前言：中文期刊網精心挑選了vpn技術論文范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

vpn技術論文范文1

組播vpn是基于MPLSL3VPN來實現組播傳輸的技術。如圖1所示，網絡中同時承載著兩個相互獨立的組播業務：公網實例、VPN實例A。公共網絡邊緣PE組播設備支持多實例。各實例之間形成彼此隔離的平面，每個實例對應一個平面。以VPN實例A為例，組播VPN指：當VPNA中的組播源向某組播組發送組播數據時，在網絡中所有可能的接收者中，僅屬于VPNA（即Site1、Site3或Site5中）的組播組成員才能收到該組播源發來的組播數據。組播數據在各Site及公網中均以組播方式進行傳輸。其中，實現組播VPN所需具備的網絡條件如下：（1）在每個Site內支持基于VPN實例的組播。（2）在公共網絡內支持基于公網實例的組播。（3）PE設備支持多實例組播，即支持基于VPN實例和公網實例的組播，并支持支持公網實例與VPN實例之間的信息交互和數據轉換。為了滿足以上條件，互聯網工程任務組（IETF）最終形成制定了以MD（MulticastDomain）組播域方案來實現組播VPN的標準。MD方案的基本思想是：在骨干網中為每個VPN維護一棵稱為Share-MDT的組播轉發樹。來自VPN中任一Site的組播報文都會沿著Share-MDT被轉發給屬于該MD的所有PE。MD是一個集合，它由一些相互間可以收發組播數據的VRF組成。其中，支持組播業務的VRF為MVRF，它同時維護單播和組播路由轉發表。PE收到組播報文后，如果其MVRF內有該組播組的接收者，則繼續向CE轉發；否則將其丟棄。不同的MVRF加入到同一個MD中，通過MD內自動建立的PE間的組播隧道（MT）將這些MVRF連接在一起，實現了不同Site之間的組播業務互通。每個MD會被分配一個獨立的組播地址，稱為Share-Group。當兩個MVRF之間通信時，用戶報文以GRE方式被封裝在骨干報文里通過MT進行傳輸，骨干報文的源地址為PE用來建立BGP連接所使用的接口IP地址，目的地址為Share-Group。

2民航數據通信網中組播VPN的實現

在民航數據通信網中實現組播VPN主要需完成骨干網絡的準備工作以及組播VPN設計與實施等工作。

2.1組播VPN的規劃設計民航ATM數據網華東地區ATM交換機上的RPM-PR板卡提供了MPLSVPN業務，目前部署的MPLSVPN業務網絡拓撲為星形結構，即由區域一級節點9槽RPM板卡作為P設備和路由反射器，而其他節點均為PE設備。華東地區ATM網絡中同時承載著兩個相互獨立的組播業務：ATM數據網公網組播實例和名為YJCJ2的用戶私網組播實例。VPN組播實例是通過在P和PE設備上部署實現的，網絡中，作為P和PE的RPM板卡上運行著公網組播實例，而作為PE的RPM板卡同時又運行著用戶私網組播實例。公網的組播實例是在所有RPM板卡上開啟組播應用。上海虹橋和浦東機場兩個節點的10槽RPM板卡負責接入用戶的VPN組播業務，所以需在這兩臺設備上部署MPLSVPN應用，并在這兩個用戶站點相應的VRF實例中開啟組播應用。在本案例中，VPN用戶接入側要求使用的是PIM密集模式，而民航數據網MPLSVPN公網則使用的是PIM稀松模式。在MPLSVPN網絡中不同用戶的VPN站點都是彼此邏輯獨立的，并且VPN用戶數據封裝MPLS標簽后通過公網的PE和P設備進行傳輸。對于VPN組播來說，數據的傳輸模式也是類似的。PE設備通過將該VPN實例中的用戶VPN組播數據報文封裝成公網所能“識別”的公網組播數據報文進行組播轉發。這種將私網組播報文封裝成公網組播報文的過程就叫做構造組播隧道（MT）。在PE上，每個VPN用戶的組播數據是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網構造組播隧道，參見圖2。由于公網、VPN網以及用戶接入側各組播部署中都采用PIM協議啟用了組播應用，MPLSVPN中組播應用包含如下的PIM鄰居關系：（1）PE-P鄰居關系：指PE上公網實例接口與鏈路對端P上的接口之間所建立的PIM鄰居關系。（2）PE-PE鄰居關系：指PE上的VPN實力通過MTI收到遠端PE上的VPN實例發來的PIMHello報文后建立的鄰居關系。（3）PE-CE鄰居關系：指PE上綁定VPN實例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關系。部署公網組播實例需在華東地區所有相關RPM板卡開啟組播服務，考慮到密集模式對RPM設備和骨干網資源的開銷，在民航ATM數據網中使用了PIM稀松模式。根據網絡的物理網絡拓撲模型，選取上海虹橋9槽RPM板卡作為RP。

2.2組播VPN的實施運行在MPLSVPN網絡中的P和PE設備上部署PIM協議，這些設備之間會形成PE-P鄰居關系，從而使得公網支持組播功能，并形成公網的組播分發樹。本案例中使用PIM稀松模式，即在虹橋和浦東機場節點的9、10槽RPM板卡的配置底層IGP路由協議的接口上部署PIM稀松模式，這樣就構造了公網的PIM共享樹。在傳輸用戶私網組播報文的PE上部署基于VRF實例的組播，一個VPN實例唯一制定一個Share-Group地址。同一個VPN組播域內的PE之間形成PE-PE鄰居，并形成該組播域的共享組播分發樹（Share-MDT）。在本例中就是在虹橋和浦東機場的10槽YJCJ2VRF實例中部署相應的defaultMDT地址239.255.0.5。用戶CE設備和PE連接CE的相應接口啟用組播，本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關系。本例中是在虹橋和浦東機場節點的相應VPN業務端口配置PIM密集模式。當用戶有組播報文需要傳輸的時候，就將組播報文發送給PE的VRF實例，PE設備收到報文后識別組播數據所屬的VRF實例。用戶私網的數據報文對于公網是透明的，不論數據歸屬或類別，PE都統一將其封裝為公網組播數據報文，并以Share-Group作為其所屬的公網組播組。一個Share-Group唯一對應一個MD，并利用公網資源唯一創建一棵Share-MDT進行數據轉發。在該VPN中所有私網組播報文，都通過此Share-MDT進行轉發。如圖3所示，可以看到華東地區公網上的Share-MDT創建的過程。虹橋節點10槽RPM向9槽RPM(RP節點)發起加入消息，以Share-Group地址作為組播組地址，在公網沿途的設備上分別創建（*，239.255.0.5）表項。同時虹橋浦東機場節點也發起類似的加入過程，最終在MD中形成一棵以虹橋節點9槽RPM為根，以虹橋、浦東機場節點10槽RPM為葉的共享樹（RPT）。隨后，虹橋和浦東機場節點10槽RPM的公網實例向公網RP發起注冊，并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址，在公網的沿途設備上分別創建（20.51.5.6，239.255.0.5）和（20.51.5.3，239.255.0.5）表項，形成連接PE和RP的最短路徑樹（SPT）。在PIM-SM網絡中，由（*，239.255.0.5）和這兩棵相互獨立的SPT共同組成了Share-MDT。虹橋節點PE的私網組播報文在進入公網后，均沿該Share-MDT向浦東機場節點PE轉發。圖4是私網組播報文在公網中轉發的過程。當浦東機場節點的YJCJ2VPN用戶CE設備加入到虹橋節點數據源所在的組播組，此時由于這兩個站點部署為PIM-DM模式，虹橋節點組播設備會立刻將數據推送到虹橋節點10槽RPM的YJCJ2VRF實例中，并通過該VPN構建的Share-MDT在公網上以（20.51.5.6，239.255.0.5）構建的SPT進行公網組播報文傳輸。當公網組播報文被浦東機場10槽PE設備收到后會將其解封裝成原始的私網組播報文，并轉發給相應的接收CE，最終完成用戶私網組播數據在MPLSVPN網絡中的傳輸。

3總結

vpn技術論文范文2

山東聯通在2012年開始分組承載傳送網的建設，2013年基本完成核心匯聚層面和市區接入層面的全覆蓋，分組傳送網設備集采中標廠家包括華為、中興和貝爾，三個廠家在各地市分別進行了綜合承載傳送網的建設。其中組網結構、業務承載方案，與RNC對接方案等關鍵點成為時下討論研究的重點。

2 綜合承載傳送網的組網結構

綜合承載傳送網采用分層結構組網，分為核心匯聚層和邊緣接入層。核心匯聚層組網結構主要分為三種：環形組網、口字型組網和雙上聯組網。

山東聯通各地市組網主要采用環形和口字型組網方式。雙上聯組網和口字型組網結構類似，但由于需要耗費大量的光纖資源或者波分波道資源，因此在實際組網時主要還是采用折中的口字型組網方式。

邊緣專業提供論文寫作和寫作論文的服務，歡迎光臨dylw.net接入層主要根據光纖資源情況，分為雙掛環形組網和單掛環形組網方式，一般光纖資源能保證的區域優先選用雙掛方式，因為雙掛方式除了能實現傳統的路徑保護（1：1 LSP）外，還能實現雙歸保護，從而避免匯聚設備單點故障引起的大面積掉站。

3 業務承載方案

3.1 業務承載需求

山東聯通綜合承載傳送網主要有兩大類業務承載需求：

⑴基站回傳等自營業務或者系統的承載需求：

具備IP化、以太化基站的接入能力，提供高可靠、大容量的基站回傳流量的承載；

滿足LTE網絡的承載需求，實現基站間靈活互訪、基站多歸屬、基站組播等承載能力；

能夠滿足動力監控、綜合業務接入網網管等各類系統的承載需求。

⑵政企業務或者大客戶的承載需求：

⑶提供高可靠、大容量的二、三層VPN接入能力，能夠滿足點到點、點到多點、多點到多點等二、三層VPN的組網需求；

⑷具備電路仿真能力，提供ATM/FR/DDN等電路的接入能力。

3.2 承載方案分析

山東聯通綜合承載傳送網的業務承載方案可歸結為三點：

⑴對于2G和3G基站的TDM業務，可以采用偽線方式一PWE3實現。并在核心節點采用CSTM1端口進行匯聚。El業務一般采用SAToP方式，封裝幀數和抖動緩存暫按設備缺省值取定。

⑵對于TDM、以太網、ATM等大客戶專線，應采用相應的偽線方式實現。對于L3VPN的大客戶專線，可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實現。

⑶對于未來的LTE業務，分組傳送網絡需要承載s1和X2接口的流量。業務對IP轉發的層面要求將進一步下移?？刹捎煤诵膮R聚層L3VPN或層次化L3VPN到邊緣的方式。

不同廠家對于3G IP業務承載方案的推薦會有所不同，就山東聯通而言，基站數據域業務承載方式主要存在兩種，（1）L3VPN部署到邊緣-華為主推；（2）L3VPN部署到匯聚-中興和貝爾主推。兩者各有優勢，L3VPN部署到邊緣需要為基站互聯端口分配IP地址，根據目前3G基站的IP地址分配規則，會涉及大量基站的IP地址調整，但符合中遠期網絡的演進思路；L3VPN部署到匯聚，基站IP地址的調整量將大大減少，與現有MSTP提供3G移動回傳FE的業務提供方式、維護方式相似度高，利于分組傳送技術引入后網絡運行維護的逐步過渡。

山東聯通綜合承載傳送網的業務承載方案如圖3和圖4：

4 綜合承載傳送網與RNC的互聯方案

目前，山東聯通2G/3G基站的電路域業務在核心機房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業提供論文寫作和寫作論文的服務，歡迎光臨dylw.net域業務與RNC對接現網有兩種方式，一種是RNC直接與分組承載傳送網業務匯聚設備互連，另一種是RNC通過CE與分組承載傳送網互連。

在RNC直接與分組承載傳送網互聯情況下，若RNC的GE或STM-1接口不足，可采用以下方式：

4.1 RNC接入端口擴容

通過對RNC的GE和STM-1端口成對擴容，滿足與分組承載傳送網業務互聯的需求，同時可以減少對已有3G業務的影響。通過逐步割接，可將現有以MSTP網絡承載的3G分組業務割接到分組承載傳送網上。

4.2 RNC接入端口不方便擴容

應將MSTP上的分組業務在匯聚層或核心層直接割接到分組承載傳送網上。通過分組承載傳送網設備與RNC相連。

就山東聯通目前的組網而言，由于還存在著大規模的2G/3G基站采用MSTP傳輸接入，在一定的時間段內無法保證IP化，因此還存在著核心設備與RNC有大量的CSTM-1口對接，RNC的擴容在未來2-3年內也將繼續進行，也會帶來一定規模的GE口擴容，因此中大型地市的綜合承載網與RNC互聯通過分組業務匯聚設備顯得更為合理。

5 傳輸背景人員快速融入IP RAN維護

引入分組傳送技術后，整個綜合承載傳送網解決方案都是以數通技術作為基礎，如何使傳輸背景人員快速融入IPRAN的建設維護顯得尤為重要，結合實際工作，建議從以下幾個方面入手：

5.1 比較傳統傳輸理念和IP化理念的異同

傳統的MSTP網絡屬于硬管道交換，所有業務都是建立端到端的連接通道占用固定帶寬，

但是綜合承載傳送不一樣，它既繼承了傳輸端到端OAM的特性，又有數據網絡逐跳建立連接的特性，整個網絡是一張彈性的網。我們可以借助傳統IP城域網的理念去類比IPRAN技術的相關概念，深入理解數通相關知識。

5.2 深刻認識全程全網和端到端業務理念

與傳統的MSTP一樣，綜合承載傳送網也需要建立端到端業務的概念，我們不僅僅需要理解分組網絡是如何進行信息傳遞的，而且還需要把無線接入和核心網納入到我們關注的范圍，從NODEB和UTN如何連接，RNC與UTN如何對接，整個數據流進入UTN以后如何進行封裝傳送等等，理解整個UTN、在配置數據排除故專業提供論文寫作和寫作論文的服務，歡迎光臨dylw.net障時才能得心應手。

5.3 認真學習實施方案

建議在工程建設期間認真學習具體的實施方案，一般而言，廠家會根據設計文件完成具體的實施方案，從組網方案、拓撲設計及設備選型、IP地址規劃、路由部署設計、MPLS隧道設計、業務部署設計、可靠性設計、時鐘/網管同步設計、QOS部署設計等等。這個過程可以幫助你學習完成一張網搭建所需的所有知識。

5.4 熟練掌握網管

網管需要掌握相關的數通知識，如I-SIS/BGP/MPLS/VPN/RSVP TE等等，需要對解決方案中用到的知識點有個較深入的理解，另外一方 面我們又要熟練掌握網管的相關操作，在IPRAN的維護習慣上，我們更偏向于網管操作，不會像傳統數通設備維護那樣通過命令行進行操作，但是網管操作的基礎又是數通知識，因為網管只是提供一個界面，提升效率，真正要配置的還是數通協議。理論和網管是IPRAN的兩個關鍵點，兩者相輔相成缺一不可，所以我們要同時加強這兩方面的技能。

5.5 工程隨工學習

更多的現場隨工學習可以幫助你快速提升，深入現場多操作設備，通過實際對比分IPRAN技術與MSTP傳統傳輸的區別。工程建設期的隨工是一個很好的機會，因為工程建設期不用擔心業務是否受影響，操練起來能更充分。

6 結束語

綜合承載傳送網已經是一張成熟的網絡，但隨著技術的進一步發展，還有很多方面可以繼續深入探討并且完善，例如北方省分的二級匯聚（縣鄉層面）如何拓展，綜合業務區規劃帶來的網絡調整等等，隨著LTE的引入，綜合承載傳送網將發揮更大的作用，成為目標網絡架構的一張精品網。

vpn技術論文范文3

關鍵詞：SSL VPN； IPsec VPN； 數字化校園； 遠程訪問

中圖分類號：TP393 文獻標識碼：A文章編號：2095-2163（2013）02-0032-03

0引言

隨著信息化進程的加快，各個高校對校園信息化投入不斷增加，致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺，但這些網絡資源和辦公平臺常常受到網絡的限制，只能在校園內部使用。本校2012年師生問卷調查顯示：居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源，均已感到極為不便。具體來說，教師在外網不能登錄學習平臺批改作業；行政人員出差時，不能獲取部門統計數據；大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足，亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛，深入的調研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術方案。

1VPN 的原理及SSL VPN方案的優勢

11VPN原理

VPN，即虛擬專用網絡，其含義指通過使用公共網絡基礎設施，利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接，適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時，VPN還向用戶提供了專用網絡所獨具的功能，但其本身卻不是一種真正意義上的獨立物理網絡，沒有固定物理線路連接。近年來，VPN技術已經大量應用于高校的移動辦公，并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是，用戶在網絡覆蓋的任意地點，首先，通過ADSL或者LAN方式接入互聯網；其后，通過撥號校園網的VPN網關，構建一條從用戶所在網絡地址到校園網的二層隧道；而后是VPN服務器給用戶分配相應的校園網地址，從而實現校園網數字化資源的遠程訪問[2]。

12兩種VPN方案的對比

按照協議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障，IPsec協議是一組協議套件，包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層，通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性，最適合Site to Site之間的虛擬專用網。相比之下，SSL VPN采用的是SSL安全套接層協議，構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件，經過認證的用戶是通過Web瀏覽器而接入網絡，適用于Point to Site的連接方式。總體來看，相比于IPsec VPN方案，SSL VPN方案有三點優勢，具體如下。

（1）兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端，對用戶也無任何特殊的操作要求。用戶不需要下載客戶端，由此免去了對客戶端軟件的更新升級、配置維護，否則，在進行VPN策略調整的時候，其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議，就可以使客戶端簡便、安全地訪問內網信息，維護成本較低。

（2）提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備，由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能，可提供用戶級別鑒定，確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能，而在外的辦公行政人員還可以訪問某個特定部門的相關數據。

（3）具備更強的安全性。IPsec是基于網絡層的VPN方案，對IP應用均是高度透明的。而SSL VPN是基于應用層的，在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析

21訪問控制技術

訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前，通用的VPN方案中，常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備，SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL，而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制，控制策略不僅含有“允許”和“禁止”，還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層，管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略，管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子，定義不同的會話角色，并給與不同的訪問權限。另外，基于用戶的訪問控制需要維護大量的用戶信息，當前最流行的控制策略則是基于角色的訪問控制，在握手協議的過程中統一集成訪問控制的基礎功能，再將資源的控制權交托于可信的授權管理模型。

22性能分析

VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響，在設計數字化校園的VPN詳盡方案之前，有必要了解其性能指標。SSL VPN中，常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數，等。其中，連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目，用以度量被測VPN設備在單位時間內交易事務的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外，SSL VPN使用的是非對稱加密算法，這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作，為了保障服務器能夠正常工作，既可以限制SSL會話的數量，也可以添加服務器的數目。只是這兩種方式各有利弊，若限制會話數目，就會出現高峰期間的部分用戶無法連接服務器，而添加服務器數目又會大幅增加VPN系統的財務用度。因而，通常情況下，使用SSL加速器來提升加解密速度，進入SSL的數據流由加速器解密并傳給服務器，而外流的數據又經過加速器加密再回傳給客戶。服務器方面，只需要處理簡單的SSL請求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數字化校園解決方案

31需求分析與設計目標

校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文；校外居住的教師也需要登錄圖書館期刊檢索系統，下載專業文獻；另外，因公在外的招生、財務人員又需要及時獲取部門的數字化信息，并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址，在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此，在外部訪問校園網之數字化校園時，就需要研發一個遠程訪問方案，該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種，分別是：在外居住的教師、大四實習生以及在外辦公的行政人員。

32系統體系結構

經過實地調研和深入分析，采用了SSL VPN架構，具體框架如圖1所示。

由圖1可知，這是一個基于Web模式的SSL VPN系統，在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中，SSL VPN服務器相當于一個網關，且具備雙重身份。對用戶而言，這是服務器，負責提供基于證書的身份鑒別；對應用服務器而言，則屬于客戶端的身份，并向服務器遞交訪問申請。由此，通過在防火墻后安裝VPN設備，校外用戶只需要打開IE瀏覽器，就可以訪問到校園數字化資源的URL。其后，SSL VPN 設備將取得連接并驗證用戶的身份，此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了技術，所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能，優先考慮SSL VPN服務器的性能，將需要消耗大量資源的加解密工作交給加速器。實現過程中，采用的設備是由Cisco ASA建立Web VPN服務器，而將Radius Server作為驗證用戶身份的服務器。

33改進型安全策略——基于角色的控制

本校SSL VPN系統采用的是基于角色的訪問控制策略，既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上，校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現，可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性，系統在進行安全認證時，就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限，而后給出該用戶可以訪問的資源列表信息。另外，用戶在登錄VPN系統時，還需要在登錄界面輸入身份信息。

4結束語

隨著校外用戶對數字化校園資源訪問需求的日益迫切增長，使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利，因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上，由網絡中心主持設計并全面實現了SSL VPN系統。目前，本校SSL VPN系統運轉良好，能夠滿足現有的使用需求，并且也具備了一定的擴展能力。當然，該實施方案并不是唯一可選，當校園網的VPN用戶數量并不多、要求也不高時，就可以考慮軟件型VPN方案。不然，還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。

參考文獻：

[1]王達. 虛擬專用網（VPN）精解[M]. 北京：清華大學出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計，2004，25（4）：186-188.

[4]沈海波，洪帆. 訪問控制模型研究綜述[J].計算機應用研究，2005，32（5）：9-11.

vpn技術論文范文4

【關鍵詞】虛擬專用網 數字證書 身份認證 校園網

虛擬專用網（VPN）是信息安全基礎設施的一個重要組成部分，是一種普遍適用的網絡安全基礎設施。目前，一些企業在架構VPN時都會利用防火墻和訪問控制技術來提高VPN的安全性，但存在不少的安全隱患。因此針對現有VPN系統無法滿足校園網安全使用的問題，深入分析、研究了VPN系統中的關鍵技術和主要功能，構建了一種基于PKI的校園網VPN系統的體系架構。

1 系統框架設計及系統功能模塊描述

1.1 系統框架設計

VPN系統需要解決的首要問題是網絡上的用戶與設備都需要確定性的身份認證。錯誤的身份認證。不管其他安全設施有多嚴密。將導致整個VPN的失效， IPSec本身的因為它的身份認證規模較小、比較固定的VPN上是可行的，把PKI技術引進VPN中是為了網絡的可擴展性和保證最大限度的安全，CA為每個新用戶或設備核發一張身份數字證書，利用CA強大的管理功能，證書的發放、維護和撤銷等管理極其容易，借助CA，VPN的安全擴展得到了很大的加強。傳統的VPN系統中，設備的身份是由其IP地址來標識的。IP地址也可能隨著服務商或地點的改變而改變，借助CA提供的交叉認證，無論用戶走到哪兒，該用戶的數字證書卻不會改變可以隨時跟蹤該數字證書的有效性。本人提出將PKI證書身份認證技術應用在校園網IPSec-VPN網關中，以此來解決VPN的身份認證。

1.2 系統功能模塊描述

從軟件結構上分VPN網關系統分為應用層模塊和內核層模塊，SAD手工注入接口模塊和密鑰管理程序模塊為運行在應用層的軟件模塊。IPSEC處理模塊、CA模塊和防火墻模塊為運行在內核層的軟件模塊。

2 VPN系統分析

2.1 系統的需求分析

師生們越來越多地走出校園。他們也可能需要用到校園內部專用網絡資源。這是因為隨著我校的發展、項目的合作以及文化的交流越來越頻繁，通過校園網VPN網統在公共網絡中建立的可保密、控制授權、鑒別的臨時安全虛擬連接，它是一條穿越相當混亂的公用網絡的安全隧道，是高校內部網的擴展，采用通道加密技術的VPN系統，通過基礎公網為使用高校提供安全的網絡互聯服務。這樣師生們很方便的訪問我校內網的網絡資源，而且相對專用網、校園網VPN系統大大降低成本；相對Internet通信，VPN系統又具有相當高的安全性。密鑰基礎設施PKI是一種遵循既定標準的密鑰管理平臺，能夠為所有網絡應用提供加密和數字簽名等密碼服務以及所必須的密鑰和證書管理體系，這正好能彌補VPN的IPSec在身份認證方面的缺點。

2.2 流程分析設計

（1）將PKI的認證、機密性和完整性協議定義為PKI專用數據，并把它們置于DOI字段中，同時加載證書字段，生成帶PKI性能的IKE載荷。

（2）IKE進行野蠻模式或者主模式交換，互換證書，建立IKE SA。

（3）雙方用公鑰檢查CA和證書中的身份信息在證書上的數字簽名。

（4）用公開密鑰加密算法驗證機密性。

（5）用數字簽名算法驗證完整性。

（6）協商一致后，生成具體的SA。

IPSec與PKI結合后，在密鑰交換過程中，通過交換證書的方式交換了公鑰和身份信息，驗證數字簽名、機密性和完整性，從而充分的保證了信息來源的可信度、完整性等，同時，IPSec配置文件中實現與多數用戶的通信，只需少數的CA證書即可。

3 VPN系統的實現

3.1 IPSec內核處理模塊實現

（1）為每種網絡協議（IPv4，IPv6等）定義一套鉤子函數（IPv4定義了5個鉤子函數）。在數據涉及流過協議棧的幾個關鍵點這些鉤子函數被調用。在這幾個點中，協議棧將把數據報及鉤子函數標號作為參數調用Netfilter框架。

（2）內核的任何模塊注冊每種協議的一個或多個鉤子，實現掛接，這樣當傳遞給Netfilter框架某個數據包時，內核能檢測是否有任何模塊對該協議和鉤子函數進行了注冊。如果注冊了，則調用該模塊的注冊時使用的回調函數，這樣這些模塊就有機會檢查（可能還會修改）該數據包、丟棄該數據包及指示Netfzlter將該數據包傳入用戶空間的隊列。

（3）那些排隊的數據包是被傳遞給用戶空間的異步地進行處理。一個用戶進程能檢查數據包，修改數據包，甚至可以重新將該數據包通過離開內核的同一個鉤子函數中注入到內核中。

3.2 CA系統功能模塊實現

根據我校校區的分布，在這里PKI系統采用單CA多RA的系統結構，這種結構是單CA的改進，其中RA承擔了CA的部分任務，減輕了CA的負擔，隨著校園規模和校園網的進一步擴大，如果經費允許，我們將建立層次CA，學校一個根CA，考慮到系統的安全性，CA服務器、RA服務器、Ldap服務器放置在北校區的防火墻后面，由于我校已購置日立的磁盤陣列，實際的數據庫系統采用磁盤陣列實現。

CA服務器負責制作證書，簽發證書作廢表，審核證書申請，管理和維護中心CA系統，提供加密服務，保護存儲密鑰和密鑰管理等等功能，整個系統基于windows系統，采用Java平臺，并利用OpenSSL函數庫和命令行工具而本論文并不討論與之相關的加密、解密和密鑰存儲，證書策略等。

4 結語

本文從互聯網的發展說明VPN技術產生的背景和意義，再對VPN的相關技術、協議進行研究與分析。在此基礎上，結合校園網絡的實際情況，提出了一個基于PKI校園網VPN系統的實現方案以利用VPN安全技術突破校園專用網的區域性限制來解決校園網存在的一些問題。同時根據提出的方案給出了一個校園網VPN實現的實例，并對該實現過程進行了檢驗和分析，在一定程度上驗證了所提方案的有效性。

參考文獻

[1]錢愛增.PKI與VPN技術在校園網內部資源安全問題中的應用研究[J].中國教育信息，2008（9）：77-80.

[2]馮登國，李丹.當前我國PKI/PMI標準的制訂與應用[J].信息網絡安全，2005：16-17.

vpn技術論文范文5

論文摘要：本文通過對網絡存儲技術、虛擬專網vpn技術的設計原則和關健技術的詳細介紹，全面分析了這兩項技術的性能特點，以及在“共享工程”天津分中心和18家區縣支中心的具體實現方案與發展設計構想，闡述了這兩項技術的發展前景，及其在全國文化信息資源共享工程得到廣泛應用的必然性。

全國文化信息資源共享工程(以下簡稱文化共享工程)是由文化部、財政部共同組織實施的一項社會主義文化建設標志性工程，是新形勢下構建我國公共文化服務體系、惠及千家萬戶的一項重要文化基礎工程?！肮蚕砉こ獭睂⒊浞掷矛F代高新技術手段，將中華民族幾千年來積淀的各種類型的文化信息資源精華以及貼近大眾生活的現代社會文化信息資源，進行數字化加工處理與整合;建成互聯網上的中華文化信息中心和網絡中心，并通過覆蓋全國所有省、自治區、直轄市和大部分地(市)、縣(區)以及部分鄉鎮、街道(社區)的文化信息資源網絡傳輸系統，實現優秀文化信息在全國范圍內的共建共享。該工程于2004年4月正式啟動實施。

在中央和地方各級財政的大力支持下經過不斷努力，文化共享工程技術體系已經初步形成:在資源數字化方面，以數字圖書館技術為依托，建成了國家中心和各省級分中心的資源加工管理系統;在傳輸建設方面，形成了以互聯網、衛星網、有線電視及數字電視網為主要傳輸渠道，光盤、移動存儲設備為輔助傳輸手段的網絡傳輸體系，實現了文化信息資源的有效傳遞;在終端服務上，提供了國家中心網站、省分中心網站、省分中心鏡像站、衛星終端服務系統、文化共享工程基層服務系統、有線電視、數字電視、光盤、移動硬盤等手段，方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。wWw.lw881.com

本文從動態發展的角度，以現有的技術體系為基礎，簡要對網絡存儲技術與虛擬專網vpn技術在“文化共享工程”中應用加以論述。

1網絡存儲技術

文化共享工程以加工整合各類優秀文獻信息資源為重點，建成了具有一定規模的文獻信息資源庫群。截至2007年6月，數字資源的總量己達到60tb。資源的存儲成為了各級分中心核心建設的重中之重。

1.1存儲系統設計原則

存儲系統的設計要遵循以下原則:

先進性和實用性:在方案總體設計規劃時不僅要滿足當時業務需求，而且充分考慮未來的需求可能。保證硬件環境的先進性，盡可能采用業界領先的技術。軟件環境的先進性，要從軟件平臺，設計思想、系統結構等方面考慮，選擇先進、可靠的應用平臺。

安全可靠性:存儲系統要保證365x24小時的不間斷穩定運行，具有災難恢復能力。

靈活性與可擴展性:網絡存儲系統是一個不斷發展的系統，所以它具有良好的擴展性，方便的擴大容量和提高層次的功能，支持多種通信媒體、多種物理接口的能力，提供技術升級、設備更新的靈活性。

開放性/互聯性:具備與多種協議計算機通信網絡互聯互通的特性，確保網絡存儲系統基礎設施的作用可以充分發揮。

經濟性/投資保護:以較高的性能價格構建網絡系統，充分利用以往在資金與技術方面的投人。

可管理性:采用智能化，可管理的設備，先進的管理軟件，實現先進的分布式管理。實現監控、監測整個系統的運行狀況，合理分配資源、動態配置負載等等。

綜上所述，存儲設備的選擇可按需定制，根據不同預算情況，不僅滿足當前需求，還要兼顧將來的升級維護。

1.2存儲系統解決方案

1.2.1省級分中心的存儲解決方案

天津圖書館作為“共享工程”的省級分中心，以其存儲系統為例:存儲設備采用的是emcclari-ioncx500存儲系統。cx500提供了一種沒有任何單點故障的可擴展、高可用性體系結構，采用了通用的硬件體系結構和軟件應用程序套件，通過emcnavisphere進行集中管理并支持基于存儲的業務連續性和災難恢復功能，保證了數據的完整性和高可用性。具有了全局熱備功能，冗余電源和冷卻，通向光纖通道和ata磁盤驅動器的四條通路，雙活動存儲處理器，整個陣列內的數據通路奇偶校驗等許多特性。

在性能方面，cx500配有4個用于san連接的2gb前端光纖通道端口和4個光纖通道和ata磁盤驅動器的2gb后端光纖通道通路，可以有效地支持多達120個驅動器而不會出現性能降級。cx500同時支持高性能光纖通道驅動器和高容量ata驅動器，所以提供了最好的部署靈活性。鑒于共享工程資源存儲的需求，天津圖書館的cx500共配置了3個光纖磁盤柜共15tb的存儲空間，其中包括7.5tb的光纖硬盤和7.5tb的sata硬盤。

在軟件支持方面，cx500在設計上可同時支持多達128部服務器，大大簡化存儲設施的整合過程。它符合絕大多數常用服務器操作環境的要求，其中包括microsoftwindows,sunsolaris,unix,linux和netware平臺等，而且在san,nas和das環境中運行時具有高度的靈活性。采用navisphere管理框架，該系統是一套簡單易用的基于圖形用戶界面<glti)的存儲管理工具。cx500能實現高數據的可用性、無中斷在線備份、高速數據移動、應用程序測試和災難恢復等要求。客戶可在不停止cx500陣列前提下，升級以下各項內容:添加新軟件，如snap-view,mirrorview,sancopy,navisphereagent,bi-os、核心軟件;在san中添加或刪除服務器;調整raid重建設置;重新分配讀/寫緩存等等。

1.2.2區縣支中心的存儲解決方案

以天津市的十八家區縣支中心為例:

存儲設備統一采用h3c的ex1000存儲磁盤陣列柜。該設備為基于成熟的ip協議傳輸的存儲設備，使用更靈活，配置更方便?？梢栽诤唵闻渲煤鬄榫W絡中的各種服務器提供海量存儲空間，同時也具備極大的擴展性和靈活的升級。此存儲配置了4.5t的存儲空間(共9塊5006盤)，其中一塊硬盤做為全局熱備盤，在最大程度上保證了磁盤的冗余，確保數據的安全。在數據傳輸上將4個1000m數據端口進行連路聚合，既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除，同時也對數據的鏈路提供了必要的保護，同時4條鏈路的存在即意味著可以承受75%的故障率，所以，這樣的技術保證是完善的安全運行應用的保證。

2vpn技術

互聯網作為“共享工程”的文化信息資源的主要傳輸渠道，所有信息服務都暴露在internet上，很容易被入侵者竊取和篡改，安全性不夠。如果改用專線方式，一方面造價較高，維護也較困難;另一方面升級和擴展也受限制。因此尋找一種比較經濟，對數據的安全又較有保障，而且又有利用網絡的升級和擴展的組網方式顯得異常的重要，而vpn技術恰恰能滿足這方面的需要。

vpn(virtualprivatenetwork)中文譯為虛擬專用網，它是一種通過isp和其它nsp，在公網中建立用戶私有專用網的數據通信技術，是一種通過私有隧道在公共數據網上仿真一條點到點的專線技術。是對專用網絡的擴展，它是指共享或公共網絡上經封裝，加密和身份驗證的鏈路。vpn模仿專用網的一些屬性;它允許數據通過諸如internet的網絡在兩臺計算機間傳遞;通過隧道技術模仿點對點的連接。

2.1核心技術

①隧道技術:隧道技術是vpn的基本技術類似于點對點連接技術，它在公用網建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到ppp中，再把整個數據包裝人隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有l2f,pptp,l2tp等。l2tp協議是目前ietf的標準，由ietf融合pptp與l2f而形成。

第三層隧道協議是把各種網絡協議直接裝人隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有vtp,ipsec等。ipsec(ipsecuri-ty)是由一組rfc文檔組成，定義了一個系統來提供安全協議選擇、安全算法，確定服務所使用密鑰等服務，從而在ip層提供安全保障。

②加解密技術:加解密技術是數據通信中一項較成熟的技術，vpn可直接利用現有技術。

③密鑰管理技術:密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取?，F行密鑰管理技術又分為skip與isakmp/oak-ley兩種。skip主要是利用diffie-hellman的演算法則，在網絡上傳輸密鑰;在isakmi〕中，雙方都有兩把密鑰，分別用于公用、私用。

④使用者與設備身份認證技術:使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

2.2vpn技術在“共享工程”中應用的必要性與實現方法

“共享工程”在資源數字化方面，以數字圖書館技術為依托，建成了國家中心和各省級分中心的資源加工管理系統。

天津圖書館作為天津市“共享工程”的省分中心，數字資源經過多年建設已初具規模，數字資源近5t。內容涉及電子圖書、數字化期刊、津門曲藝庫、津門群星庫，以及與本地經濟、文化發展息息相關的各種特色資源庫。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用，能夠在合理范圍內為各區縣支中心、共享工程基層服務中心進行有效共享。可以利用vpn技術來實現，首先建立vpn數字資源中心，向各區縣支中心、共享工程基層服務中心等基層單位提供vpn接人和數據資源內容的提供服務。

2.2.1vpn技術的實現方式

構建vpn網絡可分為硬件、tpn和軟件、’pn兩種形式:軟件、’pn的建立成本低，硬件vpn在系統防御上要穩定，軟件vpn維護起來相當麻煩，網絡管理員不但要維護vpn軟件，還需要考慮病毒、惡意攻擊及相關設備的軟、硬件沖突導致系統平臺運行不穩定的因素出現，而硬件vpn一般采用專用硬件，維護量相對減少很多。

2.2.2實現vpn技術的方案

主要有三種:硬件平臺vpn、軟件平臺vpn和輔助硬件平臺vpna

(1)軟件平臺vpn

利用一些軟件公司所提供的完全基于軟件的vpn產品來實現簡單vpn的功能，甚至可以不需要另外購置軟件，僅依靠微軟的windows操作系統就可實現純軟件平臺的vpn。特別從windows2000系統開始對傳統的ipsecvpn方案提供了全面支持，不僅可以提供原來pptp隧道協議vpn的方案支持，而且還提出了新的l2tp隧道協議vpn方案，使vpn的應用得到前所未有的推進。

(2)硬件平臺vpn

使用硬件平臺的vpn設備可以滿足不同用戶對高數據安全及通信性能的需求，特別是加密及數據亂碼等對cpu處理能力需求很高的功能。能提供這些平臺的硬件廠商較多，如cisco,3com、華為、聯想等，這類vpn平臺投資了大量的硬件設備，投資成本較高。

(3)輔助硬件平臺vpn

輔助硬件平臺vpn作為最常見的vpn平臺，介于軟件平臺和硬件平臺之間，主要是以現有網絡設備為基礎，再增添適當的vpn軟件以實現vpn的功能。但通常這種平臺中的硬件也不能完全由原來的網絡硬件來完成，必要時還要添加專業的vpn設備，如vpn交換機、vpn網關或路由器等。

2.2.3構建vpn專網的關鍵問題

由于“共享工程”天津分中心與各區縣支中心都已建成了自己的局域網，那么vpn設備與防火墻的安裝方式，成為構建vpn專網的關鍵問題。

現在最普遍采用的方式:是將、’pn設備與防火墻平行安裝，它不需要改變防火墻目前的結構體系，但也意味著進人內部網絡將有兩個人口。在大部分vpn設備上，檢查進人的數據，并阻擋非vpn流量進人內部網絡，以減小額外的安全風險。依賴網絡建設的方式，也需要vpn設備做一些地址翻譯的工作，或者將流量重定向到防火墻。

還有一種方式:是將vpn設備安裝在防火墻后，對防火墻做出一些改變。需要防火墻配置一個足夠“聰明”的過濾器以允許vpn流量通過。另外，一些防火墻不能處理碎片，而碎片對于vpn來說是非常普遍的。因此，如果不在客戶軟件中人為減小mtu(最大傳輸單元)，就不可能將vpn安裝在防火墻之后。

信息資源廣域vpn網建成后，邏輯上把物理位置省級分中心與不同的區縣支中心、共享工程基層中心連接成統一的內部網，從而提升了文化信息資源共享工程的實在意義。

vpn技術論文范文6

關鍵詞：多協議標簽交換；虛擬專用網；網絡改造；安全隔離

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)27-6643-02

隨著公司的不斷發展，DCN網上承載的業務系統不斷增多，除“97”系統外，還有如網管集中監控系統、電源監控系統、客服系統、OA等及融合后3G網管系統等，有些應用系統對安全性要求較高比如OA和財務，有些系統對帶寬和網絡質量（QoS）要求較高。現有的網絡不能滿足“分而治之”的企業運作管理需要。由于信息系統集中整合的需要，實施此次MPLS升級改造。通過本次改造工程的實施，優化網絡結構，提高網絡的安全性、可靠性及整個DCN網的服務質量。由一張實體物理網實現虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端，滿足企業內部應用的承載和安全需求。最終，DCN網絡中的終端與主機須劃入至各自所屬的MPLS VPN域中，實現各個VPN域之間的通信隔離，同時在各個VPN間建立數據通道，部署防火墻對經過數據通道的流量進行訪問控制，實現對不同VPN域的通信數據的有效安全控制。

1 MPLS VPN技術簡介

MPLS VPN是由若干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。

MPLS VPN網絡主要由CE、PE和P等3部分組成：CE(Custom Edge Router，用戶網絡邊緣路由器)設備直接與服務提供商網絡。設備與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者：P(Provider Router，骨干網核心路由器)負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。

PE是MPLS VPN網絡的關鍵設備，根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標準，使用MBGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN。在MPLS VPN網絡中，對VPN的所有處理都發生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發。RT使用了BGP中擴展團體屬性，用于路由信息的分發，具有全局惟一性，同一個RT只能被一個VPN使用，它分成Import RT和Export RT，分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創建了一個虛擬路由轉發表VRF(VPN Routing & Forwarding)，VRF為每個site維護邏輯上分離的路由表，每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

整個MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP的建立和VPN路由信息的分發過程，數據面則定義了VPN數據的轉發過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協議交互知道屬于某個VPN的網絡拓撲信息。除了路由協議外，在控制層面工作的還有LDP，它在整個MPLS網絡中進行標簽的分發，形成數據轉發的邏輯通道LSP。在數據轉發層面，MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉發出去，然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器，從而實現了整個數據轉發過程。

2 骨干遷移的三個關鍵問題

由于DCN網絡建設時間比較久，網絡結構比較復雜，如何從全部使用IP環境的DCN過渡到全部使用MPLS VPN環境的DCN成了此次網絡升級改造的重點。網絡改造期間，網絡的平穩運行無論對于市場還是對于業務系統都是至關重要的，由于MPLS VPN技術是對全省DCN網絡傳輸技術的徹底改變，如何在改變網絡協議結構的同時讓網絡仍然健康地運行成為實現MPLS VPN改造的首要問題。

過渡期間最應該考慮的關鍵三個問題是：

1）在IP環境下，各域間路由的互通問題。實現方法是先將組成DCN的各個IP網絡單元以地市為單位逐個改造為MPLS VPN 網絡單元，然后逐個與省公司建立MP BGP鄰居實現全網MPLS VPN化。

2）受控互訪的實現，即做到市公司在同一VPN區域內部互相之間不可見；市公司在同一VPN區域內部可以訪問省公司；市公司訪問處于不同VPN區域的省公司業務。方案設計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現。

3）VPN劃分與IP地址整理，DCN網絡建設前期并未考慮各個應用系統的MPLS VPN劃分，因此大多系統混雜在一起，或者接在同一臺設備，或者干脆就在同一個網段中，同時還存在生產與管理地址段混用的問題。具體系統混接的問題可以分為三類，地址混用、設備支持能力不足以及第二地址問題。

3 DCN網絡改造升級的設計

DCN網絡改造解決方案是融合MPLS、VPN和QOS技術的統一解決方案。方案采用MPLS作為承載數據傳輸的新協議，使用EIGRP作為主干IGP協議，MPLS VPN路由使用MP-IBGP以及路由反射器進行域內傳送，省公司采用背對背VRF方式與集團對接。

MPLS需要建立在IGP路由的基礎上，IGP協議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性，省骨干網使用的EIGRP協議，地市網絡根據自己網絡環境使用EIGRP或OSPF協議。所有協議在省網和市網之間重分發。整個網絡IGP協議互通。根據整體方案，各PE-CE路由協議保持原OSPF動態路由協議，在PE設備將OSPF路由重分發至MP-BGP。

各業務VPN互訪通過防火墻來實現。由于目前將DCN全網業務基本劃分為MS、BS、OS和OTHER這四個大的系統，跨系統流量如何導通成為一個較為重要的問題。如果全部使用重疊VPN的方式，一方面增加了維護的復雜度，另一方面違背了建設MPLS VPN的根本目標，重新給各業務系統帶來了安全隱患。采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴格的安全策略，對各VPN之間流量進行過濾，這樣隔離的各MPLS VPN之間可以安全的進行數據通信，這樣即解決了各業務系統之間的互通問題，也保證了各業務系統的安全。

綜合前面所述，主要采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。

將各業務VPN為HUB－SPOKE模式，即各地市業務系統僅可與省中心進行通信，相互之間不可見，不能進行相互訪問。

在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業務的訪問需求作相應的訪問控制，各VPN業務之間通過防火墻進行訪問。

4 MPLS VPN對DCN網絡的重要意義

由于應用系統整合方向是集團公司集中和省公司集中。集團、省集中應用系統通過DCN網絡進行信息交互，而應用系統整合除功能整合外，其物理整合和集中的形勢則表現為集中的企業數據中心，MPLS升級的重要意義體現在：

1）全網絡覆蓋：應用系統整合后，系統集中統一部署服務器，滿足地市、縣客戶端遠程訪問省級應用系統服務器，集團公司級應用系統和省級應用系統之間有信息交互的應用需求。

2）系統受控安全互訪需求：企業運作需要，不同應用系統間又有互訪的要求。例如：營帳綜合客戶端，處于辦公網，兼顧辦公和營帳工作，需訪問營帳系統；網管綜合客戶端，兼顧網管工作和辦公管理、資源管理、工單、故障單工作，經常在兩網間切換；因此需要DCN網絡進行安全隔離的同時，支持系統間受控互訪，通過用戶身份識別、訪問授權、隧道加密、安全策略部署等技術保證被訪系統的安全。

3）可用性要求：隨著信息化建設的深入，系統功能將逐步得到完善，傳送的信息內容將日趨豐富，VPN顆粒將趨向細化，VPN拓撲將日益復雜，對現有企業網絡的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網絡規劃建設中必需著重考慮的問題。

4）可靠性要求：DCN網絡承載著企業運作所需的重要應用和數據，在整個信息化系統中起到中樞神經的作用，網絡故障將影響企業正常運作。信息系統整合將導致地域性和功能性集中化程度的提高，從而增加了對DCN網絡的依賴。必需充分考慮網絡高可靠性，避免網絡設備和鏈路的單點故障，保證關鍵應用系統的訪問和接入，保證作為應用系統核心的企業數據中心的高效可靠的連接。

5）服務質量要求：DCN網絡是在同一物理網絡上承載多個相對獨立的業務系統，各業務系統為不同的職能部門開展業務提供服務，其數據流程和管理方式都存在差異，不同業務系統，需要網絡平臺提供差別服務，如對帶寬、實時性有不同的要求，網絡必須具備帶寬管理、資源預留、服務等級設置的能力。

在保證DCN網絡安全運行的前提下，有步驟、分階段實施MPLS改造，并按照規劃設計應用RT策略實現各系統互訪受控與隔離。目前，改造后的DCN網絡運行狀況良好。

在實現MPLS VPN后，受控互訪則變得相對輕松，僅僅需要在各個MPLS VPN路由環境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統間的訪問進行控制。隨著受控互訪的實現，全覆蓋、可用、可靠、優化傳輸以及可管理等周邊需求的實現也變得比較容易。一張實體物理網、虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端。獨立統一的一張實體物理網，滿足企業內部應用的承載需求。虛擬多業務網，統一的業務隔離、受控互訪機制和統一的VPN業務接入機制。

5 結束語

MPLS VPN網絡改造的實現，極大的提高的DCN網絡的安全性，為前臺營業、辦公OA、運維網絡監控等各項不同的業務網絡應用提供可靠地保證。

參考文獻：

[1] 范亞芹,張麗翠,宋維剛.可提供MPLS VPN網絡安全性保障的解決方案[J].吉林大學學報:信息科學版,2005(03).