第一篇：VPN是什么意思,VPN有什么用？

VPN是什么意思，VPN有什么用？

VPN是什么意思？

VPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”.顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把他理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線.----

這一個(gè)VPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”.顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把他理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線.他可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或者是多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是他并不需要真正的去鋪設(shè)光纜之類的物理線路.這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買(路由器的縮寫(xiě))器(局域網(wǎng)中常用的一種設(shè)備,可以很好的防止 Arp病毒)等硬件設(shè)備.VPN技術(shù)原是(路由器的縮寫(xiě))器(局域網(wǎng)中常用的一種設(shè)備,可以很好的防止Arp病毒)具有的重要技術(shù)之一，目前在交換機(jī)，防火墻(本站在極力推薦使用瑞星防火墻,如何使用在本站的反毒殺毒里有詳細(xì)的介紹)設(shè)備或者是WINDOWS2000等軟件(soft)里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng).虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的,安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全,穩(wěn)定的隧道.虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展.虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu),商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)(Data)的安全傳輸.虛擬專用網(wǎng)可以用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可以用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng).下面我們結(jié)合本站有關(guān)思科及微軟關(guān)于VPN方面的文章為大家介紹這方面的資訊，更多更豐富的相關(guān)方面內(nèi)容我們將在以后日子里進(jìn)行補(bǔ)充.針對(duì)不相同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（Access VPN）,企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò),企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對(duì)應(yīng).VPN有什么用？

虛擬專用網(wǎng)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時(shí)經(jīng)過(guò)公用網(wǎng)訪問(wèn)公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等?，F(xiàn)在很多公司通過(guò)使用IPSec VPN來(lái)保證公司總部和分支機(jī)構(gòu)以及移動(dòng)工作人員之間安全連接。

第二篇：VPN說(shuō)明書(shū).

VPN 使用說(shuō)明書(shū) 申請(qǐng)/重置賬號(hào)密碼：http://self.cczu.edu.cn/index/addvpnwlan（無(wú)賬號(hào)或忘記密碼時(shí)，進(jìn)行申請(qǐng)或重置密碼）用戶自助修改密碼：http://219.230.159.60:8080/selfservice(有密碼時(shí)，進(jìn)行修改)中國(guó)移動(dòng)、中國(guó)電信、聯(lián)通、和教育網(wǎng)用戶請(qǐng)分別點(diǎn)擊上面的圖標(biāo)進(jìn)行訪問(wèn)； 在您首次使用的時(shí)候，系統(tǒng)將自動(dòng)下載安裝插件至所在計(jì)算機(jī)，請(qǐng)您留意頁(yè)面提示并安裝； 當(dāng)插件安裝完畢之后，正常進(jìn)入登錄窗口，使用用戶名和密碼進(jìn)行登錄； 6 登錄成功后，即進(jìn)入用戶使用頁(yè)面，此時(shí)即可訪問(wèn)校內(nèi)和校外指定資源。7 訪問(wèn)校內(nèi)資源時(shí)請(qǐng)不要關(guān)閉本頁(yè)；訪問(wèn)結(jié)束后請(qǐng)及時(shí)退出。vista系統(tǒng)使用需進(jìn)行以下操作：通過(guò)把“控制面板”--“用戶帳戶”--“打開(kāi)或關(guān)閉?用戶帳戶控制?”中的選項(xiàng)去掉即可，即不要選中“使用用戶帳戶控制（UAC）幫助保護(hù)您的計(jì)算機(jī)”，點(diǎn)“確定”，從新啟動(dòng)計(jì)算機(jī)。9 使用GHOST安裝操作系統(tǒng)的用戶，可能會(huì)無(wú)法使用sslvpn。

注意事項(xiàng)：

一、若成功登錄后，不能正常下載及瀏覽文件，請(qǐng)首先確認(rèn)您的計(jì)算機(jī)上是否已經(jīng)安裝相應(yīng)的文件瀏覽器或閱讀器；

二、若不能正常安裝請(qǐng)查看以下說(shuō)明：

1、瀏覽器安全級(jí)別太高，請(qǐng)到中或默認(rèn)級(jí)別，或調(diào)整以下設(shè)置: A、瀏覽器禁止下載ActiveX控件，設(shè)設(shè)置允許下載控件；

B、瀏覽器禁止運(yùn)行ActiveX控件，設(shè)設(shè)置允許運(yùn)行控件；

C、瀏覽器禁止ActiveX控件執(zhí)行腳本，設(shè)設(shè)置允許執(zhí)行腳本；

2、瀏覽器插件攔截控件下載，如上網(wǎng)安全助手等，請(qǐng)?jiān)O(shè)置允許下載

3、可瀏覽器安全中將本頁(yè)為信任站點(diǎn)

4、瀏覽器要求使用IE5以上版本

5、本系統(tǒng)支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統(tǒng)

四、因帶寬不足，為提高速度，提高訪問(wèn)效率，請(qǐng)不要在校內(nèi)使用；不使用時(shí)請(qǐng)及時(shí)退出系統(tǒng)；10分鐘內(nèi)如不使用本系統(tǒng)，系統(tǒng)將自動(dòng)斷線。

五、如果長(zhǎng)時(shí)間不能建立隧道，或者不能獲取ip地址，請(qǐng)將防火墻和殺毒軟件先行關(guān)閉或者卸載，成功連接后，再次把防火墻和殺毒軟件打開(kāi)或安裝。

六、如有疑問(wèn)請(qǐng)撥打：86330350

第三篇：VPN研究報(bào)告

一、前言

互聯(lián)網(wǎng)的普及、移動(dòng)通信技術(shù)的進(jìn)步、信息化程度的提高，使全世界的數(shù)字信息高度共

享成為可能。中國(guó)高校也越來(lái)越重視數(shù)字化校園的開(kāi)發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開(kāi)展電化教學(xué)、電子教學(xué)資源的建設(shè)。而作為電子教學(xué)資源的重點(diǎn)之一，電子圖書(shū)館的建設(shè)已經(jīng)成為當(dāng)今數(shù)字化校園建設(shè)的新亮點(diǎn)。國(guó)內(nèi)很多高校近幾年都從網(wǎng)上購(gòu)置了大量的電子數(shù)據(jù)供廣大師生開(kāi)展教學(xué)研究。這些資源對(duì)于學(xué)校學(xué)科建設(shè)和科學(xué)研究工作有很重要的意義，數(shù)字圖書(shū)館的建設(shè)和應(yīng)用已經(jīng)成為高校信息化建設(shè)和現(xiàn)代教育技術(shù)改革工作的一大重點(diǎn)。

二、選題背景

隨著教育信息化的深入，很多學(xué)校都建立了校園網(wǎng)，為了實(shí)現(xiàn)校內(nèi)資源優(yōu)化整合，讓師

生們更好的進(jìn)行工作和學(xué)習(xí)，他們需要在校園網(wǎng)內(nèi)部或在校外的遠(yuǎn)程節(jié)點(diǎn)上，隨時(shí)享受校園網(wǎng)內(nèi)部的各項(xiàng)服務(wù)，然而由于互聯(lián)網(wǎng)黑客對(duì)各高校的資源虎視眈眈，在沒(méi)有經(jīng)過(guò)任何允許的情況下，黑客們很容易就潛入校園網(wǎng)內(nèi)部進(jìn)行搗亂，為此，多數(shù)校園網(wǎng)都不會(huì)將自己的各種應(yīng)用系統(tǒng)和所有信息資源完全開(kāi)放，因?yàn)檫@樣讓整個(gè)校園網(wǎng)面臨無(wú)以估量的破壞性損失，為了網(wǎng)絡(luò)安全考慮，將vpn技術(shù)應(yīng)用于基于公共互聯(lián)網(wǎng)構(gòu)架的校園網(wǎng)，可以較好的解決校園網(wǎng)多校區(qū)、遠(yuǎn)程訪問(wèn)、遠(yuǎn)程管理等問(wèn)題。

三、vpn簡(jiǎn)介

虛擬專用網(wǎng)（vpn）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安

全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

四、vpn功能

vpn可以提供的功能： 防火墻功能、認(rèn)證、加密、隧道化。

vpn可以通過(guò)特殊的加密的通訊協(xié)議在連接在internet上的位于不同地方的兩個(gè)或多個(gè)

企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。vpn技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows 2000等軟件里也都支持vpn功能，一句話，vpn的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

五、vpn常用的網(wǎng)絡(luò)協(xié)議

常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：

ipsec : ipsec(縮寫(xiě)ip security)是保護(hù)ip協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)ip協(xié)議分組進(jìn)行加密和認(rèn)證。ipsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來(lái)建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分： vpn加密分組流的封裝安全載荷（esp）及較少使用的認(rèn)證頭（ah），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，ike協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。

pptp: point to point tunneling protocol--點(diǎn)到點(diǎn)隧道協(xié)議。在因特網(wǎng)上建立ip虛擬專用網(wǎng)

（vpn）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。l2f: layer 2 forwarding--第二層轉(zhuǎn)發(fā)協(xié)議

l2tp: layer 2 tunneling protocol--第二層隧道協(xié)議 gre：vpn的第三層隧道協(xié)議

六、vpn研究問(wèn)題

? vpn如何解決校園網(wǎng)安全風(fēng)險(xiǎn)

對(duì)于校園網(wǎng)而言，它雖然給師生帶來(lái)了資源共享的便捷，但同時(shí)也意味著具有安全風(fēng)險(xiǎn)，比如非授權(quán)訪問(wèn)，沒(méi)有預(yù)先經(jīng)過(guò)授權(quán)，就使用校園網(wǎng)絡(luò)或計(jì)算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失；以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒等。那么，校園網(wǎng)利用vpn技術(shù)方案，是否能避免校園網(wǎng)的潛在安全隱患，杜絕上述情況的發(fā)生呢？

vpn即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密，實(shí)際工作時(shí)，遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的vpn服務(wù)器發(fā)出請(qǐng)求，vpn服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到vpn服務(wù)端，vpn服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，vpn服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，vpn服務(wù)器接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。簡(jiǎn)單來(lái)說(shuō)，vpn可以通過(guò)對(duì)校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。? 選擇ipsec vpn還是ssl vpn 校園網(wǎng)vpn方案可以通過(guò)公眾ip網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動(dòng)辦公人員等連接起來(lái)，減輕了校園網(wǎng)的遠(yuǎn)程訪問(wèn)費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開(kāi)支，不過(guò)對(duì)于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實(shí)際情況采取不同的架構(gòu)。一般而言，ipsec vpn和ssl vpn是目前校園網(wǎng)vpn方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來(lái)說(shuō)，ipsec vpn是提供站點(diǎn)與站點(diǎn)之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而ssl vpn則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。

從vpn技術(shù)架構(gòu)來(lái)看，ipsec vpn是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實(shí)現(xiàn)internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用，它將遠(yuǎn)程客戶端置于校園內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。ipsec vpn還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置ipsec客戶端軟件和接入設(shè)備，這大大提高了安全級(jí)別，因?yàn)樵L問(wèn)受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。而且這些ipsec客戶端軟件能實(shí)現(xiàn)自動(dòng)安裝，不需要用戶參與，因而無(wú)論對(duì)網(wǎng)管還是終端用戶，都可以減輕安裝和維護(hù)上的負(fù)擔(dān)。? vpn為校園網(wǎng)帶來(lái)哪些應(yīng)用

在校園網(wǎng)中，通過(guò)vpn給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，vpn能為校園網(wǎng)帶來(lái)哪些具體應(yīng)用優(yōu)勢(shì)呢？首先就是辦公自動(dòng)化，比如校園辦公樓共有40個(gè)信息點(diǎn)，此時(shí)可以通過(guò)校園網(wǎng)連至internet用戶，實(shí)現(xiàn)100m甚至1000m到桌面的帶寬，并對(duì)財(cái)務(wù)科、人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。還可以利用vpn在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個(gè)多媒體教室，每個(gè)教室60臺(tái)pc，通過(guò)校園網(wǎng)上連至internet，實(shí)現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的pc通過(guò)校園網(wǎng)上連至internet，而不進(jìn)行任何布置。

校園網(wǎng)采用vpn技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過(guò)向當(dāng)?shù)氐膇sp申請(qǐng)賬戶登錄到internet，以internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購(gòu)買和維護(hù)通信設(shè)備的費(fèi)用?，F(xiàn)在很多大學(xué)都有多個(gè)分校，各個(gè)分校和培訓(xùn)場(chǎng)所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲(chǔ)，許多學(xué)校都采用了分布式存儲(chǔ)方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取vpn服務(wù)器，可以對(duì)各分校進(jìn)行web通訊控制，同時(shí)又可以實(shí)現(xiàn)分校訪問(wèn)互通。為了讓師生共享圖書(shū)資源，與國(guó)外高校合作交換圖書(shū)館數(shù)據(jù)，以及向國(guó)外商業(yè)圖書(shū)館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書(shū)館，但在應(yīng)用上也會(huì)產(chǎn)生相應(yīng)的約束性，比如說(shuō)為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過(guò)的內(nèi)部合法師生，此時(shí)采用vpn加密技術(shù)，數(shù)據(jù)在internet中傳輸時(shí)，internet上的用戶只看到公共的ip地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實(shí)現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問(wèn)校內(nèi)未向互聯(lián)網(wǎng)開(kāi)放的資源。同時(shí)又確保了校園數(shù)字圖書(shū)館的易用性和安全性。? vpn支持哪種校園網(wǎng)接入方式

在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、isdn、adsl撥號(hào)上網(wǎng)，而對(duì)于條件好的高校，則采取了光纖或ddn、幀中繼等專線連接，那么，vpn方案到底支持哪種接入方式呢？實(shí)際上，vpn可以支持最常用的網(wǎng)絡(luò)協(xié)議，因?yàn)樵趇nternet上組建vpn，用戶計(jì)算機(jī)或網(wǎng)絡(luò)需要建立到isp連接，與用戶上網(wǎng)接入方式相似，比如基于ip、ipx和netbui協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用vpn方案。

七、vpn在校園圖書(shū)館系統(tǒng)中的調(diào)查分析

數(shù)字圖書(shū)館的版權(quán)問(wèn)題不容忽視，不管什么類型的圖書(shū)，都要遵循數(shù)字版權(quán)保護(hù)(digital rights management，drm)的規(guī)定，通過(guò)安全和加密技術(shù)控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對(duì)數(shù)字產(chǎn)品非授權(quán)使用。

正是在這樣一種保護(hù)知識(shí)產(chǎn)權(quán)的背景下，高校圖書(shū)館所購(gòu)買的電子資源大部分都有限制訪問(wèn)的ip地址范圍。即:

1、采購(gòu)的這些數(shù)據(jù)庫(kù)不是存放在圖書(shū)館服務(wù)器上，而是存儲(chǔ)在提供商的服務(wù)器上，圖書(shū)館支付費(fèi)用以后，數(shù)據(jù)庫(kù)服務(wù)商是根據(jù)訪問(wèn)者的ip地址來(lái)判斷是否是經(jīng)過(guò)授權(quán)的用戶。

2、只要是從校園網(wǎng)出去的ip地址都是認(rèn)可的，因?yàn)樾@網(wǎng)出口ip和部分公網(wǎng)ip地址是屬于這個(gè)有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計(jì)算機(jī)都可以使用。

3、如果教師、學(xué)生在家里上網(wǎng)或者一個(gè)老師到外地出差需要訪問(wèn)這些電子資源，無(wú)論采用pstn撥號(hào)、adsl、小區(qū)寬帶，使用的都是社會(huì)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的ip地址，不是校園網(wǎng)的ip地址范圍，因此數(shù)據(jù)庫(kù)服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問(wèn)。當(dāng)然，我們也可以要求服務(wù)商進(jìn)一步開(kāi)放更多的ip地址為合法用戶，但是這要求訪問(wèn)者的ip地址是固定的、靜態(tài)的，而實(shí)際上，絕大多數(shù)校外用戶使用的都是動(dòng)態(tài)ip地址，是不確定的，所以數(shù)據(jù)庫(kù)服務(wù)商無(wú)法確定訪問(wèn)者的合法身份，因而自動(dòng)屏蔽。

因此，就需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問(wèn)電子圖書(shū)館的解決方案，將校園網(wǎng)當(dāng)作校外用戶的中轉(zhuǎn)站，使校外用戶通過(guò)鑒權(quán)后擁有校內(nèi)地址再訪問(wèn)資源數(shù)據(jù)庫(kù)。到底有沒(méi)有這樣一種方案呢?虛擬專用網(wǎng)即vpn技術(shù)，給了我們很好的答案。vpn是虛擬專用網(wǎng)的簡(jiǎn)稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠isp(internet service provider 服務(wù)提供商)和其它nsp(networkservice provider網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動(dòng)態(tài)組成的。

實(shí)際上，目前國(guó)內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用vpn技術(shù)來(lái)解決這個(gè)問(wèn)題，而且大多是采用的ipsec vpn技術(shù)。利用ipsec技術(shù)，校外用戶在本機(jī)安裝一個(gè)vpn客戶端軟件后經(jīng)過(guò)配置連入圖書(shū)館網(wǎng)絡(luò)，ipsec vpn中心端會(huì)給每個(gè)遠(yuǎn)程用戶分配一個(gè)校園網(wǎng)ip地址，從而實(shí)現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問(wèn)電子資源。

雖說(shuō)ipsec vpn是目前vpn的主流技術(shù)之一，但ipsec協(xié)議最初是為了解決site to site的安全問(wèn)題而制定的，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來(lái)越多的end to site應(yīng)用情況下已經(jīng)力不從心。

首先是客戶端配置問(wèn)題:在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的ipsec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來(lái)巨大的挑戰(zhàn)。雖然一些領(lǐng)先的公司已經(jīng)解決了ipsec 客戶端難以配置和維護(hù)的問(wèn)題，但是還是無(wú)法避免在每個(gè)終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問(wèn)題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對(duì)數(shù)量也不少。

其次是ipsec vpn自身安全問(wèn)題:往往傳統(tǒng)的ipsec 解決方案都沒(méi)有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問(wèn)題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對(duì)不同用戶身份設(shè)定對(duì)不同資源的訪問(wèn)權(quán)限上也存在不少缺陷(隨著技術(shù)的發(fā)展，新興的vpn廠商已經(jīng)著手改進(jìn)這些問(wèn)題并取得了相應(yīng)的成績(jī))。

然后是對(duì)網(wǎng)絡(luò)的支持問(wèn)題:傳統(tǒng)的ipsec vpn在網(wǎng)絡(luò)適應(yīng)性上都存在一些問(wèn)題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問(wèn)題，但由于ipsec vpn對(duì)防火墻的安全策略的配置較為復(fù)雜(往往要開(kāi)放一些非常用端口)，因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。

最后是移動(dòng)設(shè)備支持問(wèn)題:隨著未來(lái)通訊技術(shù)的發(fā)展，移動(dòng)終端的種類將會(huì)越來(lái)越多，ipsec 客戶端需要有更多的版本來(lái)適應(yīng)這些終端，但隨著終端種類的爆炸性增長(zhǎng)，這幾乎是不可能的。

因此，ssl vpn技術(shù)應(yīng)運(yùn)而生。ssl vpn的突出優(yōu)勢(shì)在于web安全和移動(dòng)接入，它可以提供遠(yuǎn)程的安全接入，而無(wú)需安裝或設(shè)定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前，對(duì)ssl vpn公認(rèn)的三大好處是:首先來(lái)自于它的簡(jiǎn)單性，它不需要配置，可以立即安裝、立即生效;第二個(gè)好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的ssl協(xié)議就行;第三個(gè)好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開(kāi)ie瀏覽器訪問(wèn)圖書(shū)館的internet ip即可成功接入圖書(shū)館，ssl vpn技術(shù)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問(wèn)都是以ssl vpn設(shè)備的lan口的名義發(fā)起的，所以只要ssl vpn設(shè)備的lan口ip是一個(gè)合法的校園網(wǎng)ip，所有成功接入ssl的校外用戶都可以成功訪問(wèn)這個(gè)ssl vpn設(shè)備lan口所能訪問(wèn)的資源。

但ssl vpn并不能取代ipsec vpn。因?yàn)椋@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。ssl vpn考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在web的遠(yuǎn)程安全接入方面;而ipsec vpn是在兩個(gè)局域網(wǎng)之間通過(guò)internet建立的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且，ipsec工作于網(wǎng)絡(luò)層，不局限于web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。從高校應(yīng)用來(lái)看，由于ssl接入方式下所有用戶的訪問(wèn)請(qǐng)求都是從ssl vpn設(shè)備的lan口發(fā)起的，對(duì)于那些對(duì)單個(gè)用戶流量有嚴(yán)格限制的資源商來(lái)說(shuō)，這些ssl用戶的訪問(wèn)會(huì)被當(dāng)成一個(gè)用戶對(duì)待，很快就會(huì)因?yàn)檫_(dá)到資源商的流量限制而造成該ip被禁用，也就導(dǎo)致所有ssl用戶無(wú)法繼續(xù)訪問(wèn)圖書(shū)館資源。

那么，高校圖書(shū)館應(yīng)該選擇何種vpn技術(shù)以解決目前校外用戶合理訪問(wèn)圖書(shū)館各類資源的需求呢?從目前圖書(shū)館使用的情況來(lái)看，比較合理的應(yīng)用方式應(yīng)該是ipsec和ssl共同使用。

正如我們前面所分析的，上游資源商對(duì)于資源的應(yīng)用是有限制的，除了限制發(fā)起請(qǐng)求的ip地址外，還會(huì)限制單個(gè)ip地址所產(chǎn)生的流量，因此在圖書(shū)館大量的校外用戶群中，我們將用戶分為兩個(gè)類型，一類是使用圖書(shū)館資源較為頻繁、訪問(wèn)數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問(wèn)數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過(guò)用戶劃分，我們給訪問(wèn)量大但數(shù)量少的教師用戶分配ipsec接入方式，這樣就可以把大量的用戶流量分配到不同的ip地址上，避免單個(gè)ip流量過(guò)大造成的問(wèn)題，而那些數(shù)量眾多但訪問(wèn)量小的學(xué)生用戶分配ssl接入方式，利用ssl vpn無(wú)需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)vpn在圖書(shū)館應(yīng)用的快速部署。經(jīng)過(guò)長(zhǎng)時(shí)間的測(cè)試，華師圖書(shū)館選擇使用國(guó)內(nèi)專業(yè)vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺(tái):sinfor m5100-s。該產(chǎn)品在一臺(tái)網(wǎng)關(guān)上同時(shí)集成了ipsec和ssl vpn功能，利用兩種技術(shù)的集成很好解決了圖書(shū)館應(yīng)用的需求，同時(shí)一體化的設(shè)計(jì)能夠大幅度的降低整個(gè)vpn產(chǎn)品的投入，滿足教育行業(yè)低成本高效率it建設(shè)的需求。

八、結(jié)論

vpn技術(shù)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢(shì),它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)性能的優(yōu)點(diǎn)(安全和qos)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)(簡(jiǎn)單和低成本),能夠提供遠(yuǎn)程訪問(wèn),外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設(shè)與維護(hù)費(fèi)用比專線網(wǎng)絡(luò)要低得多.而且,vpn在降低成本的同時(shí)滿足了對(duì)網(wǎng)絡(luò)帶寬,接入和服務(wù)不斷增加的需求.根據(jù)調(diào)查數(shù)據(jù)表明,用vpn替代租用線路來(lái)連接遠(yuǎn)程站點(diǎn)可節(jié)約20%～47%的開(kāi)支,這么一種經(jīng)濟(jì),安全和靈活的技術(shù),在國(guó)外圖書(shū)館已經(jīng)逐步普及.在國(guó)內(nèi),一些高校圖書(shū)館也開(kāi)始應(yīng)用vpn技術(shù)實(shí)現(xiàn)多校區(qū)圖書(shū)館互聯(lián)和開(kāi)展一些遠(yuǎn)程文獻(xiàn)信息服務(wù).vpn技術(shù)在高校圖書(shū)館的應(yīng)用,必將提高圖書(shū)館利用效率,為圖書(shū)館的遠(yuǎn)程文獻(xiàn)信息服務(wù)打開(kāi)新局面,尤其為多校區(qū)圖書(shū)館之間資源的共享提供安全,高效,經(jīng)濟(jì)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)訪問(wèn)途徑.隨著vpn技術(shù)的日益成熟,它將在圖書(shū)館得到更為廣泛的應(yīng)用。

第四篇：VPN實(shí)驗(yàn)總結(jié)

網(wǎng)絡(luò)上關(guān)于vpn的原理的文章很多，這里就不再羅嗦了。下面是我最近做vpn實(shí)驗(yàn)的小結(jié)：

（一）vpn access server的配置 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 步驟：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有關(guān)參數(shù)

cry isa client conf group vclient-group ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。key vclient-key ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。

pool pool192 ####client的ip地址從這里選取

####以上兩個(gè)參數(shù)必須配置，其他參數(shù)還包括domain、dns、wins等，根據(jù)情況進(jìn)行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步對(duì)應(yīng)

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數(shù)authorization cry map vpnmap client conf address respond ####響應(yīng)client分配地址的請(qǐng)求

7、配置靜態(tài)路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 說(shuō)明幾點(diǎn)：（1）因?yàn)?720只有一個(gè)fastethernet口，所以用router1720上的lo0地址來(lái)模擬router內(nèi)部網(wǎng)絡(luò)。

（2）vpn client使用的ip pool地址不能與router內(nèi)部網(wǎng)絡(luò)ip地址重疊。（3）10.130.23.0網(wǎng)段模擬公網(wǎng)地址，172.16.1.0網(wǎng)段用于1720內(nèi)部地址，192.168.1.0網(wǎng)段用于vpn通道。（4）沒(méi)有找到設(shè)置vpn client獲取的子網(wǎng)掩碼的辦法?？磥?lái)是ios還不支持這個(gè)功能。（5）關(guān)于split tunnel。配置方法：首先，設(shè)置access 133 permit ip 172.16.1.0 0.0.0.255 any，允許1720本地網(wǎng)絡(luò)數(shù)據(jù)通過(guò)tunnel，然后在第三步驟中添加一個(gè)參數(shù)：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map?。nterface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable??！line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一個(gè)connection entry，參數(shù)中name任意起一個(gè)，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.測(cè)試：

（1）在pc上運(yùn)行VPN client，連接vpn access server。（2）ipconfig/all，查看獲取到的ip地址與其他參數(shù)。（3）在router，show cry isa sa,看連接是否成功。

（4）從router，ping client已經(jīng)獲取到的ip地址，通過(guò)。

（5）從client，ping router的lo0配置的地址172.16.1.1，通過(guò)。

（6）查看vpn client軟件的status--statistics,可以看到加密與解密的數(shù)據(jù)量。

（7）1720上show cry ip sa, 也可以查看加密與解密的數(shù)據(jù)量。

常用調(diào)試命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####這是最常用的debug命令，vpn連接的基本錯(cuò)誤都可以用它來(lái)找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步驟：

1、配置1720路由器，參照實(shí)驗(yàn)一，設(shè)置為vpn server。

2、配置3662路由器，設(shè)置vpn client參數(shù)

cry ip client ezvpn vclient ####定義crypto-ezvpn name mode network-extension ####設(shè)置為網(wǎng)絡(luò)擴(kuò)展模式

group vclient-group key vclient-key ####設(shè)置登錄vpn server的組名與組口令

peer 10.130.23.246 ####設(shè)置vpn server的ip地址，如果啟用dns，則可以用hostname connect auto ####設(shè)置為自動(dòng)連接。如果設(shè)為手動(dòng)，則必須使用cry ip client ezvpn connect vclient命令來(lái)啟動(dòng)vpn通道。

local-address F0/0 ####設(shè)置vpn通道本地地址，選用f0/0，可以保證vpn server找到它

3、定義加密數(shù)據(jù)入口，這里為f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定義加密數(shù)據(jù)出口，這里為連接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上設(shè)置靜態(tài)路由，地址范圍為3662路由本地網(wǎng)絡(luò)的地址 ip route 172.16.2.0 255.255.255.0 f0

6、設(shè)置ip dhcp服務(wù) ####cisco推薦使用dhcp來(lái)進(jìn)行本地網(wǎng)絡(luò)ip的分配。此步驟可選。

service dhcp ####啟動(dòng)dhcp 服務(wù)

ip dhcp pool dhcppool ####定義dhcp pool name network 172.16.2.0 /24 ####定義可分配的IP地址段

default-router 172.16.2.1 ####定義dhcp client的默認(rèn)網(wǎng)關(guān) lease 1 0 0 ####設(shè)置ip保留時(shí)間

import all ####如果配置了上級(jí)dhcp，server，則接受其所有參數(shù) ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除

測(cè)試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^(guò)debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過(guò)程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)沒(méi)有進(jìn)行加密。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)不通過(guò)加密。（6）啟動(dòng)pc vpn client，ping 172.16.1.1，通過(guò)。在1720上查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

（7）在pc vpn client，ping 172.16.2.1，通過(guò)。在1720和3662上查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。在1720上show cry isa sa，可以看到兩個(gè)vpn連接。

（8）在3660上擴(kuò)展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client獲得的ip），通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。

說(shuō)明：

（1）不同平臺(tái)，不同ios版本，easy vpn client的配置有所不同。特別是加密數(shù)據(jù)入出接口的配置，配置接口前后，用show cry ip client ezvpn來(lái)查看與驗(yàn)證。

（2）network-extension模式，vpn client端本地ip不通過(guò)nat/pat進(jìn)行數(shù)據(jù)傳輸。

（3）以上配置均沒(méi)有啟用split tunnel。設(shè)置split tunnel的方法:首先參考實(shí)驗(yàn)

（一），設(shè)置acl 133和cry isa client conf group中的參數(shù)，完成后，可以實(shí)現(xiàn)測(cè)試（1）－（5）。要實(shí)現(xiàn)Pc vpn client和3662 vpn client 互通，即測(cè)試（6）－（8），還要在1720 的acl 133中添加兩條，分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要復(fù)位vpn通道，才可以起作用。在pc端，是通過(guò)disconnect再connect來(lái)實(shí)現(xiàn)；在3662上，通過(guò)clear cry ip client ezvpn來(lái)復(fù)位。

常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渫瑢?shí)驗(yàn)

（二）實(shí)驗(yàn)步驟參考實(shí)驗(yàn)

（二），其中第二步，將mode network-extension改為mode client。

測(cè)試：

（1）配置好3662上的vpn client后，自動(dòng)進(jìn)行vpn連接?？梢酝ㄟ^(guò)debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過(guò)程與結(jié)果。

（2）在1720上擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，不通。這是因?yàn)?662端ip數(shù)據(jù)流是通過(guò)nat進(jìn)行傳輸。

（4）在3660上擴(kuò)展ping，source 172.16.2.1 destination 172.16.1.1，通過(guò)。查看show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。在1720上打開(kāi)deb ip icmp，可以看到echo reply信息的dst地址為192.168.1.19（vpn client 從vpn server獲取的ip地址）。

（5）在3660上擴(kuò)展ping，source 10.130.23.244 destination 172.16.1.1，不通。

說(shuō)明：

（1）client 模式，vpn client端內(nèi)部網(wǎng)絡(luò)采用nat方式與vpn server進(jìn)行通信，vpn client端網(wǎng)絡(luò)可以訪問(wèn)server端網(wǎng)絡(luò)資源，server端網(wǎng)絡(luò)不能訪問(wèn)client端內(nèi)部網(wǎng)絡(luò)資源。

（2）client與network-extension兩種模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置與數(shù)據(jù)流量。

（4）關(guān)于split tunnel，client模式的easy vpn client，與pc的vpn client類似，配置split tunnel的方法也相同。常用調(diào)試命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問(wèn)。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）定義isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對(duì)應(yīng)參數(shù)配置必須相同。（4）定義pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 為key，兩個(gè)路由器上要一樣 ####其中10.130.23.244為peer路由器的ip地址。（5）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選（6）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對(duì)應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對(duì)應(yīng)

####如果一個(gè)接口上要對(duì)應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對(duì)應(yīng)一個(gè)peer（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144?。nterface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 測(cè)試：

（1）未將map應(yīng)用到接口之前，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。

（2）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 10.130.23.246 destination 172.16.2.1，通過(guò)。

查看show cry ip sa，可以看到數(shù)據(jù)沒(méi)有通過(guò)vpn 通道進(jìn)行傳輸，因?yàn)椴环蟖cl 144。（3）map應(yīng)用到接口之后，在1720，擴(kuò)展ping，source 172.16.1.1 destination 172.16.2.1，通過(guò)。查看show cry ip sa，可以看到數(shù)據(jù)通過(guò)vpn 通道進(jìn)行傳輸。

（4）在3662上同樣進(jìn)行測(cè)試。

說(shuō)明：

（1）采用pre-share方式加密數(shù)據(jù)，配置簡(jiǎn)單，數(shù)據(jù)傳輸效率較高，但是安全性不高。

（2）加密數(shù)據(jù)前后，通過(guò)ping大包的方式測(cè)試，可以發(fā)現(xiàn)這種利用軟件進(jìn)行數(shù)據(jù)加密的方式，延時(shí)較大。如果需要開(kāi)展voip、ip 視訊會(huì)議等業(yè)務(wù)，建議選配vpn模塊進(jìn)行硬件加密。

常用調(diào)試命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌?/p>

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟：

以1720為例進(jìn)行配置

（1）配置靜態(tài)路由 ####在配置vpn之前，需要保證兩方的網(wǎng)絡(luò)可以互相訪問(wèn)。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定義加密數(shù)據(jù)的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key 這里 統(tǒng)一用general purpose key（4）復(fù)制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，復(fù)制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####設(shè)置public key addressed-key 10.130.23.244 ####設(shè)置關(guān)聯(lián)10.130.23.244ip地址的key key-string ####定義key串

粘貼從3662上復(fù)制的General Purpose Key #####如果第三步生成了兩種key，則這里復(fù)制粘貼的，應(yīng)該是Encryption Key（三個(gè)key中的第二個(gè)）（5）定義isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key進(jìn)行驗(yàn)證

####authentication參數(shù)必須配置，其他參數(shù)如group、hash、encr、lifetime等，如果進(jìn)行配置，需要注意兩個(gè)路由器上的對(duì)應(yīng)參數(shù)配置必須相同。（6）定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name，后面兩項(xiàng)為加密傳輸?shù)乃惴?mode transport/tunnel #####tunnel為默認(rèn)值，此配置可選（7）定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name，10 是entry 號(hào)碼，ipsec-isakmp表示采用isakmp進(jìn)行密鑰管理

match address 144 ####定義進(jìn)行加密傳輸?shù)臄?shù)據(jù)，與第二步對(duì)應(yīng) set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對(duì)應(yīng)

####如果一個(gè)接口上要對(duì)應(yīng)多個(gè)vpn peer，可以定義多個(gè)entry，每個(gè)entry對(duì)應(yīng)一個(gè)peer；同樣，pubkey 也要對(duì)應(yīng)進(jìn)行設(shè)置。

（7）將crypto map應(yīng)用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同樣方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144?。nterface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

說(shuō)明：

（1）采用rsa encrypted方式加密傳輸數(shù)據(jù)，默認(rèn)key長(zhǎng)度為512字節(jié)，最高可設(shè)為2048字節(jié)。安全性能較高。

（2）100M雙工交換網(wǎng)絡(luò)中，在雙向同時(shí)ping 15000字節(jié)的大包進(jìn)行測(cè)試時(shí)，1720的cpu使用率一度高達(dá)90％左右，3662的使用率約為25％，兩臺(tái)路由器內(nèi)存使用率則變化不大。可見(jiàn)用rsa encrypted方式加密，對(duì)低端路由器的cpu性能影響很大。常用調(diào)試命令： show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa

第五篇：vpn學(xué)習(xí)小結(jié)

VPN學(xué)習(xí)小結(jié)

1.VPN概述

隨著通信基礎(chǔ)設(shè)施建設(shè)和互聯(lián)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各行各業(yè)紛紛借助互聯(lián)網(wǎng)絡(luò)技術(shù)來(lái)加快信息的流動(dòng)速度，提升企業(yè)的綜合競(jìng)爭(zhēng)力。VPN 技術(shù)，就是一種目前業(yè)界主流的解決異地網(wǎng)絡(luò)安全互連的加密通信協(xié)議。

VPN是Virtual Private Network（虛擬專用網(wǎng)絡(luò)）的簡(jiǎn)稱，指綜合利用封裝技術(shù)、加密技術(shù)，密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)絡(luò)上，建立安全虛擬專用網(wǎng)絡(luò)。

VPN 是一個(gè)被加密或封裝的通信過(guò)程，該過(guò)程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來(lái)保障，而數(shù)據(jù)是在一個(gè)開(kāi)放的、有安全保障的互聯(lián)網(wǎng)上傳輸?shù)摹PN 技術(shù)能夠有效保證信息安全傳輸中的性”、“完整性”和“不可抵賴性”。

實(shí)際上，VPN是一種依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN服務(wù)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。用戶不再需要擁有成本極高的長(zhǎng)途數(shù)據(jù)線路，用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路，為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)，從而實(shí)現(xiàn)企業(yè)內(nèi)部多個(gè)分支機(jī)構(gòu)之間的數(shù)據(jù)通信、Voip電話、視頻會(huì)議等多種業(yè)務(wù)。

包沒(méi)“機(jī)密而是使

2.VPN主要技術(shù)

目前市場(chǎng)上多種 VPN技術(shù)并存，主要有以下幾種：

PPTP/L2TP：屬于上世紀(jì)末的技術(shù)，實(shí)現(xiàn)比較便捷，集成在 Windows 操作系統(tǒng)之中，使用方便。但技術(shù)過(guò)于簡(jiǎn)單，加密算法和協(xié)議的安全性以及性能吞吐率都很低，并發(fā)接入數(shù)目較低，屬于非主流的VPN 技術(shù)，基本已被淘汰。

MPLS VPN：在IP路由和控制協(xié)議的基礎(chǔ)上提供面向連接（基于標(biāo)記）的交換。MPLS VPN需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持 MPLS，所以這種技術(shù)對(duì)網(wǎng)絡(luò)有較為特殊的要求。特別需要強(qiáng)調(diào)的是MPLS VPN的實(shí)施必須由運(yùn)營(yíng)商進(jìn)行。MPLS VPN適用于對(duì)于網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。MPLS VPN的用戶，需要通過(guò)光纖或者以太網(wǎng)接口FR（EDSL）專線接入電信骨干網(wǎng)絡(luò)，MPLS VPN服務(wù)給企業(yè)提供高帶寬的二層透明通路，企業(yè)可以自定義規(guī)劃其網(wǎng)絡(luò)結(jié)構(gòu)和地址。

IPSec VPN：目前市場(chǎng)主流 VPN技術(shù)，由于 IPSec是在 IP 層進(jìn)行加密和封裝，所以在性能表現(xiàn)強(qiáng)勁的同時(shí)，又能支持各種基于 IP 協(xié)議的網(wǎng)絡(luò)應(yīng)用，是國(guó)際上公認(rèn)的 IP 層 VPN技術(shù)標(biāo)準(zhǔn)。IPSec VPN 安全性好，對(duì) IP 應(yīng)用透明，性能高，靈活穩(wěn)定，易于擴(kuò)展，互通性強(qiáng)；適合網(wǎng)間互連（Site To Site）和客戶端接入互連（Client To Site）。但是，局限性主要在于在Client To Site的通訊模式下，移動(dòng)用戶需要安裝專門(mén)的VPN客戶端軟件，增添了使用和維護(hù)的復(fù)雜程度。

SSL VPN：專用于解決客戶端接入互連（Client To Site）的傳輸層VPN技術(shù)。移動(dòng)用戶不需要安裝VPN客戶端軟件，而使用WEB瀏覽器作為登陸方式。SSL VPN安全性好，使用靈活，不受網(wǎng)絡(luò)接入環(huán)境的限制，對(duì)應(yīng)用的控制粒度更細(xì)。但其局限性是：對(duì)許多 C/S應(yīng)用的支持能力較差，性能相對(duì)較低；并且不能滿足網(wǎng)間互連（Site To Site）的VPN連接需求，設(shè)備價(jià)格高昂，且SSL VPN 網(wǎng)關(guān)自身抗攻擊能力差，需要額外的防火墻或安全網(wǎng)關(guān)等防護(hù)設(shè)備的保護(hù)。

3.VPN產(chǎn)品分類

根據(jù)產(chǎn)品應(yīng)用對(duì)象，VPN產(chǎn)品分為：

? 中小型企業(yè)VPN：百兆接口、嵌入式處理器 ? 大中型企業(yè)VPN：百兆接口、嵌入式處理器

? 大型企業(yè)VPN：千兆接口、X86架構(gòu)處理器、集成加密卡

? 面向骨干網(wǎng)絡(luò)和超大型企業(yè)VPN：千兆+光纖接口、至強(qiáng)處理器、集成加密卡

根據(jù)產(chǎn)品采用的技術(shù)，VPN產(chǎn)品分為： ? MPLS VPN ? IPSec VPN ? SSL VPN ? IPSec/SSL VPN

4.VPN產(chǎn)品主要功能

4.1.VPN產(chǎn)品通用功能

SSL VPN的關(guān)鍵技術(shù)包括：Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項(xiàng)技術(shù)的一項(xiàng)或幾項(xiàng)為基礎(chǔ)研發(fā)實(shí)現(xiàn)的。那么，對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言，哪些技術(shù)尤其重要呢? 首先是Web代理技術(shù)。由于用戶需要訪問(wèn)內(nèi)網(wǎng)的Web應(yīng)用，而且希望訪問(wèn)方式盡量簡(jiǎn)便，而只有具備Web代理技術(shù)，SSL VPN產(chǎn)品才能做到100%零客戶端，才能為用戶提供最簡(jiǎn)便的接入方式，因此，Web代理技術(shù)對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言是一項(xiàng)必須技術(shù)，也是SSL VPN產(chǎn)品是否專業(yè)的重要標(biāo)準(zhǔn)之一。

除了Web代理技術(shù)，端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問(wèn)除Web應(yīng)用外，用戶還需要經(jīng)常訪問(wèn)組織內(nèi)部的C/S架構(gòu)應(yīng)用，例如郵件、FTP、文件共享、數(shù)據(jù)庫(kù)、ERP等，這時(shí)，SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)對(duì)C/S應(yīng)用的處理，是再合適不過(guò)的了。

至于應(yīng)用轉(zhuǎn)換技術(shù)，目前國(guó)內(nèi)用戶需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應(yīng)用以Web的形式重新實(shí)現(xiàn)，實(shí)現(xiàn)起來(lái)比較復(fù)雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶的操作習(xí)慣以及控件引用是不合法等一系列問(wèn)題。從另一個(gè)角度來(lái)看，用戶在沒(méi)有使用SSL VPN之前，都已經(jīng)習(xí)慣通過(guò)相應(yīng)的客戶端軟件對(duì)C/S應(yīng)用進(jìn)行訪問(wèn)，在使用SSL VPN后，仍然希望通過(guò)使用原來(lái)的客戶端軟件訪問(wèn)內(nèi)部的各種C/S應(yīng)用。由此看來(lái)，應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國(guó)內(nèi)的用戶，也并非是國(guó)產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術(shù)，由于NC技術(shù)可以實(shí)現(xiàn)SSL VPN與應(yīng)用無(wú)關(guān)的特性，因此客戶端通過(guò)SSL VPN訪問(wèn)內(nèi)部整個(gè)子網(wǎng)的需求仍然存在。然而，在使用該功能時(shí)，需要給客戶端配置虛擬IP地址，這樣一來(lái)，就會(huì)遇到地址規(guī)劃上的一些問(wèn)題，在配置和使用上也比較復(fù)雜。目前，國(guó)內(nèi)已經(jīng)有SSL VPN廠商注意到這個(gè)問(wèn)題，為了更好地滿足用戶對(duì)易用性的要求，采用了一種“網(wǎng)絡(luò)層代理”技術(shù)，客戶端通過(guò)SSL VPN產(chǎn)品訪問(wèn)內(nèi)部整個(gè)子網(wǎng)時(shí)，不需要借助虛擬IP地址，也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向，有效地解決了NC功能配置和使用復(fù)雜的難題。但目前，“網(wǎng)絡(luò)層代理”技術(shù)還存在一個(gè)問(wèn)題，即無(wú)法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用，無(wú)法做到“與應(yīng)用無(wú)關(guān)”。如果有SSL VPN產(chǎn)品能夠同時(shí)具備NC和網(wǎng)絡(luò)代理功能，將會(huì)受到更多國(guó)內(nèi)用戶的青睞。

以上列舉的只是SSL VPN產(chǎn)品的幾項(xiàng)主要技術(shù)，為了更好地滿足國(guó)內(nèi)用戶的需求，SSL VPN產(chǎn)品還必須在功能上進(jìn)一步貼近需求，不斷豐富，主要包括：

豐富的認(rèn)證方式：國(guó)內(nèi)用戶類型眾多，對(duì)認(rèn)證方式和安全性要求也不盡相同。除了基本的本地口令外，動(dòng)態(tài)口令、短信口令、口令+動(dòng)態(tài)附加密、證書(shū)+USBKEY、口令+證書(shū)+USBKEY等多因素認(rèn)證方式也越來(lái)越常見(jiàn)，成為對(duì)SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國(guó)不斷健全，越來(lái)越多的用戶從專業(yè)的CA企業(yè)購(gòu)買服務(wù)，因此國(guó)產(chǎn)SSL VPN產(chǎn)品能否很好地與標(biāo)準(zhǔn)第三方CA系統(tǒng)兼容，能否提供標(biāo)準(zhǔn)OSCP、CRL等證書(shū)校驗(yàn)接口，在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶現(xiàn)有環(huán)境中。

線路優(yōu)化：國(guó)內(nèi)用戶常常向不同的ISP申請(qǐng)了多個(gè)公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個(gè)網(wǎng)口通過(guò)多個(gè)公網(wǎng)IP對(duì)外提供接入訪問(wèn)，并可以根據(jù)接入客戶端的ISP來(lái)源選擇最佳路徑，那么將可以大大提高訪問(wèn)效率，更好地適應(yīng)國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境。

單點(diǎn)登錄：在用戶的內(nèi)網(wǎng)中，OA系統(tǒng)通常都帶認(rèn)證功能，使用者需要提交用戶名及口令才可登錄。加上SSL VPN后，用戶就首先要登錄SSL VPN，然后再次提交認(rèn)證信息登錄OA，導(dǎo)致重復(fù)認(rèn)證過(guò)程。為了簡(jiǎn)化登陸程序，SSL VPN產(chǎn)品應(yīng)該能記錄用戶登錄SSL VPN時(shí)的認(rèn)證信息，在用戶訪問(wèn)OA時(shí)，代替用戶提交認(rèn)證，用戶不需要再次輸入用戶名和口令就可打開(kāi)登錄成功后的頁(yè)面。

端點(diǎn)安全：安裝SSL VPN產(chǎn)品后，端點(diǎn)安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問(wèn)互聯(lián)網(wǎng)，在SSL VPN客戶端注銷后，訪問(wèn)痕跡是否應(yīng)該清理，都是SSL VPN需要重點(diǎn)考慮的幾個(gè)安全問(wèn)題。目前，國(guó)內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對(duì)措施。在客戶端主機(jī)接入之前，先檢測(cè)終端主機(jī)上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運(yùn)行了殺毒軟件等等，如果不滿足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶端主機(jī)訪問(wèn)隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶注銷后，還會(huì)自動(dòng)清除此次的訪問(wèn)痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實(shí)現(xiàn)帳號(hào)和客戶端主機(jī)特征綁定以及防偽造功能等，將可以進(jìn)一步提高客戶端的端點(diǎn)安全性。

應(yīng)用層防御：SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品，因此應(yīng)用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問(wèn)等功能已經(jīng)出現(xiàn)在一些國(guó)內(nèi)品牌發(fā)上限控制功能，保障了應(yīng)用服務(wù)系統(tǒng)。安全審計(jì)：而言，SSL VPN哪個(gè)用戶、在什么時(shí)間，在什么地理位置通過(guò)哪個(gè)什么服務(wù)，訪問(wèn)了哪些條件(如時(shí)間范圍、瀏覽和下載。4.2.安達(dá)通4.2.1.特色功能? IPSec over HTTPS/HTTP ? 隧道接力技術(shù)? 虛地址互聯(lián)技術(shù)? 自動(dòng)路由技術(shù)? 多播隧道技術(shù)? 準(zhǔn)入控制技術(shù)? 動(dòng)態(tài)口令短信認(rèn)證技術(shù)4.2.2.負(fù)載均衡功能? 智能均衡上網(wǎng)技術(shù)SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號(hào)的最大并有效防止了一個(gè)賬號(hào)惡意產(chǎn)生大量連接的DoS攻擊行為，有效

SSL VPN產(chǎn)品相對(duì)傳統(tǒng)VPN的優(yōu)勢(shì)之一就是審計(jì)更加詳細(xì)。相比IP地址。在日志中應(yīng)該可以記錄ISP登錄了SSL VPN，訪問(wèn)了Web頁(yè)面等等。另外，SSL VPN產(chǎn)品還應(yīng)該提供基于各種關(guān)鍵字等)的查詢功能，甚至可以根據(jù)時(shí)間范圍生成報(bào)表提供VPN產(chǎn)品主要功能

技術(shù)

產(chǎn)品更關(guān)注賬號(hào)而不僅僅只是 ? VPN多點(diǎn)接入和均衡技術(shù) ? VPN鏈路備份技術(shù)

4.2.3.VPN 移動(dòng)接入加速系統(tǒng)功能 4.2.4.防火墻功能

? 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù) ? 狀態(tài)檢測(cè)防火墻技術(shù) ? HTTP 檢測(cè)技術(shù) ? IP-MAC地址綁定技術(shù) ? 內(nèi)網(wǎng)用戶認(rèn)證技術(shù) ? IDS聯(lián)動(dòng)技術(shù)

4.2.5.其他功能

? 雙機(jī)熱備 ? 流量控制 ? 路由支持 ? 配置和升級(jí)管理 ? 日志管理

5.VPN典型應(yīng)用

5.1.單臂連接模式

“單臂連接”模式是用戶已有防火墻等設(shè)備時(shí)安達(dá)通首推的部署方式?！皢伪圻B接”模式指的是安全網(wǎng)關(guān)只接一個(gè)口到內(nèi)網(wǎng)交換機(jī)中，另外一個(gè)口不接線，即把安全網(wǎng)關(guān)設(shè)備當(dāng)作一臺(tái)服務(wù)器或主機(jī)，專門(mén)處理 VPN 報(bào)文的加解密。從實(shí)現(xiàn)技術(shù)上而言，單臂連接結(jié)合了串行連接和并行連接兩者的優(yōu)勢(shì)，實(shí)現(xiàn)了部署和性能的最優(yōu)化。在實(shí)施時(shí)，需要在防火墻（路由器）上為安全網(wǎng)關(guān)做靜態(tài)端口映射（靜態(tài) NAPT），同時(shí)也需要在防火墻（路由器）上添加靜態(tài)路由來(lái)解決要通過(guò)VPN的數(shù)據(jù)包正確流向的問(wèn)題。

結(jié)合”自動(dòng)路由”技術(shù)，單臂連接方式能在對(duì)用戶環(huán)境最小改動(dòng)的前提下部署 VPN，大大增加了VPN設(shè)備對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)能力。

單臂連接實(shí)際案例配置示意圖如下所示：

上圖示例中總部局域網(wǎng)利用一臺(tái)防火墻通過(guò)光纖接入互聯(lián)網(wǎng)，防火墻外口 IP 地址為218.1.1.1，內(nèi)口IP 地址為192.168.1.1，現(xiàn)僅將安全網(wǎng)關(guān)的LAN 口接到內(nèi)網(wǎng)交換機(jī)。安全網(wǎng)關(guān)工作在路由模式下，LAN口IP 地址 192.168.1.254，WAN口任意設(shè)置一個(gè) IP 地址，比如為 1.1.1.1，總部?jī)?nèi)網(wǎng)只有一個(gè)子網(wǎng) 192.168.1.0/24。該單位有一異地分部，采用 ADSL 接入互聯(lián)網(wǎng)，并使用 SJW74A 安全網(wǎng)關(guān)作為接入設(shè)備，內(nèi)網(wǎng)也只有一個(gè)子網(wǎng)為 192.168.2.0/24。通過(guò)這樣的部署，可實(shí)現(xiàn)該分部與總部子網(wǎng)的 VPN 互連。同時(shí)還可實(shí)現(xiàn)移動(dòng)客戶端的遠(yuǎn)程接入（如上圖），客戶端的私有 IP 地址為172.16.1.1-10。

5.2.路由模式

“路由模式”是指VPN網(wǎng)關(guān)內(nèi)外網(wǎng)接口路由不同，網(wǎng)關(guān)本身要作為路由器或NAT 轉(zhuǎn)換設(shè)備，實(shí)現(xiàn)路由轉(zhuǎn)發(fā)以及對(duì)內(nèi)提供上網(wǎng)和對(duì)外提供服務(wù)等工作。一般用于新建的網(wǎng)絡(luò)中或者用戶準(zhǔn)備用VPN網(wǎng)關(guān)替代原有路由器/防火墻的地方。通過(guò)使用安達(dá)通自帶的初始化向?qū)Чぞ呖梢苑浅：?jiǎn)便的部署“路由模式”網(wǎng)關(guān)，典型部署示意如下圖：

上圖示例中，VPN 安全網(wǎng)關(guān)作為總部局域網(wǎng)的出口，對(duì)內(nèi)提供上網(wǎng)服務(wù)，對(duì)外提供 VPN接入服務(wù)。內(nèi)部 192.168.1.X 的 PC 用戶默認(rèn)網(wǎng)關(guān)指向 VPN 內(nèi)網(wǎng)口 192.168.1.1，通過(guò) NAT 映射訪問(wèn)公網(wǎng)和其他VPN子網(wǎng)。

5.3.透明模式

“透明模式”又稱為“網(wǎng)橋模式”，是指安全網(wǎng)關(guān)接入在防火墻（路由器）與內(nèi)網(wǎng)之間，透明轉(zhuǎn)發(fā)除VPN報(bào)文之外所有數(shù)據(jù)的一種連接方式。

安達(dá)通 VPN 安全網(wǎng)關(guān)的“透明模式”主要分成鏈路層協(xié)議的學(xué)習(xí)功能，報(bào)文的接收和轉(zhuǎn)發(fā)功能。對(duì)于透明模式下收到的報(bào)文，根據(jù)其目的 MAC地址可以分為,發(fā)往網(wǎng)關(guān)自身的報(bào)文、廣播報(bào)文和發(fā)往其他的報(bào)文，由于透明模式僅僅對(duì) VPN 報(bào)文進(jìn)行加密，其他報(bào)文在出入端口上進(jìn)行完整復(fù)制，所以保證了鏈路的透明性和 VPN的安全性。

以某商業(yè)銀行網(wǎng)絡(luò)的 VPN安全網(wǎng)關(guān)部署為例。所有的安達(dá)通安全網(wǎng)關(guān)均部署在防火墻/路由器之后，工作在“透明”模式下。安裝這些安全網(wǎng)關(guān)設(shè)備的前后，原有網(wǎng)絡(luò)系統(tǒng)：路由器、PC、Server 等沒(méi)有調(diào)整過(guò)任何配置，就實(shí)現(xiàn)了各分行和總行之間數(shù)據(jù)傳輸加密?！巴该髂Ｊ健辈渴鸬陌策_(dá)通 VPN 安全網(wǎng)關(guān)的 WAN 和 LAN 口 IP 是和本地內(nèi)網(wǎng)同一網(wǎng)段的未被使用的IP 地址。如下圖示意： 6.VPN與TPN是，可信專用網(wǎng)防護(hù)、VPN接入、全網(wǎng)行為管理、主機(jī)安全管理等組成?？尚艑Ｓ镁W(wǎng)威脅”、“邊界威脅”、“主機(jī)威脅”和“接入威脅”的統(tǒng)一管理。企業(yè)對(duì)VPN分布在異地的局域網(wǎng)絡(luò)進(jìn)行互聯(lián)。隨著網(wǎng)絡(luò)互聯(lián)的進(jìn)行，的基礎(chǔ)設(shè)施。

這些基礎(chǔ)設(shè)施，安全可信是最重要的。可信平臺(tái)建設(shè)包括了邊界、內(nèi)網(wǎng)、主機(jī)、接入等部分。目前來(lái)看，企業(yè)可以用各種技術(shù)來(lái)確保這四部分成為有機(jī)整體。網(wǎng)技術(shù)TPN.TPN互聯(lián)以后全網(wǎng)的可信任安全平臺(tái)。目前來(lái)看，能：包括虛擬專網(wǎng)、防火墻、入侵檢測(cè)、漏洞掃描、病毒防護(hù)、網(wǎng)絡(luò)審計(jì)、身份認(rèn)證、桌面安全等。網(wǎng)絡(luò)邊界防護(hù)力度不夠、分支機(jī)構(gòu)的統(tǒng)一、垃圾郵件和病毒、越權(quán)訪問(wèn)密、非法接入TPN（Trusted 系統(tǒng)通過(guò)對(duì)“用戶—角色—資源”的集中描述，因?yàn)樾畔⒌墓蚕碛芯W(wǎng)絡(luò)互聯(lián)的需求，整個(gè)網(wǎng)絡(luò)平臺(tái)已經(jīng)越來(lái)越成為企業(yè)以及政府單位運(yùn)行VPN的主要區(qū)別，TPN模型需要實(shí)現(xiàn)所有傳統(tǒng)安全設(shè)備所提供的安全功而TPN應(yīng)對(duì)的問(wèn)題則包括了：實(shí)現(xiàn)“內(nèi)網(wǎng)

客觀上需要將從而產(chǎn)生/盜取機(jī)

TPN

Private Network）系統(tǒng)的簡(jiǎn)稱，由邊界

TPN都不會(huì)陌生，而安達(dá)通在其中提供的就是可信專用與就在于融合了可信任的內(nèi)網(wǎng)技術(shù)，一套完整的遠(yuǎn)程接入用戶帶進(jìn)木馬和病毒、/非法外聯(lián)、補(bǔ)丁和病毒庫(kù)的統(tǒng)一升級(jí)、以及聊天、游戲、下載等網(wǎng)絡(luò)濫用。