vpn技术范文
时间:2023-11-08 00:02:59
vpn技术篇1
关键词:VPN;信息化;防火墙
1 VPN技术应用背景
天脊煤化工集团有限公司从2003年进入了信息化建设的发展阶段,在浙江中控软件技术有限公司、山西省信息工程设计院等单位共同合作下建立起了“天脊集团综合信息管理自动化系统”。该自动化系统包括领导查询分系统、生产管理分系统、人力资源管理分系统、备品备件管理分系统、物资供应资源分系统、销售管理分系统等。随着信息化建设的不断深入,业务流程渐渐规范化,各种分系统也在不断完善,分布在全国各地的分公司和子公司相应业务也要纳入到“天脊集团综合信息管理自动化系统”中来。为此,集团公司决定由信息管理中心组织并实施VPN技术。
2 VPN技术在天脊集团企业信息化建设中的具体实施
(1) VPN的选型
用于企业内部自建VPN的主要有两种技术――IPSec VPN和SSL VPN。
IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。
目前,天脊集团主干网络设备为CISCO的产品,路由器和防火墙均提供实现VPN的功能。综合评比在防火墙上实现VPN功能更适合,且不改变网络结构、不增加任何硬件投资下实现VPN功能,而在路由器上实现VPN还需购买相关VPN模块。根据天脊集团具体的业务需要和现有的网络状况,天脊集团选择了CISCO的IPSec VPN方案。
(2) 网络架构
在项目的实施中,利用Cisco PIX 515防火墙提供的VPN功能来构建虚拟专用网。Cisco PIX 515 Firewall提供基于IPSec标准的VPN功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包。
(3) 详细配置信息
防火墙配置:
access-list 100 permit 172.16.5.0 255.
255.255.0 172.16.2.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.
168.1.254
global(outside) 1 interface
nat(inside) 0 access-list 100
conduit permit tcp host 172.16.3.10 any
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-
des esp-md5-hmac
crypto dynamic-map dynmap 10 set tra
nsform-set myset
crypto map vpn 10 ipset-isakmp dynamic dynmap
crypto map vpn 20 ipsec-isakmp
crypto map vpn client configuration address initiate
crypto map vpn client configuration address respond
crypto map vpn interface outside
isakmp enable outside
isakmp key ******* address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-sha
re
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn3000 address-pool vpnpool
vpngroupvpn3000dns-server 172.16.
2.11
vpngroup vpn3000 split-tunnel 100
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
isakmp client configuration address-
poollocal vpnpool outside
路由器配置:
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
VPN客户端要求:
在集团公司分公司和子公司内要求使用和信息管理中心一致的宽带接入服务,使用Microsoft Windows2000以上操作系统;使用Cisco VPN Client v4.8远程连接控制工具;相关人员必须接受VPN客户端使用相关知识学习,达到独立解决VPN客户端问题的能力。
(4) VPN技术实施效果评价
降低费用。远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
安全性得到了增强。VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,并对数据进行加密处理。对于企业内部的数据,可以通过VPN使企业Intranet上拥有适当权限的用户才能通过远程访问建立与服务器的连接,并且可以访问业务部门网络中受到保护的资源。
3 总结
vpn技术篇2
关键词:VPN;MPLS;多协议标记交换
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着Internet的VPN连接蓬勃发展,人们对其连接质量提出了更高的要求。但常规的VPN连接方法缺乏高效的连接手段,网络经常会发生阻塞,许多应用对于目前的IP技术(如语音和视频等)显得力不从心,并且实现成本也很高。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。
1 VPN简介
首先引入现实中的一个例子,经常在外地出差的公司用户希望能从外地的网络访问公司的内网办公,而访问的结果就像在公司内网一样,不会有对资源、权限的限制,就好像在内网里面一样,我们可以利用VPN技术实现这个目的。
由以上来看,究竟什么是VPN呢?虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 常规VPN技术
以往常规的VPN连接技术是在PPTP或者L2TP协议的控制下进行隧道封装加密传输,其中,PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰。L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
但是,IPsec协议首要的和最明显的缺点就是性能的下降,其次,在实现成本上非常不利,低端的设备通常用软件实现所有的IPsec功能,因而其速度最慢。价格贵些的用硬件实现IPsec功能。一般来说,性能越好,其价格越贵。
3 基于MPLS的VPN的新技术
同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于InternetConnect网络。
CPE被称为客户边缘路由器(CE)。在InternetConnect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。
CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding (CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。
对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。
在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。
客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。
三种不同的VPN,分别用Route Distinguishers 10,20和30来表示。
MPLS VPN中,客户站点运行的是通常的IP协议。它们并不需要运行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由识别器对应同每个客户站点的连接。这些连接可以是诸如T1,单一的帧中继,ATM虚电路,DSL等这样的物理连接。路由识别器在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在客户设备上进行配置,对于客户来说是透明的。
每个MPLS VPN具有自己的路由表,这样客户可以重叠使用地址且互不影响。对用RFC 1918建议进行寻址的多种客户来说,上述特点很有用处。例如,任何数量的客户都可以在其MPLS VPN中,使用地址为10.1.1.X的网络。MPLS VPN的一个最大的优点是CPE设备不需要智能化。因为所有的VPN功能是在InternetConnect的核心网络中实现的,且对CPE是透明的。CPE并不需要理解VPN,同时也不需要支持IPSec。这意味着客户可以使用价格便宜的CPE,或者甚至可以继续使用已有的CPE。
4 基于MPLS VPN的优点
时延被降到最低,因为数据包不再经过封装或者加密。加密之所以不再需要,是因为MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似。因为不需要隧道,所以要创建一个全网状的VPN网也将变得很容易。事实上,缺省的配置是全网状布局。站点直接连到PE,之后可以到达VPN中的任何其他站点。如果不能连通到中心站点,远程站点之间仍然能够相互通信。
配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络,不需访问CPE。一旦配置好一个站点,在配置其他站点时无需重新配置。因为添加新的站点时,仅需改变所连到的PE的配置。
在MPLS VPN中,安全性可以得到容易地实现。一个封闭的VPN具有内在的安全性,因为它不同Public Internet相连。如果需要访问Internet,则可以建立一个通道,在该通道上,可放置一个防火墙,这样就对整个VPN提供安全的连接。管理起来也很容易,因为对于整个VPN来说,只需要维护一种安全策略。
MPLS VPN的另外一个好处是对于一个远程站点,仅需要一个连接即可。想象一下,带有一个中心站点和10个远程站点的传统帧中继网,每个远程站点需要一个帧中继PVC(永久性虚电路),这意味者需要10个PVC。而在MPLS VPN网中,仅需要在中心站点位置建立一个PVC,这就降低了网络的成本。
5 总结
MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务,也能够开展QoS、TE、组播等等的业务。随着MPLS应用的不断升温,不论是产品还是网络,对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。
参考文献:
[1]王达.虚拟专用网(VPN)精解[J].清华大学出版社,2004,173-7.
[2]Ivan Pepelnjak, Jim Guichard, MPLS和VPN体系结构CCIP版(英文版)[J].人民邮电出版社,2003.
vpn技术篇3
关键词:VPN技术;应用;研究
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)17-3996-03
虚拟专用网,用英文翻译过来就是Virtual Private Network,简称为VPN。虚拟专用网是通过公共网络中相关的基础设施,采用先进的技术方式,对不同的两台计算机进行一种专用的连接,使相关的网络数据信息在通过公共网络进行上传的过程中,保证网络数据信息私密性的一项技术。如何有效的应用虚拟专用网技术,是企业在发展过程中必须解决的一个重要问题。
1 VPN技术的优点
1.1 节约成本
VPN技术对公共网络进行了利用,建立并组成了虚拟的专用网络,不需要在单独依靠公共网络中专用的线路来保障数据信心传输的安全,利用专用的网络就能够实现数据信心的安全性,这一种方式相对于其他通信方式而言,所需要使用的成本更为低廉,例如:长途电话、专线电话等。
1.2 使用便捷
VPN技术在公共网络中的使用较为便捷,易于在公共网络中进行扩展。当公共网络内部中的节结点逐渐增多的时候,专线连接网络的结构也会变得越来越复杂,而且所需要花费的成本也非常的高,而在使用虚拟专用网的过程中,只需要在公共网络的节点位置构架相关的VPN设备,就能够在对Internet进行利用时在计算机网络中建立安全连接,若是公共网络内部中有其他的网络想要进入安全连接,只需要在使用使用一台虚拟专用网设备,对相关的配置的配置进行调整就能够使其他的网络加入到安全连接之中。
1.3 确保安全性
确保公共网络中的安全性,是VPN技术在计算机网络中的基础,为了确保相关的数据信息在通过公共网络进行传输过程中的安全性,VPN技术对加密认证这一项技术进行利用,在公共网络内部中对相关的安全隧道进行构建,重要的数据信息通过安全隧道进行传输,有效的保证了数据信息在传输时的安全性,避免数据信息被恶意的篡改、破坏。
2 VPN得以实现的主要技术
VPN不是一个实体,而是一种虚拟的网络形态,是计算机网络中的一个概念,是一个通过公共网络中的基础设施对虚拟专用网络进行构建时,所运用连接技术综合起来的名称。VPN技术的实现,离不开隧道技术,隧道技术是VPN技术得以实现的前提,隧道技术是一种对公共网络中的数据信息进行包装,然后在公共网络中构建一条网络隧道,使公共网络中的数据信心通过这一条网络隧道进行传输,以下是VPN技术在运用过程中的主要隧道技术。
2.1 点到点隧道协议
点到点隧道协议简称为PPTP,即Point-to-Point Tunneling Protocol,PPTP将公共网络中的PPP数据信息进行包装之后,通过Internet对这些数据信息进行传输,PPTP协议提供了使多协议VPN构建于Internet中的一种通信方式,远程的客户端能够通过PPTP对专用网络进行访问。
2.2 二层转发协议
二层转发协议简称L2F,即Layer Two Forwarding Protocol,二层转发协议能够对各种不同的传输协议提供支持,例如:帧中继、ATM以及IP等,二层转发协议可以让远程客户端的客户在接入公共IP网络中时,在拨号方式上不会受到任何的限制,例如:远程客户端的客户在运用常规的拨号方式对ISP中的NAS进行拨号时,对PPP连接进行构建,NAS则通过对远程客户端客户的一些基本信息的了解,在网络中进行第二重连接,向公司所在地的二层转发协议中的网络服务器进行传输,二层转发协议中的网络服务器在将接收到的数据信心传输到公司内部的网络中。
2.3 IP安全协议
IP安全协议简称为IP Sec,IP安全协议包含了秘钥协商与安全协议这两个方面中的一部分,IP Sec安全协议提供了鉴别头与封装安全载荷这两种在通信过程中起到保护作用的机制。鉴别头用英文表示为Authentication Header,简称AH,它给计算机网络通信中提供的是一种完全性的保护。封装安全载荷用英文表示为Encapsulations Security Payload,简称ESP,它给计算机网络通信中提供的不仅仅是完整性的保护,还有机密文件在通过网络进行传输这一过程中的保护。鉴别头与封装安全载荷对计算机网络通信的保护具有实效性,对于公司内部在使用网络进行数据信息传输的安全性有着十分重要的意义。IP安全协议是虚拟专用网技术中一个非常重要的组成部分,它对于网络的保护具有完整性,是虚拟专用网在计算机网络的应用中,不可缺少的一个部分,不仅仅保护了数据信息在通过网络进行传输中的安全,还在很大程度上保障了数据信息来源的安全性、可靠性。
3 VPN技术的应用
在对VPN技术进行应用的过程中,能够有效的解决虚拟专用网络在对公共网络进行利用中存在的问题。
以下是VPN技术主要的几种应用:
3.1 远程访问VPN
随着我国科学技术的深入发展,人们对于远程通信的需求逐渐的扩大,各个行业办公方式由办公室办公转变为在办公室以外进行办公,企业中的工作人员对于企业网络中的远程客户端访问的要求逐渐增高,在这一形势下远程访问VPN的出现是必然的趋势。
一些公司或企业在网络中进行远程访问的过程中,为了保证远程访问的安全性,传统的方法是公司或企业的内部网络中对RAS进行构建,即远程访问服务器。远程客户端客户利用电话这一形式进行网络拨号,然后接入RAS,接着进行入到公司或企业的内部网络中,在利用这种传统的方法进行远程访问时,需要对相关的RAS设备进行购买,RAS设备的价格都非常的高,而且远程客户端客户只能采取拨号这一种形式进行远程访问,远程访问的效率非常低,在远程访问时的安全性也得不到有效的保障,在进行拨号时所需要的花费的费用也非常的多。远程访问VPN,通过数字用户线路、ISDN以及拨号等一系列方式,进入到公司或企业所在地的ISP中,再进入Internet中,然后对公司或企业中的VPN网关进行连接,在VPN与远程客户端的客户之间构建一条安全隧道,远程客户端的客户可以通过这一条安全隧道对公司或企业内部中的网络进行访问,这种方式不仅仅节约了远程访问过程中所需要花费的费用,还在很大程度上保障了远程访问中的安全性。
远程访问VPN的结构示意图,如图1所示。
3.2 站点到站点的内联网
一般情况下,在对同一个企业中两个不同的分支机构进行连接的过程中,专用私有线路是必不可少的连接工具,但是专用私有线路非常的难找,寻找一条专用私有线路需要花费很多的时间与精力,而且专用私有线路一般都以出租的方式进行利用,租金非常的高。企业在利用一条专用私有线路对内部中不同的分支机构进行连接时,如果专用私有线路对企业内部网络造成了破坏,则会导致连接的失败,而且在利用专用私有线路对企业内部网络中的数据信息进行传输的时候,传输数据信息的网络通道没有进行相关的加密,这就造成了数据信息在传输过程中存在着不安全因素。
站点到站点的内联网,能够有效的解决企业内联网结构、传输、连接在安全这一方面存在的问题,站点到站点的内联网结构示意图,如图2所示。
VPN网关,处于公共网络与企业专用网络的交界处,站点到站点的内联网对数据信息通信进行加密,通过Internet将数据信息传输到相关的VPN网关中。站点到站点的内联网在接收到Internet所传输的数据信息已被加密,然后通过将数据信息传输到VPN网关对数据信息进行解密,接着传输到企业的内部网络中。站点与站点的内联网在传输数据信息时,不需要专用的私有线路,而且还能够使VPN变得非常的灵活。
3.3 VPN技术应用的实例
VPN技术在宜春供水有限公司中的应用,图3是宜春供水有限公司中VPN网络结构图。
VPN技术在宜春供水有限公司中的应用,取代了宜春供水有限公司内部中传统的专线网络,VPN技术的应用极大的增强了宜春供水有限公司在利用网络进行数据信息传递时的安全性,有效的节约了宜春供水有限公司在网络信息数据传输这一方面的资金成本,在总体上为公司节省了85%左右的信息数据通讯的资金成本,而且只需要普通宽带就能够实现。
4 结束语
虚拟专用网技术在企业应用计算机网络的过程中有着重要的作用,企业采用VPN这一技术,能够有效的保障计算机网络的安全性、可靠性、经济性,能够确保企业中的一些重要的私密性文件在通过网络进行传输时的安全。
参考文献:
[1] 浦兜,陈依群,曾鸿文.虚拟专用网络(VPN)信息加密技术研究[J].电讯技术,2010(17).
[2] 束坤,凳国新.基于计算机网络的VPN技术[J].计算机应用,2008(11).
[3] 曾勇军,畅贞斌,罗必国.通过隧道技术建立安全的虚拟专用网[J].计算机工程与应用,2010(8).
vpn技术篇4
【论文摘要】:虚拟专用网(vpn)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对vpn隧道技术的分类提出了一些新的探索。
引言
虚拟专用网即vpn(virtual private network)是利用接入服务器(access sever)、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。
利用共用的wan网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后,立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。WWw.133229.COm此ip分组到达总部的vpn设备c后,全局ip地址即被删除,恢复成ip分组发往地址a。由此可见,隧道技术就是vpn利用公用网进行信息传输的关键。为此,还必须在ip分组上添加新头标,这就是所谓ip的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术vpn网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用vpn技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技术,作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp协议又称为点对点的隧道协议。pptp协议允许对ip,ipx或netbeut数据流进行加密,然后封装在ip包头中通过企业ip网络或公共互连网络传送。
⑶ 2tp(layer 2 tunneling protocol)
该协议是远程访问型vpn今后的标准协议。
l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接,端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外,还能在vpn上利用ppp支持的多协议通信功能,多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议,它部分采用了移动ip的机制。atmp以gre实现封装化,将vpn的起点和终点配置isp内。因此,用户可以不装与vpn想适配的软件。
⑸ psec
ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标(ah:authmentication header)和封装化安全净荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允许对ip负载数据进行加密,然后封装在ip包头中,通过企业ip网络或公共ip互联网络如internet发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,dsi七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层vpn "与"三层vpn"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类,将出现"四层vpn"、"五层vpn",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的vpn,使用路由方式的vpn,使用专线方式的vpn和使用局域网仿真方式的vpls。
例如同样是以太网的技术,根据实际情况的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对vpn技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如lsvpn。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
ipvpn技术,由于利用了internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此,利用ipvpn通信时,应比专线更加注意internet接入点的安全。为此,ipvpn采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的vpn虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
vpn技术篇5
【论文摘要】:虚拟专用网(vpn)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对vpn隧道技术的分类提出了一些新的探索。
引言
虚拟专用网即vpn(virtual private network)是利用接入服务器(access sever)、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。
利用共用的wan网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后,立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。此ip分组到达总部的vpn设备c后,全局ip地址即被删除,恢复成ip分组发往地址a。由此可见,隧道技术就是vpn利用公用网进行信息传输的关键。为此,还必须在ip分组上添加新头标,这就是所谓ip的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术vpn网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用vpn技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技术,作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp协议又称为点对点的隧道协议。pptp协议允许对ip,ipx或netbeut数据流进行加密,然后封装在ip包头中通过企业ip网络或公共互连网络传送。
⑶ 2tp(layer 2 tunneling protocol)
该协议是远程访问型vpn今后的标准协议。
l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接,端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外,还能在vpn上利用ppp支持的多协议通信功能,多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议,它部分采用了移动ip的机制。atmp以gre实现封装化,将vpn的起点和终点配置isp内。因此,用户可以不装与vpn想适配的软件。
⑸ psec
ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标(ah:authmentication header)和封装化安全净荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允许对ip负载数据进行加密,然后封装在ip包头中,通过企业ip网络或公共ip互联网络如internet发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,dsi七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层vpn "与"三层vpn"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类,将出现"四层vpn"、"五层vpn",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的vpn,使用路由方式的vpn,使用专线方式的vpn和使用局域网仿真方式的vpls。
例如同样是以太网的技术,根据实际情况的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对vpn技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如lsvpn。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
ipvpn技术,由于利用了internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此,利用ipvpn通信时,应比专线更加注意internet接入点的安全。为此,ipvpn采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的vpn虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
[1] e rescorla, a schiffman. the secure hypertext trausfer protocol. draft-wes-shttp-06[r]. text 1998,6.
vpn技术篇6
VPN虚拟专用网 (Virtual private network):建立在实在网路(或称物理网路)基础上的一种功能性网路,或者说是一种专用网的组网方式,简称VPN。它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网路;也可以说虚拟专用网是一种逻辑上的专用网路。
2 VPN的特点
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。所有网络应用均要求网络根据需要提供不同等级的服务质量。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 VPN安全技术
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(2)加解密技术
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。
对于L2TP服务器,将使用IPSec机制对数据进行加密。IPSec是基于密码学的保护服务和安全协议的套件。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
(4)使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP:CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。MS-CHAP:同CHAP相似,微软开发MS-CHAP是为了对远程Windows工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 MS-CHAP v2:MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
4 VPN发展现状
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。
(1)客观因素包括因特网带宽和服务质量QoS问题。
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。
(2)主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
[1]张忠玉.VPN 技术综述及应用.工程技术,2007(25).
[2]范青.浅谈虚拟专用网(VPN)的技术研究与应用.科技信息,2007(33).
vpn技术篇7
[关键词]VPN技术无线局域网SSL VPN
[中图分类号]TP3[文献标识码]A[文章编号]1007-9416(2010)03-0091-02
随着信息产业的飞速发展,通信技术和计算机技术的融合越来越快。无线通信已经成为我们生活不可缺少的一部分。但由于其无线通信设备采用的是无线信号的空中传输,使得在无线链路中传输的信息很容易被窃听,存在很不安全的因素。严重的话甚至导致整个网络的瘫痪。为此在一个企业当中建立一个无线局域网,安全性应是头号要解决的问题。VPN是无线网络建设当中解决无线通信安全问题的一个很好的方案。本文试图就VPN技术在无线局域网中的应用做出一定的探讨。
1 VPN技术概述
VPN (Virtual Private Network,虚拟专用网)是专用网络在公共网络如Internet上的扩展。VPN通过隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的,基于Internet的VPN也称为IP-VPN。所以从本质上说,虚拟专用网(VPN)是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和VPN服务器之间建立一条加密隧道,将原始数据包加密,并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包,保证了数据包在公共媒质上传送的时候,不会被非VPN 用户截取。
2 VPN技术在无线局域网中的应用分析
无线局域网因其传输介质、访问方式等原因,使得其很容易受到攻击。无线局域网常用的安全方式,如MAC地址过滤、服务区标识符(SSID)匹配等存在很多明显的弊端。利用VPN技术可以为无线局域网提供更可靠的安全解决方案。但是从目前现状来看,VPN在无线局域网中应用实现方式主要有两种,一种是基于IPSec 的无线VPN设计,另外一种是基于SSL的无线VPN设计。但是IPSec 的无线VPN设计是较早时期VPN在无线局域网中的实现方式,随着近年来无线局域网以及VPN技术的逐渐成熟,基于SSL的无线局域网实现技术已经成为主流,本文将重点探讨基于SSL的VPN技术在无线局域网中的应用。
2.1 SSL VPN在无线局域网中应用原理及功能特点
SSL(Secure Socket Layer,安全套接层)是一种在两台机器间提供安全通道的协议,它具有保护传输数据以及识别通信机器的功能。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。SSL VPN使用SSL协议和为终端用户提供基于HTTP, C/S和共享文件资源的认证和安全访问。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN的工作原理如图1所示:
SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需使用标准Web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,从而大幅降低VPN网络的实施成本。二是适用于大多数设备及系统。由于Web方式的开放性,支持标准浏览器的任何设备都可以使用SSLVPN进行远程访问,包括非传统设备,如PDA等。三是适用于大多数操作系统。任何支持标准Web浏览器的操作系统都可以作为S SL VPN的客户端进行远程访问。不管用户使用的操作系统是Windows、Macintosh、UNIX还是Linux。都可以非常容易地访问到企业内部网站的资源。
2.2 SSL VPN在无线局域网中的具体应用
通过图1的示意图可以看出,SSL VPN在无线局域网网中应用的整个系统由SSL网关和Web服务器以及AP组成,其中最重要的是SSL网关。网关由多个服务器组成,LDAP服务器负责证书以及证书吊销列表的保存,RADIUS服务器负责访问控制策略,DHCP服务器负责为接入网关的局域网计算机分配IP地址,AD是证书验证服务器。
对于SSL VPN来说,要保证通信的安全,必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密,消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过,端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。SSL协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证,并用密钥交换技术交换通信使用的对称密钥,然后使用对称密钥加密通信数据。SSL的安全依赖于所使用的加密套件,每个加密套件使用四种算法,即:数字签名算法,消息摘要算法,密钥确立算法以及数据加密算法。
SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说,有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证,它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后,如何有效而灵活控制客户的访问权限,是非常重要的问题,同时也是SSL VPN系统最具特色的特点之一。如何实施用户的集中化管理,通过SSL VPN控制台进行管理,更加有效的监控用户使用权限,如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个SSL VPN服务器来说,传输在整个SSL VPN系统中是一个性能的瓶颈点。
总之,随着我国网络用户的快速增长,无线网络作为有效网络的有效补充,在人们的网络生活中将会占据更加重要的地位。而VPN技术作为无线局域网的一种有效安全措施,在无线局域网中具有非常广泛的应用。
[参考文献]
[1] 刘乃安.无线局域网(WLAN)――原理、技术与应用[M].西安:电子科技大学出版社,2004.
[2] 周明.SSL VPN体系结构在无线局域网中的应用与设计[J].电子科技大学.2006(4).
[3] 吴丽华,史烈.基于VPN技术的安全无线局域网的构建[J].计算机工程,2005(2).
vpn技术篇8
关键词:MPLS VPN;校园网;技术优势;应用;初步规划
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)04-0831-02
MPLS VPN Technology and in Campus Net Construction Research
LIU Li-juan
(Nanjing Normal University Taizhou College, Taizhou 225300, China)
Abstract: Through introduced MPLS VPN technology basic concept, principle, realization way,has analyzed the MPLS VPN technical superiority, elaborated MPLS VPN technology in the large-scale network design practical application, preliminary study under MPLS VPN environment campus network plan, the endeavour will cause on a next university informationization construction new stair.
Key words: MPLS VPN; campus net; technical superiority; using; preliminary plan
随着信息化程度的加深,校园网上各种管理应用系统平台不断增加,各种各样的网络需求和安全问题对传统校园网提出了巨大的挑战,如何实现学校教学、科研、管理等多个业务系统的“隔离与受控访问”,并能检测、调节、设定不同业务优先级,提供多等级校园网络服务质量,优化网络性能,成为校园网工程改造的难题。由于MPLS VPN技术能够非常简单的实现学校各部门之间的横向和纵向互访,并且在增加新的节点时,不需要对原有节点的配置进行修改。所以相对其他VPN技术,采用MPLS技术组建的VPN具有更好的可维护性及可扩展性,MPLS VPN更适合于组建较大规模的复杂的VPN网络,MPLS VPN的这些优点已经成为建设校园网的主流技术。
1 MPLS VPN技术
1.1 MPLS VPN技术概述
MPLS VPN是一种基于MPLS技术的VPN,它在MPLS/IP公共网络上,利用MPLS技术创建隧道,实现二、三层VPN业务。MPLS VPN的隧道建立就是采用MPLS的标签堆叠技术,通过给用户数据封装双层标签来实现。其中内层标签即私网标签,用来识别用户信息的VPN信息,外层标签即公网标签,用来在公网中转发私网报文。将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起,为用户提供高质量的服务。
1.2 MPLS VPN原理
MPLS VPN中的路由器有P路由器、PE路由器、CE路由器3种。P路由器是主干路由器,负责VPN分组外层标签的交换;PE路由器一般是边界路由器,存放着VRF表和全局路由表;CE路由器为客户端路由器。当CE路由器将一个VPN分组转发给PE路由器后,PE路由器查找该VPN对应的VRF,从VRF中得到一个VPN标签和下一跳出口PE路由器的地址,VPN标签为“最内层标签”打在VPN分组上,根据下一跳出口,PE路由器的地址可以在全局路由表中查找出到达该PE路由器应打上的域内路由的标签,即外层标签,于是VPN分组被打上了两层标签,P路由器根据外层标签转发VPN分组,在最后一个P路由器处,外层标签弹出,VPN分组只剩下内层标签,接着VPN分组被发往出口PE路由器。出口路由器根据内层标签查找到相应的出口,将VPN分组上的内层标签删除,把不含标签的VPN分组发给正确的CE路由器,CE路由器根据自己的路由表将分组转发到正确的目的地。
1.3 MPLS VPN的实现方式
MPLS VPN的实现方式,根据Internet边界设备PE是否参与客户的路由,Internet在建立基于MPLS的VPN时有两种选择:第三层的解决方案(Layer3MPLS VPN)和第二层的解决方案(Layer2MPLS VPN)。第二层和第三层MPLS VPN的主要区别在于:在一个第三层的MPLS VPN里,PE路由器和CE路由器建立了对等关系,并且维护独立的路由表,而不是在CE路由器之间建立对等关系。
1.4 MPLS VPN的技术优势
1.4.1 VPN实现网络安全
VPN以多种方式增强了网络的智能和安全性。具有高度的安全性,对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全。
1.4.2 简化网络设计
网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN通过拨号访问来自ISP或NSP的外部服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记帐相关的设备和处理。
1.4.3 降低成本
许多技术承诺可以降低成本,但VPN降低成本的方法是立即且显著的,它可以降低:
1)移动用户长途通信成本费。
2)可以以每条连接40%到60%的成本对租用线路进行控制和管理,对国际电路成本节约是极为显著的。
3)主要设备成本:VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外,它还允许一个单一的WAN接口服务多种目的,从分支网络互连、商业伙伴的外连网终端,本地提供高带宽的线路连接到拨号访问服务提供者。因此,只需要极少的WAN接口和设备。另外,由于VPN独立于初始的协议,这就使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件系统上的投资。
1.4.4 容易扩展
如果企业想扩大VPN的容量和覆盖范围,只需与新的ISP签约,建立帐户,或者与原有的ISP重签合约,扩大服务范围。
1.4.5 易于建立商业伙伴
在过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商已毫无必要,真正达到了要连就连、要断就断。这样就可以迅速捕捉商业机会,建立可靠的商业伙伴关系。
1.4.6 完全控制主动权
VPN使企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
1.4.7 支持新兴应用
许多专用网对于新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IM、MPLS等。
2 MPLS VPN的应用
MPLS VPN应用的范围比较广泛,在企业中利用MPLS VPN可以大大缩小总部和各分支机构之间的差距,在VPN中实施软交换IP电话,可以大大节省长途话费,利用VPN开通会议电视,大大方便各分支机构之间的业务交流。在政府机构中,从中央到省级到市/地级到县级到乡镇,都可以组建MPLS VPN网,在各级VPN中开通E-mail、IP 电话、会议电视,方便各级政府官员互相通邮通电,随时启用会议电视开展会议。各级VPN的级别设置与各级政府级别、机密级别设置相当,将网络风险降低到零。另外,MPLS VPN还可以在远程教育、跨地域银行、电力远程监控、大型商行或超市、物流业等领域应用。
2.1 校园网改造需求分析
针对原有网络运行模式,需要一个便于扩展的解决方案,来保持用户组完全隔离,实现服务和安全策略的集中,并保留校园园区网设计的高可用性、安全性和可扩展性优势。网络改造设计必须高效地解决以下几个问题:
2.1.1 访问控制
确保能识别合法用户和设备,对其分类,并允许其接入获得访问授权的网络部分。
2.1.2 路径隔离
确保各用户或设备都能高效地分配到正确、安全的可用资源集,即正确的VPN。
2.1.3 服务边缘
确保合法的用户和设备能访问相应的正确服务,并集中实施策略。
2.1.4 网络扩展
可以为其他校区、办学点、移动办公的人员提供远程接入访问服务。
2.2 校园网MPLS VPN初步规划
2.2.1 整体规划
采用MPLS/BGP VPN技术作为实现基本MPLS VPN业务的技术路线,建立各业务系统虚拟独立网络,各业务系统部门之间的可控互通访问;通过构建全局共享VPN实现整个网络电子信息资源库、视频会议系统的互连互通;在MPLS VPN基础上,通过部署IP VPN提供更进一步的安全保证;在网络未来扩展中,采用VPE技术实现VPDN与MPLS VPN的结合;
2.2.2 专网规划
主校区可以通过虚拟园区网实现校内各业务系统的专网实现,要解决接入控制、通道隔离、统一应用三个问题,实现对接入用户身份的识别和动态访问权限的下发,从而使用一套物理网络为多个部门的用户提供不同的安全访问级别服务,并且满足网络的安全性和灵活办公的需要。
各分校区从原有基于专线的网络上迁移到校园网络上,需要改变原有网络的接入方式,设备也要做适当调整,需要配置支持MPLS VPN的接入路由器。
3 结论
MPLS VPN技术是目前大型复杂网络建设中解决信息受控访问和安全隔离的有效途径,它使企业得以在一个公共的通信平台上,构建内部的VPN专网,能够在一个无连接的网络中引入连接模式的特性,有效减少了网络复杂性。MPLS VPN技术在校园网的建设中虽然还没有得到普及化的应用,但相信随着时代的发展,MPLS VPN必将为实现全面“数字化校园”作出巨大贡献。
参考文献:
[1] 郭宏宇.MPLS VPN技术原理与实际应用[D].吉林:吉林大学,2008.
[2] 魏岳,王文静,赵蔚.基于VPN的校园网组网模式分析[J].福建电脑,2009(2):85-86.
[3] 吴荣生,郭联志.MPLS VPN的探究与应用[J].重庆科技学院学报:自然科学版,2009,11(2):130-133.