第一篇：軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)用設(shè)想

軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)用設(shè)想(1)

摘 要 VPN是一項迅速發(fā)展起來的新技術(shù)，其在電子商務(wù)、公司各部門信息傳送方面已經(jīng)顯現(xiàn)出了很大的發(fā)展?jié)摿?。相信將來其在軍隊院校信息化建設(shè)和信息安全傳輸上也能發(fā)揮應(yīng)有的作用。關(guān)鍵詞 VPN；虛擬專用網(wǎng)；SSL VPN；IPSec VPN1 引言 VPN(Virtual Private Network)即虛擬專用網(wǎng)，是一項迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡(luò)連接通常由客戶機、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。2 隧道技術(shù)的實現(xiàn) 假設(shè)某公司在相距很遠的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網(wǎng)進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。圖1 現(xiàn)在設(shè)部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機X發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報，并轉(zhuǎn)發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。3 軍隊院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想 隨著我軍三期網(wǎng)的建設(shè)，VPN技術(shù)也可廣泛應(yīng)用于軍隊院校的校園網(wǎng)建設(shè)之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達要做到安全可靠，采用VPN技術(shù)會大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃裕坏诙?，軍隊院校不但有各教研室和學(xué)員隊，還包括保障部隊、管理機構(gòu)等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術(shù)可簡化網(wǎng)絡(luò)的設(shè)計和管理；第三，采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊院校的用戶通過軍隊網(wǎng)訪問本校圖書館查閱資料提供便利。而VPN技術(shù)的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協(xié)議(PAP)、質(zhì)詢握手身份驗證協(xié)議(CHAP)、Shiva密碼身份驗證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗證協(xié)議(MS-CHAP)和可選的可擴展身份驗證協(xié)議(EAP)，并且采用微軟點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)包進行加密。對于敏感的數(shù)據(jù)，還可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進行分隔，只有擁有適當(dāng)權(quán)限的用戶才能通過遠程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術(shù)的主要特點之一，可以讓外地的授權(quán)用戶方便地訪問本地的資源。目前，主要的VPN技術(shù)有IPSec VPN和SSL VPN兩種。其中IPSec技術(shù)的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當(dāng)找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進行加密

和認證。而SSL VPN技術(shù)則是近幾年發(fā)展起來的新技術(shù)，它能夠更加有效地進行訪問控制，而且安全易用，不需要高額的費用。該技術(shù)主要具有以下幾個特點：第一，安全性高；第二，便于擴展；第三，簡單性；第四，兼容性好。

我認為軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSL VPN技術(shù)。首先因為其安全性好，由于IPSec VPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的，只要是通過了IPSec VPN網(wǎng)關(guān)，它可以在內(nèi)部為所欲為。因此，IPSec VPN的目標是建立起來一個虛擬的IP網(wǎng)，而無法保護內(nèi)部數(shù)據(jù)的安全，而SSL VPN則是接入企業(yè)內(nèi)部的應(yīng)用，而不是企業(yè)的整個網(wǎng)絡(luò)。它可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限，從而保護具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來保證。對于軍隊機構(gòu)，安全保密應(yīng)該是主要考慮的方面之一。第二，SSL VPN與IPSec VPN相比，具有更好的可擴展性。可以隨時根據(jù)需要，添加需要VPN保護的服務(wù)器。而IPSec VPN在部署時，要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署。第三，操作的復(fù)雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四，SSL VPN的兼容性很好，而不像傳統(tǒng)的IPSec VPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外，使用SSL VPN還具有更好的經(jīng)濟性，這是因為只需要在總部放置一臺硬件設(shè)備就可以實現(xiàn)所有用戶的遠程安全訪問接入；但是對于IPSec VPN來說，每增加一個需要訪問的分支就需要添加一個硬件設(shè)備。

雖然SSL VPN的優(yōu)點很多，但也可結(jié)合使用IPSec VPN技術(shù)。因為這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠程安全接入方面；而IPSec VPN是在兩個局域網(wǎng)之間通過網(wǎng)絡(luò)建立的安全連接，保護的是點對點之間的通信，并且，IPSec VPN工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對終端站點間所有傳輸數(shù)據(jù)進行保護，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴展性更強。可用于軍校之間建立虛擬專用網(wǎng)，進行安全可靠的信息傳送。4結(jié)論

總之，VPN是一項綜合性的網(wǎng)絡(luò)新技術(shù)，目前的運用還不是非常地普及，在軍隊網(wǎng)中的應(yīng)用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求，VPN技術(shù)將會發(fā)揮其應(yīng)有的作用。

參考文獻

[1] 謝希仁.計算機網(wǎng)絡(luò)(第4版).北京：電子工業(yè)出版社，2003

[2] Cisco Systems公司，Cisco Networking Academy Program.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程(第一、二學(xué)期)(第三版).北京：人民郵電出版社，2004

第二篇：校園網(wǎng)VPN規(guī)劃與實現(xiàn)

校園網(wǎng)VPN規(guī)劃與實現(xiàn)

中學(xué)校園網(wǎng)規(guī)劃方案

一． 設(shè)計目標

1.配合當(dāng)前的教學(xué)發(fā)展情況，完成學(xué)校內(nèi)部 Intrannet的配套基礎(chǔ)建設(shè)，將全校的信息資源利用計算機網(wǎng)絡(luò)連接起來，形成一個流暢、合理、可靠、安全的校園網(wǎng)。還應(yīng)針對學(xué)校的教學(xué)特點，具有一些基本的教學(xué)功能，以完成學(xué)校的基本教學(xué)任務(wù)。通過各校校園網(wǎng)絡(luò)的連接，可以更便利地互相交換信息，促進各個學(xué)校間的學(xué)術(shù)交流。

2.通過校園網(wǎng)絡(luò)使教師和科研人員能及時了解國內(nèi)外科技發(fā)展動態(tài)，加強對外技術(shù)合作，促進教學(xué)和科研水平的提高。建立新的通訊方式和環(huán)境，提高工作效率。

二． 設(shè)計原則

1．學(xué)校需求為前提原則：堅持以學(xué)校具體需求為校園網(wǎng)信息系統(tǒng)方案設(shè)計的根本和前提，同時，也要注重源于需求又高于需求的原則，注意用專業(yè)化的技術(shù)思想來進行校園網(wǎng)的規(guī)劃與設(shè)計，確保校園網(wǎng)的實用性、先進性和便于擴展性。

2.設(shè)備選型兼顧原則：滿足學(xué)校對現(xiàn)代化教學(xué)手段的要求；滿足校園網(wǎng)建設(shè)及互聯(lián)網(wǎng)的要求；所選設(shè)備在國際上保持技術(shù)先進性；供應(yīng)商有良好的商業(yè)信譽和優(yōu)質(zhì)的售后服務(wù)。3.堅持標準原則：一切校園網(wǎng)設(shè)計和施工，均要嚴格遵循國際和國家標準。統(tǒng)一規(guī)劃，分步實施。校園網(wǎng)的實現(xiàn)要求通訊協(xié)議、網(wǎng)絡(luò)平臺等應(yīng)具有世界性的開放性和標準化的特點，并且應(yīng)采用統(tǒng)一的網(wǎng)絡(luò)體系結(jié)構(gòu)。

4.堅持先進的成熟的技術(shù)原則：采用通用的、成熟的技術(shù)方案可以降低建設(shè)成本、減小設(shè)計、施工和使用難度、縮短建設(shè)周期。有利于保護投資，并且有利于校園網(wǎng)的維護和升級。選擇品質(zhì)最好的設(shè)備不一定是最佳選擇，成本因素也是一個不容忽視的問題，將品質(zhì)與成本實現(xiàn)最佳匹配。

5.堅持規(guī)范布線，考慮長遠發(fā)展原則：

布線系統(tǒng)使網(wǎng)絡(luò)的重要基礎(chǔ)，布線系統(tǒng)的好壞是衡量一個網(wǎng)絡(luò)好壞的非常重要的標志。布線系統(tǒng)不合理將降低網(wǎng)絡(luò)的可靠性，使網(wǎng)絡(luò)難以管理和維護，所以必須采用標準的綜合布線系統(tǒng)。

6.堅持易于使用和管理原則：

校園網(wǎng)的各種軟件應(yīng)用項目必須易于使用，對最終用戶的起點要求不能太高，一般以熟練使用操作系統(tǒng)、辦公軟件系統(tǒng)、瀏覽器和電子郵件系統(tǒng)為宜；系統(tǒng)的日常管理和維護工作要方便、簡易。網(wǎng)絡(luò)拓撲結(jié)構(gòu)一經(jīng)配置確定，不應(yīng)輕易更改。

7.堅持可擴展性原則：考慮現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價值；選用產(chǎn)品應(yīng)具有最佳性價比，又要應(yīng)充分考慮未來可能的應(yīng)用，具有高擴展性。

三.用戶需求分析

學(xué)校要求如下：

1.建立辦公自動化系統(tǒng) 辦公樓共有40個信息點。要求通過校園網(wǎng)連至INTERNET，達到100

M到桌面，并對財務(wù)科，人事科等科室進行單獨子網(wǎng)管理。

2.建立考試監(jiān)控系統(tǒng)

共有教學(xué)樓3座，120個信息點。

（1）綜合教學(xué)樓一個，60個信息點。其中有10個實驗室，每個實驗室配置1臺PC和1個投影儀（此處無須上網(wǎng)）；20個教室，其中一個教室2個攝像機。

（2）普通教學(xué)樓1：40個信息點，共20個教室，其中一個教室2個攝像機。

（3）普通教學(xué)樓2：20個信息點，共10個教室，其中一個教室2個攝像機。

3.建立綜合多媒體教室

信教中心：共120個信息點。有兩個多媒體教室，每個教室60臺PC。要求可網(wǎng)管，通過校園網(wǎng)上連至INTERNET，達到100M到桌面。

4.為了滿足教職工的需要，提高教職工教學(xué)條件和水平，大力發(fā)展網(wǎng)上教學(xué)，優(yōu)秀科目科件制作等。將教職工宿舍區(qū)的PC通過校園網(wǎng)上連至INTERNET，達到10M到桌面，以后可擴展到100M。

5.學(xué)校校園網(wǎng)建設(shè)所需PC和投影儀有校方自行選擇和安裝。學(xué)生宿舍由于高中階段學(xué)習(xí)生活的特殊性，不進行任何布置。

四． 網(wǎng)絡(luò)規(guī)劃設(shè)計總體方案

（一）校園網(wǎng)絡(luò)拓撲圖

（二）設(shè)計方案

1.網(wǎng)絡(luò)層次結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)采用分層式設(shè)計，共分三層：核心層，ぷ髯椴悖爛娼尤氬?。分查h杓瓶梢允拐鐾繾隕隙戮哂瀉艽蟮牡裕閿誆唄緣奈ず褪凳?。]（1）核心設(shè)備

①設(shè)備名稱：DCS-3926S可堆疊智能安全接入交換機

②基本介紹： 3926S具有24個10/100Mbps自適應(yīng)RJ-45端口和2個模塊擴展插槽（可選插百兆模塊和千兆模塊）可千兆或百兆聚合上聯(lián)至匯聚層交換機或者核心層交換機。

③主要特征：

★高密度和靈活的堆疊

DCS-3900S系列的堆疊帶寬可支持2G到4G,并且支持簡單堆疊、標準堆疊、超級堆疊和混合堆疊。簡單堆疊成本最低。堆疊帶寬2G；標準堆疊使用堆疊模塊，其帶寬擴充至4G；還可以用千兆電口或千兆光口做超級堆疊，可避開堆疊線纜的限制，堆疊帶寬也是4G；同時DCS-3900S系列可以和DCRS-5600S系列、DCRS-5526S交換機做混合堆疊。

★強大的ACL功能

作為新款的L2/4交換機，DCS-3926，S系列交換機提供了完整的ACL策略，可根據(jù)源/目的IP地址、源/目的MAC地址IP協(xié)議類型、TCP/UDP端口號、IP Precendence、時間范圍、ToS對數(shù)據(jù)進行分類，并進行不同的轉(zhuǎn)發(fā)策略。通過ACL策略的實施，用戶可以在接入層交換機過濾掉“沖擊波”、“震蕩波”、“紅色代碼”等病毒包，防止擴散和沖擊核心設(shè)備

★卓越的安全特性

全面的受控組播方案DMCP，可以對源和目的進行安全控制，完整實現(xiàn)了在接入層網(wǎng)絡(luò)中基于IGMP源端口和目的端口的檢查技術(shù)，可完全限制合法組播在

網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應(yīng)用的穩(wěn)定運行；率先支持對特征復(fù)雜(64字節(jié))的應(yīng)用流量的訪問控制，讓用戶可以在各種網(wǎng)絡(luò)的環(huán)境中應(yīng)對出現(xiàn)復(fù)雜情況；監(jiān)控pingSweep等攻擊行為，安全防掃描，并采取防攻擊措施，全面保護交換機和服務(wù)器等網(wǎng)絡(luò)設(shè)施的安全。

★更完美的性價比（DCS-3926S-G）

大多數(shù)接入交換機通過1個千兆光模塊上聯(lián)，為了提高產(chǎn)品的性價比，DCS-3926S-G固化了一個千兆光模塊，可以為用戶節(jié)約開支。

★豐富的QoS策略

DCS-3900S系列交換機為每個端口提供了4個優(yōu)先級隊列，可根據(jù)端口、802.1p、ToS、DSCP、TCP/UDP端口進行流量分類，并分配不同的服務(wù)級別，支持WRR/SP等調(diào)度方式，為語音/數(shù)據(jù)/視頻在同一網(wǎng)絡(luò)中傳輸提供所要求的不同服務(wù)質(zhì)量。

④技術(shù)參數(shù)

★接口形式：24個10/100M端口+ 1個SFP千兆光口/堆疊口

★可選擴展模塊：百兆電/光口模塊；千兆電/光口模塊；堆疊模塊

★堆疊：支持標準堆疊，超級堆疊，混合堆疊。堆疊環(huán)境下，支持跨交換機的端口聚合、端口鏡像、QoS、ACL

★生成樹：802.1D（STP）、802.1w（RSTP）、802.1s（MSTP）★組播協(xié)議：IGMP Snooping&Query

★QoS：每端口4個隊列，支持802.1p，ToS，應(yīng)用端口號，DifferServ，支持WRR/SP等調(diào)度方式

★ACL：支持標準ACL和擴展ACL，支持IP ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP地址、源/目的MAC地址、IP協(xié)議類型、TCP/UDP端口號、IP Precendence、時間范圍、ToS對數(shù)據(jù)進行過濾。

★端口聚合：支持802.3ad，最大可支持6組trunk,每trunk可到8個端口，支持基于目的MAC的負載均衡。

★IEEE802.1x：支持基于端口和MAC地址，支持神州數(shù)碼802.1x整體解決方案，可以實現(xiàn)按時長/流量計費，可以實現(xiàn)用戶帳號、密碼、IP、MAC、VLAN、端口、交換機的嚴格綁定，可以防止代理軟件，防止PC克隆，對客戶發(fā)送通知/廣告，上網(wǎng)時段控制，基于用戶動態(tài)實現(xiàn)VLAN授權(quán)和帶寬授權(quán)，可基于組策略實現(xiàn)動態(tài)IP地址分配而不必使用DHCP服務(wù)器等。

★認證：支持RADIUS ★端口鏡象：支持。

★支持的網(wǎng)絡(luò)標準：IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE 802.3x IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1x IEEE802.1w IEEE 802.1s等堆疊。

（2）工作組設(shè)備

①設(shè)備名稱：DCS-3726S 24口＋2槽可堆疊網(wǎng)管10/100/1000M以太網(wǎng)交換機

②基本介紹：DCS-3726S是神州數(shù)碼網(wǎng)絡(luò)專為校園網(wǎng)互連設(shè)計的一款可網(wǎng)管交換機，可堆疊使用提供很高的端口密度，適用于企業(yè)大中型網(wǎng)絡(luò)組網(wǎng)。它具有24個10/100Mbps自適應(yīng)RJ-45端口和2個模塊擴展插槽（可選插百兆光纖模塊或千兆模塊），可千兆或百兆上聯(lián)至骨干網(wǎng)。DCS-3726S提供有端口

限速功能，使用靈活方便。該交換機還可以下接最多24臺其他交換機實現(xiàn)級聯(lián)以擴展端口數(shù)目。它還支持VLAN、組播、優(yōu)先級、端口聚合和端口鏡像等實用網(wǎng)絡(luò)功能，而且還提供了18Gbps的背板帶寬，實現(xiàn)了數(shù)據(jù)的全線速轉(zhuǎn)發(fā)，消除了網(wǎng)絡(luò)瓶頸，為多用戶接入提供了高性能的網(wǎng)絡(luò)解決方案。

③主要特征：

★24個10/100Base-TX端口

DCS-3726S具有24個固定的10/100Base-TX端口。這些端口均支持Nway標準，可支持10/100Base-TX自適應(yīng)及全雙工/半雙工。

★2個千兆端口

DCS-3726S交換機前面板具有2個插槽，可選插1口百兆模塊或千兆模塊，千兆模塊可支持1000Base-SX、1000Base-LX和1000Base-T標準。所有模塊支持流量控制和全雙工，可處理大量數(shù)據(jù)。千兆端口可將部門網(wǎng)絡(luò)與千兆主干網(wǎng)絡(luò)連接起來，也可以連接高性能服務(wù)器，使得更多用戶可以同時訪問?！?00Base-FX模塊

DCS-3726S插槽可以選插1口100Base-FX（SC）短波或長波模塊，運行于全雙工模式下，可以應(yīng)用于高電磁干擾或通信保密性要求高的場合，通常應(yīng)用于遠距離傳輸。

★大型堆疊，多達 192個10/100Base-TX端口

DCS-3726S交換機最多可以堆疊8臺設(shè)備，堆疊組最多可達192個10/100Base-TX端口，使得網(wǎng)絡(luò)可以靈活擴展，并能夠有效減少網(wǎng)絡(luò)層次，便于大型社區(qū)內(nèi)大量用戶的互聯(lián)接入。

④技術(shù)參數(shù)

★端口聚合（Port Trunking）

DCS-3726S支持端口聚合功能，同時支持802.3ad的標準?？蓪?/3/4個10/100Base-TX端口聚合成一條干路，每條干路支持全雙工模式，交換機最多支持6組端口聚合。

★生成樹（Spanning Tree）

DCS-3726S支持多種生成樹功能，如：802.1D、802.1w、802.1s。Spanning Tree協(xié)議可使LAN自動檢測并解決環(huán)路問題，可提供鏈路的備份。802.1D為基本的Spanning Tree協(xié)議，缺省操作模式是開啟狀態(tài)。DCS-3726S同時支持802.1w快速生成樹模式，可使收斂時間縮短至幾秒內(nèi)。IEEE 802.1s可使IEEE Std 802.1Q的VLAN加入到多個生成樹中，即提供spanning tree per VLAN的功能。

★虛擬網(wǎng)絡(luò)（VLAN）支持虛擬網(wǎng)絡(luò)（VLAN）標準來控制廣播域和網(wǎng)段流量，可以提高網(wǎng)絡(luò)性能、安全性和可管理性。DCS-3726S支持IEEE 802.1q VLAN標記，可基于端口地址來劃分VLAN，最多256個VLAN。通過控制口或網(wǎng)管工作站可以輕松完成結(jié)構(gòu)和設(shè)備的添加、移動和更換?？筛鶕?jù)最大網(wǎng)絡(luò)流量和網(wǎng)絡(luò)安全性來劃分虛擬網(wǎng)絡(luò)。DCS-3726S同時支持GVRP協(xié)議，可實現(xiàn)VLAN組成員動態(tài)注冊，支持基于端口的VLAN劃分管理方式，支持動態(tài)VLAN。生成樹：802.1D（STP）、802.1w（RSTP）、802.1s（MSTP）

★MAC地址過濾：自動學(xué)習(xí)； 動態(tài)和靜態(tài)地址過濾

★管理功能 ： 端口安全 ； Bootp、DHCP客戶 ； 配置文件上載 /下載 ； TFTP固件

升級

（3）桌面接入層設(shè)備

①設(shè)備名稱：神州數(shù)碼 DCS-1024普通交換機

②技術(shù)參數(shù)

★交換機類型：普通交換機

★傳輸速率（Mbps）：10Mbps/100Mbps

★網(wǎng)絡(luò)標準：IEEE802.3 10BASE-T 以太網(wǎng)；IEEE802.3u 100BASE-TX 快速以太網(wǎng)；IEEE802.3x流量控制

★網(wǎng)絡(luò)協(xié)議：CSMA/CD ★ 接口介質(zhì)：10BASE-T： 2對3,4或5類非屏蔽雙絞線（UTP）（≤100m）； EIA/TIA-568 100歐屏蔽雙絞線（STP）（≤100m）。100BASE-TX： 2對或4對5類非屏蔽雙絞線（UTP）（≤100m）； EIA/TIA-568 100歐屏蔽雙絞線（STP）（≤100m）

★傳輸模式：全雙工/半雙工自適應(yīng)

★其他技術(shù)參數(shù)：數(shù)據(jù)傳輸速率：以太網(wǎng)：10Mbps(半雙工)；20Mbps(全雙工)

快速以太網(wǎng)：100Mbps(半雙工)；200Mbps(全雙工)拓撲結(jié)構(gòu)：星型

MAC地址表：8K

最大包過濾/轉(zhuǎn)發(fā)率：每端口14,880pps(10Mbps)；每端口148,800pps(100Mbps)RAM緩沖：2.5M

2.鏈路設(shè)計（包括綜合布線詳細說明）

（1）辦公樓：核心交換機DCS-3926S通過一個千兆口有1000BASE-T4對超五類STP下連服務(wù)器，通過一個千兆口由1000BASE-SX多模光纖下連辦公樓各科室，教師辦公室的工作組交換機，通過一個千兆口由1000BASE-LX多模光纖下連信教中心的工作組交換機，通過一個百兆端口由100BASE-FX多模光纖下連教學(xué)樓工作組交換機，通過一個百兆端口由100BASE-FX多模光纖下連教工宿舍區(qū)工作組交換機。

（2）信教中心：工作組交換機DCS-3726S 通過超五類STP下連桌面接入交換機DCRS-1024。DCRS-1024通過超五類UTP接入PC。（3）教學(xué)樓：工作組交換機DCS-3726S 通過100BASE-FX下連桌面接入交換機DCRS-1024。

DCRS-1024通過超五類UTP接入攝象機和投影儀。

（4）教工宿舍區(qū)：工作組交換機DCS-3726S 通過100BASE-FX下連桌面接入交換機DCRS-1024。DCRS-1024通過超五類UTP接入PC。路由設(shè)計

采用神州數(shù)碼DCR-2501V 多協(xié)議模塊化路由器，確保網(wǎng)絡(luò)的安全性和可靠性。

①設(shè)備名稱：DCR-2501V 多協(xié)議模塊化路由器

②基本介紹：神州數(shù)碼DCR-2501V路由器是神州數(shù)碼網(wǎng)絡(luò)推出的固定配置語音路由器，性能穩(wěn)定可靠。DCR-2501V提供了1個console端口，1個10Base-T以太網(wǎng)口，1個輔助（AUX）端口，2個高速廣域網(wǎng)串口，2路FXS語音端口；DCR-2501V路由器支持常用的廣域網(wǎng)協(xié)議和路由協(xié)議，支持VoIP協(xié)議，支持內(nèi)置強大的防火墻和NAT功能，為用戶提供了更加高速、安全、穩(wěn)定可靠、方便的網(wǎng)際互連設(shè)備，非常適用于中小企業(yè)、政府等遠程分支機構(gòu)語音和數(shù)據(jù)互聯(lián)或Internet接入等。

③主要特征：

（DDR）功能；支持IP Unnumbered，從屬IP和ARP代理功能；支持多種隊列算法以保證服務(wù)質(zhì)量（QoS）的提供；支持Novell IPX路由協(xié)議；支持路由再分配功能；高穩(wěn)定性；提供背對背（Back-to-Back）連接方案，可用于檢測路由器的功能

④技術(shù)參數(shù)

★標準配置

▼ 1個10 Base-T以太網(wǎng)口

▼2個高速串口，支持RS232、V.24、V.35、X.21、EIA530A等電氣標準

▼ 2路FXS語音端口

▼1個Console端口

▼1個輔助（AUX）端口，可進行遠程配置和撥號備份

▼內(nèi)存：DRAM 16 M，可擴充至32M；Flash Memory 2 M，可擴充至4M ▼CPU：32位RISC處理器（MPC860 50MHz）

★協(xié)議和標準

▼以太網(wǎng)接口標準：IEEE802.3 10Base-T標準

▼廣域網(wǎng)接口標準：RS232、V.24、V.35、X.21、EIA530A等電氣標準

▼支持VoIP標準：支持H.323協(xié)議棧，支持 G.729、G.723.1、G.711等多種語音編碼壓縮標準，支持T.38傳真協(xié)議和Bypass方式的傳真應(yīng)用。

▼幀中繼標準：ITU-T Q933Annex A、ANSI T1.617Annex D、兼容CISCO標準

▼廣域網(wǎng)協(xié)議：HDLC、PPP、MP、Frame-Relay(DTE/DCE)、X.25(DTE/DCE)▼路由協(xié)議：靜態(tài)路由、RIP（包括RIP v1、RIP v2）、OSPF、Novell IPX路由協(xié)議

▼用戶安全認證協(xié)議：PAP、CHAP、MS-CHAP、RADIUS、TACACS+

★管理維護

提供Show、Ping、TraceRoute、Debug等命令，用于察看、測試網(wǎng)絡(luò)的可達性，診斷網(wǎng)絡(luò)故障；支持Telnet遠程配置與管理；支持SNMP、RMON等網(wǎng)絡(luò)管理協(xié)議；支持HTTP協(xié)議，用戶可以通過Web界面對路由器進行配置、維護

4.安全設(shè)計

可啟用標準或擴展訪問控制列表進行數(shù)據(jù)報或數(shù)據(jù)段控制，在內(nèi)外網(wǎng)口設(shè)置一臺DCFW-1800S-L 小型企業(yè)級百兆防火墻保證整個網(wǎng)絡(luò)抵御來自內(nèi)，外網(wǎng)的攻擊。

①設(shè)備名稱：DCFW-1800S-L 小型企業(yè)級百兆防火墻

②基本介紹：神州數(shù)碼DCFW-1800S-L防火墻專為中小企業(yè)分支機構(gòu)、SOHO辦公、中小學(xué)校的網(wǎng)絡(luò)而設(shè)計，以功能實用、接入靈活、配置方便快捷、性能穩(wěn)定為設(shè)計原則，使復(fù)雜的網(wǎng)絡(luò)安全實施得以簡化。它充分考慮中小型用戶特點，支持VLAN環(huán)境、支持PPPOE與DHCP，集成防火墻、VPN，內(nèi)容過濾，為中小企業(yè)的網(wǎng)絡(luò)安全實現(xiàn)提供了經(jīng)濟的解決方案。

③主要特征：

★讓中小型用戶、分支機構(gòu)享受無以倫比的性價比

★輕松部署，支持PPPoE協(xié)議，提供ADSL/ISDN接入方式

★設(shè)置簡潔，通過瀏覽器可以輕松完成功能配置

★支持DHCP服務(wù)器功能，節(jié)省用戶網(wǎng)絡(luò)管理投資，支持無地址接入

★集成VPN，可以進行隧道認證及數(shù)據(jù)加密，保護了企業(yè)機密同時降低了溝通成本

★集成內(nèi)容過濾、郵件過濾，防止非法信息、惡意腳本及垃圾郵件；集成防拒絕服務(wù)網(wǎng)關(guān)，提供攻擊檢測及攻擊抵御

★支持用戶認證；支持應(yīng)用層日志及加密日志存儲，有效審計進出網(wǎng)絡(luò)的敏感信息

④技術(shù)參數(shù)

★工作模式：路由、透明、NAT

★內(nèi)容過濾：URL、郵件、指令、ActiveX/Java, 詭異木馬探測

★支持：網(wǎng)絡(luò)安全域結(jié)

構(gòu)體系；PPPoE協(xié)議；DHCP Relay，DHCP Server；防拒絕服務(wù)網(wǎng)關(guān)；VPN功能

★最大并發(fā)連接數(shù)：300,000 ★網(wǎng)絡(luò)吞吐量：150M ★VPN隧道數(shù)：10 ★VPN撥號用戶：10 ★策略數(shù)：300

5.管理設(shè)計（包括詳細管理軟件說明）

①設(shè)備名稱：神州數(shù)碼LinkManager

②基本介紹：LinkManager 網(wǎng)管系統(tǒng)是一套基于Windows NT平臺的高度集成、功能較完善、實用性強、方便易用的全中文用戶界面網(wǎng)絡(luò)管理系統(tǒng)。它是神州數(shù)碼網(wǎng)絡(luò)有限公司根據(jù)中國用戶的實際需求，遵循ISO網(wǎng)絡(luò)管理模型的五大功能域（性能管理、配置管理、故障管理、計費管理及安全管理）的架構(gòu)，自行組織研發(fā)出來的一套具有自有知識產(chǎn)權(quán)的網(wǎng)管系統(tǒng)。LinkManager 具有既面向指定設(shè)備，又支持通用網(wǎng)絡(luò)設(shè)備的“垂直＋水平”的管理特性。也就是說，它能夠?qū)ι裰輸?shù)碼網(wǎng)絡(luò)有限公司推出的具有SNMP功能的網(wǎng)絡(luò)設(shè)備提供齊全的設(shè)備管理和功能管理，同時也能夠良好地支持其他任何具有通用SNMP功能的網(wǎng)絡(luò)設(shè)備，提供整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和常用網(wǎng)絡(luò)管理信息。

③主要特征：

★提供兩套視圖－物理視圖及邏輯視圖，可滿足操作員的不同需求：

▼對于希望了解當(dāng)前網(wǎng)絡(luò)拓撲邏輯結(jié)構(gòu)的操作員，系統(tǒng)采用傻瓜方式，以默認形式為用戶自動繪制出整個網(wǎng)絡(luò)的邏輯視圖，不需用戶干預(yù)。

▼對于只想掌控自己關(guān)心的網(wǎng)絡(luò)設(shè)備的操作員，系統(tǒng)采用DIY 方式，支持操作員按物理連接或自己隨意的自組物理視圖；

▼自動繪制出的網(wǎng)絡(luò)拓撲圖還可以通過另存為的方式供操作員修改；

★提供兩種設(shè)備添加方式，增強操作員在自組物理視圖時的DIY手段：

▼強大的自動發(fā)現(xiàn)功能，具有對第二層、第三層及應(yīng)用層設(shè)備的自動識別能力，能準確定位神州數(shù)碼品牌的網(wǎng)絡(luò)設(shè)備；

▼按操作員興趣手動添加連入網(wǎng)絡(luò)的設(shè)備，支持操作員選擇不同的設(shè)備類型；

★提供兩種視圖的層次結(jié)構(gòu)組織，紋理清晰： ▼ 在自動方式中，邏輯視圖的層次結(jié)構(gòu)由各層子網(wǎng)、網(wǎng)絡(luò)設(shè)備及其設(shè)備特性構(gòu)成；

▼ 在 DIY方式中，物理視圖的層次結(jié)構(gòu)由子圖、網(wǎng)絡(luò)設(shè)備及其設(shè)備特性構(gòu)成；

★提供網(wǎng)絡(luò)設(shè)備的圖形標記，用作設(shè)備的屬性、特征、狀態(tài)標識：

▼各被管設(shè)備類型在視圖中都擁有自己的屬性標志圖符；

▼ 各被管設(shè)備在視圖中都擁有自己的三色狀態(tài)標識；

▼ 各神州數(shù)碼品牌的網(wǎng)絡(luò)設(shè)備都擁有逼真的面板圖，真實反映接口狀況及實際連接；

▼ 在兩個視圖中，各設(shè)備的圖形標識具有一致性；

★友好的用戶界面

▼周到的拓撲圖發(fā)現(xiàn)方式適合操作員的不同需求；

▼采用操作員熟悉的Windows界面風(fēng)格及操作方式；

▼按照中國用戶的思維習(xí)慣組織

的管理內(nèi)容；

▼適當(dāng)?shù)漠a(chǎn)品定位，高度的集成化，將功能統(tǒng)一在同一界面內(nèi)，可使操作員免于因功能模塊散亂而引起的無所適從。

④技術(shù)參數(shù)

★硬件平臺 ▼ Intel Pentium或以上的處理器；

▼64M或以上的內(nèi)存；

▼帶有SVGA圖形卡的800*600顯示器，現(xiàn)僅支持小字體；

▼ 剩余磁盤空間：50MB以上；

▼網(wǎng)絡(luò)適配卡；

▼ 光驅(qū)。

★網(wǎng)絡(luò)平臺

▼安裝并配置了TCP/IP協(xié)議；

▼ 以神州數(shù)碼網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)設(shè)備為主，同時兼容其它廠家SNMP設(shè)備。

▼ 能夠為下述神州數(shù)碼網(wǎng)絡(luò)有限公司的網(wǎng)絡(luò)設(shè)備提供齊全的設(shè)備管理和功能管理：

以太網(wǎng)交換機包括DCRS-7515、DCRS-7508、DCRS-7504、DCRS-6512、DCS-3652、DCS-3628S、DCS-3426、LRS-6706G/LRS-6626、DES-6000、DES-3326、DES-3624i、DES-3225G、DHS-3226；路由器包括DCR-3660、DCR-2650、DCR-2630、DCR-1750、DCR-1720、DCR-2511、DCR-2509、DCR-2501。

★操作系統(tǒng)平臺

可選以下操作系統(tǒng)平臺：

▼ Microsoft Windows NT 4.0（Workstation或Server，Service Pack 6）；

▼ Microsoft Windows 2000（Professional或Server）。

★其它支持軟件 ▼Microsoft Internet Explorer 4.0版本或以上版本，必須預(yù)先安裝；

▼Acrobat Reader 4.0版本或以上版本，必須預(yù)先安裝。

6.考試監(jiān)控系統(tǒng)設(shè)計

建立經(jīng)濟可用的考試監(jiān)控系統(tǒng)，采用tovi圖威MP-5020硬盤錄象機，韓國威視特光電科技彩色轉(zhuǎn)黑白半球型攝像機VT-BW308。

ⅰ.①設(shè)備名稱：tovi圖威MP-5020硬盤錄象機

②基本介紹：20路音/視頻同步實時壓縮

③基本功能：

★錄像壓縮比大，數(shù)據(jù)量在 50M/h至190M/h之間；

★多工操作，支持監(jiān)視、壓縮、錄像、回放等同步工作；

★系統(tǒng)自動運行，錄像和自檢跳過損壞硬盤，支持無人職守；

★掉電保護錄像資料，防止錄像丟失；

★支持操作系統(tǒng)屏蔽、多用戶權(quán)限管理和日志記錄，提高系統(tǒng)安全性；

★支持控制多種解碼器及矩陣；

★任意畫面滿屏顯示和切換顯示功能；

★實時顯示系統(tǒng)工作的各類狀態(tài)信息，顯示畫面疊加日期時間和字符；

★視頻丟失、事件錄像、硬盤狀態(tài)和報警等信息提示；

★提供現(xiàn)場監(jiān)聽和監(jiān)視抓拍功能；

★可調(diào)整監(jiān)視圖象畫質(zhì)；

★提供報警、移動、定時和手動等事件錄像類型，支持預(yù)錄像；

★錄像分辨率可選 352x288(CIF)和176x144(QCIF)；

★可調(diào)整錄像質(zhì)量、畫質(zhì)、數(shù)據(jù)量和錄像幀率； ★錄像畫面疊加日期時間和字符，支持畫面局部遮蔽；

★支持多硬盤自動盤滿循環(huán)錄像；

★設(shè)置錄像文件打包的時間間隔；

④技術(shù)參數(shù)

★操作系統(tǒng)：Windows2000 ★壓縮格式：H.264 ★視頻輸入：20路視頻

★音頻輸入：20路音頻

★錄像速度：500幀/秒

★系統(tǒng)分辯率：7

04*576 /384*288 ★畫面分割：1、4、8、12、16、20 ★硬盤標配：200G

★錄像模式：手動、自動循環(huán)、報警驅(qū)動、移動偵測

ⅱ.①設(shè)備名稱：韓國威視特光電科技彩色轉(zhuǎn)黑白半球型攝像機VT-BW308。

②技術(shù)參數(shù)

★Specification：VT-BW307 ★攝像器件：1/3'Sony CCD

★水平分辨率：彩色 480 Line 黑白6000line ★視頻輸出：1Vp-p75Ω Negative ★自動白平衡：自動白平衡

★背光補償：自動背光補償

★最低照度：彩色：0.01LUX；黑白0.01lux ★電子快門：PAL:1/50-1/100000sec

第三篇：VPN代理進入校園網(wǎng)方法

之前西湖論壇上有一位師兄發(fā)過一個軟件，能讓電信網(wǎng)用戶進入校園網(wǎng)，但由于這個軟件有很多的兼容性問題，所以很多同學(xué)都沒辦法實現(xiàn)。

師兄的軟件是幫我們建立一個VPN代理，那我們可以自行建立代理，以進入校園網(wǎng)。以下是WIN7建立VPN代理的教程。

首先，我們進入網(wǎng)絡(luò)和共享中心

設(shè)置新的連接或網(wǎng)絡(luò)

選擇連接到工作區(qū)

選擇下圖選項

這里需要我們填寫Internet地址，這時我們填寫上次師兄給的IP 也就是113.106.216.154，下一步

用戶名跟密碼都用師兄給的那個，賬號

vpdnuser 密碼hello

填寫完畢后，點擊連接即可

我們檢查看看VPN是否已經(jīng)成功建立，并順利連接

接下來我們就可以登錄教務(wù)系統(tǒng)了

第四篇：VPN技術(shù)的學(xué)習(xí)總結(jié)

VPN技術(shù)的學(xué)習(xí)總結(jié)

在網(wǎng)絡(luò)安全課程的學(xué)習(xí)過程中，我對網(wǎng)絡(luò)安全有了一些了解和認識。特別是它的基礎(chǔ)概念，網(wǎng)絡(luò)安全的具體要求，安全通信模型以及目前廣泛使用的安全技術(shù)等知識。其中VPN技術(shù)是目前安全通信中既能保證一定的安全性又具有經(jīng)濟性的一項技術(shù)，因此它目前的市場應(yīng)用十分廣泛。所以在學(xué)習(xí)完這門課程后，我想對所有學(xué)過的知識做一個梳理，然后把我比較感興趣的VPN技術(shù)做深入一些的學(xué)習(xí)和整理。

1.網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)上存儲和傳輸?shù)男畔①Y源的安全性。而其安全性包括計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)正常運行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全的威脅包括：計算機病毒，蠕蟲，木馬，拒絕服務(wù)攻擊，邏輯炸彈，后門和隱蔽通道等。

在網(wǎng)絡(luò)信息傳輸?shù)倪^程中，信息的安全特性包括：機密性，完整性，可用性，不可否認性，可控性，可審查性，可恢復(fù)性。只有在滿足了以上特性的信息傳輸才被認為是安全的。因此相對應(yīng)于各個安全特性，網(wǎng)絡(luò)安全服務(wù)需要做到的有：認證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)機密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可否認服務(wù)。在認證服務(wù)中，需要提供某個實體（人或系統(tǒng)）的身份保證，確保通信實體就是它們所聲稱的實體。使用口令是一種提供認證的熟知方法，數(shù)字證書和簽名也可以提供信息發(fā)送方的身份認證。認證是對付假冒攻擊的有效方法；

訪問控制服務(wù)中，要能夠防止對系統(tǒng)資源（如計算資源、通信資源或信息資源）的非授權(quán)訪問和非授權(quán)使用，確保只有授權(quán)的實體才能訪問授權(quán)的資源。訪問控制直接支持機密性、完整性、可用性以及合法使用等安全目標。訪問控制系統(tǒng)的關(guān)鍵是制定訪問控制策略。它是系統(tǒng)安全防范中應(yīng)用最普遍和最重要的安全機制,可提供機密性和完整性服務(wù)。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時，根據(jù)每個用戶的任務(wù)特點使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。

數(shù)據(jù)機密性服務(wù)，能夠保護信息不泄漏或不暴露給那些未授權(quán)掌握這一信息的實體（人或組織），確保授權(quán)實體才能理解受保護的信息，防止傳輸?shù)臄?shù)據(jù)遭到竊聽、流量分析等被動攻擊。機密性服務(wù)是通過加密機制來實現(xiàn)的，目前已有多種加密算法來保護數(shù)據(jù)的安全，可以根據(jù)不同的需求在網(wǎng)絡(luò)結(jié)構(gòu)的不同層次來實現(xiàn)。比如：若需保護全部通信業(yè)務(wù)流的機密性，可在物理層加密；若希望對端系統(tǒng)到端系統(tǒng)之間的通信進行保護，可在網(wǎng)絡(luò)層加密。有時也可根據(jù)多個需求，在多個層次上提供加密。

數(shù)據(jù)完整性服務(wù)，是用來維護信息的一致性防止對信息的非授權(quán)篡改和破壞，使消息的接受者能判斷消息是否被修改或被攻擊者用假消息替換。數(shù)據(jù)完整性可以通過安全協(xié)議中的認證頭AH協(xié)議，ESP協(xié)議，MAC算法等來保證。

不可否認服務(wù)，其目的是保護通信用戶免遭來自系統(tǒng)中其他合法用戶的威脅，而不是來自未知攻擊者的威脅。通過公證機制的數(shù)字證書和時間戳可以保證信息發(fā)送方對發(fā)出的消息不能抵賴。

2.虛擬專用網(wǎng)VPN技術(shù)

虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)是在公共傳輸網(wǎng)絡(luò)中采用隧道技術(shù)，形成邏輯私有的通訊網(wǎng)絡(luò)的技術(shù)。這樣對通信安全要求高的用戶就不需要向網(wǎng)絡(luò)運營商要求單獨牽一條專線，可以節(jié)省不少成本。VPN可實現(xiàn)數(shù)據(jù)公網(wǎng)傳輸?shù)臋C密性、完整性，對通信雙方的身份進行認證，并可解決異構(gòu)網(wǎng)傳輸問題等。VPN可工作在很多層次，如工作在鏈路層的鏈路密碼技術(shù)，工作在IP層的IPSEC VPN，GRE封裝，工作在傳輸層的SSL VPN等。2.1.VPN系統(tǒng)的組成

VPN系統(tǒng)由以下七個部分組成，VPN服務(wù)器：接受來自VPN客戶機的連接請求。VPN客戶機：終端計算機或者路由器。隧道：數(shù)據(jù)傳輸通道，其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標準。VPN連接：在VPN連接中，數(shù)據(jù)必須經(jīng)過加密。傳輸數(shù)據(jù)：經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò)：如Internet，也可以是其他共享型網(wǎng)絡(luò)。下圖一直觀的顯示了VPN系統(tǒng)的組成。

圖一 VPN系統(tǒng)的組成

2.2.VPN系統(tǒng)通信流程與功能

首先，需要保護的主機發(fā)送明文信息到其VPN設(shè)備，其VPN設(shè)備根據(jù)管理員設(shè)置的規(guī)則,確定是對數(shù)據(jù)加密還是直接傳送。如果是需要加密的數(shù)據(jù),VPN 設(shè)備將其整個數(shù)據(jù)包進行加密和簽名,加上新的數(shù)據(jù)報頭(包括目的地VPN設(shè)備需要的安全信息和初始化參數(shù))重新封裝;封裝后的數(shù)據(jù)包通過隧道在公網(wǎng)上傳輸;然后數(shù)據(jù)包到達目的VPN設(shè)備,收端VPN設(shè)備將數(shù)據(jù)包解封,核對簽名后,將數(shù)據(jù)包解密。

實現(xiàn)的基本功能有五項，分別是身份鑒別：包括驗證用戶的身份，限制非授權(quán)用戶的時候訪問了什么資源。不同的用戶對不同的資源應(yīng)有不同的訪問權(quán)限；地址管理：為每個客戶分配一個地址，并保證地址對虛擬專用網(wǎng)外的不可見性；數(shù)據(jù)加密：保證通過公共網(wǎng)絡(luò)傳送的信息即使被他人截獲也不會泄密；密鑰管理：能夠為VPN的客戶和服務(wù)器生成和更新加密密鑰；多協(xié)議支持：VPN必需能夠處理公共網(wǎng)絡(luò)常用的各種協(xié)議，包括IP、IPX等等； 2.3.VPN系統(tǒng)的分類

Intranet VPN：用于集團的總部和多個分支機構(gòu)之間；分支機構(gòu)網(wǎng)絡(luò)是集團總部網(wǎng)絡(luò)的可靠延伸；

Extranet VPN：為集團的供貨商、重要客戶和消費者等商業(yè)伙伴提供訪問權(quán)限；電子商務(wù)是Extranet VPN的一種特殊形式；

Access VPN：為移動用戶遠程訪問集團總部網(wǎng)絡(luò)提供服務(wù)； 2.4.關(guān)鍵技術(shù)

隧道技術(shù)：VPN的核心技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道由隧道協(xié)議形成，常用的有2、3層隧道協(xié)議。

密碼技術(shù)（由下面三項技術(shù)組成）

加解密技術(shù)：將認證信息、通信數(shù)據(jù)等轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強度。

密鑰管理技術(shù)：如何在公用網(wǎng)上安全地傳遞密鑰而不被竊取。身份認證技術(shù)：在正式的隧道連接開始之前需要確認用戶的身份，以便系統(tǒng)進一步實施資源訪問控制或用戶授權(quán)。2.5.身份認證方法

PAP（Password Authentication Protocol）：是一種簡單的明文用戶名/口令認證方式。

CHAP（Challenge Handshake Authentication Protocol詢問握手身份驗證協(xié)議）：是一種挑戰(zhàn)響應(yīng)式協(xié)議。它是PPP(MODEM或ADSL撥號)中普遍使用的認證協(xié)議。MS-CHAP：是微軟針對Windows系統(tǒng)設(shè)計的，采用MPPE加密用戶密碼和數(shù)據(jù)。

RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認證系統(tǒng)）：最初是由Livingston公司提出的，原先的目的是為撥號用戶進行認證和計費。后來經(jīng)過多次改進，形成了一項通用的認證計費協(xié)議。

2.6.具體通信協(xié)議與方法 2.6.1.點對點隧道協(xié)議（PPTP）

PPTP（point – to – point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP協(xié)議上開發(fā)的支持Client-to-LAN類型的VPN連接。PPTP 使用 PPP 撥號連接，通過對PPP 分組的封裝傳輸，將PPP 鏈接邏輯地延伸到遠程用戶與企業(yè)總部的PPTP服務(wù)器之間，從而借用PPP 協(xié)議成熟的機制對用戶進行身份鑒別、訪問授權(quán)以及網(wǎng)絡(luò)配置，同時，通過PPTP封裝傳輸，也使得使用企業(yè)內(nèi)部地址的分組，能成功地穿越IP 異構(gòu)網(wǎng)絡(luò)，到達企業(yè)總部，以此達到資源共享。PPTP只能在兩端點間建立單一隧道。

PPTP工作模式分為被動和主動兩種模式。被動模式中，PPTP會話通過一個一般位于ISP 處的前端處理器發(fā)起，客戶端不需安裝任何PPTP軟件，ISP 為用戶提供相應(yīng)的服務(wù)，這種方式降低了對客戶的要求，但限制了客戶對Internet 其他部分的訪問。主動模式中，客戶與網(wǎng)絡(luò)另一端的服務(wù)器直接建立PPTP隧道，不需ISP 的參與，不需位于ISP 處的前端處理器，ISP 只提供透明的傳輸通道。這種方式的優(yōu)點是客戶對PPTP有絕對的控制。

PPTP隧道機制的特點有，PPTP不提供數(shù)據(jù)安全性保證，它必須借助PPP 的加密機制，如MPPE（Window自帶），或者與其它安全協(xié)議如IPsec）結(jié)合使用，才能為隧道通信提供安全保護；由于PPP協(xié)議本身支持多協(xié)議傳輸，PPTP因此支持多協(xié)議傳輸； PPTP不支持多隧道復(fù)用，但通過呼叫ID 能支持對隧道的會話復(fù)用； PPTP通過GRE頭中的序列號支持有限的分組排序功能； PPTP協(xié)議的系統(tǒng)開銷適中；除了有限的流量控制功能，PPTP也基本不能提供QoS 保障。2.6.2.第2層轉(zhuǎn)發(fā)L2F（Layer 2 Forward）協(xié)議

L2F（Layer 2 Forward）協(xié)議由Cisco公司提出，通過對PPP或SLIP分組的封裝傳輸，能使PPP/SLIP分組在多種網(wǎng)絡(luò)（如ATM、幀中繼和IP網(wǎng)絡(luò)）中傳輸。其標準于1998年提交IETF，發(fā)布在RFC 2341。L2F協(xié)議設(shè)計了L2F封裝頭, 形成L2F分組。L2F分組可在任何能提供點到點鏈接的底層媒體上發(fā)送。當(dāng)L2F分組在IP網(wǎng)絡(luò)上發(fā)送時，L2F分組將作為UDP協(xié)議的上層協(xié)議數(shù)據(jù)單元被封裝成為UDP報文，經(jīng)過IP協(xié)議發(fā)送。

以下是一個典型的L2F協(xié)議的實現(xiàn)：

圖二 L2F協(xié)議的典型實現(xiàn)

遠程用戶通過ISDN/PSTN 網(wǎng)與NAS建立PPP 連接。VPN客戶機通過VPN撥號向NAS服務(wù)器發(fā)送請求，希望建立與遠程HGW的VPN連接。NAS根據(jù)用戶名稱等信息向HGW發(fā)送隧道建立連接請求，實現(xiàn)與HGW之間通過IP 網(wǎng)、幀中繼或其它網(wǎng)絡(luò)建立L2F 隧道，總部局域網(wǎng)通過HGW與外界連接。即遠程用戶與NAS之間建立一條PPP 鏈接。這條鏈接被NAS與HGW之間的L2F 隧道邏輯地延伸到HGW。2.6.3.第2層隧道協(xié)議（L2TP）

因特網(wǎng)工程任務(wù)組（IETF）希望統(tǒng)一虛擬撥號的標準，由此產(chǎn)生了L2TP（Layer 2 Tunneling Protocol）協(xié)議。它由微軟、Ascend、Cisco、3COM等公司參予制定，結(jié)合了PPTP和L2F兩種協(xié)議的優(yōu)點，成為IETF標準RFC 2661。L2TP是典型的被動式隧道協(xié)議，可讓用戶從客戶機或接入服務(wù)器發(fā)起VPN連接。L2TP協(xié)議設(shè)計了L2TP封裝頭，設(shè)計思想類似于L2F頭。封裝形成的L2TP分組可在任何能提供點到點鏈接的媒體上發(fā)送，如IP網(wǎng)、ATM和幀中繼。當(dāng)L2TP分組在IP網(wǎng)上進行發(fā)送時，L2TP分組被封裝入UDP報文，再遞交給IP協(xié)議進行發(fā)送。

而L2TP協(xié)議的工作流程如下：遠程用戶通過PSTN或ISDN網(wǎng)，向ISP發(fā)起PPP鏈接請求。在ISP的呈現(xiàn)點 POP處，LAC接受此連接，建立遠程用戶到LAC的PPP鏈接。遠程用戶與LAC互換LCP配置信息，并可能實現(xiàn)如CHAP身份鑒別信息的局部交換；

ISP的LAC依據(jù)CHAP應(yīng)答中的名字信息，確定是否對此遠程用戶提供虛擬的撥號訪問服務(wù)。若需要，則由名字信息確定該用戶的總部所在地，即目的LNS；

如果LAC與該LNS之間沒有建立隧道，或者因為保證QoS服務(wù)的需要，由LAC向LNS發(fā)起隧道的建立，并為該隧道分配一個隧道號，即Tunnel ID；并在隧道中為該用戶呼叫分配一個ID號，稱Call ID。LAC隨后向LNS發(fā)出入站呼叫請求。該請求中可能包括LAC對遠程用戶收集的鑒別信息以及其它配置信息；如果LNS接受此入站呼叫，則在LNS為此呼叫產(chǎn)生一個“虛擬接口”，該虛擬接口為L2TP隧道的終點，其另一終點是建立于LAC上的一個L2TP虛擬接口；

LNS為遠程用戶分配IP地址。LNS分配給遠程用戶的IP地址由管理員設(shè)置，一般使用私有地址，但LAC和LNS需使用公共IP地址。從遠程用戶發(fā)送的PPP幀到達LAC后，LAC上的L2TP虛擬接口將PPP幀封裝為L2TP分組之中，在特定的傳輸媒體上發(fā)送。當(dāng)L2TP分組到達LNS端后，L2TP頭被剝?nèi)?，剩余的PPP或SLIP分組將與正常進入的分組一樣被送入相應(yīng)的接口進行處理。

從LNS發(fā)送到遠程用戶的數(shù)據(jù)的處理過程與此完全相似。2.6.4.IP安全協(xié)議（IPSec）與SSL VPN VPN技術(shù)雖然種類眾多，但IETF下的IPSec工作組推出的IPSec協(xié)議是目前工業(yè)界IP VPN標準，安全性明顯優(yōu)于其它隧道協(xié)議,以IPSec協(xié)議構(gòu)建虛擬專用網(wǎng)已成為主流。

基于IPSec構(gòu)建IP VPN是指利用實現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)（Security Gateway）充當(dāng)邊界路由器，完成安全的遠程接入和在廣域網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專線互聯(lián)等。

IPSec VPN的建立方式包括：Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)，Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)。SSL VPN主要供遠程用戶訪問內(nèi)部網(wǎng)絡(luò)資源時使用，包括Web服務(wù)、文件服務(wù)（包括FTP 服務(wù)、Windows網(wǎng)上鄰居服務(wù)）、可轉(zhuǎn)化為Web方式的應(yīng)用（如Webmail)以及基于C/S的各類應(yīng)用等。SSL 應(yīng)用模式基本分為三類：Web瀏覽器模式、專門的SSL VPN客戶端模式和LAN 到LAN 模式。

在Web瀏覽器模式中，SSL VPN服務(wù)器使用https和socks 協(xié)議（實現(xiàn)代理功能，負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)）。SSL VPN客戶端與SSL VPN服務(wù)器間使用https協(xié)議；而SSL VPN服務(wù)器與單位內(nèi)部服務(wù)器間使用http 協(xié)議。當(dāng)客戶端需要訪問內(nèi)部網(wǎng)絡(luò)中的C/S應(yīng)用時，它從SSL VPN服務(wù)器下載控件。該控件是一個服務(wù)監(jiān)聽程序，用于將客戶端的C/S數(shù)據(jù)包轉(zhuǎn)換為Http 協(xié)議支持的連接方法，并通知SSL VPN服務(wù)器它所采用的通信協(xié)議（TCP/UDP）及訪問的目的服務(wù)地址和端口?？蛻舳丝丶cSSL VPN服務(wù)器建立安全通道后，在本機接收客戶端數(shù)據(jù)包后，通過SSL 通道轉(zhuǎn)發(fā)給SSL VPN服務(wù)器。SSL VPN服務(wù)器解密數(shù)據(jù)后轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的目的服務(wù)器。SSL VPN服務(wù)器接收到內(nèi)部網(wǎng)絡(luò)的服務(wù)器的響應(yīng)數(shù)據(jù)包后，通過SSL 通道發(fā)給客戶端控件。客戶端控件解密后轉(zhuǎn)發(fā)給客戶端應(yīng)用程序。

3.學(xué)習(xí)總結(jié)

網(wǎng)絡(luò)安全技術(shù)是保證網(wǎng)絡(luò)通信過程中，傳遞信息的機密性，完整性，可用性，不可否認性等。硬件層面的設(shè)備，線纜等安全性可以通過加強設(shè)計和提高生產(chǎn)技術(shù)來保證。軟件層面的通信安全就需要靠安全通信協(xié)議和對明文內(nèi)容的加密算法來實現(xiàn)。在通信網(wǎng)絡(luò)的OSI分層中，軟件層面的通信安全主要體現(xiàn)在網(wǎng)絡(luò)層，傳輸層，會話層，表示層。在每個層中，根據(jù)網(wǎng)絡(luò)通信類型和服務(wù)不同，使用的安全協(xié)議也有區(qū)別。密鑰技術(shù)，數(shù)字證書技術(shù)等保證信息機密性，完整性，可用性，不可否認性的技術(shù)主要工作在表示層。而VPN技術(shù)是從鏈路層到表示層都有一整套協(xié)議和通信方式的技術(shù)，在各個層都能夠保證信息不被篡改，閱讀，抵賴。所以幾乎能夠相當(dāng)于在用戶之間建立了一條專線進行通信。

第五篇：設(shè)想射頻通信技術(shù)應(yīng)用

射頻通信技術(shù)的應(yīng)用設(shè)想

人類對野生動物的研究自古已有，甚至可以說人類的進步和發(fā)展在很大的程度上得益于向大自然學(xué)習(xí)，向大自然中的各種生物學(xué)習(xí)。在很多野生動物瀕臨滅絕的今天，監(jiān)測并保護它們是我們義不容辭的責(zé)任。在科學(xué)技術(shù)大發(fā)展的今天，野生動物跟蹤技術(shù)也在飛速的發(fā)展著。無線電跟蹤技術(shù)、電子標志技術(shù)、以及全球定位系統(tǒng)的應(yīng)用，都大放異彩，極大地推動了野生動物研究工作的發(fā)展。下面主要就對射頻技術(shù)來追蹤檢測，并對未來野生動物跟蹤技術(shù)的發(fā)展方向和發(fā)展前景指明方向。

射頻識別（RFID），又稱電子標簽（E-Tag），是一種利用射頻信號自動識別目標對象并獲取相關(guān)信息的技術(shù)。RFID 最早的應(yīng)用可追溯到第二次世界大戰(zhàn)中用于區(qū)分聯(lián)軍和納粹飛機的“敵我辨識”系統(tǒng)。隨著技術(shù)的進步，RFID 應(yīng)用領(lǐng)域日益擴大，現(xiàn)已涉及到人們?nèi)粘Ｉ畹母鱾€方面，并將成為未來信息社會建設(shè)的一項基礎(chǔ)技術(shù)。RFID 典型應(yīng)用包括：在物流領(lǐng)域用于倉庫管理、生產(chǎn)線自動化、日用品銷售；在交通運輸領(lǐng)域用于集裝箱與包裹管理、高速公路收費與停車收費；在農(nóng)牧漁業(yè)用于羊群、魚類、水果等的管理以及寵物、野生動物跟蹤；在醫(yī)療行業(yè)用于藥品生產(chǎn)、病人看護、醫(yī)療垃圾跟蹤；在制造業(yè)用于零部件與庫存的可視化管理；RFID 還可以應(yīng)用于圖書與文檔管理、門禁管理、定位與物體跟蹤、環(huán)境感知和支票防偽等多種應(yīng)用領(lǐng)域。

所謂動物跟蹤與識別,就是利用特定的標簽,以某種技術(shù)手段與擬識別的動物相對應(yīng)(注射、狗牌和耳標等),可以隨時對動物的相關(guān)屬性進行跟蹤與管理的一種技術(shù)。進行動物跟蹤與識別的主要原因包括:對野生動物疾病和健康進行控制、監(jiān)督與預(yù)防;本土物種的安全保護。在動物識別中使用RFID，代表了當(dāng)前動物識別技術(shù)的最高水平。在動物上上安裝電子標簽，并寫入代表該動物的ID代碼。當(dāng)動物進入RFID固定式閱讀器的識別范圍，或者工作人員拿著手持式閱讀器靠近動物時，閱讀器就會自動將動物的數(shù)據(jù)信息識別出來。如果將閱讀器的數(shù)據(jù)傳輸?shù)絼游锕芾硇畔⑾到y(tǒng)，便可以實現(xiàn)對動物的跟蹤。射頻識別RFID技術(shù)也是一項比較成熟的科學(xué)技術(shù)了。RFID技術(shù)在動物跟蹤領(lǐng)域已經(jīng)應(yīng)用多年，并經(jīng)常和先進的全球定位系統(tǒng)一起應(yīng)用來跟蹤設(shè)備，以便研究人員可以在更遙遠的距離內(nèi)實現(xiàn)對動物的跟蹤，有時，還會使用到飛機或者直升機來幫助高空視察。此項技術(shù)在很多項目中都得到了應(yīng)用。世界野生動物基金會在亞馬遜河流域使用無源RFID標簽來監(jiān)視野獸，這是生物多樣化研究的一部分。

在動物識別和跟蹤中是否能大力度的推廣射頻通信技術(shù)的應(yīng)用，我覺得主要取決于兩個方面的因素：技術(shù)標準和價格成本。目前全世界貌似還沒有統(tǒng)一的技術(shù)標準。而將該技術(shù)用于野生動物的監(jiān)控花費畢竟很高。所以要實現(xiàn)利用射頻通信技術(shù)來普遍實現(xiàn)對動物的監(jiān)護還是有很長一段路要走，但我還是希望在不久的將來它能成為我們?nèi)祟愅炀却笞匀坏牡昧χ帧?/p>