时间:2022-04-24 05:14:02
序论:在您撰写vpn技术论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词vpn;虚拟专用网;SSLVPN;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
2隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。
图1
现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
3军队院校校园网建设VPN技术应用设想
随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。
而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。
4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
参考文献
关键词:虚拟专用网VPN远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
一、现代金融网络系统典型架构及其安全现状
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
三、网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:VirtualPrivateNetwork)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
在南水北调自动化业务系统中的应用按照南水北调自动化业务系统业务网的高安全可靠性要求,结合南水北调中线工程需求,一方面在网络结构的设计上采用层次化结构,按照业务类别进行物理划分;另一方面,利用MPLSVPN技术将各应用系统在逻辑上划分为独立的网络。根据现有MPLSVPN计算机网络组网技术,整个网络配置成一个MPLS域,将核心层、骨干层路由器配置成P设备,区域层和接入层路由器设备全部配置成PE设备;P和PE设备之间运行MPLSLDP协议,所有PE路由器之间运行MP-iBGP协议。将接入层交换机作为CE,经二层链路采用静态路由连接到接入层PE设备;PE设备为每个接入的VPN用户建立并维护独立的VRF,根据CE设备接入端口的不同,控制其进入相应的VPN中,实现与其他VPN应用系统和网管类流量的隔离。总公司、分公司、管理处的各应用系统都通过专用的应用系统LAN交换机接入,局域网主干交换机作为CE,经二层链路采用静态路由连接到接入层PE设备;PE设备为每个应用系统建立并维护独立的VRF,根据CE设备接入端口的不同,控制其进入相应的应用系统VPN中,实现与其他应用系统和网管类流量的隔离。
2MPLSVPN互访策略
在南水北调自动化业务系统中的应用按照MPLSVPN划分的原则,不同MPLSVPN之间不能互相访问,这确保了VPN的安全可靠性。但是,南水北调中线干线工程自动化应用系统之间存在MPLSVPN子系统之间、用户至不同业务系统服务器之间的受控互访的需求。也就是说,网络需要方便地控制不同MPLSVPN之间的互访,而且要实现严格控制互访;同时,为保障各业务系统安全,需要对用户访问采取控制措施。
2.1MPLSVPN子系统之间互访
通过BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通过MP-BGP协议配置建立路由信息,来达到不同VPN之间的路由扩散;通过VPN内部的路由器(或防火墙)做地址过滤、报文过滤等方式控制访问的用户。上述两种方式结合使用,实现了子系统的灵活受控互访。
2.2应用终端交互访问不同MPLSVPN
2.2.1方案一
NAT方案此种方案是将多用途终端主机的业务流在CE进行分类,不同的业务流进行不同的静态NAT(映射不同的IP地址)。对每个业务系统的主机/服务器可以分配连续的地址空间,PE设备只需要维护较为简单的路由表,CE配置确定后一般不需要修改。
2.2.2方案二
PE节点作访问控制在PE设备上,通过多角色主机技术,将某个VRF中指定的路由(特殊终端的路由),引入到另外一个VRF中,在PE的CE侧接口上配置策略路由,当流量匹配ACL,则重定向到VPN组,查找并转发,从而实现不同的MPLSVPN可以同时访问该特殊终端。
2.2.3方案三
802.1X强制认证+Windows域管理802.1X协议在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,与VRF路由表的导入导出机制结合使用,从而达到接受合法用户接入、保护网络安全的目的。用户访问其他MPLSVPN,需要禁用、再启用网卡,重新输入不同MPLSVPN的不同身份信息实现。显然,基于PE节点作访问控制的方案配置简单,传输效率高,互通网络可靠性强,无论从网络实现、网络性能、网络安全以及网络管理各方面分析,更适用于南水北调中线干线工程自动化各系统应用终端交互访问不同的MPLSVPN。
3结语
关键词:VPN隧道技术Qos
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
[1] 石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
组播VPN是基于MPLSL3VPN来实现组播传输的技术。如图1所示,网络中同时承载着两个相互独立的组播业务:公网实例、VPN实例A。公共网络边缘PE组播设备支持多实例。各实例之间形成彼此隔离的平面,每个实例对应一个平面。以VPN实例A为例,组播VPN指:当VPNA中的组播源向某组播组发送组播数据时,在网络中所有可能的接收者中,仅属于VPNA(即Site1、Site3或Site5中)的组播组成员才能收到该组播源发来的组播数据。组播数据在各Site及公网中均以组播方式进行传输。其中,实现组播VPN所需具备的网络条件如下:(1)在每个Site内支持基于VPN实例的组播。(2)在公共网络内支持基于公网实例的组播。(3)PE设备支持多实例组播,即支持基于VPN实例和公网实例的组播,并支持支持公网实例与VPN实例之间的信息交互和数据转换。为了满足以上条件,互联网工程任务组(IETF)最终形成制定了以MD(MulticastDomain)组播域方案来实现组播VPN的标准。MD方案的基本思想是:在骨干网中为每个VPN维护一棵称为Share-MDT的组播转发树。来自VPN中任一Site的组播报文都会沿着Share-MDT被转发给属于该MD的所有PE。MD是一个集合,它由一些相互间可以收发组播数据的VRF组成。其中,支持组播业务的VRF为MVRF,它同时维护单播和组播路由转发表。PE收到组播报文后,如果其MVRF内有该组播组的接收者,则继续向CE转发;否则将其丢弃。不同的MVRF加入到同一个MD中,通过MD内自动建立的PE间的组播隧道(MT)将这些MVRF连接在一起,实现了不同Site之间的组播业务互通。每个MD会被分配一个独立的组播地址,称为Share-Group。当两个MVRF之间通信时,用户报文以GRE方式被封装在骨干报文里通过MT进行传输,骨干报文的源地址为PE用来建立BGP连接所使用的接口IP地址,目的地址为Share-Group。
2民航数据通信网中组播VPN的实现
在民航数据通信网中实现组播VPN主要需完成骨干网络的准备工作以及组播VPN设计与实施等工作。
2.1组播VPN的规划设计民航ATM数据网华东地区ATM交换机上的RPM-PR板卡提供了MPLSVPN业务,目前部署的MPLSVPN业务网络拓扑为星形结构,即由区域一级节点9槽RPM板卡作为P设备和路由反射器,而其他节点均为PE设备。华东地区ATM网络中同时承载着两个相互独立的组播业务:ATM数据网公网组播实例和名为YJCJ2的用户私网组播实例。VPN组播实例是通过在P和PE设备上部署实现的,网络中,作为P和PE的RPM板卡上运行着公网组播实例,而作为PE的RPM板卡同时又运行着用户私网组播实例。公网的组播实例是在所有RPM板卡上开启组播应用。上海虹桥和浦东机场两个节点的10槽RPM板卡负责接入用户的VPN组播业务,所以需在这两台设备上部署MPLSVPN应用,并在这两个用户站点相应的VRF实例中开启组播应用。在本案例中,VPN用户接入侧要求使用的是PIM密集模式,而民航数据网MPLSVPN公网则使用的是PIM稀松模式。在MPLSVPN网络中不同用户的VPN站点都是彼此逻辑独立的,并且VPN用户数据封装MPLS标签后通过公网的PE和P设备进行传输。对于VPN组播来说,数据的传输模式也是类似的。PE设备通过将该VPN实例中的用户VPN组播数据报文封装成公网所能“识别”的公网组播数据报文进行组播转发。这种将私网组播报文封装成公网组播报文的过程就叫做构造组播隧道(MT)。在PE上,每个VPN用户的组播数据是通过不同的MTI(MulticastTunnelInterfac)组播隧接口在公网构造组播隧道,参见图2。由于公网、VPN网以及用户接入侧各组播部署中都采用PIM协议启用了组播应用,MPLSVPN中组播应用包含如下的PIM邻居关系:(1)PE-P邻居关系:指PE上公网实例接口与链路对端P上的接口之间所建立的PIM邻居关系。(2)PE-PE邻居关系:指PE上的VPN实力通过MTI收到远端PE上的VPN实例发来的PIMHello报文后建立的邻居关系。(3)PE-CE邻居关系:指PE上绑定VPN实例的接口与链路对端CE上的接口之间建立的PIM邻居关系。部署公网组播实例需在华东地区所有相关RPM板卡开启组播服务,考虑到密集模式对RPM设备和骨干网资源的开销,在民航ATM数据网中使用了PIM稀松模式。根据网络的物理网络拓扑模型,选取上海虹桥9槽RPM板卡作为RP。
2.2组播VPN的实施运行在MPLSVPN网络中的P和PE设备上部署PIM协议,这些设备之间会形成PE-P邻居关系,从而使得公网支持组播功能,并形成公网的组播分发树。本案例中使用PIM稀松模式,即在虹桥和浦东机场节点的9、10槽RPM板卡的配置底层IGP路由协议的接口上部署PIM稀松模式,这样就构造了公网的PIM共享树。在传输用户私网组播报文的PE上部署基于VRF实例的组播,一个VPN实例唯一制定一个Share-Group地址。同一个VPN组播域内的PE之间形成PE-PE邻居,并形成该组播域的共享组播分发树(Share-MDT)。在本例中就是在虹桥和浦东机场的10槽YJCJ2VRF实例中部署相应的defaultMDT地址239.255.0.5。用户CE设备和PE连接CE的相应接口启用组播,本例中使用PIM密集模式。这样就形成了PE-CE邻居关系。本例中是在虹桥和浦东机场节点的相应VPN业务端口配置PIM密集模式。当用户有组播报文需要传输的时候,就将组播报文发送给PE的VRF实例,PE设备收到报文后识别组播数据所属的VRF实例。用户私网的数据报文对于公网是透明的,不论数据归属或类别,PE都统一将其封装为公网组播数据报文,并以Share-Group作为其所属的公网组播组。一个Share-Group唯一对应一个MD,并利用公网资源唯一创建一棵Share-MDT进行数据转发。在该VPN中所有私网组播报文,都通过此Share-MDT进行转发。如图3所示,可以看到华东地区公网上的Share-MDT创建的过程。虹桥节点10槽RPM向9槽RPM(RP节点)发起加入消息,以Share-Group地址作为组播组地址,在公网沿途的设备上分别创建(*,239.255.0.5)表项。同时虹桥浦东机场节点也发起类似的加入过程,最终在MD中形成一棵以虹桥节点9槽RPM为根,以虹桥、浦东机场节点10槽RPM为叶的共享树(RPT)。随后,虹桥和浦东机场节点10槽RPM的公网实例向公网RP发起注册,并以自身BGP的router-id地址作为组播源地址、Share-Group地址作为组播组地址,在公网的沿途设备上分别创建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表项,形成连接PE和RP的最短路径树(SPT)。在PIM-SM网络中,由(*,239.255.0.5)和这两棵相互独立的SPT共同组成了Share-MDT。虹桥节点PE的私网组播报文在进入公网后,均沿该Share-MDT向浦东机场节点PE转发。图4是私网组播报文在公网中转发的过程。当浦东机场节点的YJCJ2VPN用户CE设备加入到虹桥节点数据源所在的组播组,此时由于这两个站点部署为PIM-DM模式,虹桥节点组播设备会立刻将数据推送到虹桥节点10槽RPM的YJCJ2VRF实例中,并通过该VPN构建的Share-MDT在公网上以(20.51.5.6,239.255.0.5)构建的SPT进行公网组播报文传输。当公网组播报文被浦东机场10槽PE设备收到后会将其解封装成原始的私网组播报文,并转发给相应的接收CE,最终完成用户私网组播数据在MPLSVPN网络中的传输。
3总结
关键词:VPN,管理,管理技术
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
[3]潘爱民.计算机网络(第四版)[M].清华大学出版社2004.8
