虚拟专用网要点课件

虚拟专用网虚拟专用网（VPN）VPN基础VPN的实现技术VPN安全VPN的构建VPN产品VPN的维护VPN的发展总结【1】VPN基础1.1什么是VPN虚拟专用网（VPN,virtualprivatenetwork），依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络。IETF草案基于IP的VPN“使用IP机制仿真出一个私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。1.2VPN的工作原理网络经常使用多种协议如IPX和NetBEUI进行通信，但因特网只能处理IP流量。所以，VPN就需要提供一种方法，将非IP协议从一个网络传送到另一个网络。 网上传输的数据包以明文格式传输。因而，只要看得到因特网流量，也能读取包内所含数据。如果公司希望利用因特网传输重要的商业机密信息，这显然是一个问题。VPN克服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输。1.3VPN的特点1.3.1VPN的优点 （1）实现网络安全 （2）简化网络设计 （3）降低成本 （4）容易扩展 （5）可随意与合作伙伴联网 （6）完全控制主动权 （7）支持新兴应用1.3.2VPN的缺点 （1）VPN的服务提供商们只保证数据在其管辖范围内的性能，一旦出了其"辖区"则安全没有保证。 （2）VPN的管理流程和平台相对于其他远程接入服务器或其他网络结构的设备来说，有时并不太好用。 （3）不同厂商的VPN的管理和配置掌握起来是最难的，这需要同时熟悉不同厂商的执行方式，包括不同的术语。VPN适用范围位置众多，特别是单个用户和远程办公室站点多。用户/站点分布范围广，彼此之间的距离远。带宽和时延要求相对适中。对线路保密性和可用性有一定要求。1.4VPN的体系结构1.4.1网络服务商提供的VPN

网络服务供应商将在公司现场放置一个设备来创建VPN隧道。 防火墙也可能被添加到这种类型的环境中，通常在网络设备前端或其中间。以太网1.4.2基于防火墙的VPN

基于防火墙的VPN很可能是VPN最常见的一种实现方式。

以太网1.4.3基于黑匣的VPN

厂商只提供一个黑匣。这是加载了加密软件以创建VPN隧道的一个基本的设备。

以太网

以太网1.5VPN的应用领域内联网VPN外联网VPN远程接入VPN1.5.1内联网VPN（IntranetVPN）内联网VPN业务用于连接公司内部各办事处，可以建立企业总部及分支机构间的安全连接，为企业现有的专线网络增加或建立新的带宽。只有企业分支机构和服务供应商之间的线路需要收费，不再需要从企业总部到企业分支机构的专线连接。1.5.2外联网VPN（ExtranetVPN）

外联网VPN业务用于将公司与外部供应商、客户及其他利益相关群体相连接。

外联网使公司与其供应商、销售商和客户之间能进行电子商务等活动，其最主要的好处是改善提供商务的速度和效率。

早期漫游应用1.5.3远程接入VPN（AccessVPN） 通过接入VPN提供的移动用户接入企业网的业务充分利用因特网资源，通过共享的IP网络承载用户业务，使业务提供成本大大降低。1.6VPN的应用平台纯软件平台专用硬件平台辅助平台1.6.1纯软件平台VPN

对数据传输速率﹑安全等性能要求不高时，可利用某些知名公司（Citrix﹑AventialCorp.﹑CheckPointSoftware等）基于纯软件的VPN产品来实现简洁的VPN功能。其中包括了VPN的应用软件﹑应用服务器和用户产品软件等，可运行于微软的WindowsNT/2000Server﹑Macintosh﹑Linux和Sun公司的Solaris等网络操作系统平台。1.6.2专用硬件平台VPN

专用硬件平台具有较好的通信性能，可提供快捷的服务，满足公司﹑企业和特定用户对数据安全和通信性能需要。 功能涵盖安全性、隧道协议、过滤、支持策略、服务质量等，且具有扩展性、灵活性、可靠性和可管理性。1.6.3辅助硬件平台VPN

性能介于软件平台和特定硬件平台的VPN间，它基于现有网络设施，再添加适当的VPN软件来实现虚拟专用网的功能。1.7VPN的基本功能特征不透明包传输数据安全性Qos保证隧道机制1.7.1不透明包传输 不透明包传输意味着VPN的实施不应该对用户网络所使用的网络协议和编址方式做出任何限制。1.7.2数据的安全性 任何VPN都应该同时支持两种实施方式。 （1）用户不信任运营商。用户自己负责所传递数据的安全性，VPN数据的安全性取决于用户所使用的防火墙以及所使用的隧道协议的安全性等具体实施时的多方面因素。 （2）用户信任运营商。防火墙功能以及包传输的安全性保证都是由运营商提供。1.7.3QoS保证 建立在物理层或链路层基础之上的专用网技术也提供了不同类型的QoS保证。

IPVPN的QoS保证主要依赖于IP骨干网基础设施的相应能力，随着IPQoS技术的发展，VPN也必将利用这些手段使VPN系统具有QoS保证的能力。1.7.4隧道机制 隧道使用特定的格式，可以提供某种程度的数据安全保证，如IPSec。 另外，这样的隧道机制可以随着IP数据流量管理机制的发展而发展。【2】VPN的实现技术隧道技术加密技术Qos技术2.1实现VPN的隧道技术为了能够有在公网中形成的企业专用的链路网络，VPN采用了所谓的“隧道”技术，模仿点到点连接技术，依靠ISP和其他的网络服务提供商（NSP）在公网中建立自己专用的“隧道”，让数据包通过隧道传输。对不同信息源，可分别给它们开出不同的隧道。2.1.1IP隧道的封装封装是构建隧道的基本手段，使得IP隧道实现了信息隐蔽和抽象，为IPVPN提供网络地址转换（NAT）和多协议支持等机制奠定了基础。封装器和解包器都有它们所属的用户空间和封装空间得IP地址。封装注意事项（1）源和目的实体不知道任何隧道的存在。（2）在隧道的2个端点使用该过程，需要封装器和解包器两个新的实体，这是非常重要的一点。（3）封装器和解包器必须相互知晓，但不必知道在它们之间的网络上的任何细节。2.1.2IP隧道的实现IP隧道的实现机制主要涉及2个方面：（1）第二层与第三层隧道的问题。（2）在网络的什么层次上实现IP隧道的问题。2.1.3隧道类型自愿隧道（Voluntarytunnel）强制隧道（Compulsorytunnel）自愿隧道当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的，客户端计算机必须安装适当的隧道协议。

对企业内部网络来说，客户机已经具有同企业网络的连接，由企业网络为封装负载数据提供到目标隧道服务器路由。强制隧道客户只能使用由FEP创建的隧道，所以称为强制隧道。一旦最初的连接成功，所有客户端的数据流将自动的通过隧道发送。使用强制隧道，客户端计算机建立单一的PPP连接，当客户拨入NAS时，一条隧道将被创建，所有的数据流自动通过该隧道路由。2.1.4形成隧道的基本要素（1）有隧道开通器；（2）有路由能力的公用网络；（3）有一个或多个隧道终止器；（4）必要时增加一个隧道交换机以增加灵活性。2.2实现VPN的隧道协议为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。

第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。

第3层隧道技术通常假定所有配置问题已经通过手工过程完成。2.2.1PPTP协议点对点隧道协议(Point-to-PointTunnelingProtocol，PPTP)。PPTP将PPP作为远程访问协议，用来在基于TCP／IP的网络上发送多协议数据。PPTP的一个特别好的优点就是它的应用较为简单。PPP协议点对点协议(ThePoint-to-PointProtocol），PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。创建PPP链路。用户验证PPP回叫控制（callbackcontrol）调用网络层协议通用路由封装协议（GRE）GRE隧道通常是点到点的，即隧道只有一个源地址和一个终地址。然而也有一些实现允许点到多点，即一个源地址对多个终地址。GRE隧道技术是用在路由器中的，可以满足ExtranetVPN以及IntranetVPN的需求。2.2.2L2F协议L2F是Cisco公司提出的隧道技术，作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器（路由器）。L2F服务器把数据包解包之重新注入网络。与PPTP和L2TP不同，L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。2.2.3L2TP协议第二层隧道协议(Layer2TunnelingProtocol，L2TP)。L2TP主要由访问集中器LAC（L2PTAccessConcentrator）和网络服务器LNS（L2TPNetworkServer）构成。典型L2TPL2TP特性用户验证令牌卡（Tokencard）支持动态地址分配数据压缩数据加密密钥管理多协议支持2.2.4IPSec协议IPSec加密技术是在隧道外面再封装，保证了隧道在传输过程中的安全性。IPSec是一个第三层VPN协议标准，它支持信息通过IP公网的安全传输。IPSec主要由AH（认证头）协议,ESP（封装安全载荷）协议,以及负责密钥管理的IKE（因特网密钥交换）协议组成IPSec体系结构AH协议头格式封装载荷（ESP）协议2.3VPN的加密技术在VPN中，对通过公共互联网络传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息。可以说密码技术是网络安全的核心问题。2.3.1两种加密方法对称式，加密和解密使用同一个密钥。非对称式，加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用。2.3.2证书为保证公用密钥的完整性，公用密钥随证书一同发布。证书（或公用密钥证书）是一种经过证书签发机构（CA）数字签名的数据结构。2.3.3摘要函数这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。如果改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的改变。2.3.4密钥的管理密钥的使用要注意时效和次数。一般强调仅将一个对话密钥用于一条信息中或一次对话中，或者建立一种按时更换密钥的机制以减小密钥暴露的可能性。多密钥的管理。密钥一次性由系统自动产生。2.3.5数据加密标准DES（DataEncryptionStandard）。使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。RSA（RivestShamirAdleman）。基于大数不可能被质因数分解假设的公钥体系。2.4VPN的QoS技术虚拟专用网要想成为用户真正的选择，必须能够保障一定的带宽﹑可靠性和安全性。网络需要根据不同的需要分配不同的带宽，从而避免网络拥塞现象的发生。为此，有必要设计一种QoS策略控制方案来控制数据流量。2.4.1QoS的定义IPQoS是指IP的服务质量,也是指IP数据流通过网络时的性能。度量指标有：（1）业务可用性。（2）延迟。（3）可变延迟，也称为抖动，Jitter。（4）吞吐量。（5）丢包率。2.4.2QoS解决方案综合业务模型（Int-Serv）。区分业务模型（Diff-serv）。多协议标记交换（MPLS）。流量工程和约束路由。2.4.3综合业务模型综合业务模型（Int-serv：Integratedservice）的基本思想是“所有的流相关状态信息应该是在端系统上”,它基于每个流（单个的或是汇聚的）提供端到端的保证或是受控负载的服务（controlled-loadservice）。Int-Serv框架使IP网能够提供具有QoS的传输，以用于对QoS要求较为严格的实时业务（声音/视频）。2.4.4区分业务模型区分业务（Diff-serv）模型，抛弃了分组流沿路节点上的资源预留。区分服务将会有效地取代跨越大范围的RSVP的使用。区分服务区域的主要成员有：核心路由器、边缘路由器、资源控制器（BB，BandwidthBroker）。2.4.5业务模型与综合业务模型IETF建议了两种互操作方式：一种方法是将综合业务覆盖在区别型业务网上，RSVP信令完全透明地通过区别型业务网。另外一种方法是简单的并行处理。区别型业务网中的每个节点可能也是具有RSVP功能的。2.4.6MPLS技术多协议标签交换（MPLS），它将灵活的三层IP选路和高速的二层交换技术完美地结合起来，从而弥补了传统IP网络的许多缺陷。引入了新的标签结构，对IP网络的改变较大，引入了“显式路由”机制，标签边界路由器LER，标签交换路由器LSR，对QoS提供了更为可靠的保证。MPLS工作原理基于MPLS的IPVPN2.4.7流量工程将业务流映射到现有物理拓扑上的任务被称作流量工程。流量工程可以在ISP网络内实现将业务流从通过内部网关协议IGP，选择的最短路径，转移至另一条潜在的、具有更少阻塞的物理路径上去。流量工程路径与IGP最短路径比较2.4.8约束路由约束路由是在多重条件限制下计算路由。约束路由对服务质量路由进行了扩展，目标是：（1）选择能满足一定服务质量要求的路由。（2）避免拥塞并改善网络的效用。（3）提高网络的利用率。2.4.9IPV6的QoS控制策略IPv6提供一定的QoS控制策略。首先，IPv6分组头定义了一个4比特的优先级区域，可以指示16种优先级别。其次，这一优先级区域的使用与IPv4的ToS区域的使用非常相似。【3】VPN安全分析通信过程可能遇到的威胁。常见地网络攻击方法。加密技术。认证技术。3.1基本安全威胁IP网是不安全的，在其上传递信息时存在安全威胁。一条端到端的数据通路通常由以下三个部分网络组成：接入网、公用IP网和企业内部网，而在这些组成部分的任何地方都有可能出现数据安全隐患。3.1.1接入网段接入网段负责把用户的数据直接传递给运营商的网络边缘设备（如接入服务器或接入路由器）。一般认为接入网段所面临的威胁比较小，因此即使是普遍认为很安全的专用网或ATM/FR方式的VPN，运营商在接入网段一般也都不需要提供安全保证。3.1.2公用IP网段在公用IP网段传递数据，即使采用了隧道机制，但如果没有相应的安全措施，也会面临很多安全威胁。IP包在传递过程中也有可能回存在安全风险。3.1.3企业内部网络段安全攻击主要来自企业内部网。除非企业网中的所有主机、服务器和路由器都是值得信赖的，否则公司内部的员工就有可能利用企业网的设备进行攻击。3.2安全性攻击3.2.1常见攻击方法拒绝服务攻击地址欺骗攻击会话劫持信号包探测程序攻击常见攻击方法破获密钥攻击数据修改中间人攻击回访攻击强力攻击口令猜测器和字典攻击3.2.2针对IPSec攻击实现方式攻击。密钥管理攻击。管理员和通配符攻击。客户机认证。3.2.3针对PPTP的攻击攻击GRE。在原有的GRE中并没有强制使用分组序号，这留给特定厂商地实现来完成，出现错误或重复序号时，GRE没有说明终端处理地方法，有可能仅仅是忽略掉，这样PPP分组就可以被欺骗。攻击口令。PPTP的一个弱点就是它依赖于PPP，在进行任何通信之前，PPP建立和初始化通信参数，因为PPP没有对这些分组进行认证，像中间人攻击和欺骗都有可能发生。3.3安全防御VPN使用三个方面的技术保证通信的安全：隧道协议。身份验证。数据加密。3.3.1加密技术对称加密。加解密双方在加解密过程中使用相同的密码。非对称加密，加密和解密涉及两种不同的密钥。3.3.2认证技术认证过程控制个人用户对网络业务的访问，避免未授权用户擅自访问。认证业务也被放在使用网络访问服务器（NAS）的认证客户机/服务器模型中，NAS服务器是客户机认证和授权的执行者，而安全服务器持有用户的配置信息。Kerberos认证协议该协议允许在客户机上运行的一个过程向Kerberos服务器证实自己的身份，而不必在网络上发送数据，这样可以避免攻击者冒充当事人。Kerberos是一个对称DES加密系统，它使用一个集中式的专钥密码功能，这个系统的核心是密钥分配中心（KDC）。RADIUS认证协议RADIUS是一个分布式安全系统，能保证到网络和网络业务中的安全远程访问，而禁止未经授权、使用UDP协议的访问。RADIUS认证需要两个组件，认证服务器和客户机协议。3.4远程用户安全防御所有远程工作人员必须被批准使用VPN；所有远程工作人员需要有个人防火墙，它不仅防止计算机被侵入，还能记录连接被扫描了多少次；所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录；监控安装在远端系统中的软件，并将其限制只能在工作中使用；远程用户安全防御IT人员需要对这些系统进行与办公室系统同样的定期性预定检查；外出工作人员应对敏感文件进行加密；安装要求输入密码的访问控制程序，如果输入密码错误，则通过Modem向系统管理员发出警报；当选择DSL供应商时，应选择能够提供安全防护功能的供应商。【4】VPN的构建4.1构建VPN的优势。 企业VPN解决方案将大幅度地减少用户花费在WAN和远程网络连接上的费用。简化网络的设计和管理，加速连接新的用户和网站。可以保护现有的网络投资。4.1.1对VPN的要求VPN的可用性VPN的安全性VPN的可扩展性VPN的可管理性VPN的建设及运营维护成本。4.1.2安全解决办法一个成功的VPN方案应当能够满足：用户验证。地址管理。数据加密。密钥管理。多协议支持。4.2AccessVPN方案AccessVPN，通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。AccessVPN应用4.3IntranetVPN方案IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。IntranetVPN应用4.4ExtranetVPN方案ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。ExtranetVPN应用4.5VPN的构建步骤规划VPN。选择VPN产品。配置VPN网络。部署VPN网络应用。4.6VPN成功案例专用广域网都对网络的安全性提出了需求。专用广域网用户的需求大致可分为实时性安全性灵活性三个方面的需求。不同需求各企业网对灵活性提出了很高的要求，同时要求数据的安全传输，但对实时性一般要求不高；各政府网、司局网对实时性要求不高，对安全性、灵活性提出了比较高的要求。银行、证券对实时性、安全性要求很高，对灵活性几乎不作要求。4.6.1企业VPN解决方案明确远程访问的需求。注重管理。确定最佳的产品组合。需求分析分支机构彼此分布不同地点。需要共享大量的商业数据，对接入带宽有一定的要求。必须保证数据在传输过程中的安全性。解决方案低成本。4.6.2政府VPN解决方案供内部与上级使用和交流的内部网、做到政府职能上网的外网、当地政府横向联系的专网、以及后端一个共享的数据库。政府部门的网络既需要有对外通信和开办对外窗口、又有内部办公信息化的需求。电子政务网络安全风险分析物理层安全风险：数据传输风险。重要数据被破坏。网络边界风险。网络设备的安全风险。系统层安全风险主要针对电子政务专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁。电子政务专用网络通常采用的主流操作系统本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。应用层安全风险对政务系统的非法访问；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；服务系统伪装，骗取用户口令。由于电子政务专用网络对外提供WWW服务、E-MAIL服务、DNS服务等，因此存在外网非法用户对服务器攻击。管理层安全风险责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。要求必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。最可行的做法是管理制度和管理解决方案的结合。解决方案4.6.3银行VPN解决方案银行的业务性质决定了它机构林立，分布在不同区域。不同分（支）行、储蓄所与本部之间，需要频繁的信息交换，信息实时传输成为日常工作的基础。银行本部充当所有接入机构的ISP，出差人员需要接入银行内部网，以进行安全的数据传输。数据传输过程中的风险泄露。数据在公网上传输如果不采取加密措施，就成为明文传输。篡改。一是内容的篡改，二是传输通道的篡改。假冒。在密文传输的机制下，假冒用户成为最大的安全风险。VPN集中管理

通过在管理中心设一套安全管理系统SCM（SecurityCentralManager），在VPN客户端安装VRC（VPNRemoteClient），方便灵活地实现远程集中管理。节点配置更灵活。策略管理更方便。安全更全面。【5】VPN产品介绍一些国内外在VPN领域的主流产品，提供一个实际工作中设备选型的参考，使用户在购买虚拟专用网的产品的时候能够有章可循，。5.1国外主流产品CISCO在VPN方面的产品

IPSecVPN服务模块VPN3000集中器系列SecurePIX535防火墙AvayaVPN及解决方案VPN防火墙AvayaVPN解决方案3ComVPN设备PathBuilderS500隧道交换机3ComSuperStack3防火墙1.5朗讯的VPN产品SuperPipe95/155多业务接入路由器LucentVPN方案Alcatel公司在VPN方面的产品Alcatel5020软交换IPVPN应用设备Alcatel1355虚拟专用网管理器Alcatel7130安全VPN网关系列产品Nokia网络安全产品NokiaIP系列安全网关NokiaHorizonManager国内主流产品

联想网络安全产品。网御VPN加密网关（SJW44）网御VPN客户端安全策略管理中心（SMC）北京天融信VPN客户端，VRCSCM自动部署系统ADSSCM（SecurityCentralManager）上海冰峰网络ICEFLOWENTERPRISEROUTER5000EICEFLOWVPNCENTERC6500华为QuidwayEudemon1000（守护神）防火墙QuidwayR1760模块化路由器。Quidway?R2610/R2611模块化路由器。【6】VPN的维护1虚拟专用网的维护。维护工作系统的可以分为监测、管理、故障排除三个主要部分。监测主要是监测系统中关键部位的数据传输量；管理工作主要集中在添加删除用户、用户组，用户的口令管理以及维护网络整体性能等；故障排除，在虚拟专用网搭建起来以后的正常运转期间，解决出现的问题。1.1虚拟专用网的性能评估准则如果要判断出虚拟专用网出现异常的工作状态，作为参照标准要先知道什么样的状态属于正常状态，正常状态的网络各种参数的取值范围。1.2监测网络状态

需要通过监测由VPN隧道服务器使用的网络接口来建立评估准则：两个VPN协议通用的常规信息使用的隧道协议专有的信息1.3如何获取统计信息比较好的VPN协议分析设备。协议分析软件。1.4评估准则的更新和使用VPN的操作会因操作用户和时间的变化而变化，尤其值得注意的是VPN的实体INTERNET操作每天都会发生变化，因此评估准则需要不断的变化。1.5日常维护任务的计划每天的任务每周的任务每月的任务1.6虚拟专用网的维护任务

监测并统计的信息：发送出的数据包总数接收到的数据包总数错误包的数量总的应用程序吞吐量某个特定数据包通过Internet的典型路由1.7虚拟专用网的用户管理对VPN成员的管理，主要包括用户连接的认证、授权、计费管理以及内部IP地址分配，VPN“隧道”建立，数据加密，用户访问权限管理等多个重要功能。在选择VPN技术时，必须要考虑到管理上的要求。管理措施用户认证用户监控密钥管理用户地址管理数据加密1.8网络层地址管理网络层地址管理(NLAM)是指拨号VPN建立远端节点的网络层有关协议配置(滤波器,路由协议,子网屏蔽等)和域名登记的能力.具有适当容量的VPN结构能够支持以下服务:远端授权拨号上网用户服务(RADIUS,要有厂商的正确配置)、动态主机控制协议（DHCP或功能相同的协议）和域名服务（DNS）。1.9隧道管理隧道管理定义各个用户网络的验证服务器地址、需要接入服务器设置的拨号用户的隧道参数、隧道用户的计费信息维护。VPN的设备生产商或者系统集成商一般会给用户提供详尽的VPN隧道管理软件。对于用户来说更多的时候VPN的隧道管理是体现在隧道管理的策略上的。1.10VPN的管理思想—集中管理联想提出动态VPN方案，将网关与管理中心、动态域名解析方式进行整体设计，完全解决了各种情况下的端对端的安全问题。所谓动态VPN，有两层含义，一层是作为VPN节点的VPN网关或VPN客户端的IP地址的动态性（如ADSL接入地址就是动态的）；另外一层含义是访问控制策略的动态性，与VPN所保护的业务动态性相对应。2排除VPN的故障排除VPN的故障和排除普通网络故障类似，可以参照排除一般网络故障