前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇vpn技術范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

vpn技術范文第1篇

摘要：vpn是一項迅速發展起來的新技術，本文闡述了VPN（虛擬局域網）的基本概念以及其特點和優勢，重點介紹了虛擬專用網的工作原理和相關技術包括隧道技術，數據加密和用戶認證。

關鍵詞：VPN;隧道技術;數據加密;用戶認證

VPN(Virtual Private Network)即虛擬專用網，是一項迅速發展起來的新技術，主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡，僅在效果上和真正的專用網一樣，故稱之為虛擬專用網。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術，使得傳送數據報的路由器均不知道數據報的內容，就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。

VPN的主要特點

（1） 網際互聯安全性高。VPN技術繼承了現有網絡的安全技術，并結合了下一代IPv6的安全特性，通過隧道、認證、接入控制、數據加密技術，利用公網建立互聯的虛擬專用通道，實現網絡互聯的安全。

（2）經濟實用、管理簡化。由于VPN獨立于初始協議，用戶可以繼續使用傳統設備，保護了用戶在現有硬件和軟件系統上的投資。由于VPN可以完全管理，并且能夠從中央網站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷和安全配置。

（3） 可擴展性好。 如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務范圍。在遠程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網和VPN能力，路由器還能對工作站自動進行配置。

（4）支持多種應用。由于VPN給我們提供了安全的通道，可以把目前在局域網上的應用直接運用在廣域網上。VPN則可以支持各種高級的應用，如IP語音，IP傳真等。

（5）有效實現網絡資源共建共享。在網絡安全的保證下和認證技術的支持下，可以實現整個VPN體系中互聯單位的資源共建共享，避免資源重復開發帶來的巨大浪費，甚至可以實現普通讀者在家用ADSL來訪問公共圖書館局域網絡中的全文數據庫。

VPN技術分析

VPN技術主要由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

（1） 隧道技術

1.隧道技術的實現

假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網，其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，?現在設部門A的主機X向部門B的主機Y發送數據報，源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機X發送給路由器R1。路由器R1收到這個內部數據報后進行加密，然后重新封裝成在因特網上發送的外部數據報，這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3，而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后，對其進行解密，恢復出原來的內部數據報，并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。

VPN實現的關鍵技術是隧道,而隧道又是靠隧道協議來實現數據封裝的。在第二層實現數據封裝的協議稱為第二層隧道協議,同樣在第三層實現數據封裝的協議叫第三層隧道協議。VPN將企業網的數據封裝在隧道中,通過公網Internet進行傳輸。因此,VPN技術的復雜性首先建立在隧道協議復雜性的基礎之上。隧道協議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協議,L2TP、PPTP屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝在哪種數據包中在隧道中傳輸。VPN系統使分散布局的專用網絡架構在公共網絡上安全通信。它采用復雜的算法來加密傳輸的信息,使敏感的數據不會被竊聽

2 .第二層隧道協議

L2TP是從Cisco主導的第二層向前傳送和Microsoft主導的點到點隧道協議的基礎上演變而來的,它定義了利用公網設施(如IP網絡,ATM和幀中繼網絡)封裝傳輸鏈路層點到點協議幀的方法。目前,Internet中的撥號網絡只支持IP協議,而且必須注冊IP地址;而L2TP可以讓撥號用戶支持多種協議,并且可以保留網絡地址,包括保留IP地址。利用L2TP提供的撥號虛擬專用網服務對用戶和服務提供商都很有意義,它能夠讓更多的用戶共享撥號接入和骨干IP網絡設施,為撥號用戶節省長途通信費用。同時,由于L2TP支持多種網絡協議,用戶在非IP網絡和應用上的投資不至于浪費。

3.第三層隧道協議

IPSec是將幾種安全技術結合在一起形成的一個較完整的體系,它可以保證IP數據包的私有性、完整性和真實性。IPSec使用了Diffie-Hellman密鑰交換技術,用于數字簽名的非對稱加密算法、加密用戶數據的大數據量加密算法、用于保證數據包的真實性和完整性的帶密鑰的安全哈希算法、以及身份認證和密鑰發放的認證技術等安全手段。IPSec協議定義了如何在IP數據包中增加字段來保證其完整性、私有性和真實性,這些協議還規定了如何加密數據包:Internet密鑰交換協議用于在兩個通信實體之間建立安全聯盟和交換密鑰。IPSec定義了兩個新的數據包頭增加到IP包上,這些數據包頭用于保證IP數據包的安全性。這兩個數據包頭是認證包頭和安全荷載封裝。其中IP數據包的完整性和認證由IPSec認證包頭協議來完成,數據的加密性則由安全荷載封裝協議來實現。

（2）用戶認證技術

如果數據包不經過加密就通過不安全的Internet，即使已經建立了用戶認證，VPN也不完全是安全的。為保護數據在網絡傳輸上的安全性，需利用密碼技術對數據進行加密。數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法中強度比較高，可用于保護敏感的財務信息的是IPSec的DES和3DES。?

除加密和解密外，VPN需要核實信息來源的真實性，確認信息發送方的身份，防止非授權用戶的非法竊聽和惡意篡改信息。核實發送方身份的過程稱為“認證”。認證可通過用戶名和口令實現，或者通過“電子證書”或“數字證書”來完成，即證書和密鑰。它包含加密參數，可唯一地用作驗證用戶或系統身份的工具，提供高級別的網絡信息安全傳輸。

（3）加密技術

vpn技術范文第2篇

隨著互聯網及網絡技術的發展，VPN(Virtual Private Network)技術被廣泛地應用。MPLS-VPN是一種基于MPLS技術的IP-VPN，在網絡路由和交換設備上應用MPLS技術，從而簡化核心路由器的路由選擇方式，利用結合傳統路由技術的標記交換實現IP虛擬專用網絡（IP-VPN）。

2 MPLS技術概述

MPLS(Multi-Protocols Label Switching)即多協議標記交換，是一項用綁定在包中的標記(或叫標簽)通過網絡進行數據包轉發的技術。它將第二層的交換和第三層的路由技術很好地結合起來，以簡潔的方式完成了信息的傳送，把路由選擇和數據轉發分開由標簽來規定一個分組通過網絡的路徑。

3 VPN技術的概述

VPN（虛擬專用網）是利用網絡來傳輸私有信息而形成的邏輯網絡，用來在通用的網絡結構上標識閉合的用戶組。通過對網絡數據的封包和加密傳輸，在一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，從而實現在公網上完整、保密地傳輸私有數據。

4 MPLS-VPN的工作原理

MPLS-VPN則是指基于MPLS技術構建的虛擬專用網，即采用MPLS技術在公共IP網絡上構建企業IP專網，實現數據、語音、圖像多業務寬帶連接。MPLS-VPN能夠在提供原有VPN網絡所有功能的同時，提供強有力的QOS能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活等特點。它把整個網絡中的路由器分為三類：用戶邊緣路由器（CE）、運營商邊緣路由器（PE）和運營商骨干路由器（P），其中PE充當IP-VPN接入路由器。MPLS-VPN的主要工作流程如下：

(1)用戶端的路由器(CE)首先通過靜態路由和BGP將用戶網絡中的路由信息通知提供商路由器(PE)，同時在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應的標記(VPN的標記，以下簡稱為內層標記)，而在PE與P路由器之間則采用傳統的IGP協議相互學習路由信息，采用LDP協議進行路由信息與標記(骨干網絡中的標記，以下稱為外層標記)的綁定。此時，CE、PE以及P路由器基本的網絡拓撲和路由信息已經形成。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息。

(2)當屬于某一個VPN的CE用戶數據進入網絡時，在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN，進而到該VPN的路由表中去讀取下一跳的地址信息，同時在上傳的數據包上打上VPN標記(內層標記)。這時得到的下一跳地址為該PE作Peer的PE的地址，為了達到這個目的端的地址，同時采用LDP在用戶上傳數據包中打上骨干網絡中的標記(外層標記)。

(3)在骨干網絡中，初始PE之后的P只讀取外層標記的信息來決定下一跳，因此骨干網絡中只是簡單的標記交換。

(4)在達到目的端PE之前的最后一個P路由器時，將外層標記去掉，讀取內層標記，找到VPN并送到相關的接口上，進而將數據傳送到VPN的目的地址處。

從以上的工作過程可見,MPLS-VPN絲毫不改變CE和PE原有的配置,有新的CE加入網絡時，只需在PE上作簡單配置，其余的改動信息由IGP/BGP自動通知CE和PE。

5 MPLS-VPN的特點

（1）安全性。MPLS可以將不同VPN的通信完全隔離，使得無關用戶的通信不會混雜其中從而提高了安全性。MPLS-VPN借助MPLS技術，利用兩層標記(label)，自動為不同用戶的節點間建立不同的隧道，實現了用戶流量的隔離，提供了邏輯上最大的安全性。

（2）擴展性。MPLS-VPN具有很好的網絡可擴展性，可以建立任意的連接。同一個VPN中的用戶節點數不受限制容易擴充，特別是在實現用戶節點間的全網狀通信時不需要逐條配置用戶節點間的電路。

（3）可靠性。網絡的可靠性主要靠資源的冗余度來實現。MPLS-VPN依托互聯網展開，因此設備、線路和路由都有冗余保護措施，保證了網絡的可靠性。

（4）無連接的服務。MPLS-VPN是“非面向連接的”，由于這種特性,它不需要通過建立許多點對點的隧道和加密技術來實現，這樣可大大減少網絡實現的復雜性。

（5）易于實施。由于MPLS-VPN是“非面向連接的”，且VPN信息只需要由PE來維護，對CE是透明的，網絡的擴展和實施變得相對容易。增加VPN客戶端站點時，只要簡單地將CE設備接入PE即可，所有的配置只需在PE上進行，非常易于實現和管理。

6 結束語

隨著MPLS技術和IP VPN技術的日趨成熟。MPLS技術是一種在開放的通信網上利用標簽引導數據高速、高效傳輸的新技術，它不僅能夠解決當前網絡中存在的問題，而且能支持許多新的功能，將成為重要技術在公用網上使用。可以說MPLS技術是下一代最具競爭力的通信網絡技術。

參考文獻

[1]凌永發,王杰，陳躍斌.多協議標簽交換技術的應用[J].云南民族大學學報:自然科學版,2005,14(3):64-67.

vpn技術范文第3篇

關鍵詞：IPsec/VPN；安全策略數據庫；完整性；驗證；加密

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2011) 06-0000-02

Security Feature Research of IPsec/VPN Technology

Zhang Jiachen

(Tianjin Development Zone Polytechnic Institute,Tianjin300457,China)

Abstract:With the fast development and popularity of Internet,all kinds of remote access technology comes out.As it can provide convenience for company users and personal users,the openness of Internet also bring risks for remote.So how to ensure the safety and high efficiency of communication by using the lowest cost is the issue company users and personal users are paying more attention.In recent years,with the development of encryption andtunnel technology,establishing safe virtual private net on unsafe public web,such as Internet,has been the best feasible solution,i.e.VPN.This article will discuss the safety of IPsec/VPN technology on web level.

Keywords:IPsec/VPN;Safety strategy database;Integrity; Authentication;Encryption

一、IPsec/VPN的概念

VPN的英文全稱是“Virtual Private Network”，即是“虛擬專用網”。我們可以把它理解成是在真實物理連接上再次封裝、再次虛擬出來的點到點內部專線。在其技術實現中通過高級的身份驗證、加密算法及相關通訊協議，企業之間互訪時仿佛是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。

在VPN網絡中，位于公共網絡兩端的網絡在公共網絡上傳輸信息時，其信息都是經過安全處理的，可以保證數據的完整性、真實性和私有性。

IPsec/VPN即指在網絡層采用IPsec協議來實現遠程接入的一種VPN技術，IPsec是IETF（Internet Engineer Task Force）正在完善的安全標準，IPsec協議是一個范圍廣泛、開放的虛擬專用網安全協議，它提供所有在網絡層上的數據保護，提供透明的安全通信。

二、組成IPsec/VPN技術的兩個重要協議

IPsec 通信協議其實是由兩個不同的協議所組成的，分別為AH（AuthenticationHeader）與ESP（Encapsulated Secutiry Payload），而這兩個協議所負責的任務功能是不同的，其中AH協議的功能為“完整性驗證”，ESP協議的功能則為“完整性驗證與加密”。

（一）AH

IPsec認證頭協議（IPsec AH）是IPsec體系結構中的一種主要協議，通過將嚴格論證后的數學算法應用于網絡層IP數據報封裝來提供數據傳輸的安全保護功能，主要包括數據完整性、認證等。通信雙方經過認證后建立安全連接，連接后通信雙方在進一步實施數據通信或遠程管理等業務。AH的設計在保證數據報的復雜度不影響通信雙方收發能力及網絡帶寬可用性的同時，盡可能將足夠多的認證功能附加在IP頭和上層協議數據中。但是，由于在傳輸過程中會遇到各種接入技術和MTU值，因此某些IP數據報會發生分片或其他行為，導致IP頭字段會發生變化，并且當包到達接收方時，發送方不能預測字段值。AH并不能保密這種字段值。因此AH提供給IP頭的保護是零碎的。AH即可單獨使用，也可以結合IP封裝安全負載（ESP）使用，通常可以用于傳輸模式和隧道模式兩種。傳輸模式提供了端到端的認證和加密，隧道模式提供了通信子網的認證和加密。ESP提供了相同的安全服務并提供了一種保密性（加密）服務，而ESP與AH各自提供的認證其根本區別在于它們的覆蓋范圍。特別地，如果那些字段不是由ESP封裝的，那么ESP不會支持任何IP頭字段。通常，當用與IPv6時，AH出現在IPv6逐跳路由頭之后IPv6目的選項之前。而用于IPv4時，AH跟隨主要IPv4頭。

（二）ESP

IPsec封裝安全負載協議（IPsec ESP）是IPsec體系結構中的另一種主要協議，其主要設計用來企業接入Internet時提供了一種混合的高安全服務。IPsec ESP最主要的用途是數據加密，同時也可提供完整性。通常在配置好的路由器或者接入服務器上，接入用戶可以在真實接入目標主機時先由通信雙方做安全接入探測，這種方法既可以用于加密傳輸層字段，也可以加密網絡層IP數據報。這種方式可以極大地保護IP數據報，即使黑客通過抓包軟件獲得相應信息，也無法打開其中的內容，這種方式在金融、電力、國防、教育等諸多領域已經得到很好的應用。

ESP加密方式通常也分為傳輸模式和隧道模式兩種。傳輸模式ESP頭放在在IP數據報頭后、上層協議頭前，隧道模式ESP頭放在IP數據報頭之前。IANA分配給ESP一個協議值50，在ESP頭前的頭立即在其下一個頭（IPv6）或協議（IPv4）字段里包含該值50。ESP由加密數據跟隨的非加密頭組成。該加密數據既包括了受保護的ESP頭字段也包括了受保護的用戶數據，這個用戶數據通常既可以是整個IP數據報，或是傳輸層字段。

三、IPsec/VPN的安全特性

IPsec/VPN技術在使用時可以實現以下幾方面安全特性：

（一）抗抵賴性

“抗抵賴性”的作用是接受方在收到發送方的消息后，可以通過某種技術證實發送方時該消息的唯一發送方，接受方通過提供數字證書等各種方法約束發送方不能否認發送過消息。“抗抵賴性”是通常采用先進的非對稱加密技術。在非對稱加密技術中，通信雙方都擁有公鑰和私鑰。公鑰用來加密和驗證，私鑰用來解密和簽名。例如發送方在發送消息的同時用私鑰產生一個數字簽名隨消息一起發送，接收方在接受到消息后先用發送方的公鑰來驗證數字簽名，用來保證接收到的消息確實為發送方所發。這種方式的好處是只有發送方才擁有私鑰，并且只有發送方才可能用其私鑰對信息進行數字簽名，因此只要數字簽名通過驗證，發送方就無法否認曾發送過該消息。“抗抵賴性”的這種做法時隨著計算機軟件和硬件技術不斷發展，在CPU處理能力不斷提高前提下應用的它摒棄了原先通信雙方使用相同密鑰的這種簡單但不安全的對稱加密技術，從理論上保證了通信雙方的安全性，因此得到了廣泛的應用。

（二）反重放性

“反重放性”可以確保每個IP數據報的唯一性，這主要是針對網絡上日益增加的黑客攻擊，黑客可以通過抓包等手段截取通信雙方的數據報文，經過篡改再發送出去。“反重放性”可以防止攻擊者截取信息后，利用網絡上或內存中并未消除的會話，再用篡改后的數據報冒充合法用戶獲得訪問權。反重放性保證了曾經發送的數據報不能再被重新利用或者重新傳回目的地。

（三）數據完整性

“數據完整性”主要是用來防止傳輸過程中數據被篡改，確保發送方數據和接收方數據的一致性。在IPsec技術中，其利用了一種叫做Hash函數的方法為每個數據報產生一個唯一的消息摘要，接收方在解封裝數據報文后先看到數據報和附帶的消息摘要，并且利用通信雙方預定好的Hash函數再進行一次消息摘要生成操作，假如數據報在傳輸過程中遭到篡改則會導致計算的消息摘要不相符，則接收方直接將數據報丟棄。

（四）數據可靠性

“數據可靠性”即指通信雙方在傳輸數據前，對數據先進行加密，加密后的數據可以在局域網或廣域網上傳輸，即使數據報被截取，攻擊者也無法讀取被加密的數據。

四、IPsec/VPN的優勢

（一）經濟效益高

通過將vpn技術應用于網絡層的使用可以使企業免去承擔高昂的專線的租用費。這極大的減少了企業開支，特別是像DDN、幀中繼、等企業傳統接入廣域網技術都可以將IPsec/VPN應用其上。傳統廣域網接入技術大部分都是租費隨著距離的增加而增加，分支越遠越多，租費越高。而Internet的接入費用則只承擔本地ISP的接入費用，無論分支數量和距離，均可方便接入，而且費用很便宜。因此，現在很多分支辦公室都采用Internet作為傳輸骨干，在接入端利用帶IPsec/VPN功能的路由器進行企業網接入，而且隨著制造VPN設備的廠商日益增加，VPN設備的價格必將逐漸降低。

（二）建網靈活

在傳統接入Internet時我們可以采用10M、100M端口，光纖技術，也可以是2M或更低速的端口，還可以是便宜的XDSL連接，或普通modem接入技術，而VPN技術卻因其在高層實現，因此可以靈活應用于各種接入網絡，成為選擇種類眾多的端口連接方式。一個IPsec/VPN網絡對連接分支機構的數目和距離都沒有限制。

（三）應用廣泛

IPsec/VPN既可以連接少量的分支機構，也適合連接許多的分支機構。這也取決于IPsec/VPN的核心設備的發展，現在的骨干路由器通常支持異構網互聯，其良好的擴展性可以讓一個端口同時連接成千上萬的分支，包括企業分支部門和移動辦公用戶，而不需要例如DDN專線等互聯方式在收發雙方建立物理上的連接。并且IPsec/VPN也支持遠程的語音和視頻業務，這樣連同數據業務一起，為現代化辦公提供便利條件，節省大量長途話費。

（四）安全可靠

IPsec/VPN的顯著特點是它的安全性，這也是開發VPN技術的最根本原因。通過對VPN骨干設備的合理配置，將隧道技術、數據加密技術、防火墻技術、身份認證、統一授權等多種技術的應用保證網絡傳輸的安全。同時，VPN設備還集成可通過RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等認證方式。

（五）提供冗余設計

由于VPN技術經常用在企業骨干網絡上，所以現在的VPN設備大部分都提供冗余機制，包括鏈路冗余和設備冗余。在VPN核心設備上通常還提供CPU冗余、電源冗余等冗余設計。在鏈路發生故障時，VPN骨干設備還可支持故障恢復功能，并且網狀的VPN骨干拓撲還可實現負載均衡。此外在客戶端接入網絡時，VPN客戶端還可自動選擇本地區域的最有接入點，當本地區域接入點發生故障時，選擇其他接入設備，從而保證達到連接的可用性。

五、IPsec/VPN的應用前景

IPsec/VPN的應用有兩種基本類型：撥號式VPN與專用式VPN。

撥號VPN為移動用戶與遠程辦公者提供遠程內部網訪問，這種形式的VPN是當前最流行的形式。撥號VPN業務也稱為“公司撥號外包”方式。按照隧道建立的場所，撥號VPN分為兩種：在用戶PC機上或在服務提供商的網絡訪問服務器（NAS）上。

專用VPN有多種形式，其共同的要素是為用戶提供IP服務，一般采用安全設備或客戶端的路由器等設備在IP網絡上完成服務。通過在幀中繼或ATM網上安裝IP接口也可以提供IP服務。專用業務應用通過WAN將遠程辦公室與企業的內部網與外部網連接起來，這些業務的特點是多用戶與高速連接，為提供完整的VPN業務，企業與服務提供商經常將專用VPN與遠程訪問方案結合起來。

目前還出現一種VPN知覺的網絡，服務提供商將很快推出一系列新產品，專門用于提供商在向企業提供專用增值服務時對擴展性與靈活性的需求。

總之，現在幾乎所有的網絡互聯技術中都要用到安全技術，IPsec/VPN會在個人和企業內部網接入Internet中應用愈加廣泛。

參考文獻：

[1]鄧志華,朱慶.網絡安全與實訓教程[M].北京:人民郵電出版社,2005,4

[2]梁亞聲.計算機網絡安全技術教程[M].北京:機械工業出版社,2008,7

vpn技術范文第4篇

關鍵詞：VPN技術；隧道技術；安全技術

中圖分類號：TP309.2 文獻標識碼：A文章編號：1007-9599 (2011) 08-0000-01

The Application of VPN Technology in Enterprise

Wang Hengxiang

(Tietong,Fujian Branch,Fuzhou350003,China)

Abstract:The typical application of VPN technology has made the detailed analysis and discussion.

Keywords:VPN technology;Channel technology;Safety technology

當前以Internet為標志的信息技術革命，正以驚人的速度改變著人們的生產、工作、學習和生活方式，全球信息化建設都處于一個高速發展的階段，信息孤島和信息共享安全已成為企業信息化建設過程中兩個比較突出的問題。實現企業集團不同地點網絡的互聯有兩種選擇：一是組建傳統的企業專用網絡，二是組建VPN網絡。前者需要采購相應的網絡設備，租用或自建傳輸線路，進行網絡的規劃和建設以及網絡建成后的維護和管理，成本高昂，通常適合于實力雄厚的大型企業集團；而對于中小企業來說，這高昂的成本開銷是難以接受的，于是伴隨著降低建網成本的市場需求，加之國內的IP資源有限的現狀，企業的另一種選擇-基于動態IP的VPN技術-悄然登場了，利用VPN組網成了企業網絡建設性價比最高的解決方案。

一、VPN技術簡介

VPN（虛擬專用網絡，Virtual Private Network）是一種利用公共網絡來構建的專用網絡技術，“虛擬”這一概念是相對傳統私有網絡的構建方式而言的，VPN是用公共網絡來實現遠程的廣域連接，通過它企業可以以更低的成本連接遠程分支機構；或者在公共的骨干網絡上承載不同的專用網絡。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。簡單地說VPN就是通過專用的隧道技術在公共數據網絡上仿真一條點到點的專線技術。VPN技術非常復雜，它涉及到通信技術、密碼技術和現代認證技術，是一項交叉科學。目前，CPE-based VPN主要包含兩種技術：隧道技術與安全技術。

（一）隧道技術

隧道技術的基本過程是在源局域網與公網的接口處將數據（可以是ISO七層模型中的數據鏈路層或網絡層數據）作為負載封裝在一種可以在公網上傳輸的數據格式中，在目的局域網與公網的接口處將數據解封裝，取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。要使數據順利地被封裝、傳送及解封裝，通信協議是保證的核心。目前VPN隧道協議有4種：點到點隧道協議PPTP、第二層隧道協議L2TP、網絡層隧道協議IPSec以及SOCKS v5，它們在OSI七層模型中的位置如表所示。各協議工作在不同層次，無所謂誰更有優勢。但我們應該注意，不同的網絡環境適合不同的協議，在選擇VPN產品時，應該注意選擇。

（二）安全技術

VPN是在不安全的Internet中通信，通信的內容可能涉及企業的機密數據，因此其安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。

1.認證技術。認證技術防止數據的偽造和被篡改，它采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH函數將一段長的報文通過函數變換，映射為一段短的報文即摘要。該特性使得摘要技術在VPN中有兩個用途：驗證數據的完整性、用戶認證。

2.加密技術。IPSec通過ISAKMP/IKE/Oakley協商確定幾種可選的數據加密算法，如DES、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

3.密鑰交換和管理。VPN中密鑰的分發與管理非常重要。密鑰的分發有兩種方法：一種是通過手工配置的方式，另一種采用密鑰交換協議動態分發。

二、VPN在企業中的應用

VPN在企業中的組網方式分以下3種。在各種組網方式下采用的隧道協議有所不同，要仔細選擇。

（一）Access VPN（遠程訪問VPN）

客戶端到網關。VPN允許遠程通訊方，銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設施以安全的方式與位于企業局域網端的企業服務器建立連接。虛擬專用網絡對用戶端透明，用戶好像使用一條專用線路在客戶計算機和企業服務器之間建立點對點連接，進行數據的傳輸。遠程用戶撥號接入到本地的ISP，它適用于流動人員遠程辦公，可大大降低電話費。SOCKSv5協議比較適合這類連接。

（二）Intranet VPN（企業內部VPN）

網關到網關。它適用于公司兩個異地機構的局域網互連，在Internet上組建世界范圍內的企業網。利用Internet的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。IPSec隧道協議可滿足所有網關到網關的VPN連接，因此，在這類組網方式中用得最多。

（三）Extranet VPN（擴展的企業內部VPN）

與合作伙伴企業網構成Extranet。由于不同公司的網絡相互通信，所以要更多考慮設備的互連、地址的協調、安全策略的協商等問題。它也屬于網關到網關的連接，選擇IPSec協議是明智之舉。使用VPN技術可以解決在當今遠程通訊量日益增大，企業全球運作廣泛分布的情況下，員工需要訪問中央資源，企業相互之間必須進行及時和有效的通訊的問題。VPN可以實現不同網絡的組件和資源之間的相互連接，能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道，并提供與專用網絡一樣的安全和功能保障。對中小企業來說，VPN是實現自建專網向利用運營商網絡方向發展的重要技術，通過部署VPN，利用地理范圍覆蓋廣闊，骨干網絡帶寬很高的運營商網絡可以提供滿足企業網絡互連的需求，企業因此省去建設費用高昂的專有網絡。對于建設了專用網絡的大企業集團，利用MPLS VPN可以實現數據、語音、視頻的多業務承載和、不同業務系統之間的隔離。MPLS VPN在保證不同業務的QOS和業務系統的安全隔離方面具有天然的優勢。VPN組網應是企業信息化網絡建設中性價比最高的解決方案。

參考文獻：

vpn技術范文第5篇

關鍵詞:VPN簡介特點實現技術

中圖分類號：TP393文獻標識碼：A 文章編號：1672-3791(2012)04(a)-0000-00

現如今,針對網絡的安全性、保密性、可靠穩定性的問題而研究出來并迅速發展起來了一種技術,那就是VPN。無論是數據傳輸的可靠性、網絡安全性,還是經濟實用性來看,VPN技術是一種不錯的選擇。

1VPN

1.1 VPN簡介

虛擬專用網(VirtuaIPrivateNetwork)簡稱VPN，它是一種“用于公共數據網絡，提供用戶一種可以直接連接到私人局域網感覺的服務”。它不僅節省了用戶不少的費用，還提供了更強大的安全性和可靠性。

我們將VPN分成三大類:一是企業與合作伙伴、客戶、供應商之間的ExtranetVPN，二是企業網與遠程(移動)雇員之間的遠程訪問(Re-moteAccess)VPN，三是企業各部門與遠程分支之間的In-tranetVPN。

1.2 VPN特點

1.2.1 非常良好的安全性

VPN 在架構上采用了很多種安全機制，例如信道（Tunneling）、加密（Encryption）、認證（Authentication）、防火墻（Firewall）及黑客偵防系統（Intrusion Detection）等技術來解決這個問題。就是為了保證重要性的資料在公眾網絡中傳輸時不至于被竊取，或是即使被竊取了，對方亦無法讀取封包內所傳送的資料。它可以通過使用點到點協議用戶級身份驗證的方法來進行確認，而對一些敏感的數據，我們將通過使用VPN連接VPN服務器將高度敏感的數據地址物理地進行分隔，它只有企業Intranet上擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，我們還可以訪問一些敏感部門網絡中受到保護的資源。所有的流量都經過加密和壓縮后在網絡中傳輸，為用戶信息提供了最高的安全性保護。

1.2.2 成本低

遠程用戶可以通過向當地的ISP申請賬戶登陸到Internet，我們可以將Internet作為隧道與企業內部專用網絡相連，用戶的通信費用大幅度降低；然后，企業可以節省購買和維護通訊設備的費用。據分析，在 LAN（局域網）-to-LAN（局域網）連接時，用 VPN 與使用專線的成本相比較，要比其它的節省 30%～50% 左右；就遠程訪問而言，用 VPN比直接撥入到企業內部網絡節省 60%～80% 的成本。這是由于VPN 在設備的使用量及廣域網絡的頻寬使用上，平均比專線式的架構節省，因而能使網絡的總成本（Total Cost of Ownership）降低。

1.2.3 管理簡便

由于VPN 使用了比較少的設備來建立網絡，所以使網絡的管理更為輕松；不管連接的是哪個用戶都需要通過VPN隧道的路徑來進入內部網絡。

1.2.4 網絡架構彈性大

VPN的平臺具備非常完整的擴展性，大到企業總部的各個設備，小到各分公司，還有個人撥號用戶，都能被包含于整體的 VPN 架構中，同時，VPN 的平臺還具有對未來廣域網絡頻寬擴充及連接更新架構的特性。VPN 和專線式的架構相比較具有彈性，當將網絡擴充或是變更網絡架構時， VPN 可以輕松的達到目的。

1.2.5 它還具有網絡協議的支持

對于IP、IPX和NetBEUI協議，網絡客戶機都可以輕易的使用VPN。這就意味著我們通過VPN連接可以遠程運行依賴于特殊網絡協議的應用程序。所以VPN支持最常用的網絡協議。

1.2.6 能夠使用多種寬帶技術

不論是ADSL、Cable還是 Modem，用戶都可以選擇使用本地服務供應商所能夠提供的寬帶接入技術。

1.2.7 IP地址的安全性

我們以Internet作為傳輸載體，再采用VPN技術，來實現企業網寬帶遠程訪問，那是一個非常理想的企業網遠程寬帶訪問解決方案。因為VPN是加密的，VPN數據包在Internet中傳輸時，Internet上的用戶只能看到公用的IP地址，卻看不到VPN使用的協議。

1.2.8 具有高度的靈活性

只要該用戶能夠接入Internet，用戶不論是在家中、在出差途中、還是在任何環境中，他都能夠安全地連接到企業網內部。這樣既不受到地域限制，也不會受到接入方式限制。

2VPN的實現技術

VPN實現具有三個關鍵技術是隧道技術、加密技術和QoS技術。

2.1 隧道技術

隧道技術可以通過路由器滿足ExtranetVPN以及IntranetVPN的需求。但在遠程訪問VPN過程中，多數用戶是采用撥號上網。這時我們就可以通過L2TP和PPTP來加以解決。

2.2 加密技術

加密技術可以對數據或報文頭進行加密。網絡層加密實現的最安全方法是在主機的端到端進行。在網絡層中的加密標準是IPSec。它的另一個選擇是“隧道模式”:加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統的標準;而“隧道模式”方案，VPN安全粒度只達到子網標準。

2.3 QoS技術

QoS應該在主機網絡中實行，這也就是VPN建立起來的隧道這一段，這樣我們才可以建成一條性能符合用戶要求的隧道。 對于公共網的VPN我們可以通過隧道技術、數據加密技術以及QoS機制，來使VPN用戶降低成本、提高效率、增強安全性，VPN終將是廣大用戶的最終選擇。

我們通過隧道技術和加密技術，已經能夠建立起一個具有互操作性、安全性的VPN，但是這個VPN在性能上還不穩定，管理上仍不能滿足所有企業的要求，這就要加入一些QoS技術。

3 結 語

現如今，VPN技術可以利用在公共網絡上建立起來的安全的專用網絡，從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務，它是企業內部網的一個擴展和延伸。VPN技術在未來的企業信息化建設中具有廣闊的前景，國內的VPN應用已經有向銀行、保險、運輸、大型制造與連鎖企業迅速擴散的趨勢，這是市場發展的必然。VPN已經是通信技術上的一個重要的突破，它使Internet這種大眾化而又不安全的網絡發揮出了重要作用。但就現在而言，VPN還存在一些缺陷，VPN協議還沒有完全標準化，而各VPN產品廠商對VPN也有不同的認知。總的來說，隨著虛擬運營商逐漸進入VPN服務領域，我們還有更多的電信業務運營的ISP浮出水面，而國內的一些企業對VPN的認識還在逐步加深和探究。

參考文獻

[1] 楊小平等.《Internet應用基礎教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm

[3] 王達等．虛擬專用網(VPN)精解[M] 北京：清華大學出版社，2004．

[4] 楊永斌．VPN技術應用研究[J]. 計算機科學，2004，（10）．