虛擬專用網(wǎng)要點(diǎn)課件

虛擬專用網(wǎng)虛擬專用網(wǎng)虛擬專用網(wǎng)（VPN）VPN基礎(chǔ)VPN的實(shí)現(xiàn)技術(shù)VPN安全VPN的構(gòu)建VPN產(chǎn)品VPN的維護(hù)VPN的發(fā)展總結(jié)虛擬專用網(wǎng)（VPN）VPN基礎(chǔ)【1】VPN基礎(chǔ)1.1什么是VPN虛擬專用網(wǎng)（VPN,virtualprivatenetwork），依靠ISP（因特網(wǎng)服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)?！?】VPN基礎(chǔ)1.1什么是VPN虛擬專用網(wǎng)要點(diǎn)課件IETF草案基于IP的VPN“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用因特網(wǎng)公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。IETF草案基于IP的VPN“使用IP機(jī)制仿真出一個(gè)私有的廣1.2VPN的工作原理網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進(jìn)行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP協(xié)議從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò)。 網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸。因而，只要看得到因特網(wǎng)流量，也能讀取包內(nèi)所含數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機(jī)密信息，這顯然是一個(gè)問題。1.2VPN的工作原理VPN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸。VPN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在1.3VPN的特點(diǎn)1.3.1VPN的優(yōu)點(diǎn) （1）實(shí)現(xiàn)網(wǎng)絡(luò)安全 （2）簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì) （3）降低成本 （4）容易擴(kuò)展 （5）可隨意與合作伙伴聯(lián)網(wǎng) （6）完全控制主動(dòng)權(quán) （7）支持新興應(yīng)用1.3VPN的特點(diǎn)1.3.1VPN的優(yōu)點(diǎn)1.3.2VPN的缺點(diǎn) （1）VPN的服務(wù)提供商們只保證數(shù)據(jù)在其管轄范圍內(nèi)的性能，一旦出了其"轄區(qū)"則安全沒有保證。 （2）VPN的管理流程和平臺(tái)相對(duì)于其他遠(yuǎn)程接入服務(wù)器或其他網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)備來(lái)說，有時(shí)并不太好用。 （3）不同廠商的VPN的管理和配置掌握起來(lái)是最難的，這需要同時(shí)熟悉不同廠商的執(zhí)行方式，包括不同的術(shù)語(yǔ)。1.3.2VPN的缺點(diǎn)VPN適用范圍位置眾多，特別是單個(gè)用戶和遠(yuǎn)程辦公室站點(diǎn)多。用戶/站點(diǎn)分布范圍廣，彼此之間的距離遠(yuǎn)。帶寬和時(shí)延要求相對(duì)適中。對(duì)線路保密性和可用性有一定要求。VPN適用范圍位置眾多，特別是單個(gè)用戶和遠(yuǎn)程辦公室站點(diǎn)多。1.4VPN的體系結(jié)構(gòu)1.4.1網(wǎng)絡(luò)服務(wù)商提供的VPN

網(wǎng)絡(luò)服務(wù)供應(yīng)商將在公司現(xiàn)場(chǎng)放置一個(gè)設(shè)備來(lái)創(chuàng)建VPN隧道。 防火墻也可能被添加到這種類型的環(huán)境中，通常在網(wǎng)絡(luò)設(shè)備前端或其中間。1.4VPN的體系結(jié)構(gòu)1.4.1網(wǎng)絡(luò)服務(wù)商提供的VP以太網(wǎng)以太網(wǎng)1.4.2基于防火墻的VPN

基于防火墻的VPN很可能是VPN最常見的一種實(shí)現(xiàn)方式。

以太網(wǎng)1.4.2基于防火墻的VPN以太網(wǎng)1.4.3基于黑匣的VPN

廠商只提供一個(gè)黑匣。這是加載了加密軟件以創(chuàng)建VPN隧道的一個(gè)基本的設(shè)備。

以太網(wǎng)

以太網(wǎng)1.4.3基于黑匣的VPN以太網(wǎng)以1.5VPN的應(yīng)用領(lǐng)域內(nèi)聯(lián)網(wǎng)VPN外聯(lián)網(wǎng)VPN遠(yuǎn)程接入VPN1.5VPN的應(yīng)用領(lǐng)域內(nèi)聯(lián)網(wǎng)VPN1.5.1內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）內(nèi)聯(lián)網(wǎng)VPN業(yè)務(wù)用于連接公司內(nèi)部各辦事處，可以建立企業(yè)總部及分支機(jī)構(gòu)間的安全連接，為企業(yè)現(xiàn)有的專線網(wǎng)絡(luò)增加或建立新的帶寬。只有企業(yè)分支機(jī)構(gòu)和服務(wù)供應(yīng)商之間的線路需要收費(fèi)，不再需要從企業(yè)總部到企業(yè)分支機(jī)構(gòu)的專線連接。1.5.1內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）內(nèi)聯(lián)網(wǎng)虛擬專用網(wǎng)要點(diǎn)課件1.5.2外聯(lián)網(wǎng)VPN（ExtranetVPN）

外聯(lián)網(wǎng)VPN業(yè)務(wù)用于將公司與外部供應(yīng)商、客戶及其他利益相關(guān)群體相連接。

外聯(lián)網(wǎng)使公司與其供應(yīng)商、銷售商和客戶之間能進(jìn)行電子商務(wù)等活動(dòng)，其最主要的好處是改善提供商務(wù)的速度和效率。

1.5.2外聯(lián)網(wǎng)VPN（ExtranetVPN）虛擬專用網(wǎng)要點(diǎn)課件早期漫游應(yīng)用早期漫游應(yīng)用1.5.3遠(yuǎn)程接入VPN（AccessVPN） 通過接入VPN提供的移動(dòng)用戶接入企業(yè)網(wǎng)的業(yè)務(wù)充分利用因特網(wǎng)資源，通過共享的IP網(wǎng)絡(luò)承載用戶業(yè)務(wù)，使業(yè)務(wù)提供成本大大降低。1.5.3遠(yuǎn)程接入VPN（AccessVPN）1.6VPN的應(yīng)用平臺(tái)純軟件平臺(tái)專用硬件平臺(tái)輔助平臺(tái)1.6VPN的應(yīng)用平臺(tái)純軟件平臺(tái)1.6.1純軟件平臺(tái)VPN

對(duì)數(shù)據(jù)傳輸速率﹑安全等性能要求不高時(shí)，可利用某些知名公司（Citrix﹑AventialCorp.﹑CheckPointSoftware等）基于純軟件的VPN產(chǎn)品來(lái)實(shí)現(xiàn)簡(jiǎn)潔的VPN功能。其中包括了VPN的應(yīng)用軟件﹑應(yīng)用服務(wù)器和用戶產(chǎn)品軟件等，可運(yùn)行于微軟的WindowsNT/2000Server﹑Macintosh﹑Linux和Sun公司的Solaris等網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)。1.6.1純軟件平臺(tái)VPN1.6.2專用硬件平臺(tái)VPN

專用硬件平臺(tái)具有較好的通信性能，可提供快捷的服務(wù)，滿足公司﹑企業(yè)和特定用戶對(duì)數(shù)據(jù)安全和通信性能需要。 功能涵蓋安全性、隧道協(xié)議、過濾、支持策略、服務(wù)質(zhì)量等，且具有擴(kuò)展性、靈活性、可靠性和可管理性。1.6.2專用硬件平臺(tái)VPN1.6.3輔助硬件平臺(tái)VPN

性能介于軟件平臺(tái)和特定硬件平臺(tái)的VPN間，它基于現(xiàn)有網(wǎng)絡(luò)設(shè)施，再添加適當(dāng)?shù)腣PN軟件來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)的功能。1.6.3輔助硬件平臺(tái)VPN1.7VPN的基本功能特征不透明包傳輸數(shù)據(jù)安全性Qos保證隧道機(jī)制1.7VPN的基本功能特征不透明包傳輸1.7.1不透明包傳輸 不透明包傳輸意味著VPN的實(shí)施不應(yīng)該對(duì)用戶網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)協(xié)議和編址方式做出任何限制。1.7.1不透明包傳輸1.7.2數(shù)據(jù)的安全性 任何VPN都應(yīng)該同時(shí)支持兩種實(shí)施方式。 （1）用戶不信任運(yùn)營(yíng)商。用戶自己負(fù)責(zé)所傳遞數(shù)據(jù)的安全性，VPN數(shù)據(jù)的安全性取決于用戶所使用的防火墻以及所使用的隧道協(xié)議的安全性等具體實(shí)施時(shí)的多方面因素。 （2）用戶信任運(yùn)營(yíng)商。防火墻功能以及包傳輸?shù)陌踩员ＷC都是由運(yùn)營(yíng)商提供。1.7.2數(shù)據(jù)的安全性1.7.3QoS保證 建立在物理層或鏈路層基礎(chǔ)之上的專用網(wǎng)技術(shù)也提供了不同類型的QoS保證。

IPVPN的QoS保證主要依賴于IP骨干網(wǎng)基礎(chǔ)設(shè)施的相應(yīng)能力，隨著IPQoS技術(shù)的發(fā)展，VPN也必將利用這些手段使VPN系統(tǒng)具有QoS保證的能力。1.7.3QoS保證1.7.4隧道機(jī)制 隧道使用特定的格式，可以提供某種程度的數(shù)據(jù)安全保證，如IPSec。 另外，這樣的隧道機(jī)制可以隨著IP數(shù)據(jù)流量管理機(jī)制的發(fā)展而發(fā)展。1.7.4隧道機(jī)制【2】VPN的實(shí)現(xiàn)技術(shù)隧道技術(shù)加密技術(shù)Qos技術(shù)【2】VPN的實(shí)現(xiàn)技術(shù)隧道技術(shù)2.1實(shí)現(xiàn)VPN的隧道技術(shù)為了能夠有在公網(wǎng)中形成的企業(yè)專用的鏈路網(wǎng)絡(luò)，VPN采用了所謂的“隧道”技術(shù)，模仿點(diǎn)到點(diǎn)連接技術(shù)，依靠ISP和其他的網(wǎng)絡(luò)服務(wù)提供商（NSP）在公網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過隧道傳輸。對(duì)不同信息源，可分別給它們開出不同的隧道。2.1實(shí)現(xiàn)VPN的隧道技術(shù)為了能夠有在公網(wǎng)中形成的企業(yè)2.1.1IP隧道的封裝封裝是構(gòu)建隧道的基本手段，使得IP隧道實(shí)現(xiàn)了信息隱蔽和抽象，為IPVPN提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和多協(xié)議支持等機(jī)制奠定了基礎(chǔ)。封裝器和解包器都有它們所屬的用戶空間和封裝空間得IP地址。2.1.1IP隧道的封裝封裝是構(gòu)建隧道的基本手段，使得封裝注意事項(xiàng)（1）源和目的實(shí)體不知道任何隧道的存在。（2）在隧道的2個(gè)端點(diǎn)使用該過程，需要封裝器和解包器兩個(gè)新的實(shí)體，這是非常重要的一點(diǎn)。（3）封裝器和解包器必須相互知曉，但不必知道在它們之間的網(wǎng)絡(luò)上的任何細(xì)節(jié)。封裝注意事項(xiàng)（1）源和目的實(shí)體不知道任何隧道的存在。2.1.2IP隧道的實(shí)現(xiàn)IP隧道的實(shí)現(xiàn)機(jī)制主要涉及2個(gè)方面：（1）第二層與第三層隧道的問題。（2）在網(wǎng)絡(luò)的什么層次上實(shí)現(xiàn)IP隧道的問題。2.1.2IP隧道的實(shí)現(xiàn)IP隧道的實(shí)現(xiàn)機(jī)制主要涉及2個(gè)2.1.3隧道類型自愿隧道（Voluntarytunnel）強(qiáng)制隧道（Compulsorytunnel）2.1.3隧道類型自愿隧道（Voluntarytun自愿隧道當(dāng)一臺(tái)工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現(xiàn)這一目的，客戶端計(jì)算機(jī)必須安裝適當(dāng)?shù)乃淼绤f(xié)議。

對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)說，客戶機(jī)已經(jīng)具有同企業(yè)網(wǎng)絡(luò)的連接，由企業(yè)網(wǎng)絡(luò)為封裝負(fù)載數(shù)據(jù)提供到目標(biāo)隧道服務(wù)器路由。自愿隧道當(dāng)一臺(tái)工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服強(qiáng)制隧道客戶只能使用由FEP創(chuàng)建的隧道，所以稱為強(qiáng)制隧道。一旦最初的連接成功，所有客戶端的數(shù)據(jù)流將自動(dòng)的通過隧道發(fā)送。使用強(qiáng)制隧道，客戶端計(jì)算機(jī)建立單一的PPP連接，當(dāng)客戶撥入NAS時(shí)，一條隧道將被創(chuàng)建，所有的數(shù)據(jù)流自動(dòng)通過該隧道路由。強(qiáng)制隧道客戶只能使用由FEP創(chuàng)建的隧道，所以稱為強(qiáng)制隧道。一2.1.4形成隧道的基本要素（1）有隧道開通器；（2）有路由能力的公用網(wǎng)絡(luò)；（3）有一個(gè)或多個(gè)隧道終止器；（4）必要時(shí)增加一個(gè)隧道交換機(jī)以增加靈活性。2.1.4形成隧道的基本要素（1）有隧道開通器；2.2實(shí)現(xiàn)VPN的隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。

第2層隧道協(xié)議對(duì)應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用楨作為數(shù)據(jù)交換單位。

第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。2.2實(shí)現(xiàn)VPN的隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機(jī)和服2.2.1PPTP協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)。PPTP將PPP作為遠(yuǎn)程訪問協(xié)議，用來(lái)在基于TCP／IP的網(wǎng)絡(luò)上發(fā)送多協(xié)議數(shù)據(jù)。PPTP的一個(gè)特別好的優(yōu)點(diǎn)就是它的應(yīng)用較為簡(jiǎn)單。2.2.1PPTP協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議(Point-toPPP協(xié)議點(diǎn)對(duì)點(diǎn)協(xié)議(ThePoint-to-PointProtocol），PPP協(xié)議主要是設(shè)計(jì)用來(lái)通過撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)。創(chuàng)建PPP鏈路。用戶驗(yàn)證PPP回叫控制（callbackcontrol）調(diào)用網(wǎng)絡(luò)層協(xié)議PPP協(xié)議點(diǎn)對(duì)點(diǎn)協(xié)議(ThePoint-to-Point通用路由封裝協(xié)議（GRE）GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許點(diǎn)到多點(diǎn)，即一個(gè)源地址對(duì)多個(gè)終地址。GRE隧道技術(shù)是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。通用路由封裝協(xié)議（GRE）GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道2.2.2L2F協(xié)議L2F是Cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器（路由器）。L2F服務(wù)器把數(shù)據(jù)包解包之重新注入網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶方。應(yīng)當(dāng)注意L2F只在強(qiáng)制隧道中有效。2.2.2L2F協(xié)議L2F是Cisco公司提出的隧道技2.2.3L2TP協(xié)議第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)。L2TP主要由訪問集中器LAC（L2PTAccessConcentrator）和網(wǎng)絡(luò)服務(wù)器LNS（L2TPNetworkServer）構(gòu)成。2.2.3L2TP協(xié)議第二層隧道協(xié)議(Layer2典型L2TP典型L2TPL2TP特性用戶驗(yàn)證令牌卡（Tokencard）支持動(dòng)態(tài)地址分配數(shù)據(jù)壓縮數(shù)據(jù)加密密鑰管理多協(xié)議支持L2TP特性用戶驗(yàn)證2.2.4IPSec協(xié)議IPSec加密技術(shù)是在隧道外面再封裝，保證了隧道在傳輸過程中的安全性。IPSec是一個(gè)第三層VPN協(xié)議標(biāo)準(zhǔn)，它支持信息通過IP公網(wǎng)的安全傳輸。IPSec主要由AH（認(rèn)證頭）協(xié)議,ESP（封裝安全載荷）協(xié)議,以及負(fù)責(zé)密鑰管理的IKE（因特網(wǎng)密鑰交換）協(xié)議組成2.2.4IPSec協(xié)議IPSec加密技術(shù)是在隧道外面IPSec體系結(jié)構(gòu)IPSec體系結(jié)構(gòu)AH協(xié)議頭格式AH協(xié)議頭格式封裝載荷（ESP）協(xié)議封裝載荷（ESP）協(xié)議2.3VPN的加密技術(shù)在VPN中，對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，從而確保網(wǎng)絡(luò)上未授權(quán)的用戶無(wú)法讀取該信息。可以說密碼技術(shù)是網(wǎng)絡(luò)安全的核心問題。2.3VPN的加密技術(shù)在VPN中，對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳2.3.1兩種加密方法對(duì)稱式，加密和解密使用同一個(gè)密鑰。非對(duì)稱式，加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱為“公鑰”和“私鑰”，它們兩個(gè)必需配對(duì)使用。2.3.1兩種加密方法對(duì)稱式，加密和解密使用同一個(gè)密鑰2.3.2證書為保證公用密鑰的完整性，公用密鑰隨證書一同發(fā)布。證書（或公用密鑰證書）是一種經(jīng)過證書簽發(fā)機(jī)構(gòu)（CA）數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)。2.3.2證書為保證公用密鑰的完整性，公用密鑰隨證書一同2.3.3摘要函數(shù)這些函數(shù)的輸入可以是任意大小的消息，而輸出是一個(gè)固定長(zhǎng)度的摘要。如果改變了輸入消息中的任何東西，甚至只有一位，輸出的摘要將會(huì)發(fā)生不可預(yù)測(cè)的改變。2.3.3摘要函數(shù)這些函數(shù)的輸入可以是任意大小的消息，而2.3.4密鑰的管理密鑰的使用要注意時(shí)效和次數(shù)。一般強(qiáng)調(diào)僅將一個(gè)對(duì)話密鑰用于一條信息中或一次對(duì)話中，或者建立一種按時(shí)更換密鑰的機(jī)制以減小密鑰暴露的可能性。多密鑰的管理。密鑰一次性由系統(tǒng)自動(dòng)產(chǎn)生。2.3.4密鑰的管理密鑰的使用要注意時(shí)效和次數(shù)。一般強(qiáng)2.3.5數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncryptionStandard）。使用56位密鑰對(duì)64位的數(shù)據(jù)塊進(jìn)行加密，并對(duì)64位的數(shù)據(jù)塊進(jìn)行16輪編碼。RSA（RivestShamirAdleman）?；诖髷?shù)不可能被質(zhì)因數(shù)分解假設(shè)的公鑰體系。2.3.5數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncrypt2.4VPN的QoS技術(shù)虛擬專用網(wǎng)要想成為用戶真正的選擇，必須能夠保障一定的帶寬﹑可靠性和安全性。網(wǎng)絡(luò)需要根據(jù)不同的需要分配不同的帶寬，從而避免網(wǎng)絡(luò)擁塞現(xiàn)象的發(fā)生。為此，有必要設(shè)計(jì)一種QoS策略控制方案來(lái)控制數(shù)據(jù)流量。2.4VPN的QoS技術(shù)虛擬專用網(wǎng)要想成為用戶真正的選2.4.1QoS的定義IPQoS是指IP的服務(wù)質(zhì)量,也是指IP數(shù)據(jù)流通過網(wǎng)絡(luò)時(shí)的性能。度量指標(biāo)有：（1）業(yè)務(wù)可用性。（2）延遲。（3）可變延遲，也稱為抖動(dòng)，Jitter。（4）吞吐量。（5）丟包率。2.4.1QoS的定義IPQoS是指IP的服務(wù)質(zhì)量,2.4.2QoS解決方案綜合業(yè)務(wù)模型（Int-Serv）。區(qū)分業(yè)務(wù)模型（Diff-serv）。多協(xié)議標(biāo)記交換（MPLS）。流量工程和約束路由。2.4.2QoS解決方案綜合業(yè)務(wù)模型（Int-Serv2.4.3綜合業(yè)務(wù)模型綜合業(yè)務(wù)模型（Int-serv：Integratedservice）的基本思想是“所有的流相關(guān)狀態(tài)信息應(yīng)該是在端系統(tǒng)上”,它基于每個(gè)流（單個(gè)的或是匯聚的）提供端到端的保證或是受控負(fù)載的服務(wù)（controlled-loadservice）。Int-Serv框架使IP網(wǎng)能夠提供具有QoS的傳輸，以用于對(duì)QoS要求較為嚴(yán)格的實(shí)時(shí)業(yè)務(wù)（聲音/視頻）。2.4.3綜合業(yè)務(wù)模型綜合業(yè)務(wù)模型（Int-serv：2.4.4區(qū)分業(yè)務(wù)模型區(qū)分業(yè)務(wù)（Diff-serv）模型，拋棄了分組流沿路節(jié)點(diǎn)上的資源預(yù)留。區(qū)分服務(wù)將會(huì)有效地取代跨越大范圍的RSVP的使用。區(qū)分服務(wù)區(qū)域的主要成員有：核心路由器、邊緣路由器、資源控制器（BB，BandwidthBroker）。2.4.4區(qū)分業(yè)務(wù)模型區(qū)分業(yè)務(wù)（Diff-serv）模2.4.5業(yè)務(wù)模型與綜合業(yè)務(wù)模型IETF建議了兩種互操作方式：一種方法是將綜合業(yè)務(wù)覆蓋在區(qū)別型業(yè)務(wù)網(wǎng)上，RSVP信令完全透明地通過區(qū)別型業(yè)務(wù)網(wǎng)。另外一種方法是簡(jiǎn)單的并行處理。區(qū)別型業(yè)務(wù)網(wǎng)中的每個(gè)節(jié)點(diǎn)可能也是具有RSVP功能的。2.4.5業(yè)務(wù)模型與綜合業(yè)務(wù)模型IETF建議了兩種互操作2.4.6MPLS技術(shù)多協(xié)議標(biāo)簽交換（MPLS），它將靈活的三層IP選路和高速的二層交換技術(shù)完美地結(jié)合起來(lái)，從而彌補(bǔ)了傳統(tǒng)IP網(wǎng)絡(luò)的許多缺陷。引入了新的標(biāo)簽結(jié)構(gòu)，對(duì)IP網(wǎng)絡(luò)的改變較大，引入了“顯式路由”機(jī)制，標(biāo)簽邊界路由器LER，標(biāo)簽交換路由器LSR，對(duì)QoS提供了更為可靠的保證。2.4.6MPLS技術(shù)多協(xié)議標(biāo)簽交換（MPLS），它將MPLS工作原理MPLS工作原理基于MPLS的IPVPN基于MPLS的IPVPN2.4.7流量工程將業(yè)務(wù)流映射到現(xiàn)有物理拓?fù)渖系娜蝿?wù)被稱作流量工程。流量工程可以在ISP網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)將業(yè)務(wù)流從通過內(nèi)部網(wǎng)關(guān)協(xié)議IGP，選擇的最短路徑，轉(zhuǎn)移至另一條潛在的、具有更少阻塞的物理路徑上去。2.4.7流量工程將業(yè)務(wù)流映射到現(xiàn)有物理拓?fù)渖系娜蝿?wù)被流量工程路徑與IGP最短路徑比較流量工程路徑與IGP最短路徑比較2.4.8約束路由約束路由是在多重條件限制下計(jì)算路由。約束路由對(duì)服務(wù)質(zhì)量路由進(jìn)行了擴(kuò)展，目標(biāo)是：（1）選擇能滿足一定服務(wù)質(zhì)量要求的路由。（2）避免擁塞并改善網(wǎng)絡(luò)的效用。（3）提高網(wǎng)絡(luò)的利用率。2.4.8約束路由約束路由是在多重條件限制下計(jì)算路由。2.4.9IPV6的QoS控制策略IPv6提供一定的QoS控制策略。首先，IPv6分組頭定義了一個(gè)4比特的優(yōu)先級(jí)區(qū)域，可以指示16種優(yōu)先級(jí)別。其次，這一優(yōu)先級(jí)區(qū)域的使用與IPv4的ToS區(qū)域的使用非常相似。2.4.9IPV6的QoS控制策略IPv6提供一定的Q【3】VPN安全分析通信過程可能遇到的威脅。常見地網(wǎng)絡(luò)攻擊方法。加密技術(shù)。認(rèn)證技術(shù)。【3】VPN安全分析通信過程可能遇到的威脅。3.1基本安全威脅IP網(wǎng)是不安全的，在其上傳遞信息時(shí)存在安全威脅。一條端到端的數(shù)據(jù)通路通常由以下三個(gè)部分網(wǎng)絡(luò)組成：接入網(wǎng)、公用IP網(wǎng)和企業(yè)內(nèi)部網(wǎng)，而在這些組成部分的任何地方都有可能出現(xiàn)數(shù)據(jù)安全隱患。3.1基本安全威脅IP網(wǎng)是不安全的，在其上傳遞信息時(shí)存3.1.1接入網(wǎng)段接入網(wǎng)段負(fù)責(zé)把用戶的數(shù)據(jù)直接傳遞給運(yùn)營(yíng)商的網(wǎng)絡(luò)邊緣設(shè)備（如接入服務(wù)器或接入路由器）。一般認(rèn)為接入網(wǎng)段所面臨的威脅比較小，因此即使是普遍認(rèn)為很安全的專用網(wǎng)或ATM/FR方式的VPN，運(yùn)營(yíng)商在接入網(wǎng)段一般也都不需要提供安全保證。3.1.1接入網(wǎng)段接入網(wǎng)段負(fù)責(zé)把用戶的數(shù)據(jù)直接傳遞給運(yùn)3.1.2公用IP網(wǎng)段在公用IP網(wǎng)段傳遞數(shù)據(jù)，即使采用了隧道機(jī)制，但如果沒有相應(yīng)的安全措施，也會(huì)面臨很多安全威脅。IP包在傳遞過程中也有可能回存在安全風(fēng)險(xiǎn)。3.1.2公用IP網(wǎng)段在公用IP網(wǎng)段傳遞數(shù)據(jù)，即使采用3.1.3企業(yè)內(nèi)部網(wǎng)絡(luò)段安全攻擊主要來(lái)自企業(yè)內(nèi)部網(wǎng)。除非企業(yè)網(wǎng)中的所有主機(jī)、服務(wù)器和路由器都是值得信賴的，否則公司內(nèi)部的員工就有可能利用企業(yè)網(wǎng)的設(shè)備進(jìn)行攻擊。3.1.3企業(yè)內(nèi)部網(wǎng)絡(luò)段安全攻擊主要來(lái)自企業(yè)內(nèi)部網(wǎng)。除3.2安全性攻擊3.2.1常見攻擊方法拒絕服務(wù)攻擊地址欺騙攻擊會(huì)話劫持信號(hào)包探測(cè)程序攻擊3.2安全性攻擊3.2.1常見攻擊方法常見攻擊方法破獲密鑰攻擊數(shù)據(jù)修改中間人攻擊回訪攻擊強(qiáng)力攻擊口令猜測(cè)器和字典攻擊常見攻擊方法破獲密鑰攻擊3.2.2針對(duì)IPSec攻擊實(shí)現(xiàn)方式攻擊。密鑰管理攻擊。管理員和通配符攻擊?？蛻魴C(jī)認(rèn)證。3.2.2針對(duì)IPSec攻擊實(shí)現(xiàn)方式攻擊。3.2.3針對(duì)PPTP的攻擊攻擊GRE。在原有的GRE中并沒有強(qiáng)制使用分組序號(hào)，這留給特定廠商地實(shí)現(xiàn)來(lái)完成，出現(xiàn)錯(cuò)誤或重復(fù)序號(hào)時(shí)，GRE沒有說明終端處理地方法，有可能僅僅是忽略掉，這樣PPP分組就可以被欺騙。攻擊口令。PPTP的一個(gè)弱點(diǎn)就是它依賴于PPP，在進(jìn)行任何通信之前，PPP建立和初始化通信參數(shù)，因?yàn)镻PP沒有對(duì)這些分組進(jìn)行認(rèn)證，像中間人攻擊和欺騙都有可能發(fā)生。3.2.3針對(duì)PPTP的攻擊攻擊GRE。在原有的GRE3.3安全防御VPN使用三個(gè)方面的技術(shù)保證通信的安全：隧道協(xié)議。身份驗(yàn)證。數(shù)據(jù)加密。3.3安全防御VPN使用三個(gè)方面的技術(shù)保證通信的安全：3.3.1加密技術(shù)對(duì)稱加密。加解密雙方在加解密過程中使用相同的密碼。非對(duì)稱加密，加密和解密涉及兩種不同的密鑰。3.3.1加密技術(shù)對(duì)稱加密。加解密雙方在加解密過程中使3.3.2認(rèn)證技術(shù)認(rèn)證過程控制個(gè)人用戶對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問，避免未授權(quán)用戶擅自訪問。認(rèn)證業(yè)務(wù)也被放在使用網(wǎng)絡(luò)訪問服務(wù)器（NAS）的認(rèn)證客戶機(jī)/服務(wù)器模型中，NAS服務(wù)器是客戶機(jī)認(rèn)證和授權(quán)的執(zhí)行者，而安全服務(wù)器持有用戶的配置信息。3.3.2認(rèn)證技術(shù)認(rèn)證過程控制個(gè)人用戶對(duì)網(wǎng)絡(luò)業(yè)務(wù)的訪問Kerberos認(rèn)證協(xié)議該協(xié)議允許在客戶機(jī)上運(yùn)行的一個(gè)過程向Kerberos服務(wù)器證實(shí)自己的身份，而不必在網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)，這樣可以避免攻擊者冒充當(dāng)事人。Kerberos是一個(gè)對(duì)稱DES加密系統(tǒng)，它使用一個(gè)集中式的專鑰密碼功能，這個(gè)系統(tǒng)的核心是密鑰分配中心（KDC）。Kerberos認(rèn)證協(xié)議該協(xié)議允許在客戶機(jī)上運(yùn)行的一個(gè)過程RADIUS認(rèn)證協(xié)議RADIUS是一個(gè)分布式安全系統(tǒng)，能保證到網(wǎng)絡(luò)和網(wǎng)絡(luò)業(yè)務(wù)中的安全遠(yuǎn)程訪問，而禁止未經(jīng)授權(quán)、使用UDP協(xié)議的訪問。RADIUS認(rèn)證需要兩個(gè)組件，認(rèn)證服務(wù)器和客戶機(jī)協(xié)議。RADIUS認(rèn)證協(xié)議RADIUS是一個(gè)分布式安全系統(tǒng)，能保證3.4遠(yuǎn)程用戶安全防御所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用VPN；所有遠(yuǎn)程工作人員需要有個(gè)人防火墻，它不僅防止計(jì)算機(jī)被侵入，還能記錄連接被掃描了多少次；所有的遠(yuǎn)程工作人員應(yīng)具有入侵檢測(cè)系統(tǒng)，提供對(duì)黑客攻擊信息的記錄；監(jiān)控安裝在遠(yuǎn)端系統(tǒng)中的軟件，并將其限制只能在工作中使用；3.4遠(yuǎn)程用戶安全防御所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用V遠(yuǎn)程用戶安全防御IT人員需要對(duì)這些系統(tǒng)進(jìn)行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查；外出工作人員應(yīng)對(duì)敏感文件進(jìn)行加密；安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯(cuò)誤，則通過Modem向系統(tǒng)管理員發(fā)出警報(bào)；當(dāng)選擇DSL供應(yīng)商時(shí)，應(yīng)選擇能夠提供安全防護(hù)功能的供應(yīng)商。遠(yuǎn)程用戶安全防御IT人員需要對(duì)這些系統(tǒng)進(jìn)行與辦公室系統(tǒng)同樣的【4】VPN的構(gòu)建4.1構(gòu)建VPN的優(yōu)勢(shì)。 企業(yè)VPN解決方案將大幅度地減少用戶花費(fèi)在WAN和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站?？梢员Ｗo(hù)現(xiàn)有的網(wǎng)絡(luò)投資?！?】VPN的構(gòu)建4.1構(gòu)建VPN的優(yōu)勢(shì)。4.1.1對(duì)VPN的要求VPN的可用性VPN的安全性VPN的可擴(kuò)展性VPN的可管理性VPN的建設(shè)及運(yùn)營(yíng)維護(hù)成本。4.1.1對(duì)VPN的要求VPN的可用性4.1.2安全解決辦法一個(gè)成功的VPN方案應(yīng)當(dāng)能夠滿足：用戶驗(yàn)證。地址管理。數(shù)據(jù)加密。密鑰管理。多協(xié)議支持。4.1.2安全解決辦法一個(gè)成功的VPN方案應(yīng)當(dāng)能夠滿足：4.2AccessVPN方案AccessVPN，通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。AccessVPN包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路(xDSL)、移動(dòng)IP和電纜技術(shù)，能夠安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。4.2AccessVPN方案AccessVPN，通過AccessVPN應(yīng)用AccessVPN應(yīng)用4.3IntranetVPN方案IntranetVPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。4.3IntranetVPN方案IntranetVPIntranetVPN應(yīng)用IntranetVPN應(yīng)用4.4ExtranetVPN方案ExtranetVPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。4.4ExtranetVPN方案ExtranetVPNExtranetVPN應(yīng)用ExtranetVPN應(yīng)用4.5VPN的構(gòu)建步驟規(guī)劃VPN。選擇VPN產(chǎn)品。配置VPN網(wǎng)絡(luò)。部署VPN網(wǎng)絡(luò)應(yīng)用。4.5VPN的構(gòu)建步驟規(guī)劃VPN。4.6VPN成功案例專用廣域網(wǎng)都對(duì)網(wǎng)絡(luò)的安全性提出了需求。專用廣域網(wǎng)用戶的需求大致可分為實(shí)時(shí)性安全性靈活性三個(gè)方面的需求。4.6VPN成功案例專用廣域網(wǎng)都對(duì)網(wǎng)絡(luò)的安全性提出了需求不同需求各企業(yè)網(wǎng)對(duì)靈活性提出了很高的要求，同時(shí)要求數(shù)據(jù)的安全傳輸，但對(duì)實(shí)時(shí)性一般要求不高；各政府網(wǎng)、司局網(wǎng)對(duì)實(shí)時(shí)性要求不高，對(duì)安全性、靈活性提出了比較高的要求。銀行、證券對(duì)實(shí)時(shí)性、安全性要求很高，對(duì)靈活性幾乎不作要求。不同需求各企業(yè)網(wǎng)對(duì)靈活性提出了很高的要求，同時(shí)要求數(shù)據(jù)的安全4.6.1企業(yè)VPN解決方案明確遠(yuǎn)程訪問的需求。注重管理。確定最佳的產(chǎn)品組合。4.6.1企業(yè)VPN解決方案明確遠(yuǎn)程訪問的需求。需求分析分支機(jī)構(gòu)彼此分布不同地點(diǎn)。需要共享大量的商業(yè)數(shù)據(jù)，對(duì)接入帶寬有一定的要求。必須保證數(shù)據(jù)在傳輸過程中的安全性。解決方案低成本。需求分析分支機(jī)構(gòu)彼此分布不同地點(diǎn)。4.6.2政府VPN解決方案供內(nèi)部與上級(jí)使用和交流的內(nèi)部網(wǎng)、做到政府職能上網(wǎng)的外網(wǎng)、當(dāng)?shù)卣畽M向聯(lián)系的專網(wǎng)、以及后端一個(gè)共享的數(shù)據(jù)庫(kù)。政府部門的網(wǎng)絡(luò)既需要有對(duì)外通信和開辦對(duì)外窗口、又有內(nèi)部辦公信息化的需求。4.6.2政府VPN解決方案供內(nèi)部與上級(jí)使用和交流的內(nèi)部網(wǎng)電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析物理層安全風(fēng)險(xiǎn)：數(shù)據(jù)傳輸風(fēng)險(xiǎn)。重要數(shù)據(jù)被破壞。網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)。網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)。電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析物理層安全風(fēng)險(xiǎn)：系統(tǒng)層安全風(fēng)險(xiǎn)主要針對(duì)電子政務(wù)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅。電子政務(wù)專用網(wǎng)絡(luò)通常采用的主流操作系統(tǒng)本身在安全方面考慮較少，服務(wù)器、數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在一些安全隱患。系統(tǒng)層安全風(fēng)險(xiǎn)主要針對(duì)電子政務(wù)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)應(yīng)用層安全風(fēng)險(xiǎn)對(duì)政務(wù)系統(tǒng)的非法訪問；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴；服務(wù)系統(tǒng)偽裝，騙取用戶口令。由于電子政務(wù)專用網(wǎng)絡(luò)對(duì)外提供WWW服務(wù)、E-MAIL服務(wù)、DNS服務(wù)等，因此存在外網(wǎng)非法用戶對(duì)服務(wù)器攻擊。應(yīng)用層安全風(fēng)險(xiǎn)對(duì)政務(wù)系統(tǒng)的非法訪問；用戶提交的業(yè)務(wù)信息被監(jiān)聽管理層安全風(fēng)險(xiǎn)責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。要求必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。最可行的做法是管理制度和管理解決方案的結(jié)合。管理層安全風(fēng)險(xiǎn)責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可解決方案解決方案4.6.3銀行VPN解決方案銀行的業(yè)務(wù)性質(zhì)決定了它機(jī)構(gòu)林立，分布在不同區(qū)域。不同分（支）行、儲(chǔ)蓄所與本部之間，需要頻繁的信息交換，信息實(shí)時(shí)傳輸成為日常工作的基礎(chǔ)。銀行本部充當(dāng)所有接入機(jī)構(gòu)的ISP，出差人員需要接入銀行內(nèi)部網(wǎng)，以進(jìn)行安全的數(shù)據(jù)傳輸。4.6.3銀行VPN解決方案銀行的業(yè)務(wù)性質(zhì)決定了它機(jī)構(gòu)林立數(shù)據(jù)傳輸過程中的風(fēng)險(xiǎn)泄露。數(shù)據(jù)在公網(wǎng)上傳輸如果不采取加密措施，就成為明文傳輸。篡改。一是內(nèi)容的篡改，二是傳輸通道的篡改。假冒。在密文傳輸?shù)臋C(jī)制下，假冒用戶成為最大的安全風(fēng)險(xiǎn)。數(shù)據(jù)傳輸過程中的風(fēng)險(xiǎn)泄露。數(shù)據(jù)在公網(wǎng)上傳輸如果不采取加密措施VPN集中管理

通過在管理中心設(shè)一套安全管理系統(tǒng)SCM（SecurityCentralManager），在VPN客戶端安裝VRC（VPNRemoteClient），方便靈活地實(shí)現(xiàn)遠(yuǎn)程集中管理。節(jié)點(diǎn)配置更靈活。策略管理更方便。安全更全面。VPN集中管理通過在管理中心設(shè)一套安全管理系統(tǒng)SCM（【5】VPN產(chǎn)品介紹一些國(guó)內(nèi)外在VPN領(lǐng)域的主流產(chǎn)品，提供一個(gè)實(shí)際工作中設(shè)備選型的參考，使用戶在購(gòu)買虛擬專用網(wǎng)的產(chǎn)品的時(shí)候能夠有章可循，?！?】VPN產(chǎn)品介紹一些國(guó)內(nèi)外在VPN領(lǐng)域的主流產(chǎn)品，提供一5.1國(guó)外主流產(chǎn)品5.1國(guó)外主流產(chǎn)品CISCO在VPN方面的產(chǎn)品

IPSecVPN服務(wù)模塊VPN3000集中器系列SecurePIX535防火墻CISCO在VPN方面的產(chǎn)品IPSecVPN服務(wù)模塊AvayaVPN及解決方案VPN防火墻AvayaVPN解決方案AvayaVPN及解決方案VPN防火墻3ComVPN設(shè)備PathBuilderS500隧道交換機(jī)3ComSuperStack3防火墻3ComVPN設(shè)備PathBuilderS500隧道交1.5朗訊的VPN產(chǎn)品SuperPipe95/155多業(yè)務(wù)接入路由器LucentVPN方案1.5朗訊的VPN產(chǎn)品SuperPipe95/155多業(yè)務(wù)Alcatel公司在VPN方面的產(chǎn)品Alcatel5020軟交換IPVPN應(yīng)用設(shè)備Alcatel1355虛擬專用網(wǎng)管理器Alcatel7130安全VPN網(wǎng)關(guān)系列產(chǎn)品Alcatel公司在VPN方面的產(chǎn)品Alcatel5020Nokia網(wǎng)絡(luò)安全產(chǎn)品NokiaIP系列安全網(wǎng)關(guān)NokiaHorizonManagerNokia網(wǎng)絡(luò)安全產(chǎn)品NokiaIP系列安全網(wǎng)關(guān)國(guó)內(nèi)主流產(chǎn)品

聯(lián)想網(wǎng)絡(luò)安全產(chǎn)品。網(wǎng)御VPN加密網(wǎng)關(guān)（SJW44）網(wǎng)御VPN客戶端安全策略管理中心（SMC）國(guó)內(nèi)主流產(chǎn)品聯(lián)想網(wǎng)絡(luò)安全產(chǎn)品。北京天融信VPN客戶端，VRCSCM自動(dòng)部署系統(tǒng)ADSSCM（SecurityCentralManager）北京天融信VPN客戶端，VRC上海冰峰網(wǎng)絡(luò)ICEFLOWENTERPRISEROUTER5000EICEFLOWVPNCENTERC6500上海冰峰網(wǎng)絡(luò)ICEFLOWENTERPRISEROUTE華為QuidwayEudemon1000（守護(hù)神）防火墻QuidwayR1760模塊化路由器。Quidway?R2610/R2611模塊化路由器。華為QuidwayEudemon1000（守護(hù)神）防火墻【6】VPN的維護(hù)1虛擬專用網(wǎng)的維護(hù)。維護(hù)工作系統(tǒng)的可以分為監(jiān)測(cè)、管理、故障排除三個(gè)主要部分。監(jiān)測(cè)主要是監(jiān)測(cè)系統(tǒng)中關(guān)鍵部位的數(shù)據(jù)傳輸量；管理工作主要集中在添加刪除用戶、用戶組，用戶的口令管理以及維護(hù)網(wǎng)絡(luò)整體性能等；故障排除，在虛擬專用網(wǎng)搭建起來(lái)以后的正常運(yùn)轉(zhuǎn)期間，解決出現(xiàn)的問題?！?】VPN的維護(hù)1虛擬專用網(wǎng)的維護(hù)。維護(hù)工作系統(tǒng)的可以分1.1虛擬專用網(wǎng)的性能評(píng)估準(zhǔn)則如果要判斷出虛擬專用網(wǎng)出現(xiàn)異常的工作狀態(tài)，作為參照標(biāo)準(zhǔn)要先知道什么樣的狀態(tài)屬于正常狀態(tài)，正常狀態(tài)的網(wǎng)絡(luò)各種參數(shù)的取值范圍。1.1虛擬專用網(wǎng)的性能評(píng)估準(zhǔn)則如果要判斷出虛擬專用網(wǎng)出現(xiàn)異常1.2監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)

需要通過監(jiān)測(cè)由VPN隧道服務(wù)器使用的網(wǎng)絡(luò)接口來(lái)建立評(píng)估準(zhǔn)則：兩個(gè)VPN協(xié)議通用的常規(guī)信息使用的隧道協(xié)議專有的信息1.2監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)需要通過監(jiān)測(cè)由VPN隧道服務(wù)器使用的1.3如何獲取統(tǒng)計(jì)信息比較好的VPN協(xié)議分析設(shè)備。協(xié)議分析軟件。1.3如何獲取統(tǒng)計(jì)信息比較好的VPN協(xié)議分析設(shè)備。1.4評(píng)估準(zhǔn)則的更新和使用VPN的操作會(huì)因操作用戶和時(shí)間的變化而變化，尤其值得注意的是VPN的實(shí)體INTERNET操作每天都會(huì)發(fā)生變化，因此評(píng)估準(zhǔn)則需要不斷的變化。1.4評(píng)估準(zhǔn)則的更新和使用VPN的操作會(huì)因操作用戶和時(shí)間的變1.5日常維護(hù)任務(wù)的計(jì)劃每天的任務(wù)每周的任務(wù)每月的任務(wù)1.5日常維護(hù)任務(wù)的計(jì)劃每天的任務(wù)1.6虛擬專用網(wǎng)的維護(hù)任務(wù)

監(jiān)測(cè)并統(tǒng)計(jì)的信息：發(fā)送出的數(shù)據(jù)包總數(shù)接收到的數(shù)據(jù)包總數(shù)錯(cuò)誤包的數(shù)量總的應(yīng)用程序吞吐量某個(gè)特定數(shù)據(jù)包通過Internet的典型路由1.6虛擬專用網(wǎng)的維護(hù)任務(wù) 監(jiān)測(cè)并統(tǒng)計(jì)的信息：1.7虛擬專用網(wǎng)的用戶管理對(duì)VPN成員的管理，主要包括用戶連接的認(rèn)證、授權(quán)、計(jì)費(fèi)管理以及內(nèi)部IP地址分配，VPN“隧道”建立，數(shù)據(jù)加密，用戶訪問權(quán)限管理等多個(gè)重要功能。在選擇VPN技術(shù)時(shí)，必須要考慮到管理上的要求。1.7虛擬專用網(wǎng)的用戶管理對(duì)VPN成員的管理，主要包括用戶連管理措施用戶認(rèn)證用戶監(jiān)控密鑰管理用戶地址管理數(shù)據(jù)加密管理措施用戶認(rèn)證1.8網(wǎng)絡(luò)層地址管理網(wǎng)絡(luò)層地址管理(NLAM)是指撥號(hào)VPN建立遠(yuǎn)端節(jié)點(diǎn)的網(wǎng)絡(luò)層有關(guān)協(xié)議配置(濾波器,路由協(xié)議,子網(wǎng)屏蔽等)和域名登記的能力.具有適當(dāng)容量的VPN結(jié)構(gòu)能夠支持以下服務(wù):遠(yuǎn)端授權(quán)撥號(hào)上網(wǎng)用戶服務(wù)(RADIUS,要有廠商的正確配置)、動(dòng)態(tài)主機(jī)控制協(xié)議（DHCP或功能相同的協(xié)議）和域名服務(wù)（DNS）。1.8網(wǎng)絡(luò)層地址管理網(wǎng)絡(luò)層地址管理(NLAM)是指撥號(hào)VPN1.9隧道管理隧道管理定義各個(gè)用戶網(wǎng)絡(luò)的驗(yàn)證服務(wù)器地址、需要接入服務(wù)器設(shè)置的撥號(hào)用戶的隧道參數(shù)、隧道用戶的計(jì)費(fèi)信息維護(hù)。VPN的設(shè)備生產(chǎn)商或者系統(tǒng)集成商一般會(huì)給用戶提供詳盡的VPN隧道管理軟件。對(duì)于用戶來(lái)說更多的時(shí)候VPN的隧道管理是體現(xiàn)在隧道管理的策略上的。1.9隧道管理隧道管理定義各個(gè)用戶網(wǎng)絡(luò)的驗(yàn)證服務(wù)器地址、需1.10VPN的管理思想—集中管理聯(lián)想提出動(dòng)態(tài)VPN方案，將網(wǎng)關(guān)與管理中心、動(dòng)態(tài)域名解析方式進(jìn)行整體設(shè)計(jì)，完全解決了各種情況下的端對(duì)端的安全問題。所謂動(dòng)態(tài)VPN，有兩層含義，一層是作為VPN節(jié)點(diǎn)的VPN網(wǎng)關(guān)或VPN客戶端的IP地址的動(dòng)態(tài)性（如ADSL接入地址就是動(dòng)態(tài)的）；另外一層含義是訪問控制策略的動(dòng)態(tài)性，與VPN所保護(hù)的業(yè)務(wù)動(dòng)態(tài)性相對(duì)應(yīng)。1.10VPN的管理思想—集中管理聯(lián)想提出動(dòng)態(tài)VPN方案，2排除VPN的故障排除VPN的故障和排除普通網(wǎng)絡(luò)故障類似，可以參照排除一般網(wǎng)絡(luò)故障的方法。臨時(shí)重新配置過濾器以便能夠完整的使用系統(tǒng)中的各種類型的工具。