第一篇：VPN代理進(jìn)入校園網(wǎng)方法

之前西湖論壇上有一位師兄發(fā)過一個軟件，能讓電信網(wǎng)用戶進(jìn)入校園網(wǎng)，但由于這個軟件有很多的兼容性問題，所以很多同學(xué)都沒辦法實(shí)現(xiàn)。

師兄的軟件是幫我們建立一個VPN代理，那我們可以自行建立代理，以進(jìn)入校園網(wǎng)。以下是WIN7建立VPN代理的教程。

首先，我們進(jìn)入網(wǎng)絡(luò)和共享中心

設(shè)置新的連接或網(wǎng)絡(luò)

選擇連接到工作區(qū)

選擇下圖選項(xiàng)

這里需要我們填寫Internet地址，這時我們填寫上次師兄給的IP 也就是113.106.216.154，下一步

用戶名跟密碼都用師兄給的那個，賬號

vpdnuser 密碼hello

填寫完畢后，點(diǎn)擊連接即可

我們檢查看看VPN是否已經(jīng)成功建立，并順利連接

接下來我們就可以登錄教務(wù)系統(tǒng)了

第二篇：校園網(wǎng)VPN規(guī)劃與實(shí)現(xiàn)

校園網(wǎng)VPN規(guī)劃與實(shí)現(xiàn)

中學(xué)校園網(wǎng)規(guī)劃方案

一． 設(shè)計目標(biāo)

1.配合當(dāng)前的教學(xué)發(fā)展情況，完成學(xué)校內(nèi)部 Intrannet的配套基礎(chǔ)建設(shè)，將全校的信息資源利用計算機(jī)網(wǎng)絡(luò)連接起來，形成一個流暢、合理、可靠、安全的校園網(wǎng)。還應(yīng)針對學(xué)校的教學(xué)特點(diǎn)，具有一些基本的教學(xué)功能，以完成學(xué)校的基本教學(xué)任務(wù)。通過各校校園網(wǎng)絡(luò)的連接，可以更便利地互相交換信息，促進(jìn)各個學(xué)校間的學(xué)術(shù)交流。

2.通過校園網(wǎng)絡(luò)使教師和科研人員能及時了解國內(nèi)外科技發(fā)展動態(tài)，加強(qiáng)對外技術(shù)合作，促進(jìn)教學(xué)和科研水平的提高。建立新的通訊方式和環(huán)境，提高工作效率。

二． 設(shè)計原則

1．學(xué)校需求為前提原則：堅持以學(xué)校具體需求為校園網(wǎng)信息系統(tǒng)方案設(shè)計的根本和前提，同時，也要注重源于需求又高于需求的原則，注意用專業(yè)化的技術(shù)思想來進(jìn)行校園網(wǎng)的規(guī)劃與設(shè)計，確保校園網(wǎng)的實(shí)用性、先進(jìn)性和便于擴(kuò)展性。

2.設(shè)備選型兼顧原則：滿足學(xué)校對現(xiàn)代化教學(xué)手段的要求；滿足校園網(wǎng)建設(shè)及互聯(lián)網(wǎng)的要求；所選設(shè)備在國際上保持技術(shù)先進(jìn)性；供應(yīng)商有良好的商業(yè)信譽(yù)和優(yōu)質(zhì)的售后服務(wù)。3.堅持標(biāo)準(zhǔn)原則：一切校園網(wǎng)設(shè)計和施工，均要嚴(yán)格遵循國際和國家標(biāo)準(zhǔn)。統(tǒng)一規(guī)劃，分步實(shí)施。校園網(wǎng)的實(shí)現(xiàn)要求通訊協(xié)議、網(wǎng)絡(luò)平臺等應(yīng)具有世界性的開放性和標(biāo)準(zhǔn)化的特點(diǎn)，并且應(yīng)采用統(tǒng)一的網(wǎng)絡(luò)體系結(jié)構(gòu)。

4.堅持先進(jìn)的成熟的技術(shù)原則：采用通用的、成熟的技術(shù)方案可以降低建設(shè)成本、減小設(shè)計、施工和使用難度、縮短建設(shè)周期。有利于保護(hù)投資，并且有利于校園網(wǎng)的維護(hù)和升級。選擇品質(zhì)最好的設(shè)備不一定是最佳選擇，成本因素也是一個不容忽視的問題，將品質(zhì)與成本實(shí)現(xiàn)最佳匹配。

5.堅持規(guī)范布線，考慮長遠(yuǎn)發(fā)展原則：

布線系統(tǒng)使網(wǎng)絡(luò)的重要基礎(chǔ)，布線系統(tǒng)的好壞是衡量一個網(wǎng)絡(luò)好壞的非常重要的標(biāo)志。布線系統(tǒng)不合理將降低網(wǎng)絡(luò)的可靠性，使網(wǎng)絡(luò)難以管理和維護(hù)，所以必須采用標(biāo)準(zhǔn)的綜合布線系統(tǒng)。

6.堅持易于使用和管理原則：

校園網(wǎng)的各種軟件應(yīng)用項(xiàng)目必須易于使用，對最終用戶的起點(diǎn)要求不能太高，一般以熟練使用操作系統(tǒng)、辦公軟件系統(tǒng)、瀏覽器和電子郵件系統(tǒng)為宜；系統(tǒng)的日常管理和維護(hù)工作要方便、簡易。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一經(jīng)配置確定，不應(yīng)輕易更改。

7.堅持可擴(kuò)展性原則：考慮現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價值；選用產(chǎn)品應(yīng)具有最佳性價比，又要應(yīng)充分考慮未來可能的應(yīng)用，具有高擴(kuò)展性。

三.用戶需求分析

學(xué)校要求如下：

1.建立辦公自動化系統(tǒng) 辦公樓共有40個信息點(diǎn)。要求通過校園網(wǎng)連至INTERNET，達(dá)到100

M到桌面，并對財務(wù)科，人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。

2.建立考試監(jiān)控系統(tǒng)

共有教學(xué)樓3座，120個信息點(diǎn)。

（1）綜合教學(xué)樓一個，60個信息點(diǎn)。其中有10個實(shí)驗(yàn)室，每個實(shí)驗(yàn)室配置1臺PC和1個投影儀（此處無須上網(wǎng)）；20個教室，其中一個教室2個攝像機(jī)。

（2）普通教學(xué)樓1：40個信息點(diǎn)，共20個教室，其中一個教室2個攝像機(jī)。

（3）普通教學(xué)樓2：20個信息點(diǎn)，共10個教室，其中一個教室2個攝像機(jī)。

3.建立綜合多媒體教室

信教中心：共120個信息點(diǎn)。有兩個多媒體教室，每個教室60臺PC。要求可網(wǎng)管，通過校園網(wǎng)上連至INTERNET，達(dá)到100M到桌面。

4.為了滿足教職工的需要，提高教職工教學(xué)條件和水平，大力發(fā)展網(wǎng)上教學(xué)，優(yōu)秀科目科件制作等。將教職工宿舍區(qū)的PC通過校園網(wǎng)上連至INTERNET，達(dá)到10M到桌面，以后可擴(kuò)展到100M。

5.學(xué)校校園網(wǎng)建設(shè)所需PC和投影儀有校方自行選擇和安裝。學(xué)生宿舍由于高中階段學(xué)習(xí)生活的特殊性，不進(jìn)行任何布置。

四． 網(wǎng)絡(luò)規(guī)劃設(shè)計總體方案

（一）校園網(wǎng)絡(luò)拓?fù)鋱D

（二）設(shè)計方案

1.網(wǎng)絡(luò)層次結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)采用分層式設(shè)計，共分三層：核心層，ぷ髯椴?，谞€娼尤氬恪７植閔杓瓶梢允拐鐾繾隕隙戮哂瀉艽蟮牡?，遍斦E唄緣奈ず褪凳（1）核心設(shè)備

①設(shè)備名稱：DCS-3926S可堆疊智能安全接入交換機(jī)

②基本介紹： 3926S具有24個10/100Mbps自適應(yīng)RJ-45端口和2個模塊擴(kuò)展插槽（可選插百兆模塊和千兆模塊）可千兆或百兆聚合上聯(lián)至匯聚層交換機(jī)或者核心層交換機(jī)。

③主要特征：

★高密度和靈活的堆疊

DCS-3900S系列的堆疊帶寬可支持2G到4G,并且支持簡單堆疊、標(biāo)準(zhǔn)堆疊、超級堆疊和混合堆疊。簡單堆疊成本最低。堆疊帶寬2G；標(biāo)準(zhǔn)堆疊使用堆疊模塊，其帶寬擴(kuò)充至4G；還可以用千兆電口或千兆光口做超級堆疊，可避開堆疊線纜的限制，堆疊帶寬也是4G；同時DCS-3900S系列可以和DCRS-5600S系列、DCRS-5526S交換機(jī)做混合堆疊。

★強(qiáng)大的ACL功能

作為新款的L2/4交換機(jī)，DCS-3926，S系列交換機(jī)提供了完整的ACL策略，可根據(jù)源/目的IP地址、源/目的MAC地址IP協(xié)議類型、TCP/UDP端口號、IP Precendence、時間范圍、ToS對數(shù)據(jù)進(jìn)行分類，并進(jìn)行不同的轉(zhuǎn)發(fā)策略。通過ACL策略的實(shí)施，用戶可以在接入層交換機(jī)過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包，防止擴(kuò)散和沖擊核心設(shè)備

★卓越的安全特性

全面的受控組播方案DMCP，可以對源和目的進(jìn)行安全控制，完整實(shí)現(xiàn)了在接入層網(wǎng)絡(luò)中基于IGMP源端口和目的端口的檢查技術(shù)，可完全限制合法組播在

網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應(yīng)用的穩(wěn)定運(yùn)行；率先支持對特征復(fù)雜(64字節(jié))的應(yīng)用流量的訪問控制，讓用戶可以在各種網(wǎng)絡(luò)的環(huán)境中應(yīng)對出現(xiàn)復(fù)雜情況；監(jiān)控pingSweep等攻擊行為，安全防掃描，并采取防攻擊措施，全面保護(hù)交換機(jī)和服務(wù)器等網(wǎng)絡(luò)設(shè)施的安全。

★更完美的性價比（DCS-3926S-G）

大多數(shù)接入交換機(jī)通過1個千兆光模塊上聯(lián)，為了提高產(chǎn)品的性價比，DCS-3926S-G固化了一個千兆光模塊，可以為用戶節(jié)約開支。

★豐富的QoS策略

DCS-3900S系列交換機(jī)為每個端口提供了4個優(yōu)先級隊列，可根據(jù)端口、802.1p、ToS、DSCP、TCP/UDP端口進(jìn)行流量分類，并分配不同的服務(wù)級別，支持WRR/SP等調(diào)度方式，為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量。

④技術(shù)參數(shù)

★接口形式：24個10/100M端口+ 1個SFP千兆光口/堆疊口

★可選擴(kuò)展模塊：百兆電/光口模塊；千兆電/光口模塊；堆疊模塊

★堆疊：支持標(biāo)準(zhǔn)堆疊，超級堆疊，混合堆疊。堆疊環(huán)境下，支持跨交換機(jī)的端口聚合、端口鏡像、QoS、ACL

★生成樹：802.1D（STP）、802.1w（RSTP）、802.1s（MSTP）★組播協(xié)議：IGMP Snooping&Query

★QoS：每端口4個隊列，支持802.1p，ToS，應(yīng)用端口號，DifferServ，支持WRR/SP等調(diào)度方式

★ACL：支持標(biāo)準(zhǔn)ACL和擴(kuò)展ACL，支持IP ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP地址、源/目的MAC地址、IP協(xié)議類型、TCP/UDP端口號、IP Precendence、時間范圍、ToS對數(shù)據(jù)進(jìn)行過濾。

★端口聚合：支持802.3ad，最大可支持6組trunk,每trunk可到8個端口，支持基于目的MAC的負(fù)載均衡。

★IEEE802.1x：支持基于端口和MAC地址，支持神州數(shù)碼802.1x整體解決方案，可以實(shí)現(xiàn)按時長/流量計費(fèi)，可以實(shí)現(xiàn)用戶帳號、密碼、IP、MAC、VLAN、端口、交換機(jī)的嚴(yán)格綁定，可以防止代理軟件，防止PC克隆，對客戶發(fā)送通知/廣告，上網(wǎng)時段控制，基于用戶動態(tài)實(shí)現(xiàn)VLAN授權(quán)和帶寬授權(quán)，可基于組策略實(shí)現(xiàn)動態(tài)IP地址分配而不必使用DHCP服務(wù)器等。

★認(rèn)證：支持RADIUS ★端口鏡象：支持。

★支持的網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE 802.3x IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1x IEEE802.1w IEEE 802.1s等堆疊。

（2）工作組設(shè)備

①設(shè)備名稱：DCS-3726S 24口＋2槽可堆疊網(wǎng)管10/100/1000M以太網(wǎng)交換機(jī)

②基本介紹：DCS-3726S是神州數(shù)碼網(wǎng)絡(luò)專為校園網(wǎng)互連設(shè)計的一款可網(wǎng)管交換機(jī)，可堆疊使用提供很高的端口密度，適用于企業(yè)大中型網(wǎng)絡(luò)組網(wǎng)。它具有24個10/100Mbps自適應(yīng)RJ-45端口和2個模塊擴(kuò)展插槽（可選插百兆光纖模塊或千兆模塊），可千兆或百兆上聯(lián)至骨干網(wǎng)。DCS-3726S提供有端口

限速功能，使用靈活方便。該交換機(jī)還可以下接最多24臺其他交換機(jī)實(shí)現(xiàn)級聯(lián)以擴(kuò)展端口數(shù)目。它還支持VLAN、組播、優(yōu)先級、端口聚合和端口鏡像等實(shí)用網(wǎng)絡(luò)功能，而且還提供了18Gbps的背板帶寬，實(shí)現(xiàn)了數(shù)據(jù)的全線速轉(zhuǎn)發(fā)，消除了網(wǎng)絡(luò)瓶頸，為多用戶接入提供了高性能的網(wǎng)絡(luò)解決方案。

③主要特征：

★24個10/100Base-TX端口

DCS-3726S具有24個固定的10/100Base-TX端口。這些端口均支持Nway標(biāo)準(zhǔn)，可支持10/100Base-TX自適應(yīng)及全雙工/半雙工。

★2個千兆端口

DCS-3726S交換機(jī)前面板具有2個插槽，可選插1口百兆模塊或千兆模塊，千兆模塊可支持1000Base-SX、1000Base-LX和1000Base-T標(biāo)準(zhǔn)。所有模塊支持流量控制和全雙工，可處理大量數(shù)據(jù)。千兆端口可將部門網(wǎng)絡(luò)與千兆主干網(wǎng)絡(luò)連接起來，也可以連接高性能服務(wù)器，使得更多用戶可以同時訪問?！?00Base-FX模塊

DCS-3726S插槽可以選插1口100Base-FX（SC）短波或長波模塊，運(yùn)行于全雙工模式下，可以應(yīng)用于高電磁干擾或通信保密性要求高的場合，通常應(yīng)用于遠(yuǎn)距離傳輸。

★大型堆疊，多達(dá) 192個10/100Base-TX端口

DCS-3726S交換機(jī)最多可以堆疊8臺設(shè)備，堆疊組最多可達(dá)192個10/100Base-TX端口，使得網(wǎng)絡(luò)可以靈活擴(kuò)展，并能夠有效減少網(wǎng)絡(luò)層次，便于大型社區(qū)內(nèi)大量用戶的互聯(lián)接入。

④技術(shù)參數(shù)

★端口聚合（Port Trunking）

DCS-3726S支持端口聚合功能，同時支持802.3ad的標(biāo)準(zhǔn)?？蓪?/3/4個10/100Base-TX端口聚合成一條干路，每條干路支持全雙工模式，交換機(jī)最多支持6組端口聚合。

★生成樹（Spanning Tree）

DCS-3726S支持多種生成樹功能，如：802.1D、802.1w、802.1s。Spanning Tree協(xié)議可使LAN自動檢測并解決環(huán)路問題，可提供鏈路的備份。802.1D為基本的Spanning Tree協(xié)議，缺省操作模式是開啟狀態(tài)。DCS-3726S同時支持802.1w快速生成樹模式，可使收斂時間縮短至幾秒內(nèi)。IEEE 802.1s可使IEEE Std 802.1Q的VLAN加入到多個生成樹中，即提供spanning tree per VLAN的功能。

★虛擬網(wǎng)絡(luò)（VLAN）支持虛擬網(wǎng)絡(luò)（VLAN）標(biāo)準(zhǔn)來控制廣播域和網(wǎng)段流量，可以提高網(wǎng)絡(luò)性能、安全性和可管理性。DCS-3726S支持IEEE 802.1q VLAN標(biāo)記，可基于端口地址來劃分VLAN，最多256個VLAN。通過控制口或網(wǎng)管工作站可以輕松完成結(jié)構(gòu)和設(shè)備的添加、移動和更換?？筛鶕?jù)最大網(wǎng)絡(luò)流量和網(wǎng)絡(luò)安全性來劃分虛擬網(wǎng)絡(luò)。DCS-3726S同時支持GVRP協(xié)議，可實(shí)現(xiàn)VLAN組成員動態(tài)注冊，支持基于端口的VLAN劃分管理方式，支持動態(tài)VLAN。生成樹：802.1D（STP）、802.1w（RSTP）、802.1s（MSTP）

★MAC地址過濾：自動學(xué)習(xí)； 動態(tài)和靜態(tài)地址過濾

★管理功能 ： 端口安全 ； Bootp、DHCP客戶 ； 配置文件上載 /下載 ； TFTP固件

升級

（3）桌面接入層設(shè)備

①設(shè)備名稱：神州數(shù)碼 DCS-1024普通交換機(jī)

②技術(shù)參數(shù)

★交換機(jī)類型：普通交換機(jī)

★傳輸速率（Mbps）：10Mbps/100Mbps

★網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.3 10BASE-T 以太網(wǎng)；IEEE802.3u 100BASE-TX 快速以太網(wǎng)；IEEE802.3x流量控制

★網(wǎng)絡(luò)協(xié)議：CSMA/CD ★ 接口介質(zhì)：10BASE-T： 2對3,4或5類非屏蔽雙絞線（UTP）（≤100m）； EIA/TIA-568 100歐屏蔽雙絞線（STP）（≤100m）。100BASE-TX： 2對或4對5類非屏蔽雙絞線（UTP）（≤100m）； EIA/TIA-568 100歐屏蔽雙絞線（STP）（≤100m）

★傳輸模式：全雙工/半雙工自適應(yīng)

★其他技術(shù)參數(shù)：數(shù)據(jù)傳輸速率：以太網(wǎng)：10Mbps(半雙工)；20Mbps(全雙工)

快速以太網(wǎng)：100Mbps(半雙工)；200Mbps(全雙工)拓?fù)浣Y(jié)構(gòu)：星型

MAC地址表：8K

最大包過濾/轉(zhuǎn)發(fā)率：每端口14,880pps(10Mbps)；每端口148,800pps(100Mbps)RAM緩沖：2.5M

2.鏈路設(shè)計（包括綜合布線詳細(xì)說明）

（1）辦公樓：核心交換機(jī)DCS-3926S通過一個千兆口有1000BASE-T4對超五類STP下連服務(wù)器，通過一個千兆口由1000BASE-SX多模光纖下連辦公樓各科室，教師辦公室的工作組交換機(jī)，通過一個千兆口由1000BASE-LX多模光纖下連信教中心的工作組交換機(jī)，通過一個百兆端口由100BASE-FX多模光纖下連教學(xué)樓工作組交換機(jī)，通過一個百兆端口由100BASE-FX多模光纖下連教工宿舍區(qū)工作組交換機(jī)。

（2）信教中心：工作組交換機(jī)DCS-3726S 通過超五類STP下連桌面接入交換機(jī)DCRS-1024。DCRS-1024通過超五類UTP接入PC。（3）教學(xué)樓：工作組交換機(jī)DCS-3726S 通過100BASE-FX下連桌面接入交換機(jī)DCRS-1024。

DCRS-1024通過超五類UTP接入攝象機(jī)和投影儀。

（4）教工宿舍區(qū)：工作組交換機(jī)DCS-3726S 通過100BASE-FX下連桌面接入交換機(jī)DCRS-1024。DCRS-1024通過超五類UTP接入PC。路由設(shè)計

采用神州數(shù)碼DCR-2501V 多協(xié)議模塊化路由器，確保網(wǎng)絡(luò)的安全性和可靠性。

①設(shè)備名稱：DCR-2501V 多協(xié)議模塊化路由器

②基本介紹：神州數(shù)碼DCR-2501V路由器是神州數(shù)碼網(wǎng)絡(luò)推出的固定配置語音路由器，性能穩(wěn)定可靠。DCR-2501V提供了1個console端口，1個10Base-T以太網(wǎng)口，1個輔助（AUX）端口，2個高速廣域網(wǎng)串口，2路FXS語音端口；DCR-2501V路由器支持常用的廣域網(wǎng)協(xié)議和路由協(xié)議，支持VoIP協(xié)議，支持內(nèi)置強(qiáng)大的防火墻和NAT功能，為用戶提供了更加高速、安全、穩(wěn)定可靠、方便的網(wǎng)際互連設(shè)備，非常適用于中小企業(yè)、政府等遠(yuǎn)程分支機(jī)構(gòu)語音和數(shù)據(jù)互聯(lián)或Internet接入等。

③主要特征：

（DDR）功能；支持IP Unnumbered，從屬IP和ARP代理功能；支持多種隊列算法以保證服務(wù)質(zhì)量（QoS）的提供；支持Novell IPX路由協(xié)議；支持路由再分配功能；高穩(wěn)定性；提供背對背（Back-to-Back）連接方案，可用于檢測路由器的功能

④技術(shù)參數(shù)

★標(biāo)準(zhǔn)配置

▼ 1個10 Base-T以太網(wǎng)口

▼2個高速串口，支持RS232、V.24、V.35、X.21、EIA530A等電氣標(biāo)準(zhǔn)

▼ 2路FXS語音端口

▼1個Console端口

▼1個輔助（AUX）端口，可進(jìn)行遠(yuǎn)程配置和撥號備份

▼內(nèi)存：DRAM 16 M，可擴(kuò)充至32M；Flash Memory 2 M，可擴(kuò)充至4M ▼CPU：32位RISC處理器（MPC860 50MHz）

★協(xié)議和標(biāo)準(zhǔn)

▼以太網(wǎng)接口標(biāo)準(zhǔn)：IEEE802.3 10Base-T標(biāo)準(zhǔn)

▼廣域網(wǎng)接口標(biāo)準(zhǔn)：RS232、V.24、V.35、X.21、EIA530A等電氣標(biāo)準(zhǔn)

▼支持VoIP標(biāo)準(zhǔn)：支持H.323協(xié)議棧，支持 G.729、G.723.1、G.711等多種語音編碼壓縮標(biāo)準(zhǔn)，支持T.38傳真協(xié)議和Bypass方式的傳真應(yīng)用。

▼幀中繼標(biāo)準(zhǔn)：ITU-T Q933Annex A、ANSI T1.617Annex D、兼容CISCO標(biāo)準(zhǔn)

▼廣域網(wǎng)協(xié)議：HDLC、PPP、MP、Frame-Relay(DTE/DCE)、X.25(DTE/DCE)▼路由協(xié)議：靜態(tài)路由、RIP（包括RIP v1、RIP v2）、OSPF、Novell IPX路由協(xié)議

▼用戶安全認(rèn)證協(xié)議：PAP、CHAP、MS-CHAP、RADIUS、TACACS+

★管理維護(hù)

提供Show、Ping、TraceRoute、Debug等命令，用于察看、測試網(wǎng)絡(luò)的可達(dá)性，診斷網(wǎng)絡(luò)故障；支持Telnet遠(yuǎn)程配置與管理；支持SNMP、RMON等網(wǎng)絡(luò)管理協(xié)議；支持HTTP協(xié)議，用戶可以通過Web界面對路由器進(jìn)行配置、維護(hù)

4.安全設(shè)計

可啟用標(biāo)準(zhǔn)或擴(kuò)展訪問控制列表進(jìn)行數(shù)據(jù)報或數(shù)據(jù)段控制，在內(nèi)外網(wǎng)口設(shè)置一臺DCFW-1800S-L 小型企業(yè)級百兆防火墻保證整個網(wǎng)絡(luò)抵御來自內(nèi)，外網(wǎng)的攻擊。

①設(shè)備名稱：DCFW-1800S-L 小型企業(yè)級百兆防火墻

②基本介紹：神州數(shù)碼DCFW-1800S-L防火墻專為中小企業(yè)分支機(jī)構(gòu)、SOHO辦公、中小學(xué)校的網(wǎng)絡(luò)而設(shè)計，以功能實(shí)用、接入靈活、配置方便快捷、性能穩(wěn)定為設(shè)計原則，使復(fù)雜的網(wǎng)絡(luò)安全實(shí)施得以簡化。它充分考慮中小型用戶特點(diǎn)，支持VLAN環(huán)境、支持PPPOE與DHCP，集成防火墻、VPN，內(nèi)容過濾，為中小企業(yè)的網(wǎng)絡(luò)安全實(shí)現(xiàn)提供了經(jīng)濟(jì)的解決方案。

③主要特征：

★讓中小型用戶、分支機(jī)構(gòu)享受無以倫比的性價比

★輕松部署，支持PPPoE協(xié)議，提供ADSL/ISDN接入方式

★設(shè)置簡潔，通過瀏覽器可以輕松完成功能配置

★支持DHCP服務(wù)器功能，節(jié)省用戶網(wǎng)絡(luò)管理投資，支持無地址接入

★集成VPN，可以進(jìn)行隧道認(rèn)證及數(shù)據(jù)加密，保護(hù)了企業(yè)機(jī)密同時降低了溝通成本

★集成內(nèi)容過濾、郵件過濾，防止非法信息、惡意腳本及垃圾郵件；集成防拒絕服務(wù)網(wǎng)關(guān)，提供攻擊檢測及攻擊抵御

★支持用戶認(rèn)證；支持應(yīng)用層日志及加密日志存儲，有效審計進(jìn)出網(wǎng)絡(luò)的敏感信息

④技術(shù)參數(shù)

★工作模式：路由、透明、NAT

★內(nèi)容過濾：URL、郵件、指令、ActiveX/Java, 詭異木馬探測

★支持：網(wǎng)絡(luò)安全域結(jié)

構(gòu)體系；PPPoE協(xié)議；DHCP Relay，DHCP Server；防拒絕服務(wù)網(wǎng)關(guān)；VPN功能

★最大并發(fā)連接數(shù)：300,000 ★網(wǎng)絡(luò)吞吐量：150M ★VPN隧道數(shù)：10 ★VPN撥號用戶：10 ★策略數(shù)：300

5.管理設(shè)計（包括詳細(xì)管理軟件說明）

①設(shè)備名稱：神州數(shù)碼LinkManager

②基本介紹：LinkManager 網(wǎng)管系統(tǒng)是一套基于Windows NT平臺的高度集成、功能較完善、實(shí)用性強(qiáng)、方便易用的全中文用戶界面網(wǎng)絡(luò)管理系統(tǒng)。它是神州數(shù)碼網(wǎng)絡(luò)有限公司根據(jù)中國用戶的實(shí)際需求，遵循ISO網(wǎng)絡(luò)管理模型的五大功能域（性能管理、配置管理、故障管理、計費(fèi)管理及安全管理）的架構(gòu)，自行組織研發(fā)出來的一套具有自有知識產(chǎn)權(quán)的網(wǎng)管系統(tǒng)。LinkManager 具有既面向指定設(shè)備，又支持通用網(wǎng)絡(luò)設(shè)備的“垂直＋水平”的管理特性。也就是說，它能夠?qū)ι裰輸?shù)碼網(wǎng)絡(luò)有限公司推出的具有SNMP功能的網(wǎng)絡(luò)設(shè)備提供齊全的設(shè)備管理和功能管理，同時也能夠良好地支持其他任何具有通用SNMP功能的網(wǎng)絡(luò)設(shè)備，提供整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和常用網(wǎng)絡(luò)管理信息。

③主要特征：

★提供兩套視圖－物理視圖及邏輯視圖，可滿足操作員的不同需求：

▼對于希望了解當(dāng)前網(wǎng)絡(luò)拓?fù)溥壿嫿Y(jié)構(gòu)的操作員，系統(tǒng)采用傻瓜方式，以默認(rèn)形式為用戶自動繪制出整個網(wǎng)絡(luò)的邏輯視圖，不需用戶干預(yù)。

▼對于只想掌控自己關(guān)心的網(wǎng)絡(luò)設(shè)備的操作員，系統(tǒng)采用DIY 方式，支持操作員按物理連接或自己隨意的自組物理視圖；

▼自動繪制出的網(wǎng)絡(luò)拓?fù)鋱D還可以通過另存為的方式供操作員修改；

★提供兩種設(shè)備添加方式，增強(qiáng)操作員在自組物理視圖時的DIY手段：

▼強(qiáng)大的自動發(fā)現(xiàn)功能，具有對第二層、第三層及應(yīng)用層設(shè)備的自動識別能力，能準(zhǔn)確定位神州數(shù)碼品牌的網(wǎng)絡(luò)設(shè)備；

▼按操作員興趣手動添加連入網(wǎng)絡(luò)的設(shè)備，支持操作員選擇不同的設(shè)備類型；

★提供兩種視圖的層次結(jié)構(gòu)組織，紋理清晰： ▼ 在自動方式中，邏輯視圖的層次結(jié)構(gòu)由各層子網(wǎng)、網(wǎng)絡(luò)設(shè)備及其設(shè)備特性構(gòu)成；

▼ 在 DIY方式中，物理視圖的層次結(jié)構(gòu)由子圖、網(wǎng)絡(luò)設(shè)備及其設(shè)備特性構(gòu)成；

★提供網(wǎng)絡(luò)設(shè)備的圖形標(biāo)記，用作設(shè)備的屬性、特征、狀態(tài)標(biāo)識：

▼各被管設(shè)備類型在視圖中都擁有自己的屬性標(biāo)志圖符；

▼ 各被管設(shè)備在視圖中都擁有自己的三色狀態(tài)標(biāo)識；

▼ 各神州數(shù)碼品牌的網(wǎng)絡(luò)設(shè)備都擁有逼真的面板圖，真實(shí)反映接口狀況及實(shí)際連接；

▼ 在兩個視圖中，各設(shè)備的圖形標(biāo)識具有一致性；

★友好的用戶界面

▼周到的拓?fù)鋱D發(fā)現(xiàn)方式適合操作員的不同需求；

▼采用操作員熟悉的Windows界面風(fēng)格及操作方式；

▼按照中國用戶的思維習(xí)慣組織

的管理內(nèi)容；

▼適當(dāng)?shù)漠a(chǎn)品定位，高度的集成化，將功能統(tǒng)一在同一界面內(nèi)，可使操作員免于因功能模塊散亂而引起的無所適從。

④技術(shù)參數(shù)

★硬件平臺 ▼ Intel Pentium或以上的處理器；

▼64M或以上的內(nèi)存；

▼帶有SVGA圖形卡的800*600顯示器，現(xiàn)僅支持小字體；

▼ 剩余磁盤空間：50MB以上；

▼網(wǎng)絡(luò)適配卡；

▼ 光驅(qū)。

★網(wǎng)絡(luò)平臺

▼安裝并配置了TCP/IP協(xié)議；

▼ 以神州數(shù)碼網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)設(shè)備為主，同時兼容其它廠家SNMP設(shè)備。

▼ 能夠?yàn)橄率錾裰輸?shù)碼網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)設(shè)備提供齊全的設(shè)備管理和功能管理：

以太網(wǎng)交換機(jī)包括DCRS-7515、DCRS-7508、DCRS-7504、DCRS-6512、DCS-3652、DCS-3628S、DCS-3426、LRS-6706G/LRS-6626、DES-6000、DES-3326、DES-3624i、DES-3225G、DHS-3226；路由器包括DCR-3660、DCR-2650、DCR-2630、DCR-1750、DCR-1720、DCR-2511、DCR-2509、DCR-2501。

★操作系統(tǒng)平臺

可選以下操作系統(tǒng)平臺：

▼ Microsoft Windows NT 4.0（Workstation或Server，Service Pack 6）；

▼ Microsoft Windows 2000（Professional或Server）。

★其它支持軟件 ▼Microsoft Internet Explorer 4.0版本或以上版本，必須預(yù)先安裝；

▼Acrobat Reader 4.0版本或以上版本，必須預(yù)先安裝。

6.考試監(jiān)控系統(tǒng)設(shè)計

建立經(jīng)濟(jì)可用的考試監(jiān)控系統(tǒng)，采用tovi圖威MP-5020硬盤錄象機(jī)，韓國威視特光電科技彩色轉(zhuǎn)黑白半球型攝像機(jī)VT-BW308。

ⅰ.①設(shè)備名稱：tovi圖威MP-5020硬盤錄象機(jī)

②基本介紹：20路音/視頻同步實(shí)時壓縮

③基本功能：

★錄像壓縮比大，數(shù)據(jù)量在 50M/h至190M/h之間；

★多工操作，支持監(jiān)視、壓縮、錄像、回放等同步工作；

★系統(tǒng)自動運(yùn)行，錄像和自檢跳過損壞硬盤，支持無人職守；

★掉電保護(hù)錄像資料，防止錄像丟失；

★支持操作系統(tǒng)屏蔽、多用戶權(quán)限管理和日志記錄，提高系統(tǒng)安全性；

★支持控制多種解碼器及矩陣；

★任意畫面滿屏顯示和切換顯示功能；

★實(shí)時顯示系統(tǒng)工作的各類狀態(tài)信息，顯示畫面疊加日期時間和字符；

★視頻丟失、事件錄像、硬盤狀態(tài)和報警等信息提示；

★提供現(xiàn)場監(jiān)聽和監(jiān)視抓拍功能；

★可調(diào)整監(jiān)視圖象畫質(zhì)；

★提供報警、移動、定時和手動等事件錄像類型，支持預(yù)錄像；

★錄像分辨率可選 352x288(CIF)和176x144(QCIF)；

★可調(diào)整錄像質(zhì)量、畫質(zhì)、數(shù)據(jù)量和錄像幀率； ★錄像畫面疊加日期時間和字符，支持畫面局部遮蔽；

★支持多硬盤自動盤滿循環(huán)錄像；

★設(shè)置錄像文件打包的時間間隔；

④技術(shù)參數(shù)

★操作系統(tǒng)：Windows2000 ★壓縮格式：H.264 ★視頻輸入：20路視頻

★音頻輸入：20路音頻

★錄像速度：500幀/秒

★系統(tǒng)分辯率：7

04*576 /384*288 ★畫面分割：1、4、8、12、16、20 ★硬盤標(biāo)配：200G

★錄像模式：手動、自動循環(huán)、報警驅(qū)動、移動偵測

ⅱ.①設(shè)備名稱：韓國威視特光電科技彩色轉(zhuǎn)黑白半球型攝像機(jī)VT-BW308。

②技術(shù)參數(shù)

★Specification：VT-BW307 ★攝像器件：1/3'Sony CCD

★水平分辨率：彩色 480 Line 黑白6000line ★視頻輸出：1Vp-p75Ω Negative ★自動白平衡：自動白平衡

★背光補(bǔ)償：自動背光補(bǔ)償

★最低照度：彩色：0.01LUX；黑白0.01lux ★電子快門：PAL:1/50-1/100000sec

第三篇：軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)用設(shè)想

軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)用設(shè)想(1)

摘 要 VPN是一項(xiàng)迅速發(fā)展起來的新技術(shù)，其在電子商務(wù)、公司各部門信息傳送方面已經(jīng)顯現(xiàn)出了很大的發(fā)展?jié)摿?。相信將來其在軍隊院校信息化建設(shè)和信息安全傳輸上也能發(fā)揮應(yīng)有的作用。關(guān)鍵詞 VPN；虛擬專用網(wǎng)；SSL VPN；IPSec VPN1 引言 VPN(Virtual Private Network)即虛擬專用網(wǎng)，是一項(xiàng)迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡(luò)連接通常由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。2 隧道技術(shù)的實(shí)現(xiàn) 假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網(wǎng)進(jìn)行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。圖1 現(xiàn)在設(shè)部門A的主機(jī)X向部門B的主機(jī)Y發(fā)送數(shù)據(jù)報，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機(jī)X發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進(jìn)行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進(jìn)行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報，并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。3 軍隊院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想 隨著我軍三期網(wǎng)的建設(shè)，VPN技術(shù)也可廣泛應(yīng)用于軍隊院校的校園網(wǎng)建設(shè)之中。這是由軍隊院校的實(shí)際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達(dá)要做到安全可靠，采用VPN技術(shù)會大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃?；第二，軍隊院校不但有各教研室和學(xué)員隊，還包括保障部隊、管理機(jī)構(gòu)等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術(shù)可簡化網(wǎng)絡(luò)的設(shè)計和管理；第三，采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊院校的用戶通過軍隊網(wǎng)訪問本校圖書館查閱資料提供便利。而VPN技術(shù)的特點(diǎn)正好能夠滿足以上幾點(diǎn)需求。首先是安全性，VPN通過使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級身份驗(yàn)證的方法進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括：密碼身份驗(yàn)證協(xié)議(PAP)、質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)，并且采用微軟點(diǎn)對點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對數(shù)據(jù)包進(jìn)行加密。對于敏感的數(shù)據(jù)，還可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔，只有擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術(shù)的主要特點(diǎn)之一，可以讓外地的授權(quán)用戶方便地訪問本地的資源。目前，主要的VPN技術(shù)有IPSec VPN和SSL VPN兩種。其中IPSec技術(shù)的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進(jìn)行匹配。當(dāng)找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進(jìn)行加密

和認(rèn)證。而SSL VPN技術(shù)則是近幾年發(fā)展起來的新技術(shù)，它能夠更加有效地進(jìn)行訪問控制，而且安全易用，不需要高額的費(fèi)用。該技術(shù)主要具有以下幾個特點(diǎn)：第一，安全性高；第二，便于擴(kuò)展；第三，簡單性；第四，兼容性好。

我認(rèn)為軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSL VPN技術(shù)。首先因?yàn)槠浒踩院?，由于IPSec VPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的，只要是通過了IPSec VPN網(wǎng)關(guān)，它可以在內(nèi)部為所欲為。因此，IPSec VPN的目標(biāo)是建立起來一個虛擬的IP網(wǎng)，而無法保護(hù)內(nèi)部數(shù)據(jù)的安全，而SSL VPN則是接入企業(yè)內(nèi)部的應(yīng)用，而不是企業(yè)的整個網(wǎng)絡(luò)。它可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限，從而保護(hù)具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來保證。對于軍隊機(jī)構(gòu)，安全保密應(yīng)該是主要考慮的方面之一。第二，SSL VPN與IPSec VPN相比，具有更好的可擴(kuò)展性?？梢噪S時根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器。而IPSec VPN在部署時，要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署。第三，操作的復(fù)雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四，SSL VPN的兼容性很好，而不像傳統(tǒng)的IPSec VPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外，使用SSL VPN還具有更好的經(jīng)濟(jì)性，這是因?yàn)橹恍枰诳偛糠胖靡慌_硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問接入；但是對于IPSec VPN來說，每增加一個需要訪問的分支就需要添加一個硬件設(shè)備。

雖然SSL VPN的優(yōu)點(diǎn)很多，但也可結(jié)合使用IPSec VPN技術(shù)。因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSec VPN是在兩個局域網(wǎng)之間通過網(wǎng)絡(luò)建立的安全連接，保護(hù)的是點(diǎn)對點(diǎn)之間的通信，并且，IPSec VPN工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)?？捎糜谲娦Ｖg建立虛擬專用網(wǎng)，進(jìn)行安全可靠的信息傳送。4結(jié)論

總之，VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)，目前的運(yùn)用還不是非常地普及，在軍隊網(wǎng)中的應(yīng)用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求，VPN技術(shù)將會發(fā)揮其應(yīng)有的作用。

參考文獻(xiàn)

[1] 謝希仁.計算機(jī)網(wǎng)絡(luò)(第4版).北京：電子工業(yè)出版社，2003

[2] Cisco Systems公司，Cisco Networking Academy Program.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程(第一、二學(xué)期)(第三版).北京：人民郵電出版社，2004

第四篇：VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)

VPN在校園網(wǎng)中的規(guī)劃與實(shí)現(xiàn)

摘要：隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)已普及到了全社會的各方面，人們與網(wǎng)絡(luò)的關(guān)系也日益密切，而隨著高校網(wǎng)絡(luò)的建設(shè)發(fā)展，網(wǎng)絡(luò)在全校師生的工作、學(xué)習(xí)和生活中變得越來越重要，人們希望能夠獲得不間斷的高質(zhì)量的安全可靠的網(wǎng)絡(luò)服務(wù)。特別是現(xiàn)今，高校分校區(qū)的建立更是要求我們認(rèn)真規(guī)劃和完善學(xué)校校園網(wǎng)絡(luò)，如何為本部與分校區(qū)之間建立和完善高效可靠、穩(wěn)定安全、面向應(yīng)用和服務(wù)的校園網(wǎng)絡(luò)更是成為學(xué)校信息化建設(shè)的重點(diǎn)。在有限的資金內(nèi)，實(shí)現(xiàn)學(xué)校教學(xué)、科研、管理、運(yùn)營等多個業(yè)務(wù)系統(tǒng)的“隔離和受控訪問”。虛擬專用網(wǎng)（VPN）是現(xiàn)今Internet中適應(yīng)性、安全性、和價格優(yōu)勢比較出色的技術(shù)之一。本文主要分析MPLS VPN技術(shù)特點(diǎn)和技術(shù)優(yōu)勢，分析校園網(wǎng)絡(luò)建設(shè)的實(shí)際需求。對校園網(wǎng)的MPLS VPN做了規(guī)劃和設(shè)計，研究了MPLS VPN環(huán)境下校園網(wǎng)絡(luò)的規(guī)劃和實(shí)施方案。

關(guān)鍵字：虛擬專用網(wǎng)；MPLS VPN；校園網(wǎng)；網(wǎng)絡(luò)

VPN in campus network planning and Implementation(1.Qing Dao Technological University Communications & Electronics College , Shan Dong Qing Dao 266033 , 2.Jiao Zhou Municipal Bureau of R&T，Shan Dong Jiao Zhou 266300)Abstract: with the rapid development of network technology, network has spread to the whole society each respect, it has a close relationship with the network, and along with the network development, network school teachers and students in the work, study and life become more and more important, people hope to obtain uninterrupted high quality the safe and reliable network services.Nowadays, college campus area establishment request us to carefully planning and improve the campus network, how to and the campus area between the establishment and improvement of efficient and reliable, stable and safe

for applications and services, the campus network is to become the school's focus on building information.In the limited funds, school teaching, scientific research, management, implementation, operation and so on many business systems “isolation and controlled access”.Virtual private network(VPN)is the Internet adaptability, safety, and price advantage compared with the excellent technology.This article mainly analyzes the MPLS VPN technical characteristic and advantage, analysis of the construction of the campus network practical demand.On the campus network planning and design MPLS VPN, MPLS VPN environment on the campus network planning and implementation act.Key words: virtual private network;MPLS VPN;campus network;network planning

一、現(xiàn)有校園網(wǎng)分析 概述

隨著計算機(jī)、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡(luò)上的應(yīng)用更加豐富。同時在多媒體教育和管理等方面的需求，對校園網(wǎng)絡(luò)也提出了進(jìn)一步的需求。因此需要高速的、安全可靠的、可擴(kuò)展性的校園計算機(jī)網(wǎng)絡(luò)來適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)的告訴發(fā)展并且滿足學(xué)校各方面的應(yīng)用需求。學(xué)校領(lǐng)導(dǎo)和廣大師生已經(jīng)充分認(rèn)識到這一點(diǎn)，那就是現(xiàn)今的教育是建立在信息化發(fā)展商的，未來的教育方法和手段必定架構(gòu)在教育信息化之上，因此，開展網(wǎng)絡(luò)化教學(xué)和遠(yuǎn)程教育等都是未來教育信息化的具體內(nèi)容。

1、校園網(wǎng)現(xiàn)狀概況

舊有的校園網(wǎng)絡(luò)，一般是在一個內(nèi)部網(wǎng)絡(luò)里面運(yùn)行簡單的路由協(xié)議，使得內(nèi)部網(wǎng)絡(luò)能夠?qū)崿F(xiàn)全網(wǎng)互聯(lián)，內(nèi)部各個部門之間能夠?qū)崿F(xiàn)縱向和橫向的信息交流；同時，在一個出口處做NAT轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)能夠通過該接口訪問外部網(wǎng)絡(luò)。

2、校園網(wǎng)不足之處的概況

隨著各種各樣的網(wǎng)絡(luò)服務(wù)應(yīng)用正在不斷的更新以及分校區(qū)的建立，舊有的網(wǎng)絡(luò)模型已經(jīng)越來越不能適用于當(dāng)前的教學(xué)環(huán)境，這就要求一個新的網(wǎng)絡(luò)模型，不

僅能夠解決本校內(nèi)部各個部門的縱向和橫向之間的聯(lián)系，同時也能讓分校區(qū)跨地域、高速地、安全地訪問本校服務(wù)器。VPN技術(shù)的發(fā)展正好滿足本問題的解決。

二、需求分析 1 功能需求：

隨著現(xiàn)今學(xué)校規(guī)模不斷擴(kuò)大，特別是部分學(xué)校有分校區(qū)的建立，某些老師要在本校與分校之間不斷地進(jìn)行往來，隨之而來的問題就是怎么讓老師在分校的時候也能夠通過網(wǎng)絡(luò)跨地域安全可靠地訪問本小區(qū)內(nèi)部服務(wù)器，VPN提供了方法。具體功能實(shí)現(xiàn)如下： 1> 2> 3> 學(xué)校內(nèi)部采用專線和ADSL接入方式，各個部門采用動態(tài)主機(jī)分配協(xié)議DHCP分配IP。

內(nèi)部人員能偶通過專線和內(nèi)部網(wǎng)絡(luò)訪問各個部門的服務(wù)器。

在接入Internet的節(jié)點(diǎn)上做了網(wǎng)絡(luò)冗余備份，防止主交換機(jī)因?yàn)橛布?，整個內(nèi)部網(wǎng)絡(luò)down掉。4> 在節(jié)點(diǎn)上運(yùn)行MPLS VPN,使得分校區(qū)與本校之間能夠在公網(wǎng)上建立起私網(wǎng)，防止外部非法訪問和入侵，同時能夠讓在分校區(qū)的老師和同學(xué)快速訪問本校資源。

2、技術(shù)需求：

從技術(shù)角度考慮，一個好的網(wǎng)絡(luò)應(yīng)該從它提供的服務(wù)和網(wǎng)絡(luò)的安全性，在設(shè)計網(wǎng)絡(luò)時至少應(yīng)當(dāng)具備以下幾點(diǎn)： 1> 2> 3> 4> 5> 6> 資源共享功能；

網(wǎng)絡(luò)內(nèi)的各個用戶可以共享數(shù)據(jù)庫，實(shí)現(xiàn)辦公自動化系統(tǒng)中的所有功能； 通信服務(wù)功能；

用戶能夠?qū)崿F(xiàn)WEB服務(wù)和FTP服務(wù)，接入互聯(lián)網(wǎng)，進(jìn)行安全的數(shù)據(jù)訪問； 多媒體功能；

能夠進(jìn)行電影的在線播放和視頻會議，支持視頻點(diǎn)播和視頻會議并具有較好的糧食保證。

三、技術(shù)簡介

1、VNP 1> 簡介與功能

虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是Internet）建立一個臨時的、安全的鏈接，是一條通過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以版主遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公式的內(nèi)部建立可信的安全鏈接，并保證數(shù)據(jù)安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全鏈接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用網(wǎng)，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

2> VPN可提供的功能： 防火墻功能、認(rèn)證、加密、隧道化

VPN可以通過特殊加密的通訊協(xié)議鏈接到Internet上，在位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路。VPN技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。就像下圖跨地域連接一樣：

圖.跨地域連接 3> VPN網(wǎng)路協(xié)議

對于構(gòu)建VPN來說,網(wǎng)絡(luò)隧道技術(shù)是關(guān)鍵技術(shù),它利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議,主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)該功能。目前, IP網(wǎng)上較為常見的

隧道協(xié)議大致有兩類:第2層隧道協(xié)議(包括PPTP、L2P、L2TP等)和第3層協(xié)議(包括IP Sec、MPLS等)。兩者的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議在棧的第幾層被封裝。

第2層隧道協(xié)議中PPTP只能面對終端客戶在兩端建立單一隧道,而L2TP支持在兩端點(diǎn)間使用多隧道,針對不同的服務(wù)對象質(zhì)量創(chuàng)建不同的隧道,它們都支持Client-LAN 和LAN-LAN 的VPN網(wǎng)絡(luò)類型。L2TP與PPTP的最大不同在于L2TP運(yùn)行在UDP協(xié)議上,而不是TCP協(xié)議上。UDP省去了TCP中同步、檢錯、重傳等機(jī)制,因此,L2TP速度很快。

第3層隧道與第2層隧道相比優(yōu)點(diǎn)在于其安全性、可擴(kuò)展性及可靠性?，F(xiàn)流行的第3層隧道協(xié)議主要有IP Sec 和MPLS,它們各有所長, IP Sec在會話認(rèn)證和數(shù)據(jù)加密方面強(qiáng)于MPLS,而MPLS則在QOS和可擴(kuò)展性方面更勝一于L2TP將控制包和數(shù)據(jù)包合二籌。

2、MPLS VPN技術(shù)

傳統(tǒng)的VPN一般是通過GRE、L2TP、PPTP、IPSec協(xié)議等隧道協(xié)議來實(shí)現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。MPLS支持LSP隧道技術(shù)，而LSP本身就是公網(wǎng)上的隧道，所以用MPLS來實(shí)現(xiàn)VPN有天然的優(yōu)勢。MPLSVPN采用標(biāo)簽交換，一個標(biāo)簽對應(yīng)一個用戶數(shù)據(jù)，非常易于用戶間數(shù)據(jù)的隔離，利用區(qū)分服務(wù)體系可以輕易的解決困擾傳統(tǒng)IP 網(wǎng)絡(luò)的QOS/COS問題，MPLS自身提供流量工程的能力，可以最大限度的優(yōu)化配置網(wǎng)絡(luò)資源，自動快速修復(fù)網(wǎng)絡(luò)故障，提供可用性和高可靠性。MPLS提供了電信、計算機(jī)、有線電視網(wǎng)絡(luò)三網(wǎng)融合的基礎(chǔ)，除了ATM，是目前唯一可以提供高質(zhì)量的數(shù)據(jù)、語音和視頻相融合的多業(yè)務(wù)傳送、包交換的網(wǎng)絡(luò)平臺。因此，基于MPLS技術(shù)的MPLSVPN，在靈活性、擴(kuò)展性、安全性各個方面是當(dāng)前技術(shù)最先進(jìn)的VPN.基于MPLS的VPN就是通過LSP將私有網(wǎng)絡(luò)的不同分支連接起來，形成一個統(tǒng)一的網(wǎng)絡(luò)，如圖所示?；贛PLS的VPN還支持對不同VPN間的互通控制。

MPLS工作流程

3、MPLS VPN的實(shí)現(xiàn)方式

MPLSVPN的實(shí)現(xiàn)方式，根據(jù)Internet邊界PE是否參與客戶的路由，I奈特人體在建立基于IP/MPLS的VPN有兩種選擇： 1> 第三層的解決方案，通常稱作是MPLS L2VPN 2> 第二層的解決方案，通常稱作是MPLS L2VPN

四、校園網(wǎng)VPN的規(guī)劃

1、校園網(wǎng)的整體網(wǎng)絡(luò)規(guī)劃

大部分校園采用開放式的體系結(jié)構(gòu)，易于擴(kuò)充和調(diào)整：通信協(xié)議和設(shè)備都符合國際標(biāo)準(zhǔn)，整體設(shè)計結(jié)構(gòu)采用Cisco三層標(biāo)準(zhǔn)模型：核心層、匯聚層、接入層。如下學(xué)校校園網(wǎng)的網(wǎng)絡(luò)拓?fù)洌?/p>

學(xué)校網(wǎng)絡(luò)拓?fù)鋱D

該圖為簡單網(wǎng)絡(luò)拓?fù)鋱D，在該校的校園網(wǎng)VPN規(guī)劃中，分為內(nèi)部規(guī)劃與外部規(guī)劃，內(nèi)部規(guī)劃是學(xué)校內(nèi)部網(wǎng)絡(luò)設(shè)計，而外部網(wǎng)絡(luò)設(shè)計主要是有服務(wù)提供商來提供，而內(nèi)部網(wǎng)絡(luò)是分為本校與分校兩部分，實(shí)際上，兩部分配置大概相當(dāng)。

2、校園網(wǎng)的內(nèi)部規(guī)劃：

在進(jìn)行內(nèi)部規(guī)劃時候，最好進(jìn)行相應(yīng)的IP地址規(guī)劃，這里暫不介紹下圖為內(nèi)部規(guī)劃圖：

內(nèi)部規(guī)劃圖

如圖所示，接入層就是各個部門的服務(wù)器，例如圖書館、生活部、高層公寓等，在該路由器上，我們要激活相應(yīng)的DHCP配置和相關(guān)配置。

在匯聚層上，我們?yōu)榱朔乐龟P(guān)鍵路由器出現(xiàn)錯誤而導(dǎo)致網(wǎng)絡(luò)的中斷，在匯聚層上做了路由器的冗余配置，虛擬了一個網(wǎng)關(guān)。核心層上，即網(wǎng)絡(luò)節(jié)點(diǎn)CE端，我們在該路由器與PE間運(yùn)行響應(yīng)的MPLS VPN路由協(xié)議，同時要做好NAT轉(zhuǎn)換到公網(wǎng)地址。

3、校園網(wǎng)的外部規(guī)劃：

外部規(guī)劃本來是網(wǎng)絡(luò)服務(wù)供應(yīng)商的職責(zé)，不需要用戶自己處理。但其中涉及到MPLS VPN，做簡單介紹：

如圖所示，在外部規(guī)劃中，首先，是在整個AS網(wǎng)絡(luò)運(yùn)行BGP協(xié)議，而且內(nèi)部網(wǎng)絡(luò)要建立IBGP關(guān)系，使得在AS100內(nèi)的路由既能從BGP協(xié)議中查到路由，也能從IGP 協(xié)議查找到路由，這是由于BGP路由協(xié)議的同步規(guī)則，否則將在骨干網(wǎng)絡(luò)上出現(xiàn)路由黑洞。同時，在PE端的VRF上，建立與CE的鏈接，將從CE端的路由重分不到BGP中，并且把BGP VPV4路由導(dǎo)出全局。最后，在對端PE的VRF上，導(dǎo)入VPNV4路由到本地路由，同時將BGP路由重分進(jìn)PE與CE的路由協(xié)議內(nèi)。

4、校園網(wǎng)MPLS VPN配置 1> 校園網(wǎng)內(nèi)部配置

內(nèi)部規(guī)劃圖

從圖中可知道，在接入層中，由于每個接入層交換機(jī)的基本配置差不多相同，除了DHCP配置中所制定的IP地址有所出入外，其余的都沒有多少改變，因此在實(shí)驗(yàn)時候，只用一個交換機(jī)代替，而冗余路由器和外部借口路由器都將標(biāo)記出。2> 校園網(wǎng)外部配置，即MPLS VPN配置

外部規(guī)劃圖

從上圖看到的只是電信網(wǎng)絡(luò)為我們提供服務(wù)的骨干網(wǎng)絡(luò)的一個小部分，其中電信為我們提供了MPLS VPN的PE設(shè)備，而本校和分校則需要配置相關(guān)的CE設(shè)

備。

五、結(jié)論

MPLS VPN技術(shù)有以下優(yōu)勢：（1）降低了成本

MPLS簡化了ATM與IP的集成技術(shù)，使L2和L3技術(shù)保護(hù)了用戶的前期投資。

（2）提高了資源利用率

由于網(wǎng)內(nèi)實(shí)用標(biāo)簽交換，用戶各個點(diǎn)的局域網(wǎng)可以使用重復(fù)IP地址，提高了IP資源利用率。（3）提高了網(wǎng)絡(luò)速度

由于使用標(biāo)簽交換，縮短了每一跳過程中地址搜素的時間，減少了數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的時間，提高了網(wǎng)絡(luò)速度。（4）提高了靈活性和可擴(kuò)展性

由于MPLS使用的是Any To Any的連接，提高了網(wǎng)絡(luò)的靈活性和可擴(kuò)展性。靈活性方面，可以制定特殊的控制策略，滿足不同用戶的特殊需求，實(shí)現(xiàn)增值業(yè)務(wù)。擴(kuò)容性包括：一方面網(wǎng)絡(luò)中可以容納的VPN數(shù)目更大；另一方面，在同一中的用戶很容易擴(kuò)充。（5）方便用戶

MPLS技術(shù)將被更廣泛地應(yīng)用在各個運(yùn)營商的網(wǎng)絡(luò)中，這回對企業(yè)用戶建立全球的VPN帶來極大便利。（6）安全性高

采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報文傳輸，MPLS的LSP具有與幀中繼和ATM VCC類似的高可靠安全性。

參考文獻(xiàn)：

【1】 Doyle,J,Carroll.J.TCP/IP路由技術(shù)（第一卷）【M】.葛建立，吳建章.北京：人們郵電出版社，2009.6 【2】 Deal，R，Cisco VPN 完全配置指南【M】.北京：人民郵電出版社，2007.4 【3】 甘朝欽.VPN向下一代網(wǎng)絡(luò)演進(jìn)最現(xiàn)實(shí)合理的選擇—MPLS L2 VPN【J】.電信技術(shù)，2004.（03）.【4】 張劍.采用MPLS技術(shù)實(shí)現(xiàn)VPN[J].計算機(jī)安全，2005，（03）.

第五篇：windows XP構(gòu)建VPN服務(wù)器方法

Windows XP構(gòu)建VPN服務(wù)器教程

第一步，設(shè)置VPN服務(wù)端

1、啟用xp的遠(yuǎn)程訪問組件，該組件默認(rèn)不啟用。打開服務(wù)services.msc，找到Routing and Remote Access服務(wù)，設(shè)置啟動類型為自動，并啟動服務(wù)。

啟動類型由“已禁用”改為“自動”然后點(diǎn)應(yīng)用，之后“啟用”該服務(wù)，最后確定。

2、然后查看網(wǎng)絡(luò)連接，多了一個名為“傳入的連接”的網(wǎng)絡(luò)連接，雙擊打開屬性，勾選“虛擬專用網(wǎng)”下面那個選項(xiàng)。

3、打開“用戶頁”，選擇允許遠(yuǎn)程撥入的用戶，或者新建用戶。

4、打開網(wǎng)絡(luò)頁，確保計算機(jī)上已經(jīng)安裝了IPX/SPX協(xié)議。服務(wù)器上設(shè)置完成。（IPX/SPX協(xié)議在系統(tǒng)里自帶的，直接選“安裝”“協(xié)議”“添加”就可以了）

第二步，建立服務(wù)端

1、在“網(wǎng)絡(luò)連接”中“創(chuàng)建一個新的連接”

2、建立連接之后，打開新建的連接，在輸入框中輸入VPN服務(wù)器端勾選的用戶或新建的用戶。

3、連接了服務(wù)器端之后，可以用IPCONFIG命令查詢本地計算機(jī)分配到的新的局域網(wǎng)的IP地址（測試是客戶端與服務(wù)端在同一臺計算機(jī)上，所以采用ipconfig/all命令之后會列出服務(wù)器端與客戶端的IP地址）：

第三步，解決構(gòu)建VPN服務(wù)器中出現(xiàn)的各種問題。

1、出現(xiàn)“一個或多個所需網(wǎng)絡(luò)通訊協(xié)議沒有連接成功”的提示，如下圖：

此時應(yīng)在服務(wù)器端將“傳入的連接”那個連接取消“用DHCP自動指派TCP/IP地址”選項(xiàng)：采用指定IP地址。自定義服務(wù)器端與客戶端的IP地址段。如果選擇“用DHCP自動指派TCP/IP地址”，則服務(wù)器會自動生成一個169.254.0.0/16網(wǎng)段的地址，客戶機(jī)被分配了一個給網(wǎng)段的地址，可以進(jìn)行正常通信。

2、連接VPN服務(wù)器后客戶端無法上網(wǎng)，此時應(yīng)修改客戶端“虛擬專用網(wǎng)絡(luò)”“屬性”“網(wǎng)絡(luò)”，選擇“internet協(xié)議（TCP/IP）”

點(diǎn)“屬性”之后如下圖

點(diǎn)選“高級”，如下圖：

將“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”取消勾選。

3、登入VPN服務(wù)器后無法實(shí)現(xiàn)文件共享？即本地計算機(jī)無法入遠(yuǎn)程局域網(wǎng)計算機(jī)實(shí)現(xiàn)文件共享。

4、內(nèi)網(wǎng)如何構(gòu)VPN服務(wù)器？ 第一種方法：端口映射 第二種方法：DMZ主機(jī)服務(wù)

第三種方法：自動端口映射，條件是路由器必須開啟UPNP功能