VPN 构建虚拟专用网-毕业论文.doc

1、摘 要本文首先介绍了 VPN 的定义和研究意义，接着介绍了实现 VPN 的关键技术（包括隧道技术 ,加解密认证技术，密钥管理技术，访问控制技术）以及实现 VPN 的主要安全协议， PPTP L2TP 协议、 IPSec 协议，为VPN 组网提供了理论指导。最后通过构建中小企业的虚拟专用网，全面介绍了在 Windows server 2003 ISA 2004 环境下站点到站点和站点到客户端的 VPN 的配置，为企业的 VPN 构建提供参考和借鉴。关键词： 隧道， L2TP ，PPTP ，IPSecAbstractThis paper first introduces the definitio

2、n of VPN and its study implications. And then introduces the key technologies for implementing a VPN which includes the Tunnel technology and its main secure protocols, PPTPL2TP protocol, IPSEC protocol, SOCKSv5 protocol, All these technologies provide the theoretical bases for building a VPN networ

3、k. Finally, by constructing an enterprise virtual private network, I introduced the configuration of site to site and site to client VPN under the Windows server 2003 ISA 2004 environment, it provides the referential guideline to the VPN construction in enterprises.Key words:Tunnel, L2TP, PPTP, IPSe

4、c目录1 绪论 1.1 VPN 的定义 1.2 VPN 的工作原理 .1.3 VPN 的研究背景和意义 .2 VPN 的应用领域和设计目标 .2.1 VPN 的主要应用领域 .2.2 VPN 的设计目标 .3 实现 VPN 的关键技术和主要协议 3.1 实现 VPN 的关键技术 3.2 VPN 的主要安全协议 .3.2.1 PPTPL2TP .3.2.2 IPSec 协议 .4 实例分析 4.1 需求分析 .4.2 方案达到的目的 4.3 VPN 组建方案网络拓扑图 .5 各部分 VPN 设备的配置 5.1 公司总部到分支机构的 ISA VPN 配置 .5.1.1 总部 ISA VPN 配置

5、5.1.2 支部 ISA VPN 配置 .5.1.3 VPN 连接 5.1.4 连接测试 .5.2 公司总部站点到移动用户端的 VPN 配置 5.2.1 总部 ISA VPN 配置 5.2.2 移动用户端 VPN 配置 5.2.3 连接测试 .致谢 参考文献 .1 绪论1.1 VPN 的定义VPN （ Virtual Private Network）被定义为通过一个公共网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接，并保证数据

6、的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。1.2 VPN 的工作原理把因特网用作专用广域网，就要克服两个主要障碍。首先，网络经常使用多种协议

7、如 IPX 和 NetBEUI 进行通信，但因特网只能处理 IP 流量。所以， VPN 就需要提供一种方法，将非 IP 的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息， 这显然是一个问题。 VPN 克服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由 VPN 封装成 IP 包的形式，通过隧道在网上传输，如图1-1 所示：图 1-1 VPN 工作原理图源网络的 VPN 隧道发起器与目标网络上的 VPN 隧道发起器进行通信。两者就

8、加密方案达成一致， 然后隧道发起器对包进行加密， 确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的 VPN 产品支持多种验证方式）。最后， VPN 发起器将整个加密包封装成 IP 包。现在不管原先传输的是何种协议，它都能在纯 IP 因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。在目标网络这头， VPN 隧道终结器收到包后去掉 IP 信息，然后根据达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把隐藏的 IPX 包发到网络，最终发往相应目的地。1.3 VPN 的研究背景和意义随着网络，尤其是网络经济

9、的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。 在这样的背景下， VPN 以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。虽然 VPN 在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下 VPN 的各种实现方法都可以应用于每个公司

10、。即使不需要使用加密数据，也可节省开支。因此，在未来几年里，客户和厂商很可能会使用 VPN，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。2 VPN 的应用领域和设计目标2.1 VPN 的主要应用领域利用 VPN 技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。归纳起来，有以下几种主要应用领域。（ 1）远程访问远程移动用户通过 VPN 技术可以在任何时间、任何地点采用拨号、ISDN 、DSL 、移动 IP 和电缆技术与公司总部、公司内联网的 VPN 设备建立起隧道或密道信，实现访问连接，此时的远程用户终端设备上必须加装相应的 VPN 软件。推而广之，远

11、程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程 VPN 访问。这种应用类型也叫 Access VPN(或访问型 VPN) ，这是基本的 VPN 应用类型。不难证明，其他类型的 VPN 都是 Access VPN 的组合、延伸和扩展。（ 2）组建内联网一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等 VPN 技术构成组织机构“内部”的虚拟专用网络，当其将公司所有权的 VPN 设备配置在各个公司网络与公共网络之间（即连接边界处）时，这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。 利用 VPN 组建的内联网也叫

12、 Intranet VPN 。Intranet VPN 是解决内联网结构安全和连接安全、传输安全的主要方法。（ 3）组建外联网使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫 Extranet VPN 。Extranet VPN 是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网 VPN 的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。2.

13、2 VPN 的设计目标在实际应用中， 一般来说一个高效、 成功的 VPN 应具备以下几个特点：（ 1）安全保障虽然实现 VPN 的技术和方式很多，但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面， 由于 VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或

14、私有信息的访问。 Extranet VPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。（2）服务质量保证（ QoS）VPN 网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用有限的广

15、域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。 QoS 通过流量预测与流量控制策略， 可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。（ 3）可扩充性和灵活性VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（ 4）可管理性从用户角度和运营商的角度应可方便

16、地进行管理、 维护。在 VPN 管理方面，VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。 VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上， VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS 管理等内容。3 实现 VPN 的关键技术和主要协议3.1 实现 VPN 的关键技术（ 1）隧道技术隧道技术 (Tunneling) 是 VPN 的底层支撑技术，所谓隧道，实际

17、上是一种封装，就是将一种协议（协议 X）封装在另一种协议（协议 Y）中传输，从而实现协议 X 对公用网络的透明性。这里协议 X 被称为被封装协议，协议 Y 被称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为（ （协议 Y）隧道头（协议 X）。在公用网络（一般指因特网）上传输过程中，只有 VPN 端口或网关的 IP 地址暴露在外边。隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的 IP 地址以及其它协议信息。 VPN 采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议

18、，第二层隧道协议如 L2TP、 PPTP、 L2F 等，他们工作在 OSI 体系结构的第二层（即数据链路层）；第三层隧道协议如 IPSec，GRE 等，工作在 OSI体系结构的第三层（即网络层） 。第二层隧道和第三层隧道的本质区别在于：用户的 IP 数据包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议 PPP 的基础上，充分利用 PPP协议支持多协议的特点，先把各种网络协议（如 IP 、IPX 等）封装到 PPP帧中，再把整个数据包装入隧道协议。 PPTP 和 L2TP 协议主要用于远程访问虚拟专用网。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络

19、层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道协议均优于第二层隧道协议。 IPSec 即 IP 安全协议是目前实现 VPN 功能的最佳选择。（ 2）加解密认证技术加解密技术是 VPN 的另一核心技术。为了保证数据在传输过程中的安全性，不被非法的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行解密。密码技术是保证数据安全传输的关键技术，以密钥为标准，可将密码系统分为单钥密码（又称为对称密码或私钥密码）和双钥密码（又称为非对称密码或公钥密码） 。单钥密码的特点是加密和解密都使用同一个密钥，因此，单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥

20、密码就是美国国家标准局颁布的 DES 算法（ 56 比特密钥）。而 3DES（112 比特密钥）被认为是目前不可破译的。双钥密码体制下，加密密钥与解密密钥不同，加密密钥公开，而解密密钥保密，相比单钥体制，其算法复杂且加密速度慢。所以现在的 VPN 大都采用单钥的 DES 和 3DES 作为加解密的主要技术，而以公钥和单钥的混合加密体制 ( 即加解密采用单钥密码，而密钥传送采用双钥密码 ) 来进行网络上密钥交换和管理，不但可以提高了传输速度，还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据之前，先核对证书，如果准确无误，双方才开始交换数据。用户身份认证最常

21、用的技术是用户名和密码方式。而设备认证则需要依赖由 CA 所颁发的电子证书。目前主要有的认证方式有： 简单口令如质询握手验证协议 CHAP 和密码身份验证协议 PAP 等；动态口令如动态令牌和 X.509 数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好，且支持动态地加载 VPN 设备，可扩展性强。（ 3）密钥管理技术密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被窃取。目前密钥管理的协议包括 ISAKMP、SKIP、 MKMP 等。Internet 密钥交换协议 IKE 是 Internet 安全关联和密钥管理协议 ISAKMP语言来定义密钥的交换，综合了

22、 Oakley 和 SKEME 的密钥交换方案，通过协商安全策略， 形成各自的验证加密参数。 IKE 交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。 SKIP 主要是利用 Diffie-Hellman 的演算法则，在网络上传输密钥。IKE 协议是目前首选的密钥管理标准，较 SKIP 而言，其主要优势在于定义更灵活， 能适应不同的加密密钥。 IKE 协议的缺点是它虽然提供了强大的主机级身份认证，但同时却只能支持有限的用户级身份认证，并且不支持非对称的用户认证。（ 4）访问控制技术虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。 由 VPN

23、服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份，一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。3.2 VPN 的主要安全协议在实施信息安全的过程中，为了给通过非信任网络的私有数据提供安全保护，通讯的双方首先进行身份认证，这中间要经过大量的协商，在此基础上，发送方将数据加密后发出，接受端先对数据进行完整性检查，然后解密，使用。这要求双方事先确定要使用的加密和完整性检查算法。由

24、此可见，整个过程必须在双方共同遵守的规范 ( 协议 ) 下进行。VPN 区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保证安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有 PPTP, L2TP 等 ; 在网络层实现数据封装的协议叫第三层隧道协议，如 IPSec。另外， SOCKSv5 协议则在 TCP 层实现数据安全。3.2.1 PPTPL2TP1996 年，Microsoft 和 Ascend 等在 PPP 协议的基础上开发了 PPTP ，它集成于 WindowsNT Server4.0 中，WindowsNT Workstation

25、 和 Windows9.X 也提供相应的客户端软件。 PPP 支持多种网络协议，可把 IP 、IPX、AppleTalk 或 NetBEUI 的数据包封装在 PPP 包中，再将整个报文封装在PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧中继或 ATM 中进行传输。PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。 PPTP 的加密方法采用Microsoft 点对点加密 (MPPE: MicrosoftPoint-to- Point) 算法，可以选用较弱的 40 位密钥或强度较大的 128位密钥。 1996 年， Cisco提出 L2F(Layer 2 Forwa

26、rding) 隧道协议，它也支持多协议，但其主要用于 Cisco 的路由器和拨号访问服务器。 1997 年底，Microsoft 和 Cisco 公司把 PPTP 协议和 L2F 协议的优点结合在一起，形成了 L2TP 协议。 L2TP 支持多协议，利用公共网络封装 PPP 帧，可以实现和企业原有非 IP 网的兼容。还继承了 PPTP 的流量控制，支持MP(Multilink Protocol) ，把多个物理通道捆绑为单一逻辑信道。 L2TP使用 PPP 可靠性发送 (RFC 1663) 实现数据包的可靠发送。 L2TP 隧道在两端的 VPN 服务器之间采用口令握手协议 CHAP 来验证对方的

27、身份 .L2TP 受到了许多大公司的支持 .PPTPL2TP 协议的优点 : PPTPL2TP 对用微软操作系统的 用户来说很方便，因为微软己把它作为路由软件的一部分。 PPTPL2TP 支持其它网络协议。如 NOWELL 的 IPX,NETBEUI 和 APPLETALK 协议 , 还支持流量控制。 它通过减少丢弃包来改善网络性能，这样可减少重传。PPTP L2TP 协议的缺点 :PM 和 L2TP 将不安全的 IP 包封装在安全的 IP 包内，它们用 IP 帧在两台计算机之间创建和打开数据通道， 一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视

28、或控制。 PPTP 和 L2TP 限制同时最多只能连接255 个用户，端点用户需要在连接前手工建立加密信道， 认证和加密受到限制，没有强加密和认证支持。PPTP L2TP 最适合于远程访问 VPN.3.2.2 IPSec 协议IPSec 是 IETF(Internet Engineer Task Force) 正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。 IPSec 由 IP 认证头 AH(AuthenticationHeader) 、 IP 安全载荷封载 ESP(En

29、capsulated Security Payload) 和密钥管理协议组成。IPSec 协议是一个范围广泛、 开放的虚拟专用网安全协议。 IPSec 适应向 IPv6 迁移， 它提供所有在网络层上的数据保护，提供透明的安全通信。 IPSec 用密码技术从三个方面来保证数据的安全。即 :认证：用于对主机和端点进行身份鉴别。完整性检查：用于保证数据在通过网络传输时没有被修改。加密：加密 IP 地址和数据以保证私有性。IPSec 协议可以设置成在两种模式下运行 : 一种是隧道模式，一种是传输模式。 在隧道模式下，IPSec 把 IPv4 数据包封装在安全的 IP 帧 中 , 这样保护从一个防火墙到

30、另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的， 但会带来较大的系统开销。 IPSec 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。 IPSec 有扩展能力以适应未来商业的需要。在 1997 年底， IETF 安全工作组完成了 IPSec 的扩展， 在 IPSec 协议中加 上 ISAKMP(Internet Security Association and Kay ManagementProtocol) 协议，其中还包括一个密钥分配协议 Oakley 。 IS

31、AKMPOakley支持自动建立加密信道， 密钥的自动安全分发和更新。 IPSec 也可用于连接 其 它层 己 存 在的 通 信协 议， 如支 持安 全电 子 交 易 (SET:SecureElectronic Transaction) 协议和 SSL（Secure Socket layer ）协议。即使不用 SET 或 SSL,IPSec 都能提供认证和加密手段以保证信息的传输。4 实例分析VPN 的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的方案。在本文中就以一个中小型企业为例模拟实际环境建立一个

32、基于 ISA 的企业 VPN 网络以满足远程办公、 分公司和合作伙伴远程访问的要求。这个实验在理论的指导下实现了一种 VPN的实际应用，为中小企业设计 VPN 网络提供参考和借鉴。4.1 需求分析随着公司的发展壮大，厦门某公司在上海开办了分公司来进一步发展业务，公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公人员可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率。一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而 VPN 技术能解决这个问题。根据该公司用户的需

33、求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用 ISA Server VPN 安全方案，以 ISA 作为网络访问的安全控制。 ISA Server 集成了 Windows serverVPN 服务，提供一个完善的防火墙和 VPN 解决方案。以 ISA VPN 作为连接 Internet 的安全网关， 并使用双网卡，隔开内外网， 增加网络安全性。ISA 具备了基于策略的安全性， 并且能够加速和管理对 Internet 的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于4 实例分析VPN

34、的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的方案。在本文中就以一个中小型企业为例模拟实际环境建立一个基于 ISA 的企业 VPN 网络以满足远程办公、 分公司和合作伙伴远程访问的要求。这个实验在理论的指导下实现了一种 VPN的实际应用，为中小企业设计 VPN 网络提供参考和借鉴。4.1 需求分析随着公司的发展壮大，厦门某公司在上海开办了分公司来进一步发展业务，公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公人员可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率

35、。一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而 VPN 技术能解决这个问题。根据该公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用 ISA Server VPN 安全方案，以 ISA 作为网络访问的安全控制。 ISA Server 集成了 Windows serverVPN 服务，提供一个完善的防火墙和 VPN 解决方案。以 ISA VPN 作为连接 Internet 的安全网关， 并使用双网卡，隔开内外网， 增加网络安全性。ISA 具备了基于策略的安全性

36、， 并且能够加速和管理对 Internet 的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于4.2 方案达到的目的1) 厦门总部和分公司之间以及厦门总部和合作伙伴之间透过 VPN 联机采用 IPSec 协定，确保传输数据的安全；2) 在外出差或想要连回总部或分公司的用户也可使用 IPSec 方式连回企业网路；3) 对总部内网实施上网的访问控制， 通过 VPN 设备的访问控制策略， 对访问的 PC 进行严格的访问控制。4) 对外网可以抵御黑客的入侵，起到 Firewall 作用。具有控制和限制的安全机制和措施，具备防火墙和抗攻击等功能；5) 部署灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规模组网需要。