vpn技术范文精选

摘要 本文简述了IPSec VPN的概念、工作原理、特点及应用，以便发挥其重要的作用。

关键词 VPN；原理；特点；应用

中图分类号TP393 文献标识码A 文章编号 1674-6708（2011）35-0182-01

1 VPN的概念

所谓VPN（Virtual Private Network，虚拟私有网络）是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性，VPN通过建立隧道机制实现，隧道机制可以提供一定的安全性，并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证信息在传输中不被偷看、篡改、复制。

2 IPSec是VPN最常用技术之一

IPSec VPN是基于IPSec（Internet Protocol Security）规范的VPN技术或网络的统称。IPSec即Intenet安全协议，是IETF提供Internet安全通信的一系列规范，它提供私有信息通过公用网的安全保障。IPSec规范相当复杂，规范中包含大量的文档。IPSec在TCP/IP协议的核心层―IP层实现，可以有效地保护各种上层协议，并为各种安全服务提供一个统一的平台。

3 IPSec VPN工作原理

一、VPN的定义

一般所说的虚拟专用网不是真的专用网络，虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame. Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。

二、VPN的特点

在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点：

1．安全保障

在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。

2．服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等，所有以上网络应用均要求网络根据需要提供不同等级的服务质量。

摘要：VPN（虚拟专用网）技术是平衡Internet的适用性和价格优势的最有前途的通信手段之一。它利用公共IP网络建立VPN连接，实现远程用户对内部网络的访问，使用户不必选择昂贵的专线租用，也可避免用户自己架设专线给用户带来的高额投入的问题，使复杂的远程访问方案变得简单。

关键词：VPN 隧道协议 PPTP L2TP IPSec

VPN是Virtual Private Network的缩写，即虚拟专用网络。VPN在公共IP网络上建立用户私有的数据传输通道，将远程访问用户与相应企业的内部网络连接起来，并提供安全的端到端的数据通信，从而大大减轻了企业的远程访问费用，节省企业的运行成本。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

1、VPN的使用隧道协议

VPN的实现，最关键的是在公共网洛上建立用于数据传输的逻辑虚拟信道，而建立虚拟信道是通过使用隧道技术来实现的，隧道的建立可以是在数据链路层和网络层。第二层隧道技术主要是使用PPP连接，使用的隧道协议有PPTP和L2TP，其特点是协议简单，易于加密，适合于远程拨号用户使用；第三层隧道技术是IPinIP，使用的隧道协议是IPSec，其可靠性及扩展性优于第二层隧道协议，但没有前者简单直接。

1.1 PPTP（点对点隧道协议）

点到点隧道协议（PPTP，Point-to-Point Tunneling Protocol），是一种用于使远程用户通过拨号方式连接到本地的ISP，通过Internet安全的远程访问公司内部网络资源的工业标准隧道协议，它在WIN NT 4.0系统中首先得到支持。PPTP是对“PPP（点对点协议）”的扩展，它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输，它增强了PPP的身份验证、压缩和加密机制。PPTP使用TCP（传输控制协议）来创建、维护、终止隧道，并使用GRE（通用路由封装）将PPP帧封装成隧道数据，被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP协议数据包通过使用从MS-SHAP（微软公司的盘问交握式协议）活EAP-TLS（EAP Transport LAN Service，可传输式身份验证协议）身份验证过程中生成的密钥进行加密。

1.2 第二层隧道协议（L2TP）

摘要：VPN（虚拟专用网）技术是采用隧道技术以及加密、身份认证等方法，在公共网络上构建企业网络的技术。该文首先对VPN的基本原理进行说明，结合TCP/IP协议、加密技术等与VPN相关基础知识较详细论述了VPN通道技术以及IPsec协议和VNP的两个主要协议： 认证头协议（AH）和封装安全载荷协议（LZTP）。最后展示了VPN的不同应用场景。

关键词：VPN；隧道；安全传输

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）27-0042-03

随着网络技术的快速发展，越来越多的组织或单位的员工需要随时随地连接到总部的网络，很多跨国企业在全球建立多个分支机构，同时企业也要使用网络与合作伙伴或客户之间进行动态的联系，这些都会给企业带来了网络的管理和安全性问题[1]。VPN（visual Private Network）技术就是在这种形势下应运而生，它使企业能够在公共网络上创建自己的专用网络，使得企业员工，分支机构，以及合作伙伴之间可以进行安全保密的通信。VPN已经是当前网络中的一项重要的应用。

1 VPN的工作原理

VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护，数据完整性保护，数据源身份认证，数据重放避免的方法进行数据保护的技术。

1.1 网络风险

数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括：攻击者在拨入链路上实施监听； ISP查看用户的数据；Internet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器，明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据，逐段加密不能防止报文在路由器上被抓取，恶意的ISP（网络提供商）经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险：数据在安全网关中是没有经过加密的，所以网关管理员可以随意查看机密数据，网关本身也会存在漏洞，一旦被黑客攻破，流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险：内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等，内部员工可以获得企业内部网的数据报文。

作者简介：，新疆沙湾县教师进修学校，讲师，1983.1月参加工作，现从事中职计算机教学工作。

摘要：VPN是一项迅速发展起来的新技术，本文阐述了VPN（虚拟局域网）的基本概念以及其特点和优势，重点介绍了虚拟专用网的工作原理和相关技术包括隧道技术，数据加密和用户认证。

关键词：VPN;隧道技术;数据加密;用户认证

VPN(Virtual Private Network)即虚拟专用网，是一项迅速发展起来的新技术，主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络，仅在效果上和真正的专用网一样，故称之为虚拟专用网。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成，不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术，使得传送数据报的路由器均不知道数据报的内容，就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。

VPN的主要特点

（1） 网际互联安全性高。VPN技术继承了现有网络的安全技术，并结合了下一代IPv6的安全特性，通过隧道、认证、接入控制、数据加密技术，利用公网建立互联的虚拟专用通道，实现网络互联的安全。

（2）经济实用、管理简化。由于VPN独立于初始协议，用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。

（3） 可扩展性好。 如果想扩大VPN的容量和覆盖范围，管理者只需与新加入的分馆签约，建立账户；或者与原有的下级组织重签合约，扩大服务范围。在远程地点增加VPN能力也很简单，几条命令就可以使Extranet路由器拥有因特网和VPN能力，路由器还能对工作站自动进行配置。

1VPN的概念

VPN的英文VirtualPrivateNetwork的缩写，可文译为虚拟专用网。VPN是利用公共网络基础设施，通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点：VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但同时VPN又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包，企业不再追求拥有自己的专有网络，而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点：

（1）降低成本：企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet，要比租用专线或铺设专线要节省开支，而且当距离越远时节省的越多。如：某企业的北京与纽约分部之间的连接，不太可能自铺专线：当一个远程用户在纽约想要连到北京的Intranet，用拔号访问时，花的是国际长途话费；而用VPN技术时，只需在纽约和北京分别连接到当地的Internet就实现了互联，双方花的都是市话费。

（2）容易扩展：网络路由设备配置简单，无需增加太多的设备，省时省钱。对于发展很快的企业来说，VPN就更是不可不用了。如果企业组建自己的专用网，在扩展网络分支时，考虑到网络的容量，架设新链路，增加互联设备，升级设备等；而实现了VPN就方便多了，只需连接到公用网上，对新加入的网络终端在逻辑上进行设置，也不需要考虑公用网的容量问题、设备问题等。

（3）完全控制主动权：VPN上的设施和服务完全掌握在企业手可。例如，企业可以把拨号访问交给NSP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

VPN通过采用“隧道”技术，并在Internet或国际互联网工程工作组（IETF）制定的Ipsec标准统一下，在公众网可形成企业的安全、机密、顺畅的专用链路。

2VPN的工作原理

图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN可，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。

1 引言

随着互联网及网络技术的发展，VPN(Virtual Private Network)技术被广泛地应用。MPLS-VPN是一种基于MPLS技术的IP-VPN，在网络路由和交换设备上应用MPLS技术，从而简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现IP虚拟专用网络（IP-VPN）。

2 MPLS技术概述

MPLS(Multi-Protocols Label Switching)即多协议标记交换，是一项用绑定在包中的标记(或叫标签)通过网络进行数据包转发的技术。它将第二层的交换和第三层的路由技术很好地结合起来，以简洁的方式完成了信息的传送，把路由选择和数据转发分开由标签来规定一个分组通过网络的路径。

3 VPN技术的概述

VPN（虚拟专用网）是利用网络来传输私有信息而形成的逻辑网络，用来在通用的网络结构上标识闭合的用户组。通过对网络数据的封包和加密传输，在一个公用网络(通常是因特网)建立一个临时的、安全的连接，从而实现在公网上完整、保密地传输私有数据。

4 MPLS-VPN的工作原理

MPLS-VPN则是指基于MPLS技术构建的虚拟专用网，即采用MPLS技术在公共IP网络上构建企业IP专网，实现数据、语音、图像多业务宽带连接。MPLS-VPN能够在提供原有VPN网络所有功能的同时，提供强有力的QOS能力，具有可靠性高、安全性高、扩展能力强、控制策略灵活等特点。它把整个网络中的路由器分为三类：用户边缘路由器（CE）、运营商边缘路由器（PE）和运营商骨干路由器（P），其中PE充当IP-VPN接入路由器。MPLS-VPN的主要工作流程如下：

【摘要】多协议标记交换是一项新的宽带网技术，这一技术结合了第二层交换和第三层路由的特点，将第二层链路帧协议和第三层路由转发技术有机地结合起来，有助于解决与当前网络环境中使用的分组转发技术相关的许多问题。MPLS的一个重要应用即是构建MPLS VPN网络。

【关键词】MPLS；VPN

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2012）09-0074-01

1、MPLS VPN简介

随着网络经济的发展，企业对于自身网络的建设提出了越来越高的要求，主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下，VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络（VPN，Virtual Private Network）。在公共网络上组建的VPN像企业现有的私有网络一样提供安全性和可管理性等。在所有的VPN技术中，MPLS VPN具有良好的可扩展性和灵活性，是目前发展最为迅速的VPN技术之一。

MPLS即多协议标签交换属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF所提出，由Cisco、3Com等网络设备大厂所主导。从MPLS字面上来看，它是一个可以在多种第二层媒质上进行标签交换的网络技术。这一技术结合了第二层的交换和第三层路由的特点，将第二层的基础设施和第三层路由有机地结合起来。第三层的路由在网络的边缘实施，在MPLS的网络核心则采用第二层交换。

2、MPLS VPN工作原理

MPLS是一种特殊的转发机制，它把进入网中的IP数据包分配标签，并通过标签的交换来实现IP数据包的转发。标签作为替代品，在网络内部MPLS在数据包所经过的路径沿途通过交换标签，而不是看数据包的IP包头来实现转发，当数据包要退出MPLS网络时，去掉数据包上的标签，继续按IP包的路由方式到达目的地。MPLSVPN有三种类型的路由器，CE路由器、PE路由器和P路由器，主要工作流程如下：

摘要:随着计算机技术的飞速发展和计算机网络的大面积普及,企业信息化建设也在逐步深入,越来越多的企业都在逐步依靠计算机网络、应用系统来开展业务和更多的业务活动。本文详细阐述了VPN技术在天脊集团企业信息化建设中的实施。

关键词:VPN;信息化;防火墙

1 VPN技术应用背景

天脊煤化工集团有限公司从2003年进入了信息化建设的发展阶段,在浙江中控软件技术有限公司、山西省信息工程设计院等单位共同合作下建立起了“天脊集团综合信息管理自动化系统”。该自动化系统包括领导查询分系统、生产管理分系统、人力资源管理分系统、备品备件管理分系统、物资供应资源分系统、销售管理分系统等。随着信息化建设的不断深入,业务流程渐渐规范化,各种分系统也在不断完善,分布在全国各地的分公司和子公司相应业务也要纳入到“天脊集团综合信息管理自动化系统”中来。为此,集团公司决定由信息管理中心组织并实施VPN技术。

2 VPN技术在天脊集团企业信息化建设中的具体实施

(1) VPN的选型

用于企业内部自建VPN的主要有两种技术――IPSec VPN和SSL VPN。

IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。

【摘要】随着Internet技术的飞速发展，人们已逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来。建立在Ip技术基础上的虚拟专用网vPN正快速成为新一代网络服务的基础。VPN是一项非常实用的技术，它可以扩展企业的内部网络。但是近期，传统的IPSEC VPN出现了客户端不易配置等新问题，相对而言，SSL VPN作为一种全新的技术正在被广泛关注。SSL利用内置在每个web浏览器中的加密和验证功能，并和平安网关相结合，提供平安远程访问企业应用的机制。这样，远程移动用户可以轻松访问公司内部b/s和c/s应用及其他核心资源。鉴于它的重要作用，很有必要对SSL VPN做相关探讨及研究。

【关键词】SSL VPN；IPSEC VPN；网络安全

【中图分类号】TN711

【文献标识码】A

【文章编号】1672-5158（2012）12-0004-01

一、SSL VPN的基本学术概念

1.1 什么是SSL VPN

SSL（Secure Sockets Layer）是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。VPN（Virtual Private Network虚拟专用网络），可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网，被定义为通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。