时间:2022-12-21 06:15:45
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇vpn技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词 vpn;原理;特点;应用
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)35-0182-01
1 VPN的概念
所谓VPN(Virtual Private Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN通过建立隧道机制实现,隧道机制可以提供一定的安全性,并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证信息在传输中不被偷看、篡改、复制。
2 IPSec是VPN最常用技术之一
IPSec VPN是基于IPSec(Internet Protocol Security)规范的VPN技术或网络的统称。IPSec即Intenet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec规范相当复杂,规范中包含大量的文档。IPSec在TCP/IP协议的核心层―IP层实现,可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。
3 IPSec VPN工作原理
设想甲、乙两个异地局域网需要进行通讯,因为是局域网内网IP地址不能通过INTERNET公网进行安全通讯。只有通过IPSec包封装技术,利用Internet公网IP地址,封装内部私网的IP数据,实现异地网络的互通:如果甲私网IP发信给乙私网IP地址,甲局域网IP数据经甲私网IP地址传至出口处甲地IPSec VPN网关进行加密封装,通过INTERNET公网传送至乙地IPSec VPN网关进行解密拆封装后,交给乙局域网私网IP地址。相反乙私网IP地址回信给甲私网IP也是一样过程,这样就实现异地局域网对局域网的通讯。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能,保证数据通信安全正确。IPSec安全协议对数据封装加密及身份认证使用同一密钥,既用于加密又用于解密。私钥加密算法非常快,特别适用于对较大的数据流执行加密转换。IPSEC通讯的数据认证使用md5算法计算包文特征,报文还原以后,检查这个特征码,看看是否匹配,证明数据传输过程是否被篡改。
4 IPSec VPN特点
1)经济:用户不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地租费很高,而Internet的接入费用则只承担本地的宽带费用,费用很低。此外VPN网关设备功能强劲但造价低廉;2)灵活: 接入灵活,不受互联网接入运营商的限制,支持动态IP地址和NAT穿越。连接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,XDSL 或拨号都可以连接Internet。一个IPSec VPN网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。支持多分支多端口,扩展性好;3)安全: IPSec VPN最显著特点就是它的安全性,这是它保证内部数据安全的根本。通过领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时,VPN 设备内置专业防火墙功能,对数据包采用多维策略过滤,最大可能地防止黑客攻击;4)可靠: VPN 设备可提供冗余机制,保证链路和设备的可靠性。在中心节点VPN 核心设备提供冗余CPU 、冗余电源的硬件设计。而在链路发生故障时,VPN交换机支持静态隧道故障恢复功能,隧道定时巡检机制,快速自动修复功能,确保互联数据的安全可靠;5)方便: 技术人员可以通过管理软件,实现远程配置节点设备,方便管理及故障处理;
6)多业务: 通过IPSec VPN网络可以传送IP话音、视频业务、数据业务,运行ERP软件,为现代化办公提供便利条件。
随着互联网及网络技术的发展,VPN(Virtual Private Network)技术被广泛地应用。MPLS-VPN是一种基于MPLS技术的IP-VPN,在网络路由和交换设备上应用MPLS技术,从而简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现IP虚拟专用网络(IP-VPN)。
2 MPLS技术概述
MPLS(Multi-Protocols Label Switching)即多协议标记交换,是一项用绑定在包中的标记(或叫标签)通过网络进行数据包转发的技术。它将第二层的交换和第三层的路由技术很好地结合起来,以简洁的方式完成了信息的传送,把路由选择和数据转发分开由标签来规定一个分组通过网络的路径。
3 VPN技术的概述
VPN(虚拟专用网)是利用网络来传输私有信息而形成的逻辑网络,用来在通用的网络结构上标识闭合的用户组。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上完整、保密地传输私有数据。
4 MPLS-VPN的工作原理
MPLS-VPN则是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QOS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活等特点。它把整个网络中的路由器分为三类:用户边缘路由器(CE)、运营商边缘路由器(PE)和运营商骨干路由器(P),其中PE充当IP-VPN接入路由器。MPLS-VPN的主要工作流程如下:
(1)用户端的路由器(CE)首先通过静态路由和BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的绑定。此时,CE、PE以及P路由器基本的网络拓扑和路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一个VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时在上传的数据包上打上VPN标记(内层标记)。这时得到的下一跳地址为该PE作Peer的PE的地址,为了达到这个目的端的地址,同时采用LDP在用户上传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN并送到相关的接口上,进而将数据传送到VPN的目的地址处。
从以上的工作过程可见,MPLS-VPN丝毫不改变CE和PE原有的配置,有新的CE加入网络时,只需在PE上作简单配置,其余的改动信息由IGP/BGP自动通知CE和PE。
5 MPLS-VPN的特点
(1)安全性。MPLS可以将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中从而提高了安全性。MPLS-VPN借助MPLS技术,利用两层标记(label),自动为不同用户的节点间建立不同的隧道,实现了用户流量的隔离,提供了逻辑上最大的安全性。
(2)扩展性。MPLS-VPN具有很好的网络可扩展性,可以建立任意的连接。同一个VPN中的用户节点数不受限制容易扩充,特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路。
(3)可靠性。网络的可靠性主要靠资源的冗余度来实现。MPLS-VPN依托互联网展开,因此设备、线路和路由都有冗余保护措施,保证了网络的可靠性。
(4)无连接的服务。MPLS-VPN是“非面向连接的”,由于这种特性,它不需要通过建立许多点对点的隧道和加密技术来实现,这样可大大减少网络实现的复杂性。
(5)易于实施。由于MPLS-VPN是“非面向连接的”,且VPN信息只需要由PE来维护,对CE是透明的,网络的扩展和实施变得相对容易。增加VPN客户端站点时,只要简单地将CE设备接入PE即可,所有的配置只需在PE上进行,非常易于实现和管理。
6 结束语
随着MPLS技术和IP VPN技术的日趋成熟。MPLS技术是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术,它不仅能够解决当前网络中存在的问题,而且能支持许多新的功能,将成为重要技术在公用网上使用。可以说MPLS技术是下一代最具竞争力的通信网络技术。
参考文献
[1]凌永发,王杰,陈跃斌.多协议标签交换技术的应用[J].云南民族大学学报:自然科学版,2005,14(3):64-67.
【关键词】隧道;PPTP;L2TP;IPSec;VPN
Researching and Implementation of VPN Tunnel Technology
Chen qiang
(Center Hospital of Nanyang,Nanyang,China,473009)
Abstract: With the developing and improving of the Internet,more and more companies create their own private network used by Tunnel Technology.Tunneling is a method and mechanisms of encapsulate a packet within another packet,so as to accomplish transmission of private packet between two nodes.This article describes the VPN tunnel technolog, including the general technical requirements for VPN tunnel,and some tunneling protocols which is widely used.In the end I choose L2TP and IPSec by compare with some typical tunneling protocols,and implementation of remote dial-up Internet access based on L2TP by tools ,and setting security tunnel based on IPSec.
Key words: Tunneling;PPTP;L2TP;IPSec;VPN
1、VPN简介
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它是指在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封包或加密传输,在公众网络上传输私有数据、达到私有网络的安全级别。它为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。VPN还被被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
2、VPN隧道技术
当一个数据包被封装在另一个数据包的净荷中进行传送时,所经过的路径称为隧道。隧道(Tunneling)技术就是利用一种网络协议来传输另一种网络协议的技术,它是虚拟专用网所采用的一项关键技术。在虚拟专用网中,原有数据包首先要通过特殊的协议重新加密封装在另一个数据包中,然后再通过公共网络的传输协议(如TCP/IP)在公共网络中传输,当数据包到达虚拟专用网的 VPN设备时,VPN设备首先要对数字签名进行核对,核对无误后才能进行解包形成最初的形式。由于这种技术使用了一种网络传输协议来传输另一种网络传输协议,就像在公共网络中挖出了一条数据据传输的专用隧道一样,因此被称为隧道技术。
隧道技术非常有用。首先,一个IP隧道可以调整任何形式的有效负载。使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的网络。第二,隧道能够同时调整多个用户或多个不同形式的有效负载,这可以利用封装技术来实现。第三,使用隧道技术访问公司网时,公司网不会向Internet报告它的IP网络地址。第四,隧道技术允许接受者滤掉或报告个人的隧道连接。
3、隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对隧道协议)、L2F(第二层转发协议)和L2TP(第二层隧道协议)都属于第2层隧道协议,是将用户数据封装在PPP(点对点协议)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。IPSec(IP层安全协议)属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
4、隧道的实现
4.1选择L2TP和IPSec协议
L2TP允许远程用户通过Internet安全地访问企业网络,同时结合了PPTP和L2TP的特点,特别适合组建远程接入的VPN。而IPSec可以建立一条安全的隧道,对隧道传输中的数据进行加密,保证数据传输过程中的安全。
4.2基于L2TP的远程拨号
由于企业用户的移动性,通常采用远程拨号的L2TP连接到企业内部网络。在此用Vmware和DynamipsGUI模拟实现第二层VPN(l2tp)。路由器采用Cicso 3640-JK.BIN,实验拓扑如图1所示。
连接说明:R1的e0/3接口桥接在主机“本地连接”网卡上,通过该网卡接入互联网,R2的e0/3接口和“VMware Virtual Ethernet Adapter for VMnet1”桥接。然后Vmware上的主机拨号到R1上,通过R1连入Internet。
在做完Vmware虚拟机的设置后,使用DynamipsGUI 模拟网络环境:打开DynamipsGUI,路由器个数选2个,交换机个数0,桥接到PC,设备类型选3640,根据实验拓扑图,端口连接设置:Router1 E0/0 Router2 E0/0;Router1 E0/3 XPC P0/0;Router3 E0/3 XPC P0/1。
根据图1的网络拓扑图,配置路由器R1和R2,使之能够进行通讯,在配置过程中,要注意利用vpdn enable命令启动L2TP拔号。在配置好路由器以后,就要在windows中进行拔号连接,首先要修改注册表项,Windows2000/xp/2003 的L2TP缺省启动证书方式的IPSEC,因此必须向Windows 添加ProhibitIpSec 注册表值,并将该值修改为“1”以防止创建用于 L2TP/IPSec 通信的自动筛选器。然后新建L2TP拨号连接。在VPN服务器输入要拔号的IP地址。一条用于远程拨号上网的L2TP隧道建立完成。
4.3基于IPSec的安全隧道
虽然采用L2TP的远程拨号连接可以更好的使企业用户连接到企业内部网路,但是由于l2TP在传输数据过程中的不安全性,容易导致一些重要信息被窃取。因而通常采用IPSec保证VPN隧道的安全。网络拓扑图如图5所示。
将RA的e0/0接口桥接在主机“本地连接”网卡上,RB的e0/0接口和虚拟机的网卡“VMnet1”桥接。根据实验拓扑图,连接对应端口
Router1 E0/0 XPC P0/0
Router2 E0/0 XPC P0/1
Router1 E0/1 Router2 E0/1
然后配置图中的RA和RB两个路由器使之连通,在配置过程中使用md5等加密算法来加密隧道数据传输,并且要启动ipsec,配置好以后,在Windows下配置IPSec策略,完成在Windows下IPSec策略的配置,当配置好所有路由后,进行全网互通测试。测试成功后,一条基于的IPSec的安全隧道建立完成。
5、结论
隧道机制的实现是VPN技术的一个核心组件。可以说,没有隧道机制,也就不存在所谓的VPN技术。除了VPN外,隧道机制还被应用在许多其它的场合,例如移动IP。因此,必须深入研究隧道机制的实现和部署。
参考文献
[1] 郭聃.L2TP构建VPN[J].通讯世界,2002.
[2] 戴宗坤, 唐三瓶.VPN与网络安全[M].北京:金城出版社,2000.
[3] 张世永.网络安全原理与应用[M].北京:科学出版社,2002.
[4] W. Richard Stevens.TCP/IP详解[M].北京:机械工业出版社,2000.
[5] Davis Carlton RIPSec.VPN的安全实施[M].北京:清华大学出版社,2002.
关键词:VPN技术;隧道;优化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0034-03
1概述
VPN(Virtual Private Network),即虚拟专用网,它是利用Internet或其它公共互联网络的基础设施为用户创建隧道,并能提供与专用网络一样的安全和功能保障。[1]由于通过VPN技术可以实现资源的传输和共享,并实现了网络环境的稳定和安全。因此,它得到了积极的推广和应用。但其在应用过程中,随着分支机构办公人员数量以及需求不断增加,多带宽使用率的要求也越来越高,导致分支用户业务使用不便,同时专线vpn对于移动办公人员和各办事处人员访问公司的系统不能更好的支持。因此,对其进行优化也显得十分必要。
2 VPN的应用
2.1 VPN的实现原理
VPN技术并不依靠物理上的端到端的专用连接,即没有固定的物理连接,它是利用Internet、ATM等公用网络设施,在两台直接与公网连接的计算机之间建立一条专用通道,建立起虚拟的专用通路,并利用隧道技术对数据进行封装,使数据在具有认证和加密机制的隧道中穿越,从而实现点到点或端到端的安全连接。[2]通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道将需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备及协议组成了一个VPN系统。一个完整的VPN系统一般包括3个单元:VPN服务器端、VPN客户端机和VPN数据通道。
2.2 VPN 的实现
要实现VPN连接,企业内部网络中必需配置一台VPN内网接入设备,该设备有双网卡,它一方面连接企业内部网络,另一方面连接到Internet,即VPN服务器必须有一个公用的IP地址。VPN 使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。远程用户使用时根本无需关心隧道的建立、数据加密、用户认证等过程。[3]远程用户采用TCP/IP 协议,选择建立虚拟隧道,并保持原有的网络结构、网络资源和应用模式不变,以便实现快捷、廉价、保密的通信。
2.3 VPN的应用场景
VPN的应用场景分可分为3种:
1)站点到站点或者网关到网关:在不同的地方分支,各使用一个网关相互建立VPN隧道,企业内网(若干PC)之间的数据则通过这些网关建立的IPSec隧道实现安全互联。
2)端到端或者PC到PC:两台PC之间的通信由两台PC之间的IPSec进行会话保护,而并不是网关。
3)端到站点或者PC到网关:两台PC之间的通信由网关和异地PC之间的IPSec进行保护。VPN只是IPSec的一种应用方式,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。[4]
3 VPN的优化
3.1 优化方案设计
本方案主要是在总部和分支各部署一台深信服(SANGFOR)加速设备,对现有专线数据传输进行优化。SANGFOR VPN设备支持多种加密算法、硬件证书认证、移动客户端专线功能,能保障用户访问安全和数据传输安全。
具体方案如下:
1)通过SANGFOR设备对专线线路重复冗余的数据进行删减、压缩,以减少数据传输量,提高分支机构和总部之间响应速度;
关键词:VPN;虚拟专用网;隧道技术;点对点,;虚拟网卡
1.VPN技术简介
VPN技术是一种组网技术,综合了加密技术和协议封装技术,利用在公共网络上建立加密隧道的方法,来建立一种虚拟的专用网。VPN系统有很多特点,如专用、虚拟、廉价、安全等。VPN系统安全性的基础是虚拟实现基于某协议的封装技术或者路由过滤技术,还有所采用的加密算法。VPN的实现方式有两种,软件实现或者硬件实现。在VPN技术出现以前,私有专用网络的建设维护费用非常高昂,再加之网络带宽的提高和通信技术的发展,现代办公的需要等原因,促使VPN技术的出现和快速发展。VPN的发展经历了三个主要阶段,最开始的路由过滤技术,之后的协议封装技术,现在的应用最普遍的隧道加密技术。
在应用方面看来,VPN主要分为三个类型,企业扩展虚拟网Extranet VPN、企业内部虚拟网Intranet VPN和远程访问虚拟网Access VPN。其中,企业扩展虚拟网和企业内部虚拟网一般被统称为专线VPN;远程访问虚拟网通常被叫做拨号VPN,也就是VPDN,Virtual Private-DIAL-UP Networks。
企业扩展虚拟网,就是不同的企业网通过公共网络来建立虚拟网。它适合提供B2B的访问服务,并保障其安全。Extranet VPN是通过使用一个共享基础设施来进行专用链接,将感兴趣的团体例如供应商户、合作企业或者客户与企业内部网络进行链接,这些团体与企业专用网络享有同样的服务质量、安全性能、可靠性和管理性。
企业内部虚拟网,也是通过公网建立的虚拟网,它链接的是企业的各个分支机构和企业总部。Intranet VPN是通过使用一个共享基础设施来进行专用链接,与企业专用网络享有同样的服务质量、安全性能、可靠性和管理性。
远程访问虚拟网,是通过公网的远程拨号建立的虚拟网,它链接的对象是企业的小分支部门或者是企业的员工。Access VPN完成链接的方式有很多种,用户可以根据需要选择链接,例如移动IP、ISDN、XDSL、拨号等等。
2.隧道技术
前面提到,VPN技术的实现基础,但是并不是所有VPN解决方案都使用相同的隧道技术,不同的隧道技术也有着各自的特点。首先,在隧道通信上,所使用的协议不同,但就目前来讲应用层实现VPN时,采用的协议只有TCP或者UDP,它们各自有着自己的优点。另外,隧道建立的起始位置也是随着客户需求而变化的,主要有从网关到网关、从主机到主机和从主机到网关三种类型。
本文中,将VPN隧道建立在VPN客户端和VPN服务器或者VPN网关和VPN网关之间,在这里所采用的技术都是在应用层实现的,所以,隧道通信中采用的网络协议也无外乎是UDP和TCP协议。而在本技术的实现过程中,采用的是TCP协议。TCP协议有着它固有的优点,首先它是流式传输,这样可以非常有效的减少IP数据包在传输过程中的分片。例如,假设要传输的IP数据包使用1500字节的MTU,如果这个IP数据包使用的是UDP协议,则根据协议栈规定,则需要在数据包中加上IP头和UDP头,这样新生成的数据包就会大于之前的MTU,从而会将其拆分为两个分段来进行传输,而且分段二的大小会很小,这样不仅影响了传输效率,还影响了数据在传输过程中的安全性。相反,如果采用TCP来进行IP数据包的传输,则IP数据包(最后一个除外)都会是MTU的大小,这样不仅使得传输效率有了非常大的提高,而且还有利于数据的安全性。但是TCP协议也有不足之处,就是TCP连接的建立和确认需要一定的网络开销。
在介绍过使用UDP和TCP协议建立隧道的特点后,本文采用的是TCP。在TCP协议的基础上,隧道传输要经历以下几个过程,隧道建立、隧道传输和隧道拆除。这三个过程组成了一个隧道的生命周期,如图1所示。
由上图可以看出,隧道技术的本质就是TCP的链接,经过压缩和特定方法加密后的IP数据包就在这个链接上进行传输。传输有两方面参与,一方将本地加密的IP数据包传输到对方的网关,另一方实在接收到远程发送的IP数据包以后,将其转发给本地虚拟网卡。由此可见,利用隧道技术进行的数据传输,本质上就是TCP协议的数据传输,隧道传输在技术上的实现也是通过socket编程,除了socket本身可以提供的I/O模型以外,隧道技术还必须要解决数据收发的同步操作,为了保证数据在隧道上高效的传输和收发,必须建立一个合适的数据收发的I/O模型,才能满足这个需求。一方面线程要及时发送其他线程传输过来的数据包,另一方面此线程还要及时接受来自隧道另一端的数据,并且尽力减少同步传输过程中带来的数据损失并保证数据的安全性,所以,隧道上接收的数据是在本地线程内完成的,而发送的数据则是由另外的其他线程完成的,故数据收发的同步操作指的是本地线程和其他线程之间的数据同步。Windows平台下对于socket实现应用程序的网络通信同样也是支持的,针对socket通信机制的平台扩充,windows也提供了一些高级的编程模型,例如一些WSA开头的Winsock函数,有效的解决了线程同步的问题。
3.点对点模式的研究
点对点模式有几方面的实现基础。首先,是隧道技术,本模式与隧道技术的生命周期关系非常紧密。隧道和协议之间的数据转发问题则是由虚拟网卡来进行完成的,而VPN网络地址空间则不需要进行一些新的规划。当然,对与不同的用户需求,本模式可以分出多种版本来解决移动用户、总部分支之间的链接问题。
虚拟网卡在本模型中起到了非常重要的作用,它解决了数据包在隧道和协议栈之间转发的关键问题。虚拟网卡在VPN网关中所处地位非常特殊,关系到IP数据包在VPN中的传输问题、数据转发模型和windows平台下的具体实现等等。
IP数据包在VPN是以以下方式传输的,VPN的传输媒介是不可靠的共享网络,隧道技术则在公网的基础上构建私有专用的网络,采用 访问控制、数据加密和身份认证等方法,使得通信安全得到保证。如前文所述,VPN的基础是隧道技术,异地主机之间的安全通信就是依靠隧道技术完成的。TCP/IP协议是现有internet的基础,主机之间是通过一个个的IP数据包进行通信的,隧道技术保护IP数据包不受破坏。为了达到保护数据的目的,VPN网关完成对原始数据包的加密,然后产生一个新的数据包并将其发送。
以图2为例进行说明,VPN通信的双方为A主机和B主机,A主机给B主机发送IP数据包,首先到达VPN的A网关,经过A网关的判断,数据包要发送到B网络,所以将这个IP数据包加入A网关和B网关之间的隧道传输等待队列。在传输过程的实现上,等待传输队列中的一个IP数据包首先被传输模块取到,然后对于此IP数据包,进行加密并将其压缩,即可进入隧道,发送出去。B网关接收到了加密后的数据包,将其解密,然后经过判断发送给B主机。这样就完成了一次数据传输。
在图2传输过程中,数据包经过隧道从A网络传输到B网络,完成整个传输过程,其中最关键的部分在于网关。VPN网关有两方面作用,一方面将内网的原始数据加密,然后通过隧道发送给对端网关,另一方面从隧道接收加密后的数据包,将其解密,然后发给内网目的主机。这样可得到,关键就是数据包从内网到隧道的转发功能,这个功能则是由虚拟网卡来解决的。
网关的有着对经过的IP数据包进行路由转发的功能,也就是从一个网口接受到IP数据包,然后经过判断从另外一个网口上发送出去。虚拟网卡就是构建在网关上的,经过网关发往B网络的IP数据包都会经过虚拟网卡发送过去,这样,发往B网络的所有IP数据包都可以被虚拟网卡截获,然后将其加密后送入隧道发送给B网关,B网关接收到IP数据包后进行解密,然后再交给虚拟网卡,虚拟网卡对其进行判断后,将其从B网关的另外一个网口发出,
IP数据包最终将被发送给目的B主机。
虚拟网卡将IP数据包截获以后,转交给应用程序来进行处理。首先,应用程序中的数据交换模块来读取虚拟网卡上的IP数据包,然后由这个应用程序的加密模块,将数据包进行加密处理,最后是由隧道传输模块接收到加密后的数据,将其发送给对端的网关。其中VPN隧道就是一条TCP连接,建立在两个网关之间的。UDP协议可以用来实现隧道技术。在隧道的对端,接收到IP数据包以后,处理的流程跟发送流程刚好相反,先由应用程序的解密模块将数据进行解密,然后将其转交给数据交换模块,数据交换模块再将其递交给虚拟网卡,虚拟网卡接收到IP数据包后,根据其目的地址在内网选择相应的内网网卡,最后内网网卡将数据送达至目的主机。虚拟网卡在这个过程中的作用是,数据包在VPN隧道和内网之间的转发,还保证了数据的安全性。
4.总结
虚拟专用网,就是应用隧道技术再公共网络上逻辑性地区分多个私有网络,是一种虚拟的网络,目的是保证网络传输的安全性能和提升服务质量。虚拟专用网建立在公共网络上,在建立隧道的时候,如果一次性给足带宽,则会引起带宽的浪费,从而使得可容纳的客户数量降低,公共网络使用率也会随着降低。相反,若带宽过低,则会提高虚拟专用网上连接被拒绝的次数,所以配置带宽要适当。
本文重点研究与探讨了点对点模式。在系统点对点工作模式的讨论上,又着重讨论了应用层VPN网关的设计问题,例如隧道技术在数据包中转发的问题和虚拟网卡等,然后提出了一种新的解决思路,在一定程度上使得VPN的安全性得以提高。
参考文献:
关键词:MPLS VPN 优点 原理 应用
传统的VPN通常建立在ATM/DDN/FR网上,随着IP网的大规模部署及ATM技术应用的衰落,在IP网上提供VPN业务被认为是一种非常经济的方式,随着MPLS技术的出现,基于MPLS的VPN技术发展迅速并已获得商用。
一、MPLS VPN的优点
MPLS VPN能够利用公用骨干网络强大的传输能力,降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前,在基于IP的网络中,MPLS具有很多优点:
(1)降低了成本
MPLS简化了ATM与IP的集成技术,使L2和L3技术有效地结合起来,降低了成本,保护了用户的前期投资。
(2)提高了资源利用率
由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
(3)提高了网络速度
由于使用标签交换,缩短了每一跳过程中地址搜索的时间,减少了数据在网络传输中的时间,提高了网络速度。
(4)提高了灵活性和可扩展性
由于MPLS使用的是Any To Any的连接,提高了网络的灵活性和可扩展性。灵活性方面,可以制订特殊的控制策略,满足不同用户的特殊需求,实现增值业务。扩容性包括:一方面网络中可以容纳的VPN数目更大;另一方面,在同一VPN中的用户很容易扩充。
(5)安全性高
采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
二、MPLS VPN的原理介绍
MPLS VPN一般采用图1所示的网络结构。其中VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。
MPLS VPN有三种类型的路由器,CE路由器、PE路由器和P路由器。其中,CE路由器是客户端路由器,为用户提供到PE路由器的连接;PE路由器是运营商,也就是MPLS网络中的标签边缘路由器(LER),它根据存放的路由将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由;P路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由而不维护VPN相关的路由。
根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用BGP在PE路由器之间分发路由,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。
在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。CE-PE路由器之间通过采用静态/默认路由或采用ICP(RIPv2、OSPF)等动态路由协议。PE-PE之间通过采用MP-iBGP进行路由信息的交互,PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息分发给所有的PE路由器。除了路由协议外,在控制层面工作的还有LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。
在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
三、MPLS VPN的综合网管网络中的应用
河北铁通省网管中心建有交换综合网管系统,通过计费网与各地市综合网管终端相联,维护和操作各地市的程控交换设备。由于交换综合网管网络与计费网络共有一张业务支撑网,多业务并存,造成诸多问题,如:网络资源分散,部分网络资源利用率低,部分网络不能满足日益增长的业务需求;各业务系统之间实现了互联互通,但无法进行有效的安全隔离,安全性较差。
为改变这种状况,满足企业业务支撑网络整体长期发展的需要,河北铁通采用MPLS VPN技术对现网进行了改造。在全省建立一张统一的MPLS骨干网络来承载交换综合网管业务,与原计费网络实现隔离。
将省两台核心路由器NE80E作为RR,提供RR的冗余保护,各地市的华为路由器、BAS作为RR Client和PE;在省干设备和地市汇聚设备上建立新的省内VPN实例jhwg_VPN,要求各地市不能互通,都能够和省公司互通;各地市城域网自行规划vlan范围作为交换网管业务专用。组网说明:业务通过CE路由器(或直连方式)接入VPN,VPN采用MPLS-L3VPN;PE设备组成一个不同VPN间相互隔离的三层路由网络;建议使用高性能路由器作为路由反射器,避免PE全互联的组网;全网P、PE设备部署MBGP协议。
与原先的网络相比,采用MPLS VPN技术改造后的网络具有以下特点:
不同业务系统的数据由不同骨干网络承载,网络结构更加清晰,维护简单。
安全措施部署简单,业务系统可以进行更加安全的隔离。
网络扩展性好,当增加新业务系统时不需要建设新的网络,只需增加一个VPN即可;不需要针对某个业务系统单独扩容网络带宽,只有当骨干网络平台总带宽不足时才考虑进行扩容。
各业务系统统计复用骨干网总带宽,也可以根据各业务系统实际的流量分配带宽,从而合理地使用网络资源,网络资源利用率高。
参考文献
[1]互联网. BGP/MPLS VPN的实现技术[D].江苏电信有限公司
[2]籍兴江. MPLS/VPN 基本原理及在ZXR10中的配置[J].张玉红 崔世耀:中国铁通山东分公司
关键词:SSL VPN; IPsec VPN; 数字化校园; 远程访问
中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03
0引言
随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。
1VPN 的原理及SSL VPN方案的优势
11VPN原理
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。
12两种VPN方案的对比
按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析
21访问控制技术
访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。
22性能分析
VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。
3SSL-VPN下的数字化校园解决方案
31需求分析与设计目标
校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。
32系统体系结构
经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。
由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。
33改进型安全策略——基于角色的控制
本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。
4结束语
随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。
参考文献:
[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.
[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.
[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.
[4]沈海波,洪帆. 访问控制模型研究综述[J].计算机应用研究,2005,32(5):9-11.
关键词:VPN;隧道技术;加密协议;工伤保险;康复
引言
工伤康复工作的开展,标志着我国工伤保险发展进入一个新时期,是我国在社会保险领域注重借鉴国外先进经验,主动与国际接轨的重要举措。世界卫生组织对康复工作所下的定义是:康复是指综合协调地应用医学的、教育的、职业的、社会的和其它一切措施,对残疾者进行治疗、训练和运用一切辅助手段以达到尽可能补偿、提高或者恢复其已丧失或削弱的功能,增强其能力,促进其适应或重新适应社会生活。现代观点的康复包括了医学康复、教育康复、职业康复、社会康复等几大基本方面,其中医学康复是康复首要的和最重要的内容之一,也是使残疾者全面康复的基础。可见康复是一项具有重要意义的系统工程,是构建社会主义和谐社会的重要组成部分。
工伤保险康复的费用按工伤保险基金的一定比例列支,因此社保经办机构在与康复机构签订服务协议的基础上,需参照《国家基本医疗保险和工伤保险药品目录》对工伤康复费用按规定进行合理性、合规性审核,拒付其中不合理费用。这就需要对康复人员在定点机构所发生的费用明细进行审核。我们通过对康复机构的调研,了解到他们的日常工作以HIS为平台,考虑到康复工作处于起步阶段(初始定点机构仅两家,且都在杭州市区),康复人数较少,康复费用按月结算等特点,建议采用标准数据接口,通过电子邮件交换数据的方式实现康复数据明细传递;作为特殊情况的应对措施,允许通过U盘等存储介质,实现数据交换及审核结果的反馈。近两年的实践证明,这一方法是可行的。
随着政府对社会保险工作的投入不断增加,工伤康复工作不断完善,业务的快速发展对现有的应用模式提出了挑战:一是定点机构的数量不断增加,且出现了跨地域定点单位,如位于建德的浙江省首家工伤康复综合试点单位――国家电网公司职业病防治院已被列入我市定点机构名录,需要社保经办机构与定点单位连网;二是工伤康复待遇审核滞后,一些药品和诊疗费用要等到数据反馈后,业务审核阶段才能确定是否剔除。为此,有必要建立工伤康复远程访问新模式。本文从工伤康复业务实际需求出发,讨论VPN在这方面的应用,并根据发展需要,对VPN技术在工伤保险康复信息化中的应用提出自己的见解。
1 工伤康复远程访问需求分析
1.1 工伤康复远程访问是业务发展的要求
通过对康复全过程的跟踪、指导,与定点机构、康复人员的沟通,了解康复效果,听取各方面的意见反馈,在对不同类型的康复对象提供标准化服务的基础上,可根据实际需要实施个性化服务。要实现这一目标,必须首先解决网络远程访问的问题。
1.2 工伤康复远程访问是现实业务的要求
随着工伤康复定点机构的增加,如果仍沿用目前的业务处理模式,手工处理业务量将迅速增大,出错概率也将增加;另一方面,社保经办机构与定点单位均需对康复待遇作实时审核,社保经办机构如果能尽早发现不规范的业务,并及时纠正,可减小待遇审核时的剔除金额给定点机构造成的财务损失。鉴于以上情况,需要解决网络远程访问的问题。
1.3 工伤康复远程访问是突破目前单一医疗康复模式的要求
根据国际劳工组织提出的工伤保险三大目标:预防、补偿、康复,劳动部将康复工作作为工伤保险改革的重要目标之一。为了实现居家康复模式,使工伤人员通过网络与社保经办机构以及定点康复机构进行沟通,确定康复方案,提高康复资源的使用效率,以及建立教育康复、职业康复、社会康复的平台,同样需要解决网络远程访问的问题。
1.4 工伤康复远程访问安全问题
目前业务处理的数据交换通过电子邮件实现。为避免公网传输信息可能导致泄密、数据篡改等问题,在确定康复机构时,社保局要向康复机构提供一份康复人员名单,其中每位康复对象都有一个代码(个人编号),后续数据交换通过代码进行。
由于身份证可能存在重复的情况(错发、业务操作错误等),同一参保人在变更参保单位时,使用新的身份证办理参保手续,发现存在问题后,需要将该人员两个身份证信息合并,此时只能保留其中一个个人编号。五险合一业务情况下,多个业务单位都可能需要进行类似的变更,导致康复机构反馈原“个人编号”信息时,可能发生记录无法匹配的现象,需要业务进行“个人编号”同步,确保后续数据传输顺利进行。
2 虚拟专用网(VPN)一经济实用的远程访问形式
2.1 VPN技术
VPN是Virtual Private Network(虚拟私有网络)的缩写,它是一种利用公共网络建立虚拟私有网的技术:通过对网络数据的封包和加密,在公用互联网络上建立专用通道传输私有数据。它是一种介于公用网和专用网之间的逻辑性“虚拟”网络,利用开放的公用网络进行信息传输,通过安全隧道、用户认证和访问控制等技术帮助远程用户、分支机构、商业伙伴及供应商同企业的内部网建立可信的安全连接,并保证数据的安全传输。
2.2 隧道技术
内网中普遍使用私有IP地址。从这些地址发出的数据包是不能直接通过Internet传输的,必须通过网络地址转换为合法IP地址。常见转换方法有静态IP地址转换、动态IP地址转换、端口替换、数据包封装等。VPN采用的是数据包封装(隧道)技术。使用隧道传递的数据可以是不同协议的数据包,隧道协议将这些数据包重新封装在新的包头中发送。新的数据包头提供了路由信息,这个包头即封装头,目标地址被封装在原始包内。当包到达隧道的终点时,封装头剥离,原始包被发送到目的地址。
2.3 隧道协议
可以在标准网络模型的不同层创建隧道。
第二层隧道协议:在数据链路层运行的隧道协议提供了点对点的虚拟链路。有以下一些协议:
Point-to-Point Tunneling Protocol(PPTP,点对点隧道协议);
Layer 2 Forwarding(L2F,第二层转发协议);
Layer 2 Tunneling Protocol(L2TP,第二层隧道协议)。
第三层隧道协议:在网络层运行的隧道协议可提供基于IP的虚拟连接。
IP Sec(IP Security)是一组应用广泛、开放的协议总称,它对应用于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议AH和ESP、密匙交换协议IKE和用于网络验证及加密的算法等。其中两个使用最普遍的AH标准是MD5和SHA-1,MD5使用最高达128位的密钥,而SHA-1通过最高达160位密钥提供更强的保护。ESP标准是数据加密标准(DEs),DES最高支持56位密钥。IPSec同时还支持3DES,因此其密码算法具有很高的安全性。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥,并向上提供访问控制、数 据源验证、数据加密等网络安全服务。
SSL(secure Sockets Layer,安全套接字层协议)是Netscape公司提出的基于Web应用的安全协议。SSL是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议,为TCP/IP连接提供数据加密、服务器认证、可选的客户机认证和消息完整性验证。SSL被视为Internet上Web浏览器和服务器的安全标准。
2.4 用户认证和访问控制
VPN也存在安全隐患。因此,为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。除加密和解密外,需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成。
访问控制技术即传统的防火墙技术。一个完善的VPN应同时提供完善的网络访问控制功能,由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,通过对访问策略的控制实现用户的细粒度访问控制,以最大限度地保护信息资源。
2.5 提供更高安全性的SSL VPN
SSL VPN在原始VPN技术基础上,结合SSL(Secure Sockets Layer安全套接字层协议)技术,使网络传输的安全性更高。但也存在缺点,即仅适用于B/S架构,不支持C/S架构。
3 VPN技术在工伤康复中的应用
3.1 VPN的安全性能满足工伤康复应用需求
VPN使用隧道技术对原始数据包进行封装,并采用密钥技术及身份认证,确保通信的安全,能可靠进行业务数据传输,安全性能满足工伤康复应用的需求。
3.2 采用VPN技术可规范康复工作
为消除目前定点机构用药、结算等工作中的不规范行为,采用VPN技术确保医保机构与定点单位的实时连接,及时提供指导及监督,同时,工伤康复费用申报审核周期也可缩短。通过开发基于B/S架构的应用平台,实现网上办事,包括工伤康复人员的网上申报,康复医院日程安排等日常业务工作均可在网上完成。
另外,配备多媒体设备,也可与康复人员进行实时交流,听取各方面对康复工作的意见和建议。
3.3 采用VPN技术合理利用康复资源
在目前业务中,与工伤康复人员的沟通方式单一。采用VPN技术,伤残程度较轻的工伤人员,可实现居家康复,有限的康复资源可以合理配置。在VPN上社保经办机构的工作人员能像打电话一样,呼叫被授权的康复人员,了解健康情况,并在线提供康复指导。这种方式可有效保护康复人员隐私,改善医患关系,获得更好的诊疗效果。通过网络康复人员可互相交流,有助于开展全方位康复工作。
3.4 易于管理和良好的可扩展性能
VPN的发展已有10年的历史,作为一项成熟的技术,以其可扩展性和易于管理等优点被广泛应用于多个领域,在工伤康复工作,甚至整个社会保险领域中有广阔的应用前景。从表面看它只是解决了一个物理连接方面的问题,但实际上正在改变着我们的工作和生活方式,正如SUN公司所提出的“网络就是计算机”。
关键词:校园网;VPN(虚拟专用网);网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6689-04
Application of VPN in Extending Coverage of Campus Network
WANG Yi-hong, LIU Yi
(Shanghai Medical Workers' College,Shanghai 200237,China)
Abstract: Introducing the characteristics of Virtual Private Network, puts forward a VPN based networking scheme of campus network according to the demands of securely internetworking and remote access to campus network.By testing and analyzing the implement results,the feasibility and availability of the scheme are proved.
Key words: campus network; VPN; network safety
近年来我校教育规模不断扩大,在重新整合、资源共享、联合办学的发展过程中形成了梅陇、市北、市东、崇明、松江的多校区合作办学模式。但是地理位置上的分散性,使得原先相互独立的校园网拓扑结构不能满足要求:如采用专线连接,将会增加网络运行的成本;如将校区间交换的数据直接通过Internet传送,数据的安全性又很难得到保证。
所以需要利用相应的技术手段实现安全可靠的校园网互连,实现统一管理和对资源的充分利用。此外,利用网络资源还能丰富办学手段,实现和开展远程教学和远程办公,提供个性化的学习支持服务和信息服务,也是学校网络建设发展的趋势。虚拟专用网(Virtual Private Network)正是满足这种要求的解决方案。
1 VPN概念
虚拟专用网(Virtual Private Network,VPN)是在Internet中建立一条虚拟的专用通道,利用Internet来传输内部数据的虚拟专用网络。VPN技术采用隧道技术、数据加密技术和身份认证技术,从而保证构建于公共网络之上的虚拟内部网络的有效连通性和安全性[1]。如图1所示,虽然VPN 通讯建立在公共互联网络的基础上,但用户在使用VPN时感觉如同在使用局域网。
1) VPN技术具有以下特点[2-3]:
(1) 低成本。VPN利用了现有的线路,在其上构建了虚拟的通道,节省了建设专线的高昂造价及租金。
(2) 易扩展。如果采用专线连接,当物理节点变化时,网络结构趋于复杂,费用增加。而VPN技术是通过虚拟通道来实现的。
(3) 保证安全。VPN技术利用可靠的加密认证技术,在Internet上建立隧道,能够保证通信数据的机密性和完整性,保证信息不被泄露或暴露给未授权的组织或个人。
2 基于校园网的VPN应用方案
根据校园网对安全互联、远程访问的需求,提出基于校园网的虚拟专用网应用方案。对方案的实现结果进行测试和分析,验证方案的可行性。
2.1需求分析
1) 师生在校外无法访问校内资源
2) 校区与校区之间的内部网络无法互访
解决方案:利用VPN技术建立远程用户到校园网的安全连接,数据通过公共Internet上的VPN隧道加密传输。并通过对用户身份的认证以及特定资源的访问控制,保证校园网的内部资源不被泄漏和非法访问。
2.2 PPTP VPN解决方案
2.2.1 什么是PPTP VPN
建立 VPN 隧道有多种方式,包括 L2TP、IPSEC、PPTP、SSL等隧道,其中 PPTP 是 VPN 隧道中部署最为简单、方便的实现方式之一,Windows 系统默认自带 PPTP VPN 客户端,只需几个步骤可以轻松完成 VPN 的设定[4-5]。
2.2.2 应用环境说明
学校 (VPN服务端)
架设 VPN 服务器,允许远程用户拨入,外网IP为 211.x.x.x。
远程用户 (VPN客户端)
经常需要和学校交换数据, 通过 VPN 拨号到总校。拨入成功后虚拟通道被建立,获得虚拟 IP: 172.16.0.101。由VPN通道进入学校内部局域网,上传和下载文档。
出差人员 (VPN客户端)
需要和学校交换数据时, 通过 VPN 拨号到学校。拨入成功后虚拟通道被建立,获得虚拟 IP: 172.16.0.100。 由VPN通道进入总部内部局域网,上传和下载文档,或和其他拨入点 (如办事处或其他出差人员)相互通讯。
2.2.3 PPTP_VPN 服务端的设定
目前市场上有许多的防火墙附带VPN功能,本文以SHARETECH AW-5100为例,介绍PPTP_VPN的部署和实施。
1) 激活PPTP VPN功能,设置客户端IP范围
进入“管制条例选项” ->“VPN” ->“PPTP 服务器”->“客户端IP范围”,如图3。
VPN 网络上使用的是内部保留IP地址,一般用 192.168.x.x或172.16.x.x或10.X.X.X,这里我们使用 172.16.0.X,可根据实际情况自行调整。VPN 网络地址不能和本地局域网地址重复,也尽量不要和远程拨入端的局域网地址重复。为了防止冲突,建议把 VPN 网络地址设为比较特殊,比如 172.16.100.X 或 192.168.123.X 等。
2) 新增PPTP 服务器
激活PPTP后,按需添加PPTP服务器。比如允许使用者shzy可以访问学校所有资源,而只允许使用者guest访问部分资源,就需要设置多个PPTP服务器供不同用户使用。
进入“管制条例选项” ->“VPN” ->“PPTP 服务器”->“新增PPTP 服务器”,如图4。
使用者名称:shzy;密码:******。
如果需要让某个帐户拨号后始终获得一个固定的 VPN IP,选择“使用特定IP地址”项输入想要分配的 IP 即可,比如这里可以是 172.16.0.110。
3) 添加VPN管制条例
设置完PPTP服务器后,需要添加管制条例。每一个封包在通过SHARETECH AW-5100时,需要逐条检查是否符合管制条例。当封包的条件符合某条管制条例时,就会按该管制条例的设定来通过SHARETECH AW-5100,如封包无法符合任何管制条例时,该封包就会被拦截。
进入“管制条例”->“内部至外部”->“新增”,如图5。
进入“管制条例”->“外部至内部”->“新增”,如图6。
设置好后,PPTP VPN的服务器端就可以运作了。另外,如需对VPN接入用户的访问权限做一定限制的话,可以在“来源网络地址”和“目的网络地址”进行设置,通过管制条例对来源网络地址进行管制,判断是否可以访问目的网络地址,这里不做详细说明。
2.2.4 PPTP VPN 客户端设置(Windows) [6-7]
Windows 2000/XP/2003/Vista 自带有 PPTP_VPN 的拨号客户端,无需另外安装软件。以 Windows XP 为例,设置步骤如下:
1) 启动新建连接向导
依次点击“开始” -> “设置” -> “网络连接” -> “新建连接向导” 即可。 或右键单击桌面上的“网上邻居”图标,选择“属性”,在“向导”栏双击“新建连接向导”。
2) 选择“连接到我的工作场所的网络”
3) 选择“虚拟专用网络连接”
4) 设置连接名pptp_vpn
5) VPN 服务器端地址211.*.*.*
6) 完成连接向导
7) 设置拨号连接参数
打开建立的拨号连接,点击“属性”进入连接属性设置; 选择“网络”选项卡 -> “Internet 协议 (TCP/IP)”; 点击“属性”进入TCP/IP协议设置。
一般情况下,请去掉“在远程网络上使用默认网关”前面的勾,否则VPN拨号后将无法上网(访问Internet)。
8) 开始VPN拨号
点击“连接” 进行VPN拨号,用户名是shzy,密码是******。拨号成功后,点击“连接成功”的提示图标,查看详细的连接信息: 可以看到拨号后本地VPN 连接的IP:172.16.0.100,VPN 服务器IP为172.16.0.1。
2.2.5 测试VPN连接
1) 在“开始” ->“运行” 输入 cmd 进入 DOS 命令提示符,使用 ping 测试 VPN 通道是否正常。
2) 测试连接文件交换区(ip地址:172.16.0.11)
开始――>运行――>输入ip地址,比如文件交换区\\172.16.0.11
3 VPN性能测试
以SHARETECH AW-5100为例,它的VPN技术参数如表1所示。
模拟学校VPN可能的使用情况,对VPN进行上传下载速度和网络延时的测试(学校租用科技网10M光纤),如表2所示。
测试是在网络空闲时进行的,传输速度基本上达到理想数值。在日常工作时,受各方面的因素影响,速度可能会有所下降,但能够满足校外人员利用VPN访问校园网的需要。
4 使用PPTP VPN 连接校区
在两个校区网络之间建立VPN连接,策略上允许两地的所有用户互访,像是一个网络,可以任意访问这两个校区网络的资源。因为并不需要让所有用户都能够访问两个网络,所以这样做即增加了VPN设备的负荷,也不便于VPN用户的管理。这里介绍一下方法,仅供参考:同样以SHARETECH AW-5100为例,主校区的AW-5100作为PPTP服务器端,分校区的AW-5100作为PPTP客户端。
4.1 服务器端设置
同3.2.3,激活PPTP服务器,设置好客户端IP地址范围并新增PPTP服务器,设置PPTP服务器的使用者名称“PPTP”和密码“******”
4.2 客户端设置
在分校区的设备上新增PPTP客户端,输入使用者名称、密码和服务器IP地址,如图11。
完成PPTP VPN联机,效果如图12。
设置好后,分校区的用户就可以访问总校区的资源了。想让总校区的用户也可以访问分校区,只需在分校区的设备上新增一个服务器端,在总校区的设备上新增一个客户端,两个校区就可以互相访问了。
5 结论
VP N技术使得校园网内部的重要信息在有安全保证的情况下传输,如同建立了专用的网络连接,提高了校园网的可管理性、灵活性和安全性。
面对多校区合作办学模式带来的复杂的网络现状,网络建设和资源共享的问题将会日益突出。利用VPN技术有效组织和开发网上资源,以网络应用推动网络扩展,以资源共享促进信息资源建设,实现各校区之间网络建设统一规划和信息资源共享,必将成为今后信息化建设和发展的方向。
参考文献:
[1] 王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[2] Jeffrey Richter, Windows核心编程[M].机械工业出版社,2000.
[3] Jim Ohlund,Anthony Jones,James Ohlund. Network Programming for Microsoft Windows[M].北京:清华大学出版社,2002,10.
[4] 高鸿斌.VPN在多校区校园网络建设中的应用[J].中国科技信息,2007,20.
[5] 王常亮.论高职院校如何推进校园信息化[J].职业教育研究,2005,9.
论文摘要:重点分析了VPN的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:
1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Re-mote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPNo
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.1 VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol , NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F( Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol, PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。
与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4 QoS技术
VPN虚拟专用网 (Virtual private network):建立在实在网路(或称物理网路)基础上的一种功能性网路,或者说是一种专用网的组网方式,简称VPN。它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网路;也可以说虚拟专用网是一种逻辑上的专用网路。
2 VPN的特点
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。所有网络应用均要求网络根据需要提供不同等级的服务质量。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 VPN安全技术
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(2)加解密技术
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。
对于L2TP服务器,将使用IPSec机制对数据进行加密。IPSec是基于密码学的保护服务和安全协议的套件。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
(4)使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP:CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。MS-CHAP:同CHAP相似,微软开发MS-CHAP是为了对远程Windows工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 MS-CHAP v2:MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
4 VPN发展现状
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。
(1)客观因素包括因特网带宽和服务质量QoS问题。
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。
(2)主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
[1]张忠玉.VPN 技术综述及应用.工程技术,2007(25).
关键词:MPLS VPN;三层网络技术;测试方法
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2017)07-0057-02
随着网络通信中大量数据的传输,现有的数据交换技术不能有效的实现数据之间的转换与控制,如何改变网络数据的传输与控制,简化网络核心路由器的工作压力,是当前数据综合网络的重要发展趋势。MPLS VPN技术是一种基于多协议标签交换的网络技术,采用IP VPN方式进行数据交换,通过在网络交换设备与路由器中采用MPLS技术,简化网络核心路由器的通讯选择方式,并将原有的路由器技术对数据交换进行标注,实现网络通讯的IP虚拟专用网络(IP VPN)技术,利用MPLS VPN技术可以实现Intranet、Extranet带宽拓展,满足多种灵活的业务需求与海量数据的传输。采用MPLS VPN技术能够有效地将现有的IP网络分解成为各种逻辑上隔离的通信网络。MPLS VPN技术具有灵活性、拓展性、QoS等方面的优势,在网络通信中得到了广泛的应用,促进了MPLS VPN技术在通信网络与企业网络中的应用十分广泛。
1NPLS VPN三层网络的组网设计
MPLS VPN网络的组网设备主要包括:客户网边缘路由器(CE)、通信骨干网边缘路由器(PE)和骨干网核心路由器(P)等几个部分,同时还有VPN用户节点等通信组组成。骨干网核心路由器的主要功能是将VPN网络的分组外层标签交换与MPLS的数据转发,通信骨干网边缘路由器的主要功能是实现通信网络的PE存储全局路由表和VRF(虚节点转发表)的一系列相关需要,客户网边缘路由器的功能是负责网络路由,实现客户端的数据通信需要,VPN的用户节点是保证各个用户在通信过程中的数据转发与应用。MPLS VPN三层网络的组网(MPLS L3 VPN)设计要求能够满足原因的两层网络通信的要求,具体的网络结构如下图1所示。MPLS L3 VPN组网方式中,采用了灵活多样的连接方式,用户接人VPN的方式是每个通信的网络Site提供一个或多个CE,各个CE之间的连接采用平行接人的方式,并接入到骨干网络边缘路由器PE上,然后在PE上为每一个接入的VPN的CE用户配置VRF,通过VRF的设置和控制,将PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道等相关的通信命令与数据接口有机地结合在一起,实现用户的VPN数据通信。
MPLS L3 VPN组网技术具有灵活多样的特征,可把用户路由复杂性转移给网络服务的提供商,由提供商为用户的数据需要提供支持服务,这样就可以与IP网j很好地融合,便于服务商对用户的数据进行控制,并能够支持多种封装协议、数据的互通,通过还能够支持多种MPLS VPN的二层协议,可以构建在多种网络数据传输的方式,通过MPLS技术,可以有效地实现网络通信路由的自动发现功能,并能够方便地进行数据传输。因此,MPLS VPN的三层网络传输技术具有很强的自动路由发现功能,能够很好地对网络数据进行控制与管理。通过上面的分析可以看出,MPLS L3 VPN网络数据传输具有很强的QoS能力、路由控制能力、自动识别功能,可跨不同地域/封装协议建立VPN网络连接、节省省际之际的数据传输带宽传输资源,维护比较简单等优点,适用于无一定技术团队、qoS保障要求高的高等级跨区域的网络数据传输中。
2MPLS VPN三层网络的组网的特征
MPLS VPN三层网络的业务比较广泛,能够有效在大型跨境企业、企业与合作伙伴之间构建IP VPN的虚拟网络,通过IP连接,实现安全可靠的客户数据中心的访问,可以有效地实现客户之间、网内外的数据高质量连接。
1)组网灵活;MPLS VPN技术灵活多样的特征,这样客户就可以利用通信运营商的网络任意节点之间(any-to-any)的组网通信,使得网络通信变得比较便捷、迅速,运营商可以根据用户的需要,在全国范围内的客户节点之间建立多种形式的网络拓扑结构,例如可以创建星型、全网状、部分网状的网络拓扑结构,然后再各个通信节点之间运营标准的网络通信互联协议,就可以有效的实现跨网络之间的有效通信与互通。
2)业务承载透明:MPLS VPN技术可以有效地对网络通信的上层应用进行透明的承载,采用数据分层传输的技术对数据进行控制,同时还能够支持企业的多种业务发展与融合,实现企业的网络内部、跨网络之间的通信,客户可以充分的利用MPLS VPN可承载数据、语音信息、图像和视频等综合业务应用,使得网络通信数据传输变得透明。
3)差异化Qos分级:在MPLS VPN技术架构的三层网络通信中,网络可提供多个Qos保障等级,从不同的等级要求对网络传输的数据进行质量控制,保障客户不同应用的指标要求,实现客户的多样化的数据传输服务,有效的满足客户业务维度(如语音、数据、视频等数据业务)数据传输以及节点维度(如总部节点、分支节点)个性化数据的不同等级保障与质量控制管理。
4)数据接入方式多样:MPLS VPN三层网络具有灵活多样的特征,在网络传输的过程中可以采用PTN、SDH/MSTP、光纤直连接入、专线接入等多种数据接入与传输的方式,这样也能够有效的实现不同网络之间的数据传输与跨网络的数据传输服务。
5)专业化网管服务;MPLS VPN三层网络采用了专业化的设备对网络数据传输进行控制,这样就需要有专业化网管中心,服务提供商、客户通过专业化的网络管理平台,可以有效地对跨区域、境内外的网络节点端到端网络之间进行主动监控与管理,这样就可以有效的对全网的网络客户进行管理和控制,能够及时的发现网络传输中存在的问题,对相关的数据进行统一维护与管理,能够快速的发现网络中的故障,并能够形成有效的网络运行报告。
6)高扩展性:高扩展性是MPLS VPN三层网络的重要特征,能够快速实现通信网络的拓展,并降低网络建设的成本。它可以在任何一个站点之间增加该站点的客户MPLS VPN接人与控制,即可实现互通,易于扩展,扩大网络通信的规模,而且能够有效地降低客户在组网与并网的成本,提高网络施工的效率,这种功能特别适合于大型集团、大型网络服务提供商、境内外的用户对网络节点进行扩充的需要。
7)快速的跨省、跨境业务数据互联。对于跨省客户业务,在数据传输的过程中,客户侧的CE设备可以通过城域网内之间的数据传输设备,将客户侧的数据接入到目标区域的PE设备上,PE设备然后采用省内干线传输系统将客户的请求接入到骨干网路由器(即P设备),通过对应的IP数据,为客户实现数据的链接,客户涉及省P设备通过全国干线传输互联,这样采用MPLS VPN三层网络就可以为跨省、跨区域的客户建立虚拟的网络客户节点,进而能够有效的建立网络数据链接,实现客户跨省业务的互联处理。而对跨境客户数据业务的处理,在用户发出请求之后,在CE端连接到运营商的IP城域网的PE端,然后就可以通过IP专网与国际网络出口节点连接到海外的POP网络中,然后通过网络设备转接到境外的客户端通信节点,这样就可以实现虚拟专网的数据业务互联。
3MPLS VPN三层网络的组网测试分析
客户在使用MPLS VPN业务进行网络数据传输的过程中,主要关注网络的可用率、网络的稳定性、接入性等相关的指标,这些内容反映到网络中就是数据传输的时延、抖动、分组丢失等相关的问题,因此,对于MPLS VPN三层网络的测试,可以针对CE-CE,PE-CE逐段进行测试,通过分析网络链路连通质量、VPN连通、路由协议收敛等来分析网络的通信质量。
1)CE-CE测试方法分析。对于客户边缘路由器CE-CE之间的数据通信连接测试,主要是对VPN的数据连接的连通性、路由通信协议收敛、链路连通质量和链路冗余性等相关的指标进行测试,可以将CE路由器作为测试的对象,可以用电脑登陆到CE设备的Console口,采用ping网络测试命令来检查VPN路由的数据连接与传输的情况,根据测试的要求设置通信分组的大小(64-1600Byte),然后采用Ping命令实现对CE的端节点联通性与数据通信的效果进行测试,一般情况下,主要对网络传输的时延、分组丢失率、抖动性能指标等相关的内容进行测试,分析客户边缘路由器CE-CE之间的连接情况,同时,还可以配以光功率计测试链路之间的光功率,通过光功率的记录情况,对网络的稳定性进行分析,如果在测试的过程中,存在双CE的情况,可以先断开一个CE链路,进行倒换测试,同样的采用ping命令进行数据通信测试,并对其中的时延、分组丢失率、抖动性能指标等进行测试,分析其中的一个CE-CE之间的连接是否正常,然后采用同样的方法对另一个CE链路进行测试即可。
2)PE-CE测试方法分析。在对PE-CE之间的连接进行测试时,主要考虑传输网络的电路传输质量与传输链路的带宽进行测试,在测试时,可以在客户端的传输设备进行测试。测试的方法是在客户端的两侧设备上分别连接PC或者笔记本电脑,并配置两台电脑设备的IP地址,并将两台PC的地址配置在同一子网掩码区域内,保证电脑的网卡没有故障,能够正常的工作,然后将其中的一台PC作为服务器,另外一台作为客户端主机,作为网络通信的连接设备,在服务器端安装FTPServer软件,保证网络能够有效的畅通,并配置好用户权限,然后在客户端主机安装FTP Client软件,这样就形成一个网络通信结构,然后在客户端主机的FTP Client软件访问服务器,并从服务器主机的FTP Server获取大容量文件,测试网络数据的传输的速率、质量等相关的指标,即进行FTP下载操作,待下载速率稳定后记录下载速率,观察下载速率的变化情况,一般的情况下,在测试的过程中,可以重复10次操作,待FTP操作稳定之后,取10次测试速率的平均值,可以测试出传输电路的带宽,并能有效的对PE-CE的稳定性及带宽进行测试。