vpn技術精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的vpn技術主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：vpn技術范文

【關鍵詞】SSL vpn；IPSEC VPN；網(wǎng)絡安全

【中圖分類號】TN711

【文獻標識碼】A

【文章編號】1672-5158（2012）12-0004-01

一、SSL VPN的基本學術概念

1.1 什么是SSL VPN

SSL（Secure Sockets Layer）是一種Intemet數(shù)據(jù)安全協(xié)議。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。VPN（Virtual Private Network虛擬專用網(wǎng)絡），可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。VPN的核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)，被定義為通過一個公用網(wǎng)絡（通常是Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

SSL VPN就是指應用層的vpn，它是基于https來訪問受保護的應用。目前常見的SSL VPN方案有兩種方式：直路方式和旁路方式。直路方式中，當客戶端需要訪問一臺應用服務器時：首先，客戶端和SSL VPN網(wǎng)關通過證書互相驗證雙方；其次，客戶端和SSL VPN網(wǎng)關之間建立ssl通道；然后，SSL VPN網(wǎng)關作為客戶端的和應用服務器之間建立tcp連接，在客戶端和應用服務器之間轉發(fā)數(shù)據(jù)。旁路方式和直路不同的是：為了減輕在進行ssl加解密時的運行負擔，也可以獨立出ssl加速設備，在SSL VPN server接收到https請求時，將ssl加密的過程交給ssl加速設備來處理，當ssl加速設備處理完之后再將數(shù)據(jù)轉發(fā)給SSL VPN server。

1.2 SSL VPN的特性

保密性就是對抗對手的被動攻擊，保證信息不泄漏給未經(jīng)授權的人。由于使用的是Ssl協(xié)議，該協(xié)議是介于http層及tcp層的平安協(xié)議，傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSL VPN通過設置不同級別的用戶和不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、radius機制等不同的方式。ssl數(shù)據(jù)加密的平安性由加密算法來保證，各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡中的數(shù)據(jù)，就要能夠解開這些加密算法后的數(shù)據(jù)包。

完整性就是對抗對手主動攻擊，防止信息被未經(jīng)授權的篡改。由于SSL VPN一般在gateway上或者在防火墻后面，把企業(yè)內(nèi)部需要被授權外部訪問的內(nèi)部應用注冊到SSL VPN上。這樣對于gateway來講，需要開通443這樣的端口到ssl vpn即可，而不需要開通所有內(nèi)部的應用的端口。假如有黑客發(fā)起攻擊也只能到SSL VPN這里，攻擊不到內(nèi)部的實際應用。

可用性就是保證信息及信息系統(tǒng)確實為授權使用者所用。前面已經(jīng)提到，對于SSL VPN要保護的后臺應用，可以為其設置不同的級別，只有相應級別的用戶才可以訪問到其對應級別的資源，從而保證了信息的可用性。

可控性就是對信息及信息系統(tǒng)實施平安監(jiān)控。SSL VPN作為一個平安的訪問連接建立工具，所有的訪問信息都要經(jīng)過這個網(wǎng)關，所以記錄日志對于網(wǎng)關來說非常重要。不僅要記錄日志，還要提供完善的超強的日志分析能力，才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊，從而對信息系統(tǒng)實施監(jiān)控。

二、SSL VPN的優(yōu)勢

2.1 零客戶端

客戶端的區(qū)別是SSL VPN最大的優(yōu)勢。瀏覽器內(nèi)嵌了ssl協(xié)議，所以預先安裝了web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣，使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供給商等。通過SSL VPN，客戶端可以在任何時間任何地點對應用資源進行訪問。也就是說是基于b/s結構的業(yè)務時，可以直接使用瀏覽器完成ssl的vpn建立；而IPSEC VPN只答應已經(jīng)定義好的客戶端進行訪問，所以它更適用于企業(yè)內(nèi)部。

2.2 平安性

SSL VPN的平安性前面已經(jīng)討論過，和IPSEC VPN相比較，SSL VPN在防病毒和防火墻方面有它特有的優(yōu)勢。

一般企業(yè)在Internet聯(lián)機入口，都是采取適當?shù)姆蓝緜蓽y辦法。不論是IPSEC VPN或SSL VPN聯(lián)機，對于人口的病毒偵測效果是相同的，但是比較從遠程客戶端入侵的可能性，就會有所差別。采用IPSEC VPN聯(lián)機，若是客戶端電腦遭到病毒感染，這個病毒就有機會感染到內(nèi)部網(wǎng)絡所連接的每臺電腦。而對于SSL VPN的聯(lián)機，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應用系統(tǒng)的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

2.3 訪問控制

用戶部署vpn是為了保護網(wǎng)絡中重要數(shù)據(jù)的平安。IPSEC VPN只是搭建虛擬傳輸網(wǎng)絡，SSL VPN重點在于保護具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權限。就是說，雖然都可以進入內(nèi)部網(wǎng)絡，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認性，為事后追蹤提供了依據(jù)。

2.4 經(jīng)濟性

使用SSL VPN具有很好的經(jīng)濟性，因為只需要在總部放置一臺硬件設備就可以實現(xiàn)所有用戶的遠程平安訪問接入。但是對于IPSEC VPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設備。就使用成本而言，SSL VPN具有更大的優(yōu)勢，由于這是一個即插即用設備，在部署實施以后，一個具有一定Internet知識的普通工作人員就可以完成日常的管理工作。

第2篇：vpn技術范文

關鍵詞：VPN；MPLS；多協(xié)議標記交換

中圖法分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

隨著Internet的VPN連接蓬勃發(fā)展，人們對其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段，網(wǎng)絡經(jīng)常會發(fā)生阻塞，許多應用對于目前的IP技術(如語音和視頻等)顯得力不從心，并且實現(xiàn)成本也很高。而新興的多協(xié)議標記交換技術(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

首先引入現(xiàn)實中的一個例子，經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡訪問公司的內(nèi)網(wǎng)辦公，而訪問的結果就像在公司內(nèi)網(wǎng)一樣，不會有對資源、權限的限制，就好像在內(nèi)網(wǎng)里面一樣，我們可以利用VPN技術實現(xiàn)這個目的。

由以上來看，究竟什么是VPN呢？虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

2 常規(guī)VPN技術

以往常規(guī)的VPN連接技術是在PPTP或者L2TP協(xié)議的控制下進行隧道封裝加密傳輸，其中，PPTP協(xié)議將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE V2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰。L2TP是國際標準隧道協(xié)議，它結合了PPTP協(xié)議以及第二層轉發(fā)L2F協(xié)議的優(yōu)點，能以隧道方式使PPP包通過各種網(wǎng)絡協(xié)議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協(xié)議結合使用，提供隧道驗證。

但是，IPsec協(xié)議首要的和最明顯的缺點就是性能的下降，其次，在實現(xiàn)成本上非常不利，低端的設備通常用軟件實現(xiàn)所有的IPsec功能，因而其速度最慢。價格貴些的用硬件實現(xiàn)IPsec功能。一般來說，性能越好，其價格越貴。

3 基于MPLS的VPN的新技術

同傳統(tǒng)的VPN不同，MPLS VPN不依靠封裝和加密技術，MPLS VPN依靠轉發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN，MPLS VPN的所有技術產(chǎn)生于InternetConnect網(wǎng)絡。

CPE被稱為客戶邊緣路由器（CE）。在InternetConnect網(wǎng)絡中，同CE相連的路由器稱為供應商邊緣路由器(PE)。一個VPN數(shù)據(jù)包括一組CE路由器，以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡。

CE可以感覺到同一個專用網(wǎng)相連。每個VPN對應一個VPN路由/轉發(fā)實例（VRF）。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數(shù)據(jù)包括IP路由表，一個派生的Cisco Express Forwarding (CEF)表，一套使用轉發(fā)表的接口，一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個站點可以且僅能同一個VRF相聯(lián)系?？蛻粽军c的VRF中的數(shù)據(jù)包含了其所在的VPN中，所有的可能連到該站點的路由。

對于每個VRF，數(shù)據(jù)包轉發(fā)信息存儲在IP路由表和CEF表中。每個VRF維護一個單獨的路由表和CEF表。這些表各可以防止轉發(fā)信息被傳輸?shù)絍PN之外，同時也能阻止VPN之外的數(shù)據(jù)包轉發(fā)到VPN內(nèi)不的路由器中。這個機制使得VPN具有安全性。

在每個VPN內(nèi)部，可以建立任何連接：每個站點可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個站點，無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網(wǎng)絡可以支持成千上萬個VPN。每個MPLS VPN網(wǎng)絡的內(nèi)部是由供應商(P)設備組成。這些設備構成了MPLS核，且不直接同CE路由器相連。圍繞在P設備周圍的供應商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡發(fā)揮VPN的作用。P和PE路由器稱為標記交換路由器(LSR)。LSR設備基于標記來交換數(shù)據(jù)包。

客戶站點可以通過不同的方式連接到PE路由器，例如幀中繼，ATM，DSL和T1方式等等。

三種不同的VPN，分別用Route Distinguishers 10，20和30來表示。

MPLS VPN中，客戶站點運行的是通常的IP協(xié)議。它們并不需要運行MPLS，IPSec或者其他特殊的VPN功能。在PE路由器中，路由識別器對應同每個客戶站點的連接。這些連接可以是諸如T1，單一的幀中繼，ATM虛電路，DSL等這樣的物理連接。路由識別器在PE路由器中被配置，是設置VPN站點工作的一部分，它并不在客戶設備上進行配置，對于客戶來說是透明的。

每個MPLS VPN具有自己的路由表，這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進行尋址的多種客戶來說，上述特點很有用處。例如，任何數(shù)量的客戶都可以在其MPLS VPN中，使用地址為10.1.1.X的網(wǎng)絡。MPLS VPN的一個最大的優(yōu)點是CPE設備不需要智能化。因為所有的VPN功能是在InternetConnect的核心網(wǎng)絡中實現(xiàn)的，且對CPE是透明的。CPE并不需要理解VPN，同時也不需要支持IPSec。這意味著客戶可以使用價格便宜的CPE，或者甚至可以繼續(xù)使用已有的CPE。

4 基于MPLS VPN的優(yōu)點

時延被降到最低，因為數(shù)據(jù)包不再經(jīng)過封裝或者加密。加密之所以不再需要，是因為MPLS VPN可以創(chuàng)建一個專用網(wǎng)，它同幀中繼網(wǎng)絡具備的安全性很相似。因為不需要隧道，所以要創(chuàng)建一個全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實上，缺省的配置是全網(wǎng)狀布局。站點直接連到PE，之后可以到達VPN中的任何其他站點。如果不能連通到中心站點，遠程站點之間仍然能夠相互通信。

配置MPLS VPN網(wǎng)絡的設備也變得容易了，僅需配置核心網(wǎng)絡，不需訪問CPE。一旦配置好一個站點，在配置其他站點時無需重新配置。因為添加新的站點時，僅需改變所連到的PE的配置。

在MPLS VPN中，安全性可以得到容易地實現(xiàn)。一個封閉的VPN具有內(nèi)在的安全性，因為它不同Public Internet相連。如果需要訪問Internet，則可以建立一個通道，在該通道上，可放置一個防火墻，這樣就對整個VPN提供安全的連接。管理起來也很容易，因為對于整個VPN來說，只需要維護一種安全策略。

MPLS VPN的另外一個好處是對于一個遠程站點，僅需要一個連接即可。想象一下，帶有一個中心站點和10個遠程站點的傳統(tǒng)幀中繼網(wǎng)，每個遠程站點需要一個幀中繼PVC(永久性虛電路)，這意味者需要10個PVC。而在MPLS VPN網(wǎng)中，僅需要在中心站點位置建立一個PVC，這就降低了網(wǎng)絡的成本。

5 總結

MPLS是一種結合了鏈路層和IP層優(yōu)勢的新技術。在MPLS網(wǎng)絡上不僅僅能提供VPN業(yè)務，也能夠開展QoS、TE、組播等等的業(yè)務。隨著MPLS應用的不斷升溫，不論是產(chǎn)品還是網(wǎng)絡，對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網(wǎng)絡新技術，但卻已經(jīng)顯示了其強大的生命力。在我國網(wǎng)絡基礎薄弱，政府和企業(yè)對IP虛擬專用網(wǎng)的需求不高，但相信隨著政府上網(wǎng)、特別是在電子商務的推動下，基本MPLS的IP虛擬專用網(wǎng)技術的解決方案必將有不可估量的市場前景。

參考文獻：

[1]王達.虛擬專用網(wǎng)（VPN）精解[J].清華大學出版社,2004,173-7.

第3篇：vpn技術范文

關鍵詞：IPsec；AH；EPS；VPN; SSL

中圖分類號：TP393.08 文獻標識碼：A

1 概述

IPSec的英文全名為“Internet Protocol Security”，中文名為“因特網(wǎng)安全協(xié)議”,這個安全協(xié)議是VPN的基本加密協(xié)議，它為數(shù)據(jù)通過公用網(wǎng)絡（如因特網(wǎng)）在網(wǎng)絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接，因為IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，包括加密運算法則和身份驗證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡層之上的協(xié)議在通信雙方都經(jīng)過加密，如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等，而不管這些通道構建時所采用的安全和加密方法如何。

2IPsec原理

2.1安全特性［1］

IPSec的安全特性主要有：

2.1.1不可否認性

“不可否認性”可以證實消息發(fā)送方是唯一可能的發(fā)送者，發(fā)送者不能否認發(fā)送過消息?！安豢煞裾J性”是采用公鑰技術的一個特征，當使用公鑰技術時，發(fā)送方用私鑰產(chǎn)生一個數(shù)字簽名隨消息一起發(fā)送，接收方用發(fā)送者的公鑰來驗證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰，也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名，所以只要數(shù)字簽名通過驗證，發(fā)送者就不能否認曾發(fā)送過該消息。

2.1.2反重播性

“反重播”確保每個IP包的唯一性，保證信息萬一被截取復制后，不能再被重新利用、重新傳輸回目的地。

2.1.3數(shù)據(jù)完整性

防止傳輸過程中數(shù)據(jù)被篡改，確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個數(shù)據(jù)包產(chǎn)生一個加密檢查和，接收方在打開包前先計算檢查和，若包遭篡改導致檢查和不相符，數(shù)據(jù)包即被丟棄。

2.1.4數(shù)據(jù)可靠性（加密）

在傳輸前，對數(shù)據(jù)進行加密，可以保證在傳輸過程中即使數(shù)據(jù)包遭截取，信息也無法被讀。該特性在IPSec中為可選項，與IPSec策略的具體設置相關。

2.2數(shù)據(jù)包結構［2］

2.2.1認證頭

認證頭（AH）被用來保證被傳輸分組的完整性和可靠性。此外，它還保護不受重放攻擊。

表1認證頭分組

01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一個頭載荷長度保留安全參數(shù)索引（SPI）序列號認證數(shù)據(jù)（可變長度）字段含義：

下一個頭：標識被傳送數(shù)據(jù)所屬的協(xié)議。

載荷長度：認證頭包的大小。

保留：為將來的應用保留（目前都置為0）.

安全參數(shù)索引 ： 與IP地址一同用來標識安全參數(shù)。

序列號：單調(diào)遞增的數(shù)值，用來防止重放攻

認證數(shù)據(jù)：包含了認證當前包所必須的數(shù)據(jù)。

2.2.2封裝安全載荷 (ESP)

封裝安全載荷（ESP）協(xié)議對分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是，IP分組頭部不被包括在內(nèi)。

字段含義：

安全參數(shù)索引：與IP地址一同用來標識安全參數(shù)。

序列號：單調(diào)遞增的數(shù)值，用來防止重放攻擊。

載荷數(shù)據(jù)：實際要傳輸?shù)臄?shù)據(jù)。

填充：某些塊加密算法用此將數(shù)據(jù)填充至塊的長度。

填充長度：以位為單位的填充數(shù)據(jù)的長度。

下一個頭 ： 標識被傳送數(shù)據(jù)所屬的協(xié)議。

認證數(shù)據(jù)：包含了認證當前包所必須的數(shù)據(jù)。

3VPN原理

3.1VPN的基本概念［3］

在VPN(Virtual Private Network，虛擬專用網(wǎng)絡)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 虛擬專用網(wǎng)對用戶端透明，用戶好像使用一條專用線路進行通信。

3.2VPN的關鍵技術［4］

目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。

3.2.1隧道技術

隧道是一種利用公網(wǎng)設施，在一個網(wǎng)絡之上的“網(wǎng)絡”傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。

3.2.2加解密技術

加解密技術是數(shù)據(jù)通信中一項較成熟的技術，VPN可直接利用現(xiàn)有技術。用于VPN上的加密技術由IPSec的ESP (Encapsulationg Security Payload)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密，當數(shù)據(jù)到達接收者時由接收者對數(shù)據(jù)進行解密的處理過程，算法主要種類包括：對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者Rivest、Shamir和Adleman名字的首字符)。

3.2.3密鑰管理技術

密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。

SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

3.2.4使用者與設備身份認證技術

使用者與設備身份認證技術最常用的是用戶名/口令或智能卡認證等方式。

3.3VPN隧道協(xié)議

隧道協(xié)議分為第二、三層隧道協(xié)議。它們的本質(zhì)區(qū)別再也用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。

3.3.1PPTP(Point to Point Tunneling Protocol,點到點隧道協(xié)議)

PPTP是VPN的基礎。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生，PPTP協(xié)議采用擴展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報進行封裝。所謂擴展GRE頭，即在通常GRE頭中，細化并修改了密鑰字段的利用，并增加了確認、出現(xiàn)位和確認號字段，從而提供了PPTP的流量控制功能。

3.3.2L2F(Layer 2 forwording)

L2F可以在多種介質(zhì)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)，將鏈路層的協(xié)議(如PPP,HDLC等)封裝起來傳送。因此，網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。

3.3.3L2TP(Layer 2 Tunneling Protocol)

是遠程訪問型VPN今后的標準協(xié)議。它結合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點，以便擴展功能。其格式基于L2F，信令基于PPTP。這種協(xié)議幾乎能實現(xiàn)PPTP和L2F協(xié)議能實現(xiàn)的所有服務，并且更加強大、靈活。它定義了利用公共網(wǎng)絡設施(如IP網(wǎng)絡、ATM、幀中繼網(wǎng)絡)封裝傳輸鏈路層PPP幀的方法。

3.3.4IPSec

是在IP層提供通信安全而提供的一套協(xié)議族，是一個開放性的標準框架。IPSec安全協(xié)議包括：封裝的安全負載ESP(Encapsulation Securiy Payload)和認證報頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol)，它對所有鏈路層上的數(shù)據(jù)提供安全保護和透明服務。

AH用于通信雙方能夠驗證數(shù)據(jù)在傳輸過程中是否被更改并能驗證發(fā)方的身份，實現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認證性和重放根據(jù)的保護的功能。

ISAKMP［5］主要用于通信雙方協(xié)商加密密鑰和加密算法,它是基于D-H的密鑰交換協(xié)議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產(chǎn)生的。

ESP 的基本思想是對整個IP包或更高層協(xié)議的數(shù)據(jù)進行封裝,有2種模式：隧道(Tunnel)模式和傳輸(Transport)模式。在隧道模式下，IPSec把IPv4的整個IP包加密后封裝在新的安全IP包的數(shù)據(jù)段中,并生成一個新的IP包,在傳輸模式下只是將原IP包中的數(shù)據(jù)進行加密后再發(fā)送出去。

通用路由封裝(GRE, Generic Routing Encapsulation)：GRE規(guī)定了怎樣用一種網(wǎng)絡層協(xié)議去封裝另一種網(wǎng)絡層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數(shù)據(jù)包的封裝，它并沒有加密功能來防止網(wǎng)絡偵聽和攻擊。所有在實際環(huán)境中它常和IPSec一起使用，由IPSec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。

4SSL VPN與IPSec VPN 比較

4.1IPSec VPN 優(yōu)缺點

4.1.1優(yōu)點

（1）IPSec是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協(xié)議;

（2）IPSec技術中，客戶端至站點（client-to-site）、站點對站點（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術是完全相同的;

（3）IPSec VPN網(wǎng)關一般整合了網(wǎng)絡防火墻的功能;

4.1.2不足

（1） IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序;

（2）IPSec VPN的連接性會受到網(wǎng)絡地址轉換（NAT）的影響，或受網(wǎng)關設備（proxy）的影響;

（3）IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。

4.2SSL VPN［6］ 優(yōu)缺點

4.2.1優(yōu)點

（1）它的HTTPS客戶端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經(jīng)預裝在了終端設備中，因此不需要再次安裝；

（2）像Microsoft Outlook與Eudora這類流行的郵件客戶端／服務器程序所支持的SSL HTTPS功能，同樣也與市場上主要的Web服務器捆綁銷售，或者通過專門的軟硬件供貨商（例如Web存取設備）獲得；

（3）SSL VPN可在NAT裝置上以透明模式工作；

（4）SSL VPN不會受到安裝在客戶端與服務器之間的防火墻的影響。

4.2.2不足

SSL VPN不適用做點對點的VPN，后者通常是使用IPSec/IKE技術;

SSL VPN需要開放網(wǎng)絡防火墻中的HTTPS連接端口，以使SSL VPN網(wǎng)關流量通過。5 結束語

IPsec協(xié)議的實現(xiàn)彌補TCP/IP參考模型設計之初的缺陷，但其本身也存在一些不足。通過SSL VPN與IPsec VPN比較，進一步明確了IPsec VPN的特點及其適用的工作場合。

參考文獻

［1］ Panos Trimintzios. A management and control architecture for providing IP differentiated services in MPLS-based networks, IEEE Communications Magazine, 2001, 39(5): pp.80-88.

［2］Intergated service in the Internet architecture: an overview.RFC1633,1994.

［3］J iang Y, Tham C, Ko C.Providing quality of service monitoring: challenges and approaches . International Journal of Network Management, 2000, 10 (6):pp.323-334.

［4］ RFC 2917-2001, Muthukrishnan and amalis, a core MPLS.

［5］Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構建虛擬專用網(wǎng)［M］. 北京：人民郵電出版社, 2001.

第4篇：vpn技術范文

關鍵詞：VPN技術；應用；研究

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）17-3996-03

虛擬專用網(wǎng)，用英文翻譯過來就是Virtual Private Network，簡稱為VPN。虛擬專用網(wǎng)是通過公共網(wǎng)絡中相關的基礎設施，采用先進的技術方式，對不同的兩臺計算機進行一種專用的連接，使相關的網(wǎng)絡數(shù)據(jù)信息在通過公共網(wǎng)絡進行上傳的過程中，保證網(wǎng)絡數(shù)據(jù)信息私密性的一項技術。如何有效的應用虛擬專用網(wǎng)技術，是企業(yè)在發(fā)展過程中必須解決的一個重要問題。

1 VPN技術的優(yōu)點

1.1 節(jié)約成本

VPN技術對公共網(wǎng)絡進行了利用，建立并組成了虛擬的專用網(wǎng)絡，不需要在單獨依靠公共網(wǎng)絡中專用的線路來保障數(shù)據(jù)信心傳輸?shù)陌踩?，利用專用的網(wǎng)絡就能夠實現(xiàn)數(shù)據(jù)信心的安全性，這一種方式相對于其他通信方式而言，所需要使用的成本更為低廉，例如：長途電話、專線電話等。

1.2 使用便捷

VPN技術在公共網(wǎng)絡中的使用較為便捷，易于在公共網(wǎng)絡中進行擴展。當公共網(wǎng)絡內(nèi)部中的節(jié)結點逐漸增多的時候，專線連接網(wǎng)絡的結構也會變得越來越復雜，而且所需要花費的成本也非常的高，而在使用虛擬專用網(wǎng)的過程中，只需要在公共網(wǎng)絡的節(jié)點位置構架相關的VPN設備，就能夠在對Internet進行利用時在計算機網(wǎng)絡中建立安全連接，若是公共網(wǎng)絡內(nèi)部中有其他的網(wǎng)絡想要進入安全連接，只需要在使用使用一臺虛擬專用網(wǎng)設備，對相關的配置的配置進行調(diào)整就能夠使其他的網(wǎng)絡加入到安全連接之中。

1.3 確保安全性

確保公共網(wǎng)絡中的安全性，是VPN技術在計算機網(wǎng)絡中的基礎，為了確保相關的數(shù)據(jù)信息在通過公共網(wǎng)絡進行傳輸過程中的安全性，VPN技術對加密認證這一項技術進行利用，在公共網(wǎng)絡內(nèi)部中對相關的安全隧道進行構建，重要的數(shù)據(jù)信息通過安全隧道進行傳輸，有效的保證了數(shù)據(jù)信息在傳輸時的安全性，避免數(shù)據(jù)信息被惡意的篡改、破壞。

2 VPN得以實現(xiàn)的主要技術

VPN不是一個實體，而是一種虛擬的網(wǎng)絡形態(tài)，是計算機網(wǎng)絡中的一個概念，是一個通過公共網(wǎng)絡中的基礎設施對虛擬專用網(wǎng)絡進行構建時，所運用連接技術綜合起來的名稱。VPN技術的實現(xiàn)，離不開隧道技術，隧道技術是VPN技術得以實現(xiàn)的前提，隧道技術是一種對公共網(wǎng)絡中的數(shù)據(jù)信息進行包裝，然后在公共網(wǎng)絡中構建一條網(wǎng)絡隧道，使公共網(wǎng)絡中的數(shù)據(jù)信心通過這一條網(wǎng)絡隧道進行傳輸，以下是VPN技術在運用過程中的主要隧道技術。

2.1 點到點隧道協(xié)議

點到點隧道協(xié)議簡稱為PPTP，即Point-to-Point Tunneling Protocol，PPTP將公共網(wǎng)絡中的PPP數(shù)據(jù)信息進行包裝之后，通過Internet對這些數(shù)據(jù)信息進行傳輸，PPTP協(xié)議提供了使多協(xié)議VPN構建于Internet中的一種通信方式，遠程的客戶端能夠通過PPTP對專用網(wǎng)絡進行訪問。

2.2 二層轉發(fā)協(xié)議

二層轉發(fā)協(xié)議簡稱L2F，即Layer Two Forwarding Protocol，二層轉發(fā)協(xié)議能夠對各種不同的傳輸協(xié)議提供支持，例如：幀中繼、ATM以及IP等，二層轉發(fā)協(xié)議可以讓遠程客戶端的客戶在接入公共IP網(wǎng)絡中時，在撥號方式上不會受到任何的限制，例如：遠程客戶端的客戶在運用常規(guī)的撥號方式對ISP中的NAS進行撥號時，對PPP連接進行構建，NAS則通過對遠程客戶端客戶的一些基本信息的了解，在網(wǎng)絡中進行第二重連接，向公司所在地的二層轉發(fā)協(xié)議中的網(wǎng)絡服務器進行傳輸，二層轉發(fā)協(xié)議中的網(wǎng)絡服務器在將接收到的數(shù)據(jù)信心傳輸?shù)焦緝?nèi)部的網(wǎng)絡中。

2.3 IP安全協(xié)議

IP安全協(xié)議簡稱為IP Sec，IP安全協(xié)議包含了秘鑰協(xié)商與安全協(xié)議這兩個方面中的一部分，IP Sec安全協(xié)議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護作用的機制。鑒別頭用英文表示為Authentication Header，簡稱AH，它給計算機網(wǎng)絡通信中提供的是一種完全性的保護。封裝安全載荷用英文表示為Encapsulations Security Payload，簡稱ESP，它給計算機網(wǎng)絡通信中提供的不僅僅是完整性的保護，還有機密文件在通過網(wǎng)絡進行傳輸這一過程中的保護。鑒別頭與封裝安全載荷對計算機網(wǎng)絡通信的保護具有實效性，對于公司內(nèi)部在使用網(wǎng)絡進行數(shù)據(jù)信息傳輸?shù)陌踩杂兄种匾囊饬x。IP安全協(xié)議是虛擬專用網(wǎng)技術中一個非常重要的組成部分，它對于網(wǎng)絡的保護具有完整性，是虛擬專用網(wǎng)在計算機網(wǎng)絡的應用中，不可缺少的一個部分，不僅僅保護了數(shù)據(jù)信息在通過網(wǎng)絡進行傳輸中的安全，還在很大程度上保障了數(shù)據(jù)信息來源的安全性、可靠性。

3 VPN技術的應用

在對VPN技術進行應用的過程中，能夠有效的解決虛擬專用網(wǎng)絡在對公共網(wǎng)絡進行利用中存在的問題。

以下是VPN技術主要的幾種應用：

3.1 遠程訪問VPN

隨著我國科學技術的深入發(fā)展，人們對于遠程通信的需求逐漸的擴大，各個行業(yè)辦公方式由辦公室辦公轉變?yōu)樵谵k公室以外進行辦公，企業(yè)中的工作人員對于企業(yè)網(wǎng)絡中的遠程客戶端訪問的要求逐漸增高，在這一形勢下遠程訪問VPN的出現(xiàn)是必然的趨勢。

一些公司或企業(yè)在網(wǎng)絡中進行遠程訪問的過程中，為了保證遠程訪問的安全性，傳統(tǒng)的方法是公司或企業(yè)的內(nèi)部網(wǎng)絡中對RAS進行構建，即遠程訪問服務器。遠程客戶端客戶利用電話這一形式進行網(wǎng)絡撥號，然后接入RAS，接著進行入到公司或企業(yè)的內(nèi)部網(wǎng)絡中，在利用這種傳統(tǒng)的方法進行遠程訪問時，需要對相關的RAS設備進行購買，RAS設備的價格都非常的高，而且遠程客戶端客戶只能采取撥號這一種形式進行遠程訪問，遠程訪問的效率非常低，在遠程訪問時的安全性也得不到有效的保障，在進行撥號時所需要的花費的費用也非常的多。遠程訪問VPN，通過數(shù)字用戶線路、ISDN以及撥號等一系列方式，進入到公司或企業(yè)所在地的ISP中，再進入Internet中，然后對公司或企業(yè)中的VPN網(wǎng)關進行連接，在VPN與遠程客戶端的客戶之間構建一條安全隧道，遠程客戶端的客戶可以通過這一條安全隧道對公司或企業(yè)內(nèi)部中的網(wǎng)絡進行訪問，這種方式不僅僅節(jié)約了遠程訪問過程中所需要花費的費用，還在很大程度上保障了遠程訪問中的安全性。

遠程訪問VPN的結構示意圖，如圖1所示。

3.2 站點到站點的內(nèi)聯(lián)網(wǎng)

一般情況下，在對同一個企業(yè)中兩個不同的分支機構進行連接的過程中，專用私有線路是必不可少的連接工具，但是專用私有線路非常的難找，尋找一條專用私有線路需要花費很多的時間與精力，而且專用私有線路一般都以出租的方式進行利用，租金非常的高。企業(yè)在利用一條專用私有線路對內(nèi)部中不同的分支機構進行連接時，如果專用私有線路對企業(yè)內(nèi)部網(wǎng)絡造成了破壞，則會導致連接的失敗，而且在利用專用私有線路對企業(yè)內(nèi)部網(wǎng)絡中的數(shù)據(jù)信息進行傳輸?shù)臅r候，傳輸數(shù)據(jù)信息的網(wǎng)絡通道沒有進行相關的加密，這就造成了數(shù)據(jù)信息在傳輸過程中存在著不安全因素。

站點到站點的內(nèi)聯(lián)網(wǎng)，能夠有效的解決企業(yè)內(nèi)聯(lián)網(wǎng)結構、傳輸、連接在安全這一方面存在的問題，站點到站點的內(nèi)聯(lián)網(wǎng)結構示意圖，如圖2所示。

VPN網(wǎng)關，處于公共網(wǎng)絡與企業(yè)專用網(wǎng)絡的交界處，站點到站點的內(nèi)聯(lián)網(wǎng)對數(shù)據(jù)信息通信進行加密，通過Internet將數(shù)據(jù)信息傳輸?shù)较嚓P的VPN網(wǎng)關中。站點到站點的內(nèi)聯(lián)網(wǎng)在接收到Internet所傳輸?shù)臄?shù)據(jù)信息已被加密，然后通過將數(shù)據(jù)信息傳輸?shù)絍PN網(wǎng)關對數(shù)據(jù)信息進行解密，接著傳輸?shù)狡髽I(yè)的內(nèi)部網(wǎng)絡中。站點與站點的內(nèi)聯(lián)網(wǎng)在傳輸數(shù)據(jù)信息時，不需要專用的私有線路，而且還能夠使VPN變得非常的靈活。

3.3 VPN技術應用的實例

VPN技術在宜春供水有限公司中的應用，圖3是宜春供水有限公司中VPN網(wǎng)絡結構圖。

VPN技術在宜春供水有限公司中的應用，取代了宜春供水有限公司內(nèi)部中傳統(tǒng)的專線網(wǎng)絡，VPN技術的應用極大的增強了宜春供水有限公司在利用網(wǎng)絡進行數(shù)據(jù)信息傳遞時的安全性，有效的節(jié)約了宜春供水有限公司在網(wǎng)絡信息數(shù)據(jù)傳輸這一方面的資金成本，在總體上為公司節(jié)省了85%左右的信息數(shù)據(jù)通訊的資金成本，而且只需要普通寬帶就能夠實現(xiàn)。

4 結束語

虛擬專用網(wǎng)技術在企業(yè)應用計算機網(wǎng)絡的過程中有著重要的作用，企業(yè)采用VPN這一技術，能夠有效的保障計算機網(wǎng)絡的安全性、可靠性、經(jīng)濟性，能夠確保企業(yè)中的一些重要的私密性文件在通過網(wǎng)絡進行傳輸時的安全。

參考文獻：

[1] 浦兜，陳依群，曾鴻文.虛擬專用網(wǎng)絡（VPN）信息加密技術研究[J].電訊技術，2010（17）.

[2] 束坤，凳國新.基于計算機網(wǎng)絡的VPN技術[J].計算機應用，2008（11）.

第5篇：vpn技術范文

關鍵詞：VPN技術；隧道；優(yōu)化

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）06-0034-03

1概述

VPN（Virtual Private Network），即虛擬專用網(wǎng)，它是利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并能提供與專用網(wǎng)絡一樣的安全和功能保障。[1]由于通過VPN技術可以實現(xiàn)資源的傳輸和共享，并實現(xiàn)了網(wǎng)絡環(huán)境的穩(wěn)定和安全。因此，它得到了積極的推廣和應用。但其在應用過程中，隨著分支機構辦公人員數(shù)量以及需求不斷增加，多帶寬使用率的要求也越來越高，導致分支用戶業(yè)務使用不便，同時專線vpn對于移動辦公人員和各辦事處人員訪問公司的系統(tǒng)不能更好的支持。因此，對其進行優(yōu)化也顯得十分必要。

2 VPN的應用

2.1 VPN的實現(xiàn)原理

VPN技術并不依靠物理上的端到端的專用連接，即沒有固定的物理連接，它是利用Internet、ATM等公用網(wǎng)絡設施，在兩臺直接與公網(wǎng)連接的計算機之間建立一條專用通道，建立起虛擬的專用通路，并利用隧道技術對數(shù)據(jù)進行封裝，使數(shù)據(jù)在具有認證和加密機制的隧道中穿越，從而實現(xiàn)點到點或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個雙方協(xié)商好的協(xié)議進行，這樣在兩個私有網(wǎng)絡之間建立VPN通道將需要一個專門的過程，依賴于一系列不同的協(xié)議。這些設備和相關的設備及協(xié)議組成了一個VPN系統(tǒng)。一個完整的VPN系統(tǒng)一般包括3個單元：VPN服務器端、VPN客戶端機和VPN數(shù)據(jù)通道。

2.2 VPN 的實現(xiàn)

要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡中必需配置一臺VPN內(nèi)網(wǎng)接入設備，該設備有雙網(wǎng)卡，它一方面連接企業(yè)內(nèi)部網(wǎng)絡，另一方面連接到Internet，即VPN服務器必須有一個公用的IP地址。VPN 使用三個方面的技術保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密。遠程用戶使用時根本無需關心隧道的建立、數(shù)據(jù)加密、用戶認證等過程。[3]遠程用戶采用TCP/IP 協(xié)議，選擇建立虛擬隧道，并保持原有的網(wǎng)絡結構、網(wǎng)絡資源和應用模式不變，以便實現(xiàn)快捷、廉價、保密的通信。

2.3 VPN的應用場景

VPN的應用場景分可分為3種：

1）站點到站點或者網(wǎng)關到網(wǎng)關：在不同的地方分支，各使用一個網(wǎng)關相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)則通過這些網(wǎng)關建立的IPSec隧道實現(xiàn)安全互聯(lián)。

2）端到端或者PC到PC：兩臺PC之間的通信由兩臺PC之間的IPSec進行會話保護，而并不是網(wǎng)關。

3）端到站點或者PC到網(wǎng)關：兩臺PC之間的通信由網(wǎng)關和異地PC之間的IPSec進行保護。VPN只是IPSec的一種應用方式，它的目的是為IP提供高安全性特性，VPN則是在實現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設計

本方案主要是在總部和分支各部署一臺深信服（SANGFOR）加速設備，對現(xiàn)有專線數(shù)據(jù)傳輸進行優(yōu)化。SANGFOR VPN設備支持多種加密算法、硬件證書認證、移動客戶端專線功能，能保障用戶訪問安全和數(shù)據(jù)傳輸安全。

具體方案如下：

1）通過SANGFOR設備對專線線路重復冗余的數(shù)據(jù)進行刪減、壓縮，以減少數(shù)據(jù)傳輸量，提高分支機構和總部之間響應速度；

第6篇：vpn技術范文

關鍵詞:虛擬專用網(wǎng)SSLMPLSIPSec

Comparison and Analysis of Mainstream VPN Technologies

LI Hong-Jun

(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)

Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.

Keywords: Virtual Private Network; SSL; MPLS; IPSec

VPN(Virtual Private Network,虛擬專用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡通過公用骨干網(wǎng)絡連接成的邏輯上的虛擬子網(wǎng), 它采用數(shù)據(jù)加密技術、身份認證技術、隧道技術和密鑰管理技術等關鍵技術實施通信保護,防止通信信息被泄露、篡改和復制。

當前,隨著VPN技術的日趨成熟,已經(jīng)有越來越多的企業(yè)和機構采用VPN技術來構建自己的虛擬專用網(wǎng)絡以達到靈活擴展自身內(nèi)部網(wǎng)絡、連接跨區(qū)域分支網(wǎng)絡等目的。與傳統(tǒng)的物理專用網(wǎng)絡相比,VPN具有組網(wǎng)成本低、通信安全、管理方便、擴展性強、可靠的服務質(zhì)量(QoS)等特點。

按照實現(xiàn)技術的不同,VPN可分為 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與 SSL(Secure Sockets Layer)等幾種。其中,基于MPLS技術的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應用最為廣泛的三種VPN 解決方案。

下面分別對這三種技術進行比較與分析。

1 IPSec VPN與MPLS VPN及SSL VPN的工作原理

1.1 IPSec VPN

IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟( SA)及加密和驗證算法等。IPSec是在網(wǎng)絡層實現(xiàn)數(shù)據(jù)加密和驗證,提供端到端的網(wǎng)絡安全方案,可以提供訪問控制、數(shù)據(jù)源的驗證、無連接數(shù)據(jù)的完整性驗證、數(shù)據(jù)內(nèi)容的機密性、抗重防保護以及有限的數(shù)據(jù)流機密性保證等服務[1 ]。

IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問控制、無連接的完整性、數(shù)據(jù)源認證、防止重播攻擊、信息加密與流量保密等安全服務。所有這些服務都建立在IP層,并保護上層的協(xié)議。這些服務通過使用兩個安全協(xié)議:認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406],以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。

IPSec VPN是一項成熟的技術,目前有許多基于硬件的解決方案來保障它的高性能,是遠程辦公室點對點互聯(lián)的優(yōu)選方案。

1.2 MPLS VPN

MPLS (Multi-Protocol Label Switching,多協(xié)議標簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡交換標準,介于第二層和第三層之間的交換技術,所以它既可以兼容多種鏈路層技術,又能支持多種網(wǎng)絡層的協(xié)議,實現(xiàn)了邊緣的路由和核心的交換[2 ]。

MPLS VPN是一種基于MPLS技術的VPN,在網(wǎng)絡路由與交換設備上使用MPLS技術,應用標簽交換,通過LSP將私有網(wǎng)絡的不同分支聯(lián)結起來,并結合傳統(tǒng)的路由技術,適用于多點到多點的連接。MPLS作為骨干網(wǎng)絡的一種路由轉發(fā)的新模式,必須由LSR(Label Switch Router,標簽交換路由器)構建,普通路由器無法完成。如果網(wǎng)絡規(guī)模比較大,則可能需要較多的LSR。

1.3 SSL VPN

SSL(Secure Socket Layer,安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議,它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議,處于應用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了一種在應用程序協(xié)議(如 HTTP、Telnet、SMTP和FTP等)與TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制,為TCP/IP連接提供數(shù)據(jù)加密、服務器認證以及可選的客戶機認證[3]。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負責確定用于客戶機與服務器間的會話加密參數(shù)。記錄協(xié)議用于交換應用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話。盡管SSL 協(xié)議并非為實現(xiàn)VPN而設計,但SSL對VPN實現(xiàn)所需的數(shù)據(jù)加密、身份認證與密鑰管理等關鍵技術提供了良好的支持。

SSL VPN是工作在應用層(基于HTTP協(xié)議)與TCP層之間的,能夠提供安全的遠程接入[4]。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能,通過瀏覽器連回公司內(nèi)部的SSL VPN服務器,然后通過網(wǎng)絡封包轉向的方式,令客戶可以在遠程計算機執(zhí)行應用程序,讀取公司內(nèi)部服務器數(shù)據(jù)。SSL VPN采用標準的安全套接層(SSL)對傳輸中的數(shù)據(jù)包進行加密,從而在應用層保護了數(shù)據(jù)的安全性。通過 SSL VPN可以實現(xiàn)遠程訪問企業(yè)內(nèi)部網(wǎng)絡的構架。

2 IPSec VPN、MPLS VPN與SSL VPN的比較及分析

2.1安全性比較與分析

IPSec VPN[5]采用了對稱式(Symmetric)與非對稱式(Asymmetric)的加密算法以及摘要算法等,通過身份認證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗等多種方式保證了接入的安全性、數(shù)據(jù)的私密性,其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來抗攻擊與標記欺騙,但它并沒有解決所有管理型的共享網(wǎng)絡普遍存在的非法訪問受保護的網(wǎng)絡元、錯誤配置以及內(nèi)部攻擊等安全問題。MPLS本身并未提供加密與驗證的安全功能,它可以集成IPSec協(xié)議以提供安全保護。因而其安全性一般。SSL VPN與IPSec VPN一樣,也采用了對稱式與非對稱式的加密算法執(zhí)行加密作業(yè),其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻擊的可能性,并且受客戶端病毒感染的可能性也很小,故其安全性較高。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

2.2 認證方式與管理的比較及分析

IPSec[6]采用了因特網(wǎng)密鑰交換(Internet Key Exchange)方式,使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認證。對于IPSec VPN,由于一個新用戶節(jié)點的增加、刪除或修改均需要重新設置現(xiàn)有的所有節(jié)點,并在客戶端安裝復雜的軟件及配置。另外,IPSec VPN對客戶端采用的操作系統(tǒng)也具有較高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件,其易管理性差。SSL僅能使用數(shù)字憑證,若都采用數(shù)字憑證來認證,SSL與IPSec在認證的安全等級上則沒有太大的差別。大多數(shù)廠商對SSL的認證均會建置硬件令牌(Token)以提升認證的安全性。在實際作業(yè)時,大多數(shù)人均在整個網(wǎng)段(Subset)上進行開發(fā)以避免太多的設定所帶來的麻煩。SSL可以設定不同的使用者以執(zhí)行不同的應用系統(tǒng),另外瀏覽器中也內(nèi)置了SSL協(xié)議,客戶端不需要安裝軟件,不需要配置。因而,SSL在管理和設定上比IPSec 簡單方便得多,便于管理。對于MPLS VPN[7],由于在同一VPN的成員之間不需要建立與維護連接,若有新成員加入,ISP僅需要告知用戶端的設備如何與網(wǎng)絡連接,并配置PE來識別來自CE的VPN成員,BGP便會自動更新相關配置,用戶不需要手動升級或改變自己的邊緣設備。MPLS VPN并不需要客戶端管理軟件,因而易于管理。

2.3 成本的比較

MPLS VPN對于用戶而言,其一次性投入的成本較低,但長期投入的資金比較高。對于IPSec VPN,在實施IPSec方案時不僅需要人工發(fā)放認證的材料,用戶還需要知道所使用的加密和認證算法,內(nèi)網(wǎng)路由配置等諸多繁瑣事宜,還需要預裝客戶端軟件等。這些不便在大規(guī)模實施過程中給用戶帶來了難以負擔的工作量和費用,其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件,因為瀏覽器內(nèi)置了SSL協(xié)議,其投入的成本最少。

3 結語

通過上述比較分析可看出,三種VPN技術各具特色,互有長短。IPSec VPN與SSL VPN這兩種VPN架構,從整體的安全等級來看,它們均能提供安全的遠程登入存取聯(lián)機。但SSL VPN在其易用性及安全層級上,均比IPSec VPN高。由于Internet的快速擴展,針對遠程安全登入的需求也日益增加。因此,在實際選擇VPN 時,應根據(jù)實際需求,可以某種VPN技術為主,結合其他技術,充分發(fā)揮它們各自的優(yōu)勢,讓VPN網(wǎng)絡為企業(yè)和員工提供更好的服務。

參考文獻

[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁國忠譯.IPSec VPN設計[M].北京:人民郵電出版社,2006.

[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.盧澤新, 朱培棟,齊寧譯.MPLS和VPN體系結構(第二卷) [M].北京:人民郵電出版社,2004.

[3] 馬軍鋒.SSL VPN 技術原理及其應用[J].電信網(wǎng)技術,2005,(8):6～8.

[4] 伍轉華.三種基于不同協(xié)議的VPN技術研究與分析[J].科技咨詢,2007.

[5] 王春燕.VPN介紹及其安全性問題探討[J].中國新通信,2008.

[6] 易光華,傅光軒,周錦順.MPLS VPN、IPSec VPN和SSL VPN技術的研究與比較[J].貴州科學,2007,(2).

第7篇：vpn技術范文

關鍵詞：校園網(wǎng)IPv6VPN安全性

1 概述

目前，隨著我國信息網(wǎng)絡建設的飛速發(fā)展，高校也進行了較大規(guī)模的數(shù)字化建設，并形成了完善的校園網(wǎng)絡基礎平臺。我國一些重點高校更是構建了基于IPv6的校園網(wǎng)，用于組建下一代科研教育骨干網(wǎng)（CERNET 2），為未來IPv6網(wǎng)絡的應用打下基礎。但該技術的使用大多停留在實驗測試階段，其安全性問題凸顯的不夠明顯。隨著“云概念”的提出，IPv6的應用也是迫在眉睫。如何解決IPv6的安全問題成為了近年研究的熱點之一。

2 IPv6技術存在的問題

現(xiàn)在我國的IPv6技術仍處于發(fā)展階段，很多方面還不成熟，很多實踐過程中遇到的部署和應用問題還有待解決。如大多數(shù)高校原來使用基于IPv4的網(wǎng)絡，如果要把它全部換成即可運行IPv4又能運行IPV6的雙棧網(wǎng)絡，就要把原有的網(wǎng)絡設備全部更新?lián)Q代。這個一方面投資太大，另一方面造成了資源浪費。

2.1 過渡時期的安全漏洞 網(wǎng)絡在由IPv4向IPv6的過渡時中出現(xiàn)了一些安全漏洞。如果攻擊者想要建立從IPv6到IPv4的隧道，只需要用安裝了雙棧的IPv6主機就可以繞過防火墻進行攻擊了。對于校園網(wǎng)用戶來講也面臨著這些問題，其中最重要的是在當前的校園網(wǎng)搭建上怎么樣來保證IPv6 孤島之間的通信安全。

2.2 IPv6網(wǎng)絡協(xié)議自身局限 IPv6網(wǎng)絡協(xié)議本身還有待于完善，其目前還很難來實現(xiàn)嚴格意義上的用戶限制功能。它與IPv4的防火墻、漏洞掃描、網(wǎng)絡過濾、VPN、IDS、防病毒網(wǎng)關等聯(lián)合的安全體系還存在著較大的差距。

2.3 實踐中的安全隱患 無狀態(tài)地址自動配置使得合法網(wǎng)絡用戶在使用IPv6 網(wǎng)絡時相當方便，但是它在同時也引入了安全隱患，因為協(xié)議自身就認為所有的可以自動配置的節(jié)點都是合法節(jié)點，并且能夠即插即用地接入到本地網(wǎng)絡中來。所以，攻擊者就可以利用這一特性對用戶信息進行監(jiān)控甚至是篡改。

2.4 自身組成部分的不嚴密 ICMPv6是IPv6的重要組成部分，但是它能夠被利用來發(fā)動拒絕服務攻擊，利用ICMPv6能夠冒充其它節(jié)點來產(chǎn)生惡意消息(不可達目的、超時、參數(shù)替換等)，從而來影響正常的通信交流。

2.5 協(xié)議的保密性差 攻擊者可以通過利用網(wǎng)絡鄰居發(fā)現(xiàn)協(xié)議，然后發(fā)送錯誤路由器宣告、錯誤重定向消息等，讓數(shù)據(jù)包通向不確定目的地，進而達到產(chǎn)生拒絕服務、攔截與修改數(shù)據(jù)包的目的。

3 IPv6校園網(wǎng)絡的安全性問題

3.1 校園網(wǎng)帶寬高和規(guī)模大 高校學生一般計較集中，因而用戶群比較密集。由于高帶寬和大用戶量的特點，網(wǎng)絡安全問題蔓延快，影響比較嚴重。

3.2 網(wǎng)絡環(huán)境的開放性 受教學和科研特點的影響使校園網(wǎng)絡環(huán)境應該是開放的、管理也是較為寬松的。如果實施過多的限制，一些新的應用很難在校園網(wǎng)內(nèi)部實施。

3.3 管理的不足 在校園網(wǎng)管理方面，一般只有網(wǎng)絡中心的少數(shù)工作人員，他們負責維護網(wǎng)絡的正常運行，無暇顧及數(shù)千臺計算機的安全。

3.4 實施困難 IPv6最重要的安全性體現(xiàn)是將IPSec作為強制標準實施，保證了網(wǎng)際層數(shù)據(jù)的保密性和完整性。但是大規(guī)模部署IPSec所依賴的PKI在IPv6網(wǎng)絡上存在難度，因此IPSec的實施還有困難。

4 VPN技術的優(yōu)勢

4.1 VPN的出現(xiàn)能夠讓校園網(wǎng)能夠通過Internet安全可靠、經(jīng)濟有效地來傳輸機密信息，可以保證IP數(shù)據(jù)包在公網(wǎng)傳輸過程中不會受到來自其它用戶的網(wǎng)絡竊聽、修改等安全威脅。目前，在IPv6校園網(wǎng)環(huán)境中可以使用的VPN安全隧道協(xié)議有鏈路層的PPTP、L2TP協(xié)議，SSL協(xié)議和網(wǎng)絡層的IPSec協(xié)議。其中IPSec是VPN使用最多的安全協(xié)議，憑借其高水平的標準性、易用性以及高安全性等優(yōu)點成為了目前VPN 安全隧道技術的主流。

4.2 在VPN 的實現(xiàn)中可以具有如下主要作用:

4.2.1 遠程用戶可以通過透明地撥號上網(wǎng)來訪問內(nèi)網(wǎng)，IP隧道可以任意調(diào)整任何形式的有效負載。

4.2.2 隧道可以利用封裝技術，對多個用戶、多個不同形式的有效負載進行調(diào)整。

4.2.2 當使用隧道技術訪問內(nèi)網(wǎng)時，內(nèi)網(wǎng)不會將其IP 地址報告給公網(wǎng)。

4.2.3 隧道技術可以對是否濾掉接收者，或對個人隧道連接進行報告進行選擇，自主性較強。

5 VPN在IPv6校園網(wǎng)中的部署

目前，高校大多的校園網(wǎng)屬于那種典型的三層結構，即核心層、匯聚層與接入層。主要的應用有：部門之間的互連；信息服務；遠程訪問；內(nèi)部信息的保密和安全等方面。

由于匯聚設備很大一部分是不支持IPv6協(xié)議的老舊設備，所以IPv6協(xié)議不能夠通過路由到達核心交換機。一些高校的部分新建樓棟采用的是支持IPv6協(xié)議的三層匯聚交換機，是通過光纖直接接入核心交換機的。結合高校校園網(wǎng)的具體情況，從而可以有以下幾種改善建設思路。

5.1 Access VPN實現(xiàn)異地訪問 Access VPN是遠程的方式，具體是首先通過配置VPN服務器，使之能接受客戶用戶的VPN 撥入，同時在服務器端配置VPN 用戶，給予用戶撥入的權限；其次是配置VPN 客戶端，在客戶端建立VPN 連接。在客戶機連入Internt 后，就可以進行VPN 連接撥入，在客戶機和遠端VPN 服務器之間建立點對點連接。

Access VPN的應用，使單機遠程移動用戶隨時隨地以各種方式接入Internet，安全地訪問校園網(wǎng)的資源。實質(zhì)上是對校園網(wǎng)的延伸，教職工可以打破傳統(tǒng)的固定辦公模式，將辦公地點延伸到家庭或出差地，實現(xiàn)異地辦公。同時Access VPN 也能保證教職工用戶端和校園網(wǎng)VPN 服務器之間數(shù)據(jù)信息傳輸安全。

5.2 應用Intranet VPN實現(xiàn)多個校區(qū)局域網(wǎng)互聯(lián) 在眾多隧道技術中，IPSec VPN是使用最為廣泛的一種，其在實現(xiàn)通信的兩端提供安全的傳輸隧道。該方法定義了哪些數(shù)據(jù)包應受到保護，該被放在安全隧道中傳輸。通過標識隧道的安全屬性，可以定義用于保護這些敏感數(shù)據(jù)的安全參數(shù)。更精確地說，這些安全的數(shù)據(jù)傳輸隧道是建立在兩個IPSec對端的一系列SA上，這些SA參數(shù)定義了哪些協(xié)議和算法可以被應用到敏感數(shù)據(jù)、IPSec對端應用的密鑰等。IPSec的實現(xiàn)是靠兩個對端維持的，實際上是一種端到端的安全實現(xiàn)；從技術的角度上說，在端到端客戶的路由器上實現(xiàn)是最安全合理的方式，中間的路由器不需要做相應設置。因此IPSec實現(xiàn)的是一種與接入網(wǎng)絡無關的VPN技術。

6 結論

目前IPv6網(wǎng)絡已經(jīng)進入到全面部署時期，在以IPv6協(xié)議為主的CERNET2上進行應用與科研是總的發(fā)展趨勢。在IPv6協(xié)議下構建基于VPN的校園網(wǎng)還需要考慮綜合的安全措施，如與入侵檢測、防火墻等設備的結合使用。從而形成一種混合技術，構建安全的校園網(wǎng)絡和完美的VPN。

參考文獻：

[1]王宇杰，楊志軍.《下一代校園網(wǎng)建設進入新階段（一）》.北京交通大學.中國教育和科研計算機網(wǎng)，2010.

[2]時晨，申普兵等.IPv6校園網(wǎng)環(huán)境下IPSecVPN的安全性研究[J]計算機技術與發(fā)展，2010，20(10)：168-170.

第8篇：vpn技術范文

[關鍵詞]VPN技術；MPLS VPN技術；內(nèi)部網(wǎng)絡；構建策略

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1009-914X（2015）06-0089-02

引言

VPN技術又稱遠程訪問技術或虛擬專用網(wǎng)絡技術，主要是指利用公用網(wǎng)絡架設專用網(wǎng)絡，進行加密通訊的一種技術。VPN技術按照協(xié)議可分類為多種方式，并通過服務器、硬件、軟件等來實現(xiàn)。由于VPN技術具有的經(jīng)濟性、實用性、簡單性等特點，使其在企業(yè)網(wǎng)絡中的應用十分廣泛。

1.VPN技術的概述

VPN技術被定義為通過一個公用網(wǎng)絡，建立起一個安全、臨時的連接，該技術是對企業(yè)內(nèi)部網(wǎng)的擴展，其可以幫助異地用戶、商業(yè)伙伴、供應商、公司分支機構同公司的內(nèi)部網(wǎng)建立起可信的安全連接，保證數(shù)據(jù)的安全傳輸。VPN技術主要的優(yōu)點體現(xiàn)在三方面：一，VPN技術可以省去專線租用費用或長距離電話費用，進而有效地降低了成本；二，VPN技術可以充分地利用internet公網(wǎng)資源，快速地建立起公司的廣域連接；三，VPN技術可以對所有數(shù)據(jù)進行加密，以此確保數(shù)據(jù)信息的安全性與保密性，使沒有訪問權利的用戶無法看到企業(yè)的局域網(wǎng)絡。

2.VPN技術構建企業(yè)內(nèi)部網(wǎng)絡的技術基礎與安全要素

2.1 VPN技術基礎

實現(xiàn)一個完整、系統(tǒng)的VPN技術，主要基礎技術包括密碼技術、隧道技術、網(wǎng)絡訪問控制技術等。⑴密碼技術。密碼技術作為VPN技術中的一項基本技術，也是所有通信數(shù)據(jù)安全的基石，是保證信息機密性的唯一方法。通過對網(wǎng)絡的加密，防止非授權用戶的搭線竊聽以及入網(wǎng)行為，有效對抗惡意軟件，最終起到以最小代價提供最強安全保護的效果。密碼技術又可根據(jù)算法分為非對稱密鑰密碼算法與對稱密鑰密碼算法兩種，在應用中根據(jù)實際情況選擇最適宜的一種。

⑵隧道技術。受到Internet網(wǎng)絡中IP地址資源短缺的影響，企業(yè)內(nèi)部網(wǎng)絡使用多屬于私有IP地址，但是從這些地址發(fā)出的數(shù)據(jù)包卻不能直接通過Internet傳輸，必須代之合法的IP地址。而隧道技術便是將這種私有IP地址轉換成為合法IP地址的技術。隧道技術又稱之為數(shù)據(jù)包封裝技術，發(fā)生在VPN的發(fā)送節(jié)點，通過將原數(shù)據(jù)包打包，添加合法的外層IP包頭，然后這個包再通過公網(wǎng)被傳送到接收端的VPN節(jié)點，該節(jié)點在接收后通過拆包處理，還原出原報文中傳輸給目標主機。從現(xiàn)狀來看，幾乎所有的VPN技術采用了隧道技術[1]。

⑶網(wǎng)絡訪問控制技術。網(wǎng)絡訪問控制技術主要起到對出入廣域網(wǎng)的數(shù)據(jù)包進行過濾的作用，一個系統(tǒng)的VPN產(chǎn)品，應該同時提供完整的網(wǎng)絡訪問控制功能，才能保證系統(tǒng)的性能、安全性以及統(tǒng)一管理。

2.2 VPN技術的安全要素

采用VPN技術構建企業(yè)內(nèi)部網(wǎng)絡時，應該具備如下幾點安全要素：一，使用偷聽者無法破解攔截的通道數(shù)據(jù)，提供有效的加密手段，保證系統(tǒng)通道的安全性與機密性；二，VPN技術要有抵抗不法分子篡改數(shù)據(jù)的功能，接收到的數(shù)據(jù)必須要與發(fā)送時的數(shù)據(jù)一致，必須保證數(shù)據(jù)的完整性與有效性；三，通信主機必須經(jīng)過授權，要有抵抗地址假冒的功能，確保數(shù)據(jù)的真實性；四，可提供安全、有效的訪問控制與防護措施，可以對VPN通道進行訪問控制，同時也起到抵抗黑客通過VPN通道攻擊網(wǎng)絡的能力。

3.基于VPN技術的內(nèi)部網(wǎng)絡構建

文章以西北空管局為例，分析在H3C路由器應用下，基于VPN技術的內(nèi)部網(wǎng)絡構建對策。

3.1 VPN基本組網(wǎng)應用

就以某企業(yè)為例，基于VPN建立的企業(yè)內(nèi)部網(wǎng)見圖1所示：

上述可見，企業(yè)內(nèi)部資源享用者利用PSTN/ISDN網(wǎng)或局域網(wǎng)連入本地ISP的POP服務器，以此來訪問到公司內(nèi)部資源。

3.2 L2TP協(xié)議配置

⑴VPDN指通過PSTN、ISDN等公共網(wǎng)絡的撥號功能及接入網(wǎng)，實現(xiàn)虛擬專用網(wǎng)，為企業(yè)提供接入服務。VPDN主要有兩種實現(xiàn)方式，包括：NAS通過隧道協(xié)議與VPDN網(wǎng)關建立通道的方式、客戶機與VPDN網(wǎng)關建立隧道的方式。而VPDN隧道協(xié)議又分為L2F、L2TP、PPTP三種，由于L2TP協(xié)義所具有的多協(xié)議傳輸、高度的安全性與可靠性、靈活的身份驗證、支持內(nèi)部地址分配、網(wǎng)絡計費的靈活性等特點，使得該協(xié)議的應用最為普遍。L2TP隧道模式有兩種最為典型：1.由遠程撥號用戶發(fā)起。遠程系統(tǒng)和PSTN/ISDN撥入LAC，LAC通過Internet向LNS發(fā)起建立通道連接的請求；2.由LAC客戶發(fā)起。LAC客戶也可直接向LNS發(fā)起通道連接請求，由LNS來完成LAC客戶的分配[2]。

⑵PPP用戶通過接入認證后，EAD服務器便會對其進行安全認證，若是認證通過，用戶便可正常訪問網(wǎng)絡資源，但若認證不通過，用戶便只能訪問隔離區(qū)資源。L2TP配置分為LAC端配置與LNS端配置兩種，具體配置可根據(jù)詳細說明書參閱。值得注意的是，在實際配置中，一臺設備可以同時配置為LAC側與LNS側，但它們所使用的用戶名不能相同。

⑶L2TP的呼叫可以由NAS主動發(fā)起，也可通過客戶端來發(fā)起，現(xiàn)作舉例說明：其一，NAS-Initialized VPN。用戶先以普通上網(wǎng)方式進行撥號上網(wǎng)，在接入NAS處對此用戶進行驗證，發(fā)現(xiàn)是VPN用戶時由NAS向LNS發(fā)起隧道連接的請求；NAS與LNS隧道建立后，NAS將與VPN用戶協(xié)商的內(nèi)容以報文形式傳給LNS，LNS根據(jù)預協(xié)商決定是否接受此連接，用戶與公司總部間的通信均通過NAS與LNA之間隧道傳輸。其二，Client-Initialized VPN。用戶連接Internet后直接向LNS發(fā)起Tunnel連接請求，LNS接受連接請求后，VPN用戶便與LNS間建立了一條虛擬Tunnel，用戶與公司總部間通信均可通過該通道進行傳輸。

3.3 DVPN

DVPN動態(tài)虛擬私有網(wǎng)絡技術通過動態(tài)獲取對端的信息建立VPN連接，在網(wǎng)絡中用以構建DVPN動態(tài)虛擬私用網(wǎng)絡的路由器設備，所有支持DVPN特性的路由器都可以作為DVPN接入設備。DVPN采用Client/Server模式，對于同一個DVPN域的N個接入設備，均要設置成一個Server工作方式，其他可設置為Client方式。當Client到Server注冊成功以后，Client與Server之間便可自動建立起Session隧道。網(wǎng)絡運行中，Server根據(jù)需要，向Client發(fā)送Redirect報文，Client接收到重定向報文后，從中得到其他Client信息，并在Client之間建立Session隧道，最終實現(xiàn)DVPN域中的全連接[3]。

4.MPLS VPN技術介紹

MPLS-VPN是指采用MPLS（多協(xié)議標記轉換）技術在骨干的寬帶IP網(wǎng)絡上構建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信，并結合差別服務、流量工程等相關技術，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全 、靈活、高效結合在一起。

MPLS VPN的網(wǎng)絡采用標簽交換，一個標簽對應一個用戶數(shù)據(jù)流，非常易于用戶間數(shù)據(jù)的隔離，利用區(qū)分服務體系可以輕易地解決困擾傳統(tǒng)IP網(wǎng)絡的QoS/CoS問題，MPLS自身提供流量工程的能力，可以最大限度地優(yōu)化配置網(wǎng)絡資源，自動快速修復網(wǎng)絡故障，提供高可用性和高可靠性。MPLS提供了電信、計算機、有線電視網(wǎng)絡三網(wǎng)融合的基礎，除了ATM，是目前唯一可以提供高質(zhì)量的數(shù)據(jù)、語音和視頻相融合的多業(yè)務傳送、包交換的網(wǎng)絡平臺。因此基于MPLS技術的MPLS VPN，在靈活性、擴展性、安全性各個方面是當前技術最先進的VPN。此外，MPLS VPN提供靈活的策略控制，可以滿足不同用戶的特殊要求，快速實現(xiàn)增值服務（VAS），在帶寬價格比、性能價格比上，相比其他廣域VPN也具有較大的優(yōu)勢。

MPLSVPN網(wǎng)絡主要由CE、PE和P等3部分組成：

CE（Customer Edge Router）用戶網(wǎng)絡邊緣路由器設備，直接與服務提供商網(wǎng)絡相連，它“感知”不到VPN的存在；

PE（Provider Edge Router）服務提供商邊緣路由器設備，與用戶的CE直接相連，負責VPN業(yè)務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者；

P（Provider Router）服務提供商核心路由器設備，負責快速轉發(fā)數(shù)據(jù)，不與CE直接相連。如圖2

在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。

5.結束語

基于VPN技術建立的企業(yè)內(nèi)部網(wǎng)絡，具有安全性高、成本造價低、擴展性佳、可支持動態(tài)分配IP等諸多特點，已成為各企業(yè)必不可少的網(wǎng)絡構建方式。而MPLS VPN技術是基于VPN技術上延伸出的一種更加適應各個企業(yè)的網(wǎng)絡技術，有VPN技術提供安全保障，又引申出了適應多種業(yè)務的傳輸交換協(xié)議。

參考文獻

[1] 李淑梅.中小企業(yè)基于IPSec VPN的網(wǎng)絡構建[J].現(xiàn)代計算機，2011，9（9）：99-101.

第9篇：vpn技術范文

關鍵詞：校園網(wǎng) VPN技術 虛擬專用網(wǎng) 隧道技術 公共網(wǎng)絡

隨著網(wǎng)絡技術和教學模式的日新月異，廣大師生要求隨時隨地訪問校園網(wǎng)上的內(nèi)部資源，這就意味著校園內(nèi)部網(wǎng)絡暴露在可被攻擊的環(huán)境下，所以需要提供一種安全接入機制來保障通信以及敏感信息的安全。虛擬專用網(wǎng)(VPN,Virtnal Private Network)的出現(xiàn)，為當今學校發(fā)展所需的網(wǎng)絡通信提供了一種經(jīng)濟安全的實現(xiàn)途徑。

1.VPN的概述

VPN（Virtual Private Network,虛擬專用網(wǎng))，它不是一個真正的專用網(wǎng)絡，而是通過一個公用網(wǎng)絡建立一個臨時的、安全的、穩(wěn)定的隧道，并且所有數(shù)據(jù)均經(jīng)過加密后再在網(wǎng)上傳輸，通過使用這條隧道可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。它兼?zhèn)淞斯W(wǎng)的便捷和專用網(wǎng)的安全，實現(xiàn)了利用公網(wǎng)通過加密等手段來實現(xiàn)單位組織的“專用網(wǎng)”，而成本卻遠遠低于傳統(tǒng)的專線接入。

2.VPN的安全保證技術

由于VPN連接的特點，私有網(wǎng)絡的數(shù)據(jù)要在公用網(wǎng)絡上傳輸，考慮到數(shù)據(jù)的安全性，一般要對傳輸?shù)臄?shù)據(jù)先進行加密操作。VPN主要采用的四項安全保證技術包括:隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術來保證數(shù)據(jù)的安全性。這些技術可應用在TCP/IP協(xié)議層的數(shù)據(jù)鏈路層、IP層、TCP層和應用層。

隧道技術(Tunneling)是一種通過使用互聯(lián)網(wǎng)絡的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業(yè)網(wǎng)絡。通過隧道的建立可實現(xiàn):將數(shù)據(jù)流強制送到特定的地址;隱藏私有的網(wǎng)絡地址;在IP網(wǎng)上傳遞非IP數(shù)據(jù)包;提供數(shù)據(jù)安全支持。

加解密技術包括兩個元素:算法和密鑰?，F(xiàn)在比較通用的是密鑰加密技術。密鑰加密技術對數(shù)據(jù)加密的技術又分為兩類，即對稱加密(私人密鑰加密)和非對稱加密。對稱加密的特點是文件加密和解密使用相同的密鑰。非對稱加密算法需要兩個密鑰:公開密鑰和私有密鑰。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應的公開密鑰才能解密。

3.VPN的網(wǎng)絡協(xié)議

常用的VPN網(wǎng)絡協(xié)議:

PPTP：Point to Point Tunneling Protocol，點到點隧道協(xié)議。它只能在兩端點間建立單一隧道，不支持隧道驗證。

L2TP: dyer 2 Tunneling Protocol，第二層隧道協(xié)議。支持在兩端點間使用多隧道，可以提供隧道驗證。

GRE:VPN的第三層隧道協(xié)議。定義了在任意一種網(wǎng)絡層協(xié)議上封裝任意一個其它網(wǎng)絡層協(xié)議的協(xié)議。

IPSec：IP Security，網(wǎng)絡協(xié)議安全，屬于第三層隧道協(xié)議，它不是一個單獨的協(xié)議，而是一個協(xié)議族，即一系列相互關聯(lián)的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構，是保護IP協(xié)議安全通信的標準，它主要對IP協(xié)議分組進行加密和認證。IPsec作為一個協(xié)議族，主要由保護分組流的協(xié)議和用來建立這些安全分組流的密鑰交換協(xié)議組成。

目前，市場上大部分VPN都采用將L2TP和IPSec結合起來這類技術，即用L2TP作為隧道協(xié)議，用IP-Sec協(xié)議保護數(shù)據(jù)。它的優(yōu)點是定義了一套用于保護私有性和完整性的標準協(xié)議，可確保運行在TCPIIP協(xié)議上VPN之間的互操作性。缺點在于，除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT{網(wǎng)絡地址翻譯)方式訪問網(wǎng)絡的情況難以處理，為此最適合于可信LAN到LAN之間VPN的場合應用。

SSL:Secure Socket Layer，安全套接字層，是第四層隧道協(xié)議，屬于高層安全機制，廣泛應用于Web瀏覽器程序和Web服務器程序。在SSL中，身份認證是基于證書的，服務器方向請求的客戶方的認證是必須的，現(xiàn)在逐漸得到廣泛的應用。

4.VPN技術在數(shù)字化校園中的應用

VPN技術是采用隧道技術以及加密、身份認證等方法，在Internet上構建專用網(wǎng)絡的技術，數(shù)據(jù)信息通過安全的“加密管道”便能在Internet中傳播。VPN技術大致可以分三種模式組建網(wǎng)絡，遠程接入、網(wǎng)絡互聯(lián)和內(nèi)部安全。

①遠程訪問

VPN的遠程訪問解決方案，充分利用了公共基礎設施和ISP(Internet Service Provider，互聯(lián)網(wǎng)服務提供商)，遠程用戶通過ISP接入Internet，連接與Internet相連的校園網(wǎng)VPN服務器，來訪問位于VPN服務器后面的內(nèi)部網(wǎng)絡。這樣，遠程客戶到校園內(nèi)部網(wǎng)的通信就是本地網(wǎng)內(nèi)通信，雖然Internet不夠安全，但是由于采用加密技術，遠程客戶到VPN服務器之間的連接是安全的。

②遠程網(wǎng)絡互聯(lián)

校園網(wǎng)與家庭、學校與學校之間的網(wǎng)絡互聯(lián)，采用這種專線連接方式實現(xiàn)網(wǎng)絡遠程互聯(lián)。這種專用隧道連接方式連接可靠，速度有保障，便于擴展，而且有較高的性價比。網(wǎng)絡互聯(lián)是最主要的VPN應用模式。

③網(wǎng)絡內(nèi)部安全

隨著數(shù)字化校園的建設，內(nèi)網(wǎng)的安全性越來越受到重視，對一些關鍵的應用系統(tǒng)之間要進行隔離，實現(xiàn)訪問控制。VPN可建立內(nèi)部專用隧道，實現(xiàn)安全保密通信，從而組建更為專業(yè)的保密網(wǎng)絡。

5 結語

VPN是在公共網(wǎng)絡上構建專有網(wǎng)絡的技術，將VPN技術應用于校園網(wǎng)，可以突破校園網(wǎng)的地域性限制從而優(yōu)化校園網(wǎng)的管理和應用。隨著VPN技術的成熟，因其具有廉價、安全、可靠的特點，而被廣泛的應用在遠程訪問和網(wǎng)絡互聯(lián)上。它能夠幫助遠程用戶、各級部門建立可靠的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN網(wǎng)絡建成以后，大大降低了網(wǎng)絡復雜度，簡化了校園網(wǎng)的網(wǎng)絡管理，提高了整個校園網(wǎng)的互聯(lián)性。

參考文獻：

[1]魏廣科, VPN技術及其應用的研究[J], 計算機工程與設計，2005