【正文】 是任何公共網絡上的用戶都能夠使用已經建立的 VPN通道，而是只有經過授權的用戶才可以使用。在該通道內傳輸的數據經過了加密和認證，使得通信內容既不能被第三者修改，又無法被第三者破解，從而保證了傳輸內容的完整性和機密性。因此，只有特定的企業(yè)和用戶群體才能夠利用該通道進行安全的通信。N即 Network，表示這是一種專門的組網技術和服務，企業(yè)為了建立和使用 VPN必須購買和配備相應的網絡設備。64VPN有 3種類型： Access VPN（遠程訪問 VPN）、Intra VPN（企業(yè)內部 VPN）和 Extra VPN（企業(yè)擴展 VPN），這 3種類型的 VPN分別對應于傳統(tǒng)的遠程訪問網絡、企業(yè)內部的 Intra以及企業(yè)和合作伙伴的網絡所構成的 Extra。 VPNAccess VPN即所謂的移動 VPN，適用于企業(yè)內部人員流動頻繁或遠程辦公的情況，出差員工或者在家辦公的員工利用當地 ISP（ Inter Service Provider， Inter服務提供商）就可以和企業(yè)的 VPN網關建立私有的隧道連接，如圖 。VPN的類型65Access VPN66Access VPN對應于傳統(tǒng)的遠程訪問內部網絡。在傳統(tǒng)方式中，在企業(yè)網絡內部需要架設一個撥號服務器作為 RAS（ Remote Access Server），用戶通過撥號到該 RAS來訪問企業(yè)內部網。這種方式需要購買專門的 RAS設備，價格昂貴，用戶只能進行撥號，也不能保證通信安全，而且對于遠程用戶可能要支付昂貴的長途撥號費用。67Access VPN通過撥入當地的 ISP進入 Inter再連接企業(yè)的 VPN網關，在用戶和 VPN網關之間建立一個安全的 “隧道 ”，通過該隧道安全地訪問遠程的內部網，這樣既節(jié)省了通信費用，能保證安全性。Access VPN的撥入方式包括撥號、 ISDN、數字用戶線路 (xDSL)等，惟一的要求就是能夠使用合法 IP地址訪問 Inter，具體何種方式沒有關系。通過這些靈活的撥入方式能夠讓移動用戶、遠程用戶或分支機構安全地接入到內部網絡。68 VPN如果要進行企業(yè)內部異地分支機構的互聯(lián)，可以使用 Intra VPN方式，這是所謂的網關對網關 VPN，它對應于傳統(tǒng)的 Intra解決方案，如圖所示。Intra VPN在異地兩個網絡的網關之間建立了一個加密的 VPN隧道，兩端的內部網絡可以通過該VPN隧道安全地進行通信，就好像和本地網絡通信一樣。Intra VPN利用公共網絡（如 Inter）的基礎設施，連接企業(yè)總部、遠程辦事處和分支機構。企業(yè)擁有與專用網絡相同的策略，包括安全、服務質量(QoS)、可管理性和可靠性。69Intra VPN70 VPN如果一個企業(yè)希望將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內部網，可以使用Extra VPN，它對應于傳統(tǒng)的 Extra解決方案，如圖所示。Extra VPN其實也是一種網關對網關的VPN，與 Intra VPN不同的是，它需要在不同企業(yè)的內部網絡之間組建，需要有不同協(xié)議和設備之間的配合和不同的安全配置。71Extra VPN72VPN具有以下優(yōu)點。（ 1） 降低成本VPN是利用了現有的 Inter或其他公共網絡的基礎設施為用戶創(chuàng)建安全隧道，不需要使用專門的線路，如 DDN和 PSTN，這樣就節(jié)省了專門線路的租金。如果是采用遠程撥號進入內部網絡，訪問內部資源，還需要支付長途話費；而采用 VPN技術，只需撥入當地的 ISP就可以安全地接入內部網絡，這樣也節(jié)省了線路話費。VPN的優(yōu)點73（ 2） 易于擴展如果采用專線連接，實施起來比較困難，在分部增多、內部網絡結點越來越多時，網絡結構趨于復雜，費用昂貴。如果采用 VPN，只是在結點處架設 VPN設備，就可以利用Inter建立安全連接，如果有新的內部網絡想加入安全連接，只需添加一臺 VPN設備，改變相關配置即可。74（ 3） 保證安全VPN技術利用可靠的加密認證技術，在內部網絡之間建立隧道，能夠保證通信數據的機密性和完整性，保證信息不被泄漏或暴露給未授權的實體，保證信息不被未授權的實體改變、刪除或替代。在現在的網絡應用中，除了讓外部合法用戶通過 VPN訪問內部資源外，還需要內部用戶方便地訪問 Inter，這樣可將 VPN設備和防火墻配合，在保證網絡暢通的情況下，盡可能的保證訪問安全。75在 VPN應用中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置的方式，另一種是采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法要求密鑰更新不要太頻繁，否則管理工作量太大，因此只適合于簡單網絡的情況。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，保證密鑰在公共網絡上安全地傳輸而不被竊取，適合于復雜網絡的情況，而且密鑰可快速更新，可以顯著提高VPN應用的安全性。密鑰管理技術76目前主要的密鑰交換與管理標準有 SKIP（Simple Key Management for IP）和 ISAKMP（ Inter Security Association and Key Management Protocol， Inter安全聯(lián)盟和密鑰管理協(xié)議， RFC2408） /Oakley（ RFC2412）。SKIP是由 SUN所發(fā)展的技術，主要利用Diffie? Hellman算法在網絡上傳輸密鑰。在ISAKMP/Oakley中， Oakley定義如何辨認及確認密鑰， ISAKMP定義分配密鑰的方法。77什么是 MPLS？n MPLS（ Multi Protocol Label Switching）：多協(xié)議標記（標簽）交換n 起源于 Cisco的 Tag Switching（ 1996），后由IETF標準化，并改為多協(xié)議標記交換。是一種支持多種網絡層協(xié)議的快速轉發(fā)技術，它就象一個墊片（ shim)，處于 OSI的第 3層之間。n MPLS吸收了 ATM網絡的 VPI/VCI交換思想，集成了 IP路由技術的靈活性和 2層交換的簡捷性，為 IP網絡提供了面向連接的交換。 78MPLS VPN與 IPSec VPNn MPLS VPN的安全性與幀中繼、 ATM類似，即租用了一條虛連接（局部）。n MPLS VPN不涉及認證、加密功能。n IPSec VPN提供認證、加密功能，能保證數據的機密性、完整性n 對安全需求強的業(yè)務可以將 IPSec和 MPLS VPN結合使用79謝謝觀看 /歡迎下載BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAIT