導(dǎo)語：如何才能寫好一篇vpn技術(shù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：vpn 隧道協(xié)議 PPTP L2TP IPSec

VPN是Virtual Private Network的縮寫，即虛擬專用網(wǎng)絡(luò)。VPN在公共IP網(wǎng)絡(luò)上建立用戶私有的數(shù)據(jù)傳輸通道，將遠(yuǎn)程訪問用戶與相應(yīng)企業(yè)的內(nèi)部網(wǎng)絡(luò)連接起來，并提供安全的端到端的數(shù)據(jù)通信，從而大大減輕了企業(yè)的遠(yuǎn)程訪問費用，節(jié)省企業(yè)的運行成本。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

1、VPN的使用隧道協(xié)議

VPN的實現(xiàn)，最關(guān)鍵的是在公共網(wǎng)洛上建立用于數(shù)據(jù)傳輸?shù)倪壿嬏摂M信道，而建立虛擬信道是通過使用隧道技術(shù)來實現(xiàn)的，隧道的建立可以是在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。第二層隧道技術(shù)主要是使用PPP連接，使用的隧道協(xié)議有PPTP和L2TP，其特點是協(xié)議簡單，易于加密，適合于遠(yuǎn)程撥號用戶使用；第三層隧道技術(shù)是IPinIP，使用的隧道協(xié)議是IPSec，其可靠性及擴(kuò)展性優(yōu)于第二層隧道協(xié)議，但沒有前者簡單直接。

1.1 PPTP（點對點隧道協(xié)議）

點到點隧道協(xié)議（PPTP，Point-to-Point Tunneling Protocol），是一種用于使遠(yuǎn)程用戶通過撥號方式連接到本地的ISP，通過Internet安全的遠(yuǎn)程訪問公司內(nèi)部網(wǎng)絡(luò)資源的工業(yè)標(biāo)準(zhǔn)隧道協(xié)議，它在WIN NT 4.0系統(tǒng)中首先得到支持。PPTP是對“PPP（點對點協(xié)議）”的擴(kuò)展，它能將PPP（點到點協(xié)議）幀封裝成IP數(shù)據(jù)包，以便能夠在基于IP的互聯(lián)網(wǎng)上進(jìn)行傳輸，它增強(qiáng)了PPP的身份驗證、壓縮和加密機(jī)制。PPTP使用TCP（傳輸控制協(xié)議）來創(chuàng)建、維護(hù)、終止隧道，并使用GRE（通用路由封裝）將PPP幀封裝成隧道數(shù)據(jù)，被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。PPTP協(xié)議數(shù)據(jù)包通過使用從MS-SHAP（微軟公司的盤問交握式協(xié)議）活EAP-TLS（EAP Transport LAN Service，可傳輸式身份驗證協(xié)議）身份驗證過程中生成的密鑰進(jìn)行加密。

1.2 第二層隧道協(xié)議（L2TP）

第二層隧道協(xié)議（L2TP）是思科公司開發(fā)的，具有RFC隧道協(xié)議的一種協(xié)議，是PPTP與L2F（第二層轉(zhuǎn)發(fā)）的一種綜合。它不同于PPTP，Windows系統(tǒng)中的L2TP不使用“MPPE（微軟點對點加密）”來加密PPP數(shù)據(jù)包，它是依賴于加密服務(wù)的IPSec（網(wǎng)際協(xié)議安全）的協(xié)議?，F(xiàn)在被廣泛使用的是基于IPSec的L2TP。VPN客戶機(jī)和VPN服務(wù)器必須同時支持IPSec和L2TP，L2TP將在IPSec身份驗證的過程中生成一個密鑰，而采用IPSec加密機(jī)制加密L2TP消息。

1.3 Internet協(xié)議安全性（IPSec）

IPSec是專門為了IP提供安全服務(wù)而設(shè)計的一種協(xié)議，它可以有效地保護(hù)IP數(shù)據(jù)報的安全，具體通過包括數(shù)據(jù)源驗證、無連接數(shù)據(jù)的完整性驗證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)和抗重播保護(hù)等保護(hù)形式來實現(xiàn)。IPSec有兩種運行模式：傳輸模式和隧道模式，有兩種安全協(xié)議：AH（認(rèn)證頭協(xié)議）和ESP（封裝安全載荷協(xié)議）。AH可以驗證數(shù)據(jù)的起源，保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。ESP除具有AH的所有能力以外，還可以選擇保障數(shù)據(jù)的機(jī)密性，以及為數(shù)據(jù)流提供有限的機(jī)密性保障。即AH提供認(rèn)證，ESP提供認(rèn)證和/或加密。通過使用這兩種協(xié)議，可以對IP數(shù)據(jù)報或上層協(xié)議，如UDP和TCP，進(jìn)行保護(hù)，而這種保護(hù)由IPSec的兩種工作模式來提供。到目前為止，IPSec被業(yè)界認(rèn)為是最安全的IP協(xié)議，但是其過于復(fù)雜的問題也是系統(tǒng)安全的一個主要威脅。

2、VPN網(wǎng)絡(luò)服務(wù)的分類

從連接用途以及連接方式上，VPN網(wǎng)絡(luò)服務(wù)可以分為基于Internet的VPN和基于Intranet的VPN。

2.1 基于Internet的VPN

遠(yuǎn)程訪問客戶首先要激活與本地ISP所建立的物理連接，然后遠(yuǎn)程訪問客戶通過Internet來訪問企業(yè)的VPN服務(wù)器，同時初始化一條虛擬的專用隧道。VPN連接創(chuàng)建以后，遠(yuǎn)程訪問用戶就可以訪問VPN服務(wù)器所在Intranet上的有權(quán)限訪問的資源了。

2.2 基于Intranet的VPN

對于企業(yè)內(nèi)部的敏感或需保密的部門，這些部門在邏輯上或者物理上與企業(yè)Intranet上的其他部門是斷開的，即不能互訪。如何使需要訪問的用戶訪問這些部門呢？通過VPN鏈接，這些敏感部門的網(wǎng)絡(luò)將被允許連接到企業(yè)的Intranet內(nèi)，通過搭建VPN服務(wù)器將這些敏感部門和其他部門隔離開。VPN服務(wù)器不在企業(yè)的Intranet和部門網(wǎng)絡(luò)之間提供直接的路由連接。那些企業(yè)Intranet內(nèi)有訪問敏感部門權(quán)限的用戶可以與VPN服務(wù)器建立遠(yuǎn)程訪問連接，進(jìn)而訪問敏感部門網(wǎng)絡(luò)。為此，所有通過VPN的通信數(shù)據(jù)都會被加密。對于那些沒有訪問敏感部門權(quán)限的用戶，在Intranet上，敏感部門的網(wǎng)絡(luò)是隱藏的。

3、VPN的解決方案

3.1 Access VPN

這種方案最適合企業(yè)內(nèi)部有大量的遠(yuǎn)程辦公訪問需求和提供B2C（Business-to-Customer商家對顧客）方式的企業(yè)。遠(yuǎn)程訪問的企業(yè)員工或者客戶可以利用當(dāng)?shù)豂SP提供的VPN服務(wù)和企業(yè)的VPN網(wǎng)關(guān)建立專有隧道連接，這建立連接的過程中需對訪問者的身份進(jìn)行驗證和授權(quán)，這樣可以使遠(yuǎn)程訪問用戶獲得相應(yīng)的訪問權(quán)限。

3.2 Intranet VPN

這種解決方案是企業(yè)內(nèi)部各分支機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)互聯(lián)的最優(yōu)解決方案。企業(yè)特別是大型的跨國企業(yè)可以利用VPN技術(shù)將分步在各地的分公司、辦事處等分支機(jī)構(gòu)通過Internet建立世界范圍內(nèi)的Intranet VPN。這個方案充分利用Internet廉價性和VPN的高安全性組建了安全的、專用的虛擬鏈路，使企業(yè)的數(shù)據(jù)和信息可以借助互聯(lián)網(wǎng)安全的在企業(yè)的各個分支機(jī)構(gòu)之間傳遞。

3.3 Extranet VPN

這種方案以Internet為數(shù)據(jù)鏈路基礎(chǔ)，通過VPN技術(shù)，在充分保證企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的基礎(chǔ)上，使企業(yè)能夠像其合作伙伴提供有效的、可靠的信息服務(wù)。該方案使得企業(yè)和企業(yè)之間的聯(lián)系更加緊密，也保障了企業(yè)與企業(yè)之間的信息的方便、快捷的傳遞。

4、VPN的應(yīng)用

VPN技術(shù)主要適用于哪些客戶呢？歸納起來以下這些情況需要使用VPN技術(shù)。

（1）客戶位置眾多而且極其分散。

（2）企業(yè)的機(jī)構(gòu)分布范圍廣，而且各個機(jī)構(gòu)的距離遠(yuǎn)，需要通過長途通信，特別需要使用國際長途通信的企業(yè)。

篇2

關(guān)鍵詞：VPN，管理，管理技術(shù)

 

一、VPN服務(wù)及其應(yīng)用

VPN，即Virtual Private Network，是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò)，如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等，并且能夠?qū)⑼ㄟ^公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密。利用VPN，企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)。

如果訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源，使用者需要接入本地ISP的接入服務(wù)提供點，即接入Internet，然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù)，使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網(wǎng)絡(luò)。論文寫作，管理。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器。

二、VPN管理

VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無縫延伸到公共網(wǎng)絡(luò)，甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù)，可以在組建網(wǎng)絡(luò)的初期交給運營商去完成，但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)。所以，一個功能完整的VPN管理系統(tǒng)是必需的。

通過VPN管理系統(tǒng)，可以實現(xiàn)以下目的：

1、降低成本：保證VPN可管理的同時不會過多增加操作和維護(hù)成本。

2、可擴(kuò)展性：VPN管理需要對日益增加的企業(yè)客戶作出快速的反應(yīng)，包括網(wǎng)絡(luò)軟件和硬件的平滑升級、安全策略維護(hù)、網(wǎng)絡(luò)質(zhì)量保證QOS等。論文寫作，管理。

3、減少風(fēng)險：從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò)，VPN面臨著安全與監(jiān)控的風(fēng)險。網(wǎng)絡(luò)管理要求做到允許公司分部、客戶通過VPN訪問企業(yè)內(nèi)網(wǎng)的同時，還要確保企業(yè)資源的完整性。

4、可靠性：VPN構(gòu)建于公共網(wǎng)絡(luò)之上，其可控性降低，所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術(shù)

1、第二層通道協(xié)議

第二層通道協(xié)議主要有兩種，PPTP和L2TP，其中L2TP協(xié)議將密鑰進(jìn)行加密，其可靠性更強(qiáng)。

L2TP提高了VPN的管理性，表現(xiàn)在以下方面：

（1）安全的身份驗證

L2TP可以對隧道終點進(jìn)行驗證。不使用明文的驗證，而是使用類似PPPCHAP的驗證方式。論文寫作，管理。

（2）內(nèi)部地址分配

用戶接入VPN服務(wù)器后，可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址，從而方便的加入企業(yè)內(nèi)網(wǎng)，訪問網(wǎng)絡(luò)資源。地址的獲取可以使用動態(tài)分配的管理方法，由于獲取的是企業(yè)內(nèi)部的私有地址，方便了地址管理并增加安全性。論文寫作，管理。

（3）網(wǎng)絡(luò)計費

L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計，方便計費。

（4）統(tǒng)一網(wǎng)絡(luò)管理

L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議，相關(guān)的MIB也已制定完成，可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。

2、IKE協(xié)議

IKE協(xié)議，即Internet Key Exchange，用于通信雙方協(xié)商和交換密鑰。IKE的特點是利用安全算法，不直接在網(wǎng)絡(luò)上傳輸密鑰，而是通過幾次數(shù)據(jù)的交換，利用數(shù)學(xué)算法計算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗證方面，IKE提供了公鑰加密驗證、數(shù)字簽名、共享驗證字方法。并可以利用企業(yè)或獨立CA頒發(fā)證書實現(xiàn)身份認(rèn)證。

IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問題，是一種通用的協(xié)議，不僅能夠為Ipsec進(jìn)行安全協(xié)商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。

3、配置管理

可以使VPN服務(wù)器支持MIB，利用SNMP的遠(yuǎn)程配置和查詢功能對VPN網(wǎng)絡(luò)進(jìn)行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問VPN服務(wù)器，利用服務(wù)器上設(shè)置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對服務(wù)器進(jìn)行配置。論文寫作，管理。用戶登錄后，服務(wù)器會只授權(quán)登錄的IP地址和登錄客戶權(quán)限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點。

（2）分級統(tǒng)一管理

如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大，可以對VPN服務(wù)器進(jìn)行統(tǒng)一配置管理，三級網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計，然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過分級管理，一級網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量、流量并進(jìn)行統(tǒng)計，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協(xié)議的總稱，IPsec被設(shè)計用來提供入口對入口通信安全分組通信的安全性由單個結(jié)點提供給多臺機(jī)器或者是局域網(wǎng)，也可以提供端到端通信安全，由作為端點的計算機(jī)完成安全操作。上述兩種模式都可以用來構(gòu)VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規(guī)則和過濾器，以便提供不同程度的安全級別。論文寫作，管理。在IPSec策略的實現(xiàn)中，有多種預(yù)置策略供用戶選擇，用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實施有兩種基本的方法，一是在本地計算機(jī)上指定策略，二是使用組策略對象，由其來實施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性。

利用上述VPN管理技術(shù)，可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性、完整性，并能夠?qū)崿F(xiàn)資源的分布式服務(wù)。以后還將結(jié)合更多的技術(shù)，實現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理。其使用的領(lǐng)域也會越來越廣泛。

參考文獻(xiàn)：

[1]帕勒萬等著劉劍譯.無線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社，2002.11

[2]朱坤華，李長江.企業(yè)無線局域網(wǎng)的設(shè)計及組建研究[J].河南科技學(xué)院學(xué)報2008.2:120-123

[3]潘愛民.計算機(jī)網(wǎng)絡(luò)（第四版）[M].清華大學(xué)出版社2004.8

篇3

關(guān)鍵詞 MPLS-VPN；節(jié)省公網(wǎng)地址資源；標(biāo)簽隧道

中圖分類號：TN915 文獻(xiàn)標(biāo)識碼：A 文章編號：1671—7597（2013）051-143-01

隨著國內(nèi)互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，運營商維護(hù)工作當(dāng)中的一些問題也隨之顯現(xiàn)。通過我們在工作中的積累，可以看到寬帶用戶數(shù)在飛速增長，使GPON（最新一代寬帶無源光綜合接入標(biāo)準(zhǔn)）等業(yè)務(wù)在家庭中逐漸普及，但是隨之帶來的是互聯(lián)網(wǎng)設(shè)備網(wǎng)元數(shù)量在逐漸增多，而PPPOE（普通撥號業(yè)務(wù)）、GPON、專線等各類地址在日常使用中，地址交叉占用，規(guī)范不標(biāo)準(zhǔn)，如圖1。

2011年2月國際互聯(lián)網(wǎng)號碼注冊機(jī)構(gòu)公布最后一批ipv4地址已分配完畢，據(jù)工信部2012年11月的報告數(shù)據(jù)，我國的寬帶家庭用戶數(shù)量已經(jīng)達(dá)到了1.66億，公網(wǎng)IP地址已成為緊缺資源，不能滿足國內(nèi)互聯(lián)網(wǎng)快速發(fā)展的需求，我們以一個圖表來說明地址的變化情況。

如何在當(dāng)前的大環(huán)境下，既能保持中國互聯(lián)網(wǎng)業(yè)務(wù)高速發(fā)展速度的同時又能做到高效的利用IP地址資源呢？需要啟動私網(wǎng)地址來替換現(xiàn)網(wǎng)中的公網(wǎng)地址，如果將GPON設(shè)備網(wǎng)元私網(wǎng)化，既有網(wǎng)絡(luò)結(jié)構(gòu)不變，那么會導(dǎo)致GPON私網(wǎng)與公網(wǎng)業(yè)務(wù)混在一起，不但地址管理容易混亂，而且數(shù)據(jù)容易造成沖突，可擴(kuò)展性差。如果使用MPLS-VPN隧道技術(shù)進(jìn)行業(yè)務(wù)隔離，使用獨立標(biāo)簽進(jìn)行業(yè)務(wù)劃分，并建立GPON業(yè)務(wù)的獨立通道與公網(wǎng)業(yè)務(wù)進(jìn)行隔離，網(wǎng)絡(luò)安全可靠，可擴(kuò)展性強(qiáng)。不同的部門有不同的業(yè)務(wù)系統(tǒng)，這些系統(tǒng)多數(shù)是要求數(shù)據(jù)隔離的，但有些系統(tǒng)又存在著互訪的需求，所以采用MPLS-VPN技術(shù)可以實現(xiàn)這些系統(tǒng)隔離和互訪的要求。

MPLS-VPN網(wǎng)絡(luò)主要由PE（運營商邊緣路由器設(shè)備，與CE相連，提供VPN業(yè)務(wù)的接入）、P（運營商核心路由器設(shè)備，只負(fù)責(zé)轉(zhuǎn)發(fā)MPLS數(shù)據(jù)包）、CE（用戶網(wǎng)絡(luò)邊緣路由器設(shè)備，與PE相連）3部分組成。

MPLS-VPN是一種基于MPLS（多協(xié)議標(biāo)簽交換）的VPN技術(shù)，屬于第三代網(wǎng)絡(luò)架構(gòu)，該技術(shù)對轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包封裝標(biāo)簽，是一種采用標(biāo)簽交換認(rèn)證識別互聯(lián)網(wǎng)虛擬網(wǎng)絡(luò)技術(shù)。它的特點是在現(xiàn)有的網(wǎng)絡(luò)架構(gòu)下，無須增加硬件設(shè)備，利用路由選擇協(xié)議建立完整的路由表，使用LDP協(xié)議生成基于標(biāo)簽交換的通道，就可以實現(xiàn)網(wǎng)內(nèi)數(shù)據(jù)包的快速轉(zhuǎn)發(fā)。在網(wǎng)內(nèi)各個PE路由器出入端口配置該MPLS-VPN數(shù)據(jù)后，封裝該標(biāo)簽的數(shù)據(jù)包就可以通過標(biāo)簽隧道互聯(lián)互通，從而實現(xiàn)與PE相連CE路由器下的GPON用戶間可以相互訪問。

安全方面我們要考慮是否能做到全網(wǎng)全鏈路VPN，針對運營商所轄地市的網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備環(huán)境進(jìn)行排查升級工作，以保證全省VPN網(wǎng)絡(luò)的暢通。其次建立MPLS-VPN網(wǎng)絡(luò)的通道需在幀上添加標(biāo)簽，所以要統(tǒng)一修改互聯(lián)網(wǎng)與傳輸設(shè)備端口MTU值≥1516，需要排查網(wǎng)內(nèi)傳輸設(shè)備是否能滿足封裝標(biāo)簽后的數(shù)據(jù)包正常通過，是否能做到鏈路中斷的自動保護(hù)，并建立完整的應(yīng)急預(yù)案機(jī)制等安全問題。

建立VPN承載網(wǎng)絡(luò)，首先要深入研究MPLS-VPN的核心技術(shù)，統(tǒng)一進(jìn)行數(shù)據(jù)配置，規(guī)范操作流程，并在設(shè)備提供商的配合下，匯集互聯(lián)網(wǎng)設(shè)備硬件和軟件存在的問題，進(jìn)行升級改造，實現(xiàn)多核心、全連路、可中斷保護(hù)的VPN承載網(wǎng)絡(luò)。為了更好的效果，我們不僅要增強(qiáng)技術(shù)手段，還必須規(guī)范一系列標(biāo)準(zhǔn)，如圖2。

制訂規(guī)范需要統(tǒng)一MPLS-VPN的數(shù)據(jù)配置與VLAN規(guī)劃標(biāo)準(zhǔn)。其次是私網(wǎng)地址使用規(guī)范，統(tǒng)一分配私網(wǎng)地址，按不同廠家的設(shè)備型號差異化進(jìn)行使用，已防止出現(xiàn)地址管理混亂的問題。

在當(dāng)前光進(jìn)銅退的大環(huán)境下，MPLS-VPN技術(shù)已經(jīng)可以成為節(jié)省資源成本的一種有力手段，該技術(shù)管理便捷，投資教少，使用簡易，在性能價格比上，相比其他廣域網(wǎng)VPN技術(shù)也具有較大的優(yōu)勢，從而可以有效提高了網(wǎng)絡(luò)維護(hù)效率，為我們快速發(fā)展中安全、高效的中國互聯(lián)網(wǎng)產(chǎn)業(yè)提供有力的支撐。

參考文獻(xiàn)

篇4

關(guān)鍵詞:VPN安全協(xié)議關(guān)鍵技術(shù)部署模型

中圖分類號: TP393文獻(xiàn)標(biāo)識碼: A

VPN Technology and Deployment Model Analysis

JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1

(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;

2. Guizhou Radio and TV University, Guiyang 550004, China)

Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.

Key Words:VPN ;Security agreement;key technology ;Deploy model

0 前言

VPN技術(shù)實現(xiàn)了內(nèi)部網(wǎng)信息在公眾信息網(wǎng)中的傳輸,就好像在廣域網(wǎng)中為用戶建立了一條專線網(wǎng)。VPN根據(jù)使用者的身份和權(quán)限,直接將使用者接入他所應(yīng)該接觸的信息中。所以VPN對于每一個用戶來說,也是“專用”的,這一點是VPN給用戶帶來的最為明顯的變化。

1 VPN 概述

1.1VPN的概念

VPN (Virtual Private Network) 即虛擬專用網(wǎng),是在Internet中建立一條虛擬的專用通道,讓分布在不同地點的網(wǎng)絡(luò)用戶能在一個安全、穩(wěn)定的專用網(wǎng)絡(luò)通道中相互傳遞數(shù)據(jù)信息。VPN采用認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性等技術(shù)保障數(shù)據(jù)通過安全的“加密管道”在Internet中傳播。[1]

1.2 VPN 的類型

根據(jù)VPN 所起的作用,可以將VPN 分為三類:[1] [2] [3]

1.企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN):通過公用網(wǎng)絡(luò)將總部網(wǎng)絡(luò)與各個分部網(wǎng)絡(luò)安全互聯(lián),是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。

2.企業(yè)擴(kuò)展虛擬網(wǎng)(Extranet VPN):將具有合作關(guān)系的幾個內(nèi)聯(lián)網(wǎng)通過VPN互聯(lián),形成一個大的聯(lián)網(wǎng)區(qū)域,使之可共享訪問的虛擬專用網(wǎng)絡(luò)。

3.遠(yuǎn)程訪問虛擬網(wǎng)(Access VPN):實現(xiàn)出差流動員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室對內(nèi)部資源的訪問。

1.3 VPN 特點[2][4][5]

(1)數(shù)據(jù)加密和身份認(rèn)證;(2)提供不同的訪問控制;(3)用戶有不同的訪問權(quán)限;(4)網(wǎng)絡(luò)具有很高的安全性;(5)有利益于擴(kuò)展企業(yè)與合作伙伴的關(guān)系;(6)可支持新興多媒體業(yè)務(wù);

2 VPN關(guān)鍵技術(shù)

2.1 隧道技術(shù)

隧道技術(shù)(Tunneling)是一種在公用網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式[6]。隧道技術(shù)是VPN 的核心。[7]不同協(xié)議的數(shù)據(jù)幀或包都可以使用隧道傳遞。隧道是由隧道協(xié)議形成的,常用的有第2、3層隧道協(xié)議。隧道協(xié)議把其它協(xié)議的數(shù)據(jù)幀或包重新封裝之后,再由隧道發(fā)送。

2.2 密碼技術(shù)

VPN 技術(shù)的安全保障主要依靠密碼技術(shù)實現(xiàn)。其加密算法包括對稱加密算法、不對稱加密算法兩種。對稱加密算法是通信雙方共享一個密鑰,發(fā)送方使用該密鑰將明文加密為密文,接收方使用相同的密鑰將密文解密為明文。不對稱加密算法是通信雙方各使用一個不同的密鑰,一個是只有發(fā)送方知道的密鑰,另一個則是與之對應(yīng)的公開密鑰。

2.3 身份鑒別和認(rèn)證技術(shù)

VPN基于公共網(wǎng)絡(luò)進(jìn)行通信的特點使得對用戶身份的鑒別顯得極為重要。身份鑒別和認(rèn)證技術(shù)可以辨別數(shù)據(jù)的真?zhèn)?這對于網(wǎng)絡(luò)數(shù)據(jù)是尤為重要的。認(rèn)證協(xié)議一般采取的是消息摘要算法,它主要是采用HASH函數(shù)將一段較長的報文通過HASH函數(shù)變換,映射為一段較短的報文摘要。

2.4 QoS技術(shù)

通過加密技術(shù)及隧道技術(shù),就能建立一個具備安全性、互操作性的VPN。但建立的該VPN是不穩(wěn)定的,在管理上還不能滿足企業(yè)的要求,這就需要加入QoS技術(shù)。實行QoS技術(shù)應(yīng)該在主機(jī)網(wǎng)絡(luò)中,即VPN所建立的隧道,這樣才能建立一條性能優(yōu)越的隧道。[8]

3 VPN 解決方案[9]

3.1 VPN 部署模型

部署VPN首先要選定一個VPN隧道終端設(shè)備,選擇的這個設(shè)備主要由VPN隧道端點位置和用于隧道端點設(shè)備的功能來決定。

3.1.1位于邊界路由器的VPN終端

位于邊界路由器的VPN終端所具有的優(yōu)點是能夠確保VPN流量遵循外部防火墻的策略后才能夠達(dá)到內(nèi)部網(wǎng)絡(luò),它比較適合外部連接部署。它的缺點是隨著業(yè)務(wù)合作伙伴的增加,路由器上的負(fù)荷也隨著加解密進(jìn)出VPN隧道數(shù)據(jù)包的增加而增加。

3.1.2 位于企業(yè)防火墻的VPN終端

位于企業(yè)防火墻的VPN終端能夠允許來自不同分支機(jī)構(gòu)對公司內(nèi)部網(wǎng)絡(luò)的訪問,在這種模型下,遠(yuǎn)程用戶可以直接訪問內(nèi)部網(wǎng)絡(luò),而不用進(jìn)行第二次認(rèn)證。它的缺點是隨著公司分支機(jī)構(gòu)的增加,防火墻的負(fù)荷也隨著增加。

3.1.3位于專用設(shè)備的VPN終端

位于專用設(shè)備的VPN終端能夠允許從分支機(jī)構(gòu)網(wǎng)絡(luò)直接訪問公司內(nèi)部核心網(wǎng)絡(luò),遠(yuǎn)程用戶可以訪問提供的所有內(nèi)部服務(wù)。它的缺點是隨著更多的公司分支機(jī)構(gòu)接入內(nèi)部網(wǎng)絡(luò),防火墻的負(fù)荷也會因為每個VPN需要加密數(shù)量的增加而增加。

3.2VPN拓?fù)淠Ｐ?/p>

3.2.1 星狀拓?fù)淠Ｐ?/p>

在星型拓?fù)浣Y(jié)構(gòu)中,遠(yuǎn)程分支機(jī)構(gòu)可以安全的與公司總部通信,它的缺點是分支機(jī)構(gòu)間不能通信。星型拓?fù)浣Y(jié)構(gòu)提供的固有優(yōu)點是新站點的增加比較容易。

3.2.2 網(wǎng)狀拓?fù)淠Ｐ?/p>

在網(wǎng)狀拓?fù)淠Ｐ椭?可以全網(wǎng)狀或部分網(wǎng)狀來部署VPN網(wǎng)絡(luò)。它的優(yōu)點是有大量任意目的地的替代路徑,缺點有大量的冗余路徑。

3.2.3中心輪廓拓?fù)淠Ｐ?/p>

中心輪廓拓?fù)淠Ｐ蛷脑O(shè)計上來,很類似網(wǎng)狀拓?fù)淠Ｐ?但其最大的不同點是解決了各分支機(jī)構(gòu)間不能通信的缺點。在這個模型中,公司網(wǎng)絡(luò)做外一個傳輸節(jié)點,它讓所有的流量從網(wǎng)絡(luò)的一個分支結(jié)構(gòu)傳輸?shù)搅硪粋€傳輸節(jié)點。它的缺點是使得整個網(wǎng)絡(luò)的安全風(fēng)險加大。

3.2.4 遠(yuǎn)程訪問拓?fù)淠Ｐ?/p>

遠(yuǎn)程訪問拓?fù)淠Ｐ褪墙⒃谥行妮喞負(fù)淠Ｐ突A(chǔ)之上的,它可以為遠(yuǎn)程用戶,移動辦公用戶等沒有靜態(tài)IP地址的用戶提供連接從而保證它們之間的通信。

4 結(jié)語

VPN技術(shù)的發(fā)展, 為企業(yè)建設(shè)計算機(jī)網(wǎng)絡(luò)提供了一種新的思路, 可以通過在公共網(wǎng)絡(luò)上建立虛擬的鏈接來傳輸私有數(shù)據(jù)。VPN通過隧道技術(shù)、數(shù)據(jù)加密技術(shù)以及QoS機(jī)制,使得企業(yè)不僅極大的降低了企業(yè)建設(shè)網(wǎng)絡(luò)的成本, 同時也大大提高了網(wǎng)絡(luò)的安全性,提高了企業(yè)運營效率。在網(wǎng)絡(luò)時代,企業(yè)發(fā)展取決于是否最大限度地利用網(wǎng)絡(luò)。VPN將是企業(yè)現(xiàn)在乃至未來最佳的選擇[10]。

參考文獻(xiàn):

[1]袁德明.喬月圓.計算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社.2007.266-282.

[2]謝懷軍.VPN技術(shù)透視分析[M].中國金融電腦.2000.10.

[3][美]C arlton R .D avis. IP Sec VPN 的安全實施[M].清華大學(xué)出版社.2002.

[4]郝輝,錢華林.VPN及其隧道技術(shù)研究[J].微電子學(xué)與計算機(jī).2004.21(11):47～49.

[5]周喜等.VPN現(xiàn)狀與在網(wǎng)區(qū)中的部署分析[J].計算機(jī)應(yīng)用研究.2003.2.

[6]陳興剛,孟傳良.VPN及其隧道技術(shù)研究[J].電腦知識與技術(shù).2008,3(5):879-880.

[7]彭湘凱.VPN及其核心技術(shù)[J].成都大學(xué)學(xué)報(自然科學(xué)版),2001,20(1):12～15.

[8]劉建偉,王育民等.網(wǎng)絡(luò)安全――技術(shù)與實踐[M].北京.清華大學(xué)出版社.2005.472.

[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell編著.謝琳,趙俐等譯.防火墻策略與VPN配置[M].中國水利水電出版社.2008.136～170.

篇5

關(guān)鍵詞：VPN； 信息化； Qos；捆綁

1.概念綜述

VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)對大型的跨地域企業(yè)內(nèi)部同步使用ERP、MRP等信息化管理系統(tǒng)有著極大的幫助作用和可觀的經(jīng)濟(jì)意義，不過受到流量問題的限制，VPN技術(shù)也面臨一個網(wǎng)絡(luò)帶寬“供不應(yīng)求”的難題，例如現(xiàn)在很多企業(yè)都是采用ADSL網(wǎng)絡(luò)接入方式，而基于ADSL線路由于技術(shù)本身的限制，單條的上行速率只能達(dá)到幾百K，如果是一些數(shù)據(jù)量較大的企業(yè)信息系統(tǒng)，要求信息流是雙向的，傳和下傳的速度都要快，那么單條ADSL就顯得力不從心了。

從而，一種既可以不改動原有ADSL線路，又可以有效提升VPN系統(tǒng)性能的技術(shù)得以推廣，即“通道多路捆綁”技術(shù)，這種技術(shù)現(xiàn)在在國內(nèi)也已經(jīng)十分成熟，例如我國較早涉足VPN領(lǐng)域的深信服（SINFOR）公司在VPN的多路捆綁技術(shù)上就有著諸多建樹。

2．多路通道技術(shù)綜述

2.1何為多路通道技術(shù)

   所謂多路通道技術(shù)，就是使數(shù)據(jù)包可以從兩條線路進(jìn)行傳輸，就像計算機(jī)中磁盤陣列RAID 0的方式，在理論上可以達(dá)到帶寬倍增的效果。從表面上看，多路通道捆綁似乎是一種非常理想的技術(shù)，但真正實現(xiàn)起來，其中也存在不少困難：首先，數(shù)據(jù)要同時在多條線路上傳輸、如何能保證相同的業(yè)務(wù)數(shù)據(jù)分配到不同線路時，仍然不受影響？比如一串視頻數(shù)據(jù)，發(fā)送時通過多條Internet線路、在接收端，傳輸?shù)臄?shù)據(jù)順序必須準(zhǔn)確有效、并能還原成發(fā)送前的狀態(tài)。其次，線路的中斷和恢復(fù)也是一個必須解決的問題。一旦一條線路出現(xiàn)故障，所承載的數(shù)據(jù)要立刻無縫切換到其他線路，并保證業(yè)務(wù)不受影響。同樣，線路恢復(fù)后，也要能夠在新恢復(fù)的線路上建立VPN隧道，并能夠重新調(diào)整負(fù)載均衡策略。最后，Internet連接方式也多種多樣。用戶為了進(jìn)一步增強(qiáng)系統(tǒng)穩(wěn)定性，往往傾向于從不同的運營商處申請線路，就會存在各種不同方式的Internet線路（如ADSL、寬帶、DDN等等）需要能夠?qū)崿F(xiàn)帶寬的捆綁和疊加。

2.2多路通道的組合

在一個路由器上做多條線路捆綁的方式有多種組合：多條ADSL線路捆綁，多條光纖線路捆綁，光纖和ADSL線路進(jìn)行捆綁。這種捆綁是一種帶寬相加式的捆綁，而不是線路互相備份。多路通道1＋1＝2？從實際應(yīng)用的角度去分析，兩條線路進(jìn)行捆綁后，上下行的流量是不可能達(dá)到1＋1＝2的效果的，2條以上的線路也是同樣道理，原因大致如下： 第一，當(dāng)每一個數(shù)據(jù)包進(jìn)行傳輸時，它必須先選擇其中一條線路，這個選擇的過程就是路由器進(jìn)行調(diào)度分配的過程，路由器會按照預(yù)先設(shè)定的算法將每一個數(shù)據(jù)包根據(jù)一定的條件（這個條件通常不是固定的）分配到一條線路，這個過程會占用路由器的處理器資源，需要耗費一定的時間，當(dāng)然耗時是非常短的，但是大量的數(shù)據(jù)包耗費的時間累加起來就比較可觀了，加上現(xiàn)在中低端路由器的處理能力還比較有限，所以這種資源的消耗是不能忽略的。如果你捆綁兩條2M的線路和一條4M的線路做對比，就會發(fā)現(xiàn)捆綁兩條2M線路的速度不會快過那條4M的線路，其中一個重要因素就是路由器上對數(shù)據(jù)包進(jìn)行調(diào)度而耽誤了數(shù)據(jù)轉(zhuǎn)發(fā)的時間。 第二，相信大家也知道，RAID 0陣列的容量是取決于容量小的那個硬盤，因為數(shù)據(jù)是同時在兩個硬盤上進(jìn)行讀寫的；而在VPN多路捆綁中也有類似情形－－如果兩條線路的帶寬不一樣，也就是一條大些，一條小些，這時情況就比較復(fù)雜了。因為如果路由還是按照1:1的比例將數(shù)據(jù)包分別派發(fā)給兩條線路的話，就會造成帶寬大的那條線路發(fā)完時帶寬小的那條還沒發(fā)完，于是帶寬大的線路得等待帶寬小的線路，這樣會造成效率的降低，因此很多支持不對稱多路捆綁的路由器都允許設(shè)置路由器調(diào)度分配的比例，例如接入1條1M的ADSL和1條2M的ADSL時，就可以把這個比例設(shè)成1:2，這樣兩條線的帶寬就可以充分利用起來；當(dāng)然，由于數(shù)據(jù)分配的比例不會是完美的1:2，而兩條線路的實際流量也不是準(zhǔn)確的1:2，因此寬帶資源還是沒有被完全的利用起來，所以最終1M和2M兩條ADSL線路捆綁之后的實際效果依舊小于3M線路的實際效果。第三，如果兩條線路進(jìn)行捆綁，在下載時和上傳時得到的帶寬其實是不同的，因為在上傳時你是兩條線路同時傳送數(shù)據(jù)，可以理解為1＋1＝2；但在下載時，對方并不知道你將線路進(jìn)行了捆綁，他也無法控制數(shù)據(jù)包往哪條線路上傳送，所以每次對方的數(shù)據(jù)包發(fā)送過來都是由其中一條線路承擔(dān)接收任務(wù)，在這種情況下，兩條1M的線路進(jìn)行捆綁后其實效果大概也是1M，也就是1＋1＝1，因此，將多路捆綁簡單的理解為帶寬的疊加其實是不對的。

2.3多路通道捆綁的好處

首先，多路通道捆綁技術(shù)給用戶帶來的好處是顯而易見的。首先就是帶寬的大幅提升，在目前大多數(shù)的VPN系統(tǒng)應(yīng)用中，都是總部的一條線路、需要應(yīng)對來自幾個甚至幾十個分支機(jī)構(gòu)、移動用戶的數(shù)據(jù)量。尤其在類似ADSL的非對稱線路中、上行帶寬本來就較窄，造成總部數(shù)據(jù)量不堪重負(fù)。為了解決帶寬不平衡的問題，有些企業(yè)不得不在總部耗費巨資申請高速的專用線路，成本高昂。

其次，VPN支持各種不同方式的線路綁定，用戶可以申請多條動態(tài)IP的ADSL上網(wǎng)線路、也可以申請ADSL及其他寬帶線路甚至無線連接等等。通過多線路防火墻/NAT模塊，還可以實現(xiàn)多條線路共同訪問Internet，成倍的提高了上網(wǎng)的速度。

第三多路通道捆綁的另一個好處就是系統(tǒng)的穩(wěn)定性大大增強(qiáng)。如果是單條線路，一旦中斷、整個系統(tǒng)就會陷入癱瘓，VPN系統(tǒng)的穩(wěn)定性非常依賴于線路本身的穩(wěn)定性。通過多線路捆綁技術(shù)，尤其是對不同方式的線路捆綁、在任何一條線路出現(xiàn)故障時，數(shù)據(jù)可以無縫切換到其他正常線路，保證了整個系統(tǒng)的持續(xù)可靠運行。優(yōu)秀的VPN路由還進(jìn)一步實現(xiàn)了多條Internet線路的QOS管理，并能根據(jù)不同線路的帶寬情況智能分配負(fù)載，最大限度的提高帶寬利用率。

2.4多路通道捆綁的安全和權(quán)限問題

多條線路同時連接時，局域網(wǎng)也同時面臨著多條與Internet連接的通道。這就給各種網(wǎng)絡(luò)攻擊、病毒提供了更多的可乘之機(jī)，所以很多VPN路由都是直接結(jié)合了比較專業(yè)的防火墻功能，不但能夠支持多條線路的捆綁上網(wǎng)，還能對帶寬進(jìn)行智能動態(tài)分配，防護(hù)來自多條

線路的攻擊。

3.結(jié)束語

   由于很多VPN網(wǎng)絡(luò)的結(jié)構(gòu)非常龐大，內(nèi)部成員的權(quán)限問題也就非常復(fù)雜，因此一些優(yōu)秀的VPN產(chǎn)品可以對各成員接入后的可訪問資源做嚴(yán)格而詳細(xì)的限定來杜絕這些安全隱患。例如Sinfor的DLAN方案就可以針對每個用戶設(shè)定不同的接入訪問權(quán)限，如某些用戶只能訪問總部的庫存系統(tǒng)，不能訪問財務(wù)系統(tǒng)等，不同的VPN用戶可以設(shè)定對不同資源的訪問權(quán)限，避免因為VPN用戶權(quán)限過大造成的安全隱患。

  

參考文獻(xiàn)：

[1]CarIton R.Davis. IPSec VPN的安全實施.清華大學(xué)出版社.

[2]林闖，單志廣，任豐原, 計算機(jī)網(wǎng)絡(luò)的服務(wù)質(zhì)量(QoS). 清華大學(xué)出版社。2004

篇6

【關(guān)鍵詞】VPN 網(wǎng)絡(luò) 實現(xiàn)技術(shù)

【中圖分類號】G718 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01―0180-02

1 前言

隨著企業(yè)規(guī)模逐漸擴(kuò)大，遠(yuǎn)程用戶、遠(yuǎn)程辦公人員、分支機(jī)構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過公共網(wǎng)絡(luò)（如Internet）來建立自己的專用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專用網(wǎng)（簡稱VPN）。VPN集靈活性、安全性、經(jīng)濟(jì)性以及擴(kuò)展性于一身，可充分滿足分支機(jī)構(gòu)、移動辦公安全通信的需求。

2 VPN技術(shù)概述

VPN英文全稱是“Virtual Private Network”（虛擬專用網(wǎng)絡(luò)”）。VPN被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。

2.1 VPN的功能

VPN至少應(yīng)能提供如下功能：加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露；信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問控制，不同的用戶有不同的訪問權(quán)限。

2.2 VPN的分類

VPN既是一種組網(wǎng)技術(shù)，又是一種網(wǎng)絡(luò)安全技術(shù)。按照不同的方法主要有以下幾種劃分方式。

（1）按實現(xiàn)技術(shù)劃分，基于隧道的VPN、基于虛電路的VPN和MPLSVPN

（2）應(yīng)用范圍劃分，遠(yuǎn)程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應(yīng)用模式。

（3）遠(yuǎn)程接入VPN用于實現(xiàn)移動用戶或遠(yuǎn)程辦公室安全訪問企業(yè)網(wǎng)絡(luò)；Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)；Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。

（4）按隧道協(xié)議劃分，VPN可劃分為第2層隧道協(xié)議和第3層隧道協(xié)議。PPTP、L2P和L2TP都屬于第2層隧道協(xié)議，IPSec屬于第3層隧道協(xié)議，MPLS跨越第2層和第3層。VPN的實現(xiàn)往往將第2層和第3層協(xié)議配合使用，如L2TP/IPSec。當(dāng)然，還可根據(jù)具體的協(xié)議來進(jìn)一步劃分VPN類型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特點

在實際應(yīng)用中，一個高效、成功的VPN應(yīng)具備以下幾個特點：

（1）安全保障

VPN應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

（2）服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

（3）可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

（4）可管理性

從用戶角度和運營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

2.4 VPN的技術(shù)解決方案

VPN有三種解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這三種解決方案分別是：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。

（1）如果企業(yè)的內(nèi)部人員移動或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用AccessVPN。

AccessVPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。AccessVPN包括模擬、撥號、ISDN、數(shù)字用戶線路（xDSL）、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。

（2）如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。

越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。

（3）如果是提供B2B之間的安全訪問服務(wù)，則可以考慮EXtranetVPN。

隨著信息時代的到來，各個企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關(guān)鍵問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息

服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。

3 結(jié)語

在過去無論因特網(wǎng)的遠(yuǎn)程接入還是專線接入，以及骨干傳輸?shù)膸挾己苄。琎oS更是無法保障，造成企業(yè)用戶寧愿花費大量的金錢去投資自己的專線網(wǎng)絡(luò)或是寧愿花費巨額的長途話費來提供遠(yuǎn)程接入?，F(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問題將得到根本改善和解決?？梢韵胂螅?dāng)我們消除了所有這些障礙因素后，VPN將會成為我們網(wǎng)絡(luò)生活的主要組成部分。同時，VPN會加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國各地分公司的局域網(wǎng)連起來，從而真正發(fā)揮整個網(wǎng)絡(luò)的作用。VPN對推動整個電子商務(wù)、電子貿(mào)易將起到不可低估的作用。

參考文獻(xiàn)

[1]秦柯.Cisco IPSec VPN實戰(zhàn)指南人民郵電出版社，2012

篇7

【關(guān)鍵詞】虛擬專用網(wǎng)絡(luò) 多協(xié)議標(biāo)記交換 安全性 穩(wěn)定性靈活性

一、前言

隨著企業(yè)規(guī)模的不斷擴(kuò)展，企業(yè)內(nèi)部間信息傳輸?shù)陌踩?，可靠性以及信息傳輸穩(wěn)定性變得越來越重要，各企業(yè)也越來越重視企業(yè)內(nèi)部間的網(wǎng)絡(luò)互連。因此，建設(shè)安全、可靠、穩(wěn)定、低成本的企業(yè)網(wǎng)絡(luò)成為企業(yè)的基礎(chǔ)課題。

然而，隨著IP-VPN技術(shù)迅速發(fā)展，使得IP-VPN技術(shù)也廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)建設(shè)當(dāng)中。而MPLSVPN是一種基于MPLS技術(shù)的IP-VPN，其能有效解決企業(yè)網(wǎng)絡(luò)組建中遇到的跨越公用網(wǎng)和跨越自治系統(tǒng)的需求，并且解決企業(yè)對于語音和視頻的通信需求。同時MPLS VPN還保證了網(wǎng)絡(luò)傳輸?shù)陌踩?、實時性、穩(wěn)定性。這為現(xiàn)代異地辦公、移動辦公數(shù)據(jù)安全性、可靠性及實現(xiàn)企業(yè)互連，提供了一種新的途徑和解決方案。

二、MPLS VPN技術(shù)在本企業(yè)的應(yīng)用

近年來，隨著企業(yè)國際化進(jìn)程的穩(wěn)步推進(jìn)，信息化已成為保障企業(yè)持續(xù)發(fā)展的重要手段之一。企業(yè)需要在提高企業(yè)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)速率和靈活性的同時，又能確保企業(yè)信息化的安全性與穩(wěn)定性，以及在降低投入到一個合理范圍的同時，滿足企業(yè)信息化發(fā)展的需求。

（一）本企業(yè)現(xiàn)狀

本企業(yè)的網(wǎng)絡(luò)是星形網(wǎng)絡(luò)架構(gòu)，通過總公司的廣域網(wǎng)與各基地相互連通的；新疆和新加坡是直接通過本企業(yè)建立的專線接入到燕郊核心交換機(jī)上，印尼分公司和墨西哥分公司是通過IPSEC VPN方式接入本企業(yè)燕郊內(nèi)網(wǎng)。本企業(yè)的數(shù)據(jù)中心建在燕郊，各基地和海外子公司都需要訪問數(shù)據(jù)中心的相關(guān)數(shù)據(jù)，因此網(wǎng)絡(luò)流量都會集中在燕郊，從網(wǎng)絡(luò)架構(gòu)上說，本企業(yè)的星型結(jié)構(gòu)中心點應(yīng)該是燕郊地區(qū)，而不是作為總公司的中心節(jié)點的北京地區(qū)，因此現(xiàn)有的網(wǎng)絡(luò)架構(gòu)存在著如下的問題，核心網(wǎng)絡(luò)節(jié)點資源分配不足，部分網(wǎng)絡(luò)上聯(lián)網(wǎng)絡(luò)資源不足，局部網(wǎng)絡(luò)在特定時間段存在網(wǎng)絡(luò)瓶頸，網(wǎng)絡(luò)傳輸速率不足。

本企業(yè)的內(nèi)部網(wǎng)絡(luò)通過總公司的廣域網(wǎng)與各分站基地互聯(lián)通信的，同時，本企業(yè)的內(nèi)部網(wǎng)絡(luò)與總公司及其二級公司網(wǎng)絡(luò)也都是互通的，相互之間沒有充足的隔離手段，因此在數(shù)據(jù)傳輸?shù)陌踩陨洗嬖谳^大隱患。同時，由于本企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)扁平，生產(chǎn)網(wǎng)和測試網(wǎng)沒有進(jìn)行分離，由于測試系統(tǒng)的穩(wěn)定性與安全性都比較低，兩網(wǎng)在一起也存在著一定的安全隱患。

本企業(yè)燕郊、湛江、上海、深圳地區(qū)的核心網(wǎng)絡(luò)過于扁平化，如遇到網(wǎng)絡(luò)環(huán)路，就會造成整個網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響用戶的日常辦公和各生產(chǎn)系統(tǒng)的正常運行。隨著應(yīng)用系統(tǒng)的增多，重要系統(tǒng)的網(wǎng)絡(luò)帶寬保障需求日益突出，然而現(xiàn)有網(wǎng)絡(luò)架構(gòu)與設(shè)備無法在燕郊與各地做特殊應(yīng)用優(yōu)先保障策略，導(dǎo)致有的重要系統(tǒng)同步數(shù)據(jù)或上傳數(shù)據(jù)無法保障網(wǎng)絡(luò)傳輸平穩(wěn)正常。

隨著本企業(yè)信息化建設(shè)需求不斷增多，應(yīng)用系統(tǒng)的運維模式向集中管理發(fā)展，企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性、安全性和轉(zhuǎn)發(fā)速率時刻影響著各地用戶。至此，網(wǎng)絡(luò)架構(gòu)不合理、轉(zhuǎn)發(fā)速率不足、穩(wěn)定性不夠、以及安全性不高已嚴(yán)重制約了企業(yè)信息化的發(fā)展。

（二）MPLS VPN在油服的應(yīng)用

1.設(shè)計方案

為滿足本企業(yè)的多網(wǎng)分離，專網(wǎng)專用，辦公與生產(chǎn)、測試相互隔離的需求，同時一定程度上解決網(wǎng)絡(luò)速度慢、穩(wěn)定性差、安全性低、網(wǎng)絡(luò)活動性和擴(kuò)展性不靈活、QOS無法制定、舊網(wǎng)絡(luò)無法升級等問題，充分利用MPLS VPN技術(shù)的優(yōu)勢，項目組制定了本企業(yè)獨特的兩橫兩縱VPN設(shè)計架構(gòu)。

本企業(yè)的MPLS VPN邏輯上分為兩橫兩縱，兩個橫向VPN分別為應(yīng)用共享VPN和測試共享VPN；兩個縱向VPN分別為辦公縱向VPN和科研縱向VPN。應(yīng)用共享VPN里規(guī)劃為本企業(yè)現(xiàn)運行的各應(yīng)用系統(tǒng)；測試共享VPN為未正式上線的應(yīng)用系統(tǒng)；辦公縱向VPN為各基地、機(jī)關(guān)的普通用戶地址段；科研縱向VPN為各事業(yè)部要求網(wǎng)絡(luò)環(huán)境安全性比較高的用戶地址段。

2.實施過程

根據(jù)本企業(yè)各地理片區(qū)不同的網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同情況，結(jié)合整體考量，MPLS VPN網(wǎng)絡(luò)改造從以下幾個步驟進(jìn)行的，首先，更換全網(wǎng)IP地址；其次，更換全網(wǎng)不滿足的核心設(shè)備和樓層設(shè)備；再次，增加全網(wǎng)網(wǎng)絡(luò)端口和光纖上鏈線路；最后，進(jìn)行MPLS VPN配置和遷移。根據(jù)前期的規(guī)劃，通過近兩年的實施，燕郊、湛江、塘沽、深圳和上海各地分站都劃分為邊緣區(qū)域，部署MCE設(shè)備，在MCE上分別建有本企業(yè)的兩橫兩縱VPN，只有新疆地區(qū)由于片區(qū)小，人數(shù)少，網(wǎng)絡(luò)結(jié)構(gòu)單一，所以配置為CE。本企業(yè)MPLS VPN項目完成后的網(wǎng)絡(luò)架構(gòu)如下圖所示。

圖MPLS 網(wǎng)絡(luò)拓?fù)鋱D

3.使用效果

自MPLS VPN項目改造以來，實施完成后的益處總結(jié)為以下幾點。

（1）提高本企業(yè)網(wǎng)絡(luò)的安全性

在實施MPLS VPN項目以前，集團(tuán)公司旗下任何一家二級單位都可以訪問本企業(yè)的各應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和計算機(jī)，一旦有一個單位網(wǎng)絡(luò)出現(xiàn)病毒，那么這些網(wǎng)絡(luò)病毒可以快速在廣域網(wǎng)中傳播；同時一旦該單位的網(wǎng)絡(luò)受到外部攻擊或者黑客進(jìn)入，很容易會攻擊到本企業(yè)的應(yīng)用系統(tǒng)及個人辦公電腦，在信息化安全不斷提高與強(qiáng)調(diào)的今天，這種網(wǎng)絡(luò)環(huán)境已經(jīng)不能滿足整個集團(tuán)以及本企業(yè)信息化發(fā)展的需要。在實施了MPLS VPN項目后，整個網(wǎng)絡(luò)環(huán)境從三方面體現(xiàn)了出了高安全性。不同VPN之間地址空間與路由信息的分離；骨干網(wǎng)絡(luò)拓?fù)鋵PN用戶的隱藏；提高了網(wǎng)絡(luò)抵御惡意攻擊（如拒絕服務(wù)攻擊（DOS））以及網(wǎng)絡(luò)入侵的能力。

（2）提升各地局域網(wǎng)的網(wǎng)絡(luò)穩(wěn)定性

MPLS VPN實施后，優(yōu)化了各片區(qū)的網(wǎng)絡(luò)接入方式，湛江、燕郊、塘沽各地接入網(wǎng)絡(luò)都改成了雙上聯(lián)的不同路由區(qū)域，燕郊的同地區(qū)不同片區(qū)之間網(wǎng)絡(luò)接入也改成了不同的路由區(qū)域，提高了網(wǎng)絡(luò)的穩(wěn)定性。同時，同片區(qū)下不同VPN下的機(jī)器不再受到環(huán)路后的泛洪影響。根據(jù)PING值測試，MPLS VPN實施前各地存在著每10000個PING包會丟失50到150個包，實施MPLS VPN后測試PING 10000個包丟率為0%，網(wǎng)絡(luò)的穩(wěn)定性達(dá)到了最佳值。

（3）優(yōu)化網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

在實施MPLS VPN后，更換了燕郊、湛江、上海、深圳核心設(shè)備，提高了更換的各基地的數(shù)據(jù)轉(zhuǎn)換和處理能力，同時調(diào)整了網(wǎng)絡(luò)架構(gòu)，從本企業(yè)的網(wǎng)絡(luò)架構(gòu)看，現(xiàn)已調(diào)整為以燕郊為中心的星型雙鏈路架構(gòu)；更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式，大多實現(xiàn)雙上聯(lián)冗余接入網(wǎng)絡(luò)，并且根據(jù)各基地的現(xiàn)有情況，調(diào)整核心交換機(jī)配置，使接入層交換機(jī)與核心交換機(jī)的選路達(dá)到最優(yōu)方式。

三、結(jié)束語

MPLS VPN網(wǎng)絡(luò)的實施僅只是企業(yè)對MPLS VPN技術(shù)研究與應(yīng)用的一個起點，相信隨著MPLS VPN技術(shù)的不斷發(fā)展和使用的深化，MPLS VPN技術(shù)的各種優(yōu)勢將逐步被應(yīng)用到我們的生產(chǎn)工作中去，并在我們的生產(chǎn)工作中發(fā)揮更加巨大的作用。

參考文獻(xiàn)：

[1] 趙雪石；MPLS VPN的優(yōu)勢及實施中應(yīng)注意的問題[J]；湖北郵電技術(shù)；2004年05期.

[2] 胡國輝；崔可升；MPLS VPN原理及組網(wǎng)應(yīng)用[J]；電信技術(shù)；2005年12期.

篇8

隨著Internet的蓬勃發(fā)展，人們對其應(yīng)用提出了更高的要求。但I(xiàn)nternet缺乏有效的流量和網(wǎng)絡(luò)帶寬管理手段，網(wǎng)絡(luò)經(jīng)常會發(fā)生阻塞。無法對服務(wù)質(zhì)量(QoS)提供保證，許多應(yīng)用對于目前的IP技術(shù)(如語音和視頻等)顯得力不從心。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

VPN指的是依靠ISP和其它NSP，在公用網(wǎng)絡(luò)中建立專有數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專網(wǎng)中，任意兩個接點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公共網(wǎng)的資源動態(tài)組成的。VPN技術(shù)采用季認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸過程中的機(jī)密性、完整性和可用性。它是在公共Internet之上為政府、企業(yè)構(gòu)恐安全可靠、方便快捷的專用網(wǎng)絡(luò)，并可節(jié)省資金。VPN技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方染，它不僅會大大節(jié)省廣域網(wǎng)的建設(shè)和運行維護(hù)費用，而且擁有成本低、便于管理，開銷少、靈活度高，保密性好等優(yōu)點。

2 基于MPLS的VPN技術(shù)

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)數(shù)據(jù)、語音、圖像等多業(yè)務(wù)寬帶連接。并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時，提供強(qiáng)有力的QoS能力，具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點。

MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記，并通過對標(biāo)記的交換來實現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過的路徑通過交換標(biāo)記（而不是看IP包頭）來實現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時，數(shù)據(jù)包被解開封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。

    如圖1所示，MPLS網(wǎng)絡(luò)包含一些基本的元素。在網(wǎng)絡(luò)邊緣的節(jié)點就稱作標(biāo)記邊緣路由器(LER:Label Edge Router),而網(wǎng)絡(luò)的核心節(jié)點就稱作標(biāo)記交換路由器（LSR：Label Switching Router）。LER節(jié)點在網(wǎng)絡(luò)中提供高速交換功能。在MPLS節(jié)點之間的路徑就叫做標(biāo)記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò)的單向隧道。

MPLS的工作流程可以分為三個方面：即網(wǎng)絡(luò)的邊緣行為、網(wǎng)絡(luò)的中心行為以及如何建立標(biāo)記交換路徑。

1. 網(wǎng)絡(luò)的邊緣行為

當(dāng)IP數(shù)據(jù)包到達(dá)一個LER時，MPLS第一次應(yīng)用標(biāo)記。首先，LER要分析IP包頭的信息，并且按照它的目的地址和業(yè)務(wù)等級加以區(qū)分。

在LER中，MPLS使用了轉(zhuǎn)發(fā)等價類(FEC:Forwarding Equivalence Class)的概念來將輸入的數(shù)據(jù)流映射到一條LSP上。簡單地說，F(xiàn)EC就是定義了一組沿著同一條路徑、有相同處理過程的數(shù)據(jù)包。這就意味著所有的FEC相同的包都可以映射到同一個標(biāo)記中。

對于每一個FEC，LER都建立一條獨立的LSP穿過網(wǎng)絡(luò)，到達(dá)目的地。數(shù)據(jù)包分配到一個FEC后，LER就可以根據(jù)標(biāo)記信息庫(LIB:Label Information Base)來為其生成一個標(biāo)記。標(biāo)記信息庫將每一個FEC都映射到LSP下一跳的標(biāo)記上。如果下一跳的鏈路是ATM，則MPLS將使用ATM VCC里的VCI作為標(biāo)記。

轉(zhuǎn)發(fā)數(shù)據(jù)包時，LER檢查標(biāo)記信息庫中的FEC，然后將數(shù)據(jù)包用LSP的標(biāo)記封裝，從標(biāo)記信息庫所規(guī)定的下一個接口發(fā)送出去。

2. 網(wǎng)絡(luò)的核心行為

當(dāng)一個帶有標(biāo)記的包到達(dá)LSR的時候，LSR提取入局標(biāo)記，同時以它作為索引在標(biāo)記信息庫中查找。當(dāng)LSR找到相關(guān)信息后，取出出局的標(biāo)記，并由出局標(biāo)記代替入局標(biāo)記，從標(biāo)記信息庫中所描述的下一跳接口送出數(shù)據(jù)包。

最后，數(shù)據(jù)包到達(dá)了MPLS域的另一端，在這一點，LER剝?nèi)シ庋b的標(biāo)記，仍然按照IP包的路由方式將數(shù)據(jù)包繼續(xù)傳送到目的地。

3. 如何建立標(biāo)記交換路徑

建立LSP的方式主要有兩種：

(1)“Hop by Hop (逐跳尋徑) ”路由

一個Hop-by -Hop的LSP是所有從源站點到一個特定目的站點的IP樹的一部分。對于這些LSP，MPLS模仿IP轉(zhuǎn)發(fā)數(shù)據(jù)包的面向目的地的方式建立了一組樹。

從傳統(tǒng)的IP路由來看，每一臺沿途的路由器都要檢查包的目的地址，并且選擇一條合適的路徑將數(shù)據(jù)包發(fā)送出去。而MPLS則不然，數(shù)據(jù)包雖然也沿著IP路由所選擇的同一條路徑進(jìn)行傳送，但是它的數(shù)據(jù)包頭在整條路徑上從始至終都沒有被檢查。

在每一個節(jié)點，MPLS生成的樹是通過一級一級地為下一跳分配標(biāo)記，而且是通過與它們的對等層交換標(biāo)記而生成的。交換是通過標(biāo)記分配協(xié)議(LDP:Label Distribution Protocol)的請求以及對應(yīng)的消息完成的。

(2)顯式路由

MPLS最主要的優(yōu)點就是它可以利用流量設(shè)計“引導(dǎo)”數(shù)據(jù)包。MPLS允許網(wǎng)絡(luò)的運行人員在源節(jié)點就確定一條顯式路由的LSP（ER-LSP），以規(guī)定數(shù)據(jù)包將選擇的路徑。ER-LSP從源端到目的端建立一條直接的端到端的路徑。MPLS將顯式路由嵌入到限制路由的標(biāo)記分配協(xié)議的信息中，從而建立這條路徑。

2.2 基本MPLS的VPN實現(xiàn)

如圖2所示，基于BGP擴(kuò)展實現(xiàn)的MPLS三層VPN包含以下基本組件：

PE：Provider Edge Router,PE路由器使用靜態(tài)路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器維護(hù)著VPN路由信息，但它只需為其直接相連的那些VPN維護(hù)VPN路由。每臺PE路由器為其直接相連的每個站點維護(hù)一個VRP（Virtual Routing Forwarding Table），每個客戶連接映射到某個VRF上。在從CE路由器上學(xué)習(xí)本地VPN路由信息。PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保護(hù)到路由反射器的IBGP會話，作為全網(wǎng)狀I(lǐng)BGP會話的替代方案。使用MPLS在供應(yīng)商骨干中轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時，入口PE路由器作為入MPLS使用，出入PE路由器作為出中LSR使用。

    CE：客戶邊緣(CE)設(shè)備允許客戶通過連接一臺或多臺供應(yīng)商邊緣（PE）路由器的一條數(shù)據(jù)鏈路接入服務(wù)供應(yīng)商網(wǎng)絡(luò)。CE設(shè)備是一臺IP路由器，它與直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后，CE路由器把站點的本地VPN路由廣播到PE路由器，并從PE路由器上學(xué)習(xí)遠(yuǎn)程VPN路由。

Prouter:Provider Router，供應(yīng)商路由器是沒有連接CE設(shè)備的供應(yīng)商網(wǎng)絡(luò)中的任何路由器。在PE路由器這間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時，供應(yīng)商路由器作為MPLS連接LSR使用。由于是在采用兩層標(biāo)記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量，因此供應(yīng)商路由器只需維護(hù)到供應(yīng)商PE路由器的路由，而不需維護(hù)每個客戶站點專用的VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router，自治系統(tǒng)邊界路由器，在實現(xiàn)跨自治系統(tǒng)的VPN時，與其它自治系統(tǒng)交換VPN路由。

MP-BGP：多協(xié)議擴(kuò)展BGP，承載攜帶標(biāo)簽的IPv4/VPN路由，包括MP-IBGP、MP-EBGP。

PE-CE路由協(xié)議：在PE、CE之間傳遞用戶網(wǎng)絡(luò)路由，可以是靜態(tài)路由，或RIP、OSPF、ISIS、BGP協(xié)議。

LDP：Label distribution Protocol，在PE之間建立盡力而為的LSP，經(jīng)過P路由器，所有PE、P路由器均需要支持。RSVP-TE：在VPN需要QoS保障時，在PE之間建立具有QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虛擬路由轉(zhuǎn)發(fā)表，它包含同一個Site相關(guān)的路由表、轉(zhuǎn)發(fā)表、接口（子接口）、路由實例和路由策略等。在PE設(shè)備上，屬于同一VPN的物理端口或邏輯端口對應(yīng)一個VRF，可通過命令行或網(wǎng)管工具進(jìn)行配置，主要參數(shù)包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口（子接口）等。

VPN用戶站點：Site是VPN中的一個孤立的IP網(wǎng)絡(luò)，一般來說，它不通過骨干網(wǎng)公司總部、分支機(jī)構(gòu)都是Site的具體例子。CE路由器通常為VPN Site中的一個路由器或交換設(shè)備，Site通過一個單獨的物理端口或邏輯端口（通常是VLAN端口）連接到PE設(shè)備。

用戶接入MPLS VPN后，每個Site提供一個或多個CE與骨干網(wǎng)的PE連接，并在PE上為該Site配置VRF，將連結(jié)PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上，但不可以是多跳的三層連接。

BGP擴(kuò)展實現(xiàn)的MPLS VPN擴(kuò)展的BGP NLRI的IPv4地址，在其前增加了一個8字節(jié)的RD（Route Distinguisher），用于標(biāo)記VPN的成員(Site)。每個VRF可配置某些策略，規(guī)定VPN可以接收哪些Site的路由信息，可以向外哪些Site的路由信息。PE根據(jù)BGP擴(kuò)展的信息進(jìn)行路由計算，生成相關(guān)VPN的路由表。

通常，PE-CE之間通過靜態(tài)路由交換路由信息，也可通過RIP、OSPF、BGP、IS-IS等協(xié)議，靜態(tài)路由方式可以減少因CE設(shè)備管理不善等原因造成的對骨干網(wǎng)BGP路由的震蕩，從而提供骨干網(wǎng)的穩(wěn)定性。

MPLS BGP三層VPN適用于固定的Internet/Extranet用戶，每個Site可代表Internet/Extranet的總部或分支機(jī)構(gòu)。MPLS三層VPN的CE與PE設(shè)備之間只需要一條物理或邏輯鏈路，但PE設(shè)備必須保存多個路由表。如果在CPE或PE之間運行動態(tài)路由協(xié)議，則PE還必須支持多實例，對PE性能要求較高。PE與PE之間需要運行BGP協(xié)議，可擴(kuò)展性較差，目前可通過一個或多個路由反射器解決這一問題。對于同一AS(Automated System)域的VPN，必須建立運營商之間路由器IBGP連接的PE，與路由反射器建立IBGP連接即可。

MPLS BGP三層VPN可通過與Internet路由之間配置一些靜態(tài)路由的方式，實現(xiàn)VPN的Internet上網(wǎng)服務(wù)，并可為跨不同地域的、屬于同一個AS但沒有骨干網(wǎng)的運營商提供VPN互連，即提供“運營商的運營商”模式的VPN網(wǎng)絡(luò)互連。

2.3 MPLS的優(yōu)點

1.高安全性。MPLS的標(biāo)記交換路徑(LPS)具有與FR和ATM VCC相似的安全性；另外。MPLS VPN還集成了IPSEC加密，同時也實現(xiàn)了對用戶透時，用戶可以采用防火墻，數(shù)據(jù)加密等方法，進(jìn)一步提高安全性。

2.強(qiáng)大的擴(kuò)展性。第一，網(wǎng)絡(luò)可以容納的VPN數(shù)目很大；第二，同一VPN的用戶很容易擴(kuò)充。

3.業(yè)務(wù)的融合能力。MPLS VPN提供了數(shù)據(jù)、語音和視頻三網(wǎng)融合的能力。

4.靈活的控制策略。可以制定特殊的控制策略，同時滿足不同用戶的特殊需求，實現(xiàn)增值服務(wù)。

5.強(qiáng)大的管理功能。采用集中管理的方式，業(yè)務(wù)配置和調(diào)度統(tǒng)一平臺，減少了用戶的負(fù)擔(dān)。

6.服務(wù)級別協(xié)議(SLA)。目前利用差別服務(wù)、流量控制和服務(wù)級別來保證一定的流量控制，將來可以提供寬帶保證以及更高的服務(wù)質(zhì)量保證。

篇9

Abstract: The paper mainly introduces the components and key technologies of MPLS VPN network system and explores the application of MPLS VPN network system in railway communication.

關(guān)鍵詞:MPLS/VPN;MPLS;鐵路

Key words: MPLS/VPN;MPLS;railway

中圖分類號:TP39 文獻(xiàn)標(biāo)識碼:A文章編號:1006-4311(2010)27-0167-01

0引言

MPLS VPN技術(shù)目前發(fā)展迅速,初期在亞洲,2002年比2001年增長了357%,達(dá)到一定的規(guī)模后開始保持每年大約27%的增長率。目前,MPLS VPN 已經(jīng)在銀行、保險、運輸、大型制造和連鎖企業(yè)提供了端到端高質(zhì)量、安全可靠的網(wǎng)絡(luò)平臺和服務(wù)。

1VPN技術(shù)概述

虛擬專用網(wǎng)(VPN:Virtual Private Network)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。所謂虛擬,是指用戶不再需要擁有實際的長途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò),是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。

2MPLS VPN技術(shù)介紹

MPLS VPN是基于MPLS (Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IP VPN),可用來構(gòu)造寬帶的Intranet、Extranet,滿足多種靈活的業(yè)務(wù)需求。

2.1 MPLS的基本原理MPLS網(wǎng)絡(luò)包含一些基本的元素。在網(wǎng)絡(luò)邊緣的節(jié)點就稱作標(biāo)記邊緣路由器(LER:Label Edge Router),而網(wǎng)絡(luò)的核心節(jié)點就稱作標(biāo)記交換路由器(LSR:Label Switching Router)。LER節(jié)點在網(wǎng)絡(luò)中提供高速交換功能。在MPLS節(jié)點之間的路徑就叫做標(biāo)記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò)的隧道。

2.2 MPLS VPN的實現(xiàn)原理基于BGP的MPLS VPN中的路由器有三種:P路由器、PE路由器和CE路由器。

CE路由器(CE:Customer Edge Device)為客戶邊緣路由器,由客戶負(fù)責(zé)維護(hù)?？蛻暨吘?CE)設(shè)備允許客戶通過連接一臺或多臺供應(yīng)商邊緣(PE)路由器的一條數(shù)據(jù)鏈路接入服務(wù)供應(yīng)商網(wǎng)絡(luò)。CE設(shè)備是一臺IP路由器,它與直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后,CE路由器把站點的本地VPN路由廣播到PE路由器,并從PE路由器上學(xué)習(xí)遠(yuǎn)程VPN路由。通常,PE-CE之間通過靜態(tài)路由交換路由信息,也可通過RIP、OSPF、BGP、IS-IS等協(xié)議,靜態(tài)路由方式可以減少因CE設(shè)備管理不善等原因造成的對骨干網(wǎng)BGP路由的震蕩,從而提供骨干網(wǎng)的穩(wěn)定性。

PE路由器(PE:Provider Edge Router)為運營商邊界路由器,存放著VRF表和全局路由表,VRF中存放著VPN路由,全局路由表中存放著運營商的域內(nèi)路由。

P路由器(Prouter:Provider Router)為運營商主干路由器,負(fù)責(zé)VPN分組外層標(biāo)簽的交換。供應(yīng)商路由器是沒有連接CE設(shè)備的供應(yīng)商網(wǎng)絡(luò)中的任何路由器。在PE路由器間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時,供應(yīng)商路由器作為MPLS連接LSR使用。由于是在采用兩層標(biāo)記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量,因此供應(yīng)商路由器只需維護(hù)到供應(yīng)商PE路由器的路由,而不需維護(hù)每個客戶站點專用的VPN路由信息。

3MPLS VPN優(yōu)勢

3.1 安全性高采用MPLS作為通道機(jī)制實現(xiàn)透明報文傳輸,MPLS的標(biāo)簽交換路徑(LSP)具有與FR和ATM VC相類似的安全性;另外,由于MPLS VPN實現(xiàn)對用戶透明,用戶還可以采用已有的手段,如設(shè)置防火墻,采用數(shù)據(jù)安全加密等方法,進(jìn)一步提高安全性。

3.2 可擴(kuò)展性強(qiáng)網(wǎng)絡(luò)中可以容納的VPN數(shù)目大,同一VPN中的節(jié)點容易擴(kuò)充,解決了各節(jié)點全網(wǎng)狀互聯(lián)的N平方問題。

3.3 接入便利MPLS VPN提供多種接入方式,不必對原有接入設(shè)備做任何改變,保護(hù)了企業(yè)的現(xiàn)有網(wǎng)絡(luò)投資。

3.4 維護(hù)成本低網(wǎng)絡(luò)的使用與維護(hù)變得簡單,便于管理和擴(kuò)展,降低了網(wǎng)絡(luò)運維與管理的人力、物力成本運。

4鐵路系統(tǒng)應(yīng)用分析

在鐵路系統(tǒng)中,以往鐵道部、鐵路局、各業(yè)務(wù)部門等組織機(jī)構(gòu)之間的組網(wǎng),較多是以2M數(shù)字通道(E1)的方式進(jìn)行,這種方式適合于數(shù)據(jù)敏感、較少節(jié)點之間互聯(lián)、帶寬要求不高的環(huán)境,但隨著鐵路系統(tǒng)各組織機(jī)構(gòu)之間信息需求和網(wǎng)絡(luò)節(jié)點數(shù)量逐漸增多,此組網(wǎng)方式在拓展線路帶寬、增加網(wǎng)絡(luò)節(jié)點上就不具備良好的擴(kuò)展能力,如果要實現(xiàn)各節(jié)點之間全互聯(lián)則線路接入費用也隨N 平方的問題成倍增加,接入設(shè)備也需要作大量調(diào)整。

鐵路系統(tǒng)應(yīng)用MPLS VPN技術(shù)組網(wǎng)時,主要考慮有以下因素:

4.1 安全性對于較為敏感、安全級別高的應(yīng)用系統(tǒng),在采用MPLS VPN隔離系統(tǒng)基礎(chǔ)上,可以在各節(jié)點之間進(jìn)一步通過增加防火墻建立IPsec數(shù)據(jù)加密機(jī)制,從而實現(xiàn)通道隔離和IPsec數(shù)據(jù)加密的雙重保護(hù)。

4.2 接入方式節(jié)點之間基于對等模式的數(shù)據(jù)互訪,需要在互訪的節(jié)點使用LAN、光纖等對稱帶寬的線路接入MPLS VPN網(wǎng)絡(luò),帶寬大小根據(jù)業(yè)務(wù)需求而定。

節(jié)點之間基于C/S模式的數(shù)據(jù)互訪,需要根據(jù)其應(yīng)用特點在服務(wù)節(jié)點采用高帶寬的線路接入,接入方式可以通常采用LAN 、光纖等。在客戶端也可以同樣的接入方式,但出于對成本的降低和帶寬需求不高考慮,可以采用ADSL這種靈活的非對稱帶寬線路方式接入。

4.3 可擴(kuò)展性對原有業(yè)務(wù)的網(wǎng)絡(luò)節(jié)點增加,只需在相應(yīng)節(jié)點增加接入線路即可;新增業(yè)務(wù)的網(wǎng)絡(luò)節(jié)點只需要申請新的VPN業(yè)務(wù),并設(shè)立各節(jié)點接入。原有業(yè)務(wù)和新增業(yè)務(wù)共同存在于運營商網(wǎng)絡(luò)中,但互相隔離。

5結(jié)束語

以MPLS VPN為基礎(chǔ)構(gòu)架,結(jié)合其它各種VPN技術(shù)構(gòu)建鐵路系統(tǒng)的骨干網(wǎng)絡(luò),必將會加速推動鐵路信息化建設(shè),滿足鐵路系統(tǒng)日益增長的信息需求,同時為鐵路系統(tǒng)帶來安全、高帶寬、高擴(kuò)展性和較低維護(hù)費用的網(wǎng)絡(luò)。

篇10

關(guān)鍵詞：圖書館網(wǎng)絡(luò)互聯(lián)vpn技術(shù)

0引言

隨著Internet和信息技術(shù)的快速發(fā)展，人們越來越依賴Internet進(jìn)行各種數(shù)據(jù)交換和信息存取，高校信息化建設(shè)也進(jìn)一步完善，應(yīng)用系統(tǒng)逐漸豐富，圖書館信息資源得到飛速的發(fā)展，現(xiàn)在教師的教學(xué)、科研都離不開圖書館信息資源。

然而對于圖書館來說，基于安全和知識產(chǎn)權(quán)的考慮，文獻(xiàn)信息資源并不是無限制地對外開放，圖書館許多信息資源僅限校內(nèi)訪問。如圖書館所購買的電子資源，大部分只允許擁有校內(nèi)IP地址的授權(quán)用戶訪問。這樣，對于某些在校外通過撥號等方式上網(wǎng)卻沒有固定IP地址的用戶，以及范圍不在校園局域網(wǎng)內(nèi)的寬帶用戶就很難利用到校園圖書館網(wǎng)上的文獻(xiàn)資源。

此外，許多高校圖書館為了規(guī)范化管理，均采用統(tǒng)一的圖書館管理系統(tǒng)在校園網(wǎng)上支撐多校區(qū)圖書館業(yè)務(wù)，勢必存在許多安全隱患，為了安全起見一般采用獨立成網(wǎng)，但是這種做法費用高而且不靈活。若能在校園網(wǎng)的基礎(chǔ)上架構(gòu)一個安全、可靠的專用虛擬網(wǎng)絡(luò)，專供圖書館管理系統(tǒng)使用，既廉價又方便。

本文介紹了運用VPN技術(shù)來解決以上問題的方案。

1VPN描述

1.1VPN的定義VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）是一種通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密，在公網(wǎng)如因特網(wǎng)上傳輸私有數(shù)據(jù)，同時保證私有網(wǎng)絡(luò)安全性的技術(shù)。它是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個臨時、安全、邏輯上的專用通道，盡管沒有自己的專用線路，但是這個邏輯上的專用通道卻可以提供和專用網(wǎng)絡(luò)同樣的功能[1]。

1.2VPN的主要特點

1.2.1網(wǎng)際互聯(lián)安全性高[2]VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

1.2.2經(jīng)濟(jì)實用、管理簡化[3]由于VPN獨立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷和安全配置。

1.2.3可擴(kuò)展性好[4]如果想擴(kuò)大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對工作站自動進(jìn)行配置。

1.2.4支持多種應(yīng)用由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運用在廣域網(wǎng)上。VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真等。

1.2.5有效實現(xiàn)網(wǎng)絡(luò)資源共建共享在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下，可以實現(xiàn)整個VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開發(fā)帶來的巨大浪費，甚至可以實現(xiàn)普通讀者在家用ADSL來訪問公共圖書館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫。

2利用VPN實現(xiàn)圖書館網(wǎng)絡(luò)互聯(lián)

要實現(xiàn)對分布在不同地域的信息資源實行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總館與分館的資源，進(jìn)行內(nèi)部業(yè)務(wù)交流和開展讀者服務(wù)工作，必須解決兩個問題：第一，要建立圖書館網(wǎng)絡(luò)間的安全通道，保護(hù)鏈路的通訊安全。第二，要根據(jù)身份認(rèn)證實現(xiàn)圖書館網(wǎng)絡(luò)內(nèi)部共享資源的訪問控制。利用VPN技術(shù)將有效解決上述問題。

2.1采用自建方式構(gòu)建VPN網(wǎng)絡(luò)雖然可以通過ISP（InternetServiceProvider，網(wǎng)絡(luò)服務(wù)提供商）的中心交換設(shè)備來構(gòu)建專用通道，但公共圖書館內(nèi)部局域網(wǎng)互聯(lián)速度相對較快，所以圖書館VPN網(wǎng)絡(luò)互聯(lián)宜采用自建的方式。其優(yōu)勢如下：①多數(shù)公共圖書館都具備良好的計算機(jī)基礎(chǔ)設(shè)施和內(nèi)聯(lián)局域網(wǎng)，接入因特網(wǎng)帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢更加突出。在此基礎(chǔ)上自建VPN，既便捷又經(jīng)濟(jì)。②能使圖書館互聯(lián)網(wǎng)絡(luò)對所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。③開發(fā)額外的新的應(yīng)用服務(wù)不用通過與ISP協(xié)商。圖書館信息技術(shù)應(yīng)用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據(jù)需要來配置自己的安全策略，滿足不同級別的安全需要。

2.2VPN類型的選擇目前國內(nèi)高校大多采用IPSec（IPSecurity）VPN技術(shù)來解決校外用戶訪問校圖書館問題。但由于IPSec協(xié)議最初是為了解決點對點的安全問題而制定的。因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案面對越來越多終端站點時，已日漸顯得力不從心。

在此情況下，SSL（SecruitySocketLayer）VPN技術(shù)應(yīng)運而生。SSLVPN的突出優(yōu)勢在于Web安全和移動接入。它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSLVPN公認(rèn)的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的InternetIP即可成功接入圖書館。

但SSLVPN并不能取代IPSecVPN，因為這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSecVPN是在兩個局域網(wǎng)之間通過Intemet建立安全連接，是實現(xiàn)點對點之間的通信。并且，IPSec工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。從高校應(yīng)用來看，由于SSL接人方式下所有用戶的訪問請求都是從SSLVPN設(shè)備的LAN口發(fā)起的。對于那些對單個用戶流量有嚴(yán)格限制的資源商來說，集群SSL用戶的訪問會被當(dāng)成一個用戶對待。這樣當(dāng)集群訪問流量達(dá)到資源商限制的數(shù)值時，就極易造成該IP被禁用，從而導(dǎo)致所有SSL用戶無法繼續(xù)訪問圖書館。

為解決這個問題，可以將圖書館大量的校外用戶分為兩類，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶（比如教師，但用戶數(shù)量少）；另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶（比如學(xué)生，但用戶將數(shù)量多）。通過用戶劃分，我們給教師用戶分配IPSec接入方式，這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過大造成IP被禁用問題；而將那些數(shù)量眾多但訪問量小的學(xué)生用戶分配SSL接入方式。利用SSLVPN無需部署客戶端的特性來降低客戶端的維護(hù)工作量，從而實現(xiàn)VPN在圖書館應(yīng)用的快速部署。

目前，許多VPN產(chǎn)品都能提供多種VPN接入形式，如：CiscoASA5500系列可以在單一平臺上提供IPSec和基于SSL（SecureSocketsLayer，安全套協(xié)議）的VPN服務(wù)，避免了為SSL和IPSecVPN部署分立的平臺而導(dǎo)致低效和成本增加。

2.3VPN支持的認(rèn)證技術(shù)一個VPN系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證方式，如基于機(jī)器特征碼、數(shù)字證書技術(shù)、遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)（RADIUS，RemoteAuthenticationDialInUserService）認(rèn)證、基于公開密鑰基礎(chǔ)設(shè)施（PKI，PublicKeyInfrastructure）[5]的證書認(rèn)證以及逐漸興起的生物識別技術(shù)等等。另外，還要提供基于用戶組策略的認(rèn)證。

2.4VPN接入控制的選擇機(jī)制為了方便網(wǎng)絡(luò)使用者（包括館員、讀者、管理部門等等）互聯(lián)，所有局域網(wǎng)內(nèi)部的用戶都必須有使用VPN服務(wù)器的權(quán)限。因此，接入控制顯得比其他兩種隧道形式更為重要?？梢圆捎脙杉壍目刂茩C(jī)制，粗度的接入控制交給VPN服務(wù)器來完成，VPN服務(wù)器上的安全策略數(shù)據(jù)庫（SPD,SafetyPolicyDatabase）可以實現(xiàn)基于類似于用戶組級別的控制，既把所有用戶劃分為不同等級的組來配置接入控制策略。細(xì)度的接入控制將由獨立的認(rèn)證服務(wù)器來完成，可以使局域網(wǎng)共享一個證書機(jī)構(gòu)CA（CertificateAuthority，數(shù)字證書認(rèn)證中心）和安全策略服務(wù)器，由它來管理和發(fā)放數(shù)字證書，實現(xiàn)對控制資源的訪問。

2.5VPN數(shù)據(jù)安全采用分級處理方式數(shù)據(jù)安全包括數(shù)據(jù)加密、完整性檢測和抗篡改。VPN技術(shù)在支持多種加密算法的同時還提供了對數(shù)據(jù)完整性進(jìn)行檢測的功能。在數(shù)據(jù)安全上，采用分級處理方式，對不同的等級的用戶配置不同的數(shù)據(jù)安全策略，把用戶分為普通級、普通加密級、高級加密級。對在普通級的用戶通訊數(shù)據(jù)（例如：讀者訪問圖書館電子資源）配置為不使用任何加密的安全策略；普通加密級的通訊數(shù)據(jù)采用低位的加密和散列函數(shù)進(jìn)行完整性檢測安全策略；高級加密級的通訊數(shù)據(jù)可以采用多位的加密+散列函數(shù)的安全策略。

2.6VPN的設(shè)備選擇對于設(shè)備的選擇，可以根據(jù)自己的實際情況，結(jié)合已有網(wǎng)絡(luò)的特點從可擴(kuò)展性、效果、性能、價錢等進(jìn)行分析衡量選配。最好選擇集成防火墻功能的VPN產(chǎn)品，以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DoS（DenialofService，拒絕服務(wù)）攻擊和入侵威脅，提供更好的處理性能，簡化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。

3總結(jié)

總之，VPN新技術(shù)綜合傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性和較好的服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡單和低成本，建立安全的數(shù)據(jù)通道，滿足了用戶對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，在高校圖書館中構(gòu)建以公眾網(wǎng)為基礎(chǔ)的虛擬專用網(wǎng)（VPN）系統(tǒng)，能有效解決當(dāng)前高校圖書館資源的遠(yuǎn)程利用問題和資源統(tǒng)一管理問題。隨著VPN技術(shù)的日益成熟，VPN必將成為未來圖書館互聯(lián)網(wǎng)絡(luò)的主要發(fā)展方向。

參考文獻(xiàn)：

[1]焦青亮.虛擬網(wǎng)絡(luò)VPN綜述[J].黑龍江科技信息.2007(1):54.

[2]唐淑娟，秦一方，井向陽.VPN技術(shù)與圖書館資源遠(yuǎn)程利用[J].情報探索.2007(1):49-51.

[3]韓明明.VIP技術(shù)在高校圖書館中的應(yīng)用探討[J].高校圖書情報論壇.2007(1):43-45.