vpn技術(shù)篇1
關(guān)鍵詞:VPN;信息化;防火墻
1 VPN技術(shù)應(yīng)用背景
天脊煤化工集團(tuán)有限公司從2003年進(jìn)入了信息化建設(shè)的發(fā)展階段,在浙江中控軟件技術(shù)有限公司、山西省信息工程設(shè)計院等單位共同合作下建立起了“天脊集團(tuán)綜合信息管理自動化系統(tǒng)”。該自動化系統(tǒng)包括領(lǐng)導(dǎo)查詢分系統(tǒng)、生產(chǎn)管理分系統(tǒng)、人力資源管理分系統(tǒng)、備品備件管理分系統(tǒng)、物資供應(yīng)資源分系統(tǒng)、銷售管理分系統(tǒng)等。隨著信息化建設(shè)的不斷深入,業(yè)務(wù)流程漸漸規(guī)范化,各種分系統(tǒng)也在不斷完善,分布在全國各地的分公司和子公司相應(yīng)業(yè)務(wù)也要納入到“天脊集團(tuán)綜合信息管理自動化系統(tǒng)”中來。為此,集團(tuán)公司決定由信息管理中心組織并實施VPN技術(shù)。
2 VPN技術(shù)在天脊集團(tuán)企業(yè)信息化建設(shè)中的具體實施
(1) VPN的選型
用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)――IPSec VPN和SSL VPN。
IPSec VPN和SSL VPN各有優(yōu)缺點。IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能,因而是實現(xiàn)多專用網(wǎng)安全連接的最佳選項;而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接,用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。SSL VPN存在一定安全風(fēng)險,因為用戶可運(yùn)用公眾Internet站點接入;IPSec VPN需要軟件客戶端支撐,不支持公共Internet站點接入,但能實現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。
目前,天脊集團(tuán)主干網(wǎng)絡(luò)設(shè)備為CISCO的產(chǎn)品,路由器和防火墻均提供實現(xiàn)VPN的功能。綜合評比在防火墻上實現(xiàn)VPN功能更適合,且不改變網(wǎng)絡(luò)結(jié)構(gòu)、不增加任何硬件投資下實現(xiàn)VPN功能,而在路由器上實現(xiàn)VPN還需購買相關(guān)VPN模塊。根據(jù)天脊集團(tuán)具體的業(yè)務(wù)需要和現(xiàn)有的網(wǎng)絡(luò)狀況,天脊集團(tuán)選擇了CISCO的IPSec VPN方案。
(2) 網(wǎng)絡(luò)架構(gòu)
在項目的實施中,利用Cisco PIX 515防火墻提供的VPN功能來構(gòu)建虛擬專用網(wǎng)。Cisco PIX 515 Firewall提供基于IPSec標(biāo)準(zhǔn)的VPN功能。借助IPSec,當(dāng)數(shù)據(jù)在公共網(wǎng)上傳輸時,用戶無需擔(dān)心數(shù)據(jù)會被查看、篡改或欺詐。借助IPSec,用戶可以通過互聯(lián)網(wǎng)等不受保護(hù)的網(wǎng)絡(luò)傳輸敏感信息。IPSec在網(wǎng)絡(luò)層操作,能保護(hù)和鑒別所涉及的IPSec設(shè)備(對等物)之間的IP包。
(3) 詳細(xì)配置信息
防火墻配置:
access-list 100 permit 172.16.5.0 255.
255.255.0 172.16.2.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.
168.1.254
global(outside) 1 interface
nat(inside) 0 access-list 100
conduit permit tcp host 172.16.3.10 any
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-
des esp-md5-hmac
crypto dynamic-map dynmap 10 set tra
nsform-set myset
crypto map vpn 10 ipset-isakmp dynamic dynmap
crypto map vpn 20 ipsec-isakmp
crypto map vpn client configuration address initiate
crypto map vpn client configuration address respond
crypto map vpn interface outside
isakmp enable outside
isakmp key ******* address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-sha
re
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn3000 address-pool vpnpool
vpngroupvpn3000dns-server 172.16.
2.11
vpngroup vpn3000 split-tunnel 100
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
isakmp client configuration address-
poollocal vpnpool outside
路由器配置:
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
VPN客戶端要求:
在集團(tuán)公司分公司和子公司內(nèi)要求使用和信息管理中心一致的寬帶接入服務(wù),使用Microsoft Windows2000以上操作系統(tǒng);使用Cisco VPN Client v4.8遠(yuǎn)程連接控制工具;相關(guān)人員必須接受VPN客戶端使用相關(guān)知識學(xué)習(xí),達(dá)到獨(dú)立解決VPN客戶端問題的能力。
(4) VPN技術(shù)實施效果評價
降低費(fèi)用。遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請賬戶登錄到Internet,以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連,通信費(fèi)用大幅度降低;其次企業(yè)可以節(jié)省購買和維護(hù)通訊設(shè)備的費(fèi)用。
安全性得到了增強(qiáng)。VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進(jìn)行驗證,并對數(shù)據(jù)進(jìn)行加密處理。對于企業(yè)內(nèi)部的數(shù)據(jù),可以通過VPN使企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與服務(wù)器的連接,并且可以訪問業(yè)務(wù)部門網(wǎng)絡(luò)中受到保護(hù)的資源。
3 總結(jié)
vpn技術(shù)篇2
關(guān)鍵詞:VPN;MPLS;多協(xié)議標(biāo)記交換
中圖法分類號:TP309文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)08-10ppp-0c
隨著Internet的VPN連接蓬勃發(fā)展,人們對其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段,網(wǎng)絡(luò)經(jīng)常會發(fā)生阻塞,許多應(yīng)用對于目前的IP技術(shù)(如語音和視頻等)顯得力不從心,并且實現(xiàn)成本也很高。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問題。
1 VPN簡介
首先引入現(xiàn)實中的一個例子,經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡(luò)訪問公司的內(nèi)網(wǎng)辦公,而訪問的結(jié)果就像在公司內(nèi)網(wǎng)一樣,不會有對資源、權(quán)限的限制,就好像在內(nèi)網(wǎng)里面一樣,我們可以利用VPN技術(shù)實現(xiàn)這個目的。
由以上來看,究竟什么是VPN呢?虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
2 常規(guī)VPN技術(shù)
以往常規(guī)的VPN連接技術(shù)是在PPTP或者L2TP協(xié)議的控制下進(jìn)行隧道封裝加密傳輸,其中,PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。目前,PPTP協(xié)議基本已被淘汰。L2TP是國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點,能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議,包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施,更多是和IPSec協(xié)議結(jié)合使用,提供隧道驗證。
但是,IPsec協(xié)議首要的和最明顯的缺點就是性能的下降,其次,在實現(xiàn)成本上非常不利,低端的設(shè)備通常用軟件實現(xiàn)所有的IPsec功能,因而其速度最慢。價格貴些的用硬件實現(xiàn)IPsec功能。一般來說,性能越好,其價格越貴。
3 基于MPLS的VPN的新技術(shù)
同傳統(tǒng)的VPN不同,MPLS VPN不依靠封裝和加密技術(shù),MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于InternetConnect網(wǎng)絡(luò)。
CPE被稱為客戶邊緣路由器(CE)。在InternetConnect網(wǎng)絡(luò)中,同CE相連的路由器稱為供應(yīng)商邊緣路由器(PE)。一個VPN數(shù)據(jù)包括一組CE路由器,以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡(luò)。
CE可以感覺到同一個專用網(wǎng)相連。每個VPN對應(yīng)一個VPN路由/轉(zhuǎn)發(fā)實例(VRF)。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數(shù)據(jù)包括IP路由表,一個派生的Cisco Express Forwarding (CEF)表,一套使用轉(zhuǎn)發(fā)表的接口,一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個站點可以且僅能同一個VRF相聯(lián)系??蛻粽军c的VRF中的數(shù)據(jù)包含了其所在的VPN中,所有的可能連到該站點的路由。
對于每個VRF,數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲在IP路由表和CEF表中。每個VRF維護(hù)一個單獨(dú)的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外,同時也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個機(jī)制使得VPN具有安全性。
在每個VPN內(nèi)部,可以建立任何連接:每個站點可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個站點,無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨(dú)的VPN。一個MPLS網(wǎng)絡(luò)可以支持成千上萬個VPN。每個MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由供應(yīng)商(P)設(shè)備組成。這些設(shè)備構(gòu)成了MPLS核,且不直接同CE路由器相連。圍繞在P設(shè)備周圍的供應(yīng)商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。P和PE路由器稱為標(biāo)記交換路由器(LSR)。LSR設(shè)備基于標(biāo)記來交換數(shù)據(jù)包。
客戶站點可以通過不同的方式連接到PE路由器,例如幀中繼,ATM,DSL和T1方式等等。
三種不同的VPN,分別用Route Distinguishers 10,20和30來表示。
MPLS VPN中,客戶站點運(yùn)行的是通常的IP協(xié)議。它們并不需要運(yùn)行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由識別器對應(yīng)同每個客戶站點的連接。這些連接可以是諸如T1,單一的幀中繼,ATM虛電路,DSL等這樣的物理連接。路由識別器在PE路由器中被配置,是設(shè)置VPN站點工作的一部分,它并不在客戶設(shè)備上進(jìn)行配置,對于客戶來說是透明的。
每個MPLS VPN具有自己的路由表,這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進(jìn)行尋址的多種客戶來說,上述特點很有用處。例如,任何數(shù)量的客戶都可以在其MPLS VPN中,使用地址為10.1.1.X的網(wǎng)絡(luò)。MPLS VPN的一個最大的優(yōu)點是CPE設(shè)備不需要智能化。因為所有的VPN功能是在InternetConnect的核心網(wǎng)絡(luò)中實現(xiàn)的,且對CPE是透明的。CPE并不需要理解VPN,同時也不需要支持IPSec。這意味著客戶可以使用價格便宜的CPE,或者甚至可以繼續(xù)使用已有的CPE。
4 基于MPLS VPN的優(yōu)點
時延被降到最低,因為數(shù)據(jù)包不再經(jīng)過封裝或者加密。加密之所以不再需要,是因為MPLS VPN可以創(chuàng)建一個專用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似。因為不需要隧道,所以要創(chuàng)建一個全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實上,缺省的配置是全網(wǎng)狀布局。站點直接連到PE,之后可以到達(dá)VPN中的任何其他站點。如果不能連通到中心站點,遠(yuǎn)程站點之間仍然能夠相互通信。
配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò),不需訪問CPE。一旦配置好一個站點,在配置其他站點時無需重新配置。因為添加新的站點時,僅需改變所連到的PE的配置。
在MPLS VPN中,安全性可以得到容易地實現(xiàn)。一個封閉的VPN具有內(nèi)在的安全性,因為它不同Public Internet相連。如果需要訪問Internet,則可以建立一個通道,在該通道上,可放置一個防火墻,這樣就對整個VPN提供安全的連接。管理起來也很容易,因為對于整個VPN來說,只需要維護(hù)一種安全策略。
MPLS VPN的另外一個好處是對于一個遠(yuǎn)程站點,僅需要一個連接即可。想象一下,帶有一個中心站點和10個遠(yuǎn)程站點的傳統(tǒng)幀中繼網(wǎng),每個遠(yuǎn)程站點需要一個幀中繼PVC(永久性虛電路),這意味者需要10個PVC。而在MPLS VPN網(wǎng)中,僅需要在中心站點位置建立一個PVC,這就降低了網(wǎng)絡(luò)的成本。
5 總結(jié)
MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢的新技術(shù)。在MPLS網(wǎng)絡(luò)上不僅僅能提供VPN業(yè)務(wù),也能夠開展QoS、TE、組播等等的業(yè)務(wù)。隨著MPLS應(yīng)用的不斷升溫,不論是產(chǎn)品還是網(wǎng)絡(luò),對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網(wǎng)絡(luò)新技術(shù),但卻已經(jīng)顯示了其強(qiáng)大的生命力。在我國網(wǎng)絡(luò)基礎(chǔ)薄弱,政府和企業(yè)對IP虛擬專用網(wǎng)的需求不高,但相信隨著政府上網(wǎng)、特別是在電子商務(wù)的推動下,基本MPLS的IP虛擬專用網(wǎng)技術(shù)的解決方案必將有不可估量的市場前景。
參考文獻(xiàn):
[1]王達(dá).虛擬專用網(wǎng)(VPN)精解[J].清華大學(xué)出版社,2004,173-7.
[2]Ivan Pepelnjak, Jim Guichard, MPLS和VPN體系結(jié)構(gòu)CCIP版(英文版)[J].人民郵電出版社,2003.
vpn技術(shù)篇3
關(guān)鍵詞:VPN技術(shù);應(yīng)用;研究
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2013)17-3996-03
虛擬專用網(wǎng),用英文翻譯過來就是Virtual Private Network,簡稱為VPN。虛擬專用網(wǎng)是通過公共網(wǎng)絡(luò)中相關(guān)的基礎(chǔ)設(shè)施,采用先進(jìn)的技術(shù)方式,對不同的兩臺計算機(jī)進(jìn)行一種專用的連接,使相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)信息在通過公共網(wǎng)絡(luò)進(jìn)行上傳的過程中,保證網(wǎng)絡(luò)數(shù)據(jù)信息私密性的一項技術(shù)。如何有效的應(yīng)用虛擬專用網(wǎng)技術(shù),是企業(yè)在發(fā)展過程中必須解決的一個重要問題。
1 VPN技術(shù)的優(yōu)點
1.1 節(jié)約成本
VPN技術(shù)對公共網(wǎng)絡(luò)進(jìn)行了利用,建立并組成了虛擬的專用網(wǎng)絡(luò),不需要在單獨(dú)依靠公共網(wǎng)絡(luò)中專用的線路來保障數(shù)據(jù)信心傳輸?shù)陌踩?,利用專用的網(wǎng)絡(luò)就能夠?qū)崿F(xiàn)數(shù)據(jù)信心的安全性,這一種方式相對于其他通信方式而言,所需要使用的成本更為低廉,例如:長途電話、專線電話等。
1.2 使用便捷
VPN技術(shù)在公共網(wǎng)絡(luò)中的使用較為便捷,易于在公共網(wǎng)絡(luò)中進(jìn)行擴(kuò)展。當(dāng)公共網(wǎng)絡(luò)內(nèi)部中的節(jié)結(jié)點逐漸增多的時候,專線連接網(wǎng)絡(luò)的結(jié)構(gòu)也會變得越來越復(fù)雜,而且所需要花費(fèi)的成本也非常的高,而在使用虛擬專用網(wǎng)的過程中,只需要在公共網(wǎng)絡(luò)的節(jié)點位置構(gòu)架相關(guān)的VPN設(shè)備,就能夠在對Internet進(jìn)行利用時在計算機(jī)網(wǎng)絡(luò)中建立安全連接,若是公共網(wǎng)絡(luò)內(nèi)部中有其他的網(wǎng)絡(luò)想要進(jìn)入安全連接,只需要在使用使用一臺虛擬專用網(wǎng)設(shè)備,對相關(guān)的配置的配置進(jìn)行調(diào)整就能夠使其他的網(wǎng)絡(luò)加入到安全連接之中。
1.3 確保安全性
確保公共網(wǎng)絡(luò)中的安全性,是VPN技術(shù)在計算機(jī)網(wǎng)絡(luò)中的基礎(chǔ),為了確保相關(guān)的數(shù)據(jù)信息在通過公共網(wǎng)絡(luò)進(jìn)行傳輸過程中的安全性,VPN技術(shù)對加密認(rèn)證這一項技術(shù)進(jìn)行利用,在公共網(wǎng)絡(luò)內(nèi)部中對相關(guān)的安全隧道進(jìn)行構(gòu)建,重要的數(shù)據(jù)信息通過安全隧道進(jìn)行傳輸,有效的保證了數(shù)據(jù)信息在傳輸時的安全性,避免數(shù)據(jù)信息被惡意的篡改、破壞。
2 VPN得以實現(xiàn)的主要技術(shù)
VPN不是一個實體,而是一種虛擬的網(wǎng)絡(luò)形態(tài),是計算機(jī)網(wǎng)絡(luò)中的一個概念,是一個通過公共網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施對虛擬專用網(wǎng)絡(luò)進(jìn)行構(gòu)建時,所運(yùn)用連接技術(shù)綜合起來的名稱。VPN技術(shù)的實現(xiàn),離不開隧道技術(shù),隧道技術(shù)是VPN技術(shù)得以實現(xiàn)的前提,隧道技術(shù)是一種對公共網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行包裝,然后在公共網(wǎng)絡(luò)中構(gòu)建一條網(wǎng)絡(luò)隧道,使公共網(wǎng)絡(luò)中的數(shù)據(jù)信心通過這一條網(wǎng)絡(luò)隧道進(jìn)行傳輸,以下是VPN技術(shù)在運(yùn)用過程中的主要隧道技術(shù)。
2.1 點到點隧道協(xié)議
點到點隧道協(xié)議簡稱為PPTP,即Point-to-Point Tunneling Protocol,PPTP將公共網(wǎng)絡(luò)中的PPP數(shù)據(jù)信息進(jìn)行包裝之后,通過Internet對這些數(shù)據(jù)信息進(jìn)行傳輸,PPTP協(xié)議提供了使多協(xié)議VPN構(gòu)建于Internet中的一種通信方式,遠(yuǎn)程的客戶端能夠通過PPTP對專用網(wǎng)絡(luò)進(jìn)行訪問。
2.2 二層轉(zhuǎn)發(fā)協(xié)議
二層轉(zhuǎn)發(fā)協(xié)議簡稱L2F,即Layer Two Forwarding Protocol,二層轉(zhuǎn)發(fā)協(xié)議能夠?qū)Ω鞣N不同的傳輸協(xié)議提供支持,例如:幀中繼、ATM以及IP等,二層轉(zhuǎn)發(fā)協(xié)議可以讓遠(yuǎn)程客戶端的客戶在接入公共IP網(wǎng)絡(luò)中時,在撥號方式上不會受到任何的限制,例如:遠(yuǎn)程客戶端的客戶在運(yùn)用常規(guī)的撥號方式對ISP中的NAS進(jìn)行撥號時,對PPP連接進(jìn)行構(gòu)建,NAS則通過對遠(yuǎn)程客戶端客戶的一些基本信息的了解,在網(wǎng)絡(luò)中進(jìn)行第二重連接,向公司所在地的二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器進(jìn)行傳輸,二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡(luò)服務(wù)器在將接收到的數(shù)據(jù)信心傳輸?shù)焦緝?nèi)部的網(wǎng)絡(luò)中。
2.3 IP安全協(xié)議
IP安全協(xié)議簡稱為IP Sec,IP安全協(xié)議包含了秘鑰協(xié)商與安全協(xié)議這兩個方面中的一部分,IP Sec安全協(xié)議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護(hù)作用的機(jī)制。鑒別頭用英文表示為Authentication Header,簡稱AH,它給計算機(jī)網(wǎng)絡(luò)通信中提供的是一種完全性的保護(hù)。封裝安全載荷用英文表示為Encapsulations Security Payload,簡稱ESP,它給計算機(jī)網(wǎng)絡(luò)通信中提供的不僅僅是完整性的保護(hù),還有機(jī)密文件在通過網(wǎng)絡(luò)進(jìn)行傳輸這一過程中的保護(hù)。鑒別頭與封裝安全載荷對計算機(jī)網(wǎng)絡(luò)通信的保護(hù)具有實效性,對于公司內(nèi)部在使用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳輸?shù)陌踩杂兄种匾囊饬x。IP安全協(xié)議是虛擬專用網(wǎng)技術(shù)中一個非常重要的組成部分,它對于網(wǎng)絡(luò)的保護(hù)具有完整性,是虛擬專用網(wǎng)在計算機(jī)網(wǎng)絡(luò)的應(yīng)用中,不可缺少的一個部分,不僅僅保護(hù)了數(shù)據(jù)信息在通過網(wǎng)絡(luò)進(jìn)行傳輸中的安全,還在很大程度上保障了數(shù)據(jù)信息來源的安全性、可靠性。
3 VPN技術(shù)的應(yīng)用
在對VPN技術(shù)進(jìn)行應(yīng)用的過程中,能夠有效的解決虛擬專用網(wǎng)絡(luò)在對公共網(wǎng)絡(luò)進(jìn)行利用中存在的問題。
以下是VPN技術(shù)主要的幾種應(yīng)用:
3.1 遠(yuǎn)程訪問VPN
隨著我國科學(xué)技術(shù)的深入發(fā)展,人們對于遠(yuǎn)程通信的需求逐漸的擴(kuò)大,各個行業(yè)辦公方式由辦公室辦公轉(zhuǎn)變?yōu)樵谵k公室以外進(jìn)行辦公,企業(yè)中的工作人員對于企業(yè)網(wǎng)絡(luò)中的遠(yuǎn)程客戶端訪問的要求逐漸增高,在這一形勢下遠(yuǎn)程訪問VPN的出現(xiàn)是必然的趨勢。
一些公司或企業(yè)在網(wǎng)絡(luò)中進(jìn)行遠(yuǎn)程訪問的過程中,為了保證遠(yuǎn)程訪問的安全性,傳統(tǒng)的方法是公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中對RAS進(jìn)行構(gòu)建,即遠(yuǎn)程訪問服務(wù)器。遠(yuǎn)程客戶端客戶利用電話這一形式進(jìn)行網(wǎng)絡(luò)撥號,然后接入RAS,接著進(jìn)行入到公司或企業(yè)的內(nèi)部網(wǎng)絡(luò)中,在利用這種傳統(tǒng)的方法進(jìn)行遠(yuǎn)程訪問時,需要對相關(guān)的RAS設(shè)備進(jìn)行購買,RAS設(shè)備的價格都非常的高,而且遠(yuǎn)程客戶端客戶只能采取撥號這一種形式進(jìn)行遠(yuǎn)程訪問,遠(yuǎn)程訪問的效率非常低,在遠(yuǎn)程訪問時的安全性也得不到有效的保障,在進(jìn)行撥號時所需要的花費(fèi)的費(fèi)用也非常的多。遠(yuǎn)程訪問VPN,通過數(shù)字用戶線路、ISDN以及撥號等一系列方式,進(jìn)入到公司或企業(yè)所在地的ISP中,再進(jìn)入Internet中,然后對公司或企業(yè)中的VPN網(wǎng)關(guān)進(jìn)行連接,在VPN與遠(yuǎn)程客戶端的客戶之間構(gòu)建一條安全隧道,遠(yuǎn)程客戶端的客戶可以通過這一條安全隧道對公司或企業(yè)內(nèi)部中的網(wǎng)絡(luò)進(jìn)行訪問,這種方式不僅僅節(jié)約了遠(yuǎn)程訪問過程中所需要花費(fèi)的費(fèi)用,還在很大程度上保障了遠(yuǎn)程訪問中的安全性。
遠(yuǎn)程訪問VPN的結(jié)構(gòu)示意圖,如圖1所示。
3.2 站點到站點的內(nèi)聯(lián)網(wǎng)
一般情況下,在對同一個企業(yè)中兩個不同的分支機(jī)構(gòu)進(jìn)行連接的過程中,專用私有線路是必不可少的連接工具,但是專用私有線路非常的難找,尋找一條專用私有線路需要花費(fèi)很多的時間與精力,而且專用私有線路一般都以出租的方式進(jìn)行利用,租金非常的高。企業(yè)在利用一條專用私有線路對內(nèi)部中不同的分支機(jī)構(gòu)進(jìn)行連接時,如果專用私有線路對企業(yè)內(nèi)部網(wǎng)絡(luò)造成了破壞,則會導(dǎo)致連接的失敗,而且在利用專用私有線路對企業(yè)內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行傳輸?shù)臅r候,傳輸數(shù)據(jù)信息的網(wǎng)絡(luò)通道沒有進(jìn)行相關(guān)的加密,這就造成了數(shù)據(jù)信息在傳輸過程中存在著不安全因素。
站點到站點的內(nèi)聯(lián)網(wǎng),能夠有效的解決企業(yè)內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)、傳輸、連接在安全這一方面存在的問題,站點到站點的內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)示意圖,如圖2所示。
VPN網(wǎng)關(guān),處于公共網(wǎng)絡(luò)與企業(yè)專用網(wǎng)絡(luò)的交界處,站點到站點的內(nèi)聯(lián)網(wǎng)對數(shù)據(jù)信息通信進(jìn)行加密,通過Internet將數(shù)據(jù)信息傳輸?shù)较嚓P(guān)的VPN網(wǎng)關(guān)中。站點到站點的內(nèi)聯(lián)網(wǎng)在接收到Internet所傳輸?shù)臄?shù)據(jù)信息已被加密,然后通過將數(shù)據(jù)信息傳輸?shù)絍PN網(wǎng)關(guān)對數(shù)據(jù)信息進(jìn)行解密,接著傳輸?shù)狡髽I(yè)的內(nèi)部網(wǎng)絡(luò)中。站點與站點的內(nèi)聯(lián)網(wǎng)在傳輸數(shù)據(jù)信息時,不需要專用的私有線路,而且還能夠使VPN變得非常的靈活。
3.3 VPN技術(shù)應(yīng)用的實例
VPN技術(shù)在宜春供水有限公司中的應(yīng)用,圖3是宜春供水有限公司中VPN網(wǎng)絡(luò)結(jié)構(gòu)圖。
VPN技術(shù)在宜春供水有限公司中的應(yīng)用,取代了宜春供水有限公司內(nèi)部中傳統(tǒng)的專線網(wǎng)絡(luò),VPN技術(shù)的應(yīng)用極大的增強(qiáng)了宜春供水有限公司在利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息傳遞時的安全性,有效的節(jié)約了宜春供水有限公司在網(wǎng)絡(luò)信息數(shù)據(jù)傳輸這一方面的資金成本,在總體上為公司節(jié)省了85%左右的信息數(shù)據(jù)通訊的資金成本,而且只需要普通寬帶就能夠?qū)崿F(xiàn)。
4 結(jié)束語
虛擬專用網(wǎng)技術(shù)在企業(yè)應(yīng)用計算機(jī)網(wǎng)絡(luò)的過程中有著重要的作用,企業(yè)采用VPN這一技術(shù),能夠有效的保障計算機(jī)網(wǎng)絡(luò)的安全性、可靠性、經(jīng)濟(jì)性,能夠確保企業(yè)中的一些重要的私密性文件在通過網(wǎng)絡(luò)進(jìn)行傳輸時的安全。
參考文獻(xiàn):
[1] 浦兜,陳依群,曾鴻文.虛擬專用網(wǎng)絡(luò)(VPN)信息加密技術(shù)研究[J].電訊技術(shù),2010(17).
[2] 束坤,凳國新.基于計算機(jī)網(wǎng)絡(luò)的VPN技術(shù)[J].計算機(jī)應(yīng)用,2008(11).
[3] 曾勇軍,暢貞斌,羅必國.通過隧道技術(shù)建立安全的虛擬專用網(wǎng)[J].計算機(jī)工程與應(yīng)用,2010(8).
vpn技術(shù)篇4
【論文摘要】:虛擬專用網(wǎng)(vpn)技術(shù)主要包括數(shù)據(jù)封裝化,隧道協(xié)議,防火墻技術(shù),加密及防止數(shù)據(jù)被篡改技術(shù)等等。文章著重介紹了虛擬專用網(wǎng)以及對相關(guān)技術(shù)。并對vpn隧道技術(shù)的分類提出了一些新的探索。
引言
虛擬專用網(wǎng)即vpn(virtual private network)是利用接入服務(wù)器(access sever)、廣域網(wǎng)上的路由器以及vpn專用設(shè)備在公用的wan上實現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的vpn服務(wù)被稱為ipvpn。
利用共用的wan網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個關(guān)鍵的問題就是信息的安全問題。為了解決此問題,vpn采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。
1. 隧道技術(shù)
internet中的隧道是邏輯上的概念。假設(shè)總部的lan上和分公司的lan上分別連有內(nèi)部的ip地址為a和b的微機(jī)??偛亢头止镜絠sp的接入點上的配置了vpn設(shè)備。它們的全局ip地址是c和d。假定從微機(jī)b向微機(jī)a發(fā)送數(shù)據(jù)。在分公司的lan上的ip分組的ip地址是以內(nèi)部ip地址表示的"目的地址a""源地址b"。因此分組到達(dá)分公司的vpn設(shè)備后,立即在它的前部加上與全局ip地址對應(yīng)的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設(shè)備從d發(fā)往vpn設(shè)備c而添加的。WWw.133229.COm此ip分組到達(dá)總部的vpn設(shè)備c后,全局ip地址即被刪除,恢復(fù)成ip分組發(fā)往地址a。由此可見,隧道技術(shù)就是vpn利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在ip分組上添加新頭標(biāo),這就是所謂ip的封裝化。同時利用隧道技術(shù),還必須使得隧道的入口與出口相對地出現(xiàn)。
基于隧道技術(shù)vpn網(wǎng)絡(luò),對于通信的雙方,感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。
2. 隧道協(xié)議
在一個分組上再加上一個頭標(biāo)被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用vpn技術(shù)還需要有隧道協(xié)議。
2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議l2f支持撥號接入服務(wù)器。將撥號數(shù)據(jù)流封裝在ppp幀內(nèi)通過廣域網(wǎng)鏈路傳送到l2f服務(wù)器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp協(xié)議又稱為點對點的隧道協(xié)議。pptp協(xié)議允許對ip,ipx或netbeut數(shù)據(jù)流進(jìn)行加密,然后封裝在ip包頭中通過企業(yè)ip網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。
⑶ 2tp(layer 2 tunneling protocol)
該協(xié)議是遠(yuǎn)程訪問型vpn今后的標(biāo)準(zhǔn)協(xié)議。
l2f、pptp、l2tp共同特點是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的vpn設(shè)備建立ppp連接,端口用戶可以在客戶側(cè)管理ppp。它們除了能夠利用內(nèi)部ip地址的擴(kuò)展功能外,還能在vpn上利用ppp支持的多協(xié)議通信功能,多鏈路功能及ppp的其他附加功能。因此在internet上實現(xiàn)第二層連接的pppsecsion的隧道協(xié)議被稱作第二層隧道。對于不提供ppp功能的隧道協(xié)議都由標(biāo)準(zhǔn)的ip層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp遠(yuǎn)程訪問的vpn協(xié)議,它部分采用了移動ip的機(jī)制。atmp以gre實現(xiàn)封裝化,將vpn的起點和終點配置isp內(nèi)。因此,用戶可以不裝與vpn想適配的軟件。
⑸ psec
ipsec規(guī)定了在ip網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了vpn能夠利用認(rèn)證頭標(biāo)(ah:authmentication header)和封裝化安全凈荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允許對ip負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在ip包頭中,通過企業(yè)ip網(wǎng)絡(luò)或公共ip互聯(lián)網(wǎng)絡(luò)如internet發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),dsi七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層vpn "與"三層vpn"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的sslvpn技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的httptunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層vpn"、"五層vpn",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類。
2.2 改進(jìn)后的幾種隧道機(jī)制的分類
⑴ j.heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的vpn,使用路由方式的vpn,使用專線方式的vpn和使用局域網(wǎng)仿真方式的vpls。
例如同樣是以太網(wǎng)的技術(shù),根據(jù)實際情況的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多種vpn組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實際應(yīng)用中對vpn技術(shù)選型造成誤導(dǎo)。
⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評價標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的vpn分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡(luò)傳遞。例如l2tp就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如lsvpn。從性能上看,使用封裝型隧道技術(shù)一般只能提供點對點的通道,而點對多點的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢。
采用隔離型隧道技術(shù),則不存在以上問題,可以根據(jù)實際需要,提供點對點,點對多點,多點對多點的網(wǎng)絡(luò)拓?fù)洹?span style="display:none">BXb萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
3. 諸種安全與加密技術(shù)
ipvpn技術(shù),由于利用了internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來的是由于internet技術(shù)的標(biāo)準(zhǔn)化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對網(wǎng)絡(luò)進(jìn)行攻擊,使得在ipvpn的網(wǎng)點a和網(wǎng)點b之間安全通信受到威脅。因此,利用ipvpn通信時,應(yīng)比專線更加注意internet接入點的安全。為此,ipvpn采用了以下諸種安全與加密技術(shù)。[2]
⑴ 防火墻技術(shù)
防火墻技術(shù),主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)
加密技術(shù)可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或?qū)S眉用埽┮卜Q常規(guī)加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應(yīng)的公用密鑰。任何一方都可以得到公用密鑰?;谒淼兰夹g(shù)的vpn虛擬專用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。
參考文獻(xiàn)
[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
vpn技術(shù)篇5
【論文摘要】:虛擬專用網(wǎng)(vpn)技術(shù)主要包括數(shù)據(jù)封裝化,隧道協(xié)議,防火墻技術(shù),加密及防止數(shù)據(jù)被篡改技術(shù)等等。文章著重介紹了虛擬專用網(wǎng)以及對相關(guān)技術(shù)。并對vpn隧道技術(shù)的分類提出了一些新的探索。
引言
虛擬專用網(wǎng)即vpn(virtual private network)是利用接入服務(wù)器(access sever)、廣域網(wǎng)上的路由器以及vpn專用設(shè)備在公用的wan上實現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的vpn服務(wù)被稱為ipvpn。
利用共用的wan網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個關(guān)鍵的問題就是信息的安全問題。為了解決此問題,vpn采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。
1. 隧道技術(shù)
internet中的隧道是邏輯上的概念。假設(shè)總部的lan上和分公司的lan上分別連有內(nèi)部的ip地址為a和b的微機(jī)??偛亢头止镜絠sp的接入點上的配置了vpn設(shè)備。它們的全局ip地址是c和d。假定從微機(jī)b向微機(jī)a發(fā)送數(shù)據(jù)。在分公司的lan上的ip分組的ip地址是以內(nèi)部ip地址表示的"目的地址a""源地址b"。因此分組到達(dá)分公司的vpn設(shè)備后,立即在它的前部加上與全局ip地址對應(yīng)的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設(shè)備從d發(fā)往vpn設(shè)備c而添加的。此ip分組到達(dá)總部的vpn設(shè)備c后,全局ip地址即被刪除,恢復(fù)成ip分組發(fā)往地址a。由此可見,隧道技術(shù)就是vpn利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在ip分組上添加新頭標(biāo),這就是所謂ip的封裝化。同時利用隧道技術(shù),還必須使得隧道的入口與出口相對地出現(xiàn)。
基于隧道技術(shù)vpn網(wǎng)絡(luò),對于通信的雙方,感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。
2. 隧道協(xié)議
在一個分組上再加上一個頭標(biāo)被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用vpn技術(shù)還需要有隧道協(xié)議。
2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議l2f支持撥號接入服務(wù)器。將撥號數(shù)據(jù)流封裝在ppp幀內(nèi)通過廣域網(wǎng)鏈路傳送到l2f服務(wù)器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp協(xié)議又稱為點對點的隧道協(xié)議。pptp協(xié)議允許對ip,ipx或netbeut數(shù)據(jù)流進(jìn)行加密,然后封裝在ip包頭中通過企業(yè)ip網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。
⑶ 2tp(layer 2 tunneling protocol)
該協(xié)議是遠(yuǎn)程訪問型vpn今后的標(biāo)準(zhǔn)協(xié)議。
l2f、pptp、l2tp共同特點是從遠(yuǎn)程客戶直至內(nèi)部網(wǎng)入口的vpn設(shè)備建立ppp連接,端口用戶可以在客戶側(cè)管理ppp。它們除了能夠利用內(nèi)部ip地址的擴(kuò)展功能外,還能在vpn上利用ppp支持的多協(xié)議通信功能,多鏈路功能及ppp的其他附加功能。因此在internet上實現(xiàn)第二層連接的pppsecsion的隧道協(xié)議被稱作第二層隧道。對于不提供ppp功能的隧道協(xié)議都由標(biāo)準(zhǔn)的ip層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp遠(yuǎn)程訪問的vpn協(xié)議,它部分采用了移動ip的機(jī)制。atmp以gre實現(xiàn)封裝化,將vpn的起點和終點配置isp內(nèi)。因此,用戶可以不裝與vpn想適配的軟件。
⑸ psec
ipsec規(guī)定了在ip網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了vpn能夠利用認(rèn)證頭標(biāo)(ah:authmentication header)和封裝化安全凈荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允許對ip負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在ip包頭中,通過企業(yè)ip網(wǎng)絡(luò)或公共ip互聯(lián)網(wǎng)絡(luò)如internet發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),dsi七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層vpn "與"三層vpn"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的sslvpn技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的httptunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層vpn"、"五層vpn",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類。
2.2 改進(jìn)后的幾種隧道機(jī)制的分類
⑴ j.heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的vpn,使用路由方式的vpn,使用專線方式的vpn和使用局域網(wǎng)仿真方式的vpls。
例如同樣是以太網(wǎng)的技術(shù),根據(jù)實際情況的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多種vpn組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實際應(yīng)用中對vpn技術(shù)選型造成誤導(dǎo)。
⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評價標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的vpn分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡(luò)傳遞。例如l2tp就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如lsvpn。從性能上看,使用封裝型隧道技術(shù)一般只能提供點對點的通道,而點對多點的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢。
采用隔離型隧道技術(shù),則不存在以上問題,可以根據(jù)實際需要,提供點對點,點對多點,多點對多點的網(wǎng)絡(luò)拓?fù)洹?span style="display:none">BXb萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
3. 諸種安全與加密技術(shù)
ipvpn技術(shù),由于利用了internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來的是由于internet技術(shù)的標(biāo)準(zhǔn)化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對網(wǎng)絡(luò)進(jìn)行攻擊,使得在ipvpn的網(wǎng)點a和網(wǎng)點b之間安全通信受到威脅。因此,利用ipvpn通信時,應(yīng)比專線更加注意internet接入點的安全。為此,ipvpn采用了以下諸種安全與加密技術(shù)。[2]
⑴ 防火墻技術(shù)
防火墻技術(shù),主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)
加密技術(shù)可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或?qū)S眉用埽┮卜Q常規(guī)加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應(yīng)的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術(shù)的vpn虛擬專用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。
參考文獻(xiàn)
[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
vpn技術(shù)篇6
VPN虛擬專用網(wǎng) (Virtual private network):建立在實在網(wǎng)路(或稱物理網(wǎng)路)基礎(chǔ)上的一種功能性網(wǎng)路,或者說是一種專用網(wǎng)的組網(wǎng)方式,簡稱VPN。它向使用者提供一般專用網(wǎng)所具有的功能,但本身卻不是一個獨(dú)立的物理網(wǎng)路;也可以說虛擬專用網(wǎng)是一種邏輯上的專用網(wǎng)路。
2 VPN的特點
(1)安全保障
雖然實現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。
(2)服務(wù)質(zhì)量保證(QoS)
VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。所有網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。
(3)可擴(kuò)充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點。
3 VPN安全技術(shù)
目前VPN主要采用四項技術(shù)來保證安全,這四項技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。
(1) 隧道技術(shù)
隧道技術(shù)是VPN的基本技術(shù),類似于點對點連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。VPN使用兩種隧道協(xié)議:點到點隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)。
(2)加解密技術(shù)
VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型,因此可以分為兩種情況。
對于PPTP服務(wù)器,將采用MPPE加密技術(shù)。MPPE可以支持40位密鑰的標(biāo)準(zhǔn)加密方案和128位密鑰的增強(qiáng)加密方案。
對于L2TP服務(wù)器,將使用IPSec機(jī)制對數(shù)據(jù)進(jìn)行加密。IPSec是基于密碼學(xué)的保護(hù)服務(wù)和安全協(xié)議的套件。
(3)密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。
(4)使用者與設(shè)備身份認(rèn)證技術(shù)
使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。VPN的身份驗證采用PPP的身份驗證方法,下面介紹一下VPN進(jìn)行身份驗證的幾種方法。
CHAP:CHAP通過使用MD5(一種工業(yè)標(biāo)準(zhǔn)的散列方案)來協(xié)商一種加密身份驗證的安全形式。MS-CHAP:同CHAP相似,微軟開發(fā)MS-CHAP是為了對遠(yuǎn)程Windows工作站進(jìn)行身份驗證,它在響應(yīng)時使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。 MS-CHAP v2:MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗證協(xié)議,它提供了相互身份驗證和更強(qiáng)大的初始數(shù)據(jù)密鑰,而且發(fā)送和接收分別使用不同的密鑰。
4 VPN發(fā)展現(xiàn)狀
在國外,Internet已成為全社會的信息基礎(chǔ)設(shè)施,企業(yè)端應(yīng)用也大都基于IP,在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢,因此基于IP的VPN業(yè)務(wù)獲得了極大的增長空間。在中國,制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。
(1)客觀因素包括因特網(wǎng)帶寬和服務(wù)質(zhì)量QoS問題。
在過去無論因特網(wǎng)的遠(yuǎn)程接入還是專線接入,以及骨干傳輸?shù)膸挾己苄?,QoS更是無法保障,造成企業(yè)用戶寧愿花費(fèi)大量的金錢去投資自己的專線網(wǎng)絡(luò)或是寧愿花費(fèi)巨額的長途話費(fèi)來提供遠(yuǎn)程接入?,F(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣,上述問題將得到根本改善和解決。
(2)主觀因素之一是用戶總害怕自己內(nèi)部的數(shù)據(jù)在Internet上傳輸不安全。主觀因素之二,也是VPN應(yīng)用最大的障礙,是客戶自身的應(yīng)用跟不上,只有企業(yè)將自己的業(yè)務(wù)完全和網(wǎng)絡(luò)聯(lián)系上,VPN才會有了真正的用武之地。
可以想象,當(dāng)我們消除了所有這些障礙因素后,VPN將會成為我們網(wǎng)絡(luò)生活的主要組成部分。在不遠(yuǎn)的將來,VPN技術(shù)將成為廣域網(wǎng)建設(shè)的最佳解決方案。同時,VPN會加快企業(yè)網(wǎng)的建設(shè)步伐,使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng),而且能夠很快地把全國各地分公司的局域網(wǎng)連起來,從而真正發(fā)揮整個網(wǎng)絡(luò)的作用。VPN對推動整個電子商務(wù)、電子貿(mào)易將起到不可低估的作用。
參考文獻(xiàn)
[1]張忠玉.VPN 技術(shù)綜述及應(yīng)用.工程技術(shù),2007(25).
[2]范青.淺談虛擬專用網(wǎng)(VPN)的技術(shù)研究與應(yīng)用.科技信息,2007(33).
vpn技術(shù)篇7
[關(guān)鍵詞]VPN技術(shù)無線局域網(wǎng)SSL VPN
[中圖分類號]TP3[文獻(xiàn)標(biāo)識碼]A[文章編號]1007-9416(2010)03-0091-02
隨著信息產(chǎn)業(yè)的飛速發(fā)展,通信技術(shù)和計算機(jī)技術(shù)的融合越來越快。無線通信已經(jīng)成為我們生活不可缺少的一部分。但由于其無線通信設(shè)備采用的是無線信號的空中傳輸,使得在無線鏈路中傳輸?shù)男畔⒑苋菀妆桓`聽,存在很不安全的因素。嚴(yán)重的話甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。為此在一個企業(yè)當(dāng)中建立一個無線局域網(wǎng),安全性應(yīng)是頭號要解決的問題。VPN是無線網(wǎng)絡(luò)建設(shè)當(dāng)中解決無線通信安全問題的一個很好的方案。本文試圖就VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用做出一定的探討。
1 VPN技術(shù)概述
VPN (Virtual Private Network,虛擬專用網(wǎng))是專用網(wǎng)絡(luò)在公共網(wǎng)絡(luò)如Internet上的擴(kuò)展。VPN通過隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點到點的專線,從而達(dá)到安全的數(shù)據(jù)傳輸目的,基于Internet的VPN也稱為IP-VPN。所以從本質(zhì)上說,虛擬專用網(wǎng)(VPN)是一種能夠通過公用網(wǎng)絡(luò)安全地對內(nèi)部專用網(wǎng)進(jìn)行遠(yuǎn)程訪問的技術(shù)。其要點是在遠(yuǎn)程用戶和VPN服務(wù)器之間建立一條加密隧道,將原始數(shù)據(jù)包加密,并在外面封裝新的協(xié)議包頭。這樣只有知道密鑰的通信雙方能夠解開數(shù)據(jù)包,保證了數(shù)據(jù)包在公共媒質(zhì)上傳送的時候,不會被非VPN 用戶截取。
2 VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用分析
無線局域網(wǎng)因其傳輸介質(zhì)、訪問方式等原因,使得其很容易受到攻擊。無線局域網(wǎng)常用的安全方式,如MAC地址過濾、服務(wù)區(qū)標(biāo)識符(SSID)匹配等存在很多明顯的弊端。利用VPN技術(shù)可以為無線局域網(wǎng)提供更可靠的安全解決方案。但是從目前現(xiàn)狀來看,VPN在無線局域網(wǎng)中應(yīng)用實現(xiàn)方式主要有兩種,一種是基于IPSec 的無線VPN設(shè)計,另外一種是基于SSL的無線VPN設(shè)計。但是IPSec 的無線VPN設(shè)計是較早時期VPN在無線局域網(wǎng)中的實現(xiàn)方式,隨著近年來無線局域網(wǎng)以及VPN技術(shù)的逐漸成熟,基于SSL的無線局域網(wǎng)實現(xiàn)技術(shù)已經(jīng)成為主流,本文將重點探討基于SSL的VPN技術(shù)在無線局域網(wǎng)中的應(yīng)用。
2.1 SSL VPN在無線局域網(wǎng)中應(yīng)用原理及功能特點
SSL(Secure Socket Layer,安全套接層)是一種在兩臺機(jī)器間提供安全通道的協(xié)議,它具有保護(hù)傳輸數(shù)據(jù)以及識別通信機(jī)器的功能。SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。SSL VPN使用SSL協(xié)議和為終端用戶提供基于HTTP, C/S和共享文件資源的認(rèn)證和安全訪問。與復(fù)雜的IPSec VPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN,這是因為SSL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機(jī)安裝客戶端軟件。SSL VPN的工作原理如圖1所示:
SSL VPN的功能特點主要體現(xiàn)在以下幾個方面:一是無需安裝客戶端軟件。大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件,只需使用標(biāo)準(zhǔn)Web瀏覽器即可訪問到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。這樣無論是從軟件協(xié)議購買成本上,還是從維護(hù)、管理成本上都可以節(jié)省一大筆資金,從而大幅降低VPN網(wǎng)絡(luò)的實施成本。二是適用于大多數(shù)設(shè)備及系統(tǒng)。由于Web方式的開放性,支持標(biāo)準(zhǔn)瀏覽器的任何設(shè)備都可以使用SSLVPN進(jìn)行遠(yuǎn)程訪問,包括非傳統(tǒng)設(shè)備,如PDA等。三是適用于大多數(shù)操作系統(tǒng)。任何支持標(biāo)準(zhǔn)Web瀏覽器的操作系統(tǒng)都可以作為S SL VPN的客戶端進(jìn)行遠(yuǎn)程訪問。不管用戶使用的操作系統(tǒng)是Windows、Macintosh、UNIX還是Linux。都可以非常容易地訪問到企業(yè)內(nèi)部網(wǎng)站的資源。
2.2 SSL VPN在無線局域網(wǎng)中的具體應(yīng)用
通過圖1的示意圖可以看出,SSL VPN在無線局域網(wǎng)網(wǎng)中應(yīng)用的整個系統(tǒng)由SSL網(wǎng)關(guān)和Web服務(wù)器以及AP組成,其中最重要的是SSL網(wǎng)關(guān)。網(wǎng)關(guān)由多個服務(wù)器組成,LDAP服務(wù)器負(fù)責(zé)證書以及證書吊銷列表的保存,RADIUS服務(wù)器負(fù)責(zé)訪問控制策略,DHCP服務(wù)器負(fù)責(zé)為接入網(wǎng)關(guān)的局域網(wǎng)計算機(jī)分配IP地址,AD是證書驗證服務(wù)器。
對于SSL VPN來說,要保證通信的安全,必須要做到保密性、消息完整性和端點的認(rèn)證。保密性是指傳輸?shù)臄?shù)據(jù)必須經(jīng)過加密,消息完整性是指傳輸?shù)臄?shù)據(jù)能夠確認(rèn)是沒有被黑客或攻擊者篡改過,端點認(rèn)證是指客戶端或者服務(wù)器端能夠?qū)α硪环酱_認(rèn)是否是正確的通信者。SSL協(xié)議通過SSL握手來確定密鑰并用該對稱密鑰來對通信的數(shù)據(jù)進(jìn)行加密。在握手期間通過公鑰技術(shù)對雙方進(jìn)行認(rèn)證,并用密鑰交換技術(shù)交換通信使用的對稱密鑰,然后使用對稱密鑰加密通信數(shù)據(jù)。SSL的安全依賴于所使用的加密套件,每個加密套件使用四種算法,即:數(shù)字簽名算法,消息摘要算法,密鑰確立算法以及數(shù)據(jù)加密算法。
SSL VPN在無線局域網(wǎng)中具體應(yīng)用需要重點解決以下幾個方面的問題:一是客戶端安全接入問題。對于SSL VPN服務(wù)器來說,有效地保證自身的安全和對客戶端接入的控制是最重要的。應(yīng)該具備一個專門的子系統(tǒng)來負(fù)責(zé)對客戶端的認(rèn)證,它的功能是針對不同的客戶端選擇相應(yīng)的策略進(jìn)行認(rèn)證;二是有效的訪問控制策略。當(dāng)用戶通過了系統(tǒng)的認(rèn)證之后,如何有效而靈活控制客戶的訪問權(quán)限,是非常重要的問題,同時也是SSL VPN系統(tǒng)最具特色的特點之一。如何實施用戶的集中化管理,通過SSL VPN控制臺進(jìn)行管理,更加有效的監(jiān)控用戶使用權(quán)限,如何做到能夠基于內(nèi)容的訪問控制策略等等都需要更多的關(guān)注。三是傳輸性能問題。對于一個SSL VPN服務(wù)器來說,傳輸在整個SSL VPN系統(tǒng)中是一個性能的瓶頸點。
總之,隨著我國網(wǎng)絡(luò)用戶的快速增長,無線網(wǎng)絡(luò)作為有效網(wǎng)絡(luò)的有效補(bǔ)充,在人們的網(wǎng)絡(luò)生活中將會占據(jù)更加重要的地位。而VPN技術(shù)作為無線局域網(wǎng)的一種有效安全措施,在無線局域網(wǎng)中具有非常廣泛的應(yīng)用。
[參考文獻(xiàn)]
[1] 劉乃安.無線局域網(wǎng)(WLAN)――原理、技術(shù)與應(yīng)用[M].西安:電子科技大學(xué)出版社,2004.
[2] 周明.SSL VPN體系結(jié)構(gòu)在無線局域網(wǎng)中的應(yīng)用與設(shè)計[J].電子科技大學(xué).2006(4).
[3] 吳麗華,史烈.基于VPN技術(shù)的安全無線局域網(wǎng)的構(gòu)建[J].計算機(jī)工程,2005(2).
vpn技術(shù)篇8
關(guān)鍵詞:MPLS VPN;校園網(wǎng);技術(shù)優(yōu)勢;應(yīng)用;初步規(guī)劃
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2010)04-0831-02
MPLS VPN Technology and in Campus Net Construction Research
LIU Li-juan
(Nanjing Normal University Taizhou College, Taizhou 225300, China)
Abstract: Through introduced MPLS VPN technology basic concept, principle, realization way,has analyzed the MPLS VPN technical superiority, elaborated MPLS VPN technology in the large-scale network design practical application, preliminary study under MPLS VPN environment campus network plan, the endeavour will cause on a next university informationization construction new stair.
Key words: MPLS VPN; campus net; technical superiority; using; preliminary plan
隨著信息化程度的加深,校園網(wǎng)上各種管理應(yīng)用系統(tǒng)平臺不斷增加,各種各樣的網(wǎng)絡(luò)需求和安全問題對傳統(tǒng)校園網(wǎng)提出了巨大的挑戰(zhàn),如何實現(xiàn)學(xué)校教學(xué)、科研、管理等多個業(yè)務(wù)系統(tǒng)的“隔離與受控訪問”,并能檢測、調(diào)節(jié)、設(shè)定不同業(yè)務(wù)優(yōu)先級,提供多等級校園網(wǎng)絡(luò)服務(wù)質(zhì)量,優(yōu)化網(wǎng)絡(luò)性能,成為校園網(wǎng)工程改造的難題。由于MPLS VPN技術(shù)能夠非常簡單的實現(xiàn)學(xué)校各部門之間的橫向和縱向互訪,并且在增加新的節(jié)點時,不需要對原有節(jié)點的配置進(jìn)行修改。所以相對其他VPN技術(shù),采用MPLS技術(shù)組建的VPN具有更好的可維護(hù)性及可擴(kuò)展性,MPLS VPN更適合于組建較大規(guī)模的復(fù)雜的VPN網(wǎng)絡(luò),MPLS VPN的這些優(yōu)點已經(jīng)成為建設(shè)校園網(wǎng)的主流技術(shù)。
1 MPLS VPN技術(shù)
1.1 MPLS VPN技術(shù)概述
MPLS VPN是一種基于MPLS技術(shù)的VPN,它在MPLS/IP公共網(wǎng)絡(luò)上,利用MPLS技術(shù)創(chuàng)建隧道,實現(xiàn)二、三層VPN業(yè)務(wù)。MPLS VPN的隧道建立就是采用MPLS的標(biāo)簽堆疊技術(shù),通過給用戶數(shù)據(jù)封裝雙層標(biāo)簽來實現(xiàn)。其中內(nèi)層標(biāo)簽即私網(wǎng)標(biāo)簽,用來識別用戶信息的VPN信息,外層標(biāo)簽即公網(wǎng)標(biāo)簽,用來在公網(wǎng)中轉(zhuǎn)發(fā)私網(wǎng)報文。將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起,為用戶提供高質(zhì)量的服務(wù)。
1.2 MPLS VPN原理
MPLS VPN中的路由器有P路由器、PE路由器、CE路由器3種。P路由器是主干路由器,負(fù)責(zé)VPN分組外層標(biāo)簽的交換;PE路由器一般是邊界路由器,存放著VRF表和全局路由表;CE路由器為客戶端路由器。當(dāng)CE路由器將一個VPN分組轉(zhuǎn)發(fā)給PE路由器后,PE路由器查找該VPN對應(yīng)的VRF,從VRF中得到一個VPN標(biāo)簽和下一跳出口PE路由器的地址,VPN標(biāo)簽為“最內(nèi)層標(biāo)簽”打在VPN分組上,根據(jù)下一跳出口,PE路由器的地址可以在全局路由表中查找出到達(dá)該P(yáng)E路由器應(yīng)打上的域內(nèi)路由的標(biāo)簽,即外層標(biāo)簽,于是VPN分組被打上了兩層標(biāo)簽,P路由器根據(jù)外層標(biāo)簽轉(zhuǎn)發(fā)VPN分組,在最后一個P路由器處,外層標(biāo)簽彈出,VPN分組只剩下內(nèi)層標(biāo)簽,接著VPN分組被發(fā)往出口PE路由器。出口路由器根據(jù)內(nèi)層標(biāo)簽查找到相應(yīng)的出口,將VPN分組上的內(nèi)層標(biāo)簽刪除,把不含標(biāo)簽的VPN分組發(fā)給正確的CE路由器,CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。
1.3 MPLS VPN的實現(xiàn)方式
MPLS VPN的實現(xiàn)方式,根據(jù)Internet邊界設(shè)備PE是否參與客戶的路由,Internet在建立基于MPLS的VPN時有兩種選擇:第三層的解決方案(Layer3MPLS VPN)和第二層的解決方案(Layer2MPLS VPN)。第二層和第三層MPLS VPN的主要區(qū)別在于:在一個第三層的MPLS VPN里,PE路由器和CE路由器建立了對等關(guān)系,并且維護(hù)獨(dú)立的路由表,而不是在CE路由器之間建立對等關(guān)系。
1.4 MPLS VPN的技術(shù)優(yōu)勢
1.4.1 VPN實現(xiàn)網(wǎng)絡(luò)安全
VPN以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。具有高度的安全性,對于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行、在線交易都需要絕對的安全。
1.4.2 簡化網(wǎng)絡(luò)設(shè)計
網(wǎng)絡(luò)管理者可以使用VPN替代租用線路來實現(xiàn)分支機(jī)構(gòu)的連接。這樣就可以將對遠(yuǎn)程鏈路進(jìn)行安裝、配置和管理的任務(wù)減少到最小,僅此一點就可以極大地簡化企業(yè)廣域網(wǎng)的設(shè)計。另外,VPN通過撥號訪問來自ISP或NSP的外部服務(wù),減少了調(diào)制解調(diào)器池,簡化了所需的接口,同時簡化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記帳相關(guān)的設(shè)備和處理。
1.4.3 降低成本
許多技術(shù)承諾可以降低成本,但VPN降低成本的方法是立即且顯著的,它可以降低:
1)移動用戶長途通信成本費(fèi)。
2)可以以每條連接40%到60%的成本對租用線路進(jìn)行控制和管理,對國際電路成本節(jié)約是極為顯著的。
3)主要設(shè)備成本:VPN通過支持撥號訪問外部資源,使企業(yè)可以減少不斷增長的調(diào)制解調(diào)器費(fèi)用。另外,它還允許一個單一的WAN接口服務(wù)多種目的,從分支網(wǎng)絡(luò)互連、商業(yè)伙伴的外連網(wǎng)終端,本地提供高帶寬的線路連接到撥號訪問服務(wù)提供者。因此,只需要極少的WAN接口和設(shè)備。另外,由于VPN獨(dú)立于初始的協(xié)議,這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備,保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
1.4.4 容易擴(kuò)展
如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍,只需與新的ISP簽約,建立帳戶,或者與原有的ISP重簽合約,擴(kuò)大服務(wù)范圍。
1.4.5 易于建立商業(yè)伙伴
在過去,企業(yè)如果想與合作伙伴聯(lián)網(wǎng),雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后,這種協(xié)商已毫無必要,真正達(dá)到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機(jī)會,建立可靠的商業(yè)伙伴關(guān)系。
1.4.6 完全控制主動權(quán)
VPN使企業(yè)可以利用ISP的設(shè)施和服務(wù),同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說,企業(yè)可以把撥號訪問交給ISP去做,由自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
1.4.7 支持新興應(yīng)用
許多專用網(wǎng)對于新興應(yīng)用準(zhǔn)備不足,如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級的應(yīng)用,如IP語音,IP傳真,還有各種協(xié)議,如RSIP、IM、MPLS等。
2 MPLS VPN的應(yīng)用
MPLS VPN應(yīng)用的范圍比較廣泛,在企業(yè)中利用MPLS VPN可以大大縮小總部和各分支機(jī)構(gòu)之間的差距,在VPN中實施軟交換IP電話,可以大大節(jié)省長途話費(fèi),利用VPN開通會議電視,大大方便各分支機(jī)構(gòu)之間的業(yè)務(wù)交流。在政府機(jī)構(gòu)中,從中央到省級到市/地級到縣級到鄉(xiāng)鎮(zhèn),都可以組建MPLS VPN網(wǎng),在各級VPN中開通E-mail、IP 電話、會議電視,方便各級政府官員互相通郵通電,隨時啟用會議電視開展會議。各級VPN的級別設(shè)置與各級政府級別、機(jī)密級別設(shè)置相當(dāng),將網(wǎng)絡(luò)風(fēng)險降低到零。另外,MPLS VPN還可以在遠(yuǎn)程教育、跨地域銀行、電力遠(yuǎn)程監(jiān)控、大型商行或超市、物流業(yè)等領(lǐng)域應(yīng)用。
2.1 校園網(wǎng)改造需求分析
針對原有網(wǎng)絡(luò)運(yùn)行模式,需要一個便于擴(kuò)展的解決方案,來保持用戶組完全隔離,實現(xiàn)服務(wù)和安全策略的集中,并保留校園園區(qū)網(wǎng)設(shè)計的高可用性、安全性和可擴(kuò)展性優(yōu)勢。網(wǎng)絡(luò)改造設(shè)計必須高效地解決以下幾個問題:
2.1.1 訪問控制
確保能識別合法用戶和設(shè)備,對其分類,并允許其接入獲得訪問授權(quán)的網(wǎng)絡(luò)部分。
2.1.2 路徑隔離
確保各用戶或設(shè)備都能高效地分配到正確、安全的可用資源集,即正確的VPN。
2.1.3 服務(wù)邊緣
確保合法的用戶和設(shè)備能訪問相應(yīng)的正確服務(wù),并集中實施策略。
2.1.4 網(wǎng)絡(luò)擴(kuò)展
可以為其他校區(qū)、辦學(xué)點、移動辦公的人員提供遠(yuǎn)程接入訪問服務(wù)。
2.2 校園網(wǎng)MPLS VPN初步規(guī)劃
2.2.1 整體規(guī)劃
采用MPLS/BGP VPN技術(shù)作為實現(xiàn)基本MPLS VPN業(yè)務(wù)的技術(shù)路線,建立各業(yè)務(wù)系統(tǒng)虛擬獨(dú)立網(wǎng)絡(luò),各業(yè)務(wù)系統(tǒng)部門之間的可控互通訪問;通過構(gòu)建全局共享VPN實現(xiàn)整個網(wǎng)絡(luò)電子信息資源庫、視頻會議系統(tǒng)的互連互通;在MPLS VPN基礎(chǔ)上,通過部署IP VPN提供更進(jìn)一步的安全保證;在網(wǎng)絡(luò)未來擴(kuò)展中,采用VPE技術(shù)實現(xiàn)VPDN與MPLS VPN的結(jié)合;
2.2.2 專網(wǎng)規(guī)劃
主校區(qū)可以通過虛擬園區(qū)網(wǎng)實現(xiàn)校內(nèi)各業(yè)務(wù)系統(tǒng)的專網(wǎng)實現(xiàn),要解決接入控制、通道隔離、統(tǒng)一應(yīng)用三個問題,實現(xiàn)對接入用戶身份的識別和動態(tài)訪問權(quán)限的下發(fā),從而使用一套物理網(wǎng)絡(luò)為多個部門的用戶提供不同的安全訪問級別服務(wù),并且滿足網(wǎng)絡(luò)的安全性和靈活辦公的需要。
各分校區(qū)從原有基于專線的網(wǎng)絡(luò)上遷移到校園網(wǎng)絡(luò)上,需要改變原有網(wǎng)絡(luò)的接入方式,設(shè)備也要做適當(dāng)調(diào)整,需要配置支持MPLS VPN的接入路由器。
3 結(jié)論
MPLS VPN技術(shù)是目前大型復(fù)雜網(wǎng)絡(luò)建設(shè)中解決信息受控訪問和安全隔離的有效途徑,它使企業(yè)得以在一個公共的通信平臺上,構(gòu)建內(nèi)部的VPN專網(wǎng),能夠在一個無連接的網(wǎng)絡(luò)中引入連接模式的特性,有效減少了網(wǎng)絡(luò)復(fù)雜性。MPLS VPN技術(shù)在校園網(wǎng)的建設(shè)中雖然還沒有得到普及化的應(yīng)用,但相信隨著時代的發(fā)展,MPLS VPN必將為實現(xiàn)全面“數(shù)字化校園”作出巨大貢獻(xiàn)。
參考文獻(xiàn):
[1] 郭宏宇.MPLS VPN技術(shù)原理與實際應(yīng)用[D].吉林:吉林大學(xué),2008.
[2] 魏岳,王文靜,趙蔚.基于VPN的校園網(wǎng)組網(wǎng)模式分析[J].福建電腦,2009(2):85-86.
[3] 吳榮生,郭聯(lián)志.MPLS VPN的探究與應(yīng)用[J].重慶科技學(xué)院學(xué)報:自然科學(xué)版,2009,11(2):130-133.
本文鏈接:http://edgebase.com.cn/v-141-3384.htmlvpn技術(shù)范文8篇
相關(guān)文章:
教師節(jié)的感言09-14
家長工作總結(jié)07-20
一封孩子道歉信09-27
安全文明施工協(xié)議書07-20
初中優(yōu)秀班主任演講稿11-09
家庭教育培訓(xùn)心得怎么寫10-19
編輯實習(xí)心得范文09-18
我為什么當(dāng)老師心得體會09-15
漫畫母親作文09-29
認(rèn)識自己作文09-28
青蛙和小魚童話作文09-21
新鮮的事三年級作文09-06