vpn技术论文范例6篇
前言:文有道精心挑选了vpn技术论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
【关键词】vpn 安全 SSL
VPN网络广泛应用于各行各业,那么VPN真的安全吗?这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSL VPN的安全性的讨论来窥伺VPN安全性的一斑。
1 VPN基本结构
VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中,就是我们常说的SSL VPN,安全性相对比较高。
2 VPN安全隐忧
理论上VPN具有较高的安全性,但网络中没有绝对的安全,我们以安全性较高的SSL VPN来深入探讨。由于SSL VPN并不需要特殊的客户端软件,而是用Web浏览器代替,因此SSL VPN的安全威胁主要集中在浏览器和服务器上。
2.1 客户端的安全隐患
2.1.1 临时文件
WINDOWS系统在运行过程中会产生临时文件,包括系y运行和上网所产生的临时文件,SSL VPN通过浏览器与服务器端进行通信活动,用户退出VPN系统时,不会自行清除临时文件。这些数据会被缓存在临时文件夹中,浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。
2.1.2 用户忘记退出
由于网络用户是一个庞大的用户群,大部分用户都不知道如何正确退出VPN系统,单位管理员也不会刻意要求用户及时退出系统,用户事后一般就是关闭浏览器,并没有真正退出VPN系统,这就给SSL VPN系统带来了又一安全隐患。
2.1.3 病毒通过隧道感染内部网络
SSL VPN用户可以使用任何电脑远程登录单位内部网络,用户如果使用带有病毒的电脑接入SSL VPN网络,即使用户网与VPN网之间有防火墙,有些病毒仍将会通过VPN隧道感染SSL VPN网络内部的软件与文件资料。
2.1.4 操作环境风险
通过浏览器,用户可以不受使用地点限制,随意登录VPN系统,在公共场合,如果用户的防护意识不强,登录口令等安全信息泄露的风险增加,他人可以临时“借用”身份证书即可轻松进入相关系统。
2.1.5 内部网络信息泄密
内部应用程序往往使用到内网IP地址或是内部机器名,远程用户通过SSL VPN调用内部应用程序时,SSL VPN就必须将这些内部地址转化为因特网可识别的地址(HAT技术)。由于各个系统对安全性有不同的要求,HAT技术在实现,如果HAT技术应用不恰当,那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。
2.2 服务器端安全问题
2.2.1 应用层的安全威胁
SSL VPN一般通过两种方法实现:一是直接使用Web服务器作为其底层平台架设VPN服务器,由于VPN和Web服务器在同一台设备上,Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSL VPN,包括硬件与操作系统,这种方式具有较高的安全性,但随着技术的进步,一段时间后这种方式也将暴露出其本身的固有的隐患,这种独立硬件的漏洞决定了整个系统的安全性。
2.2.2 身份认证
由于用户可以通过任何计算机登录进入VPN,可能将用户名和密码泄露,因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要,对安全性的要求也更高。
3 VPN安全隐患解决方案
3.1 客户端问题解决方案
VPN网络在使用中存在一些问题,但我们可以建立相应的机制来解决或缓解上述问题,使用VPN网络安全更上层楼。
3.1.1 临时数据处理
浏览器一般都带有自动清除临时数据的选项,但用户一般不会自行设置,因此需要在服务器端编写一个小程序,客户端自动下载运行,该程序记录用户登录后的操作及产生的临时数据,退出登录后自动清除用户这个过程中留下的各种格式的临时数据。
3.1.2 使用进程超时机制
大部分用户对于数字证书的安全不太重视,证书长期插在电脑上,导致电脑长时间与SSL VPN处于连接状态,这种情况一方面可以由单位制定操作规章,规定用户离开时证书也要拔下,另一方面可以采用进程超时机制,由系统实时检测用户的操作情况,当用户一定时间内没有操作时,系统自动断开VPN的连接,而用户下一次连接时需要重新认证。
3.1.3 应用层网关技术
应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者,在SSL VPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络,相当于多了一道有效的防火墙,通过对所有应用请求的审核,将非法的应用请求过滤掉,这样即使应用系统有一些未知的漏洞也不影响安全性能,可以有效防止大部分病毒传播。
3.1.4 加密内部网络信息。
我们通过扫描能很方便地获知网络内的主机名、IP地址等信息,这容易被攻击者利用,因此SSL VPN应对网内的主机名、服务器IP地址等内部网络信息进行加密,尽量减少攻击者获取信息量,让其无从下手。
3.2 服务器端问题解决方案
服务器端的问题主要有下面的几种解决方法:
(1)为了抵制黑客对服务器端应用层漏洞的攻击,利用基于应用层封包过滤技术,只允许已知的合法应用层数据包通过SSL VPN服务器也能有效防止黑客利用非法请求攻击内部服务器。
(2)使用更强的认证机制。取消传统的静态用户名和口令的身份认证机制,最好是使用强的双因素认证机制和一次性口令鉴别机制。最好能够具备LDAP和短信息认证等多种认证功能。同时,还要强制要求用户一段时间后就要修改数字身份证书的密码,防止身份认证设备被人“借用”。
4 结束语
VPN作为一种安全技术和比较有效的网络安全解决途径,由于受各种不确定因素以及人为原因的影响,仍然存在着安全隐患,作为一种应用范围较广泛的安全应用解决方案,这些安全问题不容忽视。
参考文献
[1]马军锋.SSL VPN技术原理及其应用[J].电信网技术,2005,8(08):6-7.
[2]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
关键词:VPN技术;应用;隧道技术
中图分类号:TP393.1 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-02
一、引言
当前,信息化发展程度不断深化,现有的因特网服务的无所不在以及专线无法比拟的低价位等方面的优势,使得有很多企业开始运用VPN技术在因特网上构建自己的私有企业网络或是网站。所谓VPN技术,中文全称为“虚拟专用网络”,Virtue Private Network,它主要是指在两台计算之间所构建成的一条专用连接,最终达到在共享网络或者公共网络上对私有数据进行快捷化的传输的目标,也可以将其认为VPN计算为一种“化公有为私有”的先进性的信息技术。这种虚拟技术对于网络的安全性的提高具有十分重要的促进作用。利用因特网的资源来构建虚拟专用网络已经成为了一种全新的选择,它开业对企业内部网络进行很好地扩展,可以帮助远程用户、移动用户以及公司分支机构之间建立一种安全、可靠、可信的网络安全连接,而且还可以确保数据的安全可靠传输,提高数据的安全性以及保密性。基于以上关于VPN技术的种种优点,该技术得到了较为广泛地应用。本文就是攫取了VPN技术为主要研究对象,对其具体概念、工作原理、特征以及关键技术等方面进行了阐述,然后论述了VPN计算的实际应用。
二、VPN概念
VPN(虚拟专用网络)技术是将公用网络作为信息传输的媒体,在进行加密、封装、认证和密阴交换技术后在公用网络上创建了一条专用的网络通道,这样一来,合法的用户就能够对网络内部具有的数据进行访问。其能够代替专线,很好的将单位移动员工以及远程的分支机构与单位内部的网络相连接,VPN对所有用户端都是公开的,用户实际使用过程中如同采用一条专用线路进行信息交流与传递。要想确保VPN有效的连接,首先,单位内部网络就必须具备关于VPN方面的服务,同时,VPN还要与单位内部网络以及因特网进行连接。当连接服务器的计算机利用VPN连接和单位内部网络的服务器进行信息交流与传递时,先由互联网服务(ISP)将全部数据输送到VPN中,然后由VPN服务将全部数据输送到单位内部网络的目标服务器中。另外,VPN的工作原理是将需要进行机密数据传输的两个端点同时与公用网络进行连接,如果机密数据需要进行传输时,就可以利用端点上的VPN设备在公用网络上创建一条专用的网络通道,而且还要将全部数据进行加密再在网络上进行传输,从而确保机密数据的传输是安全的。
三、VPN特征
(一)VPN的优势
首先,其成本较低;和专用网络相比较,通过互联网服务(ISP)构建起的VPN能够大大降低信息交流与传递过程中所使用的费用,并且,也使得单位减少了人力与物力的投入量;其次,将网络设计进一步简化;凡是通过ISP的,单位只需要简单的安装、配置与管理远程链路;另外,实现了网络安全目标;数据传输前的用户认证与VPN传输过程中的安全以及加密协议使得网络的安全性进一步提高。第四,容易扩展;要想将VPN的容量与覆盖范围进一步扩大,单位只需要与ISP签订一份新的合约即可。第五,其可以随时的与合作伙伴进行联网。第六,掌握了主动权。
(二)VPN的劣势
首先,虽然VPN设备供应商能够为外联网服务或者远程办公室的专线提供诸多有效的方式,但是VPN服务提供商只对数据在其的管辖范围内的性能予以保证,如果超出了其的管辖范围,那么,就无法对数据的安全性进行保证。其次,各个厂商的VPN在管理与配置管理上具有较大的难度,因此,就必须对各种厂商的实际执行方式与术语进行全面的了解。
四、VPN的关键技术
(一)安全隧道技术
其主要是通过将即将传输的原始信息进行加密与协议封装处理后,然后嵌套将其放置到另外一种协议的数据包,最后输送到网络中,传输过程与普通数据包相同。这样的一种处理方法,只有宿端与源端这两种用户才能将隧道中具有的嵌套信息进行充分的解释与有效的处理,对于其他用户来说,这些信息毫无意义。其以加密与信息结构变换相结合的方式为主,并不只是一种单纯的加密技术。
(二)用户认证技术
在正式隧道进行连接前,应对用户的身份进一步确认,以确保系统将其自身具有的资源访问控制或者用户授权全面发挥。用户认证技术已趋于成熟,所以,应对现有技术的集成进行充分的考虑。
(三)访问控制技术
提供VPN服务的相关者和提供最终网络信息资源的相关者应共同协商明确特定用户对特定资源所拥有的访问权限,从而对用户的细粒度访问进行有效的控制,这在一定程度上对信息资源进行了良好的保护。
(四)密阴管理技术
这一技术的主要任务就是怎样才能在公用网络上有效的、安全的将密阴进行传递而不会被盗取。当前的密阴管理技术有两种类型,一个是因特网简单密阴交换协议(SKIP),一个是安全关联和密钥管理协议(ISAKMP)。前者主要是通过Diffie-Hellman的验算法则,在网络上将密阴进行传输;后者双方分别有两把密阴,主要分为公用与私用。
(五)加解密技术
论文关键词:VPN,校园网,远程访问
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 VPN工作原理及其主要优点
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的VPN技术选择及对策
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在构建VPN连接时应根据实际情况进行选用。
3.2 技术对策
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 VPN网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
3.3.1 主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的VPN连接
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高VPN的安全性
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
[1] 戴宗坤等 VPN 与网络安全[M]. 北京: 电子工业出版社, 2002.
【关键词】虚拟专用网 数字证书 身份认证 校园网
虚拟专用网(VPN)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。目前,一些企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性,但存在不少的安全隐患。因此针对现有VPN系统无法满足校园网安全使用的问题,深入分析、研究了VPN系统中的关键技术和主要功能,构建了一种基于PKI的校园网VPN系统的体系架构。
1 系统框架设计及系统功能模块描述
1.1 系统框架设计
VPN系统需要解决的首要问题是网络上的用户与设备都需要确定性的身份认证。错误的身份认证。不管其他安全设施有多严密。将导致整个VPN的失效, IPSec本身的因为它的身份认证规模较小、比较固定的VPN上是可行的,把PKI技术引进VPN中是为了网络的可扩展性和保证最大限度的安全,CA为每个新用户或设备核发一张身份数字证书,利用CA强大的管理功能,证书的发放、维护和撤销等管理极其容易,借助CA,VPN的安全扩展得到了很大的加强。传统的VPN系统中,设备的身份是由其IP地址来标识的。IP地址也可能随着服务商或地点的改变而改变,借助CA提供的交叉认证,无论用户走到哪儿,该用户的数字证书却不会改变可以随时跟踪该数字证书的有效性。本人提出将PKI证书身份认证技术应用在校园网IPSec-VPN网关中,以此来解决VPN的身份认证。
1.2 系统功能模块描述
从软件结构上分VPN网关系统分为应用层模块和内核层模块,SAD手工注入接口模块和密钥管理程序模块为运行在应用层的软件模块。IPSEC处理模块、CA模块和防火墙模块为运行在内核层的软件模块。
2 VPN系统分析
2.1 系统的需求分析
师生们越来越多地走出校园。他们也可能需要用到校园内部专用网络资源。这是因为随着我校的发展、项目的合作以及文化的交流越来越频繁,通过校园网VPN网统在公共网络中建立的可保密、控制授权、鉴别的临时安全虚拟连接,它是一条穿越相当混乱的公用网络的安全隧道,是高校内部网的扩展,采用通道加密技术的VPN系统,通过基础公网为使用高校提供安全的网络互联服务。这样师生们很方便的访问我校内网的网络资源,而且相对专用网、校园网VPN系统大大降低成本;相对Internet通信,VPN系统又具有相当高的安全性。密钥基础设施PKI是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务以及所必须的密钥和证书管理体系,这正好能弥补VPN的IPSec在身份认证方面的缺点。
2.2 流程分析设计
(1)将PKI的认证、机密性和完整性协议定义为PKI专用数据,并把它们置于DOI字段中,同时加载证书字段,生成带PKI性能的IKE载荷。
(2)IKE进行野蛮模式或者主模式交换,互换证书,建立IKE SA。
(3)双方用公钥检查CA和证书中的身份信息在证书上的数字签名。
(4)用公开密钥加密算法验证机密性。
(5)用数字签名算法验证完整性。
(6)协商一致后,生成具体的SA。
IPSec与PKI结合后,在密钥交换过程中,通过交换证书的方式交换了公钥和身份信息,验证数字签名、机密性和完整性,从而充分的保证了信息来源的可信度、完整性等,同时,IPSec配置文件中实现与多数用户的通信,只需少数的CA证书即可。
3 VPN系统的实现
3.1 IPSec内核处理模块实现
(1)为每种网络协议(IPv4,IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数)。在数据涉及流过协议栈的几个关键点这些钩子函数被调用。在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用Netfilter框架。
(2)内核的任何模块注册每种协议的一个或多个钩子,实现挂接,这样当传递给Netfilter框架某个数据包时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。如果注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示Netfzlter将该数据包传入用户空间的队列。
(3)那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。
3.2 CA系统功能模块实现
根据我校校区的分布,在这里PKI系统采用单CA多RA的系统结构,这种结构是单CA的改进,其中RA承担了CA的部分任务,减轻了CA的负担,随着校园规模和校园网的进一步扩大,如果经费允许,我们将建立层次CA,学校一个根CA,考虑到系统的安全性,CA服务器、RA服务器、Ldap服务器放置在北校区的防火墙后面,由于我校已购置日立的磁盘阵列,实际的数据库系统采用磁盘阵列实现。
CA服务器负责制作证书,签发证书作废表,审核证书申请,管理和维护中心CA系统,提供加密服务,保护存储密钥和密钥管理等等功能,整个系统基于windows系统,采用Java平台,并利用OpenSSL函数库和命令行工具而本论文并不讨论与之相关的加密、解密和密钥存储,证书策略等。
4 结语
本文从互联网的发展说明VPN技术产生的背景和意义,再对VPN的相关技术、协议进行研究与分析。在此基础上,结合校园网络的实际情况,提出了一个基于PKI校园网VPN系统的实现方案以利用VPN安全技术突破校园专用网的区域性限制来解决校园网存在的一些问题。同时根据提出的方案给出了一个校园网VPN实现的实例,并对该实现过程进行了检验和分析,在一定程度上验证了所提方案的有效性。
参考文献
[1]钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究[J].中国教育信息,2008(9):77-80.
[2]冯登国,李丹.当前我国PKI/PMI标准的制订与应用[J].信息网络安全,2005:16-17.
关键词:VPN隧道技术Qos
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
[1] 石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
论文摘要:MPLS技术提供了类似于虚电路的标签交换业务,可以实现底层标签自动的分配,在业务的提供上比传统的VPN技术更廉价,更快速和安全的数据传输。同时MPLS VPN可以充分利用MPLS技术的一些先进特性,提供流量工程能力、服务质量保证等。DCN网络作为公司内部各营业、办公、网管、运维等各信息系统承载的网络平台,在应用系统整合的大趋势下,对网络健壮性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在这样的环境背景下,成为DCN网络改造的必然。
随着公司的不断发展,DCN网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、OA等及融合后3G网管系统等,有些应用系统对安全性要求较高比如OA和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次MPLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个DCN网的服务质量。由一张实体物理网实现虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和安全需求。最终,DCN网络中的终端与主机须划入至各自所属的MPLS VPN域中,实现各个VPN域之间的通信隔离,同时在各个VPN间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同VPN域的通信数据的有效安全控制。
1 MPLS VPN技术简介
MPLS VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。
MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络。设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Router,骨干网核心路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由协议交互知道属于某个VPN的网络拓扑信息。除了路由协议外,在控制层面工作的还有LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
2 骨干迁移的三个关键问题
由于DCN网络建设时间比较久,网络结构比较复杂,如何从全部使用IP环境的DCN过渡到全部使用MPLS VPN环境的DCN成了此次网络升级改造的重点。网络改造期间,网络的平稳运行无论对于市场还是对于业务系统都是至关重要的,由于MPLS VPN技术是对全省DCN网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现MPLS VPN改造的首要问题。
过渡期间最应该考虑的关键三个问题是:
1)在IP环境下,各域间路由的互通问题。实现方法是先将组成DCN的各个IP网络单元以地市为单位逐个改造为MPLS VPN 网络单元,然后逐个与省公司建立MP BGP邻居实现全网MPLS VPN化。
2)受控互访的实现,即做到市公司在同一VPN区域内部互相之间不可见;市公司在同一VPN区域内部可以访问省公司;市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPOKE方式和对PE、CE层面实施控制来实现。
3)VPN划分与IP地址整理,DCN网络建设前期并未考虑各个应用系统的MPLS VPN划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。
3 DCN网络改造升级的设计
DCN网络改造解决方案是融合MPLS、VPN和QOS技术的统一解决方案。方案采用MPLS作为承载数据传输的新协议,使用EIGRP作为主干IGP协议,MPLS VPN路由使用MP-IBGP以及路由反射器进行域内传送,省公司采用背对背VRF方式与集团对接。
MPLS需要建立在IGP路由的基础上,IGP协议对MPLS的主要作用就是保证MPLS邻居之间的可达性和MBGP邻居之间的可达性,省骨干网使用的EIGRP协议,地市网络根据自己网络环境使用EIGRP或OSPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案,各PE-CE路由协议保持原OSPF动态路由协议,在PE设备将OSPF路由重分发至MP-BGP。
各业务VPN互访通过防火墙来实现。由于目前将DCN全网业务基本划分为MS、BS、OS和OTHER这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠VPN的方式,一方面增加了维护的复杂度,另一方面违背了建设MPLS VPN的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。通过在防火墙上配置严格的安全策略,对各VPN之间流量进行过滤,这样隔离的各MPLS VPN之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。
综合前面所述,主要采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。
将各业务VPN为HUB-SPOKE模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。
在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制,各VPN业务之间通过防火墙进行访问。
4 MPLS VPN对DCN网络的重要意义
由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCN网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,MPLS升级的重要意义体现在:
1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。
2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要DCN网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。
3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,VPN颗粒将趋向细化,VPN拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及VPN支持能力是网络规划建设中必需着重考虑的问题。
4)可靠性要求:DCN网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对DCN网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。
5)服务质量要求:DCN网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。
在保证DCN网络安全运行的前提下,有步骤、分阶段实施MPLS改造,并按照规划设计应用RT策略实现各系统互访受控与隔离。目前,改造后的DCN网络运行状况良好。
在实现MPLS VPN后,受控互访则变得相对轻松,仅仅需要在各个MPLS VPN路由环境之间的数据通道上部署防火墙即可对各VPN间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的VPN业务接入机制。
5 结束语
MPLS VPN网络改造的实现,极大的提高的DCN网络的安全性,为前台营业、办公OA、运维网络监控等各项不同的业务网络应用提供可靠地保证。
参考文献:
[1] 范亚芹,张丽翠,宋维刚.可提供MPLS VPN网络安全性保障的解决方案[J].吉林大学学报:信息科学版,2005(03).