欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!

vpn技术论文大全11篇

时间:2022-02-13 18:54:29

vpn技术论文

篇(1)

 

1.校园网问题分析及其解决方案的提出

虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。

近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。

为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。

2.VPN关键技术研究

⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。

⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。

3.基于VPN技术的多出口校园网的设计

3.1 网络结构规划

为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。

图1 网络拓扑图

3.2 网络工作原理

在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。

3.3 技术要点

⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。

⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。

⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。

⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。

4.结束语

多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。

参考文献

[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07

[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11

[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01

篇(2)

中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02

一、引言

随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。

二、VPN技术

VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。

(一)VPN接入技术的分类

目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。

1.L2TR/PPTP VPN

L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。

2.IPSec VPN

IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。

3.SSL VPN

SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。

(二)VPN的关键技术

VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。

1.隧道技术

隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。

2.加密技术

VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。

3.认证技术

VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。

(三)VPN的优点

VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:

1.成本低

传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;

2.可扩展性强

如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。

3.安全性强

VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。

三、VPN在分布式校园网络中应用

近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:

(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;

(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;

(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;

可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:

(一)校区互联

针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。

(二)移动办公

在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。

(三)校际交流

在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。

四、结论

针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。

参考文献:

[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198

篇(3)

中图分类号TP39 文献标识码 A 文章编号 1674-6708(2015)135-0069-02

近年来,随着Internet的快速发展,基于虚拟专用网络的VPN作为一种新的网络技术,可以远程访问,实现外部网和内部局域网的连接[1]。因为其安全性和成本低廉的优点,在各企事业单位的数据传输业务中得到了广泛的应用。通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动

办公。

1 VPN简介

1.1 VPN的定义

VPN(Virtual Private Network),中文全称虚拟专用网络,它是指采用特殊的加密通讯协议,为了实现临时、安全的远程连接在Internet公共网上建立的虚拟的、专用网络通道[2],主要依靠网络服务提供商(NSP)及Internet服务提供商(ISP)提供,并通过采用隧道、密钥管理、加密、身份认证等安全技术及手段来保证在公共网络上传输数据的安全性,为终端提供类似于私用网络的一种网络服务技术。

1.2 VPN的类型

VPN一般分为三种类型:1)远程访问虚拟网(Access VPN);2)内部虚拟网(Intranet VPN);3)扩展虚拟网(Intranet VPN),其中,Access VPN 主要用于个人远程访问局域网实现异地办公,Intrant VPN主要用于大中型企事业单位或者集团和其异地机构通过Internet建立的虚拟私有网络。利用因特网保证网络的互联性,同时利用VPN的隧道、加密等特性保证整个Internet VPN上信息的安全传输。Extranet VPN主要实现将合作伙伴不同的用户子网构成虚拟的企业网络,该应用的功能最完善。

1.3 VPN的优点

VPN作为一种新的网络技术,与传统的通过电话线远程拨号方式相比,具有以下优点。

1)使用VPN技术大大降低了构建网络的成本。

2)VPN构建的虚拟专用网使用基于IPSec标准的设备能够保证数据传输的安全性。同时,用户还可以通过设置防火墙、采用数据加密等已有的手段使数据传输的安全性进一步提高。

3)最常用的网络协议VPN都支持。

4)IP地址安全。

5)通过VPN技术来实现局域网的互联,简单、灵活、便于扩展[3]。

1.4 VPN技术在安阳气象网络中的主要应用

随着安阳市气象局气象业务的加强,气象信息化建设的发展,VPN虚拟专用网络技术在安阳气象网络中应用包括两个方面:一个是气象资料调取(例如安阳移动气象台、外部门例如航校Micaps资料共享),一个是气象远程管理,结合symantec公司的pcAnywhere远程控制软件实现。

2 Windows 2003 VPN服务器的配置及VPN用户的添加

2.1 配置VPN服务器

在Windows 2003管理工具中打开“路由和远程访问”,右键选择“配置并启用路由和远程访问”,下一步,选择VPN访问,下一步,“路由和远程服务已被安装,要开始服务吗”,选“是”,即启动了VPN服务。首先在该服务器上点击右键选择“属性”,选择“IP”标签,然后在“IP地址指派”中选择“静态地址池”进行配置。添加设置VPN局域网内的虚拟IP地址范围。

为了实现气象资料的远程共享,在VPN上定时运行着一个任务计划caiji.exe,实现所需的地面图、高空图等气象信息资料从CMACast数据处理服务器获取并供VPN客户端调取。

2.2 VPN用户添加

每个客户端都需要一个拨入并能够访问VPN服务器的账号,默认是Windows身份认证,所以要为每个VPN客户端设置一个用户,为了客户端之间能够相互访问,还应为每个用户制定一个固定的虚拟内网IP地址。添加VPN用户的步骤如下:管理工具计算机管理,从中添加用户,以添加“hangxiao”用户为例,新建好“hangxiao”用户,查看并设置该用户属性,通过“拨入”标签修改该用户的远程访问权限为“允许访问”。

3 安阳市移动气象台

为了应对突发性、局地的强对流天气过程和重大灾情,或者在非固定的地点现场开展一些特殊的公共气象服务,安阳市气象局利用移动气象台实现了对自动站的雨量、风速、气温等气象要素的采集[4],在重大气象服务过程中,安阳市移动气象台作为应急服务中心,预报专家能够及时掌控现场状况提高了预报预测的准确率。

安阳市移动气象台以计算机网络为核心,通过技术与预报专家相结合,在应急现场快速对周围的气象要素实况进行采集,还需要调取国家气象局、河南省气象局下发的卫星云图资料、多普勒雷达资料等,并利用移动气象台的通信网络系统和安阳市气象台预报专家进行视频会商。实况气象资料的快速收集以及卫星云图资料、雷达资料的快速调取与否对应急服务的决策准确率非常重要。很多移动气象台配有车载卫星天线,主要采用卫星链路实现数据通信,在气象应急服务中,人工对星实现卫星与天线的连接需要耗费较长时间,若通过VPN技术实现移动气象台和固定台站间的连接,可以满足气象应急服务要求的气象资料和声音、图像的传输要求[5],而且省去耗时较长的对星这一步骤,连接速度快,大大降低了连接费用。

4 VPN技术结合pcAnywhere实现远程管理

pcAnywhere是由美国symantec公司开发的一款远程控制软件,可以实现以下功能:1)屏幕监视;2)远程控制3)文件传输4)安全管理,配合VPN技术可以实现远程控制[6]。针对内网服务器远程控制难的问题,安阳市气象局分析部署了信息网络,在局域网内对关键服务器进行远程控制,并利用VPN技术通过Internet实现了对安阳气象内网的远程管理。

在局域网内远程管理内网服务器,将网管的计算机和需要远程管理的服务器均安装pcAnywhere软件(网管计算机配置成主控端,目标服务器配置成被控端),网管计算机即可通过pcAnywhere软件的远程管理功能管理目标服务器。

通过Internet实现对安阳气象内网的远程管理,利用VPN技术解决了外网访问内网难的问题,通过公网路由器建立虚拟专用网络VPN连接,实现了网络管理员在外网通过因特网Internet访问安阳气象局域网的服务器,然后利用远程控制软件pcAnywhere实现远程管理,有效提高了工作效率。

图1 利用VPN技术和pcAnywhere实现服务器远程管理

5 结论

VPN作为一门网络新技术,提供了一种通过因特网(Internet)安全地远程访问内部局域网的方式,通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动办公,在安阳移动气象台气象数据调取、与外部门(例如航校)Micaps资料共享以及结合pcAnywhere实现气象远程管理中得到了具体应用,是对现有网络的拓展和补充。

参考文献

[1]高海英,薛元星,辛阳.VPN技术[M].北京:机械工业出版社,2004:147.

[2]马奇蔚,吴孟春,周必高,等.气象网络VPN的组建方案和安全策略的讨论[J].计算机与网络,2006(7):53-55.

[3]杨达.VPN全攻略[J].网管员世界,2005(11):34-36.

篇(4)

中图分类号 G2 文献标识码 A 文章编号 1674-6708(2017)189-0031-01

随着广播电视网络的日益发展,网络内部多业务多系统并存的现象越来越普遍,单纯运用传统路由器很难完成局域网中不同业务的完整隔离。LAN中业务隔离的传统办法有两种:应用VLAN隔离业务,将用户划分在一个独立的VLAN中或者应用CE设备隔离业务,为每个用户部署一个独立的CE路由器。这些业务应用在广电业务中有许多能通过VLAN隔离,一旦涉及到多业务应用就需要多CE路由器就会对广电网络来说大量资金投入,这些投入既需要大量金钱投入,又需求更多的网络管理工作和用户站点部署。如何把钱花在刀刃上成为一个让人头疼的问题,既要减少设备投入,又要业务安全隔离互补干扰。在这里笔者给大家介绍一下VPN-INSTANCE在广电承载网络中的应用与维护。

1 Vpn实例在广电网络中的作用

广电网络近几年发展迅猛,接入网设备从WiFi、cmts、pon、eoc或者ipqam等设备五花八门,终端设备有pc、pad、stb等业务类型复杂多样。相对应的核心网络在对前端接入设备只是分配ipv4的地址,完成设备的互联互通。当核心网络发展到一定程度负责维护网络的人员就会发现,在核心网络层上各个ipv4的地址都是在同一个动态地址路由转发表里面,或ospf、或静态路由插入。假设说一个用户从上网终端设备获取到dhcp分配的ipv4地址后,不用pppoe拨号就能ping通自己机顶盒ipv4地址,或者其他人获得的ipv4终端地址。其互联互通的特性必将导致安全方面的问题,如果发生病毒、入侵等安全事件,广电网络就会完全暴露在攻击中。笔者认为广电网络中的用户所使用的大量应用会存在某些不稳定的因素,与其要求客户端的安全,不如在核心设备一侧将业务隔离。

2 Vpn实例极简配置与技术细节

Vpn-instance(vpn实例:俗称虚拟化技术中的一虚多技术穷人版)在bgp\Mpls vpn中,不同的vpn之间路由隔离经过vpn-instance完成。Pe(汇聚层设备)为每个直接的站点树立并维护独立的vpn-instance。Vpn-instance包含独立的路由表和D发表。使用vpn-instance可以在一台路由器上虚拟出多立逻辑的路由器,从而实现广电网络IP三层网络路由隔离。这一功能可以在广电网络环境中得到应用,将不同的业务分配到不同的vpn-instance中直到外网防火墙、bars等终结地址设备。完成从业务终端到核心一整条链路的业务二、三层隔离。

#

ip vpn-instance ipvpn (生成vpn-instance实例)

ipv4-family (生成采用ipv4)

route-distinguisher xxxx:xxx (生成路由标识符)

vpn-target xxxx:xxx export-extcommunity (vpn实例输出标签)

vpn-target xxxx:xxx import-extcommunity (vpn实例输入标签)

#

interface Vlanif xxxx (三层VLAN接口xxxx)

ip binding vpn-instance ipvpn (绑定vpn实例)

ip address xxx.xxx.xxx.xxx 255.255.255.252

ospf xxx vpn-instance ipvpn (vpn实例中ospf)

import-route static (允许静态地址插入)

area 0.0.0.0

network xxx.xxx.xxx.xxx xxx.xxx.xxx.0

network xxx.xxx.xxx.xxx 255.255.255.252

ip route-static vpn-instance ipvpn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

(vpn实例中静态路由)

3 Vpn-instance案例

正常情况下数据互不干扰,各自运行。

发生网络攻击时候的数据走向:

图1

由于dhcp分配的地址所属各自业务都在同一张ospf网络内,理论上都是互联互通的,黑客攻击可以通过ddos、arp等方式攻击网络。如图所示:area102许多用户获取不到正确的IP地址,area100网络arp攻击访问不了出口网络。由于网络的联通性,很难查找到攻击源在哪里,只能通过故障现象发现某一区域有用户故障,从而导致业务处理时间延长。

运行vpn-instance后每台逻辑上的路由器都具有自己的路由表与转发表,完成不同vpn-instance间的IP地址通信。绑定在vpn-instance下的端口转发与其一致的报文的对端设备通信,当发生不同接口报文接错时,则该路径被视为故障链路。笔者还认为vpn-instance虚拟化技术能将一台物理路由器虚拟成多台逻辑路由器,从而减少设备数量,简化网络管理,减少运维人员成本。

4 结论

虽然vpn-instance能实现虚拟化技术,网络三层隔离。但并不是所有的设备都支持该功能。并且一个ospf进程只能属于一个vpn-instance,一个vpn-instance下可以存在多个ospf进程,但在多ospf进程下会导致动态路由环路的情况

发生。

篇(5)

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0012-02

随着计算机网络的快速发展,使得计算机网络逐渐进入人们的实际工作中,并有效提高工作效率与工作质量,强化了计算机技术水平和技术含量。就现有计算机网络来看,各项计算机技术的运用都存在极强的针对性,在各自的领域中发挥着巨大的作用,促进了行业发展的现代化和技术化。 VPN技术是计算机网络技术发展后的成果,主要依托于ISP技术与NSP技术,通过虚拟专用网络建立通信专门线路,实现信息数据的及时交换和共享。因此,VPN技术可以有效提高数据信息的准确性和安全性,保证计算机网络系统的高效运行。

1 VPN技术综合概述分析

1.1 VPN技术运行原理

就目前而言,VPN技术在实际运行中,主要利用双网卡结构,外网卡通过公网IP连接Internet。若公网终端A访问公司内网终端B,其访问数据地址为公司内网终端B的IP地址。公网VPN网关接收终端A访问数据包后,会对终端A的目标地址进行程序检查,若目标地址为公司内网地址,公网VPN网关会对该数据包采取封装处理,封装的方式由VPN技术而决定。同时,VPN网关也会建立新VPN网关数据包,封装后的数据包直接转化成新VPN数据包的载荷,VPN数据包的目标地址就是公司内网VPN网关外部地址。因此,在VPN网关进行数据处理的过程中,原始数据包目标地址与远程VPN网关地址起着至关重要的作用,在VPN地址的基础上,VPN网关可以明确需要进行VPN处理的信息数据,识别不需要VPN处理的数据包,并将其直接上传到上级路由中。远程VPN网关地址主要是对特定VPN数据包地址进行统一处理,也就是VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

1.2 VPN技术通信过程分析

在VPN技术的实际使用中,首先,网络用户要利用个人终端向区域内的 VPN 技术服务器进行访问请求的发送,建立传输通道。VPN 服务器会及时接受个人终端发来的访问请求,并对个人终端的身份进行有效验证。其次,若个人终端身份通过访问认证,访问权限被允许,可以进行网页的访问;若个人终端身份没有通过访问认证,则访问受限制,要进行重新访问。在访问允许后,计算机网会形成VPN虚拟化技术,使得网络线路更具安全性和针对性。最后,用户终端和网络服务器建立有效的访问联系后,所有的传输数据在实际使用和运行过程中会进行加密与封装处理,通过 VPN 网关技术隧道,将数据从发送端传输到VPN接收端。

1.3 VPN技术的优势

VPN技术在实际应用中具有很大的优势,主要表现在以下几方面,第一,VPN技术易操作,使用流程相对简单,并具有很高的经济性,运行成本相比于传统租用DDN方式来说较低,后期维护费用也相对较低,这也是VPN技术被广泛使用的重要原因之一。第二,VPN技术具有极强的高效性与便利性,在实际使用的过程中,通过专用网络的连接,根据复杂性的网络结构与传输访问地址,构建多样性与丰富性的通信线路,进而实现信息数据的快速传输。第三,VPN技术可以有效保证传输数据信息的真实性与可靠性,并在实际传输中通过高强度的认证系统和加密系统,保证了数据信息的安全性,防止出现信息数据泄漏等安全问题,为网络用户的隐私提供了重要的安全保障。

2 计算机网络中VPN技术分析

2.1 MPLS VPN技术

MPLS VPN主要是建立在MPLS技术基础之上的IP VPN,主要是在网络路由或者是交换器设备上通过MPLS多协议标记交换技术来优化核心路由器的选择方式,充分结合传统路由交换技术实现IP专用网络的虚拟化。MPLS VPN技术的最大特点在于在实际应用过程中,可以将网关二层交换与三层路由技术充分的结合在一起,进而共同作用实现VPN和服务分类以及流量工程等方面的管理。从另一方面上看,MPLS VPN 技术可以在数据访问与传输中,迅速建立 IP 虚拟专用网络,加快网页访问以及数据传输的速度与效率,简化路由器的选择方式,避免虚拟专用网络运行中的冲突,用户提供更好的网络服务。

2.2 IPSEC VPN 技术

IPSEC VPN 技术主要是建立在IPSEC协议基础上的VPN技术,IPSEC协议是一种由IETF设计、确保基于IP通讯数据安全性的机制,可以为VPN通信传输提供隧道安全保证。在IPSEC VPN 技术的实际应用中,通过VPN网关的远程连接,将多个局域网进行有效的组建与分析,进而构建一个新的虚拟局域网络。同时,通过IPSEC VPN 技术构建的虚拟局域网具有极强的稳定性和有效性。IPSEC VPN技术的实现原理与计算机过滤防火墙相似,在实际操作中,网络服务器接收数据包后,会按照安全策略在数据库中进行数据包的查询处理,将查询处理结果列为操作依据。在局域网特定范围内,IPSEC VPN 技术的数据传输和处理能力,具有加密机制,进而强化认证手段。针对外部站点,在进行虚拟局域网访问中,会进行信息过滤,全方位确认数据的质量。因此,PSEC VPN技术的广泛使用,无论是在经济效益还是在社会效益方面,都具有很大优势,获得广大用户的高度重视。

2.3 SSL VPN技术

SSL VPN技术主要依托于HTTPS,应用在传输层与应用层间的数据传输、交换以及共享。SSL VPN通过SSL协议设置生局域网访问权限,建立身份认证和数据加密以及消息完整性验证等安全访问机制,在应用层于传输层间建立一条安全的通信渠道。在实际应用过程中,SSL VPN技术存在Web 浏览器、SSL VPN 客户端和 LAN 到 LAN 等工作模式,在Web 浏览器工作模式中,用户可以通过SSL 协议构建虚拟专用网络,对公司内部网关进行远程访问,可以完全忽略网络配置对远程访问的影响,进而有效减少VPN 系统运行时间和工作量,提高VPN管理效率。在SSL VPN 客户端工作模式中,可以利用 SSL 协议客户端实现远程应用服务器的访问,在此过程中客户端和服务器中的加密数据主要靠隧道数据进行传输,进而提高数据传输的稳定性与安全性。LAN 到 LAN 工作模式主要适用于不同局域网络的数据传输,实现各个局域网之间的通信传输,并设置加密处理,提高数据包的可靠性。目前,SSL VPN广泛应用在基于Web远程接入领域中,为用户远程访问公司内部网络提供了安全保证。

3 计算机网络中VPN技术的实际应用

3.1 在公司内部网络中的应用

VPN技术在公司内部网络中的应用主要体现在地址管理中,为用户提供安全性高的网络地址。例如,某集团有大约30个分公司,分布在全国各地,为了便于各个分公司与总公司交流沟通,保证工作效率和工作质量,集团企业可以通过VPN技术进行计算机网络沟通。首先,集团企业要和旗下分公司建立VPN网络联系,利用加密处理的VPN共网实现集团企业服务器与子公司服务器的访问。在服务器系统中设置视频会议、邮件以及办公自动化系统,实现网络联系的多元化,满足实际的工作需求。

在VPN技术实际运行的过程中,集团企业可以根据子公司网络用户的属性以及运营规模将其分为以下几个方面。第一,移动用户。规模较小分公司或者是利用网络连接集团企业单机,在进行VPN技术使用中要设置Client软件,将用户所在局域网络与VPN虚拟技术联系在一起,依托SplitTunneling安全机制有效保障核心网关的使用安全。另一方面看,这种传输方式可以让远程办公室网关将VPN作为传输载体进行集团企业内网的访问。第二,子公司用户所在局域网不具备地址转换器以及防火墙功能,并占用集团企业共网地址。对于这样的子公司,集团企业要在子公司的以太网中设置网关交换器与路由器进行与子公司网络的连接。第三,对于需要安装防火墙的子公司,一方面,集团企业可以利用VPN技术进一步完善企业网络设计,减少不必要的安装程序,建立VPN网络通信系统,使子公司的公司活动与销售情况始终处于集团企业网络监控中,降低通信成本。另一方面,为了保证网络通信的安全性,集团企业可以通过VPN技术提高网络通信的安全性,在企业内部网关中设置VPN机密机制,保证内外网的安全性。同时,还要进行VPN软件的扩展,为子公司的增加做好充分的准备。

综上所述,集团企业通过VPN技术与子公司进行沟通的过程中,形成VPN通信网络通道,不仅节省了大量的通信费用,其建设投资与后期维护费用也相对较低。在远程访问中要做好安全防护措施,安装安全认证机制,强化生产管理监督、视频会议以及异地协同办公等具体功能,促进集团企业管理的现代化和信息化以及系统化,满足集团企业的发展需求。

3.2 在图书馆管理中的应用

目前,VPN技术已经广泛地应用在高校图书馆计算机网络管理系统中,有效提高高校图书馆管理效率和管理质量,实现现代化管理模式。随着学校规模的扩大,增加了分校的数量,学校可以引入VPN技术实现各个学校之间的联系与沟通,各个学校图书馆局域网可以互相访问,节省了大量的访问时间,实现各个分校图书馆资源的共享,进而提高了高校图书馆管理效率。在实际的使用过程中,图书馆VPN服务器不仅要连接互联网,还要连接到高校内部VPN专网,通过公共目标地址,在分校与总校进行网络通信过程中,要将相关数据信息上传到本地计算机中,并通过身份认证和数据加密以及隧道协议等VPN技术安全机制提高信息传输的有效性和安全性。在计算机发出指令后,VPN服务器要对计算机指令进行分析与判断,过滤信息数据,验证用户身份,若安全,访问用户才会有局域网访问权限,服务器认可网络连接,反之则阻止用户访问。在实际身份验证中,VPN服务器会通过公钥进行访问信息的加密,路由将数据信息传送到目标地址。

3.3 VPN 技术在计算机教学资源网中的应用

VPN技术应用在计算机教学资源网中,可以丰富教学资源,利用校园内外网关的连接访问,使得教育信息网络连接公网internet ,在此过程中,校园外网很容易受到其他网络攻击,传统网络无法进行教育资源的加密,在用户身份安全和教学资源安全方面都存在较大的漏洞,不利于计算机教学资源网的应用与发展。针对以上安全问题,VPN技术的实际应用很好地解决了信息传输以及用户身份的安全问题,有效提高网络使用的安全性和有效性。在VPN技术中,SSL是一个相对于平台与应用的独立协议,主要应用在安全层中,利用 TCP技术保障访问用户的个人信息。因此,在构建校园计算机教学资源网中,要重视VPN网络工程设计,特别是用户身份认证以及访问权限,利用SSL VPN 技术构建VPN公网,加强数字证书技术的用户身份认证控制,通过USB-key 实现教学资源的安全操作,进而对校园计算机教学资源网进行不断的优化和完善,满足学校的教学需求。

4 结束语

综上所述,VPN技术日益发展成熟,在进行数据传输和共享中可以有效提高网络环境的稳定性和安全性,为数据信息的真实与完整提供了重要的安全保障,实现现代化与信息化管理水平。

参考文献:

[1] 李春泉, 周德俭, 吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报, 2004(3).

[2] 李亚利. 关于计算机网络中常用VPN技术的分析[J]. 信息与电脑(理论版), 2014(10).

[3] 许伟, 娄松涛. VPN 技术在计算机网络中的应用研究[J]. 电子技术与软件工程, 2014(4).

[4] 刘晋州. 基于VPN的计算机虚拟网络技术及应用[J]. 电脑知识与技术, 2016(7).

篇(6)

一、实现数据远距离共享的意义

(一)实现数据远距离共享的前提

针对网络问题入手,通过数据的传输速度以及费用等方面进行分析,实现远距离数据共享。互联网功能适合实现数据的高效共享。还应该考虑的是计算机的硬件问题,目前的电力企业都具备高档次的计算机服务器用来合理营销数据,所以更具备实现远距离数据共享的有利条件。

(二)VPN技术

通过对VPN技术的采用,实现电力系统间的数据远距离共享。VPN技术全称虚拟私有网络,是通过互联网实现的一种高新技术,通过对网络数据的加密,传输私有数据,保证网络私有模式的安全,利用公网建立VPN传输系统。VPN在互联网上建立可私有的数据传输通道,并将远程工作地点和移动办公人员等联系起来,降低了远程访问的负担,节省电话费,同时也为数据安全提供了保障。VPN是通过虚拟的公共网络传输私人数据,所以其保密性和安全性必须完善,VPN技术主要从以下几个技术上体现出这一问题。

1、隧道

在VPN系统中采用隧道技术,通过对公共网络上传数据,进行数据传输分组,隧道能够把来自多个网络上的流量分开,通过隧道技术能使点与点通信协议代替交换连接。隧道技术允许授权的用户随时进行访问。通过隧道技术的引入,能够实现的功能:(1)把数据流量强制到特定位置;(2)隐藏私有网络地址;(3)通过公网传输非IP协议数据包;(4)保证数据的安全性。

2、安全性

采用VPN技术实现数据的远程共享功能,最重要的是保证系统的安全性。当下的安全策略是通过数据的人在和对数据的加密等方式。对于隧道数据传输的安全性,已经注定了一些安全协议。利用加密和数字签名的方式来确保数据的机密性安全性,对操作双方的身份进行检验。通常情况下对加密技术和隧道技术同时使用。

3、VPN成员管理

加强对VPN人员的管理,对用户的认证授权和计费管理以及IP地址的分配,应该建立独立的VPN通道,进行数据加密,设置用户访问权限等功能。严格检验用户的身份。

二、建立VPN实现数据远程共享

(一)配置VPN服务器

VPN服务器采用的是Windows 2000,通过路由和远程访问来配置运行Windows 2000的VPN服务器,连接用户同时监控远程访问通信。

(二)配置远程访问

通过对访问进行权限管理,对用户访问的管理模式需要使用VPN进行进行管理设置,将权限设置为“允许访问”。针对策略访问的管理,将设置为用户远程访问权限。

(三)实现远程数据共享

采用VPN服务器进行远程数据传输,通过对VPN服务器的访问权限设置,并将供电企业通过服务器连接起来,具有权限的用户可以通过互联网直接访问到服务器的资料,并且操作方便,有利于随时随地的查看数据信息,通过VPN的采用能够更好的实现高效的远程数据共享。

1、文件数据共享

文件数据的共享和点对点的数据共享大致相同,将共享的数据放入共享文件夹中,直接可以实现数据的共享,从而是授权的用户能够方便快捷的通过互联网访问数据信息。

2、用电数据共享

通过对VPN技术的应用,实现电力营销数据的共享,通过对网络计算机终端的管理操作,将授权用户VPN权限,在Delphi环境下构建用户界面层。在Delphi环境下,进入DCOM设置界面,设置VPN服务器的名称为ComputerName,完成设置后,将Connectec的属性改为True,并于数据服务层联系在一起。通过T ClientDataSet就可以很容易的共享所需的数据,实现数据的共享,方便随时查看。

通过采用VPN技术实现电力营销数据的远程共享,将各个供电公司的数据通过VPN进行有效连接,完成数据的高效传输和共享,同时提高了数据的安全性以及及时性。同时,在采用VPN技术时程序采用的是三层Client/Server结构,所以更有效地保证了数据的传输速度。

三、结束语

随着VPN技术的不断改进和完善,已经广受电力企业的关注。通过VPN技术对电力营销数据的共享,实现数据的实时传输与共享。采用VPN技术,可以对用户进行权限管理,更保证了数据传输过程中的安全性。由于VPN技术是通过互联网进行传输的,所以节省了大量的成本,同时也提高了数据的实时共享,通过对电力企业的数据传输系统各种采用VPN技术,改变了以往落后的传输方式,打破了数据传输速度慢、传输费用大以及传输安全性低等缺点,更有效的保证了电力企业的安全运行,促进了电力企业的发展。随着互联网的不断发展,网络的传输速度也会越来越快,VPN的传输性能也将越来越高,VPN的应用将为电力企业创造更大的利润。

参考文献

[1]安徽省电力局课题组.关于供电企业拓展电力市场的研究[J].安徽电力职工大学.2008(04).

[2]李宁,,冯启源.基于多Agent的电力营销决策支持系统的研究[C].2005年全国开放式分布与并行计算学术会议论文集,2005年.

篇(7)

 

一、VPN服务及其应用

VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。

如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。

二、VPN管理

VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。

通过VPN管理系统,可以实现以下目的:

1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。

2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。

3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。

4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。

三、VPN管理技术

1、第二层通道协议

第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。

L2TP提高了VPN的管理性,表现在以下方面:

(1)安全的身份验证

L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。

(2)内部地址分配

用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。

(3)网络计费

L2TP能够进行用户接口处的数据流量统计,方便计费。

(4)统一网络管理

L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。

2、IKE协议

IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。

在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。

IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。

3、配置管理

可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。

(1)WEB方式的管理

利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。

(2)分级统一管理

如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。

4、IPSec策略

IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。

IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。

利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。

参考文献:

[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11

[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123

篇(8)

[中图分类号]F626.5 [文献标识码]A [文章编号]1009-5349(2012)02-0111-01

随着以Internet为标志的信息技术革命的飞速发展,网络正在迅速地渗入人们的生活中,依靠互联网络人们的生活越来越便捷,沟通越来越紧密。伴随着internet应用在商务活动中的不断深入,越来越多的企业希望其生意伙伴、供应商及附属企业等也能够访问本企业的局域网,从而使商务活动可以通过网络就能进行,大大节约了人力和物力,缩短了交易时间,减少了支出成本。但是这些企业间的商务活动是动态变化的,并需要依托于公用网络之上的,且由于公用网络是一个全球性的计算机通信网络,它具有资源共享和信息互通的特性,而一些用户间的互通和交流又是想要对其他用户进行保密的,于是网络的安全性逐渐成为一个潜在的巨大问题,这就需要有一种技术来解决这些问题,保证这些有保密需要的企业能顺利地进行信息交流,并保证企业信息的安全性。

基于各种需求,VPN技术应时而生。VPN(Virtual Private Network),即“虚拟专用网络”,简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路,VPN是指依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。

一、VPN原理

VPN即在公用数据网上建立一条数据通道,这条数据通道就是隧道,隧道技术是VPN得以实现的关键技术,数据包从这条隧道上通过,从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络,它们之间的通信内容进行封装后经过这条专用的隧道进行传输,然后在接收方进行解封装,还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据,因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议,即私有网络和公用网络之间是不兼容的,VPN是一种逻辑意义上的网络。

二、VPN的安全保障

由于VPN越来越广泛的应用和其技术特点,数据的安全问题成为VPN技术的关键问题。为保证数据的安全性,目前VPN主要采用四项技术:1.隧道技术(Tunneling)。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装,它将私有网的数据进行封装并在隧道中进行传输,隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式,在虚拟网结点与公网的接口处将数据解封装,得到数据。隧道由一系列隧道协议组成,定义了较为完整的数据封装和安全协议及其算法。2.加解密技术(Encryption & Decryption)。发送的一方将数据进行特定加密后再发送数据,当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术(Key Management)。为了满足在公用数据网上所传送的数据的安全性和完整性的需要,密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术(Authentication)。最常用的是用户名、口令或智能卡认证等方式。

三、VPN特点

1.低廉的成本。由于VPN是利用现有的公共网络,不需要重新构建一个新的网络,只是在公共网络上建立一个虚拟的逻辑上的网络,因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较,VPN在设备的使用量及广域网络的频宽使用上,都很节省,企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活,VPN的构架可以根据用户的需要进行修改,可以随意增加新的节点,具有良好的扩展性,无论是企业的专线用户,还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性,VPN架构中采用了多种安全机制,如隧道技术、加解密技术、身份认证技术、防火墙等技术,通过这些网络安全技术,确保通过VPN上传送的数据不会被攻击者窥视和篡改,防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;各种类型的用户,都通过VPN的隧道进入内部网,可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件,无论何时何地,在有公用网络的前提下,只需在电脑中添加一个网络连接,即可与服务器瞬时连接,远程进行操作。

篇(9)

1 MPLS技术原理及体系结构分析 

1.1 MPLS技术原理分析 

从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。        1.2 MPLS体系结构分析 

MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。 

通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。 

2 MPLS VPN技术在校园网中的规划设计及应用 

2.1 MPLS VPN技术在校园网中的规划设计分析 

通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。 

2.2 MPLS VPN技术在校园网中的实际应用 

通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。 

另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。 

篇(10)

摘要:虚拟专用网(VPN)是利用公共网络构建私有专用网络的技术,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的虚拟专用网络。无论是企业还是高校都希望能够构建一种网络,既确保安全,又便于维护。VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定的通讯隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。本文结合几种VPN技术设计了一种内部网络的构建方案,既保证了协议之间的兼容,又实现了安全传输。

关键词:VPN技术;MPLS VPN;SSL;IPSec;VOIP VPN;基于VPN的安全多播

0引言

随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。

近年来,宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展,反过来,VPN的应用又促进宽带内容的不断丰富。

在国外网络通信发达的围家,VPN应用已经非常普及。国外的VPN技术发展较快,基于标准的虚拟专用网技术近年来己成为网络界的新热点,这是因为它有着无可比拟的优势:通过整合几种数据保护的方式,使用户可以在开放的Internet上轻松地交换私有数据,而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低,更重要的是将服务质量也带给了用户。

我国的IP网络安全研究起步晚、投入少、研究力量分散,与技术先进国家有较大的差距,特别是在系统安全和安全协议方面。目前,国内市场对信息安全的需求日益强烈,尤其是颇具规模的客户对网络安全的需求越来越紧迫,因此,需要加大力度,研发方便、安全和适合自己的VPN解决方案。近两年来,一些大中型企业已建立VPN网络,一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术,开发实用的VPN软件产品,提高全方位的VPN技术服务。

1VPN技术简介

1.1 IPSec VPNIPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准,用于保护IP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理,提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务,具有较好的安全一致性、共享性及应用范围。这是因为,IP层可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。

1.1.1 IPSec VPN的优点①通用性好。IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被篡改;②整合性好。IPSec VPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性;③透明性。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置,即使在终端系统中执行IPSec,应用程序一类的上层软件也不会受到影响。

1.1.2 IPSec VPN的缺点①IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;② IPSec VPN的连接性会受到网络地址转换的影响,或受网关代理设备的影响;③IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置比较复杂。

1.2 SSL VPNSSL协议的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议,SSL使用公开密钥体制和数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。

SSL VPN作为一种新的VPN技术,相对于传统的IPSec VPN等有其自身的技术特点。

1.2.1 SSL VPN的主要优点:① 客户端支撑维护简单;② 良好的安全性;③ 提供更细粒度的访问控制;④ 能够穿越NAT和防火墙设备;⑤ 能够较好地抵御外部系统和病毒攻击;⑥ 网络部署灵活方便;⑦ 适用大多数设备。

1.2.2 SSL VPN的主要缺点:① 安全认证方式比较单一,只能够使用证书方式,而且一般是单向认证;② SSL VPN应用受到限制。一般都用于B/S模式,用户只能访问基于Web服务器的应用;③ SSL VPN是应用层加密,性能相对来说可能会受到较大影响。

1.3 MPLS VPNMPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度,而且,MPLS可以运行在任何链接层技术之上。

MPLS VPN网络主要由CE(CustomEdgeRouter,用户网络边缘路由器)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)等3部分组成:CE设备直接与服务提供商网络相连,它“感知”不到VPN的存在;PE设备与用户的CE直接相连,负责VPN业务接入,处理VPN-Ipv6路由,是MPLS三层VPN的主要实现者;P负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。

MPLS VPN构建在专用网络上,能够保证很好的服务质量,而且价格与传统专线在同一水平。IPSec/SSL VPN承载在公众互联网上,成本相对比较低,但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。

1.4 内部网VPN构建方案VPN系统的首要职责是保障安全,保障互联网数据传输安全的基本机制包括:身份认证、信息保密和信息完整。

内部网VPN的设计须遵循以下原则:①保障安全;②保证多平台兼容;③提供有效的访问控制;④有效的管理平台。

MPLS VPN主要解决的是固定站点间的互联问题,一般不借助Internet来实现,服务质量和安全性的保障比较方便,适用于中大型客户的组网;而IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术,我们发现,作为SSL VPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问,使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护,因此应该提供一定的访问控制策略,让不同的用户有不同的访问权限。而SSL VPN较之于IPSec VPN的一个优势就在于,SSL VPN能够提供更细粒度的访问控制管理,即针对具体应用程序实施访问控制策略。SSL VPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面,方便用户的使用。

虽然目前企业应用最广泛的是IPSec VPN,然而研究表明,在未来的几年中IPSec的市场份额将下降,而SSL VPN将逐渐上升。由于技术进步,用户更愿将应用外包给运营商来提供,或是自己选择部署成本低且应用方便的VPN。

综上所述,内部网的构建方案如下:①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPsec解决方案,而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。②对于内部网络中,安全要求较高的局域网选择部署MPLS VPN来支持Sites to Sites间且具有QoS等级的VPN连接;而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。③对于语音业务,可以利用VoIP技术使企业利用IP VPN来传送语音业务,允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器,通过使用服务类型字段对语音和视频流量作标记,将其显示为IPSec报头的一部分发向网络,使其享有更高的优先级,这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIP VPN使企业不必为语音和数据分别建立网络,大大节省了开销。④为更好得实现与IPSec协议的兼容,可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec协议的VPN系统的体系结构,来实现多播数据的安全传输,实现简单,结构灵活。

篇(11)

引言

MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络,满足多种灵活的业务需求。采用此技术可以把现有的IP网络分解成逻辑上隔离的网络,提高网络安全性和可管理性;且基于MPLS VPN的QoS策略也为新兴业务提供了强有力保障。

1 MplsVpn的技术

MPLS是一种介于二层和三层之间的技术,它没有限定二层所必需使用的链路层协议,具有很好的网络适应性。MPLS包头包含20比特的标签,3个比特的EXP,1个比特的S,用于标识这个MPLS标签是否是最低层的标签,和8个比特的TTL-Time To Live。理论上标签可以多层嵌套。

如果2层协议具有标签域,标签封装在这些域中,反之,标签则封装在2层和IP层之间的一个薄层中。这样,标签可被任意的链路层所支持。MPLS可承载的报文通常是IP包,也可承载二层数据报文,可承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。在MPLS中,一个标签标识了一个转发等价类。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。

2 MplsVpn的实现原理

MPLS是一种面向连接的技术,网络整体由LSR和LSE组成。LSR是MPLS的网络的核心交换机,它提供标签交换和分发功能。LER部属在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、移除功能。MPLS通过MPLS信令或手工配置的方法,建立MPLS标记交换连接。在数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文后直接根据MPLS报头的标签进行转发,大大加快了包文转发速率。在MPLS标记交换路径的出口,弹出MPLS包头,还回原来的IP包。由于FEC可以按照目的地址划分,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型等等信息的任意组合。而MPLS可把任何流关联到一个FEC,然后把一个FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。

MPLS VPN有三种类型的路由器,P路由器、PE路由器和CE路由器。其中,P路由器是MPLS网络骨干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息; PE路由器是MPLS网络骨干边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER),它将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;CE路由器是客户端路由器,为用户提供到PE路由器的连接。

MPLS VPN可以分为BGP扩展和LDP扩展。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。同传统IP VPN不同,MPLS VPN是依靠转发表和数据包的标记来创建一个安全的VPN。其中以BGP扩展实现的三层VPN应用最为广泛。

3 Mpls/Vpn技术的应用方式和优势

MPLS VPN可分为企业内部虚拟网、企业扩展虚拟网、远程访问虚拟网。该技术特别适合改造企业网,它具有如下优势:

(1)以多种方式增强了网络的智能和安全性。

(2)简化了网络设计,以及所需的接口、用户认证等的设备和处理。

(3)降低了通信成本和主要设备成本。

(4)容易扩展。

(5)支持新兴应用,可以支持各种高级的应用和各种协。

综上所述,利用 MPLS VPN技术改造传统的企业网,为企业进一步发展提供了可靠的技术保障。

4 Mpls/BgpVpn在网络实现

在MPLS/BGP VPN的模型中,网络由MPLS的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。

在基于MP-BGP协议的MPLS VPN体系中,存在两个层面的路由,即域内路由和VPN路由。 所有的PE路由器及P路由器上要运行主干网的域内路由,生成的路由表将触发主干网中LSP的建立,通过CR-LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP-iBGP的一条VPN路由包含的信息有:IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址。

MPLS VPN IP路由表及相关的VPN IP转发表被统称为VPN路由和转发实例(VRF)。通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。VPN的成员关系是通过路由所携带的route target属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收或向外哪些Site来的路由信息。 每个PE根据BGP扩展的信息进行路由计算,生成每个相关VPN的路由表。

RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关, 可以用一个或多个RT。当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。通过RT的导入和导出,MPLS可灵活的实现多种拓扑结构和路由层面的VPN访问控制。

在MPLS/BGP VPN中,属于同一VPN的两个site之间转发报文,使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,这样,根据内层标签,就可以找到转发的接口。

5 结束语

MPLS VPN已其高安全性、高可靠性及低成本等优势的到了各行业的广泛应用;发展前景较为乐观,经过MPLS VPN技术的不断完善和发展,为用户提供更加满意的服务和更加丰富的业务,成为VPN技术的主流。

推荐精选