毕业设计（论文）局域网与专线网络的互联.doc

目 录第一章 VPN简介5第二章 IP SEC VPN的工作原理62.1 ESP （ Encapsulating Security Payload ）72.2 AH （ Authentication Header ）82.3 IKE （ Internet Key Exchange ）8第三章 VPN的特点分析83.1 安全保障83.2 服务质量保证（QoS）83.3可扩充性和灵活性93.4 可管理性9第四章 VPN的的实现技术94.1 隧道技术94.2 加密技术114.3 QoS技术12第五章 本例中可能原因分析14第六章 对网管的建议14第七章 VPN典型应用分析15第八章结 论18致谢20参考文献21VPN虚拟专用网络 摘要 VPN，现在有很多连接都被称作VPN，它的意思是，虚拟专用网,它不是真正的专用网络，但却能够实现专用网络的功能。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以很大程度上保证企业员工安全地访问公司网络。本文将介绍了VPN工作原理、特点以及实现技术的分析。由于VPN直接构建在公用网上，实现简单、方便、灵活，所以其安全问题比较突出。企业必须要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。而要防止信息被窥视，我们可以在自己的路由器上设置隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。最后将介绍了VPN的一些典型应用。关键词： VPN、IP SEC、隧道技术、加密技术、密钥管理技术、使用者与设备身份认证技术 、L2TPTitle The business safely management solving schema of IPSEC VPN is analyzed and is explainedAbstract: VPN attends to name to think justice, the fictitious net for special purpose does not be the real network for special purpose , but can realize the function of the network for special purpose. It is fictitious to claim , denote user need to not possess actual long-distance data line again, and it is to use the long-distance data line of the Internet data network of the public. It can think that self established one most accords with the network of self demand if the network for special purpose claimed denotes user. Safe problem is the key problem of VPN. Now, the safe guarantee of VPN is to match through firewall technology and router with tunnel technical, encryption agreement mainly with safety dense key come to realize, can guarantee that enterprise employee visits company's network safely. This paper reaches through the analysis that realizes technology for VPN working principle and characteristic, is in the aspect of safety , since VPN directly founds , on communal net, realization is simple, convenient, flexible , but at the same time, its safe problem is also stressed more. It does not be peeped at and falsified by attack that enterprise must ensure its VPN on the data that delivered , and to prevent that illegal user is for network resource or privately owned information visit. And to prevent that information had been peeped at , we can install tunnel technology on own router , add decipher technology, dense key management technology, use and equipment identity certification technology. Finally, we have introduced some representative applications of VPN.Keywords: VPN、IP SEC、Tunneling technology、 Encryption technology、 Key Management technology、user and equipment status authentication technology、L2TP引 言 VPN的构成的技术，目前比较成熟，在构成VPN的方式上，也有多种方法进行搭配，而VPN的技术核心是不变的，即通过隧道技术来完成数据的加密，传输。为此，我们需要了解什么是VPN？VPN又包括几种实现方式，组合的变化有什么区别。第一章 VPN简介其实，虚拟专用网络，也就是VPN可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。（图1）  虚拟专用网络允许外部人员远程使用Internet等公共互联网络的设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端是透明的，用户就等同于使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯是建立在公共互联网络的上的，但是我们在使用时感觉如同在使用专用网络进行数据传输通信，所以得名虚拟专用网络。第二章 IP SEC VPN的工作原理IPSec 的工作原理（如下图所示）类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个 IP 数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的 IP 数据包进行处理。 这里的处理工作只有两种：一是丢弃，二为转发。IPSec 是通过查询安全策略数据库决定对接收到的 IP 数据包的处理的。但是 IPSec也有一点不同于包过滤防火墙，对 IP 数据包的处理方法除了丢弃，直接转发（绕过 IPSec ）外，还有一种，即进行 IPSec 处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。 进行 IPSec 处理意味着对 IP 数据包进行加密和认证。包过滤防火墙的作用就是控制来自或去往某个站点的 IP 数据包的通过，可以拒绝来自某个外部站点的 IP 数据包访问内部某些站点，也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对 IP 数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过 Internet 进新安全的通信才成为可能。 IPSec 可以加密和认证，同时使用，也是可以分开的。但无论是进行加密还是进行认证， IPSec 都有两种工作模式，一种是隧道模式，另一种是传输模式。 传输模式，只对 IP 数据包的有效负载进行加密或认证。隧道模式，对整个 IP 数据色进行加密或认证。IPSec 中的三个主要协议 IPSec 的主要功能就是加密和认证，为了进行加密和认证 IPSec 还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由 AH ， ESP 和 IKE 三个协议规定。2.1 ESP （ Encapsulating Security Payload ）ESP 协议主要用来处理对 IP 数据包的加密，此外对认证也提供某种程度的支持。 ESP 是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法。 ESP 协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引（ SPl ）和序列号（ Sequence number ）。使用 ESP 进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理 IP 数据包的，当接收方看到了这个序号就知道了对收到的 IP 数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原 IP 数据包的有效负载，填充域（用来保证加密数据部分满足块加密的长度要求）包含其余部分在传输时都是加密过的。其中“下一个头部（ Next Header ）”用来指出有效负载部分使用的协议，可能是传输层协议（ TCP 或 UDP ），也可能还是 IPSec 协议（ ESP 或 AH ）。 通常， ESP 可以作为 IP 的有效负载进行传输，由于采用了这种不同的封装形式，所以 ESP 可以使用旧有的网络进行传输。 IPSec 进行加密是可以有两种工作模式：传输模式（ Transport Mode ）和隧道模式（ TunnelMode ）。当 ESP 工作在传输模式时，采用当前的 IP 头部。而在隧道模式时，侍整个 IP 数据包进行加密作为 ESP 的有效负载，并在 ESP 头部前增添以网关地址为源地址的新的 IP 头部，此时可以起到 NAT 的作用。2.2 AH （ Authentication Header ）AH 只涉及到认证，不涉及到加密。 AH 虽然在功能上和 ESP 有些重复，但 AH 除了对可以对 IP 的有效负载进行认证外，还可以对 IP 头部实施认证。主要是处理数据对，可以对 IP 头部进行认证，而 ESP 的认证功能主要是面对 IP 的有效负载。为了提供最基本的功能并保证互操作性， AH 必须包含对 HMAC-SHA 和 HMAC- MD5 （ HMAC 是一种 SHA 和 MD5 都支持的对称式认证系统）的支持。 AH 既可以单独使用，也可在隧道模式下，或和 ESP 联用。 2.3 IKE （ Internet Key Exchange ）IKE 协议主要是对密钥交换进行管理，它功能有： 对使用的协议、加密算法和密钥进行协商。 方便的密钥交换机制（这可能需要周期性的进行）。 跟踪对以上这些约定的实施。 第三章 VPN的特点分析3.1 安全保障 虽然实现VPN的技术和方式很多，但所有的VPN都应该保证通过公用网络平台传输数据的专用性和安全性。在公用IP网络上建立一个点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。3.2 服务质量保证（QoS） VPN网为企业数据提供不同等级的服务质量保证。也就是说，需要不同，提供的服务也不同。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 3.3可扩充性和灵活性 VPN必须能够支持通过Intranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等对服务质量要求很高的服务。3.4 可管理性 可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。第四章 VPN的的实现技术VPN实现的两个关键技术是隧道技术和加密技术，同时QoS技术对VPN的实现也至关重要。4.1 隧道技术隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装 GREL，L2TP和PPTP。（1） GRE GRE主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个新的报文头（GRE报文头）进行封装然后带着隧道终点地址放入隧道中。当报文到达隧道终点时，GRE报文头被剥掉，继续原始报文的目标地址进行寻址。 GRE隧道通常是点到点的，即隧道只有一个源地址和一个终地址。 GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看，VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。在GRE隧道技术中入口地址用的是普通主机网络的地址空间，而在隧道中流动的原始报文用的是VPN的地址空间，这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来，多个VPN可以重复利用同一个地址空间而没有冲突，这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求：可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族，减少实现VPN功能函数的数量。还有，对许多VPN所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。IP路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合，VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样，主机网络用符合网络要求的路由设计方案，而不必受VPN用户网络的路由协议限制。 虽然GRE隧道技术有很多优点，但用其技术作为VPN机制也有缺点，例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的每次隧道的终点改变，隧道要重新配置。隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路，会极大恶化路由的效率。除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文（进入隧道前的）进行的话，就会影响路由发送速率的能力及服务性能。GRE隧道技术是用在路由器中的，可以满足Extranet VPN以及Intranet VPN的需求。但是在远程访问VPN中，多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。（2） L2TP和PPTPL2TP是L2F（Layer 2 Forwarding）和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP，因此PPTP仍比较流行。隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”（Network Access Server）隧道。前者一般指“主动”隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下：用户通过Modem与NAS建立连接；用户通过NAS的L2TP接入服务器身份认证；在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；用户与L2TP接入服务器之间建立一条点到点协议（Point to Point Protocol，PPP）访问服务隧道；用户通过该隧道获得VPN服务。与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下：用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；用户通过路由信息定位PPTP接入服务器；用户形成一个PPTP虚拟接口；用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；用户通过该隧道获得VPN服务。在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。    采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。4.2 加密技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于敏感的商业信息。    加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；而“隧道模式”方案，VPN安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。 4.3 QoS技术通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是这样的VPN性能上并不稳定，管理上也不能完全满足利用业的要求，所以加入了QoS技术。实行QoS应该在主机网络中，即VPN所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。不同的应用对网络通信有不同的要求，这些要求可用如下参数总结：·带宽：网络提供给用户的传输率·反应时间：用户所能容忍的数据报传递延时；·抖动：延时的变化；·丢失率：数据包丢失的比率。 网络资源是有限的，有时用户要求的网络资源得不到满足、通过QoS机制对用户的网络资源分配进行控制以满足应用的需求。QoS机制具有通信处理机制以及供应和配置机制。通信处理机制包括802.1p、区分服务、综合服务等等。现在大多数局域网是基于IEEE802技术的，如以太网、令牌环、FDDI等，802.1p为这些局域网提供了一种支持QoS的机制。802.1p对链路层的802报文定义了一个可表达8种优先级的字段。802.1p优先级只在局域网中有效，一旦出了局域网，通过第三层设备时就被移走。DiffServ则是第三层的QoS机制，它在IP报文中定义了一个字段用作服务类型和优先级，路由器通过它对报文进行排队和调度。与802.1p、DiffServ不同的是，IntServ是一种服务框架，目前有两种：保证服务和控制负载服务。保证服务许诺在保证的延时下传输一定的通信量；控制负载服务则同意在网络轻负载的情况下传输一定的通信量。典型地，IntServ与资源预留协议（Resource reservation Protocol，RSVP）相关。IntServ服务定义了允许进入的控制算法，决定多少通信量被允许进入网络中。供应和配置机制包括RSVP、子网带宽管理（subnet bandwidth manager，SBM）、政策机制和协议以及管理工具和协议。这里供应机制指的是比较静态的、比较长期的管理任务，如：网络设备的选择、网络设备的更新、接口添加删除、拓扑结构的改变等等。而配置机制指的是比较动态、比较短期的管理任务，如：流量处理的参数。RSVP是第三层协议，它独立于各种的网络媒介。因此，RSVP往往被认为介于应用层（或操作系统）与特定网络媒介QoS机制之间的一个抽象层。RSVP有两个重要的消息：PATH消息，从发送者到接收者；RESV消息，从接收者到始发者。 RSVP消息包含如下信息：网络如何识别一个会话流（分类信息）；描述会话流的定量参数（如数据率）；要求网络为会话流提供的服务类型；政策信息（如用户标识）。RSVP的工作流程如下：会话发送者首先发送PATH消息，沿途的设备若支持RSVP则进行处理，否则继续发送；设备若能满足资源要求，并且符合本地管理政策的话，则进行资源分配，PATH消息继续发送，否则向发送者发送拒绝消息；会话接收者若对发送者要求的会话流认同，则发送RESV消息，否则发送拒绝消息。当发送者收到RESV消息时，表示可以进行会话，否则表示失败。SBM是对RSVP功能的加强，扩大了对共享网络的利用。在共享子网或LAN中包含大量交换机和网络集线器，因此标准的RSVP对资源不能充分利用。支持RSVP的主机和路由器同意或拒绝会话流，是基于它们个人有效的资源而不是基于全局有效的共享资源。结果，共享子网的RSVP请求导致局部资源的负载过重。SBM可以解决这个问题：协调智能设备。包括：具有SBM能力的主机、路由器以及交换机。这些设备自动运行一选举协议，选出最合适的设备作为DSBM（designated SBM）。当交换机参与选举时，它们会根据第二层的拓扑结构对子网进行分割。主机和路由器发现最近的DSBM并把RSVP消息发送给它。然后，DSBM查看所有消息来影响资源的分配并提供允许进入控制机制。网络管理员基于一定的政策进行QoS机制配置。政策组成部分包括：政策数据，如用户名；有权使用的网络资源；政策决定点（policy decsion point，PDP）；政策加强点（policy enforcement point，PEP）以及它们之间的协议。传统的由上而下（TopDown）的政策协议包括简单网络管理协议（Simple Network Management Protocol，SNMP）、命令行接口（Command Line Interface，CLI）、命令开放协议服务（Command Open Protocol Services，COPS）等。这些QoS机制相互作用使网络资源得到最大化利用，同时又向用户提供了一个性能良好的网络服务。第五章 本例中可能原因分析 在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。由于广域网采用公网传输数据，因而在广域网上进行传输时信息也可能会被不法分子截取。如分支机构从异地上发一个信息到总部时，这个信息包就有可能被人截取和利用。如果没有专门的软件对数据进行控制，所有的广域网通信都将不受限制地进行传输， 因此任何一个对通信进行监测的人都可以对通信数据进行截取。如果从一个联网的UNIX工作站上使用"跟踪路由"命令的话，就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统，所有这些都被认为是最容易受到黑客攻击的目标。一般地，一个监听攻击只需通过在传输数据的末尾获取IP包的信息即可以完成。 这种办法并不需要特别的物理访问。如果对网络用线具有直接的物理访问的话，还可以使用网络诊断软件来进行窃听。黑客为了侵入员工的家用计算机，需要探测IP地址。有统计表明，使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此，如果在家办公人员具有一条诸如DSL的不间断连接链路（通常这种连接具有一个固定的IP地址），会使黑客的入侵更为容易。因为，拨号连接在每次接入时都被分配不同的IP地址，虽然它也能被侵入，但相对要困难一些。一旦黑客侵入了家庭计算机，他便能够远程运行员工的VPN客户端软件。第六章 对网管的建议一直以来，安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司网络。 对于从外部拨号访问总部内部局域网的用户，由于使用公用电话网进行数据传输所带来的风险，必须严格控制其安全性。首先，应严格限制拨号上网用户所能访问的系统信息和资源，这一功能可通过在拨号访问服务器后设置的Gauntlet防火墙来实现。其次，应加强对拨号用户的身份验证功能，使用TACACS、RADIUS等专用身份验证协议和服务器。一方面,可以实现对拨号用户帐号的统一管理；另一方面，在身份验证过程中采用PGP加密手段，避免用户口令泄密的可能性.第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGP for Business Security， 对数据直接加密。另一种方法是采用Gauntlet防火墙所提供的VPN（虚拟专网）技术。VPN在提供网间数据加密的同时， 也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性.最后，必须有相应的解决方案堵住远程访问VPN的安全漏洞，使员工与网络的连接既能充分体现VPN的优点，又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法，它可以使非法侵入者不能进入公司网络。第七章 VPN典型应用分析VPN利用中，高度集成的、全面的信息传输安全解决方案天融信VPN解决方案天融信VPN解决方案向客户提供了一套纵向从总部到分支机构到移动办公用户、横向从用户本身到合作伙伴之间；对外广域网之间，对内局域网之间完整的信息传输安全解决方案。不仅仅可解决固定边界之间的信息传输安全，还能够解决固定边界和终端用户之间、终端用户与终端用户之间的信息安全传输。是真正能够同时实现外网和内网安全的端到端安全解决方案。天融信VPN解决方案应用模式1. 固定边界和固定边界之间，如网关网关；2. 固定边界和移动终端用户之间，如网关移动客户端；3. 终端用户和终端用户之间，内部客户端内部客户端；4. 内部客户端外部移动客户端。天融信VPN解决方案充分发挥了用户网络的资源优势，满足用户多方面的应用模式，全面实现了用户网络应用从内到外的安全。是目前业界唯一高度集成的，真正端到端的信息传输安全解决方案。天融信VPN解决方案典型应用 上图是一个典型的使用VPN的网络架构图，在中心网络中，部署SJW11网关VPN设备，保护中心网络与广域网伙伴之间安全信息传输。在中心内部局域网，部署VRC到桌面用户，实现中心局域网内网用户之间和内网桌面用户和广域网之间信息交换的安全；在中心局域网，同时部署SCM以建立一个管理中心,对全网的VPN节点进行管理和监控。 在分支机构和合作伙伴，同样使用SJW11网关VPN设备，实现与总部安全通信的同时，保证大数据量的通讯效率。而在移动客户端(客户端4)和网络内部的客户端（客户端13），使用VRC直接安装在客户端。 这样就构建了一套完整的信息传输安全保障体系，既实现了固定边界和固定边界（总部和分机机构、合作伙伴网络之间）之间，又实现了客户端与网关（如客户端14和总部网关），客户端和客户端（如，客户端12，23）之间的安全连接。同时还可以实现局域网内部的信息安全保护（如客户端1-客户端5）。天融信VPN解决方案特点 :一.高度集成模块化、易于扩展1. 可向网关、服务器和客户端实施安全保护;2. 可灵活的向多个点和分支机构网络和客户端扩展;3. 可灵活集成在TOPSEC解决方案中实现与防火墙、IDS等联动工作，使对网 二.高度安全可靠1. 提供从内部局域网到外部广域网全面的防护，满足多类型应用的安全需求;2. 和其他安全产品的有效集成，使网络更加安全可靠。 三.易于管理、管理安全1. 可同时管理很多网络，简化管理的复杂性;2. 管理界面清晰、简洁;3. 多种级别管理方式、管理信息的传输全部加密。 高度有效集成，不影响网络使用 降低成本，提高效益 第八章结 论通过Internet实现远程用户访问，虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。 与使用专线拨打长途或（1-800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。通过Internet实现网络互连可以采用以下两种方式使用VPN连接远程局域网络。1.使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。2.使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。连接企业内部网络计算机在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。使用VPN服务器，但是企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。致谢 感谢钱李老师利用休息时间指导，修改论文，并提供相关书籍参考。 感谢康博南京培训部提供HCSE关于VPN概述书籍参考。 感谢雅哈IT社区 提供论证实验基础。参考文献1 谢希仁编著， 计算机网络电子工业出版社，20022CISCO安全虚拟专用网络 人民邮电出版社，20023 戴宗坤等编著,VPN与网络安全电子工业出版社,20024实现CISCO VPN实践指南 云舟工作室,机械工业出版社,20015 朱艳琴等编著,计算机组网技术教程北京希望电子出版社,20026 陈文云等编著,网络通信软件设计原理及应用西安交通大学出版社,20007 李春江等译,组网用网:网络运营保障技术电子工业出版社,20018 谢希仁编著，计算机组网技术教程电子工业出版社，20029 张云飞等编著,网络与信息安全管理人民邮电出版社,200210云舟工作室, 虚拟专用网VPN基础教程机械工业出版社,200111虚拟专用网VPN参考手册 清华大学出版社,2002