序論:在您撰寫vpn技術(shù)論文時(shí)���,參考他人的優(yōu)秀作品可以開(kāi)闊視野����,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度����。
第1篇
關(guān)鍵詞vpn;虛擬專用網(wǎng)��;SSLVPN����;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng),是一項(xiàng)迅速發(fā)展起來(lái)的新技術(shù)�,主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來(lái)連接分散在各地的本地網(wǎng)絡(luò)���,僅在效果上和真正的專用網(wǎng)一樣��,故稱之為虛擬專用網(wǎng)�����。在虛擬專用網(wǎng)中�,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路��,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的���。一個(gè)網(wǎng)絡(luò)連接通常由客戶機(jī)���、傳輸介質(zhì)和服務(wù)器三個(gè)部分組成。VPN同樣也由這三部分組成,不同的是VPN連接使用了隧道技術(shù)����。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報(bào)的發(fā)送接受過(guò)程中使用了加密解密技術(shù),使得傳送數(shù)據(jù)報(bào)的路由器均不知道數(shù)據(jù)報(bào)的內(nèi)容�����,就好像建立了一條可信賴的隧道�。該技術(shù)也是基于TCP/IP協(xié)議的。
2隧道技術(shù)的實(shí)現(xiàn)
假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng)�����,其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0��。顯然�,這兩個(gè)部門若利用因特網(wǎng)進(jìn)行通信,則需要分別擁有具有合法的全球IP的路由器����。這里假設(shè)部門A、B的路由器分別為R1�����、R2��,且其全球IP地址分別為125.1.2.3和192.168.5.27�����,如圖1所示��。
圖1
現(xiàn)在設(shè)部門A的主機(jī)X向部門B的主機(jī)Y發(fā)送數(shù)據(jù)報(bào)���,源地址是20.1.0.1而目的地址是20.2.0.3����。該數(shù)據(jù)報(bào)從主機(jī)X發(fā)送給路由器R1�����。路由器R1收到這個(gè)內(nèi)部數(shù)據(jù)報(bào)后進(jìn)行加密�,然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào),這個(gè)外部數(shù)據(jù)報(bào)的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3���,而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27����。路由器R2收到R1發(fā)送的數(shù)據(jù)報(bào)后,對(duì)其進(jìn)行解密�����,恢復(fù)出原來(lái)的內(nèi)部數(shù)據(jù)報(bào)�,并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸�����。
3軍隊(duì)院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想
隨著我軍三期網(wǎng)的建設(shè)����,VPN技術(shù)也可廣泛應(yīng)用于軍隊(duì)院校的校園網(wǎng)建設(shè)之中。這是由軍隊(duì)院校的實(shí)際需求所決定的��。首先���,軍隊(duì)的特殊性要求一些信息的傳達(dá)要做到安全可靠����,采用VPN技術(shù)會(huì)大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃?�;第二�,軍?duì)院校不但有各教研室和學(xué)員隊(duì)���,還包括保障部隊(duì)����、管理機(jī)構(gòu)等,下屬部門較多�,有些部門相距甚至不在一個(gè)地方,采用VPN技術(shù)可簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理�����;第三�����,采用了VPN技術(shù)后將為外出調(diào)研的教員����、學(xué)員們以及其它軍隊(duì)院校的用戶通過(guò)軍隊(duì)網(wǎng)訪問(wèn)本校圖書(shū)館查閱資料提供便利。
而VPN技術(shù)的特點(diǎn)正好能夠滿足以上幾點(diǎn)需求��。首先是安全性���,VPN通過(guò)使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證�����,這些驗(yàn)證方法包括:密碼身份驗(yàn)證協(xié)議(PAP)�、質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)�����、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)�����,并且采用微軟點(diǎn)對(duì)點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對(duì)數(shù)據(jù)包進(jìn)行加密�。對(duì)于敏感的數(shù)據(jù),還可以使用VPN連接通過(guò)VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔�,只有擁有適當(dāng)權(quán)限的用戶才能通過(guò)遠(yuǎn)程訪問(wèn)建立與VPN服務(wù)器的VPN連接,并且可以訪問(wèn)敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源���。第二�,在解決異地訪問(wèn)本地電子資源問(wèn)題上����,這正是VPN技術(shù)的主要特點(diǎn)之一,可以讓外地的授權(quán)用戶方便地訪問(wèn)本地的資源����。目前����,主要的VPN技術(shù)有IPSecVPN和SSLVPN兩種�����。其中IPSec技術(shù)的工作原理類似于包過(guò)濾防火墻�����,可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展�����。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)��,包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配����。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)�,包過(guò)濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。但是IPSec不同于包過(guò)濾防火墻的是�,對(duì)IP數(shù)據(jù)包的處理方法除了丟棄����,直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外還能對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證�。而SSLVPN技術(shù)則是近幾年發(fā)展起來(lái)的新技術(shù),它能夠更加有效地進(jìn)行訪問(wèn)控制��,而且安全易用�,不需要高額的費(fèi)用。該技術(shù)主要具有以下幾個(gè)特點(diǎn):第一�,安全性高;第二����,便于擴(kuò)展;第三��,簡(jiǎn)單性��;第四����,兼容性好。
我認(rèn)為軍隊(duì)院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSLVPN技術(shù)�����。首先因?yàn)槠浒踩院茫捎贗PSecVPN部署在網(wǎng)絡(luò)層�,因此,內(nèi)部網(wǎng)絡(luò)對(duì)于通過(guò)VPN的使用者來(lái)說(shuō)是透明的�,只要是通過(guò)了IPSecVPN網(wǎng)關(guān),它可以在內(nèi)部為所欲為����。因此,IPSecVPN的目標(biāo)是建立起來(lái)一個(gè)虛擬的IP網(wǎng)����,而無(wú)法保護(hù)內(nèi)部數(shù)據(jù)的安全���,而SSLVPN則是接入企業(yè)內(nèi)部的應(yīng)用��,而不是企業(yè)的整個(gè)網(wǎng)絡(luò)��。它可以根據(jù)用戶的不同身份��,給予不同的訪問(wèn)權(quán)限��,從而保護(hù)具體的敏感數(shù)據(jù)�。并且數(shù)據(jù)加密的安全性有加密算法來(lái)保證。對(duì)于軍隊(duì)機(jī)構(gòu)��,安全保密應(yīng)該是主要考慮的方面之一�。第二,SSLVPN與IPSecVPN相比�����,具有更好的可擴(kuò)展性�。可以隨時(shí)根據(jù)需要���,添加需要VPN保護(hù)的服務(wù)器����。而IPSecVPN在部署時(shí)�,要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),如果增添新的設(shè)備��,往往要改變網(wǎng)絡(luò)結(jié)構(gòu)���,那么IPSecVPN就要重新部署��。第三�,操作的復(fù)雜度低,它不需要配置����,可以立即安裝、立即生效�����,另外客戶端不需要麻煩的安裝�,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四�,SSLVPN的兼容性很好,而不像傳統(tǒng)的IPSecVPN對(duì)客戶端采用的操作系統(tǒng)版本具有很高的要求�,不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外�,使用SSLVPN還具有更好的經(jīng)濟(jì)性�����,這是因?yàn)橹恍枰诳偛糠胖靡慌_(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問(wèn)接入�����;但是對(duì)于IPSecVPN來(lái)說(shuō)�,每增加一個(gè)需要訪問(wèn)的分支就需要添加一個(gè)硬件設(shè)備。
雖然SSLVPN的優(yōu)點(diǎn)很多,但也可結(jié)合使用IPSecVPN技術(shù)�����。因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域��。SSLVPN考慮的是應(yīng)用軟件的安全性���,更多應(yīng)用在Web的遠(yuǎn)程安全接入方面����;而IPSecVPN是在兩個(gè)局域網(wǎng)之間通過(guò)網(wǎng)絡(luò)建立的安全連接����,保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信,并且�,IPSecVPN工作于網(wǎng)絡(luò)層,不局限于Web應(yīng)用�。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò),對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)��,而不管是哪類網(wǎng)絡(luò)應(yīng)用���,安全和應(yīng)用的擴(kuò)展性更強(qiáng)�����?����?捎糜谲娦Vg建立虛擬專用網(wǎng)��,進(jìn)行安全可靠的信息傳送���。
4結(jié)論
總之�����,VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)���,目前的運(yùn)用還不是非常地普及,在軍隊(duì)網(wǎng)中的應(yīng)用更是少之又少���。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求,VPN技術(shù)將會(huì)發(fā)揮其應(yīng)有的作用��。
參考文獻(xiàn)
第2篇
一����、現(xiàn)代金融網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀
就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言����,典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個(gè)總部(省級(jí)網(wǎng)絡(luò)中心)和若干個(gè)地市分支機(jī)構(gòu)����、以及數(shù)量不等的合作伙伴和移動(dòng)遠(yuǎn)程(撥號(hào))用戶所組成。除遠(yuǎn)程用戶外�,其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。其中省級(jí)局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心��,為金融機(jī)構(gòu)中心服務(wù)所在地��,同時(shí)也是該金融企業(yè)的省級(jí)網(wǎng)絡(luò)管理中心���。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣�,包括遠(yuǎn)程撥號(hào)��、專線�、Internet等。
從省級(jí)和地市金融機(jī)構(gòu)的互聯(lián)方式來(lái)看�,可以分為以下三種模式:(1)移動(dòng)用戶和遠(yuǎn)程機(jī)構(gòu)用戶通過(guò)撥號(hào)訪問(wèn)網(wǎng)絡(luò),撥號(hào)訪問(wèn)本身又可分為通過(guò)電話網(wǎng)絡(luò)撥入管理中心訪問(wèn)服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式�����;(2)各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過(guò)專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接;(3)合作伙伴(客戶�、供應(yīng)商)局域網(wǎng)通過(guò)專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接。
由于各類金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史����,其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過(guò)程中�,主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營(yíng)運(yùn)。
就網(wǎng)絡(luò)信息系統(tǒng)安全而言���,目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的���,一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施,這些措施包括利用操作系統(tǒng)����、數(shù)據(jù)庫(kù)系統(tǒng)自身的安全設(shè)施;購(gòu)買并部署商用的防火墻和防病毒產(chǎn)品等�����。在應(yīng)用程序的設(shè)計(jì)中��,也僅考慮到了部分信息安全問(wèn)題���。應(yīng)該說(shuō)這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的��,也是客觀條件限制下的必然�。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件����,這些軟件通常僅具備一些基本的安全功能,而且在安裝時(shí)的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性�,如考慮不周很容易留下安全漏洞。此外��,金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時(shí)并不能可靠地獲得安全保障���,Internet服務(wù)提供商(ISP)采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性���,而不是保護(hù)他們的客戶不被攻擊,他們對(duì)于你的安全問(wèn)題的反應(yīng)可能是提供建議���,也可能是盡力幫助�,或者只是關(guān)閉你的連接直到你恢復(fù)正常�。因此��,總的來(lái)說(shuō)金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒(méi)有達(dá)到與金融系統(tǒng)信息的重要性相稱的安全級(jí)別�����,有的甚至對(duì)于一些常規(guī)的攻擊手段也無(wú)法抵御�,這些都是金融管理信息系統(tǒng)亟待解決的安全問(wèn)題�。
二、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求
目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅��,就其攻擊手段而言可分為針對(duì)信息的攻擊���、針對(duì)系統(tǒng)的攻擊����、針對(duì)使用者的攻擊以及針對(duì)系統(tǒng)資源的攻擊等四類����,而實(shí)施安全攻擊的人員則可能是外部人員,也可能是機(jī)構(gòu)內(nèi)部人員����。
針對(duì)信息的攻擊是最常見(jiàn)的攻擊行為,信息攻擊是針對(duì)處于傳輸和存儲(chǔ)形態(tài)的信息進(jìn)行的,其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi)�,也可以在廣域網(wǎng)上。針對(duì)信息的攻擊手段的可怕之處在于其隱蔽性和突然性����,攻擊者可以不動(dòng)聲色地竊取并利用信息����,而無(wú)慮被發(fā)現(xiàn);犯罪者也可以在積聚足夠的信息后驟起發(fā)難�,進(jìn)行敲詐勒索。此類案件見(jiàn)諸報(bào)端層出不窮���,而未公開(kāi)案例與之相比更是數(shù)以倍數(shù)����。
利用系統(tǒng)(包括操作系統(tǒng)�、支撐軟件及應(yīng)用系統(tǒng))固有的或系統(tǒng)配置及管理過(guò)程中的安全漏洞,穿透或繞過(guò)安全設(shè)施的防護(hù)策略����,達(dá)到非法訪問(wèn)直至控制系統(tǒng)的目的,并以此為跳板�����,繼續(xù)攻擊其他系統(tǒng)。由于我國(guó)的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和支撐平臺(tái)����,為了照顧使用的方便性而忽略了安全性,導(dǎo)致許多安全漏洞的產(chǎn)生�,如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的,可能在系統(tǒng)中預(yù)留“后門”���,因此必須采用有效的技術(shù)手段加以預(yù)防�。
針對(duì)使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑�����,攻擊者多利用管理者和使用者安全意識(shí)不強(qiáng)����、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn)����,通過(guò)種種手段竊取系統(tǒng)權(quán)限,通過(guò)合法程序來(lái)達(dá)到非法目的���,并可在事后嫁禍他人或毀滅證據(jù)�����,導(dǎo)致此類攻擊難以取證��。
針對(duì)資源的攻擊是以各種手段耗盡系統(tǒng)某一資源���,使之喪失繼續(xù)提供服務(wù)的能力,因此又稱為拒絕服務(wù)類攻擊�。拒絕服務(wù)攻擊的高級(jí)形式為分布式拒絕服務(wù)攻擊,即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻擊�����,迫使攻擊對(duì)象癱瘓�����。由于針對(duì)資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu)���,尤其是Internet以及TCP/IP協(xié)議的固有缺陷����,因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒(méi)有得到大的改進(jìn)前,難以徹底解決���。
金融的安全需求安全包括五個(gè)基本要素:機(jī)密性���、完整性、可用性����、可審查性和可控性。目前國(guó)內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層面所面臨的安全問(wèn)題���,即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳輸安全和網(wǎng)絡(luò)訪問(wèn)控制問(wèn)題�。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問(wèn)題概括起來(lái)主要有:傳輸信息的安全����、節(jié)點(diǎn)身份認(rèn)證、交易的不可抵賴性和對(duì)非法攻擊事件的可追蹤性���。
必須指出:網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境��,建立良好的安全組織和管理是首要的安全需求���,也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)���。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案��。
三�、網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù)
解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問(wèn)題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問(wèn)控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)����,抵抗各種外來(lái)攻擊。密碼技術(shù)用于加密隱蔽傳輸信息�、認(rèn)證用戶身份�����、抗否認(rèn)等�。
密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一,實(shí)際上��,數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石�。在多數(shù)情況下,數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法����。一個(gè)加密網(wǎng)絡(luò)����,不但可以防止非授權(quán)用戶的搭線竊聽(tīng)和入網(wǎng)�,而且也是對(duì)付惡意軟件的有效方法,這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)����,在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用。
虛擬專用網(wǎng)絡(luò)(VPN:VirtualPrivateNetwork)技術(shù)就是在網(wǎng)絡(luò)層通過(guò)數(shù)據(jù)包封裝技術(shù)和密碼技術(shù)���,使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過(guò)“加密管道”傳播��,從而在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)���。利用VPN技術(shù),金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專線�,連接上本地的公眾信息網(wǎng),各地的機(jī)構(gòu)就可以互相安全的傳遞信息��;另外����,金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上�����,就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中,進(jìn)行各類網(wǎng)絡(luò)結(jié)算和匯兌��。
綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)���、數(shù)據(jù)加密技術(shù)���、網(wǎng)絡(luò)訪問(wèn)控制技術(shù),并通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制�,在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專用網(wǎng)絡(luò)系統(tǒng),可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案���。對(duì)于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)�,采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下�,極大地提高系統(tǒng)的安全性能���,是一種較為理想的基礎(chǔ)解決方案����。
當(dāng)今VPN技術(shù)中對(duì)數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層(對(duì)于TCP/IP網(wǎng)絡(luò)����,發(fā)生在IP層)�����,從而既克服了傳統(tǒng)的鏈(線)路加密技術(shù)對(duì)通訊方式����、傳輸介質(zhì)�、傳輸協(xié)議依賴性高,適應(yīng)性差����,無(wú)統(tǒng)一標(biāo)準(zhǔn)等缺陷,又避免了應(yīng)用層端——端加密管理復(fù)雜�����、互通性差��、安裝和系統(tǒng)遷移困難等問(wèn)題���,使得VPN技術(shù)具有節(jié)省成本���、適應(yīng)性好��、標(biāo)準(zhǔn)化程度高��、便于管理�、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢(shì)�����,成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個(gè)必然趨勢(shì)��。
從應(yīng)用上看虛擬專用網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專用撥號(hào)網(wǎng)絡(luò)(VPDN)����。虛擬企業(yè)網(wǎng)主要是使用專線上網(wǎng)的部分企業(yè)、合作伙伴間的虛擬專網(wǎng)�;虛擬專用撥號(hào)網(wǎng)絡(luò)是使用電話撥號(hào)(PPP撥號(hào))上網(wǎng)的遠(yuǎn)程用戶與企業(yè)網(wǎng)間的虛擬專網(wǎng)。虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道�,構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以下條件:保證數(shù)據(jù)的真實(shí)性,通訊主機(jī)必須是經(jīng)過(guò)授權(quán)的����,要有抵抗地址假冒(IPSpoofing)的能力����。保證數(shù)據(jù)的完整性���,接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致,要有抵抗不法分子篡改數(shù)據(jù)的能力�����。保證通道的機(jī)密性��,提供強(qiáng)有力的加密手段���,必須使竊聽(tīng)者不能破解攔截到的通道數(shù)據(jù)�。提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)��。提供安全保護(hù)措施和訪問(wèn)控制���,具有抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力�����,并且可以對(duì)VPN通道進(jìn)行訪問(wèn)控制�。
第3篇
關(guān)鍵詞:虛擬專用網(wǎng)VPN遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)安全
引言
隨著信息時(shí)代的來(lái)臨����,企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化��、結(jié)構(gòu)分布化���、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升�,信息管理范圍不斷擴(kuò)大,不論是企業(yè)內(nèi)部職能部門����,還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員����,都需要同企業(yè)總部之間建立起一個(gè)快速、安全�、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信���,實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源�,成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問(wèn)題����。
一���、VPN技術(shù)簡(jiǎn)介
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò)��,指的是依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)����,通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸,在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)�����。在隧道的發(fā)起端(即服務(wù)端)���,用戶的私有數(shù)據(jù)經(jīng)過(guò)封裝和加密之后在Internet上傳輸����,到了隧道的接收端(即客戶端)���,接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地到達(dá)用戶端��。
VPN可以提供多樣化的數(shù)據(jù)���、音頻��、視頻等服務(wù)以及快速�、安全的網(wǎng)絡(luò)環(huán)境�,是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過(guò)隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能���,具有接入方式靈活�����、可擴(kuò)充性好����、安全性高����、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)����。它能夠提供Internet遠(yuǎn)程訪問(wèn),通過(guò)安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)��、遠(yuǎn)程用戶��、現(xiàn)場(chǎng)服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)���,此外它還提供了對(duì)移動(dòng)用戶和漫游用戶的支持����,使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)�����。
隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展�,基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長(zhǎng)足發(fā)展��。根據(jù)企業(yè)的商務(wù)活動(dòng)�����,需要一些固定的生意伙伴�����、供應(yīng)商���、客戶也能夠訪問(wèn)本企業(yè)的局域網(wǎng)�,從而簡(jiǎn)化信息傳遞的路徑,加快信息交換的速度���,提高企業(yè)的市場(chǎng)響應(yīng)速度和決策速度�。同時(shí)���,圍繞企業(yè)自身的發(fā)展戰(zhàn)略�,企業(yè)的分支機(jī)構(gòu)越來(lái)越多���,企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問(wèn)的渠道��。面對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問(wèn)題��,VPN技術(shù)無(wú)疑給我們提供了一個(gè)很好的解決思路��。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接����,并保證數(shù)據(jù)的安全傳輸���,通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上�,大幅度地減少了企業(yè)����、分支機(jī)構(gòu)�、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時(shí)間��,降低了企業(yè)局域網(wǎng)和Internet安全對(duì)接的成本��。VPN的應(yīng)用建立在一個(gè)全開(kāi)放的Internet環(huán)境之中���,這樣就大大簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理,滿足了不斷增長(zhǎng)的移動(dòng)用戶和Internet用戶的接入����,以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。
二�、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析
VPN技術(shù)類型有很多種,在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天�,可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用,基于Internet環(huán)境的VPN技術(shù)具有成本低����、安全性好、接入方便等特點(diǎn)���,能夠很好的滿足企業(yè)對(duì)VPN的常規(guī)需求��。
2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器�、VPN客戶端、VPN連接����、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端���,用戶的私有數(shù)據(jù)經(jīng)過(guò)隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸����,通過(guò)虛擬隧道到達(dá)接收端���,接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地傳送給終端用戶���,最終形成數(shù)據(jù)交互?�;贗nternet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���。
2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個(gè)部分組成:隧道技術(shù)���,數(shù)據(jù)加密和用戶認(rèn)證��。隧道技術(shù)定義數(shù)據(jù)的封裝形式��,并利用IP協(xié)議以安全方式在Internet上傳送����;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜?��?��;用戶認(rèn)證則保證未獲認(rèn)證的用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整��、安全地在隧道中進(jìn)行傳輸�����,因此安全問(wèn)題是VPN技術(shù)的核心問(wèn)題��,目前�����,VPN的安全保證主要是通過(guò)防火墻和路由器��,配以隧道技術(shù)�����、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的���,以此確保遠(yuǎn)程客戶端能夠安全地訪問(wèn)VPN服務(wù)器���。
在運(yùn)行性能方面,隨著企業(yè)電子商務(wù)活動(dòng)的激增���,信息處理量日益增加����,網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生�,這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此制定VPN方案時(shí)應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來(lái)確保其性能�。我們可以通過(guò)VPN管理平臺(tái)來(lái)定義管理策略,分配基于數(shù)據(jù)傳輸重要性的接口帶寬����,這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則���,又不會(huì)屏蔽低優(yōu)先級(jí)的應(yīng)用?����?紤]到網(wǎng)絡(luò)設(shè)施的日益完善�、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長(zhǎng)���,對(duì)與復(fù)雜的網(wǎng)絡(luò)管理����、網(wǎng)絡(luò)安全���、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵��。因此VPN方案要有一個(gè)固定的管理策略以減輕管理、報(bào)告等方面的負(fù)擔(dān)����,管理平臺(tái)要有一個(gè)定義安全策略的簡(jiǎn)單方法,將安全策略進(jìn)行合理分布��,并能管理大量網(wǎng)絡(luò)設(shè)備,確保整個(gè)運(yùn)行環(huán)境的安全穩(wěn)定���。
三����、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用
企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計(jì)出VPN網(wǎng)絡(luò)�����,無(wú)需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路�,即可實(shí)現(xiàn)遠(yuǎn)程終端對(duì)企業(yè)資源的訪問(wèn)和共享。在實(shí)際應(yīng)用中�,VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中,客戶端幾乎適用于所有的Windows操作系統(tǒng)����。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。
3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問(wèn)”���,需要對(duì)此服務(wù)進(jìn)行必要的配置使其生效���。
3.1.1VPN服務(wù)的配置。桌面上選擇“開(kāi)始”“管理工具”“路由和遠(yuǎn)程訪問(wèn)”��,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)”服務(wù)窗口;鼠標(biāo)右鍵點(diǎn)擊本地計(jì)算機(jī)名����,選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”;在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步��,進(jìn)入服務(wù)選擇窗口����;標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡(分別對(duì)應(yīng)內(nèi)網(wǎng)和外網(wǎng)),選擇“遠(yuǎn)程訪問(wèn)(撥號(hào)或VPN)”�����;外網(wǎng)使用的是Internet撥號(hào)上網(wǎng)����,因此在彈出的窗口中選擇“VPN”;下一步連接到Internet的網(wǎng)絡(luò)接口��,此時(shí)會(huì)看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址��,選擇連接外網(wǎng)的網(wǎng)卡�����;在對(duì)遠(yuǎn)程客戶端指派地址的時(shí)候�����,一般選擇“來(lái)自一個(gè)指定的地址范圍”��,根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址�,新建一個(gè)指定的起始IP地址和結(jié)束IP地址。最后�,“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成����。
3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上���,因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限�����。在“管理工具”中打開(kāi)“計(jì)算機(jī)管理”控制臺(tái)���;依次展開(kāi)“本地用戶和組”“用戶”,選中用戶并進(jìn)入用戶屬性設(shè)置�;轉(zhuǎn)到“撥入”選項(xiàng)卡��,在“選擇訪問(wèn)權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問(wèn)”��,即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限��。
3.2VPN客戶端配置VPN客戶端適用范圍更廣���,這里以Windows2003為例說(shuō)明,其它的Windows操作系統(tǒng)配置步驟類似��。
在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性���,之后雙擊“新建連接向?qū)А贝蜷_(kāi)向?qū)Т翱诤簏c(diǎn)下一步�����;接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”���;在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”;接著為此連接命名后點(diǎn)下一步����;在“VPN服務(wù)器選擇”窗口里,輸入VPN服務(wù)端地址,可以是固定IP�,也可以是服務(wù)器域名;點(diǎn)下一步依次完成客戶端設(shè)置�����。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼���,即可連接上VPN服務(wù)器端。:
3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后����,即可訪問(wèn)服務(wù)器所在局域網(wǎng)里的信息資源,就像并入局域網(wǎng)一樣適用���。遠(yuǎn)程用戶既可以使用企業(yè)OA�,ERP等信息管理系統(tǒng)��,也可以使用文件共享和打印等共享資源�。
四、小結(jié)
現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)�����,在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)以及企業(yè)電子商務(wù)環(huán)境中���,虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個(gè)很好的解決方案��。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)��,從而為企業(yè)用戶提供了一個(gè)低成本����、高效率、高安全性的資源共享和互聯(lián)服務(wù)�,是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置���、信息的共享與交互����、供應(yīng)鏈集中管理�、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值,在未來(lái)的企業(yè)信息化建設(shè)中具有廣闊的前景�。
參考文獻(xiàn):
第4篇
在南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)業(yè)務(wù)網(wǎng)的高安全可靠性要求,結(jié)合南水北調(diào)中線工程需求����,一方面在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)上采用層次化結(jié)構(gòu),按照業(yè)務(wù)類別進(jìn)行物理劃分;另一方面,利用MPLSVPN技術(shù)將各應(yīng)用系統(tǒng)在邏輯上劃分為獨(dú)立的網(wǎng)絡(luò)�。根據(jù)現(xiàn)有MPLSVPN計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)技術(shù),整個(gè)網(wǎng)絡(luò)配置成一個(gè)MPLS域�,將核心層、骨干層路由器配置成P設(shè)備�����,區(qū)域?qū)雍徒尤雽勇酚善髟O(shè)備全部配置成PE設(shè)備;P和PE設(shè)備之間運(yùn)行MPLSLDP協(xié)議��,所有PE路由器之間運(yùn)行MP-iBGP協(xié)議����。將接入層交換機(jī)作為CE����,經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個(gè)接入的VPN用戶建立并維護(hù)獨(dú)立的VRF,根據(jù)CE設(shè)備接入端口的不同�����,控制其進(jìn)入相應(yīng)的VPN中���,實(shí)現(xiàn)與其他VPN應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離�。總公司�����、分公司��、管理處的各應(yīng)用系統(tǒng)都通過(guò)專用的應(yīng)用系統(tǒng)LAN交換機(jī)接入����,局域網(wǎng)主干交換機(jī)作為CE,經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個(gè)應(yīng)用系統(tǒng)建立并維護(hù)獨(dú)立的VRF����,根據(jù)CE設(shè)備接入端口的不同,控制其進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)VPN中�����,實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離�����。
2MPLSVPN互訪策略
在南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照MPLSVPN劃分的原則���,不同MPLSVPN之間不能互相訪問(wèn)�,這確保了VPN的安全可靠性。但是�����,南水北調(diào)中線干線工程自動(dòng)化應(yīng)用系統(tǒng)之間存在MPLSVPN子系統(tǒng)之間����、用戶至不同業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求。也就是說(shuō)�����,網(wǎng)絡(luò)需要方便地控制不同MPLSVPN之間的互訪���,而且要實(shí)現(xiàn)嚴(yán)格控制互訪;同時(shí),為保障各業(yè)務(wù)系統(tǒng)安全����,需要對(duì)用戶訪問(wèn)采取控制措施。
2.1MPLSVPN子系統(tǒng)之間互訪
通過(guò)BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式��,通過(guò)MP-BGP協(xié)議配置建立路由信息����,來(lái)達(dá)到不同VPN之間的路由擴(kuò)散;通過(guò)VPN內(nèi)部的路由器(或防火墻)做地址過(guò)濾�、報(bào)文過(guò)濾等方式控制訪問(wèn)的用戶���。上述兩種方式結(jié)合使用��,實(shí)現(xiàn)了子系統(tǒng)的靈活受控互訪���。
2.2應(yīng)用終端交互訪問(wèn)不同MPLSVPN
2.2.1方案一
NAT方案此種方案是將多用途終端主機(jī)的業(yè)務(wù)流在CE進(jìn)行分類,不同的業(yè)務(wù)流進(jìn)行不同的靜態(tài)NAT(映射不同的IP地址)����。對(duì)每個(gè)業(yè)務(wù)系統(tǒng)的主機(jī)/服務(wù)器可以分配連續(xù)的地址空間,PE設(shè)備只需要維護(hù)較為簡(jiǎn)單的路由表��,CE配置確定后一般不需要修改����。
2.2.2方案二
PE節(jié)點(diǎn)作訪問(wèn)控制在PE設(shè)備上,通過(guò)多角色主機(jī)技術(shù)�,將某個(gè)VRF中指定的路由(特殊終端的路由),引入到另外一個(gè)VRF中�����,在PE的CE側(cè)接口上配置策略路由�����,當(dāng)流量匹配ACL,則重定向到VPN組�,查找并轉(zhuǎn)發(fā),從而實(shí)現(xiàn)不同的MPLSVPN可以同時(shí)訪問(wèn)該特殊終端��。
2.2.3方案三
802.1X強(qiáng)制認(rèn)證+Windows域管理802.1X協(xié)議在利用IEEE802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段�����,與VRF路由表的導(dǎo)入導(dǎo)出機(jī)制結(jié)合使用�����,從而達(dá)到接受合法用戶接入�、保護(hù)網(wǎng)絡(luò)安全的目的���。用戶訪問(wèn)其他MPLSVPN�����,需要禁用�����、再啟用網(wǎng)卡�����,重新輸入不同MPLSVPN的不同身份信息實(shí)現(xiàn)�。顯然,基于PE節(jié)點(diǎn)作訪問(wèn)控制的方案配置簡(jiǎn)單�,傳輸效率高,互通網(wǎng)絡(luò)可靠性強(qiáng)�,無(wú)論從網(wǎng)絡(luò)實(shí)現(xiàn)、網(wǎng)絡(luò)性能�、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)管理各方面分析,更適用于南水北調(diào)中線干線工程自動(dòng)化各系統(tǒng)應(yīng)用終端交互訪問(wèn)不同的MPLSVPN�。
3結(jié)語(yǔ)
第5篇
關(guān)鍵詞:VPN隧道技術(shù)Qos
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2010)09-0083-02
1 引言
隨著我院辦學(xué)形式的轉(zhuǎn)變,先后在北京和杭州成立的相關(guān)研究所,以及在杭州的浙江技師學(xué)院分校?�,F(xiàn)要求使各分部區(qū)能訪問(wèn)主校區(qū)的校內(nèi)資源,保證連接和訪問(wèn)的安���。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問(wèn)校內(nèi)資源中遇到的問(wèn)題��。價(jià)格上要求實(shí)惠,數(shù)據(jù)要求安全,因此虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶�、公司分支機(jī)構(gòu)��、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資�����。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
2 VPN簡(jiǎn)介
2.1 虛擬專用網(wǎng)
虛擬專用網(wǎng)(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)"是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)��。所謂虛擬,是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路���。所謂專用網(wǎng)絡(luò),是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)�。
2.2 VPN的實(shí)現(xiàn)技術(shù)
VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要�。
(1)VPN訪問(wèn)點(diǎn)模型。首先提供一個(gè)VPN訪問(wèn)點(diǎn)功能組成模型圖作為參考,如圖1所示���。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)���。
(2)隧道技術(shù)。隧道技術(shù)簡(jiǎn)單的說(shuō)就是:原始報(bào)文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報(bào)文,這樣就形成了一條由A到B的通信隧道����。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP����。
2.3 VPN的主要特點(diǎn)
(1)安全保障。雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性�。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的����、點(diǎn)對(duì)點(diǎn)的連接,稱之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性����。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡(jiǎn)單、方便�����、靈活,但同時(shí)其安全問(wèn)題也更為突出���。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)����。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對(duì)安全性提出了更高的要求�。
(2)服務(wù)質(zhì)量保證(QoS)。VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證��。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大��。如移動(dòng)辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對(duì)于其它應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等�。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生��。
(3)可擴(kuò)充性和靈活性�。VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求�����。
(4)可管理性�。從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)����。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)���。所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的����。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn)���、具有高擴(kuò)展性���、經(jīng)濟(jì)性��、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理��、設(shè)備管理��、配置管理��、訪問(wèn)控制列表管理����、QoS管理等內(nèi)容。
3 VPN應(yīng)用實(shí)例
利用VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松�。不論分校或遠(yuǎn)程訪問(wèn)用戶的多少,只需通過(guò)互聯(lián)網(wǎng)的路徑即可進(jìn)入主校區(qū)網(wǎng)路�。
結(jié)合我校的實(shí)際要求,采用美國(guó)網(wǎng)件產(chǎn)品FVL328、FVL318VPN產(chǎn)品,價(jià)格實(shí)惠,總體性能滿足要求,美國(guó)網(wǎng)件的VPN網(wǎng)絡(luò)解決方案不僅支持IPSEC等協(xié)議,以及DES����、3DES、AES加密算法,同時(shí)還可通過(guò)IKE�、共享秘鑰、PKI(X.509)進(jìn)行身份認(rèn)證等方式,加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性能����。
FVL328、FVS318具有支持動(dòng)態(tài)DDNS組建的IPSEC VPN網(wǎng)絡(luò)的功能, 并運(yùn)用了產(chǎn)品自身的DDNS(動(dòng)態(tài)域名解析)技術(shù),整個(gè)VPN系統(tǒng)網(wǎng)絡(luò)使用方便、快速��、圖形化的配置界面使維護(hù)和管理更簡(jiǎn)單��、建設(shè)費(fèi)用低廉����。VPN拓?fù)浣Y(jié)構(gòu)圖,如圖2所示:
在總校采用一臺(tái)FVL328作為中心端,在其他分校使用FVS318,整個(gè)VPN網(wǎng)絡(luò)通過(guò)認(rèn)證密碼統(tǒng)一管理,形成一個(gè)集中管理的虛擬私有網(wǎng)絡(luò),VPN傳輸使用IPSEC協(xié)議。對(duì)外安全邊界使用NETGEAR的寬帶防火墻技術(shù)屏蔽來(lái)自外部的各種可能攻擊�。
總校可采用固定的IP地址和域名,各分??梢陨暾?qǐng)動(dòng)態(tài)拔號(hào)ADSL寬帶線路, 通過(guò)從NETGEAR的VPN設(shè)備中申請(qǐng)獲得免費(fèi)的DDNS(動(dòng)態(tài)域名解析服務(wù)),從而可低成本地組建VPN網(wǎng)絡(luò)連接,結(jié)合美國(guó)網(wǎng)件公司的VPN防火墻FVL328和FVS318的先進(jìn)安全策略技術(shù),來(lái)實(shí)現(xiàn)實(shí)際需求和將來(lái)可能的需求. 各分院能夠直接訪問(wèn)到母校的數(shù)據(jù)共享服務(wù)器資源, 同時(shí)又要保證數(shù)據(jù)能安全的在公網(wǎng)上進(jìn)行傳輸.即實(shí)現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全、保密���、高速�、穩(wěn)定的實(shí)時(shí)傳輸�。
4 結(jié)語(yǔ)
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò),用戶就節(jié)省了租用專線的費(fèi)用,在運(yùn)行的資金支出上,除了購(gòu)買VPN設(shè)備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用,也節(jié)省了長(zhǎng)途電話費(fèi)。VPN技術(shù)戶廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機(jī)構(gòu)聯(lián)系數(shù)據(jù)的主要手段�。
參考文獻(xiàn)
[1] 石冰.VPN的構(gòu)建方法.安慶師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2008,8(3).
第6篇
組播VPN是基于MPLSL3VPN來(lái)實(shí)現(xiàn)組播傳輸?shù)募夹g(shù)。如圖1所示���,網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù):公網(wǎng)實(shí)例��、VPN實(shí)例A�����。公共網(wǎng)絡(luò)邊緣PE組播設(shè)備支持多實(shí)例�。各實(shí)例之間形成彼此隔離的平面�,每個(gè)實(shí)例對(duì)應(yīng)一個(gè)平面。以VPN實(shí)例A為例�,組播VPN指:當(dāng)VPNA中的組播源向某組播組發(fā)送組播數(shù)據(jù)時(shí),在網(wǎng)絡(luò)中所有可能的接收者中��,僅屬于VPNA(即Site1�、Site3或Site5中)的組播組成員才能收到該組播源發(fā)來(lái)的組播數(shù)據(jù)。組播數(shù)據(jù)在各Site及公網(wǎng)中均以組播方式進(jìn)行傳輸�。其中,實(shí)現(xiàn)組播VPN所需具備的網(wǎng)絡(luò)條件如下:(1)在每個(gè)Site內(nèi)支持基于VPN實(shí)例的組播����。(2)在公共網(wǎng)絡(luò)內(nèi)支持基于公網(wǎng)實(shí)例的組播。(3)PE設(shè)備支持多實(shí)例組播����,即支持基于VPN實(shí)例和公網(wǎng)實(shí)例的組播,并支持支持公網(wǎng)實(shí)例與VPN實(shí)例之間的信息交互和數(shù)據(jù)轉(zhuǎn)換���。為了滿足以上條件���,互聯(lián)網(wǎng)工程任務(wù)組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來(lái)實(shí)現(xiàn)組播VPN的標(biāo)準(zhǔn)���。MD方案的基本思想是:在骨干網(wǎng)中為每個(gè)VPN維護(hù)一棵稱為Share-MDT的組播轉(zhuǎn)發(fā)樹(shù)。來(lái)自VPN中任一Site的組播報(bào)文都會(huì)沿著Share-MDT被轉(zhuǎn)發(fā)給屬于該MD的所有PE�����。MD是一個(gè)集合�,它由一些相互間可以收發(fā)組播數(shù)據(jù)的VRF組成。其中��,支持組播業(yè)務(wù)的VRF為MVRF��,它同時(shí)維護(hù)單播和組播路由轉(zhuǎn)發(fā)表��。PE收到組播報(bào)文后�����,如果其MVRF內(nèi)有該組播組的接收者��,則繼續(xù)向CE轉(zhuǎn)發(fā)���;否則將其丟棄�����。不同的MVRF加入到同一個(gè)MD中����,通過(guò)MD內(nèi)自動(dòng)建立的PE間的組播隧道(MT)將這些MVRF連接在一起,實(shí)現(xiàn)了不同Site之間的組播業(yè)務(wù)互通�����。每個(gè)MD會(huì)被分配一個(gè)獨(dú)立的組播地址�,稱為Share-Group���。當(dāng)兩個(gè)MVRF之間通信時(shí)����,用戶報(bào)文以GRE方式被封裝在骨干報(bào)文里通過(guò)MT進(jìn)行傳輸����,骨干報(bào)文的源地址為PE用來(lái)建立BGP連接所使用的接口IP地址,目的地址為Share-Group����。
2民航數(shù)據(jù)通信網(wǎng)中組播VPN的實(shí)現(xiàn)
在民航數(shù)據(jù)通信網(wǎng)中實(shí)現(xiàn)組播VPN主要需完成骨干網(wǎng)絡(luò)的準(zhǔn)備工作以及組播VPN設(shè)計(jì)與實(shí)施等工作��。
2.1組播VPN的規(guī)劃設(shè)計(jì)民航ATM數(shù)據(jù)網(wǎng)華東地區(qū)ATM交換機(jī)上的RPM-PR板卡提供了MPLSVPN業(yè)務(wù)����,目前部署的MPLSVPN業(yè)務(wù)網(wǎng)絡(luò)拓?fù)錇樾切谓Y(jié)構(gòu)��,即由區(qū)域一級(jí)節(jié)點(diǎn)9槽RPM板卡作為P設(shè)備和路由反射器��,而其他節(jié)點(diǎn)均為PE設(shè)備����。華東地區(qū)ATM網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù):ATM數(shù)據(jù)網(wǎng)公網(wǎng)組播實(shí)例和名為YJCJ2的用戶私網(wǎng)組播實(shí)例。VPN組播實(shí)例是通過(guò)在P和PE設(shè)備上部署實(shí)現(xiàn)的����,網(wǎng)絡(luò)中,作為P和PE的RPM板卡上運(yùn)行著公網(wǎng)組播實(shí)例���,而作為PE的RPM板卡同時(shí)又運(yùn)行著用戶私網(wǎng)組播實(shí)例�����。公網(wǎng)的組播實(shí)例是在所有RPM板卡上開(kāi)啟組播應(yīng)用��。上海虹橋和浦東機(jī)場(chǎng)兩個(gè)節(jié)點(diǎn)的10槽RPM板卡負(fù)責(zé)接入用戶的VPN組播業(yè)務(wù)��,所以需在這兩臺(tái)設(shè)備上部署MPLSVPN應(yīng)用�����,并在這兩個(gè)用戶站點(diǎn)相應(yīng)的VRF實(shí)例中開(kāi)啟組播應(yīng)用����。在本案例中,VPN用戶接入側(cè)要求使用的是PIM密集模式���,而民航數(shù)據(jù)網(wǎng)MPLSVPN公網(wǎng)則使用的是PIM稀松模式��。在MPLSVPN網(wǎng)絡(luò)中不同用戶的VPN站點(diǎn)都是彼此邏輯獨(dú)立的,并且VPN用戶數(shù)據(jù)封裝MPLS標(biāo)簽后通過(guò)公網(wǎng)的PE和P設(shè)備進(jìn)行傳輸�。對(duì)于VPN組播來(lái)說(shuō),數(shù)據(jù)的傳輸模式也是類似的��。PE設(shè)備通過(guò)將該VPN實(shí)例中的用戶VPN組播數(shù)據(jù)報(bào)文封裝成公網(wǎng)所能“識(shí)別”的公網(wǎng)組播數(shù)據(jù)報(bào)文進(jìn)行組播轉(zhuǎn)發(fā)��。這種將私網(wǎng)組播報(bào)文封裝成公網(wǎng)組播報(bào)文的過(guò)程就叫做構(gòu)造組播隧道(MT)�。在PE上,每個(gè)VPN用戶的組播數(shù)據(jù)是通過(guò)不同的MTI(MulticastTunnelInterfac)組播隧接口在公網(wǎng)構(gòu)造組播隧道���,參見(jiàn)圖2�����。由于公網(wǎng)����、VPN網(wǎng)以及用戶接入側(cè)各組播部署中都采用PIM協(xié)議啟用了組播應(yīng)用,MPLSVPN中組播應(yīng)用包含如下的PIM鄰居關(guān)系:(1)PE-P鄰居關(guān)系:指PE上公網(wǎng)實(shí)例接口與鏈路對(duì)端P上的接口之間所建立的PIM鄰居關(guān)系�。(2)PE-PE鄰居關(guān)系:指PE上的VPN實(shí)力通過(guò)MTI收到遠(yuǎn)端PE上的VPN實(shí)例發(fā)來(lái)的PIMHello報(bào)文后建立的鄰居關(guān)系。(3)PE-CE鄰居關(guān)系:指PE上綁定VPN實(shí)例的接口與鏈路對(duì)端CE上的接口之間建立的PIM鄰居關(guān)系�����。部署公網(wǎng)組播實(shí)例需在華東地區(qū)所有相關(guān)RPM板卡開(kāi)啟組播服務(wù)��,考慮到密集模式對(duì)RPM設(shè)備和骨干網(wǎng)資源的開(kāi)銷��,在民航ATM數(shù)據(jù)網(wǎng)中使用了PIM稀松模式�����。根據(jù)網(wǎng)絡(luò)的物理網(wǎng)絡(luò)拓?fù)淠P?��,選取上海虹橋9槽RPM板卡作為RP��。
2.2組播VPN的實(shí)施運(yùn)行在MPLSVPN網(wǎng)絡(luò)中的P和PE設(shè)備上部署PIM協(xié)議�,這些設(shè)備之間會(huì)形成PE-P鄰居關(guān)系,從而使得公網(wǎng)支持組播功能�����,并形成公網(wǎng)的組播分發(fā)樹(shù)��。本案例中使用PIM稀松模式�,即在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的9、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式�����,這樣就構(gòu)造了公網(wǎng)的PIM共享樹(shù)����。在傳輸用戶私網(wǎng)組播報(bào)文的PE上部署基于VRF實(shí)例的組播��,一個(gè)VPN實(shí)例唯一制定一個(gè)Share-Group地址����。同一個(gè)VPN組播域內(nèi)的PE之間形成PE-PE鄰居,并形成該組播域的共享組播分發(fā)樹(shù)(Share-MDT)����。在本例中就是在虹橋和浦東機(jī)場(chǎng)的10槽YJCJ2VRF實(shí)例中部署相應(yīng)的defaultMDT地址239.255.0.5�����。用戶CE設(shè)備和PE連接CE的相應(yīng)接口啟用組播����,本例中使用PIM密集模式�����。這樣就形成了PE-CE鄰居關(guān)系��。本例中是在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的相應(yīng)VPN業(yè)務(wù)端口配置PIM密集模式�。當(dāng)用戶有組播報(bào)文需要傳輸?shù)臅r(shí)候,就將組播報(bào)文發(fā)送給PE的VRF實(shí)例�����,PE設(shè)備收到報(bào)文后識(shí)別組播數(shù)據(jù)所屬的VRF實(shí)例�����。用戶私網(wǎng)的數(shù)據(jù)報(bào)文對(duì)于公網(wǎng)是透明的���,不論數(shù)據(jù)歸屬或類別�,PE都統(tǒng)一將其封裝為公網(wǎng)組播數(shù)據(jù)報(bào)文,并以Share-Group作為其所屬的公網(wǎng)組播組���。一個(gè)Share-Group唯一對(duì)應(yīng)一個(gè)MD���,并利用公網(wǎng)資源唯一創(chuàng)建一棵Share-MDT進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在該VPN中所有私網(wǎng)組播報(bào)文�����,都通過(guò)此Share-MDT進(jìn)行轉(zhuǎn)發(fā)����。如圖3所示,可以看到華東地區(qū)公網(wǎng)上的Share-MDT創(chuàng)建的過(guò)程��。虹橋節(jié)點(diǎn)10槽RPM向9槽RPM(RP節(jié)點(diǎn))發(fā)起加入消息��,以Share-Group地址作為組播組地址����,在公網(wǎng)沿途的設(shè)備上分別創(chuàng)建(*��,239.255.0.5)表項(xiàng)。同時(shí)虹橋浦東機(jī)場(chǎng)節(jié)點(diǎn)也發(fā)起類似的加入過(guò)程�,最終在MD中形成一棵以虹橋節(jié)點(diǎn)9槽RPM為根,以虹橋�����、浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM為葉的共享樹(shù)(RPT)����。隨后,虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM的公網(wǎng)實(shí)例向公網(wǎng)RP發(fā)起注冊(cè)�,并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址���,在公網(wǎng)的沿途設(shè)備上分別創(chuàng)建(20.51.5.6���,239.255.0.5)和(20.51.5.3,239.255.0.5)表項(xiàng)�����,形成連接PE和RP的最短路徑樹(shù)(SPT)�。在PIM-SM網(wǎng)絡(luò)中,由(*�����,239.255.0.5)和這兩棵相互獨(dú)立的SPT共同組成了Share-MDT。虹橋節(jié)點(diǎn)PE的私網(wǎng)組播報(bào)文在進(jìn)入公網(wǎng)后����,均沿該Share-MDT向浦東機(jī)場(chǎng)節(jié)點(diǎn)PE轉(zhuǎn)發(fā)。圖4是私網(wǎng)組播報(bào)文在公網(wǎng)中轉(zhuǎn)發(fā)的過(guò)程����。當(dāng)浦東機(jī)場(chǎng)節(jié)點(diǎn)的YJCJ2VPN用戶CE設(shè)備加入到虹橋節(jié)點(diǎn)數(shù)據(jù)源所在的組播組,此時(shí)由于這兩個(gè)站點(diǎn)部署為PIM-DM模式�,虹橋節(jié)點(diǎn)組播設(shè)備會(huì)立刻將數(shù)據(jù)推送到虹橋節(jié)點(diǎn)10槽RPM的YJCJ2VRF實(shí)例中,并通過(guò)該VPN構(gòu)建的Share-MDT在公網(wǎng)上以(20.51.5.6�����,239.255.0.5)構(gòu)建的SPT進(jìn)行公網(wǎng)組播報(bào)文傳輸���。當(dāng)公網(wǎng)組播報(bào)文被浦東機(jī)場(chǎng)10槽PE設(shè)備收到后會(huì)將其解封裝成原始的私網(wǎng)組播報(bào)文�����,并轉(zhuǎn)發(fā)給相應(yīng)的接收CE���,最終完成用戶私網(wǎng)組播數(shù)據(jù)在MPLSVPN網(wǎng)絡(luò)中的傳輸��。
3總結(jié)
第7篇
關(guān)鍵詞:VPN,管理����,管理技術(shù)
一、VPN服務(wù)及其應(yīng)用
VPN����,即Virtual Private Network,是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò)����,如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性����、可靠性和可管理性等,并且能夠?qū)⑼ㄟ^(guò)公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密��。利用VPN�����,企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)�、出差人員的內(nèi)網(wǎng)接入服務(wù)�。
如果訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源���,使用者需要接入本地ISP的接入服務(wù)提供點(diǎn)���,即接入Internet,然后可以連接企業(yè)邊界的VPN服務(wù)器���。如果利用傳統(tǒng)的WAN技術(shù)��,使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線�,而這非常不利于外出辦公人員的接入����。而利用VPN,出差人員只需要接入本地網(wǎng)絡(luò)�。論文寫作,管理�����。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話�����,甚至可以不必接入本地ISP,并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器�。
二、VPN管理
VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無(wú)縫延伸到公共網(wǎng)絡(luò)��,甚至可以是企業(yè)客戶��。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù)�����,可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營(yíng)商去完成����,但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)�����。所以�,一個(gè)功能完整的VPN管理系統(tǒng)是必需的。
通過(guò)VPN管理系統(tǒng)����,可以實(shí)現(xiàn)以下目的:
1、降低成本:保證VPN可管理的同時(shí)不會(huì)過(guò)多增加操作和維護(hù)成本����。
2�、可擴(kuò)展性:VPN管理需要對(duì)日益增加的企業(yè)客戶作出快速的反應(yīng)����,包括網(wǎng)絡(luò)軟件和硬件的平滑升級(jí)、安全策略維護(hù)���、網(wǎng)絡(luò)質(zhì)量保證QOS等�。論文寫作�����,管理����。
3、減少風(fēng)險(xiǎn):從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò)��,VPN面臨著安全與監(jiān)控的風(fēng)險(xiǎn)��。網(wǎng)絡(luò)管理要求做到允許公司分部�、客戶通過(guò)VPN訪問(wèn)企業(yè)內(nèi)網(wǎng)的同時(shí),還要確保企業(yè)資源的完整性。
4����、可靠性:VPN構(gòu)建于公共網(wǎng)絡(luò)之上,其可控性降低���,所有必須采取VPN管理提高其可靠性 �。
三�、VPN管理技術(shù)
1�、第二層通道協(xié)議
第二層通道協(xié)議主要有兩種,PPTP和L2TP����,其中L2TP協(xié)議將密鑰進(jìn)行加密,其可靠性更強(qiáng)���。
L2TP提高了VPN的管理性��,表現(xiàn)在以下方面:
(1)安全的身份驗(yàn)證
L2TP可以對(duì)隧道終點(diǎn)進(jìn)行驗(yàn)證���。不使用明文的驗(yàn)證,而是使用類似PPPCHAP的驗(yàn)證方式���。論文寫作��,管理���。
(2)內(nèi)部地址分配
用戶接入VPN服務(wù)器后�����,可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址����,從而方便的加入企業(yè)內(nèi)網(wǎng)�,訪問(wèn)網(wǎng)絡(luò)資源。地址的獲取可以使用動(dòng)態(tài)分配的管理方法��,由于獲取的是企業(yè)內(nèi)部的私有地址����,方便了地址管理并增加安全性。論文寫作���,管理��。
(3)網(wǎng)絡(luò)計(jì)費(fèi)
L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計(jì)�,方便計(jì)費(fèi)。
(4)統(tǒng)一網(wǎng)絡(luò)管理
L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議���,相關(guān)的MIB也已制定完成��,可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理���。
2、IKE協(xié)議
IKE協(xié)議���,即Internet Key Exchange�,用于通信雙方協(xié)商和交換密鑰�����。IKE的特點(diǎn)是利用安全算法��,不直接在網(wǎng)絡(luò)上傳輸密鑰��,而是通過(guò)幾次數(shù)據(jù)的交換���,利用數(shù)學(xué)算法計(jì)算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計(jì)算出密鑰��。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的�。
在身份驗(yàn)證方面,IKE提供了公鑰加密驗(yàn)證��、數(shù)字簽名�、共享驗(yàn)證字方法。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書(shū)實(shí)現(xiàn)身份認(rèn)證���。
IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問(wèn)題�,是一種通用的協(xié)議�,不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商,還可以可以為OSPFv2 ����、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)��。
3�、配置管理
可以使VPN服務(wù)器支持MIB,利用SNMP的遠(yuǎn)程配置和查詢功能對(duì)VPN網(wǎng)絡(luò)進(jìn)行安全的管理��。
(1)WEB方式的管理
利用瀏覽器訪問(wèn)VPN服務(wù)器��,利用服務(wù)器上設(shè)置的賬戶登錄�,然后將Applet下載到瀏覽器上���,就可以對(duì)服務(wù)器進(jìn)行配置。論文寫作��,管理����。用戶登錄后,服務(wù)器會(huì)只授權(quán)登錄的IP地址和登錄客戶權(quán)限�,從而避免偽造的IP地址和客戶操作。而且利用這種方式����,還解決了普通SNMP協(xié)議只有查詢沒(méi)有配置功能的缺點(diǎn)。
(2)分級(jí)統(tǒng)一管理
如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大�,可以對(duì)VPN服務(wù)器進(jìn)行統(tǒng)一配置管理,三級(jí)網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計(jì)���,然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量����、VPN用戶的數(shù)據(jù)流量等。通過(guò)分級(jí)管理�,一級(jí)網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量�����、流量并進(jìn)行統(tǒng)計(jì)����,分析出各地情況���,從而使用合適的方案���。
4、IPSec策略
IPSec是一組協(xié)議的總稱��,IPsec被設(shè)計(jì)用來(lái)提供入口對(duì)入口通信安全分組通信的安全性由單個(gè)結(jié)點(diǎn)提供給多臺(tái)機(jī)器或者是局域網(wǎng)����,也可以提供端到端通信安全,由作為端點(diǎn)的計(jì)算機(jī)完成安全操作�。上述兩種模式都可以用來(lái)構(gòu)VPN,這是IPsec最主要的用途�。
IPSec策略包括一系列規(guī)則和過(guò)濾器,以便提供不同程度的安全級(jí)別�����。論文寫作,管理����。在IPSec策略的實(shí)現(xiàn)中,有多種預(yù)置策略供用戶選擇����,用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本的方法����,一是在本地計(jì)算機(jī)上指定策略,二是使用組策略對(duì)象����,由其來(lái)實(shí)施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性����。
利用上述VPN管理技術(shù),可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性����、完整性�,并能夠?qū)崿F(xiàn)資源的分布式服務(wù)���。以后還將結(jié)合更多的技術(shù),實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理����。其使用的領(lǐng)域也會(huì)越來(lái)越廣泛。
參考文獻(xiàn):
[1]帕勒萬(wàn)等著劉劍譯.無(wú)線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社�����,2002.11
[2]朱坤華����,李長(zhǎng)江.企業(yè)無(wú)線局域網(wǎng)的設(shè)計(jì)及組建研究[J].河南科技學(xué)院學(xué)報(bào)2008.2:120-123
[3]潘愛(ài)民.計(jì)算機(jī)網(wǎng)絡(luò)(第四版)[M].清華大學(xué)出版社2004.8
