VPN技术范文

VPN技术范文（精选12篇）

VPN技术 第1篇

VPN, 虚拟专用网, 是一种当前较流行的网络连接技术, 是Virtual Private Network的缩写, “虚拟”的概念是相对传统私有专用网络的构建方式而言的, 对于广域网连接, 传统的组网方式是通过远程拨号和专线连接来实现的。虚拟专用网不是真的专用网络, 但却能够实现专用网络的功能, 如图1所示。虚拟专用网指的是依靠ISP (Internet服务提供商) 和其它NSP (网络服务提供商) , 在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。由于VPN是在Internet上临时建立的安全专用虚拟网络, 用户节省了租用专线的费用, 这使得VPN价格相对低廉。

2 VPN的特点

(1) 虚拟性:

与传统的专用网不同, VPN 不是在2个站点之间建立永久的连接, 当端与端之间的连接断开后, 所释放的物理资源又可被挪为他用。

(2) 安全性:

VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。

(3) 低成本:

用户不必租用长途专线建设专网, 不需大量的网络维护人员和设备投入。

(4) 易于实现与扩展:

网络路由设备配置简单, 无需增加太多的设备, 节省了人力和物力, 可以直接利用Windows系统中的网络功能来实现。

3 VPN的应用方式

VPN有三种应用方式:远程访问虚拟网 (AccessVPN) 、企业内部虚拟网 (IntranetVPN) 和企业扩展虚拟网 (ExtranetVPN) , 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

(1) 远程访问虚拟网

AccessVPN通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路 (xDSL) 、移动IP和电缆技术, 能够安全地连接移动用户、远程工作者或分支机构, 适用于公司内部经常有流动人员远程办公的情况, 如图2所示。

(2) 企业内部虚拟网

企业内部分公司之间传统的上网方式是租用专线。显然, 在分公司增多、业务开展越来越广泛时, 网络结构趋于复杂, 费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施, 连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同保障和服务, 如图3所示。

(3) 企业扩展虚拟网

企业扩展虚拟网通过一个使用专用连接的共享基础设施, 将客户、供应商、合作伙伴连接到企业内部网, 能容易地对外部网进行部署和管理, 外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署, 主要的不同是接入许可, 外部网的用户被许可只有一次机会连接到其合作人的网络, 如图4所示。

4 常见的VPN产品种类

目前电信可提供的VPN产品类有MPLS VPN, 二层交换VPN, IPSEC VPN和VPDN。

4.1 MPLS VPN

MPLS VPN是指基于MPLS技术构建的虚拟专用网, 即采用MPLS技术, 在公共IP网络上构建企业IP专用网络, 实现数据、语音、图像多业务宽带连接, 并结合差别服务、流量控制等相关技术, 为用户提供高质量的服务。MPLS VPN能够利用Internet组建专用网, 将大笔的专线费用缩减为少量的Internet费用, 对用户而言无疑是非常有吸引力的, 而且企业甚至可以不必建立自己的广域网维护系统, 而将这一繁重的任务交由ISP来完成, 并可提供强有力的QoS能力, 具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。

(1) MPLS工作原理

MPLS (Multiprotocol Label Switch, 多协议标签交换) 是由Cisco标记交换演变而来的IETF的标准协议。它可以看做是一种面向连接的技术。包的转发完全基于Label, 标记表示路径和服务的属性 (Label Switched Path, 简称LSP) , 当数据包流入时可以通过MPLS指令或者手工配置的方式做上标记, 位于核心的设备仅仅读这些标记, 赋予适当的服务, 然后根据标记转发这些数据包, 对这些数据包的分析、分类和过滤只发生一次, 在MPLS标记交换路径的出口 (或倒数第二跳时) , 标记被移去, 还回原来的IP包 (在VPN的时候可能是以太网报文或ATM报文等) , 数据包转发到最终目的地。MPLS节点转发这些数据包完全根据Label值进行转发, 而不是根据IP信息。MPLS这样的包转发运算方式比IP包转发运算方式更为简单, 但它却可以提供比IP包转发提供更为强大的功能。

(2) MPLS VPN的技术特点

①能提供QoS的保证。

主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务, 也可以通过划分类以面向无连接的方式提供差分服务, 另外, 还可以通过流量控制技术间接地为QoS的实现提供一定的资源保障。基于流的集成服务因其需要指令的支持造成可扩展性较差, 不适合在骨干网上应用, MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量控制来满足, 另外在传统IP网上的专线技术IPSec/GRE等也可以构建VPN, 但这些技术无法保证QoS。

②安全性较高。

MPLS骨干不负责维护任何VPN路由, 只进行标签交换, 因此其安全性与二层的ATM技术相当。在PE路由器 (服务商边沿路由器) 上, 各VPN路由通过VRF来隔离, 也具有良好的安全性。

③可扩展性好。

MPLS VPN的路由只存在于PE路由器上, PE路由器只保存与之相连的客户站点的VPN路由, 骨干的PE路由器无需任何VPN路由的知识, 这大大减少了VPN路由的维护量。另外, MPLS VPN通过二层标签栈区分域内路由和VPN路由, 使网络具有较好的可扩展性。

④减轻客户的维护负担。

MPLS VPN技术中的VPN路由存在于运营商的PE路由器上, 由运营商替客户维护路由, 减轻用户的管理和维护负担, 以利于将VPN业务向各类高中低端客户大规模推广。

(3) MPLS VPN的适用范围

适用于数据通信量大、高效运作、商务活动频繁、对网络依靠程度高、有较多分支机构的企业, 如网络公司、 IT公司、金融业、贸易行业、新闻机构等。

4.2 IP-Sec VPN

在公共网络构架上 (通常是Internet) 利用安全、认证、加密等技术建立企业的专用线路, 也就是一个安全的网络隧道 (TUNNEL) , 在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN虚拟专网, 是一个通过Internet将个人和系统安全相连的技术, 即利用公用基础设施为企业各部门提供安全的互联网服务, 它可以提供与昂贵的专线 (DDN) 类似的安全性、可靠性、可管理性和优先级别, 可构筑于IP网络, 帧中继网络和ATM网络上。

(1) IP-Sec VPN网络技术特征

①属于端到端服务, 不需要骨干网络承担业务相关功能。

②响应市场变化的速度快捷, 可以在现有的任何IP网络上部署。用户可在任意位置使用。

③IPsec协议不解决网络的可靠性或者QOS机制等方面的问题, 服务质量主要依赖承载网络。

(2) IP-Sec VPN的适用范围

连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府、公用事业总部和分支机构。

4.3 PDN远程办公

远程办公 (VPDN) 是指有远程办公 (包括群体远程办公和个人远程办公) 需求的用户采用专门的账号和企业自定义的IP地址, 通过ADSL PPPoE拨号联入企业内部网络, 该账号不提供Internet功能。

(1) VPDN网络技术特征

①上下行速率不对称。

②用户认证以保证其安全性。

③速率为128K～2M。

④用户通过ADSL方式拨入, 用户无需路由器。

(2) VPDN的适用范围

A类业务账号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点 (超市、连锁类远程办公点) , 仅开通VPDN账号 (不提供Internet上网功能) , 以包月资费形式绑定在各业务分支点上。

B类业务账号:VPDN账号与ADSL PVC不绑定, 适用于个人远程访问公司内部信息 (SOHO) , 采用有限包月、超时计费的资费方式。

4.4 二层VPN

建立在IP城域网基础上, 利用MPLS VPN技术实现的二层VPN, 用户端通过光纤接入电信骨干网络, 能提供类似ATM, FR的二层端到端数据线路, 是一种高带宽、高安全性, 带宽扩展性强的新型VPN产品。

(1) 二层VPN技术特征

①通过数据链路层组建VPN网络, 安全性高。

②用户接入采用以太网口, 接入成本低。

③上下行带宽种类齐全, 带宽高 (2Mbps～100Mbps) , 扩展性强。

(2) 二层VPN的适用范围

类似端到端的传统数据专线, 适合分支机构较少、安全性要求高、升级带宽灵活方便的金融业、贸易业、IT业、新闻机构。

目前支持VPN的设备很多, 如VPN路由器、VPN防火墙、VPN网关等, 像华为、思科、3Com公司均可提供较好的VPN解决方案, 主要有点到局域网方式和局域网到局域网方式。

VPN接入可以使地理位置分散的多个点连成局域网, 并能提供与局域网相同的安全性, 具有广扩的应用前景。

摘要：VPN是虚拟私有网络的简称, 可以实现不同网络的组件和资源之间的相互连接, 其核心技术为隧道技术和加密技术, 使用VPN技术连接企业内部网络, 可以提供专用网络的安全和功能保障并大大降低网络的运营成本。

关键词：VPN技术,隧道技术,企业内部网络

参考文献

[1]陈雪非, 黄河, 李蓬.MPLS VPN关键技术研究[J].计算机工程与设计, 2007 (13) .

[2]徐军.IPSec和MPLS VPN的集成技术与远程教育网的设计[J].计算机工程与设计, 2007 (23) .

[3]张俊才, 鲁幸福.基于IPSec的嵌入式网络安全应用研究[J].微计算机信息, 2007 (26) .

[4]范青.浅谈虚拟专用网 (VPN) 的技术研究与应用[J].科技信息, 2007 (33) .

[5]Ivan Pepelnjak, Jim Guichard.MPLS和VPN体系结构[M].人民邮电出版社, 2001:8.

[6]王达.虚拟专用网 (VPN) 精解[M].清华大学出版社, 2005:4.

VPN技术 第2篇

摘要：在研究了基于MPLS的VPN技术的原理和工作的基础上，给出了基于BGP扩展实现的MPLS VPN的一个网络组成模型，同时描述了这个模型中的各个设备及其功能。最后分析了MPLS VPN的技术优势及其应用前景。

关键词：VPN MPLS 多协议标记交换

随着Internet的蓬勃发展，人们对其应用提出了更高的要求。但Internet缺乏有效的流量和网络带宽管理手段，网络经常会发生阻塞。无法对服务质量(QoS)提供保证，许多应用对于目前的IP技术(如语音和视频等)显得力不从心。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。

1 VPN简介

VPN指的是依靠ISP和其它NSP，在公用网络中建立专有数据通信网络的技术。在虚拟专网中，任意两个接点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公共网的资源动态组成的。VPN技术采用季认证、存取控制、机密性、数据完整性等措施，以保证信息在传输过程中的机密性、完整性和可用性。它是在公共Internet之上为政府、企业构恐安全可靠、方便快捷的专用网络，并可节省资金。VPN技术是广域网建设的最佳解决方染，它不仅会大大节省广域网的建设和运行维护费用，而且拥有成本低、便于管理，开销少、灵活度高，保密性好等优点。

2 基于MPLS的VPN技术

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技术构建的虚拟专用网，即采用MPLS技术，在公共IP网络上构建企业IP专网，实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术，为用户提供高质量的服务。MPLS VPN能够在提供原有VPN网络所有功能的同时，提供强有力的QoS能力，具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。

MPLS是一种特殊的转发机制，它为进入网络中的IP数据包分配标记，并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在，在网络内部MPLS在数据包所经过的路径通过交换标记（而不是看IP包头）来实现转发；当数据包要退出MPLS网络时，数据包被解开封装，继续按照IP包的路由方式到达目的地。

(本网网收集整理)

如图1所示，MPLS网络包含一些基本的元素。在网络边缘的节点就称作标记边缘路由器(LER:Label Edge Router),而网络的核心节点就称作标记交换路由器（LSR：Label Switching Router）。LER节点在网络中提供高速交换功能。在MPLS节点之间的路径就叫做标记交换路径(LSP:Label Switched Path)。一条LSP可以看作是一条贯穿网络的单向隧道。

MPLS的工作流程可以分为三个方面：即网络的边缘行为、网络的中心行为以及如何建立标记交换路径。

1. 网络的边缘行为

当IP数据包到达一个LER时，MPLS第一次应用标记。首先，LER要分析IP包头的信息，并且按照它的目的地址和业务等级加以区分。

在LER中，MPLS使用了转发等价类(FEC:Forwarding Equivalence Class)的概念来将输入的数据流映射到一条LSP上。简单地说，FEC就是定义了一组沿着同一条路径、有相同处理过程的数据包。这就意味着所有的FEC相同的包都可以映射到同一个标记中。

对于每一个FEC，LER都建立一条独立的LSP穿过网络，到达目的地。数据包分配到一个FEC后，LER就可以根据标记信息库(LIB:Label Information Base)来为其生成一个标记。标记信息库将每一个FEC都映射到LSP下一跳的标记上。如果下一跳的链路是ATM，则MPLS将使用ATM VCC里的VCI作为标记。

转发数据包时，LER检查标记信息库中的FEC，然后将数据包用LSP的标记封装，从标记信息库所规定的下一个接口发送出去。

2. 网络的核心行为

当一个带有标记的包到达LSR的时候，LSR提取入局标记，同时以它作为索引在标记信息库中查找。当LSR找到相关信息后，取出出局的标记，并由出局标记代替入局标记，从标记信息库中所描述的下一跳接口送出数据包。

最后，数据包到达了MPLS域的另一端，在这一点，LER剥去封装的标记，仍然按照IP包的路由方式将数据包继续传送到目的地。

3. 如何建立标记交换路径

建立LSP的方式主要有两种：

(1)“Hop by Hop (逐跳寻径) ”路由

一个Hop-by -Hop的LSP是所有从源站点到一个特定目的站点的IP树的一部分。对于这些LSP，MPLS模仿IP转发数据包的面向目的地的方式建立了一组树。

从传统的IP路由来看，每一台沿途的路由器都要检查包的目的地址，并且选择一条合适的路径将数据包发送出去。而MPLS则不然，数据包虽然也沿着IP路由所选择的同一条路径进行传送，但是它的数据包头在整条路径上从始至终都没有被检查。

在每一个节点，MPLS生成的树是通过一级一级地为下一跳分配标记，而且是通过与它们的对等层交换标记而生成的。交换是通过标记分配协议(LDP:Label Distribution Protocol)的请求以及对应的消息完成的。

(2)显式路由

MPLS最主要的优点就是它可以利用流量设计“引导”数据包。MPLS允许网络的运行人员在源节点就确定一条显式路由的LSP（ER-LSP），以规定数据包将选择的路径。ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中，从而建立这条路径。

2.2 基本MPLS的VPN实现

如图2所示，基于BGP扩展实现的MPLS三层VPN包含以下基本组件：

PE：Provider Edge Router,PE路由器使用静态路由、RIPv2、OSPF或EBGP与CE路由器交换路由信息。尽管PE路由器维护着VPN路由信息，但它只需为其直接相连的那些VPN维护VPN路由。每台PE路由器为其直接相连的每个站点维护一个VRP（Virtual Routing Forwarding Table），每个客户连接映射到某个VRF上。在从CE路由器上学习本地VPN路由信息。PE路由器使用IBGP与其它路由器交换VPN路由信息。PE路由器可以保护到路由反射器的IBGP会话，作为全网状IBGP会话的替代方案。使用MPLS在供应商骨干中转发VPN数据流量时，入口PE路由器作为入MPLS使用，出入PE路由器作为出中LSR使用。

CE：客户边缘(CE)设备允许客户通过连接一台或多台供应商边缘（PE）路由器的一条数据链路接入服务供应商网络。CE设备是一台IP路由器，它与直接连接的PE路由器建立邻接关系。在建立邻接后，CE路由器把站点的本地VPN路由广播到PE路由器，并从PE路由器上学习远程VPN路由。

Prouter:Provider Router，供应商路由器是没有连接CE设备的供应商网络中的`任何路由器。在PE路由器这间转发VPN数据流量时，供应商路由器作为MPLS连接LSR使用。由于是在采用两层标记堆栈的MPLS骨干中转发流量，因此供应商路由器只需维护到供应商PE路由器的路由，而不需维护每个客户站点专用的VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router，自治系统边界路由器，在实现跨自治系统的VPN时，与其它自治系统交换VPN路由。

MP-BGP：多协议扩展BGP，承载携带标签的IPv4/VPN路由，包括MP-IBGP、MP-EBGP。

PE-CE路由协议：在PE、CE之间传递用户网络路由，可以是静态路由，或RIP、OSPF、ISIS、BGP协议。

LDP：Label distribution Protocol，在PE之间建立尽力而为的LSP，经过P路由器，所有PE、P路由器均需要支持。RSVP-TE：在VPN需要QoS保障时，在PE之间建立具有QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虚拟路由转发表，它包含同一个Site相关的路由表、转发表、接口（子接口）、路由实例和路由策略等。在PE设备上，属于同一VPN的物理端口或逻辑端口对应一个VRF，可通过命令行或网管工具进行配置，主要参数包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口（子接口）等。

VPN用户站点：Site是VPN中的一个孤立的IP网络，一般来说，它不通过骨干网公司总部、分支机构都是Site的具体例子。CE路由器通常为VPN Site中的一个路由器或交换设备，Site通过一个单独的物理端口或逻辑端口（通常是VLAN端口）连接到PE设备。

用户接入MPLS VPN后，每个Site提供一个或多个CE与骨干网的PE连接，并在PE上为该Site配置VRF，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上，但不可以是多跳的三层连接。

BGP扩展实现的MPLS VPN扩展的BGP NLRI的IPv4地址，在其前增加了一个8字节的RD（Route Distinguisher），用于标记VPN的成员(Site)。每个VRF可配置某些策略，规定VPN可以接收哪些Site的路由信息，可以向外发布哪些Site的路由信息。PE根据BGP扩展发布的信息进行路由计算，生成相关VPN的路由表。

通常，PE-CE之间通过静态路由交换路由信息，也可通过RIP、OSPF、BGP、IS-IS等协议，静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡，从而提供骨干网的稳定性。

MPLS BGP三层VPN适用于固定的Internet/Extranet用户，每个Site可代表Internet/Extranet的总部或分支机构。MPLS三层VPN的CE与PE设备之间只需要一条物理或逻辑链路，但PE设备必须保存多个路由表。如果在CPE或PE之间运行动态路由协议，则PE还必须支持多实例，对PE性能要求较高。PE与PE之间需要运行BGP协议，可扩展性较差，目前可通过一个或多个路由反射器解决这一问题。对于同一AS(Automated System)域的VPN，必须建立运营商之间路由器IBGP连接的PE，与路由反射器建立IBGP连接即可。

MPLS BGP三层VPN可通过与Internet路由之间配置一些静态路由的方式，实现VPN的Internet上网服务，并可为跨不同地域的、属于同一个AS但没有骨干网的运营商提供VPN互连，即提供“运营商的运营商”模式的VPN网络互连。

2.3 MPLS的优点

1.高安全性。MPLS的标记交换路径(LPS)具有与FR和ATM VCC相似的安全性；另外。MPLS VPN还集成了IPSEC加密，同时也实现了对用户透时，用户可以采用防火墙，数据加密等方法，进一步提高安全性。

2.强大的扩展性。第一，网络可以容纳的VPN数目很大；第二，同一VPN的用户很容易扩充。

3.业务的融合能力。MPLS VPN提供了数据、语音和视频三网融合的能力。

4.灵活的控制策略。可以制定特殊的控制策略，同时满足不同用户的特殊需求，实现增值服务。

5.强大的管理功能。采用集中管理的方式，业务配置和调度统一平台，减少了用户的负担。

6.服务级别协议(SLA)。目前利用差别服务、流量控制和服务级别来保证一定的流量控制，将来可以提供宽带保证以及更高的服务质量保证。

7.为用户节省费用。

VPN技术 第3篇

2、SSL VPN技术的实现

如果企业将SSL VPN技术应用于移动办公中，对于那些出差在外需要进行远程办公的人员，只需要使用Web浏览器就能实现移动办公，访问企业的内部网络。SSL VPN将公司内部网络的网关设置在远程用户和企业服务器之间的网络边缘上，可以对企业和用户之间的数据连接和数据通信进行主导型的控制。

3、SSL VPN技术的优势

（1）安全性

SSL VPN技术可以有效地避免数据信息泄漏，拒绝非企业用户的非法访问，保护信息不被窃取，维持系统的可用性，在用户访问和数据保密方面具有较高的安全性。

（2）应用性

（下转99页）

SSL VPN不同于IPSec VPN，使用SSL VPN的网络不需要下载安装指定的客户端软件，只需要通过标准浏览器接入Internet就能访问企业内部网络。在对网络进行日常维护和管理时，SSL VPN良好的可操作性为维护管理工作提供了便利，SSL VPN可以对网络应用实现高度的、精细的控制，根据不同用户和用户组各自的特点设置适用于他们的访问权限，还可以实现对所有访问操作的审查统计，此外，便于操作的SSL VPN对于增强网络平台的易操作性和灵活性，为平台的应用更新和性能提升起到了关键作用。

四、 IPSec VPN和SSL VPN的应用选择

VPN技术应用 第4篇

1 VPN的工作原理

VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。

1.1 网络风险

数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听;ISP查看用户的数据;In-ternet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。

数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。

信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法[9]。

重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。

1.2 VPN协议介绍

采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。

常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。

1.3 VPN隧道技术

隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。

经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。

PPP(Point to Point Protocol)协议隧道技术建立过程:

阶段1:创建PPP链路

PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。

阶段2:用户验证

这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。

阶段3:PPP回叫控制

回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。

阶段4:调用网络层协议

在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。

阶段5:数据传输阶段

在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。

1.4 IPSec隧道数据传输过程

IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。

一个数据包经IPsec VPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。 1 Host A发送的数据由VPN网关1 内口;2 VPN网关1 内口接收后发现需要经过隧道,则把数据交由VPN网关1 加密;3 加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2 外口收到数据发现需要解密;5 则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。

2 VPN技术应用

2.1 用VPN连接分支机构

随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。

2.2用VPN连接合作伙伴

当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。

2.3 用VPN连接远程用户

为保障单位内部网的安全,很多应用不会对公网放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近发布的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。

3 结论

VPN技术 第5篇

VPN是什么意思？

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----

这一个VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一，目前在交换机，防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的,安全的连接，是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现安全连接；可以用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）,企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应.VPN有什么用？

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

浅析虚拟专用网VPN的安全技术 第6篇

【关键词】VPN；特点；安全技术

虚拟专用网（virtual private network，VPN）指的是在公用网络上建立专用网络的技术。之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端一端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

由于VPN是在Internet上临时建立的安全专用虚拟网络，用户节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP（Internet服务提供商）支付一定的上网费用，也节省了长途电话费，相对于专线连接来说，通信成本最高可降低70%。这就是VPN价格低廉的原因。随着网络办公自动化的普及，越来越多的企业和单位开设VPN服务，为异地安全办公提供便利。

VPN主要由服务器网关、隧道和客户机3部分组成，其结构如下图所示。在企业内部，需要配置一台VPN服务器网关，在外部网络中的客户端通过VPN隧道访问服务器，数据传输是经过压缩、加密的，具有较高的通信安全性。

1.虚拟专用网VPN的优势及特点

相对于专线网络，VPN的优势和特点主要有以下几点：

1.1安全保障

虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

1.2服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其他应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

1.3可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

1.4可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，但企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险，具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

2.虚拟专用网（VPN）的安全技术

由于VPN传输的是企业或单位的私有信息，VPN用户对数据的安全性都很重视。目前VPN主要采用4项技术来保证安全，这4项技术分别是隧道技术（tunneling）、加解密技术（encryption & decryption）、密钥管理技术（key management）、使用者与设备身份认证技术（authentication）。

2.1隧道技术

隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F（1ayer 2 forwarding，第二层转发协议）、PPTP（point-to-pointtunnelingprotocol，点对点隧道协议）、L2TP（1ayer 2 tunneling protocol，第二层隧道协议）等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP，IPSec（IP security）等。IPSec是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用的密钥等服务，从而在IP层提供安全保障。

2.2加解密技术

基于VPN的网络通信中，为了保障数据的安全性，传输的数据都是经过加解密处理的。最基本使用的对称加解密算法主要有DES，3DES，AES，RC4，RC5等，常用的非对称加解密算法主要有RSA、椭圆曲线等。

2.3密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用和私用。

2.4身份认证技术

VPN采用了身份认证技术，常用的有PAP（password authentication protocol，密码认证协议）、CHAP（challenge handshake authentication protocol，质询握手认证协议）等。VPN连接中一般都包括以下两种形式的认证。

（1）用户身份认证：在VPN连接建立之前，VPN服务器对请求建立接连的VPN客户机进行身份认证，检查其是否为合法的授权用户，如果使用双向认证，还需进行VPN客户机对VPN服务器的身份认证，以防伪装的非法服务器提供错误信息。

（2）数据完整性和合法性认证：检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。在VPN链路中传输的数据包包含密码检查和校验，密钥只由发送者和接收者双方共享。

3.结束语

随着Internet技术的不断发展，企业办公越来越离不开网络，VPN技术对于企业的贡献越来越受到重视，因此，VPN会在今后一段时间内保持强劲的发展势头，在这个背景之下，其安全性需要得到我们的充分重视，采取切实有效的措施，抵御各类网络安全性。

【参考文献】

[1]项顺伯.VPN安全性分析[J].承德石油高等专科学校学报，2011.

VPN技术原理探析及实例 第7篇

1.1 基于IPsec协议的VPN

1.1.1 IPsec协议概述

IPsec协议是应用于IP层上网络数据安全的一整套体系结构, 包括网络认证协议Authentication Header (AH) 、封装安全载荷协议Encapsulating Security Payload (ESP) 、密钥管理协议Internet Key Exchange (IKE) 和用于网络认证 (如md5, SHA-1) 及加密算法 (如des、IDEA) 等。

IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换, 向上提供了访问控制、数据源认证、数据加密等网络安全服务。通过查询SPD (Security P01icy Database安全策略数据库) 决定对接收到的IP数据包进行IPSec处理 (加密和认证) 。AH、ESP和IKE 3个协议规定了加密和认证, 密钥的管理和交换 (ESP对认证也提供支持) 。其中AH和ESP都需要使用SA (Securlty Association安全关联, 指安全服务与它服务载体之间的一个“连接”) , 由IKE负责SA的建立和维护。该结构示意图如图1所示。

IPSec会话过程为: (1) 定义需要保护的数据流 (interesting traffic) ; (2) IKE第一阶段协商安全策略, 有两种模式 (主要模式和aggressive模式) , 验证IPSec对端体, 建立SA的安全通道; (3) IKE第二阶段协商安全参数、建立IPSec SA和DiffieHellman交换; (4) 传输数据数据在IPSec对端体之间进行安全传输; (5) 关闭隧道, IPSec通道被终止。

1.1.2 IPsec VPN功能模块

管理模块负责整个系统的配置和管理, 决定采取何种传输模式及定义安全数据流;密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式, 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在安全策略数据库中, 支持以IP地址为关键字的快速查询获取;身份认证模块对IP数据包完成数字签名的运算;数据加密/解密模块完成对IP数据包的加密和解密操作;数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。

1.1.3 IPsec VPN配置过程

(1) 配置IKE策略 (policy) :内容有hash算法、加密算法、D-H组、生存时间; (2) 配置预共享密钥 (preshare) :需要选择IP地址或者Hostname来标识该密钥; (3) 配置本端标识 (localid) :本端标识有IP地址和Hostname; (4) 配置数据流 (Access-list) :配置好数据流后, 在加密映射 (map) 中引用该数据流; (5) 配置变换集合 (transform-set) :变换集合是某个对等方能接受的一组IPSec协议和密码学算法, 双方要保持一致; (6) 配置加密映射 (map) :为IPSec创建的加密映射条目使得用于建立IPSec安全联盟的各个部件协调工作; (7) 应用 (激活) 加密映射:在安全路由器上是将该加密映射应用到接口上去; (8) 查看VPN的配置。

1.1.4 IPsec VPN配置实例

VPN配置如下 (非主要信息省略) :

(1) 启用IKE协商。router1 (config) #crypto isakmp policy 1建立IKE协商策略 (1是策略编号) router1 (config-isakmap) #hash md5 (密钥认证的算法) router1 (config-isakmap) #authentication pre-share (告诉路由使用预先共享的密钥) router1 (config) #crypto isakmp key 1111111 address 202.102.1.68 (111111:共享密码) 。

router2类似配置 (略) 。

(2) 配置IPSec参数。router1 (config) #crypto ipsec transform-set test ah-md5-hamc esp-des (test传输模式的名称) , router1 (config) #acess-list 101 permit ip 172.1.1.0 0.0.255.255172.2.1.0 0.0.255.255 (定义哪些地址的报文加密或是不加密) 。

router2类似配置 (略) 。

(3) 设置crypto map (将IKE协商信息和IPSec参数整合, 起名) 。router1 (config) #crypto map testmap 1 ipsec-isakmp (testmap:给crypto map起名字) 。

router1 (config-crypto-map) #set peer 202.102.1.68 (指定此VPN链路对端的IP地址) 。router1 (config-crypto-map) #set transform-set test (IPSec传输模式的名字) router1 (config-crypto-map) #match address 101 (上面定义的ACL列表号) 。

router2类似配置 (略) 。

(4) 把crypto map的名字应用到端口。router1 (config) #inter s0/0 (进入应用VPN的接口) 。router1 (config-if) #crypto map testmap (testmap:crypto map的名字) 。

(5) 查看VPN的配置。router1#show crypto ipsec sa (查看安全联盟) ;router#show crypto map (显示crypto map内的所有配置) ;router#show crypto isakmp policy (查看优先级) 。

1.1.5 IPsec VPN相关问题

(1) 动态加密映射:在配置加密映射的时候, 不需要配置对端的peer IP地址和所要保护的数据流 (在路由器上的命令是:crypto dynamic-map) ; (2) NAT穿越:指在两台VPN网关之间的还存在NAT设备, NAT更改了IP数据包的IP源地址或者目的地址, 与IPSec协议中的AH认证头协议存在矛盾, 在配置变换集合的时候不能选用AH协议 (ESP) ;NAT设备端口地址转换是针对TCP/UDP/ICMP等协议。没有针对ESP。VPN穿越NAT需要升级。

1.2 基于SSL协议的VPN

(1) SSL概述。SSL是一种国际标准的加密及身份认证的基于WEB的应用层安全通信协议, 为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证, 包括:服务器认证、客户认证 (可选) 、SSL链路上的数据完整性和SSL链路上的数据保密性。使用通讯双方的客户及CA根证书, 具备:信息保密性、信息完整性、相互鉴定的特征, 包括握手协议、记录协议以及警告协议3部分, 标准端口为443, 主要适用于点对点之间的信息传输。SSL协议只对通信双方所进行的应用通道进行加密, 而不是对从一个主机到另一主机的整个通道进行加密。

(2) SSL的工作原理。SSL位于http和tcp协议层次之间, 在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密, 从而保证通信的私密性。浏览器连接SSL认证加密服务器时唤醒SSL会话, 检查证书, 完成认证, 从而用户能确认其浏览器连接到正确的服务器。

(3) SSL VPN。使用者利用浏览器内建的SSL封包处理功能, 用浏览器连回公司内部SSL VPN服务器, 然后透过网络封包转向的方式, 让使用者可以在远程计算机执行应用程序, 读取公司内部服务器数据, 而IPSec VPN必须更改网络地址转换 (NAT) 和防火墙设置。

只要将所有其他非Web的应用进行重定向, 在客户端将所有数据转入SSL协议通道传输, 在中心端进行恢复和还原就可以实现VPN。

SSL VPN最大的便利在于不需安装任何客户端, 这也使得它在一些特殊终端 (如支持浏览器的PDA) 、特殊场合 (如不是使用自己电脑时、临时需要接入总部) 具有IPSec VPN不可比拟的优势。

(4) 配置SSL VPN实例。

(1) 外网口启动WEBVPN, 并同时启动SSL VPN

(2) 创建SSL VPN用户地址池和配置SSL VPN数据流 (不做NAT)

(3) Web VPN隧道组与策略组的配置

(4) 配置SSL VPN隧道分离 (可选)

1.3 基于IPSec的VPN与SSL VPN的比较

在实施固定的点到点的VPN和复杂应用的移动用户接入VPN时, 一般采用IPSec技术;在实施普通应用的移动用户接入VPN时, 通常采用SSL技术, 但要根据客户具体需求, 也可以结合使用。

2 结束语

VPN已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能, 并在全球的信息安全体系中发挥着重要的作用, 由于RSVP (带宽资源预留) 和IPv6协议支持Qos (服务质量) , 随着IPv6的普及, VPN技术将向着基础协议的形式发展, 被内嵌到各种系统当中, 从而实现完全透明化的VPN基础设施。

参考文献

[1]谢希仁.计算机网络 (第2版) [M].北京:电子工业出版社, 2002.

[2]Steve McQuerry Cisco网络设备互连[M].北京:人民邮电出版社, 2006.

[3][美]Naganand Doraswamy, Dan Harkins.IPSec新一代因特网安全标准[M].京京工作室, 译.北京:机械工业出版社, 2000.

VPN技术及其应用的研究 第8篇

随着Internet的普及,人们需要随时随地连入企业网。同时随着企业的发展壮大,企业的分支机构越来越多,企业内各个分布之间也需要网络通信,这就意味着使用传统的租用线路的方法实现私有网络互联会给企业带来很大的经济负担。虚拟专用网(VPN,Virtual Private Network)的出现,为当今企业发展所需的网络通信提供了经济安全的实现途径。VPN可以使得企业以低廉的价格享有公用网络上的“专用”安全通道的便利。

2 VPN技术

2.1 VPN概念

虚拟专用网(VPN,Virtual Private Network)不是真正的专用网络,却能够实现专用网络的功能。VPN是一种通过对网络数据进行封包和加密,在公网上传输私有数据,同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全,实现了利用公网通过加密等手段来实现单位组织的“专用网”。

2.2 VPN原理

需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备在公共网上建立一条虚拟的专用网络通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。

2.3 VPN技术

VPN技术是指支持在公共通信基础设施上构成虚拟专用连接或虚拟专用网络的技术。这些技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。这些技术可应用在TCP/IP协议层的数据链路层、IP层、TCP层和应用层。

从安全角度看,采用密码技术或加密隧道封装在公共通信网络上构建的VPN,其安全强度最高,隧道技术次之,协议封装较差,过滤路由最差。必要时,可以同时将两种以上的VPN技术组合,以满足安全要求。

从VPN工作原理中可以看出,实现VPN的最关键的部分是在公网上建立虚拟信道,而建立虚拟信道是利用隧道技术实现的。而隧道技术是利用一种协议传输另一种协议的技术,主要利用隧道协议来实现VPN功能,VPN隧道协议工作在数据链路层和网络层。同时为了保证信息在隧道中的安全传输,VPN系统采用加密技术。通过隧道技术和加密技术,已经能够建立起一个安全性、互操作性的VPN。但是虚拟专用网要想成为用户真正的选择,必须能够保障一定的带宽、可靠性和安全性。为此有必要采用Qo S策略控制方案来控制数据流量。

总的来说,VPN中采用的关键技术主要包括隧道技术、安全加密技术及Qo S技术。

2.3.1 实现VPN的隧道技术

隧道技术是一种通过使用互联网网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同的协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。隧道技术是指包括数据封装、传输和解包在内的全过程。此外创建隧道的客户机和服务器双方必须使用相同的隧道协议。

隧道的实现机制主要设计两个方面,其一是所建立的虚连接是在第二层还是在第三层。第二层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位,主要有PPT,L2TP和L2F等,主要优点是协议简单,易于加密,但由于其需要维护大量的PPP会话连接状态,故其传输效率和系统的扩展均受到影响。第三层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位,主要有GRE以及IPSec等,由于第三层隧道是IP in IP,其可靠性及扩展性方面均优于第二层隧道。

其二是在网络是的什么层次上实现IP隧道的问题。目前较多的是IP协议实现IP隧道,但也有用UDP等协议来实现IP隧道的,如L2TP。对于IP隧道来说,当在隧道的开启处封装及在隧道中止处还原装配数据报时,进行包的过滤、检查非常方便,所以VPN网关通过“过滤型”隧道可直接融入“包过滤”防火墙机制,进一步增强了VPN的安全性。

2.3.2 实现VPN的安全加密技术

在VPN中,由于数据通过公共通信网络传输,从而为保证信息在隧道中的安全传输,VPN系统要采用加密技术。数据加密的基本过程就是对明文文件或数据按某种算法进行处理,使其成为一段不可读的“密文”,使其只能在输入相应的密钥后才能正确显示出本来的内容。通过这样的方法来保证VPN通信过程中的数据安全。

根据密钥类型不同,加密技术可以分为两大类:对称式和非对称式。对称式加密就是加密和解密使用同一个密钥,这种加密技术目前被广泛使用,如EDS加密标准。非对称式加密就是加密和解密多使用的密钥不是同一个,通常有两个密钥,“公钥”和“密钥”,他们必须配对,否则不能打开加密文件,而为了保证公用密钥的完整性,公用密钥随证书一同发布。

2.3.3 实现VPN的Qo S技术

Qo S(Quality of Service)是指服务质量,也是指数据流通过网络时的性能。它的目的是向用户提供端到端的服务质量保证。它有一套度量指标,包括业务可用性、延迟、可变延迟、吞吐量和丢包率。

3 VPN的特点

3.1 VPN的优点

1)降低成本。

与专用网络相比,借助ISP来建立VPN可以节省大量的通信费用,同时企业节省了大量人力物力。

2)简化网络设计。

借助ISP的,企业只需少量对远程链路进行安装、配置和管理的任务

3)实现网络安全。

数据传输前的用户认证以及VPN传输过程中的安全和加密协议都保证了增强了网络的安全性。

4)容易扩展。

如果想扩大VPN容量和覆盖范围,企业只需与ISP签订新的合约,几条命令即可。

5)可随意与合作伙伴联网。

6)完全控制主动权。

7)支持新兴应用

3.2 VPN的缺点

1)尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式,可是VPN的服务提供商们只保证数据在其管辖范围内的性能,一旦出了其“辖区”则安全没有保证。

2)不同厂商的VPN的管理和配置管理起来是最难的,这需要同时熟悉不同厂商的执行方式,不同术语。

4 应用研究

图书馆局域网内有丰富的数字资源,在局域网内可直接访问。现在图书馆内建立一个VPN服务器,局域网外用户便可通过它从校外远程访问数字资源,并通过适当的访问策略配置,保证网络安全。IPSec VPN、SSL VPN是目前使用主流的Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。

IPSec协议(因特网安全协议)是网络层上为保障IP通信而提供的一系列协议族,针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一套隧道、加密和认证方案。SSL(安全套层协议)是保障在Internet上基于Web的通信安全而提供的协议。如表1是两种VPN接入方式的比较。

从表1看出,IPSEC和SSL VPN各有优缺点,互为补充,目前最好的方式是,采用IPSEC/SSL二合一的VPN安全网关,这样能够充分发挥IPSEC和SSL VPN各自的技术优势,而且一机二用,无需分别购买两种网关,节省费用。

5 小结

VPN技术是一种在公网上实现私有网络连接的技术,为企业学校内部互连、资源共享提供了一种经济、灵活、安全的连网方式。VPN技术是计算领域内多种技术的统一起来的技术,现在其发展还不成熟,存在许多需要改进和完成地方,但是随着计算机网络的发展以及企业对VPN的需求,VPN技术拥有广阔的发展前景。

参考文献

[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.

[2]高海应,薛元兴,辛阳.VPN技术[M].北京:机械工业出版社,2004.

[3]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008(11).

[4]李顺新,陈建勋.虚拟专用网技术及其应用的研究[J].网络安全,2005(3).

VPN虚拟专网技术与应用 第9篇

VPN是 (Virtual Private Network) 虚拟专用网, 它通过隧道技术等手段达到类似私有专网的数据安全传输, 在Internet或国际互联网工程工作组 (IETF) 制定的IPSec标准统一下, 利用Internet虚构专用链路, 安全机密的传输数据。

二、VPN的实现技术

1、数据封装

VPN传输的数据是将网络第二层数据分组打包, 加上IP报头, 通过IP传输。

2、身份认证。

通常有三种认证方式:第一是用户身份认证, 用以保证VPN客户的合法性;第二是对VPN服务器端的身份认证, 以防止非认证服务器提供的虚假连接;第三是数据完整性检查, 通过双方共享的密钥, 加密算法来验证通过VPN链路隧道的数据的完整性和安全性。

3、数据加密。

由发送双方协商密钥和加密算法对书记进行加密, 密钥长度越长, 破解越困难, 对特长报文可以分段采用不同的密钥。

4、IP地址的分配。

用VPN连接的主机需要创建虚拟接口, 也就是由VPN服务器分配一个IP地址。基于端口分配的IP地址, 虚拟接口的连接就是一条VPN连接。

三、VPN的分类

根据VPN实现形式可以将VPN分为三类:VPDN、Intranet VPN和Extranet VPN。

1、VPDN (Virtual Private Dial Network)

在远程用户或移动雇员和公司内部网之间的VPN, 称为VPDN, 参见图1:用户拨号NSP网络访问服务器NAS (Network Access Server) , 发出PPP连接请求。NAS收到呼叫后在用户和NAS之间建立PPP链路连接, 然后NAS对用户进行身份验证判断用户是否合法, 并启动VPDN与公司总部内部连接, 访问其内部资源。

2、Intranet VPN

Intranet VPN部署在公司远程分支机构和公司总部之间。通过Internet公共网络将公司在各地分支机构连到公司总部, 实现公司内部的资源共享、文件传输的安全性参见图2:

3、Extranet VPN

Extranet VPN用于在供应商、合作伙伴或者企业与企业之间。由于不同企业网络环境的差异性, Extranet VPN必须能兼容不同的操作平台和协议。通过设置特定的访问控制表ACL (Access Control List) 确定客户权限。

四、VPN技术应用

目虚拟专网VPN应用主要考虑两个方面:一是作为Internet或其他公用网络的一部分, 在本行业之间的信息交换;二是作为一个企业内部网, 为本行业各支部提供统一的数据交换平台。两者都是采用因特网公网络技术传输IP数据包。目前VPN主要应用于企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN等领域, 特别是涉及公司重要信息的传输及对数据完整性和安全性要求比较高的场合。

五、结束语

虽然VPN在理解和应用方面都是高度复杂的技术, 甚至确定其是否适用也是一件复杂的事情, 但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据, 也可节省开支。此外, 在未来几年里, 客户和厂商很可能会使用VPN, 从而使电子商务重又获得生机, 毕竟全球化、信息化、电子化是大势所趋。

摘要：随着计算机网络日益发展, 为解决安全问题, 虚拟专用网技术应运而生。它将不同物理位置上的企业网通过internet利用隧道技术建立一条点到点的虚拟专线, 实现快捷安全的通信。本文主要介绍了VPN虚拟专网技术的概念, 剖析了VPN连接的原理, 最后介绍VPN技术的实际应用。

关键词：虚拟专用网,隧道技术,点到点连接

参考文献

[1]刘羽:《“虚拟机”技术在教学实验中的应用》, 《桂林工学院学报》, 2003年第4期。

[2]蒋东毅、吕述望、罗晓广:《VPN的关键技术分析》, 《计算机工程与应用》, 2003年第15期。

[3]刘昊、杨树堂、何德全、夏微微:《一种面向IPSec VPN教学的实验系统的设计与实现》, 《计算机应用与软件》, 2006年第7期。

[4]周翔鹰、范开涛、刘鸿:《虚拟机辅助计算机实验教学探讨》, 《昆明理工大学学报 (理工版) 》, 2008年第2期。

MPLS/VPN技术相关研究 第10篇

1 VPN原理

VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义, 虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。虚拟专用网 (VPN) 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。VPN可以通过特殊加密的通讯协议连接到Internet上, 在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路, 就好比是架设了一条专线一样, 但是它并不需要真正的去铺设光缆之类的物理线路。VPN技术是广域网建设的最佳解决方案, 它不仅会大大节省广域网的建设和运行维护费用, 而且拥有成本低、便于管理, 开销少、灵活度高, 保密性好等优点。

2 基于MPLS的VPN技术

2.1 MPLS。

MPLS (多协议标记交换) 使用标签 (Label) 进行转发, 一个标签是一个短的、长度固定的数值, 由报文的头部携带, 不含拓扑信息, 只有局部意义。MPLS报头的结构如图1所示, 共32比特, 包含20比特的标签, 3比特的EXP, 1比特的S, 用于标识此标签是否为最底层标签, 8比特的TTL。

MPLS是一种特殊的转发机制, 它通过MPLS信令 (如LDP, 标签分配协议) 建立好MPLS标记交换通道 (LSP) , 数据转发时, 在网络入口对报文进行分类, 根据分类结果选择相应的LSP, 打上相应的标签, 中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发。在LSP出口 (或倒数第二跳) , 弹出MPLS标签, 还原为IP包。标签作为IP报头在网络中的替代品而存在, 在网络内部MPLS在数据包所经过的路径通过交换标签来实现转发, 而不用再通过IP报文头的IP地址查找;当数据包要退出MPLS网络时, 数据包被解开封装, 继续按照IP包的路由方式到达目的地。

2.2 基于MPLS的VPN实现。

如图2所示, MPLS/VPN网络的实现主要包含以下组件:P:骨干网核心路由器, 负责MPLS转发, 只需维护到供应商PE路由器的路由, 而不需维护每个客户站点专用的VPN路由信息。PE:骨干网边缘路由器, 使用静态路由、RIPv2、OSPF或EBGP与CE路由器交换路由信息。每台PE路由器为其直接相连的每个站点维护一个VRP, 每个客户连接映射到某个VRF上。CE:用户网边缘路由器。CE设备是一台IP路由器, 它与直接连接的PE路由器建立邻接关系。VRF:虚拟路由转发表, 它包含同一个Site相关的路由表、转发表、接口 (子接口) 、路由实例和路由策略等。VPN用户站点 (site) :VPN中的一个孤立的IP网络, 一般来说, 不通过骨干网不具有连通性, 公司总部、分支机构都是site的具体例子。

在提供基于MPLS体系结构的VPN服务时, 首先, 要定义并配置VRF。MPLS/VPN主干网中每个PE路由器与需要从特定VPN接收路由的站点相连, 因此PE路由器必须包含该VPN相关的VRF。每个PE路由器都需要一个唯一的标识符, 然后, 使用IGP在整个P网络中传播该标识符。每个P路由器都给该主机路由指定一个标签, 并将相应的标签传播给其每个邻居。最后, 其他所有PE路由器都通过MPLS标签分发进程收到一个与该出口PE路由器关联的标签。当入口PE路由器收到出口PE路由器标签后, 便可以开始交换VPN分组了。然而, 收到VPN分组后, 没有任何信息告诉出口PE路由器该分组的目的地位于哪个VPN中, 为使VPN站点之间的通信是唯一的, 引入了另一组标签。每个PE路由器都在每个VPN路由和VRF中为每个路由分配一个唯一的标签。现在, MPLS/VPN网络便可以转发VPN分组了。入口PE路由器收到VPN分组后, 将检查相应的VRF, 并取得出口PE路由器关联给目标地址的标签。从转发表获得另一个标签 (它指向出口PE路由器) 。这两个标签被合并到MPLS标签栈中, 加入到VPN分组的前面, 并被发送到出口PE路由器。网络中所有的P路由器都只根据栈顶的标签来交换VPN分组, 栈顶标签指向出口PE路由器。由于这种常规MPLS转发规则, P路由器将不会查看非栈顶标签, 因此对第二个标签以及通过网络运载的VPN分组一无所知。出口PE路由器收到被标记的分组, 丢弃第一个标签, 并查找第二个标签, 该标签唯一的标识了目标VRF, 有时候甚至是PE路由器上的出站接口。如果需要, 将在目标VRF中查找, 并将分组发送到合适的CE路由器。

2.3 MPLS/VPN的优点及应用前景。

a.高安全性。MPLS的标记交换路径 (LPS) 具有与FR和ATM相似的安全性;另外, MPLS/VPN还集成了IPSec加密, 并且用户可以采用防火墙, 数据加密等方法, 进一步提高安全性。b.强大的扩展性。第一, 网络可以容纳的VPN数目很大;第二, 同一VPN的用户很容易扩充。c.业务的融合能力。MPLS/VPN提供了数据、语音和视频三网融合的能力。d.灵活的控制策略。可以制定特殊的控制策略, 同时满足不同用户的特殊需求, 实现增值服务。e.强大的管理功能。采用集中管理的方式, 业务配置和调度统一平台, 减少了用户的负担。f.服务级别协议 (SLA) 。目前利用差别服务、流量控制和服务级别来保证一定的流量控制, 将来可以提供宽带保证以及更高的服务质量保证。g.为用户节省费用。MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务, 也能够开展Qo S、TE、组播等等的业务。

随着MPLS应用的不断升温, 不论是产品还是网络, 对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术, 但却已经显示了其强大的生命力。我国网络基础薄弱, 政府和企业对IP虚拟专用网的需求不高, 但相信随着政府上网、特别是在电子商务的推动下, 基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。

摘要：多协议标签交换技术 (MPLS) 的出现, 使得构建一种融覆盖VPN的优点和对等VPN的优点于一身的技术成为可能, 这种新技术被称为MPLS/VPN。该技术简化核心路由器的路由选择方式, 利用结合传统路由技术的标记交换实现的IP虚拟专用网络 (IP VPN) , 本文主要从MPLS/VPN技术的原理、技术优势和主要应用进行介绍。

关键词：VPN MPLS,多协议标记交换,PE,CE

参考文献

[1]MPLS和VPN体系结构CCIP版[M].赵斌等, 译.北京:人民邮电出版社.

[2]MPLS VPN技术及应用[J].www.pcppc.cn.

VPN技术在局域网中的应用 第11篇

关键词：局域网；VPN技术；应用

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2014）8-0041-01

1 VPN实现的技术及其特点

VPN（Virtual Private Network：虚拟专用网络）技术指的是利用私有、专用的隧道技术在公共数据网络中建立起一条仿真的点到点的、专用的数据通信网络的技术。在VPN中，任意两个节点之间的链接不是通过端到端的物理连接，而是利用公众网络的动态资源进行虚拟链接的。

1.1 VPN实现的技术

①隧道技术。这是一种通过使用互联网基础设施实现在网络之间进行数据传递的方式。隧道传送的形式可以是不同协议的数据帧或者数据包，隧道协议将这些不同协议的数据进行整合、重新包装并进行发送。

②隧道协议。现阶段应用较为广泛的隧道协议主要有点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及第三层隧道协议（IP Sec）、第四层隧道协议（SSL ）等。

③安全技术。由于VPN直接连接到公共网络，具有一定的便捷性，但也存在一定的安全风险，通过先进的VPN加密、认证、密匙交换与管理技术，可以确保传输信息的安全可靠，避免企业信息不被非法访问、修改以及窃取等。

④QoS技术。QoS（服务质量）可以较好的解决网络延迟和阻塞，在网络过载或者拥挤时，QoS能够保证网络高效运行的同时保证网内重要信息不被延误或者丢弃，提供可预期的端到端的服务质量保障，并对网络流量进行监管和整形，按照优先级别进行宽带资源的分配。

1.2 PN技术的特点

①低投入。由于隧道使用的网络可以是任何类型的公共互联网络，不需要租用长途专线建设专网，极大的减少了局域网的设备投入以及网络维护成本。

②高安全。通过隧道加密技术以及相互认证技术可以对经过隧道传输的数据进行加密、对数据的接送方进行认证，保证了数据的私密性和安全性。

③高效率。QoS技术通过对网络流量的流分类、流标志，实现对流量的监管，避免网络拥塞对网络数据、信息传送的影响。

④易扩展。专网要扩展容量，需要考虑新链路架设、新设备采购以及网络维护人员的增加，而通过VPN技术，用户可以选择多种网络连接技术，需要增加容量时只需要对新的网络终端进行简单的逻辑设置就可以，简单、快捷。

2 VPN技术在局域网的应用

2.1 在保证稳定性、安全性以及可扩展性等方面的作用

VPN技术在保证局域网的稳定性、安全性以及可扩展性等方面表现突出，在局域网的应用中发挥了重要作用，例如远程访问虚拟网、内部虚拟网以及扩展虚拟网等方面。

①远程访问虚拟网（Access VPN）。Access VPN通过一个拥有与专用网络相同策略的共享基础设施使得用户可以实现对单位内部或者外部网的随时、随地、任意方式的远程访问。Access VPN对于用户内部经常有流动人员远程办公的单位非常适用，出差人员通过当地ISP提供的VPN服务，可以和单位内部的VPN网关快速建立起私密的隧道链接，并通过RADIUS服务器对用户进行验证以及授权。

②内部虚拟网（Intranet VPN）。Intranet VPN通过使用专用连接的共享基础设施以及网关到网关的VPN形式，将分布在世界范围的单位总部、各个远程办事处、分支机构连接到内部局域网，在内部虚拟网拥有相同的网络安全、服务质量（QoS），并具有相同的可管理、可靠性的特点。Intranet VPN不但为单位内部的分支提供便捷的安全信息传统网络，还可以通过加密、认证技术实现不同用户对网络资源的访问控制。

③扩展虚拟网（Extranet VPN）。Extranet VPN利用使用专用连接的共享基础设施，将单位、合作单位、供应商以及兴趣群体连接到单位内部局域网。通过扩展虚拟网，单位、企业可以和客户、合作伙伴等进行快捷、方便的信息交换，同时通过在外部网连接使用和内部网以及远端访问相同架构和协议的VPN技术，可以实现对外部网用户访问的控制，保证内部局域网的安全。

2.2 SSL VPN技术在无线局域网的应用

SSL协议是高层协议，实现在第四层，而IP Sec实现在第三层。无线局域网由于自身在传输介质、访问方式以及安全控制等方面的缺陷，容易受到外部非法用户的攻击，通过利用VPN技术可以提供更可靠、安全的解决方案。VPN技术在无线局域网的应用方式主要有两种，一是基于IP See模式的无线VPN设计；一是基于SSL的无线VPN设计。由于IP Sec协议在无线安全方面存在的一些缺陷，SSL VPN技术应用方式已经成为无线局域网VPN技术应用的主流。

SSL VPN指的是采用SSL协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议，在局域网内部、局域网外联网以及无线网使用SSL协议可以保证信息的真实型、完整性和保密性。由于SSL协议已经被内置在各种浏览器中，应用SSL VPN技术还可以免于安装客户端，部署简单、方便。

2.3 Socks5 VPN技术在局域网的应用

Socks5 VPN技术是在总结IP See VPN和SSL VPN 技术的优缺点之后提出的全新局域网解决方法。基于会话层实现Socks5 VPN的核心是会话层代理，通过在远程用户机器安装Socks5 VPN客户端，并由这个客户端对用户的远程访问请求进行监控，对合法用户的请求转化为代理协议可以识别的请求发送到局域网的Socks5 VPN服务器进行身份认证和访问控制策略。Socks5 VPN技术对进行远程访问的请求者首先进行相应的身份认证和访问控制，进一步保护了内部局域网的安全。

3 结 语

VPN技术通过在信息隧道入口设置用户身份准入验证，并支持各种通用的安全协议和加密技术，是局域网实现网内、外联网以及远程办公的重要技术保障，通过和其它通信技术的结合，例如MPLS、BGP等，可以构建起安全、实时、高效的局域网络。

参考文献：

[1] 朱宪超.SSL VPN组网设计及关键技术分析[J].电脑知识与技术（学术交流），2013，（12）.

[2] 雷富强.关于VPN技术环节的分析[J].科技资讯，2013，（31）.

关于VPN技术及应用研究 第12篇

1 VPN技术的优点

1.1 节约成本

VPN技术对公共网络进行了利用, 建立并组成了虚拟的专用网络, 不需要在单独依靠公共网络中专用的线路来保障数据信心传输的安全, 利用专用的网络就能够实现数据信心的安全性, 这一种方式相对于其他通信方式而言, 所需要使用的成本更为低廉, 例如:长途电话、专线电话等。

1.2 使用便捷

VPN技术在公共网络中的使用较为便捷, 易于在公共网络中进行扩展。当公共网络内部中的节结点逐渐增多的时候, 专线连接网络的结构也会变得越来越复杂, 而且所需要花费的成本也非常的高, 而在使用虚拟专用网的过程中, 只需要在公共网络的节点位置构架相关的VPN设备, 就能够在对Internet进行利用时在计算机网络中建立安全连接, 若是公共网络内部中有其他的网络想要进入安全连接, 只需要在使用使用一台虚拟专用网设备, 对相关的配置的配置进行调整就能够使其他的网络加入到安全连接之中。

1.3 确保安全性

确保公共网络中的安全性, 是VPN技术在计算机网络中的基础, 为了确保相关的数据信息在通过公共网络进行传输过程中的安全性, VPN技术对加密认证这一项技术进行利用, 在公共网络内部中对相关的安全隧道进行构建, 重要的数据信息通过安全隧道进行传输, 有效的保证了数据信息在传输时的安全性, 避免数据信息被恶意的篡改、破坏。

2 VPN得以实现的主要技术

VPN不是一个实体, 而是一种虚拟的网络形态, 是计算机网络中的一个概念, 是一个通过公共网络中的基础设施对虚拟专用网络进行构建时, 所运用连接技术综合起来的名称。VPN技术的实现, 离不开隧道技术, 隧道技术是VPN技术得以实现的前提, 隧道技术是一种对公共网络中的数据信息进行包装, 然后在公共网络中构建一条网络隧道, 使公共网络中的数据信心通过这一条网络隧道进行传输, 以下是VPN技术在运用过程中的主要隧道技术。

2.1 点到点隧道协议

点到点隧道协议简称为PPTP, 即Point-to-Point Tunneling Protocol, PPTP将公共网络中的PPP数据信息进行包装之后, 通过Internet对这些数据信息进行传输, PPTP协议提供了使多协议VPN构建于Internet中的一种通信方式, 远程的客户端能够通过PPTP对专用网络进行访问。

2.2 二层转发协议

二层转发协议简称L2F, 即Layer Two Forwarding Protocol, 二层转发协议能够对各种不同的传输协议提供支持, 例如:帧中继、ATM以及IP等, 二层转发协议可以让远程客户端的客户在接入公共IP网络中时, 在拨号方式上不会受到任何的限制, 例如:远程客户端的客户在运用常规的拨号方式对ISP中的NAS进行拨号时, 对PPP连接进行构建, NAS则通过对远程客户端客户的一些基本信息的了解, 在网络中进行第二重连接, 向公司所在地的二层转发协议中的网络服务器进行传输, 二层转发协议中的网络服务器在将接收到的数据信心传输到公司内部的网络中。

2.3 IP安全协议

IP安全协议简称为IP Sec, IP安全协议包含了秘钥协商与安全协议这两个方面中的一部分, IP Sec安全协议提供了鉴别头与封装安全载荷这两种在通信过程中起到保护作用的机制。鉴别头用英文表示为Authentication Header, 简称AH, 它给计算机网络通信中提供的是一种完全性的保护。封装安全载荷用英文表示为Encapsulations Security Payload, 简称ESP, 它给计算机网络通信中提供的不仅仅是完整性的保护, 还有机密文件在通过网络进行传输这一过程中的保护。鉴别头与封装安全载荷对计算机网络通信的保护具有实效性, 对于公司内部在使用网络进行数据信息传输的安全性有着十分重要的意义。IP安全协议是虚拟专用网技术中一个非常重要的组成部分, 它对于网络的保护具有完整性, 是虚拟专用网在计算机网络的应用中, 不可缺少的一个部分, 不仅仅保护了数据信息在通过网络进行传输中的安全, 还在很大程度上保障了数据信息来源的安全性、可靠性。

3 VPN技术的应用

在对VPN技术进行应用的过程中, 能够有效的解决虚拟专用网络在对公共网络进行利用中存在的问题。

以下是VPN技术主要的几种应用:

3.1 远程访问VPN

随着我国科学技术的深入发展, 人们对于远程通信的需求逐渐的扩大, 各个行业办公方式由办公室办公转变为在办公室以外进行办公, 企业中的工作人员对于企业网络中的远程客户端访问的要求逐渐增高, 在这一形势下远程访问VPN的出现是必然的趋势。

一些公司或企业在网络中进行远程访问的过程中, 为了保证远程访问的安全性, 传统的方法是公司或企业的内部网络中对RAS进行构建, 即远程访问服务器。远程客户端客户利用电话这一形式进行网络拨号, 然后接入RAS, 接着进行入到公司或企业的内部网络中, 在利用这种传统的方法进行远程访问时, 需要对相关的RAS设备进行购买, RAS设备的价格都非常的高, 而且远程客户端客户只能采取拨号这一种形式进行远程访问, 远程访问的效率非常低, 在远程访问时的安全性也得不到有效的保障, 在进行拨号时所需要的花费的费用也非常的多。远程访问VPN, 通过数字用户线路、ISDN以及拨号等一系列方式, 进入到公司或企业所在地的ISP中, 再进入Internet中, 然后对公司或企业中的VPN网关进行连接, 在VPN与远程客户端的客户之间构建一条安全隧道, 远程客户端的客户可以通过这一条安全隧道对公司或企业内部中的网络进行访问, 这种方式不仅仅节约了远程访问过程中所需要花费的费用, 还在很大程度上保障了远程访问中的安全性。

远程访问VPN的结构示意图, 如图1所示。

3.2 站点到站点的内联网

一般情况下, 在对同一个企业中两个不同的分支机构进行连接的过程中, 专用私有线路是必不可少的连接工具, 但是专用私有线路非常的难找, 寻找一条专用私有线路需要花费很多的时间与精力, 而且专用私有线路一般都以出租的方式进行利用, 租金非常的高。企业在利用一条专用私有线路对内部中不同的分支机构进行连接时, 如果专用私有线路对企业内部网络造成了破坏, 则会导致连接的失败, 而且在利用专用私有线路对企业内部网络中的数据信息进行传输的时候, 传输数据信息的网络通道没有进行相关的加密, 这就造成了数据信息在传输过程中存在着不安全因素。

站点到站点的内联网, 能够有效的解决企业内联网结构、传输、连接在安全这一方面存在的问题, 站点到站点的内联网结构示意图, 如图2所示。

VPN网关, 处于公共网络与企业专用网络的交界处, 站点到站点的内联网对数据信息通信进行加密, 通过Internet将数据信息传输到相关的VPN网关中。站点到站点的内联网在接收到Internet所传输的数据信息已被加密, 然后通过将数据信息传输到VPN网关对数据信息进行解密, 接着传输到企业的内部网络中。站点与站点的内联网在传输数据信息时, 不需要专用的私有线路, 而且还能够使VPN变得非常的灵活。

3.3 VPN技术应用的实例

VPN技术在宜春供水有限公司中的应用, 图3是宜春供水有限公司中VPN网络结构图。

VPN技术在宜春供水有限公司中的应用, 取代了宜春供水有限公司内部中传统的专线网络, VPN技术的应用极大的增强了宜春供水有限公司在利用网络进行数据信息传递时的安全性, 有效的节约了宜春供水有限公司在网络信息数据传输这一方面的资金成本, 在总体上为公司节省了85%左右的信息数据通讯的资金成本, 而且只需要普通宽带就能够实现。

4 结束语

虚拟专用网技术在企业应用计算机网络的过程中有着重要的作用, 企业采用VPN这一技术, 能够有效的保障计算机网络的安全性、可靠性、经济性, 能够确保企业中的一些重要的私密性文件在通过网络进行传输时的安全。

摘要：随着我国经济的不断发展, 我国在计算机网络应用这一方面面临着新的挑战, 人们越来越重视在应用计算机网络过程中的安全性。我国各个行业在应用计算机网络时, 对计算机网络的可靠性、效益性、灵活性等一系列方面有了更高的标准与要求, 这在很大程度上促进了虚拟专用网技术的发展。虚拟专用网技术简称VPN技术, 它在计算机网络中发挥着非常重要的作用, VPN技术对于促进计算机网络发展有着十分重要的意义。

关键词：VPN技术,应用,研究

参考文献

[1]浦兜, 陈依群, 曾鸿文.虚拟专用网络 (VPN) 信息加密技术研究[J].电讯技术, 2010 (17) .

[2]束坤, 凳国新.基于计算机网络的VPN技术[J].计算机应用, 2008 (11) .

[3]曾勇军, 畅贞斌, 罗必国.通过隧道技术建立安全的虚拟专用网[J].计算机工程与应用, 2010 (8) .