vpn技术论文十篇
时间:2023-04-09 00:47:33
vpn技术论文篇1
关键词:虚拟专用网VPN远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
vpn技术论文篇2
论文关键词:VPN,校园网,远程访问
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 VPN工作原理及其主要优点
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的VPN技术选择及对策
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在构建VPN连接时应根据实际情况进行选用。
3.2 技术对策
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 VPN网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
3.3.1 主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的VPN连接
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高VPN的安全性
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
[1] 戴宗坤等 VPN 与网络安全[M]. 北京: 电子工业出版社, 2002.
vpn技术论文篇3
Abstract: This paper takes campus network transformation project of the higher vocational college as the background to design a security network architecture model of campus network on the basic of VPN and PKI. This model can save the security problems of campus network, especially the attack of campus network from internal campus network. It also can save contradictions between the existing software applications and server security reform.
关键词:校园网;虚拟专用网;公钥设施基础;证书;改造方案
Key words: campus network;virtual private network;public key infrastructure;credential;modification scheme
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)35-0219-02
1 绪论
校园网作为高校信息化管理的重要手段,目前已是高等职业教育人才培养工作中重点评估之一。数据共享是校园网的重要组成部分,通过校园网的数据共享模块,可以在线传输教学信息,在线监控教师的教学质量,在线管理学生学籍,在线查询和报送学生成绩。另外,数据共享还为图书管理、网络选课以及各类等级考试的网络报名提供了技术支持。Windows操作系统和SQL Server自身都存在设计缺陷,而校园网是开放的,非法入侵者很容易利用Internet上的黑客工具攻击校园网内部数据库的服务器,盗取或修改包括学籍、学生成绩、缴费信息在内的一系列关键数据,对校内信息安全造成巨大的威胁。由此可见,网络信息安全已是校园网络建设中一个不可忽视的问题。
由于SQL Server系统本身存在设计缺陷,其管理员帐号处在公共网络系统中极易受到非法攻击。高校应该加强安全防盗技术研究,尽量现在不改变原系统主体架构的条件下,力求花费极少的成本建立网络安全防范系统,隔离各类网络非法攻击,提高校园网的安全性能。
目前已有很多关于校园网络安全的研究,并且也取得了一些成果。但是严格来讲,这些成果多半是防范外网的攻击,譬如基于子网过滤结构的各种防火墙体系的安全性分析、利用VPN技术连接多个校区的校园网问题等等,针对校内网络系统的安全研究非常少。鉴于此,本文就将研究重点放在校内网络系统的安全问题上,将校园网视为一个不安全的公共网络,深入分析该网络系统中存在的不安全问题,基于VPN、PKI等安全技术构建一个校园网安全应用模型,并通过这个安全模型来解决校园网中存在的安全问题。
2 VPN与PKI技术
Virtual Private Network,简称VPN,中文翻译是“虚拟专用网”[1,2]。它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),支持远程访问以及内网和外网的连接。从某种意义上讲,VPN代表了现代网络发展的前沿趋势,它不仅实现了对网络带宽、接入和服务不断增加的需求,而且在一定程度上降低了网络运行成本,因而未来必将广泛应用于校园网络系统中。
现代密码学中最关键的安全技术之一――公钥基础设施(PKI),目前已在互联网和计算机系统中形成一定的应用规模。PKI技术作为一项严谨有效的密码技术,能够为网络系统提供网络系统的安全认证、密匙管理、非否认等技术支持,从而大大提高网络系统的安全性能。
在传统IP协议中,IP的安全性是没有任何保障的,所以网络系统极易遭到非法攻击。VPN中有一项叫做IPsec的重要协议,可以基于IP层建立安全认证系统来提高整个网络系统的安全性。但是严格来讲,IPsec协议也不可避免的存在设计缺陷,比如其身份认证系统不严谨,它无法识别伪装成安全文件的非法入侵,因此即使网络系统已安装IP协议,还是不可避免遭受非法攻击。以身份鉴别见长的PKI技术充分弥补了这一缺陷。在VPN中配置PKI技术后,在网络传输过程中,通过PKI进行网络角色访问控制,经过CA进行身份识别后才能建立信息传输通道,根据角色属性证书控制其每个角色的访问权限,最后基于IPSec为信息传输提供安全保障。总的来说,综合了多种安全措施的PKI技术,与传统的基于IP协议所构建的安全系统相比,VPN通信安全更有保障。
VPN和PKI都是当前网络信息安全领域比较前沿的安全技术,在应用领域各自独立运行。在IPSec安全协议中引入PKI技术,这种创造性的尝试必将为网络信息安全领域带来一次技术革命。校园网虽然具备互联网的开放性,但其运行环境是高职院校校园,主要用户是广大师生,在高职院校网络建设经费吃紧的条件下租用公共PKI来构建安全网络,不仅技术上有难度,而且经济条件也不允许。所以,建议高职院校利用PKI技术自行搭建校内网络用户身份认证系统,以节省网络安全成本,提高校园网的运行效益。
3 基于VPN和PKI技术校园网安全模型的设计与实现
3.1 校园网安全网络架构模型的设计
将PKI置入VPN以后,利用所得到的增强版VPN搭建校园网络安全模型,然后基于该模型逐步拓展校园网络的内容和主体结构(具体流程如下),最终实现安全防护要求。
步骤1:将存储数据的服务器置于校园网内部专用服务器网络中,使该服务器与外网之间有一层物理隔离屏障,以防外来用户非法侵入该服务器的端口或网络地址来篡改服务器的内部参数,确保服务器所搭载的数据安全可靠。
步骤2,在校园网与互联网之间搭建VPN网关,校内网络用户通过该网关访问服务器,以这种合法的方式获取所需数据。这样既能满足用户的信息需求,又保障了服务器的数据安全。
步骤3,将PKI技术置入VPN,只有通过防火墙和VPN网关认证的合法用户才能连接VPN并进入校园网服务器获取所需数据。VPN网关的身份认证具有强制性,它要求访问数据库的用户必须提前关闭除防火墙以外的主机服务和相关端口,同时装配最先进的漏洞补丁,目的是为数据信息提供全方位的保护。
步骤4:实时监控信息和信息系统,以确保信息源安全可靠。VPN中使用IPSec安全协议传输数据,以免数据在传输过程中遭遇非法拦截,或被非法篡改、重播或伪造。另外,将PKI技术置入VPN中,可监控用户的操作行为,防止其进行非法操作,从而实现信息安全全程可控。
根据上述四个步骤,设计了一个基于VPN和PKI技术的校园网安全网络架构模型,模型结构如图1所示。
3.2 校园网安全网络架构模型的实现
分析该校园网络安全模型后,发现该模型需要在Internet、校园网和校园数据库服务器专用网之间建立一套支持用户身份认证功能的VPN网关,并且要在三网之间建立VPN连接通道,以确保三网隔离的同时不会影响合法用户正常访问校园网的数据库。另外,该网关必须支持PKI认证技术,只有通过PKI认证的用户才能连接VPN来访问校园网内部专用服务器网络,以防服务器搭载的数据库遭受非法攻击。
建议使用双重宿主机服务器来建立VPN网关。在双重宿主机服务器内装配两块网卡,依次绑定校园网网段的IP地址和专用网网段IP地址,然后通过过滤路由器进行NAT(地址转换),最后让外网中的公网IP的某个特定端口指向绑定校园网网段IP地址的网卡IP,使内网、外网以及校园网内部专用服务器网络都有权访问该网关。
校园网安全网络架构模型的安全性实验分析论证如下文所述。
3.2.1 数据传输的安全性
在PKI认证网关下,用户只能通过该网关连接VPN,才能进入校园网的数据库,而且校内网的数据传输也要进行认证。可见,VPN技术的安全性能直接决定了数据传输的安全性。VPN技术通过搭建逻辑隧道,运用数据加密和用户身份认证技术来为数据传输提供安全保障。这恰恰是该网关的先进之处。而且经ICSA Labs实验室认证,IPSec-VPN技术非常成熟,能满足大部分数据安全保障的需要。
3.2.2 身份认证的安全性
VPN和PKI技术校园网安全模型将PKI技术置入VPN中,对用户进行强制身份认证后才允许其连接VPN并进入校内网数据库,且需要提前在计算机内装配智能卡或数字证书,系统识别用户身份后,用户才能通过VPN通道访问服务器的数据库。只有用户密码而没有认证证书的用户无法连接校园网,也就是说,只有合法用户才能通过认证进入校内网的服务器。因此,VPN和PKI技术校园网安全模型在一定程度上也保障了用户的信息安全。
3.2.3 数据访问的可靠性
VPN服务器软、硬件的稳定性决定了VPN和PKI技术校园网安全模型连接状态的可靠性。笔者对该安全模型进行了为期7天的测试。在一周之内,令10台工作站通过VPN连接1台服务器。通过软件频繁读取和修改后台数据库中的数据。测试结果显示,工作站与服务器之间的连接非常牢固,没有任何连接中断的情况。可见,高校校园网的日常应用需求只需通过1台服务器即可实现,无需安装其它服务器。
3.2.4 攻击防范能力测试
在攻击防范能力测试实验中,采用了多种方式对被保护的SQL Server作为攻击的对象进行入侵,来破坏数据库系统。对于不熟悉该模型拓朴结构的攻击者来说,要想通过主机扫描来探测数据库服务器位置从而达到入侵数据库服务器的目的是不可能实现的。
为了实现入侵服务器的目的,在肉鸡实验中首先关闭了一台有权与带PKI认证的VPN网关建立VPN连接的客户机上的防病毒软件,在客户机上植入了最常见的“灰鸽子”木马程序,然后在另一台计算机上运行“灰鸽子”的客户端程序,果然不出所料,系统员很快就发现了被植入“灰鸽子”木马的主机,并对它进行了控制,通过实验,能顺利地实现与网关建立VPN连接。
4 结论
本文的研究主要是放在高职院校的校园网内部的安全应用上,将高职院校的校园网当作一个不安全的网络来对待,针对高职院校校园网中可能存在较多的不安全因素,利用VPN和PKI技术建立一个适宜于高职院校的校园网安全网络架构模型,并通过这个安全模型来解决高职院校校园网中存在的安全问题。然后通过理论分析和实验证明该安全模型是可以满足高职院校的校园网应用需求。
本文中提出的校园网安全模型应具有安全性可靠、通用性好、改造成本较低、对网络改动较小、伸缩性较好等特点,对高职院校校园网的建设和改进具有较高的参考价值。
参考文献:
[1]肖松岭.网络安全技术内幕[M].北京:科学出版社,2008:311-315.
vpn技术论文篇4
关键词:SSL VPN;组网模式;隧道技术;PMTU
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)34-7727-02
基于SSL(Secure Socket Layer)协议的虚拟专用网络(Virtual Private Network,VPN)已经逐渐成为人们解决Internet安全问题的重要方式。由于传统网络协议在设计之初是建立在相互信赖的基础上的,从而忽视了网络安全问题,从而为今天的应用带来了巨大风险,这也是当初设计人员始料未及的事情。随着互联网规模的迅猛发展,各种新技术的不断涌现,网络攻击手段业变得多样化和复杂起来,用户对于网络安全防范变得越来越困难,从而造成巨大的人力和物力的投入,有时也难以挽回巨大的经济损失,至此,网络安全问题已经变得刻不容缓。而基于SSL的VPN网络可以使人们在任何时候任何地点安全的接入远程网络,并增加企业执行访问控制能力和安全级别,是解决远程用户访问公司敏感数据相当便捷且安全的解决方案。
Netscape公司最早提出了SSL协议,即安全套接字,是建立两台机器之间安全协议通道的桥梁。此后经过标准化后逐渐形成了传输层安全协议(Transport Layer Security protocol,TLS)。SSL/TLS协议的主要针对Web服务的安全性而设计,但其明显的不足是会造成巨大的系统开销。
SSL VPN的特征是利用不同网络的基础设施构建安全通信隧道,从而使得不同网络组件和资源之间互连问题得以解决。基于SSL协议的VPN是首先将浏览器上获取的数据进行封包,然后通过回调函数或其他方法将相关数据包输送回SSL VPN服务器。客户在远端电脑执行应用程序则是通过封包转向的方式完成的,最终实现获取到企业内部服务器资料。但是由于这些传送的信息是私密的,失窃或被破坏则会所造成非常巨大损失。虽然隧道技术能够保证数据在Internet上的安全,但是当远程用户使用SSL VPN访问内部网络的时候,仍然无法防止来自合法用户终端的攻击和用户终端的数据被窃取或遭到破坏。接下来,该文从SSL VPN网络的相关研究现状和组网模式以及关键技术进行展开论述,在论述SSL VPN技术自身优点的通水,也给出其存在的不足,最后给出一些可行的建议和解决方法。
1 VPN组网设计
1.1 SSL VPN 系统组网现状分析
目前,商业主流浏览器都集成了SSL协议,SSL VPN是确保访问远程网络的重要的方案之一,该方案主要依据浏览器和服务之间的数据传输,因而用户安装客户端软件。因此,SSL VPN是典型的“瘦客户端”架构,适合于用户远程安全连接,具有使简单、灵活、易用性好等突出的特点。
在传统VPN上增加SSL协议一般可以采用三种方法实现:其一,一般称之为远程访问VPN,是采用Neoteris、Netilla等公司生产的基于SSL协议的Web安全装置,通过一个拥有专用网络相同策略的公共设施,与企业的服务器直接互联;其二,一般称之为企业内部VPN,已经获得广泛的办事机构、公司和科研院所的认可和使用,是利用相应的SSL软件,将传统IPsec VPN上获得SSL功能,可以使得传统VPN获得较高的安全策略、提高服务质量以及较好的可管理性和可靠性;其三,一般称之为企业扩展VPN,是将SSL VPN作为一种对外提供的服务,用户只需要订购这种服务即可享受SSL功能,而不需要安装软件或添加硬件。无论采用上述何种方法实现SSL功能,都需要支持4个层面的功能,即文件共享应用、C/S应用、Web资源映射和网络扩展功能。
部署SSL VPN网络通道以便用户在互联网上可以随时访问SSL VPN设备,使得网络信息资源能够被用户更加方便的远程接入和使用;同时,远程用户也可以利用权限等级来访问数据中心的内部资源,从而确保SSL VPN安全的接入内部网络。使得SSL VPN具有安全、高效、可靠等突出的特征。
SSL VPN网关在整体的体系结构上设置不同于传统的VPN体系,下面就从组网结构和组网模式两个方面对SSL VPN的体系结构进行分析和讨论。
1.2 SSL VPN 组网结构
SSL VPN网关系统的显著特点是既可以作为企业网络的入口,也可以作为内网服务器群组的网关使用,对现有网络的组网结构不会造成影响,部署便捷、运行高效,下面对作为网络入口和网关进行分别介绍。
1)入口网关。SSL VPN网关系统可作为独立的电子通信设备存在;并能够集成防火墙所具有的功能。由于作为企业网络的入口网关,同时也处在整个网络的出口,该结构需要系统能够提高高度的稳定性和可靠性。如图1所示,即为典型的企业网络的入口网关组网结构示意图。
2)网关。作为网关主要是保护企业内部很多重要的服务器资源,阻止没有授权的各种访问以及来自Internet网络上的非法访问和恶性攻击;同时,也不会因为在访问许多重要的网络资源时对企业网络中其它重要部分造成任何不良影响。作为企业内部网络的结构如图2所示。
1.3 SSL VPN 的组网模式
SSL VPN网关接入网络有很多不同的类型,从而也导致SSL VPN组网模式有所区别,常见的模式有单臂、双臂两种模式。
1)单臂模式。所谓单臂模式是指将SSL VPN网关作为于一台服务器使用;当内部服务器与该远程服务器进行通信时,SSL VPN网关不处在网络通讯的关键路径上。也就是说,单臂模式类似环形网络拓扑结构,当一边环路不通时,可以选择其他的路径方式实现通信。因此,单臂模式的优点是当该网络上某点出现故障时,不会影响整个网络的通信;其不足在于对于网络信息资源不能够实现全面的保护。
2)双臂模式。所谓双臂模式是指将SSL VPN 网关架接在外网与内网之间,即实现了网桥的功能。同时,该网桥也充当必要的防火墙的作用,从而实现对全网络的保护。这种结构具有很好的安全性,但也有比较明显的不足,即会降低内外网络之间数据传输的稳定性。
2 SSL VPN组网关键技术分析
2.1 安全隧道技术
所谓隧道顾名思义是连接一个网络和另一个网络的通道。在SSL VPN体系中,隧道技术是其实现的关键。网络中的隧道就是一个连接传输的分组。换句话说,就是将依据了某种协议的数据单元封装在另一种协议的数据单元中。SSL VPN的私有性就是通过数据包封装的隧道技术予以实现的。
2.2 身份认证技术
简单地说,身份认证就是确认用户的使用权限,常见的身份认证包括口令认证、智能卡认证和生物认证等等。利用身份认证得到确认后,才可以使获得用户授权,进而完成系统资源访问。当SSL开始网络通信时,通信双方都要持有各自由认证中心发放的身份证书和认证中心的公开密钥。以生物认证为例,如指纹,首先用户提交指纹到授权方,办理相应的应用授权,授权方在得到用户的订购需求和提供相应的使用费用后,发出授权。用户即可利用授权方法给出的用户名,并在登陆时提供指纹,远程服务器即可对其身份进行验证,当用户名和指纹都获得通过后,用户即可享用该网络或服务的使用权。
2.3 访问控制技术
所谓访问控制(Access Control)是指对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,在SSL VPN体系指由服务商对用户的身份标志、成员身份进行限制访问某些信息项或实施某些控制的机制。当定义了应用后,某些应用就可以被用户或组禁止或开放。如果需要放开这种访问权限则需要系统管理员的同意和授权,用户方可对某些订购的应用进行访问。
3 结束语
本文主要从SSL VPN的起源、概念和近几年发展现状进行展开,然后针对其组网方式和模式进行论述,最后对其涉及的几方
面的关键技术进行综述。SSL VPN技术具有先天的优点,但也存在一定的不足,有些技术实现起来相对负责,部署也较为昂贵,因此,虽然SSL VPN技术获得了广泛的应用,但还需要做进一步研究。
参考文献:
[1] 李津生,洪佩琳.下一代Internet的网络技术[M]. 北京:人民邮电出版社, 2001.
[2] 王达.虚拟专用网(VPN)精解[M]. 北京: 清华大学出版社, 2004.
[3] 唐建雄. IPSec体系结构分析及实现策略[J].交通与计算机,2001(2): 41-44.
[4] Ivan Pepelnjak,Jim Guichard.MPLS和VPN体系结构[M].北京:人民邮电出版社,2001: 89-126.
vpn技术论文篇5
VPN虚拟专用网 (Virtual private network):建立在实在网路(或称物理网路)基础上的一种功能性网路,或者说是一种专用网的组网方式,简称VPN。它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网路;也可以说虚拟专用网是一种逻辑上的专用网路。
2 VPN的特点
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。所有网络应用均要求网络根据需要提供不同等级的服务质量。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 VPN安全技术
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(2)加解密技术
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。
对于L2TP服务器,将使用IPSec机制对数据进行加密。IPSec是基于密码学的保护服务和安全协议的套件。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
(4)使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP:CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。MS-CHAP:同CHAP相似,微软开发MS-CHAP是为了对远程Windows工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 MS-CHAP v2:MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
4 VPN发展现状
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。
(1)客观因素包括因特网带宽和服务质量QoS问题。
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。
(2)主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
[1]张忠玉.VPN 技术综述及应用.工程技术,2007(25).
vpn技术论文篇6
该技术是利用互联网基础设施来实现数据的传递,运用隧道技术进行传递的数据能够是数据帧或者包,隧道技术协议将这些数据帧或者包重新进行拆解封装然后使用隧道进行传输。简而言之,即原始数据在传输地进行处理封装,通过通信隧道,到达隧道目的地后再对封装数据进行解包还原。这种技术是VPN进行信息数据传递的关键性技术。
2加密技术
加密技术就是转变和伪装信息,这样就可以有效的转换信息数据,从而保证非授权者不会窥视到这些信息数据内容;在协议栈的任意层都可以应用这种加密技术,通过实践研究表明,可以有效的加密信息数据,保证数据的安全;网络层中的加密标准为IPsec.。主机端到端的加密是网络层中最安全的加密实现方法,此外,还有一些其他的加密技术,比如加密路由器,不加密终端和第一条路由间,这种加密方法存在着一定的风险,这是因为非法分子可能采取一系列的手段来从终端到第一条路由间截获信息数据,影响到信息数据的安全性。
3QoS技术
如果将隧道技术和加密技术有机的结合起来,建立起来的VPN就比较的安全,并且可以满足互相操作的要求,但是,这种VPN在企业中应用,依然在很多方面不能够符合相关的需求,针对这种问题,就可以将Qos技术加入进来,在主机网络中合理科学的应用QOS技术,简单来讲,就是将其应用于VPN所组件隧道,从而实现VPN性能指标提高的目的。另外,VPN的IP地址非常安全,由于VPN加密,其数据包在网络中传输时,普通用户只能看到公用IP,因此,专用的网络IP是得到保护的。
4VPN技术在网络安全中的应用
由于VPN的连接特点,用户网络中的内容在公共网络中传输就要进行加密或解密,在此过程中都必须通过协议进行,这样两个私有网络间组建VPN隧道就需要依赖各种不同的协议,IKE协议以及IPsec共同使用为信息数据提供专门的身份鉴别。VPN服务器、VPN客户端以及VPN数据通道共同组建成一个完整的VPN系统,其中VPN服务器即一台用作接受以及验证VPN连接请求的计算机或别的设备等,主要用来处理信息数据的封包、解包工作。
而VPN客户端,即一台用来发起VPN连接请求的计算机或别的设备等,它也是用来处理信息数据的封包、解包工作,最后VPN数据通道,即一条组建在公共网络中的数据连接。为了保证VPN的安全性,企业网络需要安装一种网关,即可以对VPN连接进行管理的设备,这种网关可以是一个VPN软件,当然也能使一个VPN设备。
企业网络的管理者可以对VPN服务器进行设置,对敏感信息的访问权限进行设定,使没有特殊权限的用户无法使用到公司的局域网络,从而窥探到企业的核心机密。而使用了VPN技术,用户可以于任何地点接入英特网对企业的网络服务器进行访问,从普通用户来分析,就是普通用户到企业网络服务器间的点到点的连接,由于数据的传输是靠一条仿真专线进行传输,所以,用户在处理企业信息时,就仿佛在专线上一样方便。
5结束语
vpn技术论文篇7
[关键词]ip城域网;mpls vpn;网络安全性;ping;路由表 ?
1概述
mpls(multi-protocol label switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(forwarding equivalent class,转发等价类fec)的分类转发技术[1]。在mpls网络中,通过ldp(label distribution protocol,标签分配协议)动态地在邻居之间标签/fec绑定关系,建立一系列的lsp(label switching path,标签交换路径)隧道,形成逻辑上的全网状拓扑结构[2]。mpls结合了ip技术的灵活性与atm技术的安全性等优点,非常适合组建vpn(virtual private network,虚拟专用网)。在vpn中有ce(custom edge,用户接入设备)、pe(provider edge router,骨干网边缘路由器)和p(provider router,骨干网核心路由器)三种路由器。
mpls vpn工作过程:当一个ip分组由源端ce进入pe时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同vpn用户,后者用于实现分组在lsp上的高速转发)到分组头中形成标签分组;标签分组在lsp上高速透明地通过p到达骨干网对端的pe;在被去掉两层标签后,用户分组被转发到目的ce,进行vpn内部的ip转发[3]。
mpls vpn路由信息过程:pe和ce可以通过静态或动态路由协议交换路由信息,pe维护一个公网路由表和多个逻辑上分离的vpn私网路由表vrf(vpn routing/forwarding instance,路由转发实例,用于区分不同vpn用户的路由);pe对每一条vpn路由加上rd(route distinguisher,路由区分符,用于区分一台pe接收到其他pe发来的不同vrf的相同路由,并形成一条vpnv4路由)和rt(route target,路由目标rt,用于实现不同vrf之间的路由互通)属性,然后把路由更新信息发给所有的pe邻居;根据本地vrf的rt属性把vpnv4路由加入到相应的vrf中,再由本地vrf的路由协议引入并转发给相应的ce。
2 规划mpls vpn实验平台
设计与规划基于ip城域网的mpls vpn,其拓扑结构模型如图1所示:
图中mpls骨干网使用华为quidway s8016路由交换机,其中p路由器的ip地址为198.148.10.0网段,pe路由器的ip地址为204.18.68/78/88.0网段。x、y公司使用二层交换机作为ce接入mpls骨干网,组成vpnx和vpny,其中x公司cex1、cex2、ce3…的ip地址为10.1.1/2/3.0网段,vrf为mplsvpn-x,rt、rd均为65500:3,y公司cey1、cey2、cey3的ip地址为10.2.1/2/3.0网段,vrf为mplsvpn-y,rt、rd均为65500:3。
3 测试网络的安全性[ht5”]
3.1测试vpnx和vpny的连通性
采用交叉互ping的方法测试。在未禁止icmp流量和防火墙的条件下,轮流地在x或y公司的各个网段上ping对方的各个网段,利用返回的icmp包验证vpnx和vpny的连通性。测试的显示信息均为“request timed out”,说明vpnx和vpny之间的数据是隔离的。
3.2测试ce与p的连通性
在x或y公司的各个网段上ping骨干网路由器p。测试显示信息均为“request timed out”,说明vpn的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。
3.3查看p的路由信息
显示骨干网路由器p的路由信息,如图2所示:
测试结果说明:在p路由器上只有全局路由信息,用于保证骨干网的通信,而没有vpn私网路由信息,不和ce直接通信。因此,用户数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上ping不通p路由器。
3.4查看pe的路由信息
显示pe1的全局/vpnv4/bgp路由信息,如图3所示:
图中前两段显示的是pe1的全局/vpnv4路由信息。测试结果说明:在pe路由器上有全局路由信息,用于保证骨干网的通信。还有不同vpn的私网路由信息(图中的mplsvpn-x和mplsvpn-y),二者是完全隔离的,这就保证了用户vpn通信的安全。图中第三段显示的是pe1路由器的bgp路由信息。测试结果说明:用户vpn的私网路由信息是使用bgp的扩展属性透明地通过mpls骨干网传递到对端的pe,保证了vpn的安全。
4 传统专网与mpls vpn的安全性分析
传统vpn的安全保证主要靠其cug(closed user group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的dos(denial of service,拒绝服务)等攻击。但如果用户vpn的每个cpe都连到internet,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新配置每个防火墙是非常困难的。
与传统vpn不同,由于mpls vpn采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此mpls vpn完全能够提供与atm/fr vpn相类似的安全保证[4]。mpls vpn依靠转发表和分组的标签来创建一个安全的vpn,而不是依靠封装和加密技术。一个vpn包括一组ce,以及同其相连的ip man中的pe。只有pe理解vpn,ce可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个vpn依靠vpn-instance来识别成员关系。
从上面的测试可以看出,mpls vpn的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的vpn标记,因此在骨干网上vpn的数据流量是隔离的,保证了用户发送的分组被传送到正确的vpn。
另外,封闭的mpls vpn本身就具有内在的安全性。如果用户需要访问internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个vpn提供安全的连接。由于整个vpn只需要维护一种安全策略,管理起来也非常容易[5]。
5结论
通过前文的测试和理论分析,可以得出结论:mpls vpn的安全性高于传统基于ip技术组建的vpn,具有与atm/fr vpn相类似的安全性。
[参考文献]
[1] eric osborne,ajay simha.基于mpls的流量工程[m].北京:人民邮电出版社,2003:18
[2] 王达,等.虚拟专用网(vpn)精解[m].北京:清华大学出版社,2004:58-59.
[3] vivek alwayn.高级mpls设计与实施[m].北京:人民邮电出版社,2003:41-42.
vpn技术论文篇8
关键词:MPLS;IP VPN;部署方案;路由器
中图分类号:TN915 文献标识码:B
文章编号:1004-373X(2008)11-063-03オ
Application Analysis ofIP VPN Based on MPLS
SONG Yanhui1,CHEN Lin2,HE Linna1
(1.Changsha Telecommunicaions and Technology Vocational Colledge,Changsha,410015,China;
2.Changsha Branch,Hunan Mobile Communication Company,Changsha,410015,China)オ
Abstract:Based on the realization ways and means of sustaining IP VPN,adopting the examples reasoning methods of certain mobile communication company,this article presents the application of MPLS-VPN in detail,and especially analyzes the configuration and working course of IP VPN based on MPLS,three arrang projects in practice for MPLS-VPN,the advatages of MPLS-VPN,finally presents the develop trend of MPLS-VPN and puts forward the problems must be payed attention to in using this technology.This paper has instructional meanings for the most popular technology ofMPLS applicating to IP-VPN.
Keywords:MPLS;IP VPN;arrang project;routerオ
MPLS为IP VPN的实现提供了一种灵活的、具有可扩展性的技术基础,在MPLS网络中,一项IP VPN业务可以通过多种方式来提供。一种方式是仿真第二层的IP VPN,如直接仿真帧中继;另一种方法是使用支持MPLS功能的用户设备来提供这一业务。无论是哪一种方法都可以让业务提供者以一种集成的方式,在提供因特网服务的同一平台上提供这一流行业务。因此有多种支持IP VPN的方法,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP VPN。
本文将以实际应用的实例对MPLS-VPN进行详细的分析。
1 基于MPLS的IP VPN概述
1.1 基于MPLS的IP VPN的结构组成
如图1所示给出了使用MPLS和多协议边界网关协议来提供IP VPN业务的一种网络配置模型。这种网络模型主要由提供者(P)路由器、提供者边缘(PE)路由器、用户边缘(CE)路由器以及站点(Site)组成。
提供者(P)路由器相当于核心部分的标签交换路由器(LSR),P路由器之间使用MPLS协议与进程,P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。提供者边缘(PE)路由器相当于核心部分的标签边缘路由器(LER),用户边缘(CE)路由器的作用是将某个用户站点连接至PE路由器,它不使用MPLS,也不必支持任何VPN的特定路由协议和信令。站点(Site)是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN,而VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
在图1中,每个PE(PE1~PE3)都直接和属于相应VPN的用户站点相连,这些VPN都直接映射到每个VPN各自的虚拟路由中。通过使用BGP协议,PE路由器之间自动的交换特定VPN的MPLS标记,并且自动的在内部VPN站点之间建立MPLS隧道,这些MPLS隧道能够传输一个或多个特定VPN LSPs,每个VPN标记交换通道都直接与隧道两端点的站点连接。
CE(Custom Edge)用户Site中直接与服务提供商相连的边缘设备,一般是路由器。
PE(Provider Edge)骨干网中的边缘设备,它直接与用户的CE相连。
P routers骨干网中不与CE直接相连的设备,只负责标签转发。
Site是一个内部连通但不通过服务提供者骨干网不具有相互连通性的网络系统。
1.2 MPLS IP VPN的工作过程
(1) 用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的VPN标记,而在PE与P路由器之间则使用IGP协议相互学习路由信息,采用LDP协议进行路由信息与骨干网络中的标记的绑定。此时形成CE、PE以及P路由器中基本的网络拓扑以及路由信息。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2) 当属于某一VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于那一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时在前传的数据包中打上VPN标记。为了到达目的端PE,在起始端PE中读取骨干网络的路由信息,得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上骨干网络中的标记。其中在骨干网络中,初始PE之后的P均只读取骨干网络中的标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(3) 在达到目的端PE之前的最后一个P路由器时,将骨干网络中的标记去掉,读取VPN标记,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
2 某省移动公司MDCN 的MPLS-VPN部署方案
省移动公司MDCN各区县营业厅及大型分支机构的业务,其路由包括3种情况:
(1)地市中心PE路由器(Cisco7507/7206/3745/R3680E)地市中心二层交换设备(Cat6509/4006/4003)区县大型分支机构CE交换设备(FlexHammer24)连接,其中CE交换机之间采用光纤GE方式直连。
该方案通过在港湾FlexHammer24交换机上采用VLAN方式实现各区县营业厅及大型分支机构的MPLS-VPN服务,BOSS系统、MIS系统及OA系统等3个业务系统接入到港湾FlexHammer24交换机。
根据业务需求,不同业务系统需要相互隔离,在港湾FlexHammer24交换机划分VLAN11,VLAN12,VLAN13共3个VLAN,并为三个业务VLAN分别定义MIS,BOSS,OA,实现VLAN和VRF一一对应;将港湾FlexHammer24交换机 与Cat 6509/4006/4003相连的两个GE端口及跟CISCO7507/7206/3745/R3680E相连Cat 6509上的GE/FE端口配置成Trunk模式;同时在CISCO7507/7206/3745/R3680EPE路由器与Cat6509/4006/4003相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的IP地址,分别作为VLAN11,VLAN12,VLAN13的网关,再将各VLAN(子)接口分别与MISS,OA,BOSS三个VRF一一关联,从而实现各个业务系统的上连和相互隔离;从以上所述可以看出Cat 6509/4006/4003交换机在整个过程只是作为一台普通的二层交换机使用,港湾FlexHammer24交换机以Trunk方式向CISCO7507上传VRF/VLAN信息数据,具体如图2所示。
(2) 地市中心PE路由器(Cisco7507/7206/3745/R3680E)区县大型分支机构CE路由设备(Cisco2620XM/Quidway R2620)区县FlexHammer24,其中地市中心PE路由器至区县CE路由器之间采用E1传输方式直连。
该方案通过在CE路由设备(Cisco2620XM/Quidway R2620)上实现实现市各区县的MPLS-VPN服务。BOSS系统、MIS系统及OA系统等3个业务系统接入到FlexHammer24交换机。根据业务需求,不同业务系统需要相互隔离,在FlexHammer24交换机划分VLAN11,VLAN12,VLAN13共3个VLAN;将FlexHammer24与Cisco2620XM/Quidway R2620路由器相连的FE端口配置成Trunk模式;在Cisco2620XM/Quidway R2620路由器与FlexHammer24相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的IP地址,分别作为VLAN11,VLAN12,VLAN13的网关,再将各VLAN(子)接口分别与MIS,OA,BOSS三个VRF一一关联;将CE路由器Cisco2620XM/Quidway R2620与PE 路由器Cisco7507/7206/3745/Quidway R3680相连的E1链路封装Frame-relay,同时在其连接的串口上为3个业务系统划分三个Point to Point的子接口,CE与PE 路由器之间运行OSPF动态路由技术,并且CE与PE之间采用负荷分担、主-备双网络连接方式连接,能够避免单点故障,提高了网络系统高可用性。对于通过OSPF从CE路由器收到的信息,都将被加入到(PE 路由器)与接收信息的接口相关的VRF中,然后这些信息将跨越MPLS/VPN主干,在PE-路由器之间进行通告。从而实现各个业务系统基于路由器Multi-CE方式的VPN服务,具体如图3所示。
(3) 远程营业厅通过地市PE路由器(Cisco7507/7206/3745/R3680E)地市中心 CE设备(汇聚路由器Cisco4500/3640)CE设备(路由器Cisco2610/2510)连接。远程营业厅Cisco2610/2510路由器通过E1/DDN链路接入到汇聚路由器Cisco4500/3640,再通过地市中心交换机Cat4006/4003与PE路由器相连,汇聚CE路由器与PE 路由器之间采用的是OSPF进行交互。
因为远程营业厅只包含单一的BOSS业务,在4006上只需划分一个VLAN,在PE 路由器可以配置一个BOSS VRF, PE路由器使用每-VPN OSPF进程收集汇聚CE路由设备的路由信息,然后将收集到的信息重新到MP-BGP中,并跨越省公司的PE路由器进行转发,到了对端的出口路由器就通过多协议BGP收到的路由信息入到BOSS VRF中,并被选择性转发给CE设备,实现MPLS/VPN过程,具体如图4所示。
3 MPLS VPN的优势
MPLS VPN是基于网络服务提供商的主干网络所提供的一种高性能的虚拟专用网技术,与其他虚拟专用网技术相比,它更能满足企业集团用户的应用要求。MPLS VPN主要有以下优点:
提供无连接服务 因特网采用TCP/IP协议,是基于无连接网络技术。无连接是指两个主机在通信前不需要预先进行一些操作建立通信连接,双方的通信过程比较简单。为了在无连接的IP网络环境中保证通信的安全性,现在的MPLS VPN大多采用重叠模型,在公网上使用点到点、面向连接的技术来构建VPN,这样的VPN方案无法利用无连接的IP网络提供的多种服务和便捷的网络连接。如果采用无连接技术创建VPN,则不需要设置隧道和各种加密方案,大大减少了网络的复杂性。
扩展能力强 采用点到点模式创建面向连接的VPN,例如采用VC连接的FR、ATM网络,最主要的缺陷就是伸缩能力受到VC数目的限制。相反,MPLS VPN采用对等模型和第三层无连接的结构来实现。对等模型不需要VPN成员节点之间互相建立连接,也无需使用隧道和VC进行连接。同时在MPLS VPN中,路由表采用分布式计算由不同路由器共同维护进一步提高了网络的伸缩能力。
安全性高
MPLS VPN与面向连接的VPN提供同样的安全性。正常配置情况下,一个VPN中的数据分组不会进入到另一个VPN中,MPLS的安全性是通过以下方法获得:在服务商网络边缘,确保从一个用户收到的分组进入正确的VPN中,在主干网中VPN数据是互相隔离的,恶意欺骗几乎不可能发生。
易于管理
因为MPLS VPN是无连接的工作模式,没有特定的点到点连接映射或需要指定的拓扑形式,可以很方便地增加或减少用户。另外,MPLS VPN还支持用户自己的编址方案,方便用户网络规划管理,VPN用户编址方案与网络服务商及其他VPN用户无关。
支持服务类别设置
服务质量保证对许多VPN用户来说都是一个重要的需求。在一个MPLS VPN中可以支持多级别的服务。视频、话音、图文数据等需要不同的服务质量保证,采用MPLS技术后,增强了IP网络的服务能力,可以根据不同的服务质量提供不同的服务。
4 结 语
MPLS是当今IP VPN的发展趋势,VPN的划分在PE节点上实现。由于信息和网络资源共享的需求,MDCN网需要同时支持很多个VPN,为了简化IP地址的规划、分配、维护,MPLS来实现VPN。基于MPLS的标签转发路径的VPN可以单独构成一个独立的地址空间,独立寻址,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPNブ内不冲突即可。当然在考虑VPN与Internet互连时还是得通过NAT等方式以避免与Internet地址冲突。
参 考 文 献
[1]Davie B,Rekhter Y.MPLS-Technology and Applications\[M\].San Francisio:Morgan Kaufmann Publisher,2000.
[2]林华生,王文东.MPLS及MPLS VPN的发展现状与前景分析\[J\].信息网络,2004(4):41-43,50.
[3]徐云斌.MPLS虚拟专用网络\[J\].数据通信,2000(4):13-16.
[4]白东伟,马志强,林咏梅.基于MPLS的VPN\[J\].信息技术,2002(6):38-40.
[5]陈辉,周自立.利用MPLS VPN构建企业网络\[J\].现代电子技术,2007,30(2):110-112.
vpn技术论文篇9
IP RAN的核心技术标准为IP/MPLS技术,目前中国电信集团、中国联通集团已经开始大规模部署IP RAN网络。IP RAN既具有传统IP技术的数据业务处理能力、柔性管道高带宽利用率、支持L3功能和时间同步能力,又融入了传统SDH网络的多业务承载,高可靠性和可维护性的特性。使得IP RAN技术具有强大的生命力。在当前网络变革的背景下,IPRAN不但要满足当前3G等业务的承载,还能够面向LTE基站与基站之间传递路由和大量集团客户对承载网络支持L3VPN的承载需求。
而IP网络的面型无连接的特性如何实现面向连接的可靠传输呢?VPN技术可以解决这个问题。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network)。在公共网络上组建的VPN如同企业现有的私有网络一样提供安全性、和可管理性等。
而传统的L3VPN技术只适用于以太网平面网络模式,PE在整个框架中是对等关系,无论处于网络中哪个位置,对性能的要求是相同的。这种平面结构的问题在于,如果其中某些性能较低的PE存在性能和扩展性问题的时候,实际上也制约了整个网络VPN业务的广泛覆盖能力与进一步的扩展能力。因此我们会发现MPLS VPN远不像人们想象的那么便于开展,当其平面化模型遭遇通信网络建设的分层模型时,就会存在性能的不平衡现象。分层VPN技术的提出就是讨论如何的解决这一点。使的MPLS VPN技术广泛的应用于IPRAN网络当中。
为解决可扩展性问题,BGP/MPLS VPN必然要从平面模型转变为分层模型。在MPLS L3VPN领域,提出了VPN互联的解决方案,将PE的功能分布到多个PE设备上,多个PE承担不同的角色,并形成层次结构,共同完成一个PE的功能。VPN互联把PE的功能分层实现。
如图1所示,将PE设备分成以下几个部分
UPE:直接连结用户的设备称为下层PE(Underlayer PE)或用户侧PE(User-end PE)。UPE主要完成用户接入功能。UPE维护其直接相连的VPN site的路由,但不维护VPN中其他远端site的路由或仅维护它们的聚合路由;UPE为其直接相连的site的路由分配内层标签,并通过MP-BGP随VPN路由此标签给SPE。
SPE:连结UPE并位于网络内部的设备称为上层PE(Superstratum PE)或运营商侧PE(Sevice Provider-end PE)。SPE主要完成VPN路由的管理和。SPE维护其通过UPE连接的VPN所有路由,包括本地和远端site的路由,但SPE不远端site的路由给UPE,只VPN实例的缺省路由或聚合路由,并携带标签。SPE向UPEVPN 实例缺省路由有两种方式:1.发送所有VPN的缺省路由;2.发送指定VPN的缺省路由。
SPE和UPE是相对的概念。在多个层次的PE结构中,上层PE相对于下层就是SPE,下层PE相对于上层就是UPE。分层式PE从外部来看同传统上的PE没有区别,可以同普通PE共存于一个MPLS网络。
UPE和SPE之间采用标签转发,只需要一个接口连接,SPE不需要使用大量接口来接入用户。由于分工的不同,对SPE和UPE的要求也不同:SPE的路由表容量大,转发性能强,但接口资源较少;UPE的路由容量和转发性能较低,但接入能力强。HoVPN充分利用了SPE的性能和UPE的接入能力。UPE和SPE之间的接口可以是物理接口、子接口(如VLAN,PVC)或隧道接口(如 GRE、LSP)。采用隧道接口时,SPE和UPE之间可以相隔一个IP网络或MPLS网络,UPE或SPE发出的标签报文经过隧道传递。如果是GRE隧道,要求GRE支持对MPLS报文的封装。
SPE和UPE之间运行MP-BGP,可以是MP-IBGP,也可以是MP-EBGP,这取决于UPE和SPE是否属于同一个AS。采用MP-IBGP时,IBGP邻居之间不会相互通告路由,为了在IBGP对等体之间通告路由,SPE需作为路由反射器,把来自IBGP对等体UPE的VPN路由给IBGP对等体SPE,但SPE不作为其它PE的路由反射器。
vpn技术论文篇10
关键词:Inter-AS MPLS VPN
随着MPLS VPN解决方案的越来越流行,服务的终端用户的规模和范围也在增长,随着在一个特定的企业内部的站点数目越来越大,跨过一定的地理区域与另外一个服务提供商相连的可能性的需求变得非常的普遍,比如运营商的不同城域网之间或是同骨干网之间都存在着非常现实的跨越不同自治系统的问题,这些都需要一个不同于基本的MPLS VPN体系结构所提供的互连模型――inter-AS。RFC2547定义了inter-AS MPLS VPN来解决如何在两个AS之间交换路由前缀和标签信息的问题。该RFC中定义了三种方案,称作Optin A/B/C,如下所示:
Option A:VRF-to-VRF
Option B:ASBR-to-ASBR MP-EBGP
Option C:Multi-hop MP-EBGP
1. Option A 背靠背VRF(Back-to-back VRF)
Option A的特点是:在ASBR处,把对端ASBR作为CE设备看,ASBR之间通过IGP传递IPV4路由。背靠背VRF作为一种过渡方案,需要建立一个VRF链路来连接两个MPLS VPN AS,每个AS将被另一个AS看作一个巨大的客户站点,如果ASBR间只有一条物理链路,则需要将VRF链路配置在连接ASBR之间的隧道接口上。
Option A的优点是:VPN隧道构建比较简单,ASBR之间不需要运行MPLS;可以基于每个Customer来做QOS。其缺点是:(1)ASBR要维护所有VPN的路由,并且要为每一个跨域的VPN分配一个接口,当VPN比较多时耗费设备资源;(2)可扩展性较差;(3)不是端到端的MPLS;(4)ASBR上维护所有的VPN路由,耗费设备内存。因此,仅当ASBR、VRF数量相对较小且VPN相对较稳定(不会随时增加新的VPN)时,Option A才是一种合适的选择
2. Option B ASBR间的多协议EBGP(ASBR-to-ASBR MP-EBGP)
Option B的特点是:在ASBR之间的直连口上建立MP-EBGP 实现跨域交换。进入PE时打上两层标签,外层标签用于本AS内部交换,内层标签用于bgp跨域交换。当数据包到达ASBR前一跳时,弹出外层标签。因此ASBR会收到仅含内层标签的数据包,再在ASBR之间交换VPNv4标签来实现数据的转发。
Option B所有VPN用户共用一个MP-EBGP Session,扩展性好,但独立性较差,ASBR接收对端ASBR的所有VPNv4的路由信息,并通过IBGP给本AS内的所有PE路由器,而不管这些VPN路由是否必须的。ASBR 仍需要维护所有的 VPN 路由,并且为每个标签分配新的标签,在本地安装新老标签转换的表项,因此对于 ASBR 路由器的设备性能要求比较高。当 VPN 业务发展到一定阶段,ASBR 之间的链路受限时,可以考虑 Option B 跨域方法。对于一些超大型网络不太适合,但对于一般中型或大型网络是合适的。
3. Option C 多跳多协议EBGP(Multihop MP-eBGP)
Option C的特点与Option B类似,考虑到要两个ASBR传递所有的VPNv4路由负担太重,可以直接让已具有VPN路由的路由反射器(RR)来传递路由,将MP-EBGP建立在RR之间,ASBR之间只建立IPv4的EBGP。多跳是VPN的标签分发不是在ASBR之间,而是在其他的P路由器(RR)或者PE上。这两种方法的效果和配置都一致,只不过在现实环境中,RR的路由器可能有更高的性能,再者在运营商内部处理比较快速。而PE有可能被客户攻击,有一定的安全风险。
OptionC将压力转移到其他路由器上了。ASBR不需要再保存着VPN Label,可以认为ASBR是一个P路由器了。这样运营商有更多的部署方案,可以将MP-EBGP部署到任何其认为可行的位置。但这种方式需要在域之间互相通告环回接口的路由,造成所谓的路由泄漏问题。同时由于需要建立跨域的 LSP,在管理上带来较大的麻烦。另外,由于跨域同一 VPN 的所有 PE 之间都要建立 eBGP 连接,存在严重的扩展性问题。
4. Inter-AS MPLS VPN Option AB
Inter-AS MPLS VPN Option AB也叫Inter-AS hybrid方式,是Option A和Option B的混合体,充分利用了A和B方案的优点,克服了两种方案的一些缺陷。Option A 独立性较好,在ASBR路由器上,每个VPN由VRF分离,但扩展性差,每一个VPN需要一个EBGP Session;Option B所有VPN用户共用一个MP-EBGP Session,扩展性好,但独立性较差,ASBR接收对端ASBR的所有VPNv4的路由信息,并通过IBGP给本AS内的所有PE路由器,而不管这些VPN路由是否必须的。Option AB取Option A的独立性和Option B的扩展性混合而成,使用VRF过滤和区分VPNv4路由,共用一个MP-EBGP Session所有VPN用户的路由。
MPLS VPN Inter-AS Option AB有两种模式:一是非CSC(运营商的运营商)模式,在ASBR间以IP报文的方式传送报文,适用 于普通Inter-AS MPLS VPN的应用;二是CSC模式,在ASBR间以MPLS标签交换的方式传送报文,适用于Inter-AS CSC MPLS VPN(自治系统间运营商的运营商MPLS VPN)的应用。■
参考文献
[1]毕伟英.贾志刚 浅析MPLS VPN网络的特点[J]-数字技术与应用2014(2)
[2]李维贤. 跨域MPLS VPN技术的实施研究[J]-电信工程技术与标准化2014(8)