vpn技术论文大全11篇
时间:2022-02-13 18:54:29
vpn技术论文篇(1)
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
vpn技术论文篇(2)
中图分类号TP39 文献标识码 A 文章编号 1674-6708(2015)135-0069-02
近年来,随着Internet的快速发展,基于虚拟专用网络的VPN作为一种新的网络技术,可以远程访问,实现外部网和内部局域网的连接[1]。因为其安全性和成本低廉的优点,在各企事业单位的数据传输业务中得到了广泛的应用。通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动
办公。
1 VPN简介
1.1 VPN的定义
VPN(Virtual Private Network),中文全称虚拟专用网络,它是指采用特殊的加密通讯协议,为了实现临时、安全的远程连接在Internet公共网上建立的虚拟的、专用网络通道[2],主要依靠网络服务提供商(NSP)及Internet服务提供商(ISP)提供,并通过采用隧道、密钥管理、加密、身份认证等安全技术及手段来保证在公共网络上传输数据的安全性,为终端提供类似于私用网络的一种网络服务技术。
1.2 VPN的类型
VPN一般分为三种类型:1)远程访问虚拟网(Access VPN);2)内部虚拟网(Intranet VPN);3)扩展虚拟网(Intranet VPN),其中,Access VPN 主要用于个人远程访问局域网实现异地办公,Intrant VPN主要用于大中型企事业单位或者集团和其异地机构通过Internet建立的虚拟私有网络。利用因特网保证网络的互联性,同时利用VPN的隧道、加密等特性保证整个Internet VPN上信息的安全传输。Extranet VPN主要实现将合作伙伴不同的用户子网构成虚拟的企业网络,该应用的功能最完善。
1.3 VPN的优点
VPN作为一种新的网络技术,与传统的通过电话线远程拨号方式相比,具有以下优点。
1)使用VPN技术大大降低了构建网络的成本。
2)VPN构建的虚拟专用网使用基于IPSec标准的设备能够保证数据传输的安全性。同时,用户还可以通过设置防火墙、采用数据加密等已有的手段使数据传输的安全性进一步提高。
3)最常用的网络协议VPN都支持。
4)IP地址安全。
5)通过VPN技术来实现局域网的互联,简单、灵活、便于扩展[3]。
1.4 VPN技术在安阳气象网络中的主要应用
随着安阳市气象局气象业务的加强,气象信息化建设的发展,VPN虚拟专用网络技术在安阳气象网络中应用包括两个方面:一个是气象资料调取(例如安阳移动气象台、外部门例如航校Micaps资料共享),一个是气象远程管理,结合symantec公司的pcAnywhere远程控制软件实现。
2 Windows 2003 VPN服务器的配置及VPN用户的添加
2.1 配置VPN服务器
在Windows 2003管理工具中打开“路由和远程访问”,右键选择“配置并启用路由和远程访问”,下一步,选择VPN访问,下一步,“路由和远程服务已被安装,要开始服务吗”,选“是”,即启动了VPN服务。首先在该服务器上点击右键选择“属性”,选择“IP”标签,然后在“IP地址指派”中选择“静态地址池”进行配置。添加设置VPN局域网内的虚拟IP地址范围。
为了实现气象资料的远程共享,在VPN上定时运行着一个任务计划caiji.exe,实现所需的地面图、高空图等气象信息资料从CMACast数据处理服务器获取并供VPN客户端调取。
2.2 VPN用户添加
每个客户端都需要一个拨入并能够访问VPN服务器的账号,默认是Windows身份认证,所以要为每个VPN客户端设置一个用户,为了客户端之间能够相互访问,还应为每个用户制定一个固定的虚拟内网IP地址。添加VPN用户的步骤如下:管理工具计算机管理,从中添加用户,以添加“hangxiao”用户为例,新建好“hangxiao”用户,查看并设置该用户属性,通过“拨入”标签修改该用户的远程访问权限为“允许访问”。
3 安阳市移动气象台
为了应对突发性、局地的强对流天气过程和重大灾情,或者在非固定的地点现场开展一些特殊的公共气象服务,安阳市气象局利用移动气象台实现了对自动站的雨量、风速、气温等气象要素的采集[4],在重大气象服务过程中,安阳市移动气象台作为应急服务中心,预报专家能够及时掌控现场状况提高了预报预测的准确率。
安阳市移动气象台以计算机网络为核心,通过技术与预报专家相结合,在应急现场快速对周围的气象要素实况进行采集,还需要调取国家气象局、河南省气象局下发的卫星云图资料、多普勒雷达资料等,并利用移动气象台的通信网络系统和安阳市气象台预报专家进行视频会商。实况气象资料的快速收集以及卫星云图资料、雷达资料的快速调取与否对应急服务的决策准确率非常重要。很多移动气象台配有车载卫星天线,主要采用卫星链路实现数据通信,在气象应急服务中,人工对星实现卫星与天线的连接需要耗费较长时间,若通过VPN技术实现移动气象台和固定台站间的连接,可以满足气象应急服务要求的气象资料和声音、图像的传输要求[5],而且省去耗时较长的对星这一步骤,连接速度快,大大降低了连接费用。
4 VPN技术结合pcAnywhere实现远程管理
pcAnywhere是由美国symantec公司开发的一款远程控制软件,可以实现以下功能:1)屏幕监视;2)远程控制3)文件传输4)安全管理,配合VPN技术可以实现远程控制[6]。针对内网服务器远程控制难的问题,安阳市气象局分析部署了信息网络,在局域网内对关键服务器进行远程控制,并利用VPN技术通过Internet实现了对安阳气象内网的远程管理。
在局域网内远程管理内网服务器,将网管的计算机和需要远程管理的服务器均安装pcAnywhere软件(网管计算机配置成主控端,目标服务器配置成被控端),网管计算机即可通过pcAnywhere软件的远程管理功能管理目标服务器。
通过Internet实现对安阳气象内网的远程管理,利用VPN技术解决了外网访问内网难的问题,通过公网路由器建立虚拟专用网络VPN连接,实现了网络管理员在外网通过因特网Internet访问安阳气象局域网的服务器,然后利用远程控制软件pcAnywhere实现远程管理,有效提高了工作效率。
图1 利用VPN技术和pcAnywhere实现服务器远程管理
5 结论
VPN作为一门网络新技术,提供了一种通过因特网(Internet)安全地远程访问内部局域网的方式,通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动办公,在安阳移动气象台气象数据调取、与外部门(例如航校)Micaps资料共享以及结合pcAnywhere实现气象远程管理中得到了具体应用,是对现有网络的拓展和补充。
参考文献
[1]高海英,薛元星,辛阳.VPN技术[M].北京:机械工业出版社,2004:147.
[2]马奇蔚,吴孟春,周必高,等.气象网络VPN的组建方案和安全策略的讨论[J].计算机与网络,2006(7):53-55.
[3]杨达.VPN全攻略[J].网管员世界,2005(11):34-36.
vpn技术论文篇(3)
中图分类号:TM711 文献标识码:A
1 VPN简介
VPN (Virtual Private Network,即虚拟专用网络)指的是在公用网络上建立专用网络的技术。它是以公用网络为基础建立的一个稳定、临时、安全的信息连接通道。其之所以“虚拟”,是因为整个VPN网络的任意两个节点之间的连接是动态的,是架构在公共网络平台上,并没有传统专网所需的端到端的物理链路,用户的数据只是在逻辑链路中进行传输。“专用”则是指VPN是通过加密与识别两个组件来实现连接。加密通过变换信息实体,达到隐藏原有信息含义、保证信息安全的目的;识别则是对节点或者节点进行标识的过程,它在通过公共网络平台进行传输前就已经完成。
2 VPN 技术原理
VPN主要采用了隧道技术、加解密技术和认证技术。
2.1 隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载,封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。隧道由隧道协议形成,可分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP中,然后将整个数据包装入隧道协议中在隧道中传输,第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议将数据包直接封装到隧道协议中,形成的数据包通过第三层协议传输,第三层隧道协议有VTP、IPSec等。其中IPSec隧道协议得到了广泛的应用,IPSec有两种工作模式,运输模式和隧道模式。
运输模式(Transport):在该模式中,仅利用传输层数据来计算AH或ESP首部。AH或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。
隧道模式(Tunnel):在该模式中,利用整个IP数据包来计算AH或ESP首部,AH或ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通信。
2.2 加解密技术
VPN是在不安全的公用网络中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要,为了保证数据通信的机密性,VPN必须采用成熟的加解密技术来实现数据的安全传输。IPSec的ESP协议采用56位的DES算法实现加密传输,并使用ISAKMP密钥交换协商机制来完成加密和解密密钥的交换。
2.3 认证技术
认证技术防止数据的伪造和被篡改,它采用一种被称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文,即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。IPSec定义了两个协议,鉴别首部(AH)协议和封装安全有效载荷(ESP)协议,这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。①AH协议。AH协议被设计用来鉴别源主机,以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文摘要,并根据IPSec的运输方式插入到相应位置,AH可以实现数据的完整性、数据源的真实性,但不提供数据的保密传输功能。②ESP协议。ESP(封装安全有效载荷)协议提供报文鉴别、完整性和加密功能,ESP增加首部和尾部,并根据IPSec的工作模式插入到相应的位置。③ESP协议是在AH协议的基础上而设计的,ESP协议能完成AH所做的所有功能,但增加了加密机制。因此ESP协议与AH协议相比,ESP协议具有优越性。
3 VPN在企业网络中的应用
VPN在企业网络中的应用主要有以下三种形式:
3.1 企业内部虚拟网络(即Intranet VPN)
企业内部虚拟网络主要适用于处于异地的企业总部及子公司、分支机构的网络互联,传统的互联方式主要是通过租用网络运营商的专线进行连接,但是如果企业的分支机构不断增多,地理位置越来越广,则网络的结构将会越来越复杂,相关联网的费用也会不断增加。企业在内部虚拟网络建设的过程中,可以使用VPN技术,采用网关到网关的形式将企业总部及各子公司、分支机构通过Internet连接起来,从而实现企业内部虚拟网络的组建。企业可以利用VPN的加密、识别等特性,保证信息通过Internet,在企业内部虚拟网络内安全的传输。IPSec隧道协议可满足所有网关到网关的VPN连接,在Intranet VPN组网方式中使用得最多。
3.2 企业远程访问(即Access VPN)
远程访问是VPN应用最为广泛的一项技术,它提供了安全、可靠,但是价格低廉的远程用户接入企业内部网络的技术,采用客户端到网关的形式,通过Internet等公共互联网络的路由基础设施,以安全的方式对位于VPN服务器后面的企业内部网络进行访问。这一技术利用了公共基础设施与ISP,一旦与VPN服务系统进行连接,用户与VPN服务器之间就架设了一条穿越Internet的专用通道,虽然互联网具有开放性,安全系数较低等特点,但是因为VPN技术采用的是加密技术,这就保证了远程用户与VPN服务器之间连接的安全性和可靠性。
3.3 企业外部虚拟网络(即Extranet VPN)
企业外部虚拟网络是将企业与其客户、合作伙伴的网络互联构成Extranet,实现信息的共享,它既可以为企业客户与合作伙伴提供非常便捷、准确的信息服务,又可以提高企业内部网络的安全系数。企业外部虚拟网络由于是不同企业之间的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题,也属于网关到网关的连接方式,主要是使用专用的连接设备和VPN的IPSec协议将企业与客户、合作伙伴的内部网络进行连接。企业外部虚拟网络有着与专用网络相同的特性,包括了可靠性、安全等级、服务质量以及可管理性等。
结语
VPN技术是在公共网络上建立安全的专用网络,它是企业内部网络在公共网络上的延伸。VPN为用户提供了一个低成本、高效率、高安全性的互联服务,极大地加快了信息在企业内部不同区域间的流通,其在资源管理与配置、信息共享与交互、异地协同与移动办公等方面都具有很高的应用价值。随着信息技术的快速发展,VPN技术也必将更加完善,在未来的信息化建设中具有广阔的前景。
参考文献
vpn技术论文篇(4)
一、实现数据远距离共享的意义
(一)实现数据远距离共享的前提
针对网络问题入手,通过数据的传输速度以及费用等方面进行分析,实现远距离数据共享。互联网功能适合实现数据的高效共享。还应该考虑的是计算机的硬件问题,目前的电力企业都具备高档次的计算机服务器用来合理营销数据,所以更具备实现远距离数据共享的有利条件。
(二)VPN技术
通过对VPN技术的采用,实现电力系统间的数据远距离共享。VPN技术全称虚拟私有网络,是通过互联网实现的一种高新技术,通过对网络数据的加密,传输私有数据,保证网络私有模式的安全,利用公网建立VPN传输系统。VPN在互联网上建立可私有的数据传输通道,并将远程工作地点和移动办公人员等联系起来,降低了远程访问的负担,节省电话费,同时也为数据安全提供了保障。VPN是通过虚拟的公共网络传输私人数据,所以其保密性和安全性必须完善,VPN技术主要从以下几个技术上体现出这一问题。
1、隧道
在VPN系统中采用隧道技术,通过对公共网络上传数据,进行数据传输分组,隧道能够把来自多个网络上的流量分开,通过隧道技术能使点与点通信协议代替交换连接。隧道技术允许授权的用户随时进行访问。通过隧道技术的引入,能够实现的功能:(1)把数据流量强制到特定位置;(2)隐藏私有网络地址;(3)通过公网传输非IP协议数据包;(4)保证数据的安全性。
2、安全性
采用VPN技术实现数据的远程共享功能,最重要的是保证系统的安全性。当下的安全策略是通过数据的人在和对数据的加密等方式。对于隧道数据传输的安全性,已经注定了一些安全协议。利用加密和数字签名的方式来确保数据的机密性安全性,对操作双方的身份进行检验。通常情况下对加密技术和隧道技术同时使用。
3、VPN成员管理
加强对VPN人员的管理,对用户的认证授权和计费管理以及IP地址的分配,应该建立独立的VPN通道,进行数据加密,设置用户访问权限等功能。严格检验用户的身份。
二、建立VPN实现数据远程共享
(一)配置VPN服务器
VPN服务器采用的是Windows 2000,通过路由和远程访问来配置运行Windows 2000的VPN服务器,连接用户同时监控远程访问通信。
(二)配置远程访问
通过对访问进行权限管理,对用户访问的管理模式需要使用VPN进行进行管理设置,将权限设置为“允许访问”。针对策略访问的管理,将设置为用户远程访问权限。
(三)实现远程数据共享
采用VPN服务器进行远程数据传输,通过对VPN服务器的访问权限设置,并将供电企业通过服务器连接起来,具有权限的用户可以通过互联网直接访问到服务器的资料,并且操作方便,有利于随时随地的查看数据信息,通过VPN的采用能够更好的实现高效的远程数据共享。
1、文件数据共享
文件数据的共享和点对点的数据共享大致相同,将共享的数据放入共享文件夹中,直接可以实现数据的共享,从而是授权的用户能够方便快捷的通过互联网访问数据信息。
2、用电数据共享
通过对VPN技术的应用,实现电力营销数据的共享,通过对网络计算机终端的管理操作,将授权用户VPN权限,在Delphi环境下构建用户界面层。在Delphi环境下,进入DCOM设置界面,设置VPN服务器的名称为ComputerName,完成设置后,将Connectec的属性改为True,并于数据服务层联系在一起。通过T ClientDataSet就可以很容易的共享所需的数据,实现数据的共享,方便随时查看。
通过采用VPN技术实现电力营销数据的远程共享,将各个供电公司的数据通过VPN进行有效连接,完成数据的高效传输和共享,同时提高了数据的安全性以及及时性。同时,在采用VPN技术时程序采用的是三层Client/Server结构,所以更有效地保证了数据的传输速度。
三、结束语
随着VPN技术的不断改进和完善,已经广受电力企业的关注。通过VPN技术对电力营销数据的共享,实现数据的实时传输与共享。采用VPN技术,可以对用户进行权限管理,更保证了数据传输过程中的安全性。由于VPN技术是通过互联网进行传输的,所以节省了大量的成本,同时也提高了数据的实时共享,通过对电力企业的数据传输系统各种采用VPN技术,改变了以往落后的传输方式,打破了数据传输速度慢、传输费用大以及传输安全性低等缺点,更有效的保证了电力企业的安全运行,促进了电力企业的发展。随着互联网的不断发展,网络的传输速度也会越来越快,VPN的传输性能也将越来越高,VPN的应用将为电力企业创造更大的利润。
参考文献
[1]安徽省电力局课题组.关于供电企业拓展电力市场的研究[J].安徽电力职工大学.2008(04).
[2]李宁,,冯启源.基于多Agent的电力营销决策支持系统的研究[C].2005年全国开放式分布与并行计算学术会议论文集,2005年.
vpn技术论文篇(5)
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
vpn技术论文篇(6)
1 MPLS技术原理及体系结构分析
1.1 MPLS技术原理分析
从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。 1.2 MPLS体系结构分析
MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。
通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。
2 MPLS VPN技术在校园网中的规划设计及应用
2.1 MPLS VPN技术在校园网中的规划设计分析
通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。
2.2 MPLS VPN技术在校园网中的实际应用
通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。
另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。
vpn技术论文篇(7)
摘要:虚拟专用网(VPN)是利用公共网络构建私有专用网络的技术,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的虚拟专用网络。无论是企业还是高校都希望能够构建一种网络,既确保安全,又便于维护。VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定的通讯隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。本文结合几种VPN技术设计了一种内部网络的构建方案,既保证了协议之间的兼容,又实现了安全传输。
关键词:VPN技术;MPLS VPN;SSL;IPSec;VOIP VPN;基于VPN的安全多播
0引言
随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。
近年来,宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展,反过来,VPN的应用又促进宽带内容的不断丰富。
在国外网络通信发达的围家,VPN应用已经非常普及。国外的VPN技术发展较快,基于标准的虚拟专用网技术近年来己成为网络界的新热点,这是因为它有着无可比拟的优势:通过整合几种数据保护的方式,使用户可以在开放的Internet上轻松地交换私有数据,而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低,更重要的是将服务质量也带给了用户。
我国的IP网络安全研究起步晚、投入少、研究力量分散,与技术先进国家有较大的差距,特别是在系统安全和安全协议方面。目前,国内市场对信息安全的需求日益强烈,尤其是颇具规模的客户对网络安全的需求越来越紧迫,因此,需要加大力度,研发方便、安全和适合自己的VPN解决方案。近两年来,一些大中型企业已建立VPN网络,一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术,开发实用的VPN软件产品,提高全方位的VPN技术服务。
1VPN技术简介
1.1 IPSec VPNIPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准,用于保护IP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理,提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务,具有较好的安全一致性、共享性及应用范围。这是因为,IP层可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。
1.1.1 IPSec VPN的优点①通用性好。IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被篡改;②整合性好。IPSec VPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性;③透明性。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置,即使在终端系统中执行IPSec,应用程序一类的上层软件也不会受到影响。
1.1.2 IPSec VPN的缺点①IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;② IPSec VPN的连接性会受到网络地址转换的影响,或受网关设备的影响;③IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置比较复杂。
1.2 SSL VPNSSL协议的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议,SSL使用公开密钥体制和数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。
SSL VPN作为一种新的VPN技术,相对于传统的IPSec VPN等有其自身的技术特点。
1.2.1 SSL VPN的主要优点:① 客户端支撑维护简单;② 良好的安全性;③ 提供更细粒度的访问控制;④ 能够穿越NAT和防火墙设备;⑤ 能够较好地抵御外部系统和病毒攻击;⑥ 网络部署灵活方便;⑦ 适用大多数设备。
1.2.2 SSL VPN的主要缺点:① 安全认证方式比较单一,只能够使用证书方式,而且一般是单向认证;② SSL VPN应用受到限制。一般都用于B/S模式,用户只能访问基于Web服务器的应用;③ SSL VPN是应用层加密,性能相对来说可能会受到较大影响。
1.3 MPLS VPNMPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度,而且,MPLS可以运行在任何链接层技术之上。
MPLS VPN网络主要由CE(CustomEdgeRouter,用户网络边缘路由器)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)等3部分组成:CE设备直接与服务提供商网络相连,它“感知”不到VPN的存在;PE设备与用户的CE直接相连,负责VPN业务接入,处理VPN-Ipv6路由,是MPLS三层VPN的主要实现者;P负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
MPLS VPN构建在专用网络上,能够保证很好的服务质量,而且价格与传统专线在同一水平。IPSec/SSL VPN承载在公众互联网上,成本相对比较低,但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。
1.4 内部网VPN构建方案VPN系统的首要职责是保障安全,保障互联网数据传输安全的基本机制包括:身份认证、信息保密和信息完整。
内部网VPN的设计须遵循以下原则:①保障安全;②保证多平台兼容;③提供有效的访问控制;④有效的管理平台。
MPLS VPN主要解决的是固定站点间的互联问题,一般不借助Internet来实现,服务质量和安全性的保障比较方便,适用于中大型客户的组网;而IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术,我们发现,作为SSL VPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问,使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护,因此应该提供一定的访问控制策略,让不同的用户有不同的访问权限。而SSL VPN较之于IPSec VPN的一个优势就在于,SSL VPN能够提供更细粒度的访问控制管理,即针对具体应用程序实施访问控制策略。SSL VPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面,方便用户的使用。
虽然目前企业应用最广泛的是IPSec VPN,然而研究表明,在未来的几年中IPSec的市场份额将下降,而SSL VPN将逐渐上升。由于技术进步,用户更愿将应用外包给运营商来提供,或是自己选择部署成本低且应用方便的VPN。
综上所述,内部网的构建方案如下:①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPsec解决方案,而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。②对于内部网络中,安全要求较高的局域网选择部署MPLS VPN来支持Sites to Sites间且具有QoS等级的VPN连接;而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。③对于语音业务,可以利用VoIP技术使企业利用IP VPN来传送语音业务,允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器,通过使用服务类型字段对语音和视频流量作标记,将其显示为IPSec报头的一部分发向网络,使其享有更高的优先级,这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIP VPN使企业不必为语音和数据分别建立网络,大大节省了开销。④为更好得实现与IPSec协议的兼容,可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec协议的VPN系统的体系结构,来实现多播数据的安全传输,实现简单,结构灵活。
vpn技术论文篇(8)
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)03-0039-01
1 VPN及其功能特点
虚拟专用网络(Virtual Private Network),即VPN,属于远程访问技术,就是利用加密技术在公网上封装出一个数据通讯隧道。用户不论在何地,通过互联网利用VPN也随时可以使用企业内部的资源。
VPN因其具有易使用、成本低的特点,用户在使用网络运营商的设施和服务的同时,又掌握着自己网络的控制权。[1]
2 VPN的实现技术
VPN的实现有很多种,常用的有VPN服务器、软件VPN、硬件VPN、集成VPN。现以性能最好,应用最广泛的L2TP和IPSec创建的VPN服务器为例。
以此校园网为例,服务器处于同一vlan中,网关地址172.18.1.1,VPN服务器单网卡。
2.1 VPN服务器的架设
(1)配置并启用路由和远程访问,启用服务器VPN访问。
(2)启用IP路由,配置VPN客户端连接后获取的IP地址池,此例我们将远程接入IP采用静态地址池172.18.1.101-172.18.1.150(根据同时连接数确定数量),另外定义默认路由,远程连接数据全部由网关172.18.1.1转发,并删除[DHCP 中继程序] 中的[内部]接口。
(3)配置NAT路由,新增NAT路由协议,并在本地连接上的接口上启用NAT。
(4)创建用户客户端进行远程拨号连接的用簦设置允许拨入并配置权限为通过远程访问策略控制访问。
2.2 远程访问策略配置
在路由和远程访问管理中,设置远程访问策略的匹配条件(如日期和时间),在权限页选择授予远程访问权限。
2.3 身份验证
L2TP IPSEC VPN建立连接开始通信前需要互相验证VPN服务器和客户端身份合法性,下面来配置基于证书的L2TP IPSec VPN。[2]
(1)配置CA服务器(以下简称CA)。本例在内网WEB服务器上直接配置为CA(见图1)。安装“证书服务”组件,创建“独立根CA”。因与WEB服务器在同一主机,需另外设置CA的站点。
(2)证书申请。VPN服务器通过WEB浏览器访问之前设置的CA网站地址申请证书。
(3)颁发证书。CA管理员在管理工具的“证书颁发机构”审核证书请求并手动颁发证书。
(4)安装证书。浏览器访问CA,选 “查看挂起的证书申请的状态”按向导安装证书。为使CA所颁发证书合法,VPN服务器证书安装后还要安装CA根证书,因为只有根CA合法后才可以确保其所颁发证书的合法性。在CA页面 “下载CA证书”,导入证书到存储区。
(5)创建VPN客户端连接并测试。客户端也需申请并安装相同CA颁发的证书,除证书类型选择“客户端身份验证证书”,其他与服务器相同。
2.4 测试VPN PPTP穿透
通过路由器把VPN服务器的服务端口映射到外网IP。如L2TP VPN使用的1701端口,配置:route(config)#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701。
2.5 VPN客户端设置
配置Windows 7计算机作为L2TP 客户端。新建VPN连接,选择“使用我的Internet连接(VPN)” ,设置服务器地址“218.67.78.78”;设置连接属性,允许协议为PAP、CHAP、MS-CHAP,VPN 类型为“L2TP IPSec VPN”;用具有远程拨入权限的用户进行连接。
基于Windows的PPTP或L2TP VPN,默认网络流量全部通过VPN通道,如果访问内网的流量通过VPN,而其他流量通过原来的互联网连接,需更改客户端本地路由表。
3 结语
L2TP IPSec VPN的配置在确保安全的同时也对客户端的配置带来不便。
vpn技术论文篇(9)
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着Internet的VPN连接蓬勃发展,人们对其连接质量提出了更高的要求。但常规的VPN连接方法缺乏高效的连接手段,网络经常会发生阻塞,许多应用对于目前的IP技术(如语音和视频等)显得力不从心,并且实现成本也很高。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。
1 VPN简介
首先引入现实中的一个例子,经常在外地出差的公司用户希望能从外地的网络访问公司的内网办公,而访问的结果就像在公司内网一样,不会有对资源、权限的限制,就好像在内网里面一样,我们可以利用VPN技术实现这个目的。
由以上来看,究竟什么是VPN呢?虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 常规VPN技术
以往常规的VPN连接技术是在PPTP或者L2TP协议的控制下进行隧道封装加密传输,其中,PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰。L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
但是,IPsec协议首要的和最明显的缺点就是性能的下降,其次,在实现成本上非常不利,低端的设备通常用软件实现所有的IPsec功能,因而其速度最慢。价格贵些的用硬件实现IPsec功能。一般来说,性能越好,其价格越贵。
3 基于MPLS的VPN的新技术
同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于InternetConnect网络。
CPE被称为客户边缘路由器(CE)。在InternetConnect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。
CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding (CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。
对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。
在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。
客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。
三种不同的VPN,分别用Route Distinguishers 10,20和30来表示。
MPLS VPN中,客户站点运行的是通常的IP协议。它们并不需要运行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由识别器对应同每个客户站点的连接。这些连接可以是诸如T1,单一的帧中继,ATM虚电路,DSL等这样的物理连接。路由识别器在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在客户设备上进行配置,对于客户来说是透明的。
每个MPLS VPN具有自己的路由表,这样客户可以重叠使用地址且互不影响。对用RFC 1918建议进行寻址的多种客户来说,上述特点很有用处。例如,任何数量的客户都可以在其MPLS VPN中,使用地址为10.1.1.X的网络。MPLS VPN的一个最大的优点是CPE设备不需要智能化。因为所有的VPN功能是在InternetConnect的核心网络中实现的,且对CPE是透明的。CPE并不需要理解VPN,同时也不需要支持IPSec。这意味着客户可以使用价格便宜的CPE,或者甚至可以继续使用已有的CPE。
4 基于MPLS VPN的优点
时延被降到最低,因为数据包不再经过封装或者加密。加密之所以不再需要,是因为MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似。因为不需要隧道,所以要创建一个全网状的VPN网也将变得很容易。事实上,缺省的配置是全网状布局。站点直接连到PE,之后可以到达VPN中的任何其他站点。如果不能连通到中心站点,远程站点之间仍然能够相互通信。
配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络,不需访问CPE。一旦配置好一个站点,在配置其他站点时无需重新配置。因为添加新的站点时,仅需改变所连到的PE的配置。
在MPLS VPN中,安全性可以得到容易地实现。一个封闭的VPN具有内在的安全性,因为它不同Public Internet相连。如果需要访问Internet,则可以建立一个通道,在该通道上,可放置一个防火墙,这样就对整个VPN提供安全的连接。管理起来也很容易,因为对于整个VPN来说,只需要维护一种安全策略。
MPLS VPN的另外一个好处是对于一个远程站点,仅需要一个连接即可。想象一下,带有一个中心站点和10个远程站点的传统帧中继网,每个远程站点需要一个帧中继PVC(永久性虚电路),这意味者需要10个PVC。而在MPLS VPN网中,仅需要在中心站点位置建立一个PVC,这就降低了网络的成本。
5 总结
MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务,也能够开展QoS、TE、组播等等的业务。随着MPLS应用的不断升温,不论是产品还是网络,对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。
参考文献:
vpn技术论文篇(10)
中图分类号: TN915.08?34 文献标识码: A 文章编号: 1004?373X(2013)13?0102?03
Research and simulation analysis on SSL VPN technology
LIU Dong?lin
(Shaanxi Branch, Unicom, Xi’an 710065, China)
Abstract: SSL VPN technology provides security assurance for remote users accessing to the internal network by certificate authentication, data encryption and message integrity verification mechanism. The SSL VPN system is built between remote users and the internal network by use of GNS3 simulator based on the basic framework of the SSL VPN system. The experimental results show that SSL VPN is more usable and safer for the interconnection between points and network.
Keywords: VPN; SSL VPN; network simulation; GNS3
0 引 言
VPN即虚拟专用网,是一条穿过公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别[1]。常用的两种VPN技术分别是基于传统网络安全协议(IPSec)的VPN技术和安全套接字层(SSL)VPN技术,前者主要作用于网络层,而后者主要作用于应用层。SSL VPN是以HTTPS为基础的VPN技术,它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证[2?3]。
1 SSL VPN系统组成
一个典型SSL VPN组网架构如图1所示,系统由远程主机、CA、SSL VPN网关、认证服务器和内网服务器组成[4]。其中,远程主机作为管理员和用户远程接入的终端设备,可以是个人电脑、手机、手持电子终端等。SSL VPN网关是SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和机构网内资源的信息,用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和机构网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接,以保证数据传输的安全性[5?6]。内网的服务器可以是任意类型的服务器,如Web服务器、FTP服务器,也可以是网内需要与远程接入用户通信的主机。CA为SSL VPN网关颁发包含公钥信息的数字证书,以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接。认证服务器用于对用户进行身份认证,SSL VPN网关不仅支持本地认证,还支持通过外部认证服务器对用户的身份进行远程认证[7]。
图1 SSL VPN系统组成
2 仿真环境搭建
2.1 实验环境简介
实验中使用的仿真软件包括GNS3 v0.8.2模拟器,虚拟机软件VMware Workstation v8.0,终端仿真软件SecureCRT v6.7,虚拟通道软件Named Pipe TCP Proxy v1.001,虚拟机包括Windows XP、Cisco ASA v8.0。GSN3用到的Cisco IOS组件包括unzip?c3640?ik9o3s?mz.124?10.bin和sslclient?win?1.1.3.173.pkg。
2.2 仿真实验拓扑结构
远程客户机处于23.23.23.0/24的网络中,IP地址为23.23.23.1/24,网关地址为23.23.23.254/24,该网络通过R1的IP地址为12.12.12.2/24的端口与Internet相连。内网服务器IP地址为192.168.1.1/24,与R2的IP地址为192.168.1.2/24端口相连,通过R2与ASA即SSL VPN网关相连,ASA使用公网地址12.12.12.1与Internet相连,网络结构如图2所示[8?9]。
图2 SSL VPN仿真实验拓扑结构
2.3 仿真环境搭建
(1)使用VMware模拟一台Window XP来作为远程接入用户。在GNS3上使用路由器模拟内网的HTTP Server 与外网的Internet。防火墙使用安装在VMware之中的Cisco ASA。
(2)使用GNS3搭建拓扑,ASA防火墙作为SSL VPN服务器,分别连接至VMnet1 与VMnet8。虚拟机XP连接至VMnet2。VMnet为VMware建立的虚拟网络适配器,VMnet1和VMnet2网络模式为Host?only(仅主机),VMnet8网络模式为NAT(地址转换)[10]。
(3)将Windows XP的网络连接模式设置为VMnet2。将Cisco ASA的虚拟网卡增加到3个,网络模式分别设置为VMnet1(host?only)、VMnet8(NAT)和Bridge(桥接)。其中网络适配器代表ASA 的e0/0,网络适配器2代表ASA 的e0/1。
(4)搭建好拓扑,使用SecureCRT连接设备进行配置。由于VMware模拟的ASA 并无法直接提供一个可供本机SecureCRT 连接的端口,因此需要辅助软件Named Pipe TCP Proxy通过VMware 提供的管道来创建一个端口,之后再使用SecureCRT 进行连接[11]。
2.4 主要配置命令
在Cisco ASA上配置SSL VPN,主要配置如下:
(1)组策略配置
group?policy webvpn internal
group?policy webvpn attributes
vpn?tunnel?protocol svc webvpn
split?tunnel?policy tunnelspecified
split?tunnel?network?list value webvpn
address?pools value webvpn
webvpn
svc enable
(2)用户策略配置
username cisco password cisco
username cisco attributes
vpn?group?policy webvpn
(3)隧道分离ACL
access?list webvpn extended permit ip 192.168.1.0 255.255.255.0 any
access?list webvpn extended permit ip 192.168.2.0 255.255.255.0 any
access?list outside extended deny ip any any
access?list inside extended deny ip any any
(4)路由配置
route outside 0.0.0.0 0.0.0.0 12.12.12.1
route inside 192.168.1.0 255.255.255.0 192.168.2.1
2.5 仿真结果分析
在ASA配置SSL VPN之前,虽然远程计算机可以与CISCO ASA防火墙通信,但是无法与内网的HTTP服务器通信。在CISCO ASA完成SSL VPN配置,客户端安装ASA提供的数字证书后,远程SSL VPN客户端从其所在的23.23.23.0/24 网段使用网页浏览器就可以访问内网192.168.1.0/24 网段内的Web 服务,这说明了SSL VPN已经建立成功[12]。
在虚拟机上输入预先设置好的用户名和密码后,连接到SSL VPN服务器,就可以看到获得的内网IP和服务器IP,以及用户访问内网的路由条目,如图3所示。建立了安全的通道后,可以进一步对内网资源进行访问。
图3 内网IP、服务器IP和路由条目
3 结 论
在本次仿真实验中由CISCO ASA防火墙充当SSL VPN服务器。在CISCO ASA 使用出口PAT,本地内网用户能够通过ASA 防火墙实现与外网通信。在ASA 上配置SSL VPN,为外网远程用户提供VPN 接入,采用本地认证,外网远程用户可获得内网IP地址,能够通过使用内网IP访问内网的资源。
传统的IPSec VPN在部署时需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置,若企业的远程接入和移动办公数增量增多,企业的维护成本将会呈线性增加。而SSL VPN不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全接入到内部网络,安全地访问应用程序,无需安装或设置客户端软件,降低了企业的维护成本。因而SSL VPN在点对网互连方面,有较好的易用性和安全性[13-14]。
参考文献
[1] 鲍劼,吕向前,朱世平.基于SSL协议的VPN电子资源远程访问方案的研究与实现[J].煤炭技术,2012,31(6):184?186.
[2] 葛苏慧,王敏.SSL VPN技术在校园网中的应用[J].广西大学学报:自然科学版,2011,36(1):155?159.
[3] 李之棠,何桂丽,王美珍.基于虚拟网卡的SSL VPN体系结构的研究[J].计算机应用研究,2007,24(12):327?329.
[4] 马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计,2007,28(21):5137?5138.
[5] 曾巧红,徐文贤,林绮屏.基于SSL VPN的图书馆远程访问系统的构建[J].情报科学,2007,25(10):1520?1524.
[6] 何玲.高校数字图书馆中SSL VPN系统的安全策略研究[J].天津师范大学学报:自然科学版,2010,30(1):27?28.
[7] 应国良,田京波.基于SSL VPN的核心机房远程管理系统的设计与实现[J].电化教育研究,2007(8):39?42.
[8] 王婷,汪琴.VPN技术在电子资源远程访问中的应用探讨[J].现代情报,2007(4):141?143.
[9] 秦鸿.利用VPN技术实现远程访问的研究与实践[J].图书情报工作,2007,51(3):117?120.
[10] 陈爱和,徐敬东,刘晓欣,等.支持多路负载平衡的SSL VPN 系统的设计与实现[J].计算机工程与设计,2006,27(21):3995?3998.
[11] 杨杰,李涛,王姝妲,等.应用虚拟设备驱动的SSL VPN系统改进的实现[J].计算机工程,2006,32(16):148?150.
vpn技术论文篇(11)
信息时代的今天,以Internet为主体的信息高速公路迅速铺开,网络技术迅猛发展,网络的规模越来越大。从局域网、广域网到全球最大的互联网Internet,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不说明网络技术迅猛发展的同时,也面临着对网络建设的挑战。各种网络安全技术和产品应运而生,其中虚拟专用网(VPN)及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势。
一 .VPN特点
VPN全称Virtual Private Network,虚拟专用网络,企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此需要在企业间建立安全的数据通道,该通道应具备以下的基本安全要素:保证数据真实性、保证数据完整性、保证数据的机密性、提供动态密钥交换功能和集中安全管理服务、提供安全防护措施和访问控制等。VPN即能有效解决这些安全问题,是因为VPN有以下几方面特点:
(一)成本低。通过公用网来建立VPN与建立专线方式相比,可以节省大量的费用开支。荆州电信运营商一条城区内2M专线价格为800至1000元/月,夸城区则为1500元/月,VPN的最大吸引力是价格。放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,故VPN价格更低廉。
(二)网络架构弹性大。VPN 较专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时, VPN可以轻易的达到目的,VPN硬件平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的 VPN 架构中,同时具有对未来广域网络频宽扩充及连接更新架构的特性。
(三)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等技术,通过上述的各项网络安全技术,确保资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。
(四)管理方便。VPN 使用了较少的设备来建立网络,使网络的管理较为轻松;不论连接的是什么用户,均需通过VPN隧道的路径进入内部网络。
二.VPN的应用
VPN 可以有三大应用,分别为Access(远程访问虚拟专网)、 Intranet(企业内部虚拟专网) 及 Extranet(扩展的企业内部虚拟专网) 。
(一)Access VPN与传统的远程访问网络相对应。在该方式下远端用户不再是如传统的远程网络访问那样,而是拨号接入到用户本地的ISP ,利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。
这种方式最适用于公司内部经常有流动人员远程办公的情况。出差员工拨号接入到用户本地的ISP,就可以和公司的VPN网关建立私有的隧道连接,例如荆州海事局服务器出现故障,维护人员只需要在任何地方通过VPN连接,进行远程调试服务器设备。
(二)Intranet VPN与企业内部的Intranet 相对应。在VPN技术出现以前,公司两异地机构的局域网想要互联一般会采用租用专线的方式,虽然该方式也采用隧道等技术,在一端将数据封装后通过专线传输到目的方解封装,然后发往最终目的地。利用VPN特性可以在 Internet上组建世界范围内的Intranet VPN。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
(三)Extranet VPN与企业网和相关合作伙伴的企业网所构成的Extranet相对应。此种类型与上种无本质区别,但由于是不同公司的网络相互通信,所以要更多地考虑设备的互联,地址的协调,安全策略的协商等问题。利用 VPN 技术可以组建安全的 Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
三.VPN基本原理
VPN原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
由于VPN连接的特点,一个完整的VPN系统一般包括以下三个单元:
(一)VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。
(二)VPN客户端。一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。
(三)VPN数据通道。一条建立在公用网络上的数据连接。
四.使用VPN的优点
(一) 降低费用。首先远程用户可以通过向当地的ISP申请账户登陆到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
(二)增强安全性。VPN通过使用点到点协议用户级身份验证的方法进行验证,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔,所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。 (三)高度灵活性。用户不论是在家中、在出差途中、或是在其他任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。既不受地域限制,也不受接入方式限制。
(四)IP地址安全。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到VPN使用的协议。因此,利用Internet作为传输载体,采用VPN技术,实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。
五、VPN的前景展望
由于Internet最初的设计不保证网络服务质量QoS,所以现有的VPN解决方案必须和一些QoS解决方案结合在一起,才能给用户提供高性能的虚拟专用网络。随着QoS在技术上越来越成熟,VPN技术可以通过QoS保证来获得越来越好的Internet服务,享受到和真正的专用网络一样的应用。
六、总结
VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据,也可节省开支。此外,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋,VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为Intranet及Extranet的应用带来良好的前景。
参考文献:
[1]杨小平等.省略screen.省略/zhishipuji/knowledge/vpn.htm