VPN的发展前景（精选6篇）

VPN的发展前景 第1篇

VPN即虚拟专用网, 是利用公用互连网来实现的某个机构的专用网.IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网", 它是一种通过私有的隧道技术在公共数据网络上仿真一条点到点专线的技术.

在虚拟专用网中, 任意两个节点之间的连接并没有端到端的物理链路, 而是利用某种公众网的资源之上的逻辑网络动态组成, 用户数据在逻辑链路中传输.在因特网上传送的外部数据报的数据部分 (即内部数据报) 是加密的, 这样既利用了因特网的网络资源又保证了数据传送的安全性.

VPN可以取代租用DDN专线或帧中继解决企业异地局域网的互连问题, 主要有以下优势:

a.使用VPN可降低成本:通过公用网来建立VPN, 可节省通信费用, 而且不必安装和维护WAN设备和远程访问设备.

b.传输数据安全可靠:虚拟专用网产品均采用加密及身份验证等安全技术, 保证连接用户的可靠性及传输数据的安全和保密性.

c.连接方便灵活:双方只需配置安全连接信息即可, 不需建立租用线路或帧中继线路.

d.完全控制:用户只利用ISP提供的网络资源, 对于其它的安全设置、网络管理可由自己控制.

2. VPN安全技术

目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Au-thentication) .

2.1 隧道技术

隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网建立一条数据通道 (隧道) , 让数据包通过这条隧道传输.

隧道是由隧道协议形成的, 分为第二、三层隧道协议.第二层隧道协议是先把各种网络协议封装到PPP中, 再把整个数据包装入隧道协议中.第二层隧道协议有L2F、PPTP、L2TP等.其中L2TP协议是目前IETF的标准, 由IETF融合PPTP与L2F而形成.第三层隧道协议是把各种网络协议直接装入隧道协议中, 形成的数据包依靠第三层协议进行传输.第三层隧道协议有VTP、IPSec等.IP网络上的SNA隧道技术和IP网络上的Novell Net Ware IPX隧道技术是目前较成熟的隧道技术..

2.2 加解密技术

加解密技术是数据通信中一项较成熟的技术, VPN可直接利用现有技术.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取.现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种.SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥.而在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用.

2.3 身份认证技术

最常用的是使用者名称与密码或卡片式认证等方式.目前常用的方法是依赖于CA (数字证书签发中心) 所签发的符合X.509规范的标准数字证书.通信双方交换数据前.需先确认彼此的身份, 交换彼此的数字证书, 双方将此证书进行比较, 只有比较结果正确, 双方才开始交换数据.

3. VPN解决方案

针对不同的用户要求, VPN有三种解决方案:远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 、企业扩展虚拟网 (Extranet VPN) .这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet (外部扩展) 相对应.

远程访问虚拟通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问.实现了以本地拨号接入的功能来取代远距离接入, 降低通信的费用.并且有极大的可扩展性, 可简便地对加入网络的新用户进行调度, 提供远端验证拨入用户服务的安全保证.

企业内部虚拟网利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输.它具有以下优点:减少WAN带宽的费用;能使用灵活的拓扑结构;新的站点能更快、更容易地被连接;通过设备供应商WAN的连接冗余, 可以延长网络的可用时间.

企业扩展虚拟网通过一个使用专用连接的共享基础设施, 将客户、供应商等连接到企业内部网.Extranet VPN结构的主要好处是能容易地对外部网进行部署和管理, 外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署.

4. VPN方案的要求

成功的VPN方案应该能为用户分配专用网络上的地址并确保其安全性, 并对通过公共互联网络传递的数据必须经过加密.必须能够生成并更新客户端和服务器的加密密钥, 提供身份审查严格控制只有授权用户才能访问VPN.具有审计和记费功能.还必须支持公共互联网络上普遍使用的基本协议.

5. 下一代VPN

虚拟专用网 (VPN) 是由在公用网上提供安全路径的一些路由器及防火墙组成.下一代VPN的概念还包括网络设计策略.下一代的VPN要求设计师不仅要仔细研究VPN的每一个技术细节, 而且要有宏观意识.

5.1 目录服务器

下一代VPN的最为主要的部件是目录服务器, 主要用于存放端用户的信息及网络配置数据, 公司的网络可以横跨网络公共服务设施, 因此, 传统公用网与专用网的界线已经变得模糊.

这种网络必须生成一个逻辑与物理目录服务器, 该服务器既可设置于公司的一端, 也可设置于电话公司的网络运行中心NOC处, 且有防火墙的保护.这种多个地点使用的目录服务器在NOC端做镜像, 提供了物理与逻辑的冗余备份, 却也给黑客提供了攻击的机会.

这种使用网络目录的方式也改变了传统网

络的访问点, 这些载有整个公司用户相关资料及网络配置的目录应置于用户或网络运行中心NOC的安全区内.该安全区是进一步开发VPN的基础, 它主要由策略服务器与认证服务器组成策略服务器根据公司的规则制定访问策略, 认证服务器则负责公共密钥的认证及其他有关安全任务.

5.2 服务质量

实现上述VPN仍有许多工作要做, 首当其冲的是要解决服务质量Qo S问题.基于策略的网络中, 策略服务器装载有关应用及网络资源的信息, 动态地确定端用户如何访问应用程序.IPv Qo S的实现是通过将IPv6的信息包定义为不同级别的信息流.

由于Qo S要求提供跨越LAN与WAN的端对端的服务, 网络设计人员必须了解每个公司的网络在何处结束, 公用网的VPN又从何处开始.要求网络设计师要予以规划、区分不同系统间的各种进程流及每个公司各拥有哪些VPN部件等.另外, 如何对那些跨越多个VPN的信息包进行跟踪与收费以及计费的可行性, 例如由谁结算账单等, 所有这些问题都有待于下一代VP来解决.

5.3 安全问题

安全是VPN的核心问题.目前一种灵活的、可伸缩性的、并具有互操作性的安全服务已经出现, 如PKI (公共密钥结构) 及IKE (因特网密钥交换) .PKI允许端用户使用从有关权威部门获得的公用及专用密钥在因特网上加密与交换信息.目前, ITUT的X.509标准已成为公认的构建上述结构的基础, 并用以定义经由认证部门签署的有关公共密钥的过程及数据格式.IETF正在研究PKI的简化版本SPKI, 它将简化目前所使用的层次验证机制.

6. 结论

VPN的出现, 使企业可借助公共网络服务平台, 搭建廉价而广泛的通信.同时, 通过各种安全技术的引入, 可以保证通信的安全性, 提供较高的网络性能.

VPN兼备了公众网和专用网的许多优点, 价格低廉、功能丰富以及高性能、高安全性, 成为构建企业专用网络的一种有效的解决方案, 将逐渐取代采用专线构建企业专用网络的传统做法.

参考文献

[1].谢希仁.计算机网络 (第四版) .电子工业出版社, 2003年6月

[2].陈选育, 李灿平.IPv6下基于IPSec的VPN的研究与性能分析.广东通信技术, 2007, 1

[3].刘茵, 陈常嘉.VPN技术应用与实现浅谈.电子科技, 2006年第11期

[4].李世武, 韩雅琴.VPN技术与实现策略研究.计算机与网络, 2006年第23期

VPN的发展前景 第2篇

VPN是什么意思？

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----

这一个VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一，目前在交换机，防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的,安全的连接，是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现安全连接；可以用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）,企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应.VPN有什么用？

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN的发展前景 第3篇

2、SSL VPN技术的实现

如果企业将SSL VPN技术应用于移动办公中，对于那些出差在外需要进行远程办公的人员，只需要使用Web浏览器就能实现移动办公，访问企业的内部网络。SSL VPN将公司内部网络的网关设置在远程用户和企业服务器之间的网络边缘上，可以对企业和用户之间的数据连接和数据通信进行主导型的控制。

3、SSL VPN技术的优势

（1）安全性

SSL VPN技术可以有效地避免数据信息泄漏，拒绝非企业用户的非法访问，保护信息不被窃取，维持系统的可用性，在用户访问和数据保密方面具有较高的安全性。

（2）应用性

（下转99页）

SSL VPN不同于IPSec VPN，使用SSL VPN的网络不需要下载安装指定的客户端软件，只需要通过标准浏览器接入Internet就能访问企业内部网络。在对网络进行日常维护和管理时，SSL VPN良好的可操作性为维护管理工作提供了便利，SSL VPN可以对网络应用实现高度的、精细的控制，根据不同用户和用户组各自的特点设置适用于他们的访问权限，还可以实现对所有访问操作的审查统计，此外，便于操作的SSL VPN对于增强网络平台的易操作性和灵活性，为平台的应用更新和性能提升起到了关键作用。

四、 IPSec VPN和SSL VPN的应用选择

VPN的发展前景 第4篇

一高校校园网现状

校园网作为因特网的一部分, 方便了师生们的工作、学习和信息交流。一方面, 它具有开放性, 可以让师生通过它获得校内外大量的、丰富的信息, 也可以让世界各角落的人们通过邮件、网页等形式了解学校。另一方面, 校园网络也具有专用性, 它的某些资源只允许校园内的用户享用, 或是某些资源对不同的用户具有不同的权限。

二VPN概述

1. VPN简介

虚拟专用网络 (Virtual Private Network, 简称VPN) 指的是在公用网络上建立专用网络技术。整个VPN网络架构在公用网络服务商所提供的网络平台 (如因特网) , 任意两个节点之间的连接没有传统专用网所需的物理链, 用户数据在逻辑链路中传输。简单来说, 就是利用开放的公众网络建立专用数据传输通道, 将远程的分支机构、伙伴、办公人员连接起来, 并提供安全的端到端的数据通信的一种技术。

2. VPN技术解析

第一, 隧道技术。隧道技术是VPN的基础, 它是在公用网建立一条专用数据通道 (隧道) , 让数据包通过这条隧道传输。

第二, 加密和解密技术。加密、解密技术是VPN的安全保障, 除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外, 两边的设备还必须增加建立于信任关系基础之上的加密、解密功能。

第三, 密钥管理技术。密钥管理技术的主要任务是如何在公共数据网上安全地传递密钥而不被窃取。

第四, 身份认证和安全策略。在隧道数据传输前, 确认用户身份, 便于系统进一步实施资源访问控制或用户授权。

3. VPN的优势

第一, 低成本。VPN使用现有的因特网跨区域建立数据隧道, 实现不需要通过专有线路的低成本且廉价的安全数据传输。

第二, 扩展性强。在子网增加, 内部结点越来越多时, 只需在结点处架设VPN设备, 就可利用因特网建立安全连接。

第三, 安全性强。为确保信息安全, VPN技术使用可靠的加密认证技术, 在内部网络建立专有隧道, 避免信息的泄漏、篡改和复制。

三VPN在高校校园网中的运用

1. 跨地域、低成本、高效互联

当前, 国内多数高校存在地理上跨地域分布, 为了保证学校逻辑和管理上的统一性要求, 可在不同校区之间投入VPN设备, 在因特网上建立数据隧道, 使得校区之间的访问像在一个专用的局域网中一样, 可满足不同地域校区之间网络信息交换量大、频率高、信息安全级别高的要求, 由于使用公用网络作载体, 所以保障了价格的低廉。

2. 远程连接, 发展远程教育

对于出差在外或是在校外居住的学校工作人员, 利用相应的VPN客户端软件, 通过因特网就可实现在校外通过因特网登录校园网进行移动办公等功能, 从而提高工作效率。

网上远程教育作为一个崭新的教育形式。将最大限度地利用现有教育资源, 是实现教育的大众化、现代化、终身化和国际化的新型教育形式和必然途径。网络作为远程教育的重要载体之一, 在应用过程中, 网络的优势日趋显现。VPN技术的运用, 可以实现跨地域建立一个虚拟专用教学网, 使教与学的过程就像在一个内部网中进行, 实现远程教学的开放与安全、自主与协作的和谐统一。

3. 网内构架, 保障数据安全

目前, 学生用户的快速增加, 是校园网规模扩大的显著体现。由于校园网的用户绝大多数为求知欲和动手能力非常强的学生群体, 他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。所以, 校园网除了要防范来自外部的安全隐患外, 还要构建网内的安全架构。

四结束语

相对专线, VPN可以大大降低成本;相对公网, VPN又具有很好的安全性。VPN的应用为校园网组建“自己专用”的网络提供了经济能力可以承受且相对安全的技术手段。可以预见, 这将是校园网成内联网、外联网和实现远程接入网的基本的、主要的方法, 对于校园网的发展是具有重要意义的!

参考文献

VPN的发展前景 第5篇

关键词：MPLS技术；二层VPN，三层VPN

在Internet不断发展和普及的今天，很多企业都将自身的专用网络建立了起来，并且在internet上连接这种专用网络，因此其对虚拟专用网技术（VPN 技术）的应用起到了极大的推动作用。VPN 技术的核心就是将隧道建立在公共的数据通信网络中，并且与两个具有较远距离的企业专用网络进行连接，从而将更好地服务提供给企业。目前在IP骨干网中MPLS 技术得到了广泛应用，而且其充分地显示出对VPN 的支持能力。

1 基于MPLS技术的二层VPN

基于MPLS技术的二层VPN也被人们称为虚拟私有LAN业务或者透明LAN业务，其最为主要的目的并非是将现有的第二层VPN取代，而是对其进行更好地扩展。基于MPLS技术的二层VPN将简单的点到点的隧道建立在MPLS网络中，因此可以对各种二层数据流进行处理。在Martini方案中对PPP/HDLC、TDM、ATM、帧中继和以太网的点对点封装机制进行了定义。立足于Martini方案的封装机制，IETF还将其他方案制定了出来，对以太网透明LAN业务、ATM的封装机制、帧中继的封装机制等进行了定义。在Martini方案中第二层的VLAN信息被用户端的标签边缘路由器映射到MPLS标签中，随后对路由器组成的网络中路由进行交换。利用这种方式能够连接企业用户的各个远端站点。该网络具有非常高的安全性，这是由于其立足于MPLS标签在公众网络中对数据包进行传递，而不是立足于IP地址。这种方式表明运营商能够通过对已有的网络的利用实现无缝升级。比如其能够在MPLS的网络上迁移以虚电路为基础的点对点的帧中继[1]。

2 基于MPLS技术的三层VPN

在RFC2547bis中对运营商的骨干网上将MPLS VPN服务提供给用户的一种机制进行了定义。RFC2547bis又被人们称作BGP/MPLSVPN。由于BGP最为主要的作用就是将每个VPN路由信息发布在运营商骨干网中，将每个VPN的路由表建立并储存在路由器和交换机上，而MPLS的主要作用就是从一个VPN站点上将VPN业务转发到其他的站点。实际上其中的每个2547VPN都属于私有IP网络，同时有私有的IP地址存在于每个PE路由器上。PE路由器和CE路由器在2547VPN中将对等关系建立了起来，而并非是CE路由器之间形成的对等关系。CE路由器能够将私有网络的路由信息提供给PE路由器。同时，PE路由器必须要确保可以对多个私有路由器表进行存储，每个VPN中都要连接到internet的路由信息和一个私有路由器[2]。

要通过MPLS来转发核心网络节点，该功能具有十分重要的作用，这是由于2547VPN网络内的路由器并不需要被核心网络的路由器知道，只需要将标签交换的功能完成。基于MPLS技术的二、三层VPN在这个方面具有一致性。

基于MPLS技术的二、三层VPN中分别具有怎样的PE—CE路由器关系是两者最为主要的区别，CE路由器和PE路由器在一个基于MPLS技术的二层VPN并不具备对等的关系，而且不需要对独立的路由表进行维护，其主要是在正确的点对点的隧道中映射第二层数据流量。可以通过覆盖模型与第三层的对等模型进行对比。

基于MPLS技术的三层VPN的优势非常明显，其能够很好地融合IP网络，对多种第二层协议进行支持，能够在多种传输网络中构建起来，其自动路由发现功能也比较强，这些对于VPN来说都非常重要[3]。

与此同时，基于MPLS技术的三层VPN在具体的应用中也存在着一定的限制，比如2547VPN就具有较高的PE路由器要求。现在仅仅高端路由器能够对多个私有路由器表进行支持，虽然如此，由于复杂的路由结构而导致的超负荷的可能性仍然存在于设备中。

3 基于MPLS技术的二、三层VPN对比和选择

在运用基于MPLS技术的VPN时，每个运营商都需要对选择二层VPN还是三层VPN这一问题进行慎重考虑。在选择的时候必须要对目前的网络结构和未来的业务进行充分考虑。基于MPLS技术的二层VPN对于已经使用第二层VPN的运营商来说具有更强的吸引力，这是由于这部分运营商并未对提供IP路由的解决方案和高端IP设备具有浓烈的兴趣，而且基于MPLS技术的三层VPN具有更高的费用和更大的复杂性，并且还要对目前的第二层VPN与MPLS VPN之间的互操作进行充分地考虑。总之，这些运营商对如何利用现有的网络更加关心，而不是关心怎样将一个新的网络建立起来。对于这些运营商来说，基于MPLS技术的二层VPN显然具有更大的吸引力[4]。对那些较多运用BGP的ISP来说，基于MPLS技术的三层VPN具有更大的吸引力，这是由于高端的IP/MPLS路由已经开始被运用在其网络边缘中。同时，在对大型的VPN网络进行运营的时候更加适合采用基于MPLS技术的三层VPN，这是由于其客户的节点比较多，而且需要对站点进行经常性的更换，因此其VPN网络需要能够将路由自动发现。

4结语

运营商必须要严格地按照自身的网络情况选择采用哪种运营模式、哪种技术和哪种方式将基于MPLS技术的VPN业务提供出来。如果运行商处于垄断地位，这时候可以选择循序渐进的方法利用基于MPLS技术的VPN补充自身传统的VPN业务。新型的宽带业务运营商由于并不具备原有技术的负担和限制的问题，再加上其本身处于竞争的地位，这时候就可以对MPLSVPN技术进行直接利用，从而将VPN业务体系建立起来。

参考文献：

[1]孟健，龚志凡，唐富强.MPLS网络技术的发展和基本原理与应用简介[J].硅谷，2011（07）.

[2]李海华.BGP MPLS VPN数据转发过程分析[J].计算机技术与发展，2011（06）.

[3]柳鹏.浅谈MPLS VPN技术[J].中国科技信息，2011（14）.

VPN的发展前景 第6篇

关键词：虚拟专网交换机 网络安全 拓扑结构 拓扑图

一、虚拟专网VLAN

1.1 VLAN简介及实现方法

1、控制网络的广播风暴 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

2、确保网络安全 VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3、简化网络管理 网络管理员能借助于VLAN技术轻松管理整个网络。网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

1.2在CISCO （思科）Catalyst 4006上配置VLAN

1、设置VTP DOMAIN。VTP DOMAIN称为管理域。这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。

2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL（Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。

3、创建VLAN一旦建立了管理域，就可以创建VLAN了。注意，这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP 属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。

4、将交换机端口划入VLAN 例如，要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN，端口2划入MARKET VLAN，端口3划入MANAGING VLAN……

5、给VLAN所有的节点分配静态IP地址，保证第三层互相访问。

二、虚拟专用网络VPN

2.1 VPN的简介及应用

当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

2.2 VPN使用的协议

VPN使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。

1. PPTP PPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将 IP、IPX或NetBEUI协议封装在PPP数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接，实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。

2. L2TP L2TP是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议安全 (IPSec) 机制来进行身份验证和数据加密。目前L2TP只支持通过IP网络建立隧道，不支持通过X.25、帧中继或ATM网络的本地隧道。

2.3VPN的身份验证方法

1.CHAP

CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

2.MS-CHAP

同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。

3.MS-CHAP v2

MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

4.EAP

通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。

2.4VPN的加密技术

对于PPTP服务器，将采用MPPE加密技术MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2或EAP/TLS身份验证被协商之后，数据才由MPPE进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。

对于L2TP服务器，将使用IPSec机制对数据进行加密IPSec是基于密码学的保护服务和安全协议的套件。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程VPN服务器之間进行协商。IPSec可用的加密包括56位密钥的数据加密标准DES和56位密钥的三倍DES(3DES)。

参考文献

1.程光.Internet基础与应用.清华大学出版社,2006.

2.陈少红.计算机网络基础.清华大学出版社，2006.

3.余青松.网络实用技术.清华大学出版社，2006.

4.马秀麟.计算机应用基础.清华大学出版社，2005.

5.黄永峰等.计算机网络教程.清华大学出版社，2006.