第一篇：VPN的四種安全技術(shù)詳解

VPN的四種安全技術(shù)詳解

我們都知道,由于VPN(虛擬專用網(wǎng)絡(luò))傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項技術(shù)來保證安全，下面，517網(wǎng)游加速器芯晴就來給大家一一道來。

1.隧道技術(shù)：

隧道技術(shù)是VPN的基本技術(shù)類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.加解密技術(shù)：

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

3.密鑰管理技術(shù)：

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.使用者與設(shè)備身份認(rèn)證技術(shù)：

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

第二篇：VPN技術(shù)的學(xué)習(xí)總結(jié)

VPN技術(shù)的學(xué)習(xí)總結(jié)

在網(wǎng)絡(luò)安全課程的學(xué)習(xí)過程中，我對網(wǎng)絡(luò)安全有了一些了解和認(rèn)識。特別是它的基礎(chǔ)概念，網(wǎng)絡(luò)安全的具體要求，安全通信模型以及目前廣泛使用的安全技術(shù)等知識。其中VPN技術(shù)是目前安全通信中既能保證一定的安全性又具有經(jīng)濟(jì)性的一項技術(shù)，因此它目前的市場應(yīng)用十分廣泛。所以在學(xué)習(xí)完這門課程后，我想對所有學(xué)過的知識做一個梳理，然后把我比較感興趣的VPN技術(shù)做深入一些的學(xué)習(xí)和整理。

1.網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)上存儲和傳輸?shù)男畔①Y源的安全性。而其安全性包括計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全的威脅包括：計算機(jī)病毒，蠕蟲，木馬，拒絕服務(wù)攻擊，邏輯炸彈，后門和隱蔽通道等。

在網(wǎng)絡(luò)信息傳輸?shù)倪^程中，信息的安全特性包括：機(jī)密性，完整性，可用性，不可否認(rèn)性，可控性，可審查性，可恢復(fù)性。只有在滿足了以上特性的信息傳輸才被認(rèn)為是安全的。因此相對應(yīng)于各個安全特性，網(wǎng)絡(luò)安全服務(wù)需要做到的有：認(rèn)證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)機(jī)密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可否認(rèn)服務(wù)。在認(rèn)證服務(wù)中，需要提供某個實體（人或系統(tǒng)）的身份保證，確保通信實體就是它們所聲稱的實體。使用口令是一種提供認(rèn)證的熟知方法，數(shù)字證書和簽名也可以提供信息發(fā)送方的身份認(rèn)證。認(rèn)證是對付假冒攻擊的有效方法；

訪問控制服務(wù)中，要能夠防止對系統(tǒng)資源（如計算資源、通信資源或信息資源）的非授權(quán)訪問和非授權(quán)使用，確保只有授權(quán)的實體才能訪問授權(quán)的資源。訪問控制直接支持機(jī)密性、完整性、可用性以及合法使用等安全目標(biāo)。訪問控制系統(tǒng)的關(guān)鍵是制定訪問控制策略。它是系統(tǒng)安全防范中應(yīng)用最普遍和最重要的安全機(jī)制,可提供機(jī)密性和完整性服務(wù)。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時，根據(jù)每個用戶的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。

數(shù)據(jù)機(jī)密性服務(wù)，能夠保護(hù)信息不泄漏或不暴露給那些未授權(quán)掌握這一信息的實體（人或組織），確保授權(quán)實體才能理解受保護(hù)的信息，防止傳輸?shù)臄?shù)據(jù)遭到竊聽、流量分析等被動攻擊。機(jī)密性服務(wù)是通過加密機(jī)制來實現(xiàn)的，目前已有多種加密算法來保護(hù)數(shù)據(jù)的安全，可以根據(jù)不同的需求在網(wǎng)絡(luò)結(jié)構(gòu)的不同層次來實現(xiàn)。比如：若需保護(hù)全部通信業(yè)務(wù)流的機(jī)密性，可在物理層加密；若希望對端系統(tǒng)到端系統(tǒng)之間的通信進(jìn)行保護(hù)，可在網(wǎng)絡(luò)層加密。有時也可根據(jù)多個需求，在多個層次上提供加密。

數(shù)據(jù)完整性服務(wù)，是用來維護(hù)信息的一致性防止對信息的非授權(quán)篡改和破壞，使消息的接受者能判斷消息是否被修改或被攻擊者用假消息替換。數(shù)據(jù)完整性可以通過安全協(xié)議中的認(rèn)證頭AH協(xié)議，ESP協(xié)議，MAC算法等來保證。

不可否認(rèn)服務(wù)，其目的是保護(hù)通信用戶免遭來自系統(tǒng)中其他合法用戶的威脅，而不是來自未知攻擊者的威脅。通過公證機(jī)制的數(shù)字證書和時間戳可以保證信息發(fā)送方對發(fā)出的消息不能抵賴。

2.虛擬專用網(wǎng)VPN技術(shù)

虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)是在公共傳輸網(wǎng)絡(luò)中采用隧道技術(shù)，形成邏輯私有的通訊網(wǎng)絡(luò)的技術(shù)。這樣對通信安全要求高的用戶就不需要向網(wǎng)絡(luò)運(yùn)營商要求單獨(dú)牽一條專線，可以節(jié)省不少成本。VPN可實現(xiàn)數(shù)據(jù)公網(wǎng)傳輸?shù)臋C(jī)密性、完整性，對通信雙方的身份進(jìn)行認(rèn)證，并可解決異構(gòu)網(wǎng)傳輸問題等。VPN可工作在很多層次，如工作在鏈路層的鏈路密碼技術(shù)，工作在IP層的IPSEC VPN，GRE封裝，工作在傳輸層的SSL VPN等。2.1.VPN系統(tǒng)的組成

VPN系統(tǒng)由以下七個部分組成，VPN服務(wù)器：接受來自VPN客戶機(jī)的連接請求。VPN客戶機(jī)：終端計算機(jī)或者路由器。隧道：數(shù)據(jù)傳輸通道，其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)。VPN連接：在VPN連接中，數(shù)據(jù)必須經(jīng)過加密。傳輸數(shù)據(jù)：經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò)：如Internet，也可以是其他共享型網(wǎng)絡(luò)。下圖一直觀的顯示了VPN系統(tǒng)的組成。

圖一 VPN系統(tǒng)的組成

2.2.VPN系統(tǒng)通信流程與功能

首先，需要保護(hù)的主機(jī)發(fā)送明文信息到其VPN設(shè)備，其VPN設(shè)備根據(jù)管理員設(shè)置的規(guī)則,確定是對數(shù)據(jù)加密還是直接傳送。如果是需要加密的數(shù)據(jù),VPN 設(shè)備將其整個數(shù)據(jù)包進(jìn)行加密和簽名,加上新的數(shù)據(jù)報頭(包括目的地VPN設(shè)備需要的安全信息和初始化參數(shù))重新封裝;封裝后的數(shù)據(jù)包通過隧道在公網(wǎng)上傳輸;然后數(shù)據(jù)包到達(dá)目的VPN設(shè)備,收端VPN設(shè)備將數(shù)據(jù)包解封,核對簽名后,將數(shù)據(jù)包解密。

實現(xiàn)的基本功能有五項，分別是身份鑒別：包括驗證用戶的身份，限制非授權(quán)用戶的時候訪問了什么資源。不同的用戶對不同的資源應(yīng)有不同的訪問權(quán)限；地址管理：為每個客戶分配一個地址，并保證地址對虛擬專用網(wǎng)外的不可見性；數(shù)據(jù)加密：保證通過公共網(wǎng)絡(luò)傳送的信息即使被他人截獲也不會泄密；密鑰管理：能夠為VPN的客戶和服務(wù)器生成和更新加密密鑰；多協(xié)議支持：VPN必需能夠處理公共網(wǎng)絡(luò)常用的各種協(xié)議，包括IP、IPX等等； 2.3.VPN系統(tǒng)的分類

Intranet VPN：用于集團(tuán)的總部和多個分支機(jī)構(gòu)之間；分支機(jī)構(gòu)網(wǎng)絡(luò)是集團(tuán)總部網(wǎng)絡(luò)的可靠延伸；

Extranet VPN：為集團(tuán)的供貨商、重要客戶和消費(fèi)者等商業(yè)伙伴提供訪問權(quán)限；電子商務(wù)是Extranet VPN的一種特殊形式；

Access VPN：為移動用戶遠(yuǎn)程訪問集團(tuán)總部網(wǎng)絡(luò)提供服務(wù)； 2.4.關(guān)鍵技術(shù)

隧道技術(shù)：VPN的核心技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道由隧道協(xié)議形成，常用的有2、3層隧道協(xié)議。

密碼技術(shù)（由下面三項技術(shù)組成）

加解密技術(shù)：將認(rèn)證信息、通信數(shù)據(jù)等轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強(qiáng)度。

密鑰管理技術(shù)：如何在公用網(wǎng)上安全地傳遞密鑰而不被竊取。身份認(rèn)證技術(shù)：在正式的隧道連接開始之前需要確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實施資源訪問控制或用戶授權(quán)。2.5.身份認(rèn)證方法

PAP（Password Authentication Protocol）：是一種簡單的明文用戶名/口令認(rèn)證方式。

CHAP（Challenge Handshake Authentication Protocol詢問握手身份驗證協(xié)議）：是一種挑戰(zhàn)響應(yīng)式協(xié)議。它是PPP(MODEM或ADSL撥號)中普遍使用的認(rèn)證協(xié)議。MS-CHAP：是微軟針對Windows系統(tǒng)設(shè)計的，采用MPPE加密用戶密碼和數(shù)據(jù)。

RADIUS（Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)）：最初是由Livingston公司提出的，原先的目的是為撥號用戶進(jìn)行認(rèn)證和計費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項通用的認(rèn)證計費(fèi)協(xié)議。

2.6.具體通信協(xié)議與方法 2.6.1.點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）

PPTP（point – to – point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP協(xié)議上開發(fā)的支持Client-to-LAN類型的VPN連接。PPTP 使用 PPP 撥號連接，通過對PPP 分組的封裝傳輸，將PPP 鏈接邏輯地延伸到遠(yuǎn)程用戶與企業(yè)總部的PPTP服務(wù)器之間，從而借用PPP 協(xié)議成熟的機(jī)制對用戶進(jìn)行身份鑒別、訪問授權(quán)以及網(wǎng)絡(luò)配置，同時，通過PPTP封裝傳輸，也使得使用企業(yè)內(nèi)部地址的分組，能成功地穿越IP 異構(gòu)網(wǎng)絡(luò)，到達(dá)企業(yè)總部，以此達(dá)到資源共享。PPTP只能在兩端點(diǎn)間建立單一隧道。

PPTP工作模式分為被動和主動兩種模式。被動模式中，PPTP會話通過一個一般位于ISP 處的前端處理器發(fā)起，客戶端不需安裝任何PPTP軟件，ISP 為用戶提供相應(yīng)的服務(wù)，這種方式降低了對客戶的要求，但限制了客戶對Internet 其他部分的訪問。主動模式中，客戶與網(wǎng)絡(luò)另一端的服務(wù)器直接建立PPTP隧道，不需ISP 的參與，不需位于ISP 處的前端處理器，ISP 只提供透明的傳輸通道。這種方式的優(yōu)點(diǎn)是客戶對PPTP有絕對的控制。

PPTP隧道機(jī)制的特點(diǎn)有，PPTP不提供數(shù)據(jù)安全性保證，它必須借助PPP 的加密機(jī)制，如MPPE（Window自帶），或者與其它安全協(xié)議如IPsec）結(jié)合使用，才能為隧道通信提供安全保護(hù)；由于PPP協(xié)議本身支持多協(xié)議傳輸，PPTP因此支持多協(xié)議傳輸； PPTP不支持多隧道復(fù)用，但通過呼叫ID 能支持對隧道的會話復(fù)用； PPTP通過GRE頭中的序列號支持有限的分組排序功能； PPTP協(xié)議的系統(tǒng)開銷適中；除了有限的流量控制功能，PPTP也基本不能提供QoS 保障。2.6.2.第2層轉(zhuǎn)發(fā)L2F（Layer 2 Forward）協(xié)議

L2F（Layer 2 Forward）協(xié)議由Cisco公司提出，通過對PPP或SLIP分組的封裝傳輸，能使PPP/SLIP分組在多種網(wǎng)絡(luò)（如ATM、幀中繼和IP網(wǎng)絡(luò)）中傳輸。其標(biāo)準(zhǔn)于1998年提交IETF，發(fā)布在RFC 2341。L2F協(xié)議設(shè)計了L2F封裝頭, 形成L2F分組。L2F分組可在任何能提供點(diǎn)到點(diǎn)鏈接的底層媒體上發(fā)送。當(dāng)L2F分組在IP網(wǎng)絡(luò)上發(fā)送時，L2F分組將作為UDP協(xié)議的上層協(xié)議數(shù)據(jù)單元被封裝成為UDP報文，經(jīng)過IP協(xié)議發(fā)送。

以下是一個典型的L2F協(xié)議的實現(xiàn)：

圖二 L2F協(xié)議的典型實現(xiàn)

遠(yuǎn)程用戶通過ISDN/PSTN 網(wǎng)與NAS建立PPP 連接。VPN客戶機(jī)通過VPN撥號向NAS服務(wù)器發(fā)送請求，希望建立與遠(yuǎn)程HGW的VPN連接。NAS根據(jù)用戶名稱等信息向HGW發(fā)送隧道建立連接請求，實現(xiàn)與HGW之間通過IP 網(wǎng)、幀中繼或其它網(wǎng)絡(luò)建立L2F 隧道，總部局域網(wǎng)通過HGW與外界連接。即遠(yuǎn)程用戶與NAS之間建立一條PPP 鏈接。這條鏈接被NAS與HGW之間的L2F 隧道邏輯地延伸到HGW。2.6.3.第2層隧道協(xié)議（L2TP）

因特網(wǎng)工程任務(wù)組（IETF）希望統(tǒng)一虛擬撥號的標(biāo)準(zhǔn)，由此產(chǎn)生了L2TP（Layer 2 Tunneling Protocol）協(xié)議。它由微軟、Ascend、Cisco、3COM等公司參予制定，結(jié)合了PPTP和L2F兩種協(xié)議的優(yōu)點(diǎn)，成為IETF標(biāo)準(zhǔn)RFC 2661。L2TP是典型的被動式隧道協(xié)議，可讓用戶從客戶機(jī)或接入服務(wù)器發(fā)起VPN連接。L2TP協(xié)議設(shè)計了L2TP封裝頭，設(shè)計思想類似于L2F頭。封裝形成的L2TP分組可在任何能提供點(diǎn)到點(diǎn)鏈接的媒體上發(fā)送，如IP網(wǎng)、ATM和幀中繼。當(dāng)L2TP分組在IP網(wǎng)上進(jìn)行發(fā)送時，L2TP分組被封裝入UDP報文，再遞交給IP協(xié)議進(jìn)行發(fā)送。

而L2TP協(xié)議的工作流程如下：遠(yuǎn)程用戶通過PSTN或ISDN網(wǎng)，向ISP發(fā)起PPP鏈接請求。在ISP的呈現(xiàn)點(diǎn) POP處，LAC接受此連接，建立遠(yuǎn)程用戶到LAC的PPP鏈接。遠(yuǎn)程用戶與LAC互換LCP配置信息，并可能實現(xiàn)如CHAP身份鑒別信息的局部交換；

ISP的LAC依據(jù)CHAP應(yīng)答中的名字信息，確定是否對此遠(yuǎn)程用戶提供虛擬的撥號訪問服務(wù)。若需要，則由名字信息確定該用戶的總部所在地，即目的LNS；

如果LAC與該LNS之間沒有建立隧道，或者因為保證QoS服務(wù)的需要，由LAC向LNS發(fā)起隧道的建立，并為該隧道分配一個隧道號，即Tunnel ID；并在隧道中為該用戶呼叫分配一個ID號，稱Call ID。LAC隨后向LNS發(fā)出入站呼叫請求。該請求中可能包括LAC對遠(yuǎn)程用戶收集的鑒別信息以及其它配置信息；如果LNS接受此入站呼叫，則在LNS為此呼叫產(chǎn)生一個“虛擬接口”，該虛擬接口為L2TP隧道的終點(diǎn)，其另一終點(diǎn)是建立于LAC上的一個L2TP虛擬接口；

LNS為遠(yuǎn)程用戶分配IP地址。LNS分配給遠(yuǎn)程用戶的IP地址由管理員設(shè)置，一般使用私有地址，但LAC和LNS需使用公共IP地址。從遠(yuǎn)程用戶發(fā)送的PPP幀到達(dá)LAC后，LAC上的L2TP虛擬接口將PPP幀封裝為L2TP分組之中，在特定的傳輸媒體上發(fā)送。當(dāng)L2TP分組到達(dá)LNS端后，L2TP頭被剝?nèi)?，剩余的PPP或SLIP分組將與正常進(jìn)入的分組一樣被送入相應(yīng)的接口進(jìn)行處理。

從LNS發(fā)送到遠(yuǎn)程用戶的數(shù)據(jù)的處理過程與此完全相似。2.6.4.IP安全協(xié)議（IPSec）與SSL VPN VPN技術(shù)雖然種類眾多，但I(xiàn)ETF下的IPSec工作組推出的IPSec協(xié)議是目前工業(yè)界IP VPN標(biāo)準(zhǔn)，安全性明顯優(yōu)于其它隧道協(xié)議,以IPSec協(xié)議構(gòu)建虛擬專用網(wǎng)已成為主流。

基于IPSec構(gòu)建IP VPN是指利用實現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)（Security Gateway）充當(dāng)邊界路由器，完成安全的遠(yuǎn)程接入和在廣域網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專線互聯(lián)等。

IPSec VPN的建立方式包括：Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)，Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)。SSL VPN主要供遠(yuǎn)程用戶訪問內(nèi)部網(wǎng)絡(luò)資源時使用，包括Web服務(wù)、文件服務(wù)（包括FTP 服務(wù)、Windows網(wǎng)上鄰居服務(wù)）、可轉(zhuǎn)化為Web方式的應(yīng)用（如Webmail)以及基于C/S的各類應(yīng)用等。SSL 應(yīng)用模式基本分為三類：Web瀏覽器模式、專門的SSL VPN客戶端模式和LAN 到LAN 模式。

在Web瀏覽器模式中，SSL VPN服務(wù)器使用https和socks 協(xié)議（實現(xiàn)代理功能，負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)）。SSL VPN客戶端與SSL VPN服務(wù)器間使用https協(xié)議；而SSL VPN服務(wù)器與單位內(nèi)部服務(wù)器間使用http 協(xié)議。當(dāng)客戶端需要訪問內(nèi)部網(wǎng)絡(luò)中的C/S應(yīng)用時，它從SSL VPN服務(wù)器下載控件。該控件是一個服務(wù)監(jiān)聽程序，用于將客戶端的C/S數(shù)據(jù)包轉(zhuǎn)換為Http 協(xié)議支持的連接方法，并通知SSL VPN服務(wù)器它所采用的通信協(xié)議（TCP/UDP）及訪問的目的服務(wù)地址和端口?？蛻舳丝丶cSSL VPN服務(wù)器建立安全通道后，在本機(jī)接收客戶端數(shù)據(jù)包后，通過SSL 通道轉(zhuǎn)發(fā)給SSL VPN服務(wù)器。SSL VPN服務(wù)器解密數(shù)據(jù)后轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的目的服務(wù)器。SSL VPN服務(wù)器接收到內(nèi)部網(wǎng)絡(luò)的服務(wù)器的響應(yīng)數(shù)據(jù)包后，通過SSL 通道發(fā)給客戶端控件?？蛻舳丝丶饷芎筠D(zhuǎn)發(fā)給客戶端應(yīng)用程序。

3.學(xué)習(xí)總結(jié)

網(wǎng)絡(luò)安全技術(shù)是保證網(wǎng)絡(luò)通信過程中，傳遞信息的機(jī)密性，完整性，可用性，不可否認(rèn)性等。硬件層面的設(shè)備，線纜等安全性可以通過加強(qiáng)設(shè)計和提高生產(chǎn)技術(shù)來保證。軟件層面的通信安全就需要靠安全通信協(xié)議和對明文內(nèi)容的加密算法來實現(xiàn)。在通信網(wǎng)絡(luò)的OSI分層中，軟件層面的通信安全主要體現(xiàn)在網(wǎng)絡(luò)層，傳輸層，會話層，表示層。在每個層中，根據(jù)網(wǎng)絡(luò)通信類型和服務(wù)不同，使用的安全協(xié)議也有區(qū)別。密鑰技術(shù)，數(shù)字證書技術(shù)等保證信息機(jī)密性，完整性，可用性，不可否認(rèn)性的技術(shù)主要工作在表示層。而VPN技術(shù)是從鏈路層到表示層都有一整套協(xié)議和通信方式的技術(shù)，在各個層都能夠保證信息不被篡改，閱讀，抵賴。所以幾乎能夠相當(dāng)于在用戶之間建立了一條專線進(jìn)行通信。

第三篇：VPN定義

VPN

開放分類： 互聯(lián)網(wǎng)、網(wǎng)絡(luò)、電腦、技術(shù)

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。下面我們結(jié)合本站有關(guān)思科及微軟關(guān)于VPN方面的文章為大家介紹這方面的資訊，更多更豐富的相關(guān)方面內(nèi)容我們將在以后日子里進(jìn)行補(bǔ)充。

針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對應(yīng)。

======

虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時經(jīng)過公用網(wǎng)訪問公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等?，F(xiàn)在很多公司通過使用IPSec VPN來保證公司總部和分支機(jī)構(gòu)以及移動工作人員之間安全連接。

對于很多IPSec VPN用戶來說，IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實：在部署和使用軟硬件客戶端的時候，需要大量的評價、部署、培訓(xùn)、升級和支持，對于用戶來說，這些無論是在經(jīng)濟(jì)上和技術(shù)上都是個很大的負(fù)擔(dān)，將遠(yuǎn)程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對任何IT專業(yè)人員來說都是嚴(yán)峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制，大量的企業(yè)都認(rèn)為IPSec VPN是一個成本高、復(fù)雜程度高，甚至是一個無法實施的方案。為了保持競爭力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個人之間傳遞信息，所以很多公司需要找一種實施簡便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營成本低的解決方案。

----從概念上講，IP-VPN是運(yùn)營商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個通用的方法可以適用于由一個運(yùn)營商來支持的、涉及其他運(yùn)營商網(wǎng)絡(luò)的情況（如運(yùn)營商的運(yùn)營商）。

----圖1給出了實現(xiàn)IP-VPN的一個通用方案。其中，CE路由器是用于將一個用戶站點(diǎn)接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。

----站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)，一個站點(diǎn)可以同時位于不同的幾個VPN之中。

----圖2顯示了一個服務(wù)提供者網(wǎng)絡(luò)支持多個VPN的情況。如圖2所示，一個站點(diǎn)可以同時屬于多個VPN。依據(jù)一定的策略，屬于多個VPN的站點(diǎn)既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個站點(diǎn)同時屬于多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。

----MPLS為實現(xiàn)IP-VPN提供了一種靈活的、具有可擴(kuò)展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。

方案一

----本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IPVPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓?fù)潋?qū)動方式來實現(xiàn)基本的LSP建立過程，同時使用兩級LSP隧道(標(biāo)記堆棧)來支持VPN的內(nèi)部路由。

----圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。

----LER(標(biāo)記邊緣路由器)

----LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。對于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點(diǎn)。如果一個LER同時為多個用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當(dāng)為自己服務(wù)的各個VPN分別建立一個轉(zhuǎn)發(fā)表，這是因為不同VPN的IP地址空間可能是有所重疊的。

----LSR(標(biāo)記交換路由器)

----MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對MPLS域進(jìn)行配置。這里的MPLS域指的就是IPVPN區(qū)域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓?fù)潋?qū)動方法來進(jìn)行，這一過程被定義為使用基本標(biāo)記的、基本的或是單級LSP建立。而對于VPN內(nèi)部路由，則將使用兩級LSP隧道（標(biāo)記堆棧）。

----VPN成員

----每一個LER都有一個任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一 IPVPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道，所以 LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達(dá)其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標(biāo)記，以方便這些消息能夠最終到達(dá)目的LER。

----LDP Hello消息實際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER（對等實體）。新的Hello消息相鄰實體注冊完成之后，相關(guān)的兩個LER之間將開始發(fā)起LDP會話。隨后，其中一個LER將初始化與對方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會話便建立起來了。此后，雙方各自為對方到自己的LSP 隧道提供一個標(biāo)記。如果LSP隧道是嵌套隧道，則該標(biāo)記將被推入標(biāo)記棧中，并被置于原有的標(biāo)記之上。

----VPN成員資格和可到達(dá)性信息的傳播

----通過路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點(diǎn)的IP地址前綴。LER需要找到對等LER，還需要找到在一個VPN中哪些LER 是為同一個VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。

----VPN內(nèi)的可到達(dá)性

----最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個LER被配置成一個IPVPN的一員時，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中，還可能會配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個LER 都將發(fā)布通過它可以到達(dá)的、VPN用戶的地址前綴。

----IP分組轉(zhuǎn)發(fā)

----LER之間的路由信息交互完成之后，各個LER都將建立起一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價類)與下一跳聯(lián)系起來。當(dāng)收到的IP分組的下一跳是一個LER時，轉(zhuǎn)發(fā)進(jìn)程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達(dá)該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組，接著帶有兩個標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個LSR；當(dāng)該分組到達(dá)目的LER時，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變；當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER。在LER上，每一個VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。

方案二

----本節(jié)將對一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供IP-VPN業(yè)務(wù)的方法進(jìn)行介紹，其技術(shù)細(xì)節(jié)可以參見RFC 2547。

----圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置，圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。

----提供者邊緣(PE)路由器

----PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。

----實際上，它就是一個邊緣LSR（即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口）。

----用戶邊緣(CE)路由器

----CE路由器是用于將一個用戶站點(diǎn)接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。

----提供者(P)路由器

----P路由器是指網(wǎng)絡(luò)中的核心LSR。

----站點(diǎn)（Site）

----站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)。一個站點(diǎn)可以同時位于不同的幾個VPN之中。

----路徑區(qū)別標(biāo)志

----服務(wù)提供者將為每一個VPN分配一個唯一的標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD）,它對應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址，這些地址稱為VPNIP 地址，它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務(wù)提供者網(wǎng)絡(luò)中的每一個端點(diǎn)都是唯一的，對于VPN中的每一個節(jié)點(diǎn)（即VPN中的每一個PE路由器），轉(zhuǎn)發(fā)表中都將存儲有一個條目。

----連接模型

----圖4給出了MPLS/BGP VPN的連接模型。

----從圖4中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時使用IP路由技術(shù)來與CE路由器通信。P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實現(xiàn)路由器之間的標(biāo)記分發(fā)。

----PE路由器使用多協(xié)議BGP4來實現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，圖4中的PE處于同一自治域中，它們之間使用內(nèi)部BGP（iBGP）協(xié)議。

----P路由器不使用BGP協(xié)議而且對VPN一無所知，它們使用普通的MPLS協(xié)議與進(jìn)程。

----PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進(jìn)程。CE路由器不必實現(xiàn)MPLS或?qū)PN有任何特別了解。

----PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復(fù)的情況。

----PE路由器將BGP計算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。

----這一方案使用兩級標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對于各個VPN的識別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對網(wǎng)絡(luò)進(jìn)行設(shè)計與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進(jìn)行配置；MPLS網(wǎng)絡(luò)或者是一個路徑映射標(biāo)志中的PE路由器之間必須進(jìn)行對等關(guān)系的配置；為了與CE進(jìn)行通信，還必須進(jìn)行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進(jìn)行通信，還必須進(jìn)行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。

>----VPN成員資格和可到達(dá)性信息的傳播

----PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。

----PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達(dá)目的VPN站點(diǎn)的路徑。另外，PE路由器還要通過BGP與其PE路由器對等實體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級標(biāo)記，P 路由器看不到這些標(biāo)記。

----PE路由器將為其支持的每一個VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。

----IP分組轉(zhuǎn)發(fā)

----PE之間的路由信息交換完成之后，每一個PE都將為每一個VPN建立一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。

----當(dāng)收到發(fā)自CE路由器的IP分組時，PE路由器將在轉(zhuǎn)發(fā)表中查詢該分組對應(yīng)的VPN。

----如果找到匹配的條目，路由器將執(zhí)行以下操作：

----如果下一跳是一個PE路由器，轉(zhuǎn)發(fā)進(jìn)程將首先把從路由表中得到的、該P(yáng)E路由器所對應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達(dá)目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個LSR。

----P路由器（LSR）使用頂層標(biāo)記及其路由表對分組繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。當(dāng)該分組到達(dá)目的LER時，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。

----當(dāng)PE收到分組時，它使用內(nèi)部標(biāo)記來識別VPN。此后，PE將檢查與該VPN相關(guān)的路由表，以便決定對分組進(jìn)行轉(zhuǎn)發(fā)所要使用的接口。

----如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。

----VPNIP轉(zhuǎn)發(fā)表中包含VPNIP地址所對應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個站點(diǎn)。這一過程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳輸時無需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。使用BGP協(xié)議，交換機(jī)可以根據(jù)入口選擇一個特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個VPN有效目的地址。

----為了建立企業(yè)的Extranet，服務(wù)提供者需要對VPN之間的可到達(dá)性進(jìn)行明確指定(可能還需要進(jìn)行NAT配置)。

----安全

----在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個分組都將與一個RD相關(guān)聯(lián)，這樣，用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個用戶的VPN。要注意的是，在用戶數(shù)據(jù)分組中沒有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時，用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進(jìn)入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級。

第四篇：VPN研究報告

一、前言

互聯(lián)網(wǎng)的普及、移動通信技術(shù)的進(jìn)步、信息化程度的提高，使全世界的數(shù)字信息高度共

享成為可能。中國高校也越來越重視數(shù)字化校園的開發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、電子教學(xué)資源的建設(shè)。而作為電子教學(xué)資源的重點(diǎn)之一，電子圖書館的建設(shè)已經(jīng)成為當(dāng)今數(shù)字化校園建設(shè)的新亮點(diǎn)。國內(nèi)很多高校近幾年都從網(wǎng)上購置了大量的電子數(shù)據(jù)供廣大師生開展教學(xué)研究。這些資源對于學(xué)校學(xué)科建設(shè)和科學(xué)研究工作有很重要的意義，數(shù)字圖書館的建設(shè)和應(yīng)用已經(jīng)成為高校信息化建設(shè)和現(xiàn)代教育技術(shù)改革工作的一大重點(diǎn)。

二、選題背景

隨著教育信息化的深入，很多學(xué)校都建立了校園網(wǎng)，為了實現(xiàn)校內(nèi)資源優(yōu)化整合，讓師

生們更好的進(jìn)行工作和學(xué)習(xí)，他們需要在校園網(wǎng)內(nèi)部或在校外的遠(yuǎn)程節(jié)點(diǎn)上，隨時享受校園網(wǎng)內(nèi)部的各項服務(wù)，然而由于互聯(lián)網(wǎng)黑客對各高校的資源虎視眈眈，在沒有經(jīng)過任何允許的情況下，黑客們很容易就潛入校園網(wǎng)內(nèi)部進(jìn)行搗亂，為此，多數(shù)校園網(wǎng)都不會將自己的各種應(yīng)用系統(tǒng)和所有信息資源完全開放，因為這樣讓整個校園網(wǎng)面臨無以估量的破壞性損失，為了網(wǎng)絡(luò)安全考慮，將vpn技術(shù)應(yīng)用于基于公共互聯(lián)網(wǎng)構(gòu)架的校園網(wǎng)，可以較好的解決校園網(wǎng)多校區(qū)、遠(yuǎn)程訪問、遠(yuǎn)程管理等問題。

三、vpn簡介

虛擬專用網(wǎng)（vpn）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安

全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

四、vpn功能

vpn可以提供的功能： 防火墻功能、認(rèn)證、加密、隧道化。

vpn可以通過特殊的加密的通訊協(xié)議在連接在internet上的位于不同地方的兩個或多個

企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。vpn技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows 2000等軟件里也都支持vpn功能，一句話，vpn的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

五、vpn常用的網(wǎng)絡(luò)協(xié)議

常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：

ipsec : ipsec(縮寫ip security)是保護(hù)ip協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對ip協(xié)議分組進(jìn)行加密和認(rèn)證。ipsec作為一個協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分： vpn加密分組流的封裝安全載荷（esp）及較少使用的認(rèn)證頭（ah），認(rèn)證頭提供了對分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，ike協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。

pptp: point to point tunneling protocol--點(diǎn)到點(diǎn)隧道協(xié)議。在因特網(wǎng)上建立ip虛擬專用網(wǎng)

（vpn）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。l2f: layer 2 forwarding--第二層轉(zhuǎn)發(fā)協(xié)議

l2tp: layer 2 tunneling protocol--第二層隧道協(xié)議 gre：vpn的第三層隧道協(xié)議

六、vpn研究問題

? vpn如何解決校園網(wǎng)安全風(fēng)險

對于校園網(wǎng)而言，它雖然給師生帶來了資源共享的便捷，但同時也意味著具有安全風(fēng)險，比如非授權(quán)訪問，沒有預(yù)先經(jīng)過授權(quán)，就使用校園網(wǎng)絡(luò)或計算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無意中被泄漏出去或丟失；以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計算機(jī)病毒等。那么，校園網(wǎng)利用vpn技術(shù)方案，是否能避免校園網(wǎng)的潛在安全隱患，杜絕上述情況的發(fā)生呢？

vpn即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗證和數(shù)據(jù)加密，實際工作時，遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的vpn服務(wù)器發(fā)出請求，vpn服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到vpn服務(wù)端，vpn服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，vpn服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，vpn服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。簡單來說，vpn可以通過對校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別。? 選擇ipsec vpn還是ssl vpn 校園網(wǎng)vpn方案可以通過公眾ip網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕了校園網(wǎng)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，不過對于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實際情況采取不同的架構(gòu)。一般而言，ipsec vpn和ssl vpn是目前校園網(wǎng)vpn方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來說，ipsec vpn是提供站點(diǎn)與站點(diǎn)之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而ssl vpn則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。

從vpn技術(shù)架構(gòu)來看，ipsec vpn是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實現(xiàn)internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用，它將遠(yuǎn)程客戶端置于校園內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。ipsec vpn還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置ipsec客戶端軟件和接入設(shè)備，這大大提高了安全級別，因為訪問受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。而且這些ipsec客戶端軟件能實現(xiàn)自動安裝，不需要用戶參與，因而無論對網(wǎng)管還是終端用戶，都可以減輕安裝和維護(hù)上的負(fù)擔(dān)。? vpn為校園網(wǎng)帶來哪些應(yīng)用

在校園網(wǎng)中，通過vpn給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，vpn能為校園網(wǎng)帶來哪些具體應(yīng)用優(yōu)勢呢？首先就是辦公自動化，比如校園辦公樓共有40個信息點(diǎn)，此時可以通過校園網(wǎng)連至internet用戶，實現(xiàn)100m甚至1000m到桌面的帶寬，并對財務(wù)科、人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。還可以利用vpn在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個多媒體教室，每個教室60臺pc，通過校園網(wǎng)上連至internet，實現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的pc通過校園網(wǎng)上連至internet，而不進(jìn)行任何布置。

校園網(wǎng)采用vpn技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐膇sp申請賬戶登錄到internet，以internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購買和維護(hù)通信設(shè)備的費(fèi)用?，F(xiàn)在很多大學(xué)都有多個分校，各個分校和培訓(xùn)場所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲，許多學(xué)校都采用了分布式存儲方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取vpn服務(wù)器，可以對各分校進(jìn)行web通訊控制，同時又可以實現(xiàn)分校訪問互通。為了讓師生共享圖書資源，與國外高校合作交換圖書館數(shù)據(jù)，以及向國外商業(yè)圖書館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書館，但在應(yīng)用上也會產(chǎn)生相應(yīng)的約束性，比如說為了保證數(shù)據(jù)信息的知識產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過的內(nèi)部合法師生，此時采用vpn加密技術(shù)，數(shù)據(jù)在internet中傳輸時，internet上的用戶只看到公共的ip地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問校內(nèi)未向互聯(lián)網(wǎng)開放的資源。同時又確保了校園數(shù)字圖書館的易用性和安全性。? vpn支持哪種校園網(wǎng)接入方式

在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、isdn、adsl撥號上網(wǎng)，而對于條件好的高校，則采取了光纖或ddn、幀中繼等專線連接，那么，vpn方案到底支持哪種接入方式呢？實際上，vpn可以支持最常用的網(wǎng)絡(luò)協(xié)議，因為在internet上組建vpn，用戶計算機(jī)或網(wǎng)絡(luò)需要建立到isp連接，與用戶上網(wǎng)接入方式相似，比如基于ip、ipx和netbui協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用vpn方案。

七、vpn在校園圖書館系統(tǒng)中的調(diào)查分析

數(shù)字圖書館的版權(quán)問題不容忽視，不管什么類型的圖書，都要遵循數(shù)字版權(quán)保護(hù)(digital rights management，drm)的規(guī)定，通過安全和加密技術(shù)控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對數(shù)字產(chǎn)品非授權(quán)使用。

正是在這樣一種保護(hù)知識產(chǎn)權(quán)的背景下，高校圖書館所購買的電子資源大部分都有限制訪問的ip地址范圍。即:

1、采購的這些數(shù)據(jù)庫不是存放在圖書館服務(wù)器上，而是存儲在提供商的服務(wù)器上，圖書館支付費(fèi)用以后，數(shù)據(jù)庫服務(wù)商是根據(jù)訪問者的ip地址來判斷是否是經(jīng)過授權(quán)的用戶。

2、只要是從校園網(wǎng)出去的ip地址都是認(rèn)可的，因為校園網(wǎng)出口ip和部分公網(wǎng)ip地址是屬于這個有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計算機(jī)都可以使用。

3、如果教師、學(xué)生在家里上網(wǎng)或者一個老師到外地出差需要訪問這些電子資源，無論采用pstn撥號、adsl、小區(qū)寬帶，使用的都是社會網(wǎng)絡(luò)運(yùn)營商提供的ip地址，不是校園網(wǎng)的ip地址范圍，因此數(shù)據(jù)庫服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問。當(dāng)然，我們也可以要求服務(wù)商進(jìn)一步開放更多的ip地址為合法用戶，但是這要求訪問者的ip地址是固定的、靜態(tài)的，而實際上，絕大多數(shù)校外用戶使用的都是動態(tài)ip地址，是不確定的，所以數(shù)據(jù)庫服務(wù)商無法確定訪問者的合法身份，因而自動屏蔽。

因此，就需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問電子圖書館的解決方案，將校園網(wǎng)當(dāng)作校外用戶的中轉(zhuǎn)站，使校外用戶通過鑒權(quán)后擁有校內(nèi)地址再訪問資源數(shù)據(jù)庫。到底有沒有這樣一種方案呢?虛擬專用網(wǎng)即vpn技術(shù)，給了我們很好的答案。vpn是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠isp(internet service provider 服務(wù)提供商)和其它nsp(networkservice provider網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動態(tài)組成的。

實際上，目前國內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用vpn技術(shù)來解決這個問題，而且大多是采用的ipsec vpn技術(shù)。利用ipsec技術(shù)，校外用戶在本機(jī)安裝一個vpn客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡(luò)，ipsec vpn中心端會給每個遠(yuǎn)程用戶分配一個校園網(wǎng)ip地址，從而實現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問電子資源。

雖說ipsec vpn是目前vpn的主流技術(shù)之一，但ipsec協(xié)議最初是為了解決site to site的安全問題而制定的，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來越多的end to site應(yīng)用情況下已經(jīng)力不從心。

首先是客戶端配置問題:在每個遠(yuǎn)程接入的終端都需要安裝相應(yīng)的ipsec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)。雖然一些領(lǐng)先的公司已經(jīng)解決了ipsec 客戶端難以配置和維護(hù)的問題，但是還是無法避免在每個終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對數(shù)量也不少。

其次是ipsec vpn自身安全問題:往往傳統(tǒng)的ipsec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡(luò)的安全控制問題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對不同用戶身份設(shè)定對不同資源的訪問權(quán)限上也存在不少缺陷(隨著技術(shù)的發(fā)展，新興的vpn廠商已經(jīng)著手改進(jìn)這些問題并取得了相應(yīng)的成績)。

然后是對網(wǎng)絡(luò)的支持問題:傳統(tǒng)的ipsec vpn在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題，但由于ipsec vpn對防火墻的安全策略的配置較為復(fù)雜(往往要開放一些非常用端口)，因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。

最后是移動設(shè)備支持問題:隨著未來通訊技術(shù)的發(fā)展，移動終端的種類將會越來越多，ipsec 客戶端需要有更多的版本來適應(yīng)這些終端，但隨著終端種類的爆炸性增長，這幾乎是不可能的。

因此，ssl vpn技術(shù)應(yīng)運(yùn)而生。ssl vpn的突出優(yōu)勢在于web安全和移動接入，它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前，對ssl vpn公認(rèn)的三大好處是:首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效;第二個好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的ssl協(xié)議就行;第三個好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開ie瀏覽器訪問圖書館的internet ip即可成功接入圖書館，ssl vpn技術(shù)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問都是以ssl vpn設(shè)備的lan口的名義發(fā)起的，所以只要ssl vpn設(shè)備的lan口ip是一個合法的校園網(wǎng)ip，所有成功接入ssl的校外用戶都可以成功訪問這個ssl vpn設(shè)備lan口所能訪問的資源。

但ssl vpn并不能取代ipsec vpn。因為，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。ssl vpn考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在web的遠(yuǎn)程安全接入方面;而ipsec vpn是在兩個局域網(wǎng)之間通過internet建立的安全連接，保護(hù)的是點(diǎn)對點(diǎn)之間的通信，并且，ipsec工作于網(wǎng)絡(luò)層，不局限于web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。從高校應(yīng)用來看，由于ssl接入方式下所有用戶的訪問請求都是從ssl vpn設(shè)備的lan口發(fā)起的，對于那些對單個用戶流量有嚴(yán)格限制的資源商來說，這些ssl用戶的訪問會被當(dāng)成一個用戶對待，很快就會因為達(dá)到資源商的流量限制而造成該ip被禁用，也就導(dǎo)致所有ssl用戶無法繼續(xù)訪問圖書館資源。

那么，高校圖書館應(yīng)該選擇何種vpn技術(shù)以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看，比較合理的應(yīng)用方式應(yīng)該是ipsec和ssl共同使用。

正如我們前面所分析的，上游資源商對于資源的應(yīng)用是有限制的，除了限制發(fā)起請求的ip地址外，還會限制單個ip地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個類型，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過用戶劃分，我們給訪問量大但數(shù)量少的教師用戶分配ipsec接入方式，這樣就可以把大量的用戶流量分配到不同的ip地址上，避免單個ip流量過大造成的問題，而那些數(shù)量眾多但訪問量小的學(xué)生用戶分配ssl接入方式，利用ssl vpn無需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實現(xiàn)vpn在圖書館應(yīng)用的快速部署。經(jīng)過長時間的測試，華師圖書館選擇使用國內(nèi)專業(yè)vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺:sinfor m5100-s。該產(chǎn)品在一臺網(wǎng)關(guān)上同時集成了ipsec和ssl vpn功能，利用兩種技術(shù)的集成很好解決了圖書館應(yīng)用的需求，同時一體化的設(shè)計能夠大幅度的降低整個vpn產(chǎn)品的投入，滿足教育行業(yè)低成本高效率it建設(shè)的需求。

八、結(jié)論

vpn技術(shù)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢,它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)性能的優(yōu)點(diǎn)(安全和qos)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡單和低成本),能夠提供遠(yuǎn)程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設(shè)與維護(hù)費(fèi)用比專線網(wǎng)絡(luò)要低得多.而且,vpn在降低成本的同時滿足了對網(wǎng)絡(luò)帶寬,接入和服務(wù)不斷增加的需求.根據(jù)調(diào)查數(shù)據(jù)表明,用vpn替代租用線路來連接遠(yuǎn)程站點(diǎn)可節(jié)約20%～47%的開支,這么一種經(jīng)濟(jì),安全和靈活的技術(shù),在國外圖書館已經(jīng)逐步普及.在國內(nèi),一些高校圖書館也開始應(yīng)用vpn技術(shù)實現(xiàn)多校區(qū)圖書館互聯(lián)和開展一些遠(yuǎn)程文獻(xiàn)信息服務(wù).vpn技術(shù)在高校圖書館的應(yīng)用,必將提高圖書館利用效率,為圖書館的遠(yuǎn)程文獻(xiàn)信息服務(wù)打開新局面,尤其為多校區(qū)圖書館之間資源的共享提供安全,高效,經(jīng)濟(jì)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)訪問途徑.隨著vpn技術(shù)的日益成熟,它將在圖書館得到更為廣泛的應(yīng)用。

第五篇：VPN說明書.

VPN 使用說明書 申請/重置賬號密碼：http://self.cczu.edu.cn/index/addvpnwlan（無賬號或忘記密碼時，進(jìn)行申請或重置密碼）用戶自助修改密碼：http://219.230.159.60:8080/selfservice(有密碼時，進(jìn)行修改)中國移動、中國電信、聯(lián)通、和教育網(wǎng)用戶請分別點(diǎn)擊上面的圖標(biāo)進(jìn)行訪問； 在您首次使用的時候，系統(tǒng)將自動下載安裝插件至所在計算機(jī)，請您留意頁面提示并安裝； 當(dāng)插件安裝完畢之后，正常進(jìn)入登錄窗口，使用用戶名和密碼進(jìn)行登錄； 6 登錄成功后，即進(jìn)入用戶使用頁面，此時即可訪問校內(nèi)和校外指定資源。7 訪問校內(nèi)資源時請不要關(guān)閉本頁；訪問結(jié)束后請及時退出。vista系統(tǒng)使用需進(jìn)行以下操作：通過把“控制面板”--“用戶帳戶”--“打開或關(guān)閉?用戶帳戶控制?”中的選項去掉即可，即不要選中“使用用戶帳戶控制（UAC）幫助保護(hù)您的計算機(jī)”，點(diǎn)“確定”，從新啟動計算機(jī)。9 使用GHOST安裝操作系統(tǒng)的用戶，可能會無法使用sslvpn。

注意事項：

一、若成功登錄后，不能正常下載及瀏覽文件，請首先確認(rèn)您的計算機(jī)上是否已經(jīng)安裝相應(yīng)的文件瀏覽器或閱讀器；

二、若不能正常安裝請查看以下說明：

1、瀏覽器安全級別太高，請到中或默認(rèn)級別，或調(diào)整以下設(shè)置: A、瀏覽器禁止下載ActiveX控件，設(shè)設(shè)置允許下載控件；

B、瀏覽器禁止運(yùn)行ActiveX控件，設(shè)設(shè)置允許運(yùn)行控件；

C、瀏覽器禁止ActiveX控件執(zhí)行腳本，設(shè)設(shè)置允許執(zhí)行腳本；

2、瀏覽器插件攔截控件下載，如上網(wǎng)安全助手等，請設(shè)置允許下載

3、可瀏覽器安全中將本頁為信任站點(diǎn)

4、瀏覽器要求使用IE5以上版本

5、本系統(tǒng)支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統(tǒng)

四、因帶寬不足，為提高速度，提高訪問效率，請不要在校內(nèi)使用；不使用時請及時退出系統(tǒng)；10分鐘內(nèi)如不使用本系統(tǒng)，系統(tǒng)將自動斷線。

五、如果長時間不能建立隧道，或者不能獲取ip地址，請將防火墻和殺毒軟件先行關(guān)閉或者卸載，成功連接后，再次把防火墻和殺毒軟件打開或安裝。

六、如有疑問請撥打：86330350