vpn技術論文大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇vpn技術論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

2MPLSvpn互訪策略

在南水北調自動化業務系統中的應用按照MPLSVPN劃分的原則，不同MPLSVPN之間不能互相訪問，這確保了VPN的安全可靠性。但是，南水北調中線干線工程自動化應用系統之間存在MPLSVPN子系統之間、用戶至不同業務系統服務器之間的受控互訪的需求。也就是說，網絡需要方便地控制不同MPLSVPN之間的互訪，而且要實現嚴格控制互訪;同時，為保障各業務系統安全，需要對用戶訪問采取控制措施。

2.1MPLSVPN子系統之間互訪

通過BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式，通過MP-BGP協議配置建立路由信息，來達到不同VPN之間的路由擴散;通過VPN內部的路由器(或防火墻)做地址過濾、報文過濾等方式控制訪問的用戶。上述兩種方式結合使用，實現了子系統的靈活受控互訪。

2.2應用終端交互訪問不同MPLSVPN

2.2.1方案一

NAT方案此種方案是將多用途終端主機的業務流在CE進行分類，不同的業務流進行不同的靜態NAT(映射不同的IP地址)。對每個業務系統的主機/服務器可以分配連續的地址空間，PE設備只需要維護較為簡單的路由表，CE配置確定后一般不需要修改。

2.2.2方案二

PE節點作訪問控制在PE設備上，通過多角色主機技術，將某個VRF中指定的路由(特殊終端的路由)，引入到另外一個VRF中，在PE的CE側接口上配置策略路由，當流量匹配ACL，則重定向到VPN組，查找并轉發，從而實現不同的MPLSVPN可以同時訪問該特殊終端。

2.2.3方案三

802.1X強制認證+Windows域管理802.1X協議在利用IEEE802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段，與VRF路由表的導入導出機制結合使用，從而達到接受合法用戶接入、保護網絡安全的目的。用戶訪問其他MPLSVPN，需要禁用、再啟用網卡，重新輸入不同MPLSVPN的不同身份信息實現。顯然，基于PE節點作訪問控制的方案配置簡單，傳輸效率高，互通網絡可靠性強，無論從網絡實現、網絡性能、網絡安全以及網絡管理各方面分析，更適用于南水北調中線干線工程自動化各系統應用終端交互訪問不同的MPLSVPN。

篇（2）

 

1.校園網問題分析及其解決方案的提出

虛擬專用網（VPN），是對企業內部網的擴展。它通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網絡（通常是因特網）安全地對單位內部專用網絡進行遠程訪問的連接方式。

近年來，隨著高校信息化建設工作的深入開展，校園網用戶對校園網的要求也越來越高，傳統的單一公網接入模式已經很難滿足日趨復雜的應用需求。大多數的教師習慣于利用家里的計算機上網查資料、寫論文。如果要去學校圖書館網站，或者是教育網內查資料，一般情況下是無法查找并下載的，因為學校圖書館的電子資源都做了訪問限制，普通Internet用戶也是不能訪問教育網的。在每年期末考試后，老師在線提交成績時，都要登錄學校內部“教務處”的網站在線提交，這時也只能到學校提交。

為此，校園網的建設可采用多ISP連接的網絡訪問模式：在原有的教育網出口的基礎上增加一個當地ISP（移動、聯通或電信寬帶ISP）出口，形成多ISP連接的校園網絡結構，并且需學校的網絡中心在學校組建VPN服務器，供教職工在校外使用校內資源。在組建VPN服務器時，使用當地ISP出口，為校外的教職工提供VPN接入服務，因為校外教職工大多使用當地ISP提供的ADSL寬帶業務。當校外職工使用VPN接入學校的VPN服務器后，就可以訪問校園網與教育網上的資源，這將為教職工提供很大的便利。

2.VPN關鍵技術研究

⑴隧道技術：隧道是指在公用網建立一條數據通道，讓數據包通過這條隧道傳輸。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬于第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層，使用包作為數據交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

⑵安全技術：VPN安全技術主要包括加解密技術、密鑰管理技術、使用者與設備身份認證技術。加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術；密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取；使用者與設備身份認證技術最常用的是使用者名稱與密碼認證等方式。

3.基于VPN技術的多出口校園網的設計

3.1 網絡結構規劃

為了滿足可擴展性和適應性目標，網絡結構采用典型的層次化拓撲，即核心層、分布層、訪問層。核心層路由器用于優化網絡可用性和性能，主要承擔校園網的高速數據交換任務，同時要為各分布層節點提供最佳數據傳輸路徑；分布層交換機用于執行策略，分別連接圖書館、辦公樓、實驗樓以及各院系；接入層通過低端交換機和無線訪問節點連接用戶。畢業論文。網絡拓撲圖如圖1所示。

圖1 網絡拓撲圖

3.2 網絡工作原理

在該組網方案中，學校通過核心層路由器分別接入教育網與Internet，然后通過一硬件防火墻與分布層交換機連接，分布層交換機負責連接圖書館、辦公樓、實驗樓以及各院系的接入層設備，校園網內的終端計算機直接與接入層設備相連。終端計算機可直接使用教育網分配的IP地址。校園網內有一臺安裝了ISAServer2006的VPN服務器，給其分配一個教育網IP地址（假設Ip：202.102.134.100，網關地址202.102.134.68），在防火墻中將一個公網地址（假設為222.206.176.12）映射到該地址。VPN服務器可通過“防火墻”與“核心層路由器”訪問Internet與教育網，Internet上的用戶，可以通過“Internet上的VPN客戶端—>Internet網絡—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務器”的路線連接到VPN服務器，之后，ISAServer2006 VPN服務器通過防火墻和核心層路由器訪問教育網，并且ISA Server2006 VPN服務器通過分布層交換機提供了到學校內網的訪問。

3.3 技術要點

⑴防火墻內網地址問題。如果防火墻是透明模式接入，各個網口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個網口配置同一個網段的IP。如果是路由模式，需要給防火墻的每個網口配置不同網段的IP，就象路由器一樣。現在有一些防火墻已經有所謂的混合模式，也就是透明和路由同時工作，這屬于路由模式的擴展。畢業論文。

⑵VPN服務器的注意事項。ISA Server2006VPN服務器要求至少有“兩塊網卡”才能做VPN服務器，若服務器上只有一塊網卡，需為其安裝一塊“虛擬網卡”。另外，VPN服務器不一定要直接連接在分布層交換機上，也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務器，只要映射一個公網地址即可。

⑶設定ISA Server2006接受VPN呼叫。VPN 可通過默認設置的動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP，VPN客戶端永遠不會同DHCP服務器進行直接通信，運行ISA Server2006的VPN服務器將分配從DHCP服務器所獲得的地址；它將基于運行ISA Server2006的VPN 服務器的內部接口配置來分配名稱服務器地址。如果擁有多個內部接口，運行ISA Server的VPN 服務器將選擇其中之一。

⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時，在為VPN客戶端分配IP地址的時候，要保證所分配的地址不能與VPN服務器本身以及VPN服務器所屬內網、公網的地址沖突，否則VPN客戶端在訪問內網時，會造成尋址問題而不能訪問。畢業論文。為了避免出現問題，直接分配私網的IP地址即可，比如192.168.14.0/24網段。另外，校園網外的教職工，在撥叫VPN服務器時，應是防火墻映射的地址，本文中即222.206.176.12。

4.結束語

多出口是目前許多高校組建校園網時所采取的方式，多出口解決了教育網與Internet之間的出口速度很慢的問題，將VPN技術應用到具有多出口的高校校園網，可以讓校外Internet用戶更容易、更方便的獲得對教育網、校園網數字資源的使用權。

參考文獻

[1]曹利峰,杜學繪,陳性元.一種新的IPsecVPN的實現方式研究[J].計算機應用與軟件,2008,07

[2]賈毅峰.雙出口校園網中策略路由的應用[J].銅仁學院學報,2009,11

[3]吳建國,王鐵,許興華.校園網雙(多)出口的基本解決策略和方法[J].云南師范大學學報,2010.01

篇（3）

隨著廣域網(WAN)的應用需求不斷增長，通信運營商競爭不斷加劇，新的WAN的解決方案必須在降低實施、運營成本的同時，提供更快的響應時間、更好的服務質量（QoS）以及足夠的安全性。VPN技術的出現，滿足了市場需求。

傳統的解決方案是采用搭建物理鏈路的專網，VPN采用在公共IP網絡商構建企業IP虛擬專網。MPLS-VPN能夠在提供原有VPN網絡所有功能的同時，提供強有力的QoS能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。

1．技術分析1:VPN虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

如此需要迫切解決的兩個問題：

一：動態創建隧道。通過MPLS協議解決了這個問題。

二：路由沖突問題。通過BGP協議解決了這個問題。

篇（4）

 

1　引言網絡技術，特別是Internet的興起，正在從根本上改變傳統的信息技術(IT)產業，隨著網絡技術和Internet的普及，信息交流變得更加快捷和便利，然而這也給信息保密和安全提出了更高的要求。近年來，研究人員在信息加密，如公開密鑰、對稱加密算法，網絡訪問控制，如防火墻，以及計算機系統安全管理、網絡安全管理等方面做了許多研究工作，并取得了很多究成果。

本論文主要針對網絡安全，從實現網絡信息安全的技術角度展開探討，以期找到能夠實現網絡信息安全的構建方案或者技術應用，并和廣大同行分享。

2 網絡安全風險分析影響局域網網絡安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來，主要有六個方面構成對網絡的威脅：

(1) 人為失誤：一些無意的行為，如：丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等，都會對網絡系統造成極大的破壞。

(2) 病毒感染：從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統安全最直接的威脅，網絡更是為病毒提供了迅速傳播的途徑，病毒很容易地通過服務器以軟件下載、郵件接收等方式進入網絡，然后對網絡進行攻擊，造成很大的損失。

(3) 來自網絡外部的攻擊：這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執行；在中間站點攔截和讀取絕密信息等。

(4) 來自網絡內部的攻擊：在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后，查看機密信息，修改信息內容及破壞應用系統的運行。

(5) 系統的漏洞及“后門”：操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。科技論文。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。

3　網絡安全技術管理探討3.1 傳統網絡安全技術目前國內外維護網絡安全的機制主要有以下幾類：

Ø訪問控制機制；

Ø身份鑒別；

Ø加密機制；

Ø病毒防護。

針對以上機制的網絡安全技術措施主要有：

(1) 防火墻技術

防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它用來控制內部網和外部網的訪問。

(2) 基于主機的安全措施

通常利用主機操作系統提供的訪問權限，對主機資源進行保護，這種安全措施往往只局限于主機本身的安全，而不能對整個網絡提供安全保證。

(3) 加密技術

面向網絡的加密技術是指通信協議加密，它是在通信過程中對包中的數據進行加密，包括完整性檢測、數字簽名等，這些安全協議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數及其它一些序列密碼算法實現信息安全功能，用于防止黑客對信息進行偽造、冒充和篡改，從而保證網絡的連通性和可用性不受損害。

(4) 其它安全措施

包括鑒別技術、數字簽名技術、入侵檢測技術、審計監控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經過網絡系統授權和登記的合法用戶才能進入網絡。審計監控是指隨時監視用戶在網絡中的活動，記錄用戶對敏感的數據資源的訪問，以便隨時調查和分析是否遭到黑客的攻擊。這些都是保障網絡安全的重要手段。

3.2 構建多級網絡安全管理多級安全作為一項計算機安全技術，在軍事和商業上有廣泛的需求。科技論文。“多級”包括數據、進程和人員的安全等級和分類，在用戶訪問數據時依據這些等級和分類進行不同的處理。人員和信息的安全標識一般由兩部分組成，一部分是用“密級”表示數據分類具有等級性，例如絕密、秘密、機密和無密級；另一部分是用“類別”表示信息類別的不同，“類別”并不需要等級關系。在具體的網絡安全實現上，可以從以下幾個方面來構建多級網絡安全管理：

(1) 可信終端

可信終端是指經過系統軟硬件認證通過、被系統允許接入到系統的終端設備。網絡安全架構中的終端具有一個最高安全等級和一個當前安全等級，最高安全等級表示可以使用該終端的用戶的最高安全等級，當前安全等級表示當前使用該終端用戶的安全等級。

(2) 多級安全服務器

多級安全服務器上需要部署具有強制訪問控制能力的操作系統，該操作系統能夠為不同安全等級的用戶提供訪問控制功能。該操作系統必須具備很高的可信性，一般而言要具備TCSEC標準下B1以上的評級。

(3) 單安全等級服務器和訪問控制網關

單安全等級服務器本身并不能為多個安全等級的用戶提供訪問，但結合訪問控制網關就可以為多安全等級用戶提供訪問服務。對于本網的用戶，訪問控制網關旁路許可訪問，而對于外網的用戶則必須經過訪問控制網關的裁決。訪問控制網關的作用主要是識別用戶安全等級，控制用戶和服務器之間的信息流。科技論文。如果用戶的安全等級高于單級服務器安全等級，則只允許信息從服務器流向用戶；如果用戶的安全等級等于服務器安全等級，則允許用戶和服務器間信息的雙向流動；如果用戶的安全等級低于服務器安全等級，則只允許信息從用戶流向服務器。

(4) VPN網關

VPN網關主要用來保護跨網傳輸數據的保密安全，用來抵御來自外部的攻擊。VPN網關還被用來擴展網絡。應用外接硬件加密設備連接網絡的方式，如果有n個網絡相互連接，那么就必須使用n×(n-1)個硬件加密設備，而每增加一個網絡，就需要增加2n個設備，這對于網絡的擴展很不利。引入VPN網關后，n個網絡只需要n個VPN網關，每增加一個網絡，也只需要增加一個VPN網關。

4　結語在網絡技術十分發達的今天，任何一臺計算機都不可能孤立于網絡之外，因此對于網絡中的信息的安全防范就顯得十分重要。針對現在網絡規模越來越大的今天，網絡由于信息傳輸應用范圍的不斷擴大，其信息安全性日益凸顯，本論文正是在這樣的背景下，重點對網絡的信息安全管理系統展開了分析討論，相信通過不斷發展的網絡硬件安全技術和軟件加密技術，再加上政府對信息安全的重視，計算機網絡的信息安全是完全可以實現的。

參考文獻：

[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.

[2] 黃國言.WEB方式下基于SNMP的網絡管理軟件的設計和實現[J].計算機應用與軟件,2003,20(9):92-94.

篇（5）

    引言

    虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。

    利用共用的WAN網,傳輸企業局域網上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。

    1. 隧道技術

    Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后,立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后,全局IP地址即被刪除,恢復成IP分組發往地址A。由此可見,隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現。

    基于隧道技術VPN網絡,對于通信的雙方,感覺如同在使用專用網絡進行通信。

    2. 隧道協議

    在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此,要成功的使用VPN技術還需要有隧道協議。

    2.1 當前主要的隧道協議以及隧道機制的分類:

    ⑴ L2F(Layer 2 Forwarding)

    L2F是cisco公司提出的隧道技術,作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).

    ⑵ PTP(Point to point Tunnelimg protocol)

    PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP,IPX或NETBEUT數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互連網絡傳送。

    ⑶ 2TP(Layer 2 Tunneling Protocol)

    該協議是遠程訪問型VPN今后的標準協議。

    L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接,端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理,稱其為第三層隧道,以區分于第二層隧道。

    ⑷ TMP/BAYDVS

    ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協議,它部分采用了移動IP的機制。ATMP以GRE實現封裝化,將VPN的起點和終點配置ISP內。因此,用戶可以不裝與VPN想適配的軟件。

    ⑸ PSEC

    IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。

    IPSEC隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中,通過企業IP網絡或公共IP互聯網絡如INTERNET發送。

    從以上的隧道協議,我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡,DSI七層網絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產生了"二層VPN "與"三層VPN"的區別。但是隨著技術的發展,這樣的劃分出現了不足,比如基于會話加密的SSLVPN技術[2]、基于端口轉發的HTTPTunnel[1]技術等等。如果繼續使用這樣的分類,將出現"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現了其他的隧道機制的分類。

    2.2 改進后的幾種隧道機制的分類

    ⑴ J.Heinanen等人提出的根據隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網仿真方式的VPLS。

    例如同樣是以太網的技術,根據實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網方式所提供的網絡性能將大有區別,因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異,由此將引起在實際應用中對VPN技術選型造成誤導。

    ⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息,從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。例如L2TP就是典型的封裝型隧道。

    隔離型隧道的建立,則是參考了數據交換的原理,根據不同的標記,直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離,如果接入網絡的數據包也是相互隔離的就保證了數據的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業務支持能力教差,但是可擴展性,靈活性具有優勢。

    采用隔離型隧道技術,則不存在以上問題,可以根據實際需要,提供點對點,點對多點,多點對多點的網絡拓撲。

    3. 諸種安全與加密技術

    IPVPN技術,由于利用了Internet網絡傳輸總部局域網的內部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術的標準化和開放性,導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性,但黑客仍可以從世界上任何地方對網絡進行攻擊,使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此,利用IPVPN通信時,應比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術。[2]

    ⑴ 防火墻技術

    防火墻技術,主要用于抵御來自黑客的攻擊。

    ⑵ 加密及防止數據被篡改技術

    加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或專用加密)也稱常規加密,由通信雙方共享一個秘密密鑰。

    非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術的VPN虛擬專用網,只有采用了以上諸種技術以后,才能夠發揮其良好的通信功能。

    參考文獻

篇（6）

隨著公司的不斷發展，DCN網上承載的業務系統不斷增多，除“97”系統外，還有如網管集中監控系統、電源監控系統、客服系統、OA等及融合后3G網管系統等，有些應用系統對安全性要求較高比如OA和財務，有些系統對帶寬和網絡質量（QoS）要求較高。現有的網絡不能滿足“分而治之”的企業運作管理需要。由于信息系統集中整合的需要，實施此次MPLS升級改造。通過本次改造工程的實施，優化網絡結構，提高網絡的安全性、可靠性及整個DCN網的服務質量。由一張實體物理網實現虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端，滿足企業內部應用的承載和安全需求。最終，DCN網絡中的終端與主機須劃入至各自所屬的MPLS VPN域中，實現各個VPN域之間的通信隔離，同時在各個VPN間建立數據通道，部署防火墻對經過數據通道的流量進行訪問控制，實現對不同VPN域的通信數據的有效安全控制。

1 MPLS VPN技術簡介

MPLS VPN是由若干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。

MPLS VPN網絡主要由CE、PE和P等3部分組成：CE(Custom Edge Router，用戶網絡邊緣路由器)設備直接與服務提供商網絡。設備與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者：P(Provider Router，骨干網核心路由器)負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。

PE是MPLS VPN網絡的關鍵設備，根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標準，使用MBGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN。在MPLS VPN網絡中，對VPN的所有處理都發生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發。RT使用了BGP中擴展團體屬性，用于路由信息的分發，具有全局惟一性，同一個RT只能被一個VPN使用，它分成Import RT和Export RT，分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創建了一個虛擬路由轉發表VRF(VPN Routing & Forwarding)，VRF為每個site維護邏輯上分離的路由表，每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

整個MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP的建立和VPN路由信息的分發過程，數據面則定義了VPN數據的轉發過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協議交互知道屬于某個VPN的網絡拓撲信息。除了路由協議外，在控制層面工作的還有LDP，它在整個MPLS網絡中進行標簽的分發，形成數據轉發的邏輯通道LSP。在數據轉發層面，MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉發出去，然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器，從而實現了整個數據轉發過程。

2 骨干遷移的三個關鍵問題

由于DCN網絡建設時間比較久，網絡結構比較復雜，如何從全部使用IP環境的DCN過渡到全部使用MPLS VPN環境的DCN成了此次網絡升級改造的重點。網絡改造期間，網絡的平穩運行無論對于市場還是對于業務系統都是至關重要的，由于MPLS VPN技術是對全省DCN網絡傳輸技術的徹底改變，如何在改變網絡協議結構的同時讓網絡仍然健康地運行成為實現MPLS VPN改造的首要問題。

過渡期間最應該考慮的關鍵三個問題是：

1）在IP環境下，各域間路由的互通問題。實現方法是先將組成DCN的各個IP網絡單元以地市為單位逐個改造為MPLS VPN 網絡單元，然后逐個與省公司建立MP BGP鄰居實現全網MPLS VPN化。

2）受控互訪的實現，即做到市公司在同一VPN區域內部互相之間不可見；市公司在同一VPN區域內部可以訪問省公司；市公司訪問處于不同VPN區域的省公司業務。方案設計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現。

3）VPN劃分與IP地址整理，DCN網絡建設前期并未考慮各個應用系統的MPLS VPN劃分，因此大多系統混雜在一起，或者接在同一臺設備，或者干脆就在同一個網段中，同時還存在生產與管理地址段混用的問題。具體系統混接的問題可以分為三類，地址混用、設備支持能力不足以及第二地址問題。

3 DCN網絡改造升級的設計

DCN網絡改造解決方案是融合MPLS、VPN和QOS技術的統一解決方案。方案采用MPLS作為承載數據傳輸的新協議，使用EIGRP作為主干IGP協議，MPLS VPN路由使用MP-IBGP以及路由反射器進行域內傳送，省公司采用背對背VRF方式與集團對接。

MPLS需要建立在IGP路由的基礎上，IGP協議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性，省骨干網使用的EIGRP協議，地市網絡根據自己網絡環境使用EIGRP或OSPF協議。所有協議在省網和市網之間重分發。整個網絡IGP協議互通。根據整體方案，各PE-CE路由協議保持原OSPF動態路由協議，在PE設備將OSPF路由重分發至MP-BGP。

各業務VPN互訪通過防火墻來實現。由于目前將DCN全網業務基本劃分為MS、BS、OS和OTHER這四個大的系統，跨系統流量如何導通成為一個較為重要的問題。如果全部使用重疊VPN的方式，一方面增加了維護的復雜度，另一方面違背了建設MPLS VPN的根本目標，重新給各業務系統帶來了安全隱患。采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴格的安全策略，對各VPN之間流量進行過濾，這樣隔離的各MPLS VPN之間可以安全的進行數據通信，這樣即解決了各業務系統之間的互通問題，也保證了各業務系統的安全。

綜合前面所述，主要采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。

將各業務VPN為HUB－SPOKE模式，即各地市業務系統僅可與省中心進行通信，相互之間不可見，不能進行相互訪問。

在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業務的訪問需求作相應的訪問控制，各VPN業務之間通過防火墻進行訪問。

4 MPLS VPN對DCN網絡的重要意義

由于應用系統整合方向是集團公司集中和省公司集中。集團、省集中應用系統通過DCN網絡進行信息交互，而應用系統整合除功能整合外，其物理整合和集中的形勢則表現為集中的企業數據中心，MPLS升級的重要意義體現在：

1）全網絡覆蓋：應用系統整合后，系統集中統一部署服務器，滿足地市、縣客戶端遠程訪問省級應用系統服務器，集團公司級應用系統和省級應用系統之間有信息交互的應用需求。

2）系統受控安全互訪需求：企業運作需要，不同應用系統間又有互訪的要求。例如：營帳綜合客戶端，處于辦公網，兼顧辦公和營帳工作，需訪問營帳系統；網管綜合客戶端，兼顧網管工作和辦公管理、資源管理、工單、故障單工作，經常在兩網間切換；因此需要DCN網絡進行安全隔離的同時，支持系統間受控互訪，通過用戶身份識別、訪問授權、隧道加密、安全策略部署等技術保證被訪系統的安全。

3）可用性要求：隨著信息化建設的深入，系統功能將逐步得到完善，傳送的信息內容將日趨豐富，VPN顆粒將趨向細化，VPN拓撲將日益復雜，對現有企業網絡的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網絡規劃建設中必需著重考慮的問題。

4）可靠性要求：DCN網絡承載著企業運作所需的重要應用和數據，在整個信息化系統中起到中樞神經的作用，網絡故障將影響企業正常運作。信息系統整合將導致地域性和功能性集中化程度的提高，從而增加了對DCN網絡的依賴。必需充分考慮網絡高可靠性，避免網絡設備和鏈路的單點故障，保證關鍵應用系統的訪問和接入，保證作為應用系統核心的企業數據中心的高效可靠的連接。

5）服務質量要求：DCN網絡是在同一物理網絡上承載多個相對獨立的業務系統，各業務系統為不同的職能部門開展業務提供服務，其數據流程和管理方式都存在差異，不同業務系統，需要網絡平臺提供差別服務，如對帶寬、實時性有不同的要求，網絡必須具備帶寬管理、資源預留、服務等級設置的能力。

在保證DCN網絡安全運行的前提下，有步驟、分階段實施MPLS改造，并按照規劃設計應用RT策略實現各系統互訪受控與隔離。目前，改造后的DCN網絡運行狀況良好。

在實現MPLS VPN后，受控互訪則變得相對輕松，僅僅需要在各個MPLS VPN路由環境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統間的訪問進行控制。隨著受控互訪的實現，全覆蓋、可用、可靠、優化傳輸以及可管理等周邊需求的實現也變得比較容易。一張實體物理網、虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端。獨立統一的一張實體物理網，滿足企業內部應用的承載需求。虛擬多業務網，統一的業務隔離、受控互訪機制和統一的VPN業務接入機制。

5 結束語

MPLS VPN網絡改造的實現，極大的提高的DCN網絡的安全性，為前臺營業、辦公OA、運維網絡監控等各項不同的業務網絡應用提供可靠地保證。

參考文獻：

篇（7）

隨著信息化時代的到來，以網絡技術為代表的信息技術已經成為社會發展的重要推動力。網絡技術以其信息海量性、交互性、便捷性等優勢，正在日益深人人們的生活。同樣，由于信息技術的巨大作用，它也被廣泛應用于學校的各種活動之中。當然，網絡技術同時也存在很多缺點，比如網絡安全問題，就成為影響學校信息安全的潛在威脅。因此，學校在利用網絡技術的同時，

一定要注意研究和防范其缺點和不足。

i、我國學校網絡建設的基本情況和特點

    應該說，我國學校網絡建設起步時間較晚，但是發展速度十分迅速，筆者總結出我國學校網絡建設的基本情況和特點如下:

1.1建設的普遍性

    據一項不完全調查顯示，目前我國具備獨立的學校網絡系統的學校約占全體注冊學校數量的90%以上。這里所說的學校網絡建設，不僅僅指學校的門戶網站或者學校主頁，而是涵蓋學校內部行政辦公網、教學網絡以及學生網絡等網絡系統。可以說，隨著網絡技術的進一步普及，學校已經意識到建立自身獨立的網絡系統的巨大意義，能夠主動投人人力物力，聘請專業機構針對本學校特點研發、部署網絡系統。

1.2應用的廣泛性

    目前我國學校在創建獨立網絡體系的同時，非常注意對于網絡功能的再開發。目前國內學校利用網絡系統可以進行內部管理、辦公自動化處理、視頻會議、網絡教學、ip電話、學校推廣等等，極大地豐富了校園網絡的應用手段，拓展了應用領域。

1.3安全意識提高

    從國內市場主流網絡安全技術銷售情況可以看出，全社會網絡安全意識正在逐步提高，一些造價不菲的學校版專業軟件銷售情況也十分可觀。學校加強對網絡安全的防范，一方面體現出學校的觀念正在逐步改進，另一方面可以看出，我國國內的網絡安全市場仍然具備較大的拓展空間。

1.4交流的多樣性

    學校網絡大都由外部網絡和內部網絡構成。外部網絡就是通常意義上的互聯網，而內部網絡是學校獨立的網絡系統，俗稱內網。隨著交流的不斷增多和辦公形式的多樣化，越來越多的用戶希望能隨時通過互聯網接人校園網，實現遠程辦公。而在當今日益繁多的網絡技術中，vpn技術由于具備自身獨特的優勢，可以很好地滿足建立學校網絡安全通道的需求。

2,vpn技術

2.1基本情況

    vpn僅irtualprivatenetwork)，即虛擬專用網，被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過非安全網絡的安全、穩定的隧道。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。vpn主要技術包括隧道技術與安全技術。簡言之，通過利用vpn技術，可以在學校內部網絡與外網之間建立一個虛擬的安全通道，實現學校充分利用校內網絡系統的要求。

2.2獨特優勢

    vpn技術是比較新的網絡技術，具有許多以往網絡虛擬技術所不具備的優勢，具體說來，主要體現如下:

    第一，可以最大限度地保證學校網絡系統的安全運行。在前文中，筆者談到學校關心網絡安全問題，能否保證學校網絡系統運行的穩定和安全，將是這項技術能否被大范圍推廣和使用的關鍵。在vpn技術中，學校可以在內部服務器上實現對用戶資格的認證，同時，在網絡運作過程中。 vpn技術還可以支持點對點加密及各種網絡安全加密協議，如ipsecarity，這可以最大程度上保證學校網絡系統的安全運行。

    第二，可以降低學校網絡運行維護的成本。由于vpn設備本身帶有路由功能，可以有效地減少學校內部網絡與互聯網連接時需要的網絡配置設備，對一些傳統設備，vpn技術也可以很好地實現兼容。在虛擬網絡運行過程中，由于其穩定性良好，不需要學校付出大量成本進行維護，因此可以極大地降低學校網絡成本。

    第三，可以實現學校網絡系統功能的提升。學校網絡系統應用vpn技術，可以將學校內部的網絡設備與外網實現安全互聯，同時也可以將學校分支機構的網絡設備進行有效連接，主要部門通過對于vpn權限的控制，可以有效地掌控學校網絡系統的運行情況，并依托學校網絡進行各項活動，從而實現對學校網絡功能的進一步擴展。

3、學校如何利用vpn技術

篇（8）

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業綜合管理信息系統開始逐步建立，但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用，這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響，解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。

1廬江供電公司信息化建設現狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統，現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設與管理中，深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產管理中可將所有設備信息進行分類編號，輸人數據庫，實行設備、設施缺陷管理，科學地制定缺陷檢修計劃，提高設備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統，通過這些系統，可方便與客戶的交流、溝通，節約成本開支，實現科學化營銷流程管理。這些管理信息系統的應用，加強J’企業的規范化管理，增強了管理的科學化水平，減輕了工作人員的負擔，提高了企業的經濟效益。

為此，廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度，進一步減輕了抄表人員的負擔，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉鎮供電聽，都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統的服務器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統，與廬江供電公司總部實現網絡互聯，提高了工作效率，節省了開支。其余7個供電所仍不能夠實現信息化共享，這些供電所非常希望盡快網絡互聯。

2采用VPN方案推進供電所信息化建設進程

這些供電所若使用以前的光纖聯網方式，不僅投資大，施工工期長，而且日后的維護量也多。考慮到以上原因，為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題，達到信息、共享，推廣鄉鎮供電所的營銷MIS系統應用，公司決定采用虛擬局域網(VPN)，在現有設備基礎上，進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應用系統，實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術，可以在公用的互聯網上建立安全的虛擬專用網絡(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數據安全地從一端傳送到另一端，這里數據的安全性由可靠的加密技術來保障，而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網關1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內就能完成7個供電所安裝。因此，應用VPN方案，廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現在，這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網，在局域網下載內容的速度可達350 kb/s，生產MIS系統響應時間為2--3 s，辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路，所以發送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。

4下一步信息化建設的主攻方向

篇（9）

論文摘要:縣級供電企業在推進信息化過程中，普遍存在著成本過大，安全系數較低以及建設周期長等問題。結合廬江供電公司在開展城鄉營銷管理信息化建設中出現的問題進行分析，提出利用VPN實現全公司網絡互聯的解決方案，并分析了下一步信息化的主攻方向。

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業綜合管理信息系統開始逐步建立，但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用，這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響，解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。

1廬江供電公司信息化建設現狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統，現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設與管理中，深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產管理中可將所有設備信息進行分類編號，輸人數據庫，實行設備、設施缺陷管理，科學地制定缺陷檢修計劃，提高設備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統，通過這些系統，可方便與客戶的交流、溝通，節約成本開支，實現科學化營銷流程管理。這些管理信息系統的應用，加強J’企業的規范化管理，增強了管理的科學化水平，減輕了工作人員的負擔，提高了企業的經濟效益。

為此，廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度，進一步減輕了抄表人員的負擔，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉鎮供電聽，都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統的服務器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統，與廬江供電公司總部實現網絡互聯，提高了工作效率，節省了開支。其余7個供電所仍不能夠實現信息化共享，這些供電所非常希望盡快網絡互聯。

2采用VPN方案推進供電所信息化建設進程

這些供電所若使用以前的光纖聯網方式，不僅投資大，施工工期長，而且日后的維護量也多。考慮到以上原因，為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題，達到信息、共享，推廣鄉鎮供電所的營銷MIS系統應用，公司決定采用虛擬局域網(VPN)，在現有設備基礎上，進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應用系統，實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術，可以在公用的互聯網上建立安全的虛擬專用網絡(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數據安全地從一端傳送到另一端，這里數據的安全性由可靠的加密技術來保障，而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網關1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內就能完成7個供電所安裝。因此，應用VPN方案，廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現在，這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網，在局域網下載內容的速度可達350 kb/s，生產MIS系統響應時間為2--3 s，辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路，所以發送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。

4下一步信息化建設的主攻方向

篇（10）

記者：今年以來，Unihub公司在業界頻頻出動，大有推動證券互聯之勢。請您給我們介紹一下Unihub公司作為一家專業的網絡服務提供商的優勢是什么？

鄧航：首先是我們已有的成功案例和客戶群，如長城證券，大鵬證券、PA18。我們在為客戶服務的過程中不但努力追求客戶最大的滿意度，而且不斷的改造和完善我們的服務體系和服務水準。這種服務市場經驗值的產生和積累很重要。它需要時間，不象通常賣產品，想做馬上就能做到

二是我們與國內許多企業有良好的業務合作關系，如中國電信等骨干網絡公司，還擁有金融、證券、保險、物流等各行業的優良資源，隨著Unihub公司的市場拓展，這些合作貿易與資源不斷地在超越與發展著

三是我們有完備的網絡管理體系，通過北京的中心機房輻射到分布在華東、華中、華南、西南等區域各層次的網絡，實行統一管理

四是人才優勢，Unihub公司網羅了一批IT業優秀的人才，他們有的原本就是.com公司的技術骨干。可以為客戶提供及時、細致、到位的技術支持，幫客戶解決網絡營運中的各種問題。如我們的主要機房24小時對客戶的數據流量進行監控，一旦發現異常，即時報警和提醒，并幫客戶作出分析處理方案

五是我們有雄厚的資金投入。計劃三年內投入20億元資金，在2002年中建成由數據中心為基礎的全國性基礎運營設施，并通過戰略合作伙伴在國外提供基礎運營設施和相關服務。有效地利用其資金優勢，實現自己的目標。

記者：現在為金融證券業提供IDC以及網絡服務的公司很多，Unihub的獨到之處在哪里？

Unihub的增值服務包括CDN（內容分發服務），如全局負載均衡、全局高速緩存、流媒體分發等。還通過高效廉價的互聯服務提供真正的7*24*365監控維護，系統的設計優化，進行數據容災和備份以及網絡安全管理

與高速公路塞車一樣，互聯網上的瓶頸永遠無法完全解決。Unihub在基于電信資源的基礎上建立了自己的專有寬帶網絡，將CDN技術成功地應用于金融證券業的客戶服務中,較好地解決了接入、骨干網、互聯互動和最后一公里等各種瓶頸問題，從而有效地優化客戶網絡的工作狀態指標

VPN(虛擬專用網)服務市場需求目前在全球具有明顯的上升趨勢，它可以使客戶克服傳統連接Extrannet和Intranet價格高和缺乏靈活性等問題。如當用戶的專線、FR、衛星等方式連接分公司時，就會產生昂貴的接入費用，而且線路不支持突發大數據量，一旦超負荷工作，沒有可擴展性，維護困難，數據易丟失。VPN的應用可使上述問題迎刃而解。UnihubMPLSVPN具有四大優點：VPN連接配置簡單，對現有骨干網沒有壓力；對現有用戶的技術要求為零，不需作任何改動。用戶加入VPN的配置也很簡單，可以延伸原有的路由地址，在骨干網絡采用VPN-ID，可以保持全網的唯一性，網絡可擴展性很強

由于Unihub對市場的信心和定位準確，投入決心大，擁有眾多國外知名公司的合作伙伴，如CA、Cisco、NETSREEN等，采用高質量設備構建了強大的安生設施，能為用戶提供有效的安全手段

總而言之，Unihub通過提供專業的網絡技術服務，可以使企業級用戶在節省投入，提高效益的情況享受電信級的技術服務，從而克服本身IT人才短缺的矛盾，專注于自身的核心業務，贏得快速進入市場的寶貴時間

記者：Unihub為何首先選擇金融證券行業，這個行業的需求特點如何？Unihub做金融證券行業過程中感觸最深的地方是什么？

鄧航：當初我們也做過.com夢，由于在進入市場前對.com公司的狀況作了透徹的分析，得出結論；我們并非互聯網業界先進技術設備的制造商，而只是此類技術設備的應用服務商。金融證券業對先進技術的應用是最有需求和承接力的行業，所以我們就定位做金融證券業。現在回過頭來看，當初不做.com的決策是正確的。在條件成熟的情況下，我們也會定時的介入如保險，物流等行業，PA18就是一例。

我們在做金融證券業服務中感觸最深的地方是Unihub的技術人員與用戶的技術人員在工作的配合非常融洽，就象原來就是一個整體

記者：請談談Unihub在金融證券業的發展戰略和金融證券行業在線業務市場發展的觀點

篇（11）

一、判斷題(每題2分)

1.信息安全保護能力技術要求分類中，業務信息安全類記為A。

錯誤

2.OSI安全體系結構標準不是一個實現的標準，而是描述如何設計標準的標準。正確

3.只靠技術就能夠實現安全。

錯誤

4.災難恢復和容災是同一個意思。

正確

5.VPN與防火墻的部署關系通常分為串聯和并聯兩種模式。

正確

6.美國的布什切尼政府把信息高速公路，互聯網的發展推動起來了。

錯誤

7.兩種經濟形態并存的局面將成為未來世界競爭的主要格局。

正確

8.電子商務是成長潛力大，綜合效益好的產業。

正確

9.電子商務促進了企業基礎架構的變革和變化。

正確

10.在企業推進信息化的過程中應認真防范風險。

正確

11.科研課題/項目是科學研究的主要內容，也是科學研究的主要實踐形式，更是科研方法的應有實踐范疇，是科研管理的主要抓手。

正確

12.科研方法注重的是研究方法的指導意義和學術價值。

錯誤

13.西方的“方法”一詞來源于英文。

錯誤

14.科學觀察可以分為直接觀察和間接觀察。

正確

15.統計推論目的是對整理出的數據進行加工概括，從多種角度顯現大量資料所包含的數量特征和數量關系。

錯誤

16.學術論文是學位申請者為申請學位而提交的具有一定學術價值的論文。

錯誤

17.期刊論文從投稿到發表需要有一個編輯評價的標準，但是它更需要有一個質量的監控體系、監控體制。

正確

18.科研成果是衡量科學研究任務完成與否、質量優劣以及科研人員貢獻大小的重要標志。正確

19.一稿多投產生糾紛的責任一般情況由作者承擔。

正確

20.知識產權保護的工程和科技創新的工程是一個系統的工程，不是由某一個方法單獨努力就能做到的，需要國家、單位和科研工作者共同努力。

正確

二、單項選擇(每題2分)

21.信息安全的安全目標不包括（C）。

A、保密性

B、完整性

D、可用性

22.《計算機信息系統安全保護條例》規定，（B）主管全國計算機信息安全保護工作。

A、國家安全部

B、公安部

C、國家保密局

D、教育部

23.《計算機信息系統安全保護條例》第14條規定：“對計算機信息中發生案件，有關使用單位應當在24小時內向當地（B）人民政府公安機關報告。”

A、區級以上

B、縣級以上

C、市級以上

D、省級以上

24.根據SHARE 78標準，在（D）級情況下，備份中心處于活動狀態，網絡實時傳送數據、流水日志、系統處于工作狀態，數據丟失與恢復時間一般是小時級的。

A、本地冗余設備級

B、應用冷備級

C、數據零丟失級

D、應用系統溫備級

25.（A）是密碼學發展史上唯一一次真正的革命。

A、公鑰密碼體制

B、對稱密碼體制

C、非對稱密碼體制

D、加密密碼體制

26.以下（C）不屬于計算機病毒特征。

A、潛伏性

B、傳染性

C、免疫性

D、破壞性

27.在進行網絡部署時，（B）在網絡層上實現加密和認證。

A、防火墻

B、VPN

C、IPSec

D、入侵檢測

28.美國（A）政府提出來網絡空間的安全戰略

A、布什切尼

B、克林頓格爾

C、奧巴馬克林頓

D、肯尼迪

29.對于電子商務發展存在的問題，下列說法中錯誤的是（C）

A、推進電子商務發展的體制機制有待健全

B、電子商務發展的制度環境不完善

C、電子商務的商業模式成熟

D、電子商務對促進傳統生產經營模

30.下列選項中，不屬于電子商務規劃框架的是（C）

A、應用

B、服務

C、物流

D、環境

31.（D）是創新的基礎。

A、技術

C、人才

D、知識

32.兩大科研方法中的假設演繹法以（B）為代表。

A、達爾文的《進化論》

B、笛卡爾的《論方法》

C、馬克思的《資本論》

D、弗蘭西斯?培根的《新工具》

33.以下不屬于理論創新的特征的是（D）

A、繼承性

B、斗爭性

C、時代性

D、減速性

34.（A）主要是應用已有的理論來解決設計、技術、工藝、設備、材料等具體技術問題而取得的。

A、科技論文

B、學術論文

C、會議論文

D、學位論文

35.（B）是通過查閱相關的紙質或電子文獻資料或者通過其他途徑獲得的行業內部資料或信息等。

A、直接材料

B、間接材料

C、加工整理的材料c

D、實驗材料

36.（C）是整個文章的整體設計，不僅能指導和完善文章的具體寫作，還能使文章所表達的內容條理化、系統化、周密化。

A、摘要

B、引言

C、寫作提綱

D、結論

37.期刊論文的發表載體是（C）。

A、娛樂雜志

B、生活雜志

C、學術期刊

D、新聞報紙

38.（B）是指科研課題的執行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。

A、開題報告

B、中期報告

C、結項報告

D、課題報告

39.我國于（A）年實施了《專利法》。

A、1985

B、1986

C、1987

D、1988

40.知識產權具有專有性，不包括以下哪項（D）。

A、排他性

B、獨占性

C、可售性

三、多項選擇(每題2分)

41.我國信息安全管理政策主要包括（ACD）。

A、法律體系

B、行政體系

C、政策體系

D、強制性技術標準

E、道德體系

42.信息系統安全的總體要求是（ABCD）的總和。

A、物理安全

B、系統安全

C、網絡安全

D、應用安全

E、基礎安全

43.網絡隔離技術發展經歷了五個階段：（ABCDE）。

A、完全的物理隔離階段

B、硬件的隔離階段

C、數據轉播隔離階段

D、空氣開關隔離階段

E、完全通道隔離階段

44.以下屬于我國電子政務安全工作取得的新進展的有（ABCDE）

A、重新成立了國家網絡信息安全協調小組

B、成立新一屆的國家信息化專家咨詢委員會

C、信息安全統一協作的職能得到加強

D、協調辦公室保密工作的管理得到加強

E、信息內容的管理或網絡治理力度得到了加強

45.下列說法正確的是（ABCDE）

A、電子商務產業是以重大技術突破和重大發展需求為基礎的新興產業

B、電子商務對經濟社會全局和長遠發展具有重大引領帶動作用

C、電子商務是知識技術密集的產業

D、電子商務是物質資源消耗少的產業

E、應把優先發展電子商務服務業放到重要位置

46.科研論文按發表形式分，可以分為（ABE）

A、期刊論文

B、學術論文

C、實驗論文

D、應用論文

E、會議論文

47.學術期刊的文章類型有（ABC）。

A、綜述性的文章

B、專欄性的文章

C、報道性的文章

D、文言文

E、以上都正確

48.期刊發表的周期有（BCDE）。

A、日刊

B、周刊

C、半月刊

D、月刊

E、旬刊

49.知識產權的三大特征是（ABC）。

B、時間性

C、地域性

D、大眾性

E、以上都不正確

50.從個人層面來講，知識產權保護的措施有（ABC）。

A、在日常的科研行為中一定要有相應的行動策略

B、在科研轉化的過程中，要注意保護自己的著作權