vpn技術(shù)論文篇1
關(guān)鍵詞:分校區(qū);VPN;專用網(wǎng)絡(luò)
中圖分類號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 08-0000-02
一、引言
隨著信息化技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)尤其是大學(xué)校園網(wǎng)絡(luò)的應(yīng)用已經(jīng)滲透在我們生活的每個(gè)角落里。校園網(wǎng)的服務(wù)質(zhì)量尤其安全狀況方面的好壞將直接影響學(xué)校正常的教學(xué)活動(dòng)。但是近年來(lái)大學(xué)高校不斷擴(kuò)招,高校合并、分校區(qū)設(shè)立、新校區(qū)建設(shè)等情況在高校中比比皆是。現(xiàn)有的公共互聯(lián)網(wǎng)不但帶寬無(wú)法保障,學(xué)校信息資源的安全也受到了極大的威脅,因此如何保障各個(gè)校區(qū)安全、高效的共享校園資源,已成為校園網(wǎng)絡(luò)亟待解決的問(wèn)題。VPN技術(shù)的出現(xiàn),大大改善了校園網(wǎng)這一尷尬的局面,VPN技術(shù)是通過(guò)改造現(xiàn)有互聯(lián)網(wǎng),實(shí)現(xiàn)了不同校區(qū)既安全又高效的共享信息資源[1]。
二、VPN技術(shù)
VPN(Virtual Private Network)即虛擬專用網(wǎng),是在公共互聯(lián)網(wǎng)中為客戶搭建專有網(wǎng)絡(luò)的一種技術(shù)[2]。相對(duì)于物理存在的專有網(wǎng)絡(luò)而言,它是在公共Internet中,通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密傳輸,實(shí)現(xiàn)了邏輯上存在的一個(gè)私有網(wǎng)絡(luò)。
(一)VPN接入技術(shù)的分類
目前VPN安全接入組網(wǎng)技術(shù)主要分為以下三種,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。這三種接入方式所處的網(wǎng)絡(luò)協(xié)議層次不同,所注重的側(cè)重點(diǎn)不同。在實(shí)際運(yùn)用中,需要根據(jù)自己的應(yīng)用環(huán)境來(lái)選擇不同的接入技術(shù),以此達(dá)到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN屬于二層VPN技術(shù)。用戶一般不需要自己安裝該客戶端軟件,因?yàn)槟壳癓2TR/PPTP VPN客戶端軟件一般都已經(jīng)建成在主流的windows操作系統(tǒng)中了,大大方便了用戶的使用。但是該軟件的加密和認(rèn)證手段都相對(duì)簡(jiǎn)單,面對(duì)安全性要求較高的應(yīng)用環(huán)境,其安全系數(shù)低的缺陷就凸顯了出來(lái),因此它僅適用于安全性要求一般的應(yīng)用環(huán)境。
2.IPSec VPN
IPSec VPN屬于三次VPN技術(shù),對(duì)于應(yīng)用層來(lái)說(shuō)是透明的。當(dāng)接收到數(shù)據(jù)包后,IPSec VPN通過(guò)查詢SPD即安全策略數(shù)據(jù)庫(kù)來(lái)決定對(duì)數(shù)據(jù)包的處理。根據(jù)查詢結(jié)果,不僅可以對(duì)數(shù)據(jù)包丟棄或者轉(zhuǎn)發(fā),還可以對(duì)數(shù)據(jù)包進(jìn)行IPSec處理,數(shù)據(jù)包的IPSec處理大大增加了網(wǎng)絡(luò)數(shù)據(jù)的安全性。同時(shí)其安全性的提升,是以增加網(wǎng)絡(luò)協(xié)議復(fù)雜度為代價(jià),用戶的計(jì)算機(jī)上需要安裝單獨(dú)的IPSec VPN軟件,這將對(duì)客戶端造成一定的不便。
3.SSL VPN
SSL VPN屬于協(xié)議的最上層即應(yīng)用層VPN技術(shù),SSL VPN技術(shù)的安全性主要是通過(guò)SSL協(xié)議來(lái)保證的。現(xiàn)有的瀏覽器都已經(jīng)支持SSL協(xié)議,用戶只需要安裝瀏覽器就可以實(shí)現(xiàn)SSL VPN的應(yīng)用,其部署簡(jiǎn)單、高效。但是在日常生活中,瀏覽器并不能支持所有的應(yīng)用,因此在非WEB應(yīng)用情況下,用戶同樣需要安裝專門(mén)的客戶端軟件。
(二)VPN的關(guān)鍵技術(shù)
VPN是近年來(lái)在網(wǎng)絡(luò)安全方面發(fā)展較快的一項(xiàng)高效應(yīng)用技術(shù),它擁有橫跨加密技術(shù)、數(shù)學(xué)理論、互聯(lián)網(wǎng)技術(shù)等多學(xué)科領(lǐng)域的特點(diǎn),其中最核心的關(guān)鍵技術(shù)包括:隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)[4]。
1.隧道技術(shù)
隧道技術(shù)是VPN功能實(shí)現(xiàn)中最基本的技術(shù)。它是將待傳輸?shù)臄?shù)據(jù)信息加密、封裝后嵌入在公共互聯(lián)網(wǎng)協(xié)議中,以實(shí)現(xiàn)信息數(shù)據(jù)的有效傳輸?shù)囊环N技術(shù)。隧道技術(shù)可以將加密、封裝后的信息嵌入在開(kāi)放性的通行系統(tǒng)互連參考模型的任何一層協(xié)議中,例如:應(yīng)用層VPN協(xié)議即SSL VPN、網(wǎng)絡(luò)層VPN協(xié)議即IPSec VPN、數(shù)據(jù)鏈路層VPN協(xié)議即L2TR/PPTP VPN。
2.加密技術(shù)
VPN是在公共互聯(lián)網(wǎng)上建立私有網(wǎng)絡(luò),在公共網(wǎng)絡(luò)中不法分子可以通過(guò)一定技術(shù)得到這些信息,為了防止信息數(shù)據(jù)被不法分子獲取或者篡改,對(duì)原始信息進(jìn)行加密處理顯得尤為重要。信息加密技術(shù)隨著互聯(lián)網(wǎng)的發(fā)展已經(jīng)非常的成熟,可以借鑒現(xiàn)有成熟的加密技術(shù)即可。在VPN解決方案中比較普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.認(rèn)證技術(shù)
VPN作為一個(gè)單位內(nèi)的私有專用網(wǎng)絡(luò),在信息傳輸過(guò)程中,不僅要對(duì)信息的安全性、完整性認(rèn)證,更需要對(duì)網(wǎng)絡(luò)上的用戶和設(shè)備進(jìn)行認(rèn)證。目前對(duì)使用者的身份認(rèn)證方法非常多,僅僅使用用戶ID、密碼的驗(yàn)證方式還遠(yuǎn)遠(yuǎn)不能提供足夠的安全保障,還可以綜合利用數(shù)字認(rèn)證、數(shù)字簽名、動(dòng)態(tài)口令等方法進(jìn)行安全認(rèn)證。
(三)VPN的優(yōu)點(diǎn)
VPN作為一種虛擬專用網(wǎng)絡(luò),與傳統(tǒng)的物理專用網(wǎng)絡(luò)相比,有以下幾方面的優(yōu)點(diǎn):
1.成本低
傳統(tǒng)的物理專用網(wǎng)絡(luò)需要點(diǎn)對(duì)點(diǎn)的部署專用物理線路,如需要鋪設(shè)光纖、中轉(zhuǎn)器等網(wǎng)絡(luò)設(shè)備,但是VPN技術(shù)是在現(xiàn)實(shí)互聯(lián)網(wǎng)的基礎(chǔ)上,通過(guò)建立安全隧道,完成信息專線傳輸?shù)摹T谛畔鬏斶^(guò)程中,不需要特殊的點(diǎn)對(duì)點(diǎn)物理網(wǎng)絡(luò),僅公共網(wǎng)絡(luò)即可實(shí)現(xiàn),大大減少了運(yùn)行成本;
2.可擴(kuò)展性強(qiáng)
如果學(xué)校有了新的分校或需要與其他高校實(shí)現(xiàn)信息資源共享時(shí),在校園網(wǎng)中必然需要增加新的網(wǎng)絡(luò)節(jié)點(diǎn),相對(duì)于傳統(tǒng)專用網(wǎng)絡(luò),VPN只需要簡(jiǎn)單的設(shè)置、部署即可完成擴(kuò)展工作,其擴(kuò)展性是傳統(tǒng)專用網(wǎng)絡(luò)所不具備的。
3.安全性強(qiáng)
VPN在發(fā)送端利用隧道技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行加密、封裝;在傳輸過(guò)程中對(duì)數(shù)據(jù)采用加解密技術(shù)處理;在接收端對(duì)用戶身份進(jìn)行認(rèn)證處理。信息數(shù)據(jù)在通過(guò)以上幾個(gè)環(huán)節(jié)的處理,不僅實(shí)現(xiàn)了信息的專用傳輸,而且加強(qiáng)了信息數(shù)據(jù)傳輸?shù)陌踩浴?span style="display:none">9Ap萬(wàn)博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
三、VPN在分布式校園網(wǎng)絡(luò)中應(yīng)用
近年來(lái),大學(xué)高校在不斷擴(kuò)招、快速發(fā)展的背景下,已經(jīng)形成了一所高校、多個(gè)分校區(qū)、地域分散的特點(diǎn)。在多個(gè)校區(qū)里,無(wú)論是信息資源共享還是管理方面都必須滿足統(tǒng)一性、高效性的要求。為了實(shí)現(xiàn)這一要求,必然導(dǎo)致跨地域分布校園網(wǎng)絡(luò)的信息交換呈現(xiàn)以下幾個(gè)特點(diǎn):
(1)信息交換量大,不同地域的校園網(wǎng)需要實(shí)現(xiàn)共享信息資源、統(tǒng)一管理平臺(tái)等要求,相對(duì)于互聯(lián)網(wǎng)而言,校園網(wǎng)內(nèi)信息的交換量十分龐大;
(2)信息交換頻率高,例如在校園內(nèi)需要對(duì)校園某一活動(dòng)進(jìn)行投票,則在該時(shí)段內(nèi),信息交換的頻率必然非常高;
(3)信息安全性強(qiáng),在校園內(nèi)經(jīng)常會(huì)傳輸一些性較強(qiáng)的信息,例如校園財(cái)務(wù)管理、圖書(shū)館數(shù)據(jù)庫(kù)信息、校園學(xué)生基本信息等方面,都需要保證其安全性;
可見(jiàn),校園網(wǎng)必須滿足網(wǎng)絡(luò)架構(gòu)分布式、信息傳輸高效性以及數(shù)據(jù)的安全性;然而一方面學(xué)校經(jīng)費(fèi)有限,另一方面各個(gè)校區(qū)地域分布較遠(yuǎn),甚至很多分校都不在同一個(gè)城市,如果按照傳統(tǒng)的方法來(lái)搭建專用網(wǎng)絡(luò),學(xué)校需要鋪設(shè)專用的光纖線路和其他設(shè)備,顯然在運(yùn)行成本和效率方面都不理想。本文通過(guò)分析VPN技術(shù)的特點(diǎn)及其優(yōu)點(diǎn),并結(jié)合現(xiàn)高校校園網(wǎng)絡(luò)實(shí)際存在的問(wèn)題,筆者認(rèn)為,VPN技術(shù)不僅可以高效的解決以上問(wèn)題,同時(shí)還可以提供以下幾方面的應(yīng)用:
(一)校區(qū)互聯(lián)
針對(duì)高校存在的一所高校、多個(gè)分校區(qū)、地域分散的特點(diǎn),可以將每所分校的子網(wǎng)絡(luò)通過(guò)VPN技術(shù)專線連接在一起,實(shí)現(xiàn)各個(gè)校區(qū)資源共享、管理統(tǒng)一,不僅大大提高了工作、學(xué)習(xí)、管理效率,而且不需要鋪設(shè)專門(mén)的網(wǎng)絡(luò)線路,大大減少了運(yùn)行管理成本。
(二)移動(dòng)辦公
在高校學(xué)術(shù)交流越來(lái)越頻繁的背景下,學(xué)生、老師外出交流、學(xué)習(xí)的機(jī)會(huì)將越來(lái)越多,VPN技術(shù)可以保證外出校內(nèi)人員,可以在其他地域共享校內(nèi)豐富的信息資源。從而實(shí)現(xiàn)傳統(tǒng)物理專用網(wǎng)絡(luò)所不能提供的功能,提高他們的工作、學(xué)習(xí)效率。
(三)校際交流
在高校經(jīng)費(fèi)有限的背景下,要獲取更多的信息資源,多個(gè)高校實(shí)現(xiàn)信息資源共享,無(wú)疑是最經(jīng)濟(jì)、最有效的辦法。但是對(duì)處于不同城市的高校來(lái)說(shuō),鋪設(shè)專用的網(wǎng)絡(luò)線路對(duì)高校來(lái)說(shuō),顯然是不可能的。然而VPN技術(shù)僅需要簡(jiǎn)單的部署即可完成上述效果,既經(jīng)濟(jì)又高效。
四、結(jié)論
針對(duì)高校多分校區(qū)、地域分散的特點(diǎn),筆者通過(guò)VPN接入技術(shù)的分類、關(guān)鍵技術(shù)及其優(yōu)點(diǎn)等方面詳細(xì)論述了VPN技術(shù),并總結(jié)了分布式校園網(wǎng)絡(luò)中,信息交換所呈現(xiàn)的一些特點(diǎn),最后提出利用VPN技術(shù),實(shí)現(xiàn)安全、高效的數(shù)據(jù)傳輸,并將其運(yùn)用在高校內(nèi)部網(wǎng)絡(luò)的各種方面。
參考文獻(xiàn):
[1]郭小輝.高校多校區(qū)教學(xué)資源的整合與利用初探[J].重慶科技學(xué)院學(xué)報(bào);社會(huì)科學(xué)版,2009,5:197-198
[2]王子悅.多校區(qū)大學(xué)教育管理體系研究[D].天津師范大學(xué)學(xué)報(bào),2009
[3]陳震.VPN技術(shù)及其應(yīng)用的研究[J].電腦知識(shí)與技術(shù),2009,4:798-799
vpn技術(shù)論文篇2
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);VPN技術(shù);運(yùn)用;實(shí)踐
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)27-0012-02
隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,使得計(jì)算機(jī)網(wǎng)絡(luò)逐漸進(jìn)入人們的實(shí)際工作中,并有效提高工作效率與工作質(zhì)量,強(qiáng)化了計(jì)算機(jī)技術(shù)水平和技術(shù)含量。就現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)來(lái)看,各項(xiàng)計(jì)算機(jī)技術(shù)的運(yùn)用都存在極強(qiáng)的針對(duì)性,在各自的領(lǐng)域中發(fā)揮著巨大的作用,促進(jìn)了行業(yè)發(fā)展的現(xiàn)代化和技術(shù)化。 VPN技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展后的成果,主要依托于ISP技術(shù)與NSP技術(shù),通過(guò)虛擬專用網(wǎng)絡(luò)建立通信專門(mén)線路,實(shí)現(xiàn)信息數(shù)據(jù)的及時(shí)交換和共享。因此,VPN技術(shù)可以有效提高數(shù)據(jù)信息的準(zhǔn)確性和安全性,保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的高效運(yùn)行。
1 VPN技術(shù)綜合概述分析
1.1 VPN技術(shù)運(yùn)行原理
就目前而言,VPN技術(shù)在實(shí)際運(yùn)行中,主要利用雙網(wǎng)卡結(jié)構(gòu),外網(wǎng)卡通過(guò)公網(wǎng)IP連接Internet。若公網(wǎng)終端A訪問(wèn)公司內(nèi)網(wǎng)終端B,其訪問(wèn)數(shù)據(jù)地址為公司內(nèi)網(wǎng)終端B的IP地址。公網(wǎng)VPN網(wǎng)關(guān)接收終端A訪問(wèn)數(shù)據(jù)包后,會(huì)對(duì)終端A的目標(biāo)地址進(jìn)行程序檢查,若目標(biāo)地址為公司內(nèi)網(wǎng)地址,公網(wǎng)VPN網(wǎng)關(guān)會(huì)對(duì)該數(shù)據(jù)包采取封裝處理,封裝的方式由VPN技術(shù)而決定。同時(shí),VPN網(wǎng)關(guān)也會(huì)建立新VPN網(wǎng)關(guān)數(shù)據(jù)包,封裝后的數(shù)據(jù)包直接轉(zhuǎn)化成新VPN數(shù)據(jù)包的載荷,VPN數(shù)據(jù)包的目標(biāo)地址就是公司內(nèi)網(wǎng)VPN網(wǎng)關(guān)外部地址。因此,在VPN網(wǎng)關(guān)進(jìn)行數(shù)據(jù)處理的過(guò)程中,原始數(shù)據(jù)包目標(biāo)地址與遠(yuǎn)程VPN網(wǎng)關(guān)地址起著至關(guān)重要的作用,在VPN地址的基礎(chǔ)上,VPN網(wǎng)關(guān)可以明確需要進(jìn)行VPN處理的信息數(shù)據(jù),識(shí)別不需要VPN處理的數(shù)據(jù)包,并將其直接上傳到上級(jí)路由中。遠(yuǎn)程VPN網(wǎng)關(guān)地址主要是對(duì)特定VPN數(shù)據(jù)包地址進(jìn)行統(tǒng)一處理,也就是VPN隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的,在進(jìn)行VPN通訊時(shí),隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標(biāo)地址和與此對(duì)應(yīng)的遠(yuǎn)端VPN網(wǎng)關(guān)地址。
1.2 VPN技術(shù)通信過(guò)程分析
在VPN技術(shù)的實(shí)際使用中,首先,網(wǎng)絡(luò)用戶要利用個(gè)人終端向區(qū)域內(nèi)的 VPN 技術(shù)服務(wù)器進(jìn)行訪問(wèn)請(qǐng)求的發(fā)送,建立傳輸通道。VPN 服務(wù)器會(huì)及時(shí)接受個(gè)人終端發(fā)來(lái)的訪問(wèn)請(qǐng)求,并對(duì)個(gè)人終端的身份進(jìn)行有效驗(yàn)證。其次,若個(gè)人終端身份通過(guò)訪問(wèn)認(rèn)證,訪問(wèn)權(quán)限被允許,可以進(jìn)行網(wǎng)頁(yè)的訪問(wèn);若個(gè)人終端身份沒(méi)有通過(guò)訪問(wèn)認(rèn)證,則訪問(wèn)受限制,要進(jìn)行重新訪問(wèn)。在訪問(wèn)允許后,計(jì)算機(jī)網(wǎng)會(huì)形成VPN虛擬化技術(shù),使得網(wǎng)絡(luò)線路更具安全性和針對(duì)性。最后,用戶終端和網(wǎng)絡(luò)服務(wù)器建立有效的訪問(wèn)聯(lián)系后,所有的傳輸數(shù)據(jù)在實(shí)際使用和運(yùn)行過(guò)程中會(huì)進(jìn)行加密與封裝處理,通過(guò) VPN 網(wǎng)關(guān)技術(shù)隧道,將數(shù)據(jù)從發(fā)送端傳輸?shù)絍PN接收端。
1.3 VPN技術(shù)的優(yōu)勢(shì)
VPN技術(shù)在實(shí)際應(yīng)用中具有很大的優(yōu)勢(shì),主要表現(xiàn)在以下幾方面,第一,VPN技術(shù)易操作,使用流程相對(duì)簡(jiǎn)單,并具有很高的經(jīng)濟(jì)性,運(yùn)行成本相比于傳統(tǒng)租用DDN方式來(lái)說(shuō)較低,后期維護(hù)費(fèi)用也相對(duì)較低,這也是VPN技術(shù)被廣泛使用的重要原因之一。第二,VPN技術(shù)具有極強(qiáng)的高效性與便利性,在實(shí)際使用的過(guò)程中,通過(guò)專用網(wǎng)絡(luò)的連接,根據(jù)復(fù)雜性的網(wǎng)絡(luò)結(jié)構(gòu)與傳輸訪問(wèn)地址,構(gòu)建多樣性與豐富性的通信線路,進(jìn)而實(shí)現(xiàn)信息數(shù)據(jù)的快速傳輸。第三,VPN技術(shù)可以有效保證傳輸數(shù)據(jù)信息的真實(shí)性與可靠性,并在實(shí)際傳輸中通過(guò)高強(qiáng)度的認(rèn)證系統(tǒng)和加密系統(tǒng),保證了數(shù)據(jù)信息的安全性,防止出現(xiàn)信息數(shù)據(jù)泄漏等安全問(wèn)題,為網(wǎng)絡(luò)用戶的隱私提供了重要的安全保障。
2 計(jì)算機(jī)網(wǎng)絡(luò)中VPN技術(shù)分析
2.1 MPLS VPN技術(shù)
MPLS VPN主要是建立在MPLS技術(shù)基礎(chǔ)之上的IP VPN,主要是在網(wǎng)絡(luò)路由或者是交換器設(shè)備上通過(guò)MPLS多協(xié)議標(biāo)記交換技術(shù)來(lái)優(yōu)化核心路由器的選擇方式,充分結(jié)合傳統(tǒng)路由交換技術(shù)實(shí)現(xiàn)IP專用網(wǎng)絡(luò)的虛擬化。MPLS VPN技術(shù)的最大特點(diǎn)在于在實(shí)際應(yīng)用過(guò)程中,可以將網(wǎng)關(guān)二層交換與三層路由技術(shù)充分的結(jié)合在一起,進(jìn)而共同作用實(shí)現(xiàn)VPN和服務(wù)分類以及流量工程等方面的管理。從另一方面上看,MPLS VPN 技術(shù)可以在數(shù)據(jù)訪問(wèn)與傳輸中,迅速建立 IP 虛擬專用網(wǎng)絡(luò),加快網(wǎng)頁(yè)訪問(wèn)以及數(shù)據(jù)傳輸?shù)乃俣扰c效率,簡(jiǎn)化路由器的選擇方式,避免虛擬專用網(wǎng)絡(luò)運(yùn)行中的沖突,用戶提供更好的網(wǎng)絡(luò)服務(wù)。
2.2 IPSEC VPN 技術(shù)
IPSEC VPN 技術(shù)主要是建立在IPSEC協(xié)議基礎(chǔ)上的VPN技術(shù),IPSEC協(xié)議是一種由IETF設(shè)計(jì)、確保基于IP通訊數(shù)據(jù)安全性的機(jī)制,可以為VPN通信傳輸提供隧道安全保證。在IPSEC VPN 技術(shù)的實(shí)際應(yīng)用中,通過(guò)VPN網(wǎng)關(guān)的遠(yuǎn)程連接,將多個(gè)局域網(wǎng)進(jìn)行有效的組建與分析,進(jìn)而構(gòu)建一個(gè)新的虛擬局域網(wǎng)絡(luò)。同時(shí),通過(guò)IPSEC VPN 技術(shù)構(gòu)建的虛擬局域網(wǎng)具有極強(qiáng)的穩(wěn)定性和有效性。IPSEC VPN技術(shù)的實(shí)現(xiàn)原理與計(jì)算機(jī)過(guò)濾防火墻相似,在實(shí)際操作中,網(wǎng)絡(luò)服務(wù)器接收數(shù)據(jù)包后,會(huì)按照安全策略在數(shù)據(jù)庫(kù)中進(jìn)行數(shù)據(jù)包的查詢處理,將查詢處理結(jié)果列為操作依據(jù)。在局域網(wǎng)特定范圍內(nèi),IPSEC VPN 技術(shù)的數(shù)據(jù)傳輸和處理能力,具有加密機(jī)制,進(jìn)而強(qiáng)化認(rèn)證手段。針對(duì)外部站點(diǎn),在進(jìn)行虛擬局域網(wǎng)訪問(wèn)中,會(huì)進(jìn)行信息過(guò)濾,全方位確認(rèn)數(shù)據(jù)的質(zhì)量。因此,PSEC VPN技術(shù)的廣泛使用,無(wú)論是在經(jīng)濟(jì)效益還是在社會(huì)效益方面,都具有很大優(yōu)勢(shì),獲得廣大用戶的高度重視。
2.3 SSL VPN技術(shù)
SSL VPN技術(shù)主要依托于HTTPS,應(yīng)用在傳輸層與應(yīng)用層間的數(shù)據(jù)傳輸、交換以及共享。SSL VPN通過(guò)SSL協(xié)議設(shè)置生局域網(wǎng)訪問(wèn)權(quán)限,建立身份認(rèn)證和數(shù)據(jù)加密以及消息完整性驗(yàn)證等安全訪問(wèn)機(jī)制,在應(yīng)用層于傳輸層間建立一條安全的通信渠道。在實(shí)際應(yīng)用過(guò)程中,SSL VPN技術(shù)存在Web 瀏覽器、SSL VPN 客戶端和 LAN 到 LAN 等工作模式,在Web 瀏覽器工作模式中,用戶可以通過(guò)SSL 協(xié)議構(gòu)建虛擬專用網(wǎng)絡(luò),對(duì)公司內(nèi)部網(wǎng)關(guān)進(jìn)行遠(yuǎn)程訪問(wèn),可以完全忽略網(wǎng)絡(luò)配置對(duì)遠(yuǎn)程訪問(wèn)的影響,進(jìn)而有效減少VPN 系統(tǒng)運(yùn)行時(shí)間和工作量,提高VPN管理效率。在SSL VPN 客戶端工作模式中,可以利用 SSL 協(xié)議客戶端實(shí)現(xiàn)遠(yuǎn)程應(yīng)用服務(wù)器的訪問(wèn),在此過(guò)程中客戶端和服務(wù)器中的加密數(shù)據(jù)主要靠隧道數(shù)據(jù)進(jìn)行傳輸,進(jìn)而提高數(shù)據(jù)傳輸?shù)姆€(wěn)定性與安全性。LAN 到 LAN 工作模式主要適用于不同局域網(wǎng)絡(luò)的數(shù)據(jù)傳輸,實(shí)現(xiàn)各個(gè)局域網(wǎng)之間的通信傳輸,并設(shè)置加密處理,提高數(shù)據(jù)包的可靠性。目前,SSL VPN廣泛應(yīng)用在基于Web遠(yuǎn)程接入領(lǐng)域中,為用戶遠(yuǎn)程訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)提供了安全保證。
3 計(jì)算機(jī)網(wǎng)絡(luò)中VPN技術(shù)的實(shí)際應(yīng)用
3.1 在公司內(nèi)部網(wǎng)絡(luò)中的應(yīng)用
VPN技術(shù)在公司內(nèi)部網(wǎng)絡(luò)中的應(yīng)用主要體現(xiàn)在地址管理中,為用戶提供安全性高的網(wǎng)絡(luò)地址。例如,某集團(tuán)有大約30個(gè)分公司,分布在全國(guó)各地,為了便于各個(gè)分公司與總公司交流溝通,保證工作效率和工作質(zhì)量,集團(tuán)企業(yè)可以通過(guò)VPN技術(shù)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)溝通。首先,集團(tuán)企業(yè)要和旗下分公司建立VPN網(wǎng)絡(luò)聯(lián)系,利用加密處理的VPN共網(wǎng)實(shí)現(xiàn)集團(tuán)企業(yè)服務(wù)器與子公司服務(wù)器的訪問(wèn)。在服務(wù)器系統(tǒng)中設(shè)置視頻會(huì)議、郵件以及辦公自動(dòng)化系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)聯(lián)系的多元化,滿足實(shí)際的工作需求。
在VPN技術(shù)實(shí)際運(yùn)行的過(guò)程中,集團(tuán)企業(yè)可以根據(jù)子公司網(wǎng)絡(luò)用戶的屬性以及運(yùn)營(yíng)規(guī)模將其分為以下幾個(gè)方面。第一,移動(dòng)用戶。規(guī)模較小分公司或者是利用網(wǎng)絡(luò)連接集團(tuán)企業(yè)單機(jī),在進(jìn)行VPN技術(shù)使用中要設(shè)置Client軟件,將用戶所在局域網(wǎng)絡(luò)與VPN虛擬技術(shù)聯(lián)系在一起,依托SplitTunneling安全機(jī)制有效保障核心網(wǎng)關(guān)的使用安全。另一方面看,這種傳輸方式可以讓遠(yuǎn)程辦公室網(wǎng)關(guān)將VPN作為傳輸載體進(jìn)行集團(tuán)企業(yè)內(nèi)網(wǎng)的訪問(wèn)。第二,子公司用戶所在局域網(wǎng)不具備地址轉(zhuǎn)換器以及防火墻功能,并占用集團(tuán)企業(yè)共網(wǎng)地址。對(duì)于這樣的子公司,集團(tuán)企業(yè)要在子公司的以太網(wǎng)中設(shè)置網(wǎng)關(guān)交換器與路由器進(jìn)行與子公司網(wǎng)絡(luò)的連接。第三,對(duì)于需要安裝防火墻的子公司,一方面,集團(tuán)企業(yè)可以利用VPN技術(shù)進(jìn)一步完善企業(yè)網(wǎng)絡(luò)設(shè)計(jì),減少不必要的安裝程序,建立VPN網(wǎng)絡(luò)通信系統(tǒng),使子公司的公司活動(dòng)與銷售情況始終處于集團(tuán)企業(yè)網(wǎng)絡(luò)監(jiān)控中,降低通信成本。另一方面,為了保證網(wǎng)絡(luò)通信的安全性,集團(tuán)企業(yè)可以通過(guò)VPN技術(shù)提高網(wǎng)絡(luò)通信的安全性,在企業(yè)內(nèi)部網(wǎng)關(guān)中設(shè)置VPN機(jī)密機(jī)制,保證內(nèi)外網(wǎng)的安全性。同時(shí),還要進(jìn)行VPN軟件的擴(kuò)展,為子公司的增加做好充分的準(zhǔn)備。
綜上所述,集團(tuán)企業(yè)通過(guò)VPN技術(shù)與子公司進(jìn)行溝通的過(guò)程中,形成VPN通信網(wǎng)絡(luò)通道,不僅節(jié)省了大量的通信費(fèi)用,其建設(shè)投資與后期維護(hù)費(fèi)用也相對(duì)較低。在遠(yuǎn)程訪問(wèn)中要做好安全防護(hù)措施,安裝安全認(rèn)證機(jī)制,強(qiáng)化生產(chǎn)管理監(jiān)督、視頻會(huì)議以及異地協(xié)同辦公等具體功能,促進(jìn)集團(tuán)企業(yè)管理的現(xiàn)代化和信息化以及系統(tǒng)化,滿足集團(tuán)企業(yè)的發(fā)展需求。
3.2 在圖書(shū)館管理中的應(yīng)用
目前,VPN技術(shù)已經(jīng)廣泛地應(yīng)用在高校圖書(shū)館計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)中,有效提高高校圖書(shū)館管理效率和管理質(zhì)量,實(shí)現(xiàn)現(xiàn)代化管理模式。隨著學(xué)校規(guī)模的擴(kuò)大,增加了分校的數(shù)量,學(xué)校可以引入VPN技術(shù)實(shí)現(xiàn)各個(gè)學(xué)校之間的聯(lián)系與溝通,各個(gè)學(xué)校圖書(shū)館局域網(wǎng)可以互相訪問(wèn),節(jié)省了大量的訪問(wèn)時(shí)間,實(shí)現(xiàn)各個(gè)分校圖書(shū)館資源的共享,進(jìn)而提高了高校圖書(shū)館管理效率。在實(shí)際的使用過(guò)程中,圖書(shū)館VPN服務(wù)器不僅要連接互聯(lián)網(wǎng),還要連接到高校內(nèi)部VPN專網(wǎng),通過(guò)公共目標(biāo)地址,在分校與總校進(jìn)行網(wǎng)絡(luò)通信過(guò)程中,要將相關(guān)數(shù)據(jù)信息上傳到本地計(jì)算機(jī)中,并通過(guò)身份認(rèn)證和數(shù)據(jù)加密以及隧道協(xié)議等VPN技術(shù)安全機(jī)制提高信息傳輸?shù)挠行院桶踩浴T谟?jì)算機(jī)發(fā)出指令后,VPN服務(wù)器要對(duì)計(jì)算機(jī)指令進(jìn)行分析與判斷,過(guò)濾信息數(shù)據(jù),驗(yàn)證用戶身份,若安全,訪問(wèn)用戶才會(huì)有局域網(wǎng)訪問(wèn)權(quán)限,服務(wù)器認(rèn)可網(wǎng)絡(luò)連接,反之則阻止用戶訪問(wèn)。在實(shí)際身份驗(yàn)證中,VPN服務(wù)器會(huì)通過(guò)公鑰進(jìn)行訪問(wèn)信息的加密,路由將數(shù)據(jù)信息傳送到目標(biāo)地址。
3.3 VPN 技術(shù)在計(jì)算機(jī)教學(xué)資源網(wǎng)中的應(yīng)用
VPN技術(shù)應(yīng)用在計(jì)算機(jī)教學(xué)資源網(wǎng)中,可以豐富教學(xué)資源,利用校園內(nèi)外網(wǎng)關(guān)的連接訪問(wèn),使得教育信息網(wǎng)絡(luò)連接公網(wǎng)internet ,在此過(guò)程中,校園外網(wǎng)很容易受到其他網(wǎng)絡(luò)攻擊,傳統(tǒng)網(wǎng)絡(luò)無(wú)法進(jìn)行教育資源的加密,在用戶身份安全和教學(xué)資源安全方面都存在較大的漏洞,不利于計(jì)算機(jī)教學(xué)資源網(wǎng)的應(yīng)用與發(fā)展。針對(duì)以上安全問(wèn)題,VPN技術(shù)的實(shí)際應(yīng)用很好地解決了信息傳輸以及用戶身份的安全問(wèn)題,有效提高網(wǎng)絡(luò)使用的安全性和有效性。在VPN技術(shù)中,SSL是一個(gè)相對(duì)于平臺(tái)與應(yīng)用的獨(dú)立協(xié)議,主要應(yīng)用在安全層中,利用 TCP技術(shù)保障訪問(wèn)用戶的個(gè)人信息。因此,在構(gòu)建校園計(jì)算機(jī)教學(xué)資源網(wǎng)中,要重視VPN網(wǎng)絡(luò)工程設(shè)計(jì),特別是用戶身份認(rèn)證以及訪問(wèn)權(quán)限,利用SSL VPN 技術(shù)構(gòu)建VPN公網(wǎng),加強(qiáng)數(shù)字證書(shū)技術(shù)的用戶身份認(rèn)證控制,通過(guò)USB-key 實(shí)現(xiàn)教學(xué)資源的安全操作,進(jìn)而對(duì)校園計(jì)算機(jī)教學(xué)資源網(wǎng)進(jìn)行不斷的優(yōu)化和完善,滿足學(xué)校的教學(xué)需求。
4 結(jié)束語(yǔ)
綜上所述,VPN技術(shù)日益發(fā)展成熟,在進(jìn)行數(shù)據(jù)傳輸和共享中可以有效提高網(wǎng)絡(luò)環(huán)境的穩(wěn)定性和安全性,為數(shù)據(jù)信息的真實(shí)與完整提供了重要的安全保障,實(shí)現(xiàn)現(xiàn)代化與信息化管理水平。
參考文獻(xiàn):
[1] 李春泉, 周德儉, 吳兆華. VPN技術(shù)及其在企業(yè)網(wǎng)絡(luò)安全技術(shù)中的應(yīng)用[J]. 桂林工學(xué)院學(xué)報(bào), 2004(3).
[2] 李亞利. 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)中常用VPN技術(shù)的分析[J]. 信息與電腦(理論版), 2014(10).
[3] 許偉, 婁松濤. VPN 技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用研究[J]. 電子技術(shù)與軟件工程, 2014(4).
[4] 劉晉州. 基于VPN的計(jì)算機(jī)虛擬網(wǎng)絡(luò)技術(shù)及應(yīng)用[J]. 電腦知識(shí)與技術(shù), 2016(7).
[5] 趙凌琪. VPN技術(shù)及其在網(wǎng)絡(luò)管理系統(tǒng)開(kāi)發(fā)中的應(yīng)用[J]. 內(nèi)蒙古師范大學(xué)學(xué)報(bào)(自然科學(xué)漢文版), 2003(4).
[6] 王文波, 王亞萍, 劉U. VPN 技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用研究[J]. 中國(guó)醫(yī)療設(shè)備, 2014(4).
vpn技術(shù)論文篇3
[關(guān)鍵詞]VPN 隧道 internet
[中圖分類號(hào)]F626.5 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1009-5349(2012)02-0111-01
隨著以Internet為標(biāo)志的信息技術(shù)革命的飛速發(fā)展,網(wǎng)絡(luò)正在迅速地滲入人們的生活中,依靠互聯(lián)網(wǎng)絡(luò)人們的生活越來(lái)越便捷,溝通越來(lái)越緊密。伴隨著internet應(yīng)用在商務(wù)活動(dòng)中的不斷深入,越來(lái)越多的企業(yè)希望其生意伙伴、供應(yīng)商及附屬企業(yè)等也能夠訪問(wèn)本企業(yè)的局域網(wǎng),從而使商務(wù)活動(dòng)可以通過(guò)網(wǎng)絡(luò)就能進(jìn)行,大大節(jié)約了人力和物力,縮短了交易時(shí)間,減少了支出成本。但是這些企業(yè)間的商務(wù)活動(dòng)是動(dòng)態(tài)變化的,并需要依托于公用網(wǎng)絡(luò)之上的,且由于公用網(wǎng)絡(luò)是一個(gè)全球性的計(jì)算機(jī)通信網(wǎng)絡(luò),它具有資源共享和信息互通的特性,而一些用戶間的互通和交流又是想要對(duì)其他用戶進(jìn)行保密的,于是網(wǎng)絡(luò)的安全性逐漸成為一個(gè)潛在的巨大問(wèn)題,這就需要有一種技術(shù)來(lái)解決這些問(wèn)題,保證這些有保密需要的企業(yè)能順利地進(jìn)行信息交流,并保證企業(yè)信息的安全性。
基于各種需求,VPN技術(shù)應(yīng)時(shí)而生。VPN(Virtual Private Network),即“虛擬專用網(wǎng)絡(luò)”,簡(jiǎn)單地可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它在Internet上通過(guò)特殊的加密的通訊協(xié)議連接位于網(wǎng)絡(luò)上不同地理位置的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,VPN是指依靠Internet服務(wù)提供商(ISP)和其他網(wǎng)絡(luò)服務(wù)提供商(NSP),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。
一、VPN原理
VPN即在公用數(shù)據(jù)網(wǎng)上建立一條數(shù)據(jù)通道,這條數(shù)據(jù)通道就是隧道,隧道技術(shù)是VPN得以實(shí)現(xiàn)的關(guān)鍵技術(shù),數(shù)據(jù)包從這條隧道上通過(guò),從而實(shí)現(xiàn)虛擬通信。VPN的原理就是兩臺(tái)計(jì)算機(jī)通過(guò)連接到internet建立一條臨時(shí)的、安全的、專用的連接。這倆臺(tái)計(jì)算機(jī)之間組成一個(gè)私有網(wǎng)絡(luò),它們之間的通信內(nèi)容進(jìn)行封裝后經(jīng)過(guò)這條專用的隧道進(jìn)行傳輸,然后在接收方進(jìn)行解封裝,還原成發(fā)送方的通信內(nèi)容。沒(méi)有參與虛擬通信的設(shè)備共享不到進(jìn)行虛擬通信的設(shè)備之間傳輸?shù)臄?shù)據(jù),因?yàn)檫@些私有的網(wǎng)絡(luò)和沒(méi)參與虛擬通信的網(wǎng)絡(luò)使用了不同的地址空間和協(xié)議,即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的,VPN是一種邏輯意義上的網(wǎng)絡(luò)。
二、VPN的安全保障
由于VPN越來(lái)越廣泛的應(yīng)用和其技術(shù)特點(diǎn),數(shù)據(jù)的安全問(wèn)題成為VPN技術(shù)的關(guān)鍵問(wèn)題。為保證數(shù)據(jù)的安全性,目前VPN主要采用四項(xiàng)技術(shù):1.隧道技術(shù)(Tunneling)。隧道技術(shù)對(duì)于VPN具有重要意義。隧道技術(shù)的技術(shù)關(guān)鍵是分組封裝,它將私有網(wǎng)的數(shù)據(jù)進(jìn)行封裝并在隧道中進(jìn)行傳輸,隧道技術(shù)在虛擬網(wǎng)接入公用網(wǎng)的接口處將數(shù)據(jù)打包封裝成可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式,在虛擬網(wǎng)結(jié)點(diǎn)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,得到數(shù)據(jù)。隧道由一系列隧道協(xié)議組成,定義了較為完整的數(shù)據(jù)封裝和安全協(xié)議及其算法。2.加解密技術(shù)(Encryption & Decryption)。發(fā)送的一方將數(shù)據(jù)進(jìn)行特定加密后再發(fā)送數(shù)據(jù),當(dāng)數(shù)據(jù)到達(dá)接收的一方時(shí)由接收方對(duì)數(shù)據(jù)進(jìn)行解密處理的全過(guò)程。3.密鑰管理技術(shù)(Key Management)。為了滿足在公用數(shù)據(jù)網(wǎng)上所傳送的數(shù)據(jù)的安全性和完整性的需要,密鑰管理技術(shù)是解決如何傳遞密鑰而不被非法篡改和盜竊的技術(shù)。4.使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。最常用的是用戶名、口令或智能卡認(rèn)證等方式。
三、VPN特點(diǎn)
1.低廉的成本。由于VPN是利用現(xiàn)有的公共網(wǎng)絡(luò),不需要重新構(gòu)建一個(gè)新的網(wǎng)絡(luò),只是在公共網(wǎng)絡(luò)上建立一個(gè)虛擬的邏輯上的網(wǎng)絡(luò),因此VPN可以大大降低構(gòu)建網(wǎng)絡(luò)的成本。與專線式的架構(gòu)方式相比較,VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上,都很節(jié)省,企業(yè)也不必投入大量的人力物力安裝維護(hù)設(shè)備。2.網(wǎng)絡(luò)架構(gòu)靈活。VPN與專線式的結(jié)構(gòu)相比更加靈活,VPN的構(gòu)架可以根據(jù)用戶的需要進(jìn)行修改,可以隨意增加新的節(jié)點(diǎn),具有良好的擴(kuò)展性,無(wú)論是企業(yè)的專線用戶,還是個(gè)人撥號(hào)用戶都可以采用VPN的方式實(shí)現(xiàn)互聯(lián)。3.良好的安全性。為了確保數(shù)據(jù)的安全性,VPN架構(gòu)中采用了多種安全機(jī)制,如隧道技術(shù)、加解密技術(shù)、身份認(rèn)證技術(shù)、防火墻等技術(shù),通過(guò)這些網(wǎng)絡(luò)安全技術(shù),確保通過(guò)VPN上傳送的數(shù)據(jù)不會(huì)被攻擊者窺視和篡改,防止非法用戶的訪問(wèn)。4.便于管理。VPN使用了較少的設(shè)備來(lái)建立網(wǎng)絡(luò),使網(wǎng)絡(luò)的管理較為輕松;各種類型的用戶,都通過(guò)VPN的隧道進(jìn)入內(nèi)部網(wǎng),可以實(shí)現(xiàn)各種類型的用戶間的互聯(lián)。5.使用方便。VPN的建立無(wú)需安裝任何軟件,無(wú)論何時(shí)何地,在有公用網(wǎng)絡(luò)的前提下,只需在電腦中添加一個(gè)網(wǎng)絡(luò)連接,即可與服務(wù)器瞬時(shí)連接,遠(yuǎn)程進(jìn)行操作。
四、VPN發(fā)展與應(yīng)用
VPN適用于那些位置眾多、用戶分布范圍較廣,特別是遠(yuǎn)程辦公室站點(diǎn)多的企業(yè)和那些彼此之間的距離遠(yuǎn)、遍布全球各地的用戶;還有那些要求對(duì)所傳輸?shù)男畔⑦M(jìn)行保密并保證信息準(zhǔn)確性的用戶。隨著internet的迅猛發(fā)展,為VPN提供了良好的網(wǎng)絡(luò)基礎(chǔ),全球化的企業(yè)為VPN提供了廣闊的市場(chǎng),這都使VPN的發(fā)展與普及成為必然,VPN將具有巨大的發(fā)展前景。
vpn技術(shù)論文篇4
【關(guān)鍵詞】 MplsVpn Mpls/BgpVpn
引言
MPLS VPN是一種基于MPLS技術(shù)的IP-VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡(jiǎn)化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò),滿足多種靈活的業(yè)務(wù)需求。采用此技術(shù)可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò),提高網(wǎng)絡(luò)安全性和可管理性;且基于MPLS VPN的QoS策略也為新興業(yè)務(wù)提供了強(qiáng)有力保障。
1 MplsVpn的技術(shù)
MPLS是一種介于二層和三層之間的技術(shù),它沒(méi)有限定二層所必需使用的鏈路層協(xié)議,具有很好的網(wǎng)絡(luò)適應(yīng)性。MPLS包頭包含20比特的標(biāo)簽,3個(gè)比特的EXP,1個(gè)比特的S,用于標(biāo)識(shí)這個(gè)MPLS標(biāo)簽是否是最低層的標(biāo)簽,和8個(gè)比特的TTL-Time To Live。理論上標(biāo)簽可以多層嵌套。
如果2層協(xié)議具有標(biāo)簽域,標(biāo)簽封裝在這些域中,反之,標(biāo)簽則封裝在2層和IP層之間的一個(gè)薄層中。這樣,標(biāo)簽可被任意的鏈路層所支持。MPLS可承載的報(bào)文通常是IP包,也可承載二層數(shù)據(jù)報(bào)文,可承載MPLS的二層協(xié)議可以是PPP、以太網(wǎng)、ATM和幀中繼等。在MPLS中,一個(gè)標(biāo)簽標(biāo)識(shí)了一個(gè)轉(zhuǎn)發(fā)等價(jià)類。一個(gè)轉(zhuǎn)發(fā)等價(jià)類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報(bào)文的集合,這些報(bào)文的目的地址甚至可以不同。
2 MplsVpn的實(shí)現(xiàn)原理
MPLS是一種面向連接的技術(shù),網(wǎng)絡(luò)整體由LSR和LSE組成。LSR是MPLS的網(wǎng)絡(luò)的核心交換機(jī),它提供標(biāo)簽交換和分發(fā)功能。LER部屬在MPLS的網(wǎng)絡(luò)邊緣,進(jìn)入到MPLS網(wǎng)絡(luò)的流量由LER分為不同的FEC,并為這些FEC請(qǐng)求相應(yīng)的標(biāo)簽。它提供流量分類和標(biāo)簽的映射、移除功能。MPLS通過(guò)MPLS信令或手工配置的方法,建立MPLS標(biāo)記交換連接。在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中,在網(wǎng)絡(luò)入口進(jìn)行流分類,根據(jù)數(shù)據(jù)流所屬的FEC選擇相應(yīng)的LSP,把需要通這條LSP的報(bào)文打上相應(yīng)的標(biāo)簽,中間路由器在收到MPLS報(bào)文后直接根據(jù)MPLS報(bào)頭的標(biāo)簽進(jìn)行轉(zhuǎn)發(fā),大大加快了包文轉(zhuǎn)發(fā)速率。在MPLS標(biāo)記交換路徑的出口,彈出MPLS包頭,還回原來(lái)的IP包。由于FEC可以按照目的地址劃分,這同傳統(tǒng)的IP轉(zhuǎn)發(fā)相同,也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型等等信息的任意組合。而MPLS可把任何流關(guān)聯(lián)到一個(gè)FEC,然后把一個(gè)FEC映射到一個(gè)LSP,這個(gè)LSP可以是為了這種FEC而特殊構(gòu)造的,這使得服務(wù)提供商可以非常精確地控制網(wǎng)絡(luò)中的每個(gè)流。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測(cè)的服務(wù)。
MPLS VPN有三種類型的路由器,P路由器、PE路由器和CE路由器。其中,P路由器是MPLS網(wǎng)絡(luò)骨干路由器,也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽交換路由器(LSR),它根據(jù)分組的外層標(biāo)簽對(duì)VPN數(shù)據(jù)進(jìn)行透明轉(zhuǎn)發(fā),P路由器只維護(hù)到PE路由器的路由信息而不維護(hù)VPN相關(guān)的路由信息; PE路由器是MPLS網(wǎng)絡(luò)骨干邊緣路由器,也就是MPLS網(wǎng)絡(luò)中的標(biāo)簽邊緣路由器 (LER),它將來(lái)自CE路由器或標(biāo)簽交換路徑(LSP)的VPN數(shù)據(jù)處理后進(jìn)行轉(zhuǎn)發(fā),同時(shí)負(fù)責(zé)和其他PE路由器交換路由信息;CE路由器是客戶端路由器,為用戶提供到PE路由器的連接。
MPLS VPN可以分為BGP擴(kuò)展和LDP擴(kuò)展。根據(jù)PE設(shè)備是否參與VPN路由又細(xì)分為二層VPN和三層VPN。同傳統(tǒng)IP VPN不同,MPLS VPN是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN。其中以BGP擴(kuò)展實(shí)現(xiàn)的三層VPN應(yīng)用最為廣泛。
3 Mpls/Vpn技術(shù)的應(yīng)用方式和優(yōu)勢(shì)
MPLS VPN可分為企業(yè)內(nèi)部虛擬網(wǎng)、企業(yè)擴(kuò)展虛擬網(wǎng)、遠(yuǎn)程訪問(wèn)虛擬網(wǎng)。該技術(shù)特別適合改造企業(yè)網(wǎng),它具有如下優(yōu)勢(shì):
(1)以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。
(2)簡(jiǎn)化了網(wǎng)絡(luò)設(shè)計(jì),以及所需的接口、用戶認(rèn)證等的設(shè)備和處理。
(3)降低了通信成本和主要設(shè)備成本。
(4)容易擴(kuò)展。
(5)支持新興應(yīng)用,可以支持各種高級(jí)的應(yīng)用和各種協(xié)。
綜上所述,利用 MPLS VPN技術(shù)改造傳統(tǒng)的企業(yè)網(wǎng),為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。
4 Mpls/BgpVpn在網(wǎng)絡(luò)實(shí)現(xiàn)
在MPLS/BGP VPN的模型中,網(wǎng)絡(luò)由MPLS的骨干網(wǎng)與用戶的各個(gè)Site組成,所謂VPN就是對(duì)site集合的劃分,一個(gè)VPN就對(duì)應(yīng)一個(gè)由若干site組成的集合。但必須遵循如下規(guī)則:兩個(gè)Site之間只有至少同時(shí)屬于一個(gè)VPN定義的Site集合,才具有IP連通性。
在基于MP-BGP協(xié)議的MPLS VPN體系中,存在兩個(gè)層面的路由,即域內(nèi)路由和VPN路由。 所有的PE路由器及P路由器上要運(yùn)行主干網(wǎng)的域內(nèi)路由,生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立,通過(guò)CR-LDP或RSVP等信令協(xié)議建立LSP,產(chǎn)生的標(biāo)簽轉(zhuǎn)發(fā)表用于VPN分組外層標(biāo)簽的交換。PE路由器之間運(yùn)行MP-iBGP協(xié)議,該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標(biāo)簽,形成VPN路由,MP-iBGP的一條VPN路由包含的信息有:IPv4地址、路由區(qū)分符(RD)、路由目標(biāo)(RT)、VPN標(biāo)簽和下一跳PE地址。
MPLS VPN IP路由表及相關(guān)的VPN IP轉(zhuǎn)發(fā)表被統(tǒng)稱為VPN路由和轉(zhuǎn)發(fā)實(shí)例(VRF)。通常PE路由器上每個(gè)用戶的端口與一個(gè)特定的VRF相關(guān)聯(lián),從該端口輸入的VPN分組將根據(jù)各自對(duì)應(yīng)的VRF查找其VPN標(biāo)簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。VPN的成員關(guān)系是通過(guò)路由所攜帶的route target屬性來(lái)獲得的,每個(gè)VRF配置了一些策略,規(guī)定一個(gè)VPN可以接收或向外哪些Site來(lái)的路由信息。 每個(gè)PE根據(jù)BGP擴(kuò)展的信息進(jìn)行路由計(jì)算,生成每個(gè)相關(guān)VPN的路由表。
RT來(lái)控制VRF的導(dǎo)入和導(dǎo)出策略,以構(gòu)成各種復(fù)雜的VPN拓?fù)洹R粋€(gè)VPN有可能不止使用一個(gè)RT,RT的具體使用與VPN的拓?fù)浣Y(jié)構(gòu)密切相關(guān), 可以用一個(gè)或多個(gè)RT。當(dāng)從PE導(dǎo)出VPN路由時(shí),要用RT對(duì)VPN路由進(jìn)行標(biāo)記,在往VRF中導(dǎo)入路由時(shí),可以使用多個(gè)RT,只要有一個(gè)VPN路由中附帶的RT與導(dǎo)入路由中的任意RT相同,都將被導(dǎo)入到該VRF中。通過(guò)RT的導(dǎo)入和導(dǎo)出,MPLS可靈活的實(shí)現(xiàn)多種拓?fù)浣Y(jié)構(gòu)和路由層面的VPN訪問(wèn)控制。
在MPLS/BGP VPN中,屬于同一VPN的兩個(gè)site之間轉(zhuǎn)發(fā)報(bào)文,使用兩層標(biāo)簽來(lái)解決,在入口PE上為報(bào)文打上兩層標(biāo)簽,第一層(外層)標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換,代表了從PE到對(duì)端PE的一條隧道,VPN報(bào)文打上這層標(biāo)簽,就可以沿著LSP到達(dá)對(duì)端PE,這時(shí)候就需要使用第二層(內(nèi)層)標(biāo)簽,這層標(biāo)簽指示了報(bào)文應(yīng)該到達(dá)哪個(gè)site,這樣,根據(jù)內(nèi)層標(biāo)簽,就可以找到轉(zhuǎn)發(fā)的接口。
5 結(jié)束語(yǔ)
MPLS VPN已其高安全性、高可靠性及低成本等優(yōu)勢(shì)的到了各行業(yè)的廣泛應(yīng)用;發(fā)展前景較為樂(lè)觀,經(jīng)過(guò)MPLS VPN技術(shù)的不斷完善和發(fā)展,為用戶提供更加滿意的服務(wù)和更加豐富的業(yè)務(wù),成為VPN技術(shù)的主流。
參考文獻(xiàn):
[1]《MPLS技術(shù)白皮書(shū)》華為公司
vpn技術(shù)論文篇5
關(guān)鍵詞:VPN;隧道;加解密;認(rèn)證;安全性
中圖分類號(hào):TP393.18 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 14-0000-01
Analysis of Virtual Professional Network VPN Technology
Wang Ke
(Zhengzhou University,Information Network Key Laboratory 2009 Grade,Zhengzhou450001,China)
Abstract:The virtual professional network VPN tunneling technology,encryption technology,key management and authentication technology for a specific description,also referred to the VPN security issues for further follow-up research and application of the VPN to lay a theoretical basis.
Keywords:VPN;Tunnel;Encryption and decryption;Certification;Security
一、VPN技術(shù)介紹
VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。
(一)隧道技術(shù)
1.隧道技術(shù)基礎(chǔ)。隧道技術(shù)是VPN的關(guān)鍵技術(shù),主要包括數(shù)據(jù)封裝、傳輸和數(shù)據(jù)拆封三個(gè)部分。隧道技術(shù)是一種通過(guò)公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,在專用網(wǎng)絡(luò)或?qū)S迷O(shè)備之間實(shí)現(xiàn)加密數(shù)據(jù)通信的技術(shù)。通信的內(nèi)容包括各種通信協(xié)議的數(shù)據(jù)包,隧道協(xié)議將這些數(shù)據(jù)包重新封裝在新的包中發(fā)送,新的包頭提供了路由信息,從而使封裝的數(shù)據(jù)能夠通過(guò)公共網(wǎng)絡(luò)傳遞,傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱為隧道,當(dāng)數(shù)據(jù)包到達(dá)通信終點(diǎn)后,將被拆封并轉(zhuǎn)發(fā)到最終目的地。隧道技術(shù)就是指包括數(shù)據(jù)封裝,傳輸和解包在內(nèi)的全過(guò)程,如圖1所示。
圖1:隧道傳輸過(guò)程
2.隧道協(xié)議。隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議創(chuàng)建隧道。隧道協(xié)議是隧道技術(shù)的核心,基于不同的隧道協(xié)議所實(shí)現(xiàn)的VPN是不同的。典型的隧道協(xié)議有PPTP、L2TP和IPSec等協(xié)議。
(二)加解密技術(shù)
加解密技術(shù)主要就是處理好保密、認(rèn)證和完整性這三個(gè)方面的問(wèn)題。
1.保密。數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中,由于需要經(jīng)過(guò)多個(gè)中間節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā),因此很容易就被截獲。為了保證數(shù)據(jù)的保密性,就需要對(duì)數(shù)據(jù)使用密文進(jìn)行加密傳輸。密文即使被第三方截獲,也無(wú)法解析其含義。
2.認(rèn)證。接收方在收到數(shù)據(jù)后,為了驗(yàn)證數(shù)據(jù)確實(shí)是從發(fā)送放發(fā)來(lái)的,而不是第三方冒充的,就需要對(duì)發(fā)送方進(jìn)行認(rèn)證。認(rèn)證需要使用一個(gè)憑據(jù),即數(shù)字證書(shū)(Certificate),相當(dāng)于個(gè)人的護(hù)照。Certificate由專門(mén)的證書(shū)管理機(jī)構(gòu)CA(Certificate Authority)發(fā)放。
3.完整性。雖然數(shù)據(jù)在加密傳輸?shù)倪^(guò)程中第三方無(wú)法截獲內(nèi)容,但是第三方還是可以對(duì)其實(shí)施破壞活動(dòng),譬如將數(shù)據(jù)截掉部分,接收者進(jìn)行解密后便獲得不了完整的信息。為了保證傳送的數(shù)據(jù)完整性,對(duì)接收到的數(shù)據(jù)進(jìn)行完整性校驗(yàn)是非常有必要的。
(三)密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。從密鑰管理技術(shù)角度進(jìn)行分類,可將其分為對(duì)稱密鑰管理和公開(kāi)密鑰管理(數(shù)字證書(shū))兩部分。
1.對(duì)稱密鑰管理技術(shù)。對(duì)稱加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。
2.公開(kāi)密鑰管理(數(shù)字證書(shū))技術(shù)。貿(mào)易伙伴間可以使用數(shù)字證書(shū)(公開(kāi)密鑰證書(shū))來(lái)交換公開(kāi)密鑰。數(shù)字證書(shū)通常包含有唯一標(biāo)識(shí)證書(shū)所有者(即貿(mào)易方)的名稱、唯一標(biāo)識(shí)證書(shū)者的名稱、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等,證書(shū)由專門(mén)的證書(shū)管理機(jī)構(gòu)CA發(fā)放。
(四)身份認(rèn)證技術(shù)
VPN需要解決的首要問(wèn)題是網(wǎng)絡(luò)上的用戶與設(shè)備都需要有確定的身份認(rèn)證。不管其它安全設(shè)施有多嚴(yán)密,一旦身份認(rèn)證將錯(cuò)誤,必將導(dǎo)致整個(gè)VPN的失效。隨著技術(shù)的發(fā)展,常規(guī)用戶名+密碼方式(PAP)已經(jīng)不能提供足夠的安全保障。有專門(mén)機(jī)構(gòu)發(fā)放的數(shù)字證書(shū),可以為設(shè)備提供更安全的認(rèn)證。
二、VPN的安全性問(wèn)題介紹
VPN的核心問(wèn)題時(shí)安全問(wèn)題。目前,VPN主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)安全保證的。但是,當(dāng)一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問(wèn)時(shí),那么長(zhǎng)時(shí)間在線就容易受到黑客的攻擊。公司安全防御系統(tǒng)中的弱點(diǎn)就是遠(yuǎn)程工作員工通過(guò)防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司的核心內(nèi)容。從安全的觀點(diǎn)來(lái)看,在家辦公的個(gè)人,是黑客攻擊的重點(diǎn)目標(biāo),因?yàn)闉榧矣糜?jì)算機(jī)在安全軟件使用方面沒(méi)有公司做的到位。一般情況下,員工使用家用計(jì)算機(jī)時(shí),僅僅是跟隨計(jì)算機(jī)通過(guò)一條授權(quán)的連接進(jìn)入公司網(wǎng)絡(luò)系統(tǒng),侵入者可以通過(guò)一個(gè)被信任的用戶進(jìn)入網(wǎng)絡(luò)。
安全的加密隧道和正確的連接,也無(wú)法保證家庭計(jì)算機(jī)的安全。黑客為了侵入員工的家用計(jì)算機(jī),首先需要做的是探測(cè)IP地址,如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路(通常這種連接具有一個(gè)固定的IP地址),這時(shí)就要當(dāng)心黑客的入侵。因此,必須在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻區(qū)有效的堵住遠(yuǎn)程訪問(wèn)VPN的安全漏洞,保護(hù)網(wǎng)絡(luò)的安全。
三、總結(jié)
文章對(duì)虛擬專業(yè)網(wǎng)絡(luò)VPN的隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)進(jìn)行了具體介紹,同時(shí)還提及了VPN的安全性問(wèn)題,為后續(xù)進(jìn)一步對(duì)VPN的研究和應(yīng)用打下了理論基礎(chǔ)。
參考文獻(xiàn):
[1]肖銘.VPN隧道封裝性能分析與研究[J].計(jì)算機(jī)與數(shù)字工程,2003
[2]利業(yè)韃.淺談虛擬專業(yè)網(wǎng)絡(luò)(VPN)及其應(yīng)用[J].高技術(shù)縱覽,2006
[3]邊倩.虛擬專用網(wǎng)(VPN)的實(shí)現(xiàn)方法[J].計(jì)算機(jī)應(yīng)用,2005
vpn技術(shù)論文篇6
論文摘要:本文通過(guò)對(duì)網(wǎng)絡(luò)存儲(chǔ)技術(shù)、虛擬專網(wǎng)vpn技術(shù)的設(shè)計(jì)原則和關(guān)健技術(shù)的詳細(xì)介紹,全面分析了這兩項(xiàng)技術(shù)的性能特點(diǎn),以及在“共享工程”天津分中心和18家區(qū)縣支中心的具體實(shí)現(xiàn)方案與發(fā)展設(shè)計(jì)構(gòu)想,闡述了這兩項(xiàng)技術(shù)的發(fā)展前景,及其在全國(guó)文化信息資源共享工程得到廣泛應(yīng)用的必然性。
全國(guó)文化信息資源共享工程(以下簡(jiǎn)稱文化共享工程)是由文化部、財(cái)政部共同組織實(shí)施的一項(xiàng)社會(huì)主義文化建設(shè)標(biāo)志性工程,是新形勢(shì)下構(gòu)建我國(guó)公共文化服務(wù)體系、惠及千家萬(wàn)戶的一項(xiàng)重要文化基礎(chǔ)工程。“共享工程”將充分利用現(xiàn)代高新技術(shù)手段,將中華民族幾千年來(lái)積淀的各種類型的文化信息資源精華以及貼近大眾生活的現(xiàn)代社會(huì)文化信息資源,進(jìn)行數(shù)字化加工處理與整合;建成互聯(lián)網(wǎng)上的中華文化信息中心和網(wǎng)絡(luò)中心,并通過(guò)覆蓋全國(guó)所有省、自治區(qū)、直轄市和大部分地(市)、縣(區(qū))以及部分鄉(xiāng)鎮(zhèn)、街道(社區(qū))的文化信息資源網(wǎng)絡(luò)傳輸系統(tǒng),實(shí)現(xiàn)優(yōu)秀文化信息在全國(guó)范圍內(nèi)的共建共享。該工程于2004年4月正式啟動(dòng)實(shí)施。
在中央和地方各級(jí)財(cái)政的大力支持下經(jīng)過(guò)不斷努力,文化共享工程技術(shù)體系已經(jīng)初步形成:在資源數(shù)字化方面,以數(shù)字圖書(shū)館技術(shù)為依托,建成了國(guó)家中心和各省級(jí)分中心的資源加工管理系統(tǒng);在傳輸建設(shè)方面,形成了以互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)、有線電視及數(shù)字電視網(wǎng)為主要傳輸渠道,光盤(pán)、移動(dòng)存儲(chǔ)設(shè)備為輔助傳輸手段的網(wǎng)絡(luò)傳輸體系,實(shí)現(xiàn)了文化信息資源的有效傳遞;在終端服務(wù)上,提供了國(guó)家中心網(wǎng)站、省分中心網(wǎng)站、省分中心鏡像站、衛(wèi)星終端服務(wù)系統(tǒng)、文化共享工程基層服務(wù)系統(tǒng)、有線電視、數(shù)字電視、光盤(pán)、移動(dòng)硬盤(pán)等手段,方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。
本文從動(dòng)態(tài)發(fā)展的角度,以現(xiàn)有的技術(shù)體系為基礎(chǔ),簡(jiǎn)要對(duì)網(wǎng)絡(luò)存儲(chǔ)技術(shù)與虛擬專網(wǎng)vpn技術(shù)在“文化共享工程”中應(yīng)用加以論述。
1網(wǎng)絡(luò)存儲(chǔ)技術(shù)
文化共享工程以加工整合各類優(yōu)秀文獻(xiàn)信息資源為重點(diǎn),建成了具有一定規(guī)模的文獻(xiàn)信息資源庫(kù)群。截至2007年6月,數(shù)字資源的總量己達(dá)到60tb。資源的存儲(chǔ)成為了各級(jí)分中心核心建設(shè)的重中之重。
1.1存儲(chǔ)系統(tǒng)設(shè)計(jì)原則
存儲(chǔ)系統(tǒng)的設(shè)計(jì)要遵循以下原則:
先進(jìn)性和實(shí)用性:在方案總體設(shè)計(jì)規(guī)劃時(shí)不僅要滿足當(dāng)時(shí)業(yè)務(wù)需求,而且充分考慮未來(lái)的需求可能。保證硬件環(huán)境的先進(jìn)性,盡可能采用業(yè)界領(lǐng)先的技術(shù)。軟件環(huán)境的先進(jìn)性,要從軟件平臺(tái),設(shè)計(jì)思想、系統(tǒng)結(jié)構(gòu)等方面考慮,選擇先進(jìn)、可靠的應(yīng)用平臺(tái)。
安全可靠性:存儲(chǔ)系統(tǒng)要保證365 x 24小時(shí)的不間斷穩(wěn)定運(yùn)行,具有災(zāi)難恢復(fù)能力。
靈活性與可擴(kuò)展性:網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng),所以它具有良好的擴(kuò)展性,方便的擴(kuò)大容量和提高層次的功能,支持多種通信媒體、多種物理接口的能力,提供技術(shù)升級(jí)、設(shè)備更新的靈活性。
開(kāi)放性/互聯(lián)性:具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互聯(lián)互通的特性,確保網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)基礎(chǔ)設(shè)施的作用可以充分發(fā)揮。
經(jīng)濟(jì)性/投資保護(hù):以較高的性能價(jià)格構(gòu)建網(wǎng)絡(luò)系統(tǒng),充分利用以往在資金與技術(shù)方面的投人。
可管理性:采用智能化,可管理的設(shè)備,先進(jìn)的管理軟件,實(shí)現(xiàn)先進(jìn)的分布式管理。實(shí)現(xiàn)監(jiān)控、監(jiān)測(cè)整個(gè)系統(tǒng)的運(yùn)行狀況,合理分配資源、動(dòng)態(tài)配置負(fù)載等等。
綜上所述,存儲(chǔ)設(shè)備的選擇可按需定制,根據(jù)不同預(yù)算情況,不僅滿足當(dāng)前需求,還要兼顧將來(lái)的升級(jí)維護(hù)。
1. 2存儲(chǔ)系統(tǒng)解決方案
1.2.1省級(jí)分中心的存儲(chǔ)解決方案
天津圖書(shū)館作為“共享工程”的省級(jí)分中心,以其存儲(chǔ)系統(tǒng)為例:存儲(chǔ)設(shè)備采用的是emc clari-ion cx500存儲(chǔ)系統(tǒng)。cx500提供了一種沒(méi)有任何單點(diǎn)故障的可擴(kuò)展、高可用性體系結(jié)構(gòu),采用了通用的硬件體系結(jié)構(gòu)和軟件應(yīng)用程序套件,通過(guò)emcnavisphere進(jìn)行集中管理并支持基于存儲(chǔ)的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)功能,保證了數(shù)據(jù)的完整性和高可用性。具有了全局熱備功能,冗余電源和冷卻,通向光纖通道和ata磁盤(pán)驅(qū)動(dòng)器的四條通路,雙活動(dòng)存儲(chǔ)處理器,整個(gè)陣列內(nèi)的數(shù)據(jù)通路奇偶校驗(yàn)等許多特性。
在性能方面,cx500配有4個(gè)用于san連接的2gb前端光纖通道端口和4個(gè)光纖通道和ata磁盤(pán)驅(qū)動(dòng)器的2gb后端光纖通道通路,可以有效地支持多達(dá)120個(gè)驅(qū)動(dòng)器而不會(huì)出現(xiàn)性能降級(jí)。cx500同時(shí)支持高性能光纖通道驅(qū)動(dòng)器和高容量ata驅(qū)動(dòng)器,所以提供了最好的部署靈活性。鑒于共享工程資源存儲(chǔ)的需求,天津圖書(shū)館的cx500共配置了3個(gè)光纖磁盤(pán)柜共15tb的存儲(chǔ)空間,其中包括7. 5tb的光纖硬盤(pán)和7. 5tb的sata硬盤(pán)。
在軟件支持方面,cx500在設(shè)計(jì)上可同時(shí)支持多達(dá)128部服務(wù)器,大大簡(jiǎn)化存儲(chǔ)設(shè)施的整合過(guò)程。它符合絕大多數(shù)常用服務(wù)器操作環(huán)境的要求,其中包括microsoft windows, sun solaris, unix, linux和netware平臺(tái)等,而且在san,nas和das環(huán)境中運(yùn)行時(shí)具有高度的靈活性。采用navisphere管理框架,該系統(tǒng)是一套簡(jiǎn)單易用的基于圖形用戶界面<glti)的存儲(chǔ)管理工具。cx500能實(shí)現(xiàn)高數(shù)據(jù)的可用性、無(wú)中斷在線備份、高速數(shù)據(jù)移動(dòng)、應(yīng)用程序測(cè)試和災(zāi)難恢復(fù)等要求。客戶可在不停止cx500陣列前提下,升級(jí)以下各項(xiàng)內(nèi)容:添加新軟件,如snap-view,mirrorview, san copy, navisphere agent, bi-os、核心軟件;在san中添加或刪除服務(wù)器;調(diào)整raid重建設(shè)置;重新分配讀/寫(xiě)緩存等等。
1.2.2區(qū)縣支中心的存儲(chǔ)解決方案
以天津市的十八家區(qū)縣支中心為例:
存儲(chǔ)設(shè)備統(tǒng)一采用h3c的ex1000存儲(chǔ)磁盤(pán)陣列柜。該設(shè)備為基于成熟的ip協(xié)議傳輸?shù)拇鎯?chǔ)設(shè)備,使用更靈活,配置更方便。可以在簡(jiǎn)單配置后為網(wǎng)絡(luò)中的各種服務(wù)器提供海量存儲(chǔ)空間,同時(shí)也具備極大的擴(kuò)展性和靈活的升級(jí)。此存儲(chǔ)配置了4. 5t的存儲(chǔ)空間(共9塊5006盤(pán)),其中一塊硬盤(pán)做為全局熱備盤(pán),在最大程度上保證了磁盤(pán)的冗余,確保數(shù)據(jù)的安全。在數(shù)據(jù)傳輸上將4個(gè)1000m數(shù)據(jù)端口進(jìn)行連路聚合,既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問(wèn)瓶頸的解除,同時(shí)也對(duì)數(shù)據(jù)的鏈路提供了必要的保護(hù),同時(shí)4條鏈路的存在即意味著可以承受75%的故障率,所以,這樣的技術(shù)保證是完善的安全運(yùn)行應(yīng)用的保證。
2 vpn技術(shù)
互聯(lián)網(wǎng)作為“共享工程”的文化信息資源的主要傳輸渠道,所有信息服務(wù)都暴露在internet上,很容易被入侵者竊取和篡改,安全性不夠。如果改用專線方式,一方面造價(jià)較高,維護(hù)也較困難;另一方面升級(jí)和擴(kuò)展也受限制。因此尋找一種比較經(jīng)濟(jì),對(duì)數(shù)據(jù)的安全又較有保障,而且又有利用網(wǎng)絡(luò)的升級(jí)和擴(kuò)展的組網(wǎng)方式顯得異常的重要,而vpn技術(shù)恰恰能滿足這方面的需要。
vpn(virtual private network)中文譯為虛擬專用網(wǎng),它是一種通過(guò)isp和其它nsp,在公網(wǎng)中建立用戶私有專用網(wǎng)的數(shù)據(jù)通信技術(shù),是一種通過(guò)私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。是對(duì)專用網(wǎng)絡(luò)的擴(kuò)展,它是指共享或公共網(wǎng)絡(luò)上經(jīng)封裝,加密和身份驗(yàn)證的鏈路。vpn模仿專用網(wǎng)的一些屬性;它允許數(shù)據(jù)通過(guò)諸如internet的網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)間傳遞;通過(guò)隧道技術(shù)模仿點(diǎn)對(duì)點(diǎn)的連接。
2. 1核心技術(shù)
①隧道技術(shù):隧道技術(shù)是vpn的基本技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到ppp中,再把整個(gè)數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有l(wèi)2f, pptp, l2tp等。l2tp協(xié)議是目前ietf的標(biāo)準(zhǔn),由ietf融合pptp與l2f而形成。
第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝人隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有vtp,ipsec等。ipsec(ip securi-ty)是由一組rfc文檔組成,定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在ip層提供安全保障。
②加解密技術(shù):加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),vpn可直接利用現(xiàn)有技術(shù)。
③密鑰管理技術(shù):密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為skip與isakmp/oak-ley兩種。skip主要是利用diffie-hellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在isakmi〕中,雙方都有兩把密鑰,分別用于公用、私用。
④使用者與設(shè)備身份認(rèn)證技術(shù):使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。
2. 2 vpn技術(shù)在“共享工程”中應(yīng)用的必要性與實(shí)現(xiàn)方法
“共享工程”在資源數(shù)字化方面,以數(shù)字圖書(shū)館技術(shù)為依托,建成了國(guó)家中心和各省級(jí)分中心的資源加工管理系統(tǒng)。
天津圖書(shū)館作為天津市“共享工程”的省分中心,數(shù)字資源經(jīng)過(guò)多年建設(shè)已初具規(guī)模,數(shù)字資源近5t。內(nèi)容涉及電子圖書(shū)、數(shù)字化期刊、津門(mén)曲藝庫(kù)、津門(mén)群星庫(kù),以及與本地經(jīng)濟(jì)、文化發(fā)展息息相關(guān)的各種特色資源庫(kù)。如何使天津圖書(shū)館這些豐富公共資源得到更加廣泛的利用,能夠在合理范圍內(nèi)為各區(qū)縣支中心、共享工程基層服務(wù)中心進(jìn)行有效共享。可以利用vpn技術(shù)來(lái)實(shí)現(xiàn),首先建立vpn數(shù)字資源中心,向各區(qū)縣支中心、共享工程基層服務(wù)中心等基層單位提供vpn接人和數(shù)據(jù)資源內(nèi)容的提供服務(wù)。
2. 2. 1 vpn技術(shù)的實(shí)現(xiàn)方式
構(gòu)建vpn網(wǎng)絡(luò)可分為硬件、tpn和軟件、’pn兩種形式:軟件、’pn的建立成本低,硬件vpn在系統(tǒng)防御上要穩(wěn)定,軟件vpn維護(hù)起來(lái)相當(dāng)麻煩,網(wǎng)絡(luò)管理員不但要維護(hù)vpn軟件,還需要考慮病毒、惡意攻擊及相關(guān)設(shè)備的軟、硬件沖突導(dǎo)致系統(tǒng)平臺(tái)運(yùn)行不穩(wěn)定的因素出現(xiàn),而硬件vpn一般采用專用硬件,維護(hù)量相對(duì)減少很多。
2. 2. 2實(shí)現(xiàn)vpn技術(shù)的方案
主要有三種:硬件平臺(tái)vpn、軟件平臺(tái)vpn和輔助硬件平臺(tái)vpna
(1)軟件平臺(tái)vpn
利用一些軟件公司所提供的完全基于軟件的vpn產(chǎn)品來(lái)實(shí)現(xiàn)簡(jiǎn)單vpn的功能,甚至可以不需要另外購(gòu)置軟件,僅依靠微軟的windows操作系統(tǒng)就可實(shí)現(xiàn)純軟件平臺(tái)的vpn。特別從windows2000系統(tǒng)開(kāi)始對(duì)傳統(tǒng)的ipsec vpn方案提供了全面支持,不僅可以提供原來(lái)pptp隧道協(xié)議vpn的方案支持,而且還提出了新的l2tp隧道協(xié)議vpn方案,使vpn的應(yīng)用得到前所未有的推進(jìn)。
(2)硬件平臺(tái)vpn
使用硬件平臺(tái)的vpn設(shè)備可以滿足不同用戶對(duì)高數(shù)據(jù)安全及通信性能的需求,特別是加密及數(shù)據(jù)亂碼等對(duì)cpu處理能力需求很高的功能。能提供這些平臺(tái)的硬件廠商較多,如cisco, 3com、華為、聯(lián)想等,這類vpn平臺(tái)投資了大量的硬件設(shè)備,投資成本較高。
(3)輔助硬件平臺(tái)vpn
輔助硬件平臺(tái)vpn作為最常見(jiàn)的vpn平臺(tái),介于軟件平臺(tái)和硬件平臺(tái)之間,主要是以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ),再增添適當(dāng)?shù)膙pn軟件以實(shí)現(xiàn)vpn的功能。但通常這種平臺(tái)中的硬件也不能完全由原來(lái)的網(wǎng)絡(luò)硬件來(lái)完成,必要時(shí)還要添加專業(yè)的vpn設(shè)備,如vpn交換機(jī)、vpn網(wǎng)關(guān)或路由器等。
2.2.3構(gòu)建vpn專網(wǎng)的關(guān)鍵問(wèn)題
由于“共享工程”天津分中心與各區(qū)縣支中心都已建成了自己的局域網(wǎng),那么vpn設(shè)備與防火墻的安裝方式,成為構(gòu)建vpn專網(wǎng)的關(guān)鍵問(wèn)題。
現(xiàn)在最普遍采用的方式:是將、’pn設(shè)備與防火墻平行安裝,它不需要改變防火墻目前的結(jié)構(gòu)體系,但也意味著進(jìn)人內(nèi)部網(wǎng)絡(luò)將有兩個(gè)人口。在大部分vpn設(shè)備上,檢查進(jìn)人的數(shù)據(jù),并阻擋非vpn流量進(jìn)人內(nèi)部網(wǎng)絡(luò),以減小額外的安全風(fēng)險(xiǎn)。依賴網(wǎng)絡(luò)建設(shè)的方式,也需要vpn設(shè)備做一些地址翻譯的工作,或者將流量重定向到防火墻。
還有一種方式:是將vpn設(shè)備安裝在防火墻后,對(duì)防火墻做出一些改變。需要防火墻配置一個(gè)足夠“聰明”的過(guò)濾器以允許vpn流量通過(guò)。另外,一些防火墻不能處理碎片,而碎片對(duì)于vpn來(lái)說(shuō)是非常普遍的。因此,如果不在客戶軟件中人為減小mtu(最大傳輸單元),就不可能將vpn安裝在防火墻之后。
信息資源廣域vpn網(wǎng)建成后,邏輯上把物理位置省級(jí)分中心與不同的區(qū)縣支中心、共享工程基層中心連接成統(tǒng)一的內(nèi)部網(wǎng),從而提升了文化信息資源共享工程的實(shí)在意義。
3結(jié)束語(yǔ)
vpn技術(shù)論文篇7
關(guān)鍵詞:VPN;中小企業(yè);網(wǎng)絡(luò)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)36-2891-02
The Implementation of VPN on The Company-Internal Network
ZHOU Shi-jie
(Fujian Communications Technology College, Fuzhou 350007, China)
Abstract: Do the research of the implementation of VPN on the company-internal network, propose a highly efficient and low-cost method. Descript how to achieve VPN technology in the LINUX system. Provides a method to create the server and firewall settings skills. It has great reference value to use VPN technology with a flexible network access on the company-internal network.
Key words: VPN; company; network
1 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,以及企業(yè)信息化進(jìn)程的加速,大部分的政府部門(mén)、企事業(yè)單位均已建設(shè)了單位內(nèi)部的網(wǎng)絡(luò)系統(tǒng),實(shí)現(xiàn)了辦公自動(dòng)化,日常工作也漸漸從以往的文書(shū)往來(lái)向網(wǎng)絡(luò)辦公發(fā)展,大家已經(jīng)越來(lái)越離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)。本文主要討論了如何在中小企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)VPN技術(shù)。
2 中小企業(yè)網(wǎng)的VPN實(shí)現(xiàn)選擇
目前主流的內(nèi)部網(wǎng)絡(luò)組網(wǎng)方式較為統(tǒng)一,內(nèi)部使用私有地址部署,內(nèi)網(wǎng)出口使用防火墻或路由器做NAT地址轉(zhuǎn)換,在ISP提供的線路幫助下,從而實(shí)現(xiàn)中小型企業(yè)內(nèi)部網(wǎng)絡(luò)與INTERNET的互聯(lián)。這種組網(wǎng)方式能大量節(jié)約IP地址資源,降低聯(lián)網(wǎng)成本,同時(shí)也能夠有效的保護(hù)中小企業(yè)內(nèi)部網(wǎng)絡(luò)上各自信息資源的安全。隨著企業(yè)業(yè)務(wù)的不斷擴(kuò)展,越來(lái)越多的工作需要在企業(yè)之外完成,比如在外地出差或者對(duì)用戶進(jìn)行上門(mén)服務(wù)或者在家辦公時(shí)。這時(shí),我們需要一種能方便而又安全的聯(lián)入企業(yè)內(nèi)部網(wǎng)絡(luò),從而使用網(wǎng)絡(luò)中的各種信息和資源,讓我們的工作方式更加靈活和有效。傳統(tǒng)的解決方法是在企業(yè)內(nèi)部建立遠(yuǎn)程訪問(wèn)服務(wù)器,遠(yuǎn)程用戶通過(guò)電話線路等遠(yuǎn)程撥號(hào)到遠(yuǎn)程訪問(wèn)服務(wù)器,這種解決方法一是速度慢,二是要支付較高的電話費(fèi)用,成本較高。而VPN技術(shù)就彌補(bǔ)了這些缺陷,它利用廉價(jià)的INTERNET或其他公共網(wǎng)絡(luò)傳輸數(shù)據(jù),在網(wǎng)絡(luò)出口處提供服務(wù),有需要的客戶端通過(guò)INTERNET連入VPN服務(wù)器,在服務(wù)器的幫助下,獲得一個(gè)事先劃分的內(nèi)網(wǎng)IP地址。此時(shí),該客戶端就虛擬的聯(lián)入了企業(yè)內(nèi)部局域網(wǎng),和平常在辦公室里一樣,可以獲得各種內(nèi)網(wǎng)資源。
圖1
那么,VPN技術(shù)如何部署以及實(shí)現(xiàn)呢?在各種網(wǎng)絡(luò)連接設(shè)備上,一些專門(mén)的廠商都會(huì)有VPN模塊可以提供VPN服務(wù)。例如CISCO的防火墻,三層交換機(jī)等設(shè)備上均有VPN模塊可以選配。也有一些第三方的VPN技術(shù),如SSLVPN、IPSECVPN等等。但是,這些設(shè)備的價(jià)格以及LICENCE的費(fèi)用都比較高,對(duì)于一個(gè)中小型企業(yè)局域網(wǎng)來(lái)講,這樣的投入也許超出了各自的承受范圍。那么有沒(méi)有一些簡(jiǎn)單而又經(jīng)濟(jì)的替代方法呢?免費(fèi)的LINUX系統(tǒng)就給我們提供了這樣一種實(shí)現(xiàn)的方法。
3 使用的VPN協(xié)議
VPN技術(shù)在創(chuàng)建隧道實(shí)現(xiàn)虛擬專用網(wǎng)的過(guò)程中,隧道兩端需使用相同的隧道協(xié)議。根據(jù)OSI參考模型劃分,隧道技術(shù)可以分為2層和3層隧道協(xié)議。第二層隧道協(xié)議主要有:PPTP、L2TP和L2F,第三層協(xié)議主要有IP over IP和IPSec。通常在LINUX中我們使用PPTP協(xié)議實(shí)現(xiàn)VPN。
PPTP協(xié)議是PPP協(xié)議的擴(kuò)展,并協(xié)調(diào)使用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP協(xié)議是使用一般路由封裝(GRE)報(bào)頭和IP報(bào)頭封裝在PPP幀中的,結(jié)構(gòu)如圖1。
4 VPN服務(wù)的實(shí)現(xiàn)
以RED HAT ENTERPRISE AS 4.0系統(tǒng)為例說(shuō)明VPN服務(wù)的實(shí)現(xiàn)方法。
為VPN服務(wù)器配置兩塊網(wǎng)卡,分別為eth0和eht1。其中eth0連接到內(nèi)部網(wǎng)絡(luò),假設(shè)IP為172.26.1.1;eth1連接到INTERNET,假設(shè)IP為218.1.2.3。
首先,需要下載內(nèi)核補(bǔ)丁、升級(jí)自帶的PPP程序、安裝PPTP以及MPPE軟件包以便支持PPTP協(xié)議和微軟的點(diǎn)對(duì)點(diǎn)加密MPPE。
1) dkms-2.0.5-1.noarch.rpm 動(dòng)態(tài)內(nèi)核模塊支持的RPM安裝包
2) kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm MPPE加密協(xié)議的內(nèi)核補(bǔ)丁的RPM安裝包
3) ppp-2.4.3-5.rhel4.i386.rpm 升級(jí)內(nèi)置PPP到2.4.3版本,以支持MPPE加密協(xié)議
4) pptpd-1.3.0-0.i386.rpm PPTP點(diǎn)對(duì)點(diǎn)隧道協(xié)議的RPM安裝包
下載完成后使用一下命令進(jìn)行安裝和升級(jí)。
rpm - ivh dkms-2.0.5-1.noarch.rpm
rpm - ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm
rpm - Uvh ppp-2.4.3-5.rhel4.i386.rpm
rpm - ivh pptpd-1.3.0-0.i386.rpm
全部安裝升級(jí)完成后使用vi程序打開(kāi)PPTP的主配置文件。
vi /etc/pptpd.conf
在文件中加入以下配置語(yǔ)句:
localip 172.26.1.1
remoteip 172.26.1.100-200,172.26.1.240
文件/etc/ppp/chap-secrets中保存了VPN客戶機(jī)撥入時(shí)所使用的帳戶名、口令、固定分配的IP地址等信息,每個(gè)賬戶在該文件中使用一行,格式如下:
帳戶名 服務(wù) 口令 分配給該賬戶的IP地址
“test” pptpd “password” “*”
“admin” pptpd “admin” “172.26.1.240”
其中*代表由pptp服務(wù)在地址段中隨機(jī)選擇。
接著打開(kāi)LINUX內(nèi)核的路由功能,使VPN客戶端能通過(guò)eth0路由到內(nèi)部網(wǎng)絡(luò),執(zhí)行以下命令:
echo “1”>/proc/sys/net/ipv4/ip_forward
5 VPN服務(wù)的管理
啟動(dòng)VPN服務(wù):
/etc/init.d/pptpd start
停止VPN服務(wù):
/etc/init.d/pptpd stop
重新啟動(dòng)VPN服務(wù):
/etc/init.d/pptpd restart
該命令在重啟服務(wù)時(shí)不能終止已存在的VPN連接,在重啟后可能造成IP沖突的錯(cuò)誤。可使用以下命令在停止服務(wù)時(shí)同時(shí)終止所有已存在的VPN連接,然后再使用啟動(dòng)VPN服務(wù)命令。
/etc/init.d/pptpd restart-kill
自動(dòng)啟動(dòng)VPN服務(wù):
執(zhí)行命令”ntsysv”啟動(dòng)服務(wù)配置程序,在”pptpd”服務(wù)前面選中”*”,接著“確定”即可。
6 防火墻的設(shè)置
PPTP服務(wù)使用TCP協(xié)議中的1723端口和IP協(xié)議中編號(hào)為47的GRE常規(guī)路由封裝,若啟用了防火墻,則需開(kāi)放1723端口并允許編號(hào)為47的IP協(xié)議通過(guò)。若使用的是iptables,則執(zhí)行以下命令:
iptables - I INPUT - p tcp - dport 1723 - j ACCEPT
iptables - I INPUT - p gre - j ACCEPT
7 VPN客戶端的配置
一般的VPN客戶端均使用WINDOWS操作系統(tǒng),以在WINDOS XP系統(tǒng)中創(chuàng)建VPN客戶端為例說(shuō)明操作步驟:
1) 網(wǎng)上鄰居右鍵菜單中選擇屬性;
2) 雙擊“新建連接向?qū)А保?span style="display:none">9Ap萬(wàn)博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
3) 在向?qū)?duì)話框中單擊“下一步”;
4) 在“網(wǎng)絡(luò)連接類型”中選擇“連接到我工作場(chǎng)所的網(wǎng)絡(luò)”;
5) 在“網(wǎng)絡(luò)連接”中選擇“虛擬專用網(wǎng)連接”;
6) 在“連接名”中輸入您想設(shè)定的連接名稱;
7) 在“VPN服務(wù)器選擇”中輸入VPN服務(wù)器的域名或IP,本例中應(yīng)輸入eth1上的IP地址”218.1.2.3”;
8) 單擊“完成”即可創(chuàng)建VPN客戶端連接。
雙擊創(chuàng)建的VPN連接,輸入服務(wù)器上創(chuàng)建的帳號(hào)”admin”與密碼”admin”點(diǎn)擊連接即可聯(lián)入VPN服務(wù)器。連接成功后雙擊該連接,選擇“詳細(xì)信息”,若顯示使用PPTP和MPPE 128加密則表明VPN服務(wù)器配置成功。在本例的連接中應(yīng)獲得一個(gè)固定分配給”admin”用戶的IP地址”172.26.1.240”。
此時(shí),該客戶端即可像在內(nèi)部網(wǎng)絡(luò)里一樣直接訪問(wèn)各種資源。
8 結(jié)束語(yǔ)
VPN技術(shù)的實(shí)現(xiàn),對(duì)于業(yè)務(wù)靈活性要求越來(lái)越高的企業(yè)有極大助益,而使用免費(fèi)的linux系統(tǒng)實(shí)現(xiàn)VPN技術(shù),無(wú)疑是一種廉價(jià)而又高效的手段,具備相當(dāng)?shù)膮⒖家饬x。
參考文獻(xiàn):
[1] 童珉,冉曉F.VPN的擴(kuò)展性研究[J].計(jì)算機(jī)時(shí)代,2003(7).
[2] 趙金萍,熊君星,羅華群.VPN關(guān)鍵技術(shù)的研究[J].電腦知識(shí)與技術(shù):學(xué)術(shù)交流,2007(22).
vpn技術(shù)論文篇8
論文摘要:重點(diǎn)分析了vpn的實(shí)現(xiàn)技術(shù)。
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)的安全性、保密性、可靠穩(wěn)定性,對(duì)于企業(yè)和一些跨區(qū)域?qū)iT(mén)從事特定業(yè)務(wù)的部門(mén),從經(jīng)濟(jì)實(shí)用性、網(wǎng)絡(luò)安全性、數(shù)據(jù)傳輸可靠性上來(lái),看vpn技術(shù)無(wú)疑是一種不錯(cuò)的選擇。下面就vpn技術(shù)的實(shí)現(xiàn)做一下粗淺的分析:
1 vpn簡(jiǎn)介
虛擬專用網(wǎng)(virtuaiprivatenetwork, vpn)是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。vpn極大地降低了用戶的費(fèi)用,而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。
vpn可分為三大類:(1)企業(yè)各部門(mén)與遠(yuǎn)程分支之間的in-tranet vpn;(2)企業(yè)網(wǎng)與遠(yuǎn)程(移動(dòng))雇員之間的遠(yuǎn)程訪問(wèn)(re-mote access)vpn;(3)企業(yè)與合作伙伴、客戶、供應(yīng)商之間的extranet vpno
在extranetvpn中,企業(yè)要與不同的客戶及供應(yīng)商建立聯(lián)系,vpn解決方案也會(huì)不同。因此,企業(yè)的vpn產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進(jìn)行互操作。這就要求所選擇的vpn方案應(yīng)該是基于工業(yè)標(biāo)準(zhǔn)和協(xié)議的。這些協(xié)議有ipsec、點(diǎn)到點(diǎn)隧道協(xié)議(pointtopoint tunneling protocol,pptp)、第二層隧道協(xié)議(layer2 tunneling protocol,i,2tp)等。
2 vpn的實(shí)現(xiàn)技術(shù)
vpn實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時(shí)qos技術(shù)對(duì)vpn的實(shí)現(xiàn)也至關(guān)重要。
2.1 vpn訪問(wèn)點(diǎn)模型
首先提供一個(gè)vpn訪問(wèn)點(diǎn)功能組成模型圖作為參考。其中ipsec集成了ip層隧道技術(shù)和加密技術(shù)。
2.2隧道技術(shù)
隧道技術(shù)簡(jiǎn)單的說(shuō)就是:原始報(bào)文在a地進(jìn)行封裝,到達(dá)b地后把封裝去掉還原成原始報(bào)文,這樣就形成了一條由a到b的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(generi-croutingencapsulation, gre )i,2tp和pptpo
(1)gre
gre主要用于源路由和終路由之間所形成的隧道。例如,將通過(guò)隧道的報(bào)文用一個(gè)新的報(bào)文頭(gre報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放人隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí),gre報(bào)文頭被剝掉,繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。gre隧道通常是點(diǎn)到點(diǎn)的,即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許一點(diǎn)到多點(diǎn),即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一條路由協(xié)議(next-hoproutingprotocol , nhrp)結(jié)合使用。nhrp主要是為了在路由之間建立捷徑。
gre隧道用來(lái)建立vpn有很大的吸引力。從體系結(jié)構(gòu)的觀點(diǎn)來(lái)看,vpn就象是通過(guò)普通主機(jī)網(wǎng)絡(luò)的隧道集合。普通主機(jī)網(wǎng)絡(luò)的每個(gè)點(diǎn)都可利用其地址以及路由所形成的物理連接,配置成一個(gè)或多個(gè)隧道。在gre隧道技術(shù)中人口地址用的是普通主機(jī)網(wǎng)絡(luò)的地址空間,而在隧道中流動(dòng)的原始報(bào)文用的是vpn的地址空間,這樣反過(guò)來(lái)就要求隧道的終點(diǎn)應(yīng)該配置成vpn與普通主機(jī)網(wǎng)絡(luò)之間的交界點(diǎn)。這種方法的好處是使vpn的路由信息從普通主機(jī)網(wǎng)絡(luò)的路由信息中隔離出來(lái),多個(gè)vpn可以重復(fù)利用同一個(gè)地址空間而沒(méi)有沖突,這使得vpn從主機(jī)網(wǎng)絡(luò)中獨(dú)立出來(lái)。從而滿足了vpn的關(guān)鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族,減少實(shí)現(xiàn)vpn功能函數(shù)的數(shù)量。還有,對(duì)許多vpn所支持的體系結(jié)構(gòu)來(lái)說(shuō),用同一種格式來(lái)支持多種協(xié)議同時(shí)又保留協(xié)議的功能,這是非常重要的。ip路由過(guò)濾的主機(jī)網(wǎng)絡(luò)不能提供這種服務(wù),而只有隧道技術(shù)才能把vpn私有協(xié)議從主機(jī)網(wǎng)絡(luò)中隔離開(kāi)來(lái)。基于隧道技術(shù)的vpn實(shí)現(xiàn)的另一特點(diǎn)是對(duì)主機(jī)網(wǎng)絡(luò)環(huán)境和vpn路由環(huán)境進(jìn)行隔離。對(duì)vpn而言主機(jī)網(wǎng)絡(luò)可看成點(diǎn)到點(diǎn)的電路集合,vpn能夠用其路由協(xié)議穿過(guò)符合vpn管理要求的虛擬網(wǎng)。同樣,主機(jī)網(wǎng)絡(luò)用符合網(wǎng)絡(luò)要求的路由設(shè)計(jì)方案,而不必受vpn用戶網(wǎng)絡(luò)的路由協(xié)議限制。
雖然gre隧道技術(shù)有很多優(yōu)點(diǎn),但用其技術(shù)作為vpn機(jī)制也有缺點(diǎn),例如管理費(fèi)用高、隧道的規(guī)模數(shù)量大等。因?yàn)間re是由手工配置的,所以配置和維護(hù)隧道所需的費(fèi)用和隧道的數(shù)量是直接相關(guān)的—每次隧道的終點(diǎn)改變,隧道要重新配置。隧道也可自動(dòng)配置,但有缺點(diǎn),如不能考慮相關(guān)路由信息、性能問(wèn)題以及容易形成回路問(wèn)題。一旦形成回路,會(huì)極大惡化路由的效率。除此之外,通信分類機(jī)制是通過(guò)一個(gè)好的粒度級(jí)別來(lái)識(shí)別通信類型。如果通信分類過(guò)程是通過(guò)識(shí)別報(bào)文(進(jìn)人隧道前的)進(jìn)行的話,就會(huì)影響路由發(fā)送速率的能力及服務(wù)性能。
gre隧道技術(shù)是用在路由器中的,可以滿足extranetvpn以及intranetvpn的需求。但是在遠(yuǎn)程訪問(wèn)vpn中,多數(shù)用戶是采用撥號(hào)上網(wǎng)。這時(shí)可以通過(guò)l2tp和pptp來(lái)加以解決。
(2)l2tp和pptp
l2tp是l2f( layer2forwarding)和ppt’i〕的結(jié)合。但是由于pc機(jī)的桌面操作系統(tǒng)包含著pptp,因此ppt’i〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主動(dòng)’,隧道,后者指“強(qiáng)制”隧道。“主動(dòng)”隧道是用戶為某種特定目的的請(qǐng)求建立的,而“強(qiáng)制”隧道則是在沒(méi)有任何來(lái)自用戶的動(dòng)作以及選擇的情況下建立的。l2tp作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下:
a.用戶通過(guò)modem與nas建立連接;b.用戶通過(guò)nas的l2tp接入服務(wù)器身份認(rèn)證;;c.在政策配置文件或nas與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上,nas和l2tp接入服務(wù)器動(dòng)態(tài)地建立一條l2tp隧道;d.用戶與l2tp接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(pointtopointprotocol, ppp)訪問(wèn)服務(wù)隧道;e.用戶通過(guò)該隧道獲得vpn服務(wù)。
與之相反的是,pptp作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置,與任意位置的pptp服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且,pptp協(xié)商和隧道建立過(guò)程都沒(méi)有中間媒介nas的參與。nas的作用只是提供網(wǎng)絡(luò)服務(wù)。pptp建立過(guò)程如下:a.用戶通過(guò)串口以撥號(hào)ip訪問(wèn)的方式與nas建立連接取得網(wǎng)絡(luò)服務(wù);b.用戶通過(guò)路由信息定位pptp接入服務(wù)器;c.用戶形成一個(gè)pptp虛擬接口;d.用戶通過(guò)該接口與pptp接入服務(wù)器協(xié)商、認(rèn)證建立一條ppp訪問(wèn)服務(wù)隧道;e.用戶通過(guò)該隧道獲得vpn服務(wù)。
在l2tp中,用戶感覺(jué)不到nas的存在,仿佛與pptp接入服務(wù)器直接建立連接。而在pptp中,pptp隧道對(duì)nas是透明的;nas不需要知道pptp接入服務(wù)器的存在,只是簡(jiǎn)單地把pptp流量作為普通ip流量處理。
采用l2tp還是pptp實(shí)現(xiàn)vpn取決于要把控制權(quán)放在nas還是用戶手中。硯tp比pptp更安全,因?yàn)槌巘p接入服務(wù)器能夠確定用戶從哪里來(lái)的。硯tp主要用于比較集中的、固定的vpn用戶,而pptp比較適合移動(dòng)的用戶。
2.3加密技術(shù)
數(shù)據(jù)加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息,使非受權(quán)者不能了解被保護(hù)信息的內(nèi)容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4雖然強(qiáng)度比較弱,但是保護(hù)免于非專業(yè)人士的攻擊已經(jīng)足夠了;des和三次des強(qiáng)度比較高,可用于敏感的商業(yè)信息。
加密技術(shù)可以在協(xié)議棧的任意層進(jìn)行;可以對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密。在網(wǎng)絡(luò)層中的加密標(biāo)準(zhǔn)是ipsec。網(wǎng)絡(luò)層加密實(shí)現(xiàn)的最安全方法是在主機(jī)的端到端進(jìn)行。另一個(gè)選擇是“隧道模式”:加密只在路由器中進(jìn)行,而終端與第一條路由之間不加密。這種方法不太安全,因?yàn)閿?shù)據(jù)從終端系統(tǒng)到第一條路由時(shí)可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,vpn安全粒度達(dá)到個(gè)人終端系統(tǒng)的標(biāo)準(zhǔn);而“隧道模式”方案,vpn安全粒度只達(dá)到子網(wǎng)標(biāo)準(zhǔn)。在鏈路層中,目前還沒(méi)有統(tǒng)一的加密標(biāo)準(zhǔn),因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計(jì)的,需要特別的加密硬件。
2.4 qos技術(shù)
通過(guò)隧道技術(shù)和加密技術(shù),已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的vpn。但是該vpn性能上不穩(wěn)定,管理上不能滿足企業(yè)的要求,這就要加入qos技術(shù)。實(shí)行qos應(yīng)該在主機(jī)網(wǎng)絡(luò)中,即vpn所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
本文鏈接:http://www.svtrjb.com/v-141-3383.htmlvpn技術(shù)論文范文8篇
相關(guān)文章:
小學(xué)生春節(jié)手抄報(bào)素材02-06
新學(xué)期開(kāi)學(xué)勵(lì)志標(biāo)語(yǔ)08-17
簡(jiǎn)單裝飾小掛件十字旋轉(zhuǎn)風(fēng)鈴折紙圖解07-26
感謝醫(yī)生的句子09-27
最新技術(shù)員年終工作總結(jié)報(bào)告 技術(shù)員年終工作總結(jié)(通用十四篇)01-07
銀行大堂經(jīng)理個(gè)人述職報(bào)告11-01
廣告推廣策劃書(shū)08-23
學(xué)生會(huì)干部工作心得總結(jié)精選范文5篇最新08-16
跟崗研修心得體會(huì)08-13
捉迷藏的三年級(jí)作文11-09
會(huì)飛的母雞想象作文07-26
暖心生日快樂(lè)祝福賀詞07-23
哪些2A學(xué)校的專業(yè)特別好?尤其是深大、廣工和廣商,外省的也可以。請(qǐng)列舉學(xué)校及專業(yè)名稱。我是文科的。謝12-11
山東農(nóng)業(yè)大學(xué)南校區(qū)試驗(yàn)田里種植什么12-05
四川2024年11月證券從業(yè)資格考試準(zhǔn)考證打印時(shí)間:11月27日至30日11-13
《前出塞》原文及翻譯賞析01-12