以主动网络为基础的虚拟网构造

摘要：虚拟专用网络VPN(virtual private network)的实现是新一代企业网络的一种发展趋势，它将为企业新业务处理和新的服务类型提供一个现代化的平台，但是业务的多样化、新技术的推广应用和新的网络安全威胁对VPN提出了新的挑战。该文将结合未来广域网发展趋势的主动网络，将两种网络技术相融合，提出主动网络为基础的VPN构架，使VPN具有更好的扩展性、安全性和更高的服务质量。

关键词：VPN；主动网络；隧道服务

中图分类号：TP393 文献标识码：A 文章编号：1007-9599 (2011) 22-0000-01

Virtual Network Structure Based on Active Network

Xie Fang

(Hunan Foreign Economic Relations&Trade College,Changsha 410015,China)

Abstract:Virtual Private Network VPN (virtual private network) is a new generation of enterprise network implementation of a trend,it will handle new business enterprises and new types of services to provide a modern platform,but the diversity of business,new technologies promotion and application of new network security threats and the VPN raised new challenges.The article will be combined with the future development trend of active WAN network integration of the two types of network technology proposed active network-based VPN architecture,the VPN has better scalability,security,and higher quality of service.

Keywords:VPN;Active network;Tunnel service

随着信息化步伐的加快和计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。虚拟专用网（VPN）技术通过在两台计算机之间建立一条专用连接从而达到数据共享或在公网上传输私有数据的目的。VPN能够利用现有的internet资源，提供数据安全性，其核心技术是隧道技术。主动网络(Active Network)是针对传统网络的不足而提出的一种新兴的网络体系结构，是一种可编程的网络。用户可以向网络结点插入定制的程序，使传统网络从被动的传送字节流向更一般的网络计算转变。主动网络潜在的优点是快速动态定制、配置新的服务和协议，可加速网络服务革新步伐，提高网络性能，使网络系统更具灵活性、可扩展性。企业依托VPN技术，可以部署一些安全服务，虽然VPN使用隧道技术来实现，其核心协议是Ipsec具有一定的安全性，但是一个安全系统中一个环节出漏洞将会影响整个系统的安全性，IPsec不可能完全解决所有出现的安全问题。于是，我们寻求一种能快速动态修改网络配置，更新网络协议并花费较小的代价，并使得新技术、新服务和新应用的部署更加方便，基于此，本文提出基于主动网络的VPN构架，可较好地解决此类问题。

一、基于主动网络的VPN构架

组件是能提供某项特定功能的封装代码，它可以用来修改网络的基础结构，更新修改现有的协议体系，用户可以通过定制特定的网络组件来扩充主动节点的功能。下面将具体讨论体系结构组成。

NCMS由注册管理模块、证书库、证书管理模块、密钥库、密钥管理模块、策略库、策略引擎、加密/解密模块、身份认证模块和管理模块组成。NCMS在组件管理过程中，除了有严格的验证身份的功能，而且它也可以看成是一个认证中心（CA），注册管理模块可提供用户在线注册组件，证书库拥有已注册组件的证书所有证书，密钥库保存所有NCS与VPNCS间的会话密钥。在NCMS中包的流入和流出都要经过严格的安全处理，可以使用IPSec协议，当然不限于此。所以策略库对数据包采用的安全保障起决定作用，外出包和进入包的处理都必须查阅策略库。对外出包处理来说，由协议来查阅策略库，判断这个包是否需要安全保护。对进入包来说，由协议来查阅策略库，判断为这个包提供的安全保护是否和策略配置的安全保护相符。加密/解密模块使对流入流出数据进行加密解密，保障数据的解密性。身份认证模块用以验证数据包的真实性。所有模块都在管理模块的统一调动下工作。VPNCMS对本地局域网组件进行管理，它具有向NCMS注册特有组件，申请下载组件的功能，其结构与NCMS相似，但不具有加密/解密模块，因为数据的加密/解密是由BAN来完成的。

VPNCS由组件库、组件管理模块、策略库、策略引擎、身份认证模块、预处理虚拟机和管理模块组成。它为本地局域网提供组件服务，组件库保存所有局域网组件，策略库用以决定判断对组件的访问是否合法，调用组件的哪些接口可用等。身份认证模块与策略引擎共同判断对组件的请求是否有效。预处理虚拟机是为提高BAN性能而提供的，当BAN对组件的请求有效时，现在VPNCS中预处理机下预编译，然后调入BAN的EE中执行，加快组件的执行效率。

NCS为远程Internet上提供组件下载的组件服务器。只有注册组件成功并且请求的VPNCMS拥有正确的会话密钥和组件号的请求，NCS才给予响应，利用隧道机制提供VPNCS的组件下载。其机构与VPNCS相似。但它还拥有加密/解密模块，以加密下载组件。安全传输到VPNCS。另外，身份认证模块和策略引擎不仅是对组件的访问策略进行控制，它还对所有流入NCS的包进行过滤，判断包的合法性。

二、总结

通过组件的定制运行，我们只要编制能在各种系统运行的组件，就能使分组在异构网络上的传输；我们也可以利用主动网络的可编程性，在不同的主动节点上运行不同的主动代码，实现隧道复用和分离，以提供不同的QoS保障，达到通信效能的优化，实现智能路由，以提供传输效率。

本文针对新一代企业网络应用的核心技术，提出了基于组件的主动网络的VPN实现构架，该结构具有与传统VPN设计更好的扩展性、安全性和服务质量，通过定制组件快速动态地布置新协议、新业务和网络的基础设施，缩短了新技术应用于实际的时间，降低了成本。

参考文献：

[1]Xu Ke et al.Active Network Architecture Based on Extended Services Router,ISFST2000

[2]HeinanenGa.AFrameworkforIPBasedVirtualPrivateNetworks[EB].RFC2674,2000