導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇vpn技術(shù)論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

引言

隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信，實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源，成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。

一、vpn技術(shù)簡介

VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)絡(luò)，指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對移動用戶和漫游用戶的支持，使網(wǎng)絡(luò)時代的移動辦公成為現(xiàn)實(shí)。

隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展，基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長足發(fā)展。根據(jù)企業(yè)的商務(wù)活動，需要一些固定的生意伙伴、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng)，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業(yè)的市場響應(yīng)速度和決策速度。同時，圍繞企業(yè)自身的發(fā)展戰(zhàn)略，企業(yè)的分支機(jī)構(gòu)越來越多，企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問的渠道。面對越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題，VPN技術(shù)無疑給我們提供了一個很好的解決思路。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，大幅度地減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時間，降低了企業(yè)局域網(wǎng)和Internet安全對接的成本。VPN的應(yīng)用建立在一個全開放的Internet環(huán)境之中，這樣就大大簡化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。

二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析

VPN技術(shù)類型有很多種，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用，基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點(diǎn)，能夠很好的滿足企業(yè)對VPN的常規(guī)需求。

2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互?；贗nternet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜?。挥脩粽J(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

在運(yùn)行性能方面，隨著企業(yè)電子商務(wù)活動的激增，信息處理量日益增加，網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此制定VPN方案時應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數(shù)據(jù)傳輸重要性的接口帶寬，這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則，又不會屏蔽低優(yōu)先級的應(yīng)用。考慮到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長，對與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報(bào)告等方面的負(fù)擔(dān)，管理平臺要有一個定義安全策略的簡單方法，將安全策略進(jìn)行合理分布，并能管理大量網(wǎng)絡(luò)設(shè)備，確保整個運(yùn)行環(huán)境的安全穩(wěn)定。

三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用

企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計(jì)出VPN網(wǎng)絡(luò)，無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路，即可實(shí)現(xiàn)遠(yuǎn)程終端對企業(yè)資源的訪問和共享。在實(shí)際應(yīng)用中，VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中，客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。

3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”，需要對此服務(wù)進(jìn)行必要的配置使其生效。

3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”服務(wù)窗口；鼠標(biāo)右鍵點(diǎn)擊本地計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”；在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步，進(jìn)入服務(wù)選擇窗口；標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡（分別對應(yīng)內(nèi)網(wǎng)和外網(wǎng)），選擇“遠(yuǎn)程訪問（撥號或VPN）”；外網(wǎng)使用的是Internet撥號上網(wǎng)，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網(wǎng)絡(luò)接口，此時會看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址，選擇連接外網(wǎng)的網(wǎng)卡；在對遠(yuǎn)程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址，新建一個指定的起始IP地址和結(jié)束IP地址。最后，“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。

3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限。在“管理工具”中打開“計(jì)算機(jī)管理”控制臺；依次展開“本地用戶和組”“用戶”，選中用戶并進(jìn)入用戶屬性設(shè)置；轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問”，即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統(tǒng)配置步驟類似。

在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性，之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c(diǎn)下一步；接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場所的網(wǎng)絡(luò)”；在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”；接著為此連接命名后點(diǎn)下一步；在“VPN服務(wù)器選擇”窗口里，輸入VPN服務(wù)端地址，可以是固定IP，也可以是服務(wù)器域名；點(diǎn)下一步依次完成客戶端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼，即可連接上VPN服務(wù)器端。:

3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后，即可訪問服務(wù)器所在局域網(wǎng)里的信息資源，就像并入局域網(wǎng)一樣適用。遠(yuǎn)程用戶既可以使用企業(yè)OA，ERP等信息管理系統(tǒng)，也可以使用文件共享和打印等共享資源。

四、小結(jié)

現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中，虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)，從而為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價值，在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。

篇2

 

一、VPN服務(wù)及其應(yīng)用

VPN，即Virtual Private Network，是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò)，如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等，并且能夠?qū)⑼ㄟ^公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密。利用VPN，企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)。

如果訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源，使用者需要接入本地ISP的接入服務(wù)提供點(diǎn)，即接入Internet，然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù)，使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網(wǎng)絡(luò)。論文寫作，管理。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器。

二、VPN管理

VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無縫延伸到公共網(wǎng)絡(luò)，甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù)，可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營商去完成，但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)。所以，一個功能完整的VPN管理系統(tǒng)是必需的。

通過VPN管理系統(tǒng)，可以實(shí)現(xiàn)以下目的：

1、降低成本：保證VPN可管理的同時不會過多增加操作和維護(hù)成本。

2、可擴(kuò)展性：VPN管理需要對日益增加的企業(yè)客戶作出快速的反應(yīng)，包括網(wǎng)絡(luò)軟件和硬件的平滑升級、安全策略維護(hù)、網(wǎng)絡(luò)質(zhì)量保證QOS等。論文寫作，管理。

3、減少風(fēng)險：從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò)，VPN面臨著安全與監(jiān)控的風(fēng)險。網(wǎng)絡(luò)管理要求做到允許公司分部、客戶通過VPN訪問企業(yè)內(nèi)網(wǎng)的同時，還要確保企業(yè)資源的完整性。

4、可靠性：VPN構(gòu)建于公共網(wǎng)絡(luò)之上，其可控性降低，所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術(shù)

1、第二層通道協(xié)議

第二層通道協(xié)議主要有兩種，PPTP和L2TP，其中L2TP協(xié)議將密鑰進(jìn)行加密，其可靠性更強(qiáng)。

L2TP提高了VPN的管理性，表現(xiàn)在以下方面：

（1）安全的身份驗(yàn)證

L2TP可以對隧道終點(diǎn)進(jìn)行驗(yàn)證。不使用明文的驗(yàn)證，而是使用類似PPPCHAP的驗(yàn)證方式。論文寫作，管理。

（2）內(nèi)部地址分配

用戶接入VPN服務(wù)器后，可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址，從而方便的加入企業(yè)內(nèi)網(wǎng)，訪問網(wǎng)絡(luò)資源。地址的獲取可以使用動態(tài)分配的管理方法，由于獲取的是企業(yè)內(nèi)部的私有地址，方便了地址管理并增加安全性。論文寫作，管理。

（3）網(wǎng)絡(luò)計(jì)費(fèi)

L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計(jì)，方便計(jì)費(fèi)。

（4）統(tǒng)一網(wǎng)絡(luò)管理

L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議，相關(guān)的MIB也已制定完成，可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。

2、IKE協(xié)議

IKE協(xié)議，即Internet Key Exchange，用于通信雙方協(xié)商和交換密鑰。IKE的特點(diǎn)是利用安全算法，不直接在網(wǎng)絡(luò)上傳輸密鑰，而是通過幾次數(shù)據(jù)的交換，利用數(shù)學(xué)算法計(jì)算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計(jì)算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗(yàn)證方面，IKE提供了公鑰加密驗(yàn)證、數(shù)字簽名、共享驗(yàn)證字方法。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書實(shí)現(xiàn)身份認(rèn)證。

IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問題，是一種通用的協(xié)議，不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。

3、配置管理

可以使VPN服務(wù)器支持MIB，利用SNMP的遠(yuǎn)程配置和查詢功能對VPN網(wǎng)絡(luò)進(jìn)行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問VPN服務(wù)器，利用服務(wù)器上設(shè)置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對服務(wù)器進(jìn)行配置。論文寫作，管理。用戶登錄后，服務(wù)器會只授權(quán)登錄的IP地址和登錄客戶權(quán)限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點(diǎn)。

（2）分級統(tǒng)一管理

如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大，可以對VPN服務(wù)器進(jìn)行統(tǒng)一配置管理，三級網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計(jì)，然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過分級管理，一級網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量、流量并進(jìn)行統(tǒng)計(jì)，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協(xié)議的總稱，IPsec被設(shè)計(jì)用來提供入口對入口通信安全分組通信的安全性由單個結(jié)點(diǎn)提供給多臺機(jī)器或者是局域網(wǎng)，也可以提供端到端通信安全，由作為端點(diǎn)的計(jì)算機(jī)完成安全操作。上述兩種模式都可以用來構(gòu)VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規(guī)則和過濾器，以便提供不同程度的安全級別。論文寫作，管理。在IPSec策略的實(shí)現(xiàn)中，有多種預(yù)置策略供用戶選擇，用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本的方法，一是在本地計(jì)算機(jī)上指定策略，二是使用組策略對象，由其來實(shí)施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性。

利用上述VPN管理技術(shù)，可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性、完整性，并能夠?qū)崿F(xiàn)資源的分布式服務(wù)。以后還將結(jié)合更多的技術(shù)，實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理。其使用的領(lǐng)域也會越來越廣泛。

參考文獻(xiàn)：

[1]帕勒萬等著劉劍譯.無線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社，2002.11

[2]朱坤華，李長江.企業(yè)無線局域網(wǎng)的設(shè)計(jì)及組建研究[J].河南科技學(xué)院學(xué)報(bào)2008.2:120-123

篇3

 

1.校園網(wǎng)問題分析及其解決方案的提出

虛擬專用網(wǎng)（VPN），是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。它通過“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)（通常是因特網(wǎng)）安全地對單位內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。

近年來，隨著高校信息化建設(shè)工作的深入開展，校園網(wǎng)用戶對校園網(wǎng)的要求也越來越高，傳統(tǒng)的單一公網(wǎng)接入模式已經(jīng)很難滿足日趨復(fù)雜的應(yīng)用需求。大多數(shù)的教師習(xí)慣于利用家里的計(jì)算機(jī)上網(wǎng)查資料、寫論文。如果要去學(xué)校圖書館網(wǎng)站，或者是教育網(wǎng)內(nèi)查資料，一般情況下是無法查找并下載的，因?yàn)閷W(xué)校圖書館的電子資源都做了訪問限制，普通Internet用戶也是不能訪問教育網(wǎng)的。在每年期末考試后，老師在線提交成績時，都要登錄學(xué)校內(nèi)部“教務(wù)處”的網(wǎng)站在線提交，這時也只能到學(xué)校提交。

為此，校園網(wǎng)的建設(shè)可采用多ISP連接的網(wǎng)絡(luò)訪問模式：在原有的教育網(wǎng)出口的基礎(chǔ)上增加一個當(dāng)?shù)豂SP（移動、聯(lián)通或電信寬帶ISP）出口，形成多ISP連接的校園網(wǎng)絡(luò)結(jié)構(gòu)，并且需學(xué)校的網(wǎng)絡(luò)中心在學(xué)校組建VPN服務(wù)器，供教職工在校外使用校內(nèi)資源。在組建VPN服務(wù)器時，使用當(dāng)?shù)豂SP出口，為校外的教職工提供VPN接入服務(wù)，因?yàn)樾Ｍ饨搪毠ご蠖嗍褂卯?dāng)?shù)豂SP提供的ADSL寬帶業(yè)務(wù)。當(dāng)校外職工使用VPN接入學(xué)校的VPN服務(wù)器后，就可以訪問校園網(wǎng)與教育網(wǎng)上的資源，這將為教職工提供很大的便利。

2.VPN關(guān)鍵技術(shù)研究

⑴隧道技術(shù)：隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對應(yīng)于OSI模型的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）、L2TP（第二層隧道協(xié)議）和L2F（第2層轉(zhuǎn)發(fā)協(xié)議）都屬于第2層隧道協(xié)議，是將用戶數(shù)據(jù)封裝在點(diǎn)對點(diǎn)協(xié)議（PPP）幀中通過互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對應(yīng)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議，是將IP包封裝在附加的IP包頭中，通過IP網(wǎng)絡(luò)傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于，用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。

⑵安全技術(shù)：VPN安全技術(shù)主要包括加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)；密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊?。皇褂谜吲c設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼認(rèn)證等方式。

3.基于VPN技術(shù)的多出口校園網(wǎng)的設(shè)計(jì)

3.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

為了滿足可擴(kuò)展性和適應(yīng)性目標(biāo)，網(wǎng)絡(luò)結(jié)構(gòu)采用典型的層次化拓?fù)?，即核心層、分布層、訪問層。核心層路由器用于優(yōu)化網(wǎng)絡(luò)可用性和性能，主要承擔(dān)校園網(wǎng)的高速數(shù)據(jù)交換任務(wù)，同時要為各分布層節(jié)點(diǎn)提供最佳數(shù)據(jù)傳輸路徑；分布層交換機(jī)用于執(zhí)行策略，分別連接圖書館、辦公樓、實(shí)驗(yàn)樓以及各院系；接入層通過低端交換機(jī)和無線訪問節(jié)點(diǎn)連接用戶。畢業(yè)論文。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

3.2 網(wǎng)絡(luò)工作原理

在該組網(wǎng)方案中，學(xué)校通過核心層路由器分別接入教育網(wǎng)與Internet，然后通過一硬件防火墻與分布層交換機(jī)連接，分布層交換機(jī)負(fù)責(zé)連接圖書館、辦公樓、實(shí)驗(yàn)樓以及各院系的接入層設(shè)備，校園網(wǎng)內(nèi)的終端計(jì)算機(jī)直接與接入層設(shè)備相連。終端計(jì)算機(jī)可直接使用教育網(wǎng)分配的IP地址。校園網(wǎng)內(nèi)有一臺安裝了ISAServer2006的VPN服務(wù)器，給其分配一個教育網(wǎng)IP地址（假設(shè)Ip：202.102.134.100，網(wǎng)關(guān)地址202.102.134.68），在防火墻中將一個公網(wǎng)地址（假設(shè)為222.206.176.12）映射到該地址。VPN服務(wù)器可通過“防火墻”與“核心層路由器”訪問Internet與教育網(wǎng)，Internet上的用戶，可以通過“Internet上的VPN客戶端—>Internet網(wǎng)絡(luò)—>核心層路由器—>防火墻—>分布層交換機(jī)—>ISA Server2006VPN服務(wù)器”的路線連接到VPN服務(wù)器，之后，ISAServer2006 VPN服務(wù)器通過防火墻和核心層路由器訪問教育網(wǎng)，并且ISA Server2006 VPN服務(wù)器通過分布層交換機(jī)提供了到學(xué)校內(nèi)網(wǎng)的訪問。

3.3 技術(shù)要點(diǎn)

⑴防火墻內(nèi)網(wǎng)地址問題。如果防火墻是透明模式接入，各個網(wǎng)口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個網(wǎng)口配置同一個網(wǎng)段的IP。如果是路由模式，需要給防火墻的每個網(wǎng)口配置不同網(wǎng)段的IP，就象路由器一樣?，F(xiàn)在有一些防火墻已經(jīng)有所謂的混合模式，也就是透明和路由同時工作，這屬于路由模式的擴(kuò)展。畢業(yè)論文。

⑵VPN服務(wù)器的注意事項(xiàng)。ISA Server2006VPN服務(wù)器要求至少有“兩塊網(wǎng)卡”才能做VPN服務(wù)器，若服務(wù)器上只有一塊網(wǎng)卡，需為其安裝一塊“虛擬網(wǎng)卡”。另外，VPN服務(wù)器不一定要直接連接在分布層交換機(jī)上，也可以是圖書館、辦公樓、實(shí)驗(yàn)樓以及各院系的一臺服務(wù)器，只要映射一個公網(wǎng)地址即可。

⑶設(shè)定ISA Server2006接受VPN呼叫。VPN 可通過默認(rèn)設(shè)置的動態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）或者通過使用路由選擇和遠(yuǎn)程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP，VPN客戶端永遠(yuǎn)不會同DHCP服務(wù)器進(jìn)行直接通信，運(yùn)行ISA Server2006的VPN服務(wù)器將分配從DHCP服務(wù)器所獲得的地址；它將基于運(yùn)行ISA Server2006的VPN 服務(wù)器的內(nèi)部接口配置來分配名稱服務(wù)器地址。如果擁有多個內(nèi)部接口，運(yùn)行ISA Server的VPN 服務(wù)器將選擇其中之一。

⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時，在為VPN客戶端分配IP地址的時候，要保證所分配的地址不能與VPN服務(wù)器本身以及VPN服務(wù)器所屬內(nèi)網(wǎng)、公網(wǎng)的地址沖突，否則VPN客戶端在訪問內(nèi)網(wǎng)時，會造成尋址問題而不能訪問。畢業(yè)論文。為了避免出現(xiàn)問題，直接分配私網(wǎng)的IP地址即可，比如192.168.14.0/24網(wǎng)段。另外，校園網(wǎng)外的教職工，在撥叫VPN服務(wù)器時，應(yīng)是防火墻映射的地址，本文中即222.206.176.12。

4.結(jié)束語

多出口是目前許多高校組建校園網(wǎng)時所采取的方式，多出口解決了教育網(wǎng)與Internet之間的出口速度很慢的問題，將VPN技術(shù)應(yīng)用到具有多出口的高校校園網(wǎng)，可以讓校外Internet用戶更容易、更方便的獲得對教育網(wǎng)、校園網(wǎng)數(shù)字資源的使用權(quán)。

參考文獻(xiàn)

[1]曹利峰,杜學(xué)繪,陳性元.一種新的IPsecVPN的實(shí)現(xiàn)方式研究[J].計(jì)算機(jī)應(yīng)用與軟件,2008,07

[2]賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用[J].銅仁學(xué)院學(xué)報(bào),2009,11

[3]吳建國,王鐵,許興華.校園網(wǎng)雙(多)出口的基本解決策略和方法[J].云南師范大學(xué)學(xué)報(bào),2010.01

篇4

1 MPLS技術(shù)原理及體系結(jié)構(gòu)分析 

1.1 MPLS技術(shù)原理分析 

從實(shí)際來看，在傳統(tǒng)以IP分組轉(zhuǎn)發(fā)的技術(shù)方面，主要是在IP分組報(bào)頭基礎(chǔ)上，通過IP地址在路由表當(dāng)中實(shí)施的最長匹配查找。MPLS技術(shù)將網(wǎng)絡(luò)層靈活的路由選擇功能及數(shù)據(jù)鏈路層高速交換性能特點(diǎn)進(jìn)行的完美結(jié)合，這樣就對以往的以IP分組技術(shù)為主的局限性得到了優(yōu)化。另外在這一技術(shù)上同時也引進(jìn)了標(biāo)簽概念，這是比較短并方便處置以及對拓?fù)湫畔]有包含的信息內(nèi)容。這一原理是對標(biāo)簽交換機(jī)制進(jìn)行的引入，也就是將路由控制以及數(shù)據(jù)轉(zhuǎn)發(fā)等進(jìn)行單獨(dú)化的處理，從而就為每個IP數(shù)據(jù)包提供了固定長度標(biāo)簽，就決定了數(shù)據(jù)包路徑及優(yōu)先級。  　    　1.2 MPLS體系結(jié)構(gòu)分析 

MPLS這一體系結(jié)構(gòu)當(dāng)中，MPLS所使用的短而定長標(biāo)簽封裝分組在數(shù)據(jù)平面實(shí)現(xiàn)了快速轉(zhuǎn)發(fā)功能，并在這一平面有著IP網(wǎng)絡(luò)的強(qiáng)大靈活路由功能，對實(shí)際所需要的網(wǎng)絡(luò)需求能夠得以有效滿足。其體系結(jié)構(gòu)圖示如下圖1所示，針對核心的LSR主要是在平面進(jìn)行標(biāo)簽的分組并轉(zhuǎn)發(fā)，在LER方面主要是轉(zhuǎn)發(fā)平面所進(jìn)行實(shí)施的工作任務(wù)，同時也包含了對傳統(tǒng)IP分組的轉(zhuǎn)發(fā)。 

通過上圖就能夠看出，對這一體系結(jié)構(gòu)起到支持的主要就是顯示路由以及逐跳路由，在對MPLS進(jìn)行實(shí)際應(yīng)用的過程中，實(shí)行標(biāo)記分發(fā)過程中也需要對顯示路由進(jìn)行規(guī)定，但這一路由并不會對每個IP分組進(jìn)行規(guī)定，這樣就會使得MPLS顯示路由會比傳統(tǒng)IP源點(diǎn)路由在作業(yè)額效率上得到很大程度的提升。不僅如此，在對MPLS LSP進(jìn)行構(gòu)建的過程中，能夠通過有序LSP以及獨(dú)立LSP進(jìn)行控制。 

2 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計(jì)及應(yīng)用 

2.1 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計(jì)分析 

通過對相關(guān)的技術(shù)加以借鑒對校園網(wǎng)要進(jìn)行詳細(xì)的規(guī)劃設(shè)計(jì)，通過實(shí)踐之后主要是采取了MPLS/BGP VPN技術(shù)作為是實(shí)現(xiàn)MPLS VPN業(yè)務(wù)技術(shù)路線所構(gòu)建的各業(yè)務(wù)系統(tǒng)虛擬獨(dú)立網(wǎng)絡(luò)，而后在各業(yè)務(wù)系統(tǒng)部門間的可控互通訪問。另外就是在MPLS VPN技術(shù)支持下通過對IP VPN部署來進(jìn)行提供安全保證，構(gòu)建能夠?qū)崿F(xiàn)全網(wǎng)電子信息資源庫，以及通過H3C網(wǎng)管平臺技術(shù)進(jìn)行實(shí)現(xiàn)網(wǎng)管中心對全網(wǎng)MPLS VPN業(yè)務(wù)的統(tǒng)一管理。具體的規(guī)劃設(shè)計(jì)能夠通過分校區(qū)規(guī)劃以及主校區(qū)規(guī)劃、共享數(shù)據(jù)VPN規(guī)劃的方式進(jìn)行實(shí)現(xiàn)。 

2.2 MPLS VPN技術(shù)在校園網(wǎng)中的實(shí)際應(yīng)用 

通過對MPLS VPN技術(shù)在校園網(wǎng)中的簡單規(guī)劃設(shè)計(jì)的分析，主要是能夠在實(shí)際中得到應(yīng)用。在具體應(yīng)用中主要是將局域網(wǎng)交換技術(shù)作為重要的基礎(chǔ)，并對虛擬局域網(wǎng)技術(shù)進(jìn)行有機(jī)的結(jié)合，在校園網(wǎng)當(dāng)中來實(shí)現(xiàn)單純的在OR基礎(chǔ)上第二層優(yōu)先級服務(wù)。由于所需服務(wù)的差異性，例如音視頻傳輸自身的要求。故此要能夠緊密的和服務(wù)機(jī)制進(jìn)行結(jié)合，來為校園網(wǎng)當(dāng)中一些關(guān)鍵通信數(shù)據(jù)幀設(shè)置較高的用戶優(yōu)先級。 

另外就是要結(jié)合實(shí)際進(jìn)行差別服務(wù)結(jié)合資源預(yù)留協(xié)議，雖然在綜合服務(wù)所提供的更高QOS保證，而對于校園網(wǎng)這類非運(yùn)營性網(wǎng)絡(luò)來說，過高的實(shí)現(xiàn)現(xiàn)代價以及復(fù)雜度并非是合適的。在具體的應(yīng)用過程中要能夠?qū)S域設(shè)置問題以及DSCP分類實(shí)現(xiàn)問題進(jìn)行有效的解決。MPLS VPN實(shí)現(xiàn)了VPN間的路由隔離，在每個PE路由器方面為每個所連接的VPN都進(jìn)行維護(hù)了獨(dú)立虛擬路由轉(zhuǎn)發(fā)實(shí)例，而每個VF駐留都是來自于同一VPN路由配置，穿越MPLS核心到其它的PE路由器過程中，這一隔離是過多協(xié)議，并增加了唯一VPN標(biāo)識符進(jìn)行實(shí)現(xiàn)。 

篇5

 

0 引言

近年來,隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開展業(yè)務(wù)工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站，通過網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問題日益突出，并且該問題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務(wù)的安全需求

根據(jù)電子商務(wù)系統(tǒng)的安全性要求，田陽農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。

1) 系統(tǒng)實(shí)體安全

系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過程。

2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急）來保護(hù)信息處理過程的安全[1]。項(xiàng)目組在實(shí)施項(xiàng)目前已對系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險分析，防止計(jì)算機(jī)受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點(diǎn)的多臺機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時備份）。為防止意外停電，系統(tǒng)需要配備多臺備用電源，作為應(yīng)急設(shè)施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識、控制。系統(tǒng)的核心服務(wù)是交易服務(wù)，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護(hù)客戶的私人信息，不被非法竊取。同時系統(tǒng)要具有認(rèn)證性和完整性，即確?？蛻羯矸莸暮戏ㄐ?，保證預(yù)約信息的真實(shí)性和完整性，系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問防火墻，即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性，要有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動參與者提供可靠的安全服務(wù)，具體可采用的技術(shù)如下：

2.1基于多重防范的網(wǎng)絡(luò)安全策略

1) 防火墻技術(shù)

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護(hù)屏障，并在此進(jìn)行檢查和連接，只有被授權(quán)的信息才能通過此保護(hù)屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機(jī)制，記錄可疑事件等。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

邊界防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2) VPN 技術(shù)

VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問、便于管理和實(shí)現(xiàn)全面控制，是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。

性能

VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時代，隨著電子商務(wù)活動的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級應(yīng)用的性能防火墻，又不會“餓死”，低優(yōu)先級的應(yīng)用。

管理問題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺要有一個定義安全政策的簡單方法，將安全政策進(jìn)行分布，并管理大量設(shè)備論文的格式。

2.2基于角色訪問的權(quán)限控制策略

農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象，與這些對象有關(guān)的用戶數(shù)量也非常多，所以用戶權(quán)限管理工作非常重要。

目前權(quán)根控制方法很多，我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中，包含用戶、角色、目標(biāo)、操作、許可權(quán)五個基本數(shù)據(jù)元素，權(quán)限被賦予角色，而不是用戶，當(dāng)一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務(wù)，并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權(quán)限。

(2)分配權(quán)限策略

根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對系統(tǒng)功能進(jìn)行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發(fā)生沖突，對該角色的權(quán)限不能輕易進(jìn)行修改，以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時，系統(tǒng)會根據(jù)用戶的角色的并集，從而得到用戶的權(quán)限，由權(quán)限得到菜單項(xiàng)對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件，數(shù)據(jù)庫文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫加密系統(tǒng)措施

(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級安全控制

這種控制可以采用多種方式，包括設(shè)置數(shù)據(jù)庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進(jìn)行用戶身份認(rèn)證。

2)防止非法復(fù)制

對于服務(wù)器來說防火墻，可以采用軟指紋技術(shù)防止非法復(fù)制，當(dāng)然，權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結(jié)束語

隨著信息化技術(shù)的快速發(fā)展，農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化，必須充分考慮信息安全因素與利用信息安全技術(shù)，這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長，本文所述的安全策略，對當(dāng)前實(shí)施電子商務(wù)有一定效果的，是值得推介應(yīng)用的。

參考文獻(xiàn)：

[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)（自然科學(xué)版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35

篇6

    引言

    虛擬專用網(wǎng)即VPN(Virtual Private Network)是利用接入服務(wù)器(Access Sever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的VPN服務(wù)被稱為IPVPN。

    利用共用的WAN網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個關(guān)鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

    1. 隧道技術(shù)

    Internet中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)?？偛亢头止镜絀SP的接入點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的"目的地址A""源地址B"。因此分組到達(dá)分公司的VPN設(shè)備后,立即在它的前部加上與全局IP地址對應(yīng)的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后,全局IP地址即被刪除,恢復(fù)成IP分組發(fā)往地址A。由此可見,隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在IP分組上添加新頭標(biāo),這就是所謂IP的封裝化。同時利用隧道技術(shù),還必須使得隧道的入口與出口相對地出現(xiàn)。

    基于隧道技術(shù)VPN網(wǎng)絡(luò),對于通信的雙方,感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。

    2. 隧道協(xié)議

    在一個分組上再加上一個頭標(biāo)被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用VPN技術(shù)還需要有隧道協(xié)議。

    2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類:

    ⑴ L2F(Layer 2 Forwarding)

    L2F是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器。將撥號數(shù)據(jù)流封裝在PPP幀內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器).

    ⑵ PTP(Point to point Tunnelimg protocol)

    PPTP協(xié)議又稱為點(diǎn)對點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對IP,IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。

    ⑶ 2TP(Layer 2 Tunneling Protocol)

    該協(xié)議是遠(yuǎn)程訪問型VPN今后的標(biāo)準(zhǔn)協(xié)議。

    L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接,端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。

    ⑷ TMP/BAYDVS

    ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠(yuǎn)程訪問的VPN協(xié)議,它部分采用了移動IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此,用戶可以不裝與VPN想適配的軟件。

    ⑸ PSEC

    IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。

    IPSEC隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中,通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。

    從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層VPN "與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的SSLVPN技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類。

    2.2 改進(jìn)后的幾種隧道機(jī)制的分類

    ⑴ J.Heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。

    例如同樣是以太網(wǎng)的技術(shù),根據(jù)實(shí)際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實(shí)際應(yīng)用中對VPN技術(shù)選型造成誤導(dǎo)。

    ⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評價標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道。

    隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對點(diǎn)的通道,而點(diǎn)對多點(diǎn)的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢。

    采用隔離型隧道技術(shù),則不存在以上問題,可以根據(jù)實(shí)際需要,提供點(diǎn)對點(diǎn),點(diǎn)對多點(diǎn),多點(diǎn)對多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?/p>

    3. 諸種安全與加密技術(shù)

    IPVPN技術(shù),由于利用了Internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來的是由于Internet技術(shù)的標(biāo)準(zhǔn)化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對網(wǎng)絡(luò)進(jìn)行攻擊,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此,利用IPVPN通信時,應(yīng)比專線更加注意Internet接入點(diǎn)的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。[2]

    ⑴ 防火墻技術(shù)

    防火墻技術(shù),主要用于抵御來自黑客的攻擊。

    ⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)

    加密技術(shù)可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或?qū)Ｓ眉用?也稱常規(guī)加密,由通信雙方共享一個秘密密鑰。

    非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應(yīng)的公用密鑰。任何一方都可以得到公用密鑰?；谒淼兰夹g(shù)的VPN虛擬專用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。

    參考文獻(xiàn)

篇7

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計(jì)算的興起和應(yīng)用，VPN隧道成為一個連接不同地區(qū)虛擬數(shù)據(jù)中心或者云計(jì)算中心的必備技術(shù)，其中L2 VPN工作在OSI網(wǎng)絡(luò)模型的第二層，它可以隱藏地域限制，提供虛擬專有網(wǎng)絡(luò)服務(wù)，能夠更好的滿足虛擬化及云計(jì)算的需求。

二、方法研究

L2 VPN基本的概念是將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合，利用VPN隧道模擬物理網(wǎng)線，將2臺或者多臺跨越因特網(wǎng)的網(wǎng)橋連接起來。

如圖所示：

為了實(shí)現(xiàn)以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數(shù)據(jù)包導(dǎo)向VPN隧道；

（2）如何封裝以太網(wǎng)幀；

（3）數(shù)據(jù)包的flow設(shè)計(jì)；

（4）如何支持VLAN；

（5）如何支持多站點(diǎn)多用戶（例如，星型拓?fù)洌?/p>

2.1重定向數(shù)據(jù)包到VPN隧道

為了很好的連接L2網(wǎng)橋和VPN網(wǎng)關(guān)，我們定義一個虛擬的隧道端口，用來解耦合網(wǎng)橋和VPN的功能。對于網(wǎng)橋來說，虛擬隧道端口就像是一個物理端口一樣，用來收發(fā)以太網(wǎng)數(shù)據(jù)包。對于VPN網(wǎng)關(guān)來說，虛擬隧道端口就是一個明文數(shù)據(jù)包進(jìn)入加密隧道的入口，所有到達(dá)虛擬隧道端口的數(shù)據(jù)包，都將會被加密從隧道發(fā)出去。

虛擬隧道端口模擬物理以太網(wǎng)端口，它的功能如下：

（1）在內(nèi)核中創(chuàng)建一個虛擬網(wǎng)絡(luò)端口；

（2）發(fā)送以太網(wǎng)數(shù)據(jù)包。而驅(qū)動程序的發(fā)送功能，就是VPN隧道加密。

（3）接收以太網(wǎng)數(shù)據(jù)包。VPN加密后，會把明文放到虛擬端口的接收隊(duì)列。

（4）支持網(wǎng)橋MAC反向?qū)W習(xí)。

（5）支持VLAN tag。

所有對于L2網(wǎng)橋看來，虛擬隧道端口和物理網(wǎng)橋端口沒有任何區(qū)別，收到和發(fā)送的都是以太網(wǎng)數(shù)據(jù)包。網(wǎng)橋也不知道VPN網(wǎng)關(guān)的存在。同樣，VPN網(wǎng)關(guān)也知道網(wǎng)橋的存在，到達(dá)VPN網(wǎng)關(guān)也只是以太網(wǎng)數(shù)據(jù)包。

2.2以太網(wǎng)數(shù)據(jù)包封裝

IPSec隧道工作在三層，用來設(shè)計(jì)封裝IP數(shù)據(jù)包，所以我們需要將以太網(wǎng)幀封裝成IP數(shù)據(jù)包，再將該IP數(shù)據(jù)包封裝成IPSec數(shù)據(jù)包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標(biāo)準(zhǔn)的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應(yīng)答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報(bào)文發(fā)往PC1。此時，VPN1并且更新MAC地址表。

VPN2網(wǎng)橋的MAC表：

（9）PC1收到ARP應(yīng)答明文包，學(xué)到PC2的MAC地址。然后發(fā)送ICMP請求到PC2。數(shù)據(jù)包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請求，查詢MAC地址表得到出口是tun1，將數(shù)據(jù)包送到VPN隧道加密，然后發(fā)往VPN2網(wǎng)關(guān)。

（11）VPN2收到ICMP請求，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC2。

（12）PC2收到ICMP請求并發(fā)送ICMP應(yīng)答，該應(yīng)答數(shù)據(jù)包被發(fā)發(fā)送到VPN2。

（13）VPN2收到ICMP應(yīng)答，查詢MAC地址表，得到出口是tun1，將數(shù)據(jù)包通過隧道發(fā)送到VPN1。

（14）VPN1收到ICMP應(yīng)答，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC1。

3.1VLAN支持

二層網(wǎng)橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數(shù)據(jù)包通過VPN隧道。

拓?fù)淙缦拢?/p>

EtherIP over IPSec可以封裝VLAN tag，但是overhead會比較大。一種優(yōu)化的方法是分配每個tunnel端口和tunnel一個VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓?fù)渲С?/p>

要支持Hub & Spoke星型拓?fù)?，我們只需要再增加一個tunnel端口，并且把該端口綁定到一個到Spoke的VPN隧道。該設(shè)計(jì)非常靈活，易于擴(kuò)展。

拓?fù)淙缦拢?/p>

四、結(jié)束語

本文通過引入虛擬隧道端口，巧妙的將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合在一起，簡單并且有效的將數(shù)據(jù)包重定向到VPN隧道。

另外，本文通過結(jié)合EtherIP over IPSec封裝發(fā)送多播和廣播數(shù)據(jù)包，IPSec封裝發(fā)送單播數(shù)據(jù)包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻(xiàn)

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

篇8

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立，但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴(yán)重地制約著縣級供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用，這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響，解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。

1廬江供電公司信息化建設(shè)現(xiàn)狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運(yùn)行，總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率。如今，廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財(cái)務(wù)服務(wù)器。力、公用微機(jī)80多臺，每位管理人員以及每個班組都配有微機(jī)。

在實(shí)施信息化建設(shè)與管理中，深深體會到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理、物資管理、項(xiàng)目管理、資料管理等方面的管理成本，并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類編號，輸人數(shù)據(jù)庫，實(shí)行設(shè)備、設(shè)施缺陷管理，科學(xué)地制定缺陷檢修計(jì)劃，提高設(shè)備運(yùn)行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)、電量電費(fèi)f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng)，通過這些系統(tǒng)，可方便與客戶的交流、溝通，節(jié)約成本開支，實(shí)現(xiàn)科學(xué)化營銷流程管理。這些管理信息系統(tǒng)的應(yīng)用，加強(qiáng)J’企業(yè)的規(guī)范化管理，增強(qiáng)了管理的科學(xué)化水平，減輕了工作人員的負(fù)擔(dān)，提高了企業(yè)的經(jīng)濟(jì)效益。

為此，廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進(jìn)力度，進(jìn)一步減輕了抄表人員的負(fù)擔(dān)，縮短了開票時間，加強(qiáng)了電費(fèi)電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉(xiāng)鎮(zhèn)供電聽，都使用同一版本的營銷MIS應(yīng)用系統(tǒng)。舟個供電聽都有3臺以上的微機(jī)，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統(tǒng)，與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高了工作效率，節(jié)省了開支。其余7個供電所仍不能夠?qū)崿F(xiàn)信息化共享，這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。

2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程

這些供電所若使用以前的光纖聯(lián)網(wǎng)方式，不僅投資大，施工工期長，而且日后的維護(hù)量也多?？紤]到以上原因，為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題，達(dá)到信息、共享，推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用，公司決定采用虛擬局域網(wǎng)(VPN)，在現(xiàn)有設(shè)備基礎(chǔ)上，進(jìn)行簡單的改造。通過在VPN網(wǎng)關(guān)中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應(yīng)用系統(tǒng)，實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障，而數(shù)據(jù)是在一個開放的、沒有安全保障的、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性、完整性、不可抵賴性”問題。 轉(zhuǎn)貼于

3方案效果比較

對2種方案的可能性進(jìn)行了比較，如圖1所示。如果廬江供電公司全部運(yùn)用光纖法來實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián)，每個供電所的材料費(fèi)、施工費(fèi)按3.5萬元，施工工期10天計(jì)算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網(wǎng)關(guān)1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內(nèi)就能完成7個供電所安裝。因此，應(yīng)用VPN方案，廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護(hù)所需要工作量。

現(xiàn)在，這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng)，在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s，生產(chǎn)MIS系統(tǒng)響應(yīng)時間為2--3 s，辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路，所以發(fā)送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運(yùn)行效果來看，完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。

4下一步信息化建設(shè)的主攻方向

目前，廬江供電所信息化還處于初級階段，對電力企業(yè)信息化建設(shè)的目標(biāo)還沒有完全形成統(tǒng)一的管理標(biāo)準(zhǔn);同時，廬江供電公司在實(shí)施VPN技術(shù)后，也清楚地看出:VPN是一種虛擬專用網(wǎng)絡(luò)，而不是一種真正的專用網(wǎng)絡(luò)。因此，廬江供電公司打算設(shè)立嚴(yán)格的管理制度，包括嚴(yán)格的權(quán)限管理，無關(guān)人員無權(quán)查看、改動數(shù)據(jù)，VPN客戶端的用戶與密碼管理等，建立起一套計(jì)算機(jī)管理操作等規(guī)章制度，使整個網(wǎng)絡(luò)安全有序地運(yùn)行。此外，該公司今后還將加大對供電所使用人員的計(jì)算機(jī)培訓(xùn)力度，包括計(jì)算機(jī)知識在內(nèi)的應(yīng)用培訓(xùn)，促進(jìn)操作人員更好地使用軟件，提高操作人員計(jì)算機(jī)水平，也為計(jì)算機(jī)應(yīng)用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動作用，并充實(shí)培養(yǎng)供電聽計(jì)算機(jī)網(wǎng)絡(luò)管理人員、信息安全管理人員，把信息化建設(shè)中的培訓(xùn)工作貫穿始終，進(jìn)而拓寬信息化的覆蓋面，保證信息、化工作的健康發(fā)展，讓VPN技術(shù)更好地為廬江供電公司信息化、專業(yè)化、現(xiàn)代化服務(wù)。

篇9

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立，但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴(yán)重地制約著縣級供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用，這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響，解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。

1廬江供電公司信息化建設(shè)現(xiàn)狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運(yùn)行，總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率。如今，廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財(cái)務(wù)服務(wù)器。力、公用微機(jī)80多臺，每位管理人員以及每個班組都配有微機(jī)。

在實(shí)施信息化建設(shè)與管理中，深深體會到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理、物資管理、項(xiàng)目管理、資料管理等方面的管理成本，并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類編號，輸人數(shù)據(jù)庫，實(shí)行設(shè)備、設(shè)施缺陷管理，科學(xué)地制定缺陷檢修計(jì)劃，提高設(shè)備運(yùn)行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)、電量電費(fèi)f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng)，通過這些系統(tǒng)，可方便與客戶的交流、溝通，節(jié)約成本開支，實(shí)現(xiàn)科學(xué)化營銷流程管理。這些管理信息系統(tǒng)的應(yīng)用，加強(qiáng)J’企業(yè)的規(guī)范化管理，增強(qiáng)了管理的科學(xué)化水平，減輕了工作人員的負(fù)擔(dān)，提高了企業(yè)的經(jīng)濟(jì)效益。

為此，廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進(jìn)力度，進(jìn)一步減輕了抄表人員的負(fù)擔(dān)，縮短了開票時間，加強(qiáng)了電費(fèi)電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉(xiāng)鎮(zhèn)供電聽，都使用同一版本的營銷MIS應(yīng)用系統(tǒng)。舟個供電聽都有3臺以上的微機(jī)，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統(tǒng)，與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高了工作效率，節(jié)省了開支。其余7個供電所仍不能夠?qū)崿F(xiàn)信息化共享，這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。

2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程

這些供電所若使用以前的光纖聯(lián)網(wǎng)方式，不僅投資大，施工工期長，而且日后的維護(hù)量也多?？紤]到以上原因，為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題，達(dá)到信息、共享，推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用，公司決定采用虛擬局域網(wǎng)(VPN)，在現(xiàn)有設(shè)備基礎(chǔ)上，進(jìn)行簡單的改造。通過在VPN網(wǎng)關(guān)中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應(yīng)用系統(tǒng)，實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障，而數(shù)據(jù)是在一個開放的、沒有安全保障的、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性、完整性、不可抵賴性”問題。

3方案效果比較

對2種方案的可能性進(jìn)行了比較，如圖1所示。如果廬江供電公司全部運(yùn)用光纖法來實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián)，每個供電所的材料費(fèi)、施工費(fèi)按3.5萬元，施工工期10天計(jì)算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網(wǎng)關(guān)1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內(nèi)就能完成7個供電所安裝。因此，應(yīng)用VPN方案，廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護(hù)所需要工作量。

現(xiàn)在，這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng)，在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s，生產(chǎn)MIS系統(tǒng)響應(yīng)時間為2--3 s，辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路，所以發(fā)送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運(yùn)行效果來看，完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。

4下一步信息化建設(shè)的主攻方向

篇10

一、現(xiàn)狀及需求

文山學(xué)院坐落于祖國西南邊陲云南省文山州州府所在地文山市，學(xué)校占地948畝，有教職工594人，學(xué)校設(shè)有10個二級學(xué)院共43個本專科專業(yè)，全日制在校生9183人。從學(xué)校建設(shè)角度，可以把文山學(xué)院分為老校區(qū)和新校區(qū)。學(xué)校校園網(wǎng)覆蓋到辦公樓、教學(xué)樓、教職工宿舍樓及老校區(qū)部分學(xué)生宿舍，由于校園網(wǎng)出口帶寬不高，整體網(wǎng)速慢以及很多學(xué)生宿舍沒有校園網(wǎng)布線，使得很多學(xué)生都是自己向網(wǎng)絡(luò)供應(yīng)商申請接入互聯(lián)網(wǎng)。由于我校的教務(wù)管理系統(tǒng)只能在校園網(wǎng)內(nèi)部訪問，教師查詢教學(xué)信息以及考試成績等的錄入只能局限在校園網(wǎng)內(nèi)部，另外廣大教師在獲取學(xué)校圖書館提供的電子圖書、科研論文等信息資源時，也只能在校園網(wǎng)訪問。因此，迫切需要一種方法能讓學(xué)校的師生無論是在學(xué)校內(nèi)還是校外，都能順利地訪問校園網(wǎng)里的資源。這對提高教學(xué)效率和教師的科研水平都是很有益的。因此，提出建設(shè)我校的VPN解決方案，能夠兼顧性能和價格，實(shí)現(xiàn)真正意義的優(yōu)質(zhì)低價的網(wǎng)絡(luò)VPN互聯(lián)。

二、VPN技術(shù)分析

虛擬專用網(wǎng)（Virtual Private NetWork，VPN）是指利用Internet等公共網(wǎng)絡(luò)創(chuàng)建遠(yuǎn)程的計(jì)算機(jī)到局域網(wǎng)以及局域網(wǎng)到局域網(wǎng)的連接，而建立的一種可以跨躍更大的物理范圍的局域網(wǎng)應(yīng)用。

1.隧道技術(shù)

隧道技術(shù)（Tunneling）是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送。新的幀頭提供路由信息，以便通過互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。

VPN采用隧道（Tunneling）技術(shù)，利用PPTP與L2TP等協(xié)議對數(shù)據(jù)包進(jìn)行封裝和加密，所以保證了在Internet等公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的安全性。

2.VPN分類

VPN按照它的應(yīng)用可以分為兩種：單機(jī)到局域網(wǎng)的連接（point to LAN）（如圖1所示）和局域網(wǎng)到局域網(wǎng)的連接（LAN to LAN）[1]（如圖2所示）。

單機(jī)到局域網(wǎng)的連接適用于單個用戶連接到企業(yè)局域網(wǎng)。只要用戶個人計(jì)算機(jī)能夠訪問Internet，用戶就能通過VPN方式跟企業(yè)局域網(wǎng)建立連接，從而訪問企業(yè)局域網(wǎng)提供的資源。

局域網(wǎng)到局域網(wǎng)的連接適用于企業(yè)分支機(jī)構(gòu)（可以是多個分支機(jī)構(gòu)）連接到企業(yè)總部局域網(wǎng)。企業(yè)分支機(jī)構(gòu)和企業(yè)總部既可以通過Internet互聯(lián)也可以通過專線連接，達(dá)到分支機(jī)構(gòu)局域網(wǎng)和總部局域網(wǎng)邏輯上屬于一個更大的局域網(wǎng)，實(shí)現(xiàn)資源的相互共享。

圖1單機(jī)到局域網(wǎng)的連接

圖2 局域網(wǎng)到局域網(wǎng)的連接

根據(jù)我校的實(shí)際情況，提供VPN服務(wù)可以方便廣大師生員工通過外網(wǎng)訪問校園網(wǎng)登陸教務(wù)管理系統(tǒng)數(shù)字圖書館等操作，選擇單機(jī)到局域網(wǎng)的連接。

一個完整的VPN系統(tǒng)一般由VPN服務(wù)器、VPN數(shù)據(jù)通道和VPN客戶端三個單元構(gòu)成。

三、VPN服務(wù)器及客戶機(jī)的安裝配置

1.VPN服務(wù)器的安裝與配置

方案以安裝有Windows Server 2008操作系統(tǒng)作為VPN服務(wù)器。

①單擊“開始”“程序”“管理工具”“管理您的服務(wù)器”命令，添加“遠(yuǎn)程訪問/VPN服務(wù)器”角色，啟動“路由和遠(yuǎn)程訪問服務(wù)器向?qū)А?/p>

②在向?qū)У呐渲媒缑嬷?，選擇“虛擬專用網(wǎng)絡(luò)（VPN）訪問和NAT”單選按鈕，配置該服務(wù)器為VPN服務(wù)器，同時具有NAT功能，然后單擊“下一步”按鈕

③選擇“VPN”和撥號復(fù)選框，然后單擊“下一步”按鈕

④使用VPN，在VPN服務(wù)器上必須有兩個網(wǎng)絡(luò)接口，一個連接到Internet，一個接到校園網(wǎng)網(wǎng)絡(luò)。選擇“本地連接”為VPN服務(wù)器到Internet的網(wǎng)絡(luò)接口，“本地連接2”連接到校園局域網(wǎng)。單擊“下一步”按鈕

⑤選擇“自動”單選按鈕，因?yàn)樾@網(wǎng)內(nèi)專門有DHCP服務(wù)器進(jìn)行IP地址的指派。單擊“下一步”按鈕

⑥提示是否選擇此服務(wù)器與RADIUS服務(wù)器一起工作，選擇“否”，單擊“下一步”按鈕

⑦最后單擊“完成”按鈕，結(jié)束“遠(yuǎn)程訪問/VPN服務(wù)器”的配置。

為用戶配置遠(yuǎn)程訪問權(quán)限

用戶可以通過VPN服務(wù)器上的本地用戶賬戶和局域網(wǎng)中的域用戶賬戶通過VPN訪問局域網(wǎng)。要使用戶通過VPN訪問局域網(wǎng)，賬戶都應(yīng)該具有“撥入權(quán)限”。

2.VPN客戶端計(jì)算機(jī)安裝與配置

遠(yuǎn)程客戶首要條件是已經(jīng)連接到Internet。遠(yuǎn)程客戶機(jī)接入Internet可以是通過寬帶撥號，也可以是局域網(wǎng)到Internet的網(wǎng)絡(luò)連接。

方案以安裝有windows 7 SP1操作系統(tǒng)作為VPN客戶端。

①打開控制面板進(jìn)入“網(wǎng)絡(luò)和共享中心”。

②點(diǎn)擊進(jìn)入“設(shè)置新的連接和網(wǎng)絡(luò)”，選擇“連接到工作區(qū)”并點(diǎn)擊“下一步”。

③點(diǎn)擊“使用我的Internet連接（VPN）”

④在“Internet地址”欄輸入企業(yè)網(wǎng)絡(luò)地址，并“下一步”。

⑤輸入企業(yè)網(wǎng)絡(luò)管理員提供的用戶名和密碼，點(diǎn)擊“連接”便可以連接到企業(yè)網(wǎng)絡(luò)。

⑥連接成功后，VPN客戶端邏輯上已經(jīng)和企業(yè)網(wǎng)絡(luò)處在同一局域網(wǎng)內(nèi)，此時VPN客戶端便可以使用遠(yuǎn)程局域網(wǎng)提供的各種資源。

四、結(jié)論

建立校園VPN，可以利用現(xiàn)有的公共網(wǎng)絡(luò)資源，在普通用戶和校區(qū)之間建立安全、可靠、經(jīng)濟(jì)和高效的傳輸鏈路，利用Internet的傳輸線路保證了網(wǎng)絡(luò)的互聯(lián)性，采用隧道、加密等VPN技術(shù)保證了信息傳輸?shù)陌踩?，從而極大地提高了辦公效率，節(jié)省了學(xué)校資源，為校園信息化建設(shè)奠定了基礎(chǔ)。

參考文獻(xiàn)：

[1]郝興偉.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].中國水利水電出版社，2009年：196-212.