導言：作為寫作愛好者，不可錯過為您精心挑選的10篇vpn技術論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

引言

隨著信息時代的來臨，企業的發展也日益呈現出產業多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升，信息管理范圍不斷擴大，不論是企業內部職能部門，還是企業外部的供應商、分支機構和外出人員，都需要同企業總部之間建立起一個快速、安全、穩定的網絡通信環境。怎樣建立外部網絡環境與內部網絡環境之間的安全通信，實現企業外部分支機構遠程訪問內部網絡資源，成為當前很多企業在信息網絡化建設方面亟待解決的問題。

一、vpn技術簡介

VPN（VirtualPrivateNetwork）即虛擬專用網絡，指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術，通過對網絡數據的封裝和加密傳輸，在公用網絡上傳輸私有數據的專用網絡。在隧道的發起端（即服務端），用戶的私有數據經過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數據經過拆封和解密之后安全地到達用戶端。

VPN可以提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境，是企業網絡在互聯網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來，構成一個擴展的公司企業網，此外它還提供了對移動用戶和漫游用戶的支持，使網絡時代的移動辦公成為現實。

隨著互聯網技術和電子商務的蓬勃發展，基于Internet的商務應用在企業信息管理領域得到了長足發展。根據企業的商務活動，需要一些固定的生意伙伴、供應商、客戶也能夠訪問本企業的局域網，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業的市場響應速度和決策速度。同時，圍繞企業自身的發展戰略，企業的分支機構越來越多，企業需要與各分支機構之間建立起信息相互訪問的渠道。面對越來越復雜的網絡應用和日益突出的信息處理問題，VPN技術無疑給我們提供了一個很好的解決思路。VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接，并保證數據的安全傳輸，通過將數據流轉移到低成本的網絡上，大幅度地減少了企業、分支機構、供應商和客戶花在信息傳遞環節的時間，降低了企業局域網和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環境之中，這樣就大大簡化了網絡的設計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現安全快捷的網絡連接。

二、基于Internet的VPN網絡架構及安全性分析

VPN技術類型有很多種，在互聯網技術高速發展的今天，可以利用Internet網絡技術實現VPN服務器架構以及客戶端連接應用，基于Internet環境的VPN技術具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業對VPN的常規需求。

2.1Internet環境下的VPN網絡架構Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端，用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數據經過拆封和解密之后安全地傳送給終端用戶，最終形成數據交互?；贗nternet環境的企業VPN網絡拓撲結構。

2.2VPN技術安全性分析VPN技術主要由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜??；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

在運行性能方面，隨著企業電子商務活動的激增，信息處理量日益增加，網絡擁塞的現象經常發生，這給VPN性能的穩定帶來極大的影響。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數據傳輸重要性的接口帶寬，這樣既能滿足重要數據優先應用的原則，又不會屏蔽低優先級的應用?？紤]到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數量的快速增長，對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是VPN方案應用的關鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔，管理平臺要有一個定義安全策略的簡單方法，將安全策略進行合理分布，并能管理大量網絡設備，確保整個運行環境的安全穩定。

三、Windows環境下VPN網絡的設計與應用

企業利用Internet網絡技術和Windows系統設計出VPN網絡，無需鋪設專用的網絡通訊線路，即可實現遠程終端對企業資源的訪問和共享。在實際應用中，VPN服務端需要建立在Windows服務器的運行環境中，客戶端幾乎適用于所有的Windows操作系統。下面以Windows2003系統為例介紹VPN服務器與客戶端的配置。

3.1Windows2003系統中VPN服務器的安裝配置在Windows2003系統中VPN服務稱之為“路由和遠程訪問”，需要對此服務進行必要的配置使其生效。

3.1.1VPN服務的配置。桌面上選擇“開始”“管理工具”“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口；鼠標右鍵點擊本地計算機名，選擇“配置并啟用路由和遠程訪問”；在出現的配置向導窗口點下一步，進入服務選擇窗口；標準VPN配置需要兩塊網卡（分別對應內網和外網），選擇“遠程訪問（撥號或VPN）”；外網使用的是Internet撥號上網，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網絡接口，此時會看到服務器上配置的兩塊網卡及其IP地址，選擇連接外網的網卡；在對遠程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據內網網段的IP地址，新建一個指定的起始IP地址和結束IP地址。最后，“設置此服務器與RADIUS一起工作”選否。VPN服務器配置完成。

3.1.2賦予用戶撥入權限設置。默認的系統用戶均被拒絕撥入到VPN服務器上，因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺；依次展開“本地用戶和組”“用戶”，選中用戶并進入用戶屬性設置；轉到“撥入”選項卡，在“選擇訪問權限(撥入或VPN)”選項組下選擇“允許訪問”，即賦予了遠端用戶撥入VPN服務器的權限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統配置步驟類似。

在桌面“網上鄰居”圖標點右鍵選屬性，之后雙擊“新建連接向導”打開向導窗口后點下一步；接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”；在網絡連接方式窗口里選擇“虛擬專用網絡連接”；接著為此連接命名后點下一步；在“VPN服務器選擇”窗口里，輸入VPN服務端地址，可以是固定IP，也可以是服務器域名；點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼，即可連接上VPN服務器端。:

3.3連接后的共享操作當VPN客戶端撥入連接以后，即可訪問服務器所在局域網里的信息資源，就像并入局域網一樣適用。遠程用戶既可以使用企業OA，ERP等信息管理系統，也可以使用文件共享和打印等共享資源。

四、小結

現代化企業在信息處理方面廣泛地應用了計算機互聯網絡，在企業網絡遠程訪問以及企業電子商務環境中，虛擬專用網(VPN)技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡，從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務，是企業內部網的擴展和延伸。VPN技術在企業資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值，在未來的企業信息化建設中具有廣闊的前景。

篇2

 

一、VPN服務及其應用

VPN，即Virtual Private Network，是建立于公共網絡基礎之上的虛擬私有網絡，如利用Internet連接企業總部及其分支。VPN能夠給企業提供和私有網絡一樣的安全性、可靠性和可管理性等，并且能夠將通過公共網絡傳輸的數據加密。利用VPN，企業能夠以較低的成本提供分支機構、出差人員的內網接入服務。

如果訪問企業內部網絡資源，使用者需要接入本地ISP的接入服務提供點，即接入Internet，然后可以連接企業邊界的VPN服務器。如果利用傳統的WAN技術，使用者和企業內網之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網絡。論文寫作，管理。如果企業內網的身份認證服務器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務所使用的設備只是在企業內部網絡邊界的VPN服務器。

二、VPN管理

VPN能夠使企業將其內部網絡管理功能從企業網絡無縫延伸到公共網絡，甚至可以是企業客戶。這其中涉及到企業網絡的網絡管理任務，可以在組建網絡的初期交給運營商去完成，但企業自身還要完成許多網絡管理的任務。所以，一個功能完整的VPN管理系統是必需的。

通過VPN管理系統，可以實現以下目的：

1、降低成本：保證VPN可管理的同時不會過多增加操作和維護成本。

2、可擴展性：VPN管理需要對日益增加的企業客戶作出快速的反應，包括網絡軟件和硬件的平滑升級、安全策略維護、網絡質量保證QOS等。論文寫作，管理。

3、減少風險：從傳統的WAN網絡擴展到公共網絡，VPN面臨著安全與監控的風險。網絡管理要求做到允許公司分部、客戶通過VPN訪問企業內網的同時，還要確保企業資源的完整性。

4、可靠性：VPN構建于公共網絡之上，其可控性降低，所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術

1、第二層通道協議

第二層通道協議主要有兩種，PPTP和L2TP，其中L2TP協議將密鑰進行加密，其可靠性更強。

L2TP提高了VPN的管理性，表現在以下方面：

（1）安全的身份驗證

L2TP可以對隧道終點進行驗證。不使用明文的驗證，而是使用類似PPPCHAP的驗證方式。論文寫作，管理。

（2）內部地址分配

用戶接入VPN服務器后，可以獲取到企業內部網絡的地址，從而方便的加入企業內網，訪問網絡資源。地址的獲取可以使用動態分配的管理方法，由于獲取的是企業內部的私有地址，方便了地址管理并增加安全性。論文寫作，管理。

（3）網絡計費

L2TP能夠進行用戶接口處的數據流量統計，方便計費。

（4）統一網絡管理

L2TP協議已成為標準的協議，相關的MIB也已制定完成，可以采用統一SNMP管理方案進行網絡維護和管理。

2、IKE協議

IKE協議，即Internet Key Exchange，用于通信雙方協商和交換密鑰。IKE的特點是利用安全算法，不直接在網絡上傳輸密鑰，而是通過幾次數據的交換，利用數學算法計算出公共的密鑰。數據在網絡中被截取也不能計算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗證方面，IKE提供了公鑰加密驗證、數字簽名、共享驗證字方法。并可以利用企業或獨立CA頒發證書實現身份認證。

IKE解決了在不安全的網絡中安全可靠地建立或更新共享密鑰的問題，是一種通用的協議，不僅能夠為Ipsec進行安全協商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協議協商安全參數。

3、配置管理

可以使VPN服務器支持MIB，利用SNMP的遠程配置和查詢功能對VPN網絡進行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問VPN服務器，利用服務器上設置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對服務器進行配置。論文寫作，管理。用戶登錄后，服務器會只授權登錄的IP地址和登錄客戶權限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協議只有查詢沒有配置功能的缺點。

（2）分級統一管理

如果企業網絡規模擴大，可以對VPN服務器進行統一配置管理，三級網絡中心負責數據的收集與統計，然后向上層匯總。收集的數據包括VPN用戶數量、VPN用戶的數據流量等。通過分級管理，一級網絡中心就能夠獲取全部VPN用戶的數量、流量并進行統計，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協議的總稱，IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結點提供給多臺機器或者是局域網，也可以提供端到端通信安全，由作為端點的計算機完成安全操作。上述兩種模式都可以用來構VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規則和過濾器，以便提供不同程度的安全級別。論文寫作，管理。在IPSec策略的實現中，有多種預置策略供用戶選擇，用戶也可以根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本的方法，一是在本地計算機上指定策略，二是使用組策略對象，由其來實施策略。并且利用多種認證方式提升VPN的安全管理性。

利用上述VPN管理技術，可以大大提高企業網絡資源的安全性、完整性，并能夠實現資源的分布式服務。以后還將結合更多的技術，實現VPN網絡靈活的使用和安全方便的管理。其使用的領域也會越來越廣泛。

參考文獻：

[1]帕勒萬等著劉劍譯.無線網絡通信原理與應用[M].清華大學出版社，2002.11

[2]朱坤華，李長江.企業無線局域網的設計及組建研究[J].河南科技學院學報2008.2:120-123

篇3

 

1.校園網問題分析及其解決方案的提出

虛擬專用網（VPN），是對企業內部網的擴展。它通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網絡（通常是因特網）安全地對單位內部專用網絡進行遠程訪問的連接方式。

近年來，隨著高校信息化建設工作的深入開展，校園網用戶對校園網的要求也越來越高，傳統的單一公網接入模式已經很難滿足日趨復雜的應用需求。大多數的教師習慣于利用家里的計算機上網查資料、寫論文。如果要去學校圖書館網站，或者是教育網內查資料，一般情況下是無法查找并下載的，因為學校圖書館的電子資源都做了訪問限制，普通Internet用戶也是不能訪問教育網的。在每年期末考試后，老師在線提交成績時，都要登錄學校內部“教務處”的網站在線提交，這時也只能到學校提交。

為此，校園網的建設可采用多ISP連接的網絡訪問模式：在原有的教育網出口的基礎上增加一個當地ISP（移動、聯通或電信寬帶ISP）出口，形成多ISP連接的校園網絡結構，并且需學校的網絡中心在學校組建VPN服務器，供教職工在校外使用校內資源。在組建VPN服務器時，使用當地ISP出口，為校外的教職工提供VPN接入服務，因為校外教職工大多使用當地ISP提供的ADSL寬帶業務。當校外職工使用VPN接入學校的VPN服務器后，就可以訪問校園網與教育網上的資源，這將為教職工提供很大的便利。

2.VPN關鍵技術研究

⑴隧道技術：隧道是指在公用網建立一條數據通道，讓數據包通過這條隧道傳輸。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬于第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層，使用包作為數據交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

⑵安全技術：VPN安全技術主要包括加解密技術、密鑰管理技術、使用者與設備身份認證技術。加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術；密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取；使用者與設備身份認證技術最常用的是使用者名稱與密碼認證等方式。

3.基于VPN技術的多出口校園網的設計

3.1 網絡結構規劃

為了滿足可擴展性和適應性目標，網絡結構采用典型的層次化拓撲，即核心層、分布層、訪問層。核心層路由器用于優化網絡可用性和性能，主要承擔校園網的高速數據交換任務，同時要為各分布層節點提供最佳數據傳輸路徑；分布層交換機用于執行策略，分別連接圖書館、辦公樓、實驗樓以及各院系；接入層通過低端交換機和無線訪問節點連接用戶。畢業論文。網絡拓撲圖如圖1所示。

圖1 網絡拓撲圖

3.2 網絡工作原理

在該組網方案中，學校通過核心層路由器分別接入教育網與Internet，然后通過一硬件防火墻與分布層交換機連接，分布層交換機負責連接圖書館、辦公樓、實驗樓以及各院系的接入層設備，校園網內的終端計算機直接與接入層設備相連。終端計算機可直接使用教育網分配的IP地址。校園網內有一臺安裝了ISAServer2006的VPN服務器，給其分配一個教育網IP地址（假設Ip：202.102.134.100，網關地址202.102.134.68），在防火墻中將一個公網地址（假設為222.206.176.12）映射到該地址。VPN服務器可通過“防火墻”與“核心層路由器”訪問Internet與教育網，Internet上的用戶，可以通過“Internet上的VPN客戶端—>Internet網絡—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務器”的路線連接到VPN服務器，之后，ISAServer2006 VPN服務器通過防火墻和核心層路由器訪問教育網，并且ISA Server2006 VPN服務器通過分布層交換機提供了到學校內網的訪問。

3.3 技術要點

⑴防火墻內網地址問題。如果防火墻是透明模式接入，各個網口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個網口配置同一個網段的IP。如果是路由模式，需要給防火墻的每個網口配置不同網段的IP，就象路由器一樣。現在有一些防火墻已經有所謂的混合模式，也就是透明和路由同時工作，這屬于路由模式的擴展。畢業論文。

⑵VPN服務器的注意事項。ISA Server2006VPN服務器要求至少有“兩塊網卡”才能做VPN服務器，若服務器上只有一塊網卡，需為其安裝一塊“虛擬網卡”。另外，VPN服務器不一定要直接連接在分布層交換機上，也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務器，只要映射一個公網地址即可。

⑶設定ISA Server2006接受VPN呼叫。VPN 可通過默認設置的動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP，VPN客戶端永遠不會同DHCP服務器進行直接通信，運行ISA Server2006的VPN服務器將分配從DHCP服務器所獲得的地址；它將基于運行ISA Server2006的VPN 服務器的內部接口配置來分配名稱服務器地址。如果擁有多個內部接口，運行ISA Server的VPN 服務器將選擇其中之一。

⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時，在為VPN客戶端分配IP地址的時候，要保證所分配的地址不能與VPN服務器本身以及VPN服務器所屬內網、公網的地址沖突，否則VPN客戶端在訪問內網時，會造成尋址問題而不能訪問。畢業論文。為了避免出現問題，直接分配私網的IP地址即可，比如192.168.14.0/24網段。另外，校園網外的教職工，在撥叫VPN服務器時，應是防火墻映射的地址，本文中即222.206.176.12。

4.結束語

多出口是目前許多高校組建校園網時所采取的方式，多出口解決了教育網與Internet之間的出口速度很慢的問題，將VPN技術應用到具有多出口的高校校園網，可以讓校外Internet用戶更容易、更方便的獲得對教育網、校園網數字資源的使用權。

參考文獻

[1]曹利峰,杜學繪,陳性元.一種新的IPsecVPN的實現方式研究[J].計算機應用與軟件,2008,07

[2]賈毅峰.雙出口校園網中策略路由的應用[J].銅仁學院學報,2009,11

[3]吳建國,王鐵,許興華.校園網雙(多)出口的基本解決策略和方法[J].云南師范大學學報,2010.01

篇4

1 MPLS技術原理及體系結構分析 

1.1 MPLS技術原理分析 

從實際來看，在傳統以IP分組轉發的技術方面，主要是在IP分組報頭基礎上，通過IP地址在路由表當中實施的最長匹配查找。MPLS技術將網絡層靈活的路由選擇功能及數據鏈路層高速交換性能特點進行的完美結合，這樣就對以往的以IP分組技術為主的局限性得到了優化。另外在這一技術上同時也引進了標簽概念，這是比較短并方便處置以及對拓撲信息沒有包含的信息內容。這一原理是對標簽交換機制進行的引入，也就是將路由控制以及數據轉發等進行單獨化的處理，從而就為每個IP數據包提供了固定長度標簽，就決定了數據包路徑及優先級。  　    　1.2 MPLS體系結構分析 

MPLS這一體系結構當中，MPLS所使用的短而定長標簽封裝分組在數據平面實現了快速轉發功能，并在這一平面有著IP網絡的強大靈活路由功能，對實際所需要的網絡需求能夠得以有效滿足。其體系結構圖示如下圖1所示，針對核心的LSR主要是在平面進行標簽的分組并轉發，在LER方面主要是轉發平面所進行實施的工作任務，同時也包含了對傳統IP分組的轉發。 

通過上圖就能夠看出，對這一體系結構起到支持的主要就是顯示路由以及逐跳路由，在對MPLS進行實際應用的過程中，實行標記分發過程中也需要對顯示路由進行規定，但這一路由并不會對每個IP分組進行規定，這樣就會使得MPLS顯示路由會比傳統IP源點路由在作業額效率上得到很大程度的提升。不僅如此，在對MPLS LSP進行構建的過程中，能夠通過有序LSP以及獨立LSP進行控制。 

2 MPLS VPN技術在校園網中的規劃設計及應用 

2.1 MPLS VPN技術在校園網中的規劃設計分析 

通過對相關的技術加以借鑒對校園網要進行詳細的規劃設計，通過實踐之后主要是采取了MPLS/BGP VPN技術作為是實現MPLS VPN業務技術路線所構建的各業務系統虛擬獨立網絡，而后在各業務系統部門間的可控互通訪問。另外就是在MPLS VPN技術支持下通過對IP VPN部署來進行提供安全保證，構建能夠實現全網電子信息資源庫，以及通過H3C網管平臺技術進行實現網管中心對全網MPLS VPN業務的統一管理。具體的規劃設計能夠通過分校區規劃以及主校區規劃、共享數據VPN規劃的方式進行實現。 

2.2 MPLS VPN技術在校園網中的實際應用 

通過對MPLS VPN技術在校園網中的簡單規劃設計的分析，主要是能夠在實際中得到應用。在具體應用中主要是將局域網交換技術作為重要的基礎，并對虛擬局域網技術進行有機的結合，在校園網當中來實現單純的在OR基礎上第二層優先級服務。由于所需服務的差異性，例如音視頻傳輸自身的要求。故此要能夠緊密的和服務機制進行結合，來為校園網當中一些關鍵通信數據幀設置較高的用戶優先級。 

另外就是要結合實際進行差別服務結合資源預留協議，雖然在綜合服務所提供的更高QOS保證，而對于校園網這類非運營性網絡來說，過高的實現現代價以及復雜度并非是合適的。在具體的應用過程中要能夠對DS域設置問題以及DSCP分類實現問題進行有效的解決。MPLS VPN實現了VPN間的路由隔離，在每個PE路由器方面為每個所連接的VPN都進行維護了獨立虛擬路由轉發實例，而每個VF駐留都是來自于同一VPN路由配置，穿越MPLS核心到其它的PE路由器過程中，這一隔離是過多協議，并增加了唯一VPN標識符進行實現。 

篇5

 

0 引言

近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站，通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出，并且該問題已經嚴重制約了農產品電子商務的進一步發展。

1　農產品電子商務的安全需求

根據電子商務系統的安全性要求，田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。

1) 系統實體安全

系統實體安全是指保護計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故（如電磁污染等）破壞的措施和過程。

2) 系統運行安全系統運行安全是指為保障系統功能的安全實現，提供一套安全措施（如風險分析、審計跟蹤、備份與恢復、應急）來保護信息處理過程的安全[1]。項目組在實施項目前已對系統進行了靜態的風險分析，防止計算機受到病毒攻擊，阻止黑客侵入破壞系統獲取非法信息，因此系統備份是必不可少的（如采用放置在不同地區站點的多臺機器進行數據的實時備份）。為防止意外停電，系統需要配備多臺備用電源，作為應急設施。

3) 信息安全

系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務，因此保證此類安全最為迫切。系統需要滿足保密性，即保護客戶的私人信息，不被非法竊取。同時系統要具有認證性和完整性，即確?？蛻羯矸莸暮戏ㄐ裕ＷC預約信息的真實性和完整性，系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問防火墻，即保證系統的可控性。在這基礎上要實現系統的不可否認性，要有效防止通信或交易雙方對已進行的業務的否認論文的格式。

2 農產品電子商和安全策略

為了滿足電子商務的安全要求，電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可采用的技術如下：

2.1基于多重防范的網絡安全策略

1) 防火墻技術

防火墻是由軟件系統和硬件系統組成的，在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障，并在此進行檢查和連接，只有被授權的信息才能通過此保護屏障，從而使內部網與外部網形成一定的隔離，防止非法入侵、非法盜用系統資源，執行安全管制機制，記錄可疑事件等。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

邊界防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2) VPN 技術

VPN 技術也是一項保證網絡安全的技術之一，它是指在公共網絡中建立一個專用網絡，數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線，連接上本地的公眾信息網，其分支機構就可以相互之間安全的傳遞信息。同時，企業還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制，是當前和今后企業網絡發展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可*的認證機制。

性能

VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高，但在Internet時代，隨著電子商務活動的激增，網絡擁塞經常發生，這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能防火墻，又不會“餓死”，低優先級的應用。

管理問題

由于網絡設施、應用不斷增加，網絡用戶所需的IP地址數量持續增長，對越來越復雜的網絡管理，網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設備論文的格式。

2.2基于角色訪問的權限控制策略

農產品電子商務系統信息系統含有大量的數據對象，與這些對象有關的用戶數量也非常多，所以用戶權限管理工作非常重要。

目前權根控制方法很多，我們采用基于RBAC演變的權限制制思路。在RBAC之中，包含用戶、角色、目標、操作、許可權五個基本數據元素，權限被賦予角色，而不是用戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據系統作業流程的任務，并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權限。

(2)分配權限策略

根據系統的實際功能結構對系統功能進行編碼，系統管理員可以創建、刪除角色所具有的權限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發生沖突，對該角色的權限不能輕易進行修改，以免造成由于修改角色權限從而造成角色發生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時，系統會根據用戶的角色的并集，從而得到用戶的權限，由權限得到菜單項對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數據加密的數據安全策略

在農產品商務系統中，數據庫系統作為計算機信息系統核心部件，數據庫文件作為信息的聚集體，其安全性將是重中之重。

1)數據庫加密系統措施

(1)在用戶進入系統進行兩級安全控制

這種控制可以采用多種方式，包括設置數據庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。

2)防止非法復制

對于服務器來說防火墻，可以采用軟指紋技術防止非法復制，當然，權限控制、備份/復制和審計控制也是實行的一樣。

3)安全的數據抽取方式

提供兩種卸出和裝入數據庫中的加密數據的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數據還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數據明文，在這種模式下，可利用系統專用工具先進行數據轉換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結束語

隨著信息化技術的快速發展，農產品電子商務創新必須適應新的變化，必須充分考慮信息安全因素與利用信息安全技術，這樣才能實現農產品電子商務業務快速增長，本文所述的安全策略，對當前實施電子商務有一定效果的，是值得推介應用的。

參考文獻：

[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報（自然科學版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35

篇6

    引言

    虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。

    利用共用的WAN網,傳輸企業局域網上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。

    1. 隧道技術

    Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后,立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后,全局IP地址即被刪除,恢復成IP分組發往地址A。由此可見,隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現。

    基于隧道技術VPN網絡,對于通信的雙方,感覺如同在使用專用網絡進行通信。

    2. 隧道協議

    在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此,要成功的使用VPN技術還需要有隧道協議。

    2.1 當前主要的隧道協議以及隧道機制的分類:

    ⑴ L2F(Layer 2 Forwarding)

    L2F是cisco公司提出的隧道技術,作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).

    ⑵ PTP(Point to point Tunnelimg protocol)

    PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP,IPX或NETBEUT數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互連網絡傳送。

    ⑶ 2TP(Layer 2 Tunneling Protocol)

    該協議是遠程訪問型VPN今后的標準協議。

    L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接,端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理,稱其為第三層隧道,以區分于第二層隧道。

    ⑷ TMP/BAYDVS

    ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協議,它部分采用了移動IP的機制。ATMP以GRE實現封裝化,將VPN的起點和終點配置ISP內。因此,用戶可以不裝與VPN想適配的軟件。

    ⑸ PSEC

    IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。

    IPSEC隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中,通過企業IP網絡或公共IP互聯網絡如INTERNET發送。

    從以上的隧道協議,我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡,DSI七層網絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產生了"二層VPN "與"三層VPN"的區別。但是隨著技術的發展,這樣的劃分出現了不足,比如基于會話加密的SSLVPN技術[2]、基于端口轉發的HTTPTunnel[1]技術等等。如果繼續使用這樣的分類,將出現"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現了其他的隧道機制的分類。

    2.2 改進后的幾種隧道機制的分類

    ⑴ J.Heinanen等人提出的根據隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網仿真方式的VPLS。

    例如同樣是以太網的技術,根據實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網方式所提供的網絡性能將大有區別,因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異,由此將引起在實際應用中對VPN技術選型造成誤導。

    ⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息,從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。例如L2TP就是典型的封裝型隧道。

    隔離型隧道的建立,則是參考了數據交換的原理,根據不同的標記,直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離,如果接入網絡的數據包也是相互隔離的就保證了數據的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業務支持能力教差,但是可擴展性,靈活性具有優勢。

    采用隔離型隧道技術,則不存在以上問題,可以根據實際需要,提供點對點,點對多點,多點對多點的網絡拓撲。

    3. 諸種安全與加密技術

    IPVPN技術,由于利用了Internet網絡傳輸總部局域網的內部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術的標準化和開放性,導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性,但黑客仍可以從世界上任何地方對網絡進行攻擊,使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此,利用IPVPN通信時,應比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術。[2]

    ⑴ 防火墻技術

    防火墻技術,主要用于抵御來自黑客的攻擊。

    ⑵ 加密及防止數據被篡改技術

    加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或專用加密)也稱常規加密,由通信雙方共享一個秘密密鑰。

    非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰?；谒淼兰夹g的VPN虛擬專用網,只有采用了以上諸種技術以后,才能夠發揮其良好的通信功能。

    參考文獻

篇7

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計算的興起和應用，VPN隧道成為一個連接不同地區虛擬數據中心或者云計算中心的必備技術，其中L2 VPN工作在OSI網絡模型的第二層，它可以隱藏地域限制，提供虛擬專有網絡服務，能夠更好的滿足虛擬化及云計算的需求。

二、方法研究

L2 VPN基本的概念是將L2網橋和IPSec VPN網關結合，利用VPN隧道模擬物理網線，將2臺或者多臺跨越因特網的網橋連接起來。

如圖所示：

為了實現以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數據包導向VPN隧道；

（2）如何封裝以太網幀；

（3）數據包的flow設計；

（4）如何支持VLAN；

（5）如何支持多站點多用戶（例如，星型拓撲）。

2.1重定向數據包到VPN隧道

為了很好的連接L2網橋和VPN網關，我們定義一個虛擬的隧道端口，用來解耦合網橋和VPN的功能。對于網橋來說，虛擬隧道端口就像是一個物理端口一樣，用來收發以太網數據包。對于VPN網關來說，虛擬隧道端口就是一個明文數據包進入加密隧道的入口，所有到達虛擬隧道端口的數據包，都將會被加密從隧道發出去。

虛擬隧道端口模擬物理以太網端口，它的功能如下：

（1）在內核中創建一個虛擬網絡端口；

（2）發送以太網數據包。而驅動程序的發送功能，就是VPN隧道加密。

（3）接收以太網數據包。VPN加密后，會把明文放到虛擬端口的接收隊列。

（4）支持網橋MAC反向學習。

（5）支持VLAN tag。

所有對于L2網橋看來，虛擬隧道端口和物理網橋端口沒有任何區別，收到和發送的都是以太網數據包。網橋也不知道VPN網關的存在。同樣，VPN網關也知道網橋的存在，到達VPN網關也只是以太網數據包。

2.2以太網數據包封裝

IPSec隧道工作在三層，用來設計封裝IP數據包，所以我們需要將以太網幀封裝成IP數據包，再將該IP數據包封裝成IPSec數據包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標準的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報文發往PC1。此時，VPN1并且更新MAC地址表。

VPN2網橋的MAC表：

（9）PC1收到ARP應答明文包，學到PC2的MAC地址。然后發送ICMP請求到PC2。數據包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請求，查詢MAC地址表得到出口是tun1，將數據包送到VPN隧道加密，然后發往VPN2網關。

（11）VPN2收到ICMP請求，查詢MAC地址表，得到出口是eth1，將數據包發送到PC2。

（12）PC2收到ICMP請求并發送ICMP應答，該應答數據包被發發送到VPN2。

（13）VPN2收到ICMP應答，查詢MAC地址表，得到出口是tun1，將數據包通過隧道發送到VPN1。

（14）VPN1收到ICMP應答，查詢MAC地址表，得到出口是eth1，將數據包發送到PC1。

3.1VLAN支持

二層網橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數據包通過VPN隧道。

拓撲如下：

EtherIP over IPSec可以封裝VLAN tag，但是overhead會比較大。一種優化的方法是分配每個tunnel端口和tunnel一個VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓撲支持

要支持Hub & Spoke星型拓撲，我們只需要再增加一個tunnel端口，并且把該端口綁定到一個到Spoke的VPN隧道。該設計非常靈活，易于擴展。

拓撲如下：

四、結束語

本文通過引入虛擬隧道端口，巧妙的將L2網橋和IPSec VPN網關結合在一起，簡單并且有效的將數據包重定向到VPN隧道。

另外，本文通過結合EtherIP over IPSec封裝發送多播和廣播數據包，IPSec封裝發送單播數據包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

篇8

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業綜合管理信息系統開始逐步建立，但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用，這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響，解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。

1廬江供電公司信息化建設現狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統，現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設與管理中，深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產管理中可將所有設備信息進行分類編號，輸人數據庫，實行設備、設施缺陷管理，科學地制定缺陷檢修計劃，提高設備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統，通過這些系統，可方便與客戶的交流、溝通，節約成本開支，實現科學化營銷流程管理。這些管理信息系統的應用，加強J’企業的規范化管理，增強了管理的科學化水平，減輕了工作人員的負擔，提高了企業的經濟效益。

為此，廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度，進一步減輕了抄表人員的負擔，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉鎮供電聽，都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統的服務器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統，與廬江供電公司總部實現網絡互聯，提高了工作效率，節省了開支。其余7個供電所仍不能夠實現信息化共享，這些供電所非常希望盡快網絡互聯。

2采用VPN方案推進供電所信息化建設進程

這些供電所若使用以前的光纖聯網方式，不僅投資大，施工工期長，而且日后的維護量也多?？紤]到以上原因，為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題，達到信息、共享，推廣鄉鎮供電所的營銷MIS系統應用，公司決定采用虛擬局域網(VPN)，在現有設備基礎上，進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應用系統，實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術，可以在公用的互聯網上建立安全的虛擬專用網絡(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數據安全地從一端傳送到另一端，這里數據的安全性由可靠的加密技術來保障，而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。 轉貼于

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網關1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內就能完成7個供電所安裝。因此，應用VPN方案，廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現在，這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網，在局域網下載內容的速度可達350 kb/s，生產MIS系統響應時間為2--3 s，辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路，所以發送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。

4下一步信息化建設的主攻方向

目前，廬江供電所信息化還處于初級階段，對電力企業信息化建設的目標還沒有完全形成統一的管理標準;同時，廬江供電公司在實施VPN技術后，也清楚地看出:VPN是一種虛擬專用網絡，而不是一種真正的專用網絡。因此，廬江供電公司打算設立嚴格的管理制度，包括嚴格的權限管理，無關人員無權查看、改動數據，VPN客戶端的用戶與密碼管理等，建立起一套計算機管理操作等規章制度，使整個網絡安全有序地運行。此外，該公司今后還將加大對供電所使用人員的計算機培訓力度，包括計算機知識在內的應用培訓，促進操作人員更好地使用軟件，提高操作人員計算機水平，也為計算機應用在企業內部得到更好地發展起到一定的推動作用，并充實培養供電聽計算機網絡管理人員、信息安全管理人員，把信息化建設中的培訓工作貫穿始終，進而拓寬信息化的覆蓋面，保證信息、化工作的健康發展，讓VPN技術更好地為廬江供電公司信息化、專業化、現代化服務。

篇9

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業綜合管理信息系統開始逐步建立，但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用，這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響，解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。

1廬江供電公司信息化建設現狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統，現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設與管理中，深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產管理中可將所有設備信息進行分類編號，輸人數據庫，實行設備、設施缺陷管理，科學地制定缺陷檢修計劃，提高設備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統，通過這些系統，可方便與客戶的交流、溝通，節約成本開支，實現科學化營銷流程管理。這些管理信息系統的應用，加強J’企業的規范化管理，增強了管理的科學化水平，減輕了工作人員的負擔，提高了企業的經濟效益。

為此，廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度，進一步減輕了抄表人員的負擔，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉鎮供電聽，都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統的服務器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統，與廬江供電公司總部實現網絡互聯，提高了工作效率，節省了開支。其余7個供電所仍不能夠實現信息化共享，這些供電所非常希望盡快網絡互聯。

2采用VPN方案推進供電所信息化建設進程

這些供電所若使用以前的光纖聯網方式，不僅投資大，施工工期長，而且日后的維護量也多。考慮到以上原因，為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題，達到信息、共享，推廣鄉鎮供電所的營銷MIS系統應用，公司決定采用虛擬局域網(VPN)，在現有設備基礎上，進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應用系統，實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術，可以在公用的互聯網上建立安全的虛擬專用網絡(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數據安全地從一端傳送到另一端，這里數據的安全性由可靠的加密技術來保障，而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網關1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內就能完成7個供電所安裝。因此，應用VPN方案，廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現在，這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網，在局域網下載內容的速度可達350 kb/s，生產MIS系統響應時間為2--3 s，辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路，所以發送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。

4下一步信息化建設的主攻方向

篇10

一、現狀及需求

文山學院坐落于祖國西南邊陲云南省文山州州府所在地文山市，學校占地948畝，有教職工594人，學校設有10個二級學院共43個本專科專業，全日制在校生9183人。從學校建設角度，可以把文山學院分為老校區和新校區。學校校園網覆蓋到辦公樓、教學樓、教職工宿舍樓及老校區部分學生宿舍，由于校園網出口帶寬不高，整體網速慢以及很多學生宿舍沒有校園網布線，使得很多學生都是自己向網絡供應商申請接入互聯網。由于我校的教務管理系統只能在校園網內部訪問，教師查詢教學信息以及考試成績等的錄入只能局限在校園網內部，另外廣大教師在獲取學校圖書館提供的電子圖書、科研論文等信息資源時，也只能在校園網訪問。因此，迫切需要一種方法能讓學校的師生無論是在學校內還是校外，都能順利地訪問校園網里的資源。這對提高教學效率和教師的科研水平都是很有益的。因此，提出建設我校的VPN解決方案，能夠兼顧性能和價格，實現真正意義的優質低價的網絡VPN互聯。

二、VPN技術分析

虛擬專用網（Virtual Private NetWork，VPN）是指利用Internet等公共網絡創建遠程的計算機到局域網以及局域網到局域網的連接，而建立的一種可以跨躍更大的物理范圍的局域網應用。

1.隧道技術

隧道技術（Tunneling）是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然后通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。

VPN采用隧道（Tunneling）技術，利用PPTP與L2TP等協議對數據包進行封裝和加密，所以保證了在Internet等公共網絡上傳輸的數據的安全性。

2.VPN分類

VPN按照它的應用可以分為兩種：單機到局域網的連接（point to LAN）（如圖1所示）和局域網到局域網的連接（LAN to LAN）[1]（如圖2所示）。

單機到局域網的連接適用于單個用戶連接到企業局域網。只要用戶個人計算機能夠訪問Internet，用戶就能通過VPN方式跟企業局域網建立連接，從而訪問企業局域網提供的資源。

局域網到局域網的連接適用于企業分支機構（可以是多個分支機構）連接到企業總部局域網。企業分支機構和企業總部既可以通過Internet互聯也可以通過專線連接，達到分支機構局域網和總部局域網邏輯上屬于一個更大的局域網，實現資源的相互共享。

圖1單機到局域網的連接

圖2 局域網到局域網的連接

根據我校的實際情況，提供VPN服務可以方便廣大師生員工通過外網訪問校園網登陸教務管理系統數字圖書館等操作，選擇單機到局域網的連接。

一個完整的VPN系統一般由VPN服務器、VPN數據通道和VPN客戶端三個單元構成。

三、VPN服務器及客戶機的安裝配置

1.VPN服務器的安裝與配置

方案以安裝有Windows Server 2008操作系統作為VPN服務器。

①單擊“開始”“程序”“管理工具”“管理您的服務器”命令，添加“遠程訪問/VPN服務器”角色，啟動“路由和遠程訪問服務器向導”

②在向導的配置界面中，選擇“虛擬專用網絡（VPN）訪問和NAT”單選按鈕，配置該服務器為VPN服務器，同時具有NAT功能，然后單擊“下一步”按鈕

③選擇“VPN”和撥號復選框，然后單擊“下一步”按鈕

④使用VPN，在VPN服務器上必須有兩個網絡接口，一個連接到Internet，一個接到校園網網絡。選擇“本地連接”為VPN服務器到Internet的網絡接口，“本地連接2”連接到校園局域網。單擊“下一步”按鈕

⑤選擇“自動”單選按鈕，因為校園網內專門有DHCP服務器進行IP地址的指派。單擊“下一步”按鈕

⑥提示是否選擇此服務器與RADIUS服務器一起工作，選擇“否”，單擊“下一步”按鈕

⑦最后單擊“完成”按鈕，結束“遠程訪問/VPN服務器”的配置。

為用戶配置遠程訪問權限

用戶可以通過VPN服務器上的本地用戶賬戶和局域網中的域用戶賬戶通過VPN訪問局域網。要使用戶通過VPN訪問局域網，賬戶都應該具有“撥入權限”。

2.VPN客戶端計算機安裝與配置

遠程客戶首要條件是已經連接到Internet。遠程客戶機接入Internet可以是通過寬帶撥號，也可以是局域網到Internet的網絡連接。

方案以安裝有windows 7 SP1操作系統作為VPN客戶端。

①打開控制面板進入“網絡和共享中心”。

②點擊進入“設置新的連接和網絡”，選擇“連接到工作區”并點擊“下一步”。

③點擊“使用我的Internet連接（VPN）”

④在“Internet地址”欄輸入企業網絡地址，并“下一步”。

⑤輸入企業網絡管理員提供的用戶名和密碼，點擊“連接”便可以連接到企業網絡。

⑥連接成功后，VPN客戶端邏輯上已經和企業網絡處在同一局域網內，此時VPN客戶端便可以使用遠程局域網提供的各種資源。

四、結論

建立校園VPN，可以利用現有的公共網絡資源，在普通用戶和校區之間建立安全、可靠、經濟和高效的傳輸鏈路，利用Internet的傳輸線路保證了網絡的互聯性，采用隧道、加密等VPN技術保證了信息傳輸的安全性，從而極大地提高了辦公效率，節省了學校資源，為校園信息化建設奠定了基礎。

參考文獻：

[1]郝興偉.計算機網絡技術及應用[M].中國水利水電出版社，2009年：196-212.