【正文】 是任何公共網(wǎng)絡(luò)上的用戶都能夠使用已經(jīng)建立的 VPN通道，而是只有經(jīng)過授權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認證，使得通信內(nèi)容既不能被第三者修改，又無法被第三者破解，從而保證了傳輸內(nèi)容的完整性和機密性。因此，只有特定的企業(yè)和用戶群體才能夠利用該通道進行安全的通信。N即 Network，表示這是一種專門的組網(wǎng)技術(shù)和服務(wù)，企業(yè)為了建立和使用 VPN必須購買和配備相應(yīng)的網(wǎng)絡(luò)設(shè)備。64VPN有 3種類型： Access VPN（遠程訪問 VPN）、Intra VPN（企業(yè)內(nèi)部 VPN）和 Extra VPN（企業(yè)擴展 VPN），這 3種類型的 VPN分別對應(yīng)于傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及企業(yè)和合作伙伴的網(wǎng)絡(luò)所構(gòu)成的 Extra。 VPNAccess VPN即所謂的移動 VPN，適用于企業(yè)內(nèi)部人員流動頻繁或遠程辦公的情況，出差員工或者在家辦公的員工利用當?shù)?ISP（ Inter Service Provider， Inter服務(wù)提供商）就可以和企業(yè)的 VPN網(wǎng)關(guān)建立私有的隧道連接，如圖 。VPN的類型65Access VPN66Access VPN對應(yīng)于傳統(tǒng)的遠程訪問內(nèi)部網(wǎng)絡(luò)。在傳統(tǒng)方式中，在企業(yè)網(wǎng)絡(luò)內(nèi)部需要架設(shè)一個撥號服務(wù)器作為 RAS（ Remote Access Server），用戶通過撥號到該 RAS來訪問企業(yè)內(nèi)部網(wǎng)。這種方式需要購買專門的 RAS設(shè)備，價格昂貴，用戶只能進行撥號，也不能保證通信安全，而且對于遠程用戶可能要支付昂貴的長途撥號費用。67Access VPN通過撥入當?shù)氐?ISP進入 Inter再連接企業(yè)的 VPN網(wǎng)關(guān)，在用戶和 VPN網(wǎng)關(guān)之間建立一個安全的 “隧道 ”，通過該隧道安全地訪問遠程的內(nèi)部網(wǎng)，這樣既節(jié)省了通信費用，能保證安全性。Access VPN的撥入方式包括撥號、 ISDN、數(shù)字用戶線路 (xDSL)等，惟一的要求就是能夠使用合法 IP地址訪問 Inter，具體何種方式?jīng)]有關(guān)系。通過這些靈活的撥入方式能夠讓移動用戶、遠程用戶或分支機構(gòu)安全地接入到內(nèi)部網(wǎng)絡(luò)。68 VPN如果要進行企業(yè)內(nèi)部異地分支機構(gòu)的互聯(lián)，可以使用 Intra VPN方式，這是所謂的網(wǎng)關(guān)對網(wǎng)關(guān) VPN，它對應(yīng)于傳統(tǒng)的 Intra解決方案，如圖所示。Intra VPN在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個加密的 VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進行通信，就好像和本地網(wǎng)絡(luò)通信一樣。Intra VPN利用公共網(wǎng)絡(luò)（如 Inter）的基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)相同的策略，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。69Intra VPN70 VPN如果一個企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extra VPN，它對應(yīng)于傳統(tǒng)的 Extra解決方案，如圖所示。Extra VPN其實也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的VPN，與 Intra VPN不同的是，它需要在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建，需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。71Extra VPN72VPN具有以下優(yōu)點。（ 1） 降低成本VPN是利用了現(xiàn)有的 Inter或其他公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建安全隧道，不需要使用專門的線路，如 DDN和 PSTN，這樣就節(jié)省了專門線路的租金。如果是采用遠程撥號進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，還需要支付長途話費；而采用 VPN技術(shù)，只需撥入當?shù)氐?ISP就可以安全地接入內(nèi)部網(wǎng)絡(luò)，這樣也節(jié)省了線路話費。VPN的優(yōu)點73（ 2） 易于擴展如果采用專線連接，實施起來比較困難，在分部增多、內(nèi)部網(wǎng)絡(luò)結(jié)點越來越多時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。如果采用 VPN，只是在結(jié)點處架設(shè) VPN設(shè)備，就可以利用Inter建立安全連接，如果有新的內(nèi)部網(wǎng)絡(luò)想加入安全連接，只需添加一臺 VPN設(shè)備，改變相關(guān)配置即可。74（ 3） 保證安全VPN技術(shù)利用可靠的加密認證技術(shù)，在內(nèi)部網(wǎng)絡(luò)之間建立隧道，能夠保證通信數(shù)據(jù)的機密性和完整性，保證信息不被泄漏或暴露給未授權(quán)的實體，保證信息不被未授權(quán)的實體改變、刪除或替代。在現(xiàn)在的網(wǎng)絡(luò)應(yīng)用中，除了讓外部合法用戶通過 VPN訪問內(nèi)部資源外，還需要內(nèi)部用戶方便地訪問 Inter，這樣可將 VPN設(shè)備和防火墻配合，在保證網(wǎng)絡(luò)暢通的情況下，盡可能的保證訪問安全。75在 VPN應(yīng)用中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式，另一種是采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法要求密鑰更新不要太頻繁，否則管理工作量太大，因此只適合于簡單網(wǎng)絡(luò)的情況。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，保證密鑰在公共網(wǎng)絡(luò)上安全地傳輸而不被竊取，適合于復(fù)雜網(wǎng)絡(luò)的情況，而且密鑰可快速更新，可以顯著提高VPN應(yīng)用的安全性。密鑰管理技術(shù)76目前主要的密鑰交換與管理標準有 SKIP（Simple Key Management for IP）和 ISAKMP（ Inter Security Association and Key Management Protocol， Inter安全聯(lián)盟和密鑰管理協(xié)議， RFC2408） /Oakley（ RFC2412）。SKIP是由 SUN所發(fā)展的技術(shù)，主要利用Diffie? Hellman算法在網(wǎng)絡(luò)上傳輸密鑰。在ISAKMP/Oakley中， Oakley定義如何辨認及確認密鑰， ISAKMP定義分配密鑰的方法。77什么是 MPLS？n MPLS（ Multi Protocol Label Switching）：多協(xié)議標記（標簽）交換n 起源于 Cisco的 Tag Switching（ 1996），后由IETF標準化，并改為多協(xié)議標記交換。是一種支持多種網(wǎng)絡(luò)層協(xié)議的快速轉(zhuǎn)發(fā)技術(shù)，它就象一個墊片（ shim)，處于 OSI的第 3層之間。n MPLS吸收了 ATM網(wǎng)絡(luò)的 VPI/VCI交換思想，集成了 IP路由技術(shù)的靈活性和 2層交換的簡捷性，為 IP網(wǎng)絡(luò)提供了面向連接的交換。 78MPLS VPN與 IPSec VPNn MPLS VPN的安全性與幀中繼、 ATM類似，即租用了一條虛連接（局部）。n MPLS VPN不涉及認證、加密功能。n IPSec VPN提供認證、加密功能，能保證數(shù)據(jù)的機密性、完整性n 對安全需求強的業(yè)務(wù)可以將 IPSec和 MPLS VPN結(jié)合使用79謝謝觀看 /歡迎下載BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAIT