vpn技術(shù)分析與實現(xiàn)(畢業(yè)論文)

1、<p>　　VPN技術(shù)分析與實現(xiàn)</p><p>　　摘要：隨著Internet已成為全社會的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長空間。本文介紹了虛擬專用網(wǎng)的技術(shù)原理和特點，以及利用VPN技術(shù)構(gòu)建企業(yè)虛擬專用網(wǎng)的優(yōu)勢，提出利用公網(wǎng)的資源作為企業(yè)各級單位間傳輸信息的通道，在建設(shè)內(nèi)部網(wǎng)實現(xiàn)信息安全共享的同時降低建設(shè)和

2、維護(hù)成本，因此具有很好的應(yīng)用前景。文章首先對VPN的技術(shù)的發(fā)展、優(yōu)點等進(jìn)行了分析；其次闡述了VPN的解決方案；最后，結(jié)合一個證券公司的實例說明企業(yè)VPN網(wǎng)絡(luò)的具體實現(xiàn)。</p><p>　　關(guān)鍵詞：虛擬專用網(wǎng)；虛擬局域網(wǎng)；網(wǎng)絡(luò)安全；隧道技術(shù)</p><p>　　VPN technology analysis and implementation</p><p>　　

3、Abstract: As the Internet has become a society-wide information infrastructure, enterprise-based applications are mostly IP, to build applications on the Internet have become an inevitable trend, so the service which bas

4、ed on the IP-VPN was great room for growth. This paper presents a virtual private network technology principles and characteristics, and presents the advantages that the companies use the VPN technology to build the virt

5、ual private network, by using public networks at all levels </p><p>　　Key words: VPN; VLAN; network security; tunnel</p><p><b>　　目　錄</b></p><p>　　1 VPN技術(shù)概述3</p>

6、<p>　　1.1 VPN產(chǎn)生的背景3</p><p>　　1.2 VPN的定義3</p><p>　　1.3 VPN的特點4</p><p>　　1.4 VPN帶來的好處5</p><p><b>　　2 隧道技術(shù)9</b></p><p><b>　　2.1 概述

7、9</b></p><p>　　2.2 隧道協(xié)議9</p><p>　　2.3 隧道技術(shù)實現(xiàn)過程12</p><p>　　2.4 隧道中的源和目標(biāo)IP地址13</p><p>　　3 VPN中的安全技術(shù)14</p><p>　　3.1加解密技術(shù)14</p><p>　　3

8、.2密鑰管理技術(shù)14</p><p>　　3.3身份認(rèn)證技術(shù)15</p><p>　　4 VPN解決方案16</p><p>　　4.1遠(yuǎn)程訪問虛擬網(wǎng)16</p><p>　　4.2 企業(yè)內(nèi)部虛擬網(wǎng)17</p><p>　　4.3 企業(yè)擴(kuò)展虛擬網(wǎng)18</p><p>　　5 VPN網(wǎng)

9、絡(luò)方案設(shè)計19</p><p>　　5.1 需求分析19</p><p>　　5.2 拓?fù)湓O(shè)計20</p><p>　　5.3 設(shè)備選型20</p><p>　　5.4 IP地址分配22</p><p>　　5.5 權(quán)限設(shè)置22</p><p>　　5.6 具體配置23</p

10、><p><b>　　結(jié)束語29</b></p><p><b>　　參考文獻(xiàn)30</b></p><p>　　致 謝錯誤!未定義書簽。</p><p><b>　　1 VPN技術(shù)概述</b></p><p>　　1.1 VPN產(chǎn)生的背景<

11、/p><p>　　隨著Internet和電子商務(wù)的蓬勃發(fā)展，越來越多的用戶認(rèn)識到，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題，因為Internet是

12、一個全球性和開放性的、基于TCP/IP 技術(shù)的、不可管理的國際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動就面臨非善意的信息威脅和安全隱患。 還有一類用戶，隨著自身的發(fā)展壯大與跨國化，企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。 用戶的需求正是虛擬專用網(wǎng)技術(shù)誕生的直接原因。移動用戶或遠(yuǎn)程用戶通過撥號方式遠(yuǎn)程訪問公司或企業(yè)內(nèi)部專用網(wǎng)絡(luò)的時候，采用傳統(tǒng)的

13、遠(yuǎn)程訪問方式不但通訊費用比較高，而且在與內(nèi)部專用網(wǎng)絡(luò)中的計算機(jī)進(jìn)行數(shù)據(jù)傳輸時，不能保證通信的安全性。為了避免以上的問題，通過撥號與企業(yè)內(nèi)部專用網(wǎng)絡(luò)建立VPN連</p><p>　　1.2 VPN的定義</p><p>　　現(xiàn)在有很多連接都被稱作VPN，用戶經(jīng)常分不清楚，那么一般所說的VPN到底是什么呢？</p><p>　　VPN的英文全稱是“Virtual Pri

14、vate Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。IETF草案理解基于IP的VPN為："使用IP機(jī)制仿真出一個私

15、有的廣域網(wǎng)"是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。</p><p>　　我們所要構(gòu)建的虛擬專用網(wǎng)絡(luò)可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多

16、個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。VPN是基于公網(wǎng),利用隧道加密等技術(shù),為用戶提供的虛擬專用網(wǎng)絡(luò),它給用戶一種直接連接到私人局域網(wǎng)的感覺。</p><p>　　用戶在電信部門租用的幀中繼（Frame Relay）與ATM等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路（PVC-

17、Permanent Virtual Circuit）來連接需要通訊的單位，所有的權(quán)限掌握在別人的手中。如果用戶需要一些別的服務(wù)，需要填寫許多的單據(jù)，再等上相當(dāng)一段時間，才能享受到新的服務(wù)。更為重要的是兩端的終端設(shè)備不但價格昂貴，而且管理也需要一定的專業(yè)技術(shù)人員，無疑增加了成本，而且?guī)欣^、ATM數(shù)據(jù)網(wǎng)絡(luò)也不會像Internet那樣，可立即與世界上任何一個使用Internet網(wǎng)絡(luò)的單位連接。而在Internet上，VPN使用者可以控制自己

18、與其它使用者的聯(lián)系，同時支持撥號的用戶。 </p><p>　　所以我們說的虛擬專用網(wǎng)一般指的是建筑在Internet上能夠自我管理的專用網(wǎng)絡(luò)，而不是Frame Relay或ATM等提供虛擬固定線路（PVC）服務(wù)的網(wǎng)絡(luò)。 </p><p>　　1.3 VPN的特點</p><p>　　安全保障 ：雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺

19、傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。Extranet VPN

20、將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對安全性提出了更高的要求。 </p><p>　　服務(wù)質(zhì)量保證（QoS） ：VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，

21、如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先

22、后發(fā)送，并預(yù)防阻塞的發(fā)生。 </p><p>　　可擴(kuò)充性和靈活性 ：VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。 </p><p>　　可管理性 ：從用戶角度和運(yùn)營商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功

23、能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。</p><p>　　1.4 VPN帶來的好處</p>

24、;<p>　　VPN的最終目的是服務(wù)于企業(yè)，為企業(yè)帶來可觀的經(jīng)濟(jì)效益，為現(xiàn)代化企業(yè)的信息共享提供安全可靠的途徑。由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費用，在運(yùn)行的資金支出上，除了購買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用，也節(jié)省了長途電話費。這就是VPN價格低廉的原因。 </p><p>　　哪些用戶適于使用VPN呢？在滿足

25、基本應(yīng)用要求后，有三類用戶比較適合采用VPN： </p><p>　　①位置眾多，特別是單個用戶和遠(yuǎn)程辦公室站點多，例如企業(yè)用戶、遠(yuǎn)程教育用戶； </p><p>　?、谟脩?站點分布范圍廣，彼此之間的距離遠(yuǎn)，遍布全球各地，需通過長途電信，甚至國際長途手段聯(lián)系的用戶； </p><p>　?、蹘捄蜁r延要求相對適中； </p><p>　　④

26、對線路保密性和可用性有一定要求的用戶。</p><p>　　相對而言，有四種情況可能并不適于采用VPN：</p><p>　?、俜浅Ｖ匾晜鬏敂?shù)據(jù)的安全性；</p><p>　?、诓还軆r格多少，性能都被放在第一位的情況； </p><p>　　③采用不常見的協(xié)議，不能在IP隧道中傳送應(yīng)用的情況； </p><p>　　④

27、大多數(shù)通信是實時通信的應(yīng)用，如語音和視頻。但這種情況可以使用公共交換電話網(wǎng)（PSTN）解決方案與VPN配合使用。</p><p>　　對于企業(yè)來說，VPN提供了安全、可靠的 Internet訪問通道，為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。而且VPN能提供專用線路類型服務(wù)，是方便快捷的企業(yè)私有網(wǎng)絡(luò)。企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護(hù)系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的ISP來完成。</p><p

28、>　　對于用戶來說可以從以下幾方面獲益：</p><p>　　實現(xiàn)網(wǎng)絡(luò)安全：具有高度的安全性，對于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行、在線交易都需要絕對的安全，而VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。首先，它在隧道的起點，在現(xiàn)有的企業(yè)認(rèn)證服務(wù)器上，提供對分布用戶的認(rèn)證。另外，VPN支持安全和加密協(xié)議，如Secure IP（IP sec）和Microsoft點對點加密（MPPE）。 </p

29、><p>　　簡化網(wǎng)絡(luò)設(shè)計：網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來實現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小，僅此一點就可以極大地簡化企業(yè)廣域網(wǎng)的設(shè)計。另外，VPN通過撥號訪問來自于ISP或NSP的外部服務(wù)，減少了調(diào)制解調(diào)器池，簡化了所需的接口，同時簡化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。 </p><p>　　降低成本：VPN可以立即而且顯著地降

30、低成本。當(dāng)使用Internet時，實際上只需付短途電話費，卻收到了長途通信的效果。因此，借助ISP來建立VPN，就可以節(jié)省大量的通信費用。此外，VPN還使企業(yè)不必投入大量的人力和物力去安裝和維護(hù)WAN設(shè)備和遠(yuǎn)程訪問設(shè)備，這些工作都可以交給ISP。VPN 使用戶可以降低如下的成本： </p><p>　?、僖苿佑脩敉ㄐ懦杀?。VPN可以通過減少長途費用來節(jié)省移動用戶的花費。 </p>&l

31、t;p>　?、谧庥镁€路成本。VPN可以以每條連接的40%到60%的成本對租用線路進(jìn)行控制和管理。對于國際用戶來說，這種節(jié)約是極為顯著的。對于話音數(shù)據(jù)，節(jié)約金額會進(jìn)一步增加。 </p><p>　?、壑饕O(shè)備成本。VPN通過支持撥號訪問外部資源,使企業(yè)可以減少不斷增長的調(diào)制解調(diào)器費用。另外，它還允許一個單一的WAN接口服務(wù)多種目的，從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端、本地提供高帶寬的線路連接到撥號訪問服務(wù)提

32、供者，因此，只需要極少的WAN接口和設(shè)備。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷。另外，由于VPN獨立于初始協(xié)議，這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。 </p><p>　　容易擴(kuò)展：如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍。企業(yè)需做的事情很少，而且能及時實現(xiàn)：企業(yè)只需與新的IPS簽約，建

33、立賬戶；或者與原有的ISP重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN能力也很簡單：幾條命令就可以使Extranet路由器擁有Internet和VPN能力，路由器還能對工作站自動進(jìn)行配置。 </p><p>　　可隨意與合作伙伴聯(lián)網(wǎng)：在過去，企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協(xié)商也毫無必要，真正達(dá)到了要連就連，要斷就斷。 </

34、p><p>　　完全控制主動權(quán)：借助VPN，企業(yè)可以利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說，企業(yè)可以把撥號訪問交給ISP去做，由自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。 </p><p>　　支持新興應(yīng)用：許多專用網(wǎng)對許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真，還有

35、各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等。 </p><p>　　正由于VPN能給用戶帶來諸多的好處，VPN在全球發(fā)展得異常紅火，在北美和歐洲，VPN已經(jīng)是一項相當(dāng)普遍的業(yè)務(wù)；在亞太地區(qū)，該項服務(wù)也迅速開展起來。</p><p><b>　　2 隧道技術(shù)</b></p><p><b>　　2.1概述</b>

36、;</p><p>　　眾所周知，由于公共IP的短缺，我們在組建局域網(wǎng)時，通常使用保留地址作為內(nèi)部IP，這些保留地址在Internet上是無法被路由的，所以在正常情況下我們無法直接通過Internet訪問到在局域網(wǎng)內(nèi)的主機(jī)。為了實現(xiàn)這一目的，我們需要使用VPN隧道技術(shù)[11]。</p><p>　　隧道技術(shù)是VPN的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包

37、通過這條隧道傳輸。</p><p><b>　　2.2隧道協(xié)議</b></p><p><b>　　2.2.1隧道協(xié)議</b></p><p>　　? 隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議，兩者本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝到哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)

38、據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IP Sec、GRE等。</p><p>　?、?PPTP(Point to Point Tunneling Protocol): PPTP是VPN的基礎(chǔ)。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生，P

39、PTP協(xié)議采用擴(kuò)展的GRE(Generic Routing Encapsulation)頭對PPP/SLIP報進(jìn)行封裝。點對點隧道協(xié)議 (PPTP) 是一種網(wǎng)絡(luò)協(xié)議，其通過跨越基于 TCP/IP 的數(shù)據(jù)網(wǎng)絡(luò)創(chuàng)建 VPN 實現(xiàn)了從遠(yuǎn)程客戶端到專用企業(yè)服務(wù)器之間數(shù)據(jù)的安全傳輸。PPTP 支持通過公共網(wǎng)絡(luò)（例如 Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP 允許加密 IP 通訊，然后在要跨越公司 IP 網(wǎng)絡(luò)或公共 IP 網(wǎng)絡(luò)

40、（如 Internet）發(fā)送的 IP 頭中對其進(jìn)行封裝。PPTP 連接只要求通過基于 PPP 的身份驗證協(xié)議進(jìn)行用戶級身份驗證。</p><p>　　② L2F(Layer 2 Forwording): L2F可在多種介質(zhì)（如ATM、幀中繼、IP網(wǎng)）上建立多協(xié)議的安全虛擬專用網(wǎng)，他將鏈路層的協(xié)議（如PPP等）封裝起來傳送。因此網(wǎng)絡(luò)的鏈路層完全獨立于用戶的鏈路層協(xié)議。</p><p>　?、?/p>

41、 L2TP((Layer 2 Tunneling Protocol ): L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成,它結(jié)合了PPTP和L2F協(xié)議的優(yōu)點，幾乎能實現(xiàn)PPTP和L2F協(xié)議能實現(xiàn)的所有服務(wù)，并且更加強(qiáng)大、靈活。第 2 層隧道協(xié)議 (L2TP) 是一種工業(yè)標(biāo)準(zhǔn) Internet 隧道協(xié)議，其可以為跨越面向數(shù)據(jù)包的媒體發(fā)送點到點協(xié)議 (PPP) 框架提供封裝。L2TP 允許加密 IP 通訊，然后在任何

42、支持點到點數(shù)據(jù)報交付的媒體上（如 IP）進(jìn)行發(fā)送。Microsoft 的 L2TP 實現(xiàn)使用 Internet 協(xié)議安全 (IP Sec) 加密來保護(hù)從 VPN 客戶端到 VPN 服務(wù)器之間的數(shù)據(jù)流。IP Sec 隧道模式允許加密 IP 數(shù)據(jù)包，然后在要跨越公司 IP 網(wǎng)絡(luò)或公共 IP 網(wǎng)絡(luò)（如 Internet）發(fā)送的 IP 頭中對其進(jìn)行封裝。</p><p>　　④ IP Sec：在IP層提供通信安全的一套協(xié)

43、議簇，包括封裝的安全負(fù)載ESP和認(rèn)證報頭AH、ISAKMP，它對所有鏈路層上的數(shù)據(jù)提供安全保護(hù)和透明服務(wù)。AH用于通信雙方驗證數(shù)據(jù)在傳輸過程中是否被更改并能驗證發(fā)送方的身份，實現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認(rèn)證功能。ISAKMP用于通信雙方協(xié)商加密密鑰和加密算法，并且用戶的公鑰和私鑰是由可信任的第三方產(chǎn)生。IP Sec 上的 L2TP 連接不僅需要相同的用戶級身份驗證，而且還需要使用計算機(jī)憑據(jù)進(jìn)行計算機(jī)級身份驗證。</p>

44、<p>　　2.2.2 VPN協(xié)議比較</p><p>　　PPTP、L2F、L2TP和VTP、IP Sec、GRE，它們各自有自己的優(yōu)點，但對于隧道的加密和數(shù)據(jù)加密問題都密鑰最佳的解決方案。同時，無論何種隧道技術(shù)，一旦進(jìn)行加密或驗證，都會影響系統(tǒng)的性能。</p><p>　　與PPTP相比，L2TP能夠提供差錯和流量控制。兩者共有的缺點：其一、認(rèn)證的只是終端的實體，密鑰對

45、信息流（通道中的數(shù)據(jù)包）進(jìn)行認(rèn)證，對于地址欺騙、非法復(fù)制包難以防范；其二、由于缺乏認(rèn)證信息，如果向通道發(fā)送一些錯誤信息，則可能導(dǎo)致服務(wù)的關(guān)閉，這也成為常用的攻擊手段。</p><p>　　GRE只提供了數(shù)據(jù)包的封裝，它并沒有使用加密功能來防止網(wǎng)絡(luò)偵聽和攻擊。在實際環(huán)境中它常和IP Sec一起使用，由IP Sec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。</p><p>　　只有IP

46、Sec協(xié)議集合多種安全技術(shù)，建立了一個安全可靠的隧道。這些技術(shù)包括Diffie-Hellman密鑰交換技術(shù)、DES、RC4、IDEA數(shù)據(jù)加密技術(shù)、哈希散列算法HMAC、MD5、SHA、數(shù)字簽名技術(shù)等。IP Sec不僅可以保證隧道的安全，同時還有一整套保證用戶數(shù)據(jù)安全的措施，由此建立的隧道更具有安全性和可靠性。IP Sec還可以和L2TP、GRE等其它隧道協(xié)議一同使用，提供更大的靈活性和可靠性。IP Sec可以運(yùn)行于網(wǎng)絡(luò)的任意一部分，他可

47、以在路由器和防火墻之間、路由器和路由器之間、PC機(jī)和服務(wù)器之間、PC機(jī)和撥號和訪問設(shè)備之間。IP Sec應(yīng)作為目前較滿意的解決方案。下面對 VPN 協(xié)議進(jìn)行了比較,如表2.1所示。</p><p>　　表2.1 VPN 協(xié)議的比較</p><p>　　2.3 隧道技術(shù)實現(xiàn)過程</p><p>　　其實現(xiàn)過程如圖1所示：</p><p><

48、;b>　　圖1 隧道示意圖</b></p><p>　　通常情況下，VPN網(wǎng)關(guān)采用雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公共IP接入Internet； - 如果網(wǎng)絡(luò)一的終端A需要訪問網(wǎng)絡(luò)二的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B的IP （內(nèi)部IP）； </p><p>　　- 網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)二的地址，

49、則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時VPN網(wǎng)關(guān)會構(gòu)造一個新的數(shù)據(jù)包（VPN數(shù)據(jù)包），并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址； </p><p>　　- 網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)關(guān)；

50、 </p><p>　　- 網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，在將負(fù)載通VPN技術(shù)反向處理還原成原始的數(shù)據(jù)包； </p><p>　　- 網(wǎng)絡(luò)二的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，所

51、以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就從終端A直接發(fā)過來的一樣； </p><p>　　- 從終端B返回終端A的數(shù)據(jù)包處理過程與上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。</p><p>　　2.4 隧道中的源和目標(biāo)IP地址</p><p>　　隧道是封裝、路由與解封裝的整個過程。隧道將原始數(shù)據(jù)包隱藏（或封裝）在新的數(shù)據(jù)包內(nèi)部。

52、該新的數(shù)據(jù)包可能會有新的尋址與路由信息，從而使其能夠通過網(wǎng)絡(luò)傳輸。隧道與數(shù)據(jù)保密性結(jié)合使用時，在網(wǎng)絡(luò)上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)（以及原始的源和目標(biāo)）。封裝的數(shù)據(jù)包在網(wǎng)絡(luò)中的隧道內(nèi)部傳輸。封裝的數(shù)據(jù)包到達(dá)目的地后，會刪除封裝，原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到最終目的地。 </p><p>　　隧道本身是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑。對原始的源和目的端，隧道是不可見的，而只能看到網(wǎng)絡(luò)路徑中的點對點連接。連接雙

53、方并不關(guān)心隧道起點和終點之間的任何路由器、交換機(jī)、代理服務(wù)器或其他安全網(wǎng)關(guān)。將隧道和數(shù)據(jù)保密性結(jié)合使用時，可用于提供 VPN。</p><p>　　通過上述說明我們可以發(fā)現(xiàn)，在VPN網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行處理時，有兩個參數(shù)對于VPN隧道通訊十分重要：原始數(shù)據(jù)包的目標(biāo)地址（VPN目標(biāo)地址）和遠(yuǎn)程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標(biāo)地址，VPN網(wǎng)關(guān)能夠判斷對哪些數(shù)據(jù)包需要進(jìn)行VPN處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)

54、到上級路由；遠(yuǎn)程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標(biāo)地址，即VPN隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行VPN通訊時，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對應(yīng)的遠(yuǎn)端VPN網(wǎng)關(guān)地址。</p><p>　　3 VPN中的安全技術(shù)</p><p>　　由于傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。 目前VPN主要采用四項技術(shù)來保證安全，

55、這四項技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。 隧道技術(shù)在第二章已經(jīng)加已說明,下面就其它三種安全技術(shù)[6]做相應(yīng)說明。</p><p>　　3.1加解密技術(shù)（Encryption & Decryption）</p>&

56、lt;p>　　加解密技術(shù)[16]是數(shù)據(jù)通信中較成熟的技術(shù)，VPN可以直接利用現(xiàn)有的技術(shù)。用于VPN上的加密技術(shù)由IP Sec的ESP(Encapsulating Security Paylcad)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)以前對數(shù)據(jù)加密，當(dāng)數(shù)據(jù)到達(dá)接收者時由接收者對數(shù)據(jù)進(jìn)行解密處理，算法主要種類包括：對稱加密算法、不對稱加密算法等，如DES、IDEA、RSA。</p><p>　　對稱加密算法，通信雙方共

57、享一個密鑰。發(fā)送方使用該密鑰將明文加密成密文。接收方使用相同的密鑰將密文還原成明文，對稱加密算法運(yùn)算速度快。不對稱加密算法是通信雙方各使兩個不同的密鑰，一個是只有發(fā)送方知道的密鑰，另一個則是與之對應(yīng)的公開密鑰，公開密鑰不需保密。在通信過程中，發(fā)送方用接收方的公開密鑰加密信息，并且可以用發(fā)送方的秘密密鑰對消息的某一部分或全部加密，進(jìn)行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗證發(fā)送方身份。

58、</p><p>　　3.2密鑰管理技術(shù)（Key Management）</p><p>　　密鑰管理技術(shù)的主要任務(wù)是如何在公網(wǎng)上傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP兩種。SKIP　是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；ISAKMP雙方都有兩把密鑰，分別用于公用、私用。</p><p>　　3.3身份認(rèn)證技術(shù)（A

59、uthentication）</p><p>　　CHAP：使用MD5來協(xié)商加密身份驗證的安全形式，在響應(yīng)時使用質(zhì)詢-響應(yīng)機(jī)制和單向MD5散列。</p><p>　　MS-CHAP：同CHAP相似，對遠(yuǎn)程工作站進(jìn)行身份驗證，在響應(yīng)時使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。MS-CHAP V2是第二版的質(zhì)詢握手身份驗證協(xié)議，它提供了相互身份驗證和更強(qiáng)大的

60、初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。</p><p>　　EAP：為適應(yīng)使用其它安全設(shè)備的遠(yuǎn)程訪問用戶進(jìn)行身份驗證的需求，使用EAP可以增加對許多身份驗證方案的支持，包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其它身份驗證。使用EAP還可以防止暴力攻擊和密碼猜測。</p><p><b>　　4 VPN解決方案</b></p>&

61、lt;p>　　VPN有三種解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這三種解決方案分別是：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。</p><p>　　4.1遠(yuǎn)程訪問虛擬網(wǎng)（Access

62、VPN）</p><p>　　如果企業(yè)的內(nèi)部人員移動或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用Access VPN。 </p><p>　　Access VPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。Access VPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。Access VPN包括模擬、撥號、ISDN、數(shù)字用戶線路

63、(x DSL)、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。如圖2所示。</p><p>　　圖2 Access VPN結(jié)構(gòu)圖</p><p>　　Access VPN最適用于公司內(nèi)部經(jīng)常有流動人員遠(yuǎn)程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。RADIUS服務(wù)器可對員工進(jìn)行驗證和授權(quán)，保證連接的安全，同時負(fù)擔(dān)的電話

64、費用大大降低。</p><p>　　Access VPN對用戶的吸引力在于： </p><p>　　* 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)； </p><p>　　* 實現(xiàn)本地?fù)芴柦尤氲墓δ軄砣〈h(yuǎn)距離接入或800電話接入，這樣能顯著降低遠(yuǎn)距離通信的費用； </p><p>　　* 極大的可擴(kuò)展性，簡便地對加入網(wǎng)絡(luò)的

65、新用戶進(jìn)行調(diào)度； </p><p>　　* 遠(yuǎn)端驗證撥入用戶服務(wù)（RADIUS）基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)； </p><p>　　* 將工作重心從管理和保留運(yùn)作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來。</p><p>　　4.2 企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）</p><p>　　如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用

66、Intranet VPN是很好的方式。越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的Intranet VPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。In

67、tranet VPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。如圖3所示。 </p><p>　　圖3 Intranet VPN結(jié)構(gòu)圖</p><p>　　Intranet VPN對用戶的吸引力在于： </p><p>　　* 減少WAN帶寬的費用； <

68、/p><p>　　* 能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接； </p><p>　　* 新的站點能更快、更容易地被連接； </p><p>　　* 通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間。</p><p>　　4.3 企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN）</p><p>　　如果是提供B2B之間的安全

69、訪問服務(wù)，則可以考慮Extranet VPN。 隨著信息時代的到來，各個企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關(guān)鍵問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的

70、信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。 Extranet VPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。如圖4所示。 </p><p>　　圖4 Extranet VPN結(jié)構(gòu)圖</p><p>　　Extranet VPN對用戶的吸引力在

71、于：能容易地對外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機(jī)會連接到其合作人的網(wǎng)絡(luò)。 </p><p>　　5 VPN網(wǎng)絡(luò)方案設(shè)計</p><p>　　本文以證券公司網(wǎng)絡(luò)為基礎(chǔ)，設(shè)計證券公司內(nèi)部VPN、外部VPN網(wǎng)絡(luò)方案。該證券有限責(zé)任公司作為一家全國性的綜合類證券商,總部在北京，在上海有其

72、分公司的營業(yè)部和服務(wù)網(wǎng)點,而且公司經(jīng)常會有出差人員和外出團(tuán)隊。該證券公司的網(wǎng)絡(luò)要能夠使分部、外出人員和團(tuán)隊以及合作伙伴之間進(jìn)行安全的數(shù)據(jù)傳輸，而使用專線價格昂貴，所以該證券公司網(wǎng)絡(luò)的主要目的是為此證券公司建設(shè)覆蓋全國各個地區(qū)的VPN網(wǎng),使得分部、外出人員、外出團(tuán)隊和總部之間的數(shù)據(jù)安全傳輸[5]。</p><p><b>　　5.1 需求分析</b></p><p>　

73、　北京總部分為信息中心、項目管理部和財務(wù)部三個部門，總部設(shè)置一個VPN服務(wù)器，在服務(wù)器和Internet之間設(shè)置防火墻保障服務(wù)器上的數(shù)據(jù)安全；上海分公司分為項目管理部和財務(wù)部，同樣設(shè)置一個VPN服務(wù)器，該服務(wù)器和Internet之間也設(shè)置防火墻保障服務(wù)器上的數(shù)據(jù)安全；總部和分部以及外出移動用戶、外出團(tuán)隊和總部之間使用VPN網(wǎng)絡(luò)進(jìn)行訪問[12]。公司的網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。</p><p>　　圖5 公司VPN網(wǎng)絡(luò)

74、結(jié)構(gòu)示意圖</p><p><b>　　5.2 拓?fù)湓O(shè)計</b></p><p>　　圖6 總公司拓?fù)浣Y(jié)構(gòu)</p><p>　　圖7 分公司拓?fù)浣Y(jié)構(gòu)</p><p><b>　　5.3 設(shè)備選型</b></p><p>　　公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)果確定后，就開始選擇合適的VPN

75、服務(wù)器，下面有幾種服務(wù)器的相關(guān)說明，具體如下表5.1所示。</p><p>　　表5.1 VPN服務(wù)器</p><p>　　由于該證券公司主機(jī)數(shù)量不是很多，選用專業(yè)的VPN服務(wù)器在經(jīng)濟(jì)上不合算，所以使用安裝了 windows 2003的服務(wù)器做VPN服務(wù)器，該網(wǎng)絡(luò)選用聯(lián)想萬T100。</p><p>　　5.4 IP地址分配</p><p>

76、　　各個部門和用戶的IP地址分配如表5.2所示。</p><p>　　表5.2 IP地址劃分</p><p><b>　　5.5 權(quán)限設(shè)置</b></p><p>　　分為四個權(quán)限：管理員權(quán)限、部門管理員、公司職員，公司合作伙伴用戶，具體的劃分如下表5.3所示。</p><p>　　表5.3 權(quán)限劃分</p&g

77、t;<p><b>　　5.6 具體配置</b></p><p><b>　　服務(wù)器端配置</b></p><p>　　服務(wù)器是Windows 2003系統(tǒng)，2003中VPN服務(wù)叫做“路由和遠(yuǎn)程訪問”，系統(tǒng)默認(rèn)就安裝了這個服務(wù)，但是沒有啟用。</p><p>　　在管理工具中打開“路由和遠(yuǎn)程訪問”</p

78、><p>　　圖8 服務(wù)器端配置步驟一</p><p>　　在列出的本地服務(wù)器上點擊右鍵，選擇“配置并啟用路由和遠(yuǎn)程訪問”。下一步</p><p>　　圖9 服務(wù)器端配置步驟二</p><p>　　在此，由于服務(wù)器是公網(wǎng)上的一臺一般的服務(wù)器，不是具有路由功能的服務(wù)器，是單網(wǎng)卡的，所以這里選擇“自定義配置”。下一步</p><

79、p>　　圖10 服務(wù)器端配置步驟三</p><p>　　這里選“VPN訪問”，我只需要VPN的功能。下一步，配置向?qū)瓿伞?lt;/p><p>　　圖11服務(wù)器端配置步驟四</p><p>　　點擊“是”，開始服務(wù)。</p><p>　　看啟動了VPN服務(wù)后，“路由和遠(yuǎn)程訪問”的界面</p><p>　　圖12

80、服務(wù)器端配置步驟五</p><p>　　下面開始配置VPN服務(wù)器</p><p>　　在服務(wù)器上點擊右鍵，選擇“屬性”，在彈出的窗口中選擇“IP”標(biāo)簽，在“IP地址指派”中選擇“靜態(tài)地址池”。</p><p>　　圖13 服務(wù)器端配置步驟六</p><p>　　然后點擊“添加”按鈕設(shè)置IP地址范圍，這個IP范圍就是VPN局域網(wǎng)內(nèi)部的虛擬IP

81、地址范圍，每個撥入到VPN的服務(wù)器都會分配到一個范圍內(nèi)的IP，在虛擬局域網(wǎng)中用這個IP相互訪問。</p><p>　　這里設(shè)置為10.240.60.1-10.240.60.10，一共10個IP，默認(rèn)的VPN服務(wù)器占用第一個IP，所以，10.240.60.1實際上就是這個VPN服務(wù)器在虛擬局域網(wǎng)的IP。</p><p>　　至此，VPN服務(wù)部分配置完畢。</p><p&g

82、t;<b>　　客戶端配置</b></p><p>　　在控制面板中雙擊打開“網(wǎng)絡(luò)和撥號連接”</p><p>　　圖14 客戶端配置步驟一</p><p>　　在網(wǎng)絡(luò)撥號中在打開“新建連接”</p><p>　　圖15 客戶端配置步驟二</p><p><b>　　打開“新建連接”&

83、lt;/b></p><p>　　圖16 客戶端配置步驟三</p><p><b>　　左鍵單擊“下一步”</b></p><p>　　圖17 客戶端配置步驟四</p><p>　　選擇第三項“通過Internet連接到專用網(wǎng)絡(luò)”，單擊“下一步”</p><p>　　圖18 客戶端配置

84、步驟五</p><p>　　在“主機(jī)名或IP地址這一欄”填上公司總部VPN服務(wù)器的IP地址</p><p>　　圖19 客戶端配置步驟六</p><p><b>　　單擊“下一步”</b></p><p>　　圖20 客戶端配置步驟七</p><p>　　選擇“只是我自己使用此連接”，單擊“下

85、一步”</p><p>　　圖21 客戶端配置步驟八</p><p>　　在“在我的桌面上添加一快捷件方式”前打勾，單擊“完成”</p><p>　　圖22 客戶端配置步驟九</p><p>　　在“用戶名”和“密碼”兩欄填上相應(yīng)的用戶名和密碼單擊連接就可以連接到相應(yīng)的VPN網(wǎng)絡(luò)了。</p><p><b>

86、;　　結(jié)束語</b></p><p>　　經(jīng)過四個多月的學(xué)習(xí),基本上完成了證券公司網(wǎng)絡(luò)系統(tǒng)集成方案的設(shè)計。</p><p>　　本文件涉及到了有關(guān)VPN的大部分內(nèi)容，比如VPN的好處，VPN中的安全技術(shù)，VPN的實現(xiàn)方法，VPN的技術(shù)的應(yīng)用等等。通過這次論文的寫作，進(jìn)一步的認(rèn)識到網(wǎng)絡(luò)技術(shù)在社會經(jīng)濟(jì)生活中的重要性，也再一次深入學(xué)習(xí)了網(wǎng)絡(luò)方面的有關(guān)知識。</p>&l

87、t;p>　　證券公司的發(fā)展是多方面的，這里我們只是從VPN網(wǎng)的建設(shè)的方向提供了一個參考性的網(wǎng)絡(luò)方案，在計算機(jī)網(wǎng)絡(luò)世界里我也只是一個小小的初學(xué)者，其中有些不足和不合理的地方，還請各位老師和同學(xué)多多的指教,同時也歡迎喜歡網(wǎng)絡(luò)的同志們多提寶貴意見。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 【美】Craiy Zacker,Paul Do

88、yle. 《計算機(jī)網(wǎng)絡(luò)連網(wǎng)升級與維護(hù)維護(hù)大全》[M]. 西蒙與舒斯特國際出版公司，機(jī)械工業(yè)出版社.2002 </p><p>　　[2] 【美】SaadatMalik等 《網(wǎng)絡(luò)安全原理與實踐》[M].北京郵電出版社,2003.</p><p>　　[3] 劉有信.《網(wǎng)絡(luò)互聯(lián)技術(shù)》[M].人民郵電出版社.2001</p><p>　　[4] Cormac

89、 Long. 《IP網(wǎng)絡(luò)設(shè)計》[M].（第二版）人民郵電出版社.2002 </p><p>　　[5] Steven browm.《構(gòu)建虛擬專用網(wǎng)》[M].北京:人民郵電出版社,2001</p><p>　　[6] 陳天洲，陳純，谷小妮. 《計算機(jī)安全策略》[M]. 浙江大學(xué)出版社.1999</p><p>　　[7] 石淑華.《用Windows2000實現(xiàn)企

90、業(yè)VPN的分析與研究》[J]微機(jī)發(fā)展，2002，（5）：69--71</p><p>　　[8] 雷振甲.《網(wǎng)絡(luò)工程師教程》[M]. 清華大學(xué)出版社.2004 </p><p>　　[9] 陳學(xué)平. 《計算機(jī)網(wǎng)絡(luò)工程與實訓(xùn)》[M]. 電子工業(yè)出版社</p><p>　　[10] 李思齊.《防火之道-Internet安全構(gòu)建深度應(yīng)用》[M]. 電子工業(yè)出版社<

91、;/p><p>　　[11] 孫為清.《VPN隧道技術(shù)》[J]。計算機(jī)應(yīng)用研究所,2000,17(8):55--58</p><p>　　[12] Stallings W.《虛擬專用網(wǎng)的創(chuàng)建與實現(xiàn)》[M].北京海洋出版社,2002.</p><p>　　[13] 中國教育和科研計算機(jī)網(wǎng) 《安全交換機(jī)的基本功能》[OL].www.cernet.edu.cn.2006.4