vpn技术论文大全11篇
时间:2022-02-13 18:54:29
vpn技术论文篇(1)
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
vpn技术论文篇(2)
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02
一、引言
随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。
二、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。
(一)VPN接入技术的分类
目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。
2.IPSec VPN
IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。
3.SSL VPN
SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。
(二)VPN的关键技术
VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。
1.隧道技术
隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。
2.加密技术
VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.认证技术
VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。
(三)VPN的优点
VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:
1.成本低
传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;
2.可扩展性强
如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。
3.安全性强
VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。
三、VPN在分布式校园网络中应用
近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:
(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;
(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;
(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;
可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:
(一)校区互联
针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。
(二)移动办公
在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。
(三)校际交流
在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。
四、结论
针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。
参考文献:
[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198
vpn技术论文篇(3)
中图分类号TP39 文献标识码 A 文章编号 1674-6708(2015)135-0069-02
近年来,随着Internet的快速发展,基于虚拟专用网络的VPN作为一种新的网络技术,可以远程访问,实现外部网和内部局域网的连接[1]。因为其安全性和成本低廉的优点,在各企事业单位的数据传输业务中得到了广泛的应用。通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动
办公。
1 VPN简介
1.1 VPN的定义
VPN(Virtual Private Network),中文全称虚拟专用网络,它是指采用特殊的加密通讯协议,为了实现临时、安全的远程连接在Internet公共网上建立的虚拟的、专用网络通道[2],主要依靠网络服务提供商(NSP)及Internet服务提供商(ISP)提供,并通过采用隧道、密钥管理、加密、身份认证等安全技术及手段来保证在公共网络上传输数据的安全性,为终端提供类似于私用网络的一种网络服务技术。
1.2 VPN的类型
VPN一般分为三种类型:1)远程访问虚拟网(Access VPN);2)内部虚拟网(Intranet VPN);3)扩展虚拟网(Intranet VPN),其中,Access VPN 主要用于个人远程访问局域网实现异地办公,Intrant VPN主要用于大中型企事业单位或者集团和其异地机构通过Internet建立的虚拟私有网络。利用因特网保证网络的互联性,同时利用VPN的隧道、加密等特性保证整个Internet VPN上信息的安全传输。Extranet VPN主要实现将合作伙伴不同的用户子网构成虚拟的企业网络,该应用的功能最完善。
1.3 VPN的优点
VPN作为一种新的网络技术,与传统的通过电话线远程拨号方式相比,具有以下优点。
1)使用VPN技术大大降低了构建网络的成本。
2)VPN构建的虚拟专用网使用基于IPSec标准的设备能够保证数据传输的安全性。同时,用户还可以通过设置防火墙、采用数据加密等已有的手段使数据传输的安全性进一步提高。
3)最常用的网络协议VPN都支持。
4)IP地址安全。
5)通过VPN技术来实现局域网的互联,简单、灵活、便于扩展[3]。
1.4 VPN技术在安阳气象网络中的主要应用
随着安阳市气象局气象业务的加强,气象信息化建设的发展,VPN虚拟专用网络技术在安阳气象网络中应用包括两个方面:一个是气象资料调取(例如安阳移动气象台、外部门例如航校Micaps资料共享),一个是气象远程管理,结合symantec公司的pcAnywhere远程控制软件实现。
2 Windows 2003 VPN服务器的配置及VPN用户的添加
2.1 配置VPN服务器
在Windows 2003管理工具中打开“路由和远程访问”,右键选择“配置并启用路由和远程访问”,下一步,选择VPN访问,下一步,“路由和远程服务已被安装,要开始服务吗”,选“是”,即启动了VPN服务。首先在该服务器上点击右键选择“属性”,选择“IP”标签,然后在“IP地址指派”中选择“静态地址池”进行配置。添加设置VPN局域网内的虚拟IP地址范围。
为了实现气象资料的远程共享,在VPN上定时运行着一个任务计划caiji.exe,实现所需的地面图、高空图等气象信息资料从CMACast数据处理服务器获取并供VPN客户端调取。
2.2 VPN用户添加
每个客户端都需要一个拨入并能够访问VPN服务器的账号,默认是Windows身份认证,所以要为每个VPN客户端设置一个用户,为了客户端之间能够相互访问,还应为每个用户制定一个固定的虚拟内网IP地址。添加VPN用户的步骤如下:管理工具计算机管理,从中添加用户,以添加“hangxiao”用户为例,新建好“hangxiao”用户,查看并设置该用户属性,通过“拨入”标签修改该用户的远程访问权限为“允许访问”。
3 安阳市移动气象台
为了应对突发性、局地的强对流天气过程和重大灾情,或者在非固定的地点现场开展一些特殊的公共气象服务,安阳市气象局利用移动气象台实现了对自动站的雨量、风速、气温等气象要素的采集[4],在重大气象服务过程中,安阳市移动气象台作为应急服务中心,预报专家能够及时掌控现场状况提高了预报预测的准确率。
安阳市移动气象台以计算机网络为核心,通过技术与预报专家相结合,在应急现场快速对周围的气象要素实况进行采集,还需要调取国家气象局、河南省气象局下发的卫星云图资料、多普勒雷达资料等,并利用移动气象台的通信网络系统和安阳市气象台预报专家进行视频会商。实况气象资料的快速收集以及卫星云图资料、雷达资料的快速调取与否对应急服务的决策准确率非常重要。很多移动气象台配有车载卫星天线,主要采用卫星链路实现数据通信,在气象应急服务中,人工对星实现卫星与天线的连接需要耗费较长时间,若通过VPN技术实现移动气象台和固定台站间的连接,可以满足气象应急服务要求的气象资料和声音、图像的传输要求[5],而且省去耗时较长的对星这一步骤,连接速度快,大大降低了连接费用。
4 VPN技术结合pcAnywhere实现远程管理
pcAnywhere是由美国symantec公司开发的一款远程控制软件,可以实现以下功能:1)屏幕监视;2)远程控制3)文件传输4)安全管理,配合VPN技术可以实现远程控制[6]。针对内网服务器远程控制难的问题,安阳市气象局分析部署了信息网络,在局域网内对关键服务器进行远程控制,并利用VPN技术通过Internet实现了对安阳气象内网的远程管理。
在局域网内远程管理内网服务器,将网管的计算机和需要远程管理的服务器均安装pcAnywhere软件(网管计算机配置成主控端,目标服务器配置成被控端),网管计算机即可通过pcAnywhere软件的远程管理功能管理目标服务器。
通过Internet实现对安阳气象内网的远程管理,利用VPN技术解决了外网访问内网难的问题,通过公网路由器建立虚拟专用网络VPN连接,实现了网络管理员在外网通过因特网Internet访问安阳气象局域网的服务器,然后利用远程控制软件pcAnywhere实现远程管理,有效提高了工作效率。
图1 利用VPN技术和pcAnywhere实现服务器远程管理
5 结论
VPN作为一门网络新技术,提供了一种通过因特网(Internet)安全地远程访问内部局域网的方式,通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动办公,在安阳移动气象台气象数据调取、与外部门(例如航校)Micaps资料共享以及结合pcAnywhere实现气象远程管理中得到了具体应用,是对现有网络的拓展和补充。
参考文献
[1]高海英,薛元星,辛阳.VPN技术[M].北京:机械工业出版社,2004:147.
[2]马奇蔚,吴孟春,周必高,等.气象网络VPN的组建方案和安全策略的讨论[J].计算机与网络,2006(7):53-55.
[3]杨达.VPN全攻略[J].网管员世界,2005(11):34-36.
vpn技术论文篇(4)
中图分类号:TM711 文献标识码:A
1 VPN简介
VPN (Virtual Private Network,即虚拟专用网络)指的是在公用网络上建立专用网络的技术。它是以公用网络为基础建立的一个稳定、临时、安全的信息连接通道。其之所以“虚拟”,是因为整个VPN网络的任意两个节点之间的连接是动态的,是架构在公共网络平台上,并没有传统专网所需的端到端的物理链路,用户的数据只是在逻辑链路中进行传输。“专用”则是指VPN是通过加密与识别两个组件来实现连接。加密通过变换信息实体,达到隐藏原有信息含义、保证信息安全的目的;识别则是对节点或者节点进行标识的过程,它在通过公共网络平台进行传输前就已经完成。
2 VPN 技术原理
VPN主要采用了隧道技术、加解密技术和认证技术。
2.1 隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载,封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。隧道由隧道协议形成,可分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP中,然后将整个数据包装入隧道协议中在隧道中传输,第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议将数据包直接封装到隧道协议中,形成的数据包通过第三层协议传输,第三层隧道协议有VTP、IPSec等。其中IPSec隧道协议得到了广泛的应用,IPSec有两种工作模式,运输模式和隧道模式。
运输模式(Transport):在该模式中,仅利用传输层数据来计算AH或ESP首部。AH或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。
隧道模式(Tunnel):在该模式中,利用整个IP数据包来计算AH或ESP首部,AH或ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通信。
2.2 加解密技术
VPN是在不安全的公用网络中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要,为了保证数据通信的机密性,VPN必须采用成熟的加解密技术来实现数据的安全传输。IPSec的ESP协议采用56位的DES算法实现加密传输,并使用ISAKMP密钥交换协商机制来完成加密和解密密钥的交换。
2.3 认证技术
认证技术防止数据的伪造和被篡改,它采用一种被称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文,即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。IPSec定义了两个协议,鉴别首部(AH)协议和封装安全有效载荷(ESP)协议,这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。①AH协议。AH协议被设计用来鉴别源主机,以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文摘要,并根据IPSec的运输方式插入到相应位置,AH可以实现数据的完整性、数据源的真实性,但不提供数据的保密传输功能。②ESP协议。ESP(封装安全有效载荷)协议提供报文鉴别、完整性和加密功能,ESP增加首部和尾部,并根据IPSec的工作模式插入到相应的位置。③ESP协议是在AH协议的基础上而设计的,ESP协议能完成AH所做的所有功能,但增加了加密机制。因此ESP协议与AH协议相比,ESP协议具有优越性。
3 VPN在企业网络中的应用
VPN在企业网络中的应用主要有以下三种形式:
3.1 企业内部虚拟网络(即Intranet VPN)
企业内部虚拟网络主要适用于处于异地的企业总部及子公司、分支机构的网络互联,传统的互联方式主要是通过租用网络运营商的专线进行连接,但是如果企业的分支机构不断增多,地理位置越来越广,则网络的结构将会越来越复杂,相关联网的费用也会不断增加。企业在内部虚拟网络建设的过程中,可以使用VPN技术,采用网关到网关的形式将企业总部及各子公司、分支机构通过Internet连接起来,从而实现企业内部虚拟网络的组建。企业可以利用VPN的加密、识别等特性,保证信息通过Internet,在企业内部虚拟网络内安全的传输。IPSec隧道协议可满足所有网关到网关的VPN连接,在Intranet VPN组网方式中使用得最多。
3.2 企业远程访问(即Access VPN)
远程访问是VPN应用最为广泛的一项技术,它提供了安全、可靠,但是价格低廉的远程用户接入企业内部网络的技术,采用客户端到网关的形式,通过Internet等公共互联网络的路由基础设施,以安全的方式对位于VPN服务器后面的企业内部网络进行访问。这一技术利用了公共基础设施与ISP,一旦与VPN服务系统进行连接,用户与VPN服务器之间就架设了一条穿越Internet的专用通道,虽然互联网具有开放性,安全系数较低等特点,但是因为VPN技术采用的是加密技术,这就保证了远程用户与VPN服务器之间连接的安全性和可靠性。
3.3 企业外部虚拟网络(即Extranet VPN)
企业外部虚拟网络是将企业与其客户、合作伙伴的网络互联构成Extranet,实现信息的共享,它既可以为企业客户与合作伙伴提供非常便捷、准确的信息服务,又可以提高企业内部网络的安全系数。企业外部虚拟网络由于是不同企业之间的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题,也属于网关到网关的连接方式,主要是使用专用的连接设备和VPN的IPSec协议将企业与客户、合作伙伴的内部网络进行连接。企业外部虚拟网络有着与专用网络相同的特性,包括了可靠性、安全等级、服务质量以及可管理性等。
结语
VPN技术是在公共网络上建立安全的专用网络,它是企业内部网络在公共网络上的延伸。VPN为用户提供了一个低成本、高效率、高安全性的互联服务,极大地加快了信息在企业内部不同区域间的流通,其在资源管理与配置、信息共享与交互、异地协同与移动办公等方面都具有很高的应用价值。随着信息技术的快速发展,VPN技术也必将更加完善,在未来的信息化建设中具有广阔的前景。
参考文献
vpn技术论文篇(5)
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
vpn技术论文篇(6)
一、实现数据远距离共享的意义
(一)实现数据远距离共享的前提
针对网络问题入手,通过数据的传输速度以及费用等方面进行分析,实现远距离数据共享。互联网功能适合实现数据的高效共享。还应该考虑的是计算机的硬件问题,目前的电力企业都具备高档次的计算机服务器用来合理营销数据,所以更具备实现远距离数据共享的有利条件。
(二)VPN技术
通过对VPN技术的采用,实现电力系统间的数据远距离共享。VPN技术全称虚拟私有网络,是通过互联网实现的一种高新技术,通过对网络数据的加密,传输私有数据,保证网络私有模式的安全,利用公网建立VPN传输系统。VPN在互联网上建立可私有的数据传输通道,并将远程工作地点和移动办公人员等联系起来,降低了远程访问的负担,节省电话费,同时也为数据安全提供了保障。VPN是通过虚拟的公共网络传输私人数据,所以其保密性和安全性必须完善,VPN技术主要从以下几个技术上体现出这一问题。
1、隧道
在VPN系统中采用隧道技术,通过对公共网络上传数据,进行数据传输分组,隧道能够把来自多个网络上的流量分开,通过隧道技术能使点与点通信协议代替交换连接。隧道技术允许授权的用户随时进行访问。通过隧道技术的引入,能够实现的功能:(1)把数据流量强制到特定位置;(2)隐藏私有网络地址;(3)通过公网传输非IP协议数据包;(4)保证数据的安全性。
2、安全性
采用VPN技术实现数据的远程共享功能,最重要的是保证系统的安全性。当下的安全策略是通过数据的人在和对数据的加密等方式。对于隧道数据传输的安全性,已经注定了一些安全协议。利用加密和数字签名的方式来确保数据的机密性安全性,对操作双方的身份进行检验。通常情况下对加密技术和隧道技术同时使用。
3、VPN成员管理
加强对VPN人员的管理,对用户的认证授权和计费管理以及IP地址的分配,应该建立独立的VPN通道,进行数据加密,设置用户访问权限等功能。严格检验用户的身份。
二、建立VPN实现数据远程共享
(一)配置VPN服务器
VPN服务器采用的是Windows 2000,通过路由和远程访问来配置运行Windows 2000的VPN服务器,连接用户同时监控远程访问通信。
(二)配置远程访问
通过对访问进行权限管理,对用户访问的管理模式需要使用VPN进行进行管理设置,将权限设置为“允许访问”。针对策略访问的管理,将设置为用户远程访问权限。
(三)实现远程数据共享
采用VPN服务器进行远程数据传输,通过对VPN服务器的访问权限设置,并将供电企业通过服务器连接起来,具有权限的用户可以通过互联网直接访问到服务器的资料,并且操作方便,有利于随时随地的查看数据信息,通过VPN的采用能够更好的实现高效的远程数据共享。
1、文件数据共享
文件数据的共享和点对点的数据共享大致相同,将共享的数据放入共享文件夹中,直接可以实现数据的共享,从而是授权的用户能够方便快捷的通过互联网访问数据信息。
2、用电数据共享
通过对VPN技术的应用,实现电力营销数据的共享,通过对网络计算机终端的管理操作,将授权用户VPN权限,在Delphi环境下构建用户界面层。在Delphi环境下,进入DCOM设置界面,设置VPN服务器的名称为ComputerName,完成设置后,将Connectec的属性改为True,并于数据服务层联系在一起。通过T ClientDataSet就可以很容易的共享所需的数据,实现数据的共享,方便随时查看。
通过采用VPN技术实现电力营销数据的远程共享,将各个供电公司的数据通过VPN进行有效连接,完成数据的高效传输和共享,同时提高了数据的安全性以及及时性。同时,在采用VPN技术时程序采用的是三层Client/Server结构,所以更有效地保证了数据的传输速度。
三、结束语
随着VPN技术的不断改进和完善,已经广受电力企业的关注。通过VPN技术对电力营销数据的共享,实现数据的实时传输与共享。采用VPN技术,可以对用户进行权限管理,更保证了数据传输过程中的安全性。由于VPN技术是通过互联网进行传输的,所以节省了大量的成本,同时也提高了数据的实时共享,通过对电力企业的数据传输系统各种采用VPN技术,改变了以往落后的传输方式,打破了数据传输速度慢、传输费用大以及传输安全性低等缺点,更有效的保证了电力企业的安全运行,促进了电力企业的发展。随着互联网的不断发展,网络的传输速度也会越来越快,VPN的传输性能也将越来越高,VPN的应用将为电力企业创造更大的利润。
参考文献
[1]安徽省电力局课题组.关于供电企业拓展电力市场的研究[J].安徽电力职工大学.2008(04).
[2]李宁,,冯启源.基于多Agent的电力营销决策支持系统的研究[C].2005年全国开放式分布与并行计算学术会议论文集,2005年.
vpn技术论文篇(7)
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
vpn技术论文篇(8)
[中图分类号]F626.5 [文献标识码]A [文章编号]1009-5349(2012)02-0111-01
随着以Internet为标志的信息技术革命的飞速发展,网络正在迅速地渗入人们的生活中,依靠互联网络人们的生活越来越便捷,沟通越来越紧密。伴随着internet应用在商务活动中的不断深入,越来越多的企业希望其生意伙伴、供应商及附属企业等也能够访问本企业的局域网,从而使商务活动可以通过网络就能进行,大大节约了人力和物力,缩短了交易时间,减少了支出成本。但是这些企业间的商务活动是动态变化的,并需要依托于公用网络之上的,且由于公用网络是一个全球性的计算机通信网络,它具有资源共享和信息互通的特性,而一些用户间的互通和交流又是想要对其他用户进行保密的,于是网络的安全性逐渐成为一个潜在的巨大问题,这就需要有一种技术来解决这些问题,保证这些有保密需要的企业能顺利地进行信息交流,并保证企业信息的安全性。
基于各种需求,VPN技术应时而生。VPN(Virtual Private Network),即“虚拟专用网络”,简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路,VPN是指依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。
一、VPN原理
VPN即在公用数据网上建立一条数据通道,这条数据通道就是隧道,隧道技术是VPN得以实现的关键技术,数据包从这条隧道上通过,从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络,它们之间的通信内容进行封装后经过这条专用的隧道进行传输,然后在接收方进行解封装,还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据,因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议,即私有网络和公用网络之间是不兼容的,VPN是一种逻辑意义上的网络。
二、VPN的安全保障
由于VPN越来越广泛的应用和其技术特点,数据的安全问题成为VPN技术的关键问题。为保证数据的安全性,目前VPN主要采用四项技术:1.隧道技术(Tunneling)。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装,它将私有网的数据进行封装并在隧道中进行传输,隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式,在虚拟网结点与公网的接口处将数据解封装,得到数据。隧道由一系列隧道协议组成,定义了较为完整的数据封装和安全协议及其算法。2.加解密技术(Encryption & Decryption)。发送的一方将数据进行特定加密后再发送数据,当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术(Key Management)。为了满足在公用数据网上所传送的数据的安全性和完整性的需要,密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术(Authentication)。最常用的是用户名、口令或智能卡认证等方式。
三、VPN特点
1.低廉的成本。由于VPN是利用现有的公共网络,不需要重新构建一个新的网络,只是在公共网络上建立一个虚拟的逻辑上的网络,因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较,VPN在设备的使用量及广域网络的频宽使用上,都很节省,企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活,VPN的构架可以根据用户的需要进行修改,可以随意增加新的节点,具有良好的扩展性,无论是企业的专线用户,还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性,VPN架构中采用了多种安全机制,如隧道技术、加解密技术、身份认证技术、防火墙等技术,通过这些网络安全技术,确保通过VPN上传送的数据不会被攻击者窥视和篡改,防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;各种类型的用户,都通过VPN的隧道进入内部网,可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件,无论何时何地,在有公用网络的前提下,只需在电脑中添加一个网络连接,即可与服务器瞬时连接,远程进行操作。
vpn技术论文篇(9)
1 MPLS技术原理及体系结构分析
1.1 MPLS技术原理分析
从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。 1.2 MPLS体系结构分析
MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。
通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。
2 MPLS VPN技术在校园网中的规划设计及应用
2.1 MPLS VPN技术在校园网中的规划设计分析
通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。
2.2 MPLS VPN技术在校园网中的实际应用
通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。
另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。
vpn技术论文篇(10)
摘要:虚拟专用网(VPN)是利用公共网络构建私有专用网络的技术,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的虚拟专用网络。无论是企业还是高校都希望能够构建一种网络,既确保安全,又便于维护。VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定的通讯隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。本文结合几种VPN技术设计了一种内部网络的构建方案,既保证了协议之间的兼容,又实现了安全传输。
关键词:VPN技术;MPLS VPN;SSL;IPSec;VOIP VPN;基于VPN的安全多播
0引言
随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。
近年来,宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展,反过来,VPN的应用又促进宽带内容的不断丰富。
在国外网络通信发达的围家,VPN应用已经非常普及。国外的VPN技术发展较快,基于标准的虚拟专用网技术近年来己成为网络界的新热点,这是因为它有着无可比拟的优势:通过整合几种数据保护的方式,使用户可以在开放的Internet上轻松地交换私有数据,而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低,更重要的是将服务质量也带给了用户。
我国的IP网络安全研究起步晚、投入少、研究力量分散,与技术先进国家有较大的差距,特别是在系统安全和安全协议方面。目前,国内市场对信息安全的需求日益强烈,尤其是颇具规模的客户对网络安全的需求越来越紧迫,因此,需要加大力度,研发方便、安全和适合自己的VPN解决方案。近两年来,一些大中型企业已建立VPN网络,一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术,开发实用的VPN软件产品,提高全方位的VPN技术服务。
1VPN技术简介
1.1 IPSec VPNIPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准,用于保护IP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理,提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务,具有较好的安全一致性、共享性及应用范围。这是因为,IP层可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。
1.1.1 IPSec VPN的优点①通用性好。IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被篡改;②整合性好。IPSec VPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性;③透明性。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置,即使在终端系统中执行IPSec,应用程序一类的上层软件也不会受到影响。
1.1.2 IPSec VPN的缺点①IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;② IPSec VPN的连接性会受到网络地址转换的影响,或受网关设备的影响;③IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置比较复杂。
1.2 SSL VPNSSL协议的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议,SSL使用公开密钥体制和数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。
SSL VPN作为一种新的VPN技术,相对于传统的IPSec VPN等有其自身的技术特点。
1.2.1 SSL VPN的主要优点:① 客户端支撑维护简单;② 良好的安全性;③ 提供更细粒度的访问控制;④ 能够穿越NAT和防火墙设备;⑤ 能够较好地抵御外部系统和病毒攻击;⑥ 网络部署灵活方便;⑦ 适用大多数设备。
1.2.2 SSL VPN的主要缺点:① 安全认证方式比较单一,只能够使用证书方式,而且一般是单向认证;② SSL VPN应用受到限制。一般都用于B/S模式,用户只能访问基于Web服务器的应用;③ SSL VPN是应用层加密,性能相对来说可能会受到较大影响。
1.3 MPLS VPNMPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度,而且,MPLS可以运行在任何链接层技术之上。
MPLS VPN网络主要由CE(CustomEdgeRouter,用户网络边缘路由器)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)等3部分组成:CE设备直接与服务提供商网络相连,它“感知”不到VPN的存在;PE设备与用户的CE直接相连,负责VPN业务接入,处理VPN-Ipv6路由,是MPLS三层VPN的主要实现者;P负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
MPLS VPN构建在专用网络上,能够保证很好的服务质量,而且价格与传统专线在同一水平。IPSec/SSL VPN承载在公众互联网上,成本相对比较低,但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。
1.4 内部网VPN构建方案VPN系统的首要职责是保障安全,保障互联网数据传输安全的基本机制包括:身份认证、信息保密和信息完整。
内部网VPN的设计须遵循以下原则:①保障安全;②保证多平台兼容;③提供有效的访问控制;④有效的管理平台。
MPLS VPN主要解决的是固定站点间的互联问题,一般不借助Internet来实现,服务质量和安全性的保障比较方便,适用于中大型客户的组网;而IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术,我们发现,作为SSL VPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问,使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护,因此应该提供一定的访问控制策略,让不同的用户有不同的访问权限。而SSL VPN较之于IPSec VPN的一个优势就在于,SSL VPN能够提供更细粒度的访问控制管理,即针对具体应用程序实施访问控制策略。SSL VPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面,方便用户的使用。
虽然目前企业应用最广泛的是IPSec VPN,然而研究表明,在未来的几年中IPSec的市场份额将下降,而SSL VPN将逐渐上升。由于技术进步,用户更愿将应用外包给运营商来提供,或是自己选择部署成本低且应用方便的VPN。
综上所述,内部网的构建方案如下:①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPsec解决方案,而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。②对于内部网络中,安全要求较高的局域网选择部署MPLS VPN来支持Sites to Sites间且具有QoS等级的VPN连接;而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。③对于语音业务,可以利用VoIP技术使企业利用IP VPN来传送语音业务,允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器,通过使用服务类型字段对语音和视频流量作标记,将其显示为IPSec报头的一部分发向网络,使其享有更高的优先级,这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIP VPN使企业不必为语音和数据分别建立网络,大大节省了开销。④为更好得实现与IPSec协议的兼容,可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec协议的VPN系统的体系结构,来实现多播数据的安全传输,实现简单,结构灵活。
vpn技术论文篇(11)
引言
MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络,满足多种灵活的业务需求。采用此技术可以把现有的IP网络分解成逻辑上隔离的网络,提高网络安全性和可管理性;且基于MPLS VPN的QoS策略也为新兴业务提供了强有力保障。
1 MplsVpn的技术
MPLS是一种介于二层和三层之间的技术,它没有限定二层所必需使用的链路层协议,具有很好的网络适应性。MPLS包头包含20比特的标签,3个比特的EXP,1个比特的S,用于标识这个MPLS标签是否是最低层的标签,和8个比特的TTL-Time To Live。理论上标签可以多层嵌套。
如果2层协议具有标签域,标签封装在这些域中,反之,标签则封装在2层和IP层之间的一个薄层中。这样,标签可被任意的链路层所支持。MPLS可承载的报文通常是IP包,也可承载二层数据报文,可承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。在MPLS中,一个标签标识了一个转发等价类。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。
2 MplsVpn的实现原理
MPLS是一种面向连接的技术,网络整体由LSR和LSE组成。LSR是MPLS的网络的核心交换机,它提供标签交换和分发功能。LER部属在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、移除功能。MPLS通过MPLS信令或手工配置的方法,建立MPLS标记交换连接。在数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文后直接根据MPLS报头的标签进行转发,大大加快了包文转发速率。在MPLS标记交换路径的出口,弹出MPLS包头,还回原来的IP包。由于FEC可以按照目的地址划分,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型等等信息的任意组合。而MPLS可把任何流关联到一个FEC,然后把一个FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。
MPLS VPN有三种类型的路由器,P路由器、PE路由器和CE路由器。其中,P路由器是MPLS网络骨干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息; PE路由器是MPLS网络骨干边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER),它将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;CE路由器是客户端路由器,为用户提供到PE路由器的连接。
MPLS VPN可以分为BGP扩展和LDP扩展。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。同传统IP VPN不同,MPLS VPN是依靠转发表和数据包的标记来创建一个安全的VPN。其中以BGP扩展实现的三层VPN应用最为广泛。
3 Mpls/Vpn技术的应用方式和优势
MPLS VPN可分为企业内部虚拟网、企业扩展虚拟网、远程访问虚拟网。该技术特别适合改造企业网,它具有如下优势:
(1)以多种方式增强了网络的智能和安全性。
(2)简化了网络设计,以及所需的接口、用户认证等的设备和处理。
(3)降低了通信成本和主要设备成本。
(4)容易扩展。
(5)支持新兴应用,可以支持各种高级的应用和各种协。
综上所述,利用 MPLS VPN技术改造传统的企业网,为企业进一步发展提供了可靠的技术保障。
4 Mpls/BgpVpn在网络实现
在MPLS/BGP VPN的模型中,网络由MPLS的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。
在基于MP-BGP协议的MPLS VPN体系中,存在两个层面的路由,即域内路由和VPN路由。 所有的PE路由器及P路由器上要运行主干网的域内路由,生成的路由表将触发主干网中LSP的建立,通过CR-LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP-iBGP的一条VPN路由包含的信息有:IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址。
MPLS VPN IP路由表及相关的VPN IP转发表被统称为VPN路由和转发实例(VRF)。通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。VPN的成员关系是通过路由所携带的route target属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收或向外哪些Site来的路由信息。 每个PE根据BGP扩展的信息进行路由计算,生成每个相关VPN的路由表。
RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关, 可以用一个或多个RT。当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。通过RT的导入和导出,MPLS可灵活的实现多种拓扑结构和路由层面的VPN访问控制。
在MPLS/BGP VPN中,属于同一VPN的两个site之间转发报文,使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,这样,根据内层标签,就可以找到转发的接口。
5 结束语
MPLS VPN已其高安全性、高可靠性及低成本等优势的到了各行业的广泛应用;发展前景较为乐观,经过MPLS VPN技术的不断完善和发展,为用户提供更加满意的服务和更加丰富的业务,成为VPN技术的主流。
