第一篇：94203515_全面認(rèn)識(shí)VPN

全面認(rèn)識(shí)VPN

在國(guó)外，VPN已經(jīng)迅速發(fā)展起來(lái)，2001年全球VPN市場(chǎng)將達(dá)到120億美元。在中國(guó)，雖然人們對(duì)VPN的定義還有些模糊不清，對(duì)VPN的安全性、服務(wù)質(zhì)量（QoS）等方面存有疑慮，但互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展使我們有理由相信，中國(guó)的VPN市場(chǎng)將逐漸熱起來(lái)。

對(duì)國(guó)內(nèi)的用戶來(lái)說(shuō)，VPN（虛擬專用網(wǎng)，Virtual Private Network）最大的吸引力在哪里？是價(jià)格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%，至于那些以電話撥號(hào)方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%-80%。

為什么VPN可以節(jié)約這么多的成本？這就先要從VPN的概念談起。

認(rèn)識(shí)VPN

現(xiàn)在有很多連接都被稱作VPN，用戶經(jīng)常分不清楚，那么一般所說(shuō)的VPN到底是什么呢？顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。IETF草案理解基于IP的VPN為：“使用 IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。

用戶現(xiàn)在在電信部門租用的幀中繼（Frame Relay）與ATM等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路（PVC-Permanent Virtual Circuit）來(lái)連接需要通訊的單位，所有的權(quán)限掌握在別人的手中。如果用戶需要一些別的服務(wù)，需要填寫許多的單據(jù)，再等上相當(dāng)一段時(shí)間，才能享受到新的服務(wù)。更為重要的是兩端的終端設(shè)備不但價(jià)格昂貴，而且管理也需要一定的專業(yè)技術(shù)人員，無(wú)疑增加了成本，而且?guī)欣^、ATM數(shù)據(jù)網(wǎng)絡(luò)也不會(huì)像 Internet那樣，可立即與世界上任何一個(gè)使用Internet網(wǎng)絡(luò)的單位連接。而在Internet上，VPN使用者可以控制自己與其他使用者的聯(lián)系，同時(shí)支持撥號(hào)的用戶。

所以我們說(shuō)的虛擬專用網(wǎng)一般指的是建筑在Internet上能夠自我管理的專用網(wǎng)絡(luò)，而不是Frame Relay或ATM等提供虛擬固定線路（PVC）服務(wù)的網(wǎng)絡(luò)。以IP為主要通訊協(xié)議的VPN，也可稱之為IP-VPN。

由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購(gòu)買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長(zhǎng)途電話費(fèi)。這就是VPN價(jià)格低廉的原因。

越來(lái)越多的用戶認(rèn)識(shí)到，隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁，各企業(yè)開(kāi)始允許其生意伙伴、供應(yīng)商也能夠訪問(wèn)本企業(yè)的局域網(wǎng)，從而大大簡(jiǎn)化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來(lái)了網(wǎng)絡(luò)的復(fù)雜性，還帶來(lái)了管理和安全性的問(wèn)題，因?yàn)镮nternet是一個(gè)全球性和開(kāi)放性的、基于 TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。

還有一類用戶，隨著自身的的發(fā)展壯大與跨國(guó)化，企業(yè)的分支機(jī)構(gòu)不僅越來(lái)越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。

用戶的需求正是虛擬專用網(wǎng)技術(shù)誕生的直接原因。

用戶需要的VPN

一.VPN的特點(diǎn)

在實(shí)際應(yīng)用中，用戶需要的是什么樣的VPN呢？一般情況下，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：

1．安全保障

雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。

2．服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證 VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3．可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4．可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN 管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。

二.自建還是外包

由于VPN低廉的使用成本和良好的安全性，許多大型企業(yè)及其分布在各地的辦事處或分支機(jī)構(gòu)成了VPN順理成章的用戶群。對(duì)于那些最需要VPN業(yè)務(wù)的中小企業(yè)來(lái)說(shuō)，一樣有適合的VPN策略。當(dāng)然，不論何種VPN策略，它們都有一個(gè)基本目標(biāo)：在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的可管理性、可擴(kuò)展性以及簡(jiǎn)單性的基礎(chǔ)之上，進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。

1．大型企業(yè)自建VPN

大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中，將各個(gè)機(jī)構(gòu)低成本且安全地連接在一起。企業(yè)建立自己的VPN，最大的優(yōu)勢(shì)在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。一個(gè)內(nèi)部VPN能使企業(yè)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。

企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務(wù)。而且，建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用，并且能將現(xiàn)有的遠(yuǎn)程訪問(wèn)和端到端的網(wǎng)絡(luò)集成起來(lái)，以獲取最佳性價(jià)比的VPN。

雖然VPN外包能避免技術(shù)過(guò)時(shí)，但并不意味著企業(yè)可以節(jié)省開(kāi)支。因?yàn)椋髽I(yè)最終還要為高額產(chǎn)品支付費(fèi)用，以作為使用新技術(shù)的代價(jià)。雖然VPN外包可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)部署，但這同樣降低了企業(yè)對(duì)公司網(wǎng)的控制等級(jí)。網(wǎng)絡(luò)越大，企業(yè)就越依賴于外包VPN供應(yīng)商。因此，自建VPN是大型企業(yè)的最好選擇。

2．中小型企業(yè)外包VPN

雖然每個(gè)中小型企業(yè)都是相對(duì)集中和固定的，但是部門與部門之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價(jià)而安全的信息溝通，在這種情況下就用得上 VPN。電信企業(yè)、IDC目前提供的VPN服務(wù)，更多的是面向中小企業(yè)，因?yàn)榭梢哉犀F(xiàn)有資源，包括網(wǎng)絡(luò)優(yōu)勢(shì)、托管和技術(shù)力量來(lái)為中小企業(yè)提供整體的服務(wù)。中小型企業(yè)如果自己購(gòu)買VPN設(shè)備，則財(cái)務(wù)成本較高，而且一般中小型企業(yè)的IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN，所以，外包 VPN是較好的選擇。

* 外包VPN比企業(yè)自己動(dòng)手建立VPN要快得多，也更為容易。

* 外包VPN的可擴(kuò)展性很強(qiáng)，易于企業(yè)管理。有統(tǒng)計(jì)表明，使用外包VPN方式的企業(yè)，可以支持多于2300名用戶，而內(nèi)部VPN平均只能支持大約150名用戶。而且，隨著用戶數(shù)目的增長(zhǎng)，對(duì)用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長(zhǎng)。

* 企業(yè)VPN必須將安全和性能結(jié)合在一起，然而，實(shí)際情況中兩者不能兼顧。例如，對(duì)安全加密級(jí)別的配置經(jīng)常降低VPN的整體性能。而通過(guò)提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進(jìn)行VPN決策。

* 對(duì)服務(wù)水平協(xié)議（SLA）的改進(jìn)和服務(wù)質(zhì)量（QoS）保證，為企業(yè)外包VPN方式提供了進(jìn)一步的保證。

三.VPN安全技術(shù)

由于傳輸?shù)氖撬接行畔?，VPN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。

目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

1.隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

3.密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP 主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

四.堵住安全漏洞

安全問(wèn)題是VPN的核心問(wèn)題。目前，VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的，可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。

但是，如果一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問(wèn)時(shí)，就要注意，這些對(duì)公司網(wǎng)直接或始終在線的連接將會(huì)是黑客攻擊的主要目標(biāo)。因?yàn)?，遠(yuǎn)程工作員工通過(guò)防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略計(jì)劃以及工程項(xiàng)目等核心內(nèi)容，這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。雖然，員工可以雙倍地提高工作效率，并減少在交通上所花費(fèi)的時(shí)間，但同時(shí)也為黑客、競(jìng)爭(zhēng)對(duì)手以及商業(yè)間諜提供了無(wú)數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機(jī)會(huì)。

但是，企業(yè)并沒(méi)有對(duì)遠(yuǎn)距離工作的安全性予以足夠的重視。大多數(shù)公司認(rèn)為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號(hào)進(jìn)入系統(tǒng)，而防火墻會(huì)將一切非法請(qǐng)求拒之其外；還有一些網(wǎng)絡(luò)管理員認(rèn)為，為網(wǎng)絡(luò)建立防火墻并為員工提供VPN，使他們可以通過(guò)一個(gè)加密的隧道撥號(hào)進(jìn)入公司網(wǎng)絡(luò)就是安全的。這些看法都是不對(duì)的。

在家辦公是不錯(cuò)，但從安全的觀點(diǎn)來(lái)看，它是一種極大的威脅，因?yàn)?，公司使用的大多?shù)安全軟件并沒(méi)有為家用計(jì)算機(jī)提供保護(hù)。一些員工所做的僅僅是進(jìn)入一臺(tái)家用計(jì)算機(jī)，跟隨它通過(guò)一條授權(quán)的連接進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問(wèn)題在于，侵入者可以通過(guò)一個(gè)被信任的用戶進(jìn)入網(wǎng)絡(luò)。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著家庭計(jì)算機(jī)是安全的。

黑客為了侵入員工的家用計(jì)算機(jī)，需要探測(cè)IP地址。有統(tǒng)計(jì)表明，使用撥號(hào)連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如 DSL的不間斷連接鏈路（通常這種連接具有一個(gè)固定的IP地址），會(huì)使黑客的入侵更為容易。因?yàn)?，撥?hào)連接在每次接入時(shí)都被分配不同的IP地址，雖然它也能被侵入，但相對(duì)要困難一些。一旦黑客侵入了家庭計(jì)算機(jī)，他便能夠遠(yuǎn)程運(yùn)行員工的VPN客戶端軟件。因此，必須有相應(yīng)的解決方案堵住遠(yuǎn)程訪問(wèn)VPN的安全漏洞，使員工與網(wǎng)絡(luò)的連接既能充分體現(xiàn)VPN的優(yōu)點(diǎn)，又不會(huì)成為安全的威脅。在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻是極為有效的解決方法，它可以使非法侵入者不能進(jìn)入公司網(wǎng)絡(luò)。當(dāng)然，還有一些提供給遠(yuǎn)程工作人員的實(shí)際解決方法：

* 所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用VPN；

* 所有遠(yuǎn)程工作人員需要有個(gè)人防火墻，它不僅防止計(jì)算機(jī)被侵入，還能記錄連接被掃描了多少次；

* 所有的遠(yuǎn)程工作人員應(yīng)具有入侵檢測(cè)系統(tǒng)，提供對(duì)黑客攻擊信息的記錄；

* 監(jiān)控安裝在遠(yuǎn)端系統(tǒng)中的軟件，并將其限制只能在工作中使用；

* IT人員需要對(duì)這些系統(tǒng)進(jìn)行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查；

* 外出工作人員應(yīng)對(duì)敏感文件進(jìn)行加密；

* 安裝要求輸入密碼的訪問(wèn)控制程序，如果輸入密碼錯(cuò)誤，則通過(guò)Modem向系統(tǒng)管理員發(fā)出警報(bào)；

* 當(dāng)選擇DSL供應(yīng)商時(shí)，應(yīng)選擇能夠提供安全防護(hù)功能的供應(yīng)商。

第二篇：全面認(rèn)識(shí)

全面認(rèn)識(shí)“一帶一路”

摘要：斗轉(zhuǎn)星移，絲綢之路歷經(jīng)滄桑巨變，迎來(lái)新的發(fā)展機(jī)遇。2013年9月、10月，國(guó)家主席習(xí)近平在出訪哈薩克斯坦、東盟國(guó)家時(shí)，相繼提出建設(shè)“絲綢之路經(jīng)濟(jì)帶”、建設(shè)“21世紀(jì)海上絲綢之路”的合作倡議。建設(shè)“一帶一路”，是以習(xí)近平同志為核心的黨中央著眼堅(jiān)持和發(fā)展中國(guó)特色社會(huì)主義、實(shí)現(xiàn)中華民族偉大復(fù)興中國(guó)夢(mèng)而提出的重大戰(zhàn)略構(gòu)想。① 關(guān)鍵字：認(rèn)識(shí)發(fā)展一帶一路

一、帶一路是指什么

“一帶一路”是“絲綢之路經(jīng)濟(jì)帶”和“21世紀(jì)海上絲綢之路”的簡(jiǎn)稱?！耙粠б宦贰必灤W亞大陸，東邊連接亞太經(jīng)濟(jì)圈，西邊進(jìn)入歐洲經(jīng)濟(jì)圈。無(wú)論是發(fā)展經(jīng)濟(jì)、改善民生，還是應(yīng)對(duì)危機(jī)、加快調(diào)整，許多沿線國(guó)家同我國(guó)有著共同利益。歷史上，陸上絲綢之路和海上絲綢之路就是我國(guó)同中亞、東南亞、南亞、西亞、東非、歐洲經(jīng)貿(mào)和文化交流的大通道，“一帶一路”是對(duì)古絲綢之路的傳承和提升，獲得了廣泛認(rèn)同。

“一帶一路”貫穿歐亞大陸，東邊連接亞太經(jīng)濟(jì)圈，西邊進(jìn)入歐洲經(jīng)濟(jì)圈。絲綢之路經(jīng)濟(jì)帶，是中國(guó)與西亞各國(guó)之間形成的一個(gè)在經(jīng)濟(jì)合作區(qū)域，大致在古絲綢之路范圍之上。包括西北陜西、甘肅、青海、寧夏、新疆等五省區(qū)，西南重慶、四川、云南、廣西等四省市區(qū)。

“一路”指的是“21世紀(jì)海上絲綢之路”：21世紀(jì)海上絲綢之路，是2013年10月習(xí)總書(shū)記訪問(wèn)東盟時(shí)提出的戰(zhàn)略構(gòu)想。海上絲綢之路自秦漢時(shí)期開(kāi)通以來(lái)，一直是溝通東西方經(jīng)濟(jì)文化交流的重要橋梁，而東南亞地區(qū)自古就是海上絲綢之路的重要樞紐和組成部分。習(xí)總書(shū)記基于歷史，著眼于中國(guó)與東盟建立戰(zhàn)略伙伴十周年這一新的歷史起點(diǎn)上，為進(jìn)一步深化中國(guó)與東盟的合作，構(gòu)建更加緊密的命運(yùn)共同體，為雙方乃至本地區(qū)人民的福祉而提出“21世紀(jì)海上絲綢之路”的戰(zhàn)略構(gòu)想。21世紀(jì)海上絲綢之路圈定上海、福建、廣東、浙江、海南5省市。

它將充分依靠中國(guó)與有關(guān)國(guó)家既有的雙多邊機(jī)制，借助既有的、行之有效的區(qū)域合作平臺(tái)，一帶一路旨在借用古代絲綢之路的歷史符號(hào)，高舉和平發(fā)展的旗幟，積極發(fā)展與沿線國(guó)家的經(jīng)濟(jì)合作伙伴關(guān)系，共同打造政治互信、經(jīng)濟(jì)融合、文化包容的利益共同體、命運(yùn)共同體和責(zé)任共同體。

二，一帶一路的發(fā)展?fàn)顩r

2000多年前，亞歐大陸上勤勞勇敢的人民，探索出多條連接亞歐非幾大文明的貿(mào)易和人文交流通路，后人將其統(tǒng)稱為“絲綢之路”。千百年來(lái)，“和平合作、開(kāi)放包容、互學(xué)互鑒、互利共贏”的絲綢之路精神薪火相傳，推進(jìn)了人類文明進(jìn)步，是促進(jìn)沿線各國(guó)繁榮發(fā)展的重要紐帶，是東西方交流合作的象征，是世界各國(guó)共有的歷史文化遺產(chǎn)。

進(jìn)入21世紀(jì)，在以和平、發(fā)展、合作、共贏為主題的新時(shí)代，面對(duì)復(fù)蘇乏力的全球經(jīng)濟(jì)形勢(shì)，紛繁復(fù)雜的國(guó)際和地區(qū)局面，傳承和弘揚(yáng)絲綢之路精神更顯重要和珍貴。“1.一帶一路的時(shí)代背景

當(dāng)今世界正發(fā)生復(fù)雜深刻的變化，國(guó)際金融危機(jī)深層次影響繼續(xù)顯現(xiàn)，世界經(jīng)濟(jì)緩慢復(fù)蘇、發(fā)展分化，國(guó)際投資貿(mào)易格局和多邊投資貿(mào)易規(guī)則醞釀深刻調(diào)整，各國(guó)面臨的發(fā)展問(wèn)題依然嚴(yán)峻。共建“一帶一路”順應(yīng)世界多極化、經(jīng)濟(jì)全球化、文化多樣化、社會(huì)信息化的潮流，秉持開(kāi)放的區(qū)域合作精神，致力于維護(hù)全球自由貿(mào)易體系和開(kāi)放型世界經(jīng)濟(jì)。共建“一帶一路”符合國(guó)際社會(huì)的根本利益，彰顯人類社會(huì)共同理想和美好追求，是國(guó)際合作以及全球治理新模式的積極探索，將為世界和平發(fā)展增添新的正能量。

當(dāng)前，中國(guó)經(jīng)濟(jì)和世界經(jīng)濟(jì)高度關(guān)聯(lián)。中國(guó)將一以貫之地堅(jiān)持對(duì)外開(kāi)放的基本國(guó)策，構(gòu)建全方位開(kāi)放新格局，深度融入世界經(jīng)濟(jì)體系。推進(jìn)“一帶一路”建設(shè)既是中國(guó)擴(kuò)大和深化對(duì)外開(kāi)放的需要，也是加強(qiáng)和亞歐非及世界各國(guó)互利合作的需要，中國(guó)愿意在力所能及的范圍內(nèi)承擔(dān)更多責(zé)任義務(wù)，為人類和平發(fā)展作出更大的貢獻(xiàn)。②

2.一帶一路共建原則

“一帶一路”倡議提出4 年來(lái)，“一帶一路”建設(shè)從無(wú)到有、由點(diǎn)及面，從頂設(shè)計(jì)到扎實(shí)推進(jìn)，以共商、共建、共享為原則，以和平合作、開(kāi)放包容、互學(xué)互鑒互利共贏的絲綢之路精神為指引，得到沿線國(guó)家的廣泛參與，取得了豐碩成果。

恪守聯(lián)合國(guó)憲章的宗旨和原則。遵守和平共處五項(xiàng)原則，即尊重各國(guó)主權(quán)和領(lǐng)土完整、互不侵犯、互不干涉內(nèi)政、和平共處、平等互利。

堅(jiān)持開(kāi)放合作?！耙粠б宦贰毕嚓P(guān)的國(guó)家基于但不限于古代絲綢之路的范圍，各國(guó)和國(guó)際、地區(qū)組織均可參與，讓共建成果惠及更廣泛的區(qū)域。

堅(jiān)持和諧包容。倡導(dǎo)文明寬容，尊重各國(guó)發(fā)展道路和模式的選擇，加強(qiáng)不同文明之間的對(duì)話，求同存異、兼容并蓄、和平共處、共生共榮。

堅(jiān)持市場(chǎng)運(yùn)作。遵循市場(chǎng)規(guī)律和國(guó)際通行規(guī)則，充分發(fā)揮市場(chǎng)在資源配置中的決定性作用和各類企業(yè)的主體作用，同時(shí)發(fā)揮好政府的作用。

堅(jiān)持互利共贏。兼顧各方利益和關(guān)切，尋求利益契合點(diǎn)和合作最大公約數(shù)，體現(xiàn)各方智慧和創(chuàng)意，各施所長(zhǎng)，各盡所能，把各方優(yōu)勢(shì)和潛力充分發(fā)揮出來(lái)。③

3、框架思路

“一帶一路”是促進(jìn)共同發(fā)展、實(shí)現(xiàn)共同繁榮的合作共贏之路，是增進(jìn)理解信任、加強(qiáng)全方位交流的和平友誼之路。中國(guó)政府倡議，秉持和平合作、開(kāi)放包容、互學(xué)互鑒、互利共贏的理念，全方位推進(jìn)務(wù)實(shí)合作，打造政治互信、經(jīng)濟(jì)融合、文化包容的利益共同體、命運(yùn)共同體和責(zé)任共同體。

“一帶一路”貫穿亞歐非大陸，一頭是活躍的東亞經(jīng)濟(jì)圈，一頭是發(fā)達(dá)的歐洲經(jīng)濟(jì)圈，中間廣大腹地國(guó)家經(jīng)濟(jì)發(fā)展?jié)摿薮?。絲綢之路經(jīng)濟(jì)帶重點(diǎn)暢通中國(guó)經(jīng)中亞、俄羅斯至歐洲(波羅的海);中國(guó)經(jīng)中亞、西亞至波斯灣、地中海;中國(guó)至東南亞、南亞、印度洋。21世紀(jì)海上絲綢之路重點(diǎn)方向是從中國(guó)沿海港口過(guò)南海到印度洋，延伸至歐洲;從中國(guó)沿海港口過(guò)南海到南太平洋。

根據(jù)“一帶一路”走向，陸上依托國(guó)際大通道，以沿線中心城市為支撐，以重點(diǎn)經(jīng)貿(mào)產(chǎn)業(yè)園區(qū)為合作平臺(tái)，共同打造新亞歐大陸橋、中蒙俄、中國(guó)-中亞-西亞、中國(guó)-中南半島等國(guó)際經(jīng)濟(jì)合作走廊;海上以重點(diǎn)港口為節(jié)點(diǎn)，共同建設(shè)通暢安全高效的運(yùn)輸大通道。中巴、孟中印緬兩個(gè)經(jīng)濟(jì)走廊與推進(jìn)“一帶一路”建設(shè)關(guān)聯(lián)緊密，要進(jìn)一步推動(dòng)合作，取得更大進(jìn)展。

努力實(shí)現(xiàn)區(qū)域基礎(chǔ)設(shè)施更加完善，安全高效的陸?？胀ǖ谰W(wǎng)絡(luò)基本形成，互聯(lián)互通達(dá)到新水平;投資貿(mào)易便利化水平進(jìn)一步提升，高標(biāo)準(zhǔn)自由貿(mào)易區(qū)網(wǎng)絡(luò)基本形成，經(jīng)濟(jì)聯(lián)系更加緊密，政治互信更加深入;人文交流更加廣泛深入，不同文明互鑒共榮，各國(guó)人民相知相交、和平友好。三、一帶一路的意義

首先，鞏固中國(guó)同中亞和東南亞的合作基礎(chǔ)。中國(guó)新一輪的改革開(kāi)放舉措有利于通過(guò)共建“一路一帶”絲綢之路形成對(duì)外開(kāi)放新的增長(zhǎng)點(diǎn)，所以關(guān)鍵是處理好中國(guó)與中亞及東南亞國(guó)家的關(guān)系，發(fā)揮好上合組織和中國(guó)東盟自貿(mào)區(qū)在推動(dòng)諸邊合作中的積極作用，加強(qiáng)互聯(lián)互通，優(yōu)勢(shì)互補(bǔ)，共同發(fā)展，共同受益，打造好同西部鄰邦及東南亞鄰國(guó)的友好合作關(guān)系。

其次，逐步形成兩個(gè)輻射作用。海上絲綢之路經(jīng)濟(jì)帶和絲綢之路經(jīng)濟(jì)帶以中國(guó)加強(qiáng)與周邊國(guó)家的合作為基礎(chǔ)，可以逐步形成連接?xùn)|歐、西亞和東南亞的交通運(yùn)輸網(wǎng)絡(luò)，為相關(guān)國(guó)家經(jīng)濟(jì)發(fā)展和人員往來(lái)提供便利，同時(shí)可以逐步輻射到南亞和非洲等地區(qū)，擴(kuò)大中國(guó)的影響力。絲綢之路經(jīng)濟(jì)帶的振興勢(shì)必會(huì)形成對(duì)阿拉伯和東歐國(guó)家的輻射作用，其結(jié)果有利于新的歐亞商貿(mào)通道和經(jīng)濟(jì)發(fā)展帶的形成。相當(dāng)于擴(kuò)大西部的發(fā)展空間，有利于增強(qiáng)中國(guó)的影響力。

第三，帶動(dòng)中西部加快改革開(kāi)放。西部大開(kāi)發(fā)和中部崛起形成于2000年之后，同東部沿海相比起步較晚，必須加快對(duì)外開(kāi)放。結(jié)合我國(guó)周邊外交的發(fā)展重點(diǎn)，通過(guò)開(kāi)放實(shí)現(xiàn)體制和機(jī)制的創(chuàng)新，全面提升內(nèi)陸和沿邊開(kāi)放性經(jīng)濟(jì)水平。建設(shè)“絲綢之路經(jīng)濟(jì)帶”可以成為擴(kuò)大中西部開(kāi)放、打造中西部經(jīng)濟(jì)升級(jí)版的主引擎。

第四，促進(jìn)東部地區(qū)的轉(zhuǎn)型升級(jí)和對(duì)外投資。東部地區(qū)經(jīng)過(guò)30多年的率先對(duì)外開(kāi)放，已形成了貿(mào)易驅(qū)動(dòng)型的外向型增長(zhǎng)模式。目前企業(yè)面臨著經(jīng)濟(jì)結(jié)構(gòu)轉(zhuǎn)型和海外投資加快發(fā)展的新階段，加快同東南亞的互聯(lián)互通，加快企業(yè)產(chǎn)品結(jié)構(gòu)的升級(jí)至關(guān)重要。東部省份應(yīng)尋求與東南亞國(guó)家合作的新支點(diǎn)，加大經(jīng)貿(mào)合作力度，以點(diǎn)帶面，形成聯(lián)動(dòng)發(fā)展的新局面。④

綜上：“一帶一路”建設(shè)是沿線各國(guó)開(kāi)放合作的宏大經(jīng)濟(jì)愿景，需各國(guó)攜手努力，朝著互利互惠、共同安全的目標(biāo)相向而行。

參考文獻(xiàn)：

1.穆 虹，推進(jìn)“一帶一路”建設(shè)[J]人民日?qǐng)?bào) 2015.12.11 2.華政，“一帶一路”的含義及時(shí)代背景[J]貴州日?qǐng)?bào)2017-04-25 3.張 元，“一帶一路”路線圖正式公布 堅(jiān)持五大原則[J]新華社 2015.3.29 4.霍建國(guó).“一路一帶”戰(zhàn)略構(gòu)想意義深遠(yuǎn)[J].中國(guó)外資,2014,10:27-28

第三篇：VPN定義

VPN

開(kāi)放分類： 互聯(lián)網(wǎng)、網(wǎng)絡(luò)、電腦、技術(shù)

VPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。下面我們結(jié)合本站有關(guān)思科及微軟關(guān)于VPN方面的文章為大家介紹這方面的資訊，更多更豐富的相關(guān)方面內(nèi)容我們將在以后日子里進(jìn)行補(bǔ)充。

針對(duì)不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對(duì)應(yīng)。

======

虛擬專用網(wǎng)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時(shí)經(jīng)過(guò)公用網(wǎng)訪問(wèn)公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等?，F(xiàn)在很多公司通過(guò)使用IPSec VPN來(lái)保證公司總部和分支機(jī)構(gòu)以及移動(dòng)工作人員之間安全連接。

對(duì)于很多IPSec VPN用戶來(lái)說(shuō)，IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實(shí)：在部署和使用軟硬件客戶端的時(shí)候，需要大量的評(píng)價(jià)、部署、培訓(xùn)、升級(jí)和支持，對(duì)于用戶來(lái)說(shuō)，這些無(wú)論是在經(jīng)濟(jì)上和技術(shù)上都是個(gè)很大的負(fù)擔(dān)，將遠(yuǎn)程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對(duì)任何IT專業(yè)人員來(lái)說(shuō)都是嚴(yán)峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制，大量的企業(yè)都認(rèn)為IPSec VPN是一個(gè)成本高、復(fù)雜程度高，甚至是一個(gè)無(wú)法實(shí)施的方案。為了保持競(jìng)爭(zhēng)力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個(gè)人之間傳遞信息，所以很多公司需要找一種實(shí)施簡(jiǎn)便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營(yíng)成本低的解決方案。

----從概念上講，IP-VPN是運(yùn)營(yíng)商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個(gè)通用的方法可以適用于由一個(gè)運(yùn)營(yíng)商來(lái)支持的、涉及其他運(yùn)營(yíng)商網(wǎng)絡(luò)的情況（如運(yùn)營(yíng)商的運(yùn)營(yíng)商）。

----圖1給出了實(shí)現(xiàn)IP-VPN的一個(gè)通用方案。其中，CE路由器是用于將一個(gè)用戶站點(diǎn)接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。

----站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過(guò)一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)，一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。

----圖2顯示了一個(gè)服務(wù)提供者網(wǎng)絡(luò)支持多個(gè)VPN的情況。如圖2所示，一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。依據(jù)一定的策略，屬于多個(gè)VPN的站點(diǎn)既可以在兩個(gè)VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個(gè)站點(diǎn)同時(shí)屬于多個(gè)VPN時(shí)，它必須具有一個(gè)在所有VPN中唯一的地址空間。

----MPLS為實(shí)現(xiàn)IP-VPN提供了一種靈活的、具有可擴(kuò)展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來(lái)決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。

方案一

----本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IPVPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓?fù)潋?qū)動(dòng)方式來(lái)實(shí)現(xiàn)基本的LSP建立過(guò)程，同時(shí)使用兩級(jí)LSP隧道(標(biāo)記堆棧)來(lái)支持VPN的內(nèi)部路由。

----圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。

----LER(標(biāo)記邊緣路由器)

----LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。對(duì)于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點(diǎn)。如果一個(gè)LER同時(shí)為多個(gè)用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說(shuō)，它應(yīng)當(dāng)為自己服務(wù)的各個(gè)VPN分別建立一個(gè)轉(zhuǎn)發(fā)表，這是因?yàn)椴煌琕PN的IP地址空間可能是有所重疊的。

----LSR(標(biāo)記交換路由器)

----MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對(duì)MPLS域進(jìn)行配置。這里的MPLS域指的就是IPVPN區(qū)域。作為一種普通的LDP操作，基本的LSP 建立過(guò)程將使用拓?fù)潋?qū)動(dòng)方法來(lái)進(jìn)行，這一過(guò)程被定義為使用基本標(biāo)記的、基本的或是單級(jí)LSP建立。而對(duì)于VPN內(nèi)部路由，則將使用兩級(jí)LSP隧道（標(biāo)記堆棧）。

----VPN成員

----每一個(gè)LER都有一個(gè)任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一 IPVPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級(jí)MPLS隧道，所以 LER發(fā)現(xiàn)對(duì)等實(shí)體的過(guò)程也就是LDP會(huì)話初始化的過(guò)程。每一個(gè)LER沿著能夠到達(dá)其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個(gè)LDP Hello消息。LDP Hello消息中會(huì)包含一個(gè)基本的MPLS標(biāo)記，以方便這些消息能夠最終到達(dá)目的LER。

----LDP Hello消息實(shí)際上是一種查詢消息，通過(guò)這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個(gè)VPN的LER（對(duì)等實(shí)體）。新的Hello消息相鄰實(shí)體注冊(cè)完成之后，相關(guān)的兩個(gè)LER之間將開(kāi)始發(fā)起LDP會(huì)話。隨后，其中一個(gè)LER將初始化與對(duì)方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對(duì)等LER之間的會(huì)話便建立起來(lái)了。此后，雙方各自為對(duì)方到自己的LSP 隧道提供一個(gè)標(biāo)記。如果LSP隧道是嵌套隧道，則該標(biāo)記將被推入標(biāo)記棧中，并被置于原有的標(biāo)記之上。

----VPN成員資格和可到達(dá)性信息的傳播

----通過(guò)路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點(diǎn)的IP地址前綴。LER需要找到對(duì)等LER，還需要找到在一個(gè)VPN中哪些LER 是為同一個(gè)VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會(huì)話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會(huì)話。

----VPN內(nèi)的可到達(dá)性

----最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個(gè)LER被配置成一個(gè)IPVPN的一員時(shí)，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過(guò)程中，還可能會(huì)配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個(gè)LER 都將發(fā)布通過(guò)它可以到達(dá)的、VPN用戶的地址前綴。

----IP分組轉(zhuǎn)發(fā)

----LER之間的路由信息交互完成之后，各個(gè)LER都將建立起一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價(jià)類)與下一跳聯(lián)系起來(lái)。當(dāng)收到的IP分組的下一跳是一個(gè)LER時(shí)，轉(zhuǎn)發(fā)進(jìn)程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達(dá)該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組，接著帶有兩個(gè)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個(gè)LSR；當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變；當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER。在LER上，每一個(gè)VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。

方案二

----本節(jié)將對(duì)一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來(lái)提供IP-VPN業(yè)務(wù)的方法進(jìn)行介紹，其技術(shù)細(xì)節(jié)可以參見(jiàn)RFC 2547。

----圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置，圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。

----提供者邊緣(PE)路由器

----PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。

----實(shí)際上，它就是一個(gè)邊緣LSR（即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口）。

----用戶邊緣(CE)路由器

----CE路由器是用于將一個(gè)用戶站點(diǎn)接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺(tái)IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。

----提供者(P)路由器

----P路由器是指網(wǎng)絡(luò)中的核心LSR。

----站點(diǎn)（Site）

----站點(diǎn)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過(guò)一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點(diǎn)。一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。

----路徑區(qū)別標(biāo)志

----服務(wù)提供者將為每一個(gè)VPN分配一個(gè)唯一的標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD）,它對(duì)應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個(gè)Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址，這些地址稱為VPNIP 地址，它們是由RD與用戶的IP地址連接而成的。VPNIP地址對(duì)于服務(wù)提供者網(wǎng)絡(luò)中的每一個(gè)端點(diǎn)都是唯一的，對(duì)于VPN中的每一個(gè)節(jié)點(diǎn)（即VPN中的每一個(gè)PE路由器），轉(zhuǎn)發(fā)表中都將存儲(chǔ)有一個(gè)條目。

----連接模型

----圖4給出了MPLS/BGP VPN的連接模型。

----從圖4中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時(shí)使用IP路由技術(shù)來(lái)與CE路由器通信。P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來(lái)建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實(shí)現(xiàn)路由器之間的標(biāo)記分發(fā)。

----PE路由器使用多協(xié)議BGP4來(lái)實(shí)現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個(gè)VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，圖4中的PE處于同一自治域中，它們之間使用內(nèi)部BGP（iBGP）協(xié)議。

----P路由器不使用BGP協(xié)議而且對(duì)VPN一無(wú)所知，它們使用普通的MPLS協(xié)議與進(jìn)程。

----PE路由器可以通過(guò)IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進(jìn)程。CE路由器不必實(shí)現(xiàn)MPLS或?qū)PN有任何特別了解。

----PE路由器通過(guò)iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實(shí)現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會(huì)發(fā)生VPN-IP地址重復(fù)的情況。

----PE路由器將BGP計(jì)算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。

----這一方案使用兩級(jí)標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對(duì)于各個(gè)VPN的識(shí)別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進(jìn)行配置；MPLS網(wǎng)絡(luò)或者是一個(gè)路徑映射標(biāo)志中的PE路由器之間必須進(jìn)行對(duì)等關(guān)系的配置；為了與CE進(jìn)行通信，還必須進(jìn)行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進(jìn)行通信，還必須進(jìn)行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。

>----VPN成員資格和可到達(dá)性信息的傳播

----PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來(lái)交換路由信息，并且通過(guò)這一過(guò)程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。

----PE路由器通過(guò)與其BGP對(duì)等實(shí)體交換VPN-IP地址前綴來(lái)獲得到達(dá)目的VPN站點(diǎn)的路徑。另外，PE路由器還要通過(guò)BGP與其PE路由器對(duì)等實(shí)體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級(jí)標(biāo)記，P 路由器看不到這些標(biāo)記。

----PE路由器將為其支持的每一個(gè)VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個(gè)PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。

----IP分組轉(zhuǎn)發(fā)

----PE之間的路由信息交換完成之后，每一個(gè)PE都將為每一個(gè)VPN建立一個(gè)轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來(lái)。

----當(dāng)收到發(fā)自CE路由器的IP分組時(shí)，PE路由器將在轉(zhuǎn)發(fā)表中查詢?cè)摲纸M對(duì)應(yīng)的VPN。

----如果找到匹配的條目，路由器將執(zhí)行以下操作：

----如果下一跳是一個(gè)PE路由器，轉(zhuǎn)發(fā)進(jìn)程將首先把從路由表中得到的、該P(yáng)E路由器所對(duì)應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達(dá)目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級(jí)標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個(gè)LSR。

----P路由器（LSR）使用頂層標(biāo)記及其路由表對(duì)分組繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。當(dāng)該分組到達(dá)目的LER時(shí)，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。

----當(dāng)PE收到分組時(shí)，它使用內(nèi)部標(biāo)記來(lái)識(shí)別VPN。此后，PE將檢查與該VPN相關(guān)的路由表，以便決定對(duì)分組進(jìn)行轉(zhuǎn)發(fā)所要使用的接口。

----如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。

----VPNIP轉(zhuǎn)發(fā)表中包含VPNIP地址所對(duì)應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個(gè)站點(diǎn)。這一過(guò)程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過(guò)服務(wù)提供者網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳輸時(shí)無(wú)需網(wǎng)絡(luò)地址翻譯（NAT）。通過(guò)為每一個(gè)VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開(kāi)。使用BGP協(xié)議，交換機(jī)可以根據(jù)入口選擇一個(gè)特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個(gè)VPN有效目的地址。

----為了建立企業(yè)的Extranet，服務(wù)提供者需要對(duì)VPN之間的可到達(dá)性進(jìn)行明確指定(可能還需要進(jìn)行NAT配置)。

----安全

----在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個(gè)分組都將與一個(gè)RD相關(guān)聯(lián)，這樣，用戶無(wú)法將其業(yè)務(wù)流或者是分組偷偷送入另一個(gè)用戶的VPN。要注意的是，在用戶數(shù)據(jù)分組中沒(méi)有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時(shí)，用戶才能加入一個(gè)Intranet或 Extranet。這一建立過(guò)程可以保證非法用戶無(wú)法進(jìn)入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級(jí)。

第四篇：VPN研究報(bào)告

一、前言

互聯(lián)網(wǎng)的普及、移動(dòng)通信技術(shù)的進(jìn)步、信息化程度的提高，使全世界的數(shù)字信息高度共

享成為可能。中國(guó)高校也越來(lái)越重視數(shù)字化校園的開(kāi)發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開(kāi)展電化教學(xué)、電子教學(xué)資源的建設(shè)。而作為電子教學(xué)資源的重點(diǎn)之一，電子圖書(shū)館的建設(shè)已經(jīng)成為當(dāng)今數(shù)字化校園建設(shè)的新亮點(diǎn)。國(guó)內(nèi)很多高校近幾年都從網(wǎng)上購(gòu)置了大量的電子數(shù)據(jù)供廣大師生開(kāi)展教學(xué)研究。這些資源對(duì)于學(xué)校學(xué)科建設(shè)和科學(xué)研究工作有很重要的意義，數(shù)字圖書(shū)館的建設(shè)和應(yīng)用已經(jīng)成為高校信息化建設(shè)和現(xiàn)代教育技術(shù)改革工作的一大重點(diǎn)。

二、選題背景

隨著教育信息化的深入，很多學(xué)校都建立了校園網(wǎng)，為了實(shí)現(xiàn)校內(nèi)資源優(yōu)化整合，讓師

生們更好的進(jìn)行工作和學(xué)習(xí)，他們需要在校園網(wǎng)內(nèi)部或在校外的遠(yuǎn)程節(jié)點(diǎn)上，隨時(shí)享受校園網(wǎng)內(nèi)部的各項(xiàng)服務(wù)，然而由于互聯(lián)網(wǎng)黑客對(duì)各高校的資源虎視眈眈，在沒(méi)有經(jīng)過(guò)任何允許的情況下，黑客們很容易就潛入校園網(wǎng)內(nèi)部進(jìn)行搗亂，為此，多數(shù)校園網(wǎng)都不會(huì)將自己的各種應(yīng)用系統(tǒng)和所有信息資源完全開(kāi)放，因?yàn)檫@樣讓整個(gè)校園網(wǎng)面臨無(wú)以估量的破壞性損失，為了網(wǎng)絡(luò)安全考慮，將vpn技術(shù)應(yīng)用于基于公共互聯(lián)網(wǎng)構(gòu)架的校園網(wǎng)，可以較好的解決校園網(wǎng)多校區(qū)、遠(yuǎn)程訪問(wèn)、遠(yuǎn)程管理等問(wèn)題。

三、vpn簡(jiǎn)介

虛擬專用網(wǎng)（vpn）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安

全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

四、vpn功能

vpn可以提供的功能： 防火墻功能、認(rèn)證、加密、隧道化。

vpn可以通過(guò)特殊的加密的通訊協(xié)議在連接在internet上的位于不同地方的兩個(gè)或多個(gè)

企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。vpn技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows 2000等軟件里也都支持vpn功能，一句話，vpn的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

五、vpn常用的網(wǎng)絡(luò)協(xié)議

常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：

ipsec : ipsec(縮寫ip security)是保護(hù)ip協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)ip協(xié)議分組進(jìn)行加密和認(rèn)證。ipsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來(lái)建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分： vpn加密分組流的封裝安全載荷（esp）及較少使用的認(rèn)證頭（ah），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，ike協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。

pptp: point to point tunneling protocol--點(diǎn)到點(diǎn)隧道協(xié)議。在因特網(wǎng)上建立ip虛擬專用網(wǎng)

（vpn）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。l2f: layer 2 forwarding--第二層轉(zhuǎn)發(fā)協(xié)議

l2tp: layer 2 tunneling protocol--第二層隧道協(xié)議 gre：vpn的第三層隧道協(xié)議

六、vpn研究問(wèn)題

? vpn如何解決校園網(wǎng)安全風(fēng)險(xiǎn)

對(duì)于校園網(wǎng)而言，它雖然給師生帶來(lái)了資源共享的便捷，但同時(shí)也意味著具有安全風(fēng)險(xiǎn)，比如非授權(quán)訪問(wèn)，沒(méi)有預(yù)先經(jīng)過(guò)授權(quán)，就使用校園網(wǎng)絡(luò)或計(jì)算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失；以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒等。那么，校園網(wǎng)利用vpn技術(shù)方案，是否能避免校園網(wǎng)的潛在安全隱患，杜絕上述情況的發(fā)生呢？

vpn即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密，實(shí)際工作時(shí)，遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的vpn服務(wù)器發(fā)出請(qǐng)求，vpn服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到vpn服務(wù)端，vpn服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，vpn服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，vpn服務(wù)器接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。簡(jiǎn)單來(lái)說(shuō)，vpn可以通過(guò)對(duì)校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。? 選擇ipsec vpn還是ssl vpn 校園網(wǎng)vpn方案可以通過(guò)公眾ip網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動(dòng)辦公人員等連接起來(lái)，減輕了校園網(wǎng)的遠(yuǎn)程訪問(wèn)費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開(kāi)支，不過(guò)對(duì)于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實(shí)際情況采取不同的架構(gòu)。一般而言，ipsec vpn和ssl vpn是目前校園網(wǎng)vpn方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來(lái)說(shuō)，ipsec vpn是提供站點(diǎn)與站點(diǎn)之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而ssl vpn則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。

從vpn技術(shù)架構(gòu)來(lái)看，ipsec vpn是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實(shí)現(xiàn)internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用，它將遠(yuǎn)程客戶端置于校園內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。ipsec vpn還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置ipsec客戶端軟件和接入設(shè)備，這大大提高了安全級(jí)別，因?yàn)樵L問(wèn)受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。而且這些ipsec客戶端軟件能實(shí)現(xiàn)自動(dòng)安裝，不需要用戶參與，因而無(wú)論對(duì)網(wǎng)管還是終端用戶，都可以減輕安裝和維護(hù)上的負(fù)擔(dān)。? vpn為校園網(wǎng)帶來(lái)哪些應(yīng)用

在校園網(wǎng)中，通過(guò)vpn給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，vpn能為校園網(wǎng)帶來(lái)哪些具體應(yīng)用優(yōu)勢(shì)呢？首先就是辦公自動(dòng)化，比如校園辦公樓共有40個(gè)信息點(diǎn)，此時(shí)可以通過(guò)校園網(wǎng)連至internet用戶，實(shí)現(xiàn)100m甚至1000m到桌面的帶寬，并對(duì)財(cái)務(wù)科、人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。還可以利用vpn在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個(gè)多媒體教室，每個(gè)教室60臺(tái)pc，通過(guò)校園網(wǎng)上連至internet，實(shí)現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的pc通過(guò)校園網(wǎng)上連至internet，而不進(jìn)行任何布置。

校園網(wǎng)采用vpn技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過(guò)向當(dāng)?shù)氐膇sp申請(qǐng)賬戶登錄到internet，以internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購(gòu)買和維護(hù)通信設(shè)備的費(fèi)用。現(xiàn)在很多大學(xué)都有多個(gè)分校，各個(gè)分校和培訓(xùn)場(chǎng)所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲(chǔ)，許多學(xué)校都采用了分布式存儲(chǔ)方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取vpn服務(wù)器，可以對(duì)各分校進(jìn)行web通訊控制，同時(shí)又可以實(shí)現(xiàn)分校訪問(wèn)互通。為了讓師生共享圖書(shū)資源，與國(guó)外高校合作交換圖書(shū)館數(shù)據(jù)，以及向國(guó)外商業(yè)圖書(shū)館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書(shū)館，但在應(yīng)用上也會(huì)產(chǎn)生相應(yīng)的約束性，比如說(shuō)為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過(guò)的內(nèi)部合法師生，此時(shí)采用vpn加密技術(shù)，數(shù)據(jù)在internet中傳輸時(shí)，internet上的用戶只看到公共的ip地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實(shí)現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問(wèn)校內(nèi)未向互聯(lián)網(wǎng)開(kāi)放的資源。同時(shí)又確保了校園數(shù)字圖書(shū)館的易用性和安全性。? vpn支持哪種校園網(wǎng)接入方式

在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、isdn、adsl撥號(hào)上網(wǎng)，而對(duì)于條件好的高校，則采取了光纖或ddn、幀中繼等專線連接，那么，vpn方案到底支持哪種接入方式呢？實(shí)際上，vpn可以支持最常用的網(wǎng)絡(luò)協(xié)議，因?yàn)樵趇nternet上組建vpn，用戶計(jì)算機(jī)或網(wǎng)絡(luò)需要建立到isp連接，與用戶上網(wǎng)接入方式相似，比如基于ip、ipx和netbui協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用vpn方案。

七、vpn在校園圖書(shū)館系統(tǒng)中的調(diào)查分析

數(shù)字圖書(shū)館的版權(quán)問(wèn)題不容忽視，不管什么類型的圖書(shū)，都要遵循數(shù)字版權(quán)保護(hù)(digital rights management，drm)的規(guī)定，通過(guò)安全和加密技術(shù)控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對(duì)數(shù)字產(chǎn)品非授權(quán)使用。

正是在這樣一種保護(hù)知識(shí)產(chǎn)權(quán)的背景下，高校圖書(shū)館所購(gòu)買的電子資源大部分都有限制訪問(wèn)的ip地址范圍。即:

1、采購(gòu)的這些數(shù)據(jù)庫(kù)不是存放在圖書(shū)館服務(wù)器上，而是存儲(chǔ)在提供商的服務(wù)器上，圖書(shū)館支付費(fèi)用以后，數(shù)據(jù)庫(kù)服務(wù)商是根據(jù)訪問(wèn)者的ip地址來(lái)判斷是否是經(jīng)過(guò)授權(quán)的用戶。

2、只要是從校園網(wǎng)出去的ip地址都是認(rèn)可的，因?yàn)樾@網(wǎng)出口ip和部分公網(wǎng)ip地址是屬于這個(gè)有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計(jì)算機(jī)都可以使用。

3、如果教師、學(xué)生在家里上網(wǎng)或者一個(gè)老師到外地出差需要訪問(wèn)這些電子資源，無(wú)論采用pstn撥號(hào)、adsl、小區(qū)寬帶，使用的都是社會(huì)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的ip地址，不是校園網(wǎng)的ip地址范圍，因此數(shù)據(jù)庫(kù)服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問(wèn)。當(dāng)然，我們也可以要求服務(wù)商進(jìn)一步開(kāi)放更多的ip地址為合法用戶，但是這要求訪問(wèn)者的ip地址是固定的、靜態(tài)的，而實(shí)際上，絕大多數(shù)校外用戶使用的都是動(dòng)態(tài)ip地址，是不確定的，所以數(shù)據(jù)庫(kù)服務(wù)商無(wú)法確定訪問(wèn)者的合法身份，因而自動(dòng)屏蔽。

因此，就需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問(wèn)電子圖書(shū)館的解決方案，將校園網(wǎng)當(dāng)作校外用戶的中轉(zhuǎn)站，使校外用戶通過(guò)鑒權(quán)后擁有校內(nèi)地址再訪問(wèn)資源數(shù)據(jù)庫(kù)。到底有沒(méi)有這樣一種方案呢?虛擬專用網(wǎng)即vpn技術(shù)，給了我們很好的答案。vpn是虛擬專用網(wǎng)的簡(jiǎn)稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠isp(internet service provider 服務(wù)提供商)和其它nsp(networkservice provider網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動(dòng)態(tài)組成的。

實(shí)際上，目前國(guó)內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用vpn技術(shù)來(lái)解決這個(gè)問(wèn)題，而且大多是采用的ipsec vpn技術(shù)。利用ipsec技術(shù)，校外用戶在本機(jī)安裝一個(gè)vpn客戶端軟件后經(jīng)過(guò)配置連入圖書(shū)館網(wǎng)絡(luò)，ipsec vpn中心端會(huì)給每個(gè)遠(yuǎn)程用戶分配一個(gè)校園網(wǎng)ip地址，從而實(shí)現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問(wèn)電子資源。

雖說(shuō)ipsec vpn是目前vpn的主流技術(shù)之一，但ipsec協(xié)議最初是為了解決site to site的安全問(wèn)題而制定的，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來(lái)越多的end to site應(yīng)用情況下已經(jīng)力不從心。

首先是客戶端配置問(wèn)題:在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的ipsec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來(lái)巨大的挑戰(zhàn)。雖然一些領(lǐng)先的公司已經(jīng)解決了ipsec 客戶端難以配置和維護(hù)的問(wèn)題，但是還是無(wú)法避免在每個(gè)終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問(wèn)題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對(duì)數(shù)量也不少。

其次是ipsec vpn自身安全問(wèn)題:往往傳統(tǒng)的ipsec 解決方案都沒(méi)有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問(wèn)題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對(duì)不同用戶身份設(shè)定對(duì)不同資源的訪問(wèn)權(quán)限上也存在不少缺陷(隨著技術(shù)的發(fā)展，新興的vpn廠商已經(jīng)著手改進(jìn)這些問(wèn)題并取得了相應(yīng)的成績(jī))。

然后是對(duì)網(wǎng)絡(luò)的支持問(wèn)題:傳統(tǒng)的ipsec vpn在網(wǎng)絡(luò)適應(yīng)性上都存在一些問(wèn)題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問(wèn)題，但由于ipsec vpn對(duì)防火墻的安全策略的配置較為復(fù)雜(往往要開(kāi)放一些非常用端口)，因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。

最后是移動(dòng)設(shè)備支持問(wèn)題:隨著未來(lái)通訊技術(shù)的發(fā)展，移動(dòng)終端的種類將會(huì)越來(lái)越多，ipsec 客戶端需要有更多的版本來(lái)適應(yīng)這些終端，但隨著終端種類的爆炸性增長(zhǎng)，這幾乎是不可能的。

因此，ssl vpn技術(shù)應(yīng)運(yùn)而生。ssl vpn的突出優(yōu)勢(shì)在于web安全和移動(dòng)接入，它可以提供遠(yuǎn)程的安全接入，而無(wú)需安裝或設(shè)定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前，對(duì)ssl vpn公認(rèn)的三大好處是:首先來(lái)自于它的簡(jiǎn)單性，它不需要配置，可以立即安裝、立即生效;第二個(gè)好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的ssl協(xié)議就行;第三個(gè)好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開(kāi)ie瀏覽器訪問(wèn)圖書(shū)館的internet ip即可成功接入圖書(shū)館，ssl vpn技術(shù)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問(wèn)都是以ssl vpn設(shè)備的lan口的名義發(fā)起的，所以只要ssl vpn設(shè)備的lan口ip是一個(gè)合法的校園網(wǎng)ip，所有成功接入ssl的校外用戶都可以成功訪問(wèn)這個(gè)ssl vpn設(shè)備lan口所能訪問(wèn)的資源。

但ssl vpn并不能取代ipsec vpn。因?yàn)?，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。ssl vpn考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在web的遠(yuǎn)程安全接入方面;而ipsec vpn是在兩個(gè)局域網(wǎng)之間通過(guò)internet建立的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且，ipsec工作于網(wǎng)絡(luò)層，不局限于web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。從高校應(yīng)用來(lái)看，由于ssl接入方式下所有用戶的訪問(wèn)請(qǐng)求都是從ssl vpn設(shè)備的lan口發(fā)起的，對(duì)于那些對(duì)單個(gè)用戶流量有嚴(yán)格限制的資源商來(lái)說(shuō)，這些ssl用戶的訪問(wèn)會(huì)被當(dāng)成一個(gè)用戶對(duì)待，很快就會(huì)因?yàn)檫_(dá)到資源商的流量限制而造成該ip被禁用，也就導(dǎo)致所有ssl用戶無(wú)法繼續(xù)訪問(wèn)圖書(shū)館資源。

那么，高校圖書(shū)館應(yīng)該選擇何種vpn技術(shù)以解決目前校外用戶合理訪問(wèn)圖書(shū)館各類資源的需求呢?從目前圖書(shū)館使用的情況來(lái)看，比較合理的應(yīng)用方式應(yīng)該是ipsec和ssl共同使用。

正如我們前面所分析的，上游資源商對(duì)于資源的應(yīng)用是有限制的，除了限制發(fā)起請(qǐng)求的ip地址外，還會(huì)限制單個(gè)ip地址所產(chǎn)生的流量，因此在圖書(shū)館大量的校外用戶群中，我們將用戶分為兩個(gè)類型，一類是使用圖書(shū)館資源較為頻繁、訪問(wèn)數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問(wèn)數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過(guò)用戶劃分，我們給訪問(wèn)量大但數(shù)量少的教師用戶分配ipsec接入方式，這樣就可以把大量的用戶流量分配到不同的ip地址上，避免單個(gè)ip流量過(guò)大造成的問(wèn)題，而那些數(shù)量眾多但訪問(wèn)量小的學(xué)生用戶分配ssl接入方式，利用ssl vpn無(wú)需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)vpn在圖書(shū)館應(yīng)用的快速部署。經(jīng)過(guò)長(zhǎng)時(shí)間的測(cè)試，華師圖書(shū)館選擇使用國(guó)內(nèi)專業(yè)vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺(tái):sinfor m5100-s。該產(chǎn)品在一臺(tái)網(wǎng)關(guān)上同時(shí)集成了ipsec和ssl vpn功能，利用兩種技術(shù)的集成很好解決了圖書(shū)館應(yīng)用的需求，同時(shí)一體化的設(shè)計(jì)能夠大幅度的降低整個(gè)vpn產(chǎn)品的投入，滿足教育行業(yè)低成本高效率it建設(shè)的需求。

八、結(jié)論

vpn技術(shù)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢(shì),它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)性能的優(yōu)點(diǎn)(安全和qos)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡(jiǎn)單和低成本),能夠提供遠(yuǎn)程訪問(wèn),外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設(shè)與維護(hù)費(fèi)用比專線網(wǎng)絡(luò)要低得多.而且,vpn在降低成本的同時(shí)滿足了對(duì)網(wǎng)絡(luò)帶寬,接入和服務(wù)不斷增加的需求.根據(jù)調(diào)查數(shù)據(jù)表明,用vpn替代租用線路來(lái)連接遠(yuǎn)程站點(diǎn)可節(jié)約20%～47%的開(kāi)支,這么一種經(jīng)濟(jì),安全和靈活的技術(shù),在國(guó)外圖書(shū)館已經(jīng)逐步普及.在國(guó)內(nèi),一些高校圖書(shū)館也開(kāi)始應(yīng)用vpn技術(shù)實(shí)現(xiàn)多校區(qū)圖書(shū)館互聯(lián)和開(kāi)展一些遠(yuǎn)程文獻(xiàn)信息服務(wù).vpn技術(shù)在高校圖書(shū)館的應(yīng)用,必將提高圖書(shū)館利用效率,為圖書(shū)館的遠(yuǎn)程文獻(xiàn)信息服務(wù)打開(kāi)新局面,尤其為多校區(qū)圖書(shū)館之間資源的共享提供安全,高效,經(jīng)濟(jì)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)訪問(wèn)途徑.隨著vpn技術(shù)的日益成熟,它將在圖書(shū)館得到更為廣泛的應(yīng)用。

第五篇：VPN說(shuō)明書(shū).

VPN 使用說(shuō)明書(shū) 申請(qǐng)/重置賬號(hào)密碼：http://self.cczu.edu.cn/index/addvpnwlan（無(wú)賬號(hào)或忘記密碼時(shí)，進(jìn)行申請(qǐng)或重置密碼）用戶自助修改密碼：http://219.230.159.60:8080/selfservice(有密碼時(shí)，進(jìn)行修改)中國(guó)移動(dòng)、中國(guó)電信、聯(lián)通、和教育網(wǎng)用戶請(qǐng)分別點(diǎn)擊上面的圖標(biāo)進(jìn)行訪問(wèn)； 在您首次使用的時(shí)候，系統(tǒng)將自動(dòng)下載安裝插件至所在計(jì)算機(jī)，請(qǐng)您留意頁(yè)面提示并安裝； 當(dāng)插件安裝完畢之后，正常進(jìn)入登錄窗口，使用用戶名和密碼進(jìn)行登錄； 6 登錄成功后，即進(jìn)入用戶使用頁(yè)面，此時(shí)即可訪問(wèn)校內(nèi)和校外指定資源。7 訪問(wèn)校內(nèi)資源時(shí)請(qǐng)不要關(guān)閉本頁(yè)；訪問(wèn)結(jié)束后請(qǐng)及時(shí)退出。vista系統(tǒng)使用需進(jìn)行以下操作：通過(guò)把“控制面板”--“用戶帳戶”--“打開(kāi)或關(guān)閉?用戶帳戶控制?”中的選項(xiàng)去掉即可，即不要選中“使用用戶帳戶控制（UAC）幫助保護(hù)您的計(jì)算機(jī)”，點(diǎn)“確定”，從新啟動(dòng)計(jì)算機(jī)。9 使用GHOST安裝操作系統(tǒng)的用戶，可能會(huì)無(wú)法使用sslvpn。

注意事項(xiàng)：

一、若成功登錄后，不能正常下載及瀏覽文件，請(qǐng)首先確認(rèn)您的計(jì)算機(jī)上是否已經(jīng)安裝相應(yīng)的文件瀏覽器或閱讀器；

二、若不能正常安裝請(qǐng)查看以下說(shuō)明：

1、瀏覽器安全級(jí)別太高，請(qǐng)到中或默認(rèn)級(jí)別，或調(diào)整以下設(shè)置: A、瀏覽器禁止下載ActiveX控件，設(shè)設(shè)置允許下載控件；

B、瀏覽器禁止運(yùn)行ActiveX控件，設(shè)設(shè)置允許運(yùn)行控件；

C、瀏覽器禁止ActiveX控件執(zhí)行腳本，設(shè)設(shè)置允許執(zhí)行腳本；

2、瀏覽器插件攔截控件下載，如上網(wǎng)安全助手等，請(qǐng)?jiān)O(shè)置允許下載

3、可瀏覽器安全中將本頁(yè)為信任站點(diǎn)

4、瀏覽器要求使用IE5以上版本

5、本系統(tǒng)支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統(tǒng)

四、因帶寬不足，為提高速度，提高訪問(wèn)效率，請(qǐng)不要在校內(nèi)使用；不使用時(shí)請(qǐng)及時(shí)退出系統(tǒng)；10分鐘內(nèi)如不使用本系統(tǒng)，系統(tǒng)將自動(dòng)斷線。

五、如果長(zhǎng)時(shí)間不能建立隧道，或者不能獲取ip地址，請(qǐng)將防火墻和殺毒軟件先行關(guān)閉或者卸載，成功連接后，再次把防火墻和殺毒軟件打開(kāi)或安裝。

六、如有疑問(wèn)請(qǐng)撥打：86330350