vpn虛擬網絡畢業(yè)論文

1、<p><b>　　摘 要</b></p><p>　　虛擬專用網絡 VPN（Virtual Private Network )能通過公用網絡Internet建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。VPN是對企業(yè)內部網的擴展，它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。許多公司使用VPN向

2、公司外部的員工提供企業(yè)網絡接入。</p><p>　　本文基于VPN的理論，在前期對幾種VPN實際運用中的各種問題比較的基礎上，對反饋進行分析來反映VPN現狀。之后，從客戶角度出發(fā)，分析了造成問題的原因，進而從可用性、安全性及管理性三個角度對顧客的需求進行了分析。在此基礎上，筆者提出解決VPN問題的措施。</p><p>　　關鍵字：VPN，IPSEC,SSLVPN, 安全性，虛擬化，遠程

3、接入 </p><p><b>　　ABSTRACT</b></p><p>　　VPN (Virtual Private Network) through the public network to create a temporary, secure connection, which is a public network through the chaos o

4、f the security, stability of the tunnel. VPN is an extension of the intranet, it can help remote users, corporate offices, business partners and suppliers with the company's internal network connection to establish c

5、redible security and ensure the security of data transmission. Many companies provide VPN to the employees outside the corporate network acc</p><p>　　Key Words: VPN，IPSEC , SSLVPN, Security，Virtualization，Re

6、mote access</p><p><b>　　目 錄</b></p><p><b>　　第1章引言1</b></p><p>　　1.1 選題背景1</p><p>　　1.2 研究目標和意義1</p><p>　　1.3 研究思路1</p>

7、<p>　　第2章研究的理論基礎2</p><p>　　2.1 VPN的定義2</p><p>　　2.2 VPN種類3</p><p>　　2.2.1 二層VPN L2TP3</p><p>　　2.2.2 三層VPN5</p><p>　　2.2.3 MPLSVPN9</p>

8、<p>　　2.3 VPN原理淺析9</p><p>　　2.3.1 機密性10</p><p>　　2.3.2 完整性和數據包認證11</p><p>　　2.3.3 源認證和數據來源認證11</p><p>　　2.3.4 防重放13</p><p>　　2.3.5 Diffie-Hellman

9、算法13</p><p>　　2.4 VPN的比較14</p><p>　　2.4.1 IPsecVPN的優(yōu)點14</p><p>　　2.4.2 IPsecVPN的缺點15</p><p>　　2.4.3 SSL VPN的優(yōu)勢15</p><p>　　2.4.4 ISA VPN16</p>

10、<p>　　第3章VPN案例及其分析18</p><p>　　3.1 VPN在校園網構建上的應用18</p><p>　　3.1.1 方案背景18</p><p>　　3.1.2 VPN解決校園網安全風險18</p><p>　　3.1.3 VPN選擇： IPSec VPN還是SSL VPN20</p>&

11、lt;p>　　3.1.4 VPN為校園網帶來的應用22</p><p>　　3.1.5 VPN支持的校園網接入方式23</p><p>　　3.1.6 VPN在某校校園網中的實際應用27</p><p>　　3.1.7 結論28</p><p>　　3.2 方案分析28</p><p>　　第4章VP

12、N在企業(yè)構建的應用與優(yōu)化30</p><p>　　4.1 VPN在企業(yè)構建的應用30</p><p>　　4.1.1 意義，目標和總體方案30</p><p>　　4.1.2 具體設計方案31</p><p>　　4.1.3 關鍵技術35</p><p>　　4.1.4 設計結果及作用36</p>

13、;<p>　　4.1.5 案例分析36</p><p>　　4.2 虛擬化的實現36</p><p>　　4.2.1 桌面虛擬化36</p><p>　　4.2.2 虛擬化的優(yōu)勢37</p><p>　　4.2.3 虛擬化的應用方案40</p><p>　　第5章總結和展望44</p&

14、gt;<p>　　5.1 VPN的運營現狀44</p><p>　　5.2 VPN的前景展望44</p><p><b>　　參考文獻46</b></p><p><b>　　致謝48</b></p><p><b>　　引言</b></p>

15、<p><b>　　選題背景</b></p><p>　　虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上，一個企業(yè)的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時，這將簡化網絡的設計和管理，加速連接新的用戶和網站。另外，虛擬專用網還可以保護現有的網絡

16、投資。隨著用戶的商業(yè)服務不斷發(fā)展，企業(yè)的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上，而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯網虛擬專用網。 　目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP

17、系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。</p><p><b>　　研究目標和意義 </b></p><p>　　研究VPN的目標是：找一種實施簡便，不需改變現有網絡結構，運營成本低的解決方案。</p><p><b>　　研究思路</b&g

18、t;</p><p>　　VPN原理分析，并且結合實際運用分析各種VPN優(yōu)缺點，根據企業(yè)類型及大小選擇VPN及天翼，極通，CTRIX等遠程接入軟件協(xié)同工作。</p><p><b>　　研究的理論基礎</b></p><p><b>　　VPN的定義</b></p><p>　　VPN的英文全稱是“

19、Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議為連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。</p><p>　　我們可以把VPN理解成為是建立在實際網絡（或物理網絡）基礎上的一

20、種功能性網絡。它利用低成本的公共網絡做為企業(yè)骨干網，同時又克服了公共網絡缺乏保密性的弱點，在VPN網絡中，位于公共網絡兩端的網絡在公共網絡上傳輸信息時，其信息都是經過安全處理的，可以保證數據的完整性、真實性和私有性。</p><p>　　每家公司都有自己的內部網絡，而這個網絡是封閉的、有邊界的。小一些的網絡可能僅由辦公室中的幾臺電腦組成，規(guī)模較大的網絡可能由一棟建筑物中的所有終端組成甚至整個廠區(qū)中的所有終端組成，

21、但無論如何，這個內部網絡總是有邊界的，所以物理上將上海總部的內網與北京分部的內網直接相連在一般條件下是不可能實現的，而這一問題同時也限制了企業(yè)內部各種應用的延伸。</p><p>　　網絡通信是采用分層機制實現的，上層的各種應用無法查覺到下層網絡的工作方式，所以無論是邏輯上還是物理上只要將兩個網絡進行直接連連，對于上層應用來講是沒有分別的。VPN所實現的效果正是將兩個物理上分離的網絡通過Internet這個公共網

22、絡進行邏輯上的直接連接，通過這種方式我們可以無限延伸企業(yè)的內部網絡，繼而使所有用戶可以訪問相同的資源，使用相同的應用。</p><p>　　VPN的優(yōu)勢之處還在于它可以很好的利用當前既有的Internet線路資源，不再受地域的限制，而對于用戶來講，VPN的工作方式是完全透明的。VPN可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。針對不同的用戶要求，VPN有

23、三種解決方案：遠程訪問虛擬網（Access VPN）、企業(yè)內部虛擬網（Intranet VPN）和企業(yè)擴展虛擬網（Extranet VPN），分別適用于遠程/移動用戶訪問、連接各個企業(yè)內部網絡、連接企業(yè)內部網與合作伙伴內部網。</p><p><b>　　VPN種類</b></p><p>　　二層VPN L2TP</p><p>　　該協(xié)議是

24、一種工業(yè)標準的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡為IP網絡，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。L2TP協(xié)議是由IETF起草，微軟、Ascend、Cisco，3com等公司參予制定的二層隧道協(xié)議，它結合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點，為眾多公司所

25、接受，已經成為IETF有關2層通道協(xié)議的工業(yè)標準，基于微軟的點對點隧道協(xié)議 (PPTP)和思科2層轉發(fā)協(xié)議(L2F)之上的，被一個因特網服務提供商和公司使用使這個虛擬私有網絡的操作能夠通過因特網。</p><p>　　L2TP VPN適用于移動辦公用戶的VPN接入，可以提供嚴格的用戶驗證功能，確保VPN接入用戶的合法性。L2TP VPN的連接方式分為兩種：PC直接發(fā)起連接和LAC設備發(fā)起連接。兩種方式適用于不同企

26、業(yè)對于VPN接入控制和管理的不同要求。</p><p>　　L2TP VPN可以提供LAC側的用戶接入驗證和LNS側的用戶再次驗證，可以提供比較安全的VPN接入功能。</p><p>　　L2TP 安全性考慮</p><p>　　L2TP VPN本身雖然提供較為嚴格的接入用戶的認證功能，但不提供VPN數據的加密功能，如果需要對數據進行安全加密可以同IPSEC協(xié)議進行

27、配合。</p><p><b>　　L2TP客戶端功能</b></p><p>　　擴展了標準的L2TP功能，支持LAC客戶端功能，不僅可以為PPP或PPPOE用戶提供接入，而且也可以為其他連接方式的用戶提供接入，例如以太網接入。并且可以適用動態(tài)路由協(xié)議如OSPF進行路由選路，增強了可擴展性。</p><p>　　L2TP中的NAT問題<

28、/p><p>　　LAC在同位于NAT之后的LNS建立連接時可能會出現問題</p><p><b>　　L2TP多實例</b></p><p>　　L2TP協(xié)議上加入多實例技術，讓L2TP支持在一臺設備將不同的用戶劃分在不同的VPN，各個VPN之內的數據可以互通，且在LNS兩個不同VPN之間的數據不能互相訪問，即使L2TP接入是同一個設備。<

29、/p><p><b>　　三層VPN</b></p><p>　　三層VPN包含了很多種VPN，標準的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企業(yè)一般按照自己的需求選擇合適的VPN，每種VPN都有自己的優(yōu)點和缺點。</p><p><b>　　1）SSLVPN</b></p><p&

30、gt;　　SSLVPN指的是基于安全套接層協(xié)議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用隨著Web的普及和電子商務、遠程辦公的興起而發(fā)展迅速。</p><p>　　2）GRE隧道VPN</p><p>　　通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC

31、1702中定義，它規(guī)定了怎樣用一種網絡層協(xié)議去封裝另一種網絡層協(xié)議的方法。 </p><p>　　GRE VPN：GRE（Generic Routing Encapsulation）即通用路由封裝協(xié)議是對某些網絡層協(xié)議（如IP和IPX）的數據報進行封裝，使這些被封裝的數據報能夠在另一個網絡層協(xié)議（如IP）中傳輸。GRE是VPN（Virtual Private Network ）的第三層隧道協(xié)議，即在協(xié)議層之間采用

32、了一種被稱之為Tunnel（隧道）的技術。</p><p>　　GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協(xié)議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網絡連接IPX網絡和AppleTalk網絡，還可以使用保留地址進行網絡互聯，或對公網隱藏企業(yè)網的IP地址。</p><p>

33、　　3）IPsecVPN</p><p>　　IPsecVPN是網絡層的VPN技術，它獨立于應用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應用協(xié)議的信息。一旦IPSEC建立加密隧道后，就可以實現各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個傳輸直接對應到VPN網關之后的相關服務器上。IPSEC是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對應用層協(xié)議完全透明，這是I

34、PSEC VPN最大優(yōu)點所在。</p><p><b>　　MPLSVPN</b></p><p>　　MPLS-VPN是指采用MPLS技術在寬帶IP網絡上構建企業(yè)IP專網，實現跨地域、安全、高速、可靠 的數據、語音、圖像多業(yè)務通信，并結合差別服務、流量工程等相關技術，將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全 、靈活、高效結合在一起，為用戶提供高質量

35、的服務。</p><p>　　MPLS-VPN產品可提供從64K－2M－100M的帶寬，目前已覆蓋全國50多個大中城市，以及香港、臺灣、日本、美國、韓國、新加坡、澳大利亞、馬來西亞、菲律賓等地，可充分滿足大型企業(yè)、跨國集團進行全國或全球組網的需求。</p><p><b>　　VPN原理淺析</b></p><p><b>　　IPs

36、ec協(xié)議棧</b></p><p>　　IPsec 結合了三個主要的協(xié)議從而組成了一個和諧的安全框架：</p><p>　　--Internet密鑰交換(IKE)協(xié)議----提供協(xié)商安全參數和創(chuàng)建認證密鑰的框架。</p><p>　　--ESP(負載安全封裝)協(xié)議----提供加密,認證和保護數據的框架。</p><p>　　--認

37、證頭(AH)協(xié)議----提供認證和保護數據的框架。</p><p>　　在這些協(xié)議中,IKE和ESP在一起配置.盡管AH也是IPsec協(xié)議的一個重要成分。但不像使用IPsec時那樣要做那么多的配置。一般情況下,AH的很多功能都被嵌入到ESP中了。IKE協(xié)議是負責在二個IPsec對等體間協(xié)商一條IPsec隧道的協(xié)議,IKE在隧道建立過程中主要完成以下任務:</p><p><b>

38、　　--協(xié)商協(xié)議參數</b></p><p><b>　　--交換公共密鑰</b></p><p><b>　　--對雙方進行認證</b></p><p>　　--在交換后對密鑰進行管理</p><p>　　IKE也是由三個協(xié)議組成：</p><p>　　--SK

39、EME----提供為認證目的使用公開密鑰加密的機制</p><p>　　--Oakley----提供在二個IPsec對等體間達成相同加密密鑰的基于模式的機制。</p><p>　　--ISAKMP----定義了消息交換的體系結構,包括二個IPsec對等體間分組形式和狀態(tài)轉換。</p><p>　　IPsec協(xié)議可以完成四個功能：機密性，完整性，源認證，防重放。<

40、;/p><p><b>　　機密性 </b></p><p>　　1）DES與3DES</p><p>　　DES和3DES是在VPN中非常普遍采用的加密算法。DES原名Lucifer，是IBM在20世紀70年代初期開發(fā)的。</p><p>　　DES是一個塊密碼加密算法。他提取一個固定長度的數據塊，并使用對稱密鑰把它轉換

41、成同樣大小的加密數據塊。這個密鑰長度是64位，但是其中8位用來做奇偶效驗，所以有效密鑰長度位56位。解密是使用相同的對稱密鑰對加密的數據塊進行一個反過程。</p><p>　　攻破DES還沒有找到更容易的方法，但通過使用一種強力攻擊，嘗試2的55次方種可能的密鑰值來猜測使用的密碼信息。也有其他的攻破DES的方法，但是強力攻擊應經被證明是最適用的方法。DES在1998年被一臺超級計算機在56小時內攻破，1999年用

42、分布式計算機DES被22小時內攻破。而且很可能會出現一種專門破解DES的硬件設備，可以在一小時內破解DES加密?，F在DES可以在PC上用40分鐘的時間攻破。</p><p>　　為了使DES算法有更強的生命力，NIST在1999年創(chuàng)建了3DES。理論上3DES 是DES的增強版本。3DES使用了3個階段的DES，而且更安全。DES使用了三個不同的56為密鑰，被執(zhí)行了三次，產生一個168位的有效密鑰長度，而且沒有被

43、攻破。當前還沒有出現可以攻破3DES的超級計算機。</p><p><b>　　2）AES</b></p><p>　　NITS在2002年用先進的加密標準AES代替了DES和3DES。AES是一個對稱的數據塊密碼算法，它支持128、192、256位密鑰長度，它在一輪計算中包含4個階段：它對128位密鑰重復10次，對192位密鑰重復12次，對256位密鑰重復14次。即

44、使是這樣，因為AES是用有效的方法編寫的，它實際上消耗CPU較少。在執(zhí)行加密的時候，密鑰的大小，和需要CPU的運行時間并沒有什么線性關系。AES是IPsecVPN中最常使用的加密算法，也是對稱加密中最安全的算法。</p><p><b>　　完整性和數據包認證</b></p><p>　　數據包認證的實施——散列函數被用于將一個可變長度的輸入，例如用戶數據或數據包以及

45、一個密鑰共同輸入一個散列函數來產生一個簽名。輸出的是一個固定的長度結果。</p><p>　　散列消息驗證碼（HMAC）是散列函數的一個子集。HMAC功能特別開發(fā)用于處理和數據及數據包有關的驗證問題。HMAC使用一個共享的對稱密鑰來產生固定輸出，也叫數字簽名或手印。只有知道密鑰的一方才能建立并檢驗發(fā)送的數據簽名。1）MD5 HMAC</p><p>　　MD5是1994年由Ronald R

46、ivest 開發(fā)的。MD5創(chuàng)建一個128位的數字簽名。它比SHA更快，但是安全性稍差。它是目前IT市場上用的最多的HMAC。</p><p>　　2）SHA HMAC</p><p>　　SHA安全的散列算法由NITS開發(fā)，在VPN中使用的是SHA-1，它比md5慢，但是更安全，因為它的密鑰比較長，它可以有效地防止強大的攻破功能。</p><p>　　源認證和數據來

47、源認證</p><p><b>　　1）帶外域共享密鑰</b></p><p>　　最常用的設備驗證方法就是帶外域共享對稱密鑰加密認證。</p><p>　　自己的身份信息加上KEY，運行HMAC算法發(fā)給對端（簽名發(fā)給對端）對端把收到的信息用自己的KEY和HMAC算法也算出一個簽名，這2個簽名如果一樣就說明設備驗證通過。一般設備驗證的KEY不用

48、做加密，因為加密都是可逆的（對稱加密） 而HMAC不可逆。</p><p>　　2）域共享非對稱加密（加密隨機值）</p><p>　　表2-1域共享非對稱加密</p><p>　　3）數字證書（CA）</p><p><b>　　表2-2 數字證書</b></p><p>　　A和B如何確認這個

49、公鑰就是CA給的，A和B會把這個CA的公鑰HASH了得到一個HASH結果，之后給網管打電話去問看這個結果和CA服務器上的結果是不是一樣如果一樣則OK，這個叫離線確認</p><p><b>　　防重放</b></p><p><b>　　1）AH</b></p><p>　　IPsec 認證頭協(xié)議（IPsec AH）是 I

50、Psec 體系結構中的一種主要協(xié)議，它為 IP 數據報提供無連接完整性與數據源認證，并提供保護以避免重播情況。一旦建立安全連接，接收方就可能會選擇后一種服務。 AH 盡可能為 IP 頭和上層協(xié)議數據提供足夠多的認證。但是，在傳輸過程中某些 IP 頭字段會發(fā)生變化，且發(fā)送方無法預測當數據包到達接受端時此字段的值。 AH 并不能保護這種字段值。因此， AH 提供給 IP 頭的保護有些是零碎的。</p><p>　　A

51、H 可被獨立使用，或與 IP 封裝安全負載（ESP）相結合使用，或通過使用隧道模式的嵌套方式。在通信主機與通信主機之間、通信安全網關與通信安全網關之間或安全網關與主機之間可以提供安全服務。 ESP 提供了相同的安全服務并提供了一種保密性（加密）服務，而 ESP 與 AH 各自提供的認證其根本區(qū)別在于它們的覆蓋范圍。特別地，不是由 ESP 封裝的 IP 頭字段則不受 ESP 保護。</p><p><b>

52、;　　2）ESP</b></p><p>　　IPsec 封裝安全負載（IPsec ESP）是 IPsec 體系結構中的一種主要協(xié)議，其主要設計來在 IPv4 和 IPv6 中提供安全服務的混合應用。IPsec ESP 通過加密需要保護的數據以及在 IPsec ESP 的數據部分放置這些加密的數據來提供機密性和完整性。根據用戶安全要求，這個機制既可以用于加密一個傳輸層的段（如：TCP、UDP、ICMP

53、、IGMP），也可以用于加密一整個的 IP 數據報。封裝受保護數據是非常必要的，這樣就可以為整個原始數據報提供機密性。</p><p>　　Diffie-Hellman算法</p><p>　　表2-3 Diffie-Hellman算法</p><p><b>　　VPN的比較</b></p><p>　　IPsecVP

54、N的優(yōu)點</p><p>　　IKE使IPsecVPN配置簡單</p><p>　　簡單的講IKE是一種安全機制，它提供端與端之間的動態(tài)認證。IKE為IPsec提供了自動協(xié)商交換密鑰、建立SA的服務，這能夠簡化IPsec的使用和管理，大大簡化IPsec的配置和維護工作。IKE不是在網絡上直接傳輸密鑰，而是通過一系列數據的交換，最終計算出雙方共享的密鑰，有了IKE，IPsec很多參數（如：密

55、鑰）都可以自動建立，降低了手工配置的復雜度。</p><p>　　IPsecVPN對應用程序的高可擴展性</p><p>　　所有使用IP協(xié)議進行數據傳輸的應用系統(tǒng)和服務都可以使用IPsec，由于IPSec工作在OSI的第3層，低于應用程序直接涉及的層級，所以對于應用程序來講，利用IPSec VPN所建立起來的隧道是完全透明的，無需修改既有的應用程序，并且，現有應用程序的安全解決方法也不會

56、受到任何影響。且當有新的加密算法產生時可以直接移植進IPsec協(xié)議棧。</p><p>　　IpsecVPN加密靈活：</p><p>　　對數據的加密是以數據包為單位的，而不是以整個數據流為單位，這不僅靈活而且有助于進一步提高IP數據包的安全性，可以有效防范網絡攻擊。</p><p>　　IPsecVPN將網絡擴展：</p><p>　　I

57、psecvpn完成使二個專用的網絡組合成一個虛擬網絡的無縫連接。將虛擬網絡擴展成允許遠程訪問用戶(也被稱為road warriors)成為可信任網絡的一部分。</p><p>　　IPsecVPN的缺點</p><p>　　IPSec在客戶機/服務器模式下實現有一些問題，在實際應用中，需要公鑰來完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態(tài)分配IP地址時不太適合于I

58、PSec。除了TCP/IP協(xié)議外，IPSec不支持其他協(xié)議。除了包過濾之外，它沒有指定其他訪問控制方法?？赡芩淖畲笕秉c是微軟公司對IPSec的支持不夠。 IPSec在部署安全網關時要考慮拓撲排序，一旦添加新設備就要改變網絡結構。</p><p>　　IPsecvpn須在防火墻上開放不同的通訊埠（21、25、80、110、443等）來作為服務器和客戶端之間的數據傳輸通道。在防火墻上，每開啟一個通訊埠，就多一個黑客

59、攻擊機會。</p><p>　　SSL VPN的優(yōu)勢 </p><p>　　由于SSL協(xié)議本身就是一種安全技術，因此SSL VPN就具有防止信息泄漏、拒絕非法訪問、保護信息的完整性、防止用戶假冒、保證系統(tǒng)的可用性的特點，能夠進一步保障訪問安全，從而擴充了安全功能設施。</p><p>　　首先SSL VPN可以實現128位數據加密，保證數據在傳輸過程中不被竊取，確保

60、ERP數據傳輸的安全性。其次，多種認證和授權方式的使用能夠只讓“正確”的用戶訪問內部網絡，從而保護了企業(yè)內部網絡的安全性。 在應用性方面，SSL VPN不需要安裝客戶端軟件。遠程用戶只需借助標準的瀏覽器連接Internet，即可訪問企業(yè)的網絡資源。這樣盡管購買軟件和硬件的費用不一定低，但是 SSL VPN的部署成本卻很低。只要安裝了SSL VPN，基本上就不需要IT部門的支持了，所以維護成本可以忽略不計。對于那些只需進入企業(yè)內

61、部網站或者進行E-mail通信的遠程用戶來說，SSL VPN顯然是一個價廉物美的選擇。此外，SSL VPN連接要比IPSec VPN更穩(wěn)定，這是因為IPSec VPN是網絡層連接，故容易中斷。除此之外，在管理維護和操作性方面，SSL VPN方案可以做到基于應用的精細控制，基于用戶和組賦予不同的應用訪問權限，并對相關訪問操作進行審計。此外，SSL VPN還提高了平臺的靈活性，方便擴展應用和增強性能，尤其是在降低使用成本、最有效地保護用戶投

62、資這一敏感話題上，SSL VPN贏得了用戶</p><p>　　當今Web成為標準平臺已勢不可擋，越來越多的企業(yè)開始將系統(tǒng)移植到Web上。而SSL VPN通過特殊的加密通訊協(xié)議，被認為是實現遠程安全訪問Web應用的最佳手段，能夠讓用戶隨時隨地甚至在移動中連入企業(yè)內網，將給企業(yè)帶來很高的利益和方便。</p><p><b>　　ISA VPN簡介</b></p&g

63、t;<p>　　一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題，但是費用昂貴，對于中小企業(yè)來說是無法負擔的，而VPN技術能解決這個問題。根據該公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網絡架構彈性大等相關原則決定采用ISA Server VPN安全方案，以ISA作為網絡訪問的安全控制。ISA Server集成了Windows server VPN服務，提供一

64、個完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網關，并使用雙網卡，隔開內外網，增加網絡安全性。ISA具備了基于策略的安全性，并且能夠加速和管理對Internet的訪問。防火墻能對數據包層、鏈路層和應用層進行數據過濾、對穿過防火墻的數據進行狀態(tài)檢查、對訪問策略進行控制并對網絡通信進行路由。對于各種規(guī)模的企業(yè)來說，ISA Server 都可以增強網絡安全性、貫徹一致的 Internet 使用策略、加速 In

65、ternet 訪問并實現員工工作效率最大化。</p><p>　　在ISA中可以使用以下三種協(xié)議來建立VPN連接： </p><p>　　?IPSEC隧道模式； </p><p>　　?L2TP over IPSec模式； </p><p><b>　　?PPTP； </b></p><p>　　

66、下表比較了這三種協(xié)議</p><p>　　表2-4 ISA 協(xié)議比較</p><p><b>　　VPN案例及其分析</b></p><p>　　VPN在校園網構建上的應用 </p><p><b>　　方案背景 </b></p><p>　　隨著教育信息化的深入，很多學校

67、都建立了校園網，為了實現校內資源優(yōu)化整合，讓師生們更好的進行工作和學習，他們需要在校園網內部或在校外的遠程節(jié)點上，隨時享受校園網內部的各項服務，然而由于互聯網黑客對各高校的資源虎視眈眈，在沒有經過任何允許的情況下，黑客們很容易就潛入校園網內部進行"搗亂"，為此，多數校園網都不會將自己的各種應用系統(tǒng)和所有信息資源完全開放，因為這樣讓整個校園網面臨無以估量的破壞性損失，為了網絡安全考慮，將VPN技術應用于基于公共互聯網構

68、架的校園網，可以較好的解決校園網多校區(qū)、遠程訪問、遠程管理等問題。 根據接入方式的不同，校園網VPN可以為兩種類型：一是專線VPN通過固定的線路連接到ISP（如DDN、幀中繼等都是專線連接）；其次是撥號接入VPN（簡稱VPDN），使用撥號連接（如模擬電話、ISDN和ADSL等）連接到ISP是典型的按需連接方式，這是-種非固定線路的VPN，比如ADSL是基于ATM（異步傳送模式）光纜傳輸接入Internet，學?？梢岳肁D

69、SL的公共IP地址建立自己的WWW服務器，因而也可以提供基于ATM的VPN（虛擬專用網）服務，從而形成虛擬的教育城域網實</p><p>　　VPN解決校園網安全風險</p><p>　　對于校園網而言，它雖然給師生帶來了資源共享的便捷，但同時也意味著具有安全風險，比如非授權訪問，沒有預先經過授權，就使用校園網絡或計算機資源；信息泄漏或丟失，重要數據在有意或無意中被泄漏出去或丟失；以非法手

70、段竊得對數據的使用權，刪除、修改、插入或重發(fā)某些重要信息；不斷對網絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓；利用網絡傳播計算機病毒等。那么，校園網利用VPN技術方案，是否能避免校園網的潛在安全隱患，杜絕上述情況的發(fā)生呢？</p><p>　　圖3-1 普通校園網方案并不安全</p><p>　　VPN的安全功能包括：通道協(xié)議、身份驗證和數據加密。遠程外網

71、客戶機向校園網內的VPN服務器發(fā)出請求，VPN服務器響應請求并向客戶機發(fā)出身份質詢，客戶機將加密的響應信息發(fā)送到VPN服務端，VPN服務器根據用戶數據庫檢查該響應，如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限，如果該用戶擁有遠程訪問的權限，VPN服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。簡單來說，VPN可以通過對校園網內的數據進行封包和加密傳輸，在互聯網公網上傳輸私有數據、達到私

72、有網絡的安全級別。 </p><p>　　圖3-2 校園網VPN方案更為安全</p><p>　　選擇IPSec VPN還是SSL VPN：</p><p>　　校園網VPN方案可以通過公眾IP網絡建立了私有數據傳輸通道，將遠程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕了校園網的遠程訪問費用負擔，節(jié)省電話費用開支，不過對于端到端的安全數據通訊，還需要

73、根據實際情況采取不同的架構。一般而言，IPsec VPN和SSL VPN是目前校園網VPN方案采用最為廣泛的安全技術，但它們之間有很大的區(qū)別，總體來說，IPSEC VPN是提供站點與站點之間的連接，比較適合校園網內分校與分校的連接；而SSL VPN則提供遠程接入校園網服務，比如適合校園網與外網的連接。</p><p>　　圖3-3 VPN可實現多校區(qū)資源共享</p><p>　　從VPN技

74、術架構來看，IPSec VPN是比較理想的校園網接入方案，由于它工作在網絡層，可以對終端站點間所有傳輸數據進行保護，可以實現Internet多專用網安全連接，而不管是哪類網絡應用，它將遠程客戶端"置于"校園內部網，使遠程客戶端擁有內部網用戶一樣的權限和操作功能。IPSec VPN還要求在遠程接入客戶端適當安裝和配置IPSec客戶端軟件和接入設備，這大大提高了安全級別，因為訪問受到特定的接入設備、軟件客戶端、用戶認證機

75、制和預定義安全規(guī)則的限制。而且這些IPSec客戶端軟件能實現自動安裝，不需要用戶參與，因而無論對網管還是終端用戶，都可以減輕安裝和維護上的負擔。</p><p>　　圖3-4 IPSec VPN實現數據訪問的原理</p><p>　　與IPSec VPN不同的是，SSL VPN是工作在應用層(基于HTTP協(xié)議)和TCP層之間，因而SSL VPN的"零客戶端"架構特別適合

76、于遠程用戶連接，用戶可通過任何Web瀏覽器訪問校園網Web應用，因而SSL VPN存在一定安全風險。而IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，所以安全性更高一些。但不可否認，SSL VPN依然更加適合大多數校園網，因為在互聯網時代，更多的信息交流需要實現完全互通，比如SSL VPN提供更細粒度的訪問控制、能夠穿越NAT和防火墻設置、能夠較好地抵御外部系統(tǒng)和病毒攻擊、網絡部署靈活方便等特點，為其在校園網應

77、用中贏得了不少亮點。</p><p>　　圖3-5 SSL VPN可實現校園網安全管理</p><p>　　VPN為校園網帶來的應用</p><p>　　在校園網中，通過VPN給校外住戶、分校區(qū)用戶、出差遠程辦公用戶、遠程工作者等提供一種直接連接到校園局域網的服務。那么，VPN能為校園網帶來哪些具體應用優(yōu)勢呢？首先就是辦公自動化，比如校園辦公樓共有40個信息點，此時

78、可以通過校園網連至INTERNET用戶，實現100M甚至1000M到桌面的帶寬，并對財務科、人事科等科室進行單獨子網管理。 還可以利用VPN在校園網內建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學校具有兩個多媒體教室，每個教室60臺PC，通過校園網上連至INTERNET，實現遠程多媒體教學的目的。也可以將學生、教職工宿舍區(qū)的PC通過校園網上連至INTERNET，而不進行任何布置。</p><p>　　校園網采用VPN

79、技術可以降低使用費，遠程用戶可以通過向當地的ISP申請賬戶登錄到Internet，以Internet作為通道與企業(yè)內部專用網絡相連，通信費用大幅度降低；學?？梢怨?jié)省購買和維護通信設備的費用。現在很多大學都有多個分校，各個分校和培訓場所網絡整合使學校的信息化管理成本必然的增加，比如學校的數據存儲，許多學校都采用了分布式存儲方式，其具有較低的投資花費和軟件部署的靈活性，然而其管理難度高，后期維護成本高，如果采取VPN服務器，可以對各分校進行

80、Web通訊控制，同時又可以實現分校訪問互通。</p><p>　　圖3-6 校園網VPN典型應用方案</p><p>　　為了讓師生共享圖書資源，與國外高校合作交換圖書館數據，以及向國外商業(yè)圖書館交納版權費，獲得更多電子文獻資料的瀏覽權，很多高校都建立了數字圖書館，但在應用上也會產生相應的約束性，比如說為了保證數據信息的知識產權，瀏覽者必須是已繳納版權費的本校內網地址，或則被校方授權過的內

81、部合法師生，此時采用VPN加密技術，數據在Internet中傳輸時，Internet上的用戶只看到公共的IP地址，看不到數據包內包含的專用網絡地址。不僅可以實現將校園網的連續(xù)性擴展到校外；在校外可以訪問校內未向互聯網開放的資源。同時又確保了校園數字圖書館的易用性和安全性。      </p><p>　　圖3-7 VPN在校園數字圖書館的作用</p>

82、<p>　　VPN支持的校園網接入方式</p><p>　　在教育機構的校園網，由于不同地區(qū)、不同學校的條件不同，它們選擇的網絡接入方式也有差異，比如條件不大好的中小學校，可能還在采取模擬電話、ISDN、ADSL撥號上網，而對于條件好的高校，則采取了光纖或DDN、幀中繼等專線連接，那么，VPN方案到底支持哪種接入方式呢？實際上，VPN可以支持最常用的網絡協(xié)議，因為在Internet上組建VPN，用戶

83、計算機或網絡需要建立到ISP連接，與用戶上網接入方式相似，比如基于IP、IPX和NetBUI協(xié)議的網絡中的客戶機都能使用VPN方案。</p><p>　　圖3-8 ADSL虛擬撥號實現VPN組網</p><p>　　A校校園網VPN解決方案：</p><p>　　我校共有兩個校區(qū)：老校區(qū)和新校區(qū)，兩個校區(qū)之間通過新校區(qū)的Cisco6513和老校區(qū)Cisco6509萬

84、兆相連，Cisco6513又與邊界出口Cisco6503相連,具有四條通道：計費網關，VPN，兩條Trunk通道。 網絡拓撲圖如圖3-9所示： </p><p>　　圖3-9 校園網VPN解決方案</p><p>　　因為Cisco6513為我校校園網核心交換，因此我們選擇CISCO VPN模塊安裝在Cisco6513上。在Cisco6513上的VPN配置如下： &#

85、160;  以下是啟動 aaa，打開radius服務器上的用戶認證，打開cisco組用戶的本地授權的配置aaa new-modelaaa authentication login default group radius localaaa authorization network cisco local以下是為遠端VPN用戶定義crypto策略，使用3des加密、共享密鑰和用group2產生密鑰的配置cr

86、ypto isakmp policy 1encr 3desauthentication pre-sharegroup 2以下是創(chuàng)建組驗證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問的IP范圍的配置：crypto isakmp invalid-spi-recoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15&l

87、t;/p><p>　　以下是定義crypto的transform屬性的配置：crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac以下是定義crypto的動態(tài)map的配置crypto dynamic-map dynmap 1set transform-set transform-1 以下是創(chuàng)建一個合成的map，將合成map綁定到端口上的配置：

88、crypto map client-map client authentication list defaultcrypto map client-map isakmp authorization list ciscocrypto map client-map client configuration address respondcrypto map client-map 1 ipsec-isakmp dynamic dynm

89、ap 以下是定義兩個端口為vpn模塊的虛擬端口的配置：interface GigabitEthernet2/1switchportswitchport t</p><p>　　VPN在某校校園網中的實際應用</p><p>　　該校VPN主要應用于校園網網絡設備的遠程管理以及校外用戶訪問校內網絡資源。具體應用是通過VPN客戶端EZ-VPN,因為EZ-VPN是Cisco公司的VPN客

90、戶端軟件，它允許用戶在不安全的網絡上建立VPN終端設備與客戶端之間的VPN通道，從而使得用戶能夠通過比如撥號等上網方式來安全的接入到校園網內部，接入后獲得校園網內部地址，這樣就可以訪問校內的共享資源。以下是客戶端操作實例圖，如圖3-10所示。以下是VPN客戶端軟件的配置說明    Connection Entry中填寫VPN的名稱，Description可隨意填寫，Host中填寫VPN的服務器

91、名稱，Name和Password中分別填寫用戶名和密碼。</p><p>　　圖3-10 VPN客戶端</p><p><b>　　結論</b></p><p>　　該校校園網自2004年10月以來，利用VPN實現的遠程OA和遠程網絡管理運行正常。實踐證明，VPN技術解決方案具有強勁的認證功能、有效的加密保障、安全的遠端存取、IP路徑選擇、防火

92、墻等功能，能夠較好地應用于遠程訪問、企業(yè)網連接、外部網連接等。</p><p><b>　　方案分析 </b></p><p>　　由于SSL VPN網關雖然提供簡單的包過濾功能，但是遠遠不如防火墻/VPN一體機安全，因此SSLVPN網關需要通過防火墻進行特殊的安全保護部署；同時由于它位于防火墻后面，也使得SSL的數據無法被防火墻進行安全過濾，但在同等條件下防火墻/V

93、PN一體機則很好解決了加密和防火墻的訪問控制的矛盾。</p><p>　　圖3-11 在Windows中可輕易實現VPN連接</p><p>　　實際上，VPN技術原是路由設備具有的重要技術之一，也就是說，市場上大部分交換機、路由器都可以支持VPN功能，因而從廣義上來看，目前VPN產品包括單純VPN網關、VPN路由器、VPN防火墻、VPN服務器等。如果選擇普通VPN設備，盡管其提供了身份驗

94、證和數據加密能力，但對于需要與Internet互通的校園網，安全級別還遠遠不夠，為此，建議校園網選擇VPN防火墻，或者為普通VPN設備搭配一臺專用防火墻，不過要注意，如果采用普通VPN設備搭配防火墻，VPN與防火墻的協(xié)同工作會遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無法制定或者帶來性能的損失，如防火墻無法使用NAT功能等。而如果采用VPN防火墻，則上述問題不存在或很容易解決。</p>

95、;<p>　　VPN在企業(yè)構建的應用與優(yōu)化</p><p>　　VPN在企業(yè)構建的應用 </p><p><b>　　意義目標和總體方案</b></p><p><b>　　1. 設計意義</b></p><p>　　通過功能模塊的設計，企業(yè)使用VPN技術組建網絡可以帶來以下好處<

96、;/p><p><b>　　2.降低費用</b></p><p>　　首先遠程用戶可以通過向當地的IsP申請賬戶登錄到Internet，以Internet作為隧道與企業(yè)內部專用網絡相連，通信費用大幅度降低；其次企業(yè)可以節(jié)省購買和維護通訊設備的費用。</p><p><b>　　3.增強的安全性</b></p>&

97、lt;p>　　VPN使用三個方面的技術保證了通信的安全性通道協(xié)議，身份驗證和數據加密。客戶機向VPN服務器發(fā)出請求，VPN服務器響應請求并向客戶機發(fā)出身份質詢，客戶機將加密的響應信息發(fā)送到VPN服務端，VPN服務器根據用戶數據庫檢查該響應，如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限。如果該用戶擁有遠程訪問的權限，VPN服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。</p

98、><p><b>　　4.網絡協(xié)議支持</b></p><p>　　VPN支持最常用的網絡協(xié)議。基于IP、IPX和NetBEUI協(xié)議網絡中的客戶機都可以很容易地使用VPN。這意味著通過VPN連接可以遠程運行依賴于特殊網絡協(xié)議的應用程序。</p><p><b>　　5.IP地址安全</b></p><p&g

99、t;　　因為VPN是加密的，VPN數據包在Internet中傳輸時，Internet上的用戶只看到公用的IP地址，看不到數據包內包含的專有網絡地址。因此遠程專用網絡上指定的地址是受到保護的。</p><p><b>　　6.設計目標</b></p><p>　　VPN相對于專線而言，在價格上有著絕對的優(yōu)勢；相對于普通PSTN撥號連接，VPN在安全性、保密性上更勝一籌。

100、企業(yè)通過使用VPN技術組建網絡，可以保證數據在傳輸過程中的安全性和QOS(服務質量保證)。VPN具有很好的擴展性，當網絡擴充與遠程辦公室、國際區(qū)域、遠程計算機、漫游的移動用戶以及由于商務要求的商務伙伴等連接或是變更網絡結構時，企業(yè)只需依靠提供VPN服務的ISP就可以隨時擴大VPN的容量和覆蓋范圍，因此可以大幅度降低數據通信的費用。</p><p><b>　　7.總體方案</b></p

101、><p>　　使用基于IPSEC協(xié)議的VPN技術組建企業(yè)網，通過雙方路由器端的設置，Windows 2000 Server 服務器的配置和客戶端端撥號軟件的設置。使得一個企業(yè)總部與分公司或者是合作伙伴能夠使用現有網絡連接建立虛擬隧道連接。通過設置賬號、密碼以及權限，移動辦公人員可以隨時隨地通過接入Internet，查看企業(yè)內部資料。</p><p><b>　　具體設計方案</

102、b></p><p><b>　　1．需求分析</b></p><p>　　在本文設計的企業(yè)模型中，企業(yè)內部以及各分支機構網絡運行有多種企業(yè)應用。如總部內建設www、文檔共用服務、視頻會議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動化系統(tǒng)、公司ERP系統(tǒng)等。公司在未來可能開發(fā)更多的內部應用，如Client/Server模式的應用(TCP、UDP或TCP/UDP協(xié)議的應用)，

103、公司通過防火墻接入Internet。而目前公司所有應用僅限于公司局域網內，出差員工不能訪問。</p><p>　　隨著企業(yè)規(guī)模的擴大，業(yè)務量也隨之逐漸增加，各地分公司、辦事處的業(yè)務部門之間的信息交互也日漸頻繁。部門間經常需要傳遞一些重要的數據和信息，對于數據在網絡中的傳輸過程中的安全性要求顯得越來越重要。目前僅僅依靠Modem撥號，ADSL以及專線的組網模式已經越來越不適應本企業(yè)對信息傳輸平臺的要求了。為了實現在

104、整個企業(yè)范圍內，能實時地與各異地分支機構互聯。能夠很好地為各分支機構提供各類現存服務，急需建設覆蓋各個異地分支機構的信息服務網絡。根據企業(yè)情況，可以從經濟、安全、經營方面考慮該企業(yè)的建網需求。</p><p>　　2. 從經濟角度考慮</p><p>　　電信提供的專線組網方式費用比較昂貴。企業(yè)在其他城市設立了許多家分支機構，同時擁有緊密型的合作伙伴。相關需要聯網的網點數目比較多，分部地區(qū)

105、比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給該企業(yè)帶來很大的壓力。</p><p><b>　　3.從安全方面考慮</b></p><p>　　電信提供的DDN、ADSL等傳輸平臺沒有經過加密處理，重要數據和信息均是以明文在網上傳輸，如果別有用心的人篡改、竊取甚至破壞企業(yè)數據，將給企業(yè)造成不可估量的損失。</p><p>　　4

106、. 從經營角度考慮</p><p>　　該企業(yè)需要一個實時的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺，來滿足企業(yè)信息頻繁傳輸的需要，增加企業(yè)的工作效率，提高企業(yè)的服務質量，加快企業(yè)的信息化建設。適應企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。根據對該企業(yè)網絡需求進行的深入了解和分析，此次VPN網絡方案實施將在保留原有網絡環(huán)境的情況下，將需要提供以下的一些具體的設置以滿足該企業(yè)需求：</p><p&

107、gt;　?、賹崿F總公司內部區(qū)域網絡互聯，以及分公司，各分支機構和辦事處的內部區(qū)域網絡互聯；</p><p>　?、诳蛻?，合作伙伴或分公司可以安全訪問公司授權訪問的企業(yè)內部網絡資源；</p><p>　?、鄢霾顔T工利用筆記本或公共電腦(如機場候機廳的電腦)也能夠較安全地訪問公司內部網絡資源。</p><p>　　總部內網保證至少1OO臺電腦接入Internet，還要考

108、慮到公司以后的發(fā)展接入點的增加。同時實現一級分部通過相關設備在連到總部網絡的同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關資訊等要求。可以提供公司出差人員在各地通過互聯網和公司網絡實現網絡互聯。還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關資訊等需求。在各分支機構和總公司之間創(chuàng)造一個集成化的辦公環(huán)境</p><p>　　為工作人員提供多功能的桌面辦公環(huán)境，解決辦公人員處理不同事務需

109、要使用不同工作環(huán)境的問題；支持不同機構間資訊傳遞，解決由人工傳送紙介質或磁介質資訊的問題，實現工作效率和可靠性的有效提高。</p><p>　　綜上所述，如何快捷地解決該企業(yè)的企業(yè)聯網問題，如何有效地降低企業(yè)的巨額通訊費用，如何很好地解決信息的共享和信息的安全問題是本方案重點討論要解決的問題，使整個網絡的互聯性得到極大提高，使整個網絡的安全性達到一個全面加強。通過綜合比較，采用VPN方式組網具有投資成本低、高帶寬