VPN的解决方案

VPN的解决方案（共7篇）

VPN的解决方案 篇1

VPN的英文全称是“Virtual Private Network”, VPN被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路, 用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN通常有三种解决方案, 用户可以根据自己的情况进行选择。这三种解决方案分别是远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 和企业扩展虚拟网 (Extranet VPN) , 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

1、如果企业的内部人员移动或远程办公需要, 或者商家要提供B2C的安全访问服务, 就可以考虑使用Access VPN。

AccessVPN通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的需要。出差员工利用当地ISP提供的VPN服务, 就可以和公司的VPN网关建立私有的隧道连接, 员工通过VPN访问企业内

网就像使用本地网一样。 (如图)

AccessVPN对用户的吸引力在于

(1) 减少调制解调器和终端服务设备的资金及费用, 简化网络;

(2) 实现本地拨号接入的功能来取代远距离接入或800电话接入, 这样能显著降低远通信的费用;

(3) 极大的可扩展性, 简便地对加入网络的新用户进行调度;

(4) 远端验证拨入用户服务 (RADIUS) 基于标准、基于策略功能的安全服务;

(5) 将工作重心从管理和保留运作拨号网络的工作人员转至公司的核心业务上来。

2、如果要进行企业内部各分支机构的互联, 使用Intranet VPN是很好的方式。

随着经济全球化的迅猛发展, 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等, 各个分公司之间传统的网络连接方式一般是租用专线。显然, 在分公司增多、业务范围越来越广泛时, 网络结构也趋于复杂, 所花的费用也越来越大, 租用专线的方式越来越显得不合时宜。VPN技术的出现, 可以使企业组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。

3、如果提供B2B之间的安全访问服务, 则可以考虑Extrane VPN。

随着信息时代的到来, 各个企业越来越重视企业之间各种信息的处理情与沟通。希望可以提供给客户最快捷方便的信息服务, 通过各种方式了解客户的需要, 同时各个企业之间的合作关系也越来越多, 信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的平台, 而如如何利用Internet进行有效的信息管理, 是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet。既可以向客户、合作伙伴提供有效的信息服务, 又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施, 将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专业网络的相同政策, 包括安全、服务质量 (QoS) 、可管理性和可靠性。

摘要：VPN的解决方案可分为远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 和企业扩展虚拟网 (Extranet VPN) , 用户根据自身需要进行选择方案。Access VPN适合于经常出差或B2C方式的用户。Intranet VPN适合于与分支机构的联接。Extranet VPN适合与合作伙伴、供应商、客户等群体的联接。

关键词：VPN,方案,隧道,互联

VPN的解决方案 篇2

MPLS(多协议标签交换技术)是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。它解决了传统IP分组交换的局限性;采用MPLS技术可以提供灵活的流量工程、虚拟专网等业务,同时,MPLS也是能够完成涉及多层网络集成控制与管理的技术。

1基于MPLS的VPN技术

1.1 MPLS的基本原理

MPLSVPN是指基于MPLS技术构建的虚拟专用网[1],即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLSVPN能够在提供原有VPN网络所有功能的同时,提供强有力的服务质量(QoS)能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。

MPLS是一种特殊的转发机制,它为进入网络中的IP数据包分配标记,并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径通过交换标记(而不是看IP包头)来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。

MPLS基本工作原理示意图如图1所示:其中MPLS网络包含一些基本的元素。

在网络边缘的节点就称作标记边缘路由器(LER:Label Edge Router),而网络的核心节点就称作标记交换路由器(LSR:Label Switching Router),LER节点在网络中提供高速交换功能,在MPLS节点之间的路径就叫做标记交换路径(LSP:Label Switched Path),一条LSP可以看作是一条贯穿网络的单向隧道。

MPLS的工作流程可以分为三个方面:即网络的边缘行为、网络的中心行为以及如何建立标记交换路径。

1.2 MPLS VPN的主要特点:

(1)传输速度快,数据包不再经过封装或加密。

(2)可伸缩性强,增加新的站点时,不必重新配置CE,仅需改变PE的配置。

(3)成本低,管理相对容易。

(4)支持QoS,实现网络的不同服务品质要求。

(5)流量工作,能够提供其它IP网中无法保证的流量工作业务,可最佳利用链路和节点,平衡网络负荷。

(6)安全性不强,所有IP包均以标签交换方式以明文转发,无加密和验证、认证算法。

(7)灵活性较差,主要应用于LAN-to-LAN连接,不易实现移动用户的VPN接入。

2 MPLS VPN解决方案

2.1 MPLS VPN的具体解决方案

由于PE路由之间需要实现MP-iBGP的全网状连接[2],并且需要直接传递用户的内部路由,如果直接把各地市节点的干线路由器作为PE的话,势必会对干线网路由的效率、稳定性和安全性产生影响,因此建议开展MPLS VPN的地市节点单独配置一台路由器作为PE,专门用于连接用户端路由器(CE)。目前各干线路由器可充当标签交换路由器P的角色。

在全省开展MPLS VPN业务,建议将网络规化如图2所示。

由图2可知,建议在省中心安装Cisco的VPN SC(Solution center)软件,使省中心成为MPLS VPN网的配置和管理中心。将省会城市、城市一两台干线汇接路由器(Cisco 12416)及14个地市的干线路由器(Cisco 12016,12008,7507)作为MPLS VPN的P(provider)路由器,在P路由器之间进行多协议标签交换;14个地市可根据各自的业务情况设置1到多台PE(provider edge)路由器作为MPLS VPN的接入路由器。在经过该省的多个地市在IP干线网扩容时增加了GSR作为干线路由器,可利旧扩容后留下的Cisco7507作为PE路由器,但必须增加相应的线路卡解决其扩展能力。而该省的多个地市建议新增路由设备作为PE路由器。各地市PE路由器根据情况连接用户网络的CE(customer edge)路由器。一个地市内的PE之间可实现本地网内的MPLS VPN 业务,不同地市之间的PE之间可实现夸本地网之间的MPLS VPN 业务。

当全网的PER超过一定数量时,建议将省会城市、城市一两节点的PE路由器作为BGP路由的RR(Router reflecter)[3],以防止全网状连接下BGP相邻关系建立过多的弊端出现,提高全网的可扩展性。本次试点当中,由于全省PE路由器尚未全面部署,故而先在试点的两台PE设备之间直接建立MP-IBGP路由,待省网全面实施MPLS VPN时再改为RR方式。

本次MPLS VPN试点工作可结合省公司跨本地网VPN试点工程一起实施。为保证现有干线网网络结构和干线路由器工作的安全性、可靠性和稳定性,现有干线路由器只作P路由器,PE另外使用利旧或新增设备。

对于省会节点,可利旧原城市一干线路由器7507作为PE,通过单模光纤与省会12416的155M POS口直连,并互通OSPF路由。这台7507与大楼技术中心的CISCO7507(CE)之间调配一条光线通路,使用一对光电转换器实现100M互连,并采用静态路由连通办公自动化的路由。

在本地使用一台新增的CISCO7206作为PE路由器,配置2个快速以太口及一个GE口,同时配置一块VPN加速卡以实现VPN加密的硬件运算,减轻CPU的负担。7206通过GE口与本地干线7507上现有的一个空闲GE口相连,并互通OSPF路由,同时通过FE口与局内办公自动化系统相连,相当于以直连路由与CE互通。

省会汇接12416、城市一汇接12416以及本地干线7507均作为作为MPLS VPN的P路由器。P路由器之间以及P路由器和PE路由器之间,仍然采用目前的IGP(OSPF)骨干路由协议,但都需开放MPLS标记交换技术(启用LDP协议),以支持按标签表而不是按路由表进行数据的转发。两台12416无需升级软件,本地干线7507需升级到ST版软件以支持MPLS。

具体实现时,在省公司大楼CE路由器(CISCO 7507)上采用静态路由,使目的地址为本地办公自动化计算机的数据包路由到放在省电的PE路由器上,然后再通过MPLS VPN到达本地的PE路由器(CISCO 7206),PE与目的网段(本地城市局内办公网)直连,无需特别路由。同时,在本地局内网连接省中心的网关路由器上配置策略路由,使目的地址为大楼办公自动化计算机的数据包路由到本地新增的PE路由器7206,或者直接将本地局内运行办公自动化的PC机缺省网关该为新增PE路由器的FE端口地址。

为避免办公内部网的路由扩散到全网从而引起安全问题,我们需要在PE路由器上进行OSPF路由广播过滤,在它与P路由器互通IGP路由时避免将内部路由传送到公网。

为与省会本地网VPN试点相结合,可以将省会PE路由器另外一个FE口与省电VPN试点的交换机通过802.1q互连,然后在本地城域网交换机3808上配置一条802.1q的TRUNK连接至本地PE路由器7206的另一个FE口,配置好Ethernet-over-MPLS的相关参数后,测试两端交换机的某个相同编号的VLAN是否能够互通,以确认城域网内第二层VPN的跨本地网传送业务是否能够实现。

2.2 测试:跨本地网MPLS VPN的实现

测试目的 测试开展跨本地网MPLS VPN业务的可行性

前提条件 省会7507、本地城市7206作为PE设备已经安装配置妥当,与CE之间路由连通

测试环境 省会、城市一12416及本地城市7507作为P路由器,省会7507、本地城市7206作为PE路由器,分别连接省公司内部网及本地办公网

测试方法 (1)配置好P路由器参数,使之能够进行LDP转发;

(2)配置省公司7507及长省会7507:使之通过静态路由互通;配置本地城市7206,使之以100M接入本地电信公司办公网;

(3)配置PE路由器相关参数,使得本地电信内部网与大楼办公自动化网互通;

(4)用PING命令测试VPN两端的连通性,然后测试办公自动化系统能否通过MPLS VPN传送。

预期结果 本地城市及大楼内部网应当可以通过MPLS VPN跨地区互通,并且办公自动化应用可以在VPN上正常运行

结论 本地城市及大楼内部网应当可以通过MPLS VPN跨地区互通,并且办公自动化应用可以在VPN上正常运行

2.3 具体配置

2.3.1 版本说明

(1)GSR目前版本为12.0(21)S1,不支持LDP协议,故需升级至12.0(22)S

(2)7507、7206同样须升级至12.0(22)S才能实现标准的MPLS VPN P和PE功能

(3)7507、7206作为PE设备,要另外实现Ethernet over MPLS功能,需等版本12.0(23)S推出后才能支持,因此可以先使用12.0(22)S

2.3.2 路由器(包括GSR和7507)配置

P路由器只需在其它P路由器相连的端口上打开MPLS LABLE SWITCHING即可,对于我省MPLS规划来说,所有干线路由器都是P路由器,故需将所有省干连接端口的tag-switching打开,如:

P(config)# interface pos 0/0

P(config-if)# mpls ip

P(config)# interface ge 3/0

P(config-if)# mpls ip

P(config-if)# tag-switching mtu 1526 (仅针对于GE口)

2.3.3 PE路由器配置(CISCO)

PE路由器配置相对要复杂一些,需分三步进行:

(1)定义VPN

这一步主要是为每个VPN客户分支站点建立一个单独的VRF路由进程,并定义相关RD及RT参数,最后将连接CE的相应端口关联到该VRF进程。如:

interface Loopback0

ip address 202.103.100.1 255.255.255.255

ip vrf hntelecom

rd 100:1

route-target both 100:1

interface f0/0

ip address 10.3.3.1 255.255.255.252

ip vrf forwrding hntelecom

(2)建立PE直接的MP-IBGP连接

这一步主要是让异地的两台PE之间互通VPN路由信息。由于PE路由器设计为单独用作VPN用户接入,故没有必要在PE之间配置IPV4路由,只需要互通VPNV4路由即可。启动BGP之前,必须确保PE之间可通过IGP路由(统一选用OSPF)相互PING通。如:

router bgp 100

no bgp default ipv4-unicast

neighbor 202.103.100.2 remote-as 100

neighbor 202.103.100.2 update-source Loopback0

address-family vpnv4

neighbor 202.103.100.2 activate

neighbor 202.103.100.2 next-hop-self

neighbor 202.103.100.2 send-community extended

exit-address-family

address-family ipv4 vrf hntelecom

redistribute connected

redistribute static

no auto-summary

no synchronization

exit-address-family

(3)配置PE与CE之间的路由

这一步主要是建立PE与CE之间的路由,以便将目的为CE所属网段的VPN包能够正常传送到CE路由器。PE与CE之间可采用BGP、OSPF、RIP等动态路由,也可简单地采用静态路由,考虑到全网MP-BGP路由表的稳定性,避免出现路由振荡,通常都采用静态或直连路由与用户相连。如:

PE(config)# ip route vrf hntelecom 10.1.2.0 255.255.255.0 10.3.3.2

直连路由可直接在BGP address—family当中注入。

2.3.4 PE路由器配置(ERX)

本次增值业务试点将测试ERX与CISCO的MPLS VPN互通能力,测试网络连接拓扑如图3所示:

在图3中,干线网路由器作为P路由器,中心局新增7206既做PE又充当P的角色,测试用的ERX705通过3808连接到7206,作为PE路由器,测试它与省会7507下面所连接的内部网路由互通情况。

ERX作为PE配置范例如下:

mpls

mpls topology-driven-lsp

ip vrf telecom

rd 100:1

route-target both 100:1

interface loopback 0

ip address 202.103.100.2 255.255.255.255

interface gigabit 3/0.1

mpls

mpls ldp

route bgp 100

no sync

no auto-summary

nei 202.103.100.1 remote 100

nei 202.103.100.1 update-source loopback 0

address-family vpnv4 unicast

nei 202.103.100.1 activate

nei 202.103.100.1 next-hop-self

nei 202.103.100.1 send-community-extended

address-family ipv4 vrf telecome

no sync

no auto-summary

redistribute static

redistribute connected

! ------------------

virtual-router default:telecom

aaa authentication ppp default radius

aaa accounting ppp default radius

!

ip address-pool local

interface null 0

!

interface fastEthernet 9/0

ip address 10.3.3.5 255.255.255.252

!

ip bgp-community new-format

no ip source-route

!

ip route vrf hntelecom 10.1.1.0 255.255.255.0 10.3.3.6!

至此,ERX通过直连(用户VLAN)或静态路由方式就可以将CE的用户网段与对端PE设备连接的用户网段互通起来了。

3 结束语

MPLS作为Internet下一代宽带网络核心技术,可以为ISP提供多种大规模IP宽带网络阶必需的功能,例如可预见性、扩展性、可管理性等。综上所述,通过MPLS可以建设一个先进的宽带网络,它有效地结合了L2层快速交换与L3层灵活路由的技术优势,同时确保了ISP对网络原有设备的投资,是目前有效实施网络流量工程。同时支持多种要求特定IP QoS保证的最佳解决方案。

参考文献

[1]徐军.IPSec和MPLsvPN的集成技术与远程教育网的设计.计算机工程与设计,2007;28(23):5643—5645

[2]任德玲,韦卫.基于IPSec的MPLSIPvPN的设计与实现.计算机应用研究,2006;23(3):116—118

[3] Huang Xuedong,Alejandro A,Hon Hsiaowuen.Spoken language pro-cessing.Pentice Hall,2000;13,46—48

VPN的解决方案 篇3

一、基于VPN的办公网络改建

中心目前和各直属单位间均已铺设有广电专用光纤线路, 用于业务信号的传输。各直属单位与中心在实质上已组成1个独立且遍布全省的广域网, 其中传送的数据不受电信, 网通等其他宽带运营商的影响, 具有安全性高, 数据传输快的优点。利用此网络进行办公数据的传输可完美地解决数据链路的问题。

1. 设置VLAN (虚拟局域网) 。

首先, 各直属单位的办公局域网分别设置成1个VLAN。由于涉及的直属单位数量多达几十个, 直属单位的办公局域网也就有几十个。若不分别设置VLAN, 则全部连通后容易产生广播阻塞的情况, 造成网络带宽和CPU运算能力的大量消耗, 其表现为网速缓慢, 数据传输时断时续。

2. 基于VLAN (虚拟局域网) 的办公网络建设。

从使用权限和安全方面等考虑, 普通办公用户仅限于访问单位内部办公数据, 故需要在全网设立VLAN, 将各直属单位的办公网络设备都加入VLAN中进行加密隔离。

3. 虚拟专用网 (VPN) 。

虚拟专用网络是指在公用网络上建立专用网络的技术, 它之所以称为虚拟专用网, 主要是因为整个VPN网络的任意2个节点之间的连接并没有传统专网所需的物理链路, 而是架构在公用网络服务商所提供的网络平台, 如Internet, ATM (异步传输模式) 和Frame Relay (帧中继) 等之上的逻辑网络, 用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装, 加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术, 加解密技术, 密钥管理技术和设备身份认证技术。

4. 基于VPN的办公网络改造。

网络设备提供商针对不同客户的需求, 开发出不同的VPN网络设备, 其主要由交换机, 路由器和防火墙组成。路由器式VPN部署较容易, 只要在路由器上添加VPN服务即可。交换机式VPN主要应用于连接用户较少的VPN网络。防火墙式VPN是1种最常见的VPN的实现方式, 许多厂商都提供了这种配置类型。

中心当前建设完成的专用网络中普遍采用了支持VPN的交换机。这样, 通过启用主干网络设备的VPN功能, 就可以在不增加现有设备的情况下, 将办公网封闭在1个VPN中, 实现了数据的加密和隔离。此外, 各地办公网络均是分配的私网IP地址, 可通过总控中心的因特网出口连接到因特网, 并通过防火墙进行隔离防护。

二、基于电子邮件技术的公文传送系统

1. 基于电子邮件技术的公文传送系统。

目前, 国内许多单位的内部公文传送系统都基于电子邮件平台的, 中心当前使用的是笔者于2005年搭建的基于Linux平台的电子邮件系统。用户只要用网页浏览器登录单位网址, 即可打开页面进行电子邮件的收发, 且无需安装电子邮件客户端软件。在此邮件系统中, 为本部领导, 本部各部室和各直属单位分别设立了公共邮箱, 为所有技术骨干设立了个人邮箱, 并设置了多个邮件群发组。考虑到各下属部门及单位对历史邮件的存档需求各不相同, 邮件系统并没有设置为自动删除邮件, 需各用户手动删除无用的历史邮件。

2. 基于电子邮件技术公文传送系统的不足。

相比之前电话+传真的传统办公手段, 历史公文传送系统的启用使得公文往来和信息交流的效率提高了许多。但使用至今, 也发现了公文传送系统的一些不足之处:

(1) 邮箱容量限制。在发送嵌入公文扫描图像的电子文档时, 若嵌入的公文扫描图像页面较多, 则最终生成的电子文档具有较大的信息量, 并会占用较大的电子邮箱容量。在对本部各部室和各直属单位群发此类邮件时, 容易发生个别邮箱爆满, 发送失败, 需要通知对方清理邮箱后重发等情况。

(2) 附件容量限制。公文传送系统对附件的容量也有限制, 当需要传送较大容量的影像资料时, 将无法在1封邮件中完整地发送所有的影像资料, 需分多份邮件发送, 更易发生邮箱爆满而导致发送失败。

(3) 服务器空间消耗大。在群发邮件时, 每个收信人的邮箱中都会收到邮件的1份拷贝, 造成服务器大量的空间被消耗。以单位最常用的群发各直属单位 (以50个单位计算) 为例, 群发1份2 MB容量的扫描公文, 服务器消耗2 MB×50=100 M的空间;若是群发1份200 MB影像资料, 则服务器消耗200 MB×50=10GB的空间。若要组建多磁盘阵列, 则需要更高的硬件成本和维护成本。

(4) 收信箱邮件混乱。主管部室向下属单位发文要求上报有关材料时, 数十个下属单位相继发邮件上报材料, 主管部室依次查看, 若发现不合格的材料就会要求该下属单位重发合格材料因此会造成收信箱邮件的混乱。一般收件箱按收邮件时间降序排列, 新旧材料的邮件和后续其他下属单位上报材料的邮件交错显示在列表中。而若按发信人 (各下属单位) 排序, 则要查看完数十个下属单位的最新来件, 需翻页数十次, 更容易造成混乱。

(5) 邮件无法追回。有时由于某些原因, 已群发的公文存在须修订的内容, 但已无法追回, 只能重新群发新版本的公文, 这样更加剧了用户邮箱容量的消耗, 也造成了收信人的困扰。

三、基于数据库的软件平台改进方案

近年来, 基于数据库的网络信息发布管理软件得到了不断地发展, 其广泛用于各种论坛, 微博, 博客, 新闻发布站点, 目前流行的网络办公系统的核心基础功能都以数据库为基础搭建的。此类软件基于数据库存储技术, 能灵活地管理用户信息和各种文件, 用户权限管理灵活, 支持用户组管理, 界面布局可用模版定制, 具备完整的信息审查和屏蔽功能。

1. 基于数据库的软件平台改进系统。

首先, 从基本功能逻辑上对网络信息发布系统和电子邮件系统进行了对比分析。分析显示, 网络信息发布系统可实现单位内部电子邮件系统的各项功能。基本功能分析如表1所示。

2. 建立系统功能框架。

要想建成可替代单位内部电子邮件平台的实际应用系统, 还要解决用户访问各自所需信息的用户权限分配问题。针对网络信息发布系统以版面组织内容, 向用户授权根据访问不同版面的特点, 本文, 笔者建立了具体系统功能框架模型并进行了详细的功能分析, 以验证其替代原办公电子邮件系统的可行性。具体架构及功能分析如下:系统功能主体框架和通用的网络论坛框架类似, 首页排列各用户的版面地址链接, 每个版面就相当于各用户在原邮件系统的收件箱。用户点击对应自己发送的版面地址链接, 即可进入自己的版面, 查看别人给自己发送的信息和附件, 这就相当于在原邮件系统收件箱中的查看收到的邮件。这里就涉及对每个版面的访问者的访问权限进行详细设置, 使得发布, 查看, 回复, 编辑和删除等操作权限对应于原邮件系统的相应权限。用户在发布信息时, 可通过附件功能上传系统限定了容量和类型的大容量数据文件, 若发布的信息有误, 具有权限的用户还可及时对已发布的信息 (包括附件) 进行编辑和删除。

3. 板块布局与相应功能说明。

可分别设立单独的版面用于下属单位报送请假单, 车辆外出申请单等表格, 下属单位的用户可在该版面发布相应表单, 主管部门的人员可管理其相应的版面。这就使得大量的同类表单可集中报送和受理, 解决了邮件系统的信件杂乱缺陷。同时, 根据工作需要, 可由系统管理员临时开辟项目组成员公用版面, 同一项目组的成员可在该版面中交流工作进度和解答疑问。此功能也是办公软件推广人员所推荐使用的增强功能之一。版块布局与相应功能说明如表2所示。

通过开辟单位内部公示板块, 授权者可随时发布, 修订和收回允许的信息, 但普通用户只有阅读的权限。这样就从根源上避免了电子邮件系统中垃圾邮件泛滥现象的产生。以上分析显示基于数据库的网络信息发布技术可以替代电子邮件技术成为单位内部的网络数据传输技术平台。

四、改进方案分析验证

为了验证分析结果, 本文, 笔者在1台Linux服务器上部署了1套免费的网络信息发布管理软件, 并对该软件进行针对性的代码修改, 以使其适应中心的实际使用需要。测试结果显示新系统在功能上可替代原电子邮件系统, 同时还克服了电子邮件系统的各种缺陷, 提高了空间使用率, 附件可传输超大容量文件, 信息可有序管理。

VPN的解决方案 篇4

随着企业的发展, 企业网络的规模不断扩大, GRE[1]、L2TP、IPSEC[2]这些传统的技术构建的虚拟私有网VPN暴露出它的缺点, 主要体现在两个方面。一方面随着企业网络的不断扩大, VPN隧道的建立成N平方增长, 由于这些传统VPN的隧道都是静态建立的, 对于网络维护人员来说, 任务繁重且容易出错。另一方面在这些VPN技术上对于站点间地址冲突的问题, 以及站点间互访问控制难以解决, 因此满足不了企业网络发展的需要[3，4]。

多协议标签交换[5]MPLS和边界网关协议[6]BGP构建的VPN隧道的建立是动态的, 而且通过RT ( Route Target) 技术, 可以控制不同VPN用户间的互访关系, 并可以将不同的业务规划在不同的VPN里面, 根据不同业务规划出不同的VPN, 再通过RT控制它们之间的互访。 因此, 采用MPLS和BGP构建的VPN, 越来越受电力、教育、政府等部门的青睐[7，8]。

MPLS和BGP构建的VPN, 它的组网有一个特点, 那就是网络的扁平化。在网络当中所有公网的设备没有层次之分, 不管设备性能如何, 都要承受相同的性能考验。这种扁平化的组网与层次化的企业网络设计思想是相冲突的。本文针对该技术构建的VPN扁平化和层次化网络设计思想相冲突的问题, 制定了不同的解决方案, 有效地解决了扁平化与层次化的融合问题, 扩展了该VPN技术在企业网络当中的应用[9，10]。

1 扁平化原因

要想彻底解决MPLS和BGP构建的VPN扁平化与企业层次化设计思想融合问题, 首先得找出这种技术构建的VPN产生扁平化的原因。MPLS和BGP技术构建的VPN要实现私网数据穿越公网, 需要在公网的设备上都要运行MPLS LDP ( Labe Distribution Protocol) 协议。LDP协议给Loopback地址分配标签后, 会形成与之对应的标签转发路径, 并给需要传送的私网数据建立起了一条逻辑通道。而作为公网边缘的PE ( Provider Edge) 设备, 它不但要处理公网数据, 同时也要处理私网数据, 导致这一结果通过图1 分析, 主要的原因有两个。

图 1 MPLS 和 BGP 的组网

通过图1 分析, 导致这一结果的原因之一是所有的PE设备都必须要学习网络中其它PE设备的Loopback地址路由信息, 并给这个Loopback地址建立与之相对应的LSP隧道。在MPLS和BGP技术构建的VPN网络中它的公网隧道是动态建立的, 在网络中公网设备上只要运行MPLS LDP协议, 设备之间就会动态地建立起隧道, 这是MPLS和BGP技术构建的VPN的优点。但是它的这个优点是以舍弃路由汇聚为代价的。在MPLS和BGP技术构建的VPN网络中, 当私网报文到达PE设备上时, 要通过具体的Loopback地址与之对应的转发等价类里的标签来封装私网报文。如果给这些Loopback地址配置了路由汇聚, 那么在路由表中就找不到具体的Loopback地址相对应的路由信息, 更谈不上找到转发等价类与之绑定的标签。因此, MPLS VPN网络中每个PE设备的Loopback的地址信息, 都应该在路由表中找到与之对应的路由表项, 且这个表项是没有被汇聚的表项, 否则就会导致私网报文无法成功穿透公网。

第二个原因是私网路由信息在PE设备上通告后, 对端的PE设备收到这些私网路由信息后, 不能对这些私网路由进行路由汇聚, 只要与该PE设备建立对等体关系的所有PE设备都会学习到相同数目的私网路由信息。不能给这些私网路由做路由汇聚是由于采用了BGP路由协议。在BGP路由协议中, 给私网路由打上了RT、RD ( Route Distinguisher) 及私网标签标记。对端PE设备收到私网路由时, 根据这些标记把私网路由学习到不同的VPN中, 并转发给不同的VPN用户。如果在对端PE设备上做了路由汇聚, 就会改变这些私网路由的特征, 影响数据报文的正常转发。

MPLS和BGP技术构建的VPN以上这两个特点, 决定了公网中边缘PE设备不但要处理公网报文, 还要处理私网报文, 这对设备的性能提出了要求。设备要能承受处理这两方面报文的压力。在层次化的企业网络中, 边缘设备相比汇聚、核心层的设备性能要差些。因此, MPLS和BGP技术构建的VPN与层次鲜明的层次化组网结构是相冲突的。怎么给连接用户的PE设备减轻负担, 是急需解决的一个难题。

2 基于MPLS和BGP的VPN方案设计

2. 1 初始设计

某运营商网络覆盖全省, 采用的是层次化的设计思想, 把网络分为三层, 核心层、汇聚层和接入层。核心、汇聚、接入层设备分别采用华三CR16000K、SR8800、SR6600 设备。同时, 该运营商采用MPLS和BGP技术构建的VPN为企业的分支机构以及出差员工需远程接入企业内网提供VPN服务。如图2 所示。

图 2 常见的 MPLS 和 BGP 组网

在图2 中, VPN1 和VPN2 分别表示不同的企业网络。采用MPLS和BGP技术构建的VPN有效地解决了隧道建立全连接、站点间地址冲突、站点间互访控制等问题。但随着需提供该服务的企业增多, 以及企业间数据量的增大, 使运营商连接企业的边缘设备负载越来越重。尤其是连接企业总部的边缘设备, 它成了企业数据汇聚中心点, 该边缘已不堪重负。针对运营商连接VPN1 和VPN2 总部PE设备不堪重负的问题, 通过图2 来进行分析, 发现MPLS和BGP技术构建的VPN使得公网中的设备既要处理公网报文, 同时也要处理私网报文。要给边缘的PE设备减轻负担, 只能从减少设备处理报文方面着手。

2. 2 基本优化

针对该问题, 一种优化思路是, 让性能更优越的汇聚层设备来承担处理公网和私网的报文, 接入层设备只处理私网报文。该设计思想的具体的实现如下。

( 1) 在汇聚层设备和接入层设备所连接的接口上创建逻辑子接口。

( 2) 为了让汇聚层设备和接入层设备区分不同VPN用户的数据, 在汇聚层和接入层上都建立本地VPN, 并让本地VPN分别与子接口绑定。

( 3) 在接入层和汇聚设备上启用路由协议多进程, 汇聚层设备通过BGP学习到的不同VPN用户私网路由信息, 采用多进程的形式发送给接入层设备, 接入层再通过多进程的方式发送给不同的VPN用户; 同样, 接入层设备设备采用多进程学习不同VPN用户的私网路由路由, 通过多进程技术再发送给汇聚层设备, 如图3 所示。

图 3 基本优化的 MPLS 和 BGP 组网

在图3 中, UPE1 设备成为了私网网络设备, 替代原来PE设备完成各VPN用户网络的接入任务, 与原来的PE设备相比, UPE1 无需学习公网路由, 另外全网其它的PE发布的私网路由可以在UPE1 上联的PE上进行聚合后再通过PE和UPE1 之间运行的私网路由协议发布给UPE1, 这样, UPE1 上的路由压力大大降低。同时, UPE1 设备上无需再运行MPLS和BGP, 也不需要再维护MPLS的标签交换路径, 或建立BGP邻居等, 设备功能方面的要求也得到了简化, 充分满足了层次化组网的要求。具体的实现只需要在原来的配置基础上稍做改动就可以解决UPE1 设备负载过重的问题。实施通过如图4 所示。

实验各设备接口的IP地址和子网掩码如表1 所示。

要减轻UPE1 设备的负担, 与常见配置一样, 需要完成以下配置:

(1) 在各设备接口分配IP地址, 并配置路由。

(2) 在PE1与UPE4上建立公网隧道。

(3) 在UPE1、PE1、UPE4上建立本地VPN。

(4) 在PE1、UPE4上配置BGP。

另外, 需在汇聚层设备PE1 和接入层设备UPE1 上需要增加表2 的配置, 完成汇聚层设备和接入层设备路由信息的交互。

完成上述配置后, 在总部的CE1 设备上去PING分支机构的CE3 设备得到的结果如图5 所示。

根据图5 的结果, 证明该实验设备间连接关系、公网隧道、设备互访都是正常的。实验实现了不同地域间VPN用户的通信。

通过上述方案构建的VPN和常见组网方式构建的VPN接入层设备有以下区别, 如表3 所示。

通过上述分析得出, 基本优化方案构建的VPN有如下一些优点:

( 1) 接入层设备要求简单。只要支持虚拟路由技术即可, 无需支持BGP和MPLS技术。

( 2) 接入层设备的路由等方面性能要求低。一方面接入层设备不需要学习公网路由, 也不需要维护标签转发路径, 另一方面接入层设备上联的PE设备可以将私网路由聚合后再发给接入层设备, 使接入层的私网路由有效的得到了控制。

( 3) 通过这种方式构建的VPN组网, 无需在原来的组网中增加任何新技术和设备, 改造起来很方便。

2. 3 深入优化

采用优化一构建的VPN组网存在一些缺陷, 具体表现如下。

( 1) 接入层设备和汇聚层设备需要建立多个逻辑子接口, 而只有以太网和FR接口可以创建逻辑子接口, 当接入层和汇聚层设备不是该接口时, 该技术无法实现。

( 2) 当接入层设备接入的VPN用户较多时, 汇聚层设备和接入层设备之间需要创建大量的逻辑通道, 配置维护相对繁琐。

( 3) 将接入层的PE设备改成UPE后, UPE设备转变成了私网设备, 公网上的网管将无法管理到该设备。

由于该方案存在一定的缺陷, 所以它比较适合下述的一些场景。

( 1) 连接用户的接入层PE设备不堪重负, 出现设备路由空间不足, 设备性能不够等问题时使用。

( 2) 接入层PE和汇聚层之间的接口可以创建逻辑接口, 比如说是以太网接口或FR接口。

如果企业网络当中汇聚层的设备和接入层的设备不是以太网和FR接口时, 优化一方案无法实现。因此, 期待有更好的技术来解决接入层PE设备不堪重负的问题。分层PE技术的MPLS VPN组网技术不存在上述缺点, 而且还能解决接入层PE设备不堪重负的问题。如图6 所示。

图 6 深入优化的 MPLS 和 BGP 组网

图6 和图2 一样, 公私网分界线不变, 但是通过这种MPLS和BGP构建的VPN组网可以减轻接入层UPE设备的压力。具体的实现的方法如下。

( 1) SPE1 和UPE1 设备上都运行MP-BGP动态路由协议。

(2) SPE1设备设置成UPE1设备的路由反射器。

( 3) SPE1 设备在反射路由信息给UPE1 设备时, 把下一跳属性修改成自己的Loopback地址, 同时把其它PE设备发布给它的私网路由聚合成一条缺省路由发给UPE1 设备。在SPE1和UPE1 设备上具体的配置如表4 所示。

通过上述方案构建的VPN和常见组网方式构建的VPN接入层设备有以下区别, 如表5 所示。

通过上述分析, 得出UPE1 设备上收到的私网路由只有缺省路由, 私网路由信息得到了很好的控制;另一方面收到的私网路由的下一跳是SPE1设备, 在UPE1设备上只需要维护到SPE1的MPLS隧道就可以了, 报文会在SPE上解封装, 通过重新查私网路由表再次用MPLS的标签来封装私网报文。这样, UPE1上可以不学习除SPE1设备以外的其它的公网路由, 也不需要维护其它的标签交换路径, UPE1上公网路由的压力也大大降低。该方案实现不但减轻了接入层PE设备处理公网报文的负担, 而且还减轻了处理私网报文的负担, 使MPLS和BGP技术构建的VPN应用的范围越来越广。

3 结语

网络设备不堪负载会影响到网络系统的稳定性。本文分析了接入层设备不堪负载的原因, 是MPLS和BGP构建的VPN扁平化组网特点与层次化的设计思想相冲突。针对该问题, 根据不同的企业网络环境, 制定了与之对应的解决方案, 有效地解决了MPLS和BGP扁平化组网特点与层次化的设计思想融合问题, 从而扩展了MPLS和BGP技术的应用范围, 加强了网络的稳定性。

参考文献

[1]裴郁.MPLS VPN组网研究与实现[D].上海:复旦大学, 2007:36-37.

[2]刘化君.基于IPSec的VPN技术应用与实现[J].电脑开发与应用, 2010, 23 (3) :65-67.

[3]杨彦彬, 冯久超.基于VPN技术的组网方案探讨[J].计算机科学, 2008, 35 (9) :110-112.

[4]侯剑锋, 马明凯, 李向红.MPLS VPN中动态服务质量机制的应用[J].计算机工程, 2010, 36 (3) :106-108.

[5]Matinez R, Pinart C, Cugini F, et al.Challenges and requirements for introducing impairment-awareness into the management and control planes of ASON/GMPLS WDM networks[J].IEEE Communications Magazine, 2006, 44 (12) :76-85.

[6]任金秋, 马海龙, 汪斌强.跨域BGP/MPLS VPN在高性能路由器中的实现[J].计算机工程, 2009, 35 (3) :126-129.

[7]侯剑锋, 马明.MPLS VPN中PE-CE互连仿真研究[J].计算机工程, 2010, 36 (12) :123-125.

[8]曾文龙, 王晟, 王雄.IGP/MPLS混合的IP网络不确定流量规划方法[J].计算机应用, 2011, 31 (5) :1176-1179.

[9]Rahman M A, Kabir A H, Lutfullah K A, et al.Performance analysis and the study of the behavior of MPLS protocols[C]//International Conference on Computer and Communication Engineering ICCCE, 2008:13-15.

VPN的解决方案 篇5

VPN (Virtual Private Network) , 一般译为虚拟专用网络, 或虚拟专网。VPN是一种通信环境, 在这一环境中, 存取受到控制, 目的在于只允许被确定为同一个共同体的内部同层之间实现连接, 而VPN的构建则是通过对公共通信基础设施的通信介质进行某种逻辑分割来进行的, 其中基础通信介质提供基于非排他性网络的通信服务。同时, VPN又是一种网络连接技术。VPN通过共享通信基础设施为用户提供定制的网络连接, 在共享的通信基础设施上采取隧道技术和特殊配置技术措施, 仿真点到点的连接。

IPSec是为了在IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的安全保护机制;密钥协商部分定义了如何为安全协议协商保护参数, 以及如何对通信实体的身份进行鉴别。

利用IPSec协议, 可以构造一个安全的虚拟专用网, 使一个公司的专用网可以跨越一个公网 (如互联网) , 并通过一个专用的虚拟通道来建立专用的连接。使公司可以同远程用户、公司的分部及公司的贸易伙伴通过互联网连接在一起。

2 具体方案实施

假如一个企业想利用VPN将地理上分散的几个分部连接起来, 具体方案如下:将企业根据地理位置划分成为几部分单独的网络 (Intranet) , 每一网络在intranet和互联网的边界处添加防火墙来控制所通过的业务数据, 并从ISP处获取服务将intranet连接到互联网上。利用IPSec协议, 可以构造一个安全的虚拟专用网, 使一个公司的专用网可以跨越一个公网 (如互联网) , 并通过一个专用的虚拟通道来建立专用的连接。使公司可以同远程用户、公司的分部及公司的贸易伙伴通过互联网连接在一起。

下面从访问控制、数据保密性、地址和路由信息的安全等各方面来分析此虚拟专用网方案设计中所需要解决的安全性能问题。

2.1 访问控制

该企业的防火墙将只允许本公司的业务数据通过而将从其它地方来的数据丢弃, 通过使用IPSec的验证协议可达到这一要求。IPSec的验证技术能够比传统的、非密码学的包过滤技术对于“地址假冒”攻击提供更强的保护措施。在这种情况下, 使用HMAC函数的IPSec验证可以作为第一道防线, 而包过滤技术可以作为第二道防线来进行更加详细的访问控制[1]。

2.2 数据保密性

当企业的数据在互联网上传输时, 企业当然希望数据是以加密形式传输。但在企业内部网中传输时, 数据可能是明文方式, 也可能是密文方式。因此有两种情形, 对于不同的情形可以采取不同的设计方案。

(1) 若企业认为其内部网是安全的, 则可仅在两个网络的防火墙之间进行数据的加密和验证, 而在各自的内部网中数据是以明文方式传输的。这样处理的优点是可以大大减少对安全关联的管理工作, 缺点是易受到企业内部人员的攻击。在这种情形下, 在两个防火墙之间可以使用ESP协议的隧道模式;

(2) 企业希望数据能够抵抗来自互联网和内部网的攻击, 因此数据将在两个通信主机之间的整个路径中进行加密传输。此时, 在源主机和目的主机之间使用ESP协议的传输模式。有时, 企业某台服务器上的一些数据库仅允许某些特定的人员访问, 需要采取身份验证机制, 因此必须使用ESP协议的传输模式的验证功能。因为使用了端到端的加密, 所以不需要在防火墙之间使用加密机制, 但是防火墙之间的验证机制还是必需的, 以确保虚拟专用网能拒绝其它公司的数据进入企业内部网。因此在防火墙之间使用AH协议的隧道模式[2]。

因为在两个终点之间使用ESP协议而在防火墙之间使用AH协议, 因此在这里需要使用安全关联的嵌套:

(1) 在源主机和目的主机之间需要一个安全关联支持端到端的加密和验证;

(2) 在防火墙之间需要一个安全关联支持防火墙到防火墙的验证;

(3) 端到端的安全关联嵌套在防火墙到防火墙安全关联中[3]。

2.3 IP地址的使用问题

对于企业内部网络的IP地址来说有两种情况。一种情况是使用全球唯一的地址, 从网络信息中心 (NIC) 获取, 在虚拟专用网的环境下它可以不需任何修改继续使用, 当数据报在互联网中传输时, 如果想保持其IP地址的秘密性, 可以在防火墙中使用ESP协议的隧道模式;另一种情况是使用内部专用的IP地址, 其可能与公开分配的IP地址相冲突。当网络不与公网相连时, 可以继续使用其地址, 但若要与公网相连则必须在连接点处指定一个全球唯一的IP地址。在这两种情况下, 都可以在防火墙之间使用ESP的隧道模式来解决问题。ESP隧道模式的“新IP头”中将使用两个防火墙的全球唯一的IP地址, 从而可以使数据报在两个防火墙之间的互联网上传输。原始IP数据报中使用的IP地址由于被ESP协议进行加密保护从而对外界是不可见的, 因而两种情况的IP地址都可以使用[4]。

2.4 路由信息的安全问题

虚拟专用网实际上是一个网络, 因此需要在企业内部网边界的网关机器上使用IP路由协议。路由协议将通过交换信息来描述虚拟专用网的拓扑结构, 而拓扑结构的更新描述了参与虚拟专用网的各个内部网的可到达的IP地址。IPSec协议可以对路由信息进行加密和验证, 从而使路由信息在公用互联网中交换时能够隐藏企业内部网的拓扑结构的细节。我们可以在防火墙内使用传统的IP路由协议而在防火墙之间使用IPSec的ESP协议对信息进行加密和验证。见图1给出了有关构造简图, 图中包括一个企业的三个分支机构, 它们之间需要通过互联网进行通信[5]。

当在两个防火墙之间建立起IPSec通道时, 尽管实际的物理通路经过了几个路由器, 但运行上如同相互邻接一般。每一对虚拟相邻的防火墙 (路由器) 之间将建立起安全关联, 并使用ESP协议隧道模式来提供加密和验证服务。通过加密可以使路由信息对外界不可见。由于所有防火墙都使用相同的路由协议, 它们知道到达内部网中的某一特定主机所需使用的正确的防火墙 (路由器) 。到达出口防火墙的数据通过ESP通道进行发送并选用验证选项, 当它到达目的分部的入口防火墙时防火墙可以对它进行验证。

3 设计原则

此方案的设计主要是遵循下面几个原则:

若认为内部网是可信和安全的, 则内部主机不需要支持IPSec协议, 只需在内部网边界防火墙中增加对IPSec协议的支持。而对于网络内部和主干互联网的路由器、网桥和网关等设备不需要任何有关安全的协议。

在每个分部边界的防火墙需要执行基本的防火墙功能 (比如包过滤) 并支持IPSec协议。使IPSec能够在防火墙之间建立安全的、经过验证的通道。传输数据必须加密和验证, 任何没有通过防火墙验证的数据将被拒绝进入内部网。验证功能是基于密码学的, 使用IPSec的ESP协议的验证选项。

若方案中所包含的防火墙的数量很少, 则密钥的分发和安全关联的操作可以使用手工方式, 当包含的分部较多时, 则需要使用ISAKMP/Oakley协议进行密钥的自动管理。安全关联在防火墙之间建立, 由于源和目的主机不需要支持IPSec, 因此在主机之间不需要建立安全关联, 也不需要进行密钥分配。若对于主机到主机的通信有更高的安全性要求, 则客户机和服务器需要支持IPSec协议[6]。

包过滤功能可以安装在防火墙中用来控制进入内部网的数据, 在数据通过IPSec协议的验证工作之后它可以作为第二层防御措施。如果使用了端到端的IPSec, 则需要新的包过滤规则来识别IPSec的AH头或ESP头[7]。

4 结束语

这种解决方案替代了传统的专用或租用线路而使用互联网作为主干网将企业的各个分部相连。如果认为企业内部网是安全的而不需要防止来自内部的攻击, 则此方案对于内部的主机不需要做任何的改动。

参考文献

[1]Casey Wilson, Peter Doak.虚拟专用网的创建与实现[M].北京:机械工业出版社, 2000:90-95.

[2]Naganand Doraswamy, Dan Harkins.IPSec—新一代的网络安全标准[M].北京:机械工业出版社, 2000:53-65.

[3]William Stallings.网络安全要素—应用与标准[M].北京:人民邮电出版社, 2000:138-143.

[4]R.Atkinson.Security Architecture for IP.RFC2401.1998:34-36.

[5]R.Atkinson.IP Authentication Header.RFC2402.1998:45-47.

[6]Steven M.bellovin.Problem Area for the IP Security Protocols.1989:78-80.

VPN的解决方案 篇6

随着公司规模扩大, 合作伙伴增多, 传统的专线连接方式, 已难以适应跨区域公司的需求。虚拟专用网 (VPN) 可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输, 从而赢得了越来越多的公司的青睐。

目前VPN技术主要分为两类: (1) 以安全隧道技术为核心的IPSec VPN; (2) 基于多协议标签交换的MPLS VPN。网络层隧道协议IPSec提供了一种标准的、可靠的、可扩充的安全机制, 用于在网络层提供数据源验证、面向无连接的数据完整性、内容机密性、抗重发攻击等安全服务。由网络厂商提供VPN技术和解决方案;MPLS技术采用集成模型, 将IP技术与下层技术结合在一起, 兼具了高速交换、QoS性能、流量控制以及可扩展等特性。由电信运营商提供VPN服务。

1 MPLS VPN和IPSec VPN比较

MPLS和IPSec VPN具有各自的优点, 对于跨区域公司的网络连接, 两种方案都成立, 在实施时应仔细分析两种方案的优缺点, 选择最适合的。用下面的参数综合比较MPLS和IPSec VPN两种方案。

(1) 数据机密性。IPSec VPN通过强大的加密算法来保障数据的机密性, MPLS通过在提供商物理站点间定义一条惟一的数据通道来加强数据的机密性, 这可以禁止攻击者非法获得数据拷贝, 除非他们在提供商的网络上放置镜像器。尽管MPLS使数据被窃取的机会最小化, 但IPSec通过加密可以提供更好的数据机密性。

(2) 数据完整性。IPSec使用散列算法来保证数据的完整性, 对于MPLS VPN来说, 没有什么根本的方法来保障数据的完整性, 然而, 通过地址空间隔离和路由信息, 防止不熟练的攻击者对数据的添加、删改还是有一定的效果的。

(3) 数据有效性。IPSec基于Internet进行数据传输, 尽管攻击者不能读取数据, 但攻击者可以通过在Internet路由表中加入错误路由来旁路数据。MPLS VPN基于LSP来传输数据, 因LSP仅有本地意义, 欺骗攻击很难实现。BGP用于在VPN中传递路由信息, 然而, BGP扩展共同体属性使错误路由的引入相当困难, 因此, 从这点上说, MPLS能够提供更好的数据有效性。

(4) Internet接入。大多数IPSec VPN基于Internet传输数据, 因此, 大多数IPSec VPN体系结构允许VPN接入到所连的站点。在MPLS体系结构中却很难实现这一点, 在MPLS VPN接入Internet方案中, 通常选择分离的Internet连接来保障整个VPN的安全性。

(5) 远程接入。尽管很多提供商支持远程接入, 但对MPLS VPN来说并不是本来这样, 并且, 他们要么要求远程接入的用户在相同的提供商网络中, 要么提供商必须实施相同级别的MPLS VPN。从这一点来看, IPSec在提供远程接入方面有优越性。IPSec工作于网络层, 对终端站点间所有传输数据进行保护, 而不管是哪类网络应用。它在事实上将远程客户端“置于”公司内部网, 使远程客户端拥有内部网用户一样的权限和操作功能。

(6) 可扩展性。IPSec支持多点的网格化的隧道远程连接。在这个全网格化的隧道中, 任何一点都可以连接任何一点。这个技术有效的建立了公司总部和各分部的连接。全网状的IPSec VPN有如下特点:

(1) 强大和简单的设计/配置程序用来增加新的网点。

(2) 减少WAN成本, 提高WAN的灵活性:利用互联网传输, IPSec VPN削减了经常性费用。相比传统的WAN技术包括帧中继, IPSec VPN可以很容易地和迅速扩展到新的地点和“外部”的商业伙伴。

(3) 全网状的IPSec VPN要求所有的网点必须有静态IP地址。当添加一个新的网点时, 其他所有路由器必须重新配置。

MPLS由提供商配置, 能够实现全网状的网络结构。MPLS VPN还允许网络管理者利用MPLS的特性如QoS。MPLS VPN可以方便地实施流量控制, 同时具有很强可管理性, 能够提供更好的数据有效性, 但在安全性和远程接入上有很大的缺陷。尤其是在跨国公司的VPN方案中, 很难实现。IP Sec VPN能够保障更好的数据机密性和完整性, 能提供更好的远程接入, 但保证QoS和实施流量工程比较困难。

2 对于跨区域公司具有更好的优势

综合考虑这两种技术的实际应用, 对于跨区域公司部署VPN, 应该首选IPSec方案。鉴于IPSec在IP层对数据进行加密, 有着强大的安全性, 它可以对终端站点间所有的传输数据进行保护, 而不管是哪类业务应用。利用IPSec都能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道, 这对于跨区域公司是尤为重要的。此外还有几点优势决定了选择IPSec VPN方案的原因:

(1) 经济。不再承担昂贵的固定线路的租费。Internet的接入费用则只承担本地的接入费用, 无论分支多远, 费用却是一样。连接长途分支时, 采用Internet作为传输骨干是非常便宜的。

(2) 多业务。数据业务、IP话音和视频也可传送到远端分支和移动用户, 为公司现代化办公提供便利条件, 节省大量长途话费。

(3) 冗余设计。VPN设备可提供冗余机制, 保证链路和设备的可靠性。在中心节点VPN核心设备提供冗余CPU、冗余电源的硬件冗余设计。而在链路发生故障时, VPN交换机支持静态隧道故障恢复功能, 其安全IP服务网关可以在多条路由选择路径以及多个交换机之间实现负载均衡。此外在连接时, VPN客户端会自动选择通讯列表中设置的本区域的骨干节点, 当本区域节点故障时, 自动按列表上的设置选择连接其他VPN交换机, 从而达到连接的目的。

(4) 通道分离。VPN交换机的分离通道特性为IPSec客户端提供同时对Internet、Extranet和本地网络访问的支持。该技术可以设置权限, 允许用户的访问权限, 如允许本地打印和文件共享访问, 允许直接Internet访问和允许安全外网访问, 该特性使用户在安全条件下合理方便地使用网络资源, 既有安全性又有灵活性。

(5) 动、静态路由。众多的用户和复杂的路由需要路由协议的支持使得整个网络的地址管理方便有效, RIP和OSPF协议使得VPN设备之间像路由器一样连接和扩展, 适合网络规模的不断扩大。并且动态路由协议可在加密隧道中支持。

3 方案设计

在公司不同分公司两端的防火墙上, 都配置一个VPN服务器。如此的话, 两个网络就可以利用VPN技术在互联网上开辟一条局域网专用通道, 把各分公司之间的网络进行连接。

现假设上海设有公司总部, 放置内部数据库服务器, 供公司各分支机构访问。在北京和深圳有两个分公司, 用以提供各子公司和合作伙伴的信息查询。

网络物理拓扑图如下:

在上海公司总部使用一台相对高端的vpn设备作为公司的内部网的防火墙, 利用内带的VPN网关功能, 为全公司提供VPN接入功能。各区域分公司根据其下属子公司和合作伙伴的多少, 选用vpn接入端设备作为公司防火墙和区域VPN节点。各下属子公司、合作伙伴以及公司移动用户PC作为VPN用户按需连接上海总公司VPN节点或各区域分公司VPN节点。VPN连接后, 达到的网络逻辑拓扑如下:

IPSec VPN在部署时一般放置在网络网关处, 如果增添新的设备, 往往要改变网络结构。对于很多IPSec VPN用户来说, IPSec VPN的解决方案存在如下事实:在部署和使用软硬件客户端的时候, 需要大量的评价、部署、培训、升级和支持。因而需要考虑网络的拓扑结构, 在利用VPN技术实现公司之间网络对接的话, 要注意以下几个问题:

(1) 涉及具体带宽的问题。VPN技术虽然可以提供比较高的网络访问性能, 但仍然受到公司带宽申请的限制。所以, 网络管理员在部署VPN应用的时候, 要注意分析未来可能产生的带宽与访问数量。在利用VPN技术实现分支公司网络对接的时候, 有必要收集一下用户的需求, 如会不会有视频会议的需求;会不会在总公司的网络上放置一些视频培训内容, 让下面各个子公司进行访问;如会不会在总公司部署文件服务器或者ERP服务器, 让下面的各个分公司使用等等。这些应用都会产生很大的数据流量。所以, 若现在或者将来可能会采取这些应用的话, 则公司在带宽的申请或者VPN设备的购置时, 都要有这个预算。不然, 等到需要时, 再进行网络的升级, 很可能会产生重复投资的浪费。

(2) 访问权限的设置与管理。利用虚拟局域专用网络VPN进行公司之间网络的对接的时候, 我们的设想是要最大限度的让用户感受不到VPN的存在。当然, 要实现这个目标, 就需要在不同公司的VPN服务器进行统一的管理, 并对访问权限进行合理的配置;要对各个公司的用户账户与密码进行统一的规划。

对于拥有许多员工的跨区域公司, 确定了IPSec VPN方案后, 选择思科的PIX防火墙作为VPN设备。PIX是一种非常优秀的防火墙, VPN功能非常强大。

上海VPN网关安装部署:

这里使用PIX 525-UR。它是世界领先的Cisco Secure PIX防火墙系列的组成部分, 它所提供的完全防火墙保护以及IPSec VPN能力特别适合于保护公司总部的边界。PIX 525实现了在Internet或所有IP网络上的安全保密通信。它集成了VPN的主要功能:隧道、数据加密、安全性和防火墙, 能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个VPN层, 为用户提供完整的IPSec标准实施方法, 其中IPSec保证了保密性、完整性和认证能力。对于安全数据加密, Cisco的IPSec实现方法全部支持56位数据加密标准 (DES) 和168位三重DES算法以及AES算法。

总部服务器需要配置当分部VPN拨进来所用的内网IP。

北京、深圳VPN网关安装部署:

分部都是用PIX 515E-UR, 针对中小型公司和公司远程办公机构而设计, 这款防火墙比起525来, 性价比较高, 功能方面略逊于525, 在分部用, 已经非常够用了, 安装方式还是相对简单, 只要把地址指向总部的VPN设备即可。

摘要：本文从虚拟专用网 (VPN) 的两种主流技术IPSecVPN和MPLSVPN出发, 对比分析了IPSecVPN在分支公司的网络构建优势, 并提出了一个安全的IPSecVPN方案。

关键词：虚拟专用网,IP安全协议,多协议标签交换

参考文献

[1]俞鹏.基于IPSec的VPN技术[J].中国新通信.2007.

[2]王双勇, 陈善学.传统VPN与MPLS VPN对VPN网络可扩展性的比较[J].信息技术.2005.

[3]任德玲等. 基于IPSec 的MPLS IP VPN 的设计与实现[J].计算机应用研究.2006.

新荷沿线车间VPN接入方案 篇7

1.1 改造背景

新荷线电气化项目实施后,信号干扰严重,造成新荷线所有车间拨号上网困难,经常出现无法正常拨号,拨号后速率低,严重影响到了沿线车间接收新乡桥工段总段发文件、上报作业生产任务、计划等日常工作。所以急需对沿线车间拨号网络进行改造。

1.2 网络现状

目前新乡桥工段中心点自有服务器,中心点服务器类型为1台Web+邮件服务器,2台程序服务器,自有交换机。计划光纤接入其机关办公网。桥工段中心点下接沿线13个车间。13个车间使用铁通的ADSL线路。13个车间需要访问中心点的服务器,通过INTERNET网络访问到段中心机房服务器上的Web服务、Email、FTP等现有网络服务,进行日常网络办公。

1.3 相关技术

1)此次桥工段改造的主要目的是为了让各沿线车间通过访问新乡桥工段中心点的服务器从而进行公文的互传,上网信息的安全性非常重要。而VPN技术采用的是最安全的IPSec协议,通过该协议传输数据是经过严格加密的(APN数据硬件加密达168位),根本是不可能破解,这样数据在网络上传输的时候即使被黑客查看到也是乱码,而且VPN可以保证数据的完整性,就算黑客查看到也不可能进行修改。所以决定采用VPN技术解决车间上网困难的现象;

2)VPN也叫虚拟专用网,即通过因特网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。所谓隧道就是一种封装技术,而IPSec隧道协议允许对IP数据进行加密,然后封装在IP包头中通过INTERNET发送,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

2 接入方案

2.1 方案说明

1)新乡桥工段中心点采用MON166APN设备。由于中心点的数据传输对稳定性要求极高,特别是在工作传输数据的高峰时期,因此网络必须是更大的带宽和更高的稳定性。所以我们建议在中心点使用MOON166设备,能充分的保证段部网络的稳定性。MOON166提供作为智能接入终端的所有功能,如高性能的防火墙,带宽管理,流量监控,snmp agent等;

2)13个沿线车间采用STAR16APN设备。各车间的数据流量同样很重要,STAR-16都具有高性能的VPN接入设备提供作为智能接入终端的所有功能,如高性能的防火墙,带宽管理,流量监控,snmp agent等;

3)中心点MON166的外网接口(即WAN口)和铁通机房的核心交换机互联,内网接口(即LAN口)和桥工段中心点的交换机互联。各车间的STAR16设备WAN口均为PPPOE拨号连接,LAN口和车间的PC互联。只要让STAR16和MON166设备连入公用网络即可自动发现并建立隧道。

2.2 方案拓扑图

方案拓扑如图2所示。

2.3 数据准备

1)由于APN设备采用VPN技术,因此每个APN设备需要一个许可证号,从而和中心节点建立隧道连接;

2)MON166的广域网IP为铁通网络地址,局域网IP跟桥工段中心点的服务器在一个网段即可;

3)需对13个STAR16的局域网IP进行统一地址分配和规划。

2.4 具体接入方案如下

1)中心点:采用敷设10M光纤通道,接入MOON166设备实现;

2)用户端:在铁通有网络接口的位置实现直接ADSL接入,单点增加STAR-16设备1台,多点距离不超100m采用交换机(多口)接入。

3 结论

本文分析了桥工段目前的网络现状,并根据其安全性的要求,选择了用VPN技术来实现网络改造。改造后各沿线车间和段之间的公文传递和内部数据传递更加安全和稳定。

参考文献

[1]局域网组建和维护教程.北京:中国铁道出版社.

[2]Naganand Doraswamy,Dan Harkins.IPSec-新一代因特网安全标准[M].北京:机械工业出版社,2000.