vpn技術論文篇1
關鍵詞:分校區(qū);VPN;專用網(wǎng)絡
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9599 (2012) 08-0000-02
一、引言
隨著信息化技術的飛速發(fā)展,互聯(lián)網(wǎng)尤其是大學校園網(wǎng)絡的應用已經(jīng)滲透在我們生活的每個角落里。校園網(wǎng)的服務質量尤其安全狀況方面的好壞將直接影響學校正常的教學活動。但是近年來大學高校不斷擴招,高校合并、分校區(qū)設立、新校區(qū)建設等情況在高校中比比皆是。現(xiàn)有的公共互聯(lián)網(wǎng)不但帶寬無法保障,學校信息資源的安全也受到了極大的威脅,因此如何保障各個校區(qū)安全、高效的共享校園資源,已成為校園網(wǎng)絡亟待解決的問題。VPN技術的出現(xiàn),大大改善了校園網(wǎng)這一尷尬的局面,VPN技術是通過改造現(xiàn)有互聯(lián)網(wǎng),實現(xiàn)了不同校區(qū)既安全又高效的共享信息資源[1]。
二、VPN技術
VPN(Virtual Private Network)即虛擬專用網(wǎng),是在公共互聯(lián)網(wǎng)中為客戶搭建專有網(wǎng)絡的一種技術[2]。相對于物理存在的專有網(wǎng)絡而言,它是在公共Internet中,通過對網(wǎng)絡數(shù)據(jù)進行加密傳輸,實現(xiàn)了邏輯上存在的一個私有網(wǎng)絡。
(一)VPN接入技術的分類
目前VPN安全接入組網(wǎng)技術主要分為以下三種,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。這三種接入方式所處的網(wǎng)絡協(xié)議層次不同,所注重的側重點不同。在實際運用中,需要根據(jù)自己的應用環(huán)境來選擇不同的接入技術,以此達到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN屬于二層VPN技術。用戶一般不需要自己安裝該客戶端軟件,因為目前L2TR/PPTP VPN客戶端軟件一般都已經(jīng)建成在主流的windows操作系統(tǒng)中了,大大方便了用戶的使用。但是該軟件的加密和認證手段都相對簡單,面對安全性要求較高的應用環(huán)境,其安全系數(shù)低的缺陷就凸顯了出來,因此它僅適用于安全性要求一般的應用環(huán)境。
2.IPSec VPN
IPSec VPN屬于三次VPN技術,對于應用層來說是透明的。當接收到數(shù)據(jù)包后,IPSec VPN通過查詢SPD即安全策略數(shù)據(jù)庫來決定對數(shù)據(jù)包的處理。根據(jù)查詢結果,不僅可以對數(shù)據(jù)包丟棄或者轉發(fā),還可以對數(shù)據(jù)包進行IPSec處理,數(shù)據(jù)包的IPSec處理大大增加了網(wǎng)絡數(shù)據(jù)的安全性。同時其安全性的提升,是以增加網(wǎng)絡協(xié)議復雜度為代價,用戶的計算機上需要安裝單獨的IPSec VPN軟件,這將對客戶端造成一定的不便。
3.SSL VPN
SSL VPN屬于協(xié)議的最上層即應用層VPN技術,SSL VPN技術的安全性主要是通過SSL協(xié)議來保證的。現(xiàn)有的瀏覽器都已經(jīng)支持SSL協(xié)議,用戶只需要安裝瀏覽器就可以實現(xiàn)SSL VPN的應用,其部署簡單、高效。但是在日常生活中,瀏覽器并不能支持所有的應用,因此在非WEB應用情況下,用戶同樣需要安裝專門的客戶端軟件。
(二)VPN的關鍵技術
VPN是近年來在網(wǎng)絡安全方面發(fā)展較快的一項高效應用技術,它擁有橫跨加密技術、數(shù)學理論、互聯(lián)網(wǎng)技術等多學科領域的特點,其中最核心的關鍵技術包括:隧道技術、加密技術、認證技術[4]。
1.隧道技術
隧道技術是VPN功能實現(xiàn)中最基本的技術。它是將待傳輸?shù)臄?shù)據(jù)信息加密、封裝后嵌入在公共互聯(lián)網(wǎng)協(xié)議中,以實現(xiàn)信息數(shù)據(jù)的有效傳輸?shù)囊环N技術。隧道技術可以將加密、封裝后的信息嵌入在開放性的通行系統(tǒng)互連參考模型的任何一層協(xié)議中,例如:應用層VPN協(xié)議即SSL VPN、網(wǎng)絡層VPN協(xié)議即IPSec VPN、數(shù)據(jù)鏈路層VPN協(xié)議即L2TR/PPTP VPN。
2.加密技術
VPN是在公共互聯(lián)網(wǎng)上建立私有網(wǎng)絡,在公共網(wǎng)絡中不法分子可以通過一定技術得到這些信息,為了防止信息數(shù)據(jù)被不法分子獲取或者篡改,對原始信息進行加密處理顯得尤為重要。信息加密技術隨著互聯(lián)網(wǎng)的發(fā)展已經(jīng)非常的成熟,可以借鑒現(xiàn)有成熟的加密技術即可。在VPN解決方案中比較普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.認證技術
VPN作為一個單位內的私有專用網(wǎng)絡,在信息傳輸過程中,不僅要對信息的安全性、完整性認證,更需要對網(wǎng)絡上的用戶和設備進行認證。目前對使用者的身份認證方法非常多,僅僅使用用戶ID、密碼的驗證方式還遠遠不能提供足夠的安全保障,還可以綜合利用數(shù)字認證、數(shù)字簽名、動態(tài)口令等方法進行安全認證。
(三)VPN的優(yōu)點
VPN作為一種虛擬專用網(wǎng)絡,與傳統(tǒng)的物理專用網(wǎng)絡相比,有以下幾方面的優(yōu)點:
1.成本低
傳統(tǒng)的物理專用網(wǎng)絡需要點對點的部署專用物理線路,如需要鋪設光纖、中轉器等網(wǎng)絡設備,但是VPN技術是在現(xiàn)實互聯(lián)網(wǎng)的基礎上,通過建立安全隧道,完成信息專線傳輸?shù)摹T谛畔鬏斶^程中,不需要特殊的點對點物理網(wǎng)絡,僅公共網(wǎng)絡即可實現(xiàn),大大減少了運行成本;
2.可擴展性強
如果學校有了新的分校或需要與其他高校實現(xiàn)信息資源共享時,在校園網(wǎng)中必然需要增加新的網(wǎng)絡節(jié)點,相對于傳統(tǒng)專用網(wǎng)絡,VPN只需要簡單的設置、部署即可完成擴展工作,其擴展性是傳統(tǒng)專用網(wǎng)絡所不具備的。
3.安全性強
VPN在發(fā)送端利用隧道技術對原始數(shù)據(jù)進行加密、封裝;在傳輸過程中對數(shù)據(jù)采用加解密技術處理;在接收端對用戶身份進行認證處理。信息數(shù)據(jù)在通過以上幾個環(huán)節(jié)的處理,不僅實現(xiàn)了信息的專用傳輸,而且加強了信息數(shù)據(jù)傳輸?shù)陌踩浴?span style="display:none">9re萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
三、VPN在分布式校園網(wǎng)絡中應用
近年來,大學高校在不斷擴招、快速發(fā)展的背景下,已經(jīng)形成了一所高校、多個分校區(qū)、地域分散的特點。在多個校區(qū)里,無論是信息資源共享還是管理方面都必須滿足統(tǒng)一性、高效性的要求。為了實現(xiàn)這一要求,必然導致跨地域分布校園網(wǎng)絡的信息交換呈現(xiàn)以下幾個特點:
(1)信息交換量大,不同地域的校園網(wǎng)需要實現(xiàn)共享信息資源、統(tǒng)一管理平臺等要求,相對于互聯(lián)網(wǎng)而言,校園網(wǎng)內信息的交換量十分龐大;
(2)信息交換頻率高,例如在校園內需要對校園某一活動進行投票,則在該時段內,信息交換的頻率必然非常高;
(3)信息安全性強,在校園內經(jīng)常會傳輸一些性較強的信息,例如校園財務管理、圖書館數(shù)據(jù)庫信息、校園學生基本信息等方面,都需要保證其安全性;
可見,校園網(wǎng)必須滿足網(wǎng)絡架構分布式、信息傳輸高效性以及數(shù)據(jù)的安全性;然而一方面學校經(jīng)費有限,另一方面各個校區(qū)地域分布較遠,甚至很多分校都不在同一個城市,如果按照傳統(tǒng)的方法來搭建專用網(wǎng)絡,學校需要鋪設專用的光纖線路和其他設備,顯然在運行成本和效率方面都不理想。本文通過分析VPN技術的特點及其優(yōu)點,并結合現(xiàn)高校校園網(wǎng)絡實際存在的問題,筆者認為,VPN技術不僅可以高效的解決以上問題,同時還可以提供以下幾方面的應用:
(一)校區(qū)互聯(lián)
針對高校存在的一所高校、多個分校區(qū)、地域分散的特點,可以將每所分校的子網(wǎng)絡通過VPN技術專線連接在一起,實現(xiàn)各個校區(qū)資源共享、管理統(tǒng)一,不僅大大提高了工作、學習、管理效率,而且不需要鋪設專門的網(wǎng)絡線路,大大減少了運行管理成本。
(二)移動辦公
在高校學術交流越來越頻繁的背景下,學生、老師外出交流、學習的機會將越來越多,VPN技術可以保證外出校內人員,可以在其他地域共享校內豐富的信息資源。從而實現(xiàn)傳統(tǒng)物理專用網(wǎng)絡所不能提供的功能,提高他們的工作、學習效率。
(三)校際交流
在高校經(jīng)費有限的背景下,要獲取更多的信息資源,多個高校實現(xiàn)信息資源共享,無疑是最經(jīng)濟、最有效的辦法。但是對處于不同城市的高校來說,鋪設專用的網(wǎng)絡線路對高校來說,顯然是不可能的。然而VPN技術僅需要簡單的部署即可完成上述效果,既經(jīng)濟又高效。
四、結論
針對高校多分校區(qū)、地域分散的特點,筆者通過VPN接入技術的分類、關鍵技術及其優(yōu)點等方面詳細論述了VPN技術,并總結了分布式校園網(wǎng)絡中,信息交換所呈現(xiàn)的一些特點,最后提出利用VPN技術,實現(xiàn)安全、高效的數(shù)據(jù)傳輸,并將其運用在高校內部網(wǎng)絡的各種方面。
參考文獻:
[1]郭小輝.高校多校區(qū)教學資源的整合與利用初探[J].重慶科技學院學報;社會科學版,2009,5:197-198
[2]王子悅.多校區(qū)大學教育管理體系研究[D].天津師范大學學報,2009
[3]陳震.VPN技術及其應用的研究[J].電腦知識與技術,2009,4:798-799
vpn技術論文篇2
關鍵詞:計算機網(wǎng)絡;VPN技術;運用;實踐
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)27-0012-02
隨著計算機網(wǎng)絡的快速發(fā)展,使得計算機網(wǎng)絡逐漸進入人們的實際工作中,并有效提高工作效率與工作質量,強化了計算機技術水平和技術含量。就現(xiàn)有計算機網(wǎng)絡來看,各項計算機技術的運用都存在極強的針對性,在各自的領域中發(fā)揮著巨大的作用,促進了行業(yè)發(fā)展的現(xiàn)代化和技術化。 VPN技術是計算機網(wǎng)絡技術發(fā)展后的成果,主要依托于ISP技術與NSP技術,通過虛擬專用網(wǎng)絡建立通信專門線路,實現(xiàn)信息數(shù)據(jù)的及時交換和共享。因此,VPN技術可以有效提高數(shù)據(jù)信息的準確性和安全性,保證計算機網(wǎng)絡系統(tǒng)的高效運行。
1 VPN技術綜合概述分析
1.1 VPN技術運行原理
就目前而言,VPN技術在實際運行中,主要利用雙網(wǎng)卡結構,外網(wǎng)卡通過公網(wǎng)IP連接Internet。若公網(wǎng)終端A訪問公司內網(wǎng)終端B,其訪問數(shù)據(jù)地址為公司內網(wǎng)終端B的IP地址。公網(wǎng)VPN網(wǎng)關接收終端A訪問數(shù)據(jù)包后,會對終端A的目標地址進行程序檢查,若目標地址為公司內網(wǎng)地址,公網(wǎng)VPN網(wǎng)關會對該數(shù)據(jù)包采取封裝處理,封裝的方式由VPN技術而決定。同時,VPN網(wǎng)關也會建立新VPN網(wǎng)關數(shù)據(jù)包,封裝后的數(shù)據(jù)包直接轉化成新VPN數(shù)據(jù)包的載荷,VPN數(shù)據(jù)包的目標地址就是公司內網(wǎng)VPN網(wǎng)關外部地址。因此,在VPN網(wǎng)關進行數(shù)據(jù)處理的過程中,原始數(shù)據(jù)包目標地址與遠程VPN網(wǎng)關地址起著至關重要的作用,在VPN地址的基礎上,VPN網(wǎng)關可以明確需要進行VPN處理的信息數(shù)據(jù),識別不需要VPN處理的數(shù)據(jù)包,并將其直接上傳到上級路由中。遠程VPN網(wǎng)關地址主要是對特定VPN數(shù)據(jù)包地址進行統(tǒng)一處理,也就是VPN隧道的另一端VPN網(wǎng)關地址。由于網(wǎng)絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網(wǎng)關都必須知道VPN目標地址和與此對應的遠端VPN網(wǎng)關地址。
1.2 VPN技術通信過程分析
在VPN技術的實際使用中,首先,網(wǎng)絡用戶要利用個人終端向區(qū)域內的 VPN 技術服務器進行訪問請求的發(fā)送,建立傳輸通道。VPN 服務器會及時接受個人終端發(fā)來的訪問請求,并對個人終端的身份進行有效驗證。其次,若個人終端身份通過訪問認證,訪問權限被允許,可以進行網(wǎng)頁的訪問;若個人終端身份沒有通過訪問認證,則訪問受限制,要進行重新訪問。在訪問允許后,計算機網(wǎng)會形成VPN虛擬化技術,使得網(wǎng)絡線路更具安全性和針對性。最后,用戶終端和網(wǎng)絡服務器建立有效的訪問聯(lián)系后,所有的傳輸數(shù)據(jù)在實際使用和運行過程中會進行加密與封裝處理,通過 VPN 網(wǎng)關技術隧道,將數(shù)據(jù)從發(fā)送端傳輸?shù)絍PN接收端。
1.3 VPN技術的優(yōu)勢
VPN技術在實際應用中具有很大的優(yōu)勢,主要表現(xiàn)在以下幾方面,第一,VPN技術易操作,使用流程相對簡單,并具有很高的經(jīng)濟性,運行成本相比于傳統(tǒng)租用DDN方式來說較低,后期維護費用也相對較低,這也是VPN技術被廣泛使用的重要原因之一。第二,VPN技術具有極強的高效性與便利性,在實際使用的過程中,通過專用網(wǎng)絡的連接,根據(jù)復雜性的網(wǎng)絡結構與傳輸訪問地址,構建多樣性與豐富性的通信線路,進而實現(xiàn)信息數(shù)據(jù)的快速傳輸。第三,VPN技術可以有效保證傳輸數(shù)據(jù)信息的真實性與可靠性,并在實際傳輸中通過高強度的認證系統(tǒng)和加密系統(tǒng),保證了數(shù)據(jù)信息的安全性,防止出現(xiàn)信息數(shù)據(jù)泄漏等安全問題,為網(wǎng)絡用戶的隱私提供了重要的安全保障。
2 計算機網(wǎng)絡中VPN技術分析
2.1 MPLS VPN技術
MPLS VPN主要是建立在MPLS技術基礎之上的IP VPN,主要是在網(wǎng)絡路由或者是交換器設備上通過MPLS多協(xié)議標記交換技術來優(yōu)化核心路由器的選擇方式,充分結合傳統(tǒng)路由交換技術實現(xiàn)IP專用網(wǎng)絡的虛擬化。MPLS VPN技術的最大特點在于在實際應用過程中,可以將網(wǎng)關二層交換與三層路由技術充分的結合在一起,進而共同作用實現(xiàn)VPN和服務分類以及流量工程等方面的管理。從另一方面上看,MPLS VPN 技術可以在數(shù)據(jù)訪問與傳輸中,迅速建立 IP 虛擬專用網(wǎng)絡,加快網(wǎng)頁訪問以及數(shù)據(jù)傳輸?shù)乃俣扰c效率,簡化路由器的選擇方式,避免虛擬專用網(wǎng)絡運行中的沖突,用戶提供更好的網(wǎng)絡服務。
2.2 IPSEC VPN 技術
IPSEC VPN 技術主要是建立在IPSEC協(xié)議基礎上的VPN技術,IPSEC協(xié)議是一種由IETF設計、確保基于IP通訊數(shù)據(jù)安全性的機制,可以為VPN通信傳輸提供隧道安全保證。在IPSEC VPN 技術的實際應用中,通過VPN網(wǎng)關的遠程連接,將多個局域網(wǎng)進行有效的組建與分析,進而構建一個新的虛擬局域網(wǎng)絡。同時,通過IPSEC VPN 技術構建的虛擬局域網(wǎng)具有極強的穩(wěn)定性和有效性。IPSEC VPN技術的實現(xiàn)原理與計算機過濾防火墻相似,在實際操作中,網(wǎng)絡服務器接收數(shù)據(jù)包后,會按照安全策略在數(shù)據(jù)庫中進行數(shù)據(jù)包的查詢處理,將查詢處理結果列為操作依據(jù)。在局域網(wǎng)特定范圍內,IPSEC VPN 技術的數(shù)據(jù)傳輸和處理能力,具有加密機制,進而強化認證手段。針對外部站點,在進行虛擬局域網(wǎng)訪問中,會進行信息過濾,全方位確認數(shù)據(jù)的質量。因此,PSEC VPN技術的廣泛使用,無論是在經(jīng)濟效益還是在社會效益方面,都具有很大優(yōu)勢,獲得廣大用戶的高度重視。
2.3 SSL VPN技術
SSL VPN技術主要依托于HTTPS,應用在傳輸層與應用層間的數(shù)據(jù)傳輸、交換以及共享。SSL VPN通過SSL協(xié)議設置生局域網(wǎng)訪問權限,建立身份認證和數(shù)據(jù)加密以及消息完整性驗證等安全訪問機制,在應用層于傳輸層間建立一條安全的通信渠道。在實際應用過程中,SSL VPN技術存在Web 瀏覽器、SSL VPN 客戶端和 LAN 到 LAN 等工作模式,在Web 瀏覽器工作模式中,用戶可以通過SSL 協(xié)議構建虛擬專用網(wǎng)絡,對公司內部網(wǎng)關進行遠程訪問,可以完全忽略網(wǎng)絡配置對遠程訪問的影響,進而有效減少VPN 系統(tǒng)運行時間和工作量,提高VPN管理效率。在SSL VPN 客戶端工作模式中,可以利用 SSL 協(xié)議客戶端實現(xiàn)遠程應用服務器的訪問,在此過程中客戶端和服務器中的加密數(shù)據(jù)主要靠隧道數(shù)據(jù)進行傳輸,進而提高數(shù)據(jù)傳輸?shù)姆€(wěn)定性與安全性。LAN 到 LAN 工作模式主要適用于不同局域網(wǎng)絡的數(shù)據(jù)傳輸,實現(xiàn)各個局域網(wǎng)之間的通信傳輸,并設置加密處理,提高數(shù)據(jù)包的可靠性。目前,SSL VPN廣泛應用在基于Web遠程接入領域中,為用戶遠程訪問公司內部網(wǎng)絡提供了安全保證。
3 計算機網(wǎng)絡中VPN技術的實際應用
3.1 在公司內部網(wǎng)絡中的應用
VPN技術在公司內部網(wǎng)絡中的應用主要體現(xiàn)在地址管理中,為用戶提供安全性高的網(wǎng)絡地址。例如,某集團有大約30個分公司,分布在全國各地,為了便于各個分公司與總公司交流溝通,保證工作效率和工作質量,集團企業(yè)可以通過VPN技術進行計算機網(wǎng)絡溝通。首先,集團企業(yè)要和旗下分公司建立VPN網(wǎng)絡聯(lián)系,利用加密處理的VPN共網(wǎng)實現(xiàn)集團企業(yè)服務器與子公司服務器的訪問。在服務器系統(tǒng)中設置視頻會議、郵件以及辦公自動化系統(tǒng),實現(xiàn)網(wǎng)絡聯(lián)系的多元化,滿足實際的工作需求。
在VPN技術實際運行的過程中,集團企業(yè)可以根據(jù)子公司網(wǎng)絡用戶的屬性以及運營規(guī)模將其分為以下幾個方面。第一,移動用戶。規(guī)模較小分公司或者是利用網(wǎng)絡連接集團企業(yè)單機,在進行VPN技術使用中要設置Client軟件,將用戶所在局域網(wǎng)絡與VPN虛擬技術聯(lián)系在一起,依托SplitTunneling安全機制有效保障核心網(wǎng)關的使用安全。另一方面看,這種傳輸方式可以讓遠程辦公室網(wǎng)關將VPN作為傳輸載體進行集團企業(yè)內網(wǎng)的訪問。第二,子公司用戶所在局域網(wǎng)不具備地址轉換器以及防火墻功能,并占用集團企業(yè)共網(wǎng)地址。對于這樣的子公司,集團企業(yè)要在子公司的以太網(wǎng)中設置網(wǎng)關交換器與路由器進行與子公司網(wǎng)絡的連接。第三,對于需要安裝防火墻的子公司,一方面,集團企業(yè)可以利用VPN技術進一步完善企業(yè)網(wǎng)絡設計,減少不必要的安裝程序,建立VPN網(wǎng)絡通信系統(tǒng),使子公司的公司活動與銷售情況始終處于集團企業(yè)網(wǎng)絡監(jiān)控中,降低通信成本。另一方面,為了保證網(wǎng)絡通信的安全性,集團企業(yè)可以通過VPN技術提高網(wǎng)絡通信的安全性,在企業(yè)內部網(wǎng)關中設置VPN機密機制,保證內外網(wǎng)的安全性。同時,還要進行VPN軟件的擴展,為子公司的增加做好充分的準備。
綜上所述,集團企業(yè)通過VPN技術與子公司進行溝通的過程中,形成VPN通信網(wǎng)絡通道,不僅節(jié)省了大量的通信費用,其建設投資與后期維護費用也相對較低。在遠程訪問中要做好安全防護措施,安裝安全認證機制,強化生產(chǎn)管理監(jiān)督、視頻會議以及異地協(xié)同辦公等具體功能,促進集團企業(yè)管理的現(xiàn)代化和信息化以及系統(tǒng)化,滿足集團企業(yè)的發(fā)展需求。
3.2 在圖書館管理中的應用
目前,VPN技術已經(jīng)廣泛地應用在高校圖書館計算機網(wǎng)絡管理系統(tǒng)中,有效提高高校圖書館管理效率和管理質量,實現(xiàn)現(xiàn)代化管理模式。隨著學校規(guī)模的擴大,增加了分校的數(shù)量,學校可以引入VPN技術實現(xiàn)各個學校之間的聯(lián)系與溝通,各個學校圖書館局域網(wǎng)可以互相訪問,節(jié)省了大量的訪問時間,實現(xiàn)各個分校圖書館資源的共享,進而提高了高校圖書館管理效率。在實際的使用過程中,圖書館VPN服務器不僅要連接互聯(lián)網(wǎng),還要連接到高校內部VPN專網(wǎng),通過公共目標地址,在分校與總校進行網(wǎng)絡通信過程中,要將相關數(shù)據(jù)信息上傳到本地計算機中,并通過身份認證和數(shù)據(jù)加密以及隧道協(xié)議等VPN技術安全機制提高信息傳輸?shù)挠行院桶踩浴T谟嬎銠C發(fā)出指令后,VPN服務器要對計算機指令進行分析與判斷,過濾信息數(shù)據(jù),驗證用戶身份,若安全,訪問用戶才會有局域網(wǎng)訪問權限,服務器認可網(wǎng)絡連接,反之則阻止用戶訪問。在實際身份驗證中,VPN服務器會通過公鑰進行訪問信息的加密,路由將數(shù)據(jù)信息傳送到目標地址。
3.3 VPN 技術在計算機教學資源網(wǎng)中的應用
VPN技術應用在計算機教學資源網(wǎng)中,可以豐富教學資源,利用校園內外網(wǎng)關的連接訪問,使得教育信息網(wǎng)絡連接公網(wǎng)internet ,在此過程中,校園外網(wǎng)很容易受到其他網(wǎng)絡攻擊,傳統(tǒng)網(wǎng)絡無法進行教育資源的加密,在用戶身份安全和教學資源安全方面都存在較大的漏洞,不利于計算機教學資源網(wǎng)的應用與發(fā)展。針對以上安全問題,VPN技術的實際應用很好地解決了信息傳輸以及用戶身份的安全問題,有效提高網(wǎng)絡使用的安全性和有效性。在VPN技術中,SSL是一個相對于平臺與應用的獨立協(xié)議,主要應用在安全層中,利用 TCP技術保障訪問用戶的個人信息。因此,在構建校園計算機教學資源網(wǎng)中,要重視VPN網(wǎng)絡工程設計,特別是用戶身份認證以及訪問權限,利用SSL VPN 技術構建VPN公網(wǎng),加強數(shù)字證書技術的用戶身份認證控制,通過USB-key 實現(xiàn)教學資源的安全操作,進而對校園計算機教學資源網(wǎng)進行不斷的優(yōu)化和完善,滿足學校的教學需求。
4 結束語
綜上所述,VPN技術日益發(fā)展成熟,在進行數(shù)據(jù)傳輸和共享中可以有效提高網(wǎng)絡環(huán)境的穩(wěn)定性和安全性,為數(shù)據(jù)信息的真實與完整提供了重要的安全保障,實現(xiàn)現(xiàn)代化與信息化管理水平。
參考文獻:
[1] 李春泉, 周德儉, 吳兆華. VPN技術及其在企業(yè)網(wǎng)絡安全技術中的應用[J]. 桂林工學院學報, 2004(3).
[2] 李亞利. 關于計算機網(wǎng)絡中常用VPN技術的分析[J]. 信息與電腦(理論版), 2014(10).
[3] 許偉, 婁松濤. VPN 技術在計算機網(wǎng)絡中的應用研究[J]. 電子技術與軟件工程, 2014(4).
[4] 劉晉州. 基于VPN的計算機虛擬網(wǎng)絡技術及應用[J]. 電腦知識與技術, 2016(7).
[5] 趙凌琪. VPN技術及其在網(wǎng)絡管理系統(tǒng)開發(fā)中的應用[J]. 內蒙古師范大學學報(自然科學漢文版), 2003(4).
[6] 王文波, 王亞萍, 劉U. VPN 技術在醫(yī)院網(wǎng)絡中的應用研究[J]. 中國醫(yī)療設備, 2014(4).
vpn技術論文篇3
[關鍵詞]VPN 隧道 internet
[中圖分類號]F626.5 [文獻標識碼]A [文章編號]1009-5349(2012)02-0111-01
隨著以Internet為標志的信息技術革命的飛速發(fā)展,網(wǎng)絡正在迅速地滲入人們的生活中,依靠互聯(lián)網(wǎng)絡人們的生活越來越便捷,溝通越來越緊密。伴隨著internet應用在商務活動中的不斷深入,越來越多的企業(yè)希望其生意伙伴、供應商及附屬企業(yè)等也能夠訪問本企業(yè)的局域網(wǎng),從而使商務活動可以通過網(wǎng)絡就能進行,大大節(jié)約了人力和物力,縮短了交易時間,減少了支出成本。但是這些企業(yè)間的商務活動是動態(tài)變化的,并需要依托于公用網(wǎng)絡之上的,且由于公用網(wǎng)絡是一個全球性的計算機通信網(wǎng)絡,它具有資源共享和信息互通的特性,而一些用戶間的互通和交流又是想要對其他用戶進行保密的,于是網(wǎng)絡的安全性逐漸成為一個潛在的巨大問題,這就需要有一種技術來解決這些問題,保證這些有保密需要的企業(yè)能順利地進行信息交流,并保證企業(yè)信息的安全性。
基于各種需求,VPN技術應時而生。VPN(Virtual Private Network),即“虛擬專用網(wǎng)絡”,簡單地可以把它理解成是虛擬出來的企業(yè)內部專線。它在Internet上通過特殊的加密的通訊協(xié)議連接位于網(wǎng)絡上不同地理位置的兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路,VPN是指依靠Internet服務提供商(ISP)和其他網(wǎng)絡服務提供商(NSP),在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。
一、VPN原理
VPN即在公用數(shù)據(jù)網(wǎng)上建立一條數(shù)據(jù)通道,這條數(shù)據(jù)通道就是隧道,隧道技術是VPN得以實現(xiàn)的關鍵技術,數(shù)據(jù)包從這條隧道上通過,從而實現(xiàn)虛擬通信。VPN的原理就是兩臺計算機通過連接到internet建立一條臨時的、安全的、專用的連接。這倆臺計算機之間組成一個私有網(wǎng)絡,它們之間的通信內容進行封裝后經(jīng)過這條專用的隧道進行傳輸,然后在接收方進行解封裝,還原成發(fā)送方的通信內容。沒有參與虛擬通信的設備共享不到進行虛擬通信的設備之間傳輸?shù)臄?shù)據(jù),因為這些私有的網(wǎng)絡和沒參與虛擬通信的網(wǎng)絡使用了不同的地址空間和協(xié)議,即私有網(wǎng)絡和公用網(wǎng)絡之間是不兼容的,VPN是一種邏輯意義上的網(wǎng)絡。
二、VPN的安全保障
由于VPN越來越廣泛的應用和其技術特點,數(shù)據(jù)的安全問題成為VPN技術的關鍵問題。為保證數(shù)據(jù)的安全性,目前VPN主要采用四項技術:1.隧道技術(Tunneling)。隧道技術對于VPN具有重要意義。隧道技術的技術關鍵是分組封裝,它將私有網(wǎng)的數(shù)據(jù)進行封裝并在隧道中進行傳輸,隧道技術在虛擬網(wǎng)接入公用網(wǎng)的接口處將數(shù)據(jù)打包封裝成可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式,在虛擬網(wǎng)結點與公網(wǎng)的接口處將數(shù)據(jù)解封裝,得到數(shù)據(jù)。隧道由一系列隧道協(xié)議組成,定義了較為完整的數(shù)據(jù)封裝和安全協(xié)議及其算法。2.加解密技術(Encryption & Decryption)。發(fā)送的一方將數(shù)據(jù)進行特定加密后再發(fā)送數(shù)據(jù),當數(shù)據(jù)到達接收的一方時由接收方對數(shù)據(jù)進行解密處理的全過程。3.密鑰管理技術(Key Management)。為了滿足在公用數(shù)據(jù)網(wǎng)上所傳送的數(shù)據(jù)的安全性和完整性的需要,密鑰管理技術是解決如何傳遞密鑰而不被非法篡改和盜竊的技術。4.使用者與設備身份認證技術(Authentication)。最常用的是用戶名、口令或智能卡認證等方式。
三、VPN特點
1.低廉的成本。由于VPN是利用現(xiàn)有的公共網(wǎng)絡,不需要重新構建一個新的網(wǎng)絡,只是在公共網(wǎng)絡上建立一個虛擬的邏輯上的網(wǎng)絡,因此VPN可以大大降低構建網(wǎng)絡的成本。與專線式的架構方式相比較,VPN在設備的使用量及廣域網(wǎng)絡的頻寬使用上,都很節(jié)省,企業(yè)也不必投入大量的人力物力安裝維護設備。2.網(wǎng)絡架構靈活。VPN與專線式的結構相比更加靈活,VPN的構架可以根據(jù)用戶的需要進行修改,可以隨意增加新的節(jié)點,具有良好的擴展性,無論是企業(yè)的專線用戶,還是個人撥號用戶都可以采用VPN的方式實現(xiàn)互聯(lián)。3.良好的安全性。為了確保數(shù)據(jù)的安全性,VPN架構中采用了多種安全機制,如隧道技術、加解密技術、身份認證技術、防火墻等技術,通過這些網(wǎng)絡安全技術,確保通過VPN上傳送的數(shù)據(jù)不會被攻擊者窺視和篡改,防止非法用戶的訪問。4.便于管理。VPN使用了較少的設備來建立網(wǎng)絡,使網(wǎng)絡的管理較為輕松;各種類型的用戶,都通過VPN的隧道進入內部網(wǎng),可以實現(xiàn)各種類型的用戶間的互聯(lián)。5.使用方便。VPN的建立無需安裝任何軟件,無論何時何地,在有公用網(wǎng)絡的前提下,只需在電腦中添加一個網(wǎng)絡連接,即可與服務器瞬時連接,遠程進行操作。
四、VPN發(fā)展與應用
VPN適用于那些位置眾多、用戶分布范圍較廣,特別是遠程辦公室站點多的企業(yè)和那些彼此之間的距離遠、遍布全球各地的用戶;還有那些要求對所傳輸?shù)男畔⑦M行保密并保證信息準確性的用戶。隨著internet的迅猛發(fā)展,為VPN提供了良好的網(wǎng)絡基礎,全球化的企業(yè)為VPN提供了廣闊的市場,這都使VPN的發(fā)展與普及成為必然,VPN將具有巨大的發(fā)展前景。
vpn技術論文篇4
【關鍵詞】 MplsVpn Mpls/BgpVpn
引言
MPLS VPN是一種基于MPLS技術的IP-VPN,是在網(wǎng)絡路由和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡,滿足多種靈活的業(yè)務需求。采用此技術可以把現(xiàn)有的IP網(wǎng)絡分解成邏輯上隔離的網(wǎng)絡,提高網(wǎng)絡安全性和可管理性;且基于MPLS VPN的QoS策略也為新興業(yè)務提供了強有力保障。
1 MplsVpn的技術
MPLS是一種介于二層和三層之間的技術,它沒有限定二層所必需使用的鏈路層協(xié)議,具有很好的網(wǎng)絡適應性。MPLS包頭包含20比特的標簽,3個比特的EXP,1個比特的S,用于標識這個MPLS標簽是否是最低層的標簽,和8個比特的TTL-Time To Live。理論上標簽可以多層嵌套。
如果2層協(xié)議具有標簽域,標簽封裝在這些域中,反之,標簽則封裝在2層和IP層之間的一個薄層中。這樣,標簽可被任意的鏈路層所支持。MPLS可承載的報文通常是IP包,也可承載二層數(shù)據(jù)報文,可承載MPLS的二層協(xié)議可以是PPP、以太網(wǎng)、ATM和幀中繼等。在MPLS中,一個標簽標識了一個轉發(fā)等價類。一個轉發(fā)等價類是在網(wǎng)絡中遵循同樣的轉發(fā)路徑的報文的集合,這些報文的目的地址甚至可以不同。
2 MplsVpn的實現(xiàn)原理
MPLS是一種面向連接的技術,網(wǎng)絡整體由LSR和LSE組成。LSR是MPLS的網(wǎng)絡的核心交換機,它提供標簽交換和分發(fā)功能。LER部屬在MPLS的網(wǎng)絡邊緣,進入到MPLS網(wǎng)絡的流量由LER分為不同的FEC,并為這些FEC請求相應的標簽。它提供流量分類和標簽的映射、移除功能。MPLS通過MPLS信令或手工配置的方法,建立MPLS標記交換連接。在數(shù)據(jù)轉發(fā)過程中,在網(wǎng)絡入口進行流分類,根據(jù)數(shù)據(jù)流所屬的FEC選擇相應的LSP,把需要通這條LSP的報文打上相應的標簽,中間路由器在收到MPLS報文后直接根據(jù)MPLS報頭的標簽進行轉發(fā),大大加快了包文轉發(fā)速率。在MPLS標記交換路徑的出口,彈出MPLS包頭,還回原來的IP包。由于FEC可以按照目的地址劃分,這同傳統(tǒng)的IP轉發(fā)相同,也可以是基于源地址、目的地址、源端口、目的端口、協(xié)議類型等等信息的任意組合。而MPLS可把任何流關聯(lián)到一個FEC,然后把一個FEC映射到一個LSP,這個LSP可以是為了這種FEC而特殊構造的,這使得服務提供商可以非常精確地控制網(wǎng)絡中的每個流。這種空前的控制能力使網(wǎng)絡能夠提供更加有效和可預測的服務。
MPLS VPN有三種類型的路由器,P路由器、PE路由器和CE路由器。其中,P路由器是MPLS網(wǎng)絡骨干路由器,也就是MPLS網(wǎng)絡中的標簽交換路由器(LSR),它根據(jù)分組的外層標簽對VPN數(shù)據(jù)進行透明轉發(fā),P路由器只維護到PE路由器的路由信息而不維護VPN相關的路由信息; PE路由器是MPLS網(wǎng)絡骨干邊緣路由器,也就是MPLS網(wǎng)絡中的標簽邊緣路由器 (LER),它將來自CE路由器或標簽交換路徑(LSP)的VPN數(shù)據(jù)處理后進行轉發(fā),同時負責和其他PE路由器交換路由信息;CE路由器是客戶端路由器,為用戶提供到PE路由器的連接。
MPLS VPN可以分為BGP擴展和LDP擴展。根據(jù)PE設備是否參與VPN路由又細分為二層VPN和三層VPN。同傳統(tǒng)IP VPN不同,MPLS VPN是依靠轉發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN。其中以BGP擴展實現(xiàn)的三層VPN應用最為廣泛。
3 Mpls/Vpn技術的應用方式和優(yōu)勢
MPLS VPN可分為企業(yè)內部虛擬網(wǎng)、企業(yè)擴展虛擬網(wǎng)、遠程訪問虛擬網(wǎng)。該技術特別適合改造企業(yè)網(wǎng),它具有如下優(yōu)勢:
(1)以多種方式增強了網(wǎng)絡的智能和安全性。
(2)簡化了網(wǎng)絡設計,以及所需的接口、用戶認證等的設備和處理。
(3)降低了通信成本和主要設備成本。
(4)容易擴展。
(5)支持新興應用,可以支持各種高級的應用和各種協(xié)。
綜上所述,利用 MPLS VPN技術改造傳統(tǒng)的企業(yè)網(wǎng),為企業(yè)進一步發(fā)展提供了可靠的技術保障。
4 Mpls/BgpVpn在網(wǎng)絡實現(xiàn)
在MPLS/BGP VPN的模型中,網(wǎng)絡由MPLS的骨干網(wǎng)與用戶的各個Site組成,所謂VPN就是對site集合的劃分,一個VPN就對應一個由若干site組成的集合。但必須遵循如下規(guī)則:兩個Site之間只有至少同時屬于一個VPN定義的Site集合,才具有IP連通性。
在基于MP-BGP協(xié)議的MPLS VPN體系中,存在兩個層面的路由,即域內路由和VPN路由。 所有的PE路由器及P路由器上要運行主干網(wǎng)的域內路由,生成的路由表將觸發(fā)主干網(wǎng)中LSP的建立,通過CR-LDP或RSVP等信令協(xié)議建立LSP,產(chǎn)生的標簽轉發(fā)表用于VPN分組外層標簽的交換。PE路由器之間運行MP-iBGP協(xié)議,該協(xié)議跨越主干的P路由器在PE之間分發(fā)VPN標簽,形成VPN路由,MP-iBGP的一條VPN路由包含的信息有:IPv4地址、路由區(qū)分符(RD)、路由目標(RT)、VPN標簽和下一跳PE地址。
MPLS VPN IP路由表及相關的VPN IP轉發(fā)表被統(tǒng)稱為VPN路由和轉發(fā)實例(VRF)。通常PE路由器上每個用戶的端口與一個特定的VRF相關聯(lián),從該端口輸入的VPN分組將根據(jù)各自對應的VRF查找其VPN標簽和下一跳的出口PE路由器地址。VRF隔離了不同的VPN。VPN的成員關系是通過路由所攜帶的route target屬性來獲得的,每個VRF配置了一些策略,規(guī)定一個VPN可以接收或向外哪些Site來的路由信息。 每個PE根據(jù)BGP擴展的信息進行路由計算,生成每個相關VPN的路由表。
RT來控制VRF的導入和導出策略,以構成各種復雜的VPN拓撲。一個VPN有可能不止使用一個RT,RT的具體使用與VPN的拓撲結構密切相關, 可以用一個或多個RT。當從PE導出VPN路由時,要用RT對VPN路由進行標記,在往VRF中導入路由時,可以使用多個RT,只要有一個VPN路由中附帶的RT與導入路由中的任意RT相同,都將被導入到該VRF中。通過RT的導入和導出,MPLS可靈活的實現(xiàn)多種拓撲結構和路由層面的VPN訪問控制。
在MPLS/BGP VPN中,屬于同一VPN的兩個site之間轉發(fā)報文,使用兩層標簽來解決,在入口PE上為報文打上兩層標簽,第一層(外層)標簽在骨干網(wǎng)內部進行交換,代表了從PE到對端PE的一條隧道,VPN報文打上這層標簽,就可以沿著LSP到達對端PE,這時候就需要使用第二層(內層)標簽,這層標簽指示了報文應該到達哪個site,這樣,根據(jù)內層標簽,就可以找到轉發(fā)的接口。
5 結束語
MPLS VPN已其高安全性、高可靠性及低成本等優(yōu)勢的到了各行業(yè)的廣泛應用;發(fā)展前景較為樂觀,經(jīng)過MPLS VPN技術的不斷完善和發(fā)展,為用戶提供更加滿意的服務和更加豐富的業(yè)務,成為VPN技術的主流。
參考文獻:
[1]《MPLS技術白皮書》華為公司
vpn技術論文篇5
關鍵詞:VPN;隧道;加解密;認證;安全性
中圖分類號:TP393.18 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Analysis of Virtual Professional Network VPN Technology
Wang Ke
(Zhengzhou University,Information Network Key Laboratory 2009 Grade,Zhengzhou450001,China)
Abstract:The virtual professional network VPN tunneling technology,encryption technology,key management and authentication technology for a specific description,also referred to the VPN security issues for further follow-up research and application of the VPN to lay a theoretical basis.
Keywords:VPN;Tunnel;Encryption and decryption;Certification;Security
一、VPN技術介紹
VPN主要采用隧道技術、加解密技術、密鑰管理技術和身份認證技術。
(一)隧道技術
1.隧道技術基礎。隧道技術是VPN的關鍵技術,主要包括數(shù)據(jù)封裝、傳輸和數(shù)據(jù)拆封三個部分。隧道技術是一種通過公共網(wǎng)絡的基礎設施,在專用網(wǎng)絡或專用設備之間實現(xiàn)加密數(shù)據(jù)通信的技術。通信的內容包括各種通信協(xié)議的數(shù)據(jù)包,隧道協(xié)議將這些數(shù)據(jù)包重新封裝在新的包中發(fā)送,新的包頭提供了路由信息,從而使封裝的數(shù)據(jù)能夠通過公共網(wǎng)絡傳遞,傳遞時所經(jīng)過的邏輯路徑稱為隧道,當數(shù)據(jù)包到達通信終點后,將被拆封并轉發(fā)到最終目的地。隧道技術就是指包括數(shù)據(jù)封裝,傳輸和解包在內的全過程,如圖1所示。
圖1:隧道傳輸過程
2.隧道協(xié)議。隧道的客戶機和服務器雙方必須使用相同的隧道協(xié)議創(chuàng)建隧道。隧道協(xié)議是隧道技術的核心,基于不同的隧道協(xié)議所實現(xiàn)的VPN是不同的。典型的隧道協(xié)議有PPTP、L2TP和IPSec等協(xié)議。
(二)加解密技術
加解密技術主要就是處理好保密、認證和完整性這三個方面的問題。
1.保密。數(shù)據(jù)在網(wǎng)絡傳輸?shù)倪^程中,由于需要經(jīng)過多個中間節(jié)點進行轉發(fā),因此很容易就被截獲。為了保證數(shù)據(jù)的保密性,就需要對數(shù)據(jù)使用密文進行加密傳輸。密文即使被第三方截獲,也無法解析其含義。
2.認證。接收方在收到數(shù)據(jù)后,為了驗證數(shù)據(jù)確實是從發(fā)送放發(fā)來的,而不是第三方冒充的,就需要對發(fā)送方進行認證。認證需要使用一個憑據(jù),即數(shù)字證書(Certificate),相當于個人的護照。Certificate由專門的證書管理機構CA(Certificate Authority)發(fā)放。
3.完整性。雖然數(shù)據(jù)在加密傳輸?shù)倪^程中第三方無法截獲內容,但是第三方還是可以對其實施破壞活動,譬如將數(shù)據(jù)截掉部分,接收者進行解密后便獲得不了完整的信息。為了保證傳送的數(shù)據(jù)完整性,對接收到的數(shù)據(jù)進行完整性校驗是非常有必要的。
(三)密鑰管理技術
密鑰管理技術的主要任務是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。從密鑰管理技術角度進行分類,可將其分為對稱密鑰管理和公開密鑰管理(數(shù)字證書)兩部分。
1.對稱密鑰管理技術。對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術的貿易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。
2.公開密鑰管理(數(shù)字證書)技術。貿易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。數(shù)字證書通常包含有唯一標識證書所有者(即貿易方)的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等,證書由專門的證書管理機構CA發(fā)放。
(四)身份認證技術
VPN需要解決的首要問題是網(wǎng)絡上的用戶與設備都需要有確定的身份認證。不管其它安全設施有多嚴密,一旦身份認證將錯誤,必將導致整個VPN的失效。隨著技術的發(fā)展,常規(guī)用戶名+密碼方式(PAP)已經(jīng)不能提供足夠的安全保障。有專門機構發(fā)放的數(shù)字證書,可以為設備提供更安全的認證。
二、VPN的安全性問題介紹
VPN的核心問題時安全問題。目前,VPN主要是通過防火墻技術、路由器配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)安全保證的。但是,當一個企業(yè)的VPN需要擴展到遠程訪問時,那么長時間在線就容易受到黑客的攻擊。公司安全防御系統(tǒng)中的弱點就是遠程工作員工通過防火墻之外的個人計算機可以接觸到公司的核心內容。從安全的觀點來看,在家辦公的個人,是黑客攻擊的重點目標,因為為家用計算機在安全軟件使用方面沒有公司做的到位。一般情況下,員工使用家用計算機時,僅僅是跟隨計算機通過一條授權的連接進入公司網(wǎng)絡系統(tǒng),侵入者可以通過一個被信任的用戶進入網(wǎng)絡。
安全的加密隧道和正確的連接,也無法保證家庭計算機的安全。黑客為了侵入員工的家用計算機,首先需要做的是探測IP地址,如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路(通常這種連接具有一個固定的IP地址),這時就要當心黑客的入侵。因此,必須在個人計算機上安裝個人防火墻區(qū)有效的堵住遠程訪問VPN的安全漏洞,保護網(wǎng)絡的安全。
三、總結
文章對虛擬專業(yè)網(wǎng)絡VPN的隧道技術、加解密技術、密鑰管理技術和身份認證技術進行了具體介紹,同時還提及了VPN的安全性問題,為后續(xù)進一步對VPN的研究和應用打下了理論基礎。
參考文獻:
[1]肖銘.VPN隧道封裝性能分析與研究[J].計算機與數(shù)字工程,2003
[2]利業(yè)韃.淺談虛擬專業(yè)網(wǎng)絡(VPN)及其應用[J].高技術縱覽,2006
[3]邊倩.虛擬專用網(wǎng)(VPN)的實現(xiàn)方法[J].計算機應用,2005
vpn技術論文篇6
論文摘要:本文通過對網(wǎng)絡存儲技術、虛擬專網(wǎng)vpn技術的設計原則和關健技術的詳細介紹,全面分析了這兩項技術的性能特點,以及在“共享工程”天津分中心和18家區(qū)縣支中心的具體實現(xiàn)方案與發(fā)展設計構想,闡述了這兩項技術的發(fā)展前景,及其在全國文化信息資源共享工程得到廣泛應用的必然性。
全國文化信息資源共享工程(以下簡稱文化共享工程)是由文化部、財政部共同組織實施的一項社會主義文化建設標志性工程,是新形勢下構建我國公共文化服務體系、惠及千家萬戶的一項重要文化基礎工程。“共享工程”將充分利用現(xiàn)代高新技術手段,將中華民族幾千年來積淀的各種類型的文化信息資源精華以及貼近大眾生活的現(xiàn)代社會文化信息資源,進行數(shù)字化加工處理與整合;建成互聯(lián)網(wǎng)上的中華文化信息中心和網(wǎng)絡中心,并通過覆蓋全國所有省、自治區(qū)、直轄市和大部分地(市)、縣(區(qū))以及部分鄉(xiāng)鎮(zhèn)、街道(社區(qū))的文化信息資源網(wǎng)絡傳輸系統(tǒng),實現(xiàn)優(yōu)秀文化信息在全國范圍內的共建共享。該工程于2004年4月正式啟動實施。
在中央和地方各級財政的大力支持下經(jīng)過不斷努力,文化共享工程技術體系已經(jīng)初步形成:在資源數(shù)字化方面,以數(shù)字圖書館技術為依托,建成了國家中心和各省級分中心的資源加工管理系統(tǒng);在傳輸建設方面,形成了以互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)、有線電視及數(shù)字電視網(wǎng)為主要傳輸渠道,光盤、移動存儲設備為輔助傳輸手段的網(wǎng)絡傳輸體系,實現(xiàn)了文化信息資源的有效傳遞;在終端服務上,提供了國家中心網(wǎng)站、省分中心網(wǎng)站、省分中心鏡像站、衛(wèi)星終端服務系統(tǒng)、文化共享工程基層服務系統(tǒng)、有線電視、數(shù)字電視、光盤、移動硬盤等手段,方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。
本文從動態(tài)發(fā)展的角度,以現(xiàn)有的技術體系為基礎,簡要對網(wǎng)絡存儲技術與虛擬專網(wǎng)vpn技術在“文化共享工程”中應用加以論述。
1網(wǎng)絡存儲技術
文化共享工程以加工整合各類優(yōu)秀文獻信息資源為重點,建成了具有一定規(guī)模的文獻信息資源庫群。截至2007年6月,數(shù)字資源的總量己達到60tb。資源的存儲成為了各級分中心核心建設的重中之重。
1.1存儲系統(tǒng)設計原則
存儲系統(tǒng)的設計要遵循以下原則:
先進性和實用性:在方案總體設計規(guī)劃時不僅要滿足當時業(yè)務需求,而且充分考慮未來的需求可能。保證硬件環(huán)境的先進性,盡可能采用業(yè)界領先的技術。軟件環(huán)境的先進性,要從軟件平臺,設計思想、系統(tǒng)結構等方面考慮,選擇先進、可靠的應用平臺。
安全可靠性:存儲系統(tǒng)要保證365 x 24小時的不間斷穩(wěn)定運行,具有災難恢復能力。
靈活性與可擴展性:網(wǎng)絡存儲系統(tǒng)是一個不斷發(fā)展的系統(tǒng),所以它具有良好的擴展性,方便的擴大容量和提高層次的功能,支持多種通信媒體、多種物理接口的能力,提供技術升級、設備更新的靈活性。
開放性/互聯(lián)性:具備與多種協(xié)議計算機通信網(wǎng)絡互聯(lián)互通的特性,確保網(wǎng)絡存儲系統(tǒng)基礎設施的作用可以充分發(fā)揮。
經(jīng)濟性/投資保護:以較高的性能價格構建網(wǎng)絡系統(tǒng),充分利用以往在資金與技術方面的投人。
可管理性:采用智能化,可管理的設備,先進的管理軟件,實現(xiàn)先進的分布式管理。實現(xiàn)監(jiān)控、監(jiān)測整個系統(tǒng)的運行狀況,合理分配資源、動態(tài)配置負載等等。
綜上所述,存儲設備的選擇可按需定制,根據(jù)不同預算情況,不僅滿足當前需求,還要兼顧將來的升級維護。
1. 2存儲系統(tǒng)解決方案
1.2.1省級分中心的存儲解決方案
天津圖書館作為“共享工程”的省級分中心,以其存儲系統(tǒng)為例:存儲設備采用的是emc clari-ion cx500存儲系統(tǒng)。cx500提供了一種沒有任何單點故障的可擴展、高可用性體系結構,采用了通用的硬件體系結構和軟件應用程序套件,通過emcnavisphere進行集中管理并支持基于存儲的業(yè)務連續(xù)性和災難恢復功能,保證了數(shù)據(jù)的完整性和高可用性。具有了全局熱備功能,冗余電源和冷卻,通向光纖通道和ata磁盤驅動器的四條通路,雙活動存儲處理器,整個陣列內的數(shù)據(jù)通路奇偶校驗等許多特性。
在性能方面,cx500配有4個用于san連接的2gb前端光纖通道端口和4個光纖通道和ata磁盤驅動器的2gb后端光纖通道通路,可以有效地支持多達120個驅動器而不會出現(xiàn)性能降級。cx500同時支持高性能光纖通道驅動器和高容量ata驅動器,所以提供了最好的部署靈活性。鑒于共享工程資源存儲的需求,天津圖書館的cx500共配置了3個光纖磁盤柜共15tb的存儲空間,其中包括7. 5tb的光纖硬盤和7. 5tb的sata硬盤。
在軟件支持方面,cx500在設計上可同時支持多達128部服務器,大大簡化存儲設施的整合過程。它符合絕大多數(shù)常用服務器操作環(huán)境的要求,其中包括microsoft windows, sun solaris, unix, linux和netware平臺等,而且在san,nas和das環(huán)境中運行時具有高度的靈活性。采用navisphere管理框架,該系統(tǒng)是一套簡單易用的基于圖形用戶界面<glti)的存儲管理工具。cx500能實現(xiàn)高數(shù)據(jù)的可用性、無中斷在線備份、高速數(shù)據(jù)移動、應用程序測試和災難恢復等要求。客戶可在不停止cx500陣列前提下,升級以下各項內容:添加新軟件,如snap-view,mirrorview, san copy, navisphere agent, bi-os、核心軟件;在san中添加或刪除服務器;調整raid重建設置;重新分配讀/寫緩存等等。
1.2.2區(qū)縣支中心的存儲解決方案
以天津市的十八家區(qū)縣支中心為例:
存儲設備統(tǒng)一采用h3c的ex1000存儲磁盤陣列柜。該設備為基于成熟的ip協(xié)議傳輸?shù)拇鎯υO備,使用更靈活,配置更方便。可以在簡單配置后為網(wǎng)絡中的各種服務器提供海量存儲空間,同時也具備極大的擴展性和靈活的升級。此存儲配置了4. 5t的存儲空間(共9塊5006盤),其中一塊硬盤做為全局熱備盤,在最大程度上保證了磁盤的冗余,確保數(shù)據(jù)的安全。在數(shù)據(jù)傳輸上將4個1000m數(shù)據(jù)端口進行連路聚合,既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除,同時也對數(shù)據(jù)的鏈路提供了必要的保護,同時4條鏈路的存在即意味著可以承受75%的故障率,所以,這樣的技術保證是完善的安全運行應用的保證。
2 vpn技術
互聯(lián)網(wǎng)作為“共享工程”的文化信息資源的主要傳輸渠道,所有信息服務都暴露在internet上,很容易被入侵者竊取和篡改,安全性不夠。如果改用專線方式,一方面造價較高,維護也較困難;另一方面升級和擴展也受限制。因此尋找一種比較經(jīng)濟,對數(shù)據(jù)的安全又較有保障,而且又有利用網(wǎng)絡的升級和擴展的組網(wǎng)方式顯得異常的重要,而vpn技術恰恰能滿足這方面的需要。
vpn(virtual private network)中文譯為虛擬專用網(wǎng),它是一種通過isp和其它nsp,在公網(wǎng)中建立用戶私有專用網(wǎng)的數(shù)據(jù)通信技術,是一種通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點到點的專線技術。是對專用網(wǎng)絡的擴展,它是指共享或公共網(wǎng)絡上經(jīng)封裝,加密和身份驗證的鏈路。vpn模仿專用網(wǎng)的一些屬性;它允許數(shù)據(jù)通過諸如internet的網(wǎng)絡在兩臺計算機間傳遞;通過隧道技術模仿點對點的連接。
2. 1核心技術
①隧道技術:隧道技術是vpn的基本技術類似于點對點連接技術,它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到ppp中,再把整個數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有l(wèi)2f, pptp, l2tp等。l2tp協(xié)議是目前ietf的標準,由ietf融合pptp與l2f而形成。
第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝人隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有vtp,ipsec等。ipsec(ip securi-ty)是由一組rfc文檔組成,定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法,確定服務所使用密鑰等服務,從而在ip層提供安全保障。
②加解密技術:加解密技術是數(shù)據(jù)通信中一項較成熟的技術,vpn可直接利用現(xiàn)有技術。
③密鑰管理技術:密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術又分為skip與isakmp/oak-ley兩種。skip主要是利用diffie-hellman的演算法則,在網(wǎng)絡上傳輸密鑰;在isakmi〕中,雙方都有兩把密鑰,分別用于公用、私用。
④使用者與設備身份認證技術:使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
2. 2 vpn技術在“共享工程”中應用的必要性與實現(xiàn)方法
“共享工程”在資源數(shù)字化方面,以數(shù)字圖書館技術為依托,建成了國家中心和各省級分中心的資源加工管理系統(tǒng)。
天津圖書館作為天津市“共享工程”的省分中心,數(shù)字資源經(jīng)過多年建設已初具規(guī)模,數(shù)字資源近5t。內容涉及電子圖書、數(shù)字化期刊、津門曲藝庫、津門群星庫,以及與本地經(jīng)濟、文化發(fā)展息息相關的各種特色資源庫。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用,能夠在合理范圍內為各區(qū)縣支中心、共享工程基層服務中心進行有效共享。可以利用vpn技術來實現(xiàn),首先建立vpn數(shù)字資源中心,向各區(qū)縣支中心、共享工程基層服務中心等基層單位提供vpn接人和數(shù)據(jù)資源內容的提供服務。
2. 2. 1 vpn技術的實現(xiàn)方式
構建vpn網(wǎng)絡可分為硬件、tpn和軟件、’pn兩種形式:軟件、’pn的建立成本低,硬件vpn在系統(tǒng)防御上要穩(wěn)定,軟件vpn維護起來相當麻煩,網(wǎng)絡管理員不但要維護vpn軟件,還需要考慮病毒、惡意攻擊及相關設備的軟、硬件沖突導致系統(tǒng)平臺運行不穩(wěn)定的因素出現(xiàn),而硬件vpn一般采用專用硬件,維護量相對減少很多。
2. 2. 2實現(xiàn)vpn技術的方案
主要有三種:硬件平臺vpn、軟件平臺vpn和輔助硬件平臺vpna
(1)軟件平臺vpn
利用一些軟件公司所提供的完全基于軟件的vpn產(chǎn)品來實現(xiàn)簡單vpn的功能,甚至可以不需要另外購置軟件,僅依靠微軟的windows操作系統(tǒng)就可實現(xiàn)純軟件平臺的vpn。特別從windows2000系統(tǒng)開始對傳統(tǒng)的ipsec vpn方案提供了全面支持,不僅可以提供原來pptp隧道協(xié)議vpn的方案支持,而且還提出了新的l2tp隧道協(xié)議vpn方案,使vpn的應用得到前所未有的推進。
(2)硬件平臺vpn
使用硬件平臺的vpn設備可以滿足不同用戶對高數(shù)據(jù)安全及通信性能的需求,特別是加密及數(shù)據(jù)亂碼等對cpu處理能力需求很高的功能。能提供這些平臺的硬件廠商較多,如cisco, 3com、華為、聯(lián)想等,這類vpn平臺投資了大量的硬件設備,投資成本較高。
(3)輔助硬件平臺vpn
輔助硬件平臺vpn作為最常見的vpn平臺,介于軟件平臺和硬件平臺之間,主要是以現(xiàn)有網(wǎng)絡設備為基礎,再增添適當?shù)膙pn軟件以實現(xiàn)vpn的功能。但通常這種平臺中的硬件也不能完全由原來的網(wǎng)絡硬件來完成,必要時還要添加專業(yè)的vpn設備,如vpn交換機、vpn網(wǎng)關或路由器等。
2.2.3構建vpn專網(wǎng)的關鍵問題
由于“共享工程”天津分中心與各區(qū)縣支中心都已建成了自己的局域網(wǎng),那么vpn設備與防火墻的安裝方式,成為構建vpn專網(wǎng)的關鍵問題。
現(xiàn)在最普遍采用的方式:是將、’pn設備與防火墻平行安裝,它不需要改變防火墻目前的結構體系,但也意味著進人內部網(wǎng)絡將有兩個人口。在大部分vpn設備上,檢查進人的數(shù)據(jù),并阻擋非vpn流量進人內部網(wǎng)絡,以減小額外的安全風險。依賴網(wǎng)絡建設的方式,也需要vpn設備做一些地址翻譯的工作,或者將流量重定向到防火墻。
還有一種方式:是將vpn設備安裝在防火墻后,對防火墻做出一些改變。需要防火墻配置一個足夠“聰明”的過濾器以允許vpn流量通過。另外,一些防火墻不能處理碎片,而碎片對于vpn來說是非常普遍的。因此,如果不在客戶軟件中人為減小mtu(最大傳輸單元),就不可能將vpn安裝在防火墻之后。
信息資源廣域vpn網(wǎng)建成后,邏輯上把物理位置省級分中心與不同的區(qū)縣支中心、共享工程基層中心連接成統(tǒng)一的內部網(wǎng),從而提升了文化信息資源共享工程的實在意義。
3結束語
vpn技術論文篇7
關鍵詞:VPN;中小企業(yè);網(wǎng)絡
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)36-2891-02
The Implementation of VPN on The Company-Internal Network
ZHOU Shi-jie
(Fujian Communications Technology College, Fuzhou 350007, China)
Abstract: Do the research of the implementation of VPN on the company-internal network, propose a highly efficient and low-cost method. Descript how to achieve VPN technology in the LINUX system. Provides a method to create the server and firewall settings skills. It has great reference value to use VPN technology with a flexible network access on the company-internal network.
Key words: VPN; company; network
1 引言
隨著計算機網(wǎng)絡的不斷發(fā)展,以及企業(yè)信息化進程的加速,大部分的政府部門、企事業(yè)單位均已建設了單位內部的網(wǎng)絡系統(tǒng),實現(xiàn)了辦公自動化,日常工作也漸漸從以往的文書往來向網(wǎng)絡辦公發(fā)展,大家已經(jīng)越來越離不開計算機網(wǎng)絡。本文主要討論了如何在中小企業(yè)網(wǎng)絡中實現(xiàn)VPN技術。
2 中小企業(yè)網(wǎng)的VPN實現(xiàn)選擇
目前主流的內部網(wǎng)絡組網(wǎng)方式較為統(tǒng)一,內部使用私有地址部署,內網(wǎng)出口使用防火墻或路由器做NAT地址轉換,在ISP提供的線路幫助下,從而實現(xiàn)中小型企業(yè)內部網(wǎng)絡與INTERNET的互聯(lián)。這種組網(wǎng)方式能大量節(jié)約IP地址資源,降低聯(lián)網(wǎng)成本,同時也能夠有效的保護中小企業(yè)內部網(wǎng)絡上各自信息資源的安全。隨著企業(yè)業(yè)務的不斷擴展,越來越多的工作需要在企業(yè)之外完成,比如在外地出差或者對用戶進行上門服務或者在家辦公時。這時,我們需要一種能方便而又安全的聯(lián)入企業(yè)內部網(wǎng)絡,從而使用網(wǎng)絡中的各種信息和資源,讓我們的工作方式更加靈活和有效。傳統(tǒng)的解決方法是在企業(yè)內部建立遠程訪問服務器,遠程用戶通過電話線路等遠程撥號到遠程訪問服務器,這種解決方法一是速度慢,二是要支付較高的電話費用,成本較高。而VPN技術就彌補了這些缺陷,它利用廉價的INTERNET或其他公共網(wǎng)絡傳輸數(shù)據(jù),在網(wǎng)絡出口處提供服務,有需要的客戶端通過INTERNET連入VPN服務器,在服務器的幫助下,獲得一個事先劃分的內網(wǎng)IP地址。此時,該客戶端就虛擬的聯(lián)入了企業(yè)內部局域網(wǎng),和平常在辦公室里一樣,可以獲得各種內網(wǎng)資源。
圖1
那么,VPN技術如何部署以及實現(xiàn)呢?在各種網(wǎng)絡連接設備上,一些專門的廠商都會有VPN模塊可以提供VPN服務。例如CISCO的防火墻,三層交換機等設備上均有VPN模塊可以選配。也有一些第三方的VPN技術,如SSLVPN、IPSECVPN等等。但是,這些設備的價格以及LICENCE的費用都比較高,對于一個中小型企業(yè)局域網(wǎng)來講,這樣的投入也許超出了各自的承受范圍。那么有沒有一些簡單而又經(jīng)濟的替代方法呢?免費的LINUX系統(tǒng)就給我們提供了這樣一種實現(xiàn)的方法。
3 使用的VPN協(xié)議
VPN技術在創(chuàng)建隧道實現(xiàn)虛擬專用網(wǎng)的過程中,隧道兩端需使用相同的隧道協(xié)議。根據(jù)OSI參考模型劃分,隧道技術可以分為2層和3層隧道協(xié)議。第二層隧道協(xié)議主要有:PPTP、L2TP和L2F,第三層協(xié)議主要有IP over IP和IPSec。通常在LINUX中我們使用PPTP協(xié)議實現(xiàn)VPN。
PPTP協(xié)議是PPP協(xié)議的擴展,并協(xié)調使用PPP的身份驗證、壓縮和加密機制。PPTP協(xié)議是使用一般路由封裝(GRE)報頭和IP報頭封裝在PPP幀中的,結構如圖1。
4 VPN服務的實現(xiàn)
以RED HAT ENTERPRISE AS 4.0系統(tǒng)為例說明VPN服務的實現(xiàn)方法。
為VPN服務器配置兩塊網(wǎng)卡,分別為eth0和eht1。其中eth0連接到內部網(wǎng)絡,假設IP為172.26.1.1;eth1連接到INTERNET,假設IP為218.1.2.3。
首先,需要下載內核補丁、升級自帶的PPP程序、安裝PPTP以及MPPE軟件包以便支持PPTP協(xié)議和微軟的點對點加密MPPE。
1) dkms-2.0.5-1.noarch.rpm 動態(tài)內核模塊支持的RPM安裝包
2) kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm MPPE加密協(xié)議的內核補丁的RPM安裝包
3) ppp-2.4.3-5.rhel4.i386.rpm 升級內置PPP到2.4.3版本,以支持MPPE加密協(xié)議
4) pptpd-1.3.0-0.i386.rpm PPTP點對點隧道協(xié)議的RPM安裝包
下載完成后使用一下命令進行安裝和升級。
rpm - ivh dkms-2.0.5-1.noarch.rpm
rpm - ivh kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm
rpm - Uvh ppp-2.4.3-5.rhel4.i386.rpm
rpm - ivh pptpd-1.3.0-0.i386.rpm
全部安裝升級完成后使用vi程序打開PPTP的主配置文件。
vi /etc/pptpd.conf
在文件中加入以下配置語句:
localip 172.26.1.1
remoteip 172.26.1.100-200,172.26.1.240
文件/etc/ppp/chap-secrets中保存了VPN客戶機撥入時所使用的帳戶名、口令、固定分配的IP地址等信息,每個賬戶在該文件中使用一行,格式如下:
帳戶名 服務 口令 分配給該賬戶的IP地址
“test” pptpd “password” “*”
“admin” pptpd “admin” “172.26.1.240”
其中*代表由pptp服務在地址段中隨機選擇。
接著打開LINUX內核的路由功能,使VPN客戶端能通過eth0路由到內部網(wǎng)絡,執(zhí)行以下命令:
echo “1”>/proc/sys/net/ipv4/ip_forward
5 VPN服務的管理
啟動VPN服務:
/etc/init.d/pptpd start
停止VPN服務:
/etc/init.d/pptpd stop
重新啟動VPN服務:
/etc/init.d/pptpd restart
該命令在重啟服務時不能終止已存在的VPN連接,在重啟后可能造成IP沖突的錯誤。可使用以下命令在停止服務時同時終止所有已存在的VPN連接,然后再使用啟動VPN服務命令。
/etc/init.d/pptpd restart-kill
自動啟動VPN服務:
執(zhí)行命令”ntsysv”啟動服務配置程序,在”pptpd”服務前面選中”*”,接著“確定”即可。
6 防火墻的設置
PPTP服務使用TCP協(xié)議中的1723端口和IP協(xié)議中編號為47的GRE常規(guī)路由封裝,若啟用了防火墻,則需開放1723端口并允許編號為47的IP協(xié)議通過。若使用的是iptables,則執(zhí)行以下命令:
iptables - I INPUT - p tcp - dport 1723 - j ACCEPT
iptables - I INPUT - p gre - j ACCEPT
7 VPN客戶端的配置
一般的VPN客戶端均使用WINDOWS操作系統(tǒng),以在WINDOS XP系統(tǒng)中創(chuàng)建VPN客戶端為例說明操作步驟:
1) 網(wǎng)上鄰居右鍵菜單中選擇屬性;
2) 雙擊“新建連接向導”;
3) 在向導對話框中單擊“下一步”;
4) 在“網(wǎng)絡連接類型”中選擇“連接到我工作場所的網(wǎng)絡”;
5) 在“網(wǎng)絡連接”中選擇“虛擬專用網(wǎng)連接”;
6) 在“連接名”中輸入您想設定的連接名稱;
7) 在“VPN服務器選擇”中輸入VPN服務器的域名或IP,本例中應輸入eth1上的IP地址”218.1.2.3”;
8) 單擊“完成”即可創(chuàng)建VPN客戶端連接。
雙擊創(chuàng)建的VPN連接,輸入服務器上創(chuàng)建的帳號”admin”與密碼”admin”點擊連接即可聯(lián)入VPN服務器。連接成功后雙擊該連接,選擇“詳細信息”,若顯示使用PPTP和MPPE 128加密則表明VPN服務器配置成功。在本例的連接中應獲得一個固定分配給”admin”用戶的IP地址”172.26.1.240”。
此時,該客戶端即可像在內部網(wǎng)絡里一樣直接訪問各種資源。
8 結束語
VPN技術的實現(xiàn),對于業(yè)務靈活性要求越來越高的企業(yè)有極大助益,而使用免費的linux系統(tǒng)實現(xiàn)VPN技術,無疑是一種廉價而又高效的手段,具備相當?shù)膮⒖家饬x。
參考文獻:
[1] 童珉,冉曉F.VPN的擴展性研究[J].計算機時代,2003(7).
[2] 趙金萍,熊君星,羅華群.VPN關鍵技術的研究[J].電腦知識與技術:學術交流,2007(22).
vpn技術論文篇8
論文摘要:重點分析了vpn的實現(xiàn)技術。
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡的安全性、保密性、可靠穩(wěn)定性,對于企業(yè)和一些跨區(qū)域專門從事特定業(yè)務的部門,從經(jīng)濟實用性、網(wǎng)絡安全性、數(shù)據(jù)傳輸可靠性上來,看vpn技術無疑是一種不錯的選擇。下面就vpn技術的實現(xiàn)做一下粗淺的分析:
1 vpn簡介
虛擬專用網(wǎng)(virtuaiprivatenetwork, vpn)是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)感覺的服務”。vpn極大地降低了用戶的費用,而且提供了比傳統(tǒng)方法更強的安全性和可靠性。
vpn可分為三大類:(1)企業(yè)各部門與遠程分支之間的in-tranet vpn;(2)企業(yè)網(wǎng)與遠程(移動)雇員之間的遠程訪問(re-mote access)vpn;(3)企業(yè)與合作伙伴、客戶、供應商之間的extranet vpno
在extranetvpn中,企業(yè)要與不同的客戶及供應商建立聯(lián)系,vpn解決方案也會不同。因此,企業(yè)的vpn產(chǎn)品應該能夠同其他廠家的產(chǎn)品進行互操作。這就要求所選擇的vpn方案應該是基于工業(yè)標準和協(xié)議的。這些協(xié)議有ipsec、點到點隧道協(xié)議(pointtopoint tunneling protocol,pptp)、第二層隧道協(xié)議(layer2 tunneling protocol,i,2tp)等。
2 vpn的實現(xiàn)技術
vpn實現(xiàn)的兩個關鍵技術是隧道技術和加密技術,同時qos技術對vpn的實現(xiàn)也至關重要。
2.1 vpn訪問點模型
首先提供一個vpn訪問點功能組成模型圖作為參考。其中ipsec集成了ip層隧道技術和加密技術。
2.2隧道技術
隧道技術簡單的說就是:原始報文在a地進行封裝,到達b地后把封裝去掉還原成原始報文,這樣就形成了一條由a到b的通信隧道。目前實現(xiàn)隧道技術的有一般路由封裝(generi-croutingencapsulation, gre )i,2tp和pptpo
(1)gre
gre主要用于源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(gre報文頭)進行封裝然后帶著隧道終點地址放人隧道中。當報文到達隧道終點時,gre報文頭被剝掉,繼續(xù)原始報文的目標地址進行尋址。gre隧道通常是點到點的,即隧道只有一個源地址和一個終地址。然而也有一些實現(xiàn)允許一點到多點,即一個源地址對多個終地址。這時候就要和下一條路由協(xié)議(next-hoproutingprotocol , nhrp)結合使用。nhrp主要是為了在路由之間建立捷徑。
gre隧道用來建立vpn有很大的吸引力。從體系結構的觀點來看,vpn就象是通過普通主機網(wǎng)絡的隧道集合。普通主機網(wǎng)絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在gre隧道技術中人口地址用的是普通主機網(wǎng)絡的地址空間,而在隧道中流動的原始報文用的是vpn的地址空間,這樣反過來就要求隧道的終點應該配置成vpn與普通主機網(wǎng)絡之間的交界點。這種方法的好處是使vpn的路由信息從普通主機網(wǎng)絡的路由信息中隔離出來,多個vpn可以重復利用同一個地址空間而沒有沖突,這使得vpn從主機網(wǎng)絡中獨立出來。從而滿足了vpn的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數(shù)量眾多的協(xié)議族,減少實現(xiàn)vpn功能函數(shù)的數(shù)量。還有,對許多vpn所支持的體系結構來說,用同一種格式來支持多種協(xié)議同時又保留協(xié)議的功能,這是非常重要的。ip路由過濾的主機網(wǎng)絡不能提供這種服務,而只有隧道技術才能把vpn私有協(xié)議從主機網(wǎng)絡中隔離開來。基于隧道技術的vpn實現(xiàn)的另一特點是對主機網(wǎng)絡環(huán)境和vpn路由環(huán)境進行隔離。對vpn而言主機網(wǎng)絡可看成點到點的電路集合,vpn能夠用其路由協(xié)議穿過符合vpn管理要求的虛擬網(wǎng)。同樣,主機網(wǎng)絡用符合網(wǎng)絡要求的路由設計方案,而不必受vpn用戶網(wǎng)絡的路由協(xié)議限制。
雖然gre隧道技術有很多優(yōu)點,但用其技術作為vpn機制也有缺點,例如管理費用高、隧道的規(guī)模數(shù)量大等。因為gre是由手工配置的,所以配置和維護隧道所需的費用和隧道的數(shù)量是直接相關的—每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進人隧道前的)進行的話,就會影響路由發(fā)送速率的能力及服務性能。
gre隧道技術是用在路由器中的,可以滿足extranetvpn以及intranetvpn的需求。但是在遠程訪問vpn中,多數(shù)用戶是采用撥號上網(wǎng)。這時可以通過l2tp和pptp來加以解決。
(2)l2tp和pptp
l2tp是l2f( layer2forwarding)和ppt’i〕的結合。但是由于pc機的桌面操作系統(tǒng)包含著pptp,因此ppt’i〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主動’,隧道,后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。l2tp作為“強制”隧道模型是讓撥號用戶與網(wǎng)絡中的另一點建立連接的重要機制。建立過程如下:
a.用戶通過modem與nas建立連接;b.用戶通過nas的l2tp接入服務器身份認證;;c.在政策配置文件或nas與政策服務器進行協(xié)商的基礎上,nas和l2tp接入服務器動態(tài)地建立一條l2tp隧道;d.用戶與l2tp接入服務器之間建立一條點到點協(xié)議(pointtopointprotocol, ppp)訪問服務隧道;e.用戶通過該隧道獲得vpn服務。
與之相反的是,pptp作為“主動”隧道模型允許終端系統(tǒng)進行配置,與任意位置的pptp服務器建立一條不連續(xù)的、點到點的隧道。并且,pptp協(xié)商和隧道建立過程都沒有中間媒介nas的參與。nas的作用只是提供網(wǎng)絡服務。pptp建立過程如下:a.用戶通過串口以撥號ip訪問的方式與nas建立連接取得網(wǎng)絡服務;b.用戶通過路由信息定位pptp接入服務器;c.用戶形成一個pptp虛擬接口;d.用戶通過該接口與pptp接入服務器協(xié)商、認證建立一條ppp訪問服務隧道;e.用戶通過該隧道獲得vpn服務。
在l2tp中,用戶感覺不到nas的存在,仿佛與pptp接入服務器直接建立連接。而在pptp中,pptp隧道對nas是透明的;nas不需要知道pptp接入服務器的存在,只是簡單地把pptp流量作為普通ip流量處理。
采用l2tp還是pptp實現(xiàn)vpn取決于要把控制權放在nas還是用戶手中。硯tp比pptp更安全,因為硯tp接入服務器能夠確定用戶從哪里來的。硯tp主要用于比較集中的、固定的vpn用戶,而pptp比較適合移動的用戶。
2.3加密技術
數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4雖然強度比較弱,但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了;des和三次des強度比較高,可用于敏感的商業(yè)信息。
加密技術可以在協(xié)議棧的任意層進行;可以對數(shù)據(jù)或報文頭進行加密。在網(wǎng)絡層中的加密標準是ipsec。網(wǎng)絡層加密實現(xiàn)的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密只在路由器中進行,而終端與第一條路由之間不加密。這種方法不太安全,因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中,vpn安全粒度達到個人終端系統(tǒng)的標準;而“隧道模式”方案,vpn安全粒度只達到子網(wǎng)標準。在鏈路層中,目前還沒有統(tǒng)一的加密標準,因此所有鏈路層加密方案基本上是生產(chǎn)廠家自己設計的,需要特別的加密硬件。
2.4 qos技術
通過隧道技術和加密技術,已經(jīng)能夠建立起一個具有安全性、互操作性的vpn。但是該vpn性能上不穩(wěn)定,管理上不能滿足企業(yè)的要求,這就要加入qos技術。實行qos應該在主機網(wǎng)絡中,即vpn所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
本文鏈接:http://m.9105763.cn/v-141-3383.htmlvpn技術論文范文8篇
相關文章:
大學生期末復習計劃02-06
高中數(shù)學教研活動計劃10-26
幼兒園入學的自我介紹08-10
廣東佛山順德確診478例基孔肯雅熱:由境外輸入引發(fā),均為輕癥07-16
謊言傷感句子08-12
簡單的哲理的人生語句29條01-12
唯美的晚安問候語短信70條11-03
拿破侖說過的霸氣的話08-10
證券年終總結個人05-15
公司的轉讓股權協(xié)議書01-12
電工實習心得體會02-26
家長會英語老師演講稿01-19
讀《桂花雨》有感01-19
中學期末考試專題廣播稿11-04
《慕勒傳》的讀書筆記12-17
戳中人心的歌詞3條12-05
家鄉(xiāng)的一角勞動湖作文09-21
洛陽紙貴的成語解釋10-18
形容醫(yī)生優(yōu)秀的四字成語08-23