vpn组网解决方案

vpn组网解决方案（精选8篇）

vpn组网解决方案 第1篇

XX证券VPN组网解决方案

第一章 前言

以Internet为基础的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。

一方面，Internet使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利；许多企事业单位不仅仅充分利用Internet的丰富资源，同时，为了企事业单位内部的资源共享和信息传输，也纷纷建起了企事业单位内部Intranet，达到企事业单位内部资源的高度共享。甚至一些信息化建设程度较高的企事业单位已经建起了Extranet，与其他政府机构、合作伙伴也进行了资源共享。

另一方面，面对信息的汪洋大海，人们往往感到无所适从，出现“信息迷向”的现象。更严重的是Internet是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet上通过电子手段予以重现，信息犯罪愈演愈烈。网络的开放性，互连性，共享性程度的扩大，使网络的重要性和对社会的影响也越来越大，信息安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全，还涉及到国家的国防安全、政治安全和文化安全。对于企事业单位的重要信息和资源，也构成了巨大威胁，致使一些企事业单位单位不敢联网，把网络互联的优势完全抛弃，形成了一个一个信息孤岛。

政府信息化的发展已经成为当代信息化的最重要的领域之一。据联合国教科文组织在2000年的调查，89%的国家都在不同程度地推进政府信息化的发展，并将其列为国家级的重要工作。

江泽民总书记明确指出：“四个现代化，那一化也离不开信息化。”我国的政务现代化也离不开信息化。

“两会”前，朱总理提出：“电子政务的发展正在成为当代信息化的最重要的领域之一。为了适应国际形势和我国经济建设与社会发展的需要，我国必须加快电子政务的发展。”在今年的《政府工作报告》中，朱总理更明确指出，要“加快政府管理信息化建设，推广电子政务，提高工作效率和监管有效性。”

如何有效地利用网络互联的优势，提升XX证券系统信息化建设的速度,同时保证网络和信息的安全共享，是摆在我们面前的迫切问题。虚拟私有网络(Virtual Private Network,VPN)的出现，为我们提供了一个安全、经济、快捷、灵活的网络安全互联组网方案。结合的XX证券实际需求和现状网络，通过对必要性和可行性，实施效果、成本和风险，硬件和网络方案等进行了充分的调研和论证，提出了《XX证券VPN组网解决方案》。

根据项目计划，将在XX证券中心机房和全国各营业点部署VPN安全网关，实施安全访问控制和各点之间的加密通信。

第二章 项目情况介绍

2.1 目前网络的现状

目前，XX证券总部在电信申请了2个互联网线路，一条线路用于同其他各营业点（在全国共27个）进行OA系统的信息传输，另外一条线路用户内部员工访问互联网。其他各营业点均在本地电信申请ADSL线路。

目前的网络示意图如下：

图2-1 XX证券网络示意图 2.2 目前网络系统存在的需求

1、应用需求 目前，XX证券全国各营业点需要实时访问XX证券总部（武汉）应用服务器（OA服务器、mail服务器等）。利用传统的公网是无法快捷、安全地访问内部服务器。因为所有数据在传输过程中都是以明文的，如果别有用心的人利用Sniffer等网络监听分析工具，极易篡改、窃取甚至破坏关键数据，给造成不可估量的损失。针对的相关应用需求，我们建议采用VPN的组网方式，可以安全、方便地在XX证券和全国27各营业点之间的“虚拟专用网络”。

2、安全需求

目前XX证券应用系统和重要数据都以明文在网络进行直接传输，因应用系统的网络传输数据体现了XX证券的重要情况和保密敏感信息，属于高度机密，以明文在公共网络上直接传输存在着很大的隐患，黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获应用系统或重要数据，如果这些数据被公布或透露给外界，对于来说，后果是非常严重的。

另一方面，各营业点网络直接和internet相连，这样就存在极大的安全隐患，外部网络可以随意访问内部网络，甚至控制内部服务器，然后已内部主机作为跳板，转而攻击网络总部的服务器，那么整个系统将无安全性可言。

综上所述，如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题。使整个网络的安全达到一个全面加强，使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。

第三章 设计原则和设计思想

系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则： 3.1 安全性原则

在网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存在着安全的漏洞，从而影响整个区政府正常办公的大局。

随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。同时，采用国际上最新的主流VPN技术，确保用户能充分利用网络的互通性和易用性，同时可以为用户尽可能地降低系统投入成本，实现高效益。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重要的是要有完善的安全管理制度。3.2 实用性原则

系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。

尤其是采用了目前国际上领先的“安全网关”技术，将“Firewall+VPN+IDS”技术的充分糅合，较单纯的Firewall技术具有不可比拟的优势，体现在：不仅具有FireWall的保护内网、提供服务的功能，而且利用VPN技术，可以解决Firewall所不能解决的外网用户的安全接入问题（在本方案中，导致可以直接省略“拨号服务器”），同时可以不受接入数量限制，这使整个网络系统的可用性大幅度提高。利用IDS技术，不仅强化了本身的抗攻击能力，而且可以与IDS系统互动。

实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。

3.3 可靠性原则

这套网络安全系统是网络的门户。它的稳定可靠关系重大，特别是WEB网上服务等具体业务项目，随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响政府的形象，也将给为政府带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。

我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、备份技术就是其中的重要策略。3.4 可扩展性原则

网络安全建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，在实现基本的网络被动防护系统（安装防火墙、VPN安全网关及其管理平台）以及信息传输加密的前提下，为以后进一步实现网络的主动防护系统，主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口，便于以后的扩展以及与IDS等设备实现互动。3.5 易管理性原则

网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。另外，通过网管平台，可以实现远程安全管理和本地管理等多种管理手段。第四章 XX证券VPN组网建设方案

4.1 VPN技术简介

VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言，VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

在众多的VPN解决方案中，IP-VPN脱颖而出，成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题，因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后，解决了这一难题。

目前，国际主流的大多是基于Ipsec的VPN技术，该技术正在迅速走向成熟，而且它正处于兴盛期。

图4-1 VPN组网示意图

虚拟专网的重点在于建立安全的数据传输通道，构造这条安全通道的协议必须具备以下条件：

保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。

保证数据的完整性:接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。

保证通道的机密性:提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。

提供动态密匙交换功能:提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。

提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。

虚拟专用网VPN可以使在Internet中的信息交换有安全保障，大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前，VPN技术正在迅速走向成熟，而且它正处于兴盛期。

安达通公司作为国内领先的专业VPN厂商，投入了很大的人力、财力，经过一段时间的研究和攻关，提出了国内领先的全动态地址VPN的解决方案。安达通公司的解决方案不但真正解决了全动态VPN的组网问题，还融入了PKI技术，采用基于数字证书的身份认证机制，解决了大规模VPN应用中的设备管理和网络管理的难题。4.2 产品选型

上海安达通信息安全技术有限公司（简称ADT）是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的公司。公司将自己定位为：基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心，证书为灵魂，网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。

安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备，并且具有和入侵检测系统（IDS）互动的功能；随着系统的升级，ADT安全网关SGW系列产品，还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备，安全网关将具有综合的安全作用，使网络的安全和投入，获得最佳的安全和效益。

另外，安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接（如：通讯双方均采用ADSL进行连接）。

故此，我们建议目前的各XX证券组网方式改为VPN组网方案。

VPN组网除了以太网络联网方式外，还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网（PSTN）提供的服务：如Modem拨号方式、ISDN、ADSL等。利用专线、帧中继/ATM或以太网方式，从经济上和功能上不太适合的组网需求，利用电话线路的组网方式中，由于Modem拨号方式从技术上、管理上、安全上不太适合目前业务发展的需要。ADSL是电信力推的企事业单位上网模式，不但速度快、性能好、实时性好，针对的应用特点和联网规模，从经济上也是前几种组网方式所不能比拟的。

针对的实际需求和具体应用，我们推荐此方案采用安达通公司的SGW25C、SGW25B、SGW25A等型号的硬件产品。4.3 网络规划与产品部署

1、总部设计方案

考虑到目前总部服务器的高安全性、高载荷和将来的发展，建议在总部业务线路（100M线路上）放置两台安达通SGW25C型VPN安全网关。为了避免出现单点故障，两网关作双机热备。

利用安达通安全网关的VPN技术建立总部和下面各营业点的“安全隧道”，实现总部和营业点之间安全的VPN“虚拟专用通道”。

利用安达通安全网关的防火墙功能实现基本的访问控制和安全隔离。普通数据包通过防火墙模块到达XX证券内部网络，实现包状态检测和访问控制功能。只有需要加密的数据和信息才可以通过安达通VPN网关到总部内部网络，对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。

另外，作为VPN备份线路，建议在总部的另外一个出口（10M线路，用于内部访问互联网）处步署一台安达通SGW25B安全网关，当业务线路出现故障（如路由器出现故障，被攻击，或者电信部门调整线路）时，下面各营业点可以同该网关（SGW25B）建立VPN通道，从而连接到内部网络。

2、全国各营业点网络设计方案

目前各营业点的使用adsl接入互联网，鉴于其网络流量不是很大的特点，建议在各营业点步署安达通公司SGW25A安全网关，利用其VPN功能，可以通总部建立VPN通道，从而安全的连接到总部内部网络；另外，利用其强大的防火墙功能，可以保护营业点内部网络。VPN组网结构如下： 图4-2 XX证券VPN组网结构示意图

vpn组网解决方案 第2篇

第一章 项目背景

随着宽带Internet网络的普及，信息化的发展正在改变着企事业传统的运作方式。越来越多的企事业单位都在逐步依靠计算机网络、应用系统来开展业务，同时利用Internet来开展更多的商务活动。企业正越来越多的应用了计算机和各类应用软件和系统来处理单位业务，如何将位于全局不同地点的分支机构网络互联互通、数据安全上传，就成了必须解决的问题。

远程私有网络的需求促进了VPN的诞生和高速发展。以往专用线路(如DDN)的高昂成本和长期的使用费，以及跨运营商的不便成为公司很大的成本负担，很多公司无法利用这种方式来建立自己的专网，而在Internet发展的早期，窄带线路的通信质量、带宽、以及资费，都无法满足企事业长期利用其来构建自身远程私有网络的需要，很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。但到了今天，各种宽带上网方式(如ADSL、城域网等)都在迅速发展，带宽和通信质量已经不在是瓶颈，资费也极大的降低，完全能够高效率、低成本的解决企业网络互联互通的需要。

企业为了达到本单位内部信息共享，构成统一的网络工作平台，需要将总部与分支机构组成虚拟局域网，在企业总部布置UTT5830GVPN防火墙，分支机构通过UTT2512建立虚拟局域网，为统一的网络工作平台提供基础平台，同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的数据共享和远程应用，保证信息网络的安全。

企业为了达到本单位内部信息共享，构成统一的网络工作平台，需要将总部与分支机构组成虚拟局域网，在企业总部布置UTT5830GVPN防火墙，分支机构通过UTT2512建立虚拟局域网，为统一的网络工作平台提供基础平台，同时实现企业上网行为管理、综合管理系统、内部OA、内部其他应用系统等的.数据共享和远程应用，保证信息网络的安全。

第二章 建设目标和设计原则

系统的总体设计思想是要体现技术的先进性和决策的前瞻性，企业的VPN网络构建着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则：

2.1. 建设目标

在完成了企业的VPN网络建设后，将为应用系统提供统一、安全、高速、可靠的网络传

输平台，具体能够实现以下目标： 1)网络互联

可实现“企业总部-分公司-分支机构”及各分公司、分支机构之间的安全互连，为内部应用系统的运行提供互连互通、安全可控、自主管理的网络平台。 2)独立性

能够根据用户的需要有选择地对需要的业务数据进行加密，不需要加密的数据和Internet接入业务可以不受到影响。 3)网络安全性

安全周边安全：VPN安全网关融合了VPN、路由、上网行为管理、防火墙等功能，可对外来及内部攻击进行主动防御，更能保证整个网络平台的安全及每个局域网内部的安全。上海艾泰有限公司VPN安全网关其内置防火墙其抗攻击能力优异。

信息传输安全：通过建立VPN加密隧道、采用有别于光纤及DDN专线所采用之传统明文传输的密文传输方式，保证信息传输的完整性、保密性及不可抵赖性，把安全真正掌握在用户手里。

可靠性：上海艾泰科技VPN安全网关性能稳定可靠，其高达60000小时的平均无故障工作时间可为系统长期稳定运行提供强有力的保证。 4)系统扩展和变更的灵活性

系统VPN网络的扩展非常容易，同时又不会带来安全隐患。 5)网络通讯效率

此次网络建设所选用的设备具有很高的加密速率，不会影响网络的通讯效率。为各种网络应用提供统一管理的、透明的网络传输平台。 6)高性价比

本项目实施后不但解决了很高的信息数据传输安全性，而且不会影响网络传输性能。本方案不仅满足今天的需求，而且支持未来扩展。本方案提供了完整的思路，具有极高的性能价格比和投资回报率。

2.2.设计目标

对企业的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。具体的我们遵循了以下原则：

1)安全性原则

上海艾泰科技有限公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 2)可靠性原则

这套网络安全系统是用户的主营业务平台。它的稳定可靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响企业的正常运作，将给为用户带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。

上海艾泰科技有限公司将采用相应的手段保证系统、网络和数据的稳定可靠性，关键节点采用负载均衡、平台备份就是其中的重要策略。

3)先进性原则

在系统建设方案，具有相当的先进性，并能够通过对VPN设备和软件的不断升级，确保系统的技术领先性和持续发展性。

4)实用性原则

系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。

实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。

5)可扩展性原则

系统建设应该是统一规划、分步实施、逐步完善的的过程。我企业在该方案的设计中充分考虑它的可扩展性，使系统能够方便的扩展。

6)可推广性原则

该方案具有很强的推广性，可根据实际情况逐步扩展网点数量。

7)易管理性原则

基于VPN的校园网组网模式分析 第3篇

随着国内一些高校规模的日益发展扩大, 许多高校逐渐拥有了在地理跨度上比较大的分校区。为实现高校的统一信息化管理, 这些分校区需要在逻辑上形成一个整体的计算机信息网络, 同时要保证网络本身的高效性和安全性。假如通过DDN来实现校区信息网络互联, 则会涉及到大量高额的租金费用, 网络结构若需要调整时也会牵涉到许多操作。VPN技术可以实现上述目标, 而且有比较低的成本和比较高的安全性。

2、VPN概述

虚拟专用网VPN (Virtual Private Network) 技术可以在因特网中通过建立一条逻辑上的虚拟信道来实现信道两端的信息交流, 同时保证足够的安全性和高效性, 并且省去租用DDN专线所需的高额费用。其中, "虚拟"意指并不存在一个物理上独立的网络;"专用"是说建立好的VPN归属于某个特定的机构使用, 满足机构的需求。

支撑VPN的技术主要有如下四种:

1.隧道技术:

采用隧道技术的目的是为了实现信息的封装, 封装好的信息可以在公用的网路上传输而不被窃取。实现隧道技术的主要协议有:第三层的GRE、IPSEC以及第二层的L2TP、PPTP等。

2.加密和解密技术

对传输的信息进行加密处理后, 即使信息被中途截取到, 只要对方不知道信息加密的规律, 就无法正确破译, 从而保证数据的安全性和完整性。通常在VPN上传输的所有数据, 在传输之前均需要先进行加密处理, 到达接受端或则需要解密, 还原出原始的信息。

3.密钥技术

VPN中的密钥技术根据使用密钥方式的不同, 可以分为两种, 分别是对称和非对称密钥加密技术。前者也称为专用密钥加密, 即发送方与接收方使用相同的对称密钥进行加密运算与解密运算。后者也叫做公开密钥技术, 指的是每人拥有一对唯一对应的密钥:公钥和私钥。公钥对外公开而私钥则由个人保存。若用其中一把密钥进行加密的话, 就只能用另一把密钥来对明文进行解密。

4.身份认证技术

用户名和密码是身份认证最简单的技术, 但是并不能完全保证系统的安全性能。而数字证书是进行身份认证的最重要的技术之一。由CA中心作为签发数字证书的第三方权威机构。通过CA来实现把用户的公钥与其他标识其合法身份的信息绑定在一起, 从而对因特网上用户的身份进行识别。

由于VPN使用户避免了租用昂贵的DDN专线, 因此大幅降低了用户的使用成本;此外, 使用VPN可以轻易地改变逻辑网络的结构, 或者实现虚拟网络的扩充;由于使用了各种安全机制, VPN可以保证网络具有良好的安全性, 而且无须使用者投入过多的力量进行技术维护。以上特点决定了其高校网络互联的适用性。

3、VPN组建校园网的三种模式

针对高校中不同用户的需求, VPN技术可以提供有三种相应的组网模式, 分别为校外远程访问虚拟专用网 (Access VPN) 、校内虚拟专用网 (Intranet VPN) 、扩展的校园虚拟专用网 (Extranet VPN) 。以下分别对这三种组网模式进行分析。

3.1 校外远程访问虚拟网模式

校园网的合法用户有时需要在校外访问网络, 比如出差在外时或者在家中有远程办公的需要, 地理位置在校外的远程用户, 其IP地址是不确定的, 这种情况适合于VPN的远程访问模式 (Access VPN) 。Access VPN通过与专用网络相同策略的共享基础设施, 来支持校外用户对学校内部网或远程访问。Access VPN能使校园网用户在校园外的其他地理位置访问校园网络资源, 从而实现了物理专用网络难以实现的远程访问或者移动办公功能。用户接入的方式可以根据当地ISP情况而定, 可以是:模拟接入、拨号连接、ISDN、ADSL、移动IP以及专线连接等。这种方式之下, 用户在校外直接接入用户所在地的ISP, 基于VPN系统在电信公网上保持一个虚拟通道, 从而与学校的VPN网关建立私有的隧道连接, 实现对校园内网络的访问和存取。如图所示。

图中, RADIUS服务器提供远端验证拨入用户服务的基于标准, 基于策略功能的安全服务。其具体的作用是对校外用户的合法身份进行验证和授权, 从而保证连接的安全。

具体做法示例:在校园网络一端, 用Windows 2000 Server建立VPN网关及服务器, 校外终端用户在Windows系列的平台上配置VPN客户端, 使用客户端软件, 配置为隧道开通器, 再通过用户所在地的ISP接入公网, 从而可以访问校园网内的VPN网关及服务器, 进而访问校园专用网内资源。

3.2 校园内部虚拟网模式

越来越多的高校建立了多个分校区, 这些校区处于不同的地理位置甚至不同的城市, 相隔一定的距离。为了使校区之间的信息管理系统一体化, 许多高校采用了租用当地电信运营商DDN专线的方式, 这种方式有高额的租用费用。而通过在各个校区之间建立VPN的方式, 则可以通过因特网将各分校区互联, 这种方式称为Intranet VPN, 可以在因特网上组建跨越地理范围的虚拟网络, 利用VPN的隧道特性与加密功能, 保证信息在Intranet VPN上的安全传输。这样, 利用Intranet VPN组网模式通过一个使用专用连接的共享设备, 连接主校区和各分校区。连接以后的网络拥有与专用网络相同的安全性、服务质量与可靠性。具体组网模式如下图所示:

具体实现方法为:在分属不同地理位置的主、分校区之间, 使用带VPN功能的路由器, 利用相应的VPN设备, 来建立Intranet VPN。通过对每个校区的路由器进行数据参数的配置, 在各个校区间建立虚拟通道。当某校区的用户访问其他校区的网络资源时, 根据用户所在校区路由器上的路由设置, 将用户的连接请求转到目的地的路由器, 后者将分配给此用户一个网络IP地址, 并检查用户的账户与口令是否合法, 再赋予该用户访问权限, 该用户即可在此区域内访问网络资源。

3.3 校园扩展虚拟网模式

由于高校科研的需求以及校企之间合作的需要, 在高校之间、高校与其管理部门以及与企业之间, 产生了越来越多的信息交流和资源访问的需要。假如使用专用网络来实现各个单位之间的信息共享, 将投入大量的资金和后期维护的费用, 而一旦需要调整网络的拓扑结构或者增删节点, 也将投入大量的时间和成本。可以使用VPN技术的Extranet VPN (扩展的内部虚拟专用网络) 来实现这样的目的, 即搭建一个基于Extranet VPN的扩展虚拟网络, 将高校、分校区、上级单位、合作企业、科研院所等联为一体, 实现信息资源的共享。如图三所示:

使用这样的方式, 其实现原理与Intranet VPN没有本质的区别, 可以有效地为合作单位和管理部门提供信息资源访问的方式, 同时又具备良好的安全性。Extranet VPN拥有与专用网络的相同的服务质量和可靠性。Extranet VPN能够实现对外部网络进行操作和管理, 在连接外部网络时, 其使用的架构与协议和内部网络以及远端访问模式是完全相同的。

需要注意的是:由于Extranet VPN涉及到不止一个部门或者单位, 所以需要在安全性能上做一些协调和配合的工作。此外, 外部网络的用户只有经过许可, 才可以访问不同部门或者单位的网络资源, 这也同样是出于安全性能的考虑。

4、结束语

使用VPN技术组建跨越较大地理区域的校园网络, 可以充分利用公网资源来组建等同于私有网络的校园网。又由于VPN技术可以通过多种机制如加密以及认证来保证数据传输和访问的安全, 因此完全可以满足校园网低成本投入和高安全性能的需求。此外, VPN技术还有容易扩展、管理简单、可随意增减分之机构等优点, 可见其在组建校园网方面有巨大的发展与应用空间。

参考文献

[1].Martin W.Mur hammers虚拟专用网技术[M], 北京:清华大学出版社, 2004:10-31.

[2].钟成, 安全节省地实现远程互联[J], 微机电脑世界, 2004, 12-13

[3].杨文安, 计算机网络工程设计与实施[M], 北京:科学出版社, 2004

第三类主流组网方案等 第4篇

10月13日下午,TP-LINK再度携手美国Atheros共同以“第三类主流”为题,召开了“TP-LINK&Atheros电力线通信产品联合发布会”。

作为当前继有线网络、无线网络之后的,第三类组网补充方案,TP-LINKPLC家族的系列产品将包括85Mbps的低速版产品TL-PA101和200Mbps的高速版产品TL-PA201,以及与之相组合的电力线AP/路由器产品。

其中200Mbps的TL-PA201可以让你轻松地利用现有电线进行组网,无需布设网线。

而且相比无线网络,它的信号更加稳定,不易掉线,不受障碍物影响,传输距离更可达300米以上。

TP-LINK TL-PA201

传输速率200Mbps

加密128-bit AES

协议标准HomePlug AV

大品牌、实惠价——索尼推出SRS-A3/D5两款多媒体音箱

顾国林

10月19日,索尼发布SRS系列最新音箱两款产品SRS-A3/D5,分别以让人惊讶的199元和399元的优惠价格上市。

SRS=D5箱体为黑色,庄重却不乏时尚。冲孔金属罩保护音箱单元不受外界因素破坏,而延长音箱的寿命。两个小卫星音箱采用15度小仰角设计,让人在欣赏音乐时获得更自然的听觉感受,同时也与雅致的产品外观和谐一致。这款2.1声道有源音箱输出功率为40W。在音效方面,为增强低音效果还使用了Bass Reflex低频回振声学系统,尤其适合游戏玩家和电影爱好者使用。SRS-A3是一款做工精良的便携式多媒体音箱,同样15度小仰角使得声音的传播方向接近人耳位置。

索尼SRS-D5

类型2.1音箱

特色15度小仰角设计

参考价格399元

桌面时尚舞者——三诺推出V-10U环保多媒体音箱

顾国林

百元价位的音箱也可以如此漂亮?三诺最新发布了一款外观时尚美观、性能优异的笔记本专用低音炮音箱V-10U。这款产品整体采用圆润流线处理,独特的卫星单元采用5090跑道外形,搭配经典的红黑两色,简洁时尚,使得它在百元级的2.1音箱里成为耀眼之星。V-10U独特的USB供电技术和声效提升技术,使得该款音箱拥有10W的强劲听感,却只需5W的功耗。由于V-10U采用笔记本电脑的USB接口供电,这样能在保持洪亮的声音前提下,让笔记本电脑的电池使用更长的时间,环保节能。操控方面,这款产品采用前置旋钮,非常方面。

目前三诺V-10U的市场参考价格是128元。

三诺V-10U

类型2.1音箱

特点低功耗大音量

参考价格128元

触梦未来——长城新推触控显示器GOLF系列

冯华

近日,长城显示器举行了主题为“触梦·触未来”的GOLF系列新品发布会,由长城显示器倾力打造的23.6英寸大屏多点触控式LED液晶显示器——长城GOLF Z2588touch正式亮相。

vpn组网解决方案 第5篇

原因：vpn配置文件vpnclient.ini中的WindowX，WindowY值被修改超级大，超出屏幕界面

[main] ClientLanguage= [GUI] DefaultConnectionEntry=Avnet VPN-Americas WindowWidth=600 WindowHeight=330 WindowX=245000 WindowY=245000 VisibleTab=0 ConnectionAttribute=0 AdvancedView=1 LogWindowWidth=0 LogWindowHeight=0 LogWindowX=0 LogWindowY=0 解决方案：

在客户端安装目录下找到，把它修改为WindowX=75、WindowY=75，恢复正常。错误代码56

原因：VPN的服务被关闭

解决方案：

计算机----> 管理------->服务和应用程序-----> 服务----->Cisco Systems, Inc.VPN Service----->右键--------->启动 OK

如果遇到启动一会后就被kill ：

cvpnd服务是被Internet Connection Sharing(ICS)服务kill掉的： 1.将Internet Connection Sharing服务类型设置为手动。2.停止Internet Connection Sharing服务。3.启动Cisco System, Inc.VPN Service。

另外，如果在连接的时候，报了无法启用虚拟网卡的错误，需要先取消物理网卡的共享(停止Internet Connection Sharing服务)，再连就OK了。错误代码413

原因：用户名或密码不正确，或vpn连接的分组与本部门分组不一致 解决方案（用户名或密码不正确）：

输入密码时，如果邮件客户端使用的是foxmail，建议将密码复制到文本文档里面，然后再复制到客户端，因为foxmail会在outlook发送的密码后面加一个空格或回车。

如果VPN server端对vpn连接是使用的分组有限制，vpn连接的分组与本部门分组不一致时，也会报413错误

解决方案：按照开通vpn账号时发送的通知邮件，新建一个与本部门分组一致的连接，重新登录 错误代码412

原因：服务端没有响应，可能是因网络原因或是服务端忙导致 解决方案：

1.关闭宽带路由器的防火墙功能。

2.不断Ping 远方某个IP地址，让VPN Client一直收到对方的回馈数据包，这样就不会time out而断开了。

3.机器装有防火墙软件，防火墙策略阻止了VPN的连接，在进行VPN连接前先禁用防火墙软件。

4.查看宽带路由器的设置，是否有VPN相关的选项，如果有将选项设为Enabled(开启)，允许VPN数据穿透。错误代码442

原因：当前使用的虚拟网卡工作不正常 可能引起该问题的原因及解决方案：

1）由于网络连接开启了“连接共享”引起的，解决方法如下：

a.点击“网络连接“

b.点击 ”Cisco Systems VPN Adapter 本地连接", 选择共享(Tab),去掉/禁用 Internet 连接共享中的“允许其它网络用户通过此计算机的 Internet 连接来连接” 项；

2）原因：开启了Internat Connection Sharing(ICS)服务

解决方案：关闭这Internat Connection Sharing(ICS)服务

操作步骤：右键点击桌面计算机图标-管理-服务和应用程序-服务，找到Internat Connection Sharing(ICS)，右键，停止

3）卸载客户端，重启，重新安装客户端 错误代码403 原因：无法连接至安全网关，可能是由于当前的网络没有开放ipsec通道导致 解决方案：更改路由器设置，将允许ipsec连接的设置选为是。错误代码433

原因：连接被服务端断开，原因可能有多种，需要对具体问题进行分析 解决方案：

1）如网卡工作异常，需重启vpn客户端重新连接。

2）如电脑长时间未重启，需要重启释放掉之前已连接的进程。3）VPN服务器连接数超过最大并发连接数，请联系VPN管理员。错误代码429

原因：不能解析VPN服务器地址 解决方案：

1、查看VPN配置中的host是否正确，应该为dblvpn.chinaso365.com

网吧大致组网方案 第6篇

1．光纤直接接到网吧，然后通过一光纤收发器将光信号转换成10M/100M电信号。接入采用光纤，速度快、稳定性好、障碍率低、抗干扰性特强。

2．用一路由器作为局域网的网关，此路由器在功能与性能上必须满足网吧网络的需求，由于它是专门用于路由转发、地址映射的硬件设备，在工作效率上比电脑主机强百倍，且具有非常优异的稳定性。此路由器需具备双以太口：一个用与光纤收发器连接、另一个用与交换机连接，连接介质均为网线。路由器作网关，路由转发能力强、稳定性好、具有很高的安全性，可以确保局域网内部机器安全上网无后顾之忧，而且可以保持长期在线。

3．用一交换机用于局域网内部互连。与集线器的共享总线式带宽相比，交换机使用独享式带宽，在功能和性能上远远超过集线器。交换机可以大大提高网络利用率，减少局域网内部冲突，提高上网速度。尤其是在较多机器同时运行的情况下，交换机发挥的作用将更大。

车载无线组网方案 第7篇

行进中的车队常常需要建立数据网络连接，构建车载无线局域网络成为首选，然而，由于车队行进中有以下许多特殊性，使得一般的网络构架和设备选型难以满足应用的需要：

1、车队行进中，不仅颠簸震动严重，而且常遇到高温、高寒、高海拔等恶劣地质环境以及各种恶劣气候条件，对设备稳定性要求很高

2、车队中车辆相对位置经常变动，无法使用高增益定向天线

3、行进速度不同，车队的排列顺序经常变化，网络中心位置不固定

4、行进中某些车辆可能超出网络连接的空间范围，当重新进入网络时，需要有自动建立连接的功能。

采用wuhe的MESH“网状网”无线网络设备，完全可以满足这种需求。该产品采用抗冲击铝压铸外壳全密封结构设计，适应各种恶劣环境条件：

◆采用符合军标的器件，可靠性高

◆可全天候工作

◆低温可达零下40度

◆海拔可到5000米

◆宽电压范围，交流100V～240V，直流12V到24V均可正常工作，

MESH “网状网”产品采用了最新的无线网络技术。与通常的“星型”网络和“树型”网络不同，“网状网”无线网桥之间可以利用无线信号形成“网状”的连接形态。任何两台无线网桥之间可以直接建立无线链路，在没有无线链路可以直接构成连接的时候，也可以自动寻找第三台无线设备间接构成连接。甚至，可以通过若干台“中转”建立连接。

“网状网”无线网络产品，组网方式非常灵活，完全消除了通常无线网络的所谓“必须有中心基站”的布局限制，网络结构可以根据需要自动灵活变更，非常适合于车队这种灵活机动的应用模式需求。

利用“网状网”无线网络设备建立的无线网络系统，当任何一个节点的网络设备出现故障而失效时，网络会自动重新建立路由体系，保证网络畅通。因而大大提高整体网络的生存能力。而若某个结点由于运动而脱离原来的无线网络范围，当其重新进入覆盖范围时，可以自动重新连接进入网络。

vpn组网解决方案 第8篇

1 VPN技术探讨

1.1 VPN定义

VPN，全称为Virtual Private Network，翻译为“虚拟专用网络”，顾名思义可以理解为虚拟出来的企业内部专线。(百度百科的)VPN的理念就是通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN的应用也就是对企业内部网的扩展，从而可以帮助远程用户、公司分支机构相互建立可信的安全连接，并保证数据的安全传输。目前而言VPN可用于不断增长的移动用户的全球因特网或企业局域网的接入来实现安全连接;也可用于实现企业网站之间安全通信的虚拟专用线路，从而更经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。确切而言，“虚拟”的概念是相对传统私有网络的构建方式。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。

企业内部资源享用者只需连入本地ISP的POP(Point Of Presence，接入服务提供点)，即可相互通信。VPN是通过特殊的加密的通讯协议，在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。

1.2 VPN的类型

根据不同的划分标准，VPN可以进行不同的分类划分。比如按照VPN的协议分类，主要有三种，分别为PPTP,L2TP和IPSec，其中L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种;按照所用的设备类型进行划分，可以包括路由器式VPN、交换机式VPN、防火墙式VPN;而按VPN的应用分类，则包括：

1)Access VPN(远程接入VPN)：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。

2)Intranet VPN(内联网VPN)：网关到网关，通过公司的网络架构连接来自同公司的资源。

3)Extranet VPN(外联网VPN)：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extrane相对应。

1.3 隧道技术

对于构建VPN来说，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，所以网络隧道(Tunneling)技术是个关键技术。隧道的功能就是在两个网络节点之间提供一条通路，使数据报能够在这个通路上透明传输。隧道技术是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。网络隧道技术涉及了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。

根据实现隧道的层次，隧道协议分为第二层隧道协议和第三层隧道协议。二层隧道协议主要应用于构建Access VPN和Extranet VPN;三层隧道协议主要应用于构建Intranet VPN和Extranet VPN。

1.3.1 二层隧道协议

二层隧道协议是将整个数据帧封装在隧道中，主要有三种：PPTP(Point to Point Tunneling Protocol，点对点隧道协议)、L2F(Layer2 Forwarding，二层转发协议)和L2TP(Layer 2 Tunneling Protocol，二层隧道协议)。其中L2TP结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持，将是使用最广泛的VPN二层隧道协议。

1.3.2 三层隧道协议

用于传输三层网络协议的隧道协议叫三层隧道协议，基于三层隧道协议构建的隧道内只携带第三层报文。现有的三层隧道协议主要包括：通用路由封装协议GRE(Generic Routing Encapsulation)、IPSec(IP Security)，其中IPSec不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录，电子邮件，文件传输及WEB访问在内多种应用程序的安全。

2 基本建设思路

在VPN接入网的建设过程中，需要从以下几个方面来考虑：

支持客户端各种接入手段及动态IP地址;企业总部采用固定IP地址，分支机构可以选择ADSL或者FE专线接入Internet。

网络拓扑类型以Hub-Spoke为主，Partial-Mash方式下客户端互访流量通过Server转发，此时流量不超过20%，否则会加重Server负担，这种情况下，路由的设计是重点关注的问题。

IP SEC提供在IP层的加密认证等安全服务。

IKE协商可以采用预共享密钥的方式，也可以采用CA认证的方式进行。

网络的部署监控配置维护采用VPN MANAGER和BIMS配合进行

2.1 组网方案

VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关，在分支机构Internet边界防火墙后面配置一台专用VPN网关，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输。VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。根据其业务的需求，有必要的话，可以在分支节点用设备进行冷备份。

H3C secpath系列VPN网关强大的VPN处理性能，高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量，百兆VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量;

2.2 IPSec VPN方式

1）组网特点：

VPN客户端设备相对来说比较简单。

2）部署要点：

VPN客户端可以使用动态地址接入服务器，但为了防止客户端IPSec配置泄露造成的安全隐患，建议VPN客户端口采用静态地址。同时，这样也便于使用VPN Manager的配置管理功能。

3）方案特点：

组网简单，易于部署;

由于IPSec不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。

单纯的IPSec封装，对于带宽资源消耗较小。

2.3 移动用户IPSec VPN接入方式

1）组网特点：

移动用户灵活接入，安全认证、数据保护。

2）部署要点：

通过客户端软件i Node多链路形式接入企业内部VPN;

使用L2TP+IPSEC完成用户身份认证和报文加密;

认证方式可以采用Sec key;

IKE协商使用预共享密钥的方式进行;

对于L2TP用户认证计费采用远端Radius(CAMS)进行;

VPN服务器侧可以考虑使用单台设备，也可以考虑使用双VPN服务器备份

3）方案特点：

灵活、安全。

3 结束语

IPSECVPN在企业局域网中的成功应用，充分发挥了VPN技术的优势，在很大程度上提高了网络的可扩展性和可用性，为我们企业的业务平台，做了有力的保障。但是，拥有良好的硬件和软件环境还远远不够，高质量的日常运维保障仍然是必不可少的。只有将两者有机的结合到一起，才能保证公司信息系统长期、可靠的运行。

摘要：该文对VPN IPSEC技术进行了较为深入的探讨,特别对IPSECVPN技术在企业局域网应用进行了详细介绍和分析,包括原理、实施步骤和使用分析。

关键词：VPN ACCESS,VPN IPSEC

参考文献

[1]罗晋,赵旭,杨杰.IPSec VPN的性能分析与优化[J].信息安全与通信保密,2008(5).

[2]刘洋.IPSec VPN和SSL VPN的分析比较[J].电脑知识与技术,2009(4).