vpn技術范例6篇

前言：中文期刊網精心挑選了vpn技術范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

vpn技術范文1

關鍵詞 vpn；原理；特點；應用

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708（2011）35-0182-01

1 VPN的概念

所謂VPN（Virtual Private Network，虛擬私有網絡）是指將物理上分布在不同地點的網絡通過公用骨干網聯接而成邏輯上的虛擬子網，這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性，VPN通過建立隧道機制實現，隧道機制可以提供一定的安全性，并且使VPN中分組的封裝方式、地址信息與承載網絡的封裝方式、地址信息無關。VPN技術采用了認證、存取控制、機密性、數據完整性等措施，以保證信息在傳輸中不被偷看、篡改、復制。

2 IPSec是VPN最常用技術之一

IPSec VPN是基于IPSec（Internet Protocol Security）規范的VPN技術或網絡的統稱。IPSec即Intenet安全協議，是IETF提供Internet安全通信的一系列規范，它提供私有信息通過公用網的安全保障。IPSec規范相當復雜，規范中包含大量的文檔。IPSec在TCP/IP協議的核心層―IP層實現，可以有效地保護各種上層協議，并為各種安全服務提供一個統一的平臺。

3 IPSec VPN工作原理

設想甲、乙兩個異地局域網需要進行通訊，因為是局域網內網IP地址不能通過INTERNET公網進行安全通訊。只有通過IPSec包封裝技術，利用Internet公網IP地址，封裝內部私網的IP數據，實現異地網絡的互通：如果甲私網IP發信給乙私網IP地址，甲局域網IP數據經甲私網IP地址傳至出口處甲地IPSec VPN網關進行加密封裝，通過INTERNET公網傳送至乙地IPSec VPN網關進行解密拆封裝后，交給乙局域網私網IP地址。相反乙私網IP地址回信給甲私網IP也是一樣過程，這樣就實現異地局域網對局域網的通訊。IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能，保證數據通信安全正確。IPSec安全協議對數據封裝加密及身份認證使用同一密鑰，既用于加密又用于解密。私鑰加密算法非?？欤貏e適用于對較大的數據流執行加密轉換。IPSEC通訊的數據認證使用md5算法計算包文特征，報文還原以后，檢查這個特征碼，看看是否匹配，證明數據傳輸過程是否被篡改。

4 IPSec VPN特點

1）經濟：用戶不再承擔昂貴的固定線路的租費。DDN、幀中繼、SDH的異地租費很高，而Internet的接入費用則只承擔本地的寬帶費用，費用很低。此外VPN網關設備功能強勁但造價低廉；2）靈活： 接入靈活，不受互聯網接入運營商的限制，支持動態IP地址和NAT穿越。連接Internet 的方式可以是10M 、100M 端口，也可以是2M 或更低速的端口，XDSL 或撥號都可以連接Internet。一個IPSec VPN網絡可以連接任意地點的分支，即使跨越大洋也毫不受限制。支持多分支多端口，擴展性好；3）安全： IPSec VPN最顯著特點就是它的安全性，這是它保證內部數據安全的根本。通過領先的通道協議、數據加密、過濾/防火墻、通過RADIUS、LDAP和 SecurID實現授權等多種方式保證安全。同時，VPN 設備內置專業防火墻功能，對數據包采用多維策略過濾，最大可能地防止黑客攻擊；4）可靠： VPN 設備可提供冗余機制，保證鏈路和設備的可靠性。在中心節點VPN 核心設備提供冗余CPU 、冗余電源的硬件設計。而在鏈路發生故障時，VPN交換機支持靜態隧道故障恢復功能，隧道定時巡檢機制，快速自動修復功能，確?；ヂ摂祿陌踩煽浚?）方便： 技術人員可以通過管理軟件，實現遠程配置節點設備，方便管理及故障處理；

6）多業務： 通過IPSec VPN網絡可以傳送IP話音、視頻業務、數據業務，運行ERP軟件，為現代化辦公提供便利條件。

vpn技術范文2

關鍵詞：MPLS VPN；路由器；配置

中圖分類號：TP393.1

MPLS VPN由于在靈活性、擴展性、QoS方面的優勢，逐漸成為最主要的IP-VPN技術，采用MPLS VPN組建各類虛擬專網，首先保證了網絡數據流的安全性和服務質量。其次，滿足多種靈活的業務需求，此技術將會在綜合信息網絡虛擬專網建設中推廣使用。

1 MPLS VPN組織結構

目前，幾乎所有的網絡設計都采用分層結構，例如，骨干——核心——匯聚——接入四層模型是城域網典型結構，所采用設備等級依次程下降，而信息網絡的規模則不斷擴大。核心層與骨干層常用網狀拓撲結構，這樣可以增加冗余，以確保信息網絡具有良好的可靠性和抗毀性。在這樣的信息網絡中，PE節點該如何部署呢？我們可以將PE直接設置在核心層（即在骨干網層邊緣直接相連CE），也可以將其部署在匯聚層和接入層。現在最常用的做法是將PE分為多個層，這個層分別對應整個網絡拓撲結構的層次，來共同負責全網的VPN業務的完成。同樣，在這種分層部署的MPLS VPN中，網絡層次越高則PE性能及容量等方面的要求就更苛刻，網絡層次越低則PE性能及容量等方面的要求就更寬松。同樣，這種類型MPLS VPN中網絡層次越靠下，則PE設備的量就越大，同時MPLS VPN用戶的接入能力也就更強。

采用分層結構設計的MPLS VPN中，網絡系統組成一般為骨干和核心節點作為P路由器，匯聚節點作為PE路由器，接入節點作為CE路由器。骨干節點作為本自治系統的ASBR。

1.1 跨域組網結構

實現跨域MPLS VPN服務的方式多種多樣，目前有如，OptionB跨域的VPN組網方式，提供域間MPLS VPN服務。使用MPLS VPN技術入網的用戶可以跨越多個自治系統，以實現組成MPLS VPN網絡，此方法是信息網絡組建中較為推廣使用方案。如圖3-2所示。

圖中自治系統的ASBR為骨干節點，其與同他直連的其它自治系統的ASBR之間，配置的是MP-EBGP協議，對端的直連接口地址被用作協議會話鄰居的地址。網絡通過域間MP-EBGP分發VPN標簽，ASBR將改變路由的下一跳屬性。ASBR與域內節點運行的OSPF、MP-IBGP（RR）和LDP等協議不變。

2 基于NE80E/40E的配置MPLS VPN

2.1 配置思路

如圖3-1為采用單跳MP-EBGP方式構建的MPLS-VPN網絡，該網絡提供域間MPLS-VPN服務。VPN用戶可以跨越任意自治系統，實現VPN組網。

CE1和CE2屬于同一個VPN。CE1通過AS100的PE1接入，CE2通過AS200的PE2接入。采用OptionB方式實現跨域的BGP/MPLS IP VPN：在骨干網上運行IGP協議實現同一AS的ASBR與PE之間的互通，并且同一AS的ASBR與PE之間要建立MPLS LDP LSP。在PE與CE之間需要建立EBGP對等體關系；PE與ASBR之間建立MP-IBGP對等體關系。在PE上需配置VPN實例（在ASBR上無需配置VPN實例）。在ASBR上與另一ASBR相連接口上分別使能MPLS，且ASBR之間建立MP-EBGP對等體關系。

2.2 設備配置方案

（1）在AS100和AS200的MPLS骨干網上分別配置IGP協議，實現各自骨干網PE之間的互通本例中采用OSPF，具體配置步驟略。配置完成后，同一AS的ASBR與PE之間應能建立OSPF鄰居關系，執行display ospf peer命令可以看到鄰居狀態為Full。

（2）在AS100和AS200的MPLS骨干網上分別配置MPLS基本能力和MPLS LDP，建立LDP LSP。

（3）為PE1和PE2配置基本BGP/MPLS IP VPN。

（4）配置跨域VPN-OptionB方式。

# 配置ASBR1：在與ASBR2相連的接口POS2/0/0上使能MPLS。

system-view

[ASBR1] interface pos 2/0/0

[ASBR1-Pos2/0/0] ip address 192.1.1.1 24

[ASBR1-Pos2/0/0] mpls

[ASBR1-Pos2/0/0] quit

# 配置ASBR1：與ASBR2建立MP-EBGP對等體關系，并且不對接收的VPNv4路由進行VPN-target過濾，并且使能ASBR1按下一跳分標簽。

[ASBR1] bgp 100

[ASBR1-bgp] peer 192.1.1.2 as-number 200

[ASBR1-bgp] ipv4-family vpnv4

[ASBR1-bgp-af-vpnv4] peer 192.1.1.2 enable

[ASBR1-bgp-af-vpnv4] undo policy vpn-target

[ASBR1-bgp-af-vpnv4] apply-label per-nexthop

[ASBR1-bgp-af-vpnv4] quit

[ASBR1-bgp] quit

上述配置完成后，CE之間能學習到對方的接口路由，CE1和CE2能夠相互ping通。同一AS的ASBR和PE能學習到對方的Loopback地址，并能夠互相ping通。ASBR2的配置與ASBR1類似，此處不再詳述。

3 結束語

綜上所述，因為MPLS VPN具有更好的安全性、QoS、靈活性、擴展性的優勢，較好的滿足了信息網絡對數據流安全性和服務質量的要求，因此MPLS VPN技術在信息網絡虛擬專網建設中被推廣使用。

參考文獻：

[1]薛戈麗.組建基于MPLS VPN的IP城域網網絡方案[J].中國科技信息，2005（15）：137.

vpn技術范文3

近兩年，SSL VPN的市場突飛猛進，SSL VPN產品與IPSecVPN產品在市場占有率已開始出現此消彼長的情況。

狀態監測、應用智能、SmartDefense技術都是Check Point公司借助14年以來專業充實安全領域研究過程中所開發出來的安全防護技術，是貫穿公司所有安全防護產品，包括SSL VPN產品的安全特性。

狀態監測技術

狀態監測技術已經逐漸成為企業級網絡安全解決方案的行業標準。狀態監測能夠滿足上面指定的所有安全要求，而傳統的防火墻技術在某些方面均存在一定的缺陷。借助狀態檢測技術，將在網絡層截獲數據包以達到最佳性能（與包過濾器相同），但隨后將訪問和分析來自于所有通信層的數據（與應用層網關的第 4～7層比較而言）來改進安全性。

然后，狀態監測通過合并來自于通信以及應用程序的狀態和上下文信息（這些信息是動態存儲和更新的），來獲得更高的安全性。這樣將提供累積數據，據以評估以后的通信嘗試。它還提供創建虛擬會話信息的功能，以便跟蹤無連接協議（例如基于 RPC 和 UDP 的應用程序），這些是其他防火墻技術無法實現的。

應用智能技術

應用智能作為一組高級功能，能夠檢測和阻止應用級攻擊。許多防火墻（特別是那些基于 Stateful Inspection 技術的防火墻）已經保存了成功抵御網絡攻擊的防護庫。事實上，越來越多的攻擊試圖利用網絡應用的弱點，而不是直接面向防火墻。這種攻擊方法的重要變化需要防火墻不僅提供訪問控制和網絡級攻擊保護，還要理解應用程序的行為以抵御對應用程序的攻擊和入侵。Check Point應用智能擴展了對這種網絡安全解決方案的理解。

應用智能本身的形式與應用級防護相關聯。然而實踐中，許多針對網絡應用程序的攻擊實際上均指向網絡層和傳輸層。黑客們以攻擊這些較低層為手段來訪問應用層，并最終達到攻擊應用程序和數據本身的目的。同時，以較低層為目標，攻擊可以中斷或拒絕合法的用戶和應用程序服務（如 DoS 攻擊）?；谏鲜鲈颍瑧弥悄芎推渌W絡安全解決方案不僅必須要解決應用層問題，還可以解決網絡及傳輸層安全問題。

防火墻已經成為網絡安全基礎架構的主要部分，這主要基于它們阻隔網絡級攻擊的能力。防火墻的成功另一方面也使黑客們又開發出更加復雜的攻擊方法。新種類的攻擊直接面向應用程序，經常試圖利用應用程序本身固有的弱點或基本的通信協議中的弱點。因此，需要使用多層安全網關來保護公司網絡免受這些威脅。另外，多層安全解決方案必須保護網絡層和應用層免受攻擊，提供對 IT 資源的訪問控制。Check Point應用智能具有一系列高級功能，與 Check Point FireWall-1 NGX 和 SmartDefense 集成，能夠檢測和防止應用層攻擊。并且針對越來越多直接針對關鍵應用的攻擊行為，公司在業界提供了領先的安全解決方案。

SmartDefense技術

vpn技術范文4

[關鍵詞] 網絡安全 VPN SSL 體系結構 工作模式

VPN（Virtual Personal Network，虛擬專用網）是通過一個私有的通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來，構成一個擴展的公司企業網,通過在公共網絡中建立專用網絡，數據通過安全的“加密通道”在公共網絡中傳播。SSL VPN是一種新的VPN的實現方法，是可靠安全地構建VPN的一種模式。

一、SSL協議

1.SSL概述

SSL（Secure Socket Layer,安全套接層）協議是 Netscape 公司于1994年提出的一個網絡安全通信協議，是一種在兩臺機器之間提供安全通道的協議。它具有保護傳輸數據，以及識別通信機器的功能。SSL最初是通過加密HTTP連接為Web瀏覽器提供安全而引入的。

SSL在TCP上提供一種通用的通道安全機制，任何可以在TCP上承載的協議都能夠使用SSL加以保護。在TCP或IP四層協議族中，SSL協議位于傳輸層與應用層之間，基于可靠傳輸協議TCP，服務于各種應用層協議，如HTTP、POP、TELNET等，它們在SSL協議上運行分別被稱作HTTPS、POPS、TELNETS協議等，分別對應的端口號為443、995、992等。

圖1 SSL協議結構圖

2.SSL體系結構

SSL協議在結構上分為兩個層次：底層為記錄層協議（Record Protocol），負責封裝高層協議（包括握手協議）的數據，保證SSL連接的數據保密性和完整性；高層為握手層，由四個并行的協議構成：握手協議（Handshake Protocol）、修改密碼參數協議（Change Cipher Spec Protocol）、報警協議（Alert Protocol）、應用數據協議（Application data Protocol），高層協議需要記錄層協議支持，其中握手協議與其他的高層協議不同，主要負責在交換應用層數據之前進行協商加密算法與密鑰，其他高層協議屬于應用開發的范疇，而要得到握手協議的支持，而握手協議則是SSL底層實現必須具有的功能，因為記錄層協議的完成也由它來保證。

二、基于SSL協議的VPN技術研究

1.SSLVPN概念

SSL VPN是指一種基于數據包封裝技術的，利用SSL或TLS協議結合強加密算法和身份認證技術的，可靠安全地構建VPN的一種方法。它作為一種新的VPN的實現方法，SSL VPN可以用來構建外聯網、內聯網和遠程接入訪問。它通過數據包封裝的隧道技術來實現虛擬專用網的私有性，通過PKI技術和密碼學技術來鑒別通信雙方的身份和確保傳輸數據的安全。

2.SSL VPN的工作模式

(1)基于Web模式的SSL VPN系統

客戶端使用瀏覽器通過SSLVPN 服務器來訪問企業局域網的內部資源。SSLVPN 服務器相當于一個數據中轉站，Web瀏覽器對WWW服務器的訪問經過SSL VPN服務器的處理（解密、身份鑒別、訪問控制）后轉發給WWW服務器，從WWW服務器發往Web瀏覽器的數據經過SSL VPN服務器處理（過濾、加密）后送到Web瀏覽器。

圖2 基于Web模式的SSL VPN系統

(2)基于客戶模式的SSL VPN

用戶在客戶端安裝一個SSL VPN客戶端程序，當客戶端訪問企業內部的應用服務器時，需要經過SSL VPN客戶端程序和SSL VPN服務器之間的保密傳輸后才能到達。從而在SSLVPN客戶端和 SSLVPN服務器之間，由SSL協議構建一條安全通道，保護客戶端與SSLVPN服務器之間的數據傳輸。此時，SSLVPN服務器充當服務器的角色，SSL VPN客戶端充當客戶端的角色。

圖3 基于客戶端模式的SSL VPN系統

(3)局域網到局域網模式的SSL VPN系統

在網絡邊緣都安裝和配置了SSLVPN服務器。當一個局域網內的終端要訪問遠程網絡內的應用服務器時，需要經過兩個SSL VPN服務器之間的保密傳輸后才能到達。從而在兩個SSLVPN服務器之間，由SSL協議構建一條安全通道，保護局域網之間的數據傳輸。此時，SSL VPN服務器充當安全網關的角色。

圖4 局域網到局域網模式的SSL VPN系統

參考文獻:

[1]徐家臻陳莘萌:基于IPSec與基于SSL的VPN的比較與分析[J].計算機工程與設計,2004,(04)

vpn技術范文5

【關鍵詞】VPN；VPN技術；校園網

1.VPN的概念

VPN即Virtual Private Network，中文稱為“虛擬專用網”?！疤摂M”的意思是用戶在實際使用中，不需要有真實的長途數據線路，可使用公眾網絡的數據鏈路。而“專用網絡”是指用戶可根據個人需求來制定特殊的網絡。所以說，VPN就是利用公眾網資源為客戶構成專用網的一種業務。這種技術是基于因特網平臺的虛擬專用網，用于在因特網中建立專用的數據通信網絡。實際運用中，VPN一般是這樣進行操作：在因特網中建立一個臨時的安全連接，對網絡數據進行封包及加密傳輸，實現在公共網絡上傳輸私有數據，進而達到建立私有網絡的目的。

VPN技術有三個組成部分：數據加密、用戶認證和隧道技術。數據加密和用戶認證涉及到安全性的兩個方面：數據加密可以保障數據不被盜取，用戶認證可以保障非認證用戶無權訪問內部網絡。隧道技術作為VPN的關鍵技術，它的作用是定義數據的封裝形式，以安全的方式利用IP協議在因特網上傳送。

VPN有三種解決方案來迎合不同用戶的不同需求：第一，企業擴展虛擬網Extranet VPN，第二，企業內部虛擬網Intranet VPN，第三，遠程訪問虛擬網Access VPN。這三類VPN分別對應企業網和相關合作企業的網共同構成的傳統訪問網絡。

2.校園網中VPN技術的應用

2.1 用Access VPN實現校外學習和辦公。

AccessVPN是建立在VPN上的，站點到站點的，由單機連接到網絡的遠程訪問。通過這種方式，遠程已接入因特網的用戶可以隨時隨地、安全地訪問內部網的資源。AccessVPN這種方式優點很多，比如可擴展性大，費用低廉、網絡簡單，對網絡新用戶而言調度簡便。

現今的高校教育，隨著網絡技術的發展，不管是老師的教學和學生的學習越來越多地要用到校園網上的軟件，比如教務管理系統、網絡教學系統、電子圖書館等教學資源。但是這些放在校園網上的軟件資源，由于各種原因，只能在校內的計算機上使用，直接通過公網無法訪問。所以就出現到了校外老師無法通過校園網進行教學和辦公，學生無法在網上提交作業和網絡學習，寒暑假放假后在校外也不能查詢自己的考試成績等等這些影響學校正常運行的現實問題。但是通過AccessVPN技術我們就可以輕松化解這些難題。AccessVPN技術具體應用于校園網中，需要在校園網內配置VPN服務器，在服務器端添加用戶信息，給予用戶接入VPN服務器的權限。校園網以外的用戶在自己計算機上建立VPN連接，配置好VPN客戶端。計算機接入因特網后，客戶便能進行VPN撥號。撥號成功后，在客戶計算機和校園網內的VPN服務器之間，就建立起了點對點的連接。這樣，老師和同學根據各自賬號的不同權限，就可以像在校內一樣地訪問校園網內的資源。

通過VPN服務使用校園網的資源，實現異地辦公。這樣就打破傳統的固定辦公學習模式，將地點延伸到家庭或出差地。意味著校園網的延伸。通過實踐證明，在校園網中應用AccessVPN，成本低、安全并且有效。

2.2 用Intranet VPN實現多校區互訪。

Intranet VPN是一種建立在VPN上的，遠程的網絡互聯。網絡互聯所指的范圍廣泛，可以是站點到站點、路由器到路由器、網絡到網絡的連接。這種連接費用低廉并且易于擴展，接入的用戶可以不受線路的限制。所以Intranet VPN也成為了當今應用最普遍VPN模式。

近些年，隨著教育規模不斷擴大，很多學校由于高校合并、修建新校區、聯合辦學等等原因。造成多校區分散運作已成為當下很普遍的現象。這些校區之間由于在不同的地方，缺乏有效的相互連接，造成了校園網操作水平極低的現象。各種校園網上的應用系統教學資源使用不暢，迫切需要實現統一管理和充分利用。因此，利用有效的技術手段實現校區之間校園網的安全可靠的連接，就成為了目前高校校園網建設的當務之急。但是對于那些擁有多個校區的學校而言，如果通過租用光纖的方式，把多個校區校園網連接為專用網的話，租賃的成本會比較高，學校財政將會面臨極大的負擔。為了低成本實現多校區校園網的連接，可以將Intranet VPN技術應用到校園網中，構建學校自己的虛擬專用網絡。

在建設中，只需要結合現有的網絡，在校區之間建立通信端的VPN設備需要配置的路由。如果要求不高可以利用最普遍的Windows系統在兩地分別建立VPN路由，如果要考慮VPN的穩定性和設備的數據交換能力的話，使用具有VPN功能的路由器當然就更好。帶VPN功能的路由器可以更方便地實現不同校區的路由、ACL及協議和安全帳戶間的相同配置。具有VPN功能的路由器在校區間建立起了數據傳輸隧道，相當于在各個校區路由器之間，建立起了一條專用虛擬線路。當新校區用戶需要對老校區的網絡進行訪問時，先連到新校區VPN路由器上的靜態路由。通過之前建立的專用虛擬隧道，到達老校區的路由器。這時，老校區路由器會自動分一個老校區網絡的IP地址給該用戶，同時根據用戶的帳戶信息檢查他的身份，按照檢查的結果，授予該用戶和他賬號相等的訪問權限。

用Intranet VPN技術應用于學校主校區網絡和分校區網絡之間的通信及主校區與分校區內部網之間的信息交流，成本上不僅費用大大降低，技術上還可以防止外面的用戶非法訪問內部的信息，從而提供了有效的安全保護。具有與本地局域網互聯同樣的管理性和可靠性是這種網絡互聯的模式。

3.校園網VPN的設置

3.1 服務器端VPN配置

第一步，硬件要求。需要兩塊網卡用于服務器中，一塊連接局域網，另一塊連接公網。操作系統可以選擇Windows 2003 Server版，安裝時只要開啟路由和遠程訪問服務即可。

第二步，開啟VPN服務。選擇“管理工具”，“路由遠程訪問”，“配置啟用路由和遠程訪問”，彈出“路由遠程訪問服務器安裝”向導。選擇“遠程訪問”或“虛擬專用網絡（VPN訪問和NAT）”，選擇“自定義配置”，在對話框中選擇“VPN訪問”，在選項系統中選擇啟動服務，系統會按之前的配置啟動路由和遠程訪問服務了。

第三步，設置VPN服務。設置連接數：在“路由和遠程訪問”窗口中打開“端口”菜單，在“屬性”中選擇“WAN微型端口”選項，根據需要在對話框里輸入連接數（Win-dows 2003支持16384個PPTP端口或30000個L2TP端口）。設置IP地址：在“路由和遠程訪問”窗口中打開本地服務器名，選擇“屬性”然后切換到IP選項卡，出現“靜態地址池”選項，選擇“添加”，按照需要接入的數量，添加一個地址范圍，注意添加的地址不能和本地IP地址沖突，然后確定。

第四步，設置遠程訪問策略。新建用戶和組：分別打開“管理工具”-“計算機管理”-“本地用戶和組”，在“用戶”菜單中設置，選中“不能更改密碼”和“密碼不過期”。新創建一個用戶test。在“組”菜單中也新建一個組，組名為test。然后查找到之前添加的用戶名為test的用戶，加入到剛才新建的組中去。遠程訪問策略的設置：依次選擇“路由和遠程訪問”，“遠程訪問策略”，“新建遠程訪問策略”選項，在彈出的對話框中輸入“策略名”，選擇“VPN”選項，把剛才新建的組加入到這里，設置就完成了。將來如有新用戶需要使用VPN服務，只需為該用戶添加一個新帳號，加入到剛才新建的test組即可。

3.2 客戶端計算機的VPN設置

選擇“新建連接向導”，創建新的連接。在網絡連接類型中，選中“連接到工作場所的網絡”，填入VPN服務器的公網IP地址。然后在網絡連接中就會出現剛才新建的連接。設置新建連接的“Internet協議（TCP/IP）”選項，去掉“在遠程網絡上使用默認網關”前面的勾，選擇相應的安全措施和加密協議。然后輸入用戶名和密碼就可以連接VPN服務器了。

4.結束語

實際的使用證明，VPN技術作為新的網絡技術，解決了校園網建設中面臨的實際問題。在目前校園網建設中，提供了一種費用低廉、安全而且高效的聯網方式。伴隨著互聯網技術的發展，VPN技術也將繼續進步，在更廣泛的領域發揮更多的作用。

參考文獻

[1]伏秋平，姚渺波.應用VPN技術延伸校園網覆蓋范圍[J].計算機時代，2007（4）.

[2]王春海著.VPN網絡組建案例實錄[M].北京：科學出版社，2008.

vpn技術范文6

關鍵詞 VPN；技術方案；比較

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2010）33-0224-02

VPN被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。我們根據企業實際需求，對現有常用的3種VPN技術方案做分析比較，選擇適合外服應用的方案，再在方案基礎上考慮其它功能集合。

1 IPSEC VPN方案

IPSEC是一套比較完整成為體系的VPN技術，它規定了一系列的協議標準。它為數據在通過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。IPSEC通過包封裝包的方法，通過Internet建立了一個通訊的隧道，通過這個通訊的隧道，就可以建立起網絡的連接。

IPSEC協議支持幾種操作模式，通信雙方要確定所要采用的安全策略和使用模式，這包括如加密運算法則和身份驗證方法類型等。在IPSEC協議中，一旦IPSEC通道建立，所有在網絡層之上的協議在通信雙方都經過加密，如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等，而不管這些通道構建時所采用的安全和加密方法如何。

我們設計IPSEC方案中，中心和分支機構分別采用IPSEC VPN網關設備，中心為每個節點分配一套密碼，各個節點通過密碼與中心交換機互相認證，建立IPSEC VPN虛擬通路，這條通路的特性，如帶寬、何時可以建立等通過中心統一管理。還可以通過雙密鑰機制實現更加可靠的認證。

2 SSL VPN方案

SSL的英文全稱是“Secure Sockets Layer，中文名為“安全套接層協議層”，它是網景(Netscape)公司提出的基于WEB應用的安全協議。SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。

從簡單而一言，SSLVPN一般的實現方式是在企業的防火墻后面放置一個SSL網關或接入服務器設備。如果用戶希望安全地連接到公司網絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL服務器取得，并驗證該用戶的身份，然后SSL服務器將提供一個遠程用戶與各種不同的應用服務器之間連接。

幾乎所有的主流商業瀏覽器都集成了SSL，實施SSLVPN不需要再安裝額外的軟件。絕大多數SSL VPN的生產廠商都通過“signed plugins”提供其他的功能，“signed plugins”可以跟隨瀏覽器自動傳輸給客戶端。

SSL實現了客戶端零安裝，零配置。但其功能和應用也受到限制。它適合B/S模式，移動用戶通過瀏覽器訪問WEB服務應用，有的SSL VPN還對其他非B/S等進行有限擴充，增強了其可用性，可是在通用性、兼容性方面還存在很多不確定性，在認證方式、應用程序類型上限制很多。

按照SSLVPN設計的外服網絡方案，中心和各分支節點采用專用SSL VNP設備連接Internet，要求設備兼容外服各項專用應用，系統要求較高，沒有統一的擴展應用標準，存在是否能支持今后業務發展各項新應用等相關問題。方案中移動用戶和家庭用戶無需客戶端連接SSLVPN服務器，經安全認證后使用各項B/S模式應用，解決較為理想，基本不用考慮計算機維護和相關網絡問題，也較安全的隔離了病毒傳播和木馬程序等問題。

3 MPLS VPN方案

MPLS VNP是一種基于MPLS技術的IPVPN，是在網絡路由和交換設備上應用MPLS（Multi protocol Label Switching，多協議標記交換）技術，簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡（IPVPN）。

MPLS技術通過標簽的引入，將IP路由網絡中“數據報”的轉發方式轉變為類似于“虛電路”VC的轉發方式。VC的方式在數據包轉發只前先由IP網絡建立一條從源端到目的端的唯一路徑，一旦這條路徑確定，所有的數據包將通過這條路徑傳輸。在MPLS網絡中，路徑即是由“標簽”來表示的。在路由器中，每個目的網絡由一個標簽表示，所有到此目的網絡的數據包被打上此標簽轉發到目的地。MPLS類似“虛電路”的標簽轉發方式保證兩個VNP節點之間的流量經過唯一路徑，不會被轉發到其它節點，保證了用戶數據包的安全性。

MPLS VPN能夠利用電信運營商公用骨干網絡強大的傳輸能力，為企業構建內部Intranet，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要。

在基于IP的網絡中，MPLS具有很多優點，也有明顯的缺點：

1）相對降低了成本

MPLS VPN方式支持路由器方式連接，能保護用戶的以前專線方式設備投資；其運營租金與專線相比下降很多，降低了一定成本，但國內電信運營商還處于相對壟斷階段，租金還相對偏高。

2）提高了資源利用率，提高了網絡速度

由于在網內使用標簽交換，用戶各個點的局域網可以使用重復的IP地址，提高了IP資源利用率。由于使用標簽交換，縮短了每一跳過程中地址搜索的時間，減少了數據在網絡傳輸中的時間，提高了網絡速度。

3）系統應用支持能力強

網絡對C/S、B/S和其他應用支持較好，保障業務開展和新信息系統今后支持。

4）MPLS具有QOS保證

網絡通過電信運營商骨干城域網絡實現，并由運營商提供24小時網管監控服務，保證了網絡的服務質量。相對于其優點，MPLS的缺點也是明顯的：

1）價格高

相對于使用IPSec、SSL方式通過Intranet組網，MPLS的代價比較高。相當于一種準專線。

2）跨運營商不便

由于需支持全國網絡，可能會跨越不同運營商，運營商之間還有很多協調工作沒有完成，中國電信、網通等巨頭之間，互聯互通并不完美，網絡堵塞時有發生。從以上總結可以看出，MPLS更適應比較高端的大型用戶。

參考文獻

[1]白木，周潔.淺談VPDN與VPN技術[J].有線電視技術，2003(4).