vpn技术范例6篇
前言:文有道精心挑选了vpn技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
摘要:vpn是一项迅速发展起来的新技术,本文阐述了VPN(虚拟局域网)的基本概念以及其特点和优势,重点介绍了虚拟专用网的工作原理和相关技术包括隧道技术,数据加密和用户认证。
关键词:VPN;隧道技术;数据加密;用户认证
VPN(Virtual Private Network)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
VPN的主要特点
(1) 网际互联安全性高。VPN技术继承了现有网络的安全技术,并结合了下一代IPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
(2)经济实用、管理简化。由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
(3) 可扩展性好。 如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
(4)支持多种应用。由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
(5)有效实现网络资源共建共享。在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
VPN技术分析
VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
(1) 隧道技术
1.隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,?现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听
2 .第二层隧道协议
L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设施(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。目前,Internet中的拨号网络只支持IP协议,而且必须注册IP地址;而L2TP可以让拨号用户支持多种协议,并且可以保留网络地址,包括保留IP地址。利用L2TP提供的拨号虚拟专用网服务对用户和服务提供商都很有意义,它能够让更多的用户共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,用户在非IP网络和应用上的投资不至于浪费。
3.第三层隧道协议
IPSec是将几种安全技术结合在一起形成的一个较完整的体系,它可以保证IP数据包的私有性、完整性和真实性。IPSec使用了Diffie-Hellman密钥交换技术,用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IPSec协议定义了如何在IP数据包中增加字段来保证其完整性、私有性和真实性,这些协议还规定了如何加密数据包:Internet密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IPSec定义了两个新的数据包头增加到IP包上,这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IPSec认证包头协议来完成,数据的加密性则由安全荷载封装协议来实现。
(2)用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。?
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(3)加密技术
关键词:VPN简介特点实现技术
中图分类号:TP393文献标识码:A 文章编号:1672-3791(2012)04(a)-0000-00
现如今,针对网络的安全性、保密性、可靠稳定性的问题而研究出来并迅速发展起来了一种技术,那就是VPN。无论是数据传输的可靠性、网络安全性,还是经济实用性来看,VPN技术是一种不错的选择。
1VPN
1.1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork)简称VPN,它是一种“用于公共数据网络,提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用,还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVPN,二是企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN,三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN 在架构上采用了很多种安全机制,例如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认,而对一些敏感的数据,我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔,它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet,我们可以将Internet作为隧道与企业内部专用网络相连,用户的通信费用大幅度降低;然后,企业可以节省购买和维护通讯设备的费用。据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 与使用专线的成本相比较,要比其它的节省 30%~50% 左右;就远程访问而言,用 VPN比直接拨入到企业内部网络节省 60%~80% 的成本。这是由于VPN 在设备的使用量及广域网络的频宽使用上,平均比专线式的架构节省,因而能使网络的总成本(Total Cost of Ownership)降低。
1.2.3 管理简便
由于VPN 使用了比较少的设备来建立网络,所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性,大到企业总部的各个设备,小到各分公司,还有个人拨号用户,都能被包含于整体的 VPN 架构中,同时,VPN 的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN 和专线式的架构相比较具有弹性,当将网络扩充或是变更网络架构时, VPN 可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议,网络客户机都可以轻易的使用VPN。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以VPN支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是 Modem,用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体,再采用VPN技术,来实现企业网宽带远程访问,那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet,用户不论是在家中、在出差途中、还是在任何环境中,他都能够安全地连接到企业网内部。这样既不受到地域限制,也不会受到接入方式限制。
2VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中,多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行,这也就是VPN建立起来的隧道这一段,这样我们才可以建成一条性能符合用户要求的隧道。 对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制,来使VPN用户降低成本、提高效率、增强安全性,VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术,已经能够建立起一个具有互操作性、安全性的VPN,但是这个VPN在性能上还不稳定,管理上仍不能满足所有企业的要求,这就要加入一些QoS技术。
3 结 语
现如今,VPN技术可以利用在公共网络上建立起来的安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景,国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势,这是市场发展的必然。VPN已经是通信技术上的一个重要的突破,它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言,VPN还存在一些缺陷,VPN协议还没有完全标准化,而各VPN产品厂商对VPN也有不同的认知。总的来说,随着虚拟运营商逐渐进入VPN服务领域,我们还有更多的电信业务运营的ISP浮出水面,而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1] 杨小平等.《Internet应用基础教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3] 王达等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
[4] 杨永斌.VPN技术应用研究[J]. 计算机科学,2004,(10).
论文摘要:重点分析了vpn的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:
1vpn简介
虚拟专用网(virtuaiprivatenetwork,vpn)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
vpn可分为三大类:(1)企业各部门与远程分支之间的in-tranetvpn;(2)企业网与远程(移动)雇员之间的远程访问(re-moteaccess)vpn;(3)企业与合作伙伴、客户、供应商之间的extranetvpno
在extranetvpn中,企业要与不同的客户及供应商建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopointtunnelingprotocol,pptp)、第二层隧道协议(layer2tunnelingprotocol,i,2tp)等。WWw.133229.cOm
2vpn的实现技术
vpn实现的两个关键技术是隧道技术和加密技术,同时qos技术对vpn的实现也至关重要。
2.1vpn访问点模型
首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在a地进行封装,到达b地后把封装去掉还原成原始报文,这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation,gre)i,2tp和pptpo
(1)gre
gre主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,gre报文头被剥掉,继续原始报文的目标地址进行寻址。gre隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol,nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。
gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看,vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是vpn的地址空间,这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来,多个vpn可以重复利用同一个地址空间而没有冲突,这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现vpn功能函数的数量。还有,对许多vpn所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。ip路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合,vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受vpn用户网络的路由协议限制。
虽然gre隧道技术有很多优点,但用其技术作为vpn机制也有缺点,例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
gre隧道技术是用在路由器中的,可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中,多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。
(2)l2tp和pptp
l2tp是l2f(layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp,因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccessserver)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上,nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol,ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。
与之相反的是,pptp作为“主动”隧道模型允许终端系统进行配置,与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且,pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。
在l2tp中,用户感觉不到nas的存在,仿佛与pptp接入服务器直接建立连接。而在pptp中,pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在,只是简单地把pptp流量作为普通ip流量处理。
采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全,因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户,而pptp比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次desorc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4qos技术
关键词:VPN;隧道技术;L2TP
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-879-02
VPN and It's Tunneling Technology Research
CHEN Xing-gang, MENG Chuan-liang
(Guizhou University, Electronic Science and Information Technology Institute, Guiyang 550025, China)
Abstract: The article introduced VPN and its concrete implementing technology―Tunneling Technology. First it introduced the concept of VPN, and then it discussed the principle of work. In the end, it analyzed the VPN’s tunneling technology in detail, especially focusing on analyzing the L2TP tunneling protocol.
Key words: VPN; Tunneling Technology; L2TP
1 VPN的概念
VPN,即虚拟专用网(Virtual Private Network),它指的是一种依靠ISP和其它NSP,在公用网络中建立专用的数据通信网络的技术。通过对网络数据的特殊封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解的基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴以及供应商同公司的内部网建立可信的安全连接,并保证数据传输的安全。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,以便经济有效地连接到商业伙伴和公司分支机构。
2 VPN的原理
VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,减轻了企业的远程访问费用负担、节省电话费用开支,并且提供了安全的端到端的数据通讯。
常规的直接拨号连接与虚拟专网连接的异同点在于:在前一种情形之中,PPP(点对点协议)数据包流是通过专用线路传输的;在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPS就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
3 VPN的隧道技术
VPN技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前VPN主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是完成此任务的关键。目前VPN的隧道协议可大致分为第二层次的隧道协议PPTP、L2F、L2TP和第三层次的隧道协议GRE、IPSec等。它们的本质区别在于用户的数据包是被封装在哪种数据包里面从而在隧道中进行传输的。无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的,传输协议被用来传送封装协议;封装协议被用来建立、保持和拆卸隧道,Cisco产品支持几种封装协议,包括L2F、L2TP、GRE协议等;而乘客协议是被封装的协议,它们可以是PPP、SLIP等。隧道协议的组成如图1所示:
3.1 PPTP――点对点隧道协议
PPTP协议由Microsoft、Ascend和3Com公司开发,它的分组不但能在IP上传送,也能在IPX、Apple Talk上传送。PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机,如启动了该协议的Windows XP;PPTP服务器是指运行该协议的服务器,如启动了该协议的Windows Server服务器。PPTP可看作是PPP协议的一种扩展,它提供了一种在Internet上建立多协议的安全虚拟专用网的通信方式,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP,客户可采用拨号方式接入公共IP网络――Internet。拨号客户首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接,可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做就增加了用户的工作量也会造成一定的网络安全隐患。
3.2 L2F――第二层转发协议
L2F(Layer 2 Forwarding Protocol)是由Cisco公司提出的可以在多种介质如ATM、Frame Relay、IP网上建立多协议的虚拟专用网的隧道协议。远端用户能够透过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息,发起第二重连接,通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。但是,L2F不支持流控;要求每个用户端局域网有专用的网关,费用较高。
3.3 L2TP――第二层隧道协议
L2TP结合了PPTP和L2F的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
L2TP的主要作用是将PPP接入由本地扩展到远端,向用户提供经济的远程ISP接入和企业网接入,是IP VPN中极为重要的协议。L2TP支持多种协议,用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址;L2TP还解决了多个PPP链路的捆绑问题,使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成(网络结构如图2所示),LAC(L2TP接入汇接点)支持客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道;LNS(L2TP网络服务器)是所有隧道的终点。
在ISP接入情况下,LAC对应本地NAS,LNS对应为ISP,拨号用户通过PSTN/ISDN接入本地的LAC后,可以通过隧道接入所选择的ISP。在VPN情况下,LAC对应为NAS或ISP,LNS对应为企业网网关,拨号用户或路由器可通过隧道直接接入企业网,成为企业网的一个虚拟用户。LAC和LNS就是隧道的两个端点,期间运行L2TP协议。
LNS和LAC经由L2TP组成了分布式广域接入系统。一个LAC可以建立多个隧道接入不同的LNS,一个LNS也可以经多个LAC接入。在给定的一对LAC和LNS之间可以根据需要建立多条隧道,隧道的物理传送媒体可以是UDP/IP、ATM或FR等。每条隧道内包含两类信道:控制信道和数据信道。相应地,L2TP消息也分为两类:控制消息和数据消息。其中,控制消息的作用是建立、维护和释放隧道和会话,在控制信道上发送;数据消息的作用就是封装PPP帧,在数据信道上传送。L2TP协议的操作包括三个过程:隧道建立、会话建立和PPP帧的封装前转,相应的隧道结构及呼叫和会话情况如图3所示。
L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件,企业可以使用未注册的IP地址,并在本地管理认证数据库,从而降低了使用成本和培训维护费用。
与PPTP和L2F相比,L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输,L2TP使用Nr(下一个希望接受的消息序列号)和Ns(当前发送的数据包序列号)字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区,一旦数据丢失根据序列号可以进行重发。
4 结束语
实现VPN 的隧道技术多种多样,它们各有各的优势,本文主要讨论了L2TP隧道技术。
目前的一种趋势是将L2TP 和IPSec 结合起来用L2TP 作为隧道协议,用IPSec协议保护数据。现在,市场上大部分VPN采用这类技术。
参考文献:
[1] 郭世满,马蕴颖,郭苏宁.宽带接入技术及应用[M].北京:北京邮电大学出版社,2006.
[2] 李征.接入网与接入技术[M].北京:清华大学出版社,2003.
关键词:虚拟专用网络 远程访问 公用网络 服务器 客户端
中图分类号 TP393.094 文献标识码 B 文章编号:1002-2422(2007)03-0033-02
设单位有个私有地址192.168.0.0的网络,各电脑通过ADSL共享方式接入Internet,在家中有台电脑也通过ADSL访问Internet,现在想在家中随时安全地访问单位192.168.0.2这台机器,实现方法很多,最为安全的是通过VPN。
1 VPN概述
VPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN也由这三部分组成,不同的是VPN连接使用隧道作为传输通道。这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000Server的VPN服务器。VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。此种方式能在非安全的互联网上安全地传送私有数据来实现基于interet的联网操作。
2 windows 2003 VPN服务端安装配置
在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。
(1)依次选择“开始”管理工具“一”路由和远程访问“打开”路由和远程访问服务窗口:再在窗口右边右击本地计算机名,选择“配置并启用路由和远程访问”;(2)在出现的配置向导窗口点下一步,进入服务选择窗口,如下图所示。如果你的服务器如某些资料所说的那样只有一块网卡,那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的,如果你的服务器有两块网卡,则可有针对性的选择第一项或第三项。然后一路点击下一步,完成开启配置后即可开始VPN服务了;(3)以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡:如果你的internet拉入方式为宽带路由接入即DHCP方式,那就不需要改,不过根据笔者的经验,采用DHCP动态IP的网络速度相对较慢;而使用静态IP可减少IP地址解析时间,提升网络速度,其起始IP地址和结束IP,地址的设置可以依据你所在地区的IP地址段,也可自行定义,比如常见的局域网段“192.168.0.X”:(4)我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在下载,其安装及注意事项请参阅相关资料。
3 VPN客户端配置
这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows 2003客户端为例说明,其它的win2K操作系统设置都大同小异。
(1)在桌面“网上邻居”图标点右键选“属性”,双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”一窗口里点选第二项“连接到我的工作场所的网络”,继续下一步,在网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。
(2)在“VPN服务器选择”窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的网站下载);接着出现的“可用连接”面口保持一“只是我使用”的默认选项;最后,为方便操作,可以勾选“在桌面上建立快捷方式”选项,单击完成即会先出现VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。
4 连接后的共享操作
一种办法是通过“网上邻居”查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP,地址或动态域名也可打开共享目录资源。与在同一个局域网内的操作没什么区别。
关键词:VPN技术;电视台;应用状况
中图分类号:TP393.1 文献标识码:A 文章编号:1674-7712 (2012) 10-0040-01
一、引言
网络技术迅猛发展是社会发展的必然趋势,随之衍生的是诸多宽带多媒体技术,在多媒体技术的影响下,电信网络的业务既包括传统业务,又包括新型业务,都在宽带数据网中被传输,这无疑颠覆了人们的生活,使得各类多媒体业务推广到社会诸多领域。这样的形式下,多种宽带网络传输交换技术出现,采用这样的技术大多高带宽、业务发展局限小,具备极大的发展前景,VPN技术就是其中的一种,VPN技术在电视台也被广泛应用。
二、VPN 技术概述
(一)VPN技术含义
VPN是Virtual Private Network的缩写,又可以称之为“虚拟专用网络”,它是一种虚拟化的网络,是在公用网络中构建,被专门用来给某些企业所使用。
对于VPN技术进行研究分析可知,成功且高效的VPN一般具有如下特点:
1.专用性与安全性。VPN技术采用加密技术手段,对利用隧道所传输的数据予以加密保护,这实现了数据的指定发送与接收,从而实现数据的专用性与安全性。2.不同质量保证。从服务质量等级角度而言,VPN可以根据不同用户的需求,提供不同等级的服务质量。以移动办公用户为例,需要VPN保证连接的广泛性与覆盖性;以专线网络为例,因为拥有较多的分支机构,所以必须保证服务的稳定性;以电视台为例,因为对视频的码率传输有一定的要求,所以必须提供足够的带宽,以解决网络时延及误码的问题。3.可实现有效管理。从VPN管理角度而言,虽然服务提供商可以实现对次要网络任务的管理,但是VPN还是要求企业将其网络管理功能予以延伸的,实现对局域网、公用网,甚至是对客户、合作伙伴相关网络的有效管理。不能缺少完善的VPN管理系统,以此来实现对网络风险的规避,充分发挥VPN扩展性、经济性、可靠性的优势。4.可扩充性与灵活性。电视台、视频网站等的媒介对语音、图像、数据等的传输都有特殊的要求,而VPN能够充分满足这些要求,实现对网络资源的灵活配置,也能够满足其增加带宽的需求,这就是VPN的可扩充性与灵活性。
二、VPN技术在电视台的应用
现阶段,电视事业发展迅速,很多电视台具备不同频道,每个频道又具备新闻制作网、办公网、媒资系统等诸多系统,因为不能实现各系统间的协作,这增加了重复录入与播出的麻烦,不利于实现资源共享,也提高了投资成本。为了有效规避上述不利现象,必须充分利用VPN技术,唯有如此,才能更好地推动电视台各项工作的有序进行。
(一)成功VPN方案的要求
总的来说,一个成功的VPN方案应符合以下几项要求:
1.保证地址安全。成功的VPN方案,会给予用户专用网络的地址,并具备相应的措施,保证网络地址的安全性。2.需要用户验证。成功的VPN方案,必然具备验证用户身份的功能,那些经过授权的用户,才可以去访问VPN系统。除此之外,还可以设置计费与审计功能,通过运用这些功能,就可以清晰访问VPN时间及内容。3.对数据进行加密。因为VPN方案中采用了加密技术手段,对利用隧道所传输的数据予以加密保护,这实现了数据的指定发送与接收,未经授权的用户是无法接收这些数据的,从而实现数据的专用性与安全性。4.实行密钥管理。成功的VPN方案,还能够实行密钥管理,实现对客户端与服务器的维护。5.能支持多协议。在公用网络中,实施多种协议,成功的VPN方案能够对这些协议予以支持,如IP与IPX等,不但如此,成功的VPN方案还能够充分利用互联网的优势。
从服务类型来看,VPN主要有3种类型,即企业内部虚拟网、远程访问虚拟网、企业扩展虚拟网。
(二)电视台对VPN技术的应用
1.IPSec VPN技术。IPSec是对Tnternet Protocol Security的缩写,又可以称之为网际协议安全。它范围广泛且具有开放性,是一个标准的框架结构。IPSec是一种安全模式,这种协议模式的设立,建立在对数据传输、网络通信不安全的假设基础之上,因为有了IPSec协议的存在,使数据传输经过加密流程,能够为网络数据传输提供透明安全保障,有效防范TCP/IP通信不受窃听或篡改的侵害,对于网络攻击也能有所防范。
电视台运用IPSec VPN技术,一般都是用在人员较为集中的台外办公地点。举例说明,采用互联的方式,将台外办公地点与电视台网络中心的两台M5400相联,再采用相应的管理功能,实现对VPN系统的管理,实现两台M5400的顺利运行,对于电视台网络中心的VPN而言,台外办公地点VPN的一个分支系统。因为台外办公人员自身职责,他们自身具备不同的权限,在自身权限所允许的范围内,通过访问局域网,可以实现对电视台内部网络资源的访问。
2.SSL VPN技术。SSL VPN是Secure Sockets Layer的缩写,又可以称为安全套接层协议。基于在外办公人员对单位内部网络资源的需求,SSL VPN技术得以迅猛发展,这是一项虚拟的专用技术,是适用于应用层的,SSL VPN技术的存在,为数据通讯的安全提供了有利的支持。
对于电视台那些在外办公又地点分散的办公人员,可以采取SSL VPN技术,通过对VPN系统管理功能的运用,实现对内网用户的有效管理,可以根据部门及职责的不同,实现不同工作组的划分与设置,给予不同工作组相应的权限。除此之外,还必须实施一定的安全策略,如微机硬件特征码认证、手机短信认证、邮件认证等,这样能够更为有效地保障电视台内网诸多系统的安全。如在电视台VPN系统的网址,可以设置电视台内部网的链接,这更方便对内部网资源的利用,有利于电视台工作效率的提升。
三、小结
在信息化建设日益发展的今天,VPN技术以其高效率、低成本的优点而被广为采用,且使用的效果良好,借着网络技术的推动作用,VPN技术具备着更大的发展前景。很多电视台顺应信息化建设的趋势,采用了VPN技术,并不断予以完善,新的业务与管理方式被启动,这必将推动电视事业的更大发展。
参考文献:
[1]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010,02