交换技术

第三层交换技术，或是IP交换技术是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的，而多层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，多层交换技术就是：第二层交换技术＋第三层转发技术。多层交换技术的出现，解决了局域网中网段划分之

IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSEC使用验证包头（AH）提供验证来源验证（source authentication)，确保数据的完整性；IPSEC使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。IPSEC协

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。　　被封装的数据包在隧道的两个端点之间

随着国内信息化建设步伐的加快，VPN已经成为一种广泛的应用，目前的VPN网络很难再局限于在同一运营商范围内构建。用户在跨运营商平台的基础上部署VPN网络时，经常会遇到由于联入VPN网络的各方（尤其是客户端数量较多的情况）选择了不同运营商提供的线路，使得相互之间通信非常缓慢，甚至造成内网的应用在VPN上基本无法正常

前言 网 络地址转换(NAT)被开发涉及互联网协议版本4 (IPV4的)问题用尽地 址空间的。 今天，家庭用户和小型办公室网络使用NAT 作 为代替采购的注册的地址。公司实现NAT 单独或以防火墙保 护他们的内部资源。 多对一，最普 通被实施的NAT解决方案，映射几个专用地址到一个单个可路由(共 享)地址; 这是亦称端口地址转换(PAT)。

IPSec驱动程序 　　IPSec驱动程序负责监视、筛选和保护IP通信。它负责监视所有出入站IP数据包，并将每个 IP 数据包与作为 IP 策略一部分的 IP 筛选器相匹配。一旦匹配成功，IPSec驱动程序通知IKE开始安全协商。下图为IPSec驱动程序服务示意图。 图八 IPSec驱动程序服务 　　在安全协商（相关内容见：IPSec基础（四）Interne

点对点协议 　　因为第2层隧道协议在很大程度上依靠PPP协议的各种特性，因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成4个不同的阶段

网络安全问题 IP网络安全一直是一个倍受关注的领域，如果缺乏一定的安全保障，无论是公共网络还是企业专用网络都难以抵挡网络攻击和非法入侵。对于某个特定的企业内部网Intranet来说，网络攻击既可能来自网络内部，也可能来自外部的Internet或Extranet，其结果均可能导致企业内部网络毫无安全性可言。单靠口令访问控制不足

一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有

VPN已经迅速发展起来，2001年全球VPN市场将达到120亿美元。在中国，虽然人们对VPN的定义还有些模糊不清，对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使我们有理由相信，中国的VPN市场将逐渐热起来。 对国内的用户来说，VPN（虚拟专用网，Virtual Private Network）最大的吸引力在哪里？是

VPN通过在Internet上构建企业自己的专用网络，使得无论从Internet的任何地方访问企业信息资源都是可行的和安全的。VPN大致可分为三类：Intranet VPN、Extranet VPN和远程访问VPN。其中远程访问VPN由于其移动性强，建设投资少，运行费用低，可通过PSTN、 xDSL、Cable Modem等方式接入，应用极为广泛。　　　　　　作为有效的

诺基亚日前宣布推出最新行动联机解决方案，提供使用行动装置和安全远程网络联机的专业人士一套IPSec VPN产品，其中包括四个IP VPN网关系统、一个行动VPN(Virtual Private Networks，虚拟私有网络)客户端和一套全方位管理软件。此新产品使诺基亚的行动解决方案更趋完备，包括多种IP安全平台、SSL VPN联机解决方案和其它关键

MPLS　VPN是最近世界各大电信运营商争相发展的新型VPN业务，它的发展源于MPLS技术提供的超越传统IP的技术优势，如QoS保证、流量工程等，满足了互联网宽带业务的多方需求。 　　　　VPN优势明显 　　VPN是在公用的通信基础平台上提供私有数据网络的技术，运营商一般通过隧道协议和采用安全机制来满足客户的私密性需求。VPN与

简介 OpenVPN　　OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现。和传统 VPN 相比，它的优点是简单易用。详细信息可以参考 http://www.openvpn.net。　　这里简单介绍一下基于 CA ，采用数字证书认证，可以划分多个网段的 OpenVPN 配置方法。　　Note 1: VNN 和 OpenVPN 很像。　　Note 2: 这个东西对于突破国内网络封锁

备注：User Name与IKE Identity相同的名字，IKE Identity参数是Remote VPN Client里面的Domain Name填的参数。2.VPNs>Autokey IKE>New备注：Outgoing Interface选择的是WAN口。 3. VPNs>Autokey IKE>New>Advanced备注：Replay Protection要选取；Service要选择ANY，要注意Phase 2 Proposal下面的算法必须与R

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。■AccessVPNAccessVPN，通过一个拥有与专用网络相同策略的

拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。 　　 虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义： 　　一、 它是虚拟的网，即没

IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确

从概念上讲，IPVPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况（如运营商的运营商）。 　　图1给出了实现IPVPN的一个通用方案。其中，CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的

1.自愿隧道（Voluntarytunnel)　　用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。　　2.强制隧道（Compulsorytunnel）　　由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器