vpn技术论文第1篇

关键词：虚拟专用网VPN远程访问网络安全

引言

随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信，实现企业外部分支机构远程访问内部网络资源，成为当前很多企业在信息网络化建设方面亟待解决的问题。

一、VPN技术简介

VPN（VirtualPrivateNetwork）即虚拟专用网络，指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术，通过对网络数据的封装和加密传输，在公用网络上传输私有数据的专用网络。在隧道的发起端（即服务端），用户的私有数据经过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。

VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境，是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能，具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问，通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来，构成一个扩展的公司企业网，此外它还提供了对移动用户和漫游用户的支持，使网络时代的移动办公成为现实。

随着互联网技术和电子商务的蓬勃发展，基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动，需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网，从而简化信息传递的路径，加快信息交换的速度，提高企业的市场响应速度和决策速度。同时，围绕企业自身的发展战略，企业的分支机构越来越多，企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题，VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接，并保证数据的安全传输，通过将数据流转移到低成本的网络上，大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间，降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中，这样就大大简化了网络的设计和管理，满足了不断增长的移动用户和Internet用户的接入，以实现安全快捷的网络连接。

二、基于Internet的VPN网络架构及安全性分析

VPN技术类型有很多种，在互联网技术高速发展的今天，可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用，基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点，能够很好的满足企业对VPN的常规需求。

2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端，用户的私有数据经过隧道协议和和数据加密之后在Internet上传输，通过虚拟隧道到达接收端，接收到的数据经过拆封和解密之后安全地传送给终端用户，最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。

2.2VPN技术安全性分析VPN技术主要由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输，因此安全问题是VPN技术的核心问题，目前，VPN的安全保证主要是通过防火墙和路由器，配以隧道技术、加密协议和安全密钥来实现的，以此确保远程客户端能够安全地访问VPN服务器。

在运行性能方面，随着企业电子商务活动的激增，信息处理量日益增加，网络拥塞的现象经常发生，这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略，分配基于数据传输重要性的接口带宽，这样既能满足重要数据优先应用的原则，又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长，对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担，管理平台要有一个定义安全策略的简单方法，将安全策略进行合理分布，并能管理大量网络设备，确保整个运行环境的安全稳定。

三、Windows环境下VPN网络的设计与应用

企业利用Internet网络技术和Windows系统设计出VPN网络，无需铺设专用的网络通讯线路，即可实现远程终端对企业资源的访问和共享。在实际应用中，VPN服务端需要建立在Windows服务器的运行环境中，客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。

3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”，需要对此服务进行必要的配置使其生效。

3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”，打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名，选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步，进入服务选择窗口；标准VPN配置需要两块网卡（分别对应内网和外网），选择“远程访问（拨号或VPN）”；外网使用的是Internet拨号上网，因此在弹出的窗口中选择“VPN”；下一步连接到Internet的网络接口，此时会看到服务器上配置的两块网卡及其IP地址，选择连接外网的网卡；在对远程客户端指派地址的时候，一般选择“来自一个指定的地址范围”，根据内网网段的IP地址，新建一个指定的起始IP地址和结束IP地址。最后，“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。

3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上，因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”“用户”，选中用户并进入用户属性设置；转到“拨入”选项卡，在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”，即赋予了远端用户拨入VPN服务器的权限。

3.2VPN客户端配置VPN客户端适用范围更广，这里以Windows2003为例说明，其它的Windows操作系统配置步骤类似。

在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“VPN服务器选择”窗口里，输入VPN服务端地址，可以是固定IP，也可以是服务器域名；点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码，即可连接上VPN服务器端。:

3.3连接后的共享操作当VPN客户端拨入连接以后，即可访问服务器所在局域网里的信息资源，就像并入局域网一样适用。远程用户既可以使用企业OA，ERP等信息管理系统，也可以使用文件共享和打印等共享资源。

四、小结

现代化企业在信息处理方面广泛地应用了计算机互联网络，在企业网络远程访问以及企业电子商务环境中，虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络，从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务，是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值，在未来的企业信息化建设中具有广阔的前景。

参考文献:

vpn技术论文第2篇

【关键词】VPN 安全 SSL

VPN网络广泛应用于各行各业，那么VPN真的安全吗？这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSL VPN的安全性的讨论来窥伺VPN安全性的一斑。

1 VPN基本结构

VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中，就是我们常说的SSL VPN，安全性相对比较高。

2 VPN安全隐忧

理论上VPN具有较高的安全性，但网络中没有绝对的安全，我们以安全性较高的SSL VPN来深入探讨。由于SSL VPN并不需要特殊的客户端软件，而是用Web浏览器代替，因此SSL VPN的安全威胁主要集中在浏览器和服务器上。

2.1 客户端的安全隐患

2.1.1 临时文件

WINDOWS系统在运行过程中会产生临时文件，包括系y运行和上网所产生的临时文件，SSL VPN通过浏览器与服务器端进行通信活动，用户退出VPN系统时，不会自行清除临时文件。这些数据会被缓存在临时文件夹中，浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。

2.1.2 用户忘记退出

由于网络用户是一个庞大的用户群，大部分用户都不知道如何正确退出VPN系统，单位管理员也不会刻意要求用户及时退出系统，用户事后一般就是关闭浏览器，并没有真正退出VPN系统，这就给SSL VPN系统带来了又一安全隐患。

2.1.3 病毒通过隧道感染内部网络

SSL VPN用户可以使用任何电脑远程登录单位内部网络，用户如果使用带有病毒的电脑接入SSL VPN网络，即使用户网与VPN网之间有防火墙，有些病毒仍将会通过VPN隧道感染SSL VPN网络内部的软件与文件资料。

2.1.4 操作环境风险

通过浏览器，用户可以不受使用地点限制，随意登录VPN系统，在公共场合，如果用户的防护意识不强，登录口令等安全信息泄露的风险增加，他人可以临时“借用”身份证书即可轻松进入相关系统。

2.1.5 内部网络信息泄密

内部应用程序往往使用到内网IP地址或是内部机器名，远程用户通过SSL VPN调用内部应用程序时，SSL VPN就必须将这些内部地址转化为因特网可识别的地址（HAT技术）。由于各个系统对安全性有不同的要求，HAT技术在实现，如果HAT技术应用不恰当，那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。

2.2 服务器端安全问题

2.2.1 应用层的安全威胁

SSL VPN一般通过两种方法实现：一是直接使用Web服务器作为其底层平台架设VPN服务器，由于VPN和Web服务器在同一台设备上，Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSL VPN，包括硬件与操作系统，这种方式具有较高的安全性，但随着技术的进步，一段时间后这种方式也将暴露出其本身的固有的隐患，这种独立硬件的漏洞决定了整个系统的安全性。

2.2.2 身份认证

由于用户可以通过任何计算机登录进入VPN，可能将用户名和密码泄露，因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要，对安全性的要求也更高。

3 VPN安全隐患解决方案

3.1 客户端问题解决方案

VPN网络在使用中存在一些问题，但我们可以建立相应的机制来解决或缓解上述问题，使用VPN网络安全更上层楼。

3.1.1 临时数据处理

浏览器一般都带有自动清除临时数据的选项，但用户一般不会自行设置，因此需要在服务器端编写一个小程序，客户端自动下载运行，该程序记录用户登录后的操作及产生的临时数据，退出登录后自动清除用户这个过程中留下的各种格式的临时数据。

3.1.2 使用进程超时机制

大部分用户对于数字证书的安全不太重视，证书长期插在电脑上，导致电脑长时间与SSL VPN处于连接状态，这种情况一方面可以由单位制定操作规章，规定用户离开时证书也要拔下，另一方面可以采用进程超时机制，由系统实时检测用户的操作情况，当用户一定时间内没有操作时，系统自动断开VPN的连接，而用户下一次连接时需要重新认证。

3.1.3 应用层网关技术

应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者，在SSL VPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络，相当于多了一道有效的防火墙，通过对所有应用请求的审核，将非法的应用请求过滤掉，这样即使应用系统有一些未知的漏洞也不影响安全性能，可以有效防止大部分病毒传播。

3.1.4 加密内部网络信息。

我们通过扫描能很方便地获知网络内的主机名、IP地址等信息，这容易被攻击者利用，因此SSL VPN应对网内的主机名、服务器IP地址等内部网络信息进行加密，尽量减少攻击者获取信息量，让其无从下手。

3.2 服务器端问题解决方案

服务器端的问题主要有下面的几种解决方法：

（1）为了抵制黑客对服务器端应用层漏洞的攻击，利用基于应用层封包过滤技术，只允许已知的合法应用层数据包通过SSL VPN服务器也能有效防止黑客利用非法请求攻击内部服务器。

（2）使用更强的认证机制。取消传统的静态用户名和口令的身份认证机制，最好是使用强的双因素认证机制和一次性口令鉴别机制。最好能够具备LDAP和短信息认证等多种认证功能。同时，还要强制要求用户一段时间后就要修改数字身份证书的密码，防止身份认证设备被人“借用”。

4 结束语

VPN作为一种安全技术和比较有效的网络安全解决途径，由于受各种不确定因素以及人为原因的影响，仍然存在着安全隐患，作为一种应用范围较广泛的安全应用解决方案，这些安全问题不容忽视。

参考文献

[1]马军锋.SSL VPN技术原理及其应用[J].电信网技术，2005，8（08）：6-7.

[2]王达.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2004.

vpn技术论文第3篇

关键词 VPN；移动气象台；应用；pcAnywhere

中图分类号TP39 文献标识码 A 文章编号 1674-6708（2015）135-0069-02

近年来，随着Internet的快速发展，基于虚拟专用网络的VPN作为一种新的网络技术，可以远程访问，实现外部网和内部局域网的连接[1]。因为其安全性和成本低廉的优点，在各企事业单位的数据传输业务中得到了广泛的应用。通过VPN技术，单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等，也可以远程管理及维护气象业务计算机并实现移动

办公。

1 VPN简介

1.1 VPN的定义

VPN（Virtual Private Network），中文全称虚拟专用网络，它是指采用特殊的加密通讯协议，为了实现临时、安全的远程连接在Internet公共网上建立的虚拟的、专用网络通道[2]，主要依靠网络服务提供商（NSP）及Internet服务提供商（ISP）提供，并通过采用隧道、密钥管理、加密、身份认证等安全技术及手段来保证在公共网络上传输数据的安全性，为终端提供类似于私用网络的一种网络服务技术。

1.2 VPN的类型

VPN一般分为三种类型：1）远程访问虚拟网（Access VPN）；2）内部虚拟网（Intranet VPN）；3）扩展虚拟网（Intranet VPN），其中，Access VPN 主要用于个人远程访问局域网实现异地办公，Intrant VPN主要用于大中型企事业单位或者集团和其异地机构通过Internet建立的虚拟私有网络。利用因特网保证网络的互联性，同时利用VPN的隧道、加密等特性保证整个Internet VPN上信息的安全传输。Extranet VPN主要实现将合作伙伴不同的用户子网构成虚拟的企业网络，该应用的功能最完善。

1.3 VPN的优点

VPN作为一种新的网络技术，与传统的通过电话线远程拨号方式相比，具有以下优点。

1）使用VPN技术大大降低了构建网络的成本。

2）VPN构建的虚拟专用网使用基于IPSec标准的设备能够保证数据传输的安全性。同时，用户还可以通过设置防火墙、采用数据加密等已有的手段使数据传输的安全性进一步提高。

3）最常用的网络协议VPN都支持。

4）IP地址安全。

5）通过VPN技术来实现局域网的互联，简单、灵活、便于扩展[3]。

1.4 VPN技术在安阳气象网络中的主要应用

随着安阳市气象局气象业务的加强，气象信息化建设的发展，VPN虚拟专用网络技术在安阳气象网络中应用包括两个方面：一个是气象资料调取（例如安阳移动气象台、外部门例如航校Micaps资料共享），一个是气象远程管理，结合symantec公司的pcAnywhere远程控制软件实现。

2 Windows 2003 VPN服务器的配置及VPN用户的添加

2.1 配置VPN服务器

在Windows 2003管理工具中打开“路由和远程访问”，右键选择“配置并启用路由和远程访问”，下一步，选择VPN访问，下一步，“路由和远程服务已被安装，要开始服务吗”，选“是”，即启动了VPN服务。首先在该服务器上点击右键选择“属性”，选择“IP”标签，然后在“IP地址指派”中选择“静态地址池”进行配置。添加设置VPN局域网内的虚拟IP地址范围。

为了实现气象资料的远程共享，在VPN上定时运行着一个任务计划caiji.exe，实现所需的地面图、高空图等气象信息资料从CMACast数据处理服务器获取并供VPN客户端调取。

2.2 VPN用户添加

每个客户端都需要一个拨入并能够访问VPN服务器的账号，默认是Windows身份认证，所以要为每个VPN客户端设置一个用户，为了客户端之间能够相互访问，还应为每个用户制定一个固定的虚拟内网IP地址。添加VPN用户的步骤如下：管理工具计算机管理，从中添加用户，以添加“hangxiao”用户为例，新建好“hangxiao”用户，查看并设置该用户属性，通过“拨入”标签修改该用户的远程访问权限为“允许访问”。

3 安阳市移动气象台

为了应对突发性、局地的强对流天气过程和重大灾情，或者在非固定的地点现场开展一些特殊的公共气象服务，安阳市气象局利用移动气象台实现了对自动站的雨量、风速、气温等气象要素的采集[4]，在重大气象服务过程中，安阳市移动气象台作为应急服务中心，预报专家能够及时掌控现场状况提高了预报预测的准确率。

安阳市移动气象台以计算机网络为核心，通过技术与预报专家相结合，在应急现场快速对周围的气象要素实况进行采集，还需要调取国家气象局、河南省气象局下发的卫星云图资料、多普勒雷达资料等，并利用移动气象台的通信网络系统和安阳市气象台预报专家进行视频会商。实况气象资料的快速收集以及卫星云图资料、雷达资料的快速调取与否对应急服务的决策准确率非常重要。很多移动气象台配有车载卫星天线，主要采用卫星链路实现数据通信，在气象应急服务中，人工对星实现卫星与天线的连接需要耗费较长时间，若通过VPN技术实现移动气象台和固定台站间的连接，可以满足气象应急服务要求的气象资料和声音、图像的传输要求[5]，而且省去耗时较长的对星这一步骤，连接速度快，大大降低了连接费用。

4 VPN技术结合pcAnywhere实现远程管理

pcAnywhere是由美国symantec公司开发的一款远程控制软件，可以实现以下功能：1）屏幕监视；2）远程控制3）文件传输4）安全管理，配合VPN技术可以实现远程控制[6]。针对内网服务器远程控制难的问题，安阳市气象局分析部署了信息网络，在局域网内对关键服务器进行远程控制，并利用VPN技术通过Internet实现了对安阳气象内网的远程管理。

在局域网内远程管理内网服务器，将网管的计算机和需要远程管理的服务器均安装pcAnywhere软件（网管计算机配置成主控端，目标服务器配置成被控端），网管计算机即可通过pcAnywhere软件的远程管理功能管理目标服务器。

通过Internet实现对安阳气象内网的远程管理，利用VPN技术解决了外网访问内网难的问题，通过公网路由器建立虚拟专用网络VPN连接，实现了网络管理员在外网通过因特网Internet访问安阳气象局域网的服务器，然后利用远程控制软件pcAnywhere实现远程管理，有效提高了工作效率。

图1 利用VPN技术和pcAnywhere实现服务器远程管理

5 结论

VPN作为一门网络新技术，提供了一种通过因特网（Internet）安全地远程访问内部局域网的方式，通过VPN技术，单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等，也可以远程管理及维护气象业务计算机并实现移动办公，在安阳移动气象台气象数据调取、与外部门（例如航校）Micaps资料共享以及结合pcAnywhere实现气象远程管理中得到了具体应用，是对现有网络的拓展和补充。

参考文献

[1]高海英，薛元星，辛阳.VPN技术[M].北京：机械工业出版社，2004：147.

[2]马奇蔚，吴孟春，周必高，等.气象网络VPN的组建方案和安全策略的讨论[J].计算机与网络，2006（7）：53-55.

[3]杨达.VPN全攻略[J].网管员世界，2005（11）：34-36.

[4]尹佐臣，张涛，陈力强，等.沈阳市移动气象台设计与实施[J].气象，2006，32（10）：44-46.

vpn技术论文第4篇

论文关键词：VPN,校园网,远程访问

1 发展校园网的重要性

近几年国家对教育工作日益重视，独立学院规模不断扩大。在发展过程中，各独立学院都十分重视与母体学校的资源整合。

独立学院与母体学校一般都建立了各自的校园网络，且均接入互联网，因为诸多条件的制约，至今多数独立学院与母体学校之间没有专线相互连接，造成了校园网应用水平极低的现象。各种应用系统，如教务管理系统、题库系统和电子图书管等教学资源无法实现共享，迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成：一是母体学校的教师；二是外聘教师；三是专职教师。母体学校的教师和外聘教师，这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系，提高教学、科研和办公效率显得尤为重要。

此外，传统的Internet接入和传输服务缺少安全机制，服务质量无法保证，难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以，建立安全可靠的独立学院与母体学校间校园网的连接，实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务，如登录校内OA系统、教务系统和电子图书馆系统等，是独立学院校园网建设的当务之急。

2 VPN工作原理及其主要优点

虚拟专用网VPN（Virtual Private Network）就是利用公网来构建专用的网络，它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接， 并提供同专用网络一样的安全和功能保障。

VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能，因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点：(1)成本低。VPN在设备的使用量上比专线式的架构节省，故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性，大至学校的主校区设备，小至各分校区，甚至个人拨号用户，均可被包含在整体的VPN架构中，以致他们可以在任何地方，通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制，如信道、加密、认证、防火墙及黑客侦防系统等，确保资料在公众网络中传输时不至于被窃取．或是即使被窃取了，对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路，使网络的管理较为轻松。不论分校或远程访问用户的多少，只需通过互联网的路径即可进入主校区网路。

3 独立学院校园网络建设中的VPN技术选择及对策

选择适当的VPN技术可以提供安全、高效、快捷的网络服务，能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。

3.1技术选择

VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统，则该操作系统本身就集成了这项功能，只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现，两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙，其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单，只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全，硬件VPN 集成了企业级防火墙、上网控制和路由功能，一次性提供多种宽带安全的解决方案，可以轻松实现远程实施和维护，相比之下软件VPN 的后期维护显得较为复杂。

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案，如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等，加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等，在构建VPN连接时应根据实际情况进行选用。

3.2 技术对策

VPN产品的性价比不同，对VPN硬件设备的选型也应视需求而定。例如，在构建VPN连接时，如果校园网构架不复杂，通讯需求量不是很大，但要求安全可靠和管理方便，应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求，其次是增加的硬件防火墙能提高校园网络的安全防范等级。

3.3 VPN网络建设实现的目标

主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换，两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器，还需建立远程客户端到主校区的单向VPN访问。

3.3.1 主校区和分校区的VPN连接

在各校区现有校园网的出口处分别安装一台VPN网关，每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下，在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道，实现校区安全互连。

根据主校区和分校区的网络使用要求和经济性等多方面考虑，应选用硬件型的集成VPN功能的防火墙。此外，防火墙还应具备路由功能，支持NAT技术，在分校区相对较小、校园网络构架不复杂的情况下，使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉，是一个理想的选择。主校区选择一台防火墙作为VPN网关，设备应可以支持上千个并发TCP／IP会话和上百个VPN 隧道，可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求，选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂，主、分校区网关均拥有静态公网IP地址，不会做经常性的变动，可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式，创建IP Sec VPN隧道，来实现校区间安全连接。

3.3.2 远程用户到主校区的VPN连接

考虑到远程用户访问校园网络集中于主校区Web服务器，远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制，而且易于安装、配置和管理，避开了部署及管理必要客户软件的复杂性和人力需求。

3.3.3 做好防护，提高VPN的安全性

虽然VPN 为远程工作提供了极大的便利，但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件，而远程计算机就不一定拥有这些安全软件的防护。因此，必须有相应的解决方案堵住VPN的安全漏洞，比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查，对敏感文件进行加密保护等，这样才能防患于未然。

4、结束语

总之，在独立学院与母校之间通信要求越来越高，各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题，满足了经常在校外工作人员查阅、访问本院信息资源的需要；通过VPN连接两个局域网，实现高校各校区之间网络系统的逻辑连接，为各校区的资源共享提供方便、快捷的服务创造了良好条件。

参考文献：

[1] 戴宗坤等 VPN 与网络安全[M]． 北京： 电子工业出版社， 2002．

vpn技术论文第5篇

关键词：VPN技术；应用；隧道技术

中图分类号：TP393.1 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02

一、引言

当前，信息化发展程度不断深化，现有的因特网服务的无所不在以及专线无法比拟的低价位等方面的优势，使得有很多企业开始运用VPN技术在因特网上构建自己的私有企业网络或是网站。所谓VPN技术，中文全称为“虚拟专用网络”，Virtue Private Network，它主要是指在两台计算之间所构建成的一条专用连接，最终达到在共享网络或者公共网络上对私有数据进行快捷化的传输的目标，也可以将其认为VPN计算为一种“化公有为私有”的先进性的信息技术。这种虚拟技术对于网络的安全性的提高具有十分重要的促进作用。利用因特网的资源来构建虚拟专用网络已经成为了一种全新的选择，它开业对企业内部网络进行很好地扩展，可以帮助远程用户、移动用户以及公司分支机构之间建立一种安全、可靠、可信的网络安全连接，而且还可以确保数据的安全可靠传输，提高数据的安全性以及保密性。基于以上关于VPN技术的种种优点，该技术得到了较为广泛地应用。本文就是攫取了VPN技术为主要研究对象，对其具体概念、工作原理、特征以及关键技术等方面进行了阐述，然后论述了VPN计算的实际应用。

二、VPN概念

VPN（虚拟专用网络）技术是将公用网络作为信息传输的媒体，在进行加密、封装、认证和密阴交换技术后在公用网络上创建了一条专用的网络通道，这样一来，合法的用户就能够对网络内部具有的数据进行访问。其能够代替专线，很好的将单位移动员工以及远程的分支机构与单位内部的网络相连接，VPN对所有用户端都是公开的，用户实际使用过程中如同采用一条专用线路进行信息交流与传递。要想确保VPN有效的连接，首先，单位内部网络就必须具备关于VPN方面的服务，同时，VPN还要与单位内部网络以及因特网进行连接。当连接服务器的计算机利用VPN连接和单位内部网络的服务器进行信息交流与传递时，先由互联网服务（ISP）将全部数据输送到VPN中，然后由VPN服务将全部数据输送到单位内部网络的目标服务器中。另外，VPN的工作原理是将需要进行机密数据传输的两个端点同时与公用网络进行连接，如果机密数据需要进行传输时，就可以利用端点上的VPN设备在公用网络上创建一条专用的网络通道，而且还要将全部数据进行加密再在网络上进行传输，从而确保机密数据的传输是安全的。

三、VPN特征

（一）VPN的优势

首先，其成本较低；和专用网络相比较，通过互联网服务（ISP）构建起的VPN能够大大降低信息交流与传递过程中所使用的费用，并且，也使得单位减少了人力与物力的投入量；其次，将网络设计进一步简化；凡是通过ISP的，单位只需要简单的安装、配置与管理远程链路；另外，实现了网络安全目标；数据传输前的用户认证与VPN传输过程中的安全以及加密协议使得网络的安全性进一步提高。第四，容易扩展；要想将VPN的容量与覆盖范围进一步扩大，单位只需要与ISP签订一份新的合约即可。第五，其可以随时的与合作伙伴进行联网。第六，掌握了主动权。

（二）VPN的劣势

首先，虽然VPN设备供应商能够为外联网服务或者远程办公室的专线提供诸多有效的方式，但是VPN服务提供商只对数据在其的管辖范围内的性能予以保证，如果超出了其的管辖范围，那么，就无法对数据的安全性进行保证。其次，各个厂商的VPN在管理与配置管理上具有较大的难度，因此，就必须对各种厂商的实际执行方式与术语进行全面的了解。

四、VPN的关键技术

（一）安全隧道技术

其主要是通过将即将传输的原始信息进行加密与协议封装处理后，然后嵌套将其放置到另外一种协议的数据包，最后输送到网络中，传输过程与普通数据包相同。这样的一种处理方法，只有宿端与源端这两种用户才能将隧道中具有的嵌套信息进行充分的解释与有效的处理，对于其他用户来说，这些信息毫无意义。其以加密与信息结构变换相结合的方式为主，并不只是一种单纯的加密技术。

（二）用户认证技术

在正式隧道进行连接前，应对用户的身份进一步确认，以确保系统将其自身具有的资源访问控制或者用户授权全面发挥。用户认证技术已趋于成熟，所以，应对现有技术的集成进行充分的考虑。

（三）访问控制技术

提供VPN服务的相关者和提供最终网络信息资源的相关者应共同协商明确特定用户对特定资源所拥有的访问权限，从而对用户的细粒度访问进行有效的控制，这在一定程度上对信息资源进行了良好的保护。

（四）密阴管理技术

这一技术的主要任务就是怎样才能在公用网络上有效的、安全的将密阴进行传递而不会被盗取。当前的密阴管理技术有两种类型，一个是因特网简单密阴交换协议（SKIP），一个是安全关联和密钥管理协议（ISAKMP）。前者主要是通过Diffie-Hellman的验算法则，在网络上将密阴进行传输；后者双方分别有两把密阴，主要分为公用与私用。

（五）加解密技术

vpn技术论文第6篇

针对以往的供电系统来说，各供电部门只能很好的实现内部数据的共享，通过局域网进行高效的数据共享，但是对于城市之间各供电企业之间的数据却不能做到高效的数据共享。以往的外部数据共享通常采用以下几种传递方式：（1）打印数据共享方式；（2）通过磁盘刻录传递Excel表格文件的方式进行共享（3）采用电子邮件实现数据的共享。目前电力部门的数据共享实现大多数采用的是电子邮件的方式，但这种方式的共享的安全性不够，并且不具备高效性。所以，必须采取新型技术来实现电力营销数据的高效共享。

一、实现数据远距离共享的意义

（一）实现数据远距离共享的前提

针对网络问题入手，通过数据的传输速度以及费用等方面进行分析，实现远距离数据共享。互联网功能适合实现数据的高效共享。还应该考虑的是计算机的硬件问题，目前的电力企业都具备高档次的计算机服务器用来合理营销数据，所以更具备实现远距离数据共享的有利条件。

（二）VPN技术

通过对VPN技术的采用，实现电力系统间的数据远距离共享。VPN技术全称虚拟私有网络，是通过互联网实现的一种高新技术，通过对网络数据的加密，传输私有数据，保证网络私有模式的安全，利用公网建立VPN传输系统。VPN在互联网上建立可私有的数据传输通道，并将远程工作地点和移动办公人员等联系起来，降低了远程访问的负担，节省电话费，同时也为数据安全提供了保障。VPN是通过虚拟的公共网络传输私人数据，所以其保密性和安全性必须完善，VPN技术主要从以下几个技术上体现出这一问题。

1、隧道

在VPN系统中采用隧道技术，通过对公共网络上传数据，进行数据传输分组，隧道能够把来自多个网络上的流量分开，通过隧道技术能使点与点通信协议代替交换连接。隧道技术允许授权的用户随时进行访问。通过隧道技术的引入，能够实现的功能：（1）把数据流量强制到特定位置；（2）隐藏私有网络地址；（3）通过公网传输非IP协议数据包；（4）保证数据的安全性。

2、安全性

采用VPN技术实现数据的远程共享功能，最重要的是保证系统的安全性。当下的安全策略是通过数据的人在和对数据的加密等方式。对于隧道数据传输的安全性，已经注定了一些安全协议。利用加密和数字签名的方式来确保数据的机密性安全性，对操作双方的身份进行检验。通常情况下对加密技术和隧道技术同时使用。

3、VPN成员管理

加强对VPN人员的管理，对用户的认证授权和计费管理以及IP地址的分配，应该建立独立的VPN通道，进行数据加密，设置用户访问权限等功能。严格检验用户的身份。

二、建立VPN实现数据远程共享

（一）配置VPN服务器

VPN服务器采用的是Windows 2000，通过路由和远程访问来配置运行Windows 2000的VPN服务器，连接用户同时监控远程访问通信。

（二）配置远程访问

通过对访问进行权限管理，对用户访问的管理模式需要使用VPN进行进行管理设置，将权限设置为“允许访问”。针对策略访问的管理，将设置为用户远程访问权限。

（三）实现远程数据共享

采用VPN服务器进行远程数据传输，通过对VPN服务器的访问权限设置，并将供电企业通过服务器连接起来，具有权限的用户可以通过互联网直接访问到服务器的资料，并且操作方便，有利于随时随地的查看数据信息，通过VPN的采用能够更好的实现高效的远程数据共享。

1、文件数据共享

文件数据的共享和点对点的数据共享大致相同，将共享的数据放入共享文件夹中，直接可以实现数据的共享，从而是授权的用户能够方便快捷的通过互联网访问数据信息。

2、用电数据共享

通过对VPN技术的应用，实现电力营销数据的共享，通过对网络计算机终端的管理操作，将授权用户VPN权限，在Delphi环境下构建用户界面层。在Delphi环境下，进入DCOM设置界面，设置VPN服务器的名称为ComputerName，完成设置后，将Connectec的属性改为True，并于数据服务层联系在一起。通过T ClientDataSet就可以很容易的共享所需的数据，实现数据的共享，方便随时查看。

通过采用VPN技术实现电力营销数据的远程共享，将各个供电公司的数据通过VPN进行有效连接，完成数据的高效传输和共享，同时提高了数据的安全性以及及时性。同时，在采用VPN技术时程序采用的是三层Client/Server结构，所以更有效地保证了数据的传输速度。

三、结束语

随着VPN技术的不断改进和完善，已经广受电力企业的关注。通过VPN技术对电力营销数据的共享，实现数据的实时传输与共享。采用VPN技术，可以对用户进行权限管理，更保证了数据传输过程中的安全性。由于VPN技术是通过互联网进行传输的，所以节省了大量的成本，同时也提高了数据的实时共享，通过对电力企业的数据传输系统各种采用VPN技术，改变了以往落后的传输方式，打破了数据传输速度慢、传输费用大以及传输安全性低等缺点，更有效的保证了电力企业的安全运行，促进了电力企业的发展。随着互联网的不断发展，网络的传输速度也会越来越快，VPN的传输性能也将越来越高，VPN的应用将为电力企业创造更大的利润。

参考文献

[1]安徽省电力局课题组.关于供电企业拓展电力市场的研究[J].安徽电力职工大学.2008（04）.

[2]李宁，，冯启源.基于多Agent的电力营销决策支持系统的研究[C].2005年全国开放式分布与并行计算学术会议论文集，2005年.

[3]阜新供电公司党委书记，廖茂新.树立大营销观念，建立以市场为导向的营销机制[N].东北电力报，2010.

vpn技术论文第7篇

关键词：VPN技术；电视台；应用状况

中图分类号：TP393.1 文献标识码：A 文章编号：1674-7712 (2012) 10-0040-01

一、引言

网络技术迅猛发展是社会发展的必然趋势，随之衍生的是诸多宽带多媒体技术，在多媒体技术的影响下，电信网络的业务既包括传统业务，又包括新型业务，都在宽带数据网中被传输，这无疑颠覆了人们的生活，使得各类多媒体业务推广到社会诸多领域。这样的形式下，多种宽带网络传输交换技术出现，采用这样的技术大多高带宽、业务发展局限小，具备极大的发展前景，VPN技术就是其中的一种，VPN技术在电视台也被广泛应用。

二、VPN 技术概述

（一）VPN技术含义

VPN是Virtual Private Network的缩写，又可以称之为“虚拟专用网络”，它是一种虚拟化的网络，是在公用网络中构建，被专门用来给某些企业所使用。

对于VPN技术进行研究分析可知，成功且高效的VPN一般具有如下特点：

1.专用性与安全性。VPN技术采用加密技术手段，对利用隧道所传输的数据予以加密保护，这实现了数据的指定发送与接收，从而实现数据的专用性与安全性。2.不同质量保证。从服务质量等级角度而言，VPN可以根据不同用户的需求，提供不同等级的服务质量。以移动办公用户为例，需要VPN保证连接的广泛性与覆盖性；以专线网络为例，因为拥有较多的分支机构，所以必须保证服务的稳定性；以电视台为例，因为对视频的码率传输有一定的要求，所以必须提供足够的带宽，以解决网络时延及误码的问题。3.可实现有效管理。从VPN管理角度而言，虽然服务提供商可以实现对次要网络任务的管理，但是VPN还是要求企业将其网络管理功能予以延伸的，实现对局域网、公用网，甚至是对客户、合作伙伴相关网络的有效管理。不能缺少完善的VPN管理系统，以此来实现对网络风险的规避，充分发挥VPN扩展性、经济性、可靠性的优势。4.可扩充性与灵活性。电视台、视频网站等的媒介对语音、图像、数据等的传输都有特殊的要求，而VPN能够充分满足这些要求，实现对网络资源的灵活配置，也能够满足其增加带宽的需求，这就是VPN的可扩充性与灵活性。

二、VPN技术在电视台的应用

现阶段，电视事业发展迅速，很多电视台具备不同频道，每个频道又具备新闻制作网、办公网、媒资系统等诸多系统，因为不能实现各系统间的协作，这增加了重复录入与播出的麻烦，不利于实现资源共享，也提高了投资成本。为了有效规避上述不利现象，必须充分利用VPN技术，唯有如此，才能更好地推动电视台各项工作的有序进行。

（一）成功VPN方案的要求

总的来说，一个成功的VPN方案应符合以下几项要求：

1.保证地址安全。成功的VPN方案，会给予用户专用网络的地址，并具备相应的措施，保证网络地址的安全性。2.需要用户验证。成功的VPN方案，必然具备验证用户身份的功能，那些经过授权的用户，才可以去访问VPN系统。除此之外，还可以设置计费与审计功能，通过运用这些功能，就可以清晰访问VPN时间及内容。3.对数据进行加密。因为VPN方案中采用了加密技术手段，对利用隧道所传输的数据予以加密保护，这实现了数据的指定发送与接收，未经授权的用户是无法接收这些数据的，从而实现数据的专用性与安全性。4.实行密钥管理。成功的VPN方案，还能够实行密钥管理，实现对客户端与服务器的维护。5.能支持多协议。在公用网络中，实施多种协议，成功的VPN方案能够对这些协议予以支持，如IP与IPX等，不但如此，成功的VPN方案还能够充分利用互联网的优势。

从服务类型来看，VPN主要有3种类型，即企业内部虚拟网、远程访问虚拟网、企业扩展虚拟网。

（二）电视台对VPN技术的应用

1.IPSec VPN技术。IPSec是对Tnternet Protocol Security的缩写，又可以称之为网际协议安全。它范围广泛且具有开放性，是一个标准的框架结构。IPSec是一种安全模式，这种协议模式的设立，建立在对数据传输、网络通信不安全的假设基础之上，因为有了IPSec协议的存在，使数据传输经过加密流程，能够为网络数据传输提供透明安全保障，有效防范TCP／IP通信不受窃听或篡改的侵害，对于网络攻击也能有所防范。

电视台运用IPSec VPN技术，一般都是用在人员较为集中的台外办公地点。举例说明，采用互联的方式，将台外办公地点与电视台网络中心的两台M5400相联，再采用相应的管理功能，实现对VPN系统的管理，实现两台M5400的顺利运行，对于电视台网络中心的VPN而言，台外办公地点VPN的一个分支系统。因为台外办公人员自身职责，他们自身具备不同的权限，在自身权限所允许的范围内，通过访问局域网，可以实现对电视台内部网络资源的访问。

2.SSL VPN技术。SSL VPN是Secure Sockets Layer的缩写，又可以称为安全套接层协议。基于在外办公人员对单位内部网络资源的需求，SSL VPN技术得以迅猛发展，这是一项虚拟的专用技术，是适用于应用层的，SSL VPN技术的存在，为数据通讯的安全提供了有利的支持。

对于电视台那些在外办公又地点分散的办公人员，可以采取SSL VPN技术，通过对VPN系统管理功能的运用，实现对内网用户的有效管理，可以根据部门及职责的不同，实现不同工作组的划分与设置，给予不同工作组相应的权限。除此之外，还必须实施一定的安全策略，如微机硬件特征码认证、手机短信认证、邮件认证等，这样能够更为有效地保障电视台内网诸多系统的安全。如在电视台VPN系统的网址，可以设置电视台内部网的链接，这更方便对内部网资源的利用，有利于电视台工作效率的提升。

三、小结

在信息化建设日益发展的今天，VPN技术以其高效率、低成本的优点而被广为采用，且使用的效果良好，借着网络技术的推动作用，VPN技术具备着更大的发展前景。很多电视台顺应信息化建设的趋势，采用了VPN技术，并不断予以完善，新的业务与管理方式被启动，这必将推动电视事业的更大发展。

参考文献：

[1]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010,02

vpn技术论文第8篇

论文关键词：VPN,校园网,远程访问

1 发展校园网的重要性

近几年国家对教育工作日益重视，独立学院规模不断扩大。在发展过程中，各独立学院都十分重视与母体学校的资源整合。

独立学院与母体学校一般都建立了各自的校园网络，且均接入互联网，因为诸多条件的制约，至今多数独立学院与母体学校之间没有专线相互连接，造成了校园网应用水平极低的现象。各种应用系统，如教务管理系统、题库系统和电子图书管等教学资源无法实现共享，迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成：一是母体学校的教师；二是外聘教师；三是专职教师。母体学校的教师和外聘教师，这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系，提高教学、科研和办公效率显得尤为重要。

此外，传统的Internet接入和传输服务缺少安全机制，服务质量无法保证，难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以，建立安全可靠的独立学院与母体学校间校园网的连接，实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务，如登录校内OA系统、教务系统和电子图书馆系统等，是独立学院校园网建设的当务之急。

2 VPN工作原理及其主要优点

虚拟专用网VPN（Virtual Private Network）就是利用公网来构建专用的网络，它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接， 并提供同专用网络一样的安全和功能保障。

VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能，因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点：(1)成本低。VPN在设备的使用量上比专线式的架构节省，故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性，大至学校的主校区设备，小至各分校区，甚至个人拨号用户，均可被包含在整体的VPN架构中，以致他们可以在任何地方，通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制，如信道、加密、认证、防火墙及黑客侦防系统等，确保资料在公众网络中传输时不至于被窃取．或是即使被窃取了，对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路，使网络的管理较为轻松。不论分校或远程访问用户的多少，只需通过互联网的路径即可进入主校区网路。

3 独立学院校园网络建设中的VPN技术选择及对策

选择适当的VPN技术可以提供安全、高效、快捷的网络服务，能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。

3.1技术选择

VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统，则该操作系统本身就集成了这项功能，只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现，两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙，其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单，只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全，硬件VPN 集成了企业级防火墙、上网控制和路由功能，一次性提供多种宽带安全的解决方案，可以轻松实现远程实施和维护，相比之下软件VPN 的后期维护显得较为复杂。

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案，如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等，加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等，在构建VPN连接时应根据实际情况进行选用。

3.2 技术对策

VPN产品的性价比不同，对VPN硬件设备的选型也应视需求而定。例如，在构建VPN连接时，如果校园网构架不复杂，通讯需求量不是很大，但要求安全可靠和管理方便，应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求，其次是增加的硬件防火墙能提高校园网络的安全防范等级。

3.3 VPN网络建设实现的目标

主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换，两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器，还需建立远程客户端到主校区的单向VPN访问。

3.3.1 主校区和分校区的VPN连接

在各校区现有校园网的出口处分别安装一台VPN网关，每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下，在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道，实现校区安全互连。

根据主校区和分校区的网络使用要求和经济性等多方面考虑，应选用硬件型的集成VPN功能的防火墙。此外，防火墙还应具备路由功能，支持NAT技术，在分校区相对较小、校园网络构架不复杂的情况下，使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉，是一个理想的选择。主校区选择一台防火墙作为VPN网关，设备应可以支持上千个并发TCP／IP会话和上百个VPN 隧道，可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求，选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂，主、分校区网关均拥有静态公网IP地址，不会做经常性的变动，可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式，创建IP Sec VPN隧道，来实现校区间安全连接。

3.3.2 远程用户到主校区的VPN连接

考虑到远程用户访问校园网络集中于主校区Web服务器，远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制，而且易于安装、配置和管理，避开了部署及管理必要客户软件的复杂性和人力需求。

3.3.3 做好防护，提高VPN的安全性

虽然VPN 为远程工作提供了极大的便利，但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件，而远程计算机就不一定拥有这些安全软件的防护。因此，必须有相应的解决方案堵住VPN的安全漏洞，比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查，对敏感文件进行加密保护等，这样才能防患于未然。

4、结束语

总之，在独立学院与母校之间通信要求越来越高，各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题，满足了经常在校外工作人员查阅、访问本院信息资源的需要；通过VPN连接两个局域网，实现高校各校区之间网络系统的逻辑连接，为各校区的资源共享提供方便、快捷的服务创造了良好条件。

参考文献：

[1] 戴宗坤等 VPN 与网络安全[M]． 北京： 电子工业出版社， 2002．

vpn技术论文第9篇

      本篇校园网论文介绍加强对新技术在校园网中的应用理论研究，对实际的发展有着重要的指导性。 

1 MPLS技术原理及体系结构分析 

1.1 MPLS技术原理分析 

从实际来看，在传统以IP分组转发的技术方面，主要是在IP分组报头基础上，通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合，这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念，这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入，也就是将路由控制以及数据转发等进行单独化的处理，从而就为每个IP数据包提供了固定长度标签，就决定了数据包路径及优先级。  　    　1.2 MPLS体系结构分析 

MPLS这一体系结构当中，MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能，并在这一平面有着IP网络的强大灵活路由功能，对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示，针对核心的LSR主要是在平面进行标签的分组并转发，在LER方面主要是转发平面所进行实施的工作任务，同时也包含了对传统IP分组的转发。 

通过上图就能够看出，对这一体系结构起到支持的主要就是显示路由以及逐跳路由，在对MPLS进行实际应用的过程中，实行标记分发过程中也需要对显示路由进行规定，但这一路由并不会对每个IP分组进行规定，这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此，在对MPLS LSP进行构建的过程中，能够通过有序LSP以及独立LSP进行控制。 

2 MPLS VPN技术在校园网中的规划设计及应用 

2.1 MPLS VPN技术在校园网中的规划设计分析 

通过对相关的技术加以借鉴对校园网要进行详细的规划设计，通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络，而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证，构建能够实现全网电子信息资源库，以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。 

2.2 MPLS VPN技术在校园网中的实际应用 

通过对MPLS VPN技术在校园网中的简单规划设计的分析，主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础，并对虚拟局域网技术进行有机的结合，在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性，例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合，来为校园网当中一些关键通信数据帧设置较高的用户优先级。 

另外就是要结合实际进行差别服务结合资源预留协议，虽然在综合服务所提供的更高QOS保证，而对于校园网这类非运营性网络来说，过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离，在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例，而每个VF驻留都是来自于同一VPN路由配置，穿越MPLS核心到其它的PE路由器过程中，这一隔离是过多协议，并增加了唯一VPN标识符进行实现。 

网络通信的大部分信息不再来自工作组内部，主要是来自于外部对因特网的访问，倘若是对第三层QOS问题得到有效解决，那么在校园网中所有第三层网络设备就会成为校园网QOS的发展瓶颈。从当前的大型复杂网络建设过程中能够发现，通过对MPLS VPN技术的有效应用，能够将信息受控访问及安全隔离等问题得到有效的解决，这一技术能够保证各业务系统逻辑网络相对独立性，并对各种类型的业务系统安全性有着很强的保护作用，所以在校园网的应用上有着比较广阔的前景。