vpn技术范文
时间:2023-03-18 09:12:15
vpn技术范文第1篇
关键词 VPN;原理;特点;应用
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)35-0182-01
1 VPN的概念
所谓VPN(Virtual Private Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN通过建立隧道机制实现,隧道机制可以提供一定的安全性,并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证信息在传输中不被偷看、篡改、复制。
2 IPSec是VPN最常用技术之一
IPSec VPN是基于IPSec(Internet Protocol Security)规范的VPN技术或网络的统称。IPSec即Intenet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec规范相当复杂,规范中包含大量的文档。IPSec在TCP/IP协议的核心层―IP层实现,可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。
3 IPSec VPN工作原理
设想甲、乙两个异地局域网需要进行通讯,因为是局域网内网IP地址不能通过INTERNET公网进行安全通讯。只有通过IPSec包封装技术,利用Internet公网IP地址,封装内部私网的IP数据,实现异地网络的互通:如果甲私网IP发信给乙私网IP地址,甲局域网IP数据经甲私网IP地址传至出口处甲地IPSec VPN网关进行加密封装,通过INTERNET公网传送至乙地IPSec VPN网关进行解密拆封装后,交给乙局域网私网IP地址。相反乙私网IP地址回信给甲私网IP也是一样过程,这样就实现异地局域网对局域网的通讯。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能,保证数据通信安全正确。IPSec安全协议对数据封装加密及身份认证使用同一密钥,既用于加密又用于解密。私钥加密算法非常快,特别适用于对较大的数据流执行加密转换。IPSEC通讯的数据认证使用md5算法计算包文特征,报文还原以后,检查这个特征码,看看是否匹配,证明数据传输过程是否被篡改。
4 IPSec VPN特点
1)经济:用户不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地租费很高,而Internet的接入费用则只承担本地的宽带费用,费用很低。此外VPN网关设备功能强劲但造价低廉;2)灵活: 接入灵活,不受互联网接入运营商的限制,支持动态IP地址和NAT穿越。连接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,XDSL 或拨号都可以连接Internet。一个IPSec VPN网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。支持多分支多端口,扩展性好;3)安全: IPSec VPN最显著特点就是它的安全性,这是它保证内部数据安全的根本。通过领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时,VPN 设备内置专业防火墙功能,对数据包采用多维策略过滤,最大可能地防止黑客攻击;4)可靠: VPN 设备可提供冗余机制,保证链路和设备的可靠性。在中心节点VPN 核心设备提供冗余CPU 、冗余电源的硬件设计。而在链路发生故障时,VPN交换机支持静态隧道故障恢复功能,隧道定时巡检机制,快速自动修复功能,确保互联数据的安全可靠;5)方便: 技术人员可以通过管理软件,实现远程配置节点设备,方便管理及故障处理;
6)多业务: 通过IPSec VPN网络可以传送IP话音、视频业务、数据业务,运行ERP软件,为现代化办公提供便利条件。
5 IPSec VPN应用
vpn技术范文第2篇
关键词:VPN;隧道;安全传输
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0042-03
随着网络技术的快速发展,越来越多的组织或单位的员工需要随时随地连接到总部的网络,很多跨国企业在全球建立多个分支机构,同时企业也要使用网络与合作伙伴或客户之间进行动态的联系,这些都会给企业带来了网络的管理和安全性问题[1]。VPN(visual Private Network)技术就是在这种形势下应运而生,它使企业能够在公共网络上创建自己的专用网络,使得企业员工,分支机构,以及合作伙伴之间可以进行安全保密的通信。VPN已经是当前网络中的一项重要的应用。
1 VPN的工作原理
VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。
1.1 网络风险
数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听; ISP查看用户的数据;Internet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。
数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。
信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法 [9]。
重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。
1.2 VPN协议介绍
采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。
常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能 ,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。
1.3 VPN隧道技术
隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。
经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。
PPP(Point to Point Protocol)协议隧道技术建立过程:
阶段1:创建PPP链路
PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。
阶段2:用户验证
这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
阶段3:PPP回叫控制
回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。
阶段4:调用网络层协议
在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。
阶段5:数据传输阶段
在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。
1.4 IPSec隧道数据传输过程
IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。
一个数据包经IPsecVPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。1HostA发送的数据由VPN网关1内口;2VPN网关1内口接收后发现需要经过隧道,则把数据交由VPN网关1加密;3加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2外口收到数据发现需要解密;5则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。
2 VPN技术应用
2.1 用VPN连接分支机构
随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。
2.2用VPN连接合作伙伴
当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。
2.3 用VPN连接远程用户
为保障单位内部网的安全,很多应用不会对公网 放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。
3 结论
本文从Internet的发展说明VPN技术产生的背景和意义,再对VNP的相关技术、协议进行研究与分析,对VPN中重要技术隧道的原量进行了详细的剖析。在此基础上,结合当前VPN的实际使用情况对三类使用方式结合示意进行了说明。当前对公共网络进行保密通信的技术还有很多新的技术的出现,本人会继续对相关内容进行关注。
参考文献:
[1] Gasey Wilson, Peter Doak. 虚拟专用网的创建与实现[M]. 钟鸣, 魏允韬,译. 北京: 机械工业出版社, 2000.
[2] 戴宗坤, 唐三平. VPN 与网络安全[M]. 北京: 电子工业出版社, 2002(8).
[3] 卿斯汉等. 密码学与计算机网络安全[M]. 清华大学出版社, 2001: 121-125.
vpn技术范文第3篇
关键词:VPN 隧道协议 PPTP L2TP IPSec
VPN是Virtual Private Network的缩写,即虚拟专用网络。VPN在公共IP网络上建立用户私有的数据传输通道,将远程访问用户与相应企业的内部网络连接起来,并提供安全的端到端的数据通信,从而大大减轻了企业的远程访问费用,节省企业的运行成本。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
1、VPN的使用隧道协议
VPN的实现,最关键的是在公共网洛上建立用于数据传输的逻辑虚拟信道,而建立虚拟信道是通过使用隧道技术来实现的,隧道的建立可以是在数据链路层和网络层。第二层隧道技术主要是使用PPP连接,使用的隧道协议有PPTP和L2TP,其特点是协议简单,易于加密,适合于远程拨号用户使用;第三层隧道技术是IPinIP,使用的隧道协议是IPSec,其可靠性及扩展性优于第二层隧道协议,但没有前者简单直接。
1.1 PPTP(点对点隧道协议)
点到点隧道协议(PPTP,Point-to-Point Tunneling Protocol),是一种用于使远程用户通过拨号方式连接到本地的ISP,通过Internet安全的远程访问公司内部网络资源的工业标准隧道协议,它在WIN NT 4.0系统中首先得到支持。PPTP是对“PPP(点对点协议)”的扩展,它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输,它增强了PPP的身份验证、压缩和加密机制。PPTP使用TCP(传输控制协议)来创建、维护、终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据,被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP协议数据包通过使用从MS-SHAP(微软公司的盘问交握式协议)活EAP-TLS(EAP Transport LAN Service,可传输式身份验证协议)身份验证过程中生成的密钥进行加密。
1.2 第二层隧道协议(L2TP)
第二层隧道协议(L2TP)是思科公司开发的,具有RFC隧道协议的一种协议,是PPTP与L2F(第二层转发)的一种综合。它不同于PPTP,Windows系统中的L2TP不使用“MPPE(微软点对点加密)”来加密PPP数据包,它是依赖于加密服务的IPSec(网际协议安全)的协议。现在被广泛使用的是基于IPSec的L2TP。VPN客户机和VPN服务器必须同时支持IPSec和L2TP,L2TP将在IPSec身份验证的过程中生成一个密钥,而采用IPSec加密机制加密L2TP消息。
1.3 Internet协议安全性(IPSec)
IPSec是专门为了IP提供安全服务而设计的一种协议,它可以有效地保护IP数据报的安全,具体通过包括数据源验证、无连接数据的完整性验证、数据内容的机密性保护和抗重播保护等保护形式来实现。IPSec有两种运行模式:传输模式和隧道模式,有两种安全协议:AH(认证头协议)和ESP(封装安全载荷协议)。AH可以验证数据的起源,保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力以外,还可以选择保障数据的机密性,以及为数据流提供有限的机密性保障。即AH提供认证,ESP提供认证和/或加密。通过使用这两种协议,可以对IP数据报或上层协议,如UDP和TCP,进行保护,而这种保护由IPSec的两种工作模式来提供。到目前为止,IPSec被业界认为是最安全的IP协议,但是其过于复杂的问题也是系统安全的一个主要威胁。
2、VPN网络服务的分类
从连接用途以及连接方式上,VPN网络服务可以分为基于Internet的VPN和基于Intranet的VPN。
2.1 基于Internet的VPN
远程访问客户首先要激活与本地ISP所建立的物理连接,然后远程访问客户通过Internet来访问企业的VPN服务器,同时初始化一条虚拟的专用隧道。VPN连接创建以后,远程访问用户就可以访问VPN服务器所在Intranet上的有权限访问的资源了。
2.2 基于Intranet的VPN
对于企业内部的敏感或需保密的部门,这些部门在逻辑上或者物理上与企业Intranet上的其他部门是断开的,即不能互访。如何使需要访问的用户访问这些部门呢?通过VPN链接,这些敏感部门的网络将被允许连接到企业的Intranet内,通过搭建VPN服务器将这些敏感部门和其他部门隔离开。VPN服务器不在企业的Intranet和部门网络之间提供直接的路由连接。那些企业Intranet内有访问敏感部门权限的用户可以与VPN服务器建立远程访问连接,进而访问敏感部门网络。为此,所有通过VPN的通信数据都会被加密。对于那些没有访问敏感部门权限的用户,在Intranet上,敏感部门的网络是隐藏的。
3、VPN的解决方案
3.1 Access VPN
这种方案最适合企业内部有大量的远程办公访问需求和提供B2C(Business-to-Customer商家对顾客)方式的企业。远程访问的企业员工或者客户可以利用当地ISP提供的VPN服务和企业的VPN网关建立专有隧道连接,这建立连接的过程中需对访问者的身份进行验证和授权,这样可以使远程访问用户获得相应的访问权限。
3.2 Intranet VPN
这种解决方案是企业内部各分支机构进行网络互联的最优解决方案。企业特别是大型的跨国企业可以利用VPN技术将分步在各地的分公司、办事处等分支机构通过Internet建立世界范围内的Intranet VPN。这个方案充分利用Internet廉价性和VPN的高安全性组建了安全的、专用的虚拟链路,使企业的数据和信息可以借助互联网安全的在企业的各个分支机构之间传递。
3.3 Extranet VPN
这种方案以Internet为数据链路基础,通过VPN技术,在充分保证企业内部网络的网络安全的基础上,使企业能够像其合作伙伴提供有效的、可靠的信息服务。该方案使得企业和企业之间的联系更加紧密,也保障了企业与企业之间的信息的方便、快捷的传递。
4、VPN的应用
VPN技术主要适用于哪些客户呢?归纳起来以下这些情况需要使用VPN技术。
(1)客户位置众多而且极其分散。
(2)企业的机构分布范围广,而且各个机构的距离远,需要通过长途通信,特别需要使用国际长途通信的企业。
(3)对带宽和时延没有特殊要求的用户。
vpn技术范文第4篇
摘要:VPN是一项迅速发展起来的新技术,本文阐述了VPN(虚拟局域网)的基本概念以及其特点和优势,重点介绍了虚拟专用网的工作原理和相关技术包括隧道技术,数据加密和用户认证。
关键词:VPN;隧道技术;数据加密;用户认证
VPN(Virtual Private Network)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
VPN的主要特点
(1) 网际互联安全性高。VPN技术继承了现有网络的安全技术,并结合了下一代IPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
(2)经济实用、管理简化。由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
(3) 可扩展性好。 如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
(4)支持多种应用。由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
(5)有效实现网络资源共建共享。在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
VPN技术分析
VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
(1) 隧道技术
1.隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,?现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听
2 .第二层隧道协议
L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设施(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。目前,Internet中的拨号网络只支持IP协议,而且必须注册IP地址;而L2TP可以让拨号用户支持多种协议,并且可以保留网络地址,包括保留IP地址。利用L2TP提供的拨号虚拟专用网服务对用户和服务提供商都很有意义,它能够让更多的用户共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,用户在非IP网络和应用上的投资不至于浪费。
3.第三层隧道协议
IPSec是将几种安全技术结合在一起形成的一个较完整的体系,它可以保证IP数据包的私有性、完整性和真实性。IPSec使用了Diffie-Hellman密钥交换技术,用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IPSec协议定义了如何在IP数据包中增加字段来保证其完整性、私有性和真实性,这些协议还规定了如何加密数据包:Internet密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IPSec定义了两个新的数据包头增加到IP包上,这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IPSec认证包头协议来完成,数据的加密性则由安全荷载封装协议来实现。
(2)用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。?
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(3)加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo?RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
vpn技术范文第5篇
关键词:VPN;信息化;防火墙
1 VPN技术应用背景
天脊煤化工集团有限公司从2003年进入了信息化建设的发展阶段,在浙江中控软件技术有限公司、山西省信息工程设计院等单位共同合作下建立起了“天脊集团综合信息管理自动化系统”。该自动化系统包括领导查询分系统、生产管理分系统、人力资源管理分系统、备品备件管理分系统、物资供应资源分系统、销售管理分系统等。随着信息化建设的不断深入,业务流程渐渐规范化,各种分系统也在不断完善,分布在全国各地的分公司和子公司相应业务也要纳入到“天脊集团综合信息管理自动化系统”中来。为此,集团公司决定由信息管理中心组织并实施VPN技术。
2 VPN技术在天脊集团企业信息化建设中的具体实施
(1) VPN的选型
用于企业内部自建VPN的主要有两种技术――IPSec VPN和SSL VPN。
IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。
目前,天脊集团主干网络设备为CISCO的产品,路由器和防火墙均提供实现VPN的功能。综合评比在防火墙上实现VPN功能更适合,且不改变网络结构、不增加任何硬件投资下实现VPN功能,而在路由器上实现VPN还需购买相关VPN模块。根据天脊集团具体的业务需要和现有的网络状况,天脊集团选择了CISCO的IPSec VPN方案。
(2) 网络架构
在项目的实施中,利用Cisco PIX 515防火墙提供的VPN功能来构建虚拟专用网。Cisco PIX 515 Firewall提供基于IPSec标准的VPN功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包。
(3) 详细配置信息
防火墙配置:
access-list 100 permit 172.16.5.0 255.
255.255.0 172.16.2.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.
168.1.254
global(outside) 1 interface
nat(inside) 0 access-list 100
conduit permit tcp host 172.16.3.10 any
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-
des esp-md5-hmac
crypto dynamic-map dynmap 10 set tra
nsform-set myset
crypto map vpn 10 ipset-isakmp dynamic dynmap
crypto map vpn 20 ipsec-isakmp
crypto map vpn client configuration address initiate
crypto map vpn client configuration address respond
crypto map vpn interface outside
isakmp enable outside
isakmp key ******* address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-sha
re
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn3000 address-pool vpnpool
vpngroupvpn3000dns-server 172.16.
2.11
vpngroup vpn3000 split-tunnel 100
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
isakmp client configuration address-
poollocal vpnpool outside
路由器配置:
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
VPN客户端要求:
在集团公司分公司和子公司内要求使用和信息管理中心一致的宽带接入服务,使用Microsoft Windows2000以上操作系统;使用Cisco VPN Client v4.8远程连接控制工具;相关人员必须接受VPN客户端使用相关知识学习,达到独立解决VPN客户端问题的能力。
(4) VPN技术实施效果评价
降低费用。远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
安全性得到了增强。VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,并对数据进行加密处理。对于企业内部的数据,可以通过VPN使企业Intranet上拥有适当权限的用户才能通过远程访问建立与服务器的连接,并且可以访问业务部门网络中受到保护的资源。
3 总结
vpn技术范文第6篇
[关键词]VPN公共网络内部网络网络互联安全性
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210098-01
一、VPN的概念
VPN指虚拟的专用网络,它是依靠ISP和其它NSP(网络服务提供商),利用公共网络基础设施作为传输通道,通过一定的技术手段,建立专用的数据通信网络。
二、VPN的类型
按应用范围VPN可划分为远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。远程接入VPN用于实现移动用户或远程办公室安全访问企业网络;Intranet VPN用于组建跨地区的企业内部互联网络;Extranet VPN用于企业与客户、合作伙伴之间建立互联网络。
Access VPN:通过一个使用专用连接的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。这种方式相对传统的拨号访问具有明显的费用优势,对于内部人员移动或经常需要远程办公的企业来说不失为一种经济安全、灵活方便的好方式。
Intranet VPN:通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN,利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。随着公司规格的日益扩大、业务的需要,企业需要在国内甚至世界各地设置办事处、分公司等,此时企业内部网络结构变的复杂化,而且租用专线来连接各分支机构的网络开销也逐渐加大,此时企业选择Intranet VPN既可以简化内部网络的结构、提高访问的速度,更减少了租用WAN带宽的费用。
Extranet VPN:通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。随着信息化的发展,企业希望可以提供客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,利用VPN技术组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
三、VPN的优势
对企业用户而言,信息交互的低投入和高性能最为关注,VPN提供了安全、可靠的Internet访问通道,为企业进一步发展提供了可靠的技术保障。其优势主要表现为以下几个方面:
(一)节约成本。这是VPN技术的最为重要的一个优势,也是它取胜传统专用网络的关键。通过VPN技术企业可以节省移动通讯费用,企业借助ISP与公司内部网络互连建立VPN,使得经常需要远程办公的人员只需付短途电话费,却达到了长途通信的效果,从而节省大量的通信费用;可以节省租用专线提高带宽的费用,使用VPN,无论是在性能还是在管理控制方面跟租用专线没有太大的差别;可以节省设备投入,VPN允许将一个单一的广域网接口用作多种用途,从分支机构的互联到合作伙伴通过外联网(Extranet)的接入,企业不再像以前那样需要大量的广域网接口,也不必再像以前那样频繁地进行周期性的硬件升级,从而大大减少了企业固定设备的投入。
(二)网络的高安全性。目前的网络,比如视频会议、电子商务、远程教学、多媒体商务等,高度的安全性是极其重要的。VPN主要采用四项技术(隧道技术、加解密技术、密钥管理技术、身份认证技术)来增强了网络的智能和安全性。对于重要的数据,只有企业Intranet上拥有适当权限的用户才能远程访问。
(三)简化网络设计。网络管理者使用VPN替代租用线路来实现分支机构的连接,这样就可以将远程链路的安装、配置和管理等任务减少到最小,仅此一点就极大地简化企业广域网的设计。另外,VPN通过拨号访问来自于ISP或NSP的外部服务,减少了调制解调器电池,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。
(四)增强内网的互联性和扩展性。在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,这样相当麻烦,不便于企业自身的发展。VPN出现后,这种协商毫无必要,真正达到了要连就连,要断就断。
如果企业想扩大VPN的容量和覆盖范围,企业只需与新的IPS签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN
能力也很简单:几条命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。
(五)支持新兴应用。许多专用网对许多新兴应用准备不足,如要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等。随着网络接入技术的发展,新型的VPN技术可以支持诸如ADSL、Cable Modem之类的宽带技术。
四、VPN的展望
多数用户担心自己的数据在Internet上传输不安全,其实现在的VPN技术已经能够为用户提供足够安全性保障。目前VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。在不远的将来,VPN将会成为我们网络生活的主要组成部分。VPN技术将成为广域网建设的最佳解决方案,它不仅能大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连接起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献:
[1]王达等,虚拟专用网精解,清华大学出版社,2004年1月.
[2]高海英等,VPN技术,机械工业出版社,2004年.
[3]戴宗坤、唐三瓶,VPN与网络安全,金城出版社,2000年9月.
[4]谢杨,虚拟专用网VPN系列讲座,计算机世界,2002年1月.
[5]胡浩,VPN技术的探讨及应用,中国金融电脑,2003年第9期.
作者简介:
vpn技术范文第7篇
随着互联网及网络技术的发展,VPN(Virtual Private Network)技术被广泛地应用。MPLS-VPN是一种基于MPLS技术的IP-VPN,在网络路由和交换设备上应用MPLS技术,从而简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现IP虚拟专用网络(IP-VPN)。
2 MPLS技术概述
MPLS(Multi-Protocols Label Switching)即多协议标记交换,是一项用绑定在包中的标记(或叫标签)通过网络进行数据包转发的技术。它将第二层的交换和第三层的路由技术很好地结合起来,以简洁的方式完成了信息的传送,把路由选择和数据转发分开由标签来规定一个分组通过网络的路径。
3 VPN技术的概述
VPN(虚拟专用网)是利用网络来传输私有信息而形成的逻辑网络,用来在通用的网络结构上标识闭合的用户组。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上完整、保密地传输私有数据。
4 MPLS-VPN的工作原理
MPLS-VPN则是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QOS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活等特点。它把整个网络中的路由器分为三类:用户边缘路由器(CE)、运营商边缘路由器(PE)和运营商骨干路由器(P),其中PE充当IP-VPN接入路由器。MPLS-VPN的主要工作流程如下:
(1)用户端的路由器(CE)首先通过静态路由和BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的绑定。此时,CE、PE以及P路由器基本的网络拓扑和路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一个VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时在上传的数据包上打上VPN标记(内层标记)。这时得到的下一跳地址为该PE作Peer的PE的地址,为了达到这个目的端的地址,同时采用LDP在用户上传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN并送到相关的接口上,进而将数据传送到VPN的目的地址处。
从以上的工作过程可见,MPLS-VPN丝毫不改变CE和PE原有的配置,有新的CE加入网络时,只需在PE上作简单配置,其余的改动信息由IGP/BGP自动通知CE和PE。
5 MPLS-VPN的特点
(1)安全性。MPLS可以将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中从而提高了安全性。MPLS-VPN借助MPLS技术,利用两层标记(label),自动为不同用户的节点间建立不同的隧道,实现了用户流量的隔离,提供了逻辑上最大的安全性。
(2)扩展性。MPLS-VPN具有很好的网络可扩展性,可以建立任意的连接。同一个VPN中的用户节点数不受限制容易扩充,特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路。
(3)可靠性。网络的可靠性主要靠资源的冗余度来实现。MPLS-VPN依托互联网展开,因此设备、线路和路由都有冗余保护措施,保证了网络的可靠性。
(4)无连接的服务。MPLS-VPN是“非面向连接的”,由于这种特性,它不需要通过建立许多点对点的隧道和加密技术来实现,这样可大大减少网络实现的复杂性。
(5)易于实施。由于MPLS-VPN是“非面向连接的”,且VPN信息只需要由PE来维护,对CE是透明的,网络的扩展和实施变得相对容易。增加VPN客户端站点时,只要简单地将CE设备接入PE即可,所有的配置只需在PE上进行,非常易于实现和管理。
6 结束语
随着MPLS技术和IP VPN技术的日趋成熟。MPLS技术是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术,它不仅能够解决当前网络中存在的问题,而且能支持许多新的功能,将成为重要技术在公用网上使用。可以说MPLS技术是下一代最具竞争力的通信网络技术。
参考文献
[1]凌永发,王杰,陈跃斌.多协议标签交换技术的应用[J].云南民族大学学报:自然科学版,2005,14(3):64-67.
[2]何宝宏.IP虚拟专用网技术[M].北京:人民邮电出版社,2002.
vpn技术范文第8篇
关键词:MPLS VPN;路由器;配置
中图分类号:TP393.1
MPLS VPN由于在灵活性、扩展性、QoS方面的优势,逐渐成为最主要的IP-VPN技术,采用MPLS VPN组建各类虚拟专网,首先保证了网络数据流的安全性和服务质量。其次,满足多种灵活的业务需求,此技术将会在综合信息网络虚拟专网建设中推广使用。
1 MPLS VPN组织结构
目前,几乎所有的网络设计都采用分层结构,例如,骨干——核心——汇聚——接入四层模型是城域网典型结构,所采用设备等级依次程下降,而信息网络的规模则不断扩大。核心层与骨干层常用网状拓扑结构,这样可以增加冗余,以确保信息网络具有良好的可靠性和抗毁性。在这样的信息网络中,PE节点该如何部署呢?我们可以将PE直接设置在核心层(即在骨干网层边缘直接相连CE),也可以将其部署在汇聚层和接入层。现在最常用的做法是将PE分为多个层,这个层分别对应整个网络拓扑结构的层次,来共同负责全网的VPN业务的完成。同样,在这种分层部署的MPLS VPN中,网络层次越高则PE性能及容量等方面的要求就更苛刻,网络层次越低则PE性能及容量等方面的要求就更宽松。同样,这种类型MPLS VPN中网络层次越靠下,则PE设备的量就越大,同时MPLS VPN用户的接入能力也就更强。
采用分层结构设计的MPLS VPN中,网络系统组成一般为骨干和核心节点作为P路由器,汇聚节点作为PE路由器,接入节点作为CE路由器。骨干节点作为本自治系统的ASBR。
1.1 跨域组网结构
实现跨域MPLS VPN服务的方式多种多样,目前有如,OptionB跨域的VPN组网方式,提供域间MPLS VPN服务。使用MPLS VPN技术入网的用户可以跨越多个自治系统,以实现组成MPLS VPN网络,此方法是信息网络组建中较为推广使用方案。如图3-2所示。
图中自治系统的ASBR为骨干节点,其与同他直连的其它自治系统的ASBR之间,配置的是MP-EBGP协议,对端的直连接口地址被用作协议会话邻居的地址。网络通过域间MP-EBGP分发VPN标签,ASBR将改变路由的下一跳属性。ASBR与域内节点运行的OSPF、MP-IBGP(RR)和LDP等协议不变。
2 基于NE80E/40E的配置MPLS VPN
2.1 配置思路
如图3-1为采用单跳MP-EBGP方式构建的MPLS-VPN网络,该网络提供域间MPLS-VPN服务。VPN用户可以跨越任意自治系统,实现VPN组网。
CE1和CE2属于同一个VPN。CE1通过AS100的PE1接入,CE2通过AS200的PE2接入。采用OptionB方式实现跨域的BGP/MPLS IP VPN:在骨干网上运行IGP协议实现同一AS的ASBR与PE之间的互通,并且同一AS的ASBR与PE之间要建立MPLS LDP LSP。在PE与CE之间需要建立EBGP对等体关系;PE与ASBR之间建立MP-IBGP对等体关系。在PE上需配置VPN实例(在ASBR上无需配置VPN实例)。在ASBR上与另一ASBR相连接口上分别使能MPLS,且ASBR之间建立MP-EBGP对等体关系。
2.2 设备配置方案
(1)在AS100和AS200的MPLS骨干网上分别配置IGP协议,实现各自骨干网PE之间的互通本例中采用OSPF,具体配置步骤略。配置完成后,同一AS的ASBR与PE之间应能建立OSPF邻居关系,执行display ospf peer命令可以看到邻居状态为Full。
(2)在AS100和AS200的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP,建立LDP LSP。
(3)为PE1和PE2配置基本BGP/MPLS IP VPN。
(4)配置跨域VPN-OptionB方式。
# 配置ASBR1:在与ASBR2相连的接口POS2/0/0上使能MPLS。
system-view
[ASBR1] interface pos 2/0/0
[ASBR1-Pos2/0/0] ip address 192.1.1.1 24
[ASBR1-Pos2/0/0] mpls
[ASBR1-Pos2/0/0] quit
# 配置ASBR1:与ASBR2建立MP-EBGP对等体关系,并且不对接收的VPNv4路由进行VPN-target过滤,并且使能ASBR1按下一跳分标签。
[ASBR1] bgp 100
[ASBR1-bgp] peer 192.1.1.2 as-number 200
[ASBR1-bgp] ipv4-family vpnv4
[ASBR1-bgp-af-vpnv4] peer 192.1.1.2 enable
[ASBR1-bgp-af-vpnv4] undo policy vpn-target
[ASBR1-bgp-af-vpnv4] apply-label per-nexthop
[ASBR1-bgp-af-vpnv4] quit
[ASBR1-bgp] quit
上述配置完成后,CE之间能学习到对方的接口路由,CE1和CE2能够相互ping通。同一AS的ASBR和PE能学习到对方的Loopback地址,并能够互相ping通。ASBR2的配置与ASBR1类似,此处不再详述。
3 结束语
综上所述,因为MPLS VPN具有更好的安全性、QoS、灵活性、扩展性的优势,较好的满足了信息网络对数据流安全性和服务质量的要求,因此MPLS VPN技术在信息网络虚拟专网建设中被推广使用。
参考文献:
[1]薛戈丽.组建基于MPLS VPN的IP城域网网络方案[J].中国科技信息,2005(15):137.
[2]王柱.基于IP城域网的MPLS VPN规划与性能分析[D].天津:天津大学,2006:31.
vpn技术范文第9篇
关键词:VPN;隧道技术;L2TP
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-879-02
VPN and It's Tunneling Technology Research
CHEN Xing-gang, MENG Chuan-liang
(Guizhou University, Electronic Science and Information Technology Institute, Guiyang 550025, China)
Abstract: The article introduced VPN and its concrete implementing technology―Tunneling Technology. First it introduced the concept of VPN, and then it discussed the principle of work. In the end, it analyzed the VPN’s tunneling technology in detail, especially focusing on analyzing the L2TP tunneling protocol.
Key words: VPN; Tunneling Technology; L2TP
1 VPN的概念
VPN,即虚拟专用网(Virtual Private Network),它指的是一种依靠ISP和其它NSP,在公用网络中建立专用的数据通信网络的技术。通过对网络数据的特殊封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解的基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴以及供应商同公司的内部网建立可信的安全连接,并保证数据传输的安全。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,以便经济有效地连接到商业伙伴和公司分支机构。
2 VPN的原理
VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,减轻了企业的远程访问费用负担、节省电话费用开支,并且提供了安全的端到端的数据通讯。
常规的直接拨号连接与虚拟专网连接的异同点在于:在前一种情形之中,PPP(点对点协议)数据包流是通过专用线路传输的;在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPS就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
3 VPN的隧道技术
VPN技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前VPN主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是完成此任务的关键。目前VPN的隧道协议可大致分为第二层次的隧道协议PPTP、L2F、L2TP和第三层次的隧道协议GRE、IPSec等。它们的本质区别在于用户的数据包是被封装在哪种数据包里面从而在隧道中进行传输的。无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的,传输协议被用来传送封装协议;封装协议被用来建立、保持和拆卸隧道,Cisco产品支持几种封装协议,包括L2F、L2TP、GRE协议等;而乘客协议是被封装的协议,它们可以是PPP、SLIP等。隧道协议的组成如图1所示:
3.1 PPTP――点对点隧道协议
PPTP协议由Microsoft、Ascend和3Com公司开发,它的分组不但能在IP上传送,也能在IPX、Apple Talk上传送。PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机,如启动了该协议的Windows XP;PPTP服务器是指运行该协议的服务器,如启动了该协议的Windows Server服务器。PPTP可看作是PPP协议的一种扩展,它提供了一种在Internet上建立多协议的安全虚拟专用网的通信方式,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP,客户可采用拨号方式接入公共IP网络――Internet。拨号客户首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接,可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做就增加了用户的工作量也会造成一定的网络安全隐患。
3.2 L2F――第二层转发协议
L2F(Layer 2 Forwarding Protocol)是由Cisco公司提出的可以在多种介质如ATM、Frame Relay、IP网上建立多协议的虚拟专用网的隧道协议。远端用户能够透过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息,发起第二重连接,通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。但是,L2F不支持流控;要求每个用户端局域网有专用的网关,费用较高。
3.3 L2TP――第二层隧道协议
L2TP结合了PPTP和L2F的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
L2TP的主要作用是将PPP接入由本地扩展到远端,向用户提供经济的远程ISP接入和企业网接入,是IP VPN中极为重要的协议。L2TP支持多种协议,用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址;L2TP还解决了多个PPP链路的捆绑问题,使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成(网络结构如图2所示),LAC(L2TP接入汇接点)支持客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道;LNS(L2TP网络服务器)是所有隧道的终点。
在ISP接入情况下,LAC对应本地NAS,LNS对应为ISP,拨号用户通过PSTN/ISDN接入本地的LAC后,可以通过隧道接入所选择的ISP。在VPN情况下,LAC对应为NAS或ISP,LNS对应为企业网网关,拨号用户或路由器可通过隧道直接接入企业网,成为企业网的一个虚拟用户。LAC和LNS就是隧道的两个端点,期间运行L2TP协议。
LNS和LAC经由L2TP组成了分布式广域接入系统。一个LAC可以建立多个隧道接入不同的LNS,一个LNS也可以经多个LAC接入。在给定的一对LAC和LNS之间可以根据需要建立多条隧道,隧道的物理传送媒体可以是UDP/IP、ATM或FR等。每条隧道内包含两类信道:控制信道和数据信道。相应地,L2TP消息也分为两类:控制消息和数据消息。其中,控制消息的作用是建立、维护和释放隧道和会话,在控制信道上发送;数据消息的作用就是封装PPP帧,在数据信道上传送。L2TP协议的操作包括三个过程:隧道建立、会话建立和PPP帧的封装前转,相应的隧道结构及呼叫和会话情况如图3所示。
L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件,企业可以使用未注册的IP地址,并在本地管理认证数据库,从而降低了使用成本和培训维护费用。
与PPTP和L2F相比,L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输,L2TP使用Nr(下一个希望接受的消息序列号)和Ns(当前发送的数据包序列号)字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区,一旦数据丢失根据序列号可以进行重发。
4 结束语
实现VPN 的隧道技术多种多样,它们各有各的优势,本文主要讨论了L2TP隧道技术。
目前的一种趋势是将L2TP 和IPSec 结合起来用L2TP 作为隧道协议,用IPSec协议保护数据。现在,市场上大部分VPN采用这类技术。
参考文献:
[1] 郭世满,马蕴颖,郭苏宁.宽带接入技术及应用[M].北京:北京邮电大学出版社,2006.
[2] 李征.接入网与接入技术[M].北京:清华大学出版社,2003.
[3] 李明琪.宽带接入网络[M].北京:科学出版社,2002.
vpn技术范文第10篇
2、SSL VPN技术的实现
如果企业将SSL VPN技术应用于移动办公中,对于那些出差在外需要进行远程办公的人员,只需要使用Web浏览器就能实现移动办公,访问企业的内部网络。SSL VPN将公司内部网络的网关设置在远程用户和企业服务器之间的网络边缘上,可以对企业和用户之间的数据连接和数据通信进行主导型的控制。
3、SSL VPN技术的优势
(1)安全性
SSL VPN技术可以有效地避免数据信息泄漏,拒绝非企业用户的非法访问,保护信息不被窃取,维持系统的可用性,在用户访问和数据保密方面具有较高的安全性。
(2)应用性
(下转99页)
SSL VPN不同于IPSec VPN,使用SSL VPN的网络不需要下载安装指定的客户端软件,只需要通过标准浏览器接入Internet就能访问企业内部网络。在对网络进行日常维护和管理时,SSL VPN良好的可操作性为维护管理工作提供了便利,SSL VPN可以对网络应用实现高度的、精细的控制,根据不同用户和用户组各自的特点设置适用于他们的访问权限,还可以实现对所有访问操作的审查统计,此外,便于操作的SSL VPN对于增强网络平台的易操作性和灵活性,为平台的应用更新和性能提升起到了关键作用。
四、 IPSec VPN和SSL VPN的应用选择