vpn技術篇1
關鍵詞:VPN;信息化;防火墻
1 VPN技術應用背景
天脊煤化工集團有限公司從2003年進入了信息化建設的發(fā)展階段,在浙江中控軟件技術有限公司、山西省信息工程設計院等單位共同合作下建立起了“天脊集團綜合信息管理自動化系統(tǒng)”。該自動化系統(tǒng)包括領導查詢分系統(tǒng)、生產(chǎn)管理分系統(tǒng)、人力資源管理分系統(tǒng)、備品備件管理分系統(tǒng)、物資供應資源分系統(tǒng)、銷售管理分系統(tǒng)等。隨著信息化建設的不斷深入,業(yè)務流程漸漸規(guī)范化,各種分系統(tǒng)也在不斷完善,分布在全國各地的分公司和子公司相應業(yè)務也要納入到“天脊集團綜合信息管理自動化系統(tǒng)”中來。為此,集團公司決定由信息管理中心組織并實施VPN技術。
2 VPN技術在天脊集團企業(yè)信息化建設中的具體實施
(1) VPN的選型
用于企業(yè)內(nèi)部自建VPN的主要有兩種技術――IPSec VPN和SSL VPN。
IPSec VPN和SSL VPN各有優(yōu)缺點。IPSec VPN提供完整的網(wǎng)絡層連接功能,因而是實現(xiàn)多專用網(wǎng)安全連接的最佳選項;而SSL VPN的“零客戶端”架構(gòu)特別適合于遠程用戶連接,用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應用。SSL VPN存在一定安全風險,因為用戶可運用公眾Internet站點接入;IPSec VPN需要軟件客戶端支撐,不支持公共Internet站點接入,但能實現(xiàn)Web或非Web類企業(yè)應用訪問。
目前,天脊集團主干網(wǎng)絡設備為CISCO的產(chǎn)品,路由器和防火墻均提供實現(xiàn)VPN的功能。綜合評比在防火墻上實現(xiàn)VPN功能更適合,且不改變網(wǎng)絡結(jié)構(gòu)、不增加任何硬件投資下實現(xiàn)VPN功能,而在路由器上實現(xiàn)VPN還需購買相關VPN模塊。根據(jù)天脊集團具體的業(yè)務需要和現(xiàn)有的網(wǎng)絡狀況,天脊集團選擇了CISCO的IPSec VPN方案。
(2) 網(wǎng)絡架構(gòu)
在項目的實施中,利用Cisco PIX 515防火墻提供的VPN功能來構(gòu)建虛擬專用網(wǎng)。Cisco PIX 515 Firewall提供基于IPSec標準的VPN功能。借助IPSec,當數(shù)據(jù)在公共網(wǎng)上傳輸時,用戶無需擔心數(shù)據(jù)會被查看、篡改或欺詐。借助IPSec,用戶可以通過互聯(lián)網(wǎng)等不受保護的網(wǎng)絡傳輸敏感信息。IPSec在網(wǎng)絡層操作,能保護和鑒別所涉及的IPSec設備(對等物)之間的IP包。
(3) 詳細配置信息
防火墻配置:
access-list 100 permit 172.16.5.0 255.
255.255.0 172.16.2.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.
168.1.254
global(outside) 1 interface
nat(inside) 0 access-list 100
conduit permit tcp host 172.16.3.10 any
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-
des esp-md5-hmac
crypto dynamic-map dynmap 10 set tra
nsform-set myset
crypto map vpn 10 ipset-isakmp dynamic dynmap
crypto map vpn 20 ipsec-isakmp
crypto map vpn client configuration address initiate
crypto map vpn client configuration address respond
crypto map vpn interface outside
isakmp enable outside
isakmp key ******* address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-sha
re
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn3000 address-pool vpnpool
vpngroupvpn3000dns-server 172.16.
2.11
vpngroup vpn3000 split-tunnel 100
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
isakmp client configuration address-
poollocal vpnpool outside
路由器配置:
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
VPN客戶端要求:
在集團公司分公司和子公司內(nèi)要求使用和信息管理中心一致的寬帶接入服務,使用Microsoft Windows2000以上操作系統(tǒng);使用Cisco VPN Client v4.8遠程連接控制工具;相關人員必須接受VPN客戶端使用相關知識學習,達到獨立解決VPN客戶端問題的能力。
(4) VPN技術實施效果評價
降低費用。遠程用戶可以通過向當?shù)氐腎SP申請賬戶登錄到Internet,以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡相連,通信費用大幅度降低;其次企業(yè)可以節(jié)省購買和維護通訊設備的費用。
安全性得到了增強。VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進行驗證,并對數(shù)據(jù)進行加密處理。對于企業(yè)內(nèi)部的數(shù)據(jù),可以通過VPN使企業(yè)Intranet上擁有適當權(quán)限的用戶才能通過遠程訪問建立與服務器的連接,并且可以訪問業(yè)務部門網(wǎng)絡中受到保護的資源。
3 總結(jié)
vpn技術篇2
關鍵詞:VPN;MPLS;多協(xié)議標記交換
中圖法分類號:TP309文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
隨著Internet的VPN連接蓬勃發(fā)展,人們對其連接質(zhì)量提出了更高的要求。但常規(guī)的VPN連接方法缺乏高效的連接手段,網(wǎng)絡經(jīng)常會發(fā)生阻塞,許多應用對于目前的IP技術(如語音和視頻等)顯得力不從心,并且實現(xiàn)成本也很高。而新興的多協(xié)議標記交換技術(MPLS:MultiProtocol Label Switching)有望解決這一問題。
1 VPN簡介
首先引入現(xiàn)實中的一個例子,經(jīng)常在外地出差的公司用戶希望能從外地的網(wǎng)絡訪問公司的內(nèi)網(wǎng)辦公,而訪問的結(jié)果就像在公司內(nèi)網(wǎng)一樣,不會有對資源、權(quán)限的限制,就好像在內(nèi)網(wǎng)里面一樣,我們可以利用VPN技術實現(xiàn)這個目的。
由以上來看,究竟什么是VPN呢?虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
2 常規(guī)VPN技術
以往常規(guī)的VPN連接技術是在PPTP或者L2TP協(xié)議的控制下進行隧道封裝加密傳輸,其中,PPTP協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用TCP控制,用于嚴格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在PPP協(xié)議中,然后封裝到GRE V2協(xié)議中。目前,PPTP協(xié)議基本已被淘汰。L2TP是國際標準隧道協(xié)議,它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點,能以隧道方式使PPP包通過各種網(wǎng)絡協(xié)議,包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施,更多是和IPSec協(xié)議結(jié)合使用,提供隧道驗證。
但是,IPsec協(xié)議首要的和最明顯的缺點就是性能的下降,其次,在實現(xiàn)成本上非常不利,低端的設備通常用軟件實現(xiàn)所有的IPsec功能,因而其速度最慢。價格貴些的用硬件實現(xiàn)IPsec功能。一般來說,性能越好,其價格越貴。
3 基于MPLS的VPN的新技術
同傳統(tǒng)的VPN不同,MPLS VPN不依靠封裝和加密技術,MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN,MPLS VPN的所有技術產(chǎn)生于InternetConnect網(wǎng)絡。
CPE被稱為客戶邊緣路由器(CE)。在InternetConnect網(wǎng)絡中,同CE相連的路由器稱為供應商邊緣路由器(PE)。一個VPN數(shù)據(jù)包括一組CE路由器,以及同其相連的InternetConnect網(wǎng)中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潛在的網(wǎng)絡。
CE可以感覺到同一個專用網(wǎng)相連。每個VPN對應一個VPN路由/轉(zhuǎn)發(fā)實例(VRF)。一個VRF定義了同PE路由器相連的客戶站點的VPN成員資格。一個VRF數(shù)據(jù)包括IP路由表,一個派生的Cisco Express Forwarding (CEF)表,一套使用轉(zhuǎn)發(fā)表的接口,一套控制路由表中信息的規(guī)則和路由協(xié)議參數(shù)。一個站點可以且僅能同一個VRF相聯(lián)系??蛻粽军c的VRF中的數(shù)據(jù)包含了其所在的VPN中,所有的可能連到該站點的路由。
對于每個VRF,數(shù)據(jù)包轉(zhuǎn)發(fā)信息存儲在IP路由表和CEF表中。每個VRF維護一個單獨的路由表和CEF表。這些表各可以防止轉(zhuǎn)發(fā)信息被傳輸?shù)絍PN之外,同時也能阻止VPN之外的數(shù)據(jù)包轉(zhuǎn)發(fā)到VPN內(nèi)不的路由器中。這個機制使得VPN具有安全性。
在每個VPN內(nèi)部,可以建立任何連接:每個站點可以直接發(fā)送IP數(shù)據(jù)包到VPN中另外一個站點,無需穿越中心站點。一個路由識別器(RD)可以識別每一個單獨的VPN。一個MPLS網(wǎng)絡可以支持成千上萬個VPN。每個MPLS VPN網(wǎng)絡的內(nèi)部是由供應商(P)設備組成。這些設備構(gòu)成了MPLS核,且不直接同CE路由器相連。圍繞在P設備周圍的供應商邊緣路由器(PE)可以讓MPLS VPN網(wǎng)絡發(fā)揮VPN的作用。P和PE路由器稱為標記交換路由器(LSR)。LSR設備基于標記來交換數(shù)據(jù)包。
客戶站點可以通過不同的方式連接到PE路由器,例如幀中繼,ATM,DSL和T1方式等等。
三種不同的VPN,分別用Route Distinguishers 10,20和30來表示。
MPLS VPN中,客戶站點運行的是通常的IP協(xié)議。它們并不需要運行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由識別器對應同每個客戶站點的連接。這些連接可以是諸如T1,單一的幀中繼,ATM虛電路,DSL等這樣的物理連接。路由識別器在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在客戶設備上進行配置,對于客戶來說是透明的。
每個MPLS VPN具有自己的路由表,這樣客戶可以重疊使用地址且互不影響。對用RFC 1918建議進行尋址的多種客戶來說,上述特點很有用處。例如,任何數(shù)量的客戶都可以在其MPLS VPN中,使用地址為10.1.1.X的網(wǎng)絡。MPLS VPN的一個最大的優(yōu)點是CPE設備不需要智能化。因為所有的VPN功能是在InternetConnect的核心網(wǎng)絡中實現(xiàn)的,且對CPE是透明的。CPE并不需要理解VPN,同時也不需要支持IPSec。這意味著客戶可以使用價格便宜的CPE,或者甚至可以繼續(xù)使用已有的CPE。
4 基于MPLS VPN的優(yōu)點
時延被降到最低,因為數(shù)據(jù)包不再經(jīng)過封裝或者加密。加密之所以不再需要,是因為MPLS VPN可以創(chuàng)建一個專用網(wǎng),它同幀中繼網(wǎng)絡具備的安全性很相似。因為不需要隧道,所以要創(chuàng)建一個全網(wǎng)狀的VPN網(wǎng)也將變得很容易。事實上,缺省的配置是全網(wǎng)狀布局。站點直接連到PE,之后可以到達VPN中的任何其他站點。如果不能連通到中心站點,遠程站點之間仍然能夠相互通信。
配置MPLS VPN網(wǎng)絡的設備也變得容易了,僅需配置核心網(wǎng)絡,不需訪問CPE。一旦配置好一個站點,在配置其他站點時無需重新配置。因為添加新的站點時,僅需改變所連到的PE的配置。
在MPLS VPN中,安全性可以得到容易地實現(xiàn)。一個封閉的VPN具有內(nèi)在的安全性,因為它不同Public Internet相連。如果需要訪問Internet,則可以建立一個通道,在該通道上,可放置一個防火墻,這樣就對整個VPN提供安全的連接。管理起來也很容易,因為對于整個VPN來說,只需要維護一種安全策略。
MPLS VPN的另外一個好處是對于一個遠程站點,僅需要一個連接即可。想象一下,帶有一個中心站點和10個遠程站點的傳統(tǒng)幀中繼網(wǎng),每個遠程站點需要一個幀中繼PVC(永久性虛電路),這意味者需要10個PVC。而在MPLS VPN網(wǎng)中,僅需要在中心站點位置建立一個PVC,這就降低了網(wǎng)絡的成本。
5 總結(jié)
MPLS是一種結(jié)合了鏈路層和IP層優(yōu)勢的新技術。在MPLS網(wǎng)絡上不僅僅能提供VPN業(yè)務,也能夠開展QoS、TE、組播等等的業(yè)務。隨著MPLS應用的不斷升溫,不論是產(chǎn)品還是網(wǎng)絡,對MPLS的支持已不再是額外的要求。VPN雖然是一項剛剛興起的綜合性的網(wǎng)絡新技術,但卻已經(jīng)顯示了其強大的生命力。在我國網(wǎng)絡基礎薄弱,政府和企業(yè)對IP虛擬專用網(wǎng)的需求不高,但相信隨著政府上網(wǎng)、特別是在電子商務的推動下,基本MPLS的IP虛擬專用網(wǎng)技術的解決方案必將有不可估量的市場前景。
參考文獻:
[1]王達.虛擬專用網(wǎng)(VPN)精解[J].清華大學出版社,2004,173-7.
[2]Ivan Pepelnjak, Jim Guichard, MPLS和VPN體系結(jié)構(gòu)CCIP版(英文版)[J].人民郵電出版社,2003.
vpn技術篇3
關鍵詞:VPN技術;應用;研究
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)17-3996-03
虛擬專用網(wǎng),用英文翻譯過來就是Virtual Private Network,簡稱為VPN。虛擬專用網(wǎng)是通過公共網(wǎng)絡中相關的基礎設施,采用先進的技術方式,對不同的兩臺計算機進行一種專用的連接,使相關的網(wǎng)絡數(shù)據(jù)信息在通過公共網(wǎng)絡進行上傳的過程中,保證網(wǎng)絡數(shù)據(jù)信息私密性的一項技術。如何有效的應用虛擬專用網(wǎng)技術,是企業(yè)在發(fā)展過程中必須解決的一個重要問題。
1 VPN技術的優(yōu)點
1.1 節(jié)約成本
VPN技術對公共網(wǎng)絡進行了利用,建立并組成了虛擬的專用網(wǎng)絡,不需要在單獨依靠公共網(wǎng)絡中專用的線路來保障數(shù)據(jù)信心傳輸?shù)陌踩脤S玫木W(wǎng)絡就能夠?qū)崿F(xiàn)數(shù)據(jù)信心的安全性,這一種方式相對于其他通信方式而言,所需要使用的成本更為低廉,例如:長途電話、專線電話等。
1.2 使用便捷
VPN技術在公共網(wǎng)絡中的使用較為便捷,易于在公共網(wǎng)絡中進行擴展。當公共網(wǎng)絡內(nèi)部中的節(jié)結(jié)點逐漸增多的時候,專線連接網(wǎng)絡的結(jié)構(gòu)也會變得越來越復雜,而且所需要花費的成本也非常的高,而在使用虛擬專用網(wǎng)的過程中,只需要在公共網(wǎng)絡的節(jié)點位置構(gòu)架相關的VPN設備,就能夠在對Internet進行利用時在計算機網(wǎng)絡中建立安全連接,若是公共網(wǎng)絡內(nèi)部中有其他的網(wǎng)絡想要進入安全連接,只需要在使用使用一臺虛擬專用網(wǎng)設備,對相關的配置的配置進行調(diào)整就能夠使其他的網(wǎng)絡加入到安全連接之中。
1.3 確保安全性
確保公共網(wǎng)絡中的安全性,是VPN技術在計算機網(wǎng)絡中的基礎,為了確保相關的數(shù)據(jù)信息在通過公共網(wǎng)絡進行傳輸過程中的安全性,VPN技術對加密認證這一項技術進行利用,在公共網(wǎng)絡內(nèi)部中對相關的安全隧道進行構(gòu)建,重要的數(shù)據(jù)信息通過安全隧道進行傳輸,有效的保證了數(shù)據(jù)信息在傳輸時的安全性,避免數(shù)據(jù)信息被惡意的篡改、破壞。
2 VPN得以實現(xiàn)的主要技術
VPN不是一個實體,而是一種虛擬的網(wǎng)絡形態(tài),是計算機網(wǎng)絡中的一個概念,是一個通過公共網(wǎng)絡中的基礎設施對虛擬專用網(wǎng)絡進行構(gòu)建時,所運用連接技術綜合起來的名稱。VPN技術的實現(xiàn),離不開隧道技術,隧道技術是VPN技術得以實現(xiàn)的前提,隧道技術是一種對公共網(wǎng)絡中的數(shù)據(jù)信息進行包裝,然后在公共網(wǎng)絡中構(gòu)建一條網(wǎng)絡隧道,使公共網(wǎng)絡中的數(shù)據(jù)信心通過這一條網(wǎng)絡隧道進行傳輸,以下是VPN技術在運用過程中的主要隧道技術。
2.1 點到點隧道協(xié)議
點到點隧道協(xié)議簡稱為PPTP,即Point-to-Point Tunneling Protocol,PPTP將公共網(wǎng)絡中的PPP數(shù)據(jù)信息進行包裝之后,通過Internet對這些數(shù)據(jù)信息進行傳輸,PPTP協(xié)議提供了使多協(xié)議VPN構(gòu)建于Internet中的一種通信方式,遠程的客戶端能夠通過PPTP對專用網(wǎng)絡進行訪問。
2.2 二層轉(zhuǎn)發(fā)協(xié)議
二層轉(zhuǎn)發(fā)協(xié)議簡稱L2F,即Layer Two Forwarding Protocol,二層轉(zhuǎn)發(fā)協(xié)議能夠?qū)Ω鞣N不同的傳輸協(xié)議提供支持,例如:幀中繼、ATM以及IP等,二層轉(zhuǎn)發(fā)協(xié)議可以讓遠程客戶端的客戶在接入公共IP網(wǎng)絡中時,在撥號方式上不會受到任何的限制,例如:遠程客戶端的客戶在運用常規(guī)的撥號方式對ISP中的NAS進行撥號時,對PPP連接進行構(gòu)建,NAS則通過對遠程客戶端客戶的一些基本信息的了解,在網(wǎng)絡中進行第二重連接,向公司所在地的二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡服務器進行傳輸,二層轉(zhuǎn)發(fā)協(xié)議中的網(wǎng)絡服務器在將接收到的數(shù)據(jù)信心傳輸?shù)焦緝?nèi)部的網(wǎng)絡中。
2.3 IP安全協(xié)議
IP安全協(xié)議簡稱為IP Sec,IP安全協(xié)議包含了秘鑰協(xié)商與安全協(xié)議這兩個方面中的一部分,IP Sec安全協(xié)議提供了鑒別頭與封裝安全載荷這兩種在通信過程中起到保護作用的機制。鑒別頭用英文表示為Authentication Header,簡稱AH,它給計算機網(wǎng)絡通信中提供的是一種完全性的保護。封裝安全載荷用英文表示為Encapsulations Security Payload,簡稱ESP,它給計算機網(wǎng)絡通信中提供的不僅僅是完整性的保護,還有機密文件在通過網(wǎng)絡進行傳輸這一過程中的保護。鑒別頭與封裝安全載荷對計算機網(wǎng)絡通信的保護具有實效性,對于公司內(nèi)部在使用網(wǎng)絡進行數(shù)據(jù)信息傳輸?shù)陌踩杂兄种匾囊饬x。IP安全協(xié)議是虛擬專用網(wǎng)技術中一個非常重要的組成部分,它對于網(wǎng)絡的保護具有完整性,是虛擬專用網(wǎng)在計算機網(wǎng)絡的應用中,不可缺少的一個部分,不僅僅保護了數(shù)據(jù)信息在通過網(wǎng)絡進行傳輸中的安全,還在很大程度上保障了數(shù)據(jù)信息來源的安全性、可靠性。
3 VPN技術的應用
在對VPN技術進行應用的過程中,能夠有效的解決虛擬專用網(wǎng)絡在對公共網(wǎng)絡進行利用中存在的問題。
以下是VPN技術主要的幾種應用:
3.1 遠程訪問VPN
隨著我國科學技術的深入發(fā)展,人們對于遠程通信的需求逐漸的擴大,各個行業(yè)辦公方式由辦公室辦公轉(zhuǎn)變?yōu)樵谵k公室以外進行辦公,企業(yè)中的工作人員對于企業(yè)網(wǎng)絡中的遠程客戶端訪問的要求逐漸增高,在這一形勢下遠程訪問VPN的出現(xiàn)是必然的趨勢。
一些公司或企業(yè)在網(wǎng)絡中進行遠程訪問的過程中,為了保證遠程訪問的安全性,傳統(tǒng)的方法是公司或企業(yè)的內(nèi)部網(wǎng)絡中對RAS進行構(gòu)建,即遠程訪問服務器。遠程客戶端客戶利用電話這一形式進行網(wǎng)絡撥號,然后接入RAS,接著進行入到公司或企業(yè)的內(nèi)部網(wǎng)絡中,在利用這種傳統(tǒng)的方法進行遠程訪問時,需要對相關的RAS設備進行購買,RAS設備的價格都非常的高,而且遠程客戶端客戶只能采取撥號這一種形式進行遠程訪問,遠程訪問的效率非常低,在遠程訪問時的安全性也得不到有效的保障,在進行撥號時所需要的花費的費用也非常的多。遠程訪問VPN,通過數(shù)字用戶線路、ISDN以及撥號等一系列方式,進入到公司或企業(yè)所在地的ISP中,再進入Internet中,然后對公司或企業(yè)中的VPN網(wǎng)關進行連接,在VPN與遠程客戶端的客戶之間構(gòu)建一條安全隧道,遠程客戶端的客戶可以通過這一條安全隧道對公司或企業(yè)內(nèi)部中的網(wǎng)絡進行訪問,這種方式不僅僅節(jié)約了遠程訪問過程中所需要花費的費用,還在很大程度上保障了遠程訪問中的安全性。
遠程訪問VPN的結(jié)構(gòu)示意圖,如圖1所示。
3.2 站點到站點的內(nèi)聯(lián)網(wǎng)
一般情況下,在對同一個企業(yè)中兩個不同的分支機構(gòu)進行連接的過程中,專用私有線路是必不可少的連接工具,但是專用私有線路非常的難找,尋找一條專用私有線路需要花費很多的時間與精力,而且專用私有線路一般都以出租的方式進行利用,租金非常的高。企業(yè)在利用一條專用私有線路對內(nèi)部中不同的分支機構(gòu)進行連接時,如果專用私有線路對企業(yè)內(nèi)部網(wǎng)絡造成了破壞,則會導致連接的失敗,而且在利用專用私有線路對企業(yè)內(nèi)部網(wǎng)絡中的數(shù)據(jù)信息進行傳輸?shù)臅r候,傳輸數(shù)據(jù)信息的網(wǎng)絡通道沒有進行相關的加密,這就造成了數(shù)據(jù)信息在傳輸過程中存在著不安全因素。
站點到站點的內(nèi)聯(lián)網(wǎng),能夠有效的解決企業(yè)內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)、傳輸、連接在安全這一方面存在的問題,站點到站點的內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)示意圖,如圖2所示。
VPN網(wǎng)關,處于公共網(wǎng)絡與企業(yè)專用網(wǎng)絡的交界處,站點到站點的內(nèi)聯(lián)網(wǎng)對數(shù)據(jù)信息通信進行加密,通過Internet將數(shù)據(jù)信息傳輸?shù)较嚓P的VPN網(wǎng)關中。站點到站點的內(nèi)聯(lián)網(wǎng)在接收到Internet所傳輸?shù)臄?shù)據(jù)信息已被加密,然后通過將數(shù)據(jù)信息傳輸?shù)絍PN網(wǎng)關對數(shù)據(jù)信息進行解密,接著傳輸?shù)狡髽I(yè)的內(nèi)部網(wǎng)絡中。站點與站點的內(nèi)聯(lián)網(wǎng)在傳輸數(shù)據(jù)信息時,不需要專用的私有線路,而且還能夠使VPN變得非常的靈活。
3.3 VPN技術應用的實例
VPN技術在宜春供水有限公司中的應用,圖3是宜春供水有限公司中VPN網(wǎng)絡結(jié)構(gòu)圖。
VPN技術在宜春供水有限公司中的應用,取代了宜春供水有限公司內(nèi)部中傳統(tǒng)的專線網(wǎng)絡,VPN技術的應用極大的增強了宜春供水有限公司在利用網(wǎng)絡進行數(shù)據(jù)信息傳遞時的安全性,有效的節(jié)約了宜春供水有限公司在網(wǎng)絡信息數(shù)據(jù)傳輸這一方面的資金成本,在總體上為公司節(jié)省了85%左右的信息數(shù)據(jù)通訊的資金成本,而且只需要普通寬帶就能夠?qū)崿F(xiàn)。
4 結(jié)束語
虛擬專用網(wǎng)技術在企業(yè)應用計算機網(wǎng)絡的過程中有著重要的作用,企業(yè)采用VPN這一技術,能夠有效的保障計算機網(wǎng)絡的安全性、可靠性、經(jīng)濟性,能夠確保企業(yè)中的一些重要的私密性文件在通過網(wǎng)絡進行傳輸時的安全。
參考文獻:
[1] 浦兜,陳依群,曾鴻文.虛擬專用網(wǎng)絡(VPN)信息加密技術研究[J].電訊技術,2010(17).
[2] 束坤,凳國新.基于計算機網(wǎng)絡的VPN技術[J].計算機應用,2008(11).
[3] 曾勇軍,暢貞斌,羅必國.通過隧道技術建立安全的虛擬專用網(wǎng)[J].計算機工程與應用,2010(8).
vpn技術篇4
【論文摘要】:虛擬專用網(wǎng)(vpn)技術主要包括數(shù)據(jù)封裝化,隧道協(xié)議,防火墻技術,加密及防止數(shù)據(jù)被篡改技術等等。文章著重介紹了虛擬專用網(wǎng)以及對相關技術。并對vpn隧道技術的分類提出了一些新的探索。
引言
虛擬專用網(wǎng)即vpn(virtual private network)是利用接入服務器(access sever)、廣域網(wǎng)上的路由器以及vpn專用設備在公用的wan上實現(xiàn)虛擬專用網(wǎng)技術。通常利internet上開展的vpn服務被稱為ipvpn。
利用共用的wan網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,vpn采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。
1. 隧道技術
internet中的隧道是邏輯上的概念。假設總部的lan上和分公司的lan上分別連有內(nèi)部的ip地址為a和b的微機??偛亢头止镜絠sp的接入點上的配置了vpn設備。它們的全局ip地址是c和d。假定從微機b向微機a發(fā)送數(shù)據(jù)。在分公司的lan上的ip分組的ip地址是以內(nèi)部ip地址表示的"目的地址a""源地址b"。因此分組到達分公司的vpn設備后,立即在它的前部加上與全局ip地址對應的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設備從d發(fā)往vpn設備c而添加的。WWw.133229.COm此ip分組到達總部的vpn設備c后,全局ip地址即被刪除,恢復成ip分組發(fā)往地址a。由此可見,隧道技術就是vpn利用公用網(wǎng)進行信息傳輸?shù)年P鍵。為此,還必須在ip分組上添加新頭標,這就是所謂ip的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現(xiàn)。
基于隧道技術vpn網(wǎng)絡,對于通信的雙方,感覺如同在使用專用網(wǎng)絡進行通信。
2. 隧道協(xié)議
在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用vpn技術還需要有隧道協(xié)議。
2.1 當前主要的隧道協(xié)議以及隧道機制的分類:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技術,作為一種傳輸協(xié)議l2f支持撥號接入服務器。將撥號數(shù)據(jù)流封裝在ppp幀內(nèi)通過廣域網(wǎng)鏈路傳送到l2f服務器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp協(xié)議又稱為點對點的隧道協(xié)議。pptp協(xié)議允許對ip,ipx或netbeut數(shù)據(jù)流進行加密,然后封裝在ip包頭中通過企業(yè)ip網(wǎng)絡或公共互連網(wǎng)絡傳送。
⑶ 2tp(layer 2 tunneling protocol)
該協(xié)議是遠程訪問型vpn今后的標準協(xié)議。
l2f、pptp、l2tp共同特點是從遠程客戶直至內(nèi)部網(wǎng)入口的vpn設備建立ppp連接,端口用戶可以在客戶側(cè)管理ppp。它們除了能夠利用內(nèi)部ip地址的擴展功能外,還能在vpn上利用ppp支持的多協(xié)議通信功能,多鏈路功能及ppp的其他附加功能。因此在internet上實現(xiàn)第二層連接的pppsecsion的隧道協(xié)議被稱作第二層隧道。對于不提供ppp功能的隧道協(xié)議都由標準的ip層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp遠程訪問的vpn協(xié)議,它部分采用了移動ip的機制。atmp以gre實現(xiàn)封裝化,將vpn的起點和終點配置isp內(nèi)。因此,用戶可以不裝與vpn想適配的軟件。
⑸ psec
ipsec規(guī)定了在ip網(wǎng)絡環(huán)境中的安全框架。該規(guī)范規(guī)定了vpn能夠利用認證頭標(ah:authmentication header)和封裝化安全凈荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允許對ip負載數(shù)據(jù)進行加密,然后封裝在ip包頭中,通過企業(yè)ip網(wǎng)絡或公共ip互聯(lián)網(wǎng)絡如internet發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡層的網(wǎng)絡,dsi七層網(wǎng)絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產(chǎn)生了"二層vpn "與"三層vpn"的區(qū)別。但是隨著技術的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的sslvpn技術[2]、基于端口轉(zhuǎn)發(fā)的httptunnel[1]技術等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層vpn"、"五層vpn",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機制的分類。
2.2 改進后的幾種隧道機制的分類
⑴ j.heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的vpn,使用路由方式的vpn,使用專線方式的vpn和使用局域網(wǎng)仿真方式的vpls。
例如同樣是以太網(wǎng)的技術,根據(jù)實際情況的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多種vpn組網(wǎng)方式所提供的網(wǎng)絡性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡性能上的差異,由此將引起在實際應用中對vpn技術選型造成誤導。
⑵ 由于網(wǎng)絡性能是所有網(wǎng)絡技術的重要評價標準。根據(jù)隧道建立的機制對網(wǎng)絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的vpn分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡傳遞。例如l2tp就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標記,直接將數(shù)據(jù)分發(fā)到不同的設備上去。由于不同標記的數(shù)據(jù)包在進入網(wǎng)絡邊緣時已經(jīng)相互隔離,如果接入網(wǎng)絡的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如lsvpn。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業(yè)務支持能力教差,但是可擴展性,靈活性具有優(yōu)勢。
采用隔離型隧道技術,則不存在以上問題,可以根據(jù)實際需要,提供點對點,點對多點,多點對多點的網(wǎng)絡拓撲。
3. 諸種安全與加密技術
ipvpn技術,由于利用了internet網(wǎng)絡傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠距離。但隨之而來的是由于internet技術的標準化和開放性,導致威脅網(wǎng)絡的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡的安全性,但黑客仍可以從世界上任何地方對網(wǎng)絡進行攻擊,使得在ipvpn的網(wǎng)點a和網(wǎng)點b之間安全通信受到威脅。因此,利用ipvpn通信時,應比專線更加注意internet接入點的安全。為此,ipvpn采用了以下諸種安全與加密技術。[2]
⑴ 防火墻技術
防火墻技術,主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術
加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或?qū)S眉用埽┮卜Q常規(guī)加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰?;谒淼兰夹g的vpn虛擬專用網(wǎng),只有采用了以上諸種技術以后,才能夠發(fā)揮其良好的通信功能。
參考文獻
[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
vpn技術篇5
【論文摘要】:虛擬專用網(wǎng)(vpn)技術主要包括數(shù)據(jù)封裝化,隧道協(xié)議,防火墻技術,加密及防止數(shù)據(jù)被篡改技術等等。文章著重介紹了虛擬專用網(wǎng)以及對相關技術。并對vpn隧道技術的分類提出了一些新的探索。
引言
虛擬專用網(wǎng)即vpn(virtual private network)是利用接入服務器(access sever)、廣域網(wǎng)上的路由器以及vpn專用設備在公用的wan上實現(xiàn)虛擬專用網(wǎng)技術。通常利internet上開展的vpn服務被稱為ipvpn。
利用共用的wan網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,vpn采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。
1. 隧道技術
internet中的隧道是邏輯上的概念。假設總部的lan上和分公司的lan上分別連有內(nèi)部的ip地址為a和b的微機??偛亢头止镜絠sp的接入點上的配置了vpn設備。它們的全局ip地址是c和d。假定從微機b向微機a發(fā)送數(shù)據(jù)。在分公司的lan上的ip分組的ip地址是以內(nèi)部ip地址表示的"目的地址a""源地址b"。因此分組到達分公司的vpn設備后,立即在它的前部加上與全局ip地址對應的"目的地址c"和"源地址d"。全局ip地址c和d是為了通過internet中的若干路由器將ip分組從vpn設備從d發(fā)往vpn設備c而添加的。此ip分組到達總部的vpn設備c后,全局ip地址即被刪除,恢復成ip分組發(fā)往地址a。由此可見,隧道技術就是vpn利用公用網(wǎng)進行信息傳輸?shù)年P鍵。為此,還必須在ip分組上添加新頭標,這就是所謂ip的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現(xiàn)。
基于隧道技術vpn網(wǎng)絡,對于通信的雙方,感覺如同在使用專用網(wǎng)絡進行通信。
2. 隧道協(xié)議
在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用vpn技術還需要有隧道協(xié)議。
2.1 當前主要的隧道協(xié)議以及隧道機制的分類:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技術,作為一種傳輸協(xié)議l2f支持撥號接入服務器。將撥號數(shù)據(jù)流封裝在ppp幀內(nèi)通過廣域網(wǎng)鏈路傳送到l2f服務器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp協(xié)議又稱為點對點的隧道協(xié)議。pptp協(xié)議允許對ip,ipx或netbeut數(shù)據(jù)流進行加密,然后封裝在ip包頭中通過企業(yè)ip網(wǎng)絡或公共互連網(wǎng)絡傳送。
⑶ 2tp(layer 2 tunneling protocol)
該協(xié)議是遠程訪問型vpn今后的標準協(xié)議。
l2f、pptp、l2tp共同特點是從遠程客戶直至內(nèi)部網(wǎng)入口的vpn設備建立ppp連接,端口用戶可以在客戶側(cè)管理ppp。它們除了能夠利用內(nèi)部ip地址的擴展功能外,還能在vpn上利用ppp支持的多協(xié)議通信功能,多鏈路功能及ppp的其他附加功能。因此在internet上實現(xiàn)第二層連接的pppsecsion的隧道協(xié)議被稱作第二層隧道。對于不提供ppp功能的隧道協(xié)議都由標準的ip層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp遠程訪問的vpn協(xié)議,它部分采用了移動ip的機制。atmp以gre實現(xiàn)封裝化,將vpn的起點和終點配置isp內(nèi)。因此,用戶可以不裝與vpn想適配的軟件。
⑸ psec
ipsec規(guī)定了在ip網(wǎng)絡環(huán)境中的安全框架。該規(guī)范規(guī)定了vpn能夠利用認證頭標(ah:authmentication header)和封裝化安全凈荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允許對ip負載數(shù)據(jù)進行加密,然后封裝在ip包頭中,通過企業(yè)ip網(wǎng)絡或公共ip互聯(lián)網(wǎng)絡如internet發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡層的網(wǎng)絡,dsi七層網(wǎng)絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產(chǎn)生了"二層vpn "與"三層vpn"的區(qū)別。但是隨著技術的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的sslvpn技術[2]、基于端口轉(zhuǎn)發(fā)的httptunnel[1]技術等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層vpn"、"五層vpn",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機制的分類。
2.2 改進后的幾種隧道機制的分類
⑴ j.heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的vpn,使用路由方式的vpn,使用專線方式的vpn和使用局域網(wǎng)仿真方式的vpls。
例如同樣是以太網(wǎng)的技術,根據(jù)實際情況的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多種vpn組網(wǎng)方式所提供的網(wǎng)絡性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡性能上的差異,由此將引起在實際應用中對vpn技術選型造成誤導。
⑵ 由于網(wǎng)絡性能是所有網(wǎng)絡技術的重要評價標準。根據(jù)隧道建立的機制對網(wǎng)絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的vpn分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡傳遞。例如l2tp就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標記,直接將數(shù)據(jù)分發(fā)到不同的設備上去。由于不同標記的數(shù)據(jù)包在進入網(wǎng)絡邊緣時已經(jīng)相互隔離,如果接入網(wǎng)絡的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如lsvpn。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業(yè)務支持能力教差,但是可擴展性,靈活性具有優(yōu)勢。
采用隔離型隧道技術,則不存在以上問題,可以根據(jù)實際需要,提供點對點,點對多點,多點對多點的網(wǎng)絡拓撲。
3. 諸種安全與加密技術
ipvpn技術,由于利用了internet網(wǎng)絡傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠距離。但隨之而來的是由于internet技術的標準化和開放性,導致威脅網(wǎng)絡的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡的安全性,但黑客仍可以從世界上任何地方對網(wǎng)絡進行攻擊,使得在ipvpn的網(wǎng)點a和網(wǎng)點b之間安全通信受到威脅。因此,利用ipvpn通信時,應比專線更加注意internet接入點的安全。為此,ipvpn采用了以下諸種安全與加密技術。[2]
⑴ 防火墻技術
防火墻技術,主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術
加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或?qū)S眉用埽┮卜Q常規(guī)加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰?;谒淼兰夹g的vpn虛擬專用網(wǎng),只有采用了以上諸種技術以后,才能夠發(fā)揮其良好的通信功能。
參考文獻
[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
vpn技術篇6
VPN虛擬專用網(wǎng) (Virtual private network):建立在實在網(wǎng)路(或稱物理網(wǎng)路)基礎上的一種功能性網(wǎng)路,或者說是一種專用網(wǎng)的組網(wǎng)方式,簡稱VPN。它向使用者提供一般專用網(wǎng)所具有的功能,但本身卻不是一個獨立的物理網(wǎng)路;也可以說虛擬專用網(wǎng)是一種邏輯上的專用網(wǎng)路。
2 VPN的特點
(1)安全保障
雖然實現(xiàn)VPN的技術和方式很多,但所有的VPN均應保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。
(2)服務質(zhì)量保證(QoS)
VPN網(wǎng)應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。不同的用戶和業(yè)務對服務質(zhì)量保證的要求差別較大。所有網(wǎng)絡應用均要求網(wǎng)絡根據(jù)需要提供不同等級的服務質(zhì)量。
(3)可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質(zhì)量傳輸以及帶寬增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。VPN管理的目標為:減小網(wǎng)絡風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。
3 VPN安全技術
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
(1) 隧道技術
隧道技術是VPN的基本技術,類似于點對點連接技術,它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。VPN使用兩種隧道協(xié)議:點到點隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)。
(2)加解密技術
VPN采用何種加密技術依賴于VPN服務器的類型,因此可以分為兩種情況。
對于PPTP服務器,將采用MPPE加密技術。MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。
對于L2TP服務器,將使用IPSec機制對數(shù)據(jù)進行加密。IPSec是基于密碼學的保護服務和安全協(xié)議的套件。
(3)密鑰管理技術
密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。
(4)使用者與設備身份認證技術
使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。VPN的身份驗證采用PPP的身份驗證方法,下面介紹一下VPN進行身份驗證的幾種方法。
CHAP:CHAP通過使用MD5(一種工業(yè)標準的散列方案)來協(xié)商一種加密身份驗證的安全形式。MS-CHAP:同CHAP相似,微軟開發(fā)MS-CHAP是為了對遠程Windows工作站進行身份驗證,它在響應時使用質(zhì)詢-響應機制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。 MS-CHAP v2:MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗證協(xié)議,它提供了相互身份驗證和更強大的初始數(shù)據(jù)密鑰,而且發(fā)送和接收分別使用不同的密鑰。
4 VPN發(fā)展現(xiàn)狀
在國外,Internet已成為全社會的信息基礎設施,企業(yè)端應用也大都基于IP,在Internet上構(gòu)筑應用系統(tǒng)已成為必然趨勢,因此基于IP的VPN業(yè)務獲得了極大的增長空間。在中國,制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。
(1)客觀因素包括因特網(wǎng)帶寬和服務質(zhì)量QoS問題。
在過去無論因特網(wǎng)的遠程接入還是專線接入,以及骨干傳輸?shù)膸挾己苄?,QoS更是無法保障,造成企業(yè)用戶寧愿花費大量的金錢去投資自己的專線網(wǎng)絡或是寧愿花費巨額的長途話費來提供遠程接入?,F(xiàn)在隨著ADSL、DWDM、MPLS等新技術的大規(guī)模應用和推廣,上述問題將得到根本改善和解決。
(2)主觀因素之一是用戶總害怕自己內(nèi)部的數(shù)據(jù)在Internet上傳輸不安全。主觀因素之二,也是VPN應用最大的障礙,是客戶自身的應用跟不上,只有企業(yè)將自己的業(yè)務完全和網(wǎng)絡聯(lián)系上,VPN才會有了真正的用武之地。
可以想象,當我們消除了所有這些障礙因素后,VPN將會成為我們網(wǎng)絡生活的主要組成部分。在不遠的將來,VPN技術將成為廣域網(wǎng)建設的最佳解決方案。同時,VPN會加快企業(yè)網(wǎng)的建設步伐,使得集團公司不僅僅只是建設內(nèi)部局域網(wǎng),而且能夠很快地把全國各地分公司的局域網(wǎng)連起來,從而真正發(fā)揮整個網(wǎng)絡的作用。VPN對推動整個電子商務、電子貿(mào)易將起到不可低估的作用。
參考文獻
[1]張忠玉.VPN 技術綜述及應用.工程技術,2007(25).
[2]范青.淺談虛擬專用網(wǎng)(VPN)的技術研究與應用.科技信息,2007(33).
vpn技術篇7
[關鍵詞]VPN技術無線局域網(wǎng)SSL VPN
[中圖分類號]TP3[文獻標識碼]A[文章編號]1007-9416(2010)03-0091-02
隨著信息產(chǎn)業(yè)的飛速發(fā)展,通信技術和計算機技術的融合越來越快。無線通信已經(jīng)成為我們生活不可缺少的一部分。但由于其無線通信設備采用的是無線信號的空中傳輸,使得在無線鏈路中傳輸?shù)男畔⒑苋菀妆桓`聽,存在很不安全的因素。嚴重的話甚至導致整個網(wǎng)絡的癱瘓。為此在一個企業(yè)當中建立一個無線局域網(wǎng),安全性應是頭號要解決的問題。VPN是無線網(wǎng)絡建設當中解決無線通信安全問題的一個很好的方案。本文試圖就VPN技術在無線局域網(wǎng)中的應用做出一定的探討。
1 VPN技術概述
VPN (Virtual Private Network,虛擬專用網(wǎng))是專用網(wǎng)絡在公共網(wǎng)絡如Internet上的擴展。VPN通過隧道技術在公共網(wǎng)絡上仿真一條點到點的專線,從而達到安全的數(shù)據(jù)傳輸目的,基于Internet的VPN也稱為IP-VPN。所以從本質(zhì)上說,虛擬專用網(wǎng)(VPN)是一種能夠通過公用網(wǎng)絡安全地對內(nèi)部專用網(wǎng)進行遠程訪問的技術。其要點是在遠程用戶和VPN服務器之間建立一條加密隧道,將原始數(shù)據(jù)包加密,并在外面封裝新的協(xié)議包頭。這樣只有知道密鑰的通信雙方能夠解開數(shù)據(jù)包,保證了數(shù)據(jù)包在公共媒質(zhì)上傳送的時候,不會被非VPN 用戶截取。
2 VPN技術在無線局域網(wǎng)中的應用分析
無線局域網(wǎng)因其傳輸介質(zhì)、訪問方式等原因,使得其很容易受到攻擊。無線局域網(wǎng)常用的安全方式,如MAC地址過濾、服務區(qū)標識符(SSID)匹配等存在很多明顯的弊端。利用VPN技術可以為無線局域網(wǎng)提供更可靠的安全解決方案。但是從目前現(xiàn)狀來看,VPN在無線局域網(wǎng)中應用實現(xiàn)方式主要有兩種,一種是基于IPSec 的無線VPN設計,另外一種是基于SSL的無線VPN設計。但是IPSec 的無線VPN設計是較早時期VPN在無線局域網(wǎng)中的實現(xiàn)方式,隨著近年來無線局域網(wǎng)以及VPN技術的逐漸成熟,基于SSL的無線局域網(wǎng)實現(xiàn)技術已經(jīng)成為主流,本文將重點探討基于SSL的VPN技術在無線局域網(wǎng)中的應用。
2.1 SSL VPN在無線局域網(wǎng)中應用原理及功能特點
SSL(Secure Socket Layer,安全套接層)是一種在兩臺機器間提供安全通道的協(xié)議,它具有保護傳輸數(shù)據(jù)以及識別通信機器的功能。SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術。SSL VPN使用SSL協(xié)議和為終端用戶提供基于HTTP, C/S和共享文件資源的認證和安全訪問。與復雜的IPSec VPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN,這是因為SSL內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。SSL VPN的工作原理如圖1所示:
SSL VPN的功能特點主要體現(xiàn)在以下幾個方面:一是無需安裝客戶端軟件。大多數(shù)執(zhí)行基于SSL協(xié)議的遠程訪問不需要在遠程客戶端設備上安裝軟件,只需使用標準Web瀏覽器即可訪問到企業(yè)內(nèi)部的網(wǎng)絡資源。這樣無論是從軟件協(xié)議購買成本上,還是從維護、管理成本上都可以節(jié)省一大筆資金,從而大幅降低VPN網(wǎng)絡的實施成本。二是適用于大多數(shù)設備及系統(tǒng)。由于Web方式的開放性,支持標準瀏覽器的任何設備都可以使用SSLVPN進行遠程訪問,包括非傳統(tǒng)設備,如PDA等。三是適用于大多數(shù)操作系統(tǒng)。任何支持標準Web瀏覽器的操作系統(tǒng)都可以作為S SL VPN的客戶端進行遠程訪問。不管用戶使用的操作系統(tǒng)是Windows、Macintosh、UNIX還是Linux。都可以非常容易地訪問到企業(yè)內(nèi)部網(wǎng)站的資源。
2.2 SSL VPN在無線局域網(wǎng)中的具體應用
通過圖1的示意圖可以看出,SSL VPN在無線局域網(wǎng)網(wǎng)中應用的整個系統(tǒng)由SSL網(wǎng)關和Web服務器以及AP組成,其中最重要的是SSL網(wǎng)關。網(wǎng)關由多個服務器組成,LDAP服務器負責證書以及證書吊銷列表的保存,RADIUS服務器負責訪問控制策略,DHCP服務器負責為接入網(wǎng)關的局域網(wǎng)計算機分配IP地址,AD是證書驗證服務器。
對于SSL VPN來說,要保證通信的安全,必須要做到保密性、消息完整性和端點的認證。保密性是指傳輸?shù)臄?shù)據(jù)必須經(jīng)過加密,消息完整性是指傳輸?shù)臄?shù)據(jù)能夠確認是沒有被黑客或攻擊者篡改過,端點認證是指客戶端或者服務器端能夠?qū)α硪环酱_認是否是正確的通信者。SSL協(xié)議通過SSL握手來確定密鑰并用該對稱密鑰來對通信的數(shù)據(jù)進行加密。在握手期間通過公鑰技術對雙方進行認證,并用密鑰交換技術交換通信使用的對稱密鑰,然后使用對稱密鑰加密通信數(shù)據(jù)。SSL的安全依賴于所使用的加密套件,每個加密套件使用四種算法,即:數(shù)字簽名算法,消息摘要算法,密鑰確立算法以及數(shù)據(jù)加密算法。
SSL VPN在無線局域網(wǎng)中具體應用需要重點解決以下幾個方面的問題:一是客戶端安全接入問題。對于SSL VPN服務器來說,有效地保證自身的安全和對客戶端接入的控制是最重要的。應該具備一個專門的子系統(tǒng)來負責對客戶端的認證,它的功能是針對不同的客戶端選擇相應的策略進行認證;二是有效的訪問控制策略。當用戶通過了系統(tǒng)的認證之后,如何有效而靈活控制客戶的訪問權(quán)限,是非常重要的問題,同時也是SSL VPN系統(tǒng)最具特色的特點之一。如何實施用戶的集中化管理,通過SSL VPN控制臺進行管理,更加有效的監(jiān)控用戶使用權(quán)限,如何做到能夠基于內(nèi)容的訪問控制策略等等都需要更多的關注。三是傳輸性能問題。對于一個SSL VPN服務器來說,傳輸在整個SSL VPN系統(tǒng)中是一個性能的瓶頸點。
總之,隨著我國網(wǎng)絡用戶的快速增長,無線網(wǎng)絡作為有效網(wǎng)絡的有效補充,在人們的網(wǎng)絡生活中將會占據(jù)更加重要的地位。而VPN技術作為無線局域網(wǎng)的一種有效安全措施,在無線局域網(wǎng)中具有非常廣泛的應用。
[參考文獻]
[1] 劉乃安.無線局域網(wǎng)(WLAN)――原理、技術與應用[M].西安:電子科技大學出版社,2004.
[2] 周明.SSL VPN體系結(jié)構(gòu)在無線局域網(wǎng)中的應用與設計[J].電子科技大學.2006(4).
[3] 吳麗華,史烈.基于VPN技術的安全無線局域網(wǎng)的構(gòu)建[J].計算機工程,2005(2).
vpn技術篇8
關鍵詞:MPLS VPN;校園網(wǎng);技術優(yōu)勢;應用;初步規(guī)劃
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)04-0831-02
MPLS VPN Technology and in Campus Net Construction Research
LIU Li-juan
(Nanjing Normal University Taizhou College, Taizhou 225300, China)
Abstract: Through introduced MPLS VPN technology basic concept, principle, realization way,has analyzed the MPLS VPN technical superiority, elaborated MPLS VPN technology in the large-scale network design practical application, preliminary study under MPLS VPN environment campus network plan, the endeavour will cause on a next university informationization construction new stair.
Key words: MPLS VPN; campus net; technical superiority; using; preliminary plan
隨著信息化程度的加深,校園網(wǎng)上各種管理應用系統(tǒng)平臺不斷增加,各種各樣的網(wǎng)絡需求和安全問題對傳統(tǒng)校園網(wǎng)提出了巨大的挑戰(zhàn),如何實現(xiàn)學校教學、科研、管理等多個業(yè)務系統(tǒng)的“隔離與受控訪問”,并能檢測、調(diào)節(jié)、設定不同業(yè)務優(yōu)先級,提供多等級校園網(wǎng)絡服務質(zhì)量,優(yōu)化網(wǎng)絡性能,成為校園網(wǎng)工程改造的難題。由于MPLS VPN技術能夠非常簡單的實現(xiàn)學校各部門之間的橫向和縱向互訪,并且在增加新的節(jié)點時,不需要對原有節(jié)點的配置進行修改。所以相對其他VPN技術,采用MPLS技術組建的VPN具有更好的可維護性及可擴展性,MPLS VPN更適合于組建較大規(guī)模的復雜的VPN網(wǎng)絡,MPLS VPN的這些優(yōu)點已經(jīng)成為建設校園網(wǎng)的主流技術。
1 MPLS VPN技術
1.1 MPLS VPN技術概述
MPLS VPN是一種基于MPLS技術的VPN,它在MPLS/IP公共網(wǎng)絡上,利用MPLS技術創(chuàng)建隧道,實現(xiàn)二、三層VPN業(yè)務。MPLS VPN的隧道建立就是采用MPLS的標簽堆疊技術,通過給用戶數(shù)據(jù)封裝雙層標簽來實現(xiàn)。其中內(nèi)層標簽即私網(wǎng)標簽,用來識別用戶信息的VPN信息,外層標簽即公網(wǎng)標簽,用來在公網(wǎng)中轉(zhuǎn)發(fā)私網(wǎng)報文。將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起,為用戶提供高質(zhì)量的服務。
1.2 MPLS VPN原理
MPLS VPN中的路由器有P路由器、PE路由器、CE路由器3種。P路由器是主干路由器,負責VPN分組外層標簽的交換;PE路由器一般是邊界路由器,存放著VRF表和全局路由表;CE路由器為客戶端路由器。當CE路由器將一個VPN分組轉(zhuǎn)發(fā)給PE路由器后,PE路由器查找該VPN對應的VRF,從VRF中得到一個VPN標簽和下一跳出口PE路由器的地址,VPN標簽為“最內(nèi)層標簽”打在VPN分組上,根據(jù)下一跳出口,PE路由器的地址可以在全局路由表中查找出到達該PE路由器應打上的域內(nèi)路由的標簽,即外層標簽,于是VPN分組被打上了兩層標簽,P路由器根據(jù)外層標簽轉(zhuǎn)發(fā)VPN分組,在最后一個P路由器處,外層標簽彈出,VPN分組只剩下內(nèi)層標簽,接著VPN分組被發(fā)往出口PE路由器。出口路由器根據(jù)內(nèi)層標簽查找到相應的出口,將VPN分組上的內(nèi)層標簽刪除,把不含標簽的VPN分組發(fā)給正確的CE路由器,CE路由器根據(jù)自己的路由表將分組轉(zhuǎn)發(fā)到正確的目的地。
1.3 MPLS VPN的實現(xiàn)方式
MPLS VPN的實現(xiàn)方式,根據(jù)Internet邊界設備PE是否參與客戶的路由,Internet在建立基于MPLS的VPN時有兩種選擇:第三層的解決方案(Layer3MPLS VPN)和第二層的解決方案(Layer2MPLS VPN)。第二層和第三層MPLS VPN的主要區(qū)別在于:在一個第三層的MPLS VPN里,PE路由器和CE路由器建立了對等關系,并且維護獨立的路由表,而不是在CE路由器之間建立對等關系。
1.4 MPLS VPN的技術優(yōu)勢
1.4.1 VPN實現(xiàn)網(wǎng)絡安全
VPN以多種方式增強了網(wǎng)絡的智能和安全性。具有高度的安全性,對于現(xiàn)在的網(wǎng)絡是極其重要的。新的服務如在線銀行、在線交易都需要絕對的安全。
1.4.2 簡化網(wǎng)絡設計
網(wǎng)絡管理者可以使用VPN替代租用線路來實現(xiàn)分支機構(gòu)的連接。這樣就可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小,僅此一點就可以極大地簡化企業(yè)廣域網(wǎng)的設計。另外,VPN通過撥號訪問來自ISP或NSP的外部服務,減少了調(diào)制解調(diào)器池,簡化了所需的接口,同時簡化了與遠程用戶認證、授權(quán)和記帳相關的設備和處理。
1.4.3 降低成本
許多技術承諾可以降低成本,但VPN降低成本的方法是立即且顯著的,它可以降低:
1)移動用戶長途通信成本費。
2)可以以每條連接40%到60%的成本對租用線路進行控制和管理,對國際電路成本節(jié)約是極為顯著的。
3)主要設備成本:VPN通過支持撥號訪問外部資源,使企業(yè)可以減少不斷增長的調(diào)制解調(diào)器費用。另外,它還允許一個單一的WAN接口服務多種目的,從分支網(wǎng)絡互連、商業(yè)伙伴的外連網(wǎng)終端,本地提供高帶寬的線路連接到撥號訪問服務提供者。因此,只需要極少的WAN接口和設備。另外,由于VPN獨立于初始的協(xié)議,這就使得遠端的接入用戶可以繼續(xù)使用傳統(tǒng)的設備,保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
1.4.4 容易擴展
如果企業(yè)想擴大VPN的容量和覆蓋范圍,只需與新的ISP簽約,建立帳戶,或者與原有的ISP重簽合約,擴大服務范圍。
1.4.5 易于建立商業(yè)伙伴
在過去,企業(yè)如果想與合作伙伴聯(lián)網(wǎng),雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后,這種協(xié)商已毫無必要,真正達到了要連就連、要斷就斷。這樣就可以迅速捕捉商業(yè)機會,建立可靠的商業(yè)伙伴關系。
1.4.6 完全控制主動權(quán)
VPN使企業(yè)可以利用ISP的設施和服務,同時又完全掌握著自己網(wǎng)絡的控制權(quán)。比方說,企業(yè)可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權(quán)、網(wǎng)絡地址、安全性和網(wǎng)絡變化管理等重要工作。
1.4.7 支持新興應用
許多專用網(wǎng)對于新興應用準備不足,如那些要求高帶寬的多媒體和協(xié)作交互式應用。VPN則可以支持各種高級的應用,如IP語音,IP傳真,還有各種協(xié)議,如RSIP、IM、MPLS等。
2 MPLS VPN的應用
MPLS VPN應用的范圍比較廣泛,在企業(yè)中利用MPLS VPN可以大大縮小總部和各分支機構(gòu)之間的差距,在VPN中實施軟交換IP電話,可以大大節(jié)省長途話費,利用VPN開通會議電視,大大方便各分支機構(gòu)之間的業(yè)務交流。在政府機構(gòu)中,從中央到省級到市/地級到縣級到鄉(xiāng)鎮(zhèn),都可以組建MPLS VPN網(wǎng),在各級VPN中開通E-mail、IP 電話、會議電視,方便各級政府官員互相通郵通電,隨時啟用會議電視開展會議。各級VPN的級別設置與各級政府級別、機密級別設置相當,將網(wǎng)絡風險降低到零。另外,MPLS VPN還可以在遠程教育、跨地域銀行、電力遠程監(jiān)控、大型商行或超市、物流業(yè)等領域應用。
2.1 校園網(wǎng)改造需求分析
針對原有網(wǎng)絡運行模式,需要一個便于擴展的解決方案,來保持用戶組完全隔離,實現(xiàn)服務和安全策略的集中,并保留校園園區(qū)網(wǎng)設計的高可用性、安全性和可擴展性優(yōu)勢。網(wǎng)絡改造設計必須高效地解決以下幾個問題:
2.1.1 訪問控制
確保能識別合法用戶和設備,對其分類,并允許其接入獲得訪問授權(quán)的網(wǎng)絡部分。
2.1.2 路徑隔離
確保各用戶或設備都能高效地分配到正確、安全的可用資源集,即正確的VPN。
2.1.3 服務邊緣
確保合法的用戶和設備能訪問相應的正確服務,并集中實施策略。
2.1.4 網(wǎng)絡擴展
可以為其他校區(qū)、辦學點、移動辦公的人員提供遠程接入訪問服務。
2.2 校園網(wǎng)MPLS VPN初步規(guī)劃
2.2.1 整體規(guī)劃
采用MPLS/BGP VPN技術作為實現(xiàn)基本MPLS VPN業(yè)務的技術路線,建立各業(yè)務系統(tǒng)虛擬獨立網(wǎng)絡,各業(yè)務系統(tǒng)部門之間的可控互通訪問;通過構(gòu)建全局共享VPN實現(xiàn)整個網(wǎng)絡電子信息資源庫、視頻會議系統(tǒng)的互連互通;在MPLS VPN基礎上,通過部署IP VPN提供更進一步的安全保證;在網(wǎng)絡未來擴展中,采用VPE技術實現(xiàn)VPDN與MPLS VPN的結(jié)合;
2.2.2 專網(wǎng)規(guī)劃
主校區(qū)可以通過虛擬園區(qū)網(wǎng)實現(xiàn)校內(nèi)各業(yè)務系統(tǒng)的專網(wǎng)實現(xiàn),要解決接入控制、通道隔離、統(tǒng)一應用三個問題,實現(xiàn)對接入用戶身份的識別和動態(tài)訪問權(quán)限的下發(fā),從而使用一套物理網(wǎng)絡為多個部門的用戶提供不同的安全訪問級別服務,并且滿足網(wǎng)絡的安全性和靈活辦公的需要。
各分校區(qū)從原有基于專線的網(wǎng)絡上遷移到校園網(wǎng)絡上,需要改變原有網(wǎng)絡的接入方式,設備也要做適當調(diào)整,需要配置支持MPLS VPN的接入路由器。
3 結(jié)論
MPLS VPN技術是目前大型復雜網(wǎng)絡建設中解決信息受控訪問和安全隔離的有效途徑,它使企業(yè)得以在一個公共的通信平臺上,構(gòu)建內(nèi)部的VPN專網(wǎng),能夠在一個無連接的網(wǎng)絡中引入連接模式的特性,有效減少了網(wǎng)絡復雜性。MPLS VPN技術在校園網(wǎng)的建設中雖然還沒有得到普及化的應用,但相信隨著時代的發(fā)展,MPLS VPN必將為實現(xiàn)全面“數(shù)字化校園”作出巨大貢獻。
參考文獻:
[1] 郭宏宇.MPLS VPN技術原理與實際應用[D].吉林:吉林大學,2008.
[2] 魏岳,王文靜,趙蔚.基于VPN的校園網(wǎng)組網(wǎng)模式分析[J].福建電腦,2009(2):85-86.
[3] 吳榮生,郭聯(lián)志.MPLS VPN的探究與應用[J].重慶科技學院學報:自然科學版,2009,11(2):130-133.
本文鏈接:http://www.svtrjb.com/v-141-3384.htmlvpn技術范文8篇
相關文章:
送給朋友的畢業(yè)留言10-19
學生會自我介紹精彩08-31
促銷活動策劃案例范文8篇08-15
最新大學期末工作總結(jié)班長 大學期末工作總結(jié)(7篇)09-09
企業(yè)商業(yè)計劃書模板08-15
環(huán)衛(wèi)工人慰問信07-16
幼兒園寶寶的表揚信07-16
紀律委員競選稿09-21
秋季開學初中軍訓心得08-22
長相思擴寫作文08-10
我眼中的諸葛亮作文07-26
自由地寫作作文1200字07-23
2024年9月上海計算機一級考試成績查詢?nèi)肟冢ㄒ验_通)11-09
內(nèi)蒙古體育職業(yè)學院學費貴嗎 大概招生多少人07-30
蘭州城市學院學費貴嗎 大概招生多少人07-27