参考答案：(1)论文论述的是虚拟专用网络VPN技术应用，应根据企业需求选择适合的VPN技术，以满足企业远程安全接入的需求。
(2)叙述自己参与设计和实施远程接入项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。
(3)能够全面和准确地描述该网络的应用环境和需求，深入地阐述选择的VPN技术的应用场景及达到的效果，具有一定的广度和深度。
主要应包括以下内容：
①企业网络应用环境和企业远程接入的需求。
应介绍企业相关的业务应用、网络规模及远程接入的地理位置、人员规模。
②相关VPN技术(PPTP、L2TP、IPSEC、MPLS)。重要介绍各种VPN技术的区别和应用场景，重点介绍要根据企业需求选择的VPN技术。
③实施VPN技术的相关产品和方案。
④方案实施后给企业应用带来的好处。
(4)对需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。

解析：随着计算机网络的普及，人们可能需要随时随地连入自己的企业或单位的网络。另一方面，随着企业的发展和规模的不断扩大，企业各个分支机构也在迅速增加，企业各分部之间也需要随时通信，这涉及远程联网的复杂性。为了保证数据传输的安全可靠，一种方法是租用专线，但是专线的代价昂贵，而且大量专线资源重复，无法共享，同时，也增加了管理的负担。VPN技术就是为了解决上述问题而被提出。
VPN技术的提出是为了利用公共通信网络(如Internet)实现安全的保密数据通信。其原理是：需要进行机密数据传输的两个端点均连接在公共通信网上，当需要进行机密数据传输时，通过端点上的VPN设备在公共网上建立一条虚拟的专用通信通道，并且所有数据均经过加密后再在网上传输，这样就保证了机密数据的安全传输。通过VPN，授权的业务伙伴就可以在授权范围内使用单位内部的数据，实现数据的安全交换。利用VPN构建安全、可靠的Internet访问通道主要有以下优点。
(1)增强了网络安全性。VPN支持认证、加密等安全协议，可以提供较强的安全性。
(2)简化网络设计。用VPN代替租用线路，可将对远程链路进行安装、配置和管理的任务减少到最小。
(3)降低成本。降低了移动用户的通信成本和主要设备成本。
(4)容易扩展。可以很容易地扩大VPN的容量和覆盖范围。
(5)可随意与合作伙伴联网。
(6)完全控制主动权。借助VPN企业可以利用ISP的设施和服务，同时，又完全掌握着自己网络的控制权。
(7)支持新兴应用。
正是因为VPN的以上诸多优点，使得VPN受到青睐，并得到迅猛发展。
VPN的发展日趋多样化，实现技术和利用的协议也各不相同。按照VPN实现技术和基于的协议在OSI七层模型中所处的层次，可以将VPN分为数据链路层VPN、网络层VPN、传输层及应用层VPN等。
1．数据链路层VPN技术：基于PPTP、L2F和L2TP协议的VPN技术
(1)PPTP VPN。由3COM和微软公司合作开发的PPTP(Point-to-Point Tunneling Protocol)协议是第一个广泛使用建立VPN的协议，Windows操作系统都包含有该协议，其他的Linux及Solaris操作系统也支持这一协议。PPTP是用于在中间网络上传输点对点协议(PPP)帧的一种隧道机制。通过利用PPP的身份验证、加密和协议配置机制，PPTP连接同时为远程访问和路由器到路由器的虚拟专用网(VPN)连接提供了一条在公共网络(如Internet)上创建安全连接的途径。
PPTP将PPP帧封装成IP数据包，以便在IP的互联网上传输，为了确保数据的安全性，通常需要事先对封装的数据进行加密。PPTP协议是PPP的扩展，但PPP协议本身并不支持VPN网络链接。PPP是只为在同等单元之间传输数据包这样的简单链路设计的链路层协议。它提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
(2)L2F VPN。第二层转发协议(L2F)是Cisco公司的隧道技术，它用于建立跨越公共网络(如因特网)的安全隧道将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。
(3)L2TPVPN。L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参与制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关二层通道协议的工业标准。
L2TP扩展了PPP模型，它使用PPP来封装用户数据，允许多协议通过隧道传送。作为安全性的增强，L2TP可以放置在IPSec数据报中的有效负荷中，合并了IPSec的安全性优点和用户验证、隧道地址分配和配置，以及PPP的多协议支持这些好处。微软环境VPN实施的选项是L2TPEPSec，微软大力推广这个标准，超过了PVTP或者IPSec。通过L2TP/IPSec做远程访问的VPN，无论用哪个厂商作为客户端或服务器端，它们都是兼容的。
组建L2TP网络需要的三要素：LNS、LAC和Client，
LNS(L2TP Network Server)为L2TP企业侧的VPN服务器，该服务器完成对用户的最终授权和验证，接收来自LAC的隧道和连接请求，并建立连接LNS和用户的PPP通道。
LAC(L2TP Access Concentrator)为L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧道和会话连接的功能，以及对VPN用户的代理认证功能，它是ISP侧提供VPN服务的接入设备，在物理实现上，它即可以是配置L2TP的路由器、接入服务器，也可以是专用的VPN服务器。
2．网络层VPN技术
(1)基于IPSec的VPN技术。传统的TCP/IP体系中，没有针对安全的设计，因而，任何人都可以搭入传输线路，对通信数据进行分析。这样就大大地影响了数据的安全性。为了解决这一问题，IETF提出了IPSec机制，在网络层引入了加密、认证和防篡改的功能，确保数据的安全性。同时，IPSec协议通过包封装技术，还可以封装内部网络的地址，在无须改动主干网设备的前提下，实现异地网络的互连接，因此，IPSec也是一种VPN技术。
IPSec的RFC文档大致可以分为7组，分别描述了IPSec的体系结构，两种报头格式：认证头(AH)和封装载荷头(ESP)，解释域(DOI)，密钥管理和交换协议，如ISAKMP、IKE等，以及各种加密算法和认证算法。
IPSec可以在两种模式下运行，传输模式和隧道模式。传输模式中，IPSec是在原有的IP头后增加额外的IPSec头。因而，这种模式通常会以端到端的方式在主机上实现。而隧道模式，则是新建一个带有IPSec头的IP头，并将原有IP包整个作为新包的数据部分进行封装，而这种模式也常常在防火墙或者网关路由器上实现。由此可知，隧道模式可以对掩盖原IP地址，实现异地网络使用内部IP地址的互连通。
目前，IPSec已经在商业系统中得到广泛应用。如微软Windows系列中都有IPSec的服务，用户可以根据自己的需求开启或关闭此项服务。
从前面对L2TP的介绍我们可以看到，L2TP在更底层实现了VPN技术，在安全保密方面仅提供了简单的身份认证手段，而IPSec在这一方面则具有强大的优势。因此，可以考虑将二者相结合。考虑到IPSec主要是提供认证与加密的功能，因此，可以必须将L2TP运行在IPSec之上，以保证二者优点的有机结合。
(2)基于GRE封装的VPN技术。通用路由封装(Generic Routing Encapsulation, GRE)协议是对某些网络层协议(如IP和IPX)的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。GRE是VPN的第三层隧道协议，在协议层之间采用了一种被称之为隧道的技术。隧道是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路，使封装的数据报能够在这个通路上传输，并且在一个隧道的两端分别对数据报进行封装及解封装。
3．传输层以上的VPN技术
对于传输层以上的VPN技术，目前最主要的就是SSLVPN。数据链路层及网络层VPN在安全方面都不能做到针对应用级别的访问控制，而这恰恰是现代企业网络安全最需要的一个特性，管理员不能根据实际的应用对用户进行权限控制，这在很大程度上限制了企业对应用资源的访问管理粒度，而这一切都可以由基于SSL的应用层VPN来解决。有研究表明接近90%的企业利用VPN进行的内部网和外部网的连接都只是用来进行因特网访问和电子邮件通信，因此，完全可以使用基于SSL的VPN来提供更加有效和廉价的解决方案。
SSL协议是由网景(Netscape)公司提出的安全协议。它指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性及可选的客户机认证。
SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过4个子协议来完成。
(1)握手协议：这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。
(2)记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC(消息认证代码)，然后结果被加密并传输。接收方接收数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。
(3)警告协议：这个协议用于在什么时候发生了错误或两个主机之间的会话在什么时候终止。
(4)改变密码协议(Change Cipher Spec Protocol)：这个协议用于改变安全策略，改变密码报文由客户机或服务器发送，用于通知对方后续的记录将采用新的密码列表。
SSLVPN是一种利用数据封装技术，基于SSL/TLS协议的强加密算法和认证机制来构造安全可靠的VPN的一种方案，它通过SSL，加密隧道与双因子身份认证相结合来保护通信双方的数据。现在，主流Web浏览器对SSL协议都支持得非常好，所以SSLVPN最简单、最易用的一种应用就是Web反向代理服务。一台代理服务器代理外部网络上的主机访问内部网络上的服务器的技术就是反向代理服务。反向代理服务是一种服务器负载均衡技术，也是保护内部网络的一种预防攻击技术。
SSL客户端(如支持SSL的浏览器)与Web服务器建立连接时，实现上先与SSLVPN网关服务器建立连接。SSL VPN网关服务器在客户端和Web服务器之间提供信息转发服务，同时进行加解密操作。对于SSL客户端来讲，SSLVPN网关服务器是SSL服务器；对于Web服务器来讲，SSLVPN网关服务器又是客户端。在公共网络中(如Internet)，SSL客户端先与SSL VPN网关服务器之间建立安全的SSL连接，传递密文信息；在私有内部网络上，SSL VPN网关服务器与Web服务器不再建立SSL连接，直接传递明文信息。那么这种安全模式也叫端到边缘的安全(End to Edge Security)，即是说在客户端到内网边缘(SSL VPN)是密文传输是安全的，内网边缘(SSL VPN)到Web服务器是明文传输的。SSL VPN也可以提供端到端的安全(End to End Security)。
(1)SSL VPN的主要优点有以下几方面。
·无须安装客户端软件：在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上，还是从维护、管理成本上都可以节省一大笔资金，特别是对于大中型企业和网络服务提供商。
·适用大多数设备：基于Web访问的开放体系可以在运行标准的浏览器下可以访问任何设备，包括非传统设备，如可以上网的电话和PDA通信产品。这些产品目前正在逐渐普及，因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。
·适用于大多数操作系统：可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问，不管操作系统是Windows、Macintosh、UNIX还是Linux。可以对企业内部网站和Web站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源，并进行应用。
·支持网络驱动器访问：用户通过SSL VPN通信可以访问在网络驱动器上的资源。
·良好的安全性：用户通过基于SSL的Web访问并不是网络的真实结点，就像IPSec安全协议一样。而且还可代理访问公司内部资源。因此，这种方法可以非常安全的，特别是对于外部用户的访问。
·较强的资源控制能力：基于Web的代理访问允许公司为远程访问用户进行详尽的资源访问控制。
·减少费用：为那些简单远程访问用户(仅需进入公司内部网站或者进行E-mail通信)，基于SSL的VPN网络可以非常经济地提供远程访问服务。
·可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中，使用NAT服务的远程用户或者因特网代理服务的用户可以从中受益，因为这种方案可以绕过防火墙和代理服务器进行访问公司资源，这是采用基于IPSec安全协议的远程访问很难或者根本做不到的。
(2)SSL VPN尚存在的不足有以下几方面。
·必须依靠因特网进行访问：为了通过基于SSL VPN进行远程工作，当前必须与因特网保持连通性。
·对新的或者复杂的Web技术提供有限支持：基于SSL的VPN方案是依赖于反代理技术来访问公司网络的。因为远程用户是从公用因特网来访问公司网络的，而公司内部网络信息通常不仅是处于防火墙后面，而且通常是处于没有内部网IP地址路由表的空间中。反代理的工作就是翻译出远程用户Web浏览器的需求，通常使用常见的URL地址重写方法，例如，内部网站也许使用内部DNS服务器地址链接到其他的内部网链接，而URL地址重写必须完全正确地读出以上链接信息，并且重写这些URL地址，以便这些链接可以通过反代理技术获得路由，当有需要时，远程用户可以轻松地通过点击路由进入公司内部网络。对于URL地址重写器完全正确理解所传输的网页结构是极其重要的，只有这样才可正确显示重写后的网页，并在远程用户计算机浏览器上进行正确地操作。
·只能有限地支持Windows应用或者其他非Web系统：因为大多数基于SSL的VPN都是基Web浏览器工作的，远程用户不能在Windows、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。
4．MPLS VPN
MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。