vpn技術(shù)

時(shí)間：2022-12-21 06:15:45

開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇vpn技術(shù)，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進(jìn)步。

vpn技術(shù)

第1篇

關(guān)鍵詞 vpn；原理；特點(diǎn)；應(yīng)用

中圖分類號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2011）35-0182-01

1 VPN的概念

所謂VPN（Virtual Private Network，虛擬私有網(wǎng)絡(luò)）是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)，這里的公用網(wǎng)主要指Interet。為了保障信息在Internet上傳輸?shù)陌踩裕琕PN通過建立隧道機(jī)制實(shí)現(xiàn)，隧道機(jī)制可以提供一定的安全性，并且使VPN中分組的封裝方式、地址信息與承載網(wǎng)絡(luò)的封裝方式、地址信息無關(guān)。VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸中不被偷看、篡改、復(fù)制。

2 IPSec是VPN最常用技術(shù)之一

IPSec VPN是基于IPSec（Internet Protocol Security）規(guī)范的VPN技術(shù)或網(wǎng)絡(luò)的統(tǒng)稱。IPSec即Intenet安全協(xié)議，是IETF提供Internet安全通信的一系列規(guī)范，它提供私有信息通過公用網(wǎng)的安全保障。IPSec規(guī)范相當(dāng)復(fù)雜，規(guī)范中包含大量的文檔。IPSec在TCP/IP協(xié)議的核心層―IP層實(shí)現(xiàn)，可以有效地保護(hù)各種上層協(xié)議，并為各種安全服務(wù)提供一個(gè)統(tǒng)一的平臺(tái)。

3 IPSec VPN工作原理

設(shè)想甲、乙兩個(gè)異地局域網(wǎng)需要進(jìn)行通訊，因?yàn)槭蔷钟蚓W(wǎng)內(nèi)網(wǎng)IP地址不能通過INTERNET公網(wǎng)進(jìn)行安全通訊。只有通過IPSec包封裝技術(shù)，利用Internet公網(wǎng)IP地址，封裝內(nèi)部私網(wǎng)的IP數(shù)據(jù)，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通：如果甲私網(wǎng)IP發(fā)信給乙私網(wǎng)IP地址，甲局域網(wǎng)IP數(shù)據(jù)經(jīng)甲私網(wǎng)IP地址傳至出口處甲地IPSec VPN網(wǎng)關(guān)進(jìn)行加密封裝，通過INTERNET公網(wǎng)傳送至乙地IPSec VPN網(wǎng)關(guān)進(jìn)行解密拆封裝后，交給乙局域網(wǎng)私網(wǎng)IP地址。相反乙私網(wǎng)IP地址回信給甲私網(wǎng)IP也是一樣過程，這樣就實(shí)現(xiàn)異地局域網(wǎng)對(duì)局域網(wǎng)的通訊。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能，保證數(shù)據(jù)通信安全正確。IPSec安全協(xié)議對(duì)數(shù)據(jù)封裝加密及身份認(rèn)證使用同一密鑰，既用于加密又用于解密。私鑰加密算法非常快，特別適用于對(duì)較大的數(shù)據(jù)流執(zhí)行加密轉(zhuǎn)換。IPSEC通訊的數(shù)據(jù)認(rèn)證使用md5算法計(jì)算包文特征，報(bào)文還原以后，檢查這個(gè)特征碼，看看是否匹配，證明數(shù)據(jù)傳輸過程是否被篡改。

4 IPSec VPN特點(diǎn)

1）經(jīng)濟(jì)：用戶不再承擔(dān)昂貴的固定線路的租費(fèi)。DDN、幀中繼、SDH的異地租費(fèi)很高，而Internet的接入費(fèi)用則只承擔(dān)本地的寬帶費(fèi)用，費(fèi)用很低。此外VPN網(wǎng)關(guān)設(shè)備功能強(qiáng)勁但造價(jià)低廉；2）靈活：接入靈活，不受互聯(lián)網(wǎng)接入運(yùn)營(yíng)商的限制，支持動(dòng)態(tài)IP地址和NAT穿越。連接Internet 的方式可以是10M 、100M 端口，也可以是2M 或更低速的端口，XDSL 或撥號(hào)都可以連接Internet。一個(gè)IPSec VPN網(wǎng)絡(luò)可以連接任意地點(diǎn)的分支，即使跨越大洋也毫不受限制。支持多分支多端口，擴(kuò)展性好；3）安全： IPSec VPN最顯著特點(diǎn)就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。通過領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、過濾/防火墻、通過RADIUS、LDAP和 SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全。同時(shí)，VPN 設(shè)備內(nèi)置專業(yè)防火墻功能，對(duì)數(shù)據(jù)包采用多維策略過濾，最大可能地防止黑客攻擊；4）可靠： VPN 設(shè)備可提供冗余機(jī)制，保證鏈路和設(shè)備的可靠性。在中心節(jié)點(diǎn)VPN 核心設(shè)備提供冗余CPU 、冗余電源的硬件設(shè)計(jì)。而在鏈路發(fā)生故障時(shí)，VPN交換機(jī)支持靜態(tài)隧道故障恢復(fù)功能，隧道定時(shí)巡檢機(jī)制，快速自動(dòng)修復(fù)功能，確保互聯(lián)數(shù)據(jù)的安全可靠；5）方便：技術(shù)人員可以通過管理軟件，實(shí)現(xiàn)遠(yuǎn)程配置節(jié)點(diǎn)設(shè)備，方便管理及故障處理；

6）多業(yè)務(wù)：通過IPSec VPN網(wǎng)絡(luò)可以傳送IP話音、視頻業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)，運(yùn)行ERP軟件，為現(xiàn)代化辦公提供便利條件。

第2篇

隨著互聯(lián)網(wǎng)及網(wǎng)絡(luò)技術(shù)的發(fā)展，VPN(Virtual Private Network)技術(shù)被廣泛地應(yīng)用。MPLS-VPN是一種基于MPLS技術(shù)的IP-VPN，在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，從而簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)IP虛擬專用網(wǎng)絡(luò)（IP-VPN）。

2 MPLS技術(shù)概述

MPLS(Multi-Protocols Label Switching)即多協(xié)議標(biāo)記交換，是一項(xiàng)用綁定在包中的標(biāo)記(或叫標(biāo)簽)通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)的技術(shù)。它將第二層的交換和第三層的路由技術(shù)很好地結(jié)合起來，以簡(jiǎn)潔的方式完成了信息的傳送，把路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)分開由標(biāo)簽來規(guī)定一個(gè)分組通過網(wǎng)絡(luò)的路徑。

3 VPN技術(shù)的概述

VPN（虛擬專用網(wǎng)）是利用網(wǎng)絡(luò)來傳輸私有信息而形成的邏輯網(wǎng)絡(luò)，用來在通用的網(wǎng)絡(luò)結(jié)構(gòu)上標(biāo)識(shí)閉合的用戶組。通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，從而實(shí)現(xiàn)在公網(wǎng)上完整、保密地傳輸私有數(shù)據(jù)。

4 MPLS-VPN的工作原理

MPLS-VPN則是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)，即采用MPLS技術(shù)在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時(shí)，提供強(qiáng)有力的QOS能力，具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活等特點(diǎn)。它把整個(gè)網(wǎng)絡(luò)中的路由器分為三類：用戶邊緣路由器（CE）、運(yùn)營(yíng)商邊緣路由器（PE）和運(yùn)營(yíng)商骨干路由器（P），其中PE充當(dāng)IP-VPN接入路由器。MPLS-VPN的主要工作流程如下：

(1)用戶端的路由器(CE)首先通過靜態(tài)路由和BGP將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器(PE)，同時(shí)在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應(yīng)的標(biāo)記(VPN的標(biāo)記，以下簡(jiǎn)稱為內(nèi)層標(biāo)記)，而在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP協(xié)議進(jìn)行路由信息與標(biāo)記(骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記)的綁定。此時(shí)，CE、PE以及P路由器基本的網(wǎng)絡(luò)拓?fù)浜吐酚尚畔⒁呀?jīng)形成。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個(gè)VPN的路由信息。

(2)當(dāng)屬于某一個(gè)VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在CE與PE連接的接口上可以識(shí)別出該CE屬于哪一個(gè)VPN，進(jìn)而到該VPN的路由表中去讀取下一跳的地址信息，同時(shí)在上傳的數(shù)據(jù)包上打上VPN標(biāo)記(內(nèi)層標(biāo)記)。這時(shí)得到的下一跳地址為該P(yáng)E作Peer的PE的地址，為了達(dá)到這個(gè)目的端的地址，同時(shí)采用LDP在用戶上傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記(外層標(biāo)記)。

(3)在骨干網(wǎng)絡(luò)中，初始PE之后的P只讀取外層標(biāo)記的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡(jiǎn)單的標(biāo)記交換。

(4)在達(dá)到目的端PE之前的最后一個(gè)P路由器時(shí)，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到VPN并送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。

從以上的工作過程可見,MPLS-VPN絲毫不改變CE和PE原有的配置,有新的CE加入網(wǎng)絡(luò)時(shí)，只需在PE上作簡(jiǎn)單配置，其余的改動(dòng)信息由IGP/BGP自動(dòng)通知CE和PE。

5 MPLS-VPN的特點(diǎn)

（1）安全性。MPLS可以將不同VPN的通信完全隔離，使得無關(guān)用戶的通信不會(huì)混雜其中從而提高了安全性。MPLS-VPN借助MPLS技術(shù)，利用兩層標(biāo)記(label)，自動(dòng)為不同用戶的節(jié)點(diǎn)間建立不同的隧道，實(shí)現(xiàn)了用戶流量的隔離，提供了邏輯上最大的安全性。

（2）擴(kuò)展性。MPLS-VPN具有很好的網(wǎng)絡(luò)可擴(kuò)展性，可以建立任意的連接。同一個(gè)VPN中的用戶節(jié)點(diǎn)數(shù)不受限制容易擴(kuò)充，特別是在實(shí)現(xiàn)用戶節(jié)點(diǎn)間的全網(wǎng)狀通信時(shí)不需要逐條配置用戶節(jié)點(diǎn)間的電路。

（3）可靠性。網(wǎng)絡(luò)的可靠性主要靠資源的冗余度來實(shí)現(xiàn)。MPLS-VPN依托互聯(lián)網(wǎng)展開，因此設(shè)備、線路和路由都有冗余保護(hù)措施，保證了網(wǎng)絡(luò)的可靠性。

（4）無連接的服務(wù)。MPLS-VPN是“非面向連接的”，由于這種特性,它不需要通過建立許多點(diǎn)對(duì)點(diǎn)的隧道和加密技術(shù)來實(shí)現(xiàn)，這樣可大大減少網(wǎng)絡(luò)實(shí)現(xiàn)的復(fù)雜性。

（5）易于實(shí)施。由于MPLS-VPN是“非面向連接的”，且VPN信息只需要由PE來維護(hù)，對(duì)CE是透明的，網(wǎng)絡(luò)的擴(kuò)展和實(shí)施變得相對(duì)容易。增加VPN客戶端站點(diǎn)時(shí)，只要簡(jiǎn)單地將CE設(shè)備接入PE即可，所有的配置只需在PE上進(jìn)行，非常易于實(shí)現(xiàn)和管理。

6 結(jié)束語

隨著MPLS技術(shù)和IP VPN技術(shù)的日趨成熟。MPLS技術(shù)是一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)男录夹g(shù)，它不僅能夠解決當(dāng)前網(wǎng)絡(luò)中存在的問題，而且能支持許多新的功能，將成為重要技術(shù)在公用網(wǎng)上使用。可以說MPLS技術(shù)是下一代最具競(jìng)爭(zhēng)力的通信網(wǎng)絡(luò)技術(shù)。

參考文獻(xiàn)

[1]凌永發(fā),王杰，陳躍斌.多協(xié)議標(biāo)簽交換技術(shù)的應(yīng)用[J].云南民族大學(xué)學(xué)報(bào):自然科學(xué)版,2005,14(3):64-67.

第3篇

【關(guān)鍵詞】隧道；PPTP；L2TP；IPSec；VPN

Researching and Implementation of VPN Tunnel Technology

Chen qiang

（Center Hospital of Nanyang，Nanyang，China，473009）

Abstract: With the developing and improving of the Internet,more and more companies create their own private network used by Tunnel Technology.Tunneling is a method and mechanisms of encapsulate a packet within another packet,so as to accomplish transmission of private packet between two nodes.This article describes the VPN tunnel technolog, including the general technical requirements for VPN tunnel,and some tunneling protocols which is widely used.In the end I choose L2TP and IPSec by compare with some typical tunneling protocols,and implementation of remote dial-up Internet access based on L2TP by tools ,and setting security tunnel based on IPSec.

Key words: Tunneling;PPTP;L2TP;IPSec;VPN

1、VPN簡(jiǎn)介

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它是指在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包或加密傳輸，在公眾網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。它為我們提供了一種通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。VPN實(shí)際上就是一種服務(wù)，用戶感覺好象直接和他們的個(gè)人網(wǎng)絡(luò)相連，但實(shí)際上是通過服務(wù)商來實(shí)現(xiàn)連接的。VPN還被被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

2、VPN隧道技術(shù)

當(dāng)一個(gè)數(shù)據(jù)包被封裝在另一個(gè)數(shù)據(jù)包的凈荷中進(jìn)行傳送時(shí)，所經(jīng)過的路徑稱為隧道。隧道（Tunneling）技術(shù)就是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議的技術(shù)，它是虛擬專用網(wǎng)所采用的一項(xiàng)關(guān)鍵技術(shù)。在虛擬專用網(wǎng)中，原有數(shù)據(jù)包首先要通過特殊的協(xié)議重新加密封裝在另一個(gè)數(shù)據(jù)包中，然后再通過公共網(wǎng)絡(luò)的傳輸協(xié)議（如TCP/IP）在公共網(wǎng)絡(luò)中傳輸，當(dāng)數(shù)據(jù)包到達(dá)虛擬專用網(wǎng)的 VPN設(shè)備時(shí)，VPN設(shè)備首先要對(duì)數(shù)字簽名進(jìn)行核對(duì)，核對(duì)無誤后才能進(jìn)行解包形成最初的形式。由于這種技術(shù)使用了一種網(wǎng)絡(luò)傳輸協(xié)議來傳輸另一種網(wǎng)絡(luò)傳輸協(xié)議，就像在公共網(wǎng)絡(luò)中挖出了一條數(shù)據(jù)據(jù)傳輸?shù)膶Ｓ盟淼酪粯樱虼吮环Q為隧道技術(shù)。

隧道技術(shù)非常有用。首先，一個(gè)IP隧道可以調(diào)整任何形式的有效負(fù)載。使用桌面或便攜式計(jì)算機(jī)的用戶能夠透明地?fù)芴?hào)上網(wǎng)來訪問他們公司的網(wǎng)絡(luò)。第二，隧道能夠同時(shí)調(diào)整多個(gè)用戶或多個(gè)不同形式的有效負(fù)載，這可以利用封裝技術(shù)來實(shí)現(xiàn)。第三，使用隧道技術(shù)訪問公司網(wǎng)時(shí)，公司網(wǎng)不會(huì)向Internet報(bào)告它的IP網(wǎng)絡(luò)地址。第四，隧道技術(shù)允許接受者濾掉或報(bào)告?zhèn)€人的隧道連接。

3、隧道協(xié)議

為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對(duì)應(yīng)于OSI模型的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP（點(diǎn)對(duì)隧道協(xié)議）、L2F（第二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（第二層隧道協(xié)議）都屬于第2層隧道協(xié)議，是將用戶數(shù)據(jù)封裝在PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）幀中通過互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IPSec（IP層安全協(xié)議）屬于第3層隧道協(xié)議，是將IP包封裝在附加的IP包頭中，通過IP網(wǎng)絡(luò)傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于，用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。

4、隧道的實(shí)現(xiàn)

4.1選擇L2TP和IPSec協(xié)議

L2TP允許遠(yuǎn)程用戶通過Internet安全地訪問企業(yè)網(wǎng)絡(luò)，同時(shí)結(jié)合了PPTP和L2TP的特點(diǎn),特別適合組建遠(yuǎn)程接入的VPN。而IPSec可以建立一條安全的隧道，對(duì)隧道傳輸中的數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)傳輸過程中的安全。

4.2基于L2TP的遠(yuǎn)程撥號(hào)

由于企業(yè)用戶的移動(dòng)性，通常采用遠(yuǎn)程撥號(hào)的L2TP連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。在此用Vmware和DynamipsGUI模擬實(shí)現(xiàn)第二層VPN（l2tp）。路由器采用Cicso 3640-JK.BIN，實(shí)驗(yàn)拓?fù)淙鐖D1所示。

連接說明：R1的e0/3接口橋接在主機(jī)“本地連接”網(wǎng)卡上，通過該網(wǎng)卡接入互聯(lián)網(wǎng)，R2的e0/3接口和“VMware Virtual Ethernet Adapter for VMnet1”橋接。然后Vmware上的主機(jī)撥號(hào)到R1上，通過R1連入Internet。

在做完Vmware虛擬機(jī)的設(shè)置后，使用DynamipsGUI 模擬網(wǎng)絡(luò)環(huán)境：打開DynamipsGUI，路由器個(gè)數(shù)選2個(gè)，交換機(jī)個(gè)數(shù)0，橋接到PC，設(shè)備類型選3640，根據(jù)實(shí)驗(yàn)拓?fù)鋱D，端口連接設(shè)置：Router1 E0/0 Router2 E0/0；Router1 E0/3 XPC P0/0；Router3 E0/3 XPC P0/1。

根據(jù)圖1的網(wǎng)絡(luò)拓?fù)鋱D，配置路由器R1和R2,使之能夠進(jìn)行通訊，在配置過程中，要注意利用vpdn enable命令啟動(dòng)L2TP拔號(hào)。在配置好路由器以后，就要在windows中進(jìn)行拔號(hào)連接，首先要修改注冊(cè)表項(xiàng)，Windows2000/xp/2003 的L2TP缺省啟動(dòng)證書方式的IPSEC，因此必須向Windows 添加ProhibitIpSec 注冊(cè)表值，并將該值修改為“1”以防止創(chuàng)建用于 L2TP/IPSec 通信的自動(dòng)篩選器。然后新建L2TP撥號(hào)連接。在VPN服務(wù)器輸入要拔號(hào)的IP地址。一條用于遠(yuǎn)程撥號(hào)上網(wǎng)的L2TP隧道建立完成。

4.3基于IPSec的安全隧道

雖然采用L2TP的遠(yuǎn)程撥號(hào)連接可以更好的使企業(yè)用戶連接到企業(yè)內(nèi)部網(wǎng)路，但是由于l2TP在傳輸數(shù)據(jù)過程中的不安全性，容易導(dǎo)致一些重要信息被竊取。因而通常采用IPSec保證VPN隧道的安全。網(wǎng)絡(luò)拓?fù)鋱D如圖5所示。

將RA的e0/0接口橋接在主機(jī)“本地連接”網(wǎng)卡上，RB的e0/0接口和虛擬機(jī)的網(wǎng)卡“VMnet1”橋接。根據(jù)實(shí)驗(yàn)拓?fù)鋱D，連接對(duì)應(yīng)端口

Router1 E0/0 XPC P0/0

Router2 E0/0 XPC P0/1

Router1 E0/1 Router2 E0/1

然后配置圖中的RA和RB兩個(gè)路由器使之連通，在配置過程中使用md5等加密算法來加密隧道數(shù)據(jù)傳輸，并且要啟動(dòng)ipsec，配置好以后，在Windows下配置IPSec策略，完成在Windows下IPSec策略的配置，當(dāng)配置好所有路由后，進(jìn)行全網(wǎng)互通測(cè)試。測(cè)試成功后，一條基于的IPSec的安全隧道建立完成。

5、結(jié)論

隧道機(jī)制的實(shí)現(xiàn)是VPN技術(shù)的一個(gè)核心組件。可以說，沒有隧道機(jī)制，也就不存在所謂的VPN技術(shù)。除了VPN外，隧道機(jī)制還被應(yīng)用在許多其它的場(chǎng)合，例如移動(dòng)IP。因此，必須深入研究隧道機(jī)制的實(shí)現(xiàn)和部署。

參考文獻(xiàn)

[1] 郭聃.L2TP構(gòu)建VPN[J].通訊世界,2002.

[2] 戴宗坤, 唐三瓶.VPN與網(wǎng)絡(luò)安全[M].北京：金城出版社,2000.

[3] 張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京：科學(xué)出版社,2002.

[4] W. Richard Stevens.TCP/IP詳解[M].北京：機(jī)械工業(yè)出版社,2000.

[5] Davis Carlton RIPSec.VPN的安全實(shí)施[M].北京：清華大學(xué)出版社,2002.

第4篇

關(guān)鍵詞：VPN技術(shù)；隧道；優(yōu)化

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）06-0034-03

1概述

VPN（Virtual Private Network），即虛擬專用網(wǎng)，它是利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并能提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。[1]由于通過VPN技術(shù)可以實(shí)現(xiàn)資源的傳輸和共享，并實(shí)現(xiàn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和安全。因此，它得到了積極的推廣和應(yīng)用。但其在應(yīng)用過程中，隨著分支機(jī)構(gòu)辦公人員數(shù)量以及需求不斷增加，多帶寬使用率的要求也越來越高，導(dǎo)致分支用戶業(yè)務(wù)使用不便，同時(shí)專線vpn對(duì)于移動(dòng)辦公人員和各辦事處人員訪問公司的系統(tǒng)不能更好的支持。因此，對(duì)其進(jìn)行優(yōu)化也顯得十分必要。

2 VPN的應(yīng)用

2.1 VPN的實(shí)現(xiàn)原理

VPN技術(shù)并不依靠物理上的端到端的專用連接，即沒有固定的物理連接，它是利用Internet、ATM等公用網(wǎng)絡(luò)設(shè)施，在兩臺(tái)直接與公網(wǎng)連接的計(jì)算機(jī)之間建立一條專用通道，建立起虛擬的專用通路，并利用隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝，使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越，從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道將需要一個(gè)專門的過程，依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備及協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括3個(gè)單元：VPN服務(wù)器端、VPN客戶端機(jī)和VPN數(shù)據(jù)通道。

2.2 VPN 的實(shí)現(xiàn)

要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必需配置一臺(tái)VPN內(nèi)網(wǎng)接入設(shè)備，該設(shè)備有雙網(wǎng)卡，它一方面連接企業(yè)內(nèi)部網(wǎng)絡(luò)，另一方面連接到Internet，即VPN服務(wù)器必須有一個(gè)公用的IP地址。VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程用戶使用時(shí)根本無需關(guān)心隧道的建立、數(shù)據(jù)加密、用戶認(rèn)證等過程。[3]遠(yuǎn)程用戶采用TCP/IP 協(xié)議，選擇建立虛擬隧道，并保持原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和應(yīng)用模式不變，以便實(shí)現(xiàn)快捷、廉價(jià)、保密的通信。

2.3 VPN的應(yīng)用場(chǎng)景

VPN的應(yīng)用場(chǎng)景分可分為3種：

1）站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)：在不同的地方分支，各使用一個(gè)網(wǎng)關(guān)相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)則通過這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。

2）端到端或者PC到PC：兩臺(tái)PC之間的通信由兩臺(tái)PC之間的IPSec進(jìn)行會(huì)話保護(hù)，而并不是網(wǎng)關(guān)。

3）端到站點(diǎn)或者PC到網(wǎng)關(guān)：兩臺(tái)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。VPN只是IPSec的一種應(yīng)用方式，它的目的是為IP提供高安全性特性，VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設(shè)計(jì)

本方案主要是在總部和分支各部署一臺(tái)深信服（SANGFOR）加速設(shè)備，對(duì)現(xiàn)有專線數(shù)據(jù)傳輸進(jìn)行優(yōu)化。SANGFOR VPN設(shè)備支持多種加密算法、硬件證書認(rèn)證、移動(dòng)客戶端專線功能，能保障用戶訪問安全和數(shù)據(jù)傳輸安全。

具體方案如下：

1）通過SANGFOR設(shè)備對(duì)專線線路重復(fù)冗余的數(shù)據(jù)進(jìn)行刪減、壓縮，以減少數(shù)據(jù)傳輸量，提高分支機(jī)構(gòu)和總部之間響應(yīng)速度；

第5篇

關(guān)鍵詞：VPN；虛擬專用網(wǎng)；隧道技術(shù)；點(diǎn)對(duì)點(diǎn)，；虛擬網(wǎng)卡

1.VPN技術(shù)簡(jiǎn)介

VPN技術(shù)是一種組網(wǎng)技術(shù)，綜合了加密技術(shù)和協(xié)議封裝技術(shù)，利用在公共網(wǎng)絡(luò)上建立加密隧道的方法，來建立一種虛擬的專用網(wǎng)。VPN系統(tǒng)有很多特點(diǎn)，如專用、虛擬、廉價(jià)、安全等。VPN系統(tǒng)安全性的基礎(chǔ)是虛擬實(shí)現(xiàn)基于某協(xié)議的封裝技術(shù)或者路由過濾技術(shù)，還有所采用的加密算法。VPN的實(shí)現(xiàn)方式有兩種，軟件實(shí)現(xiàn)或者硬件實(shí)現(xiàn)。在VPN技術(shù)出現(xiàn)以前，私有專用網(wǎng)絡(luò)的建設(shè)維護(hù)費(fèi)用非常高昂，再加之網(wǎng)絡(luò)帶寬的提高和通信技術(shù)的發(fā)展，現(xiàn)代辦公的需要等原因，促使VPN技術(shù)的出現(xiàn)和快速發(fā)展。VPN的發(fā)展經(jīng)歷了三個(gè)主要階段，最開始的路由過濾技術(shù)，之后的協(xié)議封裝技術(shù)，現(xiàn)在的應(yīng)用最普遍的隧道加密技術(shù)。

在應(yīng)用方面看來，VPN主要分為三個(gè)類型，企業(yè)擴(kuò)展虛擬網(wǎng)Extranet VPN、企業(yè)內(nèi)部虛擬網(wǎng)Intranet VPN和遠(yuǎn)程訪問虛擬網(wǎng)Access VPN。其中，企業(yè)擴(kuò)展虛擬網(wǎng)和企業(yè)內(nèi)部虛擬網(wǎng)一般被統(tǒng)稱為專線VPN；遠(yuǎn)程訪問虛擬網(wǎng)通常被叫做撥號(hào)VPN，也就是VPDN，Virtual Private-DIAL-UP Networks。

企業(yè)擴(kuò)展虛擬網(wǎng)，就是不同的企業(yè)網(wǎng)通過公共網(wǎng)絡(luò)來建立虛擬網(wǎng)。它適合提供B2B的訪問服務(wù)，并保障其安全。Extranet VPN是通過使用一個(gè)共享基礎(chǔ)設(shè)施來進(jìn)行專用鏈接，將感興趣的團(tuán)體例如供應(yīng)商戶、合作企業(yè)或者客戶與企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行鏈接，這些團(tuán)體與企業(yè)專用網(wǎng)絡(luò)享有同樣的服務(wù)質(zhì)量、安全性能、可靠性和管理性。

企業(yè)內(nèi)部虛擬網(wǎng)，也是通過公網(wǎng)建立的虛擬網(wǎng)，它鏈接的是企業(yè)的各個(gè)分支機(jī)構(gòu)和企業(yè)總部。Intranet VPN是通過使用一個(gè)共享基礎(chǔ)設(shè)施來進(jìn)行專用鏈接，與企業(yè)專用網(wǎng)絡(luò)享有同樣的服務(wù)質(zhì)量、安全性能、可靠性和管理性。

遠(yuǎn)程訪問虛擬網(wǎng)，是通過公網(wǎng)的遠(yuǎn)程撥號(hào)建立的虛擬網(wǎng)，它鏈接的對(duì)象是企業(yè)的小分支部門或者是企業(yè)的員工。Access VPN完成鏈接的方式有很多種，用戶可以根據(jù)需要選擇鏈接，例如移動(dòng)IP、ISDN、XDSL、撥號(hào)等等。

2.隧道技術(shù)

前面提到，VPN技術(shù)的實(shí)現(xiàn)基礎(chǔ)，但是并不是所有VPN解決方案都使用相同的隧道技術(shù)，不同的隧道技術(shù)也有著各自的特點(diǎn)。首先，在隧道通信上，所使用的協(xié)議不同，但就目前來講應(yīng)用層實(shí)現(xiàn)VPN時(shí)，采用的協(xié)議只有TCP或者UDP，它們各自有著自己的優(yōu)點(diǎn)。另外，隧道建立的起始位置也是隨著客戶需求而變化的，主要有從網(wǎng)關(guān)到網(wǎng)關(guān)、從主機(jī)到主機(jī)和從主機(jī)到網(wǎng)關(guān)三種類型。

本文中，將VPN隧道建立在VPN客戶端和VPN服務(wù)器或者VPN網(wǎng)關(guān)和VPN網(wǎng)關(guān)之間，在這里所采用的技術(shù)都是在應(yīng)用層實(shí)現(xiàn)的，所以，隧道通信中采用的網(wǎng)絡(luò)協(xié)議也無外乎是UDP和TCP協(xié)議。而在本技術(shù)的實(shí)現(xiàn)過程中，采用的是TCP協(xié)議。TCP協(xié)議有著它固有的優(yōu)點(diǎn)，首先它是流式傳輸，這樣可以非常有效的減少IP數(shù)據(jù)包在傳輸過程中的分片。例如，假設(shè)要傳輸?shù)腎P數(shù)據(jù)包使用1500字節(jié)的MTU，如果這個(gè)IP數(shù)據(jù)包使用的是UDP協(xié)議，則根據(jù)協(xié)議棧規(guī)定，則需要在數(shù)據(jù)包中加上IP頭和UDP頭，這樣新生成的數(shù)據(jù)包就會(huì)大于之前的MTU，從而會(huì)將其拆分為兩個(gè)分段來進(jìn)行傳輸，而且分段二的大小會(huì)很小，這樣不僅影響了傳輸效率，還影響了數(shù)據(jù)在傳輸過程中的安全性。相反，如果采用TCP來進(jìn)行IP數(shù)據(jù)包的傳輸，則IP數(shù)據(jù)包(最后一個(gè)除外)都會(huì)是MTU的大小，這樣不僅使得傳輸效率有了非常大的提高，而且還有利于數(shù)據(jù)的安全性。但是TCP協(xié)議也有不足之處，就是TCP連接的建立和確認(rèn)需要一定的網(wǎng)絡(luò)開銷。

在介紹過使用UDP和TCP協(xié)議建立隧道的特點(diǎn)后，本文采用的是TCP。在TCP協(xié)議的基礎(chǔ)上，隧道傳輸要經(jīng)歷以下幾個(gè)過程，隧道建立、隧道傳輸和隧道拆除。這三個(gè)過程組成了一個(gè)隧道的生命周期，如圖1所示。

由上圖可以看出，隧道技術(shù)的本質(zhì)就是TCP的鏈接，經(jīng)過壓縮和特定方法加密后的IP數(shù)據(jù)包就在這個(gè)鏈接上進(jìn)行傳輸。傳輸有兩方面參與，一方將本地加密的IP數(shù)據(jù)包傳輸?shù)綄?duì)方的網(wǎng)關(guān)，另一方實(shí)在接收到遠(yuǎn)程發(fā)送的IP數(shù)據(jù)包以后，將其轉(zhuǎn)發(fā)給本地虛擬網(wǎng)卡。由此可見，利用隧道技術(shù)進(jìn)行的數(shù)據(jù)傳輸，本質(zhì)上就是TCP協(xié)議的數(shù)據(jù)傳輸，隧道傳輸在技術(shù)上的實(shí)現(xiàn)也是通過socket編程，除了socket本身可以提供的I/O模型以外，隧道技術(shù)還必須要解決數(shù)據(jù)收發(fā)的同步操作，為了保證數(shù)據(jù)在隧道上高效的傳輸和收發(fā)，必須建立一個(gè)合適的數(shù)據(jù)收發(fā)的I/O模型，才能滿足這個(gè)需求。一方面線程要及時(shí)發(fā)送其他線程傳輸過來的數(shù)據(jù)包，另一方面此線程還要及時(shí)接受來自隧道另一端的數(shù)據(jù)，并且盡力減少同步傳輸過程中帶來的數(shù)據(jù)損失并保證數(shù)據(jù)的安全性，所以，隧道上接收的數(shù)據(jù)是在本地線程內(nèi)完成的，而發(fā)送的數(shù)據(jù)則是由另外的其他線程完成的，故數(shù)據(jù)收發(fā)的同步操作指的是本地線程和其他線程之間的數(shù)據(jù)同步。Windows平臺(tái)下對(duì)于socket實(shí)現(xiàn)應(yīng)用程序的網(wǎng)絡(luò)通信同樣也是支持的，針對(duì)socket通信機(jī)制的平臺(tái)擴(kuò)充，windows也提供了一些高級(jí)的編程模型，例如一些WSA開頭的Winsock函數(shù)，有效的解決了線程同步的問題。

3.點(diǎn)對(duì)點(diǎn)模式的研究

點(diǎn)對(duì)點(diǎn)模式有幾方面的實(shí)現(xiàn)基礎(chǔ)。首先，是隧道技術(shù)，本模式與隧道技術(shù)的生命周期關(guān)系非常緊密。隧道和協(xié)議之間的數(shù)據(jù)轉(zhuǎn)發(fā)問題則是由虛擬網(wǎng)卡來進(jìn)行完成的，而VPN網(wǎng)絡(luò)地址空間則不需要進(jìn)行一些新的規(guī)劃。當(dāng)然，對(duì)與不同的用戶需求，本模式可以分出多種版本來解決移動(dòng)用戶、總部分支之間的鏈接問題。

虛擬網(wǎng)卡在本模型中起到了非常重要的作用，它解決了數(shù)據(jù)包在隧道和協(xié)議棧之間轉(zhuǎn)發(fā)的關(guān)鍵問題。虛擬網(wǎng)卡在VPN網(wǎng)關(guān)中所處地位非常特殊，關(guān)系到IP數(shù)據(jù)包在VPN中的傳輸問題、數(shù)據(jù)轉(zhuǎn)發(fā)模型和windows平臺(tái)下的具體實(shí)現(xiàn)等等。

IP數(shù)據(jù)包在VPN是以以下方式傳輸?shù)模琕PN的傳輸媒介是不可靠的共享網(wǎng)絡(luò)，隧道技術(shù)則在公網(wǎng)的基礎(chǔ)上構(gòu)建私有專用的網(wǎng)絡(luò)，采用訪問控制、數(shù)據(jù)加密和身份認(rèn)證等方法，使得通信安全得到保證。如前文所述，VPN的基礎(chǔ)是隧道技術(shù)，異地主機(jī)之間的安全通信就是依靠隧道技術(shù)完成的。TCP/IP協(xié)議是現(xiàn)有internet的基礎(chǔ)，主機(jī)之間是通過一個(gè)個(gè)的IP數(shù)據(jù)包進(jìn)行通信的，隧道技術(shù)保護(hù)IP數(shù)據(jù)包不受破壞。為了達(dá)到保護(hù)數(shù)據(jù)的目的，VPN網(wǎng)關(guān)完成對(duì)原始數(shù)據(jù)包的加密，然后產(chǎn)生一個(gè)新的數(shù)據(jù)包并將其發(fā)送。

以圖2為例進(jìn)行說明，VPN通信的雙方為A主機(jī)和B主機(jī)，A主機(jī)給B主機(jī)發(fā)送IP數(shù)據(jù)包，首先到達(dá)VPN的A網(wǎng)關(guān)，經(jīng)過A網(wǎng)關(guān)的判斷，數(shù)據(jù)包要發(fā)送到B網(wǎng)絡(luò)，所以將這個(gè)IP數(shù)據(jù)包加入A網(wǎng)關(guān)和B網(wǎng)關(guān)之間的隧道傳輸?shù)却?duì)列。在傳輸過程的實(shí)現(xiàn)上，等待傳輸隊(duì)列中的一個(gè)IP數(shù)據(jù)包首先被傳輸模塊取到，然后對(duì)于此IP數(shù)據(jù)包，進(jìn)行加密并將其壓縮，即可進(jìn)入隧道，發(fā)送出去。B網(wǎng)關(guān)接收到了加密后的數(shù)據(jù)包，將其解密，然后經(jīng)過判斷發(fā)送給B主機(jī)。這樣就完成了一次數(shù)據(jù)傳輸。

在圖2傳輸過程中，數(shù)據(jù)包經(jīng)過隧道從A網(wǎng)絡(luò)傳輸?shù)紹網(wǎng)絡(luò)，完成整個(gè)傳輸過程，其中最關(guān)鍵的部分在于網(wǎng)關(guān)。VPN網(wǎng)關(guān)有兩方面作用，一方面將內(nèi)網(wǎng)的原始數(shù)據(jù)加密，然后通過隧道發(fā)送給對(duì)端網(wǎng)關(guān)，另一方面從隧道接收加密后的數(shù)據(jù)包，將其解密，然后發(fā)給內(nèi)網(wǎng)目的主機(jī)。這樣可得到，關(guān)鍵就是數(shù)據(jù)包從內(nèi)網(wǎng)到隧道的轉(zhuǎn)發(fā)功能，這個(gè)功能則是由虛擬網(wǎng)卡來解決的。

網(wǎng)關(guān)的有著對(duì)經(jīng)過的IP數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)的功能，也就是從一個(gè)網(wǎng)口接受到IP數(shù)據(jù)包，然后經(jīng)過判斷從另外一個(gè)網(wǎng)口上發(fā)送出去。虛擬網(wǎng)卡就是構(gòu)建在網(wǎng)關(guān)上的，經(jīng)過網(wǎng)關(guān)發(fā)往B網(wǎng)絡(luò)的IP數(shù)據(jù)包都會(huì)經(jīng)過虛擬網(wǎng)卡發(fā)送過去，這樣，發(fā)往B網(wǎng)絡(luò)的所有IP數(shù)據(jù)包都可以被虛擬網(wǎng)卡截獲，然后將其加密后送入隧道發(fā)送給B網(wǎng)關(guān)，B網(wǎng)關(guān)接收到IP數(shù)據(jù)包后進(jìn)行解密，然后再交給虛擬網(wǎng)卡，虛擬網(wǎng)卡對(duì)其進(jìn)行判斷后，將其從B網(wǎng)關(guān)的另外一個(gè)網(wǎng)口發(fā)出，

IP數(shù)據(jù)包最終將被發(fā)送給目的B主機(jī)。

虛擬網(wǎng)卡將IP數(shù)據(jù)包截獲以后，轉(zhuǎn)交給應(yīng)用程序來進(jìn)行處理。首先，應(yīng)用程序中的數(shù)據(jù)交換模塊來讀取虛擬網(wǎng)卡上的IP數(shù)據(jù)包，然后由這個(gè)應(yīng)用程序的加密模塊，將數(shù)據(jù)包進(jìn)行加密處理，最后是由隧道傳輸模塊接收到加密后的數(shù)據(jù)，將其發(fā)送給對(duì)端的網(wǎng)關(guān)。其中VPN隧道就是一條TCP連接，建立在兩個(gè)網(wǎng)關(guān)之間的。UDP協(xié)議可以用來實(shí)現(xiàn)隧道技術(shù)。在隧道的對(duì)端，接收到IP數(shù)據(jù)包以后，處理的流程跟發(fā)送流程剛好相反，先由應(yīng)用程序的解密模塊將數(shù)據(jù)進(jìn)行解密，然后將其轉(zhuǎn)交給數(shù)據(jù)交換模塊，數(shù)據(jù)交換模塊再將其遞交給虛擬網(wǎng)卡，虛擬網(wǎng)卡接收到IP數(shù)據(jù)包后，根據(jù)其目的地址在內(nèi)網(wǎng)選擇相應(yīng)的內(nèi)網(wǎng)網(wǎng)卡，最后內(nèi)網(wǎng)網(wǎng)卡將數(shù)據(jù)送達(dá)至目的主機(jī)。虛擬網(wǎng)卡在這個(gè)過程中的作用是，數(shù)據(jù)包在VPN隧道和內(nèi)網(wǎng)之間的轉(zhuǎn)發(fā)，還保證了數(shù)據(jù)的安全性。

4.總結(jié)

虛擬專用網(wǎng)，就是應(yīng)用隧道技術(shù)再公共網(wǎng)絡(luò)上邏輯性地區(qū)分多個(gè)私有網(wǎng)絡(luò)，是一種虛擬的網(wǎng)絡(luò)，目的是保證網(wǎng)絡(luò)傳輸?shù)陌踩阅芎吞嵘?wù)質(zhì)量。虛擬專用網(wǎng)建立在公共網(wǎng)絡(luò)上，在建立隧道的時(shí)候，如果一次性給足帶寬，則會(huì)引起帶寬的浪費(fèi)，從而使得可容納的客戶數(shù)量降低，公共網(wǎng)絡(luò)使用率也會(huì)隨著降低。相反，若帶寬過低，則會(huì)提高虛擬專用網(wǎng)上連接被拒絕的次數(shù)，所以配置帶寬要適當(dāng)。

本文重點(diǎn)研究與探討了點(diǎn)對(duì)點(diǎn)模式。在系統(tǒng)點(diǎn)對(duì)點(diǎn)工作模式的討論上，又著重討論了應(yīng)用層VPN網(wǎng)關(guān)的設(shè)計(jì)問題，例如隧道技術(shù)在數(shù)據(jù)包中轉(zhuǎn)發(fā)的問題和虛擬網(wǎng)卡等，然后提出了一種新的解決思路，在一定程度上使得VPN的安全性得以提高。

參考文獻(xiàn)：

第6篇

關(guān)鍵詞：MPLS VPN 優(yōu)點(diǎn) 原理應(yīng)用

傳統(tǒng)的VPN通常建立在ATM/DDN/FR網(wǎng)上，隨著IP網(wǎng)的大規(guī)模部署及ATM技術(shù)應(yīng)用的衰落，在IP網(wǎng)上提供VPN業(yè)務(wù)被認(rèn)為是一種非常經(jīng)濟(jì)的方式，隨著MPLS技術(shù)的出現(xiàn)，基于MPLS的VPN技術(shù)發(fā)展迅速并已獲得商用。

一、MPLS VPN的優(yōu)點(diǎn)

MPLS VPN能夠利用公用骨干網(wǎng)絡(luò)強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)/Internet的建設(shè)成本，極大地提高用戶網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶和方便性的需要。目前，在基于IP的網(wǎng)絡(luò)中，MPLS具有很多優(yōu)點(diǎn)：

（1）降低了成本

MPLS簡(jiǎn)化了ATM與IP的集成技術(shù)，使L2和L3技術(shù)有效地結(jié)合起來，降低了成本，保護(hù)了用戶的前期投資。

（2）提高了資源利用率

由于在網(wǎng)內(nèi)使用標(biāo)簽交換，用戶各個(gè)點(diǎn)的局域網(wǎng)可以使用重復(fù)的IP地址，提高了IP資源利用率。

（3）提高了網(wǎng)絡(luò)速度

由于使用標(biāo)簽交換，縮短了每一跳過程中地址搜索的時(shí)間，減少了數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的時(shí)間，提高了網(wǎng)絡(luò)速度。

（4）提高了靈活性和可擴(kuò)展性

由于MPLS使用的是Any To Any的連接，提高了網(wǎng)絡(luò)的靈活性和可擴(kuò)展性。靈活性方面，可以制訂特殊的控制策略，滿足不同用戶的特殊需求，實(shí)現(xiàn)增值業(yè)務(wù)。擴(kuò)容性包括：一方面網(wǎng)絡(luò)中可以容納的VPN數(shù)目更大；另一方面，在同一VPN中的用戶很容易擴(kuò)充。

（5）安全性高

采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸，MPLS的LSP具有與幀中繼和ATM VCC（Virtual Channel Connection，虛通道連接）類似的高可靠安全性。

二、MPLS VPN的原理介紹

MPLS VPN一般采用圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)。其中VPN是由若干不同的site組成的集合，一個(gè)site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實(shí)現(xiàn)互訪與隔離。

MPLS VPN有三種類型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客戶端路由器，為用戶提供到PE路由器的連接；PE路由器是運(yùn)營(yíng)商，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器（LER），它根據(jù)存放的路由將來自CE路由器或標(biāo)簽交換路徑（LSP）的VPN數(shù)據(jù)處理后進(jìn)行轉(zhuǎn)發(fā)，同時(shí)負(fù)責(zé)和其他PE路由器交換路由；P路由器是運(yùn)營(yíng)商網(wǎng)絡(luò)主干路由器，也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器（LSR），它根據(jù)分組的外層標(biāo)簽對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā)，P路由器只維護(hù)到PE路由器的路由而不維護(hù)VPN相關(guān)的路由。

根據(jù)PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis標(biāo)準(zhǔn)，使用BGP在PE路由器之間分發(fā)路由，使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)，因而又稱為BGP/MPLS VPN。

整個(gè)MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。

在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔ⅰE-PE路由器之間通過采用靜態(tài)/默認(rèn)路由或采用ICP（RIPv2、OSPF）等動(dòng)態(tài)路由協(xié)議。PE-PE之間通過采用MP-iBGP進(jìn)行路由信息的交互，PE路由器通過維持iBGP網(wǎng)狀連接或使用路由反射器來確保路由信息分發(fā)給所有的PE路由器。除了路由協(xié)議外，在控制層面工作的還有LDP，它在整個(gè)MPLS網(wǎng)絡(luò)中進(jìn)行標(biāo)簽的分發(fā)，形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。

在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽（又稱隧道標(biāo)簽）和內(nèi)標(biāo)簽（又稱VPN標(biāo)簽）兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個(gè)VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對(duì)應(yīng)的VRF表，從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后，就通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)。在出口PE之前的最后一個(gè)P路由器上，外層標(biāo)簽被彈出，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對(duì)應(yīng)的輸出接口，在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程。

三、MPLS VPN的綜合網(wǎng)管網(wǎng)絡(luò)中的應(yīng)用

河北鐵通省網(wǎng)管中心建有交換綜合網(wǎng)管系統(tǒng)，通過計(jì)費(fèi)網(wǎng)與各地市綜合網(wǎng)管終端相聯(lián)，維護(hù)和操作各地市的程控交換設(shè)備。由于交換綜合網(wǎng)管網(wǎng)絡(luò)與計(jì)費(fèi)網(wǎng)絡(luò)共有一張業(yè)務(wù)支撐網(wǎng)，多業(yè)務(wù)并存，造成諸多問題，如：網(wǎng)絡(luò)資源分散，部分網(wǎng)絡(luò)資源利用率低，部分網(wǎng)絡(luò)不能滿足日益增長(zhǎng)的業(yè)務(wù)需求；各業(yè)務(wù)系統(tǒng)之間實(shí)現(xiàn)了互聯(lián)互通，但無法進(jìn)行有效的安全隔離，安全性較差。

為改變這種狀況，滿足企業(yè)業(yè)務(wù)支撐網(wǎng)絡(luò)整體長(zhǎng)期發(fā)展的需要，河北鐵通采用MPLS VPN技術(shù)對(duì)現(xiàn)網(wǎng)進(jìn)行了改造。在全省建立一張統(tǒng)一的MPLS骨干網(wǎng)絡(luò)來承載交換綜合網(wǎng)管業(yè)務(wù)，與原計(jì)費(fèi)網(wǎng)絡(luò)實(shí)現(xiàn)隔離。

將省兩臺(tái)核心路由器NE80E作為RR，提供RR的冗余保護(hù)，各地市的華為路由器、BAS作為RR Client和PE；在省干設(shè)備和地市匯聚設(shè)備上建立新的省內(nèi)VPN實(shí)例jhwg_VPN，要求各地市不能互通，都能夠和省公司互通；各地市城域網(wǎng)自行規(guī)劃vlan范圍作為交換網(wǎng)管業(yè)務(wù)專用。組網(wǎng)說明：業(yè)務(wù)通過CE路由器（或直連方式）接入VPN，VPN采用MPLS-L3VPN；PE設(shè)備組成一個(gè)不同VPN間相互隔離的三層路由網(wǎng)絡(luò)；建議使用高性能路由器作為路由反射器，避免PE全互聯(lián)的組網(wǎng)；全網(wǎng)P、PE設(shè)備部署MBGP協(xié)議。

與原先的網(wǎng)絡(luò)相比，采用MPLS VPN技術(shù)改造后的網(wǎng)絡(luò)具有以下特點(diǎn)：

不同業(yè)務(wù)系統(tǒng)的數(shù)據(jù)由不同骨干網(wǎng)絡(luò)承載，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰，維護(hù)簡(jiǎn)單。

安全措施部署簡(jiǎn)單，業(yè)務(wù)系統(tǒng)可以進(jìn)行更加安全的隔離。

網(wǎng)絡(luò)擴(kuò)展性好，當(dāng)增加新業(yè)務(wù)系統(tǒng)時(shí)不需要建設(shè)新的網(wǎng)絡(luò)，只需增加一個(gè)VPN即可；不需要針對(duì)某個(gè)業(yè)務(wù)系統(tǒng)單獨(dú)擴(kuò)容網(wǎng)絡(luò)帶寬，只有當(dāng)骨干網(wǎng)絡(luò)平臺(tái)總帶寬不足時(shí)才考慮進(jìn)行擴(kuò)容。

各業(yè)務(wù)系統(tǒng)統(tǒng)計(jì)復(fù)用骨干網(wǎng)總帶寬，也可以根據(jù)各業(yè)務(wù)系統(tǒng)實(shí)際的流量分配帶寬，從而合理地使用網(wǎng)絡(luò)資源，網(wǎng)絡(luò)資源利用率高。

參考文獻(xiàn)

[1]互聯(lián)網(wǎng). BGP/MPLS VPN的實(shí)現(xiàn)技術(shù)[D].江蘇電信有限公司

[2]籍興江. MPLS/VPN 基本原理及在ZXR10中的配置[J].張玉紅崔世耀：中國(guó)鐵通山東分公司

第7篇

關(guān)鍵詞：SSL VPN； IPsec VPN；數(shù)字化校園；遠(yuǎn)程訪問

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2013）02-0032-03

0引言

隨著信息化進(jìn)程的加快，各個(gè)高校對(duì)校園信息化投入不斷增加，致力于建成數(shù)據(jù)交換與共享的數(shù)字化校園平臺(tái)。雖然目前很多學(xué)校已經(jīng)擁有了應(yīng)用管理系統(tǒng)、數(shù)據(jù)資源庫系統(tǒng)、公共通訊平臺(tái)，但這些網(wǎng)絡(luò)資源和辦公平臺(tái)常常受到網(wǎng)絡(luò)的限制，只能在校園內(nèi)部使用。本校2012年師生問卷調(diào)查顯示：居住在外的教師、經(jīng)常出差的行政辦公人員以及在外實(shí)習(xí)的大四畢業(yè)生對(duì)于校外不能訪問校內(nèi)數(shù)字化資源，均已感到極為不便。具體來說，教師在外網(wǎng)不能登錄學(xué)習(xí)平臺(tái)批改作業(yè)；行政人員出差時(shí)，不能獲取部門統(tǒng)計(jì)數(shù)據(jù)；大四未在校的學(xué)生不能通過畢業(yè)設(shè)計(jì)系統(tǒng)提交論文。這些狀況即已表明目前校園的基礎(chǔ)網(wǎng)絡(luò)及其實(shí)現(xiàn)方案存在一定的不足，亟需新技術(shù)的應(yīng)用以解決校園外部訪問校內(nèi)數(shù)字化資源的問題。經(jīng)過廣泛，深入的調(diào)研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術(shù)方案。

1VPN 的原理及SSL VPN方案的優(yōu)勢(shì)

11VPN原理

VPN，即虛擬專用網(wǎng)絡(luò)，其含義指通過使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，利用“隧道”技術(shù)、認(rèn)證技術(shù)、加密技術(shù)以及控制訪問等相應(yīng)技術(shù)向單位內(nèi)部專用網(wǎng)絡(luò)提供遠(yuǎn)程訪問的連接方式[1]。VPN利用公用網(wǎng)絡(luò)來實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的專有連接，適用于移動(dòng)用戶、分支機(jī)構(gòu)以及遠(yuǎn)程用戶安全、穩(wěn)定地接入到內(nèi)部網(wǎng)絡(luò)。同時(shí)，VPN還向用戶提供了專用網(wǎng)絡(luò)所獨(dú)具的功能，但其本身卻不是一種真正意義上的獨(dú)立物理網(wǎng)絡(luò)，沒有固定物理線路連接。近年來，VPN技術(shù)已經(jīng)大量應(yīng)用于高校的移動(dòng)辦公，并且在數(shù)字化資源的多校區(qū)數(shù)據(jù)訪問方面也有著廣泛應(yīng)用。VPN遠(yuǎn)程訪問的思路是，用戶在網(wǎng)絡(luò)覆蓋的任意地點(diǎn)，首先，通過ADSL或者LAN方式接入互聯(lián)網(wǎng)；其后，通過撥號(hào)校園網(wǎng)的VPN網(wǎng)關(guān)，構(gòu)建一條從用戶所在網(wǎng)絡(luò)地址到校園網(wǎng)的二層隧道；而后是VPN服務(wù)器給用戶分配相應(yīng)的校園網(wǎng)地址，從而實(shí)現(xiàn)校園網(wǎng)數(shù)字化資源的遠(yuǎn)程訪問[2]。

12兩種VPN方案的對(duì)比

按照協(xié)議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術(shù)是由IP安全體系架構(gòu)協(xié)議來提供隧道的安全保障，IPsec協(xié)議是一組協(xié)議套件，包括安全協(xié)議、加密算法、認(rèn)證算法、密鑰管理協(xié)議等[3]。IPsec VPN構(gòu)建于網(wǎng)絡(luò)層，通過對(duì)數(shù)據(jù)的加密和認(rèn)證來保證數(shù)據(jù)傳輸?shù)目煽啃浴⒈Ｃ苄院退接行裕钸m合Site to Site之間的虛擬專用網(wǎng)。相比之下，SSL VPN采用的是SSL安全套接層協(xié)議，構(gòu)建于網(wǎng)絡(luò)的應(yīng)用層。SSL VPN方案無需安裝客戶端軟件，經(jīng)過認(rèn)證的用戶是通過Web瀏覽器而接入網(wǎng)絡(luò)，適用于Point to Site的連接方式。總體來看，相比于IPsec VPN方案，SSL VPN方案有三點(diǎn)優(yōu)勢(shì)，具體如下。

（1）兼容性較好。SSL VPN適用于現(xiàn)存的各款操作系統(tǒng)和使用終端，對(duì)用戶也無任何特殊的操作要求。用戶不需要下載客戶端，由此免去了對(duì)客戶端軟件的更新升級(jí)、配置維護(hù)，否則，在進(jìn)行VPN策略調(diào)整的時(shí)候，其管理難度將呈幾何級(jí)數(shù)的增長(zhǎng)。SSL VPN方案只需在普通的瀏覽器中內(nèi)嵌入SSL協(xié)議，就可以使客戶端簡(jiǎn)便、安全地訪問內(nèi)網(wǎng)信息，維護(hù)成本較低。

（2）提供更為精細(xì)的訪問控制。由于校園網(wǎng)內(nèi)、外部流量均經(jīng)過VPN硬件設(shè)備，由此在服務(wù)器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能，可提供用戶級(jí)別鑒定，確證只有一定權(quán)限之上的用戶才能訪問校園網(wǎng)內(nèi)的特定網(wǎng)絡(luò)資源。比如大四在外的實(shí)習(xí)學(xué)生只具有期刊檢索的訪問功能，而在外的辦公行政人員還可以訪問某個(gè)特定部門的相關(guān)數(shù)據(jù)。

（3）具備更強(qiáng)的安全性。IPsec是基于網(wǎng)絡(luò)層的VPN方案，對(duì)IP應(yīng)用均是高度透明的。而SSL VPN是基于應(yīng)用層的，在Web的應(yīng)用防護(hù)方面更具一定優(yōu)勢(shì)。某些高端的SSL VPN產(chǎn)品同樣支持文件共享、網(wǎng)絡(luò)鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應(yīng)用。2SSL-VPN的關(guān)鍵技術(shù)及性能分析

21訪問控制技術(shù)

訪問控制技術(shù)是由VPN服務(wù)的提供者根據(jù)用戶的身份標(biāo)志對(duì)訪問某些信息項(xiàng)進(jìn)行相應(yīng)操控的作用機(jī)制。目前，通用的VPN方案中，常常是由系統(tǒng)管理員來控制相關(guān)用戶的訪問權(quán)限。作為安全的VPN設(shè)備，SSL VPN可通過“組”策略對(duì)應(yīng)用進(jìn)行訪問控制[4]。有些SSL VPN產(chǎn)品可以將Web應(yīng)用定義為一系列的URL，而組和用戶則可允許和禁止訪問相應(yīng)的應(yīng)用。其它一些SSL VPN產(chǎn)品可以提供更為精細(xì)的高級(jí)控制，控制策略不僅含有“允許”和“禁止”，還包括用戶能訪問的資源列表以及對(duì)這些資源的操作權(quán)限控制。由于SSL VPN工作在網(wǎng)絡(luò)的應(yīng)用層，管理員可以基于應(yīng)用需求、用戶特征以及TCP/IP端口進(jìn)行嚴(yán)密的訪問控制策略設(shè)置。SSL VPN還能通過瀏覽器中的參數(shù)支持動(dòng)態(tài)訪問部署策略，管理員可以依據(jù)用戶身份、設(shè)備類型、網(wǎng)絡(luò)信任級(jí)別、會(huì)話參數(shù)等各型因子，定義不同的會(huì)話角色，并給與不同的訪問權(quán)限。另外，基于用戶的訪問控制需要維護(hù)大量的用戶信息，當(dāng)前最流行的控制策略則是基于角色的訪問控制，在握手協(xié)議的過程中統(tǒng)一集成訪問控制的基礎(chǔ)功能，再將資源的控制權(quán)交托于可信的授權(quán)管理模型。

22性能分析

VPN的性能指標(biāo)值對(duì)校園網(wǎng)中關(guān)鍵業(yè)務(wù)的應(yīng)用實(shí)現(xiàn)具有直接影響，在設(shè)計(jì)數(shù)字化校園的VPN詳盡方案之前，有必要了解其性能指標(biāo)。SSL VPN中，常見的性能指標(biāo)有連接速率、網(wǎng)絡(luò)延遲、加密吞吐量、并發(fā)用戶數(shù)，等。其中，連接速率表示了SSL VPN系統(tǒng)每秒鐘可建立或終止的最大會(huì)話連接數(shù)目，用以度量被測(cè)VPN設(shè)備在單位時(shí)間內(nèi)交易事務(wù)的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外，SSL VPN使用的是非對(duì)稱加密算法，這就導(dǎo)致VPN服務(wù)器的CPU將在高負(fù)荷狀況下處理SSL的加解密。而對(duì)于這種計(jì)算密集型的加解密操作，為了保障服務(wù)器能夠正常工作，既可以限制SSL會(huì)話的數(shù)量，也可以添加服務(wù)器的數(shù)目。只是這兩種方式各有利弊，若限制會(huì)話數(shù)目，就會(huì)出現(xiàn)高峰期間的部分用戶無法連接服務(wù)器，而添加服務(wù)器數(shù)目又會(huì)大幅增加VPN系統(tǒng)的財(cái)務(wù)用度。因而，通常情況下，使用SSL加速器來提升加解密速度，進(jìn)入SSL的數(shù)據(jù)流由加速器解密并傳給服務(wù)器，而外流的數(shù)據(jù)又經(jīng)過加速器加密再回傳給客戶。服務(wù)器方面，只需要處理簡(jiǎn)單的SSL請(qǐng)求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數(shù)字化校園解決方案

31需求分析與設(shè)計(jì)目標(biāo)

校園數(shù)字化資源中集結(jié)了多種重要的數(shù)據(jù)庫以及多款辦公軟件。大四年級(jí)的學(xué)生會(huì)經(jīng)常需要登錄畢業(yè)設(shè)計(jì)系統(tǒng)上傳學(xué)科論文；校外居住的教師也需要登錄圖書館期刊檢索系統(tǒng)，下載專業(yè)文獻(xiàn)；另外，因公在外的招生、財(cái)務(wù)人員又需要及時(shí)獲取部門的數(shù)字化信息，并借助辦公自動(dòng)化的高端平臺(tái)與其它部門順暢溝通。上述校園網(wǎng)的這些外部訪問通常都是不確定的動(dòng)態(tài)IP地址，在數(shù)據(jù)庫服務(wù)器的安全策略中多會(huì)將之認(rèn)定為是非法用戶而遭到拒絕。因此，在外部訪問校園網(wǎng)之?dāng)?shù)字化校園時(shí)，就需要研發(fā)一個(gè)遠(yuǎn)程訪問方案，該方案可將合法的非授權(quán)校外地址轉(zhuǎn)化為授權(quán)的校園網(wǎng)內(nèi)地址。此方案需要考慮的用戶有三種，分別是：在外居住的教師、大四實(shí)習(xí)生以及在外辦公的行政人員。

32系統(tǒng)體系結(jié)構(gòu)

經(jīng)過實(shí)地調(diào)研和深入分析，采用了SSL VPN架構(gòu)，具體框架如圖1所示。

由圖1可知，這是一個(gè)基于Web模式的SSL VPN系統(tǒng)，在用戶和應(yīng)用服務(wù)器之間構(gòu)建了一個(gè)安全的信息傳遞通道。其中，SSL VPN服務(wù)器相當(dāng)于一個(gè)網(wǎng)關(guān)，且具備雙重身份。對(duì)用戶而言，這是服務(wù)器，負(fù)責(zé)提供基于證書的身份鑒別；對(duì)應(yīng)用服務(wù)器而言，則屬于客戶端的身份，并向服務(wù)器遞交訪問申請(qǐng)。由此，通過在防火墻后安裝VPN設(shè)備，校外用戶只需要打開IE瀏覽器，就可以訪問到校園數(shù)字化資源的URL。其后，SSL VPN 設(shè)備將取得連接并驗(yàn)證用戶的身份，此時(shí)SSL服務(wù)器就會(huì)將連接映射到不同應(yīng)用的服務(wù)器上。而且方案中又采用了技術(shù)，所有成功接入SSL VPN系統(tǒng)的校外用戶都可以全面訪問LAN口所能獲得的數(shù)字化資源。本系統(tǒng)還具備較高的傳輸性能，優(yōu)先考慮SSL VPN服務(wù)器的性能，將需要消耗大量資源的加解密工作交給加速器。實(shí)現(xiàn)過程中，采用的設(shè)備是由Cisco ASA建立Web VPN服務(wù)器，而將Radius Server作為驗(yàn)證用戶身份的服務(wù)器。

33改進(jìn)型安全策略——基于角色的控制

本校SSL VPN系統(tǒng)采用的是基于角色的訪問控制策略，既包括用戶安全認(rèn)證的接口也包括用戶訪問的資源列表。實(shí)際上，校園網(wǎng)系統(tǒng)的用戶認(rèn)證和訪問控制均在控制協(xié)議部分獲得實(shí)現(xiàn)，可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性，系統(tǒng)在進(jìn)行安全認(rèn)證時(shí)，就可以同步實(shí)現(xiàn)角色驗(yàn)證。VPN系統(tǒng)在明確用戶角色屬性的基礎(chǔ)上確定其訪問權(quán)限，而后給出該用戶可以訪問的資源列表信息。另外，用戶在登錄VPN系統(tǒng)時(shí)，還需要在登錄界面輸入身份信息。

4結(jié)束語

隨著校外用戶對(duì)數(shù)字化校園資源訪問需求的日益迫切增長(zhǎng)，使得VPN技術(shù)也隨之廣受關(guān)注[6]。為了給予校外訪問、使用校園數(shù)字化資源提供更大便利，因而在綜合考慮本校實(shí)際用戶數(shù)量和主要用戶角色的基礎(chǔ)上，由網(wǎng)絡(luò)中心主持設(shè)計(jì)并全面實(shí)現(xiàn)了SSL VPN系統(tǒng)。目前，本校SSL VPN系統(tǒng)運(yùn)轉(zhuǎn)良好，能夠滿足現(xiàn)有的使用需求，并且也具備了一定的擴(kuò)展能力。當(dāng)然，該實(shí)施方案并不是唯一可選，當(dāng)校園網(wǎng)的VPN用戶數(shù)量并不多、要求也不高時(shí)，就可以考慮軟件型VPN方案。不然，還可通過購買專業(yè)的VPN設(shè)備打造高水準(zhǔn)、高級(jí)別的SSL VPN系統(tǒng)。

參考文獻(xiàn)：

[1]王達(dá). 虛擬專用網(wǎng)（VPN）精解[M]. 北京：清華大學(xué)出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術(shù)實(shí)現(xiàn)高校圖書館資源共享[J]. 情報(bào)科學(xué)，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2004，25（4）：186-188.

[4]沈海波，洪帆. 訪問控制模型研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2005，32（5）：9-11.

第8篇

關(guān)鍵詞：VPN；隧道技術(shù)；加密協(xié)議；工傷保險(xiǎn)；康復(fù)

引言

工傷康復(fù)工作的開展，標(biāo)志著我國(guó)工傷保險(xiǎn)發(fā)展進(jìn)入一個(gè)新時(shí)期，是我國(guó)在社會(huì)保險(xiǎn)領(lǐng)域注重借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)，主動(dòng)與國(guó)際接軌的重要舉措。世界衛(wèi)生組織對(duì)康復(fù)工作所下的定義是：康復(fù)是指綜合協(xié)調(diào)地應(yīng)用醫(yī)學(xué)的、教育的、職業(yè)的、社會(huì)的和其它一切措施，對(duì)殘疾者進(jìn)行治療、訓(xùn)練和運(yùn)用一切輔助手段以達(dá)到盡可能補(bǔ)償、提高或者恢復(fù)其已喪失或削弱的功能，增強(qiáng)其能力，促進(jìn)其適應(yīng)或重新適應(yīng)社會(huì)生活。現(xiàn)代觀點(diǎn)的康復(fù)包括了醫(yī)學(xué)康復(fù)、教育康復(fù)、職業(yè)康復(fù)、社會(huì)康復(fù)等幾大基本方面，其中醫(yī)學(xué)康復(fù)是康復(fù)首要的和最重要的內(nèi)容之一，也是使殘疾者全面康復(fù)的基礎(chǔ)。可見康復(fù)是一項(xiàng)具有重要意義的系統(tǒng)工程，是構(gòu)建社會(huì)主義和諧社會(huì)的重要組成部分。

工傷保險(xiǎn)康復(fù)的費(fèi)用按工傷保險(xiǎn)基金的一定比例列支，因此社保經(jīng)辦機(jī)構(gòu)在與康復(fù)機(jī)構(gòu)簽訂服務(wù)協(xié)議的基礎(chǔ)上，需參照《國(guó)家基本醫(yī)療保險(xiǎn)和工傷保險(xiǎn)藥品目錄》對(duì)工傷康復(fù)費(fèi)用按規(guī)定進(jìn)行合理性、合規(guī)性審核，拒付其中不合理費(fèi)用。這就需要對(duì)康復(fù)人員在定點(diǎn)機(jī)構(gòu)所發(fā)生的費(fèi)用明細(xì)進(jìn)行審核。我們通過對(duì)康復(fù)機(jī)構(gòu)的調(diào)研，了解到他們的日常工作以HIS為平臺(tái)，考慮到康復(fù)工作處于起步階段(初始定點(diǎn)機(jī)構(gòu)僅兩家，且都在杭州市區(qū))，康復(fù)人數(shù)較少，康復(fù)費(fèi)用按月結(jié)算等特點(diǎn)，建議采用標(biāo)準(zhǔn)數(shù)據(jù)接口，通過電子郵件交換數(shù)據(jù)的方式實(shí)現(xiàn)康復(fù)數(shù)據(jù)明細(xì)傳遞；作為特殊情況的應(yīng)對(duì)措施，允許通過U盤等存儲(chǔ)介質(zhì)，實(shí)現(xiàn)數(shù)據(jù)交換及審核結(jié)果的反饋。近兩年的實(shí)踐證明，這一方法是可行的。

隨著政府對(duì)社會(huì)保險(xiǎn)工作的投入不斷增加，工傷康復(fù)工作不斷完善，業(yè)務(wù)的快速發(fā)展對(duì)現(xiàn)有的應(yīng)用模式提出了挑戰(zhàn)：一是定點(diǎn)機(jī)構(gòu)的數(shù)量不斷增加，且出現(xiàn)了跨地域定點(diǎn)單位，如位于建德的浙江省首家工傷康復(fù)綜合試點(diǎn)單位――國(guó)家電網(wǎng)公司職業(yè)病防治院已被列入我市定點(diǎn)機(jī)構(gòu)名錄，需要社保經(jīng)辦機(jī)構(gòu)與定點(diǎn)單位連網(wǎng)；二是工傷康復(fù)待遇審核滯后，一些藥品和診療費(fèi)用要等到數(shù)據(jù)反饋后，業(yè)務(wù)審核階段才能確定是否剔除。為此，有必要建立工傷康復(fù)遠(yuǎn)程訪問新模式。本文從工傷康復(fù)業(yè)務(wù)實(shí)際需求出發(fā)，討論VPN在這方面的應(yīng)用，并根據(jù)發(fā)展需要，對(duì)VPN技術(shù)在工傷保險(xiǎn)康復(fù)信息化中的應(yīng)用提出自己的見解。

1　工傷康復(fù)遠(yuǎn)程訪問需求分析

1.1　工傷康復(fù)遠(yuǎn)程訪問是業(yè)務(wù)發(fā)展的要求

通過對(duì)康復(fù)全過程的跟蹤、指導(dǎo)，與定點(diǎn)機(jī)構(gòu)、康復(fù)人員的溝通，了解康復(fù)效果，聽取各方面的意見反饋，在對(duì)不同類型的康復(fù)對(duì)象提供標(biāo)準(zhǔn)化服務(wù)的基礎(chǔ)上，可根據(jù)實(shí)際需要實(shí)施個(gè)性化服務(wù)。要實(shí)現(xiàn)這一目標(biāo)，必須首先解決網(wǎng)絡(luò)遠(yuǎn)程訪問的問題。

1.2　工傷康復(fù)遠(yuǎn)程訪問是現(xiàn)實(shí)業(yè)務(wù)的要求

隨著工傷康復(fù)定點(diǎn)機(jī)構(gòu)的增加，如果仍沿用目前的業(yè)務(wù)處理模式，手工處理業(yè)務(wù)量將迅速增大，出錯(cuò)概率也將增加；另一方面，社保經(jīng)辦機(jī)構(gòu)與定點(diǎn)單位均需對(duì)康復(fù)待遇作實(shí)時(shí)審核，社保經(jīng)辦機(jī)構(gòu)如果能盡早發(fā)現(xiàn)不規(guī)范的業(yè)務(wù)，并及時(shí)糾正，可減小待遇審核時(shí)的剔除金額給定點(diǎn)機(jī)構(gòu)造成的財(cái)務(wù)損失。鑒于以上情況，需要解決網(wǎng)絡(luò)遠(yuǎn)程訪問的問題。

1.3　工傷康復(fù)遠(yuǎn)程訪問是突破目前單一醫(yī)療康復(fù)模式的要求

根據(jù)國(guó)際勞工組織提出的工傷保險(xiǎn)三大目標(biāo)：預(yù)防、補(bǔ)償、康復(fù)，勞動(dòng)部將康復(fù)工作作為工傷保險(xiǎn)改革的重要目標(biāo)之一。為了實(shí)現(xiàn)居家康復(fù)模式，使工傷人員通過網(wǎng)絡(luò)與社保經(jīng)辦機(jī)構(gòu)以及定點(diǎn)康復(fù)機(jī)構(gòu)進(jìn)行溝通，確定康復(fù)方案，提高康復(fù)資源的使用效率，以及建立教育康復(fù)、職業(yè)康復(fù)、社會(huì)康復(fù)的平臺(tái)，同樣需要解決網(wǎng)絡(luò)遠(yuǎn)程訪問的問題。

1.4　工傷康復(fù)遠(yuǎn)程訪問安全問題

目前業(yè)務(wù)處理的數(shù)據(jù)交換通過電子郵件實(shí)現(xiàn)。為避免公網(wǎng)傳輸信息可能導(dǎo)致泄密、數(shù)據(jù)篡改等問題，在確定康復(fù)機(jī)構(gòu)時(shí)，社保局要向康復(fù)機(jī)構(gòu)提供一份康復(fù)人員名單，其中每位康復(fù)對(duì)象都有一個(gè)代碼(個(gè)人編號(hào))，后續(xù)數(shù)據(jù)交換通過代碼進(jìn)行。

由于身份證可能存在重復(fù)的情況(錯(cuò)發(fā)、業(yè)務(wù)操作錯(cuò)誤等)，同一參保人在變更參保單位時(shí)，使用新的身份證辦理參保手續(xù)，發(fā)現(xiàn)存在問題后，需要將該人員兩個(gè)身份證信息合并，此時(shí)只能保留其中一個(gè)個(gè)人編號(hào)。五險(xiǎn)合一業(yè)務(wù)情況下，多個(gè)業(yè)務(wù)單位都可能需要進(jìn)行類似的變更，導(dǎo)致康復(fù)機(jī)構(gòu)反饋原“個(gè)人編號(hào)”信息時(shí)，可能發(fā)生記錄無法匹配的現(xiàn)象，需要業(yè)務(wù)進(jìn)行“個(gè)人編號(hào)”同步，確保后續(xù)數(shù)據(jù)傳輸順利進(jìn)行。

2　虛擬專用網(wǎng)(VPN)一經(jīng)濟(jì)實(shí)用的遠(yuǎn)程訪問形式

2.1　VPN技術(shù)

VPN是Virtual Private Network(虛擬私有網(wǎng)絡(luò))的縮寫，它是一種利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)的技術(shù)：通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密，在公用互聯(lián)網(wǎng)絡(luò)上建立專用通道傳輸私有數(shù)據(jù)。它是一種介于公用網(wǎng)和專用網(wǎng)之間的邏輯性“虛擬”網(wǎng)絡(luò)，利用開放的公用網(wǎng)絡(luò)進(jìn)行信息傳輸，通過安全隧道、用戶認(rèn)證和訪問控制等技術(shù)幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

2.2　隧道技術(shù)

內(nèi)網(wǎng)中普遍使用私有IP地址。從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過Internet傳輸?shù)模仨毻ㄟ^網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址。常見轉(zhuǎn)換方法有靜態(tài)IP地址轉(zhuǎn)換、動(dòng)態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等。VPN采用的是數(shù)據(jù)包封裝(隧道)技術(shù)。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)包，隧道協(xié)議將這些數(shù)據(jù)包重新封裝在新的包頭中發(fā)送。新的數(shù)據(jù)包頭提供了路由信息，這個(gè)包頭即封裝頭，目標(biāo)地址被封裝在原始包內(nèi)。當(dāng)包到達(dá)隧道的終點(diǎn)時(shí)，封裝頭剝離，原始包被發(fā)送到目的地址。

2.3　隧道協(xié)議

可以在標(biāo)準(zhǔn)網(wǎng)絡(luò)模型的不同層創(chuàng)建隧道。

第二層隧道協(xié)議：在數(shù)據(jù)鏈路層運(yùn)行的隧道協(xié)議提供了點(diǎn)對(duì)點(diǎn)的虛擬鏈路。有以下一些協(xié)議：

Point-to-Point Tunneling Protocol(PPTP，點(diǎn)對(duì)點(diǎn)隧道協(xié)議)；

Layer 2 Forwarding(L2F，第二層轉(zhuǎn)發(fā)協(xié)議)；

Layer 2 Tunneling Protocol(L2TP，第二層隧道協(xié)議)。

第三層隧道協(xié)議：在網(wǎng)絡(luò)層運(yùn)行的隧道協(xié)議可提供基于IP的虛擬連接。

IP Sec(IP Security)是一組應(yīng)用廣泛、開放的協(xié)議總稱，它對(duì)應(yīng)用于IP層的網(wǎng)絡(luò)數(shù)據(jù)，提供一套安全的體系結(jié)構(gòu)，包括網(wǎng)絡(luò)安全協(xié)議AH和ESP、密匙交換協(xié)議IKE和用于網(wǎng)絡(luò)驗(yàn)證及加密的算法等。其中兩個(gè)使用最普遍的AH標(biāo)準(zhǔn)是MD5和SHA-1，MD5使用最高達(dá)128位的密鑰，而SHA-1通過最高達(dá)160位密鑰提供更強(qiáng)的保護(hù)。ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)(DEs)，DES最高支持56位密鑰。IPSec同時(shí)還支持3DES，因此其密碼算法具有很高的安全性。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和交換密鑰，并向上提供訪問控制、數(shù) 據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

SSL(secure Sockets Layer，安全套接字層協(xié)議)是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議。SSL是一種在Web服務(wù)協(xié)議(HTTP)和TCP／IP之間提供數(shù)據(jù)連接安全性的協(xié)議，為TCP／IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、可選的客戶機(jī)認(rèn)證和消息完整性驗(yàn)證。SSL被視為Internet上Web瀏覽器和服務(wù)器的安全標(biāo)準(zhǔn)。

2.4　用戶認(rèn)證和訪問控制

VPN也存在安全隱患。因此，為保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸上的安全性，需利用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密。除加密和解密外，需要核實(shí)信息來源的真實(shí)性，確認(rèn)信息發(fā)送方的身份，防止非授權(quán)用戶的非法竊聽和惡意篡改信息。核實(shí)發(fā)送方身份的過程稱為“認(rèn)證”。認(rèn)證可通過用戶名和口令實(shí)現(xiàn)，或者通過“電子證書”或“數(shù)字證書”來完成。

訪問控制技術(shù)即傳統(tǒng)的防火墻技術(shù)。一個(gè)完善的VPN應(yīng)同時(shí)提供完善的網(wǎng)絡(luò)訪問控制功能，由VPN服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同協(xié)商確定特定用戶對(duì)特定資源的訪問權(quán)限，通過對(duì)訪問策略的控制實(shí)現(xiàn)用戶的細(xì)粒度訪問控制，以最大限度地保護(hù)信息資源。

2.5　提供更高安全性的SSL VPN

SSL VPN在原始VPN技術(shù)基礎(chǔ)上，結(jié)合SSL(Secure Sockets Layer安全套接字層協(xié)議)技術(shù)，使網(wǎng)絡(luò)傳輸?shù)陌踩愿摺５泊嬖谌秉c(diǎn)，即僅適用于B／S架構(gòu)，不支持C／S架構(gòu)。

3　VPN技術(shù)在工傷康復(fù)中的應(yīng)用

3.1 VPN的安全性能滿足工傷康復(fù)應(yīng)用需求

VPN使用隧道技術(shù)對(duì)原始數(shù)據(jù)包進(jìn)行封裝，并采用密鑰技術(shù)及身份認(rèn)證，確保通信的安全，能可靠進(jìn)行業(yè)務(wù)數(shù)據(jù)傳輸，安全性能滿足工傷康復(fù)應(yīng)用的需求。

3.2　采用VPN技術(shù)可規(guī)范康復(fù)工作

為消除目前定點(diǎn)機(jī)構(gòu)用藥、結(jié)算等工作中的不規(guī)范行為，采用VPN技術(shù)確保醫(yī)保機(jī)構(gòu)與定點(diǎn)單位的實(shí)時(shí)連接，及時(shí)提供指導(dǎo)及監(jiān)督，同時(shí)，工傷康復(fù)費(fèi)用申報(bào)審核周期也可縮短。通過開發(fā)基于B／S架構(gòu)的應(yīng)用平臺(tái)，實(shí)現(xiàn)網(wǎng)上辦事，包括工傷康復(fù)人員的網(wǎng)上申報(bào)，康復(fù)醫(yī)院日程安排等日常業(yè)務(wù)工作均可在網(wǎng)上完成。

另外，配備多媒體設(shè)備，也可與康復(fù)人員進(jìn)行實(shí)時(shí)交流，聽取各方面對(duì)康復(fù)工作的意見和建議。

3.3　采用VPN技術(shù)合理利用康復(fù)資源

在目前業(yè)務(wù)中，與工傷康復(fù)人員的溝通方式單一。采用VPN技術(shù)，傷殘程度較輕的工傷人員，可實(shí)現(xiàn)居家康復(fù)，有限的康復(fù)資源可以合理配置。在VPN上社保經(jīng)辦機(jī)構(gòu)的工作人員能像打電話一樣，呼叫被授權(quán)的康復(fù)人員，了解健康情況，并在線提供康復(fù)指導(dǎo)。這種方式可有效保護(hù)康復(fù)人員隱私，改善醫(yī)患關(guān)系，獲得更好的診療效果。通過網(wǎng)絡(luò)康復(fù)人員可互相交流，有助于開展全方位康復(fù)工作。

3.4　易于管理和良好的可擴(kuò)展性能

VPN的發(fā)展已有10年的歷史，作為一項(xiàng)成熟的技術(shù)，以其可擴(kuò)展性和易于管理等優(yōu)點(diǎn)被廣泛應(yīng)用于多個(gè)領(lǐng)域，在工傷康復(fù)工作，甚至整個(gè)社會(huì)保險(xiǎn)領(lǐng)域中有廣闊的應(yīng)用前景。從表面看它只是解決了一個(gè)物理連接方面的問題，但實(shí)際上正在改變著我們的工作和生活方式，正如SUN公司所提出的“網(wǎng)絡(luò)就是計(jì)算機(jī)”。

第9篇

關(guān)鍵詞:校園網(wǎng);VPN(虛擬專用網(wǎng));網(wǎng)絡(luò)安全

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)24-6689-04

Application of VPN in Extending Coverage of Campus Network

WANG Yi-hong, LIU Yi

(Shanghai Medical Workers' College,Shanghai 200237,China)

Abstract: Introducing the characteristics of Virtual Private Network, puts forward a VPN based networking scheme of campus network according to the demands of securely internetworking and remote access to campus network.By testing and analyzing the implement results,the feasibility and availability of the scheme are proved.

Key words: campus network; VPN; network safety

近年來我校教育規(guī)模不斷擴(kuò)大,在重新整合、資源共享、聯(lián)合辦學(xué)的發(fā)展過程中形成了梅隴、市北、市東、崇明、松江的多校區(qū)合作辦學(xué)模式。但是地理位置上的分散性,使得原先相互獨(dú)立的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)不能滿足要求:如采用專線連接,將會(huì)增加網(wǎng)絡(luò)運(yùn)行的成本;如將校區(qū)間交換的數(shù)據(jù)直接通過Internet傳送,數(shù)據(jù)的安全性又很難得到保證。

所以需要利用相應(yīng)的技術(shù)手段實(shí)現(xiàn)安全可靠的校園網(wǎng)互連,實(shí)現(xiàn)統(tǒng)一管理和對(duì)資源的充分利用。此外,利用網(wǎng)絡(luò)資源還能豐富辦學(xué)手段,實(shí)現(xiàn)和開展遠(yuǎn)程教學(xué)和遠(yuǎn)程辦公,提供個(gè)性化的學(xué)習(xí)支持服務(wù)和信息服務(wù),也是學(xué)校網(wǎng)絡(luò)建設(shè)發(fā)展的趨勢(shì)。虛擬專用網(wǎng)(Virtual Private Network)正是滿足這種要求的解決方案。

1 VPN概念

虛擬專用網(wǎng)(Virtual Private Network,VPN)是在Internet中建立一條虛擬的專用通道,利用Internet來傳輸內(nèi)部數(shù)據(jù)的虛擬專用網(wǎng)絡(luò)。VPN技術(shù)采用隧道技術(shù)、數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù),從而保證構(gòu)建于公共網(wǎng)絡(luò)之上的虛擬內(nèi)部網(wǎng)絡(luò)的有效連通性和安全性[1]。如圖1所示,雖然VPN 通訊建立在公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)上,但用戶在使用VPN時(shí)感覺如同在使用局域網(wǎng)。

1) VPN技術(shù)具有以下特點(diǎn)[2-3]:

(1) 低成本。VPN利用了現(xiàn)有的線路,在其上構(gòu)建了虛擬的通道,節(jié)省了建設(shè)專線的高昂造價(jià)及租金。

(2) 易擴(kuò)展。如果采用專線連接,當(dāng)物理節(jié)點(diǎn)變化時(shí),網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜,費(fèi)用增加。而VPN技術(shù)是通過虛擬通道來實(shí)現(xiàn)的。

(3) 保證安全。VPN技術(shù)利用可靠的加密認(rèn)證技術(shù),在Internet上建立隧道,能夠保證通信數(shù)據(jù)的機(jī)密性和完整性,保證信息不被泄露或暴露給未授權(quán)的組織或個(gè)人。

2 基于校園網(wǎng)的VPN應(yīng)用方案

根據(jù)校園網(wǎng)對(duì)安全互聯(lián)、遠(yuǎn)程訪問的需求,提出基于校園網(wǎng)的虛擬專用網(wǎng)應(yīng)用方案。對(duì)方案的實(shí)現(xiàn)結(jié)果進(jìn)行測(cè)試和分析,驗(yàn)證方案的可行性。

2.1需求分析

1) 師生在校外無法訪問校內(nèi)資源

2) 校區(qū)與校區(qū)之間的內(nèi)部網(wǎng)絡(luò)無法互訪

解決方案:利用VPN技術(shù)建立遠(yuǎn)程用戶到校園網(wǎng)的安全連接,數(shù)據(jù)通過公共Internet上的VPN隧道加密傳輸。并通過對(duì)用戶身份的認(rèn)證以及特定資源的訪問控制,保證校園網(wǎng)的內(nèi)部資源不被泄漏和非法訪問。

2.2 PPTP VPN解決方案

2.2.1 什么是PPTP VPN

建立 VPN 隧道有多種方式,包括 L2TP、IPSEC、PPTP、SSL等隧道,其中 PPTP 是 VPN 隧道中部署最為簡(jiǎn)單、方便的實(shí)現(xiàn)方式之一,Windows 系統(tǒng)默認(rèn)自帶 PPTP VPN 客戶端,只需幾個(gè)步驟可以輕松完成 VPN 的設(shè)定[4-5]。

2.2.2 應(yīng)用環(huán)境說明

學(xué)校 (VPN服務(wù)端)

架設(shè) VPN 服務(wù)器,允許遠(yuǎn)程用戶撥入,外網(wǎng)IP為 211.x.x.x。

遠(yuǎn)程用戶 (VPN客戶端)

經(jīng)常需要和學(xué)校交換數(shù)據(jù), 通過 VPN 撥號(hào)到總校。撥入成功后虛擬通道被建立,獲得虛擬 IP: 172.16.0.101。由VPN通道進(jìn)入學(xué)校內(nèi)部局域網(wǎng),上傳和下載文檔。

出差人員 (VPN客戶端)

需要和學(xué)校交換數(shù)據(jù)時(shí), 通過 VPN 撥號(hào)到學(xué)校。撥入成功后虛擬通道被建立,獲得虛擬 IP: 172.16.0.100。由VPN通道進(jìn)入總部?jī)?nèi)部局域網(wǎng),上傳和下載文檔,或和其他撥入點(diǎn) (如辦事處或其他出差人員)相互通訊。

2.2.3 PPTP_VPN 服務(wù)端的設(shè)定

目前市場(chǎng)上有許多的防火墻附帶VPN功能,本文以SHARETECH AW-5100為例,介紹PPTP_VPN的部署和實(shí)施。

1) 激活PPTP VPN功能,設(shè)置客戶端IP范圍

進(jìn)入“管制條例選項(xiàng)” ->“VPN” ->“PPTP 服務(wù)器”->“客戶端IP范圍”,如圖3。

VPN 網(wǎng)絡(luò)上使用的是內(nèi)部保留IP地址,一般用 192.168.x.x或172.16.x.x或10.X.X.X,這里我們使用 172.16.0.X,可根據(jù)實(shí)際情況自行調(diào)整。VPN 網(wǎng)絡(luò)地址不能和本地局域網(wǎng)地址重復(fù),也盡量不要和遠(yuǎn)程撥入端的局域網(wǎng)地址重復(fù)。為了防止沖突,建議把 VPN 網(wǎng)絡(luò)地址設(shè)為比較特殊,比如 172.16.100.X 或 192.168.123.X 等。

2) 新增PPTP 服務(wù)器

激活PPTP后,按需添加PPTP服務(wù)器。比如允許使用者shzy可以訪問學(xué)校所有資源,而只允許使用者guest訪問部分資源,就需要設(shè)置多個(gè)PPTP服務(wù)器供不同用戶使用。

進(jìn)入“管制條例選項(xiàng)” ->“VPN” ->“PPTP 服務(wù)器”->“新增PPTP 服務(wù)器”,如圖4。

使用者名稱:shzy;密碼:******。

如果需要讓某個(gè)帳戶撥號(hào)后始終獲得一個(gè)固定的 VPN IP,選擇“使用特定IP地址”項(xiàng)輸入想要分配的 IP 即可,比如這里可以是 172.16.0.110。

3) 添加VPN管制條例

設(shè)置完P(guān)PTP服務(wù)器后,需要添加管制條例。每一個(gè)封包在通過SHARETECH AW-5100時(shí),需要逐條檢查是否符合管制條例。當(dāng)封包的條件符合某條管制條例時(shí),就會(huì)按該管制條例的設(shè)定來通過SHARETECH AW-5100,如封包無法符合任何管制條例時(shí),該封包就會(huì)被攔截。

進(jìn)入“管制條例”->“內(nèi)部至外部”->“新增”,如圖5。

進(jìn)入“管制條例”->“外部至內(nèi)部”->“新增”,如圖6。

設(shè)置好后,PPTP VPN的服務(wù)器端就可以運(yùn)作了。另外,如需對(duì)VPN接入用戶的訪問權(quán)限做一定限制的話,可以在“來源網(wǎng)絡(luò)地址”和“目的網(wǎng)絡(luò)地址”進(jìn)行設(shè)置,通過管制條例對(duì)來源網(wǎng)絡(luò)地址進(jìn)行管制,判斷是否可以訪問目的網(wǎng)絡(luò)地址,這里不做詳細(xì)說明。

2.2.4 PPTP VPN 客戶端設(shè)置(Windows) [6-7]

Windows 2000/XP/2003/Vista 自帶有 PPTP_VPN 的撥號(hào)客戶端,無需另外安裝軟件。以 Windows XP 為例,設(shè)置步驟如下:

1) 啟動(dòng)新建連接向?qū)?/p>

依次點(diǎn)擊“開始” -> “設(shè)置” -> “網(wǎng)絡(luò)連接” -> “新建連接向?qū)А?即可。或右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo),選擇“屬性”,在“向?qū)А睓陔p擊“新建連接向?qū)А薄?/p>

2) 選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”

3) 選擇“虛擬專用網(wǎng)絡(luò)連接”

4) 設(shè)置連接名pptp_vpn

5) VPN 服務(wù)器端地址211.*.*.*

6) 完成連接向?qū)?/p>

7) 設(shè)置撥號(hào)連接參數(shù)

打開建立的撥號(hào)連接,點(diǎn)擊“屬性”進(jìn)入連接屬性設(shè)置; 選擇“網(wǎng)絡(luò)”選項(xiàng)卡 -> “Internet 協(xié)議 (TCP/IP)”; 點(diǎn)擊“屬性”進(jìn)入TCP/IP協(xié)議設(shè)置。

一般情況下,請(qǐng)去掉“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”前面的勾,否則VPN撥號(hào)后將無法上網(wǎng)(訪問Internet)。

8) 開始VPN撥號(hào)

點(diǎn)擊“連接” 進(jìn)行VPN撥號(hào),用戶名是shzy,密碼是******。撥號(hào)成功后,點(diǎn)擊“連接成功”的提示圖標(biāo),查看詳細(xì)的連接信息: 可以看到撥號(hào)后本地VPN 連接的IP:172.16.0.100,VPN 服務(wù)器IP為172.16.0.1。

2.2.5 測(cè)試VPN連接

1) 在“開始” ->“運(yùn)行” 輸入 cmd 進(jìn)入 DOS 命令提示符,使用 ping 測(cè)試 VPN 通道是否正常。

2) 測(cè)試連接文件交換區(qū)(ip地址:172.16.0.11)

開始――>運(yùn)行――>輸入ip地址,比如文件交換區(qū)\\172.16.0.11

3 VPN性能測(cè)試

以SHARETECH AW-5100為例,它的VPN技術(shù)參數(shù)如表1所示。

模擬學(xué)校VPN可能的使用情況,對(duì)VPN進(jìn)行上傳下載速度和網(wǎng)絡(luò)延時(shí)的測(cè)試(學(xué)校租用科技網(wǎng)10M光纖),如表2所示。

測(cè)試是在網(wǎng)絡(luò)空閑時(shí)進(jìn)行的,傳輸速度基本上達(dá)到理想數(shù)值。在日常工作時(shí),受各方面的因素影響,速度可能會(huì)有所下降,但能夠滿足校外人員利用VPN訪問校園網(wǎng)的需要。

4 使用PPTP VPN 連接校區(qū)

在兩個(gè)校區(qū)網(wǎng)絡(luò)之間建立VPN連接,策略上允許兩地的所有用戶互訪,像是一個(gè)網(wǎng)絡(luò),可以任意訪問這兩個(gè)校區(qū)網(wǎng)絡(luò)的資源。因?yàn)椴⒉恍枰屗杏脩舳寄軌蛟L問兩個(gè)網(wǎng)絡(luò),所以這樣做即增加了VPN設(shè)備的負(fù)荷,也不便于VPN用戶的管理。這里介紹一下方法,僅供參考:同樣以SHARETECH AW-5100為例,主校區(qū)的AW-5100作為PPTP服務(wù)器端,分校區(qū)的AW-5100作為PPTP客戶端。

4.1 服務(wù)器端設(shè)置

同3.2.3,激活PPTP服務(wù)器,設(shè)置好客戶端IP地址范圍并新增PPTP服務(wù)器,設(shè)置PPTP服務(wù)器的使用者名稱“PPTP”和密碼“******”

4.2 客戶端設(shè)置

在分校區(qū)的設(shè)備上新增PPTP客戶端,輸入使用者名稱、密碼和服務(wù)器IP地址,如圖11。

完成PPTP VPN聯(lián)機(jī),效果如圖12。

設(shè)置好后,分校區(qū)的用戶就可以訪問總校區(qū)的資源了。想讓總校區(qū)的用戶也可以訪問分校區(qū),只需在分校區(qū)的設(shè)備上新增一個(gè)服務(wù)器端,在總校區(qū)的設(shè)備上新增一個(gè)客戶端,兩個(gè)校區(qū)就可以互相訪問了。

5 結(jié)論

VP N技術(shù)使得校園網(wǎng)內(nèi)部的重要信息在有安全保證的情況下傳輸,如同建立了專用的網(wǎng)絡(luò)連接,提高了校園網(wǎng)的可管理性、靈活性和安全性。

面對(duì)多校區(qū)合作辦學(xué)模式帶來的復(fù)雜的網(wǎng)絡(luò)現(xiàn)狀,網(wǎng)絡(luò)建設(shè)和資源共享的問題將會(huì)日益突出。利用VPN技術(shù)有效組織和開發(fā)網(wǎng)上資源,以網(wǎng)絡(luò)應(yīng)用推動(dòng)網(wǎng)絡(luò)擴(kuò)展,以資源共享促進(jìn)信息資源建設(shè),實(shí)現(xiàn)各校區(qū)之間網(wǎng)絡(luò)建設(shè)統(tǒng)一規(guī)劃和信息資源共享,必將成為今后信息化建設(shè)和發(fā)展的方向。

參考文獻(xiàn):

[1] 王達(dá).虛擬專用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2004.

[2] Jeffrey Richter, Windows核心編程[M].機(jī)械工業(yè)出版社,2000.

[3] Jim Ohlund,Anthony Jones,James Ohlund. Network Programming for Microsoft Windows[M].北京:清華大學(xué)出版社,2002,10.

[4] 高鴻斌.VPN在多校區(qū)校園網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].中國(guó)科技信息,2007,20.

[5] 王常亮.論高職院校如何推進(jìn)校園信息化[J].職業(yè)教育研究,2005,9.

第10篇

論文摘要:重點(diǎn)分析了VPN的實(shí)現(xiàn)技術(shù)。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性，對(duì)于企業(yè)和一些跨區(qū)域?qū)ｉT從事特定業(yè)務(wù)的部門，從經(jīng)濟(jì)實(shí)用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來，看VPN技術(shù)無疑是一種不錯(cuò)的選擇。下面就VPN技術(shù)的實(shí)現(xiàn)做一下粗淺的分析:

1 VPN簡(jiǎn)介

虛擬專用網(wǎng)(VirtuaIPrivateNetwork， VPN)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。

VPN可分為三大類:(1)企業(yè)各部門與遠(yuǎn)程分支之間的In-tranet VPN;(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動(dòng))雇員之間的遠(yuǎn)程訪問(Re-mote Access)VPN;(3)企業(yè)與合作伙伴、客戶、供應(yīng)商之間的Extranet VPNo

在ExtranetVPN中，企業(yè)要與不同的客戶及供應(yīng)商建立聯(lián)系，VPN解決方案也會(huì)不同。因此，企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有IPSec、點(diǎn)到點(diǎn)隧道協(xié)議(PointtoPoint Tunneling Protocol，PPTP)、第二層隧道協(xié)議(layer2 Tunneling Protocol，I，2TP)等。

2 VPN的實(shí)現(xiàn)技術(shù)

VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù)，同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。

2.1 VPN訪問點(diǎn)模型

首先提供一個(gè)VPN訪問點(diǎn)功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。

2.2隧道技術(shù)

隧道技術(shù)簡(jiǎn)單的說就是:原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generi-cRoutingEncapsulation， GRE )I，2TP和PPTPo

(1)GRE

GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報(bào)文用一個(gè)新的報(bào)文頭(GRE報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放人隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí)，GRE報(bào)文頭被剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許一點(diǎn)到多點(diǎn)，即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一條路由協(xié)議(Next-HopRoutingProtocol ， NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。

GRE隧道用來建立VPN有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來看，VPN就象是通過普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接，配置成一個(gè)或多個(gè)隧道。在GRE隧道技術(shù)中人口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間，而在隧道中流動(dòng)的原始報(bào)文用的是VPN的地址空間，這樣反過來就要求隧道的終點(diǎn)應(yīng)該配置成VPN與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使VPN的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來，多個(gè)VPN可以重復(fù)利用同一個(gè)地址空間而沒有沖突，這使得VPN從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來。從而滿足了VPN的關(guān)鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族，減少實(shí)現(xiàn)VPN功能函數(shù)的數(shù)量。還有，對(duì)許多VPN所支持的體系結(jié)構(gòu)來說，用同一種格式來支持多種協(xié)議同時(shí)又保留協(xié)議的功能，這是非常重要的。IP路由過濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù)，而只有隧道技術(shù)才能把VPN私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開來。基于隧道技術(shù)的VPN實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和VPN路由環(huán)境進(jìn)行隔離。對(duì)VPN而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合，VPN能夠用其路由協(xié)議穿過符合VPN管理要求的虛擬網(wǎng)。同樣，主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案，而不必受VPN用戶網(wǎng)絡(luò)的路由協(xié)議限制。

雖然GRE隧道技術(shù)有很多優(yōu)點(diǎn)，但用其技術(shù)作為VPN機(jī)制也有缺點(diǎn)，例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)镚RE是由手工配置的，所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點(diǎn)改變，隧道要重新配置。隧道也可自動(dòng)配置，但有缺點(diǎn)，如不能考慮相關(guān)路由信息、性能問題以及容易形成回路問題。一旦形成回路，會(huì)極大惡化路由的效率。除此之外，通信分類機(jī)制是通過一個(gè)好的粒度級(jí)別來識(shí)別通信類型。如果通信分類過程是通過識(shí)別報(bào)文(進(jìn)人隧道前的)進(jìn)行的話，就會(huì)影響路由發(fā)送速率的能力及服務(wù)性能。

GRE隧道技術(shù)是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪問VPN中，多數(shù)用戶是采用撥號(hào)上網(wǎng)。這時(shí)可以通過L2TP和PPTP來加以解決。

(2)L2TP和PPTP

L2TP是L2F( Layer2Forwarding)和PPT’I〕的結(jié)合。但是由于PC機(jī)的桌面操作系統(tǒng)包含著PPTP，因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動(dòng)’，隧道，后者指“強(qiáng)制”隧道。“主動(dòng)”隧道是用戶為某種特定目的的請(qǐng)求建立的，而“強(qiáng)制”隧道則是在沒有任何來自用戶的動(dòng)作以及選擇的情況下建立的。L2TP作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過程如下:

a.用戶通過Modem與NAS建立連接;b.用戶通過NAS的L2TP接入服務(wù)器身份認(rèn)證;;c.在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道;d.用戶與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocol， PPP)訪問服務(wù)隧道;e.用戶通過該隧道獲得VPN服務(wù)。

與之相反的是，PPTP作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且，PPTP協(xié)商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過程如下:a.用戶通過串口以撥號(hào)IP訪問的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù);b.用戶通過路由信息定位PPTP接入服務(wù)器;c.用戶形成一個(gè)PPTP虛擬接口;d.用戶通過該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪問服務(wù)隧道;e.用戶通過該隧道獲得VPN服務(wù)。

在L2TP中，用戶感覺不到NAS的存在，仿佛與PPTP接入服務(wù)器直接建立連接。而在PPTP中，PPTP隧道對(duì)NAS是透明的;NAS不需要知道PPTP接入服務(wù)器的存在，只是簡(jiǎn)單地把PPTP流量作為普通IP流量處理。

采用L2TP還是PPTP實(shí)現(xiàn)VPN取決于要把控制權(quán)放在NAS還是用戶手中。硯TP比PPTP更安全，因?yàn)槌嶵P接入服務(wù)器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動(dòng)的用戶。

2.3加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息，使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強(qiáng)度比較弱，但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;DES和三次DES強(qiáng)度比較高，可用于敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是IPSec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”:加密只在路由器中進(jìn)行，而終端與第一條路由之間不加密。這種方法不太安全，因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案，VPN安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中，目前還沒有統(tǒng)一的加密標(biāo)準(zhǔn)，因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的，需要特別的加密硬件。

2.4 QoS技術(shù)

第11篇

VPN虛擬專用網(wǎng) (Virtual private network)：建立在實(shí)在網(wǎng)路(或稱物理網(wǎng)路)基礎(chǔ)上的一種功能性網(wǎng)路，或者說是一種專用網(wǎng)的組網(wǎng)方式，簡(jiǎn)稱VPN。它向使用者提供一般專用網(wǎng)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)路；也可以說虛擬專用網(wǎng)是一種邏輯上的專用網(wǎng)路。

2 VPN的特點(diǎn)

(1)安全保障

雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。

(2)服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。所有網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。

(3)可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

(4)可管理性

在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。

3 VPN安全技術(shù)

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

(1) 隧道技術(shù)

隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。VPN使用兩種隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。

(2)加解密技術(shù)

VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型，因此可以分為兩種情況。

對(duì)于PPTP服務(wù)器，將采用MPPE加密技術(shù)。MPPE可以支持40位密鑰的標(biāo)準(zhǔn)加密方案和128位密鑰的增強(qiáng)加密方案。

對(duì)于L2TP服務(wù)器，將使用IPSec機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密。IPSec是基于密碼學(xué)的保護(hù)服務(wù)和安全協(xié)議的套件。

(3)密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

(4)使用者與設(shè)備身份認(rèn)證技術(shù)

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。VPN的身份驗(yàn)證采用PPP的身份驗(yàn)證方法，下面介紹一下VPN進(jìn)行身份驗(yàn)證的幾種方法。

CHAP：CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來協(xié)商一種加密身份驗(yàn)證的安全形式。MS-CHAP：同CHAP相似，微軟開發(fā)MS-CHAP是為了對(duì)遠(yuǎn)程Windows工作站進(jìn)行身份驗(yàn)證，它在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。 MS-CHAP v2：MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。

4 VPN發(fā)展現(xiàn)狀

在國(guó)外，Internet已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。在中國(guó)，制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。

(1)客觀因素包括因特網(wǎng)帶寬和服務(wù)質(zhì)量QoS問題。

在過去無論因特網(wǎng)的遠(yuǎn)程接入還是專線接入，以及骨干傳輸?shù)膸挾己苄。琎oS更是無法保障，造成企業(yè)用戶寧愿花費(fèi)大量的金錢去投資自己的專線網(wǎng)絡(luò)或是寧愿花費(fèi)巨額的長(zhǎng)途話費(fèi)來提供遠(yuǎn)程接入。現(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問題將得到根本改善和解決。

(2)主觀因素之一是用戶總害怕自己內(nèi)部的數(shù)據(jù)在Internet上傳輸不安全。主觀因素之二，也是VPN應(yīng)用最大的障礙，是客戶自身的應(yīng)用跟不上，只有企業(yè)將自己的業(yè)務(wù)完全和網(wǎng)絡(luò)聯(lián)系上，VPN才會(huì)有了真正的用武之地。

可以想象，當(dāng)我們消除了所有這些障礙因素后，VPN將會(huì)成為我們網(wǎng)絡(luò)生活的主要組成部分。在不遠(yuǎn)的將來，VPN技術(shù)將成為廣域網(wǎng)建設(shè)的最佳解決方案。同時(shí)，VPN會(huì)加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國(guó)各地分公司的局域網(wǎng)連起來，從而真正發(fā)揮整個(gè)網(wǎng)絡(luò)的作用。VPN對(duì)推動(dòng)整個(gè)電子商務(wù)、電子貿(mào)易將起到不可低估的作用。

參考文獻(xiàn)

[1]張忠玉.VPN 技術(shù)綜述及應(yīng)用.工程技術(shù)，2007（25）.

第12篇

關(guān)鍵詞：MPLS VPN；三層網(wǎng)絡(luò)技術(shù)；測(cè)試方法

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）07-0057-02

隨著網(wǎng)絡(luò)通信中大量數(shù)據(jù)的傳輸，現(xiàn)有的數(shù)據(jù)交換技術(shù)不能有效的實(shí)現(xiàn)數(shù)據(jù)之間的轉(zhuǎn)換與控制，如何改變網(wǎng)絡(luò)數(shù)據(jù)的傳輸與控制，簡(jiǎn)化網(wǎng)絡(luò)核心路由器的工作壓力，是當(dāng)前數(shù)據(jù)綜合網(wǎng)絡(luò)的重要發(fā)展趨勢(shì)。MPLS VPN技術(shù)是一種基于多協(xié)議標(biāo)簽交換的網(wǎng)絡(luò)技術(shù)，采用IP VPN方式進(jìn)行數(shù)據(jù)交換，通過在網(wǎng)絡(luò)交換設(shè)備與路由器中采用MPLS技術(shù)，簡(jiǎn)化網(wǎng)絡(luò)核心路由器的通訊選擇方式，并將原有的路由器技術(shù)對(duì)數(shù)據(jù)交換進(jìn)行標(biāo)注，實(shí)現(xiàn)網(wǎng)絡(luò)通訊的IP虛擬專用網(wǎng)絡(luò)（IP VPN）技術(shù)，利用MPLS VPN技術(shù)可以實(shí)現(xiàn)Intranet、Extranet帶寬拓展，滿足多種靈活的業(yè)務(wù)需求與海量數(shù)據(jù)的傳輸。采用MPLS VPN技術(shù)能夠有效地將現(xiàn)有的IP網(wǎng)絡(luò)分解成為各種邏輯上隔離的通信網(wǎng)絡(luò)。MPLS VPN技術(shù)具有靈活性、拓展性、QoS等方面的優(yōu)勢(shì)，在網(wǎng)絡(luò)通信中得到了廣泛的應(yīng)用，促進(jìn)了MPLS VPN技術(shù)在通信網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)中的應(yīng)用十分廣泛。

1NPLS VPN三層網(wǎng)絡(luò)的組網(wǎng)設(shè)計(jì)

MPLS VPN網(wǎng)絡(luò)的組網(wǎng)設(shè)備主要包括：客戶網(wǎng)邊緣路由器（CE）、通信骨干網(wǎng)邊緣路由器（PE）和骨干網(wǎng)核心路由器（P）等幾個(gè)部分，同時(shí)還有VPN用戶節(jié)點(diǎn)等通信組組成。骨干網(wǎng)核心路由器的主要功能是將VPN網(wǎng)絡(luò)的分組外層標(biāo)簽交換與MPLS的數(shù)據(jù)轉(zhuǎn)發(fā)，通信骨干網(wǎng)邊緣路由器的主要功能是實(shí)現(xiàn)通信網(wǎng)絡(luò)的PE存儲(chǔ)全局路由表和VRF（虛節(jié)點(diǎn)轉(zhuǎn)發(fā)表）的一系列相關(guān)需要，客戶網(wǎng)邊緣路由器的功能是負(fù)責(zé)網(wǎng)絡(luò)路由，實(shí)現(xiàn)客戶端的數(shù)據(jù)通信需要，VPN的用戶節(jié)點(diǎn)是保證各個(gè)用戶在通信過程中的數(shù)據(jù)轉(zhuǎn)發(fā)與應(yīng)用。MPLS VPN三層網(wǎng)絡(luò)的組網(wǎng)（MPLS L3 VPN）設(shè)計(jì)要求能夠滿足原因的兩層網(wǎng)絡(luò)通信的要求，具體的網(wǎng)絡(luò)結(jié)構(gòu)如下圖1所示。MPLS L3 VPN組網(wǎng)方式中，采用了靈活多樣的連接方式，用戶接人VPN的方式是每個(gè)通信的網(wǎng)絡(luò)Site提供一個(gè)或多個(gè)CE，各個(gè)CE之間的連接采用平行接人的方式，并接入到骨干網(wǎng)絡(luò)邊緣路由器PE上，然后在PE上為每一個(gè)接入的VPN的CE用戶配置VRF，通過VRF的設(shè)置和控制，將PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道等相關(guān)的通信命令與數(shù)據(jù)接口有機(jī)地結(jié)合在一起，實(shí)現(xiàn)用戶的VPN數(shù)據(jù)通信。

MPLS L3 VPN組網(wǎng)技術(shù)具有靈活多樣的特征，可把用戶路由復(fù)雜性轉(zhuǎn)移給網(wǎng)絡(luò)服務(wù)的提供商，由提供商為用戶的數(shù)據(jù)需要提供支持服務(wù)，這樣就可以與IP網(wǎng)j很好地融合，便于服務(wù)商對(duì)用戶的數(shù)據(jù)進(jìn)行控制，并能夠支持多種封裝協(xié)議、數(shù)據(jù)的互通，通過還能夠支持多種MPLS VPN的二層協(xié)議，可以構(gòu)建在多種網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆绞剑ㄟ^MPLS技術(shù)，可以有效地實(shí)現(xiàn)網(wǎng)絡(luò)通信路由的自動(dòng)發(fā)現(xiàn)功能，并能夠方便地進(jìn)行數(shù)據(jù)傳輸。因此，MPLS VPN的三層網(wǎng)絡(luò)傳輸技術(shù)具有很強(qiáng)的自動(dòng)路由發(fā)現(xiàn)功能，能夠很好地對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行控制與管理。通過上面的分析可以看出，MPLS L3 VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸具有很強(qiáng)的QoS能力、路由控制能力、自動(dòng)識(shí)別功能，可跨不同地域/封裝協(xié)議建立VPN網(wǎng)絡(luò)連接、節(jié)省省際之際的數(shù)據(jù)傳輸帶寬傳輸資源，維護(hù)比較簡(jiǎn)單等優(yōu)點(diǎn)，適用于無一定技術(shù)團(tuán)隊(duì)、qoS保障要求高的高等級(jí)跨區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)傳輸中。

2MPLS VPN三層網(wǎng)絡(luò)的組網(wǎng)的特征

MPLS VPN三層網(wǎng)絡(luò)的業(yè)務(wù)比較廣泛，能夠有效在大型跨境企業(yè)、企業(yè)與合作伙伴之間構(gòu)建IP VPN的虛擬網(wǎng)絡(luò)，通過IP連接，實(shí)現(xiàn)安全可靠的客戶數(shù)據(jù)中心的訪問，可以有效地實(shí)現(xiàn)客戶之間、網(wǎng)內(nèi)外的數(shù)據(jù)高質(zhì)量連接。

1）組網(wǎng)靈活；MPLS VPN技術(shù)靈活多樣的特征，這樣客戶就可以利用通信運(yùn)營(yíng)商的網(wǎng)絡(luò)任意節(jié)點(diǎn)之間（any-to-any）的組網(wǎng)通信，使得網(wǎng)絡(luò)通信變得比較便捷、迅速，運(yùn)營(yíng)商可以根據(jù)用戶的需要，在全國(guó)范圍內(nèi)的客戶節(jié)點(diǎn)之間建立多種形式的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，例如可以創(chuàng)建星型、全網(wǎng)狀、部分網(wǎng)狀的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，然后再各個(gè)通信節(jié)點(diǎn)之間運(yùn)營(yíng)標(biāo)準(zhǔn)的網(wǎng)絡(luò)通信互聯(lián)協(xié)議，就可以有效的實(shí)現(xiàn)跨網(wǎng)絡(luò)之間的有效通信與互通。

2）業(yè)務(wù)承載透明：MPLS VPN技術(shù)可以有效地對(duì)網(wǎng)絡(luò)通信的上層應(yīng)用進(jìn)行透明的承載，采用數(shù)據(jù)分層傳輸?shù)募夹g(shù)對(duì)數(shù)據(jù)進(jìn)行控制，同時(shí)還能夠支持企業(yè)的多種業(yè)務(wù)發(fā)展與融合，實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)內(nèi)部、跨網(wǎng)絡(luò)之間的通信，客戶可以充分的利用MPLS VPN可承載數(shù)據(jù)、語音信息、圖像和視頻等綜合業(yè)務(wù)應(yīng)用，使得網(wǎng)絡(luò)通信數(shù)據(jù)傳輸變得透明。

3）差異化Qos分級(jí)：在MPLS VPN技術(shù)架構(gòu)的三層網(wǎng)絡(luò)通信中，網(wǎng)絡(luò)可提供多個(gè)Qos保障等級(jí)，從不同的等級(jí)要求對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行質(zhì)量控制，保障客戶不同應(yīng)用的指標(biāo)要求，實(shí)現(xiàn)客戶的多樣化的數(shù)據(jù)傳輸服務(wù)，有效的滿足客戶業(yè)務(wù)維度（如語音、數(shù)據(jù)、視頻等數(shù)據(jù)業(yè)務(wù)）數(shù)據(jù)傳輸以及節(jié)點(diǎn)維度（如總部節(jié)點(diǎn)、分支節(jié)點(diǎn)）個(gè)性化數(shù)據(jù)的不同等級(jí)保障與質(zhì)量控制管理。

4）數(shù)據(jù)接入方式多樣：MPLS VPN三層網(wǎng)絡(luò)具有靈活多樣的特征，在網(wǎng)絡(luò)傳輸?shù)倪^程中可以采用PTN、SDH/MSTP、光纖直連接入、專線接入等多種數(shù)據(jù)接入與傳輸?shù)姆绞剑@樣也能夠有效的實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸與跨網(wǎng)絡(luò)的數(shù)據(jù)傳輸服務(wù)。

5）專業(yè)化網(wǎng)管服務(wù)；MPLS VPN三層網(wǎng)絡(luò)采用了專業(yè)化的設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行控制，這樣就需要有專業(yè)化網(wǎng)管中心，服務(wù)提供商、客戶通過專業(yè)化的網(wǎng)絡(luò)管理平臺(tái)，可以有效地對(duì)跨區(qū)域、境內(nèi)外的網(wǎng)絡(luò)節(jié)點(diǎn)端到端網(wǎng)絡(luò)之間進(jìn)行主動(dòng)監(jiān)控與管理，這樣就可以有效的對(duì)全網(wǎng)的網(wǎng)絡(luò)客戶進(jìn)行管理和控制，能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)傳輸中存在的問題，對(duì)相關(guān)的數(shù)據(jù)進(jìn)行統(tǒng)一維護(hù)與管理，能夠快速的發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，并能夠形成有效的網(wǎng)絡(luò)運(yùn)行報(bào)告。

6）高擴(kuò)展性：高擴(kuò)展性是MPLS VPN三層網(wǎng)絡(luò)的重要特征，能夠快速實(shí)現(xiàn)通信網(wǎng)絡(luò)的拓展，并降低網(wǎng)絡(luò)建設(shè)的成本。它可以在任何一個(gè)站點(diǎn)之間增加該站點(diǎn)的客戶MPLS VPN接人與控制，即可實(shí)現(xiàn)互通，易于擴(kuò)展，擴(kuò)大網(wǎng)絡(luò)通信的規(guī)模，而且能夠有效地降低客戶在組網(wǎng)與并網(wǎng)的成本，提高網(wǎng)絡(luò)施工的效率，這種功能特別適合于大型集團(tuán)、大型網(wǎng)絡(luò)服務(wù)提供商、境內(nèi)外的用戶對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行擴(kuò)充的需要。

7）快速的跨省、跨境業(yè)務(wù)數(shù)據(jù)互聯(lián)。對(duì)于跨省客戶業(yè)務(wù)，在數(shù)據(jù)傳輸?shù)倪^程中，客戶側(cè)的CE設(shè)備可以通過城域網(wǎng)內(nèi)之間的數(shù)據(jù)傳輸設(shè)備，將客戶側(cè)的數(shù)據(jù)接入到目標(biāo)區(qū)域的PE設(shè)備上，PE設(shè)備然后采用省內(nèi)干線傳輸系統(tǒng)將客戶的請(qǐng)求接入到骨干網(wǎng)路由器（即P設(shè)備），通過對(duì)應(yīng)的IP數(shù)據(jù)，為客戶實(shí)現(xiàn)數(shù)據(jù)的鏈接，客戶涉及省P設(shè)備通過全國(guó)干線傳輸互聯(lián)，這樣采用MPLS VPN三層網(wǎng)絡(luò)就可以為跨省、跨區(qū)域的客戶建立虛擬的網(wǎng)絡(luò)客戶節(jié)點(diǎn)，進(jìn)而能夠有效的建立網(wǎng)絡(luò)數(shù)據(jù)鏈接，實(shí)現(xiàn)客戶跨省業(yè)務(wù)的互聯(lián)處理。而對(duì)跨境客戶數(shù)據(jù)業(yè)務(wù)的處理，在用戶發(fā)出請(qǐng)求之后，在CE端連接到運(yùn)營(yíng)商的IP城域網(wǎng)的PE端，然后就可以通過IP專網(wǎng)與國(guó)際網(wǎng)絡(luò)出口節(jié)點(diǎn)連接到海外的POP網(wǎng)絡(luò)中，然后通過網(wǎng)絡(luò)設(shè)備轉(zhuǎn)接到境外的客戶端通信節(jié)點(diǎn)，這樣就可以實(shí)現(xiàn)虛擬專網(wǎng)的數(shù)據(jù)業(yè)務(wù)互聯(lián)。

3MPLS VPN三層網(wǎng)絡(luò)的組網(wǎng)測(cè)試分析

客戶在使用MPLS VPN業(yè)務(wù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪^程中，主要關(guān)注網(wǎng)絡(luò)的可用率、網(wǎng)絡(luò)的穩(wěn)定性、接入性等相關(guān)的指標(biāo)，這些內(nèi)容反映到網(wǎng)絡(luò)中就是數(shù)據(jù)傳輸?shù)臅r(shí)延、抖動(dòng)、分組丟失等相關(guān)的問題，因此，對(duì)于MPLS VPN三層網(wǎng)絡(luò)的測(cè)試，可以針對(duì)CE-CE，PE-CE逐段進(jìn)行測(cè)試，通過分析網(wǎng)絡(luò)鏈路連通質(zhì)量、VPN連通、路由協(xié)議收斂等來分析網(wǎng)絡(luò)的通信質(zhì)量。

1）CE-CE測(cè)試方法分析。對(duì)于客戶邊緣路由器CE-CE之間的數(shù)據(jù)通信連接測(cè)試，主要是對(duì)VPN的數(shù)據(jù)連接的連通性、路由通信協(xié)議收斂、鏈路連通質(zhì)量和鏈路冗余性等相關(guān)的指標(biāo)進(jìn)行測(cè)試，可以將CE路由器作為測(cè)試的對(duì)象，可以用電腦登陸到CE設(shè)備的Console口，采用ping網(wǎng)絡(luò)測(cè)試命令來檢查VPN路由的數(shù)據(jù)連接與傳輸?shù)那闆r，根據(jù)測(cè)試的要求設(shè)置通信分組的大小（64-1600Byte），然后采用Ping命令實(shí)現(xiàn)對(duì)CE的端節(jié)點(diǎn)聯(lián)通性與數(shù)據(jù)通信的效果進(jìn)行測(cè)試，一般情況下，主要對(duì)網(wǎng)絡(luò)傳輸?shù)臅r(shí)延、分組丟失率、抖動(dòng)性能指標(biāo)等相關(guān)的內(nèi)容進(jìn)行測(cè)試，分析客戶邊緣路由器CE-CE之間的連接情況，同時(shí)，還可以配以光功率計(jì)測(cè)試鏈路之間的光功率，通過光功率的記錄情況，對(duì)網(wǎng)絡(luò)的穩(wěn)定性進(jìn)行分析，如果在測(cè)試的過程中，存在雙CE的情況，可以先斷開一個(gè)CE鏈路，進(jìn)行倒換測(cè)試，同樣的采用ping命令進(jìn)行數(shù)據(jù)通信測(cè)試，并對(duì)其中的時(shí)延、分組丟失率、抖動(dòng)性能指標(biāo)等進(jìn)行測(cè)試，分析其中的一個(gè)CE-CE之間的連接是否正常，然后采用同樣的方法對(duì)另一個(gè)CE鏈路進(jìn)行測(cè)試即可。

2）PE-CE測(cè)試方法分析。在對(duì)PE-CE之間的連接進(jìn)行測(cè)試時(shí)，主要考慮傳輸網(wǎng)絡(luò)的電路傳輸質(zhì)量與傳輸鏈路的帶寬進(jìn)行測(cè)試，在測(cè)試時(shí)，可以在客戶端的傳輸設(shè)備進(jìn)行測(cè)試。測(cè)試的方法是在客戶端的兩側(cè)設(shè)備上分別連接PC或者筆記本電腦，并配置兩臺(tái)電腦設(shè)備的IP地址，并將兩臺(tái)PC的地址配置在同一子網(wǎng)掩碼區(qū)域內(nèi)，保證電腦的網(wǎng)卡沒有故障，能夠正常的工作，然后將其中的一臺(tái)PC作為服務(wù)器，另外一臺(tái)作為客戶端主機(jī)，作為網(wǎng)絡(luò)通信的連接設(shè)備，在服務(wù)器端安裝FTPServer軟件，保證網(wǎng)絡(luò)能夠有效的暢通，并配置好用戶權(quán)限，然后在客戶端主機(jī)安裝FTP Client軟件，這樣就形成一個(gè)網(wǎng)絡(luò)通信結(jié)構(gòu)，然后在客戶端主機(jī)的FTP Client軟件訪問服務(wù)器，并從服務(wù)器主機(jī)的FTP Server獲取大容量文件，測(cè)試網(wǎng)絡(luò)數(shù)據(jù)的傳輸?shù)乃俾省①|(zhì)量等相關(guān)的指標(biāo)，即進(jìn)行FTP下載操作，待下載速率穩(wěn)定后記錄下載速率，觀察下載速率的變化情況，一般的情況下，在測(cè)試的過程中，可以重復(fù)10次操作，待FTP操作穩(wěn)定之后，取10次測(cè)試速率的平均值，可以測(cè)試出傳輸電路的帶寬，并能有效的對(duì)PE-CE的穩(wěn)定性及帶寬進(jìn)行測(cè)試。

相關(guān)文章