前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇vpn技術論文范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

vpn技術論文范文第1篇

    關鍵詞:vpn隧道技術Qos

    中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2010)09-0083-02

    1 引言

    隨著我院辦學形式的轉變,先后在北京和杭州成立的相關研究所,以及在杭州的浙江技師學院分校。現要求使各分部區能訪問主校區的校內資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區間數據傳遞或教職工在校外訪問校內資源中遇到的問題。價格上要求實惠,數據要求安全,因此虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸,虛擬專用網還可以保護現有的網絡投資。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

    2 VPN簡介

    2.1 虛擬專用網

    虛擬專用網(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。

    2.2 VPN的實現技術

    VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。

    (1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術和加密技術。

    (2)隧道技術。隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。

    2.3 VPN的主要特點

    (1)安全保障。雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業網擴展到合作伙伴和客戶,對安全性提出了更高的要求。

    (2)服務質量保證(QoS)。VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。

    (3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

    (4)可管理性。從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

    3 VPN應用實例

    利用VPN 較少的網絡設備及物理線路,使網絡的管理較為輕松。不論分校或遠程訪問用戶的多少,只需通過互聯網的路徑即可進入主校區網路。

    結合我校的實際要求,采用美國網件產品FVL328、FVL318VPN產品,價格實惠,總體性能滿足要求,美國網件的VPN網絡解決方案不僅支持IPSEC等協議,以及DES、3DES、AES加密算法,同時還可通過IKE、共享秘鑰、PKI(X.509)進行身份認證等方式,加強內部網絡的安全性能。

    FVL328、FVS318具有支持動態DDNS組建的IPSEC VPN網絡的功能, 并運用了產品自身的DDNS(動態域名解析)技術,整個VPN系統網絡使用方便、快速、圖形化的配置界面使維護和管理更簡單、建設費用低廉。VPN拓撲結構圖,如圖2所示:

    在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網絡通過認證密碼統一管理,形成一個集中管理的虛擬私有網絡,VPN傳輸使用IPSEC協議。對外安全邊界使用NETGEAR的寬帶防火墻技術屏蔽來自外部的各種可能攻擊。

    總校可采用固定的IP地址和域名,各分校可以申請動態拔號ADSL寬帶線路, 通過從NETGEAR的VPN設備中申請獲得免費的DDNS(動態域名解析服務),從而可低成本地組建VPN網絡連接,結合美國網件公司的VPN防火墻FVL328和FVS318的先進安全策略技術,來實現實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數據共享服務器資源, 同時又要保證數據能安全的在公網上進行傳輸.即實現母校與各分院之間數據和信息能夠安全、保密、高速、穩定的實時傳輸。

    4 結語

    文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。VPN技術戶廣泛用于校際間的數據傳送,也是企業的分支機構聯系數據的主要手段。

    參考文獻

    [1] 石冰.VPN的構建方法.安慶師范學院學報(自然科學版),2008,8(3).

vpn技術論文范文第2篇

關鍵詞：有效 利用 數字圖書館 方法

中圖分類號：G250.7 文獻標識碼： A 文章編號：1672-1578（2013）03-0081-02

1 引言

信息技術的迅速發展和廣泛應用，不僅改變著人們的工作和生活方式，也改變著教育和學習方式，也促進了國內外數字資源的突飛猛進發展，高校圖書館購買的數字資源也越來越多，可供師生訪問的資源日漸增多，但是數據庫資源的知識產權和版權等因素使得相當部分數字資源使用范圍有限，只能在校園網內部訪問，不能對外網開放。電大開放教育以學生為中心，具有開放性、靈活性、針對性和適應性等特點，主要運用衛星、電視、互聯網、移動終端等信息化手段和多種教學媒介，構建全民多樣化終身學習型社會。國家開放大學數字圖書館的服務對象是開放大學及電大系統的師生，但他們多數是在職在崗的成人，學習的地方相對分散，到校園圖書館利用數字資源極為不便，也因此形成了開放大學圖書館服務方式的特殊性。為了滿足電大系統教師和學生隨時隨地便捷地使用圖書館數字資源，國家開放大學數字圖書館提供遠程訪問服務。

2 遠程訪問數字圖書館

本文所討論的遠程訪問是校外訪問，就是指非校園網用戶突破校內IP地址的物理限制使用學校購買的數字化數據庫資源。目前遠程訪問圖書館數字資源有傳統服務器技術、VPN技術、Athens項目、PKI技術、Shibbloeth項目、EZproxy技術等[1]。VPN技術實現遠程訪問已經普遍應用并逐步完善，尤其在遠程訪問圖書館數字資源中應用更為廣泛。新興的 SSL VPN 技術非常適合移動用戶的遠程接入訪問，該技術集傳統數據網絡的安全、快速及共享數據庫的低成本且簡單易行等優點特點，可以為外部網提供虛擬連接，從而成為高校圖書館為所有非校園網的師生提供資源共享的最理想的方案[2]。

3 VPN概述

VPN（Virtual Private Network）即虛擬專用網絡，是一種網絡新技術，在公用網絡上通過加密、認證、封裝以及密鑰交換技術，建立單位內部專用網絡進行遠程虛擬訪問的連接方式。VPN具有傳輸數據安全可靠，連接方便靈活，可完全控制，成本低等特點[3]。

SSL VPN是采用SSL（Secure Sockets Layer，安全套接層）協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB的安全協議，使用SSL 協議進行認證和數據加密的VPN就可以免于安裝客戶端。相對于傳統的VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點[4]。

4 應用VPN技術訪問數字圖書館的方法

筆者在教育教學過程中發現絕大多數學生不會遠程訪問數字圖書館，甚至很多教師都不會合理利用網上數字資源。開放大學圖書館由于涉及數據庫資源的知識產權問題，使用范圍有限，在校園網內使用沒有限制，但校外只允許屬于電大的教師和學生作為合法的用戶，提供VPN技術，用戶在登錄后，需要安裝VPN控件，才能正常的打開文獻資源列表。一般情況下，VPN系統會自動檢測電腦系統，并引導安裝VPN插件，也可以在網站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學工作中發現，很多學生寫畢業論文或教師做課題研究的時候，抱怨找不到資源，找到的資源不完整或者下載需付費，下面簡單介紹校外如何訪問開放大學數字圖書館（中央廣播電視大學圖書館）。

4.1 開放大學數字圖書館介紹

國家開放大學數字圖書館為開放大學及全國電大系統提供一站式、扁平化服務，其中電子圖書書目數據達340多萬種、電子圖書全文達234萬種、學術文獻7000多萬篇、社科數字期刊2800多種，名師講座88624集，基本實現數字文獻資源全學科覆蓋[5]。主要涵蓋：（1）開放文獻資源列表，提供中央電大圖書館提供的常用電子文獻資源列表；（2）讀者論壇幫助BBS（beta），是開放數圖論壇讀者幫助模塊，在此可以反饋在使用中存在的問題，提出數字圖書改進建議；（3）數字圖書館學習空間，以圖書館培訓、教育為主要內容，同時提供教師自建課程的Moodle教學平臺；（4）電大在線?我的工作室，提供在線教學輔導的全部信息；（5）開放大學講壇，由中央電大圖書館主辦的學術講座平臺，匯集名師名家，深入講解近期發生的熱點問題，提供最全的視頻資料信息；（6）全國電大圖書館通訊，是圖書館服務與交流電子期刊，提供了最新的電大圖書館工作動態，介紹電大圖書館新引進的和推薦的文獻信息資源等；（7）社會化應用及交流網站等服務。

4.2 安裝VPN控件

開放大學數字圖書館（http：//）通過VPN的方式對開放教育學生以及電大系統教職工提供授權訪問服務。打開頁面“插件”（如上圖），下載“國家開放大學數字圖書館遠程訪問控件”，即VPN控件，在安裝過程中關閉防火墻和IE安全控（上接81頁）

件軟件，并將圖書館網站的鏈接地址添加到IE信任列表，Windows Vista用戶在安裝控件時請關閉UAC，Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”，再打開安裝頁面。安裝VPN控件后，這個插件要求必須使用IE瀏覽器進行訪問，IE瀏覽器的版本最低為6.0。

4.3 登陸訪問資源列表

點擊“開放數圖”，學生用電大在線學生證號進行登錄，教師用電大在線用戶名進行登錄，通過點擊開放文獻資源列表標簽，在進入過程中檢查身份的合法性及訪問資源的安全性，檢查完畢進入應用列表，包括CNKI、維普、萬方、超星、龍源、讀秀等數據庫，涵蓋了最新期刊、會議論文、學位論文等。

4.4 文獻檢索

以中國知網（CNKI）為例，打開CNKI（國開鏡像版），期刊包括博碩士學位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統計數據、專利、標準等內容，通過全文、主題、篇名、關鍵字、摘要、文獻來源等方式輸入關鍵字進行檢索，在檢索結果中打開自己感興趣的文獻進行閱讀、下載。

日新月異的信息技術，促進了教育信息化的迅猛發展，電大教師的信息技術應用能力、文獻檢索的方法和途徑直接決定了遠程教育教學資源的使用效率和科研水平，因此筆者認為提升師生信息素養，加強信息技術應用能力，通過系統內數字資源應用培訓，從數字圖書館平臺訪問、國內主要文獻數據庫的使用、移動數字圖書館的使用等方面進行培訓，使教職工掌握數字文獻資源的使用，提高數字資源的使用率，充分發揮資源共享的優勢和效益，為教學和科研提供支持。

參考文獻：

[1]張文豐，黃淑敏.開放大學數字圖書館資源校外訪問方式的研究[J].黑龍江科技信息，2007，（20）：146.

[2]付凱東.SSL VPN技術在高校圖書館數字資源中的應用[J].微計算機信息，2010，26（7-3）：107.

[3]百度百科：虛擬專用網絡[EB/OL].http：///view/480950.htm？fromId=19735.

[4]百度百科：SSL VPN介紹[EB/OL].http：///view/708397.htm/

vpn技術論文范文第3篇

關鍵詞:IPSec VPN;MPLS VPN;SSL VPN;對比

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0101-01

一、引言

隨著信息化經濟一體化的發展,實現資源共享是每個企業追求發展進步不可或缺的一步。利用隧道技術在公共網絡上建立安全的虛擬專用網絡(VPN)是實現資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。

二、IPSec VPN

IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,用來提供公用和專用網絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網絡數據安全的一整套體系結構,包括AH網絡認證協議、ESP封裝安全載荷、IKE因特網密鑰交換和用于網絡認證及加密的一些算法等[1]。其中,AH協議和ESP協議用來提供安全服務,IKE協議用于密鑰交換。

(一)認證頭(AH)協議

IPsec認證頭協議是IPsec體系結構中的一種主要協議(AH協議把AH頭插入IP數據包),它為IP數據報提供無連接完整性、數據源認證、保護以避免重播情況[1]。

(二)封裝安全載荷(ESP)協議

封裝安全載荷(ESP)協議是IPsec體系結構中的一種用來提高IP的安全性的主要協議。ESP加密要保護的數據并且在IPsec ESP的數據部分進行數據的完整性校驗,以達到其數據機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密。

(三)IKE

IKE是一種混合型協議,由Internet安全聯盟(SA)和密鑰管理協議(ISAKMP)這兩種密鑰交換協議組成。IKE是以受保護的方式為SA協商并提供經過認證的密鑰信息的協議。IKE用于協商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。

三、MPLS VPN

MPLS VPN與傳統的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術,而是依靠轉發表和數據包的標記來創建一個安全的VPN,MPLS VPN的所有技術產生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。

(一)MPLS VPN的基本原理

每個MPLS VPN網絡的內部是由P(供應商)設備組成,這些設備構成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網絡發揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協議。在PE路由器中,RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在用戶設備上進行配置,對于用戶來說是透明的[2]。

(二)MPLS VPN的優點

1.減少時延。由于數據包不再經過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創建一個專用網,它同幀中繼網絡具備的安全性很相似[2]。

2.配置MPLS VPN網絡的設備比較容易。配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡不許訪問CPE。

3.提高了資源利用率。由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。

4.安全性高。采用MPLS作為通道機制實現透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。

四、SSL VPN

SSL VPN的出現是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致優點,避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業的遠程接入數量增多,企業的維護成本就會隨之增加。而SSL VPN最大的優點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡。對比表如下:

五、總結

由于VPN的優秀安全特性,讓它越來越受到安全要求較高的企業或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復雜的VPN系統會繼續出現。所以,其安全策略管理的問題將逐步顯現,這方面的研究也將受到高度重視。

參考文獻:

vpn技術論文范文第4篇

論文關鍵詞：高端路由器，網絡處理器，城域以太網

 

1.引言

網絡流量的指數級增長，導致網絡數據的處理越加復雜，特別是在跨區域大型企業，政府等部門對新業務的需求越來越大的情況下，現有城域網絡各方面的瓶頸越來越突出，而且隨著NGN、IPTV等基于IP的話音與視頻業務的發展，對城域網與接入網的功能與性能又提出了許多更高更新的要求：高帶寬、高可靠性、高QoS、低延時和靈活的擴展性。網絡處理器，作為新一代的高性能路由器的核心設備，在數據傳輸處理方面有許多特別的優勢，它不但擁有ASIC處理器的高速高帶寬，而且具有非常強的靈活性高端路由器，同時在流量管理、QoS、OAM等技術也有獨特的優勢。

2.城域網技術概述

從橫向劃分，承載網通常可以分為骨干網、城域網與接入網，城域網位于骨干網與接入網的交匯處，是通信網中最復雜的應用環境，各種業務和各種協議都在此匯聚、分流和進出骨干網。多種交換技術和業務網絡并存的局面是城域網建設所面對的最主要問題。而基于IP/MPLS技術建設多業務綜合承載網絡已經被全球運營商認同。

在城域網絡中，骨干層通過出口路由器實現與兩張骨干網的連接完成高速的數據轉發，并充當IP 城域網出口設備。匯聚層作為IP城域網骨干區域向下的延伸，與骨干層構成了核心路由區域，并充當三層MPLS VPN （Multi-PropocolLabel Switching VirtualPrivate Network） 的P 設備論文參考文獻格式。匯聚層BAS （寬帶接入服務器）和路由器以上運行三層網絡，以下視具體的情況運行三層或二層網絡。接入層負責用戶接入，采用二層網絡。

3. NP-3網絡處理器概述

Ezchip公司的NP-3處理器，是一款高靈活性的網絡處理器，它提供10G線速的包處理能力及良好的帶寬控制能力。通過編程能實現如二層交換，Q-in-Q，PBT，T-MPLS，VPLS，MPLS，IPV4/IPV6等多種功能。同時該芯片集成的一個流量控制器，能提供較強的流量管理功能。

NP-3的數據處理流圖如圖3.1：

圖3.1：NP-3數據處理流圖

TOPparse解析和提取各種數據幀的幀頭、地址、端口、協議等作為查表的關鍵字。同時也可利用硬件或軟件解析報文，過濾非法的畸形報文、攻擊報文。

TOPsearch使用TOPparse提取出的關鍵字查找相關的路由表、會話表、策略表、統計計數表等。

TOPresolve根據TOPsearchI查找表所得的結果進行判斷和決策。同時可以通過高學更新會話狀態信息等。

TOPserach II可選，在TOPresolve完成后，進行比較簡單的額外的數據表查找。

TOPmodify對報文的內容進行修改并發送到不同的路徑上。

4.城域網關鍵技術分析及NP-3平臺下的數據轉發面實現

4.1網絡結構及關鍵技術分析

典型的城域網由服務商骨干網絡（serviceprovider backbone network, SP-BN）和多個服務商網絡（serviceprovider network, SP-N）構成高端路由器，服務商網絡之間通過骨干網連接，用戶之間則通過服務商網絡連接到骨干網，如圖1所示，圖中SP-BN通過MPLS協議連接，而SP-N通過Q-in-Q（IEEE802.1ad）協議連接。本文將基于該網絡實例進行研究討論。

圖4.1：城域網絡基本結構

在城域網網絡中涉及的三類關鍵服務：

?點到點二層VPN服務（VPWS）

兩個單獨的用戶站點之間可通過本服務實現二層連接，預先配置好一個統一的服務ID(service ID)，建立一條通過SP-N和SP-BN的鏈路論文參考文獻格式。數據幀只需通過預先配置好的service ID進行轉發。如圖4.1中的Client A與Client B之間的二層服務。

?點到多點二層VPN服務（VPLS）

本服務提供了多個站點之間的二層連接，相當于構建了一個虛擬的局域網，數據幀的轉發基于service ID和報文的目的MAC地址（destination MAC address, DA）。如圖4.1中的Client A、Client B、Client C之間的二層服務。

?點到多點路由服務（L3VPN）

本服務提供了多個站點之間的三層連接，同時也能夠實現本城域網絡與外網的連接。在各個用戶站點看來，SP-N就是一個虛擬的私有IP網絡。數據幀的轉發基于service ID和目的IP地址（destination IP address, DIP）。如圖4.1中的Client A、Client B、Client C之間的三層服務

?NP-3硬件支持

NP-3的TOPparse模塊能實現硬件快速分析和提取數據報文對應OSI七層網絡模型的關鍵字段，包括MAC地址信息，VLAN標記，以太幀類型，MPLS標簽，IP地址，端口，HTTP，UTL等等。在本設計中，重點是對含有多個VLAN標記和MPLS標簽的復雜城域網服務的快速處理，NP-3能實現至少4級標簽棧的解析，對跨越多重網絡結構的復雜服務有強大的支持能力。

4.2NP-3處理器上的關鍵數據轉發面處理流程分析

NP-3處理器的數據轉發處理能力強，而對于控制協議的處理能力就較弱。在NP-3上高端路由器，對數據幀的處理依賴于以下三個因素：端口的配置，數據幀的格式以及網絡所提供的服務。根據設備的位置，端口的配置又分為四種模式：C-tagged模式，聚合模式，Q-in-Q模式，MPLS模式。

首先確定有幾下幾類數據幀：標準以太網幀，Q-in-Q幀，MPLS封裝的IP幀，各幀的結構如下。

?標準以太網幀，有三種類型：

 

DA

SA

0X800

IF

DATA

 

DA

SA

0X8100

C_TAG

0X800

IF

DATA

 

DA

SA

0X8100

C_TAG1

0X8100

C_TAG2

0X800

IF

vpn技術論文范文第5篇

論文摘要：本文通過對網絡存儲技術、虛擬專網VPN技術的設計原則和關健技術的詳細介紹，全面分析了這兩項技術的性能特點，以及在“共享工程”天津分中心和18家區縣支中心的具體實現方案與發展設計構想，闡述了這兩項技術的發展前景，及其在全國文化信息資源共享工程得到廣泛應用的必然性。

全國文化信息資源共享工程(以下簡稱文化共享工程)是由文化部、財政部共同組織實施的一項社會主義文化建設標志性工程，是新形勢下構建我國公共文化服務體系、惠及千家萬戶的一項重要文化基礎工程。“共享工程”將充分利用現代高新技術手段，將中華民族幾千年來積淀的各種類型的文化信息資源精華以及貼近大眾生活的現代社會文化信息資源，進行數字化加工處理與整合;建成互聯網上的中華文化信息中心和網絡中心，并通過覆蓋全國所有省、自治區、直轄市和大部分地(市)、縣(區)以及部分鄉鎮、街道(社區)的文化信息資源網絡傳輸系統，實現優秀文化信息在全國范圍內的共建共享。該工程于2004年4月正式啟動實施。

在中央和地方各級財政的大力支持下經過不斷努力，文化共享工程技術體系已經初步形成:在資源數字化方面，以數字圖書館技術為依托，建成了國家中心和各省級分中心的資源加工管理系統;在傳輸建設方面，形成了以互聯網、衛星網、有線電視及數字電視網為主要傳輸渠道，光盤、移動存儲設備為輔助傳輸手段的網絡傳輸體系，實現了文化信息資源的有效傳遞;在終端服務上，提供了國家中心網站、省分中心網站、省分中心鏡像站、衛星終端服務系統、文化共享工程基層服務系統、有線電視、數字電視、光盤、移動硬盤等手段，方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。

本文從動態發展的角度，以現有的技術體系為基礎，簡要對網絡存儲技術與虛擬專網VPN技術在“文化共享工程”中應用加以論述。

1網絡存儲技術

文化共享工程以加工整合各類優秀文獻信息資源為重點，建成了具有一定規模的文獻信息資源庫群。截至2007年6月，數字資源的總量己達到60TB。資源的存儲成為了各級分中心核心建設的重中之重。

1.1存儲系統設計原則

存儲系統的設計要遵循以下原則:

先進性和實用性:在方案總體設計規劃時不僅要滿足當時業務需求，而且充分考慮未來的需求可能。保證硬件環境的先進性，盡可能采用業界領先的技術。軟件環境的先進性，要從軟件平臺，設計思想、系統結構等方面考慮，選擇先進、可靠的應用平臺。

安全可靠性:存儲系統要保證365 X 24小時的不間斷穩定運行，具有災難恢復能力。

靈活性與可擴展性:網絡存儲系統是一個不斷發展的系統，所以它具有良好的擴展性，方便的擴大容量和提高層次的功能，支持多種通信媒體、多種物理接口的能力，提供技術升級、設備更新的靈活性。

開放性/互聯性:具備與多種協議計算機通信網絡互聯互通的特性，確保網絡存儲系統基礎設施的作用可以充分發揮。

經濟性/投資保護:以較高的性能價格構建網絡系統，充分利用以往在資金與技術方面的投人。

可管理性:采用智能化，可管理的設備，先進的管理軟件，實現先進的分布式管理。實現監控、監測整個系統的運行狀況，合理分配資源、動態配置負載等等。

綜上所述，存儲設備的選擇可按需定制，根據不同預算情況，不僅滿足當前需求，還要兼顧將來的升級維護。

1. 2存儲系統解決方案

1.2.1省級分中心的存儲解決方案

天津圖書館作為“共享工程”的省級分中心，以其存儲系統為例:存儲設備采用的是EMC CLARi-iON CX500存儲系統。CX500提供了一種沒有任何單點故障的可擴展、高可用性體系結構，采用了通用的硬件體系結構和軟件應用程序套件，通過EMCNavisphere進行集中管理并支持基于存儲的業務連續性和災難恢復功能，保證了數據的完整性和高可用性。具有了全局熱備功能，冗余電源和冷卻，通向光纖通道和ATA磁盤驅動器的四條通路，雙活動存儲處理器，整個陣列內的數據通路奇偶校驗等許多特性。

在性能方面，CX500配有4個用于SAN連接的2Gb前端光纖通道端口和4個光纖通道和ATA磁盤驅動器的2Gb后端光纖通道通路，可以有效地支持多達120個驅動器而不會出現性能降級。CX500同時支持高性能光纖通道驅動器和高容量ATA驅動器，所以提供了最好的部署靈活性。鑒于共享工程資源存儲的需求，天津圖書館的CX500共配置了3個光纖磁盤柜共15TB的存儲空間，其中包括7. 5TB的光纖硬盤和7. 5TB的SATA硬盤。

在軟件支持方面，CX500在設計上可同時支持多達128部服務器，大大簡化存儲設施的整合過程。它符合絕大多數常用服務器操作環境的要求，其中包括Microsoft Windows， Sun Solaris， UNIX， Linux和NetWare平臺等，而且在SAN，NAS和DAS環境中運行時具有高度的靈活性。采用Navisphere管理框架，該系統是一套簡單易用的基于圖形用戶界面

1.2.2區縣支中心的存儲解決方案

以天津市的十八家區縣支中心為例:

存儲設備統一采用H3C的EX1000存儲磁盤陣列柜。該設備為基于成熟的IP協議傳輸的存儲設備，使用更靈活，配置更方便。可以在簡單配置后為網絡中的各種服務器提供海量存儲空間，同時也具備極大的擴展性和靈活的升級。此存儲配置了4. 5T的存儲空間(共9塊5006盤)，其中一塊硬盤做為全局熱備盤，在最大程度上保證了磁盤的冗余，確保數據的安全。在數據傳輸上將4個1000M數據端口進行連路聚合，既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除，同時也對數據的鏈路提供了必要的保護，同時4條鏈路的存在即意味著可以承受75%的故障率，所以，這樣的技術保證是完善的安全運行應用的保證。

2 VPN技術

互聯網作為“共享工程”的文化信息資源的主要傳輸渠道，所有信息服務都暴露在Internet上，很容易被入侵者竊取和篡改，安全性不夠。如果改用專線方式，一方面造價較高，維護也較困難;另一方面升級和擴展也受限制。因此尋找一種比較經濟，對數據的安全又較有保障，而且又有利用網絡的升級和擴展的組網方式顯得異常的重要，而VPN技術恰恰能滿足這方面的需要。

VPN(Virtual Private Network)中文譯為虛擬專用網，它是一種通過ISP和其它NSP，在公網中建立用戶私有專用網的數據通信技術，是一種通過私有隧道在公共數據網上仿真一條點到點的專線技術。是對專用網絡的擴展，它是指共享或公共網絡上經封裝，加密和身份驗證的鏈路。VPN模仿專用網的一些屬性;它允許數據通過諸如Internet的網絡在兩臺計算機間傳遞;通過隧道技術模仿點對點的連接。

2. 1核心技術

①隧道技術:隧道技術是VPN的基本技術類似于點對點連接技術，它在公用網建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝人隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F， PPTP， L2TP等。L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而形成。

第三層隧道協議是把各種網絡協議直接裝人隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP，IPSec等。IPSec(IP Securi-ty)是由一組RFC文檔組成，定義了一個系統來提供安全協議選擇、安全算法，確定服務所使用密鑰等服務，從而在IP層提供安全保障。 ②加解密技術:加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術。

③密鑰管理技術:密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAK-LEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網絡上傳輸密鑰;在ISAKMI〕中，雙方都有兩把密鑰，分別用于公用、私用。

④使用者與設備身份認證技術:使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

2. 2 VPN技術在“共享工程”中應用的必要性與實現方法

“共享工程”在資源數字化方面，以數字圖書館技術為依托，建成了國家中心和各省級分中心的資源加工管理系統。

天津圖書館作為天津市“共享工程”的省分中心，數字資源經過多年建設已初具規模，數字資源近5T。內容涉及電子圖書、數字化期刊、津門曲藝庫、津門群星庫，以及與本地經濟、文化發展息息相關的各種特色資源庫。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用，能夠在合理范圍內為各區縣支中心、共享工程基層服務中心進行有效共享。可以利用VPN技術來實現，首先建立VPN數字資源中心，向各區縣支中心、共享工程基層服務中心等基層單位提供VPN接人和數據資源內容的提供服務。

2. 2. 1 VPN技術的實現方式

構建VPN網絡可分為硬件、TPN和軟件、’PN兩種形式:軟件、’PN的建立成本低，硬件VPN在系統防御上要穩定，軟件VPN維護起來相當麻煩，網絡管理員不但要維護VPN軟件，還需要考慮病毒、惡意攻擊及相關設備的軟、硬件沖突導致系統平臺運行不穩定的因素出現，而硬件VPN一般采用專用硬件，維護量相對減少很多。

2. 2. 2實現VPN技術的方案

主要有三種:硬件平臺VPN、軟件平臺VPN和輔助硬件平臺VPNa

(1)軟件平臺VPN

利用一些軟件公司所提供的完全基于軟件的VPN產品來實現簡單VPN的功能，甚至可以不需要另外購置軟件，僅依靠微軟的Windows操作系統就可實現純軟件平臺的VPN。特別從Windows2000系統開始對傳統的Ipsec VPN方案提供了全面支持，不僅可以提供原來PPTP隧道協議VPN的方案支持，而且還提出了新的L2TP隧道協議VPN方案，使VPN的應用得到前所未有的推進。

(2)硬件平臺VPN

使用硬件平臺的VPN設備可以滿足不同用戶對高數據安全及通信性能的需求，特別是加密及數據亂碼等對CPU處理能力需求很高的功能。能提供這些平臺的硬件廠商較多，如Cisco， 3Com、華為、聯想等，這類VPN平臺投資了大量的硬件設備，投資成本較高。

(3)輔助硬件平臺VPN

輔助硬件平臺VPN作為最常見的VPN平臺，介于軟件平臺和硬件平臺之間，主要是以現有網絡設備為基礎，再增添適當的VPN軟件以實現VPN的功能。但通常這種平臺中的硬件也不能完全由原來的網絡硬件來完成，必要時還要添加專業的VPN設備，如VPN交換機、VPN網關或路由器等。

2.2.3構建VPN專網的關鍵問題

由于“共享工程”天津分中心與各區縣支中心都已建成了自己的局域網，那么VPN設備與防火墻的安裝方式，成為構建VPN專網的關鍵問題。

現在最普遍采用的方式:是將、’PN設備與防火墻平行安裝，它不需要改變防火墻目前的結構體系，但也意味著進人內部網絡將有兩個人口。在大部分VPN設備上，檢查進人的數據，并阻擋非VPN流量進人內部網絡，以減小額外的安全風險。依賴網絡建設的方式，也需要VPN設備做一些地址翻譯的工作，或者將流量重定向到防火墻。

還有一種方式:是將VPN設備安裝在防火墻后，對防火墻做出一些改變。需要防火墻配置一個足夠“聰明”的過濾器以允許VPN流量通過。另外，一些防火墻不能處理碎片，而碎片對于VPN來說是非常普遍的。因此，如果不在客戶軟件中人為減小MTU(最大傳輸單元)，就不可能將VPN安裝在防火墻之后。

信息資源廣域VPN網建成后，邏輯上把物理位置省級分中心與不同的區縣支中心、共享工程基層中心連接成統一的內部網，從而提升了文化信息資源共享工程的實在意義。