導語：如何才能(neng)寫(xie)好一(yi)篇vpn技術，這就需要搜集整(zheng)理更多的(de)資料和文獻，歡迎閱(yue)讀由(you)公務員(yuan)之家整(zheng)理的(de)十篇范文，供(gong)你借(jie)鑒。

篇1

關鍵詞：vpn 隧(sui)道協(xie)議(yi) PPTP L2TP IPSec

VPN是Virtual Private Network的縮寫，即虛擬專用網絡。VPN在公共IP網絡上建立用戶私有的數據傳輸通道，將遠程訪問用戶與相應企業的內部網絡連接起來，并提供安全的端到端的數據通信，從而大大減輕了企業的遠程訪問費用，節省企業的運行成本。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技(ji)術(shu)(shu)(shu)、密鑰管(guan)理技(ji)術(shu)(shu)(shu)和使用者與設(she)備身份認證技(ji)術(shu)(shu)(shu)。

1、VPN的使用隧道(dao)協議

VPN的(de)實現，最關(guan)鍵的(de)是(shi)在公共網洛上建(jian)立(li)用(yong)于數據傳輸的(de)邏輯(ji)虛(xu)擬信(xin)道(dao)(dao)，而建(jian)立(li)虛(xu)擬信(xin)道(dao)(dao)是(shi)通過使(shi)用(yong)隧(sui)(sui)道(dao)(dao)技術(shu)來實現的(de)，隧(sui)(sui)道(dao)(dao)的(de)建(jian)立(li)可以是(shi)在數據鏈路(lu)層和網絡(luo)層。第二層隧(sui)(sui)道(dao)(dao)技術(shu)主(zhu)要(yao)是(shi)使(shi)用(yong)PPP連(lian)接，使(shi)用(yong)的(de)隧(sui)(sui)道(dao)(dao)協議(yi)有PPTP和L2TP，其特點是(shi)協議(yi)簡單，易(yi)于加密(mi)，適合(he)于遠程撥(bo)號用(yong)戶(hu)使(shi)用(yong)；第三(san)層隧(sui)(sui)道(dao)(dao)技術(shu)是(shi)IPinIP，使(shi)用(yong)的(de)隧(sui)(sui)道(dao)(dao)協議(yi)是(shi)IPSec，其可靠性及擴展性優于第二層隧(sui)(sui)道(dao)(dao)協議(yi)，但沒有前(qian)者(zhe)簡單直(zhi)接。

1.1 PPTP（點對(dui)點隧(sui)道協(xie)議(yi)）

點(dian)(dian)到(dao)點(dian)(dian)隧道協(xie)議(yi)（PPTP，Point-to-Point Tunneling Protocol），是(shi)一種用(yong)于使(shi)遠(yuan)程(cheng)用(yong)戶通(tong)過(guo)撥(bo)號(hao)方(fang)式連接到(dao)本地(di)的(de)(de)(de)ISP，通(tong)過(guo)Internet安全的(de)(de)(de)遠(yuan)程(cheng)訪問公司內部網(wang)絡資源的(de)(de)(de)工業標(biao)準隧道協(xie)議(yi)，它在(zai)WIN NT 4.0系統(tong)中(zhong)首先得到(dao)支持。PPTP是(shi)對“PPP（點(dian)(dian)對點(dian)(dian)協(xie)議(yi)）”的(de)(de)(de)擴展，它能將PPP（點(dian)(dian)到(dao)點(dian)(dian)協(xie)議(yi)）幀封(feng)(feng)裝成IP數(shu)據(ju)包，以便能夠在(zai)基(ji)于IP的(de)(de)(de)互聯網(wang)上進(jin)行(xing)傳輸，它增(zeng)強了(le)PPP的(de)(de)(de)身(shen)份(fen)驗(yan)證、壓(ya)縮和加密(mi)(mi)機制(zhi)。PPTP使(shi)用(yong)TCP（傳輸控制(zhi)協(xie)議(yi)）來創(chuang)建、維護、終(zhong)止(zhi)隧道，并使(shi)用(yong)GRE（通(tong)用(yong)路(lu)由封(feng)(feng)裝）將PPP幀封(feng)(feng)裝成隧道數(shu)據(ju)，被封(feng)(feng)裝后的(de)(de)(de)PPP幀的(de)(de)(de)有效載荷可(ke)以被加密(mi)(mi)或者壓(ya)縮或者同時被加密(mi)(mi)與(yu)壓(ya)縮。PPTP協(xie)議(yi)數(shu)據(ju)包通(tong)過(guo)使(shi)用(yong)從MS-SHAP（微軟公司的(de)(de)(de)盤問交握式協(xie)議(yi)）活(huo)EAP-TLS（EAP Transport LAN Service，可(ke)傳輸式身(shen)份(fen)驗(yan)證協(xie)議(yi)）身(shen)份(fen)驗(yan)證過(guo)程(cheng)中(zhong)生成的(de)(de)(de)密(mi)(mi)鑰進(jin)行(xing)加密(mi)(mi)。

1.2 第二層隧道協議（L2TP）

第二層隧道協(xie)議(yi)（L2TP）是(shi)思科公司開發的(de)(de)(de)，具有RFC隧道協(xie)議(yi)的(de)(de)(de)一(yi)種協(xie)議(yi)，是(shi)PPTP與L2F（第二層轉發）的(de)(de)(de)一(yi)種綜(zong)合。它不同于PPTP，Windows系統中(zhong)的(de)(de)(de)L2TP不使用“MPPE（微軟點對點加(jia)密(mi)）”來(lai)加(jia)密(mi)PPP數(shu)據包(bao)，它是(shi)依賴于加(jia)密(mi)服務的(de)(de)(de)IPSec（網(wang)際協(xie)議(yi)安全(quan)）的(de)(de)(de)協(xie)議(yi)。現在被廣泛使用的(de)(de)(de)是(shi)基于IPSec的(de)(de)(de)L2TP。VPN客戶機和VPN服務器必須同時支(zhi)持(chi)IPSec和L2TP，L2TP將在IPSec身份驗證的(de)(de)(de)過程中(zhong)生成一(yi)個密(mi)鑰，而采用IPSec加(jia)密(mi)機制(zhi)加(jia)密(mi)L2TP消息(xi)。

1.3 Internet協(xie)議安全性（IPSec）

IPSec是專門為(wei)了(le)IP提(ti)(ti)供(gong)安(an)全服務而(er)設計(ji)的(de)一種(zhong)協(xie)(xie)(xie)議(yi)(yi)，它可(ke)(ke)以(yi)(yi)有(you)(you)效地保(bao)護(hu)(hu)IP數(shu)(shu)(shu)(shu)據(ju)報(bao)的(de)安(an)全，具體通過(guo)包括數(shu)(shu)(shu)(shu)據(ju)源驗(yan)(yan)證、無(wu)連接數(shu)(shu)(shu)(shu)據(ju)的(de)完整性(xing)(xing)(xing)驗(yan)(yan)證、數(shu)(shu)(shu)(shu)據(ju)內(nei)容(rong)的(de)機密性(xing)(xing)(xing)保(bao)護(hu)(hu)和(he)抗重播保(bao)護(hu)(hu)等保(bao)護(hu)(hu)形式來實(shi)現(xian)。IPSec有(you)(you)兩種(zhong)運行模(mo)式：傳輸模(mo)式和(he)隧道模(mo)式，有(you)(you)兩種(zhong)安(an)全協(xie)(xie)(xie)議(yi)(yi)：AH（認證頭(tou)協(xie)(xie)(xie)議(yi)(yi)）和(he)ESP（封裝安(an)全載荷協(xie)(xie)(xie)議(yi)(yi)）。AH可(ke)(ke)以(yi)(yi)驗(yan)(yan)證數(shu)(shu)(shu)(shu)據(ju)的(de)起源，保(bao)障(zhang)數(shu)(shu)(shu)(shu)據(ju)的(de)完整性(xing)(xing)(xing)以(yi)(yi)及(ji)防止(zhi)相同數(shu)(shu)(shu)(shu)據(ju)包的(de)不斷重播。ESP除(chu)具有(you)(you)AH的(de)所有(you)(you)能力以(yi)(yi)外(wai)，還可(ke)(ke)以(yi)(yi)選(xuan)擇保(bao)障(zhang)數(shu)(shu)(shu)(shu)據(ju)的(de)機密性(xing)(xing)(xing)，以(yi)(yi)及(ji)為(wei)數(shu)(shu)(shu)(shu)據(ju)流提(ti)(ti)供(gong)有(you)(you)限的(de)機密性(xing)(xing)(xing)保(bao)障(zhang)。即AH提(ti)(ti)供(gong)認證，ESP提(ti)(ti)供(gong)認證和(he)/或加密。通過(guo)使用這兩種(zhong)協(xie)(xie)(xie)議(yi)(yi)，可(ke)(ke)以(yi)(yi)對IP數(shu)(shu)(shu)(shu)據(ju)報(bao)或上層協(xie)(xie)(xie)議(yi)(yi)，如UDP和(he)TCP，進行保(bao)護(hu)(hu)，而(er)這種(zhong)保(bao)護(hu)(hu)由IPSec的(de)兩種(zhong)工作模(mo)式來提(ti)(ti)供(gong)。到(dao)目前為(wei)止(zhi)，IPSec被業(ye)界認為(wei)是最安(an)全的(de)IP協(xie)(xie)(xie)議(yi)(yi)，但是其過(guo)于復雜的(de)問題也是系統安(an)全的(de)一個主要威脅。

2、VPN網絡(luo)服(fu)務(wu)的(de)分類

從連接用(yong)途(tu)以及連接方式上，VPN網絡服務可以分為基于(yu)Internet的VPN和基于(yu)Intranet的VPN。

2.1 基(ji)于Internet的VPN

遠(yuan)程訪(fang)問(wen)客(ke)戶(hu)(hu)首先要激活與(yu)本地ISP所建立的物理連接，然后遠(yuan)程訪(fang)問(wen)客(ke)戶(hu)(hu)通過Internet來訪(fang)問(wen)企業(ye)的VPN服務器，同時初始化一條虛擬的專用隧道。VPN連接創建以(yi)后，遠(yuan)程訪(fang)問(wen)用戶(hu)(hu)就可以(yi)訪(fang)問(wen)VPN服務器所在Intranet上(shang)的有(you)權限訪(fang)問(wen)的資源了。

2.2 基(ji)于Intranet的VPN

對于(yu)企(qi)業(ye)內(nei)部(bu)(bu)(bu)的(de)(de)(de)(de)敏(min)感(gan)或需保(bao)密(mi)的(de)(de)(de)(de)部(bu)(bu)(bu)門(men)，這些(xie)部(bu)(bu)(bu)門(men)在邏輯上或者物理上與(yu)企(qi)業(ye)Intranet上的(de)(de)(de)(de)其(qi)他(ta)部(bu)(bu)(bu)門(men)是斷開的(de)(de)(de)(de)，即不(bu)能互訪(fang)(fang)。如何(he)使需要訪(fang)(fang)問的(de)(de)(de)(de)用戶訪(fang)(fang)問這些(xie)部(bu)(bu)(bu)門(men)呢？通(tong)過(guo)VPN鏈接(jie)(jie)，這些(xie)敏(min)感(gan)部(bu)(bu)(bu)門(men)的(de)(de)(de)(de)網絡(luo)將(jiang)被(bei)允許連(lian)接(jie)(jie)到企(qi)業(ye)的(de)(de)(de)(de)Intranet內(nei)，通(tong)過(guo)搭建(jian)VPN服務(wu)器將(jiang)這些(xie)敏(min)感(gan)部(bu)(bu)(bu)門(men)和其(qi)他(ta)部(bu)(bu)(bu)門(men)隔離開。VPN服務(wu)器不(bu)在企(qi)業(ye)的(de)(de)(de)(de)Intranet和部(bu)(bu)(bu)門(men)網絡(luo)之(zhi)間提(ti)供直接(jie)(jie)的(de)(de)(de)(de)路由連(lian)接(jie)(jie)。那些(xie)企(qi)業(ye)Intranet內(nei)有(you)訪(fang)(fang)問敏(min)感(gan)部(bu)(bu)(bu)門(men)權(quan)限的(de)(de)(de)(de)用戶可以與(yu)VPN服務(wu)器建(jian)立遠程訪(fang)(fang)問連(lian)接(jie)(jie)，進而(er)訪(fang)(fang)問敏(min)感(gan)部(bu)(bu)(bu)門(men)網絡(luo)。為此，所(suo)有(you)通(tong)過(guo)VPN的(de)(de)(de)(de)通(tong)信數據(ju)都(dou)會(hui)被(bei)加密(mi)。對于(yu)那些(xie)沒有(you)訪(fang)(fang)問敏(min)感(gan)部(bu)(bu)(bu)門(men)權(quan)限的(de)(de)(de)(de)用戶，在Intranet上，敏(min)感(gan)部(bu)(bu)(bu)門(men)的(de)(de)(de)(de)網絡(luo)是隱藏的(de)(de)(de)(de)。

3、VPN的解決方案

3.1 Access VPN

這(zhe)種方案最適(shi)合企業(ye)(ye)(ye)內部(bu)有(you)大量的(de)遠程(cheng)(cheng)辦(ban)公訪問需求和提(ti)供(gong)(gong)B2C（Business-to-Customer商家對顧客）方式的(de)企業(ye)(ye)(ye)。遠程(cheng)(cheng)訪問的(de)企業(ye)(ye)(ye)員工或者客戶(hu)可(ke)以(yi)利用(yong)當地(di)ISP提(ti)供(gong)(gong)的(de)VPN服務和企業(ye)(ye)(ye)的(de)VPN網關建(jian)立專有(you)隧道連(lian)接(jie)，這(zhe)建(jian)立連(lian)接(jie)的(de)過(guo)程(cheng)(cheng)中需對訪問者的(de)身份進行驗證和授權(quan)，這(zhe)樣可(ke)以(yi)使遠程(cheng)(cheng)訪問用(yong)戶(hu)獲得相(xiang)應的(de)訪問權(quan)限。

3.2 Intranet VPN

這種解決方(fang)(fang)案是企業(ye)內部各分(fen)支(zhi)機(ji)構進行網絡互聯(lian)的(de)(de)(de)(de)最優解決方(fang)(fang)案。企業(ye)特別是大型的(de)(de)(de)(de)跨國企業(ye)可(ke)以利(li)用(yong)VPN技術將分(fen)步在各地的(de)(de)(de)(de)分(fen)公司(si)、辦事處等分(fen)支(zhi)機(ji)構通(tong)過Internet建立(li)世界(jie)范圍內的(de)(de)(de)(de)Intranet VPN。這個方(fang)(fang)案充分(fen)利(li)用(yong)Internet廉價性和(he)VPN的(de)(de)(de)(de)高安(an)(an)全性組建了安(an)(an)全的(de)(de)(de)(de)、專(zhuan)用(yong)的(de)(de)(de)(de)虛擬鏈路，使企業(ye)的(de)(de)(de)(de)數據和(he)信息可(ke)以借(jie)助互聯(lian)網安(an)(an)全的(de)(de)(de)(de)在企業(ye)的(de)(de)(de)(de)各個分(fen)支(zhi)機(ji)構之間傳遞(di)。

3.3 Extranet VPN

這種方(fang)(fang)案以Internet為(wei)數據鏈路基礎(chu)，通(tong)過VPN技術，在充(chong)分保證企(qi)業(ye)內部網絡(luo)的(de)(de)網絡(luo)安全的(de)(de)基礎(chu)上，使企(qi)業(ye)能夠像其合作(zuo)伙伴提(ti)供有效(xiao)的(de)(de)、可靠的(de)(de)信息(xi)服(fu)務。該方(fang)(fang)案使得企(qi)業(ye)和企(qi)業(ye)之(zhi)間的(de)(de)聯系(xi)更加(jia)緊(jin)密，也保障了企(qi)業(ye)與企(qi)業(ye)之(zhi)間的(de)(de)信息(xi)的(de)(de)方(fang)(fang)便、快捷的(de)(de)傳遞。

4、VPN的應用

VPN技術(shu)主要適用于哪(na)些(xie)客戶呢？歸(gui)納起來(lai)以(yi)下這些(xie)情況需要使用VPN技術(shu)。

（1）客戶位置眾(zhong)多而(er)且極(ji)其分散。

（2）企業(ye)(ye)的機構分(fen)布范圍(wei)廣，而且各(ge)個(ge)機構的距離(li)遠，需(xu)(xu)要通過(guo)長(chang)途(tu)通信(xin)，特別需(xu)(xu)要使用國際長(chang)途(tu)通信(xin)的企業(ye)(ye)。

篇2

關鍵詞：VPN，管(guan)(guan)理(li)，管(guan)(guan)理(li)技術

 

一、VPN服(fu)務及其(qi)應用

VPN，即Virtual Private Network，是建(jian)立于公(gong)共網(wang)絡(luo)基礎(chu)之上(shang)的(de)(de)虛(xu)擬私有(you)網(wang)絡(luo)，如利(li)用(yong)(yong)Internet連接企業總部(bu)及(ji)其分(fen)支(zhi)。VPN能夠給企業提(ti)供(gong)和(he)私有(you)網(wang)絡(luo)一樣的(de)(de)安全性、可靠性和(he)可管理(li)性等，并且能夠將通過公(gong)共網(wang)絡(luo)傳(chuan)輸(shu)的(de)(de)數(shu)據加密。利(li)用(yong)(yong)VPN，企業能夠以較低的(de)(de)成(cheng)本提(ti)供(gong)分(fen)支(zhi)機構(gou)、出差人員的(de)(de)內網(wang)接入(ru)服務。

如果訪問企(qi)業內(nei)(nei)部網(wang)(wang)(wang)絡資源(yuan)，使(shi)(shi)用(yong)者需(xu)(xu)要接(jie)入(ru)本地(di)ISP的接(jie)入(ru)服務(wu)提供點，即接(jie)入(ru)Internet，然后可以連接(jie)企(qi)業邊(bian)界(jie)的VPN服務(wu)器(qi)。如果利用(yong)傳(chuan)統的WAN技術(shu)，使(shi)(shi)用(yong)者和企(qi)業內(nei)(nei)網(wang)(wang)(wang)之間需(xu)(xu)要有(you)一(yi)根專線，而這非常不(bu)利于(yu)外出辦公(gong)人員的接(jie)入(ru)。而利用(yong)VPN，出差人員只(zhi)需(xu)(xu)要接(jie)入(ru)本地(di)網(wang)(wang)(wang)絡。論文寫作，管理。如果企(qi)業內(nei)(nei)網(wang)(wang)(wang)的身(shen)份認證服務(wu)器(qi)支持漫游的話，甚至(zhi)可以不(bu)必接(jie)入(ru)本地(di)ISP，并(bing)且使(shi)(shi)用(yong)VPN服務(wu)所(suo)使(shi)(shi)用(yong)的設備只(zhi)是在企(qi)業內(nei)(nei)部網(wang)(wang)(wang)絡邊(bian)界(jie)的VPN服務(wu)器(qi)。

二、VPN管理

VPN能夠(gou)使企業(ye)將其內(nei)部(bu)網絡(luo)(luo)(luo)管(guan)理功能從(cong)企業(ye)網絡(luo)(luo)(luo)無縫延伸到(dao)公共網絡(luo)(luo)(luo)，甚至可以(yi)是企業(ye)客戶。這其中涉及到(dao)企業(ye)網絡(luo)(luo)(luo)的網絡(luo)(luo)(luo)管(guan)理任務(wu)，可以(yi)在(zai)組建網絡(luo)(luo)(luo)的初期交給運(yun)營商去(qu)完成(cheng)，但(dan)企業(ye)自(zi)身還要完成(cheng)許多網絡(luo)(luo)(luo)管(guan)理的任務(wu)。所(suo)以(yi)，一個(ge)功能完整的VPN管(guan)理系(xi)統(tong)是必需的。

通過VPN管理系統，可以實現(xian)以下目(mu)的：

1、降低(di)成本：保證VPN可管理(li)的同時不會(hui)過多增加操作和維護成本。

2、可擴展性：VPN管理需(xu)要對日(ri)益增加(jia)的(de)企業客戶作出快(kuai)速(su)的(de)反應(ying)，包括網(wang)絡(luo)軟件和硬件的(de)平(ping)滑升級(ji)、安全策略維護、網(wang)絡(luo)質量(liang)保證QOS等。論(lun)文寫作，管理。

3、減少風(feng)險：從傳統的(de)(de)WAN網絡(luo)擴(kuo)展到公共網絡(luo)，VPN面(mian)臨著安全與監控的(de)(de)風(feng)險。網絡(luo)管(guan)理要求做(zuo)到允許公司(si)分部、客戶通(tong)過VPN訪問企(qi)業(ye)內網的(de)(de)同時，還要確保企(qi)業(ye)資源的(de)(de)完整性(xing)。

4、可(ke)靠性：VPN構建于(yu)公(gong)共網(wang)絡之上(shang)，其(qi)可(ke)控性降低(di)，所有必須(xu)采(cai)取VPN管理提(ti)高其(qi)可(ke)靠性 。

三、VPN管理技(ji)術

1、第(di)二層通道協議

第二層(ceng)通道協(xie)議主(zhu)要有兩(liang)種，PPTP和L2TP，其中(zhong)L2TP協(xie)議將密(mi)鑰進行加密(mi)，其可靠(kao)性更強。

L2TP提(ti)高了VPN的(de)管理性，表現(xian)在以下方面：

（1）安(an)全的身份驗證(zheng)

L2TP可(ke)以對隧道(dao)終點進行驗(yan)證(zheng)。不使(shi)用(yong)明文的(de)驗(yan)證(zheng)，而(er)是(shi)使(shi)用(yong)類似(si)PPPCHAP的(de)驗(yan)證(zheng)方(fang)式。論(lun)文寫作，管理(li)。

（2）內部地(di)址(zhi)分配

用(yong)(yong)戶接入VPN服務(wu)器后，可(ke)以(yi)獲取到企(qi)(qi)業內部(bu)網絡(luo)的地(di)址(zhi)(zhi)(zhi)，從而方便的加入企(qi)(qi)業內網，訪問網絡(luo)資源。地(di)址(zhi)(zhi)(zhi)的獲取可(ke)以(yi)使用(yong)(yong)動態分配的管理(li)(li)方法，由于獲取的是(shi)企(qi)(qi)業內部(bu)的私有地(di)址(zhi)(zhi)(zhi)，方便了(le)地(di)址(zhi)(zhi)(zhi)管理(li)(li)并增加安全性。論(lun)文寫(xie)作，管理(li)(li)。

（3）網絡計費

L2TP能(neng)夠(gou)進行用(yong)戶接口處的數(shu)據流量統計，方便(bian)計費。

（4）統一(yi)網絡(luo)管(guan)理

L2TP協議(yi)已(yi)(yi)成為標準的協議(yi)，相關(guan)的MIB也已(yi)(yi)制定完成，可以采用統一SNMP管(guan)理方案(an)進行網(wang)絡維護和管(guan)理。

2、IKE協議

IKE協(xie)議，即Internet Key Exchange，用于(yu)通信雙方協(xie)商和交換(huan)密鑰(yao)(yao)。IKE的(de)特點是(shi)(shi)利(li)用安全算(suan)(suan)法(fa)，不(bu)直接(jie)在網絡(luo)上傳輸密鑰(yao)(yao)，而(er)是(shi)(shi)通過幾次(ci)數據的(de)交換(huan)，利(li)用數學(xue)算(suan)(suan)法(fa)計算(suan)(suan)出公共的(de)密鑰(yao)(yao)。數據在網絡(luo)中被(bei)截取也不(bu)能(neng)計算(suan)(suan)出密鑰(yao)(yao)。使用的(de)算(suan)(suan)法(fa)是(shi)(shi)Diffie Hellman，逆向分(fen)析(xi)出密鑰(yao)(yao)幾乎是(shi)(shi)不(bu)可能(neng)的(de)。

在(zai)身(shen)份驗(yan)(yan)證(zheng)方面，IKE提(ti)供了(le)公(gong)鑰加密驗(yan)(yan)證(zheng)、數字(zi)(zi)簽名、共享(xiang)驗(yan)(yan)證(zheng)字(zi)(zi)方法。并可以利用企業(ye)或獨立CA頒(ban)發證(zheng)書實現身(shen)份認證(zheng)。

IKE解決了在不安(an)(an)全的網絡中安(an)(an)全可(ke)靠地建立或更新共享密鑰的問題(ti)，是(shi)一種通用的協議(yi)，不僅能夠(gou)為Ipsec進行安(an)(an)全協商(shang)，還可(ke)以(yi)可(ke)以(yi)為OSPFv2 、RIPv2、SNMPv3等要求安(an)(an)全保(bao)密的協議(yi)協商(shang)安(an)(an)全參數。

3、配置管理

可以使VPN服務器支(zhi)持MIB，利(li)用SNMP的遠程(cheng)配(pei)置和查詢功能對(dui)VPN網絡進(jin)行安全的管理(li)。

（1）WEB方式的管理(li)

利用瀏(liu)(liu)覽器(qi)(qi)訪問VPN服(fu)(fu)(fu)務(wu)器(qi)(qi)，利用服(fu)(fu)(fu)務(wu)器(qi)(qi)上(shang)設(she)置的(de)賬戶(hu)(hu)登(deng)錄，然后(hou)將Applet下載到瀏(liu)(liu)覽器(qi)(qi)上(shang)，就可以(yi)對(dui)服(fu)(fu)(fu)務(wu)器(qi)(qi)進行配置。論(lun)文寫(xie)作，管理。用戶(hu)(hu)登(deng)錄后(hou)，服(fu)(fu)(fu)務(wu)器(qi)(qi)會只(zhi)授權登(deng)錄的(de)IP地址和登(deng)錄客(ke)戶(hu)(hu)權限，從而避免(mian)偽造的(de)IP地址和客(ke)戶(hu)(hu)操作。而且利用這種方式，還解決了普通(tong)SNMP協議只(zhi)有(you)查(cha)詢(xun)沒有(you)配置功(gong)能的(de)缺點(dian)。

（2）分級統一管理(li)

如果企業(ye)網(wang)絡(luo)規模(mo)擴大，可以對VPN服務器進行統(tong)(tong)一配置管理，三級(ji)網(wang)絡(luo)中心(xin)負(fu)責數(shu)據的(de)收(shou)集與統(tong)(tong)計(ji)，然后向上(shang)層匯總。收(shou)集的(de)數(shu)據包括VPN用(yong)戶數(shu)量(liang)(liang)、VPN用(yong)戶的(de)數(shu)據流量(liang)(liang)等。通過分(fen)級(ji)管理，一級(ji)網(wang)絡(luo)中心(xin)就能夠獲(huo)取全部VPN用(yong)戶的(de)數(shu)量(liang)(liang)、流量(liang)(liang)并進行統(tong)(tong)計(ji)，分(fen)析出各地情況，從(cong)而使用(yong)合(he)適(shi)的(de)方案(an)。

4、IPSec策(ce)略(lve)

IPSec是(shi)(shi)一(yi)組協議的(de)總稱，IPsec被設計用(yong)(yong)來提供入口對入口通信安(an)全分組通信的(de)安(an)全性由單個結點(dian)提供給多臺機器或者是(shi)(shi)局域(yu)網，也可以提供端(duan)到端(duan)通信安(an)全，由作為端(duan)點(dian)的(de)計算機完成安(an)全操(cao)作。上述兩種(zhong)模式都可以用(yong)(yong)來構VPN，這是(shi)(shi)IPsec最主要的(de)用(yong)(yong)途。

IPSec策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)包(bao)括一系(xi)列規則(ze)和過濾器，以(yi)便提(ti)供不同(tong)程度的(de)(de)安(an)全級別。論文(wen)寫作，管理。在IPSec策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)的(de)(de)實(shi)現中(zhong)，有(you)多種預置策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)供用戶選擇，用戶也(ye)可以(yi)根(gen)據(ju)企(qi)業安(an)全需求自行創建(jian)策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)。IPSec策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)的(de)(de)實(shi)施有(you)兩種基本的(de)(de)方(fang)法(fa)，一是在本地計算機上指定策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)，二是使用組策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)對(dui)象，由(you)其來實(shi)施策(ce)(ce)(ce)略(lve)(lve)(lve)(lve)。并且利用多種認證方(fang)式提(ti)升(sheng)VPN的(de)(de)安(an)全管理性。

利用(yong)上述(shu)VPN管理技術(shu)，可以(yi)大大提(ti)高企業網(wang)絡資源的(de)(de)安全(quan)性、完整性，并能夠實現(xian)資源的(de)(de)分布式服務。以(yi)后還將結合更多的(de)(de)技術(shu)，實現(xian)VPN網(wang)絡靈(ling)活的(de)(de)使(shi)用(yong)和安全(quan)方便的(de)(de)管理。其使(shi)用(yong)的(de)(de)領(ling)域也會越來(lai)越廣泛。

參考文獻：

[1]帕勒萬等著劉劍譯(yi).無線網絡通(tong)信原理與應用[M].清華大學出版社，2002.11

[2]朱坤華(hua)，李(li)長江.企業無線(xian)局域網的設計及(ji)組(zu)建研(yan)究[J].河南科技學院學報2008.2:120-123

[3]潘(pan)愛民.計算機網絡（第(di)四版）[M].清華大(da)學出版社2004.8

篇3

關鍵詞(ci) MPLS-VPN；節省(sheng)公網(wang)地址(zhi)資源；標簽隧道(dao)

中圖分類號：TN915 文獻(xian)標(biao)識碼(ma)：A 文章編號：1671—7597（2013）051-143-01

隨著國內(nei)互(hu)聯網業務的飛速發展(zhan)，運(yun)營商維(wei)護工作當中的一些問題也隨之顯現。通過我們在工作中的積累(lei)，可以看到(dao)寬帶(dai)(dai)用(yong)戶數在飛速增長，使GPON（最新一代(dai)寬帶(dai)(dai)無源光綜合接入標準(zhun)(zhun)）等(deng)業務在家庭中逐漸(jian)普及，但是隨之帶(dai)(dai)來的是互(hu)聯網設備網元數量(liang)在逐漸(jian)增多，而PPPOE（普通撥(bo)號(hao)業務）、GPON、專線等(deng)各類地(di)址(zhi)在日常使用(yong)中，地(di)址(zhi)交叉占用(yong)，規(gui)范不(bu)標準(zhun)(zhun)，如圖1。

2011年2月(yue)國(guo)際(ji)互聯網(wang)號碼注冊機構公布最后一(yi)批ipv4地址(zhi)已(yi)分配完(wan)畢(bi)，據工信部(bu)2012年11月(yue)的報告數據，我國(guo)的寬帶家庭用戶(hu)數量已(yi)經達(da)到(dao)了1.66億，公網(wang)IP地址(zhi)已(yi)成為緊缺資(zi)源，不能滿(man)足國(guo)內互聯網(wang)快速發展的需求，我們以(yi)一(yi)個圖(tu)表(biao)來說明地址(zhi)的變化(hua)情況。

如(ru)何在(zai)當(dang)前的(de)(de)大環境下，既(ji)能保(bao)持中國(guo)互(hu)聯網(wang)(wang)(wang)業務高(gao)(gao)速發(fa)展(zhan)速度的(de)(de)同(tong)時又(you)能做到(dao)高(gao)(gao)效的(de)(de)利用(yong)IP地(di)址(zhi)資(zi)源呢(ni)？需(xu)要(yao)(yao)啟動私網(wang)(wang)(wang)地(di)址(zhi)來替換(huan)現網(wang)(wang)(wang)中的(de)(de)公(gong)網(wang)(wang)(wang)地(di)址(zhi)，如(ru)果將GPON設備網(wang)(wang)(wang)元私網(wang)(wang)(wang)化，既(ji)有(you)網(wang)(wang)(wang)絡結構不變(bian)，那么(me)會導致(zhi)GPON私網(wang)(wang)(wang)與(yu)(yu)公(gong)網(wang)(wang)(wang)業務混(hun)在(zai)一起，不但地(di)址(zhi)管理容(rong)易混(hun)亂，而且數(shu)據(ju)容(rong)易造成沖突，可擴(kuo)展(zhan)性差。如(ru)果使(shi)用(yong)MPLS-VPN隧(sui)道(dao)技(ji)術進行業務隔離(li)，使(shi)用(yong)獨立(li)標簽(qian)進行業務劃(hua)分(fen)，并建(jian)立(li)GPON業務的(de)(de)獨立(li)通道(dao)與(yu)(yu)公(gong)網(wang)(wang)(wang)業務進行隔離(li)，網(wang)(wang)(wang)絡安(an)全可靠，可擴(kuo)展(zhan)性強。不同(tong)的(de)(de)部門有(you)不同(tong)的(de)(de)業務系(xi)(xi)統(tong)(tong)，這(zhe)些(xie)系(xi)(xi)統(tong)(tong)多(duo)數(shu)是要(yao)(yao)求數(shu)據(ju)隔離(li)的(de)(de)，但有(you)些(xie)系(xi)(xi)統(tong)(tong)又(you)存在(zai)著互(hu)訪的(de)(de)需(xu)求，所以(yi)采用(yong)MPLS-VPN技(ji)術可以(yi)實現這(zhe)些(xie)系(xi)(xi)統(tong)(tong)隔離(li)和互(hu)訪的(de)(de)要(yao)(yao)求。

MPLS-VPN網(wang)(wang)絡主要由(you)PE（運(yun)營商邊緣(yuan)路(lu)由(you)器設備(bei)，與CE相連(lian)，提供VPN業務的接入）、P（運(yun)營商核(he)心路(lu)由(you)器設備(bei)，只負責轉發MPLS數據包）、CE（用戶網(wang)(wang)絡邊緣(yuan)路(lu)由(you)器設備(bei)，與PE相連(lian)）3部(bu)分(fen)組成。

MPLS-VPN是(shi)一(yi)種基(ji)于MPLS（多協(xie)議(yi)(yi)標(biao)(biao)簽(qian)交換）的(de)VPN技(ji)術，屬(shu)于第(di)三代網(wang)(wang)(wang)(wang)絡架(jia)構，該技(ji)術對(dui)轉發(fa)用(yong)戶的(de)數據(ju)包(bao)封(feng)裝標(biao)(biao)簽(qian)，是(shi)一(yi)種采(cai)用(yong)標(biao)(biao)簽(qian)交換認證(zheng)識(shi)別互聯網(wang)(wang)(wang)(wang)虛擬(ni)網(wang)(wang)(wang)(wang)絡技(ji)術。它的(de)特點是(shi)在現(xian)有的(de)網(wang)(wang)(wang)(wang)絡架(jia)構下，無須(xu)增加硬件(jian)設備(bei)，利用(yong)路由(you)(you)選擇協(xie)議(yi)(yi)建立完整的(de)路由(you)(you)表(biao)，使用(yong)LDP協(xie)議(yi)(yi)生(sheng)成基(ji)于標(biao)(biao)簽(qian)交換的(de)通道，就可以(yi)實(shi)現(xian)網(wang)(wang)(wang)(wang)內(nei)(nei)數據(ju)包(bao)的(de)快速轉發(fa)。在網(wang)(wang)(wang)(wang)內(nei)(nei)各個(ge)PE路由(you)(you)器出入端口配(pei)置該MPLS-VPN數據(ju)后(hou)，封(feng)裝該標(biao)(biao)簽(qian)的(de)數據(ju)包(bao)就可以(yi)通過標(biao)(biao)簽(qian)隧道互聯互通，從而(er)實(shi)現(xian)與PE相連CE路由(you)(you)器下的(de)GPON用(yong)戶間可以(yi)相互訪問。

安全(quan)方(fang)面我們要考慮是否能做到全(quan)網(wang)全(quan)鏈(lian)路(lu)VPN，針對運營商所轄地(di)市的(de)(de)網(wang)絡結構(gou)及設備(bei)(bei)環境(jing)進行排(pai)查升級工(gong)作(zuo)，以保證全(quan)省VPN網(wang)絡的(de)(de)暢通。其次建立(li)MPLS-VPN網(wang)絡的(de)(de)通道需在(zai)幀(zhen)上添(tian)加標簽(qian)，所以要統一修改(gai)互聯網(wang)與傳輸(shu)設備(bei)(bei)端口MTU值≥1516，需要排(pai)查網(wang)內傳輸(shu)設備(bei)(bei)是否能滿足封(feng)裝標簽(qian)后的(de)(de)數據包正常通過，是否能做到鏈(lian)路(lu)中斷的(de)(de)自動保護(hu)，并建立(li)完整的(de)(de)應急預案機制等安全(quan)問題。

建立VPN承(cheng)載網絡(luo)，首(shou)先要深入研究MPLS-VPN的(de)(de)核心技術，統一進行(xing)數據(ju)配置，規范操(cao)作流程，并在(zai)設備提供商的(de)(de)配合下，匯集互(hu)聯網設備硬件和軟件存在(zai)的(de)(de)問題，進行(xing)升級改造，實現多(duo)核心、全連路、可(ke)中斷保護的(de)(de)VPN承(cheng)載網絡(luo)。為了更(geng)好的(de)(de)效果，我們(men)不僅要增強(qiang)技術手(shou)段，還必須規范一系列標(biao)準，如圖2。

制(zhi)訂(ding)規(gui)(gui)范需要統(tong)一MPLS-VPN的(de)數(shu)據(ju)配(pei)置與VLAN規(gui)(gui)劃標準。其(qi)次是私網(wang)地址(zhi)使用規(gui)(gui)范，統(tong)一分配(pei)私網(wang)地址(zhi)，按不(bu)同廠(chang)家的(de)設(she)備型號差異(yi)化(hua)進(jin)行(xing)使用，已防止出現地址(zhi)管理混亂的(de)問題(ti)。

在(zai)當(dang)前光進銅退的(de)大(da)環(huan)境下，MPLS-VPN技(ji)(ji)術(shu)已(yi)經可(ke)以(yi)成為節省(sheng)資源成本的(de)一種(zhong)有力手段，該(gai)技(ji)(ji)術(shu)管(guan)理(li)便捷，投資教少，使用簡易(yi)，在(zai)性(xing)能(neng)價(jia)格比上(shang)，相比其他(ta)廣(guang)域網VPN技(ji)(ji)術(shu)也具有較大(da)的(de)優勢，從而可(ke)以(yi)有效(xiao)提(ti)高(gao)了網絡維護效(xiao)率，為我們快速發展中(zhong)安全(quan)、高(gao)效(xiao)的(de)中(zhong)國互(hu)聯網產業提(ti)供有力的(de)支撐。

參考文獻

篇4

關(guan)鍵詞(ci):VPN安全(quan)協議關(guan)鍵技術部署模型

中圖分(fen)類號(hao): TP393文(wen)獻標識碼(ma): A

VPN Technology and Deployment Model Analysis

JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1

(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;

2. Guizhou Radio and TV University, Guiyang 550004, China)

Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.

Key Words:VPN ;Security agreement;key technology ;Deploy model

0 前言

VPN技(ji)術實現了(le)(le)內部網(wang)信(xin)息在(zai)公眾信(xin)息網(wang)中(zhong)(zhong)(zhong)的(de)傳輸,就好像(xiang)在(zai)廣域網(wang)中(zhong)(zhong)(zhong)為用(yong)戶建(jian)立(li)了(le)(le)一(yi)(yi)條(tiao)專線網(wang)。VPN根(gen)據使(shi)用(yong)者的(de)身(shen)份和權限,直(zhi)接(jie)將使(shi)用(yong)者接(jie)入他所應(ying)該接(jie)觸的(de)信(xin)息中(zhong)(zhong)(zhong)。所以VPN對于每一(yi)(yi)個用(yong)戶來說,也(ye)是(shi)“專用(yong)”的(de),這一(yi)(yi)點是(shi)VPN給用(yong)戶帶來的(de)最為明顯(xian)的(de)變化。

1 VPN 概述

1.1VPN的概(gai)念

VPN (Virtual Private Network) 即虛(xu)擬(ni)專用網,是在Internet中建(jian)立一條虛(xu)擬(ni)的專用通道(dao),讓(rang)分布在不同地點的網絡用戶能在一個安(an)(an)全、穩定的專用網絡通道(dao)中相互傳遞數據信(xin)息。VPN采(cai)用認證、訪問控制、機密性、數據完整性等技(ji)術(shu)保(bao)障數據通過(guo)安(an)(an)全的“加密管道(dao)”在Internet中傳播。[1]

1.2 VPN 的類(lei)型(xing)

根據VPN 所起的(de)作用,可以將VPN 分為(wei)三類:[1] [2] [3]

1.企(qi)業(ye)內部虛擬(ni)網(Intranet VPN):通過公用網絡(luo)將總部網絡(luo)與各個分部網絡(luo)安(an)全互(hu)聯,是(shi)傳統的專線網或其他企(qi)業(ye)網的擴(kuo)展或替代形式(shi)。

2.企業擴(kuo)展虛擬網(wang)(Extranet VPN):將具有合作關系的(de)幾個內聯(lian)網(wang)通過(guo)VPN互聯(lian),形成一(yi)個大(da)的(de)聯(lian)網(wang)區(qu)域,使之可(ke)共享(xiang)訪問的(de)虛擬專用(yong)網(wang)絡。

3.遠(yuan)程訪(fang)問虛擬網(Access VPN):實現(xian)出差(cha)流動員(yuan)工(gong)、遠(yuan)程辦公人員(yuan)和遠(yuan)程小辦公室對內部資(zi)源的(de)訪(fang)問。

1.3 VPN 特點[2][4][5]

(1)數(shu)據加密和(he)身份認(ren)證;(2)提供不同(tong)(tong)的(de)訪問(wen)控制;(3)用戶(hu)有不同(tong)(tong)的(de)訪問(wen)權限(xian);(4)網絡具有很(hen)高的(de)安全(quan)性(xing);(5)有利益于擴展(zhan)企業(ye)與合(he)作伙伴的(de)關(guan)系;(6)可支持新(xin)興多媒體業(ye)務(wu);

2 VPN關鍵技(ji)術

2.1 隧道技術

隧(sui)(sui)(sui)道(dao)(dao)技術(shu)(Tunneling)是一(yi)種在公用網絡(luo)之間傳遞數據(ju)的(de)方式[6]。隧(sui)(sui)(sui)道(dao)(dao)技術(shu)是VPN 的(de)核心。[7]不同協(xie)議(yi)的(de)數據(ju)幀(zhen)或(huo)(huo)包都(dou)可以使用隧(sui)(sui)(sui)道(dao)(dao)傳遞。隧(sui)(sui)(sui)道(dao)(dao)是由(you)隧(sui)(sui)(sui)道(dao)(dao)協(xie)議(yi)形成(cheng)的(de),常用的(de)有第2、3層隧(sui)(sui)(sui)道(dao)(dao)協(xie)議(yi)。隧(sui)(sui)(sui)道(dao)(dao)協(xie)議(yi)把其(qi)它協(xie)議(yi)的(de)數據(ju)幀(zhen)或(huo)(huo)包重新封裝之后(hou),再由(you)隧(sui)(sui)(sui)道(dao)(dao)發送。

2.2 密碼技術

VPN 技術的(de)安全(quan)保障主(zhu)要依靠密(mi)(mi)碼技術實現。其加(jia)密(mi)(mi)算(suan)法包括對(dui)(dui)(dui)稱(cheng)(cheng)加(jia)密(mi)(mi)算(suan)法、不對(dui)(dui)(dui)稱(cheng)(cheng)加(jia)密(mi)(mi)算(suan)法兩種。對(dui)(dui)(dui)稱(cheng)(cheng)加(jia)密(mi)(mi)算(suan)法是通(tong)信(xin)雙方共享一個密(mi)(mi)鑰(yao),發送(song)(song)方使用(yong)該密(mi)(mi)鑰(yao)將(jiang)(jiang)明文加(jia)密(mi)(mi)為密(mi)(mi)文,接收方使用(yong)相同的(de)密(mi)(mi)鑰(yao)將(jiang)(jiang)密(mi)(mi)文解密(mi)(mi)為明文。不對(dui)(dui)(dui)稱(cheng)(cheng)加(jia)密(mi)(mi)算(suan)法是通(tong)信(xin)雙方各使用(yong)一個不同的(de)密(mi)(mi)鑰(yao),一個是只有發送(song)(song)方知道的(de)密(mi)(mi)鑰(yao),另(ling)一個則(ze)是與之(zhi)對(dui)(dui)(dui)應(ying)的(de)公開密(mi)(mi)鑰(yao)。

2.3 身(shen)份鑒別和認(ren)證技術(shu)

VPN基于公共網(wang)絡進行通信的(de)特點使得對用戶(hu)身份(fen)的(de)鑒別顯得極為重要(yao)(yao)(yao)。身份(fen)鑒別和認證技術可以辨別數據(ju)(ju)的(de)真(zhen)偽(wei),這對于網(wang)絡數據(ju)(ju)是(shi)(shi)尤為重要(yao)(yao)(yao)的(de)。認證協議一(yi)般采取(qu)的(de)是(shi)(shi)消息摘要(yao)(yao)(yao)算法,它主(zhu)要(yao)(yao)(yao)是(shi)(shi)采用HASH函數將(jiang)一(yi)段(duan)較長(chang)的(de)報(bao)文(wen)(wen)通過HASH函數變(bian)換,映射為一(yi)段(duan)較短的(de)報(bao)文(wen)(wen)摘要(yao)(yao)(yao)。

2.4 QoS技術

通(tong)過加密技術(shu)及隧(sui)道技術(shu),就能建(jian)立(li)一個具備安全性(xing)(xing)、互(hu)操作(zuo)性(xing)(xing)的VPN。但(dan)建(jian)立(li)的該VPN是不(bu)穩定(ding)的,在(zai)管理上(shang)還(huan)不(bu)能滿足(zu)企業的要求,這(zhe)就需要加入QoS技術(shu)。實行(xing)QoS技術(shu)應該在(zai)主機網絡(luo)中(zhong),即(ji)VPN所建(jian)立(li)的隧(sui)道,這(zhe)樣才能建(jian)立(li)一條性(xing)(xing)能優越的隧(sui)道。[8]

3 VPN 解決方案(an)[9]

3.1 VPN 部署模型

部署VPN首(shou)先要(yao)選定(ding)一個VPN隧道(dao)終端設備(bei),選擇的(de)這個設備(bei)主要(yao)由(you)VPN隧道(dao)端點(dian)位置和用于隧道(dao)端點(dian)設備(bei)的(de)功能來決定(ding)。

3.1.1位于邊界(jie)路由器的VPN終端(duan)

位于邊界路由器的(de)(de)VPN終端所(suo)具有的(de)(de)優(you)點是能(neng)夠確(que)保VPN流(liu)量遵循外部(bu)(bu)防火墻(qiang)的(de)(de)策略后才(cai)能(neng)夠達到內部(bu)(bu)網絡(luo),它比較適合外部(bu)(bu)連接部(bu)(bu)署。它的(de)(de)缺點是隨著業務合作伙伴(ban)的(de)(de)增加(jia)(jia)(jia)(jia),路由器上的(de)(de)負荷也隨著加(jia)(jia)(jia)(jia)解密進出VPN隧道數據(ju)包的(de)(de)增加(jia)(jia)(jia)(jia)而增加(jia)(jia)(jia)(jia)。

3.1.2 位于企業防火墻(qiang)的VPN終端

位于企業防(fang)火墻的(de)VPN終端(duan)能(neng)夠允許來自不同分支機(ji)構(gou)對(dui)公司內部網絡的(de)訪(fang)問(wen),在(zai)這(zhe)種模型下(xia),遠程用戶可以直接訪(fang)問(wen)內部網絡,而(er)不用進行第二次認證。它(ta)的(de)缺點是隨(sui)著公司分支機(ji)構(gou)的(de)增(zeng)加,防(fang)火墻的(de)負荷也隨(sui)著增(zeng)加。

3.1.3位于專用設備的(de)VPN終(zhong)端

位(wei)于專用(yong)設備(bei)的(de)(de)(de)(de)VPN終端能夠(gou)允許(xu)從分支機(ji)構網(wang)絡直接(jie)訪問(wen)公司內部核(he)心網(wang)絡,遠程用(yong)戶可以訪問(wen)提供(gong)的(de)(de)(de)(de)所(suo)有內部服務。它的(de)(de)(de)(de)缺(que)點是隨著更多(duo)的(de)(de)(de)(de)公司分支機(ji)構接(jie)入內部網(wang)絡,防火墻的(de)(de)(de)(de)負荷也會因為每個VPN需要加密(mi)數量的(de)(de)(de)(de)增加而增加。

3.2VPN拓撲模型

3.2.1 星(xing)狀(zhuang)拓(tuo)撲模型

在星型拓撲(pu)結構中,遠程分支機構可以(yi)安(an)全的與公司總部通信,它的缺點是(shi)分支機構間不能通信。星型拓撲(pu)結構提(ti)供的固(gu)有優(you)點是(shi)新站點的增加比較容易(yi)。

3.2.2 網狀拓(tuo)撲(pu)模型(xing)

在(zai)網狀拓撲模型中,可以全網狀或部分網狀來部署VPN網絡。它的優點(dian)是(shi)有大量任意目的地的替代路徑,缺點(dian)有大量的冗余路徑。

3.2.3中心(xin)輪廓拓撲模型

中心(xin)輪廓拓(tuo)撲(pu)模(mo)型(xing)從設(she)計上(shang)來,很類似網(wang)狀(zhuang)拓(tuo)撲(pu)模(mo)型(xing),但(dan)其最大的(de)(de)不同點是解決了各分支機構(gou)間不能通信的(de)(de)缺(que)(que)點。在這(zhe)個模(mo)型(xing)中,公司網(wang)絡做外一(yi)個傳(chuan)輸(shu)節點,它(ta)讓所有的(de)(de)流量從網(wang)絡的(de)(de)一(yi)個分支結構(gou)傳(chuan)輸(shu)到(dao)另一(yi)個傳(chuan)輸(shu)節點。它(ta)的(de)(de)缺(que)(que)點是使得整個網(wang)絡的(de)(de)安(an)全風(feng)險加大。

3.2.4 遠程(cheng)訪問(wen)拓撲模型

遠程(cheng)訪問(wen)拓撲模(mo)型是建立在中心輪廓拓撲模(mo)型基礎(chu)之(zhi)上的(de),它可以為遠程(cheng)用(yong)戶,移動(dong)辦公用(yong)戶等沒有靜態IP地(di)址(zhi)的(de)用(yong)戶提供(gong)連接從而保證它們之(zhi)間的(de)通信(xin)。

4 結語

VPN技術(shu)的發展, 為企(qi)業(ye)(ye)建設(she)計算(suan)機網(wang)絡(luo)提(ti)供了(le)一種(zhong)新的思路, 可以通(tong)過(guo)在公共網(wang)絡(luo)上建立(li)虛擬的鏈接來(lai)(lai)傳輸私有數(shu)據。VPN通(tong)過(guo)隧道技術(shu)、數(shu)據加密技術(shu)以及QoS機制,使得企(qi)業(ye)(ye)不僅極大(da)(da)的降低(di)了(le)企(qi)業(ye)(ye)建設(she)網(wang)絡(luo)的成本(ben), 同(tong)時也大(da)(da)大(da)(da)提(ti)高(gao)了(le)網(wang)絡(luo)的安全性,提(ti)高(gao)了(le)企(qi)業(ye)(ye)運營效率。在網(wang)絡(luo)時代,企(qi)業(ye)(ye)發展取決于(yu)是否最(zui)大(da)(da)限度地(di)利用網(wang)絡(luo)。VPN將是企(qi)業(ye)(ye)現在乃至未來(lai)(lai)最(zui)佳的選擇[10]。

參考文獻:

[1]袁德明(ming).喬月圓.計(ji)算機網絡(luo)安全[M].電(dian)子(zi)工業出版社(she).2007.266-282.

[2]謝懷軍.VPN技術(shu)透視(shi)分析[M].中(zhong)國金融電腦.2000.10.

[3][美]C arlton R .D avis. IP Sec VPN 的(de)安(an)全實施[M].清華大學出(chu)版社.2002.

[4]郝(hao)輝,錢華林(lin).VPN及其隧道技(ji)術(shu)研究(jiu)[J].微(wei)電子學與計算機.2004.21(11):47～49.

[5]周喜等.VPN現(xian)狀與在網區中的部署分析[J].計算機應用研(yan)究.2003.2.

[6]陳興剛,孟傳良.VPN及其隧(sui)道技(ji)術(shu)研究[J].電腦(nao)知識與技(ji)術(shu).2008,3(5):879-880.

[7]彭湘(xiang)凱.VPN及其(qi)核心技術(shu)[J].成(cheng)都大學學報(自然(ran)科學版),2001,20(1):12～15.

[8]劉建偉,王育民等.網絡安全(quan)――技術與實踐[M].北京.清華大學出版社.2005.472.

[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell編著.謝琳,趙俐等譯.防火墻(qiang)策略(lve)與VPN配置[M].中國(guo)水利水電出版社(she).2008.136～170.

篇5

關(guan)鍵詞：VPN； 信息化； Qos；捆(kun)綁(bang)

1.概念綜述

VPN（虛擬(ni)專用(yong)(yong)網絡(luo)(luo)）技(ji)術對大型的跨地域企(qi)業內部同步使用(yong)(yong)ERP、MRP等信息化管理(li)系(xi)統有著(zhu)極(ji)大的幫助作(zuo)用(yong)(yong)和(he)可觀(guan)的經(jing)濟意義，不過(guo)受到流量問題(ti)的限制，VPN技(ji)術也(ye)面臨一個(ge)網絡(luo)(luo)帶寬“供不應(ying)求”的難題(ti)，例如現(xian)在很多企(qi)業都是采用(yong)(yong)ADSL網絡(luo)(luo)接入方(fang)式(shi)，而基于ADSL線路由于技(ji)術本身(shen)的限制，單(dan)條(tiao)的上行速率只(zhi)能達到幾百K，如果是一些(xie)數據(ju)量較大的企(qi)業信息系(xi)統，要(yao)求信息流是雙向的，傳和(he)下傳的速度都要(yao)快，那么單(dan)條(tiao)ADSL就顯得力不從(cong)心了。

從而，一種(zhong)既(ji)可以(yi)不改動原有(you)ADSL線路，又可以(yi)有(you)效提升VPN系統(tong)性能的(de)技(ji)術得以(yi)推廣，即(ji)“通道多路捆(kun)綁(bang)(bang)”技(ji)術，這種(zhong)技(ji)術現在(zai)在(zai)國內也已經十分成熟，例如我(wo)國較(jiao)早涉足(zu)VPN領(ling)域的(de)深信服（SINFOR）公司在(zai)VPN的(de)多路捆(kun)綁(bang)(bang)技(ji)術上就有(you)著諸多建樹。

2．多路通道技術綜述(shu)

2.1何為(wei)多路通道(dao)技術

   所謂多(duo)路(lu)(lu)(lu)(lu)(lu)(lu)通道(dao)技術(shu)(shu)，就是使數據包可以(yi)從(cong)兩(liang)條(tiao)(tiao)線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)進行(xing)傳輸，就像計(ji)算機中磁盤陣列RAID 0的(de)方(fang)式，在(zai)(zai)理(li)論上(shang)(shang)可以(yi)達到帶(dai)(dai)寬倍增(zeng)的(de)效果(guo)。從(cong)表(biao)面上(shang)(shang)看(kan)，多(duo)路(lu)(lu)(lu)(lu)(lu)(lu)通道(dao)捆綁似乎是一(yi)(yi)種(zhong)非常(chang)理(li)想的(de)技術(shu)(shu)，但真正實現起來，其中也存在(zai)(zai)不(bu)(bu)(bu)少困難：首(shou)先(xian)，數據要同(tong)時在(zai)(zai)多(duo)條(tiao)(tiao)線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)上(shang)(shang)傳輸、如(ru)何能(neng)保證相同(tong)的(de)業務數據分配(pei)到不(bu)(bu)(bu)同(tong)線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)時，仍然不(bu)(bu)(bu)受(shou)影(ying)響？比如(ru)一(yi)(yi)串視頻數據，發送(song)(song)時通過(guo)多(duo)條(tiao)(tiao)Internet線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)、在(zai)(zai)接(jie)(jie)收端(duan)，傳輸的(de)數據順(shun)序必須(xu)準確(que)有效、并能(neng)還(huan)原成發送(song)(song)前的(de)狀態(tai)。其次，線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)的(de)中斷(duan)和恢復(fu)也是一(yi)(yi)個(ge)必須(xu)解決的(de)問(wen)題。一(yi)(yi)旦(dan)一(yi)(yi)條(tiao)(tiao)線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)出現故障，所承載的(de)數據要立刻(ke)無縫切換到其他線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)，并保證業務不(bu)(bu)(bu)受(shou)影(ying)響。同(tong)樣，線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)恢復(fu)后(hou)，也要能(neng)夠在(zai)(zai)新(xin)恢復(fu)的(de)線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)上(shang)(shang)建立VPN隧道(dao)，并能(neng)夠重新(xin)調整負載均衡(heng)策(ce)略。最后(hou)，Internet連(lian)接(jie)(jie)方(fang)式也多(duo)種(zhong)多(duo)樣。用戶為了(le)進一(yi)(yi)步增(zeng)強系(xi)統(tong)穩定性(xing)，往(wang)往(wang)傾向(xiang)于從(cong)不(bu)(bu)(bu)同(tong)的(de)運營商(shang)處申請線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)，就會存在(zai)(zai)各種(zhong)不(bu)(bu)(bu)同(tong)方(fang)式的(de)Internet線(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)（如(ru)ADSL、寬帶(dai)(dai)、DDN等(deng)等(deng)）需要能(neng)夠實現帶(dai)(dai)寬的(de)捆綁和疊加。

2.2多(duo)路通道的組合

在(zai)一(yi)(yi)個(ge)(ge)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)上(shang)(shang)(shang)(shang)做(zuo)多條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)方(fang)式有(you)多種(zhong)組合(he)：多條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)ADSL線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)，多條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)光纖(xian)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)，光纖(xian)和(he)ADSL線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)進(jin)行(xing)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)。這(zhe)(zhe)種(zhong)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)是(shi)(shi)(shi)(shi)(shi)(shi)一(yi)(yi)種(zhong)帶(dai)寬(kuan)相(xiang)加式的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)，而(er)不(bu)(bu)是(shi)(shi)(shi)(shi)(shi)(shi)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)互相(xiang)備份。多路(lu)(lu)(lu)(lu)(lu)(lu)通道(dao)1＋1＝2？從實(shi)際(ji)應用的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)角度(du)(du)去分析，兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)進(jin)行(xing)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)后，上(shang)(shang)(shang)(shang)下行(xing)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)流量(liang)(liang)是(shi)(shi)(shi)(shi)(shi)(shi)不(bu)(bu)可(ke)能(neng)(neng)達到1＋1＝2的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)效(xiao)果(guo)(guo)(guo)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)，2條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)以(yi)上(shang)(shang)(shang)(shang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)也(ye)(ye)(ye)是(shi)(shi)(shi)(shi)(shi)(shi)同樣道(dao)理，原因(yin)(yin)(yin)(yin)大(da)致如(ru)下： 第一(yi)(yi)，當(dang)每一(yi)(yi)個(ge)(ge)數(shu)(shu)(shu)據(ju)(ju)(ju)包進(jin)行(xing)傳(chuan)輸時(shi)(shi)，它必須(xu)先選擇(ze)其(qi)(qi)中(zhong)一(yi)(yi)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)，這(zhe)(zhe)個(ge)(ge)選擇(ze)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)過程就(jiu)(jiu)是(shi)(shi)(shi)(shi)(shi)(shi)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)進(jin)行(xing)調(diao)(diao)度(du)(du)分配(pei)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)過程，路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)會按照預先設定的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)算法(fa)將(jiang)每一(yi)(yi)個(ge)(ge)數(shu)(shu)(shu)據(ju)(ju)(ju)包根據(ju)(ju)(ju)一(yi)(yi)定的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)件（這(zhe)(zhe)個(ge)(ge)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)件通常不(bu)(bu)是(shi)(shi)(shi)(shi)(shi)(shi)固定的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)）分配(pei)到一(yi)(yi)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)，這(zhe)(zhe)個(ge)(ge)過程會占用路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)處理器(qi)資(zi)源(yuan)，需要耗費一(yi)(yi)定的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)時(shi)(shi)間(jian)(jian)，當(dang)然耗時(shi)(shi)是(shi)(shi)(shi)(shi)(shi)(shi)非(fei)常短的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)，但(dan)是(shi)(shi)(shi)(shi)(shi)(shi)大(da)量(liang)(liang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)包耗費的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)時(shi)(shi)間(jian)(jian)累加起(qi)來(lai)(lai)就(jiu)(jiu)比(bi)較(jiao)(jiao)可(ke)觀了，加上(shang)(shang)(shang)(shang)現在(zai)中(zhong)低端(duan)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)處理能(neng)(neng)力還(huan)比(bi)較(jiao)(jiao)有(you)限，所(suo)(suo)以(yi)這(zhe)(zhe)種(zhong)資(zi)源(yuan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)消(xiao)耗是(shi)(shi)(shi)(shi)(shi)(shi)不(bu)(bu)能(neng)(neng)忽略的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)。如(ru)果(guo)(guo)(guo)你捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)2M的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)和(he)一(yi)(yi)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)4M的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)做(zuo)對(dui)(dui)比(bi)，就(jiu)(jiu)會發現捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)2M線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)速度(du)(du)不(bu)(bu)會快(kuai)過那條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)4M的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)，其(qi)(qi)中(zhong)一(yi)(yi)個(ge)(ge)重要因(yin)(yin)(yin)(yin)素就(jiu)(jiu)是(shi)(shi)(shi)(shi)(shi)(shi)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)上(shang)(shang)(shang)(shang)對(dui)(dui)數(shu)(shu)(shu)據(ju)(ju)(ju)包進(jin)行(xing)調(diao)(diao)度(du)(du)而(er)耽誤了數(shu)(shu)(shu)據(ju)(ju)(ju)轉發的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)時(shi)(shi)間(jian)(jian)。 第二(er)，相(xiang)信(xin)大(da)家也(ye)(ye)(ye)知道(dao)，RAID 0陣列(lie)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)容(rong)量(liang)(liang)是(shi)(shi)(shi)(shi)(shi)(shi)取(qu)決于(yu)(yu)容(rong)量(liang)(liang)小(xiao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)那個(ge)(ge)硬盤，因(yin)(yin)(yin)(yin)為數(shu)(shu)(shu)據(ju)(ju)(ju)是(shi)(shi)(shi)(shi)(shi)(shi)同時(shi)(shi)在(zai)兩(liang)(liang)(liang)個(ge)(ge)硬盤上(shang)(shang)(shang)(shang)進(jin)行(xing)讀寫的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)；而(er)在(zai)VPN多路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)中(zhong)也(ye)(ye)(ye)有(you)類似情(qing)形－－如(ru)果(guo)(guo)(guo)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)帶(dai)寬(kuan)不(bu)(bu)一(yi)(yi)樣，也(ye)(ye)(ye)就(jiu)(jiu)是(shi)(shi)(shi)(shi)(shi)(shi)一(yi)(yi)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)大(da)些，一(yi)(yi)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)小(xiao)些，這(zhe)(zhe)時(shi)(shi)情(qing)況就(jiu)(jiu)比(bi)較(jiao)(jiao)復雜了。因(yin)(yin)(yin)(yin)為如(ru)果(guo)(guo)(guo)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)還(huan)是(shi)(shi)(shi)(shi)(shi)(shi)按照1:1的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)比(bi)例(li)(li)將(jiang)數(shu)(shu)(shu)據(ju)(ju)(ju)包分別派發給(gei)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)話(hua)，就(jiu)(jiu)會造成(cheng)帶(dai)寬(kuan)大(da)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)那條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)發完時(shi)(shi)帶(dai)寬(kuan)小(xiao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)那條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)還(huan)沒(mei)發完，于(yu)(yu)是(shi)(shi)(shi)(shi)(shi)(shi)帶(dai)寬(kuan)大(da)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)得等待帶(dai)寬(kuan)小(xiao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)，這(zhe)(zhe)樣會造成(cheng)效(xiao)率(lv)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)降(jiang)低，因(yin)(yin)(yin)(yin)此(ci)(ci)很(hen)多支持不(bu)(bu)對(dui)(dui)稱多路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)都(dou)允許設置(zhi)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)器(qi)調(diao)(diao)度(du)(du)分配(pei)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)比(bi)例(li)(li)，例(li)(li)如(ru)接(jie)入1條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)1M的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)ADSL和(he)1條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)2M的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)ADSL時(shi)(shi)，就(jiu)(jiu)可(ke)以(yi)把這(zhe)(zhe)個(ge)(ge)比(bi)例(li)(li)設成(cheng)1:2，這(zhe)(zhe)樣兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)帶(dai)寬(kuan)就(jiu)(jiu)可(ke)以(yi)充分利用起(qi)來(lai)(lai)；當(dang)然，由(you)(you)于(yu)(yu)數(shu)(shu)(shu)據(ju)(ju)(ju)分配(pei)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)比(bi)例(li)(li)不(bu)(bu)會是(shi)(shi)(shi)(shi)(shi)(shi)完美(mei)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)1:2，而(er)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)實(shi)際(ji)流量(liang)(liang)也(ye)(ye)(ye)不(bu)(bu)是(shi)(shi)(shi)(shi)(shi)(shi)準確的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)1:2，因(yin)(yin)(yin)(yin)此(ci)(ci)寬(kuan)帶(dai)資(zi)源(yuan)還(huan)是(shi)(shi)(shi)(shi)(shi)(shi)沒(mei)有(you)被(bei)完全的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)利用起(qi)來(lai)(lai)，所(suo)(suo)以(yi)最終1M和(he)2M兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)ADSL線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)之后的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)實(shi)際(ji)效(xiao)果(guo)(guo)(guo)依舊小(xiao)于(yu)(yu)3M線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)實(shi)際(ji)效(xiao)果(guo)(guo)(guo)。第三，如(ru)果(guo)(guo)(guo)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)進(jin)行(xing)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)，在(zai)下載(zai)時(shi)(shi)和(he)上(shang)(shang)(shang)(shang)傳(chuan)時(shi)(shi)得到的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)帶(dai)寬(kuan)其(qi)(qi)實(shi)是(shi)(shi)(shi)(shi)(shi)(shi)不(bu)(bu)同的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)，因(yin)(yin)(yin)(yin)為在(zai)上(shang)(shang)(shang)(shang)傳(chuan)時(shi)(shi)你是(shi)(shi)(shi)(shi)(shi)(shi)兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)同時(shi)(shi)傳(chuan)送(song)數(shu)(shu)(shu)據(ju)(ju)(ju)，可(ke)以(yi)理解為1＋1＝2；但(dan)在(zai)下載(zai)時(shi)(shi)，對(dui)(dui)方(fang)并不(bu)(bu)知道(dao)你將(jiang)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)進(jin)行(xing)了捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)，他也(ye)(ye)(ye)無法(fa)控(kong)制(zhi)數(shu)(shu)(shu)據(ju)(ju)(ju)包往哪條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)上(shang)(shang)(shang)(shang)傳(chuan)送(song)，所(suo)(suo)以(yi)每次對(dui)(dui)方(fang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)包發送(song)過來(lai)(lai)都(dou)是(shi)(shi)(shi)(shi)(shi)(shi)由(you)(you)其(qi)(qi)中(zhong)一(yi)(yi)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)承擔接(jie)收(shou)任務(wu)，在(zai)這(zhe)(zhe)種(zhong)情(qing)況下，兩(liang)(liang)(liang)條(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)(tiao)1M的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)線(xian)(xian)(xian)(xian)(xian)(xian)(xian)路(lu)(lu)(lu)(lu)(lu)(lu)進(jin)行(xing)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)后其(qi)(qi)實(shi)效(xiao)果(guo)(guo)(guo)大(da)概(gai)也(ye)(ye)(ye)是(shi)(shi)(shi)(shi)(shi)(shi)1M，也(ye)(ye)(ye)就(jiu)(jiu)是(shi)(shi)(shi)(shi)(shi)(shi)1＋1＝1，因(yin)(yin)(yin)(yin)此(ci)(ci)，將(jiang)多路(lu)(lu)(lu)(lu)(lu)(lu)捆(kun)(kun)(kun)(kun)綁(bang)(bang)(bang)(bang)簡單(dan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)理解為帶(dai)寬(kuan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)疊加其(qi)(qi)實(shi)是(shi)(shi)(shi)(shi)(shi)(shi)不(bu)(bu)對(dui)(dui)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)。

2.3多路(lu)通(tong)道捆(kun)綁的好處

首(shou)先，多路(lu)通道捆(kun)綁技術給用戶帶(dai)來(lai)的(de)(de)好處是(shi)顯而易見的(de)(de)。首(shou)先就是(shi)帶(dai)寬的(de)(de)大幅(fu)提升，在(zai)目(mu)前大多數(shu)的(de)(de)VPN系統應用中(zhong)，都(dou)是(shi)總(zong)部(bu)的(de)(de)一條線路(lu)、需要應對(dui)來(lai)自幾個甚(shen)至幾十個分(fen)支機(ji)構、移動(dong)用戶的(de)(de)數(shu)據量。尤其在(zai)類似ADSL的(de)(de)非對(dui)稱線路(lu)中(zhong)、上行帶(dai)寬本(ben)(ben)來(lai)就較窄，造成總(zong)部(bu)數(shu)據量不(bu)(bu)堪重(zhong)負。為了解決帶(dai)寬不(bu)(bu)平衡的(de)(de)問題，有些企(qi)業不(bu)(bu)得不(bu)(bu)在(zai)總(zong)部(bu)耗費巨資申請高速的(de)(de)專用線路(lu)，成本(ben)(ben)高昂(ang)。

其次(ci)，VPN支持各種不(bu)同(tong)方式(shi)的(de)線(xian)(xian)路(lu)綁定(ding)，用戶可(ke)以(yi)申(shen)請多(duo)條動態IP的(de)ADSL上(shang)網線(xian)(xian)路(lu)、也(ye)可(ke)以(yi)申(shen)請ADSL及其他寬帶線(xian)(xian)路(lu)甚至(zhi)無線(xian)(xian)連接等等。通過多(duo)線(xian)(xian)路(lu)防火墻/NAT模(mo)塊(kuai)，還可(ke)以(yi)實現(xian)多(duo)條線(xian)(xian)路(lu)共同(tong)訪問Internet，成倍(bei)的(de)提高了上(shang)網的(de)速(su)度(du)。

第三(san)多(duo)路(lu)(lu)(lu)通(tong)道(dao)捆(kun)(kun)綁的(de)(de)另一個(ge)好處就是系統的(de)(de)穩定(ding)性(xing)大大增強(qiang)。如果是單(dan)條線(xian)路(lu)(lu)(lu)，一旦(dan)中(zhong)斷、整(zheng)個(ge)系統就會陷入癱瘓，VPN系統的(de)(de)穩定(ding)性(xing)非常依賴于線(xian)路(lu)(lu)(lu)本身的(de)(de)穩定(ding)性(xing)。通(tong)過多(duo)線(xian)路(lu)(lu)(lu)捆(kun)(kun)綁技(ji)術，尤其(qi)是對(dui)不同(tong)方式(shi)的(de)(de)線(xian)路(lu)(lu)(lu)捆(kun)(kun)綁、在任何一條線(xian)路(lu)(lu)(lu)出現故障時，數據可(ke)以無縫切換(huan)到其(qi)他正常線(xian)路(lu)(lu)(lu)，保(bao)證了整(zheng)個(ge)系統的(de)(de)持續可(ke)靠運行。優秀(xiu)的(de)(de)VPN路(lu)(lu)(lu)由(you)還(huan)進一步(bu)實現了多(duo)條Internet線(xian)路(lu)(lu)(lu)的(de)(de)QOS管理(li)，并能根據不同(tong)線(xian)路(lu)(lu)(lu)的(de)(de)帶(dai)寬情況智(zhi)能分配負載，最大限度的(de)(de)提高帶(dai)寬利(li)用率。

2.4多路(lu)通(tong)道(dao)捆綁的安全(quan)和(he)權限問題

多(duo)(duo)條(tiao)線路(lu)同時連(lian)接時，局域網(wang)也同時面臨著(zhu)多(duo)(duo)條(tiao)與Internet連(lian)接的(de)通道(dao)。這就給各種(zhong)網(wang)絡(luo)攻擊(ji)、病毒提(ti)供了(le)(le)更(geng)多(duo)(duo)的(de)可乘之機，所以很(hen)多(duo)(duo)VPN路(lu)由都是直接結合了(le)(le)比(bi)較專業的(de)防火墻功能(neng)，不但能(neng)夠支持(chi)多(duo)(duo)條(tiao)線路(lu)的(de)捆綁上網(wang)，還能(neng)對帶寬進行智能(neng)動態分配，防護(hu)來自多(duo)(duo)條(tiao)

線路的攻擊。

3.結束語

   由于很多VPN網(wang)絡(luo)的(de)結構非(fei)常龐大(da)，內部成員(yuan)的(de)權(quan)(quan)(quan)限問(wen)題也(ye)就非(fei)常復雜(za)，因此一(yi)些(xie)(xie)優秀的(de)VPN產品可以對各成員(yuan)接入(ru)后的(de)可訪(fang)(fang)問(wen)資源做嚴格而詳細的(de)限定來杜絕這些(xie)(xie)安(an)全隱患。例(li)如(ru)Sinfor的(de)DLAN方案就可以針(zhen)對每個用戶設(she)(she)定不(bu)同(tong)的(de)接入(ru)訪(fang)(fang)問(wen)權(quan)(quan)(quan)限，如(ru)某些(xie)(xie)用戶只能訪(fang)(fang)問(wen)總部的(de)庫存系(xi)統，不(bu)能訪(fang)(fang)問(wen)財務系(xi)統等，不(bu)同(tong)的(de)VPN用戶可以設(she)(she)定對不(bu)同(tong)資源的(de)訪(fang)(fang)問(wen)權(quan)(quan)(quan)限，避免因為(wei)VPN用戶權(quan)(quan)(quan)限過(guo)大(da)造成的(de)安(an)全隱患。

  

參考文獻：

[1]CarIton R.Davis. IPSec VPN的安全(quan)實施(shi).清華大(da)學(xue)出版社.

[2]林闖，單志(zhi)廣，任豐原, 計算機網(wang)絡的服務質量(QoS). 清華大學(xue)出(chu)版(ban)社。2004

篇6

【關鍵(jian)詞】VPN 網(wang)絡 實現技(ji)術

【中圖(tu)分(fen)類號】G718 【文(wen)獻(xian)標識碼】A 【文(wen)章編號】1672-5158（2013）01―0180-02

1 前言

隨(sui)著企業規模逐漸擴(kuo)大，遠(yuan)程用戶、遠(yuan)程辦公人員、分(fen)支機構、合作伙(huo)伴(ban)也(ye)在(zai)不(bu)斷增多(duo)，關鍵業務的(de)需(xu)求(qiu)增加，出(chu)現了(le)一種通過公共網絡（如Internet）來建立自(zi)己的(de)專用網絡的(de)技術(shu)，這種技術(shu)就是虛擬(ni)專用網（簡稱VPN）。VPN集靈活性(xing)、安(an)全性(xing)、經濟性(xing)以及擴(kuo)展性(xing)于一身，可充分(fen)滿足分(fen)支機構、移(yi)動辦公安(an)全通信的(de)需(xu)求(qiu)。

2 VPN技術概述

VPN英文全稱(cheng)是(shi)“Virtual Private Network”（虛(xu)擬專用(yong)(yong)網(wang)絡”）。VPN被(bei)定(ding)義為通過(guo)一個(ge)公用(yong)(yong)網(wang)絡（通常是(shi)因特網(wang)）建立一個(ge)臨時的、安(an)全的連接，是(shi)一條(tiao)(tiao)穿過(guo)混亂的公用(yong)(yong)網(wang)絡的安(an)全、穩定(ding)隧道(dao)。使(shi)用(yong)(yong)這條(tiao)(tiao)隧道(dao)可(ke)以對(dui)數據進行幾倍加密達到安(an)全使(shi)用(yong)(yong)互(hu)聯網(wang)的目的。

2.1 VPN的功能

VPN至少應能提(ti)(ti)供如下(xia)功能：加密數據，以保(bao)證(zheng)(zheng)通過(guo)公網傳輸的信(xin)息即使被他人截獲(huo)也不(bu)會泄露；信(xin)息認證(zheng)(zheng)和身(shen)份認證(zheng)(zheng)，保(bao)證(zheng)(zheng)信(xin)息的完整(zheng)性、合法性，并能鑒別用戶的身(shen)份；提(ti)(ti)供訪問控制，不(bu)同(tong)的用戶有不(bu)同(tong)的訪問權限(xian)。

2.2 VPN的分類

VPN既是一種(zhong)組網(wang)技術(shu)，又是一種(zhong)網(wang)絡安全技術(shu)。按照不同的方法主要有以下幾種(zhong)劃(hua)分方式(shi)。

（1）按實現技術(shu)劃分，基(ji)于隧道的(de)VPN、基(ji)于虛電(dian)路的(de)VPN和MPLSVPN

（2）應用(yong)范圍(wei)劃分，遠(yuan)程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應用(yong)模式。

（3）遠程接(jie)入VPN用(yong)于(yu)實現移動用(yong)戶(hu)或遠程辦(ban)公室安全訪問企(qi)業網絡(luo)；Intranet VPN用(yong)于(yu)組建跨地區的企(qi)業內部(bu)互(hu)聯(lian)網絡(luo)；Extranet VPN用(yong)于(yu)企(qi)業與客戶(hu)、合作伙伴之間(jian)建立互(hu)聯(lian)網絡(luo)。

（4）按隧(sui)道(dao)協(xie)(xie)議(yi)(yi)劃(hua)分(fen)，VPN可劃(hua)分(fen)為第(di)(di)2層隧(sui)道(dao)協(xie)(xie)議(yi)(yi)和第(di)(di)3層隧(sui)道(dao)協(xie)(xie)議(yi)(yi)。PPTP、L2P和L2TP都屬于第(di)(di)2層隧(sui)道(dao)協(xie)(xie)議(yi)(yi)，IPSec屬于第(di)(di)3層隧(sui)道(dao)協(xie)(xie)議(yi)(yi)，MPLS跨越第(di)(di)2層和第(di)(di)3層。VPN的(de)實現往往將第(di)(di)2層和第(di)(di)3層協(xie)(xie)議(yi)(yi)配合使用，如L2TP/IPSec。當(dang)然，還(huan)可根據具體(ti)的(de)協(xie)(xie)議(yi)(yi)來進一步(bu)劃(hua)分(fen)VPN類型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的(de)特點

在實際應(ying)用中，一個(ge)高效、成功(gong)的VPN應(ying)具備(bei)以(yi)下幾個(ge)特點：

（1）安全保障

VPN應保(bao)證通(tong)過公用(yong)網(wang)(wang)絡平臺傳(chuan)輸數(shu)據(ju)(ju)的(de)(de)(de)(de)(de)專用(yong)性(xing)(xing)和(he)(he)安(an)全(quan)性(xing)(xing)。在(zai)非(fei)面向連(lian)接(jie)的(de)(de)(de)(de)(de)公用(yong)IP網(wang)(wang)絡上建立一個(ge)邏輯的(de)(de)(de)(de)(de)、點對(dui)點的(de)(de)(de)(de)(de)連(lian)接(jie)，稱之(zhi)為建立一個(ge)隧道，可以利(li)用(yong)加密技術對(dui)經過隧道傳(chuan)輸的(de)(de)(de)(de)(de)數(shu)據(ju)(ju)進行加密，以保(bao)證數(shu)據(ju)(ju)僅(jin)被指定的(de)(de)(de)(de)(de)發送者(zhe)和(he)(he)接(jie)收者(zhe)了解，從而保(bao)證了數(shu)據(ju)(ju)的(de)(de)(de)(de)(de)私有性(xing)(xing)和(he)(he)安(an)全(quan)性(xing)(xing)。在(zai)安(an)全(quan)性(xing)(xing)方(fang)面，由于VPN直接(jie)構建在(zai)公用(yong)網(wang)(wang)上，實(shi)現簡單、方(fang)便、靈活，但同時其安(an)全(quan)問題也更(geng)為突出(chu)。企業必須確保(bao)其VPN上傳(chuan)送的(de)(de)(de)(de)(de)數(shu)據(ju)(ju)不(bu)被攻擊者(zhe)窺視(shi)和(he)(he)篡改，并(bing)且(qie)要(yao)防止非(fei)法用(yong)戶對(dui)網(wang)(wang)絡資源或(huo)私有信(xin)息的(de)(de)(de)(de)(de)訪問。

（2）服務質量保(bao)證(zheng)（QoS）

VPN網(wang)(wang)應(ying)當為企業(ye)(ye)數(shu)據提(ti)(ti)供不(bu)(bu)同等級的(de)服(fu)務質(zhi)量(liang)保證。不(bu)(bu)同的(de)用戶(hu)和業(ye)(ye)務對(dui)服(fu)務質(zhi)量(liang)保證的(de)要(yao)(yao)(yao)(yao)求(qiu)差別較(jiao)大。如移(yi)動辦公用戶(hu)，提(ti)(ti)供廣(guang)泛的(de)連接和覆蓋性(xing)是保證VPN服(fu)務的(de)一個(ge)主要(yao)(yao)(yao)(yao)因素；而對(dui)于擁有(you)眾多分支機構的(de)專線VPN網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)，交互式的(de)內(nei)部企業(ye)(ye)網(wang)(wang)應(ying)用則(ze)要(yao)(yao)(yao)(yao)求(qiu)網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)能(neng)提(ti)(ti)供良好的(de)穩定性(xing)；對(dui)于其它(ta)應(ying)用（如視頻等）則(ze)對(dui)網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)提(ti)(ti)出了更明確的(de)要(yao)(yao)(yao)(yao)求(qiu)，如網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)時(shi)延及(ji)(ji)誤碼(ma)率等。所有(you)以上網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)應(ying)用均(jun)要(yao)(yao)(yao)(yao)求(qiu)網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)根據需(xu)要(yao)(yao)(yao)(yao)提(ti)(ti)供不(bu)(bu)同等級的(de)服(fu)務質(zhi)量(liang)。在(zai)(zai)(zai)網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)優化方面，構建VPN的(de)另一重要(yao)(yao)(yao)(yao)需(xu)求(qiu)是充分有(you)效地利用有(you)限的(de)廣(guang)域網(wang)(wang)資源，為重要(yao)(yao)(yao)(yao)數(shu)據提(ti)(ti)供可(ke)靠的(de)帶(dai)(dai)(dai)寬。廣(guang)域網(wang)(wang)流(liu)量(liang)的(de)不(bu)(bu)確定性(xing)使(shi)其帶(dai)(dai)(dai)寬的(de)利用率很低，在(zai)(zai)(zai)流(liu)量(liang)高峰時(shi)引起網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)阻塞(sai)，產生網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)瓶頸，使(shi)實(shi)時(shi)性(xing)要(yao)(yao)(yao)(yao)求(qiu)高的(de)數(shu)據得不(bu)(bu)到及(ji)(ji)時(shi)發(fa)送；而在(zai)(zai)(zai)流(liu)量(liang)低谷時(shi)又造成大量(liang)的(de)網(wang)(wang)絡(luo)(luo)(luo)(luo)(luo)帶(dai)(dai)(dai)寬空閑(xian)。QoS通過流(liu)量(liang)預(yu)測與流(liu)量(liang)控制策略，可(ke)以按照優先級分配(pei)帶(dai)(dai)(dai)寬資源，實(shi)現帶(dai)(dai)(dai)寬管理，使(shi)得各類(lei)數(shu)據能(neng)夠被合理地先后發(fa)送，并預(yu)防阻塞(sai)的(de)發(fa)生。

（3）可(ke)擴充(chong)性和靈(ling)活性

VPN必須能夠支持通過Intranet和Extranet的(de)任何類型的(de)數據(ju)流，方(fang)便(bian)增(zeng)(zeng)加新的(de)節點(dian)，支持多種(zhong)類型的(de)傳輸媒介，可以滿(man)足同時傳輸語音、圖像和數據(ju)等新應用對高質(zhi)量傳輸以及帶寬增(zeng)(zeng)加的(de)需(xu)求。

（4）可管理性

從(cong)用(yong)戶角度和運營商角度應可方(fang)便地進行管(guan)(guan)理(li)(li)(li)(li)(li)、維護。在(zai)VPN管(guan)(guan)理(li)(li)(li)(li)(li)方(fang)面，VPN要求企業將(jiang)其(qi)網(wang)(wang)絡管(guan)(guan)理(li)(li)(li)(li)(li)功能從(cong)局域(yu)網(wang)(wang)無縫地延伸到公用(yong)網(wang)(wang)，甚至是客戶和合作伙伴。雖然可以(yi)(yi)將(jiang)一(yi)些次要的網(wang)(wang)絡管(guan)(guan)理(li)(li)(li)(li)(li)任(ren)務(wu)交給服務(wu)提(ti)供商去(qu)完(wan)成，企業自己仍(reng)需要完(wan)成許多網(wang)(wang)絡管(guan)(guan)理(li)(li)(li)(li)(li)任(ren)務(wu)。所(suo)以(yi)(yi)，一(yi)個完(wan)善的VPN管(guan)(guan)理(li)(li)(li)(li)(li)系統是必不可少的。VPN管(guan)(guan)理(li)(li)(li)(li)(li)的目標(biao)為(wei)：減小網(wang)(wang)絡風險、具(ju)有高(gao)擴(kuo)展性(xing)、經(jing)濟(ji)性(xing)、高(gao)可靠性(xing)等優(you)點。事實上，VPN管(guan)(guan)理(li)(li)(li)(li)(li)主(zhu)要包括安全(quan)管(guan)(guan)理(li)(li)(li)(li)(li)、設備(bei)管(guan)(guan)理(li)(li)(li)(li)(li)、配置(zhi)管(guan)(guan)理(li)(li)(li)(li)(li)、訪問控制列表管(guan)(guan)理(li)(li)(li)(li)(li)、QoS管(guan)(guan)理(li)(li)(li)(li)(li)等內容。

2.4 VPN的(de)技術(shu)解決方(fang)案

VPN有三(san)種解(jie)決(jue)方(fang)案，用戶可以根(gen)據(ju)自(zi)己(ji)的(de)情況進行選擇(ze)。這(zhe)三(san)種解(jie)決(jue)方(fang)案分別是：遠(yuan)程(cheng)(cheng)訪(fang)問虛(xu)擬網(wang)（AccessVPN）、企業(ye)內部虛(xu)擬網(wang)（IntranetVPN）和企業(ye)擴(kuo)展虛(xu)擬網(wang)（ExtranetVPN），這(zhe)三(san)種類型的(de)VPN分別與(yu)傳統(tong)的(de)遠(yuan)程(cheng)(cheng)訪(fang)問網(wang)絡、企業(ye)內部的(de)Intranet以及企業(ye)網(wang)和相(xiang)關(guan)合作伙(huo)伴的(de)企業(ye)網(wang)所構成的(de)Extranet相(xiang)對應(ying)。

（1）如果企業的(de)內部(bu)人員移動或(huo)有遠(yuan)程辦公需要，或(huo)者商家要提(ti)供B2C的(de)安全(quan)訪問服務，就(jiu)可以考慮使用AccessVPN。

AccessVPN通過(guo)一個擁有與專用(yong)網絡相同(tong)策略的共(gong)享基(ji)礎設(she)施，提供對企(qi)業(ye)內部網或外部網的遠程訪問。AccessVPN能(neng)(neng)使用(yong)戶(hu)隨(sui)時、隨(sui)地(di)以其所需的方式訪問企(qi)業(ye)資源(yuan)。AccessVPN包括模擬、撥(bo)號(hao)、ISDN、數字用(yong)戶(hu)線路(lu)（xDSL）、移(yi)動IP和電(dian)纜技術，能(neng)(neng)夠(gou)安全地(di)連接移(yi)動用(yong)戶(hu)、遠程工作者或分支(zhi)機構。

（2）如果要進行企業內(nei)部各分支機構(gou)的(de)互(hu)聯，使用IntranetVPN是很(hen)好的(de)方式。

越來(lai)越多的企業(ye)需要在(zai)全國(guo)乃至世(shi)界范(fan)圍內建(jian)立各(ge)(ge)種辦事(shi)機構、分(fen)(fen)公(gong)(gong)司(si)、研究所等，各(ge)(ge)個分(fen)(fen)公(gong)(gong)司(si)之間傳統(tong)的網(wang)(wang)絡連(lian)接方式一般(ban)是租用(yong)專線(xian)。顯然，在(zai)分(fen)(fen)公(gong)(gong)司(si)增多、業(ye)務開展越來(lai)越廣泛時，網(wang)(wang)絡結構趨于復(fu)雜，費用(yong)昂貴。利用(yong)VPN特性可以在(zai)Internet上組(zu)建(jian)世(shi)界范(fan)圍內的IntranetVPN。

（3）如果是提供B2B之間的安全(quan)訪(fang)問(wen)服務，則可以考慮EXtranetVPN。

隨著信(xin)(xin)息時代的(de)到來，各(ge)(ge)(ge)個企業(ye)越來越重視各(ge)(ge)(ge)種信(xin)(xin)息的(de)處理(li)。希望可(ke)以提供給(gei)客(ke)戶最快捷(jie)方(fang)便的(de)信(xin)(xin)息服(fu)務，通過(guo)各(ge)(ge)(ge)種方(fang)式了(le)解(jie)客(ke)戶的(de)需要，同時各(ge)(ge)(ge)個企業(ye)之間的(de)合作關系(xi)也(ye)越來越多，信(xin)(xin)息交(jiao)換日益頻繁。Internet為這樣的(de)一種發展趨勢提供了(le)良(liang)好(hao)的(de)基礎(chu)，而如何(he)利用Internet進行有效的(de)信(xin)(xin)息管理(li)，是企業(ye)發展中不(bu)可(ke)避免的(de)一個關鍵問題。利用VPN技術可(ke)以組建(jian)安全的(de)Extranet，既可(ke)以向客(ke)戶、合作伙伴提供有效的(de)信(xin)(xin)息

服務(wu)，又可以保證自身的內(nei)部網(wang)絡的安全。

3 結語

在過(guo)去(qu)無論因特網(wang)(wang)(wang)的(de)(de)(de)遠(yuan)程接(jie)(jie)入(ru)還是(shi)專線接(jie)(jie)入(ru)，以及骨干傳輸(shu)的(de)(de)(de)帶(dai)寬(kuan)都很(hen)小，QoS更是(shi)無法保(bao)障，造成企(qi)業用戶(hu)寧(ning)愿花費(fei)大量的(de)(de)(de)金錢去(qu)投資自己的(de)(de)(de)專線網(wang)(wang)(wang)絡(luo)(luo)(luo)或是(shi)寧(ning)愿花費(fei)巨額的(de)(de)(de)長途話費(fei)來提供遠(yuan)程接(jie)(jie)入(ru)。現在隨著ADSL、DWDM、MPLS等新(xin)技(ji)術的(de)(de)(de)大規模應(ying)用和推(tui)廣，上述問題(ti)將(jiang)得到根本改善和解(jie)決(jue)。可(ke)(ke)以想象，當我們消除了所有這些障礙因素后，VPN將(jiang)會成為(wei)我們網(wang)(wang)(wang)絡(luo)(luo)(luo)生活的(de)(de)(de)主要(yao)組成部分(fen)。同(tong)時，VPN會加快企(qi)業網(wang)(wang)(wang)的(de)(de)(de)建(jian)設(she)步伐，使得集(ji)團(tuan)公司(si)不(bu)(bu)僅僅只是(shi)建(jian)設(she)內部局域(yu)網(wang)(wang)(wang)，而(er)且能夠很(hen)快地(di)把全國各地(di)分(fen)公司(si)的(de)(de)(de)局域(yu)網(wang)(wang)(wang)連起來，從而(er)真正發揮整(zheng)個網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)作用。VPN對(dui)推(tui)動整(zheng)個電子商(shang)務、電子貿易將(jiang)起到不(bu)(bu)可(ke)(ke)低估的(de)(de)(de)作用。

參考文獻

[1]秦柯.Cisco IPSec VPN實(shi)戰指南人民郵電出版社，2012

篇7

【關鍵詞】虛擬專用網絡 多(duo)協議(yi)標(biao)記交換(huan) 安全性 穩定性靈活性

一、前言

隨著(zhu)企(qi)(qi)(qi)(qi)業(ye)(ye)(ye)(ye)規模的(de)不(bu)斷擴展，企(qi)(qi)(qi)(qi)業(ye)(ye)(ye)(ye)內部間(jian)信息(xi)(xi)傳輸(shu)的(de)安(an)全性(xing)，可靠性(xing)以及信息(xi)(xi)傳輸(shu)穩定(ding)性(xing)變得(de)越(yue)來(lai)越(yue)重要，各企(qi)(qi)(qi)(qi)業(ye)(ye)(ye)(ye)也越(yue)來(lai)越(yue)重視企(qi)(qi)(qi)(qi)業(ye)(ye)(ye)(ye)內部間(jian)的(de)網(wang)絡互連。因此(ci)，建設安(an)全、可靠、穩定(ding)、低成本的(de)企(qi)(qi)(qi)(qi)業(ye)(ye)(ye)(ye)網(wang)絡成為企(qi)(qi)(qi)(qi)業(ye)(ye)(ye)(ye)的(de)基礎課題。

然而，隨著IP-VPN技(ji)術迅速發(fa)展，使得(de)IP-VPN技(ji)術也廣泛(fan)應用于企(qi)(qi)業網絡(luo)(luo)建(jian)設當(dang)中(zhong)。而MPLSVPN是一(yi)種(zhong)(zhong)基(ji)于MPLS技(ji)術的IP-VPN，其能有效解決(jue)(jue)企(qi)(qi)業網絡(luo)(luo)組建(jian)中(zhong)遇到(dao)的跨越公(gong)用網和跨越自治系統(tong)的需求(qiu)，并且解決(jue)(jue)企(qi)(qi)業對于語音和視頻(pin)的通信需求(qiu)。同時MPLS VPN還保證了(le)網絡(luo)(luo)傳輸的安全性、實(shi)(shi)時性、穩(wen)定性。這(zhe)為現(xian)代異地辦公(gong)、移動辦公(gong)數據安全性、可(ke)靠(kao)性及實(shi)(shi)現(xian)企(qi)(qi)業互連，提(ti)供了(le)一(yi)種(zhong)(zhong)新的途(tu)徑和解決(jue)(jue)方案。

二、MPLS VPN技術在(zai)本(ben)企業的應用

近(jin)年來，隨著企業國際化進(jin)程的(de)(de)(de)穩步推進(jin)，信息化已成(cheng)為保(bao)障企業持續(xu)發展(zhan)的(de)(de)(de)重要(yao)手(shou)段之一(yi)。企業需(xu)要(yao)在(zai)提高企業網絡的(de)(de)(de)轉(zhuan)發速率和靈活性的(de)(de)(de)同時(shi)，又能確保(bao)企業信息化的(de)(de)(de)安全性與穩定性，以及(ji)在(zai)降(jiang)低投入到一(yi)個合理范(fan)圍的(de)(de)(de)同時(shi)，滿足企業信息化發展(zhan)的(de)(de)(de)需(xu)求(qiu)。

（一）本企業現狀

本(ben)企(qi)業(ye)(ye)的(de)網(wang)(wang)絡是星形網(wang)(wang)絡架(jia)(jia)構(gou)，通(tong)過總(zong)公司的(de)廣域網(wang)(wang)與各基地(di)相(xiang)互(hu)連(lian)通(tong)的(de)；新疆(jiang)和新加坡是直接通(tong)過本(ben)企(qi)業(ye)(ye)建(jian)立的(de)專線接入到燕(yan)(yan)(yan)郊(jiao)核(he)心(xin)交換機上(shang)(shang)，印尼分公司和墨西哥分公司是通(tong)過IPSEC VPN方(fang)式接入本(ben)企(qi)業(ye)(ye)燕(yan)(yan)(yan)郊(jiao)內網(wang)(wang)。本(ben)企(qi)業(ye)(ye)的(de)數據中心(xin)建(jian)在(zai)燕(yan)(yan)(yan)郊(jiao)，各基地(di)和海外子公司都(dou)需要訪(fang)問數據中心(xin)的(de)相(xiang)關數據，因此網(wang)(wang)絡流量都(dou)會(hui)集(ji)中在(zai)燕(yan)(yan)(yan)郊(jiao)，從網(wang)(wang)絡架(jia)(jia)構(gou)上(shang)(shang)說，本(ben)企(qi)業(ye)(ye)的(de)星型結構(gou)中心(xin)點應該是燕(yan)(yan)(yan)郊(jiao)地(di)區(qu)，而不(bu)是作為總(zong)公司的(de)中心(xin)節(jie)點的(de)北京地(di)區(qu)，因此現有的(de)網(wang)(wang)絡架(jia)(jia)構(gou)存在(zai)著(zhu)如下的(de)問題，核(he)心(xin)網(wang)(wang)絡節(jie)點資(zi)源分配不(bu)足，部(bu)分網(wang)(wang)絡上(shang)(shang)聯網(wang)(wang)絡資(zi)源不(bu)足，局(ju)部(bu)網(wang)(wang)絡在(zai)特定時間段存在(zai)網(wang)(wang)絡瓶頸，網(wang)(wang)絡傳輸速率不(bu)足。

本(ben)企(qi)業(ye)的(de)內部網絡(luo)(luo)通過總公司(si)的(de)廣域網與各分站(zhan)基地(di)互(hu)聯通信的(de)，同時(shi)，本(ben)企(qi)業(ye)的(de)內部網絡(luo)(luo)與總公司(si)及(ji)其(qi)二級公司(si)網絡(luo)(luo)也都是互(hu)通的(de)，相互(hu)之間沒有(you)充足(zu)的(de)隔離手(shou)段，因此在(zai)數(shu)據(ju)傳輸(shu)的(de)安(an)全性上存(cun)在(zai)較大隱患(huan)。同時(shi)，由于(yu)本(ben)企(qi)業(ye)的(de)網絡(luo)(luo)結構扁(bian)平，生產網和測試(shi)網沒有(you)進行(xing)分離，由于(yu)測試(shi)系統的(de)穩定(ding)性與安(an)全性都比(bi)較低，兩網在(zai)一起(qi)也存(cun)在(zai)著一定(ding)的(de)安(an)全隱患(huan)。

本企(qi)業燕郊(jiao)、湛(zhan)江、上海、深圳地(di)區的核(he)心網絡過(guo)于扁平化，如遇到網絡環路，就會造成整(zheng)個網絡的癱(tan)瘓(huan)，嚴重影(ying)響用戶的日(ri)常辦公和(he)各(ge)生(sheng)產系統(tong)的正(zheng)常運行(xing)。隨(sui)著應用系統(tong)的增(zeng)多，重要(yao)(yao)系統(tong)的網絡帶寬保障需求日(ri)益突出，然而現(xian)有網絡架構與設備無(wu)法在燕郊(jiao)與各(ge)地(di)做特殊應用優(you)先保障策略，導(dao)致(zhi)有的重要(yao)(yao)系統(tong)同步數據或上傳數據無(wu)法保障網絡傳輸平穩(wen)正(zheng)常。

隨(sui)著(zhu)本企(qi)業信息化建設需(xu)求不(bu)(bu)(bu)斷(duan)增多，應用(yong)(yong)系統的(de)(de)運(yun)維模式向集中管理發展，企(qi)業網絡傳(chuan)輸的(de)(de)穩定性、安全性和(he)轉(zhuan)發速率時刻(ke)影響著(zhu)各地用(yong)(yong)戶。至此，網絡架(jia)構(gou)不(bu)(bu)(bu)合理、轉(zhuan)發速率不(bu)(bu)(bu)足(zu)、穩定性不(bu)(bu)(bu)夠、以及安全性不(bu)(bu)(bu)高已(yi)嚴重制約(yue)了企(qi)業信息化的(de)(de)發展。

（二）MPLS VPN在油服的應用

1.設計方案

為滿(man)足本(ben)企業(ye)的(de)多網(wang)分離(li)，專網(wang)專用(yong)，辦公與生產(chan)、測試相互隔離(li)的(de)需求，同(tong)時(shi)一定程度上解(jie)決網(wang)絡速度慢、穩(wen)定性差、安全(quan)性低、網(wang)絡活動性和擴展(zhan)性不(bu)靈活、QOS無法制(zhi)定、舊網(wang)絡無法升級等問題，充(chong)分利用(yong)MPLS VPN技術的(de)優勢，項目(mu)組制(zhi)定了(le)本(ben)企業(ye)獨特(te)的(de)兩橫兩縱VPN設計架構(gou)。

本(ben)(ben)企(qi)業的MPLS VPN邏輯上分(fen)為兩(liang)橫兩(liang)縱(zong)，兩(liang)個(ge)橫向(xiang)VPN分(fen)別(bie)為應(ying)用(yong)(yong)共(gong)享(xiang)VPN和(he)測試(shi)共(gong)享(xiang)VPN；兩(liang)個(ge)縱(zong)向(xiang)VPN分(fen)別(bie)為辦(ban)公(gong)縱(zong)向(xiang)VPN和(he)科研縱(zong)向(xiang)VPN。應(ying)用(yong)(yong)共(gong)享(xiang)VPN里規劃(hua)為本(ben)(ben)企(qi)業現運行(xing)的各(ge)(ge)應(ying)用(yong)(yong)系(xi)統；測試(shi)共(gong)享(xiang)VPN為未正式上線的應(ying)用(yong)(yong)系(xi)統；辦(ban)公(gong)縱(zong)向(xiang)VPN為各(ge)(ge)基地(di)、機關(guan)的普(pu)通(tong)用(yong)(yong)戶地(di)址(zhi)段(duan)(duan)；科研縱(zong)向(xiang)VPN為各(ge)(ge)事業部要求網(wang)絡(luo)環境安全性比(bi)較高的用(yong)(yong)戶地(di)址(zhi)段(duan)(duan)。

2.實施過程

根據(ju)本企業(ye)各地(di)理(li)片區(qu)不(bu)同(tong)的(de)網(wang)(wang)(wang)絡(luo)(luo)設(she)(she)備以及網(wang)(wang)(wang)絡(luo)(luo)拓撲結(jie)(jie)構的(de)不(bu)同(tong)情況，結(jie)(jie)合整(zheng)體(ti)考量，MPLS VPN網(wang)(wang)(wang)絡(luo)(luo)改造從以下(xia)幾個(ge)步驟進行的(de)，首先，更換(huan)全(quan)網(wang)(wang)(wang)IP地(di)址；其次(ci)，更換(huan)全(quan)網(wang)(wang)(wang)不(bu)滿(man)足的(de)核心設(she)(she)備和(he)(he)樓層設(she)(she)備；再次(ci)，增(zeng)加全(quan)網(wang)(wang)(wang)網(wang)(wang)(wang)絡(luo)(luo)端口(kou)和(he)(he)光纖上鏈線路；最后(hou)，進行MPLS VPN配(pei)置(zhi)和(he)(he)遷移。根據(ju)前期的(de)規劃(hua)，通過近兩(liang)年的(de)實施，燕郊、湛江、塘沽、深圳和(he)(he)上海各地(di)分(fen)(fen)站(zhan)都劃(hua)分(fen)(fen)為邊緣區(qu)域，部署MCE設(she)(she)備，在MCE上分(fen)(fen)別建有本企業(ye)的(de)兩(liang)橫兩(liang)縱VPN，只有新疆(jiang)地(di)區(qu)由于片區(qu)小，人數少，網(wang)(wang)(wang)絡(luo)(luo)結(jie)(jie)構單(dan)一，所(suo)以配(pei)置(zhi)為CE。本企業(ye)MPLS VPN項目(mu)完成后(hou)的(de)網(wang)(wang)(wang)絡(luo)(luo)架(jia)構如下(xia)圖所(suo)示。

圖(tu)MPLS 網絡拓撲圖(tu)

3.使用效果

自MPLS VPN項(xiang)目改(gai)造以來(lai)，實施完(wan)成后的益處總結(jie)為以下幾點。

（1）提高本企業網(wang)絡的安全性

在實(shi)施MPLS VPN項(xiang)目(mu)以前，集團(tuan)公(gong)(gong)司旗(qi)下任(ren)何(he)一家二級單(dan)位都(dou)可(ke)以訪問(wen)本企業(ye)的(de)各(ge)應(ying)用系統、網絡(luo)設備和計(ji)算機，一旦(dan)有一個單(dan)位網絡(luo)出現病(bing)毒(du)，那么這(zhe)些網絡(luo)病(bing)毒(du)可(ke)以快速在廣(guang)域網中傳播(bo)；同(tong)時一旦(dan)該單(dan)位的(de)網絡(luo)受到(dao)外部攻(gong)(gong)擊(ji)或者(zhe)黑客進入，很容易會攻(gong)(gong)擊(ji)到(dao)本企業(ye)的(de)應(ying)用系統及個人辦公(gong)(gong)電腦，在信(xin)(xin)息化(hua)安(an)全不(bu)斷(duan)提高與(yu)強調的(de)今天(tian)，這(zhe)種(zhong)網絡(luo)環境(jing)已(yi)經不(bu)能滿足整個集團(tuan)以及本企業(ye)信(xin)(xin)息化(hua)發展的(de)需(xu)要。在實(shi)施了(le)MPLS VPN項(xiang)目(mu)后(hou)，整個網絡(luo)環境(jing)從三方面體現了(le)出了(le)高安(an)全性。不(bu)同(tong)VPN之間地址(zhi)空間與(yu)路(lu)由信(xin)(xin)息的(de)分離；骨干網絡(luo)拓撲(pu)對VPN用戶的(de)隱藏；提高了(le)網絡(luo)抵御惡意攻(gong)(gong)擊(ji)（如(ru)拒絕服務攻(gong)(gong)擊(ji)（DOS））以及網絡(luo)入侵(qin)的(de)能力。

（2）提(ti)升(sheng)各地局域網的網絡穩定性(xing)

MPLS VPN實施(shi)(shi)后，優化了各片區的(de)網絡(luo)接(jie)入(ru)方式，湛江(jiang)、燕郊、塘沽各地接(jie)入(ru)網絡(luo)都(dou)改成(cheng)了雙上聯的(de)不(bu)同(tong)(tong)(tong)路(lu)由區域，燕郊的(de)同(tong)(tong)(tong)地區不(bu)同(tong)(tong)(tong)片區之(zhi)間網絡(luo)接(jie)入(ru)也改成(cheng)了不(bu)同(tong)(tong)(tong)的(de)路(lu)由區域，提(ti)高了網絡(luo)的(de)穩定(ding)性。同(tong)(tong)(tong)時，同(tong)(tong)(tong)片區下不(bu)同(tong)(tong)(tong)VPN下的(de)機(ji)器不(bu)再受到環路(lu)后的(de)泛洪影響。根據PING值測試，MPLS VPN實施(shi)(shi)前各地存在著(zhu)每10000個PING包會(hui)丟失50到150個包，實施(shi)(shi)MPLS VPN后測試PING 10000個包丟率(lv)為(wei)0%，網絡(luo)的(de)穩定(ding)性達到了最佳值。

（3）優(you)化(hua)網(wang)絡基(ji)礎架構(gou)

在實施MPLS VPN后，更換(huan)(huan)(huan)(huan)了(le)燕(yan)郊(jiao)、湛江(jiang)(jiang)、上(shang)(shang)海(hai)、深(shen)圳(zhen)核(he)(he)(he)心設(she)備，提高了(le)更換(huan)(huan)(huan)(huan)的(de)(de)各(ge)基地的(de)(de)數據轉換(huan)(huan)(huan)(huan)和處理能力，同時調(diao)整(zheng)了(le)網絡架(jia)構(gou)，從本企(qi)業的(de)(de)網絡架(jia)構(gou)看(kan)，現(xian)已調(diao)整(zheng)為(wei)以燕(yan)郊(jiao)為(wei)中(zhong)心的(de)(de)星(xing)型雙鏈(lian)路(lu)架(jia)構(gou)；更改了(le)燕(yan)郊(jiao)、湛江(jiang)(jiang)、塘沽、湛江(jiang)(jiang)、上(shang)(shang)海(hai)和深(shen)圳(zhen)的(de)(de)接入方(fang)式，大(da)多實現(xian)雙上(shang)(shang)聯冗余接入網絡，并且(qie)根據各(ge)基地的(de)(de)現(xian)有情況(kuang)，調(diao)整(zheng)核(he)(he)(he)心交(jiao)換(huan)(huan)(huan)(huan)機(ji)配置，使接入層交(jiao)換(huan)(huan)(huan)(huan)機(ji)與(yu)核(he)(he)(he)心交(jiao)換(huan)(huan)(huan)(huan)機(ji)的(de)(de)選(xuan)路(lu)達到最優方(fang)式。

三、結束語

MPLS VPN網絡的(de)實(shi)施(shi)僅只是企業對MPLS VPN技術(shu)研究與應用(yong)的(de)一個起點，相(xiang)信隨著MPLS VPN技術(shu)的(de)不斷(duan)發展和使(shi)用(yong)的(de)深化，MPLS VPN技術(shu)的(de)各種優(you)勢將逐步(bu)被應用(yong)到我們(men)的(de)生產(chan)工(gong)作(zuo)中(zhong)去，并在我們(men)的(de)生產(chan)工(gong)作(zuo)中(zhong)發揮(hui)更加(jia)巨大的(de)作(zuo)用(yong)。

參考文獻：

[1] 趙雪石；MPLS VPN的優勢及實(shi)施中應注(zhu)意的問題[J]；湖北郵電技術；2004年05期.

[2] 胡(hu)國輝；崔可升；MPLS VPN原理及組網應用[J]；電信技術(shu)；2005年12期.

篇8

隨著Internet的蓬勃發(fa)展，人們對其應(ying)用提(ti)出了更高(gao)的要(yao)求。但(dan)Internet缺乏有(you)(you)效的流量和網絡帶寬管理手段(duan)，網絡經常會發(fa)生阻塞。無法對服務質量(QoS)提(ti)供保證，許多應(ying)用對于目前的IP技術(如(ru)語音(yin)和視頻等)顯得力(li)不從(cong)心。而新興(xing)的多協議標記交換技術(MPLS:MultiProtocol Label Switching)有(you)(you)望解決這一問題。

1 VPN簡介

VPN指的(de)(de)(de)(de)是(shi)(shi)(shi)依靠ISP和其它(ta)NSP，在公(gong)用網(wang)(wang)(wang)絡中(zhong)(zhong)建立專有數(shu)據(ju)通信(xin)網(wang)(wang)(wang)絡的(de)(de)(de)(de)技(ji)術。在虛擬(ni)專網(wang)(wang)(wang)中(zhong)(zhong)，任(ren)意(yi)兩個接(jie)點(dian)之間的(de)(de)(de)(de)連接(jie)并沒(mei)有傳統(tong)專網(wang)(wang)(wang)所需(xu)的(de)(de)(de)(de)端(duan)到端(duan)的(de)(de)(de)(de)物理鏈路，而(er)是(shi)(shi)(shi)利用某種(zhong)公(gong)共(gong)網(wang)(wang)(wang)的(de)(de)(de)(de)資源(yuan)動(dong)態(tai)組成的(de)(de)(de)(de)。VPN技(ji)術采用季認證、存(cun)取控制(zhi)、機密性、數(shu)據(ju)完整性等措施，以保證信(xin)息(xi)在傳輸(shu)過(guo)程中(zhong)(zhong)的(de)(de)(de)(de)機密性、完整性和可(ke)用性。它(ta)是(shi)(shi)(shi)在公(gong)共(gong)Internet之上為政府、企業構(gou)恐(kong)安全可(ke)靠、方便(bian)快捷的(de)(de)(de)(de)專用網(wang)(wang)(wang)絡，并可(ke)節(jie)省資金。VPN技(ji)術是(shi)(shi)(shi)廣(guang)域網(wang)(wang)(wang)建設(she)的(de)(de)(de)(de)最佳解(jie)決方染(ran)，它(ta)不(bu)僅會大(da)大(da)節(jie)省廣(guang)域網(wang)(wang)(wang)的(de)(de)(de)(de)建設(she)和運行維護費用，而(er)且擁有成本低、便(bian)于(yu)管理，開銷少、靈活(huo)度(du)高，保密性好等優點(dian)。

2 基于MPLS的VPN技術

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技(ji)術構建(jian)的虛擬專用(yong)網(wang)(wang)，即采(cai)用(yong)MPLS技(ji)術，在公共IP網(wang)(wang)絡(luo)上構建(jian)企(qi)業(ye)IP專網(wang)(wang)，實(shi)現數(shu)據、語音、圖像等(deng)(deng)多業(ye)務(wu)寬帶連(lian)接。并結合差別服務(wu)、流量工程等(deng)(deng)相(xiang)關技(ji)術，為用(yong)戶提(ti)供(gong)高(gao)(gao)質量的服務(wu)。MPLS VPN能(neng)(neng)夠在提(ti)供(gong)原(yuan)有(you)VPN網(wang)(wang)絡(luo)所有(you)功能(neng)(neng)的同時，提(ti)供(gong)強(qiang)(qiang)有(you)力(li)的QoS能(neng)(neng)力(li)，具有(you)可靠性高(gao)(gao)、安全性高(gao)(gao)、擴展能(neng)(neng)力(li)強(qiang)(qiang)、控制策略靈活以及管理能(neng)(neng)力(li)強(qiang)(qiang)大(da)等(deng)(deng)特點(dian)。

MPLS是一種特殊(shu)的(de)(de)轉發機制，它為進入網(wang)絡中的(de)(de)IP數(shu)據(ju)包(bao)分配標(biao)記，并通(tong)(tong)過對(dui)標(biao)記的(de)(de)交換來實現(xian)IP數(shu)據(ju)包(bao)的(de)(de)轉發。標(biao)記作為IP包(bao)頭在(zai)網(wang)絡中的(de)(de)替代(dai)品而(er)存在(zai)，在(zai)網(wang)絡內部MPLS在(zai)數(shu)據(ju)包(bao)所(suo)經過的(de)(de)路(lu)徑通(tong)(tong)過交換標(biao)記（而(er)不(bu)是看IP包(bao)頭）來實現(xian)轉發；當數(shu)據(ju)包(bao)要(yao)退出(chu)MPLS網(wang)絡時(shi)，數(shu)據(ju)包(bao)被解開(kai)封裝，繼續按照IP包(bao)的(de)(de)路(lu)由方(fang)式到達(da)目的(de)(de)地(di)。

    如圖1所示，MPLS網(wang)(wang)絡(luo)包含一些(xie)基本的元素。在(zai)網(wang)(wang)絡(luo)邊緣的節(jie)點(dian)就稱作標(biao)記邊緣路(lu)由(you)器(LER:Label Edge Router),而網(wang)(wang)絡(luo)的核(he)心節(jie)點(dian)就稱作標(biao)記交(jiao)換路(lu)由(you)器（LSR：Label Switching Router）。LER節(jie)點(dian)在(zai)網(wang)(wang)絡(luo)中提供高速交(jiao)換功能。在(zai)MPLS節(jie)點(dian)之間的路(lu)徑就叫做標(biao)記交(jiao)換路(lu)徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wang)(wang)絡(luo)的單向(xiang)隧道。

MPLS的(de)工作流程可以分為三個(ge)方面(mian)：即(ji)網絡的(de)邊緣行為、網絡的(de)中心(xin)行為以及如何建(jian)立標(biao)記交(jiao)換路(lu)徑。

1. 網(wang)絡的邊緣行為

當IP數據包到達一(yi)個(ge)LER時，MPLS第(di)一(yi)次應用標記(ji)。首先，LER要(yao)分析IP包頭的信(xin)息，并且按(an)照它的目(mu)的地址和(he)業務等級(ji)加以區分。

在LER中，MPLS使(shi)用了轉發(fa)等價類(FEC:Forwarding Equivalence Class)的(de)概念來將輸入的(de)數據(ju)流映射(she)到(dao)一(yi)(yi)條LSP上。簡單地(di)說，FEC就是定(ding)義了一(yi)(yi)組(zu)沿著(zhu)同(tong)一(yi)(yi)條路徑、有相(xiang)同(tong)處理(li)過程的(de)數據(ju)包(bao)。這就意味著(zhu)所有的(de)FEC相(xiang)同(tong)的(de)包(bao)都可以(yi)映射(she)到(dao)同(tong)一(yi)(yi)個(ge)標記中。

對于每一個FEC，LER都建(jian)立一條獨立的(de)LSP穿(chuan)過網絡(luo)，到達目的(de)地。數(shu)據(ju)(ju)包分配到一個FEC后，LER就(jiu)可以(yi)根據(ju)(ju)標(biao)記(ji)(ji)(ji)信息(xi)庫(ku)(LIB:Label Information Base)來為其生成一個標(biao)記(ji)(ji)(ji)。標(biao)記(ji)(ji)(ji)信息(xi)庫(ku)將(jiang)(jiang)每一個FEC都映射到LSP下一跳的(de)標(biao)記(ji)(ji)(ji)上。如果下一跳的(de)鏈路是ATM，則MPLS將(jiang)(jiang)使用(yong)ATM VCC里的(de)VCI作(zuo)為標(biao)記(ji)(ji)(ji)。

轉發數據(ju)包(bao)時，LER檢查(cha)標(biao)(biao)記信(xin)息庫(ku)中的(de)FEC，然后將數據(ju)包(bao)用(yong)LSP的(de)標(biao)(biao)記封裝，從標(biao)(biao)記信(xin)息庫(ku)所規定(ding)的(de)下一個接口發送出去。

2. 網絡的核心行為

當(dang)一個帶有標(biao)記(ji)(ji)(ji)(ji)(ji)的包(bao)到達LSR的時候，LSR提(ti)取(qu)入(ru)局標(biao)記(ji)(ji)(ji)(ji)(ji)，同時以(yi)它作為(wei)索引在標(biao)記(ji)(ji)(ji)(ji)(ji)信(xin)(xin)息(xi)庫(ku)中(zhong)查找(zhao)。當(dang)LSR找(zhao)到相關信(xin)(xin)息(xi)后，取(qu)出(chu)(chu)出(chu)(chu)局的標(biao)記(ji)(ji)(ji)(ji)(ji)，并(bing)由出(chu)(chu)局標(biao)記(ji)(ji)(ji)(ji)(ji)代替入(ru)局標(biao)記(ji)(ji)(ji)(ji)(ji)，從(cong)標(biao)記(ji)(ji)(ji)(ji)(ji)信(xin)(xin)息(xi)庫(ku)中(zhong)所描述的下一跳接口送出(chu)(chu)數據包(bao)。

最后，數據包到(dao)達了MPLS域的(de)另一端，在(zai)這一點(dian)，LER剝去封裝的(de)標記，仍然按(an)照IP包的(de)路由(you)方式將數據包繼續(xu)傳送(song)到(dao)目的(de)地(di)。

3. 如(ru)何(he)建立標記交換(huan)路(lu)徑(jing)

建立LSP的方(fang)式主(zhu)要有兩種：

(1)“Hop by Hop (逐跳尋徑(jing)) ”路由

一(yi)個Hop-by -Hop的(de)(de)LSP是所有從(cong)源(yuan)站點到一(yi)個特(te)定目的(de)(de)站點的(de)(de)IP樹的(de)(de)一(yi)部分。對(dui)于這些(xie)LSP，MPLS模仿IP轉發數據包的(de)(de)面向目的(de)(de)地的(de)(de)方式建立了一(yi)組樹。

從傳(chuan)統的(de)IP路(lu)由來看，每(mei)一(yi)臺沿途的(de)路(lu)由器都要檢查(cha)包(bao)的(de)目的(de)地址(zhi)，并(bing)且選(xuan)擇一(yi)條(tiao)合(he)適(shi)的(de)路(lu)徑(jing)(jing)將數據(ju)包(bao)發送出去(qu)。而MPLS則(ze)不然，數據(ju)包(bao)雖然也沿著IP路(lu)由所選(xuan)擇的(de)同一(yi)條(tiao)路(lu)徑(jing)(jing)進行傳(chuan)送，但是它的(de)數據(ju)包(bao)頭(tou)在整條(tiao)路(lu)徑(jing)(jing)上從始至終都沒有被檢查(cha)。

在每一(yi)(yi)個節點，MPLS生(sheng)成(cheng)(cheng)的樹(shu)是通(tong)過(guo)一(yi)(yi)級(ji)一(yi)(yi)級(ji)地(di)為下一(yi)(yi)跳分配標記(ji)，而且是通(tong)過(guo)與它們的對等層交換標記(ji)而生(sheng)成(cheng)(cheng)的。交換是通(tong)過(guo)標記(ji)分配協議(LDP:Label Distribution Protocol)的請求以及(ji)對應的消(xiao)息完成(cheng)(cheng)的。

(2)顯式路由

MPLS最(zui)主要的(de)(de)(de)(de)優點就(jiu)是它可以利用流量(liang)設計(ji)“引導”數據包。MPLS允許(xu)網絡的(de)(de)(de)(de)運行人員在源(yuan)節點就(jiu)確定(ding)一條顯(xian)式路(lu)由的(de)(de)(de)(de)LSP（ER-LSP），以規定(ding)數據包將選擇的(de)(de)(de)(de)路(lu)徑。ER-LSP從源(yuan)端到目的(de)(de)(de)(de)端建立(li)一條直接的(de)(de)(de)(de)端到端的(de)(de)(de)(de)路(lu)徑。MPLS將顯(xian)式路(lu)由嵌入(ru)到限制路(lu)由的(de)(de)(de)(de)標記分配協議的(de)(de)(de)(de)信息(xi)中(zhong)，從而建立(li)這條路(lu)徑。

2.2 基本MPLS的VPN實現

如圖(tu)2所(suo)示，基于BGP擴展實現的MPLS三層(ceng)VPN包含以下(xia)基本組件：

PE：Provider Edge Router,PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)使用靜態路(lu)(lu)(lu)由(you)(you)(you)、RIPv2、OSPF或EBGP與CE路(lu)(lu)(lu)由(you)(you)(you)器(qi)交換(huan)路(lu)(lu)(lu)由(you)(you)(you)信(xin)息。盡管PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)維(wei)護(hu)著VPN路(lu)(lu)(lu)由(you)(you)(you)信(xin)息，但(dan)它只需(xu)為(wei)其直接相(xiang)連的(de)那(nei)些VPN維(wei)護(hu)VPN路(lu)(lu)(lu)由(you)(you)(you)。每(mei)(mei)臺(tai)PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)為(wei)其直接相(xiang)連的(de)每(mei)(mei)個站(zhan)點維(wei)護(hu)一個VRP（Virtual Routing Forwarding Table），每(mei)(mei)個客戶連接映射到某個VRF上(shang)。在從CE路(lu)(lu)(lu)由(you)(you)(you)器(qi)上(shang)學習本地VPN路(lu)(lu)(lu)由(you)(you)(you)信(xin)息。PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)使用IBGP與其它路(lu)(lu)(lu)由(you)(you)(you)器(qi)交換(huan)VPN路(lu)(lu)(lu)由(you)(you)(you)信(xin)息。PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)可以保護(hu)到路(lu)(lu)(lu)由(you)(you)(you)反射器(qi)的(de)IBGP會(hui)話，作(zuo)為(wei)全網狀IBGP會(hui)話的(de)替代方案。使用MPLS在供應商骨干(gan)中(zhong)轉發VPN數據流量時，入口PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)作(zuo)為(wei)入MPLS使用，出(chu)入PE路(lu)(lu)(lu)由(you)(you)(you)器(qi)作(zuo)為(wei)出(chu)中(zhong)LSR使用。

    CE：客(ke)戶邊緣(CE)設備允許客(ke)戶通過連(lian)接(jie)(jie)一(yi)臺或(huo)多臺供(gong)應(ying)商邊緣（PE）路(lu)(lu)(lu)由(you)器的(de)一(yi)條數(shu)據鏈路(lu)(lu)(lu)接(jie)(jie)入(ru)服務(wu)供(gong)應(ying)商網絡。CE設備是一(yi)臺IP路(lu)(lu)(lu)由(you)器，它與(yu)直接(jie)(jie)連(lian)接(jie)(jie)的(de)PE路(lu)(lu)(lu)由(you)器建(jian)立(li)鄰接(jie)(jie)關系。在建(jian)立(li)鄰接(jie)(jie)后，CE路(lu)(lu)(lu)由(you)器把站點(dian)的(de)本地VPN路(lu)(lu)(lu)由(you)廣(guang)播到PE路(lu)(lu)(lu)由(you)器，并從PE路(lu)(lu)(lu)由(you)器上學(xue)習遠程VPN路(lu)(lu)(lu)由(you)。

Prouter:Provider Router，供應商(shang)(shang)路由(you)(you)(you)器(qi)(qi)是沒有連接CE設備(bei)的(de)供應商(shang)(shang)網絡中的(de)任何路由(you)(you)(you)器(qi)(qi)。在PE路由(you)(you)(you)器(qi)(qi)這間(jian)轉發(fa)VPN數據流(liu)量時，供應商(shang)(shang)路由(you)(you)(you)器(qi)(qi)作為MPLS連接LSR使用。由(you)(you)(you)于(yu)是在采用兩層標記堆棧的(de)MPLS骨干中轉發(fa)流(liu)量，因此供應商(shang)(shang)路由(you)(you)(you)器(qi)(qi)只需(xu)維護到供應商(shang)(shang)PE路由(you)(you)(you)器(qi)(qi)的(de)路由(you)(you)(you)，而不需(xu)維護每(mei)個客戶站點專用的(de)VPN路由(you)(you)(you)信息。

RR:Route Reflector,BGP路由(you)反(fan)射器

ASBR:Automated System Border Router，自治系統邊界路由(you)(you)器，在實現跨自治系統的VPN時，與其它自治系統交換VPN路由(you)(you)。

MP-BGP：多協議擴(kuo)展BGP，承(cheng)載(zai)攜帶標簽的IPv4/VPN路(lu)由，包括MP-IBGP、MP-EBGP。

PE-CE路由(you)協議：在(zai)PE、CE之間傳遞(di)用戶網絡路由(you)，可以是(shi)靜(jing)態(tai)路由(you)，或RIP、OSPF、ISIS、BGP協議。

LDP：Label distribution Protocol，在PE之間建立盡力而為(wei)的LSP，經過P路(lu)由器，所有(you)PE、P路(lu)由器均需要支持。RSVP-TE：在VPN需要QoS保(bao)障時，在PE之間建立具有(you)QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虛(xu)擬路由(you)轉(zhuan)(zhuan)發(fa)表(biao)，它(ta)包含(han)同一(yi)個Site相關的路由(you)表(biao)、轉(zhuan)(zhuan)發(fa)表(biao)、接口(kou)(kou)(kou)（子接口(kou)(kou)(kou)）、路由(you)實(shi)例和路由(you)策略等。在PE設備(bei)上，屬(shu)于同一(yi)VPN的物理端(duan)(duan)口(kou)(kou)(kou)或邏(luo)輯端(duan)(duan)口(kou)(kou)(kou)對應一(yi)個VRF，可通(tong)過命令行或網管工具(ju)進(jin)行配置，主要參數(shu)包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(kou)(kou)(kou)（子接口(kou)(kou)(kou)）等。

VPN用(yong)戶站點：Site是VPN中的一(yi)個(ge)孤(gu)立的IP網絡，一(yi)般來說，它不通(tong)過骨干網公司總(zong)部、分支機(ji)構(gou)都是Site的具體例子(zi)。CE路由(you)器通(tong)常(chang)為VPN Site中的一(yi)個(ge)路由(you)器或交換設備，Site通(tong)過一(yi)個(ge)單獨的物(wu)理端口(kou)或邏輯端口(kou)（通(tong)常(chang)是VLAN端口(kou)）連(lian)接到PE設備。

用戶接(jie)入(ru)MPLS VPN后，每個Site提供一(yi)個或多個CE與(yu)骨干網的(de)PE連接(jie)，并在(zai)PE上為該Site配(pei)置VRF，將連結PE-CE的(de)物理接(jie)口、邏輯接(jie)口、甚至L2TP/IPSec隧道綁定到VRF上，但不可以是多跳的(de)三層連接(jie)。

BGP擴展實(shi)現的(de)MPLS VPN擴展的(de)BGP NLRI的(de)IPv4地址，在其前(qian)增加(jia)了一個8字節的(de)RD（Route Distinguisher），用于(yu)標記VPN的(de)成員(Site)。每個VRF可配(pei)置某些(xie)策略(lve)，規定VPN可以(yi)接(jie)收哪(na)些(xie)Site的(de)路(lu)由信(xin)息，可以(yi)向外哪(na)些(xie)Site的(de)路(lu)由信(xin)息。PE根據BGP擴展的(de)信(xin)息進行路(lu)由計(ji)算，生成相關VPN的(de)路(lu)由表。

通常，PE-CE之(zhi)間(jian)通過靜態路由(you)交換路由(you)信息，也可(ke)(ke)通過RIP、OSPF、BGP、IS-IS等協議，靜態路由(you)方式(shi)可(ke)(ke)以(yi)減少因CE設備管理不善等原(yuan)因造成的對骨干(gan)網BGP路由(you)的震蕩，從(cong)而提供骨干(gan)網的穩定(ding)性。

MPLS BGP三(san)層(ceng)VPN適用于固定的Internet/Extranet用戶，每個Site可代表Internet/Extranet的總部或(huo)分支機構。MPLS三(san)層(ceng)VPN的CE與(yu)PE設(she)備之(zhi)(zhi)間只需要一(yi)條(tiao)物理或(huo)邏輯鏈路(lu)，但PE設(she)備必(bi)須(xu)保存多個路(lu)由(you)表。如(ru)果(guo)在(zai)CPE或(huo)PE之(zhi)(zhi)間運行動態路(lu)由(you)協議，則PE還(huan)必(bi)須(xu)支持多實例，對PE性能要求較高。PE與(yu)PE之(zhi)(zhi)間需要運行BGP協議，可擴展(zhan)性較差(cha)，目前(qian)可通過一(yi)個或(huo)多個路(lu)由(you)反(fan)射器解決(jue)這(zhe)一(yi)問題。對于同一(yi)AS(Automated System)域的VPN，必(bi)須(xu)建立運營(ying)商(shang)之(zhi)(zhi)間路(lu)由(you)器IBGP連(lian)接的PE，與(yu)路(lu)由(you)反(fan)射器建立IBGP連(lian)接即可。

MPLS BGP三層VPN可(ke)通過與Internet路由(you)之(zhi)間(jian)配(pei)置一些靜(jing)態路由(you)的(de)方式(shi)，實現VPN的(de)Internet上(shang)網服(fu)務，并(bing)可(ke)為跨不同地域的(de)、屬于同一個AS但沒有骨干(gan)網的(de)運營商(shang)提供VPN互連(lian)，即(ji)提供“運營商(shang)的(de)運營商(shang)”模式(shi)的(de)VPN網絡互連(lian)。

2.3 MPLS的優點

1.高安全(quan)性(xing)。MPLS的標記(ji)交換路徑(jing)(LPS)具有與FR和ATM VCC相似的安全(quan)性(xing)；另外(wai)。MPLS VPN還集成了(le)IPSEC加(jia)密，同時也實現了(le)對用(yong)(yong)戶(hu)透時，用(yong)(yong)戶(hu)可以采用(yong)(yong)防火墻，數(shu)據加(jia)密等方法(fa)，進一(yi)步提(ti)高安全(quan)性(xing)。

2.強大(da)的擴展性。第一，網絡可以容納的VPN數目(mu)很大(da)；第二，同(tong)一VPN的用戶很容易擴充。

3.業務的融合(he)能(neng)力(li)。MPLS VPN提供了數據、語音和視頻三網融合(he)的能(neng)力(li)。

4.靈活(huo)的控制策略。可(ke)以制定特(te)殊的控制策略，同時(shi)滿(man)足不同用(yong)戶的特(te)殊需求，實現增(zeng)值服務。

5.強大(da)的管理功能(neng)。采用集中管理的方式(shi)，業務(wu)配置和調(diao)度統(tong)一平臺，減少了用戶(hu)的負(fu)擔。

6.服(fu)務級別(bie)協議(SLA)。目前利(li)用差(cha)別(bie)服(fu)務、流量控制和(he)服(fu)務級別(bie)來保證一定的流量控制，將(jiang)來可以(yi)提供(gong)寬帶保證以(yi)及(ji)更(geng)高的服(fu)務質(zhi)量保證。

篇9

Abstract: The paper mainly introduces the components and key technologies of MPLS VPN network system and explores the application of MPLS VPN network system in railway communication.

關鍵詞:MPLS/VPN;MPLS;鐵路

Key words: MPLS/VPN;MPLS;railway

中圖分類號:TP39 文(wen)獻標識碼:A文(wen)章編號:1006-4311(2010)27-0167-01

0引言

MPLS VPN技術目前(qian)發展迅速,初期(qi)在亞洲,2002年比2001年增長(chang)了357%,達到一定(ding)的規模后開始保持每(mei)年大約27%的增長(chang)率。目前(qian),MPLS VPN 已經在銀行(xing)、保險(xian)、運輸、大型制造和連鎖企業提供(gong)了端到端高(gao)質量、安全(quan)可靠的網絡平臺和服(fu)務。

1VPN技術概述

虛(xu)擬專(zhuan)用(yong)(yong)網(wang)(wang)(VPN:Virtual Private Network)指的是(shi)依靠ISP(Internet服(fu)務(wu)提供商(shang))和其(qi)它(ta)NSP(網(wang)(wang)絡服(fu)務(wu)提供商(shang)),在公(gong)(gong)用(yong)(yong)網(wang)(wang)絡中建立專(zhuan)用(yong)(yong)的數(shu)據通(tong)信網(wang)(wang)絡的技術。所(suo)謂虛(xu)擬,是(shi)指用(yong)(yong)戶不再需要擁(yong)有實際的長途(tu)數(shu)據線(xian)(xian)路,而(er)是(shi)使(shi)用(yong)(yong)Internet公(gong)(gong)眾數(shu)據網(wang)(wang)絡的長途(tu)數(shu)據線(xian)(xian)路。所(suo)謂專(zhuan)用(yong)(yong)網(wang)(wang)絡,是(shi)指用(yong)(yong)戶可以為(wei)自己(ji)制定一(yi)個最(zui)符(fu)合自己(ji)需求的網(wang)(wang)絡。

2MPLS VPN技(ji)術介紹(shao)

MPLS VPN是基(ji)于MPLS (Multiprotocol Label Switching,多協議標(biao)記交換(huan))技(ji)術的(de)IP VPN,是在網絡(luo)路由和交換(huan)設備上應用(yong)MPLS技(ji)術,簡化核心路由器的(de)路由選擇方式,利用(yong)結合傳統(tong)路由技(ji)術的(de)標(biao)記交換(huan)實現的(de)IP虛擬(ni)專用(yong)網絡(luo)(IP VPN),可用(yong)來構(gou)造寬(kuan)帶的(de)Intranet、Extranet,滿足(zu)多種靈(ling)活的(de)業務(wu)需求(qiu)。

2.1 MPLS的基本原理MPLS網(wang)絡(luo)包(bao)含(han)一(yi)些(xie)基本的元素。在網(wang)絡(luo)邊緣的節點(dian)就(jiu)(jiu)稱作(zuo)標(biao)記邊緣路由(you)器(LER:Label Edge Router),而網(wang)絡(luo)的核心節點(dian)就(jiu)(jiu)稱作(zuo)標(biao)記交(jiao)換路由(you)器(LSR:Label Switching Router)。LER節點(dian)在網(wang)絡(luo)中提供高速交(jiao)換功能。在MPLS節點(dian)之間的路徑(jing)就(jiu)(jiu)叫(jiao)做標(biao)記交(jiao)換路徑(jing)(LSP:Label Switched Path)。一(yi)條LSP可以看作(zuo)是一(yi)條貫穿網(wang)絡(luo)的隧道。

2.2 MPLS VPN的實現原理基于BGP的MPLS VPN中(zhong)的路(lu)由(you)(you)器(qi)有三(san)種(zhong):P路(lu)由(you)(you)器(qi)、PE路(lu)由(you)(you)器(qi)和CE路(lu)由(you)(you)器(qi)。

CE路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi)(CE:Customer Edge Device)為(wei)客戶(hu)邊緣(yuan)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi),由(you)(you)(you)客戶(hu)負責維護(hu)。客戶(hu)邊緣(yuan)(CE)設(she)備(bei)允許(xu)客戶(hu)通(tong)(tong)過(guo)連(lian)接一臺(tai)或多臺(tai)供應商邊緣(yuan)(PE)路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi)的一條數(shu)據鏈路(lu)(lu)(lu)(lu)(lu)(lu)接入(ru)服務供應商網絡。CE設(she)備(bei)是一臺(tai)IP路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi),它與直接連(lian)接的PE路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi)建立(li)鄰接關系。在建立(li)鄰接后,CE路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi)把站(zhan)點的本地VPN路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)廣播到(dao)PE路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi),并(bing)從PE路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)器(qi)上學習遠程VPN路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)。通(tong)(tong)常(chang),PE-CE之間(jian)通(tong)(tong)過(guo)靜(jing)態路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)交(jiao)換路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)信息,也可(ke)通(tong)(tong)過(guo)RIP、OSPF、BGP、IS-IS等(deng)(deng)協議,靜(jing)態路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)方式(shi)可(ke)以減少因(yin)CE設(she)備(bei)管理不善等(deng)(deng)原因(yin)造成的對骨干(gan)網BGP路(lu)(lu)(lu)(lu)(lu)(lu)由(you)(you)(you)的震(zhen)蕩,從而提供骨干(gan)網的穩定性。

PE路(lu)(lu)(lu)由器(PE:Provider Edge Router)為運營(ying)商(shang)邊界路(lu)(lu)(lu)由器,存(cun)(cun)放(fang)著VRF表和全局(ju)路(lu)(lu)(lu)由表,VRF中存(cun)(cun)放(fang)著VPN路(lu)(lu)(lu)由,全局(ju)路(lu)(lu)(lu)由表中存(cun)(cun)放(fang)著運營(ying)商(shang)的域內路(lu)(lu)(lu)由。

P路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)(Prouter:Provider Router)為(wei)運營商(shang)(shang)主(zhu)干路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi),負責VPN分組外層標簽的交換。供應(ying)商(shang)(shang)路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)是沒有連(lian)接CE設備的供應(ying)商(shang)(shang)網絡中(zhong)的任何路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)。在PE路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)間轉發VPN數據流量(liang)時,供應(ying)商(shang)(shang)路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)作為(wei)MPLS連(lian)接LSR使用。由于(yu)是在采用兩(liang)層標記堆棧的MPLS骨干中(zhong)轉發流量(liang),因此供應(ying)商(shang)(shang)路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)只(zhi)需(xu)維(wei)護到供應(ying)商(shang)(shang)PE路(lu)(lu)(lu)(lu)(lu)由器(qi)(qi)的路(lu)(lu)(lu)(lu)(lu)由,而不需(xu)維(wei)護每個客戶站點專用的VPN路(lu)(lu)(lu)(lu)(lu)由信息。

3MPLS VPN優勢(shi)

3.1 安全(quan)性(xing)高采用(yong)(yong)MPLS作為(wei)通道(dao)機制實(shi)現透明報文傳輸(shu),MPLS的標簽交(jiao)換(huan)路徑(LSP)具有(you)與FR和ATM VC相類似的安全(quan)性(xing);另外,由(you)于(yu)MPLS VPN實(shi)現對用(yong)(yong)戶透明,用(yong)(yong)戶還可以采用(yong)(yong)已有(you)的手段,如設置防火墻,采用(yong)(yong)數據安全(quan)加(jia)密等(deng)方(fang)法,進(jin)一(yi)步(bu)提高安全(quan)性(xing)。

3.2 可擴展性強網絡中可以容納的(de)VPN數目大(da),同一VPN中的(de)節(jie)點容易(yi)擴充(chong),解決了(le)各節(jie)點全網狀互聯(lian)的(de)N平(ping)方問題。

3.3 接入便利MPLS VPN提(ti)供多種(zhong)接入方式,不必對原(yuan)有(you)接入設備做任何改變,保護(hu)了企業的現有(you)網絡投資。

3.4 維(wei)護(hu)成(cheng)(cheng)本低網絡的使用(yong)與(yu)維(wei)護(hu)變(bian)得簡單,便于管(guan)理(li)和擴展,降低了網絡運維(wei)與(yu)管(guan)理(li)的人(ren)力、物力成(cheng)(cheng)本運。

4鐵路(lu)系統應用(yong)分析(xi)

在(zai)鐵路系統中,以往(wang)鐵道部、鐵路局、各業務部門等(deng)組(zu)(zu)織機構之間(jian)(jian)(jian)的組(zu)(zu)網(wang),較多是(shi)以2M數(shu)(shu)(shu)字通道(E1)的方式(shi)進行,這種(zhong)方式(shi)適合于數(shu)(shu)(shu)據敏感(gan)、較少(shao)節(jie)(jie)(jie)點(dian)之間(jian)(jian)(jian)互(hu)聯、帶寬要(yao)求不高的環境,但隨(sui)著鐵路系統各組(zu)(zu)織機構之間(jian)(jian)(jian)信(xin)息需(xu)求和網(wang)絡節(jie)(jie)(jie)點(dian)數(shu)(shu)(shu)量逐漸增多,此組(zu)(zu)網(wang)方式(shi)在(zai)拓展線路帶寬、增加網(wang)絡節(jie)(jie)(jie)點(dian)上就不具備良(liang)好的擴展能力,如(ru)果要(yao)實現各節(jie)(jie)(jie)點(dian)之間(jian)(jian)(jian)全互(hu)聯則線路接入(ru)費(fei)用(yong)也隨(sui)N 平方的問題成(cheng)倍增加,接入(ru)設備也需(xu)要(yao)作大量調整。

鐵路系統(tong)應用MPLS VPN技(ji)術組(zu)網時(shi),主要考慮有以下因素:

4.1 安全性對于較(jiao)為敏感、安全級別(bie)高(gao)的(de)應用系(xi)統,在(zai)采用MPLS VPN隔離系(xi)統基礎上,可以在(zai)各(ge)節點之(zhi)間進一(yi)步通過(guo)增加防火(huo)墻建立IPsec數據加密機制,從而實現通道(dao)隔離和IPsec數據加密的(de)雙重(zhong)保護。

4.2 接入方式(shi)節點之間基于對等模式(shi)的數據互訪,需要在互訪的節點使用(yong)LAN、光纖等對稱(cheng)帶寬(kuan)的線路接入MPLS VPN網絡,帶寬(kuan)大小根據業務需求而定。

節點(dian)之(zhi)間基于C/S模式的(de)數據(ju)互訪,需要根據(ju)其(qi)應用(yong)特點(dian)在(zai)服(fu)務節點(dian)采(cai)用(yong)高帶寬(kuan)的(de)線路接入(ru)(ru)(ru),接入(ru)(ru)(ru)方(fang)式可(ke)以(yi)通常(chang)采(cai)用(yong)LAN 、光纖等。在(zai)客戶端也可(ke)以(yi)同(tong)樣的(de)接入(ru)(ru)(ru)方(fang)式,但出于對(dui)成本的(de)降低和(he)帶寬(kuan)需求不(bu)高考慮,可(ke)以(yi)采(cai)用(yong)ADSL這種靈活的(de)非對(dui)稱(cheng)帶寬(kuan)線路方(fang)式接入(ru)(ru)(ru)。

4.3 可擴展性(xing)對原有業(ye)務(wu)的網(wang)絡(luo)節點增加,只需在相(xiang)應節點增加接(jie)入(ru)線路即可;新(xin)增業(ye)務(wu)的網(wang)絡(luo)節點只需要(yao)申請新(xin)的VPN業(ye)務(wu),并設(she)立各(ge)節點接(jie)入(ru)。原有業(ye)務(wu)和(he)新(xin)增業(ye)務(wu)共同存在于運營商網(wang)絡(luo)中,但互相(xiang)隔離。

5結束語

以(yi)MPLS VPN為基(ji)礎構(gou)架,結合其(qi)它各種VPN技術構(gou)建鐵(tie)路系統(tong)的骨干網絡,必將會加(jia)速推動鐵(tie)路信息化(hua)建設(she),滿足鐵(tie)路系統(tong)日益增(zeng)長的信息需(xu)求,同(tong)時(shi)為鐵(tie)路系統(tong)帶來安全、高(gao)帶寬、高(gao)擴(kuo)展性和(he)較(jiao)低維護費(fei)用的網絡。

篇10

關鍵詞(ci)：圖書館網絡互聯(lian)vpn技術

0引言

隨著Internet和信(xin)(xin)息技術的快速(su)發展(zhan)，人們越(yue)來越(yue)依賴Internet進(jin)行各種數據交換和信(xin)(xin)息存取，高校信(xin)(xin)息化建設也進(jin)一步完善，應用系統逐漸(jian)豐富，圖書(shu)館信(xin)(xin)息資源得到(dao)飛速(su)的發展(zhan)，現在教師的教學、科研(yan)都離不開圖書(shu)館信(xin)(xin)息資源。

然(ran)而對(dui)于(yu)圖(tu)(tu)書(shu)館(guan)來(lai)說(shuo)，基于(yu)安全和知(zhi)識產(chan)權的(de)(de)考慮，文(wen)獻信息資(zi)(zi)(zi)源并(bing)不是無限制地對(dui)外開(kai)放，圖(tu)(tu)書(shu)館(guan)許多(duo)信息資(zi)(zi)(zi)源僅限校(xiao)(xiao)內訪問(wen)。如圖(tu)(tu)書(shu)館(guan)所(suo)購買的(de)(de)電子資(zi)(zi)(zi)源，大部分只允許擁有校(xiao)(xiao)內IP地址的(de)(de)授(shou)權用戶(hu)訪問(wen)。這樣，對(dui)于(yu)某些在校(xiao)(xiao)外通過(guo)撥(bo)號等(deng)方式上網卻(que)沒有固定(ding)IP地址的(de)(de)用戶(hu)，以(yi)及范圍(wei)不在校(xiao)(xiao)園(yuan)局域網內的(de)(de)寬(kuan)帶(dai)用戶(hu)就很難利(li)用到校(xiao)(xiao)園(yuan)圖(tu)(tu)書(shu)館(guan)網上的(de)(de)文(wen)獻資(zi)(zi)(zi)源。

此外，許多(duo)高校圖(tu)(tu)書(shu)館(guan)(guan)為了(le)規(gui)范(fan)化管理，均采(cai)用(yong)統一的(de)圖(tu)(tu)書(shu)館(guan)(guan)管理系統在(zai)校園網(wang)(wang)上(shang)支撐多(duo)校區圖(tu)(tu)書(shu)館(guan)(guan)業(ye)務，勢(shi)必存在(zai)許多(duo)安(an)全(quan)隱患，為了(le)安(an)全(quan)起見一般采(cai)用(yong)獨立成網(wang)(wang)，但是這種做法費用(yong)高而(er)且不靈(ling)活(huo)。若(ruo)能在(zai)校園網(wang)(wang)的(de)基礎上(shang)架構一個(ge)安(an)全(quan)、可靠的(de)專用(yong)虛(xu)擬網(wang)(wang)絡，專供圖(tu)(tu)書(shu)館(guan)(guan)管理系統使用(yong)，既(ji)廉價又(you)方(fang)便。

本文(wen)介紹(shao)了運(yun)用VPN技術(shu)來解決以上(shang)問題的方案。

1VPN描述

1.1VPN的(de)定義VPN（VirtualPrivateNetwork，虛擬(ni)專(zhuan)(zhuan)用(yong)網(wang)）是(shi)(shi)(shi)一種通(tong)過對網(wang)絡數(shu)據進(jin)行封包(bao)和加密，在公網(wang)如(ru)因特網(wang)上(shang)傳輸私有數(shu)據，同時保證(zheng)私有網(wang)絡安全(quan)性的(de)技(ji)術(shu)。它(ta)是(shi)(shi)(shi)利用(yong)公共網(wang)絡資源(yuan)和設備建立一個(ge)臨(lin)時、安全(quan)、邏輯上(shang)的(de)專(zhuan)(zhuan)用(yong)通(tong)道，盡(jin)管沒(mei)有自己的(de)專(zhuan)(zhuan)用(yong)線(xian)路，但是(shi)(shi)(shi)這個(ge)邏輯上(shang)的(de)專(zhuan)(zhuan)用(yong)通(tong)道卻可(ke)以提供(gong)和專(zhuan)(zhuan)用(yong)網(wang)絡同樣的(de)功(gong)能[1]。

1.2VPN的主要特點

1.2.1網際(ji)互聯安全(quan)性高[2]VPN技術繼承(cheng)了現有(you)網絡的(de)安全(quan)技術，并結合了下一代IPv6的(de)安全(quan)特性，通過隧道、認(ren)證、接入控(kong)制、數(shu)據加密技術，利用公(gong)網建立互聯的(de)虛擬(ni)專用通道，實現網絡互聯的(de)安全(quan)。

1.2.2經濟實(shi)用、管理(li)簡化[3]由(you)(you)于VPN獨立于初(chu)始協(xie)議，用戶可(ke)以繼續使用傳統設(she)備，保護了用戶在現有(you)硬件和(he)軟件系統上(shang)的投資。由(you)(you)于VPN可(ke)以完全(quan)管理(li)，并且能(neng)夠從中央網站進(jin)行基于策略的控(kong)制，因此(ci)可(ke)以大幅度地減少(shao)在安(an)裝(zhuang)配(pei)置遠端網絡接(jie)口(kou)所需(xu)設(she)備上(shang)的開銷和(he)安(an)全(quan)配(pei)置。

1.2.3可(ke)擴展性好[4]如果(guo)想(xiang)擴大VPN的容量和覆蓋(gai)范圍(wei)，管理者(zhe)(zhe)只需與(yu)新加入的分館簽約，建(jian)立賬戶(hu)；或者(zhe)(zhe)與(yu)原(yuan)有(you)的下級(ji)組織(zhi)重簽合約，擴大服務范圍(wei)。在遠程地點增加VPN能(neng)(neng)力也(ye)很簡單，幾條命令(ling)就可(ke)以使Extranet路(lu)由(you)器(qi)擁有(you)因特網和VPN能(neng)(neng)力，路(lu)由(you)器(qi)還能(neng)(neng)對工作站自動進(jin)行(xing)配置。

1.2.4支持多種應(ying)(ying)用(yong)(yong)由于VPN給(gei)我們(men)提供了安(an)全的通道，可以把目前(qian)在局(ju)域網(wang)上的應(ying)(ying)用(yong)(yong)直接運用(yong)(yong)在廣域網(wang)上。VPN則可以支持各種高級的應(ying)(ying)用(yong)(yong)，如IP語音，IP傳真等。

1.2.5有效(xiao)實現(xian)網(wang)(wang)(wang)絡資源共(gong)(gong)建共(gong)(gong)享在網(wang)(wang)(wang)絡安全的保(bao)證(zheng)下和(he)認(ren)證(zheng)技術的支持下，可以實現(xian)整個VPN體系中(zhong)互聯(lian)單位(wei)的資源共(gong)(gong)建共(gong)(gong)享，避免資源重復開發帶(dai)來的巨大浪費，甚至可以實現(xian)普通讀者(zhe)在家(jia)用ADSL來訪問公(gong)共(gong)(gong)圖書館局域網(wang)(wang)(wang)絡中(zhong)的全文數(shu)據庫(ku)。

2利用VPN實現(xian)圖書館(guan)網絡互聯(lian)

要(yao)實(shi)現(xian)對分布在不同地域的信息資(zi)源(yuan)實(shi)行(xing)更為方(fang)便有(you)(you)效(xiao)的統一(yi)規劃與管理，并有(you)(you)效(xiao)地利(li)用(yong)各總館(guan)(guan)(guan)與分館(guan)(guan)(guan)的資(zi)源(yuan)，進行(xing)內(nei)部(bu)(bu)業務交(jiao)流和(he)開(kai)展讀者服務工作，必須解決(jue)兩個問(wen)題(ti)：第一(yi)，要(yao)建立圖(tu)書館(guan)(guan)(guan)網(wang)絡間的安(an)全(quan)通(tong)道(dao)，保護鏈(lian)路(lu)的通(tong)訊安(an)全(quan)。第二，要(yao)根據身份認證實(shi)現(xian)圖(tu)書館(guan)(guan)(guan)網(wang)絡內(nei)部(bu)(bu)共享資(zi)源(yuan)的訪(fang)問(wen)控制。利(li)用(yong)VPN技術將有(you)(you)效(xiao)解決(jue)上述問(wen)題(ti)。

2.1采(cai)(cai)用(yong)自建(jian)方式(shi)構(gou)建(jian)VPN網(wang)絡(luo)(luo)雖然可(ke)(ke)以(yi)通過ISP（InternetServiceProvider，網(wang)絡(luo)(luo)服(fu)務提供商）的(de)(de)中心交換(huan)設(she)備來(lai)構(gou)建(jian)專用(yong)通道，但公共圖(tu)書(shu)(shu)館(guan)(guan)內部局(ju)域網(wang)互聯(lian)(lian)速度(du)相對較快，所(suo)以(yi)圖(tu)書(shu)(shu)館(guan)(guan)VPN網(wang)絡(luo)(luo)互聯(lian)(lian)宜采(cai)(cai)用(yong)自建(jian)的(de)(de)方式(shi)。其優勢(shi)如(ru)下：①多數公共圖(tu)書(shu)(shu)館(guan)(guan)都具備良(liang)好的(de)(de)計(ji)算(suan)機(ji)基(ji)礎設(she)施和(he)內聯(lian)(lian)局(ju)域網(wang)，接入因特(te)網(wang)帶寬有(you)(you)百兆、甚至千兆，而總館(guan)(guan)在這方面的(de)(de)優勢(shi)更加(jia)突出。在此(ci)基(ji)礎上自建(jian)VPN，既(ji)便(bian)捷又經(jing)濟。②能使(shi)圖(tu)書(shu)(shu)館(guan)(guan)互聯(lian)(lian)網(wang)絡(luo)(luo)對所(suo)有(you)(you)的(de)(de)安(an)全(quan)(quan)(quan)認(ren)證、網(wang)絡(luo)(luo)系統以(yi)及網(wang)絡(luo)(luo)訪問情況(kuang)進(jin)行(xing)控制，建(jian)立(li)端(duan)到端(duan)的(de)(de)安(an)全(quan)(quan)(quan)結構(gou)，集成和(he)協調現(xian)有(you)(you)的(de)(de)內部安(an)全(quan)(quan)(quan)技術。③開(kai)發額外(wai)的(de)(de)新的(de)(de)應用(yong)服(fu)務不用(yong)通過與(yu)ISP協商。圖(tu)書(shu)(shu)館(guan)(guan)信息技術應用(yong)人員可(ke)(ke)得到可(ke)(ke)持續性鍛煉和(he)培(pei)養。④可(ke)(ke)以(yi)根據需要來(lai)配置(zhi)自己的(de)(de)安(an)全(quan)(quan)(quan)策(ce)略，滿足不同級別的(de)(de)安(an)全(quan)(quan)(quan)需要。

2.2VPN類型的選(xuan)擇目前(qian)國內高校(xiao)大多(duo)采用(yong)(yong)IPSec（IPSecurity）VPN技術來解決校(xiao)外用(yong)(yong)戶訪問(wen)校(xiao)圖書(shu)館問(wen)題。但由于IPSec協議最初是為了解決點(dian)(dian)對(dui)點(dian)(dian)的安全(quan)問(wen)題而制定的。因此在此基礎上建立的遠(yuan)程接入(ru)方案面對(dui)越來越多(duo)終端站點(dian)(dian)時(shi)，已日(ri)漸顯(xian)得力不(bu)從(cong)心。

在(zai)此情況下(xia)，SSL（SecruitySocketLayer）VPN技術應(ying)運而(er)生(sheng)。SSLVPN的(de)(de)突(tu)出優(you)勢在(zai)于Web安(an)全和(he)移動接(jie)入(ru)。它可(ke)(ke)以(yi)提(ti)供遠程的(de)(de)安(an)全接(jie)入(ru)，而(er)無需(xu)安(an)裝或設定客戶端(duan)軟件。SSL在(zai)Web的(de)(de)易用(yong)(yong)性和(he)安(an)全性方面架起(qi)了一(yi)座橋梁(liang)。目(mu)前，對SSLVPN公認的(de)(de)三大(da)好處(chu)：一(yi)是它不(bu)需(xu)要配(pei)置，可(ke)(ke)以(yi)立(li)即安(an)裝立(li)即生(sheng)效和(he)使用(yong)(yong)；二(er)是客戶端(duan)不(bu)需(xu)要安(an)裝，直接(jie)利用(yong)(yong)瀏覽器中內嵌的(de)(de)SSL協議就行；三是兼容性好，可(ke)(ke)以(yi)適用(yong)(yong)于任(ren)何的(de)(de)終端(duan)及操作系統。所有的(de)(de)校外用(yong)(yong)戶只(zhi)需(xu)要打開IE瀏覽器訪問圖書館的(de)(de)InternetIP即可(ke)(ke)成功接(jie)入(ru)圖書館。

但SSLVPN并(bing)不(bu)能取代IPSecVPN，因(yin)為這兩(liang)種技術目(mu)前應(ying)用(yong)(yong)在不(bu)同的領(ling)域(yu)。SSLVPN考(kao)慮(lv)的是(shi)應(ying)用(yong)(yong)軟件的安(an)全性，更(geng)多應(ying)用(yong)(yong)在Web的遠(yuan)程(cheng)安(an)全接(jie)入方面；而(er)IPSecVPN是(shi)在兩(liang)個局域(yu)網之間(jian)(jian)通過(guo)Intemet建立安(an)全連接(jie)，是(shi)實現點對點之間(jian)(jian)的通信。并(bing)且，IPSec工作于網絡層，不(bu)局限(xian)于Web應(ying)用(yong)(yong)。從(cong)高(gao)校應(ying)用(yong)(yong)來(lai)看，由于SSL接(jie)人方式下所有(you)用(yong)(yong)戶(hu)的訪(fang)(fang)問請求都是(shi)從(cong)SSLVPN設備(bei)的LAN口發起(qi)的。對于那些(xie)對單個用(yong)(yong)戶(hu)流量(liang)有(you)嚴格限(xian)制(zhi)的資(zi)源(yuan)商(shang)來(lai)說(shuo)，集(ji)群(qun)(qun)SSL用(yong)(yong)戶(hu)的訪(fang)(fang)問會被(bei)當成(cheng)一個用(yong)(yong)戶(hu)對待。這樣(yang)當集(ji)群(qun)(qun)訪(fang)(fang)問流量(liang)達(da)到資(zi)源(yuan)商(shang)限(xian)制(zhi)的數值(zhi)時(shi)，就極易(yi)造成(cheng)該IP被(bei)禁用(yong)(yong)，從(cong)而(er)導(dao)致所有(you)SSL用(yong)(yong)戶(hu)無(wu)法繼續(xu)訪(fang)(fang)問圖書館(guan)。

為解決(jue)這個問(wen)題，可以將(jiang)圖書館大量(liang)(liang)的(de)(de)校外用(yong)(yong)(yong)(yong)(yong)戶(hu)分(fen)為兩類(lei)，一類(lei)是使用(yong)(yong)(yong)(yong)(yong)圖書館資源較(jiao)為頻繁、訪問(wen)數(shu)(shu)(shu)據(ju)量(liang)(liang)較(jiao)大的(de)(de)用(yong)(yong)(yong)(yong)(yong)戶(hu)（比(bi)如(ru)教師(shi)，但(dan)用(yong)(yong)(yong)(yong)(yong)戶(hu)數(shu)(shu)(shu)量(liang)(liang)少）；另(ling)一類(lei)則是使用(yong)(yong)(yong)(yong)(yong)次數(shu)(shu)(shu)較(jiao)少、訪問(wen)數(shu)(shu)(shu)據(ju)不多的(de)(de)用(yong)(yong)(yong)(yong)(yong)戶(hu)（比(bi)如(ru)學(xue)生(sheng)，但(dan)用(yong)(yong)(yong)(yong)(yong)戶(hu)將(jiang)數(shu)(shu)(shu)量(liang)(liang)多）。通(tong)過(guo)用(yong)(yong)(yong)(yong)(yong)戶(hu)劃(hua)分(fen)，我們(men)給教師(shi)用(yong)(yong)(yong)(yong)(yong)戶(hu)分(fen)配IPSec接入方(fang)式，這樣就可以把大流量(liang)(liang)的(de)(de)用(yong)(yong)(yong)(yong)(yong)戶(hu)分(fen)配到不同的(de)(de)IP地址上。避(bi)免IP流量(liang)(liang)過(guo)大造成IP被(bei)禁用(yong)(yong)(yong)(yong)(yong)問(wen)題；而將(jiang)那些數(shu)(shu)(shu)量(liang)(liang)眾(zhong)多但(dan)訪問(wen)量(liang)(liang)小的(de)(de)學(xue)生(sheng)用(yong)(yong)(yong)(yong)(yong)戶(hu)分(fen)配SSL接入方(fang)式。利用(yong)(yong)(yong)(yong)(yong)SSLVPN無需部署客戶(hu)端的(de)(de)特性來(lai)降(jiang)低客戶(hu)端的(de)(de)維護工(gong)作量(liang)(liang)，從(cong)而實現VPN在(zai)圖書館應用(yong)(yong)(yong)(yong)(yong)的(de)(de)快速部署。

目前，許(xu)多VPN產品(pin)都能提供多種(zhong)VPN接入形式，如(ru)：CiscoASA5500系列可以在單一平臺上提供IPSec和(he)基于SSL（SecureSocketsLayer，安全套協議）的(de)VPN服(fu)務，避免了為(wei)SSL和(he)IPSecVPN部署分立的(de)平臺而導(dao)致低效和(he)成(cheng)本增加。

2.3VPN支持(chi)的(de)(de)(de)(de)認(ren)(ren)證(zheng)(zheng)技術一個(ge)VPN系統應支持(chi)標準的(de)(de)(de)(de)認(ren)(ren)證(zheng)(zheng)方式，如基(ji)于(yu)機器(qi)特(te)征碼、數字證(zheng)(zheng)書技術、遠程用戶撥號認(ren)(ren)證(zheng)(zheng)系統（RADIUS，RemoteAuthenticationDialInUserService）認(ren)(ren)證(zheng)(zheng)、基(ji)于(yu)公開密鑰(yao)基(ji)礎設(she)施（PKI，PublicKeyInfrastructure）[5]的(de)(de)(de)(de)證(zheng)(zheng)書認(ren)(ren)證(zheng)(zheng)以(yi)及逐漸興(xing)起的(de)(de)(de)(de)生物識別技術等等。另外，還(huan)要提供基(ji)于(yu)用戶組策略(lve)的(de)(de)(de)(de)認(ren)(ren)證(zheng)(zheng)。

2.4VPN接入控(kong)制(zhi)(zhi)的(de)(de)(de)選擇機(ji)制(zhi)(zhi)為(wei)了方便(bian)網絡使用(yong)者（包括館員、讀(du)者、管理部(bu)門等等）互聯，所有(you)局(ju)域(yu)網內部(bu)的(de)(de)(de)用(yong)戶(hu)(hu)都(dou)必須有(you)使用(yong)VPN服(fu)務器(qi)的(de)(de)(de)權限(xian)。因此，接入控(kong)制(zhi)(zhi)顯得比其他兩種隧道形式更為(wei)重(zhong)要。可(ke)以采用(yong)兩級(ji)的(de)(de)(de)控(kong)制(zhi)(zhi)機(ji)制(zhi)(zhi)，粗度的(de)(de)(de)接入控(kong)制(zhi)(zhi)交給VPN服(fu)務器(qi)來(lai)完成(cheng)，VPN服(fu)務器(qi)上的(de)(de)(de)安全策略(lve)數據庫（SPD,SafetyPolicyDatabase）可(ke)以實現基于(yu)類似(si)于(yu)用(yong)戶(hu)(hu)組級(ji)別的(de)(de)(de)控(kong)制(zhi)(zhi)，既把所有(you)用(yong)戶(hu)(hu)劃分為(wei)不同等級(ji)的(de)(de)(de)組來(lai)配置接入控(kong)制(zhi)(zhi)策略(lve)。細度的(de)(de)(de)接入控(kong)制(zhi)(zhi)將(jiang)由獨(du)立(li)的(de)(de)(de)認證(zheng)服(fu)務器(qi)來(lai)完成(cheng)，可(ke)以使局(ju)域(yu)網共享(xiang)一個(ge)證(zheng)書(shu)(shu)機(ji)構CA（CertificateAuthority，數字證(zheng)書(shu)(shu)認證(zheng)中心）和安全策略(lve)服(fu)務器(qi)，由它來(lai)管理和發(fa)放數字證(zheng)書(shu)(shu)，實現對控(kong)制(zhi)(zhi)資源的(de)(de)(de)訪問。

2.5VPN數(shu)據安(an)全(quan)(quan)采(cai)用(yong)分級(ji)(ji)(ji)(ji)(ji)處理(li)方式數(shu)據安(an)全(quan)(quan)包括(kuo)數(shu)據加(jia)(jia)(jia)(jia)密(mi)、完整性(xing)檢測和抗篡改。VPN技術(shu)在(zai)支(zhi)持多(duo)種加(jia)(jia)(jia)(jia)密(mi)算(suan)法的(de)(de)(de)同時還提供了對數(shu)據完整性(xing)進(jin)行檢測的(de)(de)(de)功能(neng)。在(zai)數(shu)據安(an)全(quan)(quan)上(shang)，采(cai)用(yong)分級(ji)(ji)(ji)(ji)(ji)處理(li)方式，對不同的(de)(de)(de)等(deng)級(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)用(yong)戶配置不同的(de)(de)(de)數(shu)據安(an)全(quan)(quan)策(ce)略，把用(yong)戶分為(wei)普(pu)通(tong)(tong)級(ji)(ji)(ji)(ji)(ji)、普(pu)通(tong)(tong)加(jia)(jia)(jia)(jia)密(mi)級(ji)(ji)(ji)(ji)(ji)、高(gao)級(ji)(ji)(ji)(ji)(ji)加(jia)(jia)(jia)(jia)密(mi)級(ji)(ji)(ji)(ji)(ji)。對在(zai)普(pu)通(tong)(tong)級(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)用(yong)戶通(tong)(tong)訊(xun)(xun)數(shu)據（例(li)如：讀者(zhe)訪問(wen)圖書(shu)館電子資(zi)源）配置為(wei)不使(shi)用(yong)任何加(jia)(jia)(jia)(jia)密(mi)的(de)(de)(de)安(an)全(quan)(quan)策(ce)略；普(pu)通(tong)(tong)加(jia)(jia)(jia)(jia)密(mi)級(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)通(tong)(tong)訊(xun)(xun)數(shu)據采(cai)用(yong)低位的(de)(de)(de)加(jia)(jia)(jia)(jia)密(mi)和散(san)列(lie)函(han)數(shu)進(jin)行完整性(xing)檢測安(an)全(quan)(quan)策(ce)略；高(gao)級(ji)(ji)(ji)(ji)(ji)加(jia)(jia)(jia)(jia)密(mi)級(ji)(ji)(ji)(ji)(ji)的(de)(de)(de)通(tong)(tong)訊(xun)(xun)數(shu)據可以采(cai)用(yong)多(duo)位的(de)(de)(de)加(jia)(jia)(jia)(jia)密(mi)+散(san)列(lie)函(han)數(shu)的(de)(de)(de)安(an)全(quan)(quan)策(ce)略。

2.6VPN的(de)(de)設備選(xuan)擇對于(yu)設備的(de)(de)選(xuan)擇，可(ke)以(yi)根據自己的(de)(de)實際情況，結合(he)已有網(wang)絡的(de)(de)特點從可(ke)擴(kuo)展性(xing)(xing)、效果、性(xing)(xing)能(neng)、價錢等進行分(fen)析衡量選(xuan)配。最(zui)好選(xuan)擇集成防火墻(qiang)功能(neng)的(de)(de)VPN產品，以(yi)保(bao)證加密的(de)(de)流(liu)量在(zai)解(jie)密后，同(tong)樣需要(yao)經(jing)過嚴(yan)格(ge)的(de)(de)訪問控制(zhi)策略的(de)(de)檢查，保(bao)護VPN網(wang)關免受DoS（DenialofService，拒絕服務）攻擊(ji)和入侵威脅，提供更好的(de)(de)處理(li)性(xing)(xing)能(neng)，簡化網(wang)絡管理(li)的(de)(de)任(ren)務，快速適應(ying)動態、變(bian)化的(de)(de)網(wang)絡環境(jing)。

3總結

總(zong)之，VPN新技(ji)術綜合(he)傳統數據(ju)網(wang)(wang)絡的(de)(de)(de)安全(quan)性和較(jiao)好的(de)(de)(de)服務(wu)質(zhi)量，以(yi)及共享(xiang)數據(ju)網(wang)(wang)絡結構的(de)(de)(de)簡單和低成本，建(jian)立(li)安全(quan)的(de)(de)(de)數據(ju)通(tong)道(dao)，滿足了(le)用(yong)戶對網(wang)(wang)絡帶(dai)寬(kuan)、接入和服務(wu)不斷增加的(de)(de)(de)需求，在高校(xiao)圖(tu)書(shu)館中構建(jian)以(yi)公眾網(wang)(wang)為基礎的(de)(de)(de)虛(xu)擬專用(yong)網(wang)(wang)（VPN）系統，能有效解決當(dang)前高校(xiao)圖(tu)書(shu)館資源(yuan)(yuan)的(de)(de)(de)遠(yuan)程利用(yong)問題(ti)和資源(yuan)(yuan)統一(yi)管理問題(ti)。隨著VPN技(ji)術的(de)(de)(de)日(ri)益(yi)成熟，VPN必將成為未來圖(tu)書(shu)館互聯網(wang)(wang)絡的(de)(de)(de)主要發展方向。

參考文獻：

[1]焦青亮.虛擬網絡VPN綜述(shu)[J].黑龍江科技信(xin)息.2007(1):54.

[2]唐(tang)淑娟(juan)，秦一方(fang)，井向陽(yang).VPN技(ji)術與圖書(shu)館資(zi)源遠程利用[J].情報探索.2007(1):49-51.

[3]韓(han)明明.VIP技術在高校(xiao)圖書(shu)館中的應用(yong)探(tan)討[J].高校(xiao)圖書(shu)情報論壇.2007(1):43-45.