比, VPN技术实现的就是一条专有网络通道的技术安全性。它的运行模式就是在混乱的公共网络中建立一条专用的, 具有极高稳定性与安全性的信息连接通道。

2IPSec VPN与SSL VPN技术分析

VPN技术产生于上个世纪90年代, 在不同的技术条件和网络环境下, VPN运行的技术模式也有着差异。早期的VPN技术是一种基于IP协议而得以运行的模式, 就是IPSec VPN。这种技术模式在过去已经被众多的企业所采用, 甚至已经成为企业VPN模式的典型代表。IPSec 是一种与应用程序相分离的独立技术, 这种技术的属性归属于网络层。IPSec的安全传递, 来源于其能够隐藏相关的协议信息, 通过对协议信息进行封包来进行隐藏。利用IPSec技术建立的信息通道, 能够进行一对多的多种连接方式, 并且每个传输必然对应到 VPN 网关之后的相关服务器上。IPSec VPN 最大的难点在于客户端需要安装复杂的软件, 而且当用户的VPN策略稍微有所改变时, VPN的管理难度将呈几何级数增长。

SSL VPN 指的是以 HTTPS 为基础的 VPN, 但也包括可支持SSL的应用程序, 例如, 电子邮件客户端程序。SSLVPN经常被称之“无客户端”, 因为目前大多数计算机在出货时, 都已经安装了支持HTTP和 HTTPS (以 SSL 为基础的HTTP) 的 Web 浏览器, 所以 SSL VPN 可以通过Web浏览器实现无客户端的远程访问。

同 IPSec VPN 相比, SSL VPN 具有多种优点。SSL VPN的客户端程序不需要再次安装;SSL VPN 可在 NAT 代理装置上以透明模式工作;SSL VPN 不会受到安装在客户端与服务器之间的防火墙的影响。

3VPN技术在企业远程办公中的应用优势分析

第一, 能够安全接入。

利用SSL VPN 设备能够有效的检测到连接介入的用户是否符合企业设定的安全范围, 无论是操作系统、防毒软件、防火墙、间谍软件等都能够对来访用户进行快速的判断, 出现违规或者有安全威胁时将会被拒绝访问。

第二, 实现内外网络的高效接入。

VPN技术的使用是为了内部专用网络的信息安全, 但是这项技术并不导致内外两种网络的断裂。从内部的专用网络到外部网络, 并不需要特别的操作软件或者操作程序, 可以快速简单的转换。在企业需要特殊的VPN技术时, 支持IP 层 VPN来满足企业的不同需求。

第三, 用户认证程序的简单有效。

VPN技术发挥功能的一个重要方式就是需要用户的认证, 认证是用户接入网络的必要方式。用户对VPN进行认证, 通常是采用WEB方式来完成, 因为WEB浏览器方式是一种便捷的、不需要任何系统、软件而可以直接进行操作的模式。VPN认证服务器包括三个部分的内容:接入点、策略服务点和认证服务点, 然后返回用户。用户在进行认证以后, 可以使用一个身份来对所有VPN范围内的企业信息进行访问, 而不需要多个部门的重复、反复认证。

第四, VPN应用的全面性。

VPN技术在当前有一个显著地特点就是全面支持各种终端设备的应用。包括客户端、主机、文件服务器等。这种强大的应用功能是企业选择的重要考虑因素, 功能的全面能够有效地节省企业进行网络运营管理控制的成本。SSL VPN作为一种软件解决方案时, 它的设备能够支持多种类型的应用需求。

第五, 强安全认证。

移动终端已经成为信息技术的另一个重要载体, VPN的强安全认证技术也利用了当前众多的移动终端来加强信息的安全认证。用户可快速轻松地生成部署了双因素认证机制的独一无二的一次性密码 (OTP) , 并结合原有的域认证做双重认证。

参考文献

[1]微软公司著, WINDOWS 2000目录服务基础结构设计与管理[M].北京:北京希望电子出版社, 2000:3-100.

[2]CISCO SYSTEMS公司著, 组建CISCO远程接入网络[M].北京:人民邮电出版社, 2003:257-300.

VPN在企业中应用 第6篇

1 VPN的概念

VPN指的是一种专用的信息数据传输通道, 它主要是在公共网络中进行构建, 以此来进行信息的加密或者是认证, 这样信息数据的安全性就会得到保证;在信息传送时, 依据的是公用通信设施的一个部分, 这样就可以保证为通信节点所组建的专属网络具有较好的封闭性。

通常会在一些大型跨地域的企业组织间的在线信息交换时会应用到VPN技术, 也有人将其应用于企业的通信领域。但是, 需要注意的是, 只是在一些特定节点间进行对等连接的组建时, 才被允许应用这种技术, 从而使信息数据传输的安全性得到实现。在通常情况下, 可以将VPN技术分为三种, 分别是隧道技术、加密技术和QOS技术。

2 隧道技术

该技术是利用互联网基础设施来实现数据的传递, 运用隧道技术进行传递的数据能够是数据帧或者包, 隧道技术协议将这些数据帧或者包重新进行拆解封装然后使用隧道进行传输。简而言之, 即原始数据在传输地进行处理封装, 通过通信隧道, 到达隧道目的地后再对封装数据进行解包还原。这种技术是VPN进行信息数据传递的关键性技术。

3 加密技术

加密技术就是转变和伪装信息, 这样就可以有效的转换信息数据, 从而保证非授权者不会窥视到这些信息数据内容;在协议栈的任意层都可以应用这种加密技术, 通过实践研究表明, 可以有效的加密信息数据, 保证数据的安全;网络层中的加密标准为IPsec.。主机端到端的加密是网络层中最安全的加密实现方法, 此外, 还有一些其他的加密技术, 比如加密路由器, 不加密终端和第一条路由间, 这种加密方法存在着一定的风险, 这是因为非法分子可能采取一系列的手段来从终端到第一条路由间截获信息数据, 影响到信息数据的安全性。

4 QoS技术

如果将隧道技术和加密技术有机的结合起来, 建立起来的VPN就比较的安全, 并且可以满足互相操作的要求, 但是, 这种VPN在企业中应用, 依然在很多方面不能够符合相关的需求, 针对这种问题, 就可以将Qos技术加入进来, 在主机网络中合理科学的应用QOS技术, 简单来讲, 就是将其应用于VPN所组件隧道, 从而实现VPN性能指标提高的目的。

另外, VPN的IP地址非常安全, 由于VPN加密, 其数据包在网络中传输时, 普通用户只能看到公用IP, 因此, 专用的网络IP是得到保护的。

5 VPN技术在网络安全中的应用

由于VPN的连接特点, 用户网络中的内容在公共网络中传输就要进行加密或解密, 在此过程中都必须通过协议进行, 这样两个私有网络间组建VPN隧道就需要依赖各种不同的协议, IKE协议以及IPsec共同使用为信息数据提供专门的身份鉴别。

VPN服务器、VPN客户端以及VPN数据通道共同组建成一个完整的VPN系统, 其中VPN服务器即一台用作接受以及验证VPN连接请求的计算机或别的设备等, 主要用来处理信息数据的封包、解包工作。而VPN客户端, 即一台用来发起VPN连接请求的计算机或别的设备等, 它也是用来处理信息数据的封包、解包工作, 最后VPN数据通道, 即一条组建在公共网络中的数据连接。

为了保证VPN的安全性, 企业网络需要安装一种网关, 即可以对VPN连接进行管理的设备, 这种网关可以是一个VPN软件, 当然也能使一个VPN设备。

企业网络的管理者可以对VPN服务器进行设置, 对敏感信息的访问权限进行设定, 使没有特殊权限的用户无法使用到公司的局域网络, 从而窥探到企业的核心机密。

而使用了VPN技术, 用户可以于任何地点接入英特网对企业的网络服务器进行访问, 从普通用户来分析, 就是普通用户到企业网络服务器间的点到点的连接, 由于数据的传输是靠一条仿真专线进行传输, 所以, 用户在处理企业信息时, 就仿佛在专线上一样方便。

6 结束语

综上所述, 随着经济的发展与社会的进步, 信息技术也得到了广泛的运用与发展。VPN技术在企业信息管理中得到了越来越广泛的推广与使用。本文主要论述了VPN技术的相关概念, 并且系统介绍了隧道技术、加密技术以及QoS技术, 从而更加方便其应用在企业网络中, 能够有效的降低企业网络运行成本、提高企业办公效率、增强数据创术的安全性, 最终为信息化社会的早日实现做出重要贡献。

摘要：随着我国计算机技术的发展, 我国许多企业也将信息网络技术引用到企业的运营与管理中, 从而提高企业的发展空间, 但是, 企业中的计算机网络普遍存在着安全性不足的问题, 导致企业的机密信息在存取和利用时受到威胁, 为了解决这一问题, 对VPN技术进行分析, 以帮助企业管理者完善本企业的网络安全体系。

关键词：VPN技术,网络安全,隧道技术

参考文献

[1]玄文启.VPN的技术原理及其安全性分析[J].中国科技信息, 2011, 12 (23) :92--93.

[2]胡涛.VPN技术在网络安全中的应用[J].农村经济与科技, 2011, 22 (6) :242--244.

[3]孙平.浅析VPN技术在网络安全中的应用[J].计算机光盘软件与应用, 2010, 20 (10) :106--107.

VPN在企业中应用 第7篇

1 VPN技术概述

1.1 VPN的概念

VPN (英文Virtual Private Network的缩写) , 即虚拟专用网络, 指的是在公用网络上建立专用网络的技术。其定义尚无统一标准, 有说是“建立在实际网络 (或物理网络) 基础上的一种功能性网络”, 也有说是“通过公用网络实现远程用户或远程LAN之间互连, 但仍具有专网化点的一种技术”。IETF (Internet工程任务组) 将其定义为:借助于公用Internet和专用IP网而建立的虚拟广域网[1]。

之所以称其为虚拟网, 主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台, 如Internet、ATM (异步传输模式) 、Frame Relay (帧中继) 等之上的逻辑网络, 用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。

1.2 VPN的功能和关键技术

因为VPN的主要功能就是通过公用网络传输私有信息, 其原理是:需要进行机密数据传输的两个端点均连接在公共通信网上, 当需要进行机密数据传输时, 通过端点上的VPN设备在公共网上建立一条虚拟的专用通信通道, 并且所有数据均经过加密后再在网上传输, 这样就保证了机密数据的安全传输。通过VPN, 授权的业务伙伴就可以在授权范围内使用单位内部的数据, 实现数据的安全交换[2]。因此数据安全性是用户关心的首要问题, 目前VPN主要通过四项关键技术来保证数据传递的安全, 即隧道技术、加解密技术、密钥管理技术和身份认证技术。

1) 隧道技术

隧道技术是VPN的基本技术, 其实质就是在公网上建立虚信道, 让私有数据包通过这条信道实现安全、高速地传输。此信道即被称为“隧道”, 是一种逻辑上存在、由一种协议传输另一种协议的技术, 可以建立在链路层和网络层, 隧道协议来实现。第二层隧道主要是PPP连接, 如PPTP, L2TP, 其特点是协议简单, 易于加密, 适合远程拨号用户;第三层隧道是IPin IP, 如IPSec, 其可靠性及扩展性优于第二层隧道, 但没有前者简单直接。

2) 加解密技术

为了保证私有数据在传输过程中不被非法用户窃取或篡改, 必须进行数据信息在发送者传输之前的加密和接收方接收之后的解密过程, 这是VPN技术的核心内容之一。加密算法主要分为对称加密算法和不对称加密算法两种。在对称加密算法中, 加密、解密使用同一个密钥, 即通信双方共享一个密钥, 发送方使用该密钥将明文加密成密文, 接收方使用相同的密钥将密文还原成明文, 它的好处就是运算速度快。在不对称加密算法中, 加密、解密使用不同的密钥;一个是只有发送方知道的密钥, 另一个则是与之对应的公开密钥, 公开密钥不需保密。在通信过程中, 发送方用接收方的公开密钥加密消息, 并且可以用发送方的秘密密钥对消息的某一部分或全部加密, 进行数字签名。接收方收到消息后, 用自己的秘密密钥解密消息, 并使用发送方的公开密钥解密数字签名, 验证发送方身份[3]。

3) 密钥管理技术

为了使密钥能在公用网上安全地传输, VPN使用了密钥管理技术, 其主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAK-LEY两种。SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥;在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用[4]。

4) 身份认证技术

身份认证是VPN中又一重要技术, 这可以鉴别用户或设备是否具有合法的身份和操作权限、级别, 系统由此来决定是否对其开放“隧道”以及确认其可以访问哪些资源。使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。

1.3 VPN技术原理

VPN系统的安装与设置, 实现了分布在不同地域的专用网络或企业内部网在不可信任的公共网络 (即internet) 上能够安全通信。经分析, VPN系统的主要技术原理可分为以下步骤:

1) VPN系统通过网络运营商或企业网络管理员进行相关的规则设置, 在数据发送方发出数据之前, VPN设备确定是否需要对数据进行加密, 还是让数据直接通过。

2) 对于需要加密的数据信息, VPN设备将对整个数据包采取加密措施, 并且附以数字签名, 以提高数据包在公网上传输的安全性。

3) VPN设备对数据包加上新的数据包头, 其中包括目标 (数据接收方) VPN设备需要的安全信息和一些初始化参数[5]。

4) VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装, 重新封装后的数据包通过由隧道协议架设的虚拟“专用通道” (也称隧道) 在公网上传输。

5) 当数据包到达目标VPN设备时, 对目标VPN设备对其进行解封装, 并且在数字签名核对无误后, 对数据包解密, 还原出真实数据。

1.4 VPN技术的特点和优势

首先, 关于VPN技术的特点, 可归纳如下几条:

1) 安全保障。VPN通过建立虚拟化的“隧道”, 利用加密技术对传输数据进行加密, 以保证数据的私有性和安全性。

2) 服务质量保证。VPN可以为不同要求的用户提供不同等级的服务质量保证。

3) 可扩充、灵活性。VPN支持通过Internet和Extranet的任何类型的数据流。

4) 可管理性。VPN可以从用户和运营商角度方便进行管理。

其次, 对于VPN技术的实际应用和配置, 还具有以下优点:

1) VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接 (如DSL、有线电视或者Wi Fi网络) 连接到企业网络。此外, 高速宽带网连接提供一种成本效率高的连接远程办公室的方法。

2) 设计良好的宽带VPN是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施, 让新的用户迅速和轻松地添加到这个网络[1]。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。

3) VPN能提供高水平的安全, 使用高级的加密和身份识别协议保护数据避免受到窥探, 阻止数据窃贼和其他非授权用户接触这种数据。

2 煤矿企业与VPN 技术相结合

2.1 VPN在煤矿企业中的应用

现代煤矿企业的规模不断扩大, 往往有不只一个生产矿区, 并且除了公司总部以外, 还会在国内各地设置办事处。由于各个矿区、办事处与总部之间路途遥远、交通不便, 使得相互间的信息沟通非常不便, 往往因为不能及时获取信息和相关数据而成为孤岛;此外, 出差在外在业务人员, 如果想方便的访问企业内部信息就不容易了。因此, 煤矿企业一方面要引进先进的采煤技术、采煤工艺和和采煤方法, 另一方面也要加快信息化建设步伐, 基于公共网络和VPN技术, 结合企业的自动控制技术建成现代化通讯网络。只有这样, 才能加强煤矿企业生产信息的管理, 通过对信息资源的合理开发和利用, 及时地为企业的决策提供准确而有效的信息、提高经营管理水平, 从而最终提高煤矿企业的经营效益[6]。

VPN技术满足了企业的需求, 在实际的组网方式中, 根据应用的不同, 又可以分为以下三种类型:。

1) Access VPN (远程接入VPN) , 即客户端到网关模式。对于煤矿企业, 这正适合出差和外派人员, 因为VPN允许使用公网作为骨干网在设备之间传输VPN的数据流量。

2) Intranet VPN (内联网VPN) , 即网关到网关模式。适用于企业内部不同矿区以及各个异地办事处与总部之间的局域网互连, 从而组建真正的企业网, 实现企业的信息化。

3) Extranet VPN (外联网VPN) , 即与合作伙伴企业网构成Extranet模式。也属于网关到网关的连接, 将一个公司与另一个公司的资源进行连接。适合煤矿企业与经销商或合作伙伴之间相互通信, 但要考虑设备的互连、地址的协调、安全策略的协商等问题, 选择IPSec协议是明智之举[1]。

2.2 煤矿企业利用VPN技术的优点

1) 使用VPN可降低成本。通过公用网来建立VPN, 就可以节省大量的通信费用, 而不必投入大量的人力和物力去安装和维护WAN (广域网) 设备和远程访问设备。

2) 传输数据安全可靠。虚拟专用网产品均采用加密及身份验证等安全技术, 保证连接用户的可靠性及传输数据的安全和保密性。

3) 连接方便灵活。用户如果想与合作伙伴联网, 如果没有虚拟专用网, 双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路, 有了虚拟专用网之后, 只需双方配置安全连接信息即可。

4) 完全控制。虚拟专用网使用户可以利用ISP的设施和服务, 同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源, 对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

3 煤矿企业应用VPN技术举例

3.1 企业概况

假设有某大型煤矿企业, 总部在内蒙古, 机构设置有办公室、生产技术部、安全监察部、审计稽核部、财务部、网络部等部门;有两个生产矿区, 分别为矿区A和矿区B;另外, 在河北省还有一个常驻办事处。目前, 总部各部门之间, 以及各矿区和办事处, 已经分别组建了本地局域网, 但由于相互间距离远, 建设专线投资巨大, 所以尚未实现全企业的内部联系。

3.2 需求分析

面临现代管理的挑战, 企业欲完善信息化建设, 全面实现企业总部与各矿区、办事处之间的“内网化”联接, 主要需求如下:

1) 各异地机构间能够相互访问企业内部数据。

2) 保证数据传输的安全性和保密性。

3) 外派出差人员也可以通过移动设备访问企业内网, 像在公司内一样。

4) 尽量减少投入, 在原有网络基础上建设完成。

3.3 利用VPN技术实现网络互联

根据上述需求, 企业总部到各矿区之间的网络拓扑图如图1所示。

利用VPN技术进入网络搭建设与配置, 由于有了隧道技术和加密解密技术以及密钥管理和身份认证技术的多重保障, 使得整个煤矿企业内各地人员的用户IP地址在公网上不会泄露, 同时也保证了相互间传输数据不会被截获和篡改。

3.4 具体VPN网络配置

根据该公司的需求, 实际配置可采取ISA Server VPN企业级安全方案。因为这样的解决方案, 既具有简单实用、安全可靠的特点, 又能让企业减少成本投入的同时获取更高的效率。具体地, 首先需要在企业总部的内网服务器上安装ISA Server服务器端软件, 并根据需要进行相关用户配置;其次在矿区A和矿区B及办事处和出差人员的电脑上, 安装Web代理客户端或Microsoft Firewall Client软件, 进行与服务器的相关配置, 并将防火墙或路由器设置为允许VPN协议, 这样就可以实现远程访问总部网络了, 出差人员甚至可采用移动终端进行无线上网[7]。这样一来, 不论是矿区和办事处的有线上网还是出差人员的无线上网, 和总部人员访问企业网几乎是一样的。

4 结束语

VPN技术的应用, 使得企业内部员工实现了远程和跨地域虚拟内部通信, 在保障了数据通信的安全性的前提下, 有效地解决了企业信息化建设中的各种困难, 对于企业的生产和管理发挥了积极作用。总之, VPN技术目前已经发展较为成熟, 是企业信息化建设中经济、实惠的不二选择。

参考文献

[1]张莉.虚拟专用网VPN技术及其企业应用[J].中国新通信, 2013 (3) :59.

[2]朱晓静.基于VPN技术的校园网安全防护[J].计算机安全, 2013 (4) :86-89

[3]胡蓓蓓.VPN技术及其在铁路视讯系统的应用[J].中国新技术新产品, 2012 (18) :24.

[4]罗昌剑.VPN技术在多校区图书馆中的应用[J].电子制作, 2012 (11) :7.

[5]董靖超.VPN技术与应用[J].电脑与电信, 2012 (7) :42-44, 49.

[6]王彦庆.VPN技术在煤炭企业网络构建中的应用[J].煤炭技术, 2013 (6) :274-275.

VPN技术在油田企业网的应用 第8篇

1 VPN的结构

可以将江苏油田网络分为三级系统, 以总部为中心, 作为第一级节点, 各个分公司作为二级节点, 各个采油队站作为三级节点。所有节点通过租用当地电信服务商的宽带上网线路连接到Internet网络上, 在每个节点添加VPN设备, 通过VPN设备建立虚拟的安全通道。

第一级:总部与各分公司都安装高速防火墙、高速VPN设备, 采用SDH、MAN (城域网) 或高速DDN线路连接到Internet, 或直接进行专网联接, 建立一级VPN通道;分公司 (二级节点) 之间设有VPN, 可以实现分公司与总部之间安全的数据交换, 如果增加专用的设备还可以实现视频会议、IP电话、电话会议、ERP应用等业务。

第二级:分公司的下属采油队站安装防火墙、商业级VPN设备, 通过ADSL、微波或GPRS/CDMA1X方式接入公网, 建立二级VPN通道, 各采油队站 (三级节点) 之间设有VPN, 可以实现采油队站与所属分公司之间的安全的数据交换, 还可以根据需要, 增加专用的设备来开展远程视频会议、远程监控、IP电话、电话会议等业务。

在外出差的员工可以使用VPN客户端软件, 与所属单位建立VPN通道, 之后就可以像在单位局域网一样进行办公。

这样组建的油田网络有以下优点:

● 无需改动原有应用系统和网络结构, 保证企业正常的运作方式不受影响;

● 网络平台的适应性强, 扩展性好, 支持任何C/S (客户机/服务器) 、B/S (浏览器/服务器) 以及中间件等结构软件;

● 经济实用、使用简单方便, 无须专业人员经常维护;

● 树形结构, 方便管理维护, 增加新的节点简单快捷;

● 采用先进加密算法防止数据被窃听和篡改;

● 采用密码接入鉴权认证和硬件捆绑接入认证, 除了密码正确外, 还必须是总部授权的硬件设备才能接入, 防止非法用户或知道密码的辞职员工接入公司网络。

2 VPN的接入方式

支持VPN功能的接入方式很多, 本地DDN接入方式、ADSL方式、无线网桥方式、GPRS、WCDMA1X等方式接入到Internet网络之后建立相应的VPN通道。

由于江苏油田采油队站分布区域的多样性, 兼顾经济性, 根据当地服务商可以提供的接入服务, 采用相应的接入方式。

● 市中心区域的营业点, 可采用ADSL、DDN、无线网桥或GPRS等接入方式;

● 市区近郊的营业点, 可采用ADSL、无线网桥、GPRS等接入方式;

● 远郊、沿公路分布的营业点可采用微波、GPRS、无线网桥接入。

3 VPN系统分析

● 数据传输的安全性、可靠性

为确保数据的安全性和可靠性, 同时兼顾经济性, VPN设备一般都同时具有防火墙和VPN功能体系结构。内置的硬件防火墙可以有效的保护内部网络与Internet完全隔离;VPN功能可以实现目前最高商用保密等级的网络VPN及远程访问VPN。两者的有机结合可以最大限度的保护敏感数据的安全传输。

● 覆盖区域的广泛性

采用了多种接入方式完成基本网络的铺设, 选择合适的方式, 可实现广泛的接入, 非常经济的覆盖江苏油田所有的业务点。

● 网络的可扩展性、灵活性和维护性

采用基于硬件的VPN, 不需要建设专门的维护线路, 无需改变网络拓扑结构可方便的添加和扩展客户端, 不需复杂的客户端软件和设备的安装、调试和配置, 支持远程网络维护;通过堆叠或增强中心VPN设备, 可以迅速提高安全网络的性能, 方便的扩容, 无需对业务点的设备进行更新和重新配置。

● 增值业务的可扩展性

新建立的数据系统, 除可保证数据业务、信用卡类业务外, 还可以提供对增值业务的支持, 即在不改变网络结构的情况下, 实现对语音、视频、监控业务的支持。

● 系统的经济性

只需支付日常的网络连接费用, 无需支付不断地附加服务费用, 采用硬件设备, 使得方案具有很好的远程维护和管理能力, 所以可以有效地节省购买成本、网络日常的使用成本和维护成本。

4 结束语

从以上分析不难看出, 对于像江苏油田这种大型集团公司, 分支机构多、跨地区、跨行业、移动性大是主要的特点。长途DDN专线组建网络虽然能够满足要求, 但局限于固定场所, 费用也非常高。而应用基于本地DDN、ADSL、无线等接入方式的VPN技术, 就可以建成一个经济、高效、快速、便捷、安全可靠的宽带专用网络, 不仅有效解决了自身的信息化难题, 而且为将来网络上提供增值服务打下良好的基础。

摘要：VPN (Virtual Private Network, 虚拟专用网络) 是指在公众网络上所建立的企业网络, 并且它拥有与专用网络相同的安全、管理及功能等特点, 它替代了传统的拨号访问, 利用Internet公网资源作为企业专网的延续, 节省昂贵的长途费用。VPN技术以其可利用公网资源建立安全、可靠、经济、高效、便捷和高速传输的企业专网, 更加符合企业的成本效益, 给企业带来了无限的商机和发展机遇。

关键词：VPN,Internet,Intranet,VPN通道,安全传输

参考文献

[1]高海英.VPN技术.机械工业出版社

VPN在企业中应用 第9篇

【关键字】MPLS VPN 局域网通信 医疗信息化

1 简介

随着信息技术和医疗卫生事业的发展，我国的医疗信息化程度已经取得了显著的成绩，绝大多数三级医院和二级医院以及部分先进的一级医院已经应用信息化系统形成了规范的业务流程和医疗信息储存模式。其中，应用在医疗行业中的信息化系统目前主要是医院信息化系统（HIS），包括医院管理信息系统（MIS）、电子病历系统（EMR）、临床检验管理系统（LIS）、医学图像存档和通信系统（PACS）、体检管理信息系统（PEIS）、办公自动化系统（OA）等。信息化系统的应用十分有效地提高了医疗业务数据的采集、存储、分析的准确率和效率，为医院的业务运行和管理提供了有效的数据共享交换模式，并逐步向医疗数据挖掘方向发展。

在实际应用中，由于地域上的距离和网络发展的不平衡，很多三级医院或者学校、企业的附属医院都存在分院之间或者院区与财务部门、人事部门、社保局之间的信息通信和数据共享困难，每个部门形成了一个信息孤岛。多数医院为了解决这个问题，基于互联网采用了VPN技术建设自己的虚拟专用网络。但是，由于类似社保或财务这样的部门对信息安全的要求较高，这些部门会采用专线建设各自的局域网，使得医院VPN与这些部门之间的数据交换和共享遇到了困难。本文主要针对这个问题，探讨基于MPLS VPN的多局域网通信技术在医疗信息化中的应用。

2 VPN技术在医疗信息化中的应用现状

近年来，VPN因其可以利用公共网络资源建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持下，位于不同地理位置的院区或部门可以基于Internet组建一个高效统一的虚拟专用网络。但是，在现实应用中，医疗机构的信息化不仅涉及院区之间的医疗业务信息交换，还可能涉及与财务部门、人事部门或者社保局等对信息安全要求非常高的部门之间的信息交换和数据共享。这些部门多数会采用专线模式建设自己的局域网。为了实现与这些部门之间的信息交换和数据共享，许多医疗机构提出了多种解决方案，包括：

（1）使用统一的VPN网络进行P2P模式的信息交换

（2）在业务终端采用多网卡模式进行多局域网之间的信息交换

（3）建立专门的数据交换平台借助中间件系统完成信息交换。

以上三种方案使用不同的策略实现不同部门之间的信息交换和数据共享。其中，使用统一的VPN网络进行P2P模式的信息交换对各个子系统的耦合程度要求高，并且要求各个部门能够处于相同的专线局域网络或共同使用Internet资源。在实际情况中，各个部门对信息安全的要求不同。有些部门如财务部门必须严格防止网络攻击；有些部门如人事部门需要对绝大部分数据进行部门内部加密，能够与其他部门实现信息共享的只是很少的一部分数据；而有些部门如社保局属于独立机构，必须使用独立专线的局域网络。这些不同的要求使得基于VPN网络的P2P模式很难实施。并且，由于这种模式对子系统的耦合程序要求高，使得系统的开发维护的同步性也存在相当大的困难。另外，采用基于VPN网络的P2P模式进行信息交换会大大降低部门内部信息的安全性。

第二种方案在业务终端采用多网卡模式进行多局域网之间的信息交换，该模式有效地解决了各部门之间使用独立专线局域网所产生的信息交换问题，提高了信息安全性。但是这种模式要求每一个业务终端都需要有较大的网络硬件投入，医疗机构通常为了降低投入会采用费用较低的接入方式而影响传输速率。因此，这种模式通常需要复制其他部门的数据库建立本地数据库进行数据共享。这种情况会造成数据同步不及时，数据重复备份等问题。

如果建立专门的数据交换平台借助中间件系统完成信息交换，这种方案会产生较高的中间件开发和维护的投入，并且需要长期投入专门的人力来监控和维护中间件。

基于对以上几种方案的研究，本文提出了一种应用MPLS VPN技术实现分布于多个局域网中的多部门之间的医疗业务协作。

3 MPLS VPN技术解决方案

应用MPLS VPN技术解决多局域网的医疗业务协作问题的方法，是将多种局域网信号接入医疗机构所使用的MPLS VPN虚拟网络中，子系统之间通过视图或接口调用实现分布在多个局域网中的子系统之间的数据交换和业务协作。应用MPLS技术将多个局域网的信号接入同一个VPN网络中是解决方案的关键所在。

3.1 VPN虚拟专用网络

虚拟专用网络（Virtual Private Network，VPN）简单地说就是利用公用网络架设专用网络。传统的VPN一般是通过GRE、L2TP、PPTP、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。而LSP本身就是公网上的隧道。

3.2 MPLS 技术实现VPN网络

MPLS VPN网络主要由CE、PE和P等3部分组成：

（1）用户网络边缘路由器设备CE（Customer Edge Router），直接与服务提供商网络相连，它“感知”不到VPN的存在。

（2）服務提供商边缘路由器设备PE（Provider Edge Router），与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者；

（3）服务提供商核心路由器设备P（Provider Router），负责快速转发数据，不与CE直接相连。

在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

想要实现MPLS技术应用一共分为三步：

（1）建立LSP。网络可以利用CR-LDP的方法在PE路由器中间先建立LSP，LSP一般包含很多业务。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。

（2）在PE路由器上实现VPN信息。这一步就是控制VPN数据传输的过程，是实现二层VPN的关键一步。

（3）实现VPN数据的传送。当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过输出接口发送到相应LSP上的第一个P路由器。骨干网中P路由器根据外层标签逐跳转发VPN分组，直至最后一个P路由器弹出外层标签，将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据VPN标签，查找MPLS路由表得到对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

3.3 多局域网信号接入

基于MPLS的VPN还支持对不同VPN间的互通控制。在MPLS VPN网络中的PE路由器接入不同部门的多个局域网信号，可实现CE端在无察觉的情况下同时访问多个部门的子系统所分布的多个专线局域网或VPN局域网。

例如：医疗机构采用MPLS VPN技术形成逻辑上独立于Internet之外的内部工作网络，可在PE路由器接入社保局的专线网络信号，则内网中的终端可以同时访问医疗机构内网资源和社保局所提供的信息。

3.4 接口调用和视图共享

医疗机构的子系统在访问来自于其他局域网的其他部门子系统的数据时，为保证信息安全和访问效率，可以采用由其他部门子系统提供视图共享数据，由医疗机构子系统通过调用相关接口访问数据的模式，来实现子系统之间的數据交换和业务协作。

4 应用实例

以山东大学校医院为例，医院由分布于不同地理位置的六个校区分院组成，各校区分院子系统通过架设在校园网上的MPLS VPN形成统一的局域内网，各子系统通过不同的前置服务器访问同一个数据库服务器中的信息。医院MPLS VPN网络同时接入了山东省社保部门的局域网信号、济南市社保部门的局域网信号和山东大学校园卡中心的局域网信号。

医院HIS系统运作时，通过调用校园卡中心局域网所提供的接口对持校园卡就诊的校内教职工或学生按照相关流程完成诊疗和结算，分别通过调用省、市社保部门局域网所提供的接口对持省、市医保卡就诊的患者按照相关流程完成诊疗和结算。

5 总结

应用基于MPLS VPN的多局域网通信技术建设医疗信息化系统，在保证了各相关部门的信息安全的基础之上，能够有效、高效地实现分布于不同的局域网中的子系统之间的数据交换和业务协作。

参考文献：

[1]刘雅莉.关于计算机网络中常用VPN技术的分析[J].电子测试，2013（15）：254-255.

[2]陆伟文.医院信息系统集成[J].世界医疗器械，2006，12（3）：60-63.

[3]陈功，于洁，于春兰，等.医疗数据集成平台的扩展功能和设计[J].医疗卫生装备，2009，30（7）：59-61.

[4]白帆.计算机网络中常用VPN技术分析[J].信息通信，2012（2）：216-217.

传统VPN在监控中的应用分析 第10篇

关键词：隧道,VPN,组播,VC接入

1 概述

VPN (Virtual Private Network, 虚拟专用网) 是一种基于公共数据网的服务, 它依靠ISP (Internet Service Provider) 和NSP (Network Service Provider) , 在公共网络中建立虚拟专用通信网络。VPN可以极大地降低用户的费用, 并且提供比传统专线方式更强的安全性。

在VPN中广泛使用了各种各样的隧道技术。常用隧道协议包括:L2TP、GRE、IPSec、SSL VPN等。那么, 什么是隧道呢?隧道技术简单地说就是:原始报文在A地进行封装, 到达B地后把封装去掉, 还原成原始报文, 这样就形成了一条由A到B的通信隧道。隧道技术就是指包括数据封装、传输和解封装在内的全过程。实际上隧道可以看作一个虚拟的点到点连接。

在监控应用组网中, 经常会出现EC (编码器) 设备或者VC (视频管理客户端) 用户在远端私网, 需要接入到总部监控中心的情形。在这种情形下, 监控协议本身支持NAT穿越是一种解决方案, 这种方案适用于私网公网模式, 即EC和VC为私网地址, 监控中心为公网的IP地址。但是如果双方都在私网内部, 即:私网私网模式, 由于彼此私网间通讯不能直接穿透公网, 协议本身已经无法解决这个问题, 通过VPN隧道技术是最好的办法。我们将结合实际组网应用, 介绍适合的VPN组网方式。

2 VC接入

对于监控图像的查看需求是随时随地的, 因此要求视频管理客户端VC能够安装在任意一台电脑上, 使用者利用合法的用户名和密码登录后, 即可查看实时、历史监控图像。VC可能出现在各种场合, 按照其接入位置, 可分为分支机构、移动办公两种。

2.1 分支机构

分支机构一般指该专网在某地设有常驻的分支机构, 分支机构网络与总部一样, 也采用私网地址, 通过路由器与总部路由器/防火墙建立VPN隧道, 穿越Internet公网与总部相连。对于分支机构VC接入, 我们推荐以下几种隧道接入方式。

2.1.1 GRE

GRE是对某些网络层协议 (如:IP, IPX, Apple Talk等) 的数据报文进行封装, 使这些被封装的数据报文能够在另一个网络层协议 (如IP) 中传输, 这是GRE最初的定义。最新的GRE封装规范, 已经可以封装二层数据帧了, 如PPP帧、MPLS等。在RFC2784中, GRE的定义是“X over Y”, X和Y可以是任意的协议。

GRE隧道不能配置二层信息, 但可以配置IP地址。GRE利用为隧道指定的实际物理接口完成转发, 转发过程如下:

1) 所有发往远端VPN的原始报文, 首先被发送到隧道源端。

2) 原始报文在隧道源端进行GRE封装, 填写隧道建立时确定的隧道源地址和目的地址, 然后再通过公共IP网络转发到远端VPN网络。

2.1.1. 1 单播与组播

GRE隧道具有虚接口的概念, 隧道一旦建立成功后, 该隧道对于监控的单播或者组播都是天然支持的。下面以网关 (GW) 建立VPN隧道, 描述组播业务开展。

1) GW1支持动态组播协议时, 在VC侧启用IGMP, 在Tunnel口上启用PIM SM。在监控中心网关GW2的Tunnel上也启用PIM SM, 这样GW1和GW2能建立PIM邻居, GRE隧道两端就在同一个动态组播域中, 对于所有的组播业务都能支持。

2) GW1不支持动态组播协议或者不起用动态组播协议时, 可以在私网侧启用IGMP, 将Tunnel接口作为IGMP Proxy的上行口, 而在GW2的Tunnel口上启用IGMP。这样对于GW2来说, GW1不再是一个PIM邻居, 而只是一台主机。

2.1.1. 2 NAT穿越

GRE隧道两端需要静态指定对端的公网IP, 且GRE封装头中没有传输层端口, 所以GRE不支持采用端口复用的NAT网关 (应用最广泛的一种方式) 。

2.1.1. 3 动态地址分配

GRE隧道双方需要静态指定对端的公网IP, 因此不支持动态地址方式。

2.1.1. 4 VPN载荷

GRE头一般长4个字节, 而新IP头为20个字节, 所以新的报文增加了24个字节开销。

2.1.2 GRE Over IPSec

IPSec VPN基于一组开放的网络安全协议, 能够提供服务器及客户端的双向身份认证, 为IP及其上层业务数据提供安全加密保护。IPSec能够支持数据加密 (包括常见的DES, 3DES, AES加密算法) , 数据完整性验证, 数据身份验证, 以及防重放等功能, 充分保证业务数据的安全性。但是IPSec VPN设计没有独立接口, 不支持组播, 也不支持动态路由协议。所以很多情景下会与GRE或者L2TP隧道嵌套使用, 即先使用GRE或者L2TP进行报文封装, 然后再使用IPSec进行加密。

2.1.2. 1 单播与组播

IPSec协议本身天然支持单播, 但因为IPSec隧道没有接口的概念, 无法支持动态的组播协议。采用GRE Over IPSec模式, 可以利用GRE天然的单播、组播支持能力, 满足监控网络的各种组播需求。

2.1.2. 2 NAT穿越

IPSec支持NAT穿越。IPSec隧道在使能了NAT穿越特性后, 在封装的时候会增加一个UDP的封装头来支持NAT穿越。采用GRE Over IPSec模式, 由于IPSec封装在外, GRE作为乘客协议不受NAT影响。

2.1.2. 3 动态地址分配

IPSec使用野蛮模式的Name方式时, IPSec隧道支持动态地址分配。可使用loopback口作为GRE隧道的源和目的, 这样虽然设备的出口地址是动态获取的, 但GRE的隧道地址依然使用静态地址。

2.1.2. 4 VPN载荷

如果使用常用的隧道模式, 使用ESP加密/认证算法, 不使用AH, IPSec共增加了68个字节 (包含了穿越NAT所需要添加的字段) 。GRE Over IPSec模式的VPN载荷相当于IPSec载荷与GRE载荷之和, 即68+24=92字节。

2.1.3 L2TP

L2TP中定义了3个角色:CLIENT、LAC、LNS。LAC与LNS间是一个IP网络, LAC与CLIENT之间一般是一个PPP链路 (常用的是PPPo E、DDR方式的PPP等) 。L2TP的目的是建立一条跨LAC的CLIENT与LNS之间的PPP链路, LAC将CLIENT过来的PPP报文封装到IP报文 (先是一层L2TP的封装, 然后是UDP的封装, 再封装到新的IP头) , 最后发送到LNS端。在实际应用中, L2TP隧道的建立方式有两种情况:触发建立、永久建立。

2.1.3. 1 单播与组播

大多数厂商的L2TP都有虚接口VT的存在, 在隧道建立后, 隧道链路就相当于一条实际的链路连接了两个VT口, 天然支持单播报文转发, 同时VT口也可以启用组播协议。

1) Auto-Initiated LAC设备支持组播协议时, 可以在Auto-Initiated LAC的接VC端起用IGMP, VT口上启用动态路由协议PIM SM;在LNS的VT口和内网口上启用PIM SM, 则Auto-Initiated LAC和LNS能建立PIM邻居, 隧道两边就处于同一个组播域中, 对于组播的相关特性都能支持。

2) Auto-Initiated LAC设备不支持或者不起用动态路由协议时, 可以作为IGMP Proxy设备, 将VT口作为IGMP Proxy的上行口, 而LNS的VT口上启用IGMP, 这样Auto-Initiated LAC设备对于LNS设备来说就是一台主机。

这里需要重点指出的是:目前大多数的厂商, 其VT口只支持伪广播, 如果有多个L2TP用户连接在同一个VT口上, 则设备在出方向会把组播和广播报文为每个连接复制一份。也就是说如果存在多个Auto-Initiated LAC连接到一个VT口, 同一个组播报文会向每一个Auto-Initiated LAC都发送, 即使很多Auto-Initiated LAC下的VC用户根本不需要这条组播流。这样浪费了大量的带宽资源。在这里, 我们就需要对组网方式进行一定的规划和限定。如果是分支机构, 我们知道这种机构是有限的, 并且可控的, 我们可以为这些分支分别建立不同的VT口, 这样, 分支间的组播流就不会互相干扰了。

2.1.3. 1. 2 NAT穿越

通常L2TP数据以UDP报文的形式发送, 那么协议本身就支持公网NAT的穿越。当然分支肯定是要作为隧道的发起者。

2.1.3.3动态地址分配

LNS对LAC和client使用的是隧道和用户名的认证方法, 对接入IP没有要求, 因此天然支持动态地址分配。

2.1.3.1.4 VPN载荷

L2TP封装会增加的字段包括PPP头4个字节、L2TP头6个字节、UDP8个字节、新IP头20个字节, 共38个字节。

2.2 移动办公

移动办公是指安装VC的PC独立移动, 在任何位置接入Internet, 由PC机自身与总部路由器/防火墙建立VPN隧道。

在移动办公情况下, 单个VC接入到总部监控中心, 建议使用隧道触发建立方式, PC自身作为LAC, 由PC直接发起L2TP, 与总部路由器或防火墙建立VPN隧道。如果需要提高网络安全性, 可以使用IPSec做一次加密, 即采用L2TP Over IPSec模式。

2.2.1 SSL VPN

SSL (Secure Sockets Layer, 安全套接层) 是一个安全协议, 为基于TCP的应用层协议提供安全连接, 如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域, 为网络上数据的传输提供安全性保证。

首先我们需要对SSL VPN进行一定的了解, 以便于我们选择合适的、可用的接入方式。SSL VPN有三种接入方式:Web接入、端口转发 (TCP接入) 、网络扩展 (IP接入) 。这三种方式有着不同的特点。

1) Web接入使用的是proxy代理原理, 通过修改URL来达到对内网Web服务器的访问。

2) TCP接入通过在接入端自动安装SSL VPN客户端代理, 用户只需要与SSL VPN客户端不同的监听端口建立TCP的连接, SSL VPN就可以将用户的数据报文转发到目的主机, 本方式主要用于基于TCP的内网业务访问。

3) IP接入方式则会自动在接入端安装一个虚拟网卡, 虚拟网卡先与SSL VPN服务器建立一条SSLVPN隧道, 用户访问内网的数据都是通过这条隧道来加密、封装和转发, 本方式适用于基于IP的内网业务访问。

由于监控业务中有部分协议不是基于TCP的, 而且部分TCP应用的端口是临时协商的。因此我们推荐第三种方式:IP接入方式, SSL VPN仅在VC和企业总部间建立一条隧道, 对所有的IP报文都进行加密, 对具体的业务不作区分。在SSL VPN服务器端, 将监控设备的网段加入到IP网络资源中, 允许监控用户访问所有的监控设备。

2.2.1. 1 单播与组播

天然支持单播, 对于SSL VPN Server设备的虚拟SSL VPN接口, 用户只能配置IP地址, 不能进行其他的配置, 也不能启用IGMP功能, 因此不支持组播业务。

2.2.1. 2 NAT穿越

SSL封装是在TCP之上的, 因此其天然支持NAT穿越功能;

2.2.1. 3 动态地址分配

SSL VPN Server并不关心Client的IP地址, 所以支持动态地址方式。

2.2.1. 4 VPN载荷

IP接入方式封装多了SSL加密部分20个字节, SSL头5个字节, TCP头20个字节, IP头20个字节, 共65个字节。

3 EC/ECR接入

EC/ECR接入与VC接入方式类似, 分为两种, 一种是区域EC/ECR接入 (即一个区域多台EC/ECR接入) , 另一种是远端单一EC/ECR接入。与VC接入不同的是, EC/ECR是物理设备, 而非软件, 不能安装在PC机上, 不能由PC机直接发起VPN链接。因此在两种方式下, EC/ECR均需要借助路由器或其他网络设备建立VPN隧道, 与VC分支机构接入方式类似, 因此后文中不再区分EC/ECR的接入方式, 归并为一类进行讨论。

3.1 GRE

天然支持单播。为了支持组播在GW1的内网接口和GW1 GRE隧道接口上都启用动态组播协议, 在监控中心网关GW2的Tunnel上也启用PIM SM, 这样GRE隧道两端就在同一个动态组播域中, 对于所有的组播业务都能支持。

NAT穿越、动态地址分配等与VC接入方式中的GRE描述一致。

GRE over IPsec方式与前文VC接入方式中的GRE over IPsec描述相同。

3.2 L2TP

使用隧道永久建立方式即将LAC与CLIENT合并。在Auto-Initiated LAC和LNS的私网端和VT口上都启用动态路由协议PIM SM, 则Auto-Initiated LAC和LNS能建立PIM邻居, 隧道两边就处于同一个组播域中, 对于组播的相关特性都能支持。

使用隧道触发建立方式:LAC对报文进行二层透传, 因此对LAC没有要求, EC相当于一个组播源与LNS直连, 仅需要在LNS的VT口和私网端起用动态路由协议即可。当然这种方式需要EC支持PPPo E。

需要注意的是:因为L2TP隧道是可以一对多的, 如果点播用户VC也在私网侧, 且和该EC都登录到了同一个VT接口, 这样LNS上的PIM表项就无法建立了, 因为上行口和下行口都是同一个VT接口, 流量就无法通过组播转发到VC上。

NAT穿越、动态地址分配等与分支机构使用L2TP接入部分的描述一致。

4 总结

我们通过比较下面的表1, 更能直观的看出不同的VPN在视频监控中的使用优势。表2主要可以反映出VC或EC接入不同区域时, 使用的VPN技术也是不同的。

参考文献

[1]徐卉.校园VPN隧道构建中Open VPN的应用与实现[J].电脑知识与技术, 2010 (6) .

[2]彭波, 沈坚.基于开源软件建设节约型数字化校园之网络监控篇[J].电脑知识与技术, 2010 (32) .

[3]唐勇.基于开源软件的流量监控系统研究及实现[J].重庆工商大学学报 (自然科学版) , 2009 (3) .