VPN的應(yīng)用與實(shí)現(xiàn)-畢業(yè)設(shè)計(jì)論文

PAGEXPAGE24摘要虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,以下簡稱VPN)是指構(gòu)建在公共網(wǎng)絡(luò)的專用網(wǎng)絡(luò)技術(shù)。VPN屬于遠(yuǎn)程訪問技術(shù),它利用公共網(wǎng)絡(luò)鏈接來建立專用網(wǎng)絡(luò)。之所以這樣稱呼,主要是因?yàn)閂PN網(wǎng)絡(luò)的任意兩節(jié)點(diǎn)間的連接,并不是傳統(tǒng)的專用網(wǎng)絡(luò)的端到端物理鏈路,而是建立在公共Internet服務(wù)提供商提供的網(wǎng)絡(luò)平臺(tái)上,諸如互聯(lián)網(wǎng)、ATM、幀中繼等類似的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)則在邏輯鏈路中傳輸。它包含跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)封裝、加密和身份驗(yàn)證的專用網(wǎng)絡(luò)鏈接的擴(kuò)張。VPN主要采用彩通道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和用戶及設(shè)備身份認(rèn)證技術(shù)。本文主要介紹了VPN的相關(guān)技術(shù)以及協(xié)議比較分析，并以石家莊永佳房產(chǎn)公司為案例介紹了VPN的具體解決方案和具體系統(tǒng)配置，并研究分析了企業(yè)應(yīng)用VPN的諸多優(yōu)勢，從而總結(jié)了VPN的企業(yè)應(yīng)用發(fā)展前景。關(guān)鍵詞:互聯(lián)網(wǎng)；遠(yuǎn)程訪問技術(shù)；虛擬網(wǎng)絡(luò)ABSTRACTVirtualPrivateNetwork(VirtualPrivateNetwork,referredtoasVPN)referstobuildingspecial-purposeNetworktechnologyinthepublicNetwork.VPNbelongstotheremoteaccesstechnology,simplyitsetsuptheprivatenetworkbyusingthepublicnetworklink.It'scalledthis,mainlybecausetheconnectionofanytwonodesofVPNnetworkisnottheend-to-endphysicallinkbetweenthetraditionalprivatenetwork,butbasedonthepublicInternetserviceplatform,suchastheInternet,ATM,FrameRelayandthelogicofabove,theuserdataworksinthetransmissionoflogicallink.Itcoversthecrosssharingnetworkorthepublicnetworkencapsulation,encryptionandidentityverificationoftheexpansionoftheprivatenetworklinks.VPNmainlyadoptsthecolorchanneltechnology,encryptiontechnology,keymanagementtechnologyandtheuseridentityauthenticationtechnologyandequipment.ThispapermainlyintroducestherelatedtechnologiesofVPNandtheagreementcomparativeanalysised.AndittakesShijiazhuangYongJiahousingcompaniesforaexampletointroducethecasesofspecificsolutionsandVPNspecificsystemconfiguration,andanalyzestheenterpriseapplicationofmanyoftheVPNadvantages,andsummarizestheenterpriseapplicationprospectVPN.Keywords:Internet；Theremoteaccesstechnology；VirtualNetwork

目錄TOC\o"1-3"\h\u11500105151緒論 1189272VPN的概述 2151262.1VPN的基本概念 2290192.2VPN的特點(diǎn) 2252292.3VPN的基本功能特征 2326153VPN的技術(shù)、協(xié)議及分析 446683.1VPN的相關(guān)技術(shù) 4116523.2典型的隧道協(xié)議 4288093.3隧道協(xié)議比較分析 5308024VPN方案設(shè)計(jì) 7284.1行業(yè)背景 756914.2方案分析 7272844.3解決方案 9272844.4具體實(shí)施 10272844.5方案特點(diǎn) 11272844.6簡單配置 1132335VPN的應(yīng)用前景 2144345.1VPN應(yīng)用發(fā)展的制約因素 21288315.2VPN的發(fā)展展望 212055致謝 2313963參考文獻(xiàn) 24VPN的應(yīng)用與實(shí)現(xiàn)1緒論企業(yè)規(guī)模正在以前所未有的速度逐漸擴(kuò)大，同時(shí)遠(yuǎn)程用戶、遠(yuǎn)程辦公人員、分支機(jī)構(gòu)、合作伙伴也在不斷增多，伴隨著關(guān)鍵業(yè)務(wù)的需求也在逐漸增加，這樣便出現(xiàn)了一種架構(gòu)在公共網(wǎng)絡(luò)(如Internet)上的專用網(wǎng)絡(luò)的技術(shù)，即虛擬專用網(wǎng)(簡稱VPN)。VPN擁有靈活性、安全性、經(jīng)濟(jì)性和擴(kuò)展性等優(yōu)點(diǎn)，分支機(jī)構(gòu)、移動(dòng)辦公安全通信的需求可以得到充分的滿足。在美歐，VPN已成為一項(xiàng)十分通用的網(wǎng)絡(luò)業(yè)務(wù)。當(dāng)前中國的VPN應(yīng)用主要集中在于大型企業(yè)。隨著寬帶網(wǎng)得到普及，Internet接入的比率提高，中小企業(yè)現(xiàn)在也可以利用VPN技術(shù)來擴(kuò)寬專屬網(wǎng)絡(luò)。同時(shí)，它不僅可以用于數(shù)據(jù)業(yè)務(wù)，而且可用于語音、視頻以及通信業(yè)務(wù)。為了實(shí)現(xiàn)三網(wǎng)合一的需要，擁有較大的增值空間，經(jīng)常是利用寬帶網(wǎng)來建立VPN。人們不再單純?nèi)ナ褂觅徺I電信運(yùn)營商提供的相關(guān)服務(wù)，而是通過獨(dú)自購買VPN相關(guān)設(shè)備，在大眾網(wǎng)絡(luò)上建立較低風(fēng)險(xiǎn)的專用通道。VPN涉及到很多技術(shù)，包括安全隧道技術(shù)、加密解密技術(shù)、密鑰管理、用戶認(rèn)證等技術(shù)，這些技術(shù)會(huì)在本文中得到簡要的闡述，同時(shí)也會(huì)比較分析VPN的隧道協(xié)議及應(yīng)用模式，從而歸納出不同協(xié)議和解決方案的優(yōu)缺點(diǎn)以及可用范圍。這樣以來企業(yè)自身就可以根據(jù)不同的實(shí)際情況，量身定做適用于自身的協(xié)議類型和應(yīng)用模式。本文就石家莊永佳房產(chǎn)公司一例給出了具體的解決方案，針對(duì)于VPN的簡單配置，本文介紹了在WINDOWSXP和WINDOWS7系統(tǒng)環(huán)境下的具體配置。VPN是一種新型的網(wǎng)絡(luò)技術(shù),它在企業(yè)建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)的過程中為用戶提供了一種新思路，那就是在公共網(wǎng)絡(luò)上建立虛擬的連接來傳輸私有數(shù)據(jù),繼而用認(rèn)證、加密等技術(shù)來保證數(shù)據(jù)的安全，這樣在降低了網(wǎng)絡(luò)建設(shè)費(fèi)用的同時(shí)也大大提高了網(wǎng)絡(luò)安全性。

2VPN的概述2.1VPN的基本概念VPN(虛擬專用網(wǎng)絡(luò)VirtualPrivateNetwork)指的是利用ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商）在公共網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN網(wǎng)絡(luò)中，任意兩個(gè)節(jié)點(diǎn)之間并不是依靠傳統(tǒng)專網(wǎng)所有的端到端的物理鏈路來實(shí)現(xiàn)連接，而是依靠公共網(wǎng)絡(luò)所有的資源動(dòng)態(tài)來組成網(wǎng)絡(luò)。之所以稱為虛擬，是因?yàn)橛脩舨⒉恍枰褂脤?shí)際的長途數(shù)據(jù)線路，而是使用大眾使用的Internet網(wǎng)絡(luò)的長途數(shù)據(jù)線路。至于專用網(wǎng)絡(luò)，則是指用戶可以針對(duì)自身需要制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。2.2VPN的特點(diǎn)1.安全系數(shù)高。VPN直接構(gòu)建在公共網(wǎng)上，實(shí)現(xiàn)方法簡單，這樣便會(huì)讓人十分關(guān)心它的安全問題。必須確保在VPN上傳送的數(shù)據(jù)不會(huì)受到第三者訪問和修改，而確實(shí)VPN也做到了。2.服務(wù)質(zhì)量保證（QoS）。VPN在應(yīng)用過程中，各種各樣的用戶和業(yè)務(wù)要求相對(duì)差異的服務(wù)質(zhì)量，所以VPN應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同級(jí)別的服務(wù)質(zhì)量保證。同時(shí)，構(gòu)建VPN要求有效利用有限的廣域網(wǎng)資源，從而讓重要數(shù)據(jù)擁有可靠的帶寬，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的優(yōu)化。QoS通過流量預(yù)測與流量控制策略，在帶寬管理過程中，按照優(yōu)先級(jí)分配帶寬資源，合理的先后發(fā)送各類數(shù)據(jù)，從而避免發(fā)生阻塞。3.可擴(kuò)展性和靈活性。VPN應(yīng)當(dāng)可以流通不同種類的數(shù)據(jù)流，并且可簡便的添加新的節(jié)點(diǎn)，在支持不同種類的傳輸介質(zhì)的同時(shí)，可同時(shí)傳輸圖像應(yīng)用、語音應(yīng)用和數(shù)據(jù)應(yīng)用，從而增加帶寬并提高傳輸質(zhì)量。4.可管理性。運(yùn)營商和企業(yè)用戶應(yīng)當(dāng)能夠便捷的對(duì)VPN進(jìn)行管理。企業(yè)應(yīng)該實(shí)現(xiàn)網(wǎng)絡(luò)管理功從企業(yè)內(nèi)部網(wǎng)絡(luò)到公用網(wǎng)絡(luò)以及用戶和貿(mào)易伙伴的無縫擴(kuò)張。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。2.3VPN的基本功能特征不透明包傳輸。在數(shù)據(jù)傳輸?shù)倪^程當(dāng)中，用戶的編址方法和用到的網(wǎng)絡(luò)協(xié)議不應(yīng)該受到任何的限制，決定權(quán)屬于用戶，具體數(shù)據(jù)也不應(yīng)當(dāng)和IP骨干網(wǎng)聯(lián)系起來。數(shù)據(jù)的安全性。IPVPN應(yīng)當(dāng)為用戶同時(shí)提供兩種實(shí)施方法，不同用戶對(duì)數(shù)據(jù)的安全性期望不同，并且用戶并不一定完全相信運(yùn)營商，因此用戶并不一定選擇由運(yùn)營商來給予安全保障，還可以由自己來提供。用戶不信任運(yùn)營商。這種情況下，運(yùn)營商只會(huì)提供傳輸通道，這時(shí)用戶自身應(yīng)該使用具體方法來保障數(shù)據(jù)安全。常見的方法是應(yīng)用防火墻，它可以有效保護(hù)自己的網(wǎng)絡(luò)免受第三者入侵，除此之外還可以使用駐地設(shè)備，此設(shè)備應(yīng)當(dāng)具有安全隧道功能，只允許安全有效的數(shù)據(jù)流通過，從而保障安全。在以上情況下，用戶再在運(yùn)營商的幫助下去傳遞IP數(shù)據(jù)包。用戶信任運(yùn)營商。用戶選擇信任運(yùn)營商，那么運(yùn)營商就應(yīng)該全權(quán)負(fù)責(zé)用戶的數(shù)據(jù)安全。一般情況下，運(yùn)營商會(huì)提供更為專業(yè)的安全措施來保障用戶的數(shù)據(jù)安全，譬如提供更加可靠的防火墻功能。服務(wù)質(zhì)量保證。當(dāng)前，具體的服務(wù)質(zhì)量保證則要基于IP骨干網(wǎng)的軟硬件條件，當(dāng)前,IP服務(wù)質(zhì)量保證技術(shù)得到了前所未有的發(fā)展，更多的軟硬件設(shè)備投入其中，VPN會(huì)均衡各方面的優(yōu)勢在保持通信專有性的前提下不斷提高系統(tǒng)的安全系數(shù)。隧道機(jī)制。要想成功組建VPN網(wǎng)絡(luò)，需要特定的隧道機(jī)制，這樣可以保證組網(wǎng)中的數(shù)據(jù)包格式不會(huì)受到其他隧道包的影響，并且能夠正確編址。

3VPN的技術(shù)、協(xié)議及分析3.1VPN的相關(guān)技術(shù)當(dāng)前，有四項(xiàng)技術(shù)來保證VPN的安全，分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。隧道技術(shù)。隧道技術(shù)簡單的說就是：原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后把封裝去掉還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其他協(xié)議的幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由傳送。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)是指包括數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過程。2.加解密技術(shù)。對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保其他未授權(quán)的用戶無法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。3.密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。4.使用者與設(shè)備身份認(rèn)證技術(shù)。VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，方案還必須能夠提供審查和計(jì)費(fèi)功能，顯示何人在何時(shí)訪問了何種信息。使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。3.2典型的隧道協(xié)議VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵于隧道的建立，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP；在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec；還有第4層隧道協(xié)議，如SSLVPN。下面主要介紹幾種典型的VPN隧道協(xié)議。VPN在隧道的建立上不同于普通的網(wǎng)絡(luò)互聯(lián)，隧道協(xié)議有很多種，一般情況下，需要按照具體協(xié)議來封裝數(shù)據(jù)包，從而能夠安全的傳送數(shù)據(jù)。1.PPTP－PointtoPointTunnelProtocol(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)PPTP是在數(shù)據(jù)鏈路層對(duì)數(shù)據(jù)進(jìn)行封裝，屬于第二層隧道協(xié)議。公司可以在公共網(wǎng)絡(luò)上建立自己的“隧道”，PPTP可以在數(shù)據(jù)傳送之前對(duì)數(shù)據(jù)進(jìn)行加密封裝，客戶機(jī)和服務(wù)器之間可以通過此“隧道”進(jìn)行通信，安全度得到提高，同時(shí)，公司的網(wǎng)絡(luò)可以得到擴(kuò)張。2.IPSEC—InternetProtocolSecurity(網(wǎng)際協(xié)議安全)IPSec在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)進(jìn)行封裝，應(yīng)用范圍廣泛，通信安全透明，屬于第三層隧道協(xié)議。該協(xié)議最大的特點(diǎn)是應(yīng)用了密碼技術(shù)，可以通過認(rèn)證來分辨主機(jī)與端點(diǎn)的身份，可以通過檢查數(shù)據(jù)包的完整性保證通信質(zhì)量，可以對(duì)IP地址和數(shù)據(jù)加密從而保證通信安全。除此之外，IPSec也可以同其他層的協(xié)議進(jìn)行連接，可以保障最大限度的安全傳輸信息。3.SSL—SecureSocketLayer(安全套接層協(xié)議層)SSL為Netscape所研發(fā)，在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密，用以保障在數(shù)據(jù)在Internet上傳輸?shù)陌踩?，利用?shù)據(jù)加密（Encryption)技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會(huì)被截取及竊聽。SSL協(xié)議可以認(rèn)證用戶和服務(wù)器，保證數(shù)據(jù)發(fā)送到正確的位置；可對(duì)數(shù)據(jù)進(jìn)行加密以防止傳輸過程中數(shù)據(jù)被第三者竊??；可以維護(hù)數(shù)據(jù)的在傳輸過程中不被篡改，保障數(shù)據(jù)完整性。需要說明的是，只有3.0版本以上的IE瀏覽器或Netscape瀏覽器可支持SSL。同時(shí)，SSL有利于在消費(fèi)者方面對(duì)商家的信息進(jìn)行保密，因此隨著更多的小型公司參與到電子上午當(dāng)中，協(xié)議對(duì)商家的袒護(hù)便暴露出來，造成其并不能有效的協(xié)調(diào)交易各方之間的信任關(guān)系，因此，Netscape公司提供了一種新功能，它可以對(duì)消費(fèi)者購買商品的表單上進(jìn)行數(shù)字簽名，從而保證交易信息的確鑿。3.3隧道協(xié)議比較分析本節(jié)主要就幾種常用的隧道協(xié)議進(jìn)行比較分析，便于企業(yè)選擇VPN產(chǎn)品時(shí)參考。每種隧道協(xié)議都有其獨(dú)特的優(yōu)缺點(diǎn)及適用范圍。PPTP最適合用于遠(yuǎn)程訪問虛擬專用網(wǎng)，其對(duì)使用微軟操作系統(tǒng)的用戶來說很方便，因?yàn)槲④浺寻阉鳛槁酚绍浖囊徊糠?。PPTP支持其他網(wǎng)絡(luò)協(xié)議和流量控制，它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。然而PPTP并未對(duì)兩節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。并且其對(duì)最多連接用戶數(shù)有限制，必須低于255。同時(shí)，用戶需要自己建立加密信道，步驟繁瑣。IPSec適用于可信的LAN到LAN之間的虛擬專用網(wǎng)。IPSec支持多種加密算法，可保障防火墻和服務(wù)器之間的安全性。但I(xiàn)PSec仍然存在一些問題，其需要固定的IP地址，因此并不適用于動(dòng)態(tài)IP。同時(shí)，IPSec可支持協(xié)議單一，并且智能使用包過濾的訪問控制方法。SSL最適合于用戶在只有Web的情況下應(yīng)用VPN。用戶并不需要安裝客戶端軟件，就可通過瀏覽器和VPN進(jìn)行連接。而且SSL對(duì)配置要求低，只要瀏覽器支持SSL，便可在保證高安全性的情況下使用。然而其功能也就只限于此，對(duì)于非SSL的業(yè)務(wù)支持則較顯乏力。下面，如表3.1所示，對(duì)SSLVPN與IPSecVPN的主要性能進(jìn)行比較。表3.1SSLVPN與IPSecVPN的比較對(duì)比項(xiàng)SSLVPNIPSecVPN身份驗(yàn)證·單向身份驗(yàn)證·雙向身份驗(yàn)證·數(shù)字證書·雙向身份驗(yàn)證·數(shù)字證書加密·強(qiáng)加密·基于Web瀏覽器·強(qiáng)加密·依靠執(zhí)行安全性·端到端的安全·從客戶到資源端全程加密·網(wǎng)絡(luò)邊緣到客戶端·僅對(duì)從客戶到VPN網(wǎng)關(guān)之間通道加密可訪問性隨時(shí)隨地限制未定義用戶訪問費(fèi)用低高安裝·簡要安裝·不需安裝客戶端以及軟硬件需要安裝客戶端軟硬件用戶的易使用性·使用大眾化的Web瀏覽器·不用培訓(xùn)·對(duì)用戶技術(shù)要求較高·要求培訓(xùn)可支持應(yīng)用·基于Web的應(yīng)用·文件共享·E-mail所有基于IP協(xié)議的服務(wù)用戶商務(wù)關(guān)系用戶、遠(yuǎn)程用戶企業(yè)內(nèi)部員工彈性容易配置和擴(kuò)展在服務(wù)器端能夠?qū)崿F(xiàn)自由伸縮，在客戶端比較困難4VPN方案設(shè)計(jì)4.1行業(yè)背景當(dāng)前，世界貿(mào)易需求不斷增加，全球化速度不斷加快，更多的跨國企業(yè)和跨地區(qū)企業(yè)出現(xiàn)在人們視野當(dāng)中，為了更方便的貿(mào)易來往，需要在保障數(shù)據(jù)安全性的同時(shí)實(shí)現(xiàn)各地域網(wǎng)絡(luò)之間的互聯(lián)，同時(shí)要節(jié)約成本?？蓪PN的需求用戶分為以下幾類：（1）在不同地域有多家分公司。（2）需要同貿(mào)易伙伴安全交換貿(mào)易數(shù)據(jù)。在過去，企業(yè)之所以使用封閉式的專線，是因?yàn)橘Q(mào)易信息數(shù)據(jù)不能得到安全保障，需要確保企業(yè)利益不會(huì)遭到損失。（3）需要保證實(shí)現(xiàn)成本低廉。應(yīng)用VPN的目的是為了在安全、可靠的情況下，保證方案的廉價(jià)，其應(yīng)該幫助不同用戶與企業(yè)安全可靠的傳輸數(shù)據(jù)。由于以上用戶的需求，VPN成為了許多企業(yè)選擇的網(wǎng)絡(luò)技術(shù)，VPN在公共網(wǎng)絡(luò)上建立專有網(wǎng)絡(luò)，可以在保障數(shù)據(jù)安全性的同時(shí)，極大的降低組網(wǎng)成本，提高信息傳輸效率，實(shí)現(xiàn)方法簡單，有較高的靈活性和可擴(kuò)展性，相對(duì)于之前的封閉式專線，具有更高的開放性，得到了了多數(shù)企業(yè)的力捧。河北永佳房產(chǎn)公司屬于小型企業(yè)，主要為客戶提供租房信息并代理辦理租房售房業(yè)務(wù)，其總部設(shè)在石家莊，有兩個(gè)分公司，一個(gè)在保定，一個(gè)在滄州，總部局域網(wǎng)內(nèi)有八十多臺(tái)PC，分支公司分別擁有大概10臺(tái)左右的PC機(jī)。公司各點(diǎn)均采用ADSL方式接入Internet，總公司內(nèi)部運(yùn)行有數(shù)據(jù)庫服務(wù)器系統(tǒng)、OA辦公、郵件系統(tǒng)等應(yīng)用系統(tǒng)，現(xiàn)需要將公司各點(diǎn)聯(lián)成內(nèi)部局域網(wǎng)，子公司每天都需要從總部的數(shù)據(jù)庫服務(wù)器獲取樓房信息并向總部反映實(shí)時(shí)的業(yè)務(wù)情況，由于這些數(shù)據(jù)涉及商業(yè)機(jī)密，因此為保障數(shù)據(jù)傳輸?shù)陌踩?，需要組建企業(yè)內(nèi)部專網(wǎng)才能達(dá)到其對(duì)安全性的要求。4.2方案分析按照隧道是如何建立和終止來劃分，VPN有三種解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這三種解決方案分別是：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）。（1）AccessVPN在某些情況下，公司人員出差需要在公司異地進(jìn)行辦公，這種情況下就可以使用遠(yuǎn)程訪問局域網(wǎng)方案，該方案擁有同私有網(wǎng)絡(luò)類似的共享設(shè)施，允許用戶在異地實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的訪問。同時(shí)，遠(yuǎn)程訪問虛擬網(wǎng)方案安全性高，靈活性強(qiáng)，保障用戶可以在多數(shù)情況下安全的達(dá)到訪問目的。圖4.1AccessVPN結(jié)構(gòu)圖AccessVPN的優(yōu)點(diǎn)在于：=1\*GB3①不需要繁雜的服務(wù)設(shè)備，于是成本得到了較大的降低，網(wǎng)絡(luò)規(guī)劃得到了簡化；=2\*GB3②采用本地?fù)芴?hào)的方式，極大的降低了遠(yuǎn)程通信費(fèi)用；=3\*GB3③新用戶加入方便，更加容易的對(duì)其進(jìn)行工作調(diào)度；=4\*GB3④工作重點(diǎn)可以轉(zhuǎn)移到企業(yè)的重要業(yè)務(wù)上來，不必再花費(fèi)過多精力去實(shí)現(xiàn)人員的調(diào)度以及信息的傳輸安全。（2）IntranetVPN當(dāng)前，越來越多的大型企業(yè)在擴(kuò)展自己的業(yè)務(wù)網(wǎng)絡(luò)，于是在全國各地甚至是世界各地，分公司拔地而起，顯然，使用專用線路實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的互聯(lián)是不現(xiàn)實(shí)的，網(wǎng)絡(luò)結(jié)構(gòu)會(huì)十分復(fù)雜且價(jià)格高昂。因此使用VPN在公共網(wǎng)絡(luò)上組建大范圍的IntranetVPN便成了必要。Intranet在保障網(wǎng)絡(luò)互聯(lián)性的同時(shí)，利用VPN的相關(guān)技術(shù)如隧道協(xié)議，加密技術(shù)保證數(shù)據(jù)傳輸?shù)陌踩?。它同樣使用類似于專用網(wǎng)絡(luò)的共享設(shè)施，從而達(dá)到不同地域分支機(jī)構(gòu)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問。圖4.2IntranetVPN結(jié)構(gòu)圖IntranetVPN的優(yōu)勢在于：=1\*GB3①擁有更低廉的方案實(shí)現(xiàn)價(jià)格；=2\*GB3②靈活性較高；=3\*GB3③更穩(wěn)定，更快捷；=4\*GB3④通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時(shí)間。（3）ExtranetVPN目前，信息時(shí)代已經(jīng)到來，越來越多的企業(yè)更多的重視對(duì)數(shù)據(jù)信息的處理，企業(yè)客戶希望得到更加快捷的信息服務(wù)，企業(yè)希望從客戶的角度出發(fā)，盡量滿足客戶需要，同時(shí)，企業(yè)之間的需要比以往以來更多的合作交流去完成更為復(fù)雜的貿(mào)易任務(wù)。互聯(lián)網(wǎng)的產(chǎn)生，為這種趨勢的發(fā)展注入了一陣強(qiáng)心劑，歷史上從來沒有像現(xiàn)在這樣迫切要求信息的有效傳遞，對(duì)于企業(yè)，通過互聯(lián)網(wǎng)對(duì)信息進(jìn)行有效的管理便成為重中之重。Extranet是在VPN技術(shù)支持下組建的安全網(wǎng)絡(luò)，其可以向企業(yè)用戶以及貿(mào)易伙伴之間提供可靠安全的信息服務(wù)。ExtranetVPN擁有一個(gè)專用連接的共享基礎(chǔ)設(shè)施，企業(yè)客戶、貿(mào)易伙伴可以通過此設(shè)施實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)的訪問。當(dāng)然，Extranet可以像專有網(wǎng)絡(luò)一樣，在保障用戶數(shù)據(jù)安全的基礎(chǔ)上，為用戶提供可靠、高效的網(wǎng)絡(luò)業(yè)務(wù)。如圖4.3所示。圖4.3ExtranetVPN結(jié)構(gòu)圖ExtranetVPN優(yōu)點(diǎn)在于：更加簡捷地部署和管理企業(yè)外部網(wǎng)絡(luò)，企業(yè)可以使用內(nèi)部特有的VPN架構(gòu)和協(xié)議來部署和管理與企業(yè)外部網(wǎng)絡(luò)的連接。需要指出的是，非企業(yè)內(nèi)部網(wǎng)的用戶一般只有一次機(jī)會(huì)訪問貿(mào)易伙伴的網(wǎng)絡(luò)。4.3解決方案對(duì)石家莊永佳房產(chǎn)公司具體情況進(jìn)行分析可知，公司各點(diǎn)均采用ADSL方式接入Internet，所以可采用VPN虛擬專用網(wǎng)絡(luò)組建企業(yè)內(nèi)部專網(wǎng)。企業(yè)內(nèi)部可以共享IP，這樣在建立VPN組網(wǎng)的過程中，企業(yè)可以花費(fèi)更少的線路成本并使用更加簡單的組網(wǎng)方案。它具有以下優(yōu)點(diǎn)：=1\*GB3①它可以在保障企業(yè)移動(dòng)用戶和外地小型分支機(jī)構(gòu)的網(wǎng)絡(luò)安全的同時(shí)，減少在企業(yè)通訊上的話費(fèi)；=2\*GB3②此方案可以保障企業(yè)可以得到更有效的擴(kuò)展，無論是新加分支機(jī)構(gòu)還是新的合同用戶都可以快捷的實(shí)現(xiàn)對(duì)企業(yè)VPN網(wǎng)絡(luò)的訪問；=3\*GB3③VPN可以最大限度地減少企業(yè)在傳輸數(shù)據(jù)和話音上的費(fèi)用；=4\*GB3④VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會(huì)，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時(shí)增加銷售量；實(shí)現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，可以訪問全球任何角落的電子通勤人員和移動(dòng)用戶。另外，公司總部與分公司之間是屬于企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，即IntranetVPN，根據(jù)前文所述我們選擇IPSec隧道協(xié)議；對(duì)于移動(dòng)用戶和單機(jī)分支是屬于遠(yuǎn)程訪問虛擬網(wǎng)，可以考慮使用AccessVPN，所以可根據(jù)實(shí)際情況選擇PPTP/SSL協(xié)議。圖4.4為方案組網(wǎng)拓?fù)鋱D。圖4.4VPN方案組網(wǎng)拓?fù)鋱D4.4具體實(shí)施

該方案使用基于IPSEC協(xié)議的VPN技術(shù)，它由包封裝協(xié)議，安全協(xié)議（加密），安全協(xié)議（數(shù)據(jù)認(rèn)證），安全協(xié)議（身份認(rèn)證）等幾方面構(gòu)成。該方案實(shí)現(xiàn)依據(jù)它的組成設(shè)置相應(yīng)參數(shù)即可。我們以總部NETGEARFVS328的VPN路由器為例：步驟一：設(shè)置包封裝協(xié)議所需的IP地址，即在VPN路由器配置總部IP地址，包含：由ISP提供的公網(wǎng)固定IP地址及網(wǎng)關(guān)和子網(wǎng)掩碼；公司內(nèi)部局域網(wǎng)地址。IPSEC能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，來實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。步驟二：選擇安全協(xié)議（加密）如：3DES、AES、TWOFISH、SERPENT、BLOWFISH、CAST等多種高強(qiáng)度加密算法對(duì)傳送的數(shù)據(jù)內(nèi)容進(jìn)行加密，一般常用的為3DES，通過這個(gè)步驟可以使數(shù)據(jù)內(nèi)容的安全性得到了保障。步驟三：選擇安全協(xié)議（數(shù)據(jù)認(rèn)證）：使用MD5、SHA1、SHA2等算法保證數(shù)據(jù)的完整性，當(dāng)中引入數(shù)據(jù)防篡改機(jī)制。萬一數(shù)據(jù)被非法修改，就能夠很快識(shí)別出來。使用MD5等算法計(jì)算報(bào)文特征，報(bào)文還原以后，就會(huì)檢查這個(gè)特征碼，看看是否匹配，就可以證明數(shù)據(jù)傳輸過程是否被篡改。一般常用MD5算法對(duì)數(shù)據(jù)的完整性進(jìn)行檢查。步驟四：選擇安全協(xié)議（身份認(rèn)證）：常見的VPN身份認(rèn)證可以包括預(yù)共享密鑰，通訊雙方實(shí)現(xiàn)約定加密解密的密碼，直接通訊就可以了。為了保證通訊的安全?？偛亢头止颈仨氁嗷ゴ_認(rèn)對(duì)方是否可信。這就是身份認(rèn)證問題。假定總部和分公司之前見協(xié)商過，他們事先就約定了通訊暗號(hào)，只有暗號(hào)通過了，雙方才能通訊。而且如果有身份認(rèn)證機(jī)制，密鑰的經(jīng)常更換就成為了可能。另外，分公司路NETGEARFVS318R的VPN路由器與總部相似。通過上述設(shè)置基本可以保證VPN網(wǎng)絡(luò)能夠建立起來互相通訊了。4.5方案特點(diǎn)

總公司（石家莊）：總部是企業(yè)信息存放、處理的中心，網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，有較大的數(shù)據(jù)流通，需要更高的安全性和實(shí)用性，因此推薦采用高性能的總部路由器（NETGEARFVS328）作為接入服務(wù)器。分公司（保定和滄州）：考慮到其PC機(jī)數(shù)量較少，只需要少量的貿(mào)易數(shù)據(jù)流通，所以可以采用高性價(jià)比的分支路由器（如NETGEARFVS318）與總部路由器互聯(lián)。分支路由器具有VPN功能、路由功能、防火墻功能，極其適用于企業(yè)分支機(jī)構(gòu)。移動(dòng)用戶：某些領(lǐng)導(dǎo)需在出差或在家移動(dòng)辦公，同樣可采取PPTP/SSL撥號(hào)方式，實(shí)現(xiàn)在車船中開辦“移動(dòng)辦公室”。網(wǎng)站瀏覽：企業(yè)內(nèi)部網(wǎng)絡(luò)用戶仍然能夠正常瀏覽因特網(wǎng)信息，并且為內(nèi)部網(wǎng)絡(luò)用戶提供專業(yè)的防火墻保護(hù)。財(cái)務(wù)系統(tǒng)互聯(lián)：各分支每天實(shí)時(shí)地將銷售報(bào)表數(shù)據(jù)送入總部的IDC（數(shù)據(jù)庫服務(wù)器）中心，中心也可即時(shí)查詢數(shù)據(jù)。OA系統(tǒng)互聯(lián)：可以實(shí)現(xiàn)企業(yè)異地?zé)o紙化辦公，極大地提高了業(yè)務(wù)效率。遠(yuǎn)程管理：中心的網(wǎng)絡(luò)管理員可以對(duì)整個(gè)VPN網(wǎng)絡(luò)進(jìn)行集中的狀態(tài)監(jiān)控和遠(yuǎn)程管理配置，可以在各個(gè)VPN節(jié)點(diǎn)設(shè)置動(dòng)態(tài)的流量管理策略，并可通過URL過濾禁止員工某些網(wǎng)站的瀏覽權(quán)限。節(jié)約投資：降低了大量線路租用費(fèi)，網(wǎng)絡(luò)通訊成本節(jié)約了80％。4.6簡單配置（1）WINDOWSXP下的簡單配置第一步：點(diǎn)擊桌面左下角的：開始->連接到->顯示所有連接。圖4.5第一步第二步：點(diǎn)擊“新建連接向?qū)А薄D4.6第二步

第三步：點(diǎn)擊下一步。圖4.7第三步第四步：選擇“連接到我的工作場所網(wǎng)絡(luò)”再點(diǎn)擊下一步。圖4.8第四步第五步：選擇“虛擬專用網(wǎng)絡(luò)連接”點(diǎn)擊下一步。圖4.9第五步第六步：在公司名輸入“VPN”點(diǎn)擊下一步。圖4.10第六步

第七步：選擇“不撥初始連接”點(diǎn)擊下一步。圖4.11第七步第八步：輸入要連接的計(jì)算機(jī)名或IP地址。圖4.12第八步第九步：點(diǎn)擊“完成”。圖4.13第九步第十步：填入我們提供給您的用戶名和密碼，點(diǎn)擊“連接”即可。圖4.14第十步（2）WINDOWS7下的簡單配置第一步：點(diǎn)擊桌面左下角的開始標(biāo)記，選擇“控制面板”。圖4.16第一步第二步：選擇“網(wǎng)絡(luò)和共享中心”選項(xiàng)。圖4.17第二步

第三步：點(diǎn)擊“設(shè)置新的連接或網(wǎng)絡(luò)”。圖4.18第三步第四步：選擇“連接到工作區(qū)”，然后點(diǎn)擊下一步。圖4.19第四步

第五步：選擇“使用我的Internet連接”。圖4.20第五步第六步：輸入所知道的服務(wù)器地址和目標(biāo)名稱，點(diǎn)擊下一步。圖4.21第六步第七步：輸入用戶名和密碼，點(diǎn)擊“連接”。圖4.22第七步

5VPN的應(yīng)用前景5.1VPN應(yīng)用發(fā)展的制約因素在中國，VPN在企業(yè)中的應(yīng)用和普及受到了很多因素的制約，可分為以下兩方面?？陀^因素。主要是指Internet帶寬以及QoS（服務(wù)質(zhì)量保證）。在以往對(duì)于Internet的應(yīng)用過程中，企業(yè)會(huì)投入大量的資本去架設(shè)網(wǎng)絡(luò)或者花費(fèi)高額的通信費(fèi)用去完成網(wǎng)絡(luò)的遠(yuǎn)程連接，主要原因是由于Internet網(wǎng)絡(luò)帶寬的局限以及無法得到充分保障的服務(wù)質(zhì)量。隨著科學(xué)技術(shù)的發(fā)展，更多的新技術(shù)如ADSL、MPLS、DWDM投入到網(wǎng)絡(luò)架構(gòu)領(lǐng)域，以上問題得到了充分的改善和解決。例如，在前幾年，網(wǎng)絡(luò)速率只保持在平均2兆左右，而近幾年隨著網(wǎng)絡(luò)的普及發(fā)展，國內(nèi)用戶已經(jīng)可以享受到10到100兆的高接入速率，骨干網(wǎng)甚至達(dá)到了40Gbps的接入速率，不得不說科學(xué)技術(shù)尤其是高新技術(shù)的發(fā)展為當(dāng)前網(wǎng)絡(luò)架構(gòu)領(lǐng)域的發(fā)展和世界貿(mào)易的快速進(jìn)步提供了技術(shù)支持。因此，隨著時(shí)間的推移，VPN的發(fā)展會(huì)在科技進(jìn)步的基礎(chǔ)上更上一個(gè)臺(tái)階，更多的企業(yè)用戶將會(huì)受益于VPN技術(shù)。主觀因素。主觀因素主要體現(xiàn)在企業(yè)用戶及個(gè)人用戶方面。在過去，網(wǎng)絡(luò)安全體系并不健全，用戶擔(dān)心自己的核心利益受到侵害，擔(dān)心數(shù)據(jù)會(huì)在網(wǎng)絡(luò)傳輸?shù)倪^程中受到窺視甚至篡改。然而，VPN技術(shù)已經(jīng)有效的克服了這一點(diǎn)，它可以為用戶提供可靠的安全保障，保證用戶數(shù)據(jù)的私密、安全，并且能夠高效穩(wěn)定地為客戶服務(wù)。除此之外，過去用戶自身的軟硬件條件也制約了VPN的發(fā)展，隨著網(wǎng)絡(luò)設(shè)備的日新月異以及企業(yè)發(fā)展對(duì)網(wǎng)絡(luò)架構(gòu)的迫切要求，企業(yè)以及個(gè)人用戶在數(shù)據(jù)傳輸和網(wǎng)絡(luò)架構(gòu)方面投入了比以往更加大量的資金和精力，VPN也在此基礎(chǔ)上得到了更高的普及。以上因素曾短暫制約了VPN的發(fā)展，在以上問題得到解決的情況下，VPN正逐漸被更多的企業(yè)和個(gè)人所接受，成為網(wǎng)絡(luò)應(yīng)用的重要組成部分。VPN適應(yīng)當(dāng)前的貿(mào)易發(fā)展需求，在低廉的成本基礎(chǔ)上保障網(wǎng)絡(luò)的安全架構(gòu)以及數(shù)據(jù)的高效傳輸，有效的推動(dòng)了人類貿(mào)易進(jìn)程，整個(gè)貿(mào)易領(lǐng)域得到了最為廣泛的收益。5.2VPN的發(fā)展展望當(dāng)今世界全球化的進(jìn)程越來越快，這使得分布在世界各地的企業(yè)各分支機(jī)構(gòu)、合作伙伴和客戶之間的聯(lián)系越來越緊密。因此安全的遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)成為企業(yè)尚待解決的問題。在國外，Internet已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長空間。1.VPN企業(yè)對(duì)VPN產(chǎn)品的特殊要求：VPN是網(wǎng)絡(luò)基礎(chǔ)設(shè)備，它的應(yīng)用沒有局限性，可以用于各個(gè)行業(yè)。當(dāng)前，黑客、病毒大行其道，貿(mào)易領(lǐng)域前所未有的擴(kuò)張，在這種網(wǎng)絡(luò)環(huán)境日趨復(fù)雜的情況下，企業(yè)的管理理念也隨之轉(zhuǎn)變，日趨先進(jìn)，迫切要求先進(jìn)的網(wǎng)絡(luò)技術(shù)為其提供有效、安全的技術(shù)平臺(tái)。因此，用戶對(duì)VPN的性能要求也日漸嚴(yán)格，VPN迫切需要自身的發(fā)展，以求與全球化的齊頭并進(jìn)。2.VPN用戶對(duì)VPN服務(wù)的要求：隨著InternetApp的更新進(jìn)步，用戶迫切需要網(wǎng)絡(luò)供應(yīng)商提供更為貼心更為靠的網(wǎng)絡(luò)服務(wù)，以求在低廉運(yùn)營費(fèi)用和軟硬件成本的條件下，保證網(wǎng)絡(luò)業(yè)務(wù)的安全有效，從而能夠花費(fèi)更多的精力去謀取企業(yè)核心業(yè)務(wù)的發(fā)展。3.VPN產(chǎn)品的發(fā)展走向：SSL技術(shù)是未來VPN的發(fā)展趨勢，SSL技術(shù)與傳統(tǒng)的IPSEC技術(shù)在移動(dòng)客戶應(yīng)用方面相比較而言，web應(yīng)用方面有很大得優(yōu)勢，而未來IT應(yīng)用逐步是向web應(yīng)用、分布式移用方向發(fā)展。隨著3G得大面