前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇vpn技術(shù)范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

vpn技術(shù)范文第1篇

摘要：vpn是一項迅速發(fā)展起來的新技術(shù)，本文闡述了VPN（虛擬局域網(wǎng)）的基本概念以及其特點和優(yōu)勢，重點介紹了虛擬專用網(wǎng)的工作原理和相關(guān)技術(shù)包括隧道技術(shù)，數(shù)據(jù)加密和用戶認證。

關(guān)鍵詞：VPN;隧道技術(shù);數(shù)據(jù)加密;用戶認證

VPN(Virtual Private Network)即虛擬專用網(wǎng)，是一項迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡(luò)連接通常由客戶機、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。

VPN的主要特點

（1） 網(wǎng)際互聯(lián)安全性高。VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過隧道、認證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

（2）經(jīng)濟實用、管理簡化。由于VPN獨立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網(wǎng)絡(luò)接口所需設(shè)備上的開銷和安全配置。

（3） 可擴展性好。 如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務(wù)范圍。在遠程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對工作站自動進行配置。

（4）支持多種應(yīng)用。由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運用在廣域網(wǎng)上。VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真等。

（5）有效實現(xiàn)網(wǎng)絡(luò)資源共建共享。在網(wǎng)絡(luò)安全的保證下和認證技術(shù)的支持下，可以實現(xiàn)整個VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開發(fā)帶來的巨大浪費，甚至可以實現(xiàn)普通讀者在家用ADSL來訪問公共圖書館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫。

VPN技術(shù)分析

VPN技術(shù)主要由三個部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜??；用戶認證則保證未獲認證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，以此確保遠程客戶端能夠安全地訪問VPN服務(wù)器。

（1） 隧道技術(shù)

1.隧道技術(shù)的實現(xiàn)

假設(shè)某公司在相距很遠的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網(wǎng)進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，?現(xiàn)在設(shè)部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機X發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報，并轉(zhuǎn)發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

VPN實現(xiàn)的關(guān)鍵技術(shù)是隧道,而隧道又是靠隧道協(xié)議來實現(xiàn)數(shù)據(jù)封裝的。在第二層實現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議,同樣在第三層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中,通過公網(wǎng)Internet進行傳輸。因此,VPN技術(shù)的復(fù)雜性首先建立在隧道協(xié)議復(fù)雜性的基礎(chǔ)之上。隧道協(xié)議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協(xié)議,L2TP、PPTP屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN系統(tǒng)使分散布局的專用網(wǎng)絡(luò)架構(gòu)在公共網(wǎng)絡(luò)上安全通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔?使敏感的數(shù)據(jù)不會被竊聽

2 .第二層隧道協(xié)議

L2TP是從Cisco主導(dǎo)的第二層向前傳送和Microsoft主導(dǎo)的點到點隧道協(xié)議的基礎(chǔ)上演變而來的,它定義了利用公網(wǎng)設(shè)施(如IP網(wǎng)絡(luò),ATM和幀中繼網(wǎng)絡(luò))封裝傳輸鏈路層點到點協(xié)議幀的方法。目前,Internet中的撥號網(wǎng)絡(luò)只支持IP協(xié)議,而且必須注冊IP地址;而L2TP可以讓撥號用戶支持多種協(xié)議,并且可以保留網(wǎng)絡(luò)地址,包括保留IP地址。利用L2TP提供的撥號虛擬專用網(wǎng)服務(wù)對用戶和服務(wù)提供商都很有意義,它能夠讓更多的用戶共享撥號接入和骨干IP網(wǎng)絡(luò)設(shè)施,為撥號用戶節(jié)省長途通信費用。同時,由于L2TP支持多種網(wǎng)絡(luò)協(xié)議,用戶在非IP網(wǎng)絡(luò)和應(yīng)用上的投資不至于浪費。

3.第三層隧道協(xié)議

IPSec是將幾種安全技術(shù)結(jié)合在一起形成的一個較完整的體系,它可以保證IP數(shù)據(jù)包的私有性、完整性和真實性。IPSec使用了Diffie-Hellman密鑰交換技術(shù),用于數(shù)字簽名的非對稱加密算法、加密用戶數(shù)據(jù)的大數(shù)據(jù)量加密算法、用于保證數(shù)據(jù)包的真實性和完整性的帶密鑰的安全哈希算法、以及身份認證和密鑰發(fā)放的認證技術(shù)等安全手段。IPSec協(xié)議定義了如何在IP數(shù)據(jù)包中增加字段來保證其完整性、私有性和真實性,這些協(xié)議還規(guī)定了如何加密數(shù)據(jù)包:Internet密鑰交換協(xié)議用于在兩個通信實體之間建立安全聯(lián)盟和交換密鑰。IPSec定義了兩個新的數(shù)據(jù)包頭增加到IP包上,這些數(shù)據(jù)包頭用于保證IP數(shù)據(jù)包的安全性。這兩個數(shù)據(jù)包頭是認證包頭和安全荷載封裝。其中IP數(shù)據(jù)包的完整性和認證由IPSec認證包頭協(xié)議來完成,數(shù)據(jù)的加密性則由安全荷載封裝協(xié)議來實現(xiàn)。

（2）用戶認證技術(shù)

如果數(shù)據(jù)包不經(jīng)過加密就通過不安全的Internet，即使已經(jīng)建立了用戶認證，VPN也不完全是安全的。為保護數(shù)據(jù)在網(wǎng)絡(luò)傳輸上的安全性，需利用密碼技術(shù)對數(shù)據(jù)進行加密。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權(quán)者不能了解被保護信息的內(nèi)容。加密算法中強度比較高，可用于保護敏感的財務(wù)信息的是IPSec的DES和3DES。?

除加密和解密外，VPN需要核實信息來源的真實性，確認信息發(fā)送方的身份，防止非授權(quán)用戶的非法竊聽和惡意篡改信息。核實發(fā)送方身份的過程稱為“認證”。認證可通過用戶名和口令實現(xiàn)，或者通過“電子證書”或“數(shù)字證書”來完成，即證書和密鑰。它包含加密參數(shù)，可唯一地用作驗證用戶或系統(tǒng)身份的工具，提供高級別的網(wǎng)絡(luò)信息安全傳輸。

（3）加密技術(shù)

vpn技術(shù)范文第2篇

隨著互聯(lián)網(wǎng)及網(wǎng)絡(luò)技術(shù)的發(fā)展，VPN(Virtual Private Network)技術(shù)被廣泛地應(yīng)用。MPLS-VPN是一種基于MPLS技術(shù)的IP-VPN，在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，從而簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)IP虛擬專用網(wǎng)絡(luò)（IP-VPN）。

2 MPLS技術(shù)概述

MPLS(Multi-Protocols Label Switching)即多協(xié)議標(biāo)記交換，是一項用綁定在包中的標(biāo)記(或叫標(biāo)簽)通過網(wǎng)絡(luò)進行數(shù)據(jù)包轉(zhuǎn)發(fā)的技術(shù)。它將第二層的交換和第三層的路由技術(shù)很好地結(jié)合起來，以簡潔的方式完成了信息的傳送，把路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)分開由標(biāo)簽來規(guī)定一個分組通過網(wǎng)絡(luò)的路徑。

3 VPN技術(shù)的概述

VPN（虛擬專用網(wǎng)）是利用網(wǎng)絡(luò)來傳輸私有信息而形成的邏輯網(wǎng)絡(luò)，用來在通用的網(wǎng)絡(luò)結(jié)構(gòu)上標(biāo)識閉合的用戶組。通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，從而實現(xiàn)在公網(wǎng)上完整、保密地傳輸私有數(shù)據(jù)。

4 MPLS-VPN的工作原理

MPLS-VPN則是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)，即采用MPLS技術(shù)在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時，提供強有力的QOS能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活等特點。它把整個網(wǎng)絡(luò)中的路由器分為三類：用戶邊緣路由器（CE）、運營商邊緣路由器（PE）和運營商骨干路由器（P），其中PE充當(dāng)IP-VPN接入路由器。MPLS-VPN的主要工作流程如下：

(1)用戶端的路由器(CE)首先通過靜態(tài)路由和BGP將用戶網(wǎng)絡(luò)中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應(yīng)的標(biāo)記(VPN的標(biāo)記，以下簡稱為內(nèi)層標(biāo)記)，而在PE與P路由器之間則采用傳統(tǒng)的IGP協(xié)議相互學(xué)習(xí)路由信息，采用LDP協(xié)議進行路由信息與標(biāo)記(骨干網(wǎng)絡(luò)中的標(biāo)記，以下稱為外層標(biāo)記)的綁定。此時，CE、PE以及P路由器基本的網(wǎng)絡(luò)拓撲和路由信息已經(jīng)形成。PE路由器擁有了骨干網(wǎng)絡(luò)的路由信息以及每一個VPN的路由信息。

(2)當(dāng)屬于某一個VPN的CE用戶數(shù)據(jù)進入網(wǎng)絡(luò)時，在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN，進而到該VPN的路由表中去讀取下一跳的地址信息，同時在上傳的數(shù)據(jù)包上打上VPN標(biāo)記(內(nèi)層標(biāo)記)。這時得到的下一跳地址為該PE作Peer的PE的地址，為了達到這個目的端的地址，同時采用LDP在用戶上傳數(shù)據(jù)包中打上骨干網(wǎng)絡(luò)中的標(biāo)記(外層標(biāo)記)。

(3)在骨干網(wǎng)絡(luò)中，初始PE之后的P只讀取外層標(biāo)記的信息來決定下一跳，因此骨干網(wǎng)絡(luò)中只是簡單的標(biāo)記交換。

(4)在達到目的端PE之前的最后一個P路由器時，將外層標(biāo)記去掉，讀取內(nèi)層標(biāo)記，找到VPN并送到相關(guān)的接口上，進而將數(shù)據(jù)傳送到VPN的目的地址處。

從以上的工作過程可見,MPLS-VPN絲毫不改變CE和PE原有的配置,有新的CE加入網(wǎng)絡(luò)時，只需在PE上作簡單配置，其余的改動信息由IGP/BGP自動通知CE和PE。

5 MPLS-VPN的特點

（1）安全性。MPLS可以將不同VPN的通信完全隔離，使得無關(guān)用戶的通信不會混雜其中從而提高了安全性。MPLS-VPN借助MPLS技術(shù)，利用兩層標(biāo)記(label)，自動為不同用戶的節(jié)點間建立不同的隧道，實現(xiàn)了用戶流量的隔離，提供了邏輯上最大的安全性。

（2）擴展性。MPLS-VPN具有很好的網(wǎng)絡(luò)可擴展性，可以建立任意的連接。同一個VPN中的用戶節(jié)點數(shù)不受限制容易擴充，特別是在實現(xiàn)用戶節(jié)點間的全網(wǎng)狀通信時不需要逐條配置用戶節(jié)點間的電路。

（3）可靠性。網(wǎng)絡(luò)的可靠性主要靠資源的冗余度來實現(xiàn)。MPLS-VPN依托互聯(lián)網(wǎng)展開，因此設(shè)備、線路和路由都有冗余保護措施，保證了網(wǎng)絡(luò)的可靠性。

（4）無連接的服務(wù)。MPLS-VPN是“非面向連接的”，由于這種特性,它不需要通過建立許多點對點的隧道和加密技術(shù)來實現(xiàn)，這樣可大大減少網(wǎng)絡(luò)實現(xiàn)的復(fù)雜性。

（5）易于實施。由于MPLS-VPN是“非面向連接的”，且VPN信息只需要由PE來維護，對CE是透明的，網(wǎng)絡(luò)的擴展和實施變得相對容易。增加VPN客戶端站點時，只要簡單地將CE設(shè)備接入PE即可，所有的配置只需在PE上進行，非常易于實現(xiàn)和管理。

6 結(jié)束語

隨著MPLS技術(shù)和IP VPN技術(shù)的日趨成熟。MPLS技術(shù)是一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)男录夹g(shù)，它不僅能夠解決當(dāng)前網(wǎng)絡(luò)中存在的問題，而且能支持許多新的功能，將成為重要技術(shù)在公用網(wǎng)上使用?？梢哉fMPLS技術(shù)是下一代最具競爭力的通信網(wǎng)絡(luò)技術(shù)。

參考文獻

[1]凌永發(fā),王杰，陳躍斌.多協(xié)議標(biāo)簽交換技術(shù)的應(yīng)用[J].云南民族大學(xué)學(xué)報:自然科學(xué)版,2005,14(3):64-67.

vpn技術(shù)范文第3篇

關(guān)鍵詞：IPsec/VPN；安全策略數(shù)據(jù)庫；完整性；驗證；加密

中圖分類號：TP393.08文獻標(biāo)識碼：A文章編號：1007-9599 (2011) 06-0000-02

Security Feature Research of IPsec/VPN Technology

Zhang Jiachen

(Tianjin Development Zone Polytechnic Institute,Tianjin300457,China)

Abstract:With the fast development and popularity of Internet,all kinds of remote access technology comes out.As it can provide convenience for company users and personal users,the openness of Internet also bring risks for remote.So how to ensure the safety and high efficiency of communication by using the lowest cost is the issue company users and personal users are paying more attention.In recent years,with the development of encryption andtunnel technology,establishing safe virtual private net on unsafe public web,such as Internet,has been the best feasible solution,i.e.VPN.This article will discuss the safety of IPsec/VPN technology on web level.

Keywords:IPsec/VPN;Safety strategy database;Integrity; Authentication;Encryption

一、IPsec/VPN的概念

VPN的英文全稱是“Virtual Private Network”，即是“虛擬專用網(wǎng)”。我們可以把它理解成是在真實物理連接上再次封裝、再次虛擬出來的點到點內(nèi)部專線。在其技術(shù)實現(xiàn)中通過高級的身份驗證、加密算法及相關(guān)通訊協(xié)議，企業(yè)之間互訪時仿佛是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。

在VPN網(wǎng)絡(luò)中，位于公共網(wǎng)絡(luò)兩端的網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上傳輸信息時，其信息都是經(jīng)過安全處理的，可以保證數(shù)據(jù)的完整性、真實性和私有性。

IPsec/VPN即指在網(wǎng)絡(luò)層采用IPsec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，IPsec是IETF（Internet Engineer Task Force）正在完善的安全標(biāo)準，IPsec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，提供透明的安全通信。

二、組成IPsec/VPN技術(shù)的兩個重要協(xié)議

IPsec 通信協(xié)議其實是由兩個不同的協(xié)議所組成的，分別為AH（AuthenticationHeader）與ESP（Encapsulated Secutiry Payload），而這兩個協(xié)議所負責(zé)的任務(wù)功能是不同的，其中AH協(xié)議的功能為“完整性驗證”，ESP協(xié)議的功能則為“完整性驗證與加密”。

（一）AH

IPsec認證頭協(xié)議（IPsec AH）是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議，通過將嚴格論證后的數(shù)學(xué)算法應(yīng)用于網(wǎng)絡(luò)層IP數(shù)據(jù)報封裝來提供數(shù)據(jù)傳輸?shù)陌踩Ｗo功能，主要包括數(shù)據(jù)完整性、認證等。通信雙方經(jīng)過認證后建立安全連接，連接后通信雙方在進一步實施數(shù)據(jù)通信或遠程管理等業(yè)務(wù)。AH的設(shè)計在保證數(shù)據(jù)報的復(fù)雜度不影響通信雙方收發(fā)能力及網(wǎng)絡(luò)帶寬可用性的同時，盡可能將足夠多的認證功能附加在IP頭和上層協(xié)議數(shù)據(jù)中。但是，由于在傳輸過程中會遇到各種接入技術(shù)和MTU值，因此某些IP數(shù)據(jù)報會發(fā)生分片或其他行為，導(dǎo)致IP頭字段會發(fā)生變化，并且當(dāng)包到達接收方時，發(fā)送方不能預(yù)測字段值。AH并不能保密這種字段值。因此AH提供給IP頭的保護是零碎的。AH即可單獨使用，也可以結(jié)合IP封裝安全負載（ESP）使用，通?？梢杂糜趥鬏斈Ｊ胶退淼滥Ｊ絻煞N。傳輸模式提供了端到端的認證和加密，隧道模式提供了通信子網(wǎng)的認證和加密。ESP提供了相同的安全服務(wù)并提供了一種保密性（加密）服務(wù)，而ESP與AH各自提供的認證其根本區(qū)別在于它們的覆蓋范圍。特別地，如果那些字段不是由ESP封裝的，那么ESP不會支持任何IP頭字段。通常，當(dāng)用與IPv6時，AH出現(xiàn)在IPv6逐跳路由頭之后IPv6目的選項之前。而用于IPv4時，AH跟隨主要IPv4頭。

（二）ESP

IPsec封裝安全負載協(xié)議（IPsec ESP）是IPsec體系結(jié)構(gòu)中的另一種主要協(xié)議，其主要設(shè)計用來企業(yè)接入Internet時提供了一種混合的高安全服務(wù)。IPsec ESP最主要的用途是數(shù)據(jù)加密，同時也可提供完整性。通常在配置好的路由器或者接入服務(wù)器上，接入用戶可以在真實接入目標(biāo)主機時先由通信雙方做安全接入探測，這種方法既可以用于加密傳輸層字段，也可以加密網(wǎng)絡(luò)層IP數(shù)據(jù)報。這種方式可以極大地保護IP數(shù)據(jù)報，即使黑客通過抓包軟件獲得相應(yīng)信息，也無法打開其中的內(nèi)容，這種方式在金融、電力、國防、教育等諸多領(lǐng)域已經(jīng)得到很好的應(yīng)用。

ESP加密方式通常也分為傳輸模式和隧道模式兩種。傳輸模式ESP頭放在在IP數(shù)據(jù)報頭后、上層協(xié)議頭前，隧道模式ESP頭放在IP數(shù)據(jù)報頭之前。IANA分配給ESP一個協(xié)議值50，在ESP頭前的頭立即在其下一個頭（IPv6）或協(xié)議（IPv4）字段里包含該值50。ESP由加密數(shù)據(jù)跟隨的非加密頭組成。該加密數(shù)據(jù)既包括了受保護的ESP頭字段也包括了受保護的用戶數(shù)據(jù)，這個用戶數(shù)據(jù)通常既可以是整個IP數(shù)據(jù)報，或是傳輸層字段。

三、IPsec/VPN的安全特性

IPsec/VPN技術(shù)在使用時可以實現(xiàn)以下幾方面安全特性：

（一）抗抵賴性

“抗抵賴性”的作用是接受方在收到發(fā)送方的消息后，可以通過某種技術(shù)證實發(fā)送方時該消息的唯一發(fā)送方，接受方通過提供數(shù)字證書等各種方法約束發(fā)送方不能否認發(fā)送過消息。“抗抵賴性”是通常采用先進的非對稱加密技術(shù)。在非對稱加密技術(shù)中，通信雙方都擁有公鑰和私鑰。公鑰用來加密和驗證，私鑰用來解密和簽名。例如發(fā)送方在發(fā)送消息的同時用私鑰產(chǎn)生一個數(shù)字簽名隨消息一起發(fā)送，接收方在接受到消息后先用發(fā)送方的公鑰來驗證數(shù)字簽名，用來保證接收到的消息確實為發(fā)送方所發(fā)。這種方式的好處是只有發(fā)送方才擁有私鑰，并且只有發(fā)送方才可能用其私鑰對信息進行數(shù)字簽名，因此只要數(shù)字簽名通過驗證，發(fā)送方就無法否認曾發(fā)送過該消息?！翱沟仲囆浴钡倪@種做法時隨著計算機軟件和硬件技術(shù)不斷發(fā)展，在CPU處理能力不斷提高前提下應(yīng)用的它摒棄了原先通信雙方使用相同密鑰的這種簡單但不安全的對稱加密技術(shù)，從理論上保證了通信雙方的安全性，因此得到了廣泛的應(yīng)用。

（二）反重放性

“反重放性”可以確保每個IP數(shù)據(jù)報的唯一性，這主要是針對網(wǎng)絡(luò)上日益增加的黑客攻擊，黑客可以通過抓包等手段截取通信雙方的數(shù)據(jù)報文，經(jīng)過篡改再發(fā)送出去。“反重放性”可以防止攻擊者截取信息后，利用網(wǎng)絡(luò)上或內(nèi)存中并未消除的會話，再用篡改后的數(shù)據(jù)報冒充合法用戶獲得訪問權(quán)。反重放性保證了曾經(jīng)發(fā)送的數(shù)據(jù)報不能再被重新利用或者重新傳回目的地。

（三）數(shù)據(jù)完整性

“數(shù)據(jù)完整性”主要是用來防止傳輸過程中數(shù)據(jù)被篡改，確保發(fā)送方數(shù)據(jù)和接收方數(shù)據(jù)的一致性。在IPsec技術(shù)中，其利用了一種叫做Hash函數(shù)的方法為每個數(shù)據(jù)報產(chǎn)生一個唯一的消息摘要，接收方在解封裝數(shù)據(jù)報文后先看到數(shù)據(jù)報和附帶的消息摘要，并且利用通信雙方預(yù)定好的Hash函數(shù)再進行一次消息摘要生成操作，假如數(shù)據(jù)報在傳輸過程中遭到篡改則會導(dǎo)致計算的消息摘要不相符，則接收方直接將數(shù)據(jù)報丟棄。

（四）數(shù)據(jù)可靠性

“數(shù)據(jù)可靠性”即指通信雙方在傳輸數(shù)據(jù)前，對數(shù)據(jù)先進行加密，加密后的數(shù)據(jù)可以在局域網(wǎng)或廣域網(wǎng)上傳輸，即使數(shù)據(jù)報被截取，攻擊者也無法讀取被加密的數(shù)據(jù)。

四、IPsec/VPN的優(yōu)勢

（一）經(jīng)濟效益高

通過將vpn技術(shù)應(yīng)用于網(wǎng)絡(luò)層的使用可以使企業(yè)免去承擔(dān)高昂的專線的租用費。這極大的減少了企業(yè)開支，特別是像DDN、幀中繼、等企業(yè)傳統(tǒng)接入廣域網(wǎng)技術(shù)都可以將IPsec/VPN應(yīng)用其上。傳統(tǒng)廣域網(wǎng)接入技術(shù)大部分都是租費隨著距離的增加而增加，分支越遠越多，租費越高。而Internet的接入費用則只承擔(dān)本地ISP的接入費用，無論分支數(shù)量和距離，均可方便接入，而且費用很便宜。因此，現(xiàn)在很多分支辦公室都采用Internet作為傳輸骨干，在接入端利用帶IPsec/VPN功能的路由器進行企業(yè)網(wǎng)接入，而且隨著制造VPN設(shè)備的廠商日益增加，VPN設(shè)備的價格必將逐漸降低。

（二）建網(wǎng)靈活

在傳統(tǒng)接入Internet時我們可以采用10M、100M端口，光纖技術(shù)，也可以是2M或更低速的端口，還可以是便宜的XDSL連接，或普通modem接入技術(shù)，而VPN技術(shù)卻因其在高層實現(xiàn)，因此可以靈活應(yīng)用于各種接入網(wǎng)絡(luò)，成為選擇種類眾多的端口連接方式。一個IPsec/VPN網(wǎng)絡(luò)對連接分支機構(gòu)的數(shù)目和距離都沒有限制。

（三）應(yīng)用廣泛

IPsec/VPN既可以連接少量的分支機構(gòu)，也適合連接許多的分支機構(gòu)。這也取決于IPsec/VPN的核心設(shè)備的發(fā)展，現(xiàn)在的骨干路由器通常支持異構(gòu)網(wǎng)互聯(lián)，其良好的擴展性可以讓一個端口同時連接成千上萬的分支，包括企業(yè)分支部門和移動辦公用戶，而不需要例如DDN專線等互聯(lián)方式在收發(fā)雙方建立物理上的連接。并且IPsec/VPN也支持遠程的語音和視頻業(yè)務(wù)，這樣連同數(shù)據(jù)業(yè)務(wù)一起，為現(xiàn)代化辦公提供便利條件，節(jié)省大量長途話費。

（四）安全可靠

IPsec/VPN的顯著特點是它的安全性，這也是開發(fā)VPN技術(shù)的最根本原因。通過對VPN骨干設(shè)備的合理配置，將隧道技術(shù)、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、身份認證、統(tǒng)一授權(quán)等多種技術(shù)的應(yīng)用保證網(wǎng)絡(luò)傳輸?shù)陌踩?。同時，VPN設(shè)備還集成可通過RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等認證方式。

（五）提供冗余設(shè)計

由于VPN技術(shù)經(jīng)常用在企業(yè)骨干網(wǎng)絡(luò)上，所以現(xiàn)在的VPN設(shè)備大部分都提供冗余機制，包括鏈路冗余和設(shè)備冗余。在VPN核心設(shè)備上通常還提供CPU冗余、電源冗余等冗余設(shè)計。在鏈路發(fā)生故障時，VPN骨干設(shè)備還可支持故障恢復(fù)功能，并且網(wǎng)狀的VPN骨干拓撲還可實現(xiàn)負載均衡。此外在客戶端接入網(wǎng)絡(luò)時，VPN客戶端還可自動選擇本地區(qū)域的最有接入點，當(dāng)本地區(qū)域接入點發(fā)生故障時，選擇其他接入設(shè)備，從而保證達到連接的可用性。

五、IPsec/VPN的應(yīng)用前景

IPsec/VPN的應(yīng)用有兩種基本類型：撥號式VPN與專用式VPN。

撥號VPN為移動用戶與遠程辦公者提供遠程內(nèi)部網(wǎng)訪問，這種形式的VPN是當(dāng)前最流行的形式。撥號VPN業(yè)務(wù)也稱為“公司撥號外包”方式。按照隧道建立的場所，撥號VPN分為兩種：在用戶PC機上或在服務(wù)提供商的網(wǎng)絡(luò)訪問服務(wù)器（NAS）上。

專用VPN有多種形式，其共同的要素是為用戶提供IP服務(wù)，一般采用安全設(shè)備或客戶端的路由器等設(shè)備在IP網(wǎng)絡(luò)上完成服務(wù)。通過在幀中繼或ATM網(wǎng)上安裝IP接口也可以提供IP服務(wù)。專用業(yè)務(wù)應(yīng)用通過WAN將遠程辦公室與企業(yè)的內(nèi)部網(wǎng)與外部網(wǎng)連接起來，這些業(yè)務(wù)的特點是多用戶與高速連接，為提供完整的VPN業(yè)務(wù)，企業(yè)與服務(wù)提供商經(jīng)常將專用VPN與遠程訪問方案結(jié)合起來。

目前還出現(xiàn)一種VPN知覺的網(wǎng)絡(luò)，服務(wù)提供商將很快推出一系列新產(chǎn)品，專門用于提供商在向企業(yè)提供專用增值服務(wù)時對擴展性與靈活性的需求。

總之，現(xiàn)在幾乎所有的網(wǎng)絡(luò)互聯(lián)技術(shù)中都要用到安全技術(shù)，IPsec/VPN會在個人和企業(yè)內(nèi)部網(wǎng)接入Internet中應(yīng)用愈加廣泛。

參考文獻：

[1]鄧志華,朱慶.網(wǎng)絡(luò)安全與實訓(xùn)教程[M].北京:人民郵電出版社,2005,4

[2]梁亞聲.計算機網(wǎng)絡(luò)安全技術(shù)教程[M].北京:機械工業(yè)出版社,2008,7

vpn技術(shù)范文第4篇

關(guān)鍵詞：VPN技術(shù)；隧道技術(shù)；安全技術(shù)

中圖分類號：TP309.2 文獻標(biāo)識碼：A文章編號：1007-9599 (2011) 08-0000-01

The Application of VPN Technology in Enterprise

Wang Hengxiang

(Tietong,Fujian Branch,Fuzhou350003,China)

Abstract:The typical application of VPN technology has made the detailed analysis and discussion.

Keywords:VPN technology;Channel technology;Safety technology

當(dāng)前以Internet為標(biāo)志的信息技術(shù)革命，正以驚人的速度改變著人們的生產(chǎn)、工作、學(xué)習(xí)和生活方式，全球信息化建設(shè)都處于一個高速發(fā)展的階段，信息孤島和信息共享安全已成為企業(yè)信息化建設(shè)過程中兩個比較突出的問題。實現(xiàn)企業(yè)集團不同地點網(wǎng)絡(luò)的互聯(lián)有兩種選擇：一是組建傳統(tǒng)的企業(yè)專用網(wǎng)絡(luò)，二是組建VPN網(wǎng)絡(luò)。前者需要采購相應(yīng)的網(wǎng)絡(luò)設(shè)備，租用或自建傳輸線路，進行網(wǎng)絡(luò)的規(guī)劃和建設(shè)以及網(wǎng)絡(luò)建成后的維護和管理，成本高昂，通常適合于實力雄厚的大型企業(yè)集團；而對于中小企業(yè)來說，這高昂的成本開銷是難以接受的，于是伴隨著降低建網(wǎng)成本的市場需求，加之國內(nèi)的IP資源有限的現(xiàn)狀，企業(yè)的另一種選擇-基于動態(tài)IP的VPN技術(shù)-悄然登場了，利用VPN組網(wǎng)成了企業(yè)網(wǎng)絡(luò)建設(shè)性價比最高的解決方案。

一、VPN技術(shù)簡介

VPN（虛擬專用網(wǎng)絡(luò)，Virtual Private Network）是一種利用公共網(wǎng)絡(luò)來構(gòu)建的專用網(wǎng)絡(luò)技術(shù)，“虛擬”這一概念是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的，VPN是用公共網(wǎng)絡(luò)來實現(xiàn)遠程的廣域連接，通過它企業(yè)可以以更低的成本連接遠程分支機構(gòu)；或者在公共的骨干網(wǎng)絡(luò)上承載不同的專用網(wǎng)絡(luò)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。簡單地說VPN就是通過專用的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。VPN技術(shù)非常復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認證技術(shù)，是一項交叉科學(xué)。目前，CPE-based VPN主要包含兩種技術(shù)：隧道技術(shù)與安全技術(shù)。

（一）隧道技術(shù)

隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù)）作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前VPN隧道協(xié)議有4種：點到點隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、網(wǎng)絡(luò)層隧道協(xié)議IPSec以及SOCKS v5，它們在OSI七層模型中的位置如表所示。各協(xié)議工作在不同層次，無所謂誰更有優(yōu)勢。但我們應(yīng)該注意，不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議，在選擇VPN產(chǎn)品時，應(yīng)該注意選擇。

（二）安全技術(shù)

VPN是在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機密數(shù)據(jù)，因此其安全性非常重要。VPN中的安全技術(shù)通常由加密、認證及密鑰交換與管理組成。

1.認證技術(shù)。認證技術(shù)防止數(shù)據(jù)的偽造和被篡改，它采用一種稱為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。該特性使得摘要技術(shù)在VPN中有兩個用途：驗證數(shù)據(jù)的完整性、用戶認證。

2.加密技術(shù)。IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如DES、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

3.密鑰交換和管理。VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式，另一種采用密鑰交換協(xié)議動態(tài)分發(fā)。

二、VPN在企業(yè)中的應(yīng)用

VPN在企業(yè)中的組網(wǎng)方式分以下3種。在各種組網(wǎng)方式下采用的隧道協(xié)議有所不同，要仔細選擇。

（一）Access VPN（遠程訪問VPN）

客戶端到網(wǎng)關(guān)。VPN允許遠程通訊方，銷售人員或企業(yè)分支機構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務(wù)器建立連接。虛擬專用網(wǎng)絡(luò)對用戶端透明，用戶好像使用一條專用線路在客戶計算機和企業(yè)服務(wù)器之間建立點對點連接，進行數(shù)據(jù)的傳輸。遠程用戶撥號接入到本地的ISP，它適用于流動人員遠程辦公，可大大降低電話費。SOCKSv5協(xié)議比較適合這類連接。

（二）Intranet VPN（企業(yè)內(nèi)部VPN）

網(wǎng)關(guān)到網(wǎng)關(guān)。它適用于公司兩個異地機構(gòu)的局域網(wǎng)互連，在Internet上組建世界范圍內(nèi)的企業(yè)網(wǎng)。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。IPSec隧道協(xié)議可滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接，因此，在這類組網(wǎng)方式中用得最多。

（三）Extranet VPN（擴展的企業(yè)內(nèi)部VPN）

與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet。由于不同公司的網(wǎng)絡(luò)相互通信，所以要更多考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題。它也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接，選擇IPSec協(xié)議是明智之舉。使用VPN技術(shù)可以解決在當(dāng)今遠程通訊量日益增大，企業(yè)全球運作廣泛分布的情況下，員工需要訪問中央資源，企業(yè)相互之間必須進行及時和有效的通訊的問題。VPN可以實現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。對中小企業(yè)來說，VPN是實現(xiàn)自建專網(wǎng)向利用運營商網(wǎng)絡(luò)方向發(fā)展的重要技術(shù)，通過部署VPN，利用地理范圍覆蓋廣闊，骨干網(wǎng)絡(luò)帶寬很高的運營商網(wǎng)絡(luò)可以提供滿足企業(yè)網(wǎng)絡(luò)互連的需求，企業(yè)因此省去建設(shè)費用高昂的專有網(wǎng)絡(luò)。對于建設(shè)了專用網(wǎng)絡(luò)的大企業(yè)集團，利用MPLS VPN可以實現(xiàn)數(shù)據(jù)、語音、視頻的多業(yè)務(wù)承載和、不同業(yè)務(wù)系統(tǒng)之間的隔離。MPLS VPN在保證不同業(yè)務(wù)的QOS和業(yè)務(wù)系統(tǒng)的安全隔離方面具有天然的優(yōu)勢。VPN組網(wǎng)應(yīng)是企業(yè)信息化網(wǎng)絡(luò)建設(shè)中性價比最高的解決方案。

參考文獻：

vpn技術(shù)范文第5篇

關(guān)鍵詞:VPN簡介特點實現(xiàn)技術(shù)

中圖分類號：TP393文獻標(biāo)識碼：A 文章編號：1672-3791(2012)04(a)-0000-00

現(xiàn)如今,針對網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性的問題而研究出來并迅速發(fā)展起來了一種技術(shù),那就是VPN。無論是數(shù)據(jù)傳輸?shù)目煽啃?、網(wǎng)絡(luò)安全性,還是經(jīng)濟實用性來看,VPN技術(shù)是一種不錯的選擇。

1VPN

1.1 VPN簡介

虛擬專用網(wǎng)(VirtuaIPrivateNetwork)簡稱VPN，它是一種“用于公共數(shù)據(jù)網(wǎng)絡(luò)，提供用戶一種可以直接連接到私人局域網(wǎng)感覺的服務(wù)”。它不僅節(jié)省了用戶不少的費用，還提供了更強大的安全性和可靠性。

我們將VPN分成三大類:一是企業(yè)與合作伙伴、客戶、供應(yīng)商之間的ExtranetVPN，二是企業(yè)網(wǎng)與遠程(移動)雇員之間的遠程訪問(Re-moteAccess)VPN，三是企業(yè)各部門與遠程分支之間的In-tranetVPN。

1.2 VPN特點

1.2.1 非常良好的安全性

VPN 在架構(gòu)上采用了很多種安全機制，例如信道（Tunneling）、加密（Encryption）、認證（Authentication）、防火墻（Firewall）及黑客偵防系統(tǒng)（Intrusion Detection）等技術(shù)來解決這個問題。就是為了保證重要性的資料在公眾網(wǎng)絡(luò)中傳輸時不至于被竊取，或是即使被竊取了，對方亦無法讀取封包內(nèi)所傳送的資料。它可以通過使用點到點協(xié)議用戶級身份驗證的方法來進行確認，而對一些敏感的數(shù)據(jù)，我們將通過使用VPN連接VPN服務(wù)器將高度敏感的數(shù)據(jù)地址物理地進行分隔，它只有企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過遠程訪問建立與VPN服務(wù)器的VPN連接，我們還可以訪問一些敏感部門網(wǎng)絡(luò)中受到保護的資源。所有的流量都經(jīng)過加密和壓縮后在網(wǎng)絡(luò)中傳輸，為用戶信息提供了最高的安全性保護。

1.2.2 成本低

遠程用戶可以通過向當(dāng)?shù)氐腎SP申請賬戶登陸到Internet，我們可以將Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，用戶的通信費用大幅度降低；然后，企業(yè)可以節(jié)省購買和維護通訊設(shè)備的費用。據(jù)分析，在 LAN（局域網(wǎng)）-to-LAN（局域網(wǎng)）連接時，用 VPN 與使用專線的成本相比較，要比其它的節(jié)省 30%～50% 左右；就遠程訪問而言，用 VPN比直接撥入到企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省 60%～80% 的成本。這是由于VPN 在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上，平均比專線式的架構(gòu)節(jié)省，因而能使網(wǎng)絡(luò)的總成本（Total Cost of Ownership）降低。

1.2.3 管理簡便

由于VPN 使用了比較少的設(shè)備來建立網(wǎng)絡(luò)，所以使網(wǎng)絡(luò)的管理更為輕松；不管連接的是哪個用戶都需要通過VPN隧道的路徑來進入內(nèi)部網(wǎng)絡(luò)。

1.2.4 網(wǎng)絡(luò)架構(gòu)彈性大

VPN的平臺具備非常完整的擴展性，大到企業(yè)總部的各個設(shè)備，小到各分公司，還有個人撥號用戶，都能被包含于整體的 VPN 架構(gòu)中，同時，VPN 的平臺還具有對未來廣域網(wǎng)絡(luò)頻寬擴充及連接更新架構(gòu)的特性。VPN 和專線式的架構(gòu)相比較具有彈性，當(dāng)將網(wǎng)絡(luò)擴充或是變更網(wǎng)絡(luò)架構(gòu)時， VPN 可以輕松的達到目的。

1.2.5 它還具有網(wǎng)絡(luò)協(xié)議的支持

對于IP、IPX和NetBEUI協(xié)議，網(wǎng)絡(luò)客戶機都可以輕易的使用VPN。這就意味著我們通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。所以VPN支持最常用的網(wǎng)絡(luò)協(xié)議。

1.2.6 能夠使用多種寬帶技術(shù)

不論是ADSL、Cable還是 Modem，用戶都可以選擇使用本地服務(wù)供應(yīng)商所能夠提供的寬帶接入技術(shù)。

1.2.7 IP地址的安全性

我們以Internet作為傳輸載體，再采用VPN技術(shù)，來實現(xiàn)企業(yè)網(wǎng)寬帶遠程訪問，那是一個非常理想的企業(yè)網(wǎng)遠程寬帶訪問解決方案。因為VPN是加密的，VPN數(shù)據(jù)包在Internet中傳輸時，Internet上的用戶只能看到公用的IP地址，卻看不到VPN使用的協(xié)議。

1.2.8 具有高度的靈活性

只要該用戶能夠接入Internet，用戶不論是在家中、在出差途中、還是在任何環(huán)境中，他都能夠安全地連接到企業(yè)網(wǎng)內(nèi)部。這樣既不受到地域限制，也不會受到接入方式限制。

2VPN的實現(xiàn)技術(shù)

VPN實現(xiàn)具有三個關(guān)鍵技術(shù)是隧道技術(shù)、加密技術(shù)和QoS技術(shù)。

2.1 隧道技術(shù)

隧道技術(shù)可以通過路由器滿足ExtranetVPN以及IntranetVPN的需求。但在遠程訪問VPN過程中，多數(shù)用戶是采用撥號上網(wǎng)。這時我們就可以通過L2TP和PPTP來加以解決。

2.2 加密技術(shù)

加密技術(shù)可以對數(shù)據(jù)或報文頭進行加密。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進行。在網(wǎng)絡(luò)層中的加密標(biāo)準是IPSec。它的另一個選擇是“隧道模式”:加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統(tǒng)的標(biāo)準;而“隧道模式”方案，VPN安全粒度只達到子網(wǎng)標(biāo)準。

2.3 QoS技術(shù)

QoS應(yīng)該在主機網(wǎng)絡(luò)中實行，這也就是VPN建立起來的隧道這一段，這樣我們才可以建成一條性能符合用戶要求的隧道。 對于公共網(wǎng)的VPN我們可以通過隧道技術(shù)、數(shù)據(jù)加密技術(shù)以及QoS機制，來使VPN用戶降低成本、提高效率、增強安全性，VPN終將是廣大用戶的最終選擇。

我們通過隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個具有互操作性、安全性的VPN，但是這個VPN在性能上還不穩(wěn)定，管理上仍不能滿足所有企業(yè)的要求，這就要加入一些QoS技術(shù)。

3 結(jié) 語

現(xiàn)如今，VPN技術(shù)可以利用在公共網(wǎng)絡(luò)上建立起來的安全的專用網(wǎng)絡(luò)，從而為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，它是企業(yè)內(nèi)部網(wǎng)的一個擴展和延伸。VPN技術(shù)在未來的企業(yè)信息化建設(shè)中具有廣闊的前景，國內(nèi)的VPN應(yīng)用已經(jīng)有向銀行、保險、運輸、大型制造與連鎖企業(yè)迅速擴散的趨勢，這是市場發(fā)展的必然。VPN已經(jīng)是通信技術(shù)上的一個重要的突破，它使Internet這種大眾化而又不安全的網(wǎng)絡(luò)發(fā)揮出了重要作用。但就現(xiàn)在而言，VPN還存在一些缺陷，VPN協(xié)議還沒有完全標(biāo)準化，而各VPN產(chǎn)品廠商對VPN也有不同的認知?？偟膩碚f，隨著虛擬運營商逐漸進入VPN服務(wù)領(lǐng)域，我們還有更多的電信業(yè)務(wù)運營的ISP浮出水面，而國內(nèi)的一些企業(yè)對VPN的認識還在逐步加深和探究。

參考文獻

[1] 楊小平等.《Internet應(yīng)用基礎(chǔ)教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm

[3] 王達等．虛擬專用網(wǎng)(VPN)精解[M] 北京：清華大學(xué)出版社，2004．

[4] 楊永斌．VPN技術(shù)應(yīng)用研究[J]. 計算機科學(xué)，2004，（10）．