VPN实现

2024-06-08

VPN实现（共10篇）

VPN实现篇1

摘要：虚拟专用网络 (VPN) 技术的出现, 可以帮助用户借助运营商网络连接企业总部和分支机构组建企业网, 以实现移动办公、文件共享、网络会议、视频监控等应用, 同时保障信息的安全, 本文对城域网中典型VPN技术进行分析, 提出各自特点与应用。

关键词：VPN,MPLS

一、VPN组网介绍

传统电路方式的专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求, 传输设备价格昂贵, 越来越高的带宽需求也将耗费大量电路资源。替代方案是在现有IP城域网上模拟传统专网, 把现有的IP网络分解成逻辑上隔离的网络, VPN用户之间的通信通过公共网络进行, 而这个公共网络同时也可以被其他非VPN用户使用, VPN用户获得的是逻辑意义上的专网。

从运营商角度看, VPN组网具有如下优势:

1) 低成本:提高网络资源利用率, 降低专网建设成本, 有助于增加收益;

2可运营:通过数据配置就可以增加、删除VPN专线, 无需改动硬件设施, 在应用上具有很大灵活性;

3) 多业务:客户在提供VPN互连的基础上, 可以承载各种业务进行经营。

从客户角度看, VPN和传统的数据专网相比具有如下优势:

1) 高效:在分支机构、合作伙伴、供应商与总部中心之间建立可靠的连接, 保证数据传输的安全性;

2) 降低成本:利用公共网络进行信息通讯, 企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴;

3) 服务质量保证:构建具有服务质量保证的VPN (如MPLS VPN) , 可为VPN用户提供不同等级的服务质量保证。

二、MPLS二层VPN

MPLS二层VPN方式使用内层标签来标识不同的虚电路, 对用户数据进行区分, 使用外层标签来建立公共隧道。城域网P设备不需要维护任何二层信息, 只根据MPLS标签信息在公网隧道上进行MPLS转发。由于PE设备与P设备之间通常都有冗余链路, 所以数据在城域网中的转发路径是有保护的。

1. MPLS二层VPN (VLL)

VLL使用IP网络模拟传统租用物理线路业务, 实现点到点VPN组网, 从虚拟租用线两端的用户来看, 该虚拟租用线近似于传统的物理线路, 逻辑上完全隔离, 带宽可灵活控制 (10M-100M) , 业务有保护。用户侧通常提供以太网接口的终端或设备。VLL方式对CE设备的数据包透明转发, 完全模拟成物理线路, 所以PE设备只需要保存虚电路标签和LSP的映射等少量信息, 扩展性较好, 可以直接透传用户单层VLAN或双层VLAN数据。理论上VLL方式两端的二层协议封装格式可以不同, 配置时需开启L2VPN异种介质互通特性, 但这种业务需求较少, 而且现在以太网封装方式已经非常普遍, 所以一般只用VLL为客户提供以太网专线服务。PE设备到CE设备通常采用一对一互联方式, 存在单链路故障隐患, 如果专线保障级别较高, 可以采用物理双路由和链路捆绑的方式解决。

2. MPLS二层VPN (VPLS)

VPLS是一种基于MPLS和以太网技术的二层VPN技术, VPLS可以实现多点到多点或fullmesh的VPN组网, 同时不用像L3VPN那样需要管理用户内部的路由信息。通过MPLS网络提供透明传输的LAN服务, 逻辑上完全隔离, 带宽可灵活控制 (10M-100M) , 业务有保护。用户侧需提供以太网接口的终端或设备。在VPLS中, 分组交换网络模拟传统交换机设备, 由PE进行MAC地址学习。为了能够转发报文, PE必须能够将目的MAC地址与虚链路 (PW) 进行关联。PE通过虚链路学到远端MAC地址, 通过PE到CE的接入链路 (AC) 学到直接接入的MAC地址。AC上的报文封装方式由用户接入方式决定, 可以分为两种:VLAN接入和Ethernet接入, 区别是CE发送到PE或PE发送到CE的以太网帧头中是否带P-TAG (运营商VLAN TAG) 。由于VPLS是模拟交换机, 如果数据包既带P-TAG又带U-TAG (用户VLAN TAG) , PE必须处理U-TAG的封装, 配置较复杂, 所以一般只用VPLS承载单层VLAN业务。VPLS可以组成点到点、点到多点、多点到多点的网络结构, 其中full-mesh的结构需要注意是否会形成二层环路。PE设备到CE设备通常采用一对一互联方式, 存在单链路故障隐患, 如果专线保障级别较高, 可以采用物理双路由和链路捆绑的方式解决。

MPLS二层VPN是利用城域网模拟二层线路或交换机, 由于二层故障较难判断, 需在制定组网方案时就采用合理的网络结构, 避免发生二层环路情况, 并对接入交换机的广播包数量和MAC数量做一定限制。

三、MPLS三层VPN (VPRN)

MPLS三层VPN使用MP-BGP在城域网中发布企业VPN路由, 使用MPLS在运营商骨干网上转发企业VPN数据, 对于企业CE设备来说, 感知不到VPN网络的存在, 只需要支持常规的IP路由功能。专线逻辑上完全隔离, 带宽可灵活控制 (10M-100M) , 业务有保护。用户侧需提供以太网接口的普通企业级路由器。MPLS VPN利用VRF为PE上的每个VPN实例建立独立的路由转发表, 利用RD扩展IPv4地址, 解决不同VPN之间私网地址重叠的问题, 利用MP-BGP协议在PE之间传递路由, 利用MPLS标签协议在公网上转发VPN数据, 利用RT控制VPN路由的接收和发布。通过以上机制保证了VPN数据在城域网中传递时的独立性和安全性。通过合理规划RT属性, 我们可以控制总部与分支机构之间的通信关系, 组成Intranet、extranet、hub and spoke模式的结构。城域网中所有PE与省公司的两台VPN RR建立IBGP邻居关系, 通过RR传递VPN路由。分支点CE到PE采用单链路直连方式, 推荐采用静态路由协议。中心节点CE采用双上行方式归属两台PE, 采用动态路由协议进行业务保护, 推荐使用EBGP协议 (需CE设备支持) 。如果在hub and spoke组网中有2台以上CE与PE运行EBGP协议, 需注意开启BGP AS号替换功能, 即PE向指定CE发布路由时, 如果该路由的AS＿Path中有与对端CE相同的AS号, 将被替换成PE的AS号后再发布, 此方法避免CE检测到AS环路后不接收路由。PE到CE如果采用动态路由协议, 需配置协议加密, 并限制VRF的路由条目数。

VLL适合较大的企业通过WAN互连, 而VPLS适合小企业通过城域网互连。VPLS中存在广播风暴和二层环路的问题, 同时, PE设备要对私网设备的MAC (Medium Access Control) 地址学习, 协议、存储开销较大。由于二层VPN只使用运营商网络模拟二层链路, 从而为支持三层多协议创造条件, 三层VPN也能支持多协议, 但不如L2VPN灵活, 有一定限制。

参考文献

[1]张小辰;韩毅;孟忻.电信工程技术与标准化, 城域网MPLS VPN技术需求与引入策略研究, 2010.12.15

VPN实现篇2

（一）vpn access server的配置实验网络拓扑：

pc（vpn client 4.01）－－－switch－－－router1720（vpn access server）pc配置: ip：10.130.23.242/28
gw：10.130.23.246 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤：

1、配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-share group 2

2、配置vpn client地址池

cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254

3、配置vpn client有关参数

cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。

pool pool192 ####client的ip地址从这里选取

####以上两个参数必须配置，其他参数还包括domain、dns、wins等，根据情况进行配置。

4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac

5、配置map模板

cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应

6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板

cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf address respond ####响应client分配地址的请求

7、配置静态路由

ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点：（1）因为1720只有一个fastethernet口，所以用router1720上的lo0地址来模拟router内部网络。

（2）vpn client使用的ip pool地址不能与router内部网络ip地址重叠。（3）10.130.23.0网段模拟公网地址，172.16.1.0网段用于1720内部地址，192.168.1.0网段用于vpn通道。（4）没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。（5）关于split tunnel。配置方法：首先，设置access 133 permit ip 172.16.1.0 0.0.0.255 any，允许1720本地网络数据通过tunnel，然后在第三步骤中添加一个参数：acl 133。1720的完整配置：

VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192！crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs！crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map！！interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable！！line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置：

新建一个connection entry，参数中name任意起一个，host填入vpn access server的f0地址

10.130.23.246，group auahentication中name填vclient-group，password填vclient-key.测试：

（1）在pc上运行VPN client，连接vpn access server。（2）ipconfig/all，查看获取到的ip地址与其他参数。（3）在router，show cry isa sa,看连接是否成功。

（4）从router，ping client已经获取到的ip地址，通过。

（5）从client，ping router的lo0配置的地址172.16.1.1，通过。

（6）查看vpn client软件的status--statistics,可以看到加密与解密的数据量。

（7）1720上show cry ip sa, 也可以查看加密与解密的数据量。

常用调试命令： show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令，vpn连接的基本错误都可以用它来找到

debug cry ipsec

（二）easy vpn client的配置（network-extension mode）

实验网络拓扑：

router3662（vpn client）－－－switch－－－router1720（vpn access server）pc(vpn client 4.01)－－－－－－| 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 pc配置: ip：10.130.23.242/28 gw：10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤：

1、配置1720路由器，参照实验一，设置为vpn server。

2、配置3662路由器，设置vpn client参数

cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式

group vclient-group key vclient-key ####设置登录vpn server的组名与组口令

peer 10.130.23.246 ####设置vpn server的ip地址，如果启用dns，则可以用hostname connect auto ####设置为自动连接。如果设为手动，则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。

local-address F0/0 ####设置vpn通道本地地址，选用f0/0，可以保证vpn server找到它

3、定义加密数据入口，这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside

4、定义加密数据出口，这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside

5、在1720上设置静态路由，地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0

6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。

service dhcp ####启动dhcp 服务

ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段

default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间

import all ####如果配置了上级dhcp，server，则接受其所有参数 ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据没有进行加密。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。查看show cry ip sa，可以发现数据不通过加密。（6）启动pc vpn client，ping 172.16.1.1，通过。在1720上查看show cry ip sa，可以看到数据通过加密进行传输。

（7）在pc vpn client，ping 172.16.2.1，通过。在1720和3662上查看show cry ip sa，可以看到数据通过加密进行传输。在1720上show cry isa sa，可以看到两个vpn连接。

（8）在3660上扩展ping，source 172.16.2.1 destination 192.168.1.10（pc vpn client获得的ip），通过。查看show cry ip sa，可以发现数据通过加密进行传输。

说明：

（1）不同平台，不同ios版本，easy vpn client的配置有所不同。特别是加密数据入出接口的配置，配置接口前后，用show cry ip client ezvpn来查看与验证。

（2）network-extension模式，vpn client端本地ip不通过nat/pat进行数据传输。

（3）以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验

（一），设置acl 133和cry isa client conf group中的参数，完成后，可以实现测试（1）－（5）。要实现Pc vpn client和3662 vpn client 互通，即测试（6）－（8），还要在1720 的acl 133中添加两条，分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。

（4）修改1720配置后，需要复位vpn通道，才可以起作用。在pc端，是通过disconnect再connect来实现；在3662上，通过clear cry ip client ezvpn来复位。

常用调试命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa

（三）easy vpn client的配置（client mode）

实验网络拓扑同实验

（二）实验步骤参考实验

（二），其中第二步，将mode network-extension改为mode client。

测试：

（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。

（2）在1720上扩展ping，source 10.130.23.246 destination 172.16.2.1，不通。

（3）在1720上扩展ping，source 172.16.1.1 destination 172.16.2.1，不通。这是因为3662端ip数据流是通过nat进行传输。

（4）在3660上扩展ping，source 172.16.2.1 destination 172.16.1.1，通过。查看show cry ip sa，可以发现数据通过加密进行传输。在1720上打开deb ip icmp，可以看到echo reply信息的dst地址为192.168.1.19（vpn client 从vpn server获取的ip地址）。

（5）在3660上扩展ping，source 10.130.23.244 destination 172.16.1.1，不通。

说明：

（1）client 模式，vpn client端内部网络采用nat方式与vpn server进行通信，vpn client端网络可以访问server端网络资源，server端网络不能访问client端内部网络资源。

（2）client与network-extension两种模式，show cry ip sa，可以看到local ident是不同的。

（3）client模式下，用show ip nat statistics，可以看到nat的配置与数据流量。

（4）关于split tunnel，client模式的easy vpn client，与pc的vpn client类似，配置split tunnel的方法也相同。常用调试命令：

show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics

（四）site to site vpn的配置（采用pre-share）

实验网络拓扑： router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤：

以1720为例进行配置

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。（4）定义pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 为key，两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。（5）定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name，后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值，此配置可选（6）定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应

####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer（7）将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同样方法配置3662路由器。1720的完整配置： VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144！！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 测试：

（1）未将map应用到接口之前，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。

（2）map应用到接口之后，在1720，扩展ping，source 10.130.23.246 destination 172.16.2.1，通过。

查看show cry ip sa，可以看到数据没有通过vpn 通道进行传输，因为不符合acl 144。（3）map应用到接口之后，在1720，扩展ping，source 172.16.1.1 destination 172.16.2.1，通过。查看show cry ip sa，可以看到数据通过vpn 通道进行传输。

（4）在3662上同样进行测试。

说明：

（1）采用pre-share方式加密数据，配置简单，数据传输效率较高，但是安全性不高。

（2）加密数据前后，通过ping大包的方式测试，可以发现这种利用软件进行数据加密的方式，延时较大。如果需要开展voip、ip 视讯会议等业务，建议选配vpn模块进行硬件加密。

常用调试命令： show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip

（五）site to site vpn的配置（采用rsa-encrypted）

实验网络拓扑：

router3662－－－switch－－－router1720 3662接口ip: f0/0：10.130.23.244/28 f0/1：172.16.2.1/24 1720接口ip：

f0：10.130.23.246/28 lo0：172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤：

以1720为例进行配置

（1）配置静态路由 ####在配置vpn之前，需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244（2）定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255（3）生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里统一用general purpose key（4）复制peer router的public key到本地router中（A）在3662上生成general purpose key（B）在3662上show cry key mypubkey rsa，复制其中的General Purpose Key（C）在1720上，cry key pubkey-chain rsa ####设置public key addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串

粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key，则这里复制粘贴的，应该是Encryption Key（三个key中的第二个）（5）定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证

####authentication参数必须配置，其他参数如group、hash、encr、lifetime等，如果进行配置，需要注意两个路由器上的对应参数配置必须相同。（6）定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name，后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值，此配置可选（7）定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name，10 是entry 号码，ipsec-isakmp表示采用isakmp进行密钥管理

match address 144 ####定义进行加密传输的数据，与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应

####如果一个接口上要对应多个vpn peer，可以定义多个entry，每个entry对应一个peer；同样，pubkey 也要对应进行设置。

（7）将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map（8）同样方法配置3662路由器。

1720完整配置：

VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero！ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2！crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144！！interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable！access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255！line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end

说明：

（1）采用rsa encrypted方式加密传输数据，默认key长度为512字节，最高可设为2048字节。安全性能较高。

VPN实现篇3

2、SSL VPN技术的实现

如果企业将SSL VPN技术应用于移动办公中，对于那些出差在外需要进行远程办公的人员，只需要使用Web浏览器就能实现移动办公，访问企业的内部网络。SSL VPN将公司内部网络的网关设置在远程用户和企业服务器之间的网络边缘上，可以对企业和用户之间的数据连接和数据通信进行主导型的控制。

3、SSL VPN技术的优势

（1）安全性

SSL VPN技术可以有效地避免数据信息泄漏，拒绝非企业用户的非法访问，保护信息不被窃取，维持系统的可用性，在用户访问和数据保密方面具有较高的安全性。

（2）应用性

（下转99页）

SSL VPN不同于IPSec VPN，使用SSL VPN的网络不需要下载安装指定的客户端软件，只需要通过标准浏览器接入Internet就能访问企业内部网络。在对网络进行日常维护和管理时，SSL VPN良好的可操作性为维护管理工作提供了便利，SSL VPN可以对网络应用实现高度的、精细的控制，根据不同用户和用户组各自的特点设置适用于他们的访问权限，还可以实现对所有访问操作的审查统计，此外，便于操作的SSL VPN对于增强网络平台的易操作性和灵活性，为平台的应用更新和性能提升起到了关键作用。

四、 IPSec VPN和SSL VPN的应用选择

高校VPN的分析和实现篇4

VPN,Virtual Private Net虚拟专用网络是利用公共网络基础设施,通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络安全地对单位内部专用网络进行远程访问的连接方式,达到与专用网络类似的安全性能。也就是说VPN可以通过公众IP网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,让他们感觉象在内网一样,同时又具有一定的安全保护。

2 VPN的架构分类

2.1 VPN按接入方式划分有两类

1)专线VPN:专线VPN是为已经通过专线接入ISP(因特网服务提供商)边缘路由器的用户提供的VPN实现方案,适用于网络到网络的访问,例如:主校区和分校区之间的互连。

2)拨号VPN:拨号VPN是指用户通过ADSL方式接上INTERNET,然后再连接上校园网的VPN服务器,得到认证授权后获得访问校园网的资源。

2.2 VPN按协议划分主要有两大主流

1)IPsec VPN协议,是基于网络层通信,远程计算机必须安装客户端软件来建立安全隧道,而且IPSec隧道建立后,使远程客户端拥有内部网用户一样的权限和操作功能,会给内部网络带来安全风险,如果远程客户端的机器中有蠕虫病毒就很容易感染给内部网络。

IPsec特点:许多VPN产品有着成熟的IPSec技术,IPSec定义了两个新的数据包头增加到IP包,这两个数据包头为:A H(A uthertication H eader)和ESP(Encapsulating Security Payload)规定。A H将插到标准IP包头后面,采用了安全哈希算法来对数据包进行保护,防止黑客截断数据包或向网络中插入伪造的数据包,ESP将需要保护的用户数据进行加密后再封装到IP包中。

2)SSL VPN,是基于应用层通信,所有的远程访问都是通过SSL VPN控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部员工,合作伙伴或客户。所有访问被限制在应用层,而且可以将权限细分到一个URL或一个文件。SSL协议由SSL记录协议、握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。各协议的作用是:SSL握手协议主要用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code)算法,用于生成在SSL记录中发送的加密密钥;SSL记录协议为各种高层协议提供基本的安全服务;SSL密钥更改协议由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组;SSL警告协议主要用于为对等实体传递与SSL相关的告警信息,如图1所示。

3 VPN方案最优法分析

3.1 VPN方案要能制止用户的非正常访问

校园网既要面向广大用户提供高效率的访问机制,鼓励用户充分利用宝贵的信息资源,又要防止个别用户的不规范网络行为,如有网络病毒、网络攻击,恶意下载行为等。对于前两个危害,SSL VPN的应用层访问控制可以避免远程访问用户与网关所在局域网的直接连接,从而避免他们的肆意泛滥。

3.2 VPN方案应具有访问审记功能

可以追踪事件的源头。当有外网VPN用户进入内网时,VPN服务器应有一个访问记录,让管理员对VPN的访问者和访问时间和访问者人数做一个统计和分析。

3.3 软件型的VPN方案

用windows 2003服务器和ISA 2004来构建VPN服务器,服务器配备双网卡,一个接内网,另一接外网,作为一个VPN代理的入口,服务器认证VPN用户的合法性,通过后自动分配VPN用户一个内网的IP地址,VPN用户就可以象内网的用户一样访问,用这种方式来构建VPN方案,它的优点是:简单,成本低,用现成的设备就可以,校方只需要一个公网的固定IP,缺点是:相对硬件来说,软件VPN不稳定,维护量大,速度慢。

3.4 IPSecVPN与老一代SSLVPN的比较

IPSecVPN与老一代SSLVPN的比较如表2所示。

随着技术的进步和客户需求的进一步成熟的推动,当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在:

1)对应用的支持更广泛:最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL隧道中,从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求,从而自动安装不同的插件。

2)对网络的支持更加广泛:早期的SSL VPN还无法支持服务器和客户端间的双向访问以及UDP应用;更不支持给移动接入用户分配虚拟IP,从而实现按IP区分的安全审计功能。但现在多数优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP,并通过SSL隧道建立第三层隧道,实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。

3)对终端的安全性要求更严格:原来的SSL VPN设计初衷是只要有浏览器就能接入,但随着间谍软件和钓鱼软件的威胁加大,在不安全的终端上接入内部网络,将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能:通过插件对终端操作系统版本,终端安全软件的部署情况进行检查,来判断其接入的权限。

4)针对用户授权:SSL VPN设备支持基于角色的权限管理,对用户分组,对被访问资源根据资源IP地址,端口,服务甚至URL地址和时间进行分组,用户(组)和资源(组)之间可以进行灵活的关联绑定同时该SSLVPN也支持传统的IP-MAC地址绑定。

4 VPN的实施

经过上述分析,我们认为最佳的VPN实施方案是SSL VPN架构,一般的方式是内部的资源服务器向外网用户提供一个虚拟的URL地址,当用户从外网访问内网资源时,发起的连接被SSL VPN网关取得,通过认证后就取得内网IP地址。

具体实施方案是:如下图3,利用Cisco ASA 5510建立Web VPN服务器,由一台Radius Server服务器验证用户身份,校外用户只需要通过当地的ISP接入Internet再连接到Web VPN服务器并进行身份验证,验证合法后就可以访问校园网的资源。Cisco ASA5510部署后的网络拓扑结构如图3所示。

利用Cisco ASA5510提供的SSL VPN功能建立一个基于Web的VPN服务器。

按实际网络拓扑结构布署VPN设备,然后对VPN设备进行配置。

1)接口连接。将CISCO ASA5510的外部接口(WAN接口)连接到宽带,内部接口(LAN接口)连接到本地局域网。

2)配置接口。分别配置外部接口和内部接口的网络连接属性。设置网络互联的配置参数。通常包括VPN协议、拨入选项、拨出选项、用户账号、加密选项、路由配置等。

3)建立VPN隧道。激活VPN连接,建立VPN隧道。可以由数据请求方(如网络客户访问网络服务器CISCO ASA5510)自动建立隧道,一旦隧道建立,网络的互联就完成了。

5 结束语

VPN不仅适用于校园网,还适用于各行各业,既使你身处何方,只要利用这种技术,都可以像在办公室一样,查看内网的各种资源,运行内网的各种应用管理系统。实施方案不一定一成不变,要看企业的具体实际情况,如果VPN用户不多,要求不高,可以考虑软件型的VPN方案;否则,购买VPN硬件设备,实施SSL VPN方案。无论实施哪一种方案也好,我们建议VPN服务器分配给VPN用户的IP网段是一个专属网段,然后再通过三层交换机允许路由访问内网的数字资源,这样就可以区别开VPN用户,方便服务器的追踪审记和安保工作。

摘要：该文讲述VPN的概念,原理,分类,VPN的方案比较,从校园网角度阐述信息安全和VPN应用方案的最佳选择,以期建设一个稳定的校园网和适用于校外用户远程访问的网络环境。

关键词：SSL VPN,远程访问,校园网

参考文献

[1]候轶男.SSL VPN业务运营解决方案[J].现代电信科技,2006(7).

[2]吴腾.企业广域网远程VPN连接方案[J].计算机与信息技术,2008(5).

VPN管理制度篇5

（一）湖南华润电力鲤鱼江有限公司VPN系统主要为湖南华润电力鲤鱼江有限公司正式员工提供公司内网专线接入服务。

（二）湖南华润电力鲤鱼江有限公司VPN系统由VPN接入系统和防火墙系统构成。VPN接入系统提供公司内网的接入服务。

（三）湖南华润电力鲤鱼江有限公司VPN系统用户不得利用此系统从事危害国家安全、泄露国家秘密等犯罪活动，不得查阅、复制和传播有碍社会治安和有伤风化的信息。

第二条 VPN系统管理

（一）湖南华润电力鲤鱼江有限公司VPN系统是由湖南华润电力鲤鱼江有限公司信息中心进行管理和维护。

（二）湖南华润电力鲤鱼江有限公司VPN系统地址：https://61.187.187.246 /。

第三条 VPN账户申请

对于正式员工，申请VPN账户需要以下步骤：

（一）填写《VPN账户申请表》，经由部门主管同意后，提交信息中心办理。

（二）送交申请表起一个工作日内，由信信息中心工作人员通知VPN账户申请者最终审定的VPN账户名称和初始密码，之后用户即可正常使用。

（四）VPN新用户须登录修改个人登录密码。

第四条 VPN账户注销

具有VPN帐户的员工在调离湖南华润电力鲤鱼江有限公司前，需通知信信息中心，VPN帐户保留一个月后由信息中心注销。

本管理规章制度自发布之日起执行，解释权归湖南华润电力鲤鱼江有限公司信息中心所有。

湖南华润电力鲤鱼江有限公司信息中心

利用VPN技术实现远程联网收费篇6

现在企业都不会仅有一个办公场所,而是具有总部、分公司、营业点等多个业务点,如果将位于不同区域的分支机构网络互联互通,肯定会大大提高信息管理的效率和水平。而传统收费系统已逐渐不能适应当前城市建设发展的需求,系统网络应用覆盖范围由小型局域网扩展到广域网,收费网点不断增多,那么如何才能实现多个收费网点进行远程联网收费?笔者利用基于集成的VPN防火墙平台技术为企业收费系统实现远程联网收费。该公司的收费系统是建立在Windows Server 2000网络操作平台上,主要采用C/S结构编程,数据管理采用大型数据库管理系统SQL SERVER 2000。收费软件由该司自行设计编写,收费联网系统主要用于日常收费管理、数据分析、统计报表等,但仍未能进行跨区域联网收费。

1 实现远程联网收费系统的组网方式

(1)基于普通路由器。基于普通路由器传输系统架构,只是通过租用光纤、DDN等方式接入专线内部网络直接将总部与各营业网点联成一个局域网,以实现各营业网点对前端的远程访问。此架构组网方式简单,内部网络安全性高,但组建网络的费用比较高,如果收费营业网点比较多的情况下,每年的租用费用花费比较大,这对一般小型企业或单位来说负担过大。

(2)基于VPN路由器。基于VPN路由器传输系统架构,使用VPN路由器进行ADSL拨号连接Internet,然后客户端利用VPN服务连接服务端,从而建立VPN隧道连接,组成虚拟局域网,实现各营业网点对总部的远程访问。

(3)基于VPN服务器。基于VPN服务器传输系统架构,使用VPN服务器进行ADSL拨号连接Internet,然后利用DDNS服务来将获得的IP地址告诉客户端,从而建立VPN隧道连接,组成虚拟局域网,实现各营业网点对总部的远程访问。

2 VPN 技术的应用特点

随着互联网络的迅猛发展,Internet已经遍布世界各地,从物理上讲Internet把世界各地的资源相互连通。正因为internet是对全世界开放的,如果企业的信息要通过Internet进行传输,在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网,往往需要租用昂贵的跨地区数据专线。如何能够利用现有的Internet来建立企业的安全的专有网络呢?虚拟专用网(VPN:Virtual Private Network)技术就成为一个很好的解决方案。虚拟专用网(VPN)是指利用公共网络来建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的Internet,各地的机构就可以互相传递信息。VPN的安全性可通过隧道技术、加密和认证技术得到解决。使用VPN技术具有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点,将会成为今后企业网络发展的趋势。

2.1 VPN 路由器特点

基于ADSL联网和VPN路由器的组合方式,该种方式投资相对较小,在现有带宽功能下,安全性高,且能实现远程联网的基本功能和效果。具体实现过程为:在带有VPN功能路由器中设置好有关VPN参数,在远程联网中使用ADSL来进行拨号网络连接,客户端通过DDNS获得公网上域名与IP地址的对应,进而使用VPN建立虚拟专用网实现网络互联。

2.2 VPN 服务器特点

基于VPN服务器的组合方式,安全性高,能实现远程联网的基本功能和效果,具体实现过程为:在远程联网中通过ADSL接入Internet的服务器和客户端,VPN服务器需要两块网卡,一个连入内网一个连入外网,服务器设置好“路由和远程访问”,连接方式为客户端通过Internet与服务器建立VPN连接。

3 VPN 联网收费系统的安装及配置

3.1 VPN 设备选型

为了满足该公司收费系统远程联网收费的工作实际要求,我们最终选型的深信服M5100 VPN网关实现VPN网络联网收费,既可以满足收费系统远程联网收费的需求,也可以移动办公的需要。VPN移动客户端运行在移动用户的计算机上(如出差人员的便携机、在家办公的计算机等),仅提供VPN连接功能。支持任何一种Internet接入方式,支持动态IP、宽带内部IP地址,安装VPN移动客户端的操作系统可以Windows操作系统中的任意一种。

3.2 硬件设备安装

中心机房Internet接入口处安装一台“Sinfor M5100”网关作为中心VPN网关,为其分配静态的合法IP地址,并与Internet接入口处原有的防火端采用并联的方式接入,中心VPN网关自动向安全管理中心(SMC)进行身份认证并下载策略,与其他收费营业网点在线的VPN设备(硬件或软件)建立隧道。VPN网关兼有功能完善的防火墙,支持状态检测包过滤工作方式,支持路由模式和桥模式的数据转发,可防IP地址欺骗、端口扫描,抗DOS/DDOS攻击、IP碎片攻击、SYN攻击、DNS/RIP/ICMP攻击,以及系统设置备份和快速恢复等功能。

3.3 软件安装

(1)公司中心机房内的一台数据库服务器上,安装"VPN控制台”软件,负责整个VPN环境中VPN设备的证书签发和管理,使得所有VPN设备能够以电子证书方式进行身份认证和隧道的建立,并对使用的VPN设备进行管理,同时负责公司收费营业网点全网VPN设备的策略分发,从而简化所有收费营业网点和移动用户VPN设备的策略配置和管理工作。

(2)公司所属三个收费营业网点都采用ADSL的Internet接入方式,并在Internet接口处安装“Sinfor M5100”作为分支收费营业网点网关实现各自的上网互联。VPN分支网关自动向安全管理中心(SMC)进行身份认证,认证通过后下载本机的VPN策略,大大简化了分支机构的VPN设备的配置和管理工作。

(3)在移动用户的机器上,安装“深信服VPN移动模式程序",实现通过Internet的网络VPN互联,接入方式支持ADSL、GPRS、CDMA等流行的网络协议。移动模式程序带有功能完善的状态包过滤防火墙,能有效地保护移动用户的安全,使用USB KEY加密证书及用户名口令进行身份认证。

使用Sinfor M5100 VPN设备实现收费系统远程联网收费的网络拓扑结构图如图1所示:

由上图可以看到,用户电脑直接连接VPN路由,再通过连接ADSL MODEM,通过拨号连接到INTERNET上,公司通过防火墙连接到互联网上,然后内部再接入SERVER端VPN路由,通过交换机可以访问内部服务器,达到了我们采用基于VPN路由器实现联网收费的目的。

4 VPN 服务测试

4.1 VPN 服务测试方法

当完成上述安装及配置,Sinfor DLAN系统状态显示正常时,VPN通道就已经建立(可以在DLAN的控制台上查看接入的VPN隧道状态)。这时便可以使用Sinfor DLAN实现远程网络之间的互联互通和数据的安全传输。

测试过程如下,在正常运行PDLAN的计算机上,进入DOS界面,直接ping总部局域网内部计算机的IP地址(如202.202.100.1)。如果ping通,则表示VPN网络已连通。或者在正常运行SDLAN的网络内,任意一台网关指向SDLAN的计算机中进入DOS界面,直接ping总部局域网内部计算机的IP地址如(202.202.100.1)。如果ping通,则表示VPN网络已经连通。在ping通后,表明此计算机可以联入总部局域网,则可以正常使用公司总部局域网内的网络化应用程序,如数据库、Web站点等网络资源。

若出现不能联通服务器的故障时可通过DLAN控制台查看日志服务器、查看故障原因及现象。

4.2 VPN 服务测试效果

利用VPN技术实现远程联网收费运行效果如何,需要数据来说明。为此进行了网络速度的测试。采用是最基本的下载速度测试:首先在公司中心机房内部架设了FTP服务器,再分别通过4个收费营业网点下载其FTP服务器共享文件夹中大小为200MB的软件包,来测试联网下载速度,最后通过发PING数据包,根据丢包率判断网络线路状况。

具体情况如下表所示:

通过以上表格可以看出,各客户端基本上类似局域网内部工作站的连接速度。可以达到应用的要求。从访问速度和其他指标上工作人员可以接受。通过设立移动收费,有力的提高了收费回收率,更好地开展优质服务,达到了我们项目实施的预期目的。

5 结束语

利用VPN技术实现远程联网收费后,不仅提高了联网收费数据传输速度,更好地解决了跨区域收费难问题,同时实现了跨区域的网络资源共享,具有良好的安全性和稳定性,使企业实现管理目标和拓展业务经营范围,从而提高企业经济效益和社会效益。

摘要：随着计算机网络通信技术的广泛普及,企业逐步依靠计算机网络、应用系统来开展业务,同时利用Internet来开展更多的商务活动。笔者利用基于集成的VPN防火墙平台技术为企业收费系统实现远程联网收费,本文对其网络的VPN服务安装、配置和测试等方面进行分析和介绍。

解析利用VPN实现远程接入访问篇7

随着企业、事业发展多元化的局面格局, 为提高自己的服务能力, 从多方面保持系统的通畅, 利用信息技术来构建各种信息平台 (如ERG系统等) , 企业、事业总部, 服务宗旨网点, 供应商, 物流和信息系统运行的其他方面。通过建立在本地共享对象的虚拟远程网络连接, 远程资源。

1 VPN的实现

VPN虚拟专用网是英文的缩写, 可以翻译为虚拟专用网络。它可以在企业网络, 远程访问, 企业、事业VPN等内使用。此外, 许多企业事业涉及到的重要信息的安全性和数据完整性要求传输比较高的场合, 大多选择VPN技术。

1.1 VPN技术

VPN虚拟专用网, 是通过安全、稳定的公用网络。VPN彻底改变通过长途电话远程访问传统的通信手段, 使用VPN通道技术, 采用协议如PPTP和L2TP数据包封装和加密, 以实现低成本的Internet公网, 高安全数据传输。网络数据包和加密传输, 在公共网络 (通常是因特网) 可以建立一个链接, 这个链接的主要的功能就是要有安全性和临时性, 这样可以实现公司之间的数据传输, 可以提高安全等级。所以, VPN是一种企业、事业内部网的扩展, 可以远程的帮助用户和公司等分支机构, 建立安全的链接, 加强数据的安全性。VPN可以用于为移动用户日益增长的全球互联网接入, 以实现安全连接;可用于实现具有成本效益的链接到虚拟专用网络的安全外联网的业务合作伙伴和用户的企业站点之间的虚拟专用线路的安全通信。

1.2 配置VPN服务器

创建私有网络的公共网络, 通过实现安全, 高效, 低成本, 多用途运输网络。通过以上的逻辑网络提供的公共互联网网络服务, 提供传输安全加密的通道, 让用户可以放心的传输文件, 通过其网络架构VPN技术, 实现这一要求。

1.2.1 设置IP地址

对于VPN服务器可以安装两块网卡, 一个接收到的网络, 另一个接入到另一端, 连接到公司的网络。连接到的网络接口以及IP地址, 还有关于VPN其他的一些设置, 对于局域网和掩码还有默认网络关口的设置。局域网 (LAN) 在制定一个网段, 并且将默认的网络关口被分配到无线网络服务器的端口, 确定一个固定的子网掩码, 不用默认网络关口。用户就可以选择LAN网段的服务器地址中的一个, 其他不变, 确定默认网络关口, 同时作为路由器的服务器。

1.2.2 设置虚拟专用网络服务器

“路由和远程访问服务”程序的安装, 手动配置其过程。

(1) 点击“开始”, 然后点击“程序”, 在进行点击“管理工具”, 接着是“路由和远程访问”, 打开控制台“禁用路由和远程访问”, 最后选择“配置打开路由和远程访问”。

(2) 衔接上一步, 然后完成操作。

注意:不用选中RADIUS这个服务器。

1.2.3 在VPN服务器的外网卡上添加相关协议

当安装成功, 尝试远程访问VPN服务器, 无法访问。对原有的过滤器Internet接口的设置只允许通过接口PPTP和L2TP数据包。访问内部计算机, 只有外部NIC增加相关协议。打开“路由和远程访问服务”-“IP路由”-“常规”-选择在右侧窗口中, 打开外部网络适配器-“属性”-“启用IP路由器管理器”-分别设置-“输入过滤器”和“输出滤波器”。

2 拨号接入

在家里还是在路上工作的用户可以使用VPN连接通过公共网络 (如Internet) 提供的基础设施建立到您组织的远程访问服务器连接远程访问。但从用户的角度, VPN是一种在计算机 (VPN客户端) 和企业服务器 (VPN服务器) 连接点之间。这个远程访问VPN连接只能是单向的, 即由一个远程客户端发送一个连接请求到VPN服务器, VPN服务器无法发起连接请求给客户机。

2.1 VPN客户机的配置

为了能够访问共享资源域, 您需要更改主DNS后缀如下:“管理员”登录到本地计算机, 右键单击“我的电脑”-“属性”-“网络ID”-“属性”-更改域“ASD.COM”-“确定”-选择工作组, 并加入工作组的名称-按照提示来完成。

2.2 建立拨号连接

在拨号链接建立之前, 要进行确认硬件连接正确, 安装MODEM的驱动程序。

(1) 在“控制面板”-“Internet属性”-“连接”-选项卡, 点击动作-“使用现有账户INTERNET-下一步直到安装。

(2) 连接到手动设置互联网账户完整的调制解调器, 并按照提示进行操作。操作完成。

2.3 建立虚拟专用链接

使用VPN服务的用户一定要先经过授权, 在得到授权之后, 才可以登录VPN服务器:①授权到本地计算机用户登录, 右击“网上邻居”-“属性”-“网络连接向导”-选择VPN连接-选择自动拨号-添加到主机的IP地址-“192.168.55.1”-选择连接对象-完成操作。②自动尝试连接, 连接因特网成功时, 系统将自动尝试连接到一个“虚拟专用连接”, 远程访问VPN服务器和LAN的共享资源。

3 远程接入解决方案

3.1 技术价值

根据新的扩展Windows终端功能, 内置VPN网络站点之间, 安全漏洞Windows终端存在安全隐患。严格的CA数字证书认证, 使用户无法非法的访问系统, 双重保障系统信息安全。内置的动态域名解析技术, 企业的业务系统不需要专门申请昂贵的固网IP, 动态IP上网能达到为中小企业节约成本。实现门户的部署, 服务器可以发布多个应用程序, 用户不需要去记录所有的客户信息系统, 只需安装客户端的远程访问系统可以访问自己的系统, 通过统一的页面被访问, 并获得可自由控制, 降低了企业系统的维护成本。

3.2 技术原理

快速远程访问是一个透明的软件平台, 能够使企业部署软件发生革命性的变化。这种快速的远程访问基于服务器的计算模型, 因为采用的是独立计算架构技术, 使其成为可能。它是从客户端设备到服务器的顶部的应用处理。它具有基于服务器的计算模式三个关键组件。①是一个多用户操作系统, 它允许多个用户同时登录到一台服务器, 并在独立的, 受保护的登陆中运行他们的应用程序。②这将是使其更新成为一个单独的应用程序逻辑, 与它的用户界面分开高效的计算技术。因此, 应用程序的性能和网络带宽没有关系。③第三关键部件是一个集中的应用程序和客户管理, 使大的计算环境来克服关键应用部署管理等访问, 解决性能和安全性方面的问题。

4 VPN服务器设置用户拨入并授权

为了让远程客户端访问资源的领域, 我们为远程用户在域控制器上的账户, 并授予访问权限。

4.1 允许用户拨入的权限

在域控制器组织单位创建用户, 如创建用户LIU1并拨打授予许可。具体过程如下:找到用户账户适当的组织单位, 右键单击“用户”-点击“属性”-弹出“LIU1属性”-“拨号”选项卡-“允许拨打”-点击“应用”-“确定”。

4.2 用户访问

发布共享文件夹中的域, 访问发布的文件夹给远程VPN客户, 获准修改用户LIU1。打开“路由和远程访问”窗口, 展开左侧窗格中的本地计算机目录。选择远程项进行访问, 选择访问向导, 点开, 找到自定义条件, 然后编辑, 选择添加按钮进行设置改变条件, 设置结束, 点击下一步, 最后点击完成键可保存设置, 可以使设置的程序生效, 对电脑进行远程管理的权限, 即可控制电脑的访问。

4.3 用户权限

根据以前的拨号方法, 拨号第一个互联网, 然后拨号虚拟专用网络。连接成功后, 在地址栏输入任何共享文件窗口中访问该文件夹的位置, 单击“Enter”键。找到共享资源, 改变用户LIU1, 修改保存, 以原文件来保存, 按提示操作即可。

5 结束语

互联网VPN的发展代表了未来, 它结合了传统的数据安全性和业务网络质量的发展趋势, 并分享简单和低成本的数据网络结构, 建立了一个安全的数据通道。VPN降低成本的同时满足用户对网络带宽, 接入和服务的需求不断增加, 因此, VPN网络将成为未来发展的主要方向。随着市场的扩大, 用户需要成为VPN技术, 多形式, 多功能, 灵活和易于使用的开发动力, 强大的, 优秀的服务VPN产品将被应用到不同的用户群, 部署的宽带, 窄带, 或拨号的移动通信网络。

摘要：随着企事业单位规模的扩大, 许多企事业单位将在全国乃至世界建立各分支机构。那么, 如何建立分支机构和本部之间的可靠网络连接, 从而实现IT资源共享, VPN技术被认为是具有成本效益的解决方案, 以及可以找到性能和成本之间的平衡。在VPN远程访问技术中如何实现访问和控制, 值得进行深入的讨论。

关键词：VPN技术,远程接入,访问

参考文献

[1]刘瑞华.浅析如何抓好企业党建思想政治工作[J].东方企业文化, 2013 (12) :23~57.

VPN实现篇8

1 VPN技术

IETF组织对基于IP的VPN解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。VPN技术采用隧道技术、数据加解密技术、密钥管理技术和身份认证技术,从而保证构建于公共网络之上的虚拟内部网络的有效连通性和安全性。常用VPN的工作流程大体如下。

(1)主机发送信息到连接骨干网络的VPN设备,VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据,VPN设备对整个数据包进行加密并附上数字签名。

(2)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。

(3)VPN设备对加密后的数据、验证包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标VPN设备时,解封装数据包,数字签名被核对无误后,再解密数据包。

虽然VPN通信建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络。VPN在经历了大规模商用后,其技术和应用方式也发生了很大发展。其中,有两种主流的VPN技术的应用最为广泛。第一种是基于IP网络层的IPSec VPN,,一种是基于应用层的SSLVPN技术。

2 采用SSLVPN技术实现校园网远程访问

IPSec的英文全名为“InternetProtocolSecurity”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方在建立IPSec通道前,首先要协商具体的方式来建立通信连接。因为IPSec协议支持多种操作模式,所以通信双方要确定所要采用的安全策略和使用模式,这包括加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,而不管这些通道构建时所采用的安全和加密方法如何。

要实现该方案IPsecVPN用户需要安装Cisco公司提供的专用客户端CiscoVPN Client软件,新建一个VPN client连接,ConnectionEntry可以任意起一个,Description是用来描述连接的,Host填入IP-secVPN设备的外网接口地址,GroupAuahentication中Name和Password分别填入IPsecVPN clientgroup中设置的用户名和密码。该方案目前来说用的并不是很多,现在很多高校流行的是采用下面一种方案。

3 采用SSLVPN技术实现校园网远程访问

从概念角度讲,SSLVPN是指采用SSL(Security SocketLayer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性.对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性.采用SSLVPN技术,使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器连接校园网内部的SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取校园网内部服务器的数据.相对于IPSecVPN技术,SSLVPN的“零客户端”解决方案被认为是实现远程接入的最大优势,它对缺乏维护大型IPSec配置资源的用户来说更为方便。SSLVPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网或校园网Web应用。

VPN安全设备起着关键性的作用.任何经过授权的外网用户,通过SSLVPN接入技术,远程登录VPN设备,接入校园网内,完成VPN隧道建立;接着再经由VPN设备进行源IP地址转换,引入IP地址替换技术将外网移动用户自动授权,用户便可随需选择校内馆藏资源进行自由查阅和访问,无需再次手动输入验证。

SSLVPN通过多线路优先选择技术、Internet线路叠加技术以及WebPush技术,充分利用了用户原有的带宽资源,保障了跨运营商接入的速度.SSLVPN作为VPN技术中一项安全的联网技术,其认证的丰富性决定了SSLVPN的安全性,成为避免账户丢失、被黑客利用的重要屏障,SSL本身就是一套提供身份验证、保密性和数据完整性的加密技术、它使用了对称加密技术,常用于在Web浏览器与Web服务器之间建立安全通信通道,使用户突破了空间的限制,实现了随时、随地的安全接入.SSLVPN已得到众多高校的广泛认可.选择SSLVPN设备和应用方案实施时要综合考虑高校的实际应用需求。

4 结束语

在远程访问领域,SSL VPN正逐步取代IPSec VPN。但是,作为传统的站点到站点安全联接的主流技术,IPSecVPN仍然是不可取代的。当前,VPN领域的共识是:IPSecVPN更适合于站点到站点安全联接,SSLVPN是实现安全远程访问的最佳技术。据笔者所知,目前我省的大多高校采用了VPN技术,以便非校园网的师生能够自由的访问校园资源,这一现象的增多主要是因为大多高校开始了网上办公(办公自动化系统)和学生网上选课,查看成绩(教务管理系统)等,并且学校的数字图书馆具有大量的资源,使师生能阅读各种文献,获得知识。可以肯定的说,在今后的网络技术发展中,VPN技术将遍及各个领域充当越来越重要的角色.

参考文献

[1]王勇.虚拟专用网若干关键技术的研究及实践[D].华中科技大学,2006.

[2]马进宝.漳州师范学院学报[J].用VPN技术实现用户远程访问校园网资源,2008,(3):121-123.

[3]傅伟.湘潭师范学院学报[J].基于IPsec VPN的校园网远程访问应用研究,2008,30(2):58-60.

[4]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008,(11):179-180.

VPN实现篇9

关键词：VPN,IPSec,隧道协议

0 引言

为保证信息载体的安全传输, IPSec协议应运而生。此外, VPN采用因特网基础设施为各单位各企业组建自己的企业虚拟专用网, 可以保证数据传输的可靠、成本较低。将两者结合, 在设计VPN网关时使用IPSec协议, 不仅可以保证信息载体的安全传输, 增强站点之间的安全性, 也可以降低企业的成本。设计一个这样的基于IPSec协议的VPN安全网关对于实现Internet网络安全具有重要意义。

1 IPSec概述

IPSec是IETF于1998年11月专门制定用来增强IP站点间安全性的一系列协议, 保证了IP数据报的高质量性、保密性和可操作性, 运行在网络层实现数据封装的第三层隧道协议。IPSec协议通过AH、ESP来保证数据报传输的完整性、可靠性和真实性, 从而保证IP层的安全。通过IKE也可以将IPSec协议简化使用和管理, 使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN网关具有数据安全性、完整性、成本低等几方面的优势。

1.1 IPSec协议的基本组成

使用IPSec协议是用来对IP层传输提供各种安全服务, 主要包括两种安全协议, 即AH协议和ESP协议。AH协议包含数据确证, 为IP层提供的安全服务包括无连接完整性、数据原始身份验证与一些能选则的、有限的抗重播攻击。ESP协议包含净负荷封装与加密, 为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下, ESP协议安全性更高, 与此同时其实现复杂性也较高。在使用时, 可以根据需要选择ESP协议或者AH协议来用, 也可以两者一起使用。

1.2 IPSec协议的工作模式

根据对原始IP包提供的保护能力不同, 可将IPSec分为传输模式和隧道模式两种工作模式。传输模式是指将IPSEc头部插在IP包中, 从而可以保护传送层及以上各层的数据;隧道模式是指将IP头部插在外部与内部IP头之间, 从而可以保护包括原始IP头部在内的整个IP数据包, 同时将产生一个新的包含隧道断点IP地址的外部IP头部。

AH协议与ESP协议均支持这两种模式的使用, 将IPSEc协议与模式放在一起, 组合之下又可以分为四类:AH传输模式、ESP传输模式、AH隧道模式、ESP隧道模式。采用传输模式时, 两种协议被用来重点保护高层协议;而采用隧道模式时, 两种协议是用来保护全部的IP信息包与隧道传输。在实际生活中, 一般采用ESP隧道模式来达到较好的安全保护性能。

1.3 IPSec协议的实现

IPSec的实现方式有IP整合方式、BITS方式、BITW方式三种。

IP整合方式, 使得IPSec与网络层紧密集成在一起, 有利于一切的网络服务。IPSec实现于操作系统内核, 整合效率最高, 有效率也最高, 同时也有利于分段、PMTU等网络服务, 灵活易操作。缺点是实施方案须依赖于操作系统源码的可得性。

BITS方式既可以在网络层中实施, 也可以在数据链路层之中使用。BITS方法的首个优势是其实施无须改动操作系统源代码, 而且当系统源代码得不到时使用较为方便。另一个优点是, 提供完整的方案仅需一次。缺点是功能的重复性, 它要求实现大多数的网络层特性。功能的重复性产生了复杂的局面, 从而造成分段、PMTU和路由之类的问题无法得到解决。

BITW方式里, IPSec功能是由外部的功能处理器来实现, 这些功能设备可以直接连接路由器或网关的物理接口。路由算法不是通过这些设备来运行的, 这些设备仅仅用来保证数据包的安全性。由于无法让一个设备连接路由器或者网关的所有接口, 所以BITW的另一个缺点是不可以做为一种长时间使用的手段。利用BITW手段来实施IPSec的另一个缺点是包转发能力强烈依赖功能处理器, 要求该设备能够尽快的转发数据包。

2 基于IPSec的VPN网关设计与实现

2.1 基于IPSec的VPN网关具有的功能

作为IPSec VPN的网关, 为了保证正常的通信要求, 应设计以下几项基本功能:

(1) 可以实现基本的网络功能, 像路由转发、拨号上网、NAT代理上网等功能。

(2) 可以实现VPN功能, 也就是可以满足网关之间组网, 构建跨地域的lan-to-lan连接, 也能够满足单个的移动用户连接的需要, 即PC-to-Lan的功能。

(3) 可以实现动态组网, 即在网关的Internet IP地址每一次都不确定的条件下, 组建VPN网络, 同时对内网的用户屏蔽掉这种变化带来的影响, 也可通过动态域名体系来协助实现动态组网。

(4) 可以实现管理功能, 能够管理VPN网关之间的连接, 同时能够管理移动用户的连接。通过VPN隧道的建立、删除终止, 能够实现基本的网络防火墙功能, 保证设备自身的安全, 也能够过滤掉VPN通讯的报文。

2.2设计方案

IPSec VPN网关系统设计为三个层次, 适于采用网络处理器平台实现。

第一个层次为管理层。主要实现的系统管理功能包括安全关联库管理、算法管理、安全策略库管理、AH协议处理、ESP协议处理、日志管理、统计等模块, 从而保证VPN网关系统的正常运行维护功能。这一层是由外接的普通计算机来实现的。

第二个层次为控制层。主要功能包括:IKE引擎;IKE动态管理;SP查找模块、SA查找模块。这一层是基于Intel XScale核来设计实现的。

第三个层次为数据处理层。主要功能包括:包接收、包发送模块;认证算法模块;加密算法模块;IPSec处理模块。在这层中是使用微引擎方法来进行VPN网关系统中的数据处理, 利用多个微引擎, 并行组成数据处理的快速通道。

2.3基于IPSec的VPN网关设置

IP整合效率最高, 也最为有效, 实现也较为简单, 本文采用IPSec的方法设计VPN。网关设计的关键是实现在隧道传输的数据的加密。以KAME为工具, 使用人工模式和自动密钥连接方式设置网关。人工模式下, 网络管理员确定所用的协议、算法与密钥创建SA和组成SAD, 但是这种方法密钥关联较为复杂, 安全性也相对较弱, 更不适用于大型网络。自动密钥连接方式下, 网络管理员则不需做上述工作, 只需IKE认证通信双方和协商安全参数, 且能够采用预共享密钥认证方式。具体配置过程有四步: (1) 配置预共享密钥文件psk.txt; (2) 配置安全策略配置文件setkey.conf; (3) 配置racoon的配置文件racoon.conf; (4) 启动racoon守护进程。

3结语

在设计VPN安全网关时采用IPSec协议, 使用ESP对传输的数据进行严格的保护, 使用AH进行用户与数据确证, 可大大增强IP站点间安全性。因此, 基于IPSec协议的VPN安全网关设计对于实现Internet网络安全具有重要意义。

参考文献

[1]杨文武, 陆庭元.基于IPSec的VPN网关研究[J].科技信息, 2008 (9) :206-207.

VPN实现篇10

关键词：校园网,VPN,隧道技术

1、引言

作为教育现代化的重要标志, 校园网的蓬勃发展深刻影响着高校中教师和学生的工作学习方式。学校教工和学生通过校园网传递信息, 资源共享, 网络教学, 简化了工作流程, 扩大了信息来源, 增加了学习手段。但是, 出于安全性考虑, 学校在建设校园网时通常是将公网与私网进行物理隔离, 使外网无法访问内网资源。导致在校外的教职工和学生访问校内资源存在一定的困难。最简单的方法是采用地址映射技术, 即把校园网内部的某个主机地址永久映射成外部的公网地址从而实现外网对内网的访问, 但是这种方法从使用角度上来说需要记忆两套ip地址, 从安全性角度上来说缺乏认证, 无法保证校园网内资源的安全。而使用VPN技术不仅可以解决远程访问的问题, 而且具备较低的成本和较高的安全性。

2、VPN关键技术研究

VPN (Virtual Private Network) 是建立在实际网络基础上的一种功能性网络, 是利用开放的公共网络资源建立私有的数据通道。相对于DDN或者帧中继这样的物理专有网络, VPN利用特殊的加密通讯协议将连接在INTERNET上不同地方的两个或多个LAN之间建立一条逻辑上独立的通讯线路。VPN的关键技术主要是隧道技术和安全技术

2.1 隧道技术

为了形成VPN链路, 采用了隧道技术。隧道技术 (Tunneling) 是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据 (或负载) 可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息, 以便通过互联网传递被封装的负载数据。隧道协议分为两类, 一类为第二层隧道协议, 即在数据链路层上实现对数据 (或负载) 的封装。典型的第二层隧道协议如L2TP, PPTP, L2F。这类协议通常使用帧作为数据传输的单位。另一类为第三层隧道协议, 对应于OSI模型的网络层, 如IPIP, IPSEC。这类协议通常使用数据包作为数据传输的单位。

2.2 安全技术

和专线不同, VPN利用隧道技术建立了公网中的逻辑链路。由于所有数据均通过公网进行传输, 因此为了保证数据传输的可靠性, 安全性必须依赖成熟的安全技术, 这主要包括三个方面, 即加密解密技术, 密钥技术及身份认证技术。加密解密技术用来保证隧道中的数据密文传递。密钥技术主要用来保证加密解密过程中密钥的安全传递。身份认证技术主要用于内网vpn服务器确认使用者身份。运用这三种比较成熟的技术, 可以有效保证隧道中数据的可用性, 完整性和保密性。

3、VPN技术的优势

3.1 有效保障校园网的安全性

运行在广域网的VPN, 对端到端, 点到点之间的连接实行了加密, 对每个接入的用户进行身份认证, 确保了信息的完整性和可靠性为校园网的远程接入应用提供了物质基础。

3.2 接入方式简单

教职员工利用VPN远程接入校园网时, 可利用客户端软件或者IE浏览器, 即接即用, 操作简单。为远程资源访问, 学术交流, 移动办公等应用提供了有力支持。

3.3 可支持多样的网络服务

利用VPN技术不仅可以支持最基本的WEB访问, 而且支持文件传输, 文件共享等各种网络应用。极大的满足了教职员工远程使用校园网的需求。

4、基于VPN的校园网远程接入方案

4.1 网络结构规划

如图1所示, 为满足可扩展性和适应性目标, 网络结构采用典型的层次化拓扑。即核心层, 分布层及访问层。核心层路由器用于优化网络可用性和性能, 主要用来承担校园网的高速数据交换任务。同时为各分布层节点提供路由功能;分布层交换机用来执行策略, 分别连接图书馆, 数据中心, 各办公楼, 家属楼及学生宿舍。接入层利用低端交换机及无线AP连接用户。在校园网内部署一台VPN服务器, 用来建立和远程用户的V PN接入隧道。使用该方案具备以下优点:一、工程量少, 即对原有的校园网拓扑结构及布线方案没有任何改动, 实施时间短。二、过渡平缓, 对所有应用软件及数据库均无改动, 保证了已有软件的投资。三、改造费用低, VPN服务器可以是普通的WINDOWS SERVER服务器, 无需增加软件投资。

4.2 网络工作原理

在图1所示的组网方案中, 核心层路由器实现教育网和公网的双出口连接, 并通过一硬件防火墙与分不层交换机相连。分布层交换机进而连接各院系部门的接入层交换机。接入层交换机最终实现同终端用户的连接。一台VPN服务器被部署在校园网内与分布层交换机相连。为此VPN服务器配置一个教育网地址, 并且在防火墙中映射一个公网地址。VPN服务器可实现对校园网内资源的访问, 同时通过“分布层交换机→防火墙→核心路由器→教育网”实现对教育网的访问。校外的公网用户可通过“VPN客户端→I NTERNET网络→校园网核心路由器→硬件防火墙→分布层交换机→VPN服务器”的路线实现和校内VPN服务器的连接。进而实现对教育网和校园网内资源的访问。需要注意的是, VPN服务器至少需要两块网卡, 除此之外, VPN服务器并不一定要连接到分布层交换机上, 也可以是各院系部门的一台服务器。只要映射一个公网地址于其即可。用户在拨叫VPN服务器时, 应该是其被映射的公网地址。

4.3 VPN服务器及客户端配置

在实际的组网过程中, VPN服务器可以有多种方案选择, 在本文使用WINDOW S 2003 SERVER搭设服务器。在WINDO WS 2003中的VPN称之为“路由和远程访问”。默认状态已安装, 只需要对其进行相应的配置生效即可。全部配置均为图形界面, 方便快捷。

步骤一:依次选择“开始”-“管理工具”-“路由和远程访问”, 打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名, 选择“配置并启用路由和远程访问”

步骤二:在出现的配置向导窗口点下一步, 进入服务选择窗口。由于校园网内VPN服务器一般都安装了双网卡, 可以选择第一项“远程访问 (拨号或VPN) ”或者第三项“虚拟专用网络 (VPN) 访问和NAT”

步骤三:选择IP分配方式。即每一个连接上VPN服务器的远程用户均需要获得一个校园网内部地址。在这里可以选择DHCP方式或者静态路由方式。

客户端的配置更加简单

步骤一:在桌面“网上邻居”图标点右键选属性, 之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”, 继续下一步, 在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。

步骤二:在“VPN服务器选择”窗口里, 输入VPN服务端的固定IP, 接着出现的“可用连接”窗口保持“只是我使用”的默认选项;

步骤三:为方便操作, 可以勾选“在桌面上建立快捷方式”选项, 单击完成即会出现VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。

5、结语

利用VPN技术实现校园网外用户远程访问校园网的优势是显而易见的。它使得我们即便是在校外, 也可以像在校园网内一样访问校园网中的各种资源及应用。它在安全性的基础上扩展了校园网的范围, 极大的降低了网络外延的成本, 减少了建设投资。针对该技术的研究和应用必然会进一步发展, 值得我们深入探讨。

参考文献