vpn技术论文范文
时间:2023-11-21 19:13:00
vpn技术论文篇1
关键词:分校区;VPN;专用网络
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02
一、引言
随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。
二、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。
(一)VPN接入技术的分类
目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。
2.IPSec VPN
IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。
3.SSL VPN
SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。
(二)VPN的关键技术
VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。
1.隧道技术
隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。
2.加密技术
VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.认证技术
VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。
(三)VPN的优点
VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:
1.成本低
传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;
2.可扩展性强
如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。
3.安全性强
VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。
三、VPN在分布式校园网络中应用
近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:
(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;
(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;
(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;
可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:
(一)校区互联
针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。
(二)移动办公
在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。
(三)校际交流
在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。
四、结论
针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。
参考文献:
[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198
[2]王子悦.多校区大学教育管理体系研究[D].天津师范大学学报,2009
[3]陈震.VPN技术及其应用的研究[J].电脑知识与技术,2009,4:798-799
vpn技术论文篇2
关键词:计算机网络;VPN技术;运用;实践
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0012-02
随着计算机网络的快速发展,使得计算机网络逐渐进入人们的实际工作中,并有效提高工作效率与工作质量,强化了计算机技术水平和技术含量。就现有计算机网络来看,各项计算机技术的运用都存在极强的针对性,在各自的领域中发挥着巨大的作用,促进了行业发展的现代化和技术化。 VPN技术是计算机网络技术发展后的成果,主要依托于ISP技术与NSP技术,通过虚拟专用网络建立通信专门线路,实现信息数据的及时交换和共享。因此,VPN技术可以有效提高数据信息的准确性和安全性,保证计算机网络系统的高效运行。
1 VPN技术综合概述分析
1.1 VPN技术运行原理
就目前而言,VPN技术在实际运行中,主要利用双网卡结构,外网卡通过公网IP连接Internet。若公网终端A访问公司内网终端B,其访问数据地址为公司内网终端B的IP地址。公网VPN网关接收终端A访问数据包后,会对终端A的目标地址进行程序检查,若目标地址为公司内网地址,公网VPN网关会对该数据包采取封装处理,封装的方式由VPN技术而决定。同时,VPN网关也会建立新VPN网关数据包,封装后的数据包直接转化成新VPN数据包的载荷,VPN数据包的目标地址就是公司内网VPN网关外部地址。因此,在VPN网关进行数据处理的过程中,原始数据包目标地址与远程VPN网关地址起着至关重要的作用,在VPN地址的基础上,VPN网关可以明确需要进行VPN处理的信息数据,识别不需要VPN处理的数据包,并将其直接上传到上级路由中。远程VPN网关地址主要是对特定VPN数据包地址进行统一处理,也就是VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
1.2 VPN技术通信过程分析
在VPN技术的实际使用中,首先,网络用户要利用个人终端向区域内的 VPN 技术服务器进行访问请求的发送,建立传输通道。VPN 服务器会及时接受个人终端发来的访问请求,并对个人终端的身份进行有效验证。其次,若个人终端身份通过访问认证,访问权限被允许,可以进行网页的访问;若个人终端身份没有通过访问认证,则访问受限制,要进行重新访问。在访问允许后,计算机网会形成VPN虚拟化技术,使得网络线路更具安全性和针对性。最后,用户终端和网络服务器建立有效的访问联系后,所有的传输数据在实际使用和运行过程中会进行加密与封装处理,通过 VPN 网关技术隧道,将数据从发送端传输到VPN接收端。
1.3 VPN技术的优势
VPN技术在实际应用中具有很大的优势,主要表现在以下几方面,第一,VPN技术易操作,使用流程相对简单,并具有很高的经济性,运行成本相比于传统租用DDN方式来说较低,后期维护费用也相对较低,这也是VPN技术被广泛使用的重要原因之一。第二,VPN技术具有极强的高效性与便利性,在实际使用的过程中,通过专用网络的连接,根据复杂性的网络结构与传输访问地址,构建多样性与丰富性的通信线路,进而实现信息数据的快速传输。第三,VPN技术可以有效保证传输数据信息的真实性与可靠性,并在实际传输中通过高强度的认证系统和加密系统,保证了数据信息的安全性,防止出现信息数据泄漏等安全问题,为网络用户的隐私提供了重要的安全保障。
2 计算机网络中VPN技术分析
2.1 MPLS VPN技术
MPLS VPN主要是建立在MPLS技术基础之上的IP VPN,主要是在网络路由或者是交换器设备上通过MPLS多协议标记交换技术来优化核心路由器的选择方式,充分结合传统路由交换技术实现IP专用网络的虚拟化。MPLS VPN技术的最大特点在于在实际应用过程中,可以将网关二层交换与三层路由技术充分的结合在一起,进而共同作用实现VPN和服务分类以及流量工程等方面的管理。从另一方面上看,MPLS VPN 技术可以在数据访问与传输中,迅速建立 IP 虚拟专用网络,加快网页访问以及数据传输的速度与效率,简化路由器的选择方式,避免虚拟专用网络运行中的冲突,用户提供更好的网络服务。
2.2 IPSEC VPN 技术
IPSEC VPN 技术主要是建立在IPSEC协议基础上的VPN技术,IPSEC协议是一种由IETF设计、确保基于IP通讯数据安全性的机制,可以为VPN通信传输提供隧道安全保证。在IPSEC VPN 技术的实际应用中,通过VPN网关的远程连接,将多个局域网进行有效的组建与分析,进而构建一个新的虚拟局域网络。同时,通过IPSEC VPN 技术构建的虚拟局域网具有极强的稳定性和有效性。IPSEC VPN技术的实现原理与计算机过滤防火墙相似,在实际操作中,网络服务器接收数据包后,会按照安全策略在数据库中进行数据包的查询处理,将查询处理结果列为操作依据。在局域网特定范围内,IPSEC VPN 技术的数据传输和处理能力,具有加密机制,进而强化认证手段。针对外部站点,在进行虚拟局域网访问中,会进行信息过滤,全方位确认数据的质量。因此,PSEC VPN技术的广泛使用,无论是在经济效益还是在社会效益方面,都具有很大优势,获得广大用户的高度重视。
2.3 SSL VPN技术
SSL VPN技术主要依托于HTTPS,应用在传输层与应用层间的数据传输、交换以及共享。SSL VPN通过SSL协议设置生局域网访问权限,建立身份认证和数据加密以及消息完整性验证等安全访问机制,在应用层于传输层间建立一条安全的通信渠道。在实际应用过程中,SSL VPN技术存在Web 浏览器、SSL VPN 客户端和 LAN 到 LAN 等工作模式,在Web 浏览器工作模式中,用户可以通过SSL 协议构建虚拟专用网络,对公司内部网关进行远程访问,可以完全忽略网络配置对远程访问的影响,进而有效减少VPN 系统运行时间和工作量,提高VPN管理效率。在SSL VPN 客户端工作模式中,可以利用 SSL 协议客户端实现远程应用服务器的访问,在此过程中客户端和服务器中的加密数据主要靠隧道数据进行传输,进而提高数据传输的稳定性与安全性。LAN 到 LAN 工作模式主要适用于不同局域网络的数据传输,实现各个局域网之间的通信传输,并设置加密处理,提高数据包的可靠性。目前,SSL VPN广泛应用在基于Web远程接入领域中,为用户远程访问公司内部网络提供了安全保证。
3 计算机网络中VPN技术的实际应用
3.1 在公司内部网络中的应用
VPN技术在公司内部网络中的应用主要体现在地址管理中,为用户提供安全性高的网络地址。例如,某集团有大约30个分公司,分布在全国各地,为了便于各个分公司与总公司交流沟通,保证工作效率和工作质量,集团企业可以通过VPN技术进行计算机网络沟通。首先,集团企业要和旗下分公司建立VPN网络联系,利用加密处理的VPN共网实现集团企业服务器与子公司服务器的访问。在服务器系统中设置视频会议、邮件以及办公自动化系统,实现网络联系的多元化,满足实际的工作需求。
在VPN技术实际运行的过程中,集团企业可以根据子公司网络用户的属性以及运营规模将其分为以下几个方面。第一,移动用户。规模较小分公司或者是利用网络连接集团企业单机,在进行VPN技术使用中要设置Client软件,将用户所在局域网络与VPN虚拟技术联系在一起,依托SplitTunneling安全机制有效保障核心网关的使用安全。另一方面看,这种传输方式可以让远程办公室网关将VPN作为传输载体进行集团企业内网的访问。第二,子公司用户所在局域网不具备地址转换器以及防火墙功能,并占用集团企业共网地址。对于这样的子公司,集团企业要在子公司的以太网中设置网关交换器与路由器进行与子公司网络的连接。第三,对于需要安装防火墙的子公司,一方面,集团企业可以利用VPN技术进一步完善企业网络设计,减少不必要的安装程序,建立VPN网络通信系统,使子公司的公司活动与销售情况始终处于集团企业网络监控中,降低通信成本。另一方面,为了保证网络通信的安全性,集团企业可以通过VPN技术提高网络通信的安全性,在企业内部网关中设置VPN机密机制,保证内外网的安全性。同时,还要进行VPN软件的扩展,为子公司的增加做好充分的准备。
综上所述,集团企业通过VPN技术与子公司进行沟通的过程中,形成VPN通信网络通道,不仅节省了大量的通信费用,其建设投资与后期维护费用也相对较低。在远程访问中要做好安全防护措施,安装安全认证机制,强化生产管理监督、视频会议以及异地协同办公等具体功能,促进集团企业管理的现代化和信息化以及系统化,满足集团企业的发展需求。
3.2 在图书馆管理中的应用
目前,VPN技术已经广泛地应用在高校图书馆计算机网络管理系统中,有效提高高校图书馆管理效率和管理质量,实现现代化管理模式。随着学校规模的扩大,增加了分校的数量,学校可以引入VPN技术实现各个学校之间的联系与沟通,各个学校图书馆局域网可以互相访问,节省了大量的访问时间,实现各个分校图书馆资源的共享,进而提高了高校图书馆管理效率。在实际的使用过程中,图书馆VPN服务器不仅要连接互联网,还要连接到高校内部VPN专网,通过公共目标地址,在分校与总校进行网络通信过程中,要将相关数据信息上传到本地计算机中,并通过身份认证和数据加密以及隧道协议等VPN技术安全机制提高信息传输的有效性和安全性。在计算机发出指令后,VPN服务器要对计算机指令进行分析与判断,过滤信息数据,验证用户身份,若安全,访问用户才会有局域网访问权限,服务器认可网络连接,反之则阻止用户访问。在实际身份验证中,VPN服务器会通过公钥进行访问信息的加密,路由将数据信息传送到目标地址。
3.3 VPN 技术在计算机教学资源网中的应用
VPN技术应用在计算机教学资源网中,可以丰富教学资源,利用校园内外网关的连接访问,使得教育信息网络连接公网internet ,在此过程中,校园外网很容易受到其他网络攻击,传统网络无法进行教育资源的加密,在用户身份安全和教学资源安全方面都存在较大的漏洞,不利于计算机教学资源网的应用与发展。针对以上安全问题,VPN技术的实际应用很好地解决了信息传输以及用户身份的安全问题,有效提高网络使用的安全性和有效性。在VPN技术中,SSL是一个相对于平台与应用的独立协议,主要应用在安全层中,利用 TCP技术保障访问用户的个人信息。因此,在构建校园计算机教学资源网中,要重视VPN网络工程设计,特别是用户身份认证以及访问权限,利用SSL VPN 技术构建VPN公网,加强数字证书技术的用户身份认证控制,通过USB-key 实现教学资源的安全操作,进而对校园计算机教学资源网进行不断的优化和完善,满足学校的教学需求。
4 结束语
综上所述,VPN技术日益发展成熟,在进行数据传输和共享中可以有效提高网络环境的稳定性和安全性,为数据信息的真实与完整提供了重要的安全保障,实现现代化与信息化管理水平。
参考文献:
[1] 李春泉, 周德俭, 吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报, 2004(3).
[2] 李亚利. 关于计算机网络中常用VPN技术的分析[J]. 信息与电脑(理论版), 2014(10).
[3] 许伟, 娄松涛. VPN 技术在计算机网络中的应用研究[J]. 电子技术与软件工程, 2014(4).
[4] 刘晋州. 基于VPN的计算机虚拟网络技术及应用[J]. 电脑知识与技术, 2016(7).
[5] 赵凌琪. VPN技术及其在网络管理系统开发中的应用[J]. 内蒙古师范大学学报(自然科学汉文版), 2003(4).
[6] 王文波, 王亚萍, 刘U. VPN 技术在医院网络中的应用研究[J]. 中国医疗设备, 2014(4).
vpn技术论文篇3
[关键词]VPN 隧道 internet
[中图分类号]F626.5 [文献标识码]A [文章编号]1009-5349(2012)02-0111-01
随着以Internet为标志的信息技术革命的飞速发展,网络正在迅速地渗入人们的生活中,依靠互联网络人们的生活越来越便捷,沟通越来越紧密。伴随着internet应用在商务活动中的不断深入,越来越多的企业希望其生意伙伴、供应商及附属企业等也能够访问本企业的局域网,从而使商务活动可以通过网络就能进行,大大节约了人力和物力,缩短了交易时间,减少了支出成本。但是这些企业间的商务活动是动态变化的,并需要依托于公用网络之上的,且由于公用网络是一个全球性的计算机通信网络,它具有资源共享和信息互通的特性,而一些用户间的互通和交流又是想要对其他用户进行保密的,于是网络的安全性逐渐成为一个潜在的巨大问题,这就需要有一种技术来解决这些问题,保证这些有保密需要的企业能顺利地进行信息交流,并保证企业信息的安全性。
基于各种需求,VPN技术应时而生。VPN(Virtual Private Network),即“虚拟专用网络”,简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路,VPN是指依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。
一、VPN原理
VPN即在公用数据网上建立一条数据通道,这条数据通道就是隧道,隧道技术是VPN得以实现的关键技术,数据包从这条隧道上通过,从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络,它们之间的通信内容进行封装后经过这条专用的隧道进行传输,然后在接收方进行解封装,还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据,因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议,即私有网络和公用网络之间是不兼容的,VPN是一种逻辑意义上的网络。
二、VPN的安全保障
由于VPN越来越广泛的应用和其技术特点,数据的安全问题成为VPN技术的关键问题。为保证数据的安全性,目前VPN主要采用四项技术:1.隧道技术(Tunneling)。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装,它将私有网的数据进行封装并在隧道中进行传输,隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式,在虚拟网结点与公网的接口处将数据解封装,得到数据。隧道由一系列隧道协议组成,定义了较为完整的数据封装和安全协议及其算法。2.加解密技术(Encryption & Decryption)。发送的一方将数据进行特定加密后再发送数据,当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术(Key Management)。为了满足在公用数据网上所传送的数据的安全性和完整性的需要,密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术(Authentication)。最常用的是用户名、口令或智能卡认证等方式。
三、VPN特点
1.低廉的成本。由于VPN是利用现有的公共网络,不需要重新构建一个新的网络,只是在公共网络上建立一个虚拟的逻辑上的网络,因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较,VPN在设备的使用量及广域网络的频宽使用上,都很节省,企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活,VPN的构架可以根据用户的需要进行修改,可以随意增加新的节点,具有良好的扩展性,无论是企业的专线用户,还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性,VPN架构中采用了多种安全机制,如隧道技术、加解密技术、身份认证技术、防火墙等技术,通过这些网络安全技术,确保通过VPN上传送的数据不会被攻击者窥视和篡改,防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;各种类型的用户,都通过VPN的隧道进入内部网,可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件,无论何时何地,在有公用网络的前提下,只需在电脑中添加一个网络连接,即可与服务器瞬时连接,远程进行操作。
四、VPN发展与应用
VPN适用于那些位置众多、用户分布范围较广,特别是远程办公室站点多的企业和那些彼此之间的距离远、遍布全球各地的用户;还有那些要求对所传输的信息进行保密并保证信息准确性的用户。随着internet的迅猛发展,为VPN提供了良好的网络基础,全球化的企业为VPN提供了广阔的市场,这都使VPN的发展与普及成为必然,VPN将具有巨大的发展前景。
vpn技术论文篇4
【关键词】 MplsVpn Mpls/BgpVpn
引言
MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络,满足多种灵活的业务需求。采用此技术可以把现有的IP网络分解成逻辑上隔离的网络,提高网络安全性和可管理性;且基于MPLS VPN的QoS策略也为新兴业务提供了强有力保障。
1 MplsVpn的技术
MPLS是一种介于二层和三层之间的技术,它没有限定二层所必需使用的链路层协议,具有很好的网络适应性。MPLS包头包含20比特的标签,3个比特的EXP,1个比特的S,用于标识这个MPLS标签是否是最低层的标签,和8个比特的TTL-Time To Live。理论上标签可以多层嵌套。
如果2层协议具有标签域,标签封装在这些域中,反之,标签则封装在2层和IP层之间的一个薄层中。这样,标签可被任意的链路层所支持。MPLS可承载的报文通常是IP包,也可承载二层数据报文,可承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。在MPLS中,一个标签标识了一个转发等价类。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。
2 MplsVpn的实现原理
MPLS是一种面向连接的技术,网络整体由LSR和LSE组成。LSR是MPLS的网络的核心交换机,它提供标签交换和分发功能。LER部属在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、移除功能。MPLS通过MPLS信令或手工配置的方法,建立MPLS标记交换连接。在数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文后直接根据MPLS报头的标签进行转发,大大加快了包文转发速率。在MPLS标记交换路径的出口,弹出MPLS包头,还回原来的IP包。由于FEC可以按照目的地址划分,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型等等信息的任意组合。而MPLS可把任何流关联到一个FEC,然后把一个FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。
MPLS VPN有三种类型的路由器,P路由器、PE路由器和CE路由器。其中,P路由器是MPLS网络骨干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息; PE路由器是MPLS网络骨干边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER),它将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;CE路由器是客户端路由器,为用户提供到PE路由器的连接。
MPLS VPN可以分为BGP扩展和LDP扩展。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。同传统IP VPN不同,MPLS VPN是依靠转发表和数据包的标记来创建一个安全的VPN。其中以BGP扩展实现的三层VPN应用最为广泛。
3 Mpls/Vpn技术的应用方式和优势
MPLS VPN可分为企业内部虚拟网、企业扩展虚拟网、远程访问虚拟网。该技术特别适合改造企业网,它具有如下优势:
(1)以多种方式增强了网络的智能和安全性。
(2)简化了网络设计,以及所需的接口、用户认证等的设备和处理。
(3)降低了通信成本和主要设备成本。
(4)容易扩展。
(5)支持新兴应用,可以支持各种高级的应用和各种协。
综上所述,利用 MPLS VPN技术改造传统的企业网,为企业进一步发展提供了可靠的技术保障。
4 Mpls/BgpVpn在网络实现
在MPLS/BGP VPN的模型中,网络由MPLS的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。
在基于MP-BGP协议的MPLS VPN体系中,存在两个层面的路由,即域内路由和VPN路由。 所有的PE路由器及P路由器上要运行主干网的域内路由,生成的路由表将触发主干网中LSP的建立,通过CR-LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP-iBGP的一条VPN路由包含的信息有:IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址。
MPLS VPN IP路由表及相关的VPN IP转发表被统称为VPN路由和转发实例(VRF)。通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。VPN的成员关系是通过路由所携带的route target属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收或向外哪些Site来的路由信息。 每个PE根据BGP扩展的信息进行路由计算,生成每个相关VPN的路由表。
RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关, 可以用一个或多个RT。当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。通过RT的导入和导出,MPLS可灵活的实现多种拓扑结构和路由层面的VPN访问控制。
在MPLS/BGP VPN中,属于同一VPN的两个site之间转发报文,使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,这样,根据内层标签,就可以找到转发的接口。
5 结束语
MPLS VPN已其高安全性、高可靠性及低成本等优势的到了各行业的广泛应用;发展前景较为乐观,经过MPLS VPN技术的不断完善和发展,为用户提供更加满意的服务和更加丰富的业务,成为VPN技术的主流。
参考文献:
[1]《MPLS技术白皮书》华为公司
vpn技术论文篇5
关键词:VPN;隧道;加解密;认证;安全性
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Analysis of Virtual Professional Network VPN Technology
Wang Ke
(Zhengzhou University,Information Network Key Laboratory 2009 Grade,Zhengzhou450001,China)
Abstract:The virtual professional network VPN tunneling technology,encryption technology,key management and authentication technology for a specific description,also referred to the VPN security issues for further follow-up research and application of the VPN to lay a theoretical basis.
Keywords:VPN;Tunnel;Encryption and decryption;Certification;Security
一、VPN技术介绍
VPN主要采用隧道技术、加解密技术、密钥管理技术和身份认证技术。
(一)隧道技术
1.隧道技术基础。隧道技术是VPN的关键技术,主要包括数据封装、传输和数据拆封三个部分。隧道技术是一种通过公共网络的基础设施,在专用网络或专用设备之间实现加密数据通信的技术。通信的内容包括各种通信协议的数据包,隧道协议将这些数据包重新封装在新的包中发送,新的包头提供了路由信息,从而使封装的数据能够通过公共网络传递,传递时所经过的逻辑路径称为隧道,当数据包到达通信终点后,将被拆封并转发到最终目的地。隧道技术就是指包括数据封装,传输和解包在内的全过程,如图1所示。
图1:隧道传输过程
2.隧道协议。隧道的客户机和服务器双方必须使用相同的隧道协议创建隧道。隧道协议是隧道技术的核心,基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议有PPTP、L2TP和IPSec等协议。
(二)加解密技术
加解密技术主要就是处理好保密、认证和完整性这三个方面的问题。
1.保密。数据在网络传输的过程中,由于需要经过多个中间节点进行转发,因此很容易就被截获。为了保证数据的保密性,就需要对数据使用密文进行加密传输。密文即使被第三方截获,也无法解析其含义。
2.认证。接收方在收到数据后,为了验证数据确实是从发送放发来的,而不是第三方冒充的,就需要对发送方进行认证。认证需要使用一个凭据,即数字证书(Certificate),相当于个人的护照。Certificate由专门的证书管理机构CA(Certificate Authority)发放。
3.完整性。虽然数据在加密传输的过程中第三方无法截获内容,但是第三方还是可以对其实施破坏活动,譬如将数据截掉部分,接收者进行解密后便获得不了完整的信息。为了保证传送的数据完整性,对接收到的数据进行完整性校验是非常有必要的。
(三)密钥管理技术
密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。从密钥管理技术角度进行分类,可将其分为对称密钥管理和公开密钥管理(数字证书)两部分。
1.对称密钥管理技术。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。
2.公开密钥管理(数字证书)技术。贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等,证书由专门的证书管理机构CA发放。
(四)身份认证技术
VPN需要解决的首要问题是网络上的用户与设备都需要有确定的身份认证。不管其它安全设施有多严密,一旦身份认证将错误,必将导致整个VPN的失效。随着技术的发展,常规用户名+密码方式(PAP)已经不能提供足够的安全保障。有专门机构发放的数字证书,可以为设备提供更安全的认证。
二、VPN的安全性问题介绍
VPN的核心问题时安全问题。目前,VPN主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现安全保证的。但是,当一个企业的VPN需要扩展到远程访问时,那么长时间在线就容易受到黑客的攻击。公司安全防御系统中的弱点就是远程工作员工通过防火墙之外的个人计算机可以接触到公司的核心内容。从安全的观点来看,在家办公的个人,是黑客攻击的重点目标,因为为家用计算机在安全软件使用方面没有公司做的到位。一般情况下,员工使用家用计算机时,仅仅是跟随计算机通过一条授权的连接进入公司网络系统,侵入者可以通过一个被信任的用户进入网络。
安全的加密隧道和正确的连接,也无法保证家庭计算机的安全。黑客为了侵入员工的家用计算机,首先需要做的是探测IP地址,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),这时就要当心黑客的入侵。因此,必须在个人计算机上安装个人防火墙区有效的堵住远程访问VPN的安全漏洞,保护网络的安全。
三、总结
文章对虚拟专业网络VPN的隧道技术、加解密技术、密钥管理技术和身份认证技术进行了具体介绍,同时还提及了VPN的安全性问题,为后续进一步对VPN的研究和应用打下了理论基础。
参考文献:
[1]肖铭.VPN隧道封装性能分析与研究[J].计算机与数字工程,2003
[2]利业鞑.浅谈虚拟专业网络(VPN)及其应用[J].高技术纵览,2006
[3]边倩.虚拟专用网(VPN)的实现方法[J].计算机应用,2005
vpn技术论文篇6
论文摘要:本文通过对网络存储技术、虚拟专网vpn技术的设计原则和关健技术的详细介绍,全面分析了这两项技术的性能特点,以及在“共享工程”天津分中心和18家区县支中心的具体实现方案与发展设计构想,阐述了这两项技术的发展前景,及其在全国文化信息资源共享工程得到广泛应用的必然性。
全国文化信息资源共享工程(以下简称文化共享工程)是由文化部、财政部共同组织实施的一项社会主义文化建设标志性工程,是新形势下构建我国公共文化服务体系、惠及千家万户的一项重要文化基础工程。“共享工程”将充分利用现代高新技术手段,将中华民族几千年来积淀的各种类型的文化信息资源精华以及贴近大众生活的现代社会文化信息资源,进行数字化加工处理与整合;建成互联网上的中华文化信息中心和网络中心,并通过覆盖全国所有省、自治区、直辖市和大部分地(市)、县(区)以及部分乡镇、街道(社区)的文化信息资源网络传输系统,实现优秀文化信息在全国范围内的共建共享。该工程于2004年4月正式启动实施。
在中央和地方各级财政的大力支持下经过不断努力,文化共享工程技术体系已经初步形成:在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统;在传输建设方面,形成了以互联网、卫星网、有线电视及数字电视网为主要传输渠道,光盘、移动存储设备为辅助传输手段的网络传输体系,实现了文化信息资源的有效传递;在终端服务上,提供了国家中心网站、省分中心网站、省分中心镜像站、卫星终端服务系统、文化共享工程基层服务系统、有线电视、数字电视、光盘、移动硬盘等手段,方便广大群众以多种方式从不同渠道获取和使用文化信息资源。
本文从动态发展的角度,以现有的技术体系为基础,简要对网络存储技术与虚拟专网vpn技术在“文化共享工程”中应用加以论述。
1网络存储技术
文化共享工程以加工整合各类优秀文献信息资源为重点,建成了具有一定规模的文献信息资源库群。截至2007年6月,数字资源的总量己达到60tb。资源的存储成为了各级分中心核心建设的重中之重。
1.1存储系统设计原则
存储系统的设计要遵循以下原则:
先进性和实用性:在方案总体设计规划时不仅要满足当时业务需求,而且充分考虑未来的需求可能。保证硬件环境的先进性,尽可能采用业界领先的技术。软件环境的先进性,要从软件平台,设计思想、系统结构等方面考虑,选择先进、可靠的应用平台。
安全可靠性:存储系统要保证365 x 24小时的不间断稳定运行,具有灾难恢复能力。
灵活性与可扩展性:网络存储系统是一个不断发展的系统,所以它具有良好的扩展性,方便的扩大容量和提高层次的功能,支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性/互联性:具备与多种协议计算机通信网络互联互通的特性,确保网络存储系统基础设施的作用可以充分发挥。
经济性/投资保护:以较高的性能价格构建网络系统,充分利用以往在资金与技术方面的投人。
可管理性:采用智能化,可管理的设备,先进的管理软件,实现先进的分布式管理。实现监控、监测整个系统的运行状况,合理分配资源、动态配置负载等等。
综上所述,存储设备的选择可按需定制,根据不同预算情况,不仅满足当前需求,还要兼顾将来的升级维护。
1. 2存储系统解决方案
1.2.1省级分中心的存储解决方案
天津图书馆作为“共享工程”的省级分中心,以其存储系统为例:存储设备采用的是emc clari-ion cx500存储系统。cx500提供了一种没有任何单点故障的可扩展、高可用性体系结构,采用了通用的硬件体系结构和软件应用程序套件,通过emcnavisphere进行集中管理并支持基于存储的业务连续性和灾难恢复功能,保证了数据的完整性和高可用性。具有了全局热备功能,冗余电源和冷却,通向光纤通道和ata磁盘驱动器的四条通路,双活动存储处理器,整个阵列内的数据通路奇偶校验等许多特性。
在性能方面,cx500配有4个用于san连接的2gb前端光纤通道端口和4个光纤通道和ata磁盘驱动器的2gb后端光纤通道通路,可以有效地支持多达120个驱动器而不会出现性能降级。cx500同时支持高性能光纤通道驱动器和高容量ata驱动器,所以提供了最好的部署灵活性。鉴于共享工程资源存储的需求,天津图书馆的cx500共配置了3个光纤磁盘柜共15tb的存储空间,其中包括7. 5tb的光纤硬盘和7. 5tb的sata硬盘。
在软件支持方面,cx500在设计上可同时支持多达128部服务器,大大简化存储设施的整合过程。它符合绝大多数常用服务器操作环境的要求,其中包括microsoft windows, sun solaris, unix, linux和netware平台等,而且在san,nas和das环境中运行时具有高度的灵活性。采用navisphere管理框架,该系统是一套简单易用的基于图形用户界面<glti)的存储管理工具。cx500能实现高数据的可用性、无中断在线备份、高速数据移动、应用程序测试和灾难恢复等要求。客户可在不停止cx500阵列前提下,升级以下各项内容:添加新软件,如snap-view,mirrorview, san copy, navisphere agent, bi-os、核心软件;在san中添加或删除服务器;调整raid重建设置;重新分配读/写缓存等等。
1.2.2区县支中心的存储解决方案
以天津市的十八家区县支中心为例:
存储设备统一采用h3c的ex1000存储磁盘阵列柜。该设备为基于成熟的ip协议传输的存储设备,使用更灵活,配置更方便。可以在简单配置后为网络中的各种服务器提供海量存储空间,同时也具备极大的扩展性和灵活的升级。此存储配置了4. 5t的存储空间(共9块5006盘),其中一块硬盘做为全局热备盘,在最大程度上保证了磁盘的冗余,确保数据的安全。在数据传输上将4个1000m数据端口进行连路聚合,既保证了高带宽的可用还保证了链路的冗余。高带宽的使用除可以保证访问瓶颈的解除,同时也对数据的链路提供了必要的保护,同时4条链路的存在即意味着可以承受75%的故障率,所以,这样的技术保证是完善的安全运行应用的保证。
2 vpn技术
互联网作为“共享工程”的文化信息资源的主要传输渠道,所有信息服务都暴露在internet上,很容易被入侵者窃取和篡改,安全性不够。如果改用专线方式,一方面造价较高,维护也较困难;另一方面升级和扩展也受限制。因此寻找一种比较经济,对数据的安全又较有保障,而且又有利用网络的升级和扩展的组网方式显得异常的重要,而vpn技术恰恰能满足这方面的需要。
vpn(virtual private network)中文译为虚拟专用网,它是一种通过isp和其它nsp,在公网中建立用户私有专用网的数据通信技术,是一种通过私有隧道在公共数据网上仿真一条点到点的专线技术。是对专用网络的扩展,它是指共享或公共网络上经封装,加密和身份验证的链路。vpn模仿专用网的一些属性;它允许数据通过诸如internet的网络在两台计算机间传递;通过隧道技术模仿点对点的连接。
2. 1核心技术
①隧道技术:隧道技术是vpn的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有l2f, pptp, l2tp等。l2tp协议是目前ietf的标准,由ietf融合pptp与l2f而形成。
第三层隧道协议是把各种网络协议直接装人隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有vtp,ipsec等。ipsec(ip securi-ty)是由一组rfc文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在ip层提供安全保障。
②加解密技术:加解密技术是数据通信中一项较成熟的技术,vpn可直接利用现有技术。
③密钥管理技术:密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为skip与isakmp/oak-ley两种。skip主要是利用diffie-hellman的演算法则,在网络上传输密钥;在isakmi〕中,双方都有两把密钥,分别用于公用、私用。
④使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
2. 2 vpn技术在“共享工程”中应用的必要性与实现方法
“共享工程”在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统。
天津图书馆作为天津市“共享工程”的省分中心,数字资源经过多年建设已初具规模,数字资源近5t。内容涉及电子图书、数字化期刊、津门曲艺库、津门群星库,以及与本地经济、文化发展息息相关的各种特色资源库。如何使天津图书馆这些丰富公共资源得到更加广泛的利用,能够在合理范围内为各区县支中心、共享工程基层服务中心进行有效共享。可以利用vpn技术来实现,首先建立vpn数字资源中心,向各区县支中心、共享工程基层服务中心等基层单位提供vpn接人和数据资源内容的提供服务。
2. 2. 1 vpn技术的实现方式
构建vpn网络可分为硬件、tpn和软件、’pn两种形式:软件、’pn的建立成本低,硬件vpn在系统防御上要稳定,软件vpn维护起来相当麻烦,网络管理员不但要维护vpn软件,还需要考虑病毒、恶意攻击及相关设备的软、硬件冲突导致系统平台运行不稳定的因素出现,而硬件vpn一般采用专用硬件,维护量相对减少很多。
2. 2. 2实现vpn技术的方案
主要有三种:硬件平台vpn、软件平台vpn和辅助硬件平台vpna
(1)软件平台vpn
利用一些软件公司所提供的完全基于软件的vpn产品来实现简单vpn的功能,甚至可以不需要另外购置软件,仅依靠微软的windows操作系统就可实现纯软件平台的vpn。特别从windows2000系统开始对传统的ipsec vpn方案提供了全面支持,不仅可以提供原来pptp隧道协议vpn的方案支持,而且还提出了新的l2tp隧道协议vpn方案,使vpn的应用得到前所未有的推进。
(2)硬件平台vpn
使用硬件平台的vpn设备可以满足不同用户对高数据安全及通信性能的需求,特别是加密及数据乱码等对cpu处理能力需求很高的功能。能提供这些平台的硬件厂商较多,如cisco, 3com、华为、联想等,这类vpn平台投资了大量的硬件设备,投资成本较高。
(3)辅助硬件平台vpn
辅助硬件平台vpn作为最常见的vpn平台,介于软件平台和硬件平台之间,主要是以现有网络设备为基础,再增添适当的vpn软件以实现vpn的功能。但通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还要添加专业的vpn设备,如vpn交换机、vpn网关或路由器等。
2.2.3构建vpn专网的关键问题
由于“共享工程”天津分中心与各区县支中心都已建成了自己的局域网,那么vpn设备与防火墙的安装方式,成为构建vpn专网的关键问题。
现在最普遍采用的方式:是将、’pn设备与防火墙平行安装,它不需要改变防火墙目前的结构体系,但也意味着进人内部网络将有两个人口。在大部分vpn设备上,检查进人的数据,并阻挡非vpn流量进人内部网络,以减小额外的安全风险。依赖网络建设的方式,也需要vpn设备做一些地址翻译的工作,或者将流量重定向到防火墙。
还有一种方式:是将vpn设备安装在防火墙后,对防火墙做出一些改变。需要防火墙配置一个足够“聪明”的过滤器以允许vpn流量通过。另外,一些防火墙不能处理碎片,而碎片对于vpn来说是非常普遍的。因此,如果不在客户软件中人为减小mtu(最大传输单元),就不可能将vpn安装在防火墙之后。
信息资源广域vpn网建成后,逻辑上把物理位置省级分中心与不同的区县支中心、共享工程基层中心连接成统一的内部网,从而提升了文化信息资源共享工程的实在意义。
3结束语
vpn技术论文篇7
关键词:VPN隧道技术Qos
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
[1] 石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
[2] 程伍端.浅析VPN在企业中的应用.科技信息.2008,35.
vpn技术论文篇8
论文摘要:重点分析了VPN的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:
1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Re-mote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPNo
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.1 VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol , NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F( Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol, PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。
与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4 QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。