时间:2022-12-21 06:15:45
关键词:VPN;隧道;安全传输
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0042-03
随着网络技术的快速发展,越来越多的组织或单位的员工需要随时随地连接到总部的网络,很多跨国企业在全球建立多个分支机构,同时企业也要使用网络与合作伙伴或客户之间进行动态的联系,这些都会给企业带来了网络的管理和安全性问题[1]。VPN(visual Private Network)技术就是在这种形势下应运而生,它使企业能够在公共网络上创建自己的专用网络,使得企业员工,分支机构,以及合作伙伴之间可以进行安全保密的通信。VPN已经是当前网络中的一项重要的应用。
1 VPN的工作原理
VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。
1.1 网络风险
数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听; ISP查看用户的数据;Internet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。
数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。
信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法 [9]。
重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。
1.2 VPN协议介绍
采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。
常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能 ,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。
1.3 VPN隧道技术
隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。
经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。
PPP(Point to Point Protocol)协议隧道技术建立过程:
阶段1:创建PPP链路
PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。
阶段2:用户验证
这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
阶段3:PPP回叫控制
回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。
阶段4:调用网络层协议
在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。
阶段5:数据传输阶段
在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。
1.4 IPSec隧道数据传输过程
IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。
一个数据包经IPsecVPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。1HostA发送的数据由VPN网关1内口;2VPN网关1内口接收后发现需要经过隧道,则把数据交由VPN网关1加密;3加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2外口收到数据发现需要解密;5则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。
2 VPN技术应用
2.1 用VPN连接分支机构
随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。
2.2用VPN连接合作伙伴
当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。
2.3 用VPN连接远程用户
为保障单位内部网的安全,很多应用不会对公网 放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。
3 结论
本文从Internet的发展说明VPN技术产生的背景和意义,再对VNP的相关技术、协议进行研究与分析,对VPN中重要技术隧道的原量进行了详细的剖析。在此基础上,结合当前VPN的实际使用情况对三类使用方式结合示意进行了说明。当前对公共网络进行保密通信的技术还有很多新的技术的出现,本人会继续对相关内容进行关注。
参考文献:
[1] Gasey Wilson, Peter Doak. 虚拟专用网的创建与实现[M]. 钟鸣, 魏允韬,译. 北京: 机械工业出版社, 2000.
[2] 戴宗坤, 唐三平. VPN 与网络安全[M]. 北京: 电子工业出版社, 2002(8).
关键词:VPN,管理,管理技术
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
[3]潘爱民.计算机网络(第四版)[M].清华大学出版社2004.8
论文摘要:重点分析了vpn的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:
1 vpn简介
虚拟专用网(virtuaiprivatenetwork, vpn)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
vpn可分为三大类:(1)企业各部门与远程分支之间的in-tranet vpn;(2)企业网与远程(移动)雇员之间的远程访问(re-mote access)vpn;(3)企业与合作伙伴、客户、供应商之间的extranet vpno
在extranetvpn中,企业要与不同的客户及供应商建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopoint tunneling protocol,pptp)、第二层隧道协议(layer2 tunneling protocol,i,2tp)等。
2 vpn的实现技术
vpn实现的两个关键技术是隧道技术和加密技术,同时qos技术对vpn的实现也至关重要。
2.1 vpn访问点模型
首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在a地进行封装,到达b地后把封装去掉还原成原始报文,这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation, gre )i,2tp和pptpo
(1)gre
gre主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,gre报文头被剥掉,继续原始报文的目标地址进行寻址。gre隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol , nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。
gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看,vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是vpn的地址空间,这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来,多个vpn可以重复利用同一个地址空间而没有冲突,这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现vpn功能函数的数量。还有,对许多vpn所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。ip路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合,vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受vpn用户网络的路由协议限制。
虽然gre隧道技术有很多优点,但用其技术作为vpn机制也有缺点,例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
gre隧道技术是用在路由器中的,可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中,多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。
(2)l2tp和pptp
l2tp是l2f( layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp,因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上,nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol, ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。
与之相反的是,pptp作为“主动”隧道模型允许终端系统进行配置,与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且,pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。
在l2tp中,用户感觉不到nas的存在,仿佛与pptp接入服务器直接建立连接。而在pptp中,pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在,只是简单地把pptp流量作为普通ip流量处理。
采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全,因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户,而pptp比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4 qos技术
关键词:VPN;虚拟专用网;隧道技术;点对点,;虚拟网卡
1.VPN技术简介
VPN技术是一种组网技术,综合了加密技术和协议封装技术,利用在公共网络上建立加密隧道的方法,来建立一种虚拟的专用网。VPN系统有很多特点,如专用、虚拟、廉价、安全等。VPN系统安全性的基础是虚拟实现基于某协议的封装技术或者路由过滤技术,还有所采用的加密算法。VPN的实现方式有两种,软件实现或者硬件实现。在VPN技术出现以前,私有专用网络的建设维护费用非常高昂,再加之网络带宽的提高和通信技术的发展,现代办公的需要等原因,促使VPN技术的出现和快速发展。VPN的发展经历了三个主要阶段,最开始的路由过滤技术,之后的协议封装技术,现在的应用最普遍的隧道加密技术。
在应用方面看来,VPN主要分为三个类型,企业扩展虚拟网Extranet VPN、企业内部虚拟网Intranet VPN和远程访问虚拟网Access VPN。其中,企业扩展虚拟网和企业内部虚拟网一般被统称为专线VPN;远程访问虚拟网通常被叫做拨号VPN,也就是VPDN,Virtual Private-DIAL-UP Networks。
企业扩展虚拟网,就是不同的企业网通过公共网络来建立虚拟网。它适合提供B2B的访问服务,并保障其安全。Extranet VPN是通过使用一个共享基础设施来进行专用链接,将感兴趣的团体例如供应商户、合作企业或者客户与企业内部网络进行链接,这些团体与企业专用网络享有同样的服务质量、安全性能、可靠性和管理性。
企业内部虚拟网,也是通过公网建立的虚拟网,它链接的是企业的各个分支机构和企业总部。Intranet VPN是通过使用一个共享基础设施来进行专用链接,与企业专用网络享有同样的服务质量、安全性能、可靠性和管理性。
远程访问虚拟网,是通过公网的远程拨号建立的虚拟网,它链接的对象是企业的小分支部门或者是企业的员工。Access VPN完成链接的方式有很多种,用户可以根据需要选择链接,例如移动IP、ISDN、XDSL、拨号等等。
2.隧道技术
前面提到,VPN技术的实现基础,但是并不是所有VPN解决方案都使用相同的隧道技术,不同的隧道技术也有着各自的特点。首先,在隧道通信上,所使用的协议不同,但就目前来讲应用层实现VPN时,采用的协议只有TCP或者UDP,它们各自有着自己的优点。另外,隧道建立的起始位置也是随着客户需求而变化的,主要有从网关到网关、从主机到主机和从主机到网关三种类型。
本文中,将VPN隧道建立在VPN客户端和VPN服务器或者VPN网关和VPN网关之间,在这里所采用的技术都是在应用层实现的,所以,隧道通信中采用的网络协议也无外乎是UDP和TCP协议。而在本技术的实现过程中,采用的是TCP协议。TCP协议有着它固有的优点,首先它是流式传输,这样可以非常有效的减少IP数据包在传输过程中的分片。例如,假设要传输的IP数据包使用1500字节的MTU,如果这个IP数据包使用的是UDP协议,则根据协议栈规定,则需要在数据包中加上IP头和UDP头,这样新生成的数据包就会大于之前的MTU,从而会将其拆分为两个分段来进行传输,而且分段二的大小会很小,这样不仅影响了传输效率,还影响了数据在传输过程中的安全性。相反,如果采用TCP来进行IP数据包的传输,则IP数据包(最后一个除外)都会是MTU的大小,这样不仅使得传输效率有了非常大的提高,而且还有利于数据的安全性。但是TCP协议也有不足之处,就是TCP连接的建立和确认需要一定的网络开销。
在介绍过使用UDP和TCP协议建立隧道的特点后,本文采用的是TCP。在TCP协议的基础上,隧道传输要经历以下几个过程,隧道建立、隧道传输和隧道拆除。这三个过程组成了一个隧道的生命周期,如图1所示。
由上图可以看出,隧道技术的本质就是TCP的链接,经过压缩和特定方法加密后的IP数据包就在这个链接上进行传输。传输有两方面参与,一方将本地加密的IP数据包传输到对方的网关,另一方实在接收到远程发送的IP数据包以后,将其转发给本地虚拟网卡。由此可见,利用隧道技术进行的数据传输,本质上就是TCP协议的数据传输,隧道传输在技术上的实现也是通过socket编程,除了socket本身可以提供的I/O模型以外,隧道技术还必须要解决数据收发的同步操作,为了保证数据在隧道上高效的传输和收发,必须建立一个合适的数据收发的I/O模型,才能满足这个需求。一方面线程要及时发送其他线程传输过来的数据包,另一方面此线程还要及时接受来自隧道另一端的数据,并且尽力减少同步传输过程中带来的数据损失并保证数据的安全性,所以,隧道上接收的数据是在本地线程内完成的,而发送的数据则是由另外的其他线程完成的,故数据收发的同步操作指的是本地线程和其他线程之间的数据同步。Windows平台下对于socket实现应用程序的网络通信同样也是支持的,针对socket通信机制的平台扩充,windows也提供了一些高级的编程模型,例如一些WSA开头的Winsock函数,有效的解决了线程同步的问题。
3.点对点模式的研究
点对点模式有几方面的实现基础。首先,是隧道技术,本模式与隧道技术的生命周期关系非常紧密。隧道和协议之间的数据转发问题则是由虚拟网卡来进行完成的,而VPN网络地址空间则不需要进行一些新的规划。当然,对与不同的用户需求,本模式可以分出多种版本来解决移动用户、总部分支之间的链接问题。
虚拟网卡在本模型中起到了非常重要的作用,它解决了数据包在隧道和协议栈之间转发的关键问题。虚拟网卡在VPN网关中所处地位非常特殊,关系到IP数据包在VPN中的传输问题、数据转发模型和windows平台下的具体实现等等。
IP数据包在VPN是以以下方式传输的,VPN的传输媒介是不可靠的共享网络,隧道技术则在公网的基础上构建私有专用的网络,采用 访问控制、数据加密和身份认证等方法,使得通信安全得到保证。如前文所述,VPN的基础是隧道技术,异地主机之间的安全通信就是依靠隧道技术完成的。TCP/IP协议是现有internet的基础,主机之间是通过一个个的IP数据包进行通信的,隧道技术保护IP数据包不受破坏。为了达到保护数据的目的,VPN网关完成对原始数据包的加密,然后产生一个新的数据包并将其发送。
以图2为例进行说明,VPN通信的双方为A主机和B主机,A主机给B主机发送IP数据包,首先到达VPN的A网关,经过A网关的判断,数据包要发送到B网络,所以将这个IP数据包加入A网关和B网关之间的隧道传输等待队列。在传输过程的实现上,等待传输队列中的一个IP数据包首先被传输模块取到,然后对于此IP数据包,进行加密并将其压缩,即可进入隧道,发送出去。B网关接收到了加密后的数据包,将其解密,然后经过判断发送给B主机。这样就完成了一次数据传输。
在图2传输过程中,数据包经过隧道从A网络传输到B网络,完成整个传输过程,其中最关键的部分在于网关。VPN网关有两方面作用,一方面将内网的原始数据加密,然后通过隧道发送给对端网关,另一方面从隧道接收加密后的数据包,将其解密,然后发给内网目的主机。这样可得到,关键就是数据包从内网到隧道的转发功能,这个功能则是由虚拟网卡来解决的。
网关的有着对经过的IP数据包进行路由转发的功能,也就是从一个网口接受到IP数据包,然后经过判断从另外一个网口上发送出去。虚拟网卡就是构建在网关上的,经过网关发往B网络的IP数据包都会经过虚拟网卡发送过去,这样,发往B网络的所有IP数据包都可以被虚拟网卡截获,然后将其加密后送入隧道发送给B网关,B网关接收到IP数据包后进行解密,然后再交给虚拟网卡,虚拟网卡对其进行判断后,将其从B网关的另外一个网口发出,
IP数据包最终将被发送给目的B主机。
虚拟网卡将IP数据包截获以后,转交给应用程序来进行处理。首先,应用程序中的数据交换模块来读取虚拟网卡上的IP数据包,然后由这个应用程序的加密模块,将数据包进行加密处理,最后是由隧道传输模块接收到加密后的数据,将其发送给对端的网关。其中VPN隧道就是一条TCP连接,建立在两个网关之间的。UDP协议可以用来实现隧道技术。在隧道的对端,接收到IP数据包以后,处理的流程跟发送流程刚好相反,先由应用程序的解密模块将数据进行解密,然后将其转交给数据交换模块,数据交换模块再将其递交给虚拟网卡,虚拟网卡接收到IP数据包后,根据其目的地址在内网选择相应的内网网卡,最后内网网卡将数据送达至目的主机。虚拟网卡在这个过程中的作用是,数据包在VPN隧道和内网之间的转发,还保证了数据的安全性。
4.总结
虚拟专用网,就是应用隧道技术再公共网络上逻辑性地区分多个私有网络,是一种虚拟的网络,目的是保证网络传输的安全性能和提升服务质量。虚拟专用网建立在公共网络上,在建立隧道的时候,如果一次性给足带宽,则会引起带宽的浪费,从而使得可容纳的客户数量降低,公共网络使用率也会随着降低。相反,若带宽过低,则会提高虚拟专用网上连接被拒绝的次数,所以配置带宽要适当。
本文重点研究与探讨了点对点模式。在系统点对点工作模式的讨论上,又着重讨论了应用层VPN网关的设计问题,例如隧道技术在数据包中转发的问题和虚拟网卡等,然后提出了一种新的解决思路,在一定程度上使得VPN的安全性得以提高。
参考文献:
关键词:IPsec;AH;EPS;VPN; SSL
中图分类号:TP393.08 文献标识码:A
1 概述
IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接,因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,包括加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
2IPsec原理
2.1安全特性[1]
IPSec的安全特性主要有:
2.1.1不可否认性
“不可否认性”可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。“不可否认性”是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
2.1.2反重播性
“反重播”确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地。
2.1.3数据完整性
防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
2.1.4数据可靠性(加密)
在传输前,对数据进行加密,可以保证在传输过程中即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
2.2数据包结构[2]
2.2.1认证头
认证头(AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。
表1认证头分组
01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一个头载荷长度保留安全参数索引(SPI)序列号认证数据(可变长度)字段含义:
下一个头:标识被传送数据所属的协议。
载荷长度:认证头包的大小。
保留:为将来的应用保留(目前都置为0).
安全参数索引 : 与IP地址一同用来标识安全参数。
序列号:单调递增的数值,用来防止重放攻
认证数据:包含了认证当前包所必须的数据。
2.2.2封装安全载荷 (ESP)
封装安全载荷(ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。
字段含义:
安全参数索引:与IP地址一同用来标识安全参数。
序列号:单调递增的数值,用来防止重放攻击。
载荷数据:实际要传输的数据。
填充:某些块加密算法用此将数据填充至块的长度。
填充长度:以位为单位的填充数据的长度。
下一个头 : 标识被传送数据所属的协议。
认证数据:包含了认证当前包所必须的数据。
3VPN原理
3.1VPN的基本概念[3]
在VPN(Virtual Private Network,虚拟专用网络)中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明,用户好像使用一条专用线路进行通信。
3.2VPN的关键技术[4]
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
3.2.1隧道技术
隧道是一种利用公网设施,在一个网络之上的“网络”传输数据的方法,被传输的数据可以是另一协议的帧。隧道协议用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。
3.2.2加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。用于VPN上的加密技术由IPSec的ESP (Encapsulationg Security Payload)实现。主要是发送者在发送数据之前对数据加密,当数据到达接收者时由接收者对数据进行解密的处理过程,算法主要种类包括:对称加密(单钥加密)算法、不对称加密(公钥加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(发明者Rivest、Shamir和Adleman名字的首字符)。
3.2.3密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
3.2.4使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是用户名/口令或智能卡认证等方式。
3.3VPN隧道协议
隧道协议分为第二、三层隧道协议。它们的本质区别再也用户的数据包是被封装在哪一层的数据包在隧道里传输。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
3.3.1PPTP(Point to Point Tunneling Protocol,点到点隧道协议)
PPTP是VPN的基础。PPTP的封装在数据链路层产生,PPTP协议采用扩展GRE(Generic Routing Encapsulation)头对PPP/SLIP报进行封装。所谓扩展GRE头,即在通常GRE头中,细化并修改了密钥字段的利用,并增加了确认、出现位和确认号字段,从而提供了PPTP的流量控制功能。
3.3.2L2F(Layer 2 forwording)
L2F可以在多种介质(如ATM、帧中继、IP网)上建立多协议的安全虚拟专用网,将链路层的协议(如PPP,HDLC等)封装起来传送。因此,网络的链路层完全独立于用户的链路层协议。
3.3.3L2TP(Layer 2 Tunneling Protocol)
是远程访问型VPN今后的标准协议。它结合了PPTP协议和L2F协议的优点,以便扩展功能。其格式基于L2F,信令基于PPTP。这种协议几乎能实现PPTP和L2F协议能实现的所有服务,并且更加强大、灵活。它定义了利用公共网络设施(如IP网络、ATM、帧中继网络)封装传输链路层PPP帧的方法。
3.3.4IPSec
是在IP层提供通信安全而提供的一套协议族,是一个开放性的标准框架。IPSec安全协议包括:封装的安全负载ESP(Encapsulation Securiy Payload)和认证报头AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它对所有链路层上的数据提供安全保护和透明服务。
AH用于通信双方能够验证数据在传输过程中是否被更改并能验证发方的身份,实现访问控制、数据完整性、数据源的认证性和重放根据的保护的功能。
ISAKMP[5]主要用于通信双方协商加密密钥和加密算法,它是基于D-H的密钥交换协议,并且用户的公钥和私钥是由可信任第三方TTP(Trusted Third Party)产生的。
ESP 的基本思想是对整个IP包或更高层协议的数据进行封装,有2种模式:隧道(Tunnel)模式和传输(Transport)模式。在隧道模式下,IPSec把IPv4的整个IP包加密后封装在新的安全IP包的数据段中,并生成一个新的IP包,在传输模式下只是将原IP包中的数据进行加密后再发送出去。
通用路由封装(GRE, Generic Routing Encapsulation):GRE规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义。GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所有在实际环境中它常和IPSec一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。
4SSL VPN与IPSec VPN 比较
4.1IPSec VPN 优缺点
4.1.1优点
(1)IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议;
(2)IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的;
(3)IPSec VPN网关一般整合了网络防火墙的功能;
4.1.2不足
(1) IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;
(2)IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关设备(proxy)的影响;
(3)IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。
4.2SSL VPN[6] 优缺点
4.2.1优点
(1)它的HTTPS客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;
(2)像Microsoft Outlook与Eudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;
(3)SSL VPN可在NAT装置上以透明模式工作;
(4)SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
4.2.2不足
SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术;
SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过。5 结束语
IPsec协议的实现弥补TCP/IP参考模型设计之初的缺陷,但其本身也存在一些不足。通过SSL VPN与IPsec VPN比较,进一步明确了IPsec VPN的特点及其适用的工作场合。
参考文献
[1] Panos Trimintzios. A management and control architecture for providing IP differentiated services in MPLS-based networks, IEEE Communications Magazine, 2001, 39(5): pp.80-88.
[2]Intergated service in the Internet architecture: an overview.RFC1633,1994.
[3]J iang Y, Tham C, Ko C.Providing quality of service monitoring: challenges and approaches . International Journal of Network Management, 2000, 10 (6):pp.323-334.
[4] RFC 2917-2001, Muthukrishnan and amalis, a core MPLS.
[5]Steven brown著, 董晓宇,魏鸿,马洁等译. 构建虚拟专用网[M]. 北京:人民邮电出版社, 2001.
【关键词】 铁路网络系统 VPN技术 应用
VPN技术在全球范围内广泛使用,然而在中国,VPN技术还未进行普及,VPN技术推广与很多因素有关。据统计显示,VPN技术能替代以往线路,从而节省远程站点的运营费用,在拨号上网方面VPN技术能够节约网络运营成本的70%以上,同时由于VPN技术使用了加密技术,在数据传输过程中能够保证数据传输安全和可靠[1]。由于VPN具有诸多优点,在铁路网路系统中具有很大的应用前景。
一、VPN技术简介
1.1VPN概念
VPN是Virtual Private Network 的简称。VPN技术是在公共网络上进行专网建设及加密通讯。该技术在网络层中结合加密技术及数据包封装技术,从而能对数据进行加密保护。综上所述VPN技术包含2点:①VPN技术是虚拟网络,固定物理连接不存在。 ②在公共网络上建设的专用网[2]。
1.2 VPN核心技术
VPN使用加密技术及认证技术,从而使用户数据具有很高的安全性。VPN技术有2层隧道技术:IP层的IPSec;L2F、PPP、L2TP及协议层SSL/TLS。
IPSec是比较流行的IP层解决方案,它使用了加密协议及密钥管理技术从而保障了技术的安全及传输准确。IETF制定标准时需要参照IPSec,主要包括全套IP协议,其目的主要是在IP层上对两点之间的数据进行加密,该加密协议使用公共密钥加密协议。
二、 VPN技术在铁路网络系统中的应用
铁路网络系统是一个规模庞大的内部网络,是典型的局域网,其中规模较大的铁路网络系统是有较大的局域网按照叠加方式进行构造的,小型局域网则是使用平面式结构。铁路网络系统要求系统具有很高的安全性,可将铁路内部计算机网络化分为三个网络层次:生产网、外部访问服务网及内部服务网。这三个网络层次使用VLAN、动态物理隔离及防火墙技术进行隔离。
2.1 VPN技术在铁路车票发售系统中的应用
随着宽带技术的不断更新,铁路售票方式也在发生改变,从传统的窗口售票逐渐发展到网络售票。在网络售票方面用户只需连接网络进入到铁路售票专用网络工作界面,比如在售票处使用4M以上的宽带连接网络时,售票及预订工作都能同时满足,这样不会因频繁拨号带来的影响。上海铁路局建立的铁路网络中,应用了组播方式,充分考虑售票模式,使用SDH作为售票通道,该技术安全性高传输容量大,能够满足上海铁路局车票的预售,简化了车票预售过程,上海铁路局带来了便利。
2.2 VPN技术在铁路物流中的管理应用
在铁路物流中,可以将铁路的业务与其他公司进行对接,使得工作效率变高。在对接过程中需要解决一些列问题,由于VPN技术的应用使得对接变得简单,方便了铁路及其他公司的管理。
比如在铁路公司的货运时间安排上,可以使用VPN技术,将铁路公司的数据与其他公司进行共享。这样其他公司不用到铁路局报批货运计划,只需通过电脑就可完成以一些复杂问题及手续。
2.3 VPN技术在铁路办公自动化系统中的应用
由于铁路机构的庞大,人员流动性大,铁路办公系统的开发给办公带来了方便。如何保护铁路办公系统的安全?铁路员工如何能安全访问网络资源等一系列问题需要解决。远程VPN技术很好的解决了这些问题,在外办公的人员能够安全便捷的进入到办公系统。上海铁路局中使用VPN技术将信息发送到路由器,路由器可以对不同的用户信息进行判断,如果是VPN所提供的信息就可上传反之阻止上传。这样提高了系统的安全性。
三、总结
随着网络技术的不断发展,网络的安全及数据传输的准确性要求越来越高,VPN技术的应用能够有效解决这些问题。VPN技术能够为企业节省大量成本以及信息安全高,前景比较广。VPN技术主要由硬件类VPN技术平台、软件类的VPN技术平台及辅助类的VPN技术平台。将VPN技术应用到铁路系统中能够使售票管理简化、物流管理简化及办公系统更安全。在未来的铁路系统中VPN技术还需要提高VPN的稳定性。
参 考 文 献
[1]张继尚.VPN技术在铁路网络系统中的应用[J].上海铁道科技,2014(4):118-119.
[2]陈贵宝.网络安全及VPN技术在远程办公系统中的应用[J].电力学报,2006,21(1):71-72.
[3]党文辉.VPN技术在铁路系统中的应用分析[J].科技信息,2011(15):96-96.
【关键词】企业;VPN技术;应用研究
一、企业骨干网络VPN技术简介
VPN即虚拟专用网络(Virtual Private Network),指在公共网络上建立专用网络的一种技术。被称之为虚拟网,是因其在公共网络平台之上形成了独立的使用平台,如银行ATM、帧中继等都包括在VPN当中,在虚拟网络连接路段,进行企业的数据及文件的传输。涵盖范围包括加密、身份验证、跨共享网、公共网络封装等专用网络的扩充。
VPN可有效保护数据安全,提供多样化服务,适应性,灵活性强,可操控等特点。
VPN采用了多种技术使数据传输得到优化,加强对用户的管理以及信息数据的保密。如隧道技术,企业以隧道技术为基础创建VPN信道,通过这种技术可以在信道层与网络层建设起自己的数据传送隧道。相对于建立便易的PPP连接形式来说,IPinIP技术的诞生则具有较高的保障性和可容性。认证技术通过HASH函数保护数据的不可修改及稳定,此技术大多用于用户认证与数据完整性的监测。加密技术使得企业间数据传送有着可靠的保证,VPN的加密方案的安全颗粒能满足个人终端要求,且在协议与层次上能更好的保障企业内部网络的传输。隧道协议是建立隧道技术的依据,包括了L2TP、IPSec、Qos等协议。
二、VPN技术在企业当中的应用
VPN能够使企业从中得到巨大的利益。
首先,企业网络的安全保障。数据安全关乎企业的生死存亡,VPN的诞生解决了这一问题, 一方面能保障企业信息传送过程中的安全,另一方面,企业数据得到了加密处理,比如Qos技术、认证技术、用户验证等。
其次,节约企业成本。VPN能在取代原有网络基础上,提升网络效率,最大限度减少企业投资成本。另外VPN对软件的投入高于硬件的投入,这就使企业VPN更加灵活与便捷。
再次,简易了网络构建。相对于复杂的传统网络,VPN有快捷的传输速度、优越的网络服务,复杂度降低,另外更简化了企业网络的维护。
除了以上优点,VPN还可实现企业信息共享,传输通道安全保障等。
VPN的应用范围包括连接子网,扩大rip的网络工作幅度。与IPSec综合使用,在单一协议骨干网上传输多协议本地网等。
三、VPN技术的应用分析
VPN市场属于新型市场,其产品种类类繁多,但也不可避免的存在鱼目混珠。企业选择比较困难。VPN分为硬件与软件两大类:软件VPN性能差但价格低,同时也存在干扰性检测、安装难度及可靠性方面存在不足,硬件VPN虽然比软件VPN有优势但也存在不足。笔者认为选择一个适合自己的VPN应该考虑以下几个方面:(1)公司员工使用VPN的数量。(2)公司网络被访问的位置。(3)被访问平台具有较广的支持设备。(4)考虑计算机使用软件种类以及远程设备的有效性。(5)安全级别的考虑,数据传输类型,远程办公的员工对安全协议的适用以及用户验证。(6)RADIUS目录服务,用户定义数据库的中心IT是否被利用等。通过以上的严谨思考与计划,企业就能够在繁杂的产品中选择合适的VPN产品。
虽然近些年有人认识VPN会被新的网络技术取代,这些技术能避免企业建立数据隧道的麻烦。我们不可否认VPN的低成本、可靠性强和安全性能高的优点,以及宽带VPN可升级和具有模块化,以及使远程员工、商务合作伙伴链接企业网络具便捷。VPN的缺陷表现为构建和部署VPN较为困难,市场上不同VPN不可相容,VPN在使用无线链接时有安全隐患。但因NAC价格高,VPN及周遍网关设备能够满足企业需要。
当今世界网络普遍化、互联网的发展、企业办公信息化及办公的商业化都无法离开互联网。所以,我们可以预测,在不远的将来,国内VPN会有一个发展高潮,企业如果采用VPN技术将会大大节约成本。因此VPN的市场前景广阔,将会成为企业网络化办公的主导。但因国内VPN技术兼容性限制,企业在创建和部署VPN线路上会遇到困难,企业不能控制VPN的性能与可靠性等制约因素限制了VPN在企业中的步伐。
四、结语
现代化企业在多方面试用了计算机网络,网络随处可见于电子商务与企业网络远程的访问。如何选择适合自身发展的VPN方案,如何适度应用网络资源,如何节省公司资金,如何使企业数据得到保障,都是企业面临的重要问题。其次,企业应该重视网络安全,加大技术投入,健全管理等措施维护网络安全。只有如此,VPN技术才能更好的为企业服务。同时,VPN技术也能在需求的前提下壮大自身。
参考文献
[1] 李化玉.VPN网络在企业生产办公中的应用[J].信息系统工程,2012(1).
[2] 慕东周,于本成.中小型企业VPN网络的规划与设计[J].网络安全技术与应用,2011(7).
[3] 姚昕凡.浅谈MPLS构建VPN网络的运用[J].科技广场, 2010(5).
关键词:VPN简介实现技术
本文重点分析了VPN的实现技术,下面就VPN技术的实现做一下粗浅的分析:
1 VPN简介
虚拟专用网(VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类:①企业各部门与远程分支之间的Intranet VPN;②企业网与远程(移动)雇员之间的远程访问(Re-mote Access)VPN;③企业与合作伙伴、客户、供应商之间的Extranet VPN。在Extranet VPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IP Sec、点到点隧道协议(Point to Point Tunneling Protocol, PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.1 VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考。其中IP Sec集成了IP层隧道技术和加密技术。
2.2隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装( GRE )I,2TP和PPTP。
2.2.1 GRE。GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-Hop Routing Protocol , NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就像是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
2.2.2 L2TP是L2F( Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议访问服务隧道;e.用户通过该隧道获得VPN服务。
2.2.3 与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。
2.3加密技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IP Sec的DES和三次DE So RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IP Sec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3总结
虽然VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据,也可节省开支。此外,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋。
参考文献:
[1]赵终启 VPN技术在铁通公司互联网中的应用 《哈尔滨铁道科技》2007年 第1期
关键词:VPN隧道技术Qos
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
[1] 石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
关键词:虚拟专用网SSLMPLSIPSec
Comparison and Analysis of Mainstream VPN Technologies
LI Hong-Jun
(Network Information Center, Shanghai Lixin University of Commerce, No.2800,Wenxiang Road, Songjiang District, Shanghai, 201620, China)
Abstract:This article introduces IPSec, MPLS and SSL. After introducing these technologies, the article compares and analysises several aspects, such as principle, security, authentication method, management and the cost. In practical application, the design and implementation of VPN should be based on actual demand and combine the advantages of three technologies.
Keywords: Virtual Private Network; SSL; MPLS; IPSec
VPN(Virtual Private Network,虚拟专用网)是指将在物理上分布于不同区域的网络通过公用骨干网络连接成的逻辑上的虚拟子网, 它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护,防止通信信息被泄露、篡改和复制。
当前,随着VPN技术的日趋成熟,已经有越来越多的企业和机构采用VPN技术来构建自己的虚拟专用网络以达到灵活扩展自身内部网络、连接跨区域分支网络等目的。与传统的物理专用网络相比,VPN具有组网成本低、通信安全、管理方便、扩展性强、可靠的服务质量(QoS)等特点。
按照实现技术的不同,VPN可分为 PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)与 SSL(Secure Sockets Layer)等几种。其中,基于MPLS技术的VPN与基于IPSec协议及SSL协议的VPN是目前应用最为广泛的三种VPN 解决方案。
下面分别对这三种技术进行比较与分析。
1 IPSec VPN与MPLS VPN及SSL VPN的工作原理
1.1 IPSec VPN
IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec组件包括安全协议认证头(AH)和封装安全载荷(ESP)、密钥交换(IKE)、安全联盟( SA)及加密和验证算法等。IPSec是在网络层实现数据加密和验证,提供端到端的网络安全方案,可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重防保护以及有限的数据流机密性保证等服务[1 ]。
IPSec协议为IPv4与IPv6提供可互操作的、高质量的、基于加密体制的安全方案。它包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密与流量保密等安全服务。所有这些服务都建立在IP层,并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406],以及通过使用加密密钥管理过程和协议来实现。
IPSec VPN是一项成熟的技术,目前有许多基于硬件的解决方案来保障它的高性能,是远程办公室点对点互联的优选方案。
1.2 MPLS VPN
MPLS (Multi-Protocol Label Switching,多协议标签交换)是由Cisco提出的新一代IP骨干网络交换标准,介于第二层和第三层之间的交换技术,所以它既可以兼容多种链路层技术,又能支持多种网络层的协议,实现了边缘的路由和核心的交换[2 ]。
MPLS VPN是一种基于MPLS技术的VPN,在网络路由与交换设备上使用MPLS技术,应用标签交换,通过LSP将私有网络的不同分支联结起来,并结合传统的路由技术,适用于多点到多点的连接。MPLS作为骨干网络的一种路由转发的新模式,必须由LSR(Label Switch Router,标签交换路由器)构建,普通路由器无法完成。如果网络规模比较大,则可能需要较多的LSR。
1.3 SSL VPN
SSL(Secure Socket Layer,安全套接层)协议是由网景(Netscape)公司提出的基于Web的安全协议,它是一种在Internet上保证发送信息安全的通用协议,处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了一种在应用程序协议(如 HTTP、Telnet、SMTP和FTP等)与TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证[3]。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机与服务器间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。尽管SSL 协议并非为实现VPN而设计,但SSL对VPN实现所需的数据加密、身份认证与密钥管理等关键技术提供了良好的支持。
SSL VPN是工作在应用层(基于HTTP协议)与TCP层之间的,能够提供安全的远程接入[4]。SSL VPN利用浏览器内建的安全套接层(SSL)封包处理功能,通过浏览器连回公司内部的SSL VPN服务器,然后通过网络封包转向的方式,令客户可以在远程计算机执行应用程序,读取公司内部服务器数据。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。通过 SSL VPN可以实现远程访问企业内部网络的构架。
2 IPSec VPN、MPLS VPN与SSL VPN的比较及分析
2.1安全性比较与分析
IPSec VPN[5]采用了对称式(Symmetric)与非对称式(Asymmetric)的加密算法以及摘要算法等,通过身份认证、数据加密、数据完整性校验等多种方式保证了接入的安全性、数据的私密性,其安全性高。MPLS VPN采用路由与地址隔离以及信息隐藏等多种方法来抗攻击与标记欺骗,但它并没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部攻击等安全问题。MPLS本身并未提供加密与验证的安全功能,它可以集成IPSec协议以提供安全保护。因而其安全性一般。SSL VPN与IPSec VPN一样,也采用了对称式与非对称式的加密算法执行加密作业,其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻击的可能性,并且受客户端病毒感染的可能性也很小,故其安全性较高。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2.2 认证方式与管理的比较及分析
IPSec[6]采用了因特网密钥交换(Internet Key Exchange)方式,使用数字凭证(Digital Certificate)或者一组Secret Key做认证。对于IPSec VPN,由于一个新用户节点的增加、删除或修改均需要重新设置现有的所有节点,并在客户端安装复杂的软件及配置。另外,IPSec VPN对客户端采用的操作系统也具有较高的要求,不同的终端操作系统需要不同的客户端软件,其易管理性差。SSL仅能使用数字凭证,若都采用数字凭证来认证,SSL与IPSec在认证的安全等级上则没有太大的差别。大多数厂商对SSL的认证均会建置硬件令牌(Token)以提升认证的安全性。在实际作业时,大多数人均在整个网段(Subset)上进行开发以避免太多的设定所带来的麻烦。SSL可以设定不同的使用者以执行不同的应用系统,另外浏览器中也内置了SSL协议,客户端不需要安装软件,不需要配置。因而,SSL在管理和设定上比IPSec 简单方便得多,便于管理。对于MPLS VPN[7],由于在同一VPN的成员之间不需要建立与维护连接,若有新成员加入,ISP仅需要告知用户端的设备如何与网络连接,并配置PE来识别来自CE的VPN成员,BGP便会自动更新相关配置,用户不需要手动升级或改变自己的边缘设备。MPLS VPN并不需要客户端管理软件,因而易于管理。
2.3 成本的比较
MPLS VPN对于用户而言,其一次性投入的成本较低,但长期投入的资金比较高。对于IPSec VPN,在实施IPSec方案时不仅需要人工发放认证的材料,用户还需要知道所使用的加密和认证算法,内网路由配置等诸多繁琐事宜,还需要预装客户端软件等。这些不便在大规模实施过程中给用户带来了难以负担的工作量和费用,其投入的成本较高。由于SSL VPN客户端则不需要安装客户端软件,因为浏览器内置了SSL协议,其投入的成本最少。
3 结语
通过上述比较分析可看出,三种VPN技术各具特色,互有长短。IPSec VPN与SSL VPN这两种VPN架构,从整体的安全等级来看,它们均能提供安全的远程登入存取联机。但SSL VPN在其易用性及安全层级上,均比IPSec VPN高。由于Internet的快速扩展,针对远程安全登入的需求也日益增加。因此,在实际选择VPN 时,应根据实际需求,可以某种VPN技术为主,结合其他技术,充分发挥它们各自的优势,让VPN网络为企业和员工提供更好的服务。
参考文献
[1] [美] Vijav Bollapragada,Mohamed Khalid著.袁国忠译.IPSec VPN设计[M].北京:人民邮电出版社,2006.
[2] [美] Ivan Pepelnjak,Jim Guichard,Jeff Apcar著.卢泽新, 朱培栋,齐宁译.MPLS和VPN体系结构(第二卷) [M].北京:人民邮电出版社,2004.
[3] 马军锋.SSL VPN 技术原理及其应用[J].电信网技术,2005,(8):6~8.
[4] 伍转华.三种基于不同协议的VPN技术研究与分析[J].科技咨询,2007.
[5] 王春燕.VPN介绍及其安全性问题探讨[J].中国新通信,2008.
[6] 易光华,傅光轩,周锦顺.MPLS VPN、IPSec VPN和SSL VPN技术的研究与比较[J].贵州科学,2007,(2).
关键词:政务网;VPN;MPLS VPN;数据隔离
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)03-0032-01
当前,随着政务改革不断深入,各单位频繁的业务互动和信息交换对信息化提出了更高的要求。针对各单位的特点和需求构建新的政务网络显得尤为重要。
1 政务网络需求分析
原有政务网络没有中心点,分布在全市的各单位通过运营商实现互连,所有路由策略无法统一管控,任何网络改变只能依赖运营商。因此,新建的无锡政务网在整合的基础上,还需要提供以下几种能力:(1)安全隔离。无锡政务网络能够实现和区县单位的纵向互访,不同单位之间不能够相互访问。(2)受控互访。所有跨单位的业务服务器共同组成一个共享域。各纵向系统能够主动发起对共享系统的访问,共享系统不能主动访问纵向系统,从而保证纵向系统的安全。本文基于MPLS VPN技术,采用访问控制和策略部署方式构建政务网络。
2 MPLS VPN技术
MPLS VPN技术由两个部分构成:1)MPLS(Multi-Protocol Label Switching,多协议标签交换)。在路由可达情况下,生成标签转发通道,数据包进入网络后分配到固定长度的标记,交换节点根据标记进行转发,转发速度很快。2)VPN(Virtual Private Network,虚拟私有网)在三层设备(路由器或三层交换机)上为每个VPN建立专用的VRF(Virtual Route Forwarding)表。
MPLS VPN的成员包括:P、PE和CE。P负责根据标签转发数据包。PE管理VRF,处理VPN IPv4路由;CE负责正常的IP报文转发。MPLS VPN直接在IP层将各个VPN通过专用的VRF进行隔离,每个VRF维护一套独立的路由转发表,即使不同单位使用相同的IP地址段都不受影响,从而达到各VPN的安全隔离。如果VPN之间有互访需求,则可以通过控制VRF间路由的引入来实现。
3 设计和实现
基于MPLS VPN技术,采用访问控制和策略部署的方式构建政务网络。整个政务网分为三部分,数据中心、园区接入和区县接入。在保证路由可达的前提下,政务网络中配置MPLS,为各个单位在汇聚交换机分配不同的VPN。政务网内各单位和区县各对应单位需要配置相同VPN RD和RT值,满足安全隔离需求。跨单位业务服务器属于共享域,配置特殊的VPN RD和RT值,可以跟其他单位VPN互通,并通过配置ACL策略控制VPN间访问的业务流量,满足受控互访的需求。
分属数据中心核心交换机作为P设备,构建标签转发路径,执行MPLS高速转发,同时因为区县接入直接汇聚到核心交换机,所以核心交换机同时担当PE角色;园区接入设备作为PE,负责接入CE;数据中心汇聚交换机作为PE,负责单位服务器接入。这两台PE会根据VLAN标记分配所属的VPN,并维护各单位VPN信息,与其他PE交互VPN路由,实现纵向、横向VPN隔离和互访;楼道交换机作为CE,连接园区接入设备,为接入用户分配VLAN标记。
MPLS VPN实现安全隔离和共享的情形:A、B为不同的两个单位,C为双方需要访问的共享域;
ip vpn-instance A \表示单位A
route-distinguisher 15400:1
vpn-target 1500:1 10000:1 export-extcommunity
vpn-target 1500:1 10000:2 import-extcommunity
ip vpn-instance B \表示挝B
route-distinguisher 1800:1
vpn-target 1800:1 10000:1 export-extcommunity
vpn-target 1800:1 10000:2 import-extcommunity
ip vpn-instance C \表示区域C
route-distinguisher 100:4
vpn-target 10000:2 export-extcommunity
vpn-target 10000:1 import-extcommunity
单位A和B的VPN配置表示收RT是10000:2的路由,并发送RT是10000:1的路由,因此单位A和B的网络在逻辑上是隔离的,数据无法交互;区域C的VPN配置表示收RT是10000:1的路由,并发送RT是10000:2的路由,因此单位A和B分别能访问区域C的数据。这样就满足了各纵向系统能够主动发起对共享系统的访问,而各纵向系统数据隔离的问题。在区域C的RT中加上10000:1的路由,把需要互访的地址允许转发,其他地址禁止转发,并在共享域C的接口上应用,能够实现受控互访的要求。
4 结语
现今,建立一个技术先进、扩展性强、能覆盖所有功能区域的政务网络是必不可少的。MPLS VPN技术特性符合政务网的设计需要,在此基础上建立能满足政府业务、指挥协调和管理需要的软硬件环境,开发各类信息库和应用系统,极大方便的为各类工作人员提供充分的网络信息服务。
参考文献
[1]佩佩恩雅克. MPLS和VPN体系结构.人民邮电出版社,2010.7.
【关键词】 VPN技术 计算机网络 管理模式
随着计算机网络的发展,人们对计算机网络的运用越来越普遍化,然而计算机网络的安全问题却一直受到人们的诟病。计算机网络的应用虽然为了人们提供了很多便捷的地方,然而其却不能够有效保障相关系统和信息的安全,导致个人或企业出现巨大的损失。
VPN技术的出现完善解决了计算机网络的安全问题,它通过建立安全稳定的网络通道,保障了计算机网络的安全性。因此VPN技术对人们和企业在计算机网络的安全使用有着非常重要的作用。
一、VPN技术的概述
VPN是指虚拟专用网络,它能够通过互联网建立临时且安全的通道,以此增强相关数据和信息的安全性。它在企业中的运用较为普遍,其可以为企业的分支机构或远程用户等建立安全可靠的连接,并保证数据、信息共享的安全性。
企业内部可以通过相关技术对其进行策划和管理,同时企业还可以加强安全访问控制、用户认证等方式,提高网络的安全性。VPN具有节约成本、管理简便,后期扩展方便的优势,它比专用网络更加受到企业的青睐。
二、VPN技术促进企业发展的作用
在全球经济的飞速发展中,企业与企业之间存在很严重的竞争关系,甚至有些企业为了打倒对方而采用不择手段的方式。计算机网络的发展和普遍运用,为企业们找到了既简单,破坏力又大的破坏方式。他们可以通过利用较高的计算机技术,对对方企业的计算机系统进行清理和破坏,从而给对方企业造成难以估量的损失。
VPN技术主要是通过建立安全稳定的通道的方式,加强对相关数据的保护,从而促使竞争企业难以通过非法入侵的手段对计算机系统进行破坏。
虽然计算机网络的发展,很多企业在业务处理方面都是通过计算机网络完成。如企业员工到外地出差时,有时会需要连接企业的网络来来处理相关的食物,而且有些企业在于异地客户进行互动时,也需要企业网络的远端接入。因此为了保证企业员工、异地客户能够良好的业务工作展开,企业可以通过VPN技术建立企业专用网络,VPN技术的管理方便、扩展方便的特性,能够有效帮助出差员工或异地客户进行远端接入,从而促进企业的发展。
一般企业的网络都具有较为复杂的特性,因此在进行管理时,需要耗费较高的管理成本。为了降低成本,可以利用VPN技术减少管理成本的投入,实现利用字少资金进行安全管理的方式。
三、VPN技术在计算机网络中的应用
VPN技术有多种安全管理机制,包含隧道技术、密钥管理技术、身份认证技术等,而且其是建立在网络规范的基础上,可以确保数据和信息在传输时被盗取的可能性大大降低,另外如果对方计算机水平较高,成功盗取了数据和信息,也很难对相应的数据和信息进行读取。隧道技术还能够将其他协议中的数据进行重新包装和发送。
相关人员在使用VPN技术技术网络时,必须要得到系统的授权才能够进行访问和操作。VPN技术为了保证网络的安全性,其会对没有授权但通过隧道技术的伪冒用户采用直接隔断的方式,让这些用户没有办法进入到专用网络中。VPN技术在进行管理时,不会因为用户是合法的便放任其进入到网络中,而是会采用非常严格的身份认证的方式,加强对网络的保护。因此VPN技术能够有效保证专用网络的安全,避免相关企业受到不正当的侵害。
此外VPN技术能够实现网络地址的管理,如企业在对分公司进行管理时,一般会首先选用VPN技术。利用VPN技术可以实现各分公司与总部公司之间的网络交流,并可以进行互动访问,互动交流的网络系统主要有游戏系统、办公自动化系统等。
VPN技术还可以应用在图书馆和计算机教学资源中,VPN技术可以有效的促进图书馆图水资源的管理,如提高借书、还书系统的速度。在计算机教学资源网中,学生可以安全稳定的分享相关信息,避免被他人窃取。
四、结束语
综上所述,如今计算机网络的应用非常普遍,人们在生活、工作中都会需要用到计算机网络。特别是如今企业都是利用计算机网络进行管理。通过上述分析可知,VPN技术通过建立安全稳定的网络通道,有效保证信息和数据传递的稳定性,且其使用成本低,因此人们应该注重VPN技术的使用。
参 考 文 献
[1]王松江.VPN技术在计算机网络中的应用[J].计算机光盘软件与应用,2013,20:124-125.
