虚拟专用网VPN是网络互联技术和通信需求迅猛发展的产物。互联网技术的快速发展及其应用领域的不断推广,使得许多部门越来越多地放弃建设昂贵的专用物理连接设备架设专用网络,转而考虑利用廉价的公用基础通信设施构建自己的虚拟专用网络,进行本部门数据的安全有效传输。特别是国内政府、大公司,由于铺设专用网络设备投资过于巨大、建设周期长等原因,更加需要一种安全、低成本的适合我国国情的远程虚拟网络技术支持。为每个公司、政府部门架设物理专用网络设备势必造成巨大资源浪费,以及将来难以整合、升级滞后等诸多困难,而利用国内公共干线网络结构建立模式规范的虚拟号用网,只需找到合适的构架模式并添加不多的VPN服务器就可解决问题,实现需求。本文结合现有技术基础,进行优化组合,建立了一种分段远程登录VPN模型。就实际远程连接的特点分析设计主要通信过程:1.远程接入站点与局域网内部的网关集中器之间的连接建立,也就是远程用户的各种终端设备与ISP网关之间的连接建立和服务请求应答过程。这部分要求对客户端程序要安装操作简易,升级维护方便,同时能够提供流量控制服务。2.网关集中器通过广域网Internet连接远程的目标服务器。这部分要求有很好的安全性能,防止私有数据的窃取。3.穿越可能的NAT/PAT有效传送加密数据。这三部分通信过程的关键设备就是网关访问集中器,它要连接两个方向的终端,要做数据报文格式的转换和双方安全性的保证,以及NAT/PAT穿越。基本将其功能分两个部分:以网关为主要设备中转服务,对网关到局域网内用户部分使用优化后的L2TP连接,并可以实现流量监控和方便有效的用户认证;对网关到目标服务器之间做IPSec连接,保证数据安全性。整体框架设计用到了L2TP中转为IPSec报文,没有使用当前流行的在整个通路上都做L2TP和IPSec的嵌套模式报文传输,目的是为了使客户端完全透明的使用虚拟专用网而不必考虑IPSec的配置等复杂问题,并且对不必要的过多的报文头部做精简优化,以充分利用带宽。本文使用因地制宜的方法分段实现瘦客户端的远程登录虚拟专用网连接,在保证安全性前提下最大程度的精简协议提高报文的传输效率。现阶段网络仿真的研究已比较成熟,应用网络仿真软件在计算机中构造虚拟的环境来反映现实的网络连接,得到传输的一系列性能图表,做出改进后可以有效提高网络规划和设计的可靠性与准确性,降低网络建设投资风险,减少不必要的资源浪费。我们选用较成熟的OPNET Modeler做实验并对比本方案和只使用IPSec的远程登录虚拟专网不同,分析说明设计的可行性和实际应用的价值。对关键设备网关访问集中器做了模块的单独测试,对协议转换部分做了性能测试证明负载承受的最大限额。