vpn技术精选(九篇)

第1篇：vpn技术范文

随着互联网及网络技术的发展，VPN(Virtual Private Network)技术被广泛地应用。MPLS-VPN是一种基于MPLS技术的IP-VPN，在网络路由和交换设备上应用MPLS技术，从而简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现IP虚拟专用网络（IP-VPN）。

2 MPLS技术概述

MPLS(Multi-Protocols Label Switching)即多协议标记交换，是一项用绑定在包中的标记(或叫标签)通过网络进行数据包转发的技术。它将第二层的交换和第三层的路由技术很好地结合起来，以简洁的方式完成了信息的传送，把路由选择和数据转发分开由标签来规定一个分组通过网络的路径。

3 VPN技术的概述

VPN（虚拟专用网）是利用网络来传输私有信息而形成的逻辑网络，用来在通用的网络结构上标识闭合的用户组。通过对网络数据的封包和加密传输，在一个公用网络(通常是因特网)建立一个临时的、安全的连接，从而实现在公网上完整、保密地传输私有数据。

4 MPLS-VPN的工作原理

MPLS-VPN则是指基于MPLS技术构建的虚拟专用网，即采用MPLS技术在公共IP网络上构建企业IP专网，实现数据、语音、图像多业务宽带连接。MPLS-VPN能够在提供原有VPN网络所有功能的同时，提供强有力的QOS能力，具有可靠性高、安全性高、扩展能力强、控制策略灵活等特点。它把整个网络中的路由器分为三类：用户边缘路由器（CE）、运营商边缘路由器（PE）和运营商骨干路由器（P），其中PE充当IP-VPN接入路由器。MPLS-VPN的主要工作流程如下：

(1)用户端的路由器(CE)首先通过静态路由和BGP将用户网络中的路由信息通知提供商路由器(PE)，同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记，以下简称为内层标记)，而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息，采用LDP协议进行路由信息与标记(骨干网络中的标记，以下称为外层标记)的绑定。此时，CE、PE以及P路由器基本的网络拓扑和路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

(2)当属于某一个VPN的CE用户数据进入网络时，在CE与PE连接的接口上可以识别出该CE属于哪一个VPN，进而到该VPN的路由表中去读取下一跳的地址信息，同时在上传的数据包上打上VPN标记(内层标记)。这时得到的下一跳地址为该PE作Peer的PE的地址，为了达到这个目的端的地址，同时采用LDP在用户上传数据包中打上骨干网络中的标记(外层标记)。

(3)在骨干网络中，初始PE之后的P只读取外层标记的信息来决定下一跳，因此骨干网络中只是简单的标记交换。

(4)在达到目的端PE之前的最后一个P路由器时，将外层标记去掉，读取内层标记，找到VPN并送到相关的接口上，进而将数据传送到VPN的目的地址处。

从以上的工作过程可见,MPLS-VPN丝毫不改变CE和PE原有的配置,有新的CE加入网络时，只需在PE上作简单配置，其余的改动信息由IGP/BGP自动通知CE和PE。

5 MPLS-VPN的特点

（1）安全性。MPLS可以将不同VPN的通信完全隔离，使得无关用户的通信不会混杂其中从而提高了安全性。MPLS-VPN借助MPLS技术，利用两层标记(label)，自动为不同用户的节点间建立不同的隧道，实现了用户流量的隔离，提供了逻辑上最大的安全性。

（2）扩展性。MPLS-VPN具有很好的网络可扩展性，可以建立任意的连接。同一个VPN中的用户节点数不受限制容易扩充，特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路。

（3）可靠性。网络的可靠性主要靠资源的冗余度来实现。MPLS-VPN依托互联网展开，因此设备、线路和路由都有冗余保护措施，保证了网络的可靠性。

（4）无连接的服务。MPLS-VPN是“非面向连接的”，由于这种特性,它不需要通过建立许多点对点的隧道和加密技术来实现，这样可大大减少网络实现的复杂性。

（5）易于实施。由于MPLS-VPN是“非面向连接的”，且VPN信息只需要由PE来维护，对CE是透明的，网络的扩展和实施变得相对容易。增加VPN客户端站点时，只要简单地将CE设备接入PE即可，所有的配置只需在PE上进行，非常易于实现和管理。

6 结束语

随着MPLS技术和IP VPN技术的日趋成熟。MPLS技术是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术，它不仅能够解决当前网络中存在的问题，而且能支持许多新的功能，将成为重要技术在公用网上使用。可以说MPLS技术是下一代最具竞争力的通信网络技术。

参考文献

[1]凌永发,王杰，陈跃斌.多协议标签交换技术的应用[J].云南民族大学学报:自然科学版,2005,14(3):64-67.

第2篇：vpn技术范文

关键词:VPN安全协议关键技术部署模型

中图分类号: TP393文献标识码: A

VPN Technology and Deployment Model Analysis

JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1

(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;

2. Guizhou Radio and TV University, Guiyang 550004, China)

Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.

Key Words:VPN ;Security agreement;key technology ;Deploy model

0 前言

VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。

1 VPN 概述

1.1VPN的概念

VPN (Virtual Private Network) 即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。VPN采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]

1.2 VPN 的类型

根据VPN 所起的作用,可以将VPN 分为三类:[1] [2] [3]

1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。

2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过VPN互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。

3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。

1.3 VPN 特点[2][4][5]

(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;

2 VPN关键技术

2.1 隧道技术

隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN 的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。

2.2 密码技术

VPN 技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。

2.3 身份鉴别和认证技术

VPN基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用HASH函数将一段较长的报文通过HASH函数变换,映射为一段较短的报文摘要。

2.4 QoS技术

通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的VPN。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]

3 VPN 解决方案[9]

3.1 VPN 部署模型

部署VPN首先要选定一个VPN隧道终端设备,选择的这个设备主要由VPN隧道端点位置和用于隧道端点设备的功能来决定。

3.1.1位于边界路由器的VPN终端

位于边界路由器的VPN终端所具有的优点是能够确保VPN流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出VPN隧道数据包的增加而增加。

3.1.2 位于企业防火墙的VPN终端

位于企业防火墙的VPN终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。

3.1.3位于专用设备的VPN终端

位于专用设备的VPN终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个VPN需要加密数量的增加而增加。

3.2VPN拓扑模型

3.2.1 星状拓扑模型

在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。

3.2.2 网状拓扑模型

在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。

3.2.3中心轮廓拓扑模型

中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。

3.2.4 远程访问拓扑模型

远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。

4 结语

VPN技术的发展, 为企业建设计算机网络提供了一种新的思路, 可以通过在公共网络上建立虚拟的链接来传输私有数据。VPN通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本, 同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业现在乃至未来最佳的选择[10]。

参考文献:

[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.

[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.

[3][美]C arlton R .D avis. IP Sec VPN 的安全实施[M].清华大学出版社.2002.

[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47～49.

[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.

[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.

[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12～15.

[8]刘建伟,王育民等.网络安全――技术与实践[M].北京.清华大学出版社.2005.472.

[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136～170.

第3篇：vpn技术范文

关键词：虚拟专用网；多协议标记交换；网际协议安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21547-02

1 引言

虚拟专用网(Virtual Private Network，VPN)是指在物理的公用网络上建立专用的数据通信逻辑网络的技术。VPN的出现促使企业改变了通过租用昂贵专线实现网络互联的传统模式，并使得通过互联网安全又经济地传输私有信息成为可能。IPSec技术在网络层上对数据包进行高强度的安全处理，提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业物流机密性等安全服务。MPLS技术采用集成模型将IP技术与下层技术结合在一起兼具了高速交换、Qos性能、流量控制性能以及IP技术的灵活性、可扩展等特性。MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IPSec VPN在企业网边缘逐渐替代传统的专线，成为远程分支及移动办公用户主要接入方式。目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政，无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补，提供设计优良和综合性的VPN服务，同时也提升IPSec和MPLS的应用层次。本文提出把IPSec和MPLS这两种主流VPN技术有机地组合起来，以综合运用各自的优点来构建企业虚拟专用网，为基于Internet的数据传输提供所能获得的最佳解决方案。

2 IPSec与MPLS技术简介

2.1 IPSec技术

IPSec(Internet Protocol Security网际协议安全)是构建于ISO/OSI七层模型中网络层的安全协议，由于它工作于网络层，因此可以用于两台主机之间，网络安全网关之间或者主机与网关之间，其目标是为IPV4和IPV6提供具有较强的互操作能力，高质量和基于密码的安全，它支持对数据加密，同时确保数据的完整性。

IPSec的工作原理如图1所示：

图1 IPSec的工作原理图

从图中分析可知：当IP模块收到一个IP分组时，通过查询安全策略数据库SPD以决定对收到的这个数据分组的处理方式: 丢弃、转发或IPSec处理。所谓的IPSec处理就是对数据报进行加密和认证，以保证在外网传输的数据报的机密性、真实性和完整性。通过查询安全连接数据库SAD，以获得安全连接所需的参数。

2.2 多协议标签交换技术（MPLS）

MPLS（Multi-Protocol Label Switch，多协议标签交换）是由IETF提出的新一代IP骨干网络交换标准，是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务。

多协议标记交换网络由标签边缘路由器(LER)和标签交换路由器(LSR)组成。LER和LSR中运行的路由协议决定了标签交换通道(LSP)沿途应经过的路由器,并使用标签分发协议(LDP)在各个路由器之间互通标签绑定信息,建立标签交换通道。当数据到达LER后,LER对其进行分类,并根据分类的结果为数据加入不同的标签。因此，当数据到达LSR之后,LSR只需分析标签就可判断数据传递的路径，从而完成数据的转发。

MPLS的基本思想在于数据包的寻址和转发的分离,基本原理是以一个类似于路由器的设备来控制ATM的硬件交换设备，同时其具备了与交换机相类似的性价比。MPLS并非针对某一种链路层的技术，可使用于ATM，帧中继等可扩展到其它协议，它将面向连接的机制加入到面向非连接的IP协议中。MPLS的基于OSI/L2的交换是以FEC(向前转发等效类)为单位的。

顾名思义，标签边缘路由器(LER)位于MPLS网络的边缘，作为IP网络和MPLS网络的衔接点，分析来自MPLS接口的数据包包头并对其进行FEC分类，决定是否得打上标签或数据包属于哪个FEC，同时对数据包进行封装，然后从MPLS接口发送；作为出口点，如接收带有标签的数据包，则去除标签，在网络层发送数据包至目的地。

标签交换路由器(LSR)负责FEC标签的分配与。数据包发送的路径由标签信息决定：查看入接口的数据包的标签，从表格中检索得到出口标签和出接换标签在出接口中发送数据包,以此进行数据传递。

标签分发协议(LDP)按照分布方式控制LSP的建立，每个节点根据各自路由模块得到的路由信息为转发等价类分配标签并通告其上下游节点，从而在每个节点生成标签信息库(LIB)。当带有标签的分组到达标签交换路由器后，标签交换路由器可根据携带的标签和标签信息库中的信息采用交换的方式完成此分组的转发。一旦路由信息发生变化，MPLS会重新协商标签、转发等价类之间绑定关系，同时更新标签信息库，以适应路由变化的新情况，确保数据正确传输。标记交换路径(LSP)是IP数据包在MPLS域中传送的路径。MPLS是一种面向连接的标记交换，其连接就是标记交换路径。

3 将MPLS与IPSec融合来实现VPN

IPSec本质上是网络层加密协议。它保证特定的通信用户之间数据的保密性、完整性和真实性,并可对相应的数据源进行验证。MPLS技术在无连接的IP网络中引入了面向连接机制，从而既保持了IP协议的灵活性、可靠性和扩展性，又可以充分应用第二层的快速交换能力，Qos性能，流量控制性能。下图为IPSec和MPLS两种技术组件VPN比较分析，可知两者各有千秋，具有很强的互补性

3.1 IPSec VPN与MPLS VPN的对比

3.2 两者融合的必要性分析

目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政，无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补，提供设计优良和综合性的VPN服务，同时也提升IPSec和MPLS的应用层次。的确，两种技术的结合很有可能为今天基于因特网的数据传输提供所能获得的最佳总体安全方案。

3.3 两者融合的可行性分析

针对两种VPN技术的不同特点,参照现有网络的组织特点,可将两种VPN技术进行融合,形成一个完整的VPN网络体系结构。

(1)系统结构可行性:MPLS VPN运行在网络核心设备和支持MPLS的边缘接入设备上,负责各种速率的专线接入服务；IPSec的终结设备将ISEC的CHANNEL与MPLS的VRF相对应,将数据从IPSec中解密后,重新封装两层的MPLS标签,反之亦然。因此，在系统结构上是可行的。

(2)管理与配置可行性:MPLS之VPN和IPSec之VPN的中间连接设备由运营商进行配置管理。其中，MPLS方面为用户建立相应的VRF，配置相同的RT与RD参数；IPSec方面针对用户建立不同的组，并为用户指定不同的安全策略，定义不同组中用户不能相互访问；在MPLS与IPSec连接方面，连接设备将IPSec中的组与MPLS的VRF相对应，IPSec中启用DHCP服务器功能，当用户建立IPSec连接后重新分配新的IP地址。在MPLS VRF中将地址进行广播。因此，在管理和配置上也是可行的。

3.4 IPSec和MPLS融合实例:华为3COM的VPE技术

VPE＝IP VPN网关＋PE，VPE（VPN PE）是华为3com公司设计的一种特殊PE，它和CE之间的连接方式是L2TP等隧道技术。VPE实现的核心功能时IP VPN隧道与MPLS VPN之间的映射和衔接。

VPE技术很好地融合了MPLS VPN和IP VPN的优势，在网络边缘也实现了网络资源的逻辑划分及安全隔离，核心网与边缘用户形成了一个整体。VPE相当与企业VPN的中枢神经，一方面作为VPN网关接入大量远程分之和移动办公用户，另一方面作为核心网的PE节点。VPE涉及到的关键技术包括：IP VPN隧道和MPLS VPN直接的映射，ACL与MPLS VPN映射，HOPE(MPLS VPN中的PE分层操作系统),MPLS Over IP VPN，Quidway VRP网络操作系统可以提供以上所有技术方案。

图2为IPSec与MPLS融合的VPN结构示意图。

3.5 融合后网络特点分析

(1)全兼容的接入方式：MPLS保证宽带专线用户的VPN接入需要，IPSec保证拨号方式和其他上网方式VPN接入需要。在融合之前，MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IP VPN在企业网边缘逐渐替代传统的专线，成为远程分支及移动办公用户主要接入方式，但是他们各自为政，无法形成一个端到端的VPN解决方案。在融合的方式下，运营商可以为用户提供完全的VPN解决方案：一方面，运营商可以通过MPLS之VPN互连用户不同的办公地点；另一方面，可以允许公司人员提供下班后仍然可以访问公司的内部网络，就是全程全网的VPN服务。

图2 IPSec与MPLS融合的VPN结构示意图

(2)完善的QoS保障：在本地网络中，运营商通过对网络的监控系统可以发现网络中的故障点或拥塞点并及时加以解决，从而保证本地接入过程中的服务质量问题。在跨不同VPN赋予不同的MPLS EXP值，并在出口线路上起用居于DIFFSERV的QoS技术，保证网络互联过程中的QoS问题。这样，在不同的范围采用不同的技术，能够实现整个VPN体系的QoS保证。优秀的MPLS-VPN方案可以提供可伸缩性的，稳固的QoS机制和流量工程能力，从而使服务供应商可以提供具有保证SLA的IP增值服务。

(3)良好的扩展性：融合后VPN的核心结构依然采用MPLS的形式，由于不需要站点到站点的对等性而具有高度的伸缩性，典型的基于MPLS核心的VPN部署能够支持在同一网络上部署上万个VPN组，因此融合后依然后的网络依然继承了其良好的扩展性。对IPSec和MPLS的互联设备，由于MPLS完成了VPN内部的联系，因此在IPSec用户不断增长的情况下，并不一定要对原有的设备进行相应的扩容，而且可以考虑新的性能相当的设备，从而将用户分散到各个设备上，减轻了骨干网的整体负担，从而保证整体的可靠性与扩展性。

4 结束语

VPN方案的实施，不仅节省了网络的建设和运行维护成本开销，而且增强了网络的可靠性和数据传输的安全性。MPLS与IPSec两者技术的结合结合有利于把MPLS的高速交换、Qos保证,流量控制以及灵活性、可扩展性与IPSec的高度安全、可靠的优势充分发挥出来，提供设计优良、运行可靠并能够提供综合性的VPN服务。目前MPLS和IPSec融合的方案尚处于成长阶段，有很多技术标准需要进一步制定和完善，但是，笔者相信，基于IPSec与MPLS技术两者融合的VPN方案将会赢得越来越多企业用户的青睐，为企业构建全程全网的VPN。

参考文献：

[1]Cisco Systems,Cisco公司,Networking Academy Program著.天津大学,电子科技大学,中山大学,思科网络技术学院.译.思科网络技术学院教程（第3第4学期）（第3版）[M].人民邮电出版社,2005.3.

[2]王达.等.编著.虚拟专用网(VPN)精讲[M].清华大学出版社,2004.1.

[3]Ivan Pepelnjak,CCIE NO 1354,Jim Guichard,CCIE No.2069.著.卢泽新,朱培栋,齐宁.等.译.MPLS和VPN体系结构[M].人民邮电出版社,2004.3.

[4]Eric Osborne,CCIE NO 4122,Ajay Simha,CCIE NO.2970.著.张辉,卢锋.等.译.基于MPLS的流量工程[M].人民邮电出版社,2004.3.

[5]Vivek Alwayn,CCIE NO.2995.著.刘新初,黄智,沈平,柏林,杨俊.等.译.高级MPLS设计与实施[M].人民邮电出版社,2004.3.

第4篇：vpn技术范文

【论文摘要】：虚拟专用网(VPN)技术主要包括数据封装化，隧道协议，防火墙技术，加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对VPN隧道技术的分类提出了一些新的探索。

引言

虚拟专用网即VPN（Virtual Private Network）是利用接入服务器（Access Sever）、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。

利用共用的WAN网，传输企业局域网上的信息，一个关键的问题就是信息的安全问题。为了解决此问题，VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。

1. 隧道技术

Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后，立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后，全局IP地址即被删除，恢复成IP分组发往地址A。由此可见，隧道技术就是VPN利用公用网进行信息传输的关键。为此，还必须在IP分组上添加新头标，这就是所谓IP的封装化。同时利用隧道技术，还必须使得隧道的入口与出口相对地出现。

基于隧道技术VPN网络，对于通信的双方，感觉如同在使用专用网络进行通信。

2. 隧道协议

在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此，要成功的使用VPN技术还需要有隧道协议。

2.1 当前主要的隧道协议以及隧道机制的分类：

⑴ L2F（Layer 2 Forwarding）

L2F是cisco公司提出的隧道技术，作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器（路由器）.

⑵ PTP(Point to point Tunnelimg protocol)

PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP，IPX或NETBEUT数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互连网络传送。

⑶ 2TP（Layer 2 Tunneling Protocol）

该协议是远程访问型VPN今后的标准协议。

L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接，端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外，还能在VPN上利用PPP支持的多协议通信功能，多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理，称其为第三层隧道，以区分于第二层隧道。

⑷ TMP/BAYDVS

ATMP（Ascend Tumneling Management Protocol）和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议，它部分采用了移动IP的机制。ATMP以GRE实现封装化，将VPN的起点和终点配置ISP内。因此，用户可以不装与VPN想适配的软件。

⑸ PSEC

IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标（AH：Authmentication Header）和封装化安全净荷（ESP：Encapsnlating Security Paylamd）。

转贴于

IPSEC隧道模式允许对IP负载数据进行加密，然后封装在IP包头中，通过企业IP网络或公共IP互联网络如INTERNET发送。

从以上的隧道协议，我们可以看出隧道机制的分类是根据虚拟数据链络层的网络，DSI七层网络中的位置，将自己定义为第二层的隧道分类技术。按照这种划分方法，从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展，这样的划分出现了不足，比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类，将出现"四层VPN"、"五层VPN"，分类教为冗余。因此，目前出现了其他的隧道机制的分类。

2.2 改进后的几种隧道机制的分类

⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类，将隧道分成四类。分别是使用拨号方式的VPN，使用路由方式的VPN，使用专线方式的VPN和使用局域网仿真方式的VPLS。

例如同样是以太网的技术，根据实际情况的不同，可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别，因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异，由此将引起在实际应用中对VPN技术选型造成误导。

⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同，可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想，将原本工作在某一层的数据包在包头提供了控制信息与网络信息，从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。

隔离型隧道的建立，则是参考了数据交换的原理，根据不同的标记，直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离，如果接入网络的数据包也是相互隔离的就保证了数据的安全性，例如LSVPN。从性能上看，使用封装型隧道技术一般只能提供点对点的通道，而点对多点的业务支持能力教差，但是可扩展性，灵活性具有优势。

采用隔离型隧道技术，则不存在以上问题，可以根据实际需要，提供点对点，点对多点，多点对多点的网络拓扑。

3. 诸种安全与加密技术

IPVPN技术，由于利用了Internet网络传输总部局域网的内部信息，使得低成本，远距离。但随之而来的是由于Internet技术的标准化和开放性，导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性，但黑客仍可以从世界上任何地方对网络进行攻击，使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此，利用IPVPN通信时，应比专线更加注意Internet接入点的安全。为此，IPVPN采用了以下诸种安全与加密技术。[2]

⑴ 防火墙技术

防火墙技术，主要用于抵御来自黑客的攻击。

⑵ 加密及防止数据被篡改技术

加密技术可以分为对称加密和非对称加密（专用密钥号与公用密钥）。对称加密（或专用加密）也称常规加密，由通信双方共享一个秘密密钥。

非对称加密，或公用密钥，通信双方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网，只有采用了以上诸种技术以后，才能够发挥其良好的通信功能。

参考文献

第5篇：vpn技术范文

关键词：VPN技术； 应用系统安全； 身份认证； 鹤煤集团

目前，鹤煤已经建立起一套统一的应用平台，包括OA系统、财务系统、档案管理系统，医保刷卡系统，邮件系统等。单位的信息网络是以信息中心机房为中心，所有应用系统服务器都安装在信息中心机房内的专属服务器区。各分支单位通过内部城域网和互联网线路和总部互联进行正常的办公。为业务的进一步的快速发展奠定坚实的基础。自应用平台运行以来，内部办公人员通过网络可以迅速地获取信息，大大加快了整体的办公效率，信息化效益得到彰显。

1 需求分析

网上业务的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。

随着与联通以及电信的战略合作，一些原来在局域网内部的客户端现在需要通过联通或者电信的网络与中心机房进行互联，仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式，造成整体服务器区安全防护水平降低，若是遭到网络攻击服务器风险大。而如OA等重要系统所跑的数据都采用明文的方式在公网上传输，易遭到信息窃取、篡改等威胁。

目前在鹤煤城域网中，是一个大的局域，需要在原有的大网中对不同安全级别的应用系统进行逻辑隔离、安全加密、权限划分。

2 未采用VPN技术前存在的问题

2.1 身份认证安全

之前，应用系统采用的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。

2.2 终端访问安全

一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。

2.3 权限划分安全

总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。

2.4 应用访问审计安全

为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。

3 鹤煤集团SSL VPN解决方案

结合鹤煤实际网络及应用情况，我们采用深信服SSL VPN设备进行安全组网，在核心交换上以旁路方式部署两台VPN-3050-L3 SSL VPN，内部用户和移动用户通过 SSL VPN登录总部的网络。在客户端与应用服务器之间通过建立VPN隧道，实现异地建数据传输的安全保障。通过上述的方案部署，可实现。

3.1 应用平台移动办公

采用SSL VPN对应用进行安全，避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时，可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立，如同登录网银、邮箱一般符合日常的网络使用习惯，容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一，现今网上银行基本都采用SSL协议进行数据传输保护，对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密，安全性有保障。

3.2 应用系统安全加固

在系统安全加固方面，采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合，多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。

由于登录SSL VPN的身份已通过多重认证的确认，而后又进行指定应用账号访问，即可保障登录应用系统的人员的身份。

3.3 专网内隧道逻辑隔离，构建统一应用平台

对于已经建立专线组网的分支，将应用系统以SSL VPN资源的方式进行，进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭，但分支用户登录SSL VPN之后，在其资源列表界面将会显示该用户权限下可访问的应用系统，用户可直接点击其上的链接进行快速访问。同时，可针对这些应用系统进行单点登录设置，点击链接即可自动通过应用本身的认证，可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发，对于用户权限外的应用，SSL VPN将自动阻断其连接，防止恶意盗链。

4 结束语

鹤煤集团采用SSL VPN对内部应用平台的统一，全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制，保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。

SSL VPN的建立仅依托于浏览器中内置的SSL协议，无须在终端主机上安装任何客户端软件，十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为，对于用户而言易用性高、上手快。

同时，无须安装终端软件、贴合日常使用的访问方式，将大大降低管理员对整套VPN系统的管理和维护工作量，也更易于整套远程办公平台的推广。

第6篇：vpn技术范文

关键词：VPN技术；计算机；网络；应用

中图分类号：TP393.1

现在计算机网络技术中最流行的VPN技术，在当下得到了积极的推广和应用，其中涉及的主要方面有三种不同的VPN技术。信息时代的来临影响了人们的生活方式，计算机网络已成为人们生活和工作中不可缺失的一部分。VPN技术是虚拟网络中的核心部分，通过VPN技术可以实现资源的传输和共享，在降低投资风险的同时创造了巨大的利用价值，实现了网络环境的稳定和安全。从某种方面来说，VPN技术可以把信息和用户两者联合在一起，确保互联网在正常运行之时，还可以将传输数据隐蔽的非常到位。下面本文就对VPN技术在计算机网络中的应用进行探讨。

1 MPLS VPN技术的应用

想要实现MPLS技术应用一共分为三步：

第一步，建立LSP。网络可以利用CR-LDP的方法在PE路由器中间先建立LSP，LSP一般都包含很多业务，其中有二层VPN和三层VPN等，两者之间呈对立关系，同时这两步也是为网络运营商提供MPLS 的关键步骤。

第二步，在PE路由器上实现VPN信息。这一步就是控制VPN数据传输的过程，是实现二层VPN的关键一步。首先在PE2路由器上面为连接到的CE设备创立一个VPN转发表数据，这个数据表包括了CE设备的识别码和标记值范围等。然后在每个CE设备上都安装一个转发表数据，为每一个转发数据表中的子接口ID作出相应的记号。继续，PE2利用LDP协议向网络拓扑中的其他VPN发送VPN连接表，其中VPN连接表是VPN转发表的子集。

第三步，实现VPN数据的传送。当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过输出接口发送到相应LSP上的第一个P路由器。骨干网中P路由器根据外层标签逐跳转发VPN分组，直至最后一个P路由器弹出外层标签，将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据VPN标签，查找MPLS路由表得到对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。特别的，当出口PE路由器和入口PE路由器是同一个路由器时，PE路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路由器。

2 IPSec VPN技术的应用

虚拟专用网是IPSec 协议中最常见的使用方式，IPSec协议的目的就是为IP地址提供高防护的安全性能，VPN就是在实现这种安全防护的同时产生一系列的解决方案，IPSec是一个框架结构，主要有以下两种协议构成，第一种ESP协议，这种协议使用的范围分广泛，可以在同一时间段内提供非常完整的数据，具有保密数据信息和抗重放攻击等特点，ESP经常使用的加密算法有3DES、AES等，利用MD5算法完成整个数据的完整性识别和分析。IPSec VPN的应用场景分为3种：

（1） Site-to-Site（站点到站点或者网关到网关）：如一个企业的3个机构分布在互联网的3个不同的地方，各使用一个网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的IPSec隧道实现安全互联。

（2） End-to-End（端到端或者PC到PC）： 两个PC之间的通信由两个PC之间的IPSec会话保护，而不是网关。

（3） End-to-Site（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN只是IPSec的一种应用方式，IPSec其实是IP Security的简称，它的目的是为IP提供高安全性特性，VPN则是在实现这种安全特性的方式下产生的解决方案。

还有就是封装模式的应用，IPSec传输模式主要包括两种：传输Transport模式和隧道Tunnel模式。两者之间的区别就是：传输模式在ESP和AH的处理前后部分，IP头一直保持不变的态势，主要目的是应用在端到端的场景中；隧道模式在ESP和AH处理之后又封装了一个外网的IP头地址，主要目的是应用在站点到站点的场景中。

3 财务管理和图书馆资源的应用

现代高校利用传统的扩招方式已经无法满足现在的需要，和高校教育模式严重脱离，所以很多城市高校都以建造大学城的方式进行大规模的办学，可是在多多校区联合办学的基础上，传统高校财务的方式已经无法满足高校财务发展的需求。所以说这个时候我们需要将高校财务管理信息化管理，冲破传统的空间限制，把每个校区的财务管理系统进行有效连接，目的是实现高校财务财务管理信息的同步性。通过VPN技术应用在高校财务管理工作中，很好的解决了传统空间约束的信息通路问题，而且利用VPN技术可以安全、有效的进行高校财务管理。现代化电子信息技术的发展使得图书馆模式由传统的空间限制到电子资源方向的发展，并且电子资源的完备使得图书馆技术发生了质的变化。现代化的电子图书馆使用的是以信息通路为传输载体、以专线方式为安全保证、通过图书馆虚拟网络的控制完成对用户信息的管理和加密，最终达到保护图书馆利益的目的。以现在我国实行的付费电子图书馆为例子，就是通过架设专用的虚拟网络，让付费用户在安全环境下进行资源信息的传输，通过虚拟专用网络完成对读者的整体，避免了信息传递错误造成的损失。VPN技术在现代电子图书馆的应用让我国诸多的数字化图书馆开始兴建，并且每个部门都在积极的完善电子图书馆的业务，为图书馆的核心竞争力提供良好的技术支持。

4 结束语

通过上述材料的分析和总结，我们了解到VPN技术发展的方向主要涉及到了新兴业务的进步和发展，只有完全的结合技术优势才可以把实用的效果提升到最佳。通过对传统信息技术的分析和比对，发现传统信息技术中最主要的问题就是网络信息的安全性没有坚实的保证，所以说在确保系统安全运行的时候，VPN技术的优势完全被体现出来，尤其是在企事业单位的信息管理和财务管理方面的贡献非常突出。

参考文献：

[1]张志国.VPN技术在现代企业局域网中的应用研究[J].山东交通科技，2011（1）：169-170.

[2]白帆.计算机网络中常用VPN技术分析[J].信息通信，2012（2）：216-217.

[3]任立胜.以信息安全为导向的VPN技术在计算机网络实训室的应用[J].中国电子商务，2013（15）：432-433.

[4]郑楠.移动IP中IPSec/VPN应用改进研究[J].中国新技术新产品，2009（2）：182-183.

[5]刘雅莉.关于计算机网络中常用VPN技术的分析[J].电子测试，2013（15）：254-255.

第7篇：vpn技术范文

利用虚拟专用网络VPN技术，将计算机远程终端通过Internet接入公司企业网，从而实现远程网络用户对企业内部信息资源的安全访问。

【关键词】

虚拟专用网；VPN；网络安全

1 VPN技术简介

VPN（Virtual Private Network）即虚拟专用网络，指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术，通过对网络数据的封装和加密传输，在公用网络上传输私有数据的专用网络。在隧道的发起端（即服务端），用户的私有数据经过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。

VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境，是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能，具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问，通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来，构成一个扩展的公司企业网，此外它还提供了对移动用户和漫游用户的支持，使网络时代的移动办公成为现实。

VPN可以帮助远程用户同公司的内部网建立可信的安全连接，并保证数据的安全传输，通过将数据流转移到低成本的网络上，大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间，降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中，这样就大大简化了网络的设计和管理，满足了不断增长的移动用户和Internet用户的接入，以实现安全快捷的网络连接。

2 基于Internet的VPN网络架构及安全性分析

VPN技术类型有很多种，在互联网技术高速发展的今天，可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用，基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点，能够很好的满足企业对VPN的常规需求。

2.1 Internet环境下的VPN网络架构 Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端，用户的私有数据经过隧道协议和和数据加密之后在Internet上传输，通过虚拟隧道到达接收端，接收到的数据经过拆封和解密之后安全地传送给终端用户，最终形成数据交互。

2.2 VPN技术安全性分析 VPN技术主要由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输，因此安全问题是VPN技术的核心问题，目前，VPN的安全保证主要是通过防火墙和路由器，配以隧道技术、加密协议和安全密钥来实现的，以此确保远程客户端能够安全地访问VPN服务器。

在运行性能方面，随着企业电子商务活动的激增，信息处理量日益增加，网络拥塞的现象经常发生，这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略，分配基于数据传输重要性的接口带宽，这样既能满足重要数据优先应用的原则，又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长，对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担，管理平台要有一个定义安全策略的简单方法，将安全策略进行合理分布，并能管理大量网络设备，确保整个运行环境的安全稳定。

3 Windows环境下VPN网络的设计与应用

企业利用Internet网络技术和Windows系统设计出VPN网络，无需铺设专用的网络通讯线路，即可实现远程终端对企业资源的访问和共享。在实际应用中，VPN服务端需要建立在Windows服务器的运行环境中，客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。

3.1 Windows 2003系统中VPN服务器的安装配置 在Windows2003系统中VPN服务称之为“路由和远程访问”，需要对此服务进行必要的配置使其生效。

3.1.1 VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”，打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名，选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步，进入服务选择窗口；标准VPN配置需要两块网卡（分别对应内网和外网），选择“远程访问（拨号或VPN）”；外网使用的是Internet拨号上网，因此在弹出的窗口中选择“VPN”；下一步连接到Internet的网络接口，此时会看到服务器上配置的两块网卡及其IP地址，选择连接外网的网卡；在对远程客户端指派地址的时候，一般选择“来自一个指定的地址范围”，根据内网网段的IP地址，新建一个指定的起始IP地址和结束IP地址。最后，“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。

3.1.2 赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上，因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”“用户”，选中用户并进入用户属性设置；转到“拨入”选项卡，在“选择访问权限（拨入或VPN）”选项组下选择“允许访问”，即赋予了远端用户拨入VPN服务器的权限。

3.2 VPN客户端配置 VPN客户端适用范围更广，这里以Windows 2003为例说明，其它的Windows操作系统配置步骤类似。

在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“VPN服务器选择”窗口里，输入VPN服务端地址，可以是固定IP，也可以是服务器域名；点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码，即可连接上VPN服务器端。

3.3 连接后的共享操作 当VPN客户端拨入连接以后，即可访问服务器所在局域网里的信息资源，就像并入局域网一样适用。远程用户既可以使用企业OA，ERP等信息管理系统，也可以使用文件共享和打印等共享资源。

4 小结

现代化企业在信息处理方面广泛地应用了计算机互联网络，在企业网络远程访问以及企业电子商务环境中，虚拟专用网（VPN）技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络，从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务，是企业内部网的扩展和延伸。

第8篇：vpn技术范文

VPN技术是通过internet建立一个安全的、临时的链接，是一条穿过混乱的公共网络建立稳定、安全的通道。一般来说VPN 是对公司局域网的扩展，它能协助远程用户、公司分支机构与供应商同公司、商业伙伴等局域网建立的稳定可靠的连接，以及保障数据的安全传送。它是计算机网络中很重要的联通方式，基于VPN技术的网络平台在实际生活当中有很大的用途。

【关键词】应用研究 VPN技术 计算机网络

VPN的全称是Virtual Private Network ，中文称虚拟专用网，是在计算机网络平台上建筑的对地域没有限制，但是受公司统一决策控制及管理的公司网络，VPN以互联网为基础，公司能单独管理和策划自己的网络，通过安全附加的通道、访问控制和用户认证等关键技术实现与专业网络类似的安全功能，可以实现安全的信息传输。和公司单独建立的专用网络对比，VPN有简化管理、节约投资、易于扩展等优点，现在它成了世界许多家公司进行内部互联网的首要选择技术。

1 VPN技术的特点

1.1 数据的安全稳定性

VPN技术采用安全隧道技术可以实现安全和无缝的端与端之间的连接服务，从而保障数据资源的安全。

1.2 网络的便捷与可扩展性

用户可以用VPN技术构建专用网络，方便异地人员、客户之间的远程接入，加强企业之间的密切联系

1.3 管理更方便

VPN可以减轻企业内部网络在管理上的负担，它可以管理应用在internet服务提供者ISP的某一端来完成，虚拟专用网也可以进行路由、信息传输等功能，使用户的网络管理起来更方便。

1.4 成本效益得到提高

使用目前发达的互联网架构实现公司内部的专用网，可以节约运营维护成本以及前期的投资成本，可以让公司除VPN软件或设备费用外，不再浪费不必要的费用来增加成本。

2 实现VPN的前提

公司一般在使用远程网络时希望访问公司信息时确保信息的保密性，因此需要进行控制，所以对选择的方案要求实现自由的连接在授权用户和公司局域网资源之间，在各不相同的分支机构实现资源的共享；还能保证公司数据在公司内部网上和公共网上传输时的安全，因此，成功的VPN案例包含以下几方面：

2.1 隧道技术

VPN的核心是隧道技术，它包含数据的封装，传输和解包这3个过程，由于它是一直是网络协议的规范，可以保障端与端或是两点之间的数据传送的建立和拆除，隧道协议可以把其他协议中的数据包或是帧重新包装在新的包头当中再进行发送。新的包头可以提供路由信息，可以使封装的传递数据通过互联网进一步的传递。数据包在公共网上传递时经过的路径叫做隧道，当到达终点时，解包的数据就转发到最终的目的地。

2.2 身份验证

VPN方案的用户必须授权才可以访问，由于VPN超越了公共网络系统，一部分没有授权的隧道建立的冒名和请求连接的闯入难所避免，所以VPN技术对合法用户的安全认证进行了严格的要求，并且对认证服务器也要求严格，在某一个VPN当中认证服务器要有一个或多个。例如RADIUS安全服务器，用户在远程接入建立安全隧道时，VPN对访问用户进行权限的认证，核对这个用户是否有此权限，如果没有访问权限那么隧道就立即终止。VPN的安全认证也包括请求访问、IP分配、用户最长接入限制和被允许的接入地点的限制认证来确保VPN的安全性。

2.3 地址的管理

VPN方案必须要求为用户分配安全的网络地址。

2.3.1 VPN技术在某集团公司当中的应用

某集团公司有20个左右分公司，遍布于全国各地，每个分公司需要跟集团公司沟通联络，为了更大的提高工作效率，因此企业采用了VPN网络进行联络。

由于这20个分公司遍布全国各地，集团公司内部需要与各个分公司建立VPN联接，需要通过VPN加密的公用网络。各分公司的服务器和集团公司的服务器可以互相访问，各分公司的服务器不必进行访问，每个分公司的员工大约50人左右，服务器系统有视频会议系统、邮件系统、办公自动化系统等。集团公司使用私用网络地址映射到公网后进行访问，分公司要使用集团公司分配的私有地址。

集团公司要求分公司的用户分为两部分：一部分是移动用户，比较小的分公司或通过网络接入到集团内部单机。这类用户需要安装Client软件，让用户将互联网和VPN软件连接起来。

使用SplitTunneling安全机制可以保障核心网的安全，使远程办公室的网点通过IPSec隧道访问集团内网，也能访问集团外网，也可以安装上防火墙软件排除系统的安全隐患。

第二种用户的情况如下：

（1）用户没有地址转换器和防火墙的功能，还占用着公共地址的分支机构。大型分支机构不需要地址转换器，所以以太网需要接入局域网交换机和路由器等内容。

（2）用户需要安装防火墙，使用公用地址和私有地址的分公司也要有防火墙。

该项目的评价：第一，集团公司使用VPN技术简化了企业网络设计，使长途线路进行配置、安装的工作量减少了，能简化互联网的工程设计；第二，VPN的建立降低了公司的设计成本，使得办公活动、生产销售都处于网络的监控下，大大降低了网络使用成本和维修成本，使用互联网建立的VPN，可以节省通信费；第三， VPN可以提高网络的安全性，集团公司首先考虑的是网络的安全性，为了保证用户的网络安全，VPN可以用多种方式来保护，数据使用VPN加密，VPN的防火墙的使用也保证了企业内外网的安全；第四，可以更容易的扩展VPN软件，如果增加了分公司，那么增加了访问设备后就可以直接访问集团的内部网络。

综合起来看集团公司使用VPN技术与分公司的联接和沟通，形成了特定的VPN网络，它的建设和维护费用都比较低，想要实现资源的远程共享访问，必须要有安全的保障，可以进行生产管理监督、视频会议、异地协同办公等功能，使企业的管理系统化、信息化。VPN不仅可以提供各分公司的网络联接功能，也满足了各分公司对集团企业内网的访问需求。

2.3.2 VPN技术在图书馆方面的应用

目前教育事业蓬勃发展，出现了多个高校在学校图书馆使用计算机网络管理系统，目前学校的规模正在不断壮大，因此有很多分校 的成立，VPN技术的引入，使各个学校的图书馆相互连通，互相访问，节约了时间，提高了效率。

想要实现VPN技术进行连接，图书馆的VPN服务器一方面连接互联网，另一方面连接内部需要VPN专网，也要有公共的IP地址。当各个节点需要与总管进行网络通信时候，先将互联网提供商把数据传到目的地的计算机上。VPN使用身份认证、数据加密、隧道协议技术来保障信息的安全性。当节点向服务器发送指令时，服务器对此指令进行判断真伪，并对此用户的身份进行质疑，若为安全用户则具有访问的权限，服务器同意此连接，节点则可以正常的访问。在验证身份过程中，服务器使用公钥对此信息进行加密，路由把数据发送到目的地。把数据包裹或封装起来，在路由信息的帮助下让数据畅通的穿越公用互联网到达目的地。

2.3.3 VPN技术在计算机教学资源网中的应用

为了学生和教师获得更多的教学资源，各个学校提高了校园网络对外部网的访问，保存有教育信息的网络与internet连接，在访问外部网络的时候很可能受到外网的攻击，因为传统的设备无法解决传统计算机教学资源当中的机密性问题、身份认证性等问题，针对这些问题，把VPN技术应用在计算机教学资源网中，该系统有移动办公方便、安全性高、访问控制严格等优点。

目前，VPN技术的种类分为L2TP VPN、IPsec VPN、SSL VPN、MPLS/BGP VPN等。SSL 是一个独立于平台并独立于应用的协议，是工作在传输层和应用层之间的安全套接层，可以保护用户基于TCP的应用。SSL VPN技术由于接入方便、能够通过Internet接入业务网络，广泛应用于远程接入。用户使用SSL VPN技术，通过Web浏览器就可以接入要访问的远程资源。用户不需要安装客户端，为企业及政府带来方便。

在校园计算机教学网络资源建设时，注重安全设计，尤其是身份认证与访问控制。SSL VPN技术可以借助公共网络构建VPN，其成本远远低于专用网络，安全性能能够达到要求。身份认证与控制主要使用数字证书技术，使用SSL VPN网管设备自带的CA/RA系统。管理人员可以远程利用数字证书技术，通过USB-key对内部资源进行安全操作，通过SSL VPN建立校园资源网络与外部网络用户之间的VPN隧道进入校园教学资源网内访问资源。

综上所述VPN技术是目前网络发展的最新趋势，它不仅拥有数据的安全优点及数据共享的特点，还可以提供远程访问内外网的链接，也比帧中继网和专线投资低很多。不仅如此VPN还对接入和服务及带宽有了很大的改进，多节点，大带宽，可扩展型及易维护等特点，呈现出成本及技术的优势。

参考文献

[1]李辉.谈VPN技术参与组建安徽防汛抗旱计算机网络[J].江淮水利科技，2011.

[2]谭秦红.SSL VPN技术在计算机教学资源网络中的应用[J].计算机光盘软件与应用，2012.

第9篇：vpn技术范文

关键词：MPLS VPN 优点 原理 应用

传统的VPN通常建立在ATM/DDN/FR网上，随着IP网的大规模部署及ATM技术应用的衰落，在IP网上提供VPN业务被认为是一种非常经济的方式，随着MPLS技术的出现，基于MPLS的VPN技术发展迅速并已获得商用。

一、MPLS VPN的优点

MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前，在基于IP的网络中，MPLS具有很多优点：

（1）降低了成本

MPLS简化了ATM与IP的集成技术，使L2和L3技术有效地结合起来，降低了成本，保护了用户的前期投资。

（2）提高了资源利用率

由于在网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP资源利用率。

（3）提高了网络速度

由于使用标签交换，缩短了每一跳过程中地址搜索的时间，减少了数据在网络传输中的时间，提高了网络速度。

（4）提高了灵活性和可扩展性

由于MPLS使用的是Any To Any的连接，提高了网络的灵活性和可扩展性。灵活性方面，可以制订特殊的控制策略，满足不同用户的特殊需求，实现增值业务。扩容性包括：一方面网络中可以容纳的VPN数目更大；另一方面，在同一VPN中的用户很容易扩充。

（5）安全性高

采用MPLS作为通道机制实现透明报文传输，MPLS的LSP具有与帧中继和ATM VCC（Virtual Channel Connection，虚通道连接）类似的高可靠安全性。

二、MPLS VPN的原理介绍

MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合，一个site可以属于不同的VPN，属于同一VPN的site具有IP连通性，不同VPN间可以有控制地实现互访与隔离。

MPLS VPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商，也就是MPLS网络中的标签边缘路由器（LER），它根据存放的路由将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由而不维护VPN相关的路由。

根据PE路由器是否参与客户的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准，使用BGP在PE路由器之间分发路由，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLS VPN。

整个MPLS VPN体系结构可以分成控制面和数据面，控制面定义了LSP的建立和VPN路由信息的分发过程，数据面则定义了VPN数据的转发过程。

在控制层面，P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP（RIPv2、OSPF）等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互，PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外，在控制层面工作的还有LDP，它在整个MPLS网络中进行标签的分发，形成数据转发的逻辑通道LSP。

在数据转发层面，MPLS VPN网络中传输的VPN业务数据采用外标签（又称隧道标签）和内标签（又称VPN标签）两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过PE输出接口转发出去，然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上，外层标签被弹出，P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。

三、MPLS VPN的综合网管网络中的应用

河北铁通省网管中心建有交换综合网管系统，通过计费网与各地市综合网管终端相联，维护和操作各地市的程控交换设备。由于交换综合网管网络与计费网络共有一张业务支撑网，多业务并存，造成诸多问题，如：网络资源分散，部分网络资源利用率低，部分网络不能满足日益增长的业务需求；各业务系统之间实现了互联互通，但无法进行有效的安全隔离，安全性较差。

为改变这种状况，满足企业业务支撑网络整体长期发展的需要，河北铁通采用MPLS VPN技术对现网进行了改造。在全省建立一张统一的MPLS骨干网络来承载交换综合网管业务，与原计费网络实现隔离。

将省两台核心路由器NE80E作为RR，提供RR的冗余保护，各地市的华为路由器、BAS作为RR Client和PE；在省干设备和地市汇聚设备上建立新的省内VPN实例jhwg_VPN，要求各地市不能互通，都能够和省公司互通；各地市城域网自行规划vlan范围作为交换网管业务专用。组网说明：业务通过CE路由器（或直连方式）接入VPN，VPN采用MPLS-L3VPN；PE设备组成一个不同VPN间相互隔离的三层路由网络；建议使用高性能路由器作为路由反射器，避免PE全互联的组网；全网P、PE设备部署MBGP协议。

与原先的网络相比，采用MPLS VPN技术改造后的网络具有以下特点：

不同业务系统的数据由不同骨干网络承载，网络结构更加清晰，维护简单。

安全措施部署简单，业务系统可以进行更加安全的隔离。

网络扩展性好，当增加新业务系统时不需要建设新的网络，只需增加一个VPN即可；不需要针对某个业务系统单独扩容网络带宽，只有当骨干网络平台总带宽不足时才考虑进行扩容。

各业务系统统计复用骨干网总带宽，也可以根据各业务系统实际的流量分配带宽，从而合理地使用网络资源，网络资源利用率高。

参考文献

[1]互联网. BGP/MPLS VPN的实现技术[D].江苏电信有限公司

[2]籍兴江. MPLS/VPN 基本原理及在ZXR10中的配置[J].张玉红 崔世耀：中国铁通山东分公司