VPN技术与应用论文

VPN技术与应用论文（精选10篇）

VPN技术与应用论文 篇1

1. 前言

随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸显传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。利用Internet组建私有使用网,将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。

2. VPN概述

VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密通道”中进行安全传输的技术。通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联,支持用户安全管理,能够进行网络监控、故障诊断,具有省钱、选择灵活、速度快、安全性好、实现投资的保护等优点。

3. VPN技术原理

(1)VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全通信。

(2)VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。

(3)对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。

(4)VPN设备加上新的数据包头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。

(5)VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。

(6)当数据包到达目标VPN设备时,数据包被解封装,数据包被解封装,数字签名被核对无误后,数据包被解密。

如图1所示:

4. VPN的安全性特征

(1)隧道与加密:隧道能实现多协议封装,增加VPN应用的灵活性,可以在IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密要采用IPSEC及IKE,则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。

(2)数据验证:在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。

(3)用户验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。

(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访问记录。

5. VPN的分类

5.1 按VPN的协议分类

VPN的隧道协议主要有4种:PPTP,L2TP,GRE和IPSec,其中PPTP和L2TP协议工作在模型的第二层,又称为二层隧道协议;GRE、IPSec是第三层隧道协议,也是最常见的协议。这些协议都是在隧道起点对原始报文进行封装然后在隧道终点进行解封装再得到原始报文,从而达到隧道传输的目的。如图2:

5.2 按VPN的应用分类

(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。

(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。

(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

5.3 按所用的设备类型进行分类

网络设备提供商针对不同客户的需求,开发出不同的设备,主要为交换机、路由器和防火墙。

(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可。

(2)交换机式VPN:主要应用于连接用户较少的VPN网络。

(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。

6. 实际应用

一些大型集团公司,其子公司比较分散。如何将各个子公司的局域网联网,一直是难以解决的问题。自从有了VPN,这些问题迎刃而解。这些集团公司的VPN主要采用Access VPN、Intranet VPN,下面通过2个案例介绍这2种VPN连接方法和配置实例(以H3C MSR3016为例)。图3所示的是一个标准的VPN网络结构示意图,体现集团用户对VPN应用的两个类型需求:(1)接入Internet,主机能够与局域网内主机相互访问;(2)在不同的异地局域网内的主机能够相互访问;

6.1 Access VPN建立和配置

随着当前集团公司移动办公的日益增多,远程用户需要及时地访问Intranet。对于出差流动员工、远程办公人员和远程小办公室,Access VPN通过公用网络与企业的Intranet建立私有的网络连接,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。这种方式减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络在Access VPN的应用中;实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用;具有极大的可扩展性,简便地对加入网络的新用户进行调度;提高远端验证拨入用户服务(RADIUS)和基于策略功能的安全服务;将工作重心从管理和保留运作拨号网络转到公司的核心业务上来。

Access VPN的结构有两种类型:一种是用户发起(Client-initiated)的VPN连接;另一种是接入服务器发起(NAS-initiated)的VPN连接。在这里,主要介绍第一种连接,采用二层隧道协议L2TP,PC作为LAC(L2TP访问集中器)拨入LNS(L2TP网络服务器)路由器。如图4:

配置内容:

重要语句做了说明,基于安全保密,部分IP地址隐去。

6.2 Intranet VPN建立和配置

Intranet VPN通过公用网络进行企业各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。这种方式减少WAN带宽的费用;能使用灵活的拓扑结构,包括全网络连接;新的站点能更快、更容易地被连接;通过设备供应商WAN的连接冗余,可以延长网络的可用时间。在这里,主要介绍采用三层隧道协议GRE,两台路由器通过公网用GRE实现私网互通。如图5所示:

集团公司:

子公司:

7. 前景

VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,而且,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN提高了整个企业网的互联性,良好的扩展性使得企业更好、更快地适应Internet经济的发展,把握商机;另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。随着企业的发展以及移动用户的增多,企业为分支机构提供互连,也为移动用户提供接入功能。预测在今后将有90%以上的企业采用VPN技术来组建在我国的大中型私有网。

VPN技术及其在企业中的应用 篇2

关键词：VPN技术；隧道技术；安全技术

中图分类号：TP309.2 文献标识码：A文章编号：1007-9599 (2011) 08-0000-01

The Application of VPN Technology in Enterprise

Wang Hengxiang

(Tietong,Fujian Branch,Fuzhou350003,China)

Abstract:The typical application of VPN technology has made the detailed analysis and discussion.

Keywords:VPN technology;Channel technology;Safety technology

当前以Internet为标志的信息技术革命，正以惊人的速度改变着人们的生产、工作、学习和生活方式，全球信息化建设都处于一个高速发展的阶段，信息孤岛和信息共享安全已成为企业信息化建设过程中两个比较突出的问题。实现企业集团不同地点网络的互联有两种选择：一是组建传统的企业专用网络，二是组建VPN网络。前者需要采购相应的网络设备，租用或自建传输线路，进行网络的规划和建设以及网络建成后的维护和管理，成本高昂，通常适合于实力雄厚的大型企业集团；而对于中小企业来说，这高昂的成本开销是难以接受的，于是伴随着降低建网成本的市场需求，加之国内的IP资源有限的现状，企业的另一种选择-基于动态IP的VPN技术-悄然登场了，利用VPN组网成了企业网络建设性价比最高的解决方案。

一、VPN技术简介

VPN（虚拟专用网络，Virtual Private Network）是一种利用公共网络来构建的专用网络技术，“虚拟”这一概念是相对传统私有网络的构建方式而言的，VPN是用公共网络来实现远程的广域连接，通过它企业可以以更低的成本连接远程分支机构；或者在公共的骨干网络上承载不同的专用网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。简单地说VPN就是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，CPE-based VPN主要包含两种技术：隧道技术与安全技术。

（一）隧道技术

隧道技术的基本过程是在源局域网与公网的接口处将数据（可以是ISO七层模型中的数据链路层或网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。

（二）安全技术

VPN是在不安全的Internet中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。

1.认证技术。认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。

2.加密技术。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法，如DES、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。

3.密钥交换和管理。VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。

二、VPN在企业中的应用

VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。

（一）Access VPN（远程访问VPN）

客户端到网关。VPN允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。远程用户拨号接入到本地的ISP，它适用于流动人员远程办公，可大大降低电话费。SOCKSv5协议比较适合这类连接。

（二）Intranet VPN（企业内部VPN）

网关到网关。它适用于公司两个异地机构的局域网互连，在Internet上组建世界范围内的企业网。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接，因此，在这类组网方式中用得最多。

（三）Extranet VPN（扩展的企业内部VPN）

与合作伙伴企业网构成Extranet。由于不同公司的网络相互通信，所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接，选择IPSec协议是明智之举。使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。VPN可以实现不同网络的组件和资源之间的相互连接，能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。对中小企业来说，VPN是实现自建专网向利用运营商网络方向发展的重要技术，通过部署VPN，利用地理范围覆盖广阔，骨干网络带宽很高的运营商网络可以提供满足企业网络互连的需求，企业因此省去建设费用高昂的专有网络。对于建设了专用网络的大企业集团，利用MPLS VPN可以实现数据、语音、视频的多业务承载和、不同业务系统之间的隔离。MPLS VPN在保证不同业务的QOS和业务系统的安全隔离方面具有天然的优势。VPN组网应是企业信息化网络建设中性价比最高的解决方案。

参考文献：

[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002,9

VPN虚拟专网技术与应用 篇3

虚拟专网 (VPN-Virtual Private Network) 是在公用网络上开辟专用网络的技术。它公用网络服务商所提供的网络平台上建立逻辑虚拟链路, 数据在逻辑虚拟链路中传输。“虚拟”这一概念是相对传统私有网络的构建方式而言的, 对于广域网而言, 传统组网方式通过远程拨号连接, 而VPN利用服务商所提供的公共网络Internet实现远程广域连接。通过VPN技术, 企业可以以更低成本连接远程办事机构, 技能减少铺设网络的成本, 又能保证数据传输的安全性, 参见下图:

二、VPN实现过程和安全技术

VPN系统一般采用建立在网络协议堆栈上的应用层VPN技术, 实现密钥管理、协商、数据加密、解密, 而不必修改其它层应用程序, 就像开辟了一层隧道。所有数据包必须经过该安全隧道过滤。客户机向VPN服务器发出连接请求, VPN服务器响应请求并向客户机发出身份验证查询, 客户机加密回应信息发送至VPN服务器, VPN服务器根据用户数据库验证用户合法性和访问权限, 通过验证后, VPN服务器接受此连接。VPN安全技术可有效地避免安全隐患, 保障数据安全, 主要安全技术包含下以几种:

1、基于PKI公钥加密体系

PKI公钥加密体系是一个包含数字证书、证书管理和目录服务的安全技术, 它采用标准x.509证书, 将用户真实身份和自己生成公共密钥绑定, 用以准确地判明用户身份。

2、身份验证和数据加密

用户访问VPN时, 客户端要对用户进行双重身份验证, 即用户所持有的数字证书和该证书的密码。双向验证通过后, VPN服务器产生会话密钥分发给用户数据通过会话密钥进行加密。会话密钥在传递过程中通过非对称加密算法完成, 如1024位的RSA算法。由于数据通过互联网进行传输, VPN必须通过高强度加密算法对数据加密, 并保证数据的完整性。VPN虚拟专网提供128位以上的对称加密, 非对称密码算法使用1024位以上, 通过一次一密体制, 数据安全性极高。对于数据的完整性, VPN虚拟专网采用MD5数据摘要算法保护数据传输的完整性。

3、数据完整性

完VPN要对传输数据进行认证, 确保数据的完整性没有失真。VPN系统对传输的数据进行Hash摘要并对结果进行加密, 有效地保证数据的完整性, 防止被它人篡改。

4、访问权限控制

VPN访问权限控制技术采用访问权限列表ACL形式, 管理员为每个VPN用户分配不同的访问特权, ACL通过用户身份特征为基础, 可以有效防止非法人员窃取数据。

三、无限通信与VPN技术的结合

VPN发展将会与无线通信发展。GPRS无线数据应用解决方案利用远程访问型IPSec VPN虚拟专网安全技术, 在移动数据公网平台上构建数据中心与分散各地的远程业务点的企业虚拟专网, 可保证远程业务点与网络中心服务器的安全连接。无线移动IP与VPN技术相结合, 可以利用VPN技术在移动数据公网上建立企业内部虚拟专网, 保证无线接入和组网的可靠性和安全性。

四、VPN的应用

VPN通过隧道 (Tunnel) 或虚电路 (Virtual Circuit) 实现网络互联支持用户安全管理能够进行网络监控、故障诊断VPN的优势

建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络, 并对网络进行相关配置, 可以降低建网投资由于VPN是利用公用网络为基础而建立的虚拟专网, 因而可以避免建设传统专用网络所需的高额软硬件投资节约使用成本用户采用VPN组网, 可以大大节约链路租用费及网络维护费用, 从而减少企业的运营成本网络安全可靠实现VPN主要采用国际标准的网络安全技术, 通过在公用网络上建立逻辑隧道及网络层的加密, 避免网络数据被修改和盗用, 保证了用户数据的安全性及完整性简化用户对网络的维护及管理工作大量的网络管理及维护工作由公用网络服务提供商来完成

摘要：为保证信息网络传输时的安全性, 减少重复网络投资&负担, 提出了VPN虚拟专用网技术。他在公用网络上建立专用网络的技术, 数据像通过隧道一样从发送端抵达接受端, 保证数据的安全性。本文主要讲述VPN技术产生的背景和实现过程, 详细分析起所采用的安全技术, 最后对其应用进行总结。

参考文献

[1]赵玮、朱来昌、荆肖军、栾彩霞:《浅谈VPN虚拟专网技术及其应用》, 《山西气象》, vol.03, 2005。

[2]刁兴春:《虚拟专网技术及其应用》, 《计算机工程》, vol.12, 2001。

[3]文静华:《虚拟专网VPN技术机制研究与分析》, 《中国有线电视》, vol.16, 2004。

VPN技术与应用论文 篇4

前言

随着我国高等教育体制改革的进一步深化，高校办学规模不断扩大，多校区办学已是普遍的发展状况。由于校区之间地域上的隔离，财务处的财务管理系统和学生收费管理系统等业务处理平台都没有统一的数据服务器，造成数据不能实时同步，教职工差旅费报销、学生缴费等都受校区的限制，给日常财务管理工作带来了极大的不便，亟需进一步加强财务信息化建设，通过技术手段解决多校区办学模式下的财务系统数据同步问题，实现统一、有效地进行异地财务的管理，保证异地财务数据的安全和可靠传输。

笔者通过对虚拟专用网（Virtual Private Network,VPN）相关技术的研究，结合多校区办学模式下大部分高校的实际情况，提出了将VPN技术应用于高校财务信息化建设的方案。

一、VPN技术

VPN（Virtual Private Network）即虚拟专用网，被定义为通过一个私有的通道在公用网络(通常是因特网)上建立一个安全的连接，是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展，它利用开放的公用网络进行信息传输，通过安全隧道、用户认证和访问控制等技术帮助远程用户、分支机构、商业伙伴及供应商同企业的内部网建立可信的安全连接，并保证数据的安全传输。

（一）安全隧道技术

由于Internet网络中IP地址资源的短缺，企业内部大多使用私有IP地址，从这些地址发出的数据包是不能直接通过Internet传输的，必须通过网络地址转换为合法IP地址。常见转换方法如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，通常情况下VPN采用的是数据包封装（隧道）技术。使用隧道传递的数据可以是不同协议的数据包，隧道协议将这些数据包重新封装在新的包头中发送，新的数据包头提供了路由信息，从而使封装的数据能通过Internet网络进行传输。

（二）用户认证技术

如果数据包不经过加密就通过不安全的Internet，即使已经建立了用户认证，VPN也不完全是安全的。为保护数据在网络传输上的安全性，需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。加密算法中强度比较高，可用于保护敏感的财务信息的是IPSec的DES和3DES。

除加密和解密外，VPN需要核实信息来源的真实性，确认信息发送方的身份，防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现，或者通过“电子证书”或“数字证书”来完成，即证书和密钥。它包含加密参数，可唯一地用作验证用户或系统身份的工具，提供高级别的网络信息安全传输。

（三）访问控制技术

访问控制技术即传统的防火墙功能，一个完善的VPN应同时提供完善的网络访问控制功能，由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，通过对访问策略的控制实现用户的细粒度访问控制，以最大限度地保护信息资源。

财务信息的安全历来备受人们重视，安全就是受到控制的访问。因此，实施安全就是访问控制的过程，密码和防火墙可帮助我们实现对信息读取、写入权限的访问控制。

（四）隧道协议

1. PPTP（PointtoPoint Tunneling

Protocol,点对点隧道协议）是由PPTP论坛开发的点到点的安全隧道协议，是PPP的扩展，它增加了一个新的安全级别，支持通过公用网络建立按需的、多协议的虚拟专用网络。通过启用PPTP的VPN传输数据如同在企业的一个局域网内那样安全。此外还可以使用PPTP建立专用LAN到LAN的网络。

2. SSL（Secure Sockets Layer,安全套接字层协议）是Netscape公司提出的基于Web应用的安全协议，SSL是一种在Web服务协议（HTTP）和TCP/IP之间提供数据连接安全性的协议，为TCP/IP连接提供数据加密、服务器认证、可选的客户机认证和消息完整性验证，SSL被视为Internet上Web浏览器和服务器的安全标准。

3. IPSec（IP Security,IP安全协议）是一组应用广泛、开放的协议总称，它对应用于IP层的网络数据，提供一套安全的体系结构，包括网络安全协议AH和ESP、密匙交换协议IKE和用于网络验证及加密的算法等，其中两个使用最普遍的AH标准是MD5和SHA-1，MD5使用最高到128位的密钥，而SHA-1通过最高达160位密钥提供更强的保护，ESP标准是数据加密标准（DES），DES最高支持56位密钥，IPSec同时还支持3DES，因此其密码算法具有很高的安全性。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥，向上提供访问控制、数据源验证、数据加密等网络安全服务。

（五）VPN通信方式和连接方式

在VPN通信中，主要有两种VPN通信方式：远程访问VPN(Access VPN )和路由器到路由器VPN，后者又包括企业内联VPN（Intranet VPN）和企业外联VPN（Extranet VPN）。

VPN连接方式一般可分为两类：

1. 拨号VPN：为移动用户和远程办公用户提供的对单位内部网的远程访问，通过普通的拨号与公用网络进行链接；然后再通过建立VPN专用网络链接，输入目标网络IP地址或域名进行链接。

2.专线VPN：此种方式一般情况下企业已通过专线方式与公网建立了链接并有静态IP地址。

无论何种连接方式都要通过硬件VPN或者软件VPN来实现。基于财务系统的安全性考虑一般选用硬件VPN。硬件VPN可以是带VPN模块的防火墙、路由器或者专用VPN交换机，如Cisco的VPN Concentrator 3000，天融信的网络卫士防火墙4000系列等。在多种硬件VPN当中适用于高校财务信息化建设需求的性价比高的首选带VPN模块的企业级防火墙。

二、高校财务信息化建设中VPN网络构建实例

下面以笔者所在院校构建财务VPN网络系统为例，说明VPN技术在多校区办学模式下高校财务信息化建设中的应用。

（一）需求分析

我校目前由三个校区组成，分别是汇东校区、邓关校区和营盘校区，汇东校区为主校区，邓关校区距离主校区三十几公里，三个校区均要链接财务服务器收取学生学费，其中汇东主校区和邓关校区要对外报账，财务机房设置在汇东主校区。要实现通过邓关校区和营盘校区的客户机都能实时地连接财务中心机房的服务器，达到所有的账务凭证和收费单据均写入同一数据库当中。与此同时，发布服务器要对外发布财务信息，学生收费信息要与教务管理系统、学校校园网络计费认证系统实现数据同步，以达到财务数据安全稳定可靠地传输，财务信息在保证安全的前提下在一定程度上与学校其他业务处理系统资源共享。同时，为最大限度地保障财务数据的安全与完整，需建立健全完善的数据备份机制。

（二）解决方案

1. 网络架构解决方案

由于学校校园网络已建成规模，因此财务VPN网络可以通过搭建在校园网络平台基础上在三个校区建立Intranet VPN，这样既可以提高数据传输的稳定性，也可以使整个财务VPN网络受到学校主防火墙的保护，进一步提升系统的安全性，而且还不用租用昂贵的专线以节约开支。具体方案如图1所示：

如图1基于校园网平台的财务VPN应用方案所示，在三个校区之间建立财务VPN，策略上允许客户端计算机在一定程度上访问财务服务器，只开放为客户端软件连接财务数据进行财务处理和收费业务处理所必需的服务和端口，服务器端则可以相对透明地开放访问客户端计算机的权限，以便于系统管理员从服务器端远程控制客户端，解决客户端与服务器的访问故障。由于IPSec和L2TP的安全性比PPTP的安全性要高，基于财务信息的安全性要求极高，特别是收费系统的数据往往成为计算机专业学生攻击的目标，所以在三个校区之间的VPN链接采用使用IPSec协议VPN。尽管财务管理系统和收费管理系统及财务数据服务器都采用的是WINDOWS平台，可以利用WINDOWS系统分别建立VPN路由，但考虑到财务VPN网络方案的另一个重要因素——稳定性，因此我们选用了带VPN模块具强大VPN功能的天融信Topsec企业级网络卫士防火墙NGFW4000系列。

天融信NGFW4000系列防火墙的配置非常方便，可以基于GUI管理器或基于TELNET进行配置，对用户的管理可在高级管理中的网络对象中实现，并可以通过访问策略限制非法用户对系统和网络资源的访问。对于移动客户端需要安装天融信VPN远程客户端（VPN Remote Client），不用再像传统的远程网络访问那样，通过长途电话拨号到学校远程接入端口，要想顺利通过VRC客户端软件连接到学校财务VPN系统，需要使用配套的证书管理系统在NGFW4000系列防火墙当中进行证书交换，以验证VRC客户的身份是否合法，从而保证财务信息的安全。利用VRC客户端软件可以与财务网络建立一条VPN加密隧道链接，而且这条链接是一条基于IPSec的安全链接，所以能对IP及上层协议提供可靠的、灵活的安全保证，以使客户端安全快速地访问财务网络资源。

我们在三个校区分别安装一台NGFW4000系列防火墙，通过在防火墙的通信策略中建立基于IPSec协议的通信策略的VPN互连。在每台防火墙上定义该校区财务网络的用户并绑定其IP地址和MAC Address，在访问策略当中设置为默认情况下禁止对防火墙保护区域的访问，在此基础上再配置允许对相关区域所属资源的访问服务、访问端口及访问权限。在带宽策略当中设置好各区域的带宽以充分满足关键业务的稳定性不因带宽问题而有所影响。在VPN管理当中建立好各个防火墙的证书并互相交换证书以启用VPN隧道连接，同时导入VRC客户端的证书以便于VRC用户对财务资源的访问。

2. 数据存储与备份解决方案

每一位计算机前的使用者都会有这样的经验：一旦在操作过程中敲错了一个键，我们几个小时，甚至是几天的工作成果便有可能付之东流。据统计，80%以上的数据丢失都是由于人们的错误操作引起的。遗憾的是，这样的错误操作对人类来说是永远无法避免的。另一方面，随着网络的普遍建立，人们更多的通过网络来传递大量信息。而在网络环境下，除了人为的错误操作之外，还有各种各样的病毒感染、系统故障、线路故障等，使得数据信息的安全无法得到保障，我们对网络的大量投资也失去了意义。在这种情况下，数据备份就成为日益重要的措施，通过及时有效的备份，系统管理者就可以高枕无忧了。

在国内，大多数人还没有意识到备份的重要性，这与西方国家强烈的备份意识差距很大。实际上，我国已有了很多前车之鉴，一些重要的科研机构内曾经不止一次地发生过灾难性的病毒侵入事故，造成了很大的经济损失。随着国内计算机和网络的不断普及，网络环境已危机四伏，数据随时都有被毁坏的可能，我们必须对系统和数据进行备份！备份如今已不是一件繁琐的事情，软、硬件产品的不断研究和推出，使得数据备份具有了速度快、可靠性高、自动化强等特点，完全解脱了系统管理员的负担。在投资上，与兴建网络相比，专用的存储设备和备份软件价格很低，根本不会成为用户的经济负担。如果每一台服务器或每一个局域网都配置了数据备份设备，并加以合理的利用，那么无论网络硬件还是软件出了问题，都能够轻松地恢复。

也许您目前还没有发生过大量的灾难性数据丢失事故，但这并不意味着灾难永远不会光临您的网络系统。而我国网络环境和各种防范设施的不健全，也使得病毒的滋生与传播极为容易，对数据安全造成了极大的威胁。

财务数据的重要性对任何单位来说都是非常重要的，一旦数据丢失将会对单位的整个业务系统带来不可估量的损失，恢复数据的难度大且代价高昂。因此，我们通过优化存储系统结构以保障财务数据的安全，将数据丢失的风险降到尽可能最低。具体方案如图2所示：

笔者通过如图2所示的数据存储与备份系统解决方案，将财务数据存储在磁盘阵列上；然后通过数据备份系统软件定期定时地将财务数据上传到备份服务器上，每个月结账后将财务数据备份到光盘等介质上并建立了完善的数据备份计划和灾难恢复计划，以确保财务数据的安全完整，保障财务系统的稳定可靠运行。

据考察和了解，目前全国已有个别高校财务信息化建设采用VPN技术，其实施方案与我校财务VPN应用方案有相似之处，这些高校大多有2～3个以上的校区，区别在于他们大多采用的是软件VPN技术解决方案，并未采用我校实施的以三台硬件防火墙组建的财务VPN。同时，为进一步保障财务系统的高可用性，我们选用了两台企业级的对等服务器组建双机热备份系统，利用双机高可用软件通过心跳线对双机服务器的实时动态侦测使财务系统在主服务器出现故障时能迅速从热备份服务器接管整个系统服务，确保了财务系统的稳定、高效和安全运行。现在我校邓关校区和营盘校区的财务系统都与主校区的财务系统共用一个财务服务器，保证了数据的同步，财务数据的安全性也得到了极大的保障。每日结账后，先把财务服务器的数据备份到中间传输主机，再由中间传输主机定时传送到财务发布服务器，即可实现财务信息查询数据的及时更新。现在我校的教职工和学生不仅在每个校区均可办理财务业务和缴纳费用，而且可以非常方便地通过Internet及时查询自身的财务报账情况及费用缴纳情况，同时通过计财处主页可以及时发布财务新闻及财务信息等，大大提高了学校计财处的工作效率。

硬件VPN技术的应用很好地解决了多校区办学模式下由于地域隔离所导致的财务数据同步问题，并且基于硬件VPN技术建立的财务专网为下一步与学校其他部门的信息系统数据同步奠定了良好的基础，也为与银行系统联网搭建网上银行业务处理平台提供了条件。

三、结语

企业网络安全与VPN技术应用 篇5

就当前通常所使用的网络应用来说, 企业的网络结构比较典型形式是一个网络中心、若干分支机构、若干合作伙伴、加上移动远程 (拨号) 用户。网络中心、分支机构和合作伙伴都是不同规模的局域网络系统。作为整个网络系统核心的总部中心网络, 是企业的各种核心服务器设置地点, 又是网络管理中心。各部分之间的联接方式多种多样, 包括远程拨号、专线、Internet等。

对企业网络系统安全构成的威胁有许多种类, 以攻击对象和攻击方式划分, 有攻击信息的威胁、攻击系统的威胁、攻击使用者的威胁和攻击系统资源的威胁四种类型, 进行安全攻击的既有非企业人员, 也有可能来自企业内部。

2 网络安全防范措施及VPN技术

2.1 网络安全防范措施

为网络信息系统提供安全保障通常采用的技术手段, 一是网络访问控制技术, 二是密码技术。前者对系统实施安全保护, 可以防范各类外来的威胁。后者用来对传输信息进行加密、对用户的身份进行确认, 以及抗否认等。

作为保障网络安全的一项技术, 密码技术是最有效的手段之一, 如今, 数据加密技术已构成全部通信数据安全的基础。而且, 数据加密方法已经成为多数信息保密手段的唯一选择。网络经过加密后, 既能有效预防非授权用户的非法入网或进行搭线窃听, 又可防范恶意软件的侵扰。通过数字加密技术可为网络提供强大的安全屏障, 同时这种技术的应用成本很低。

数据加密技术采用的是各种加密算法, 依据信息的接收方与发送方所使用的密钥的相同与否进行划分, 可将加密算法分为两种, 一种是对称密码算法, 一种是非对称密码算法, 也称为公钥算法。

前一种算法的信息接收方解密密钥与发送方加密密钥相同。最为人所了解的对称密码算法是美国的DES算法以及这种算法的各类变形。这种算法具有保密强度高和运算速度快的特点, 唯一不足是密钥须经安全途径进行传递。所以, 应用这种算法, 密钥管理构成了关键因素。

后一种算法的信息接收方与信息发送方所用密钥是不同的, 并且依据加密密钥寻找到解密密钥的可能性也极小, 由于这种算法具有这项特点, 通常被应用于实现数字签名。最著名而且应用最为广泛的公钥密码算法是RSA算法。应用公钥密码可有效适应开放的网络环境, 而且密钥管理方便简单, 特别在实现数字签名及进行验证时经常被采用。

密码技术在网络安全方面的应用主要有两种方式, 一种是应用于网络, 一种是应用于服务。应用在网络一般实施于网络协议的网络层或传输层, 在网络层上实现的加密技术对于网络应用层的用户通常是透明的。面向应用服务的加密技术发生在业务程序中, 通常用于解决特定应用相关的安全问题, 典型应用有用户身份验证、交易信息的签名验证和交易信息的加密等。

2.2 VPN技术

VPN技术即虚拟专用网络 (Virtual Private Network, 简称VPN) 技术, 该项技术是于网络层利用数据包封装技术与密码技术, 使数据包传播于公共网络时“行走”于“加密管道”, 也就是于公共网络构建起自己“专用”的安全网络。企业采用VPN技术, 只需通过本地数据专线与公众信息网进行连接, 企业处于不同地区的机构或合作伙伴就能够安全地进行信息的传递;此外, 通过公众信息网的拨号接入设备, 企业可使其用户通过拨号连接至公众信息网, 并安全地进入到企业网。

隧道技术、网络访问控制技术和数据加密技术为企业构建安全网络提供了技术保障, 再构建有效密钥管理系统, 企业就可利用公用网络构建起自己的具有安全性的VPN系统, 使集成化企业VPN安全解决方案得以实现。将VPN技术应用于企业现行的各类不同业务网络应用系统当中, 能够有效提升系统的安全性, 同时使企业目前运行的业务系统不受到任何影响。

应用VPN技术对数据包进行加密和解密通常实施于网络层 (在TCP/IP网络中则实施于IP层) , 这种技术使得以往的链 (线) 路加密技术缺乏统一标准, 高度依赖于通讯方式、传输媒介和传输协议、缺乏适应性等缺点得以克服, 同时又回避了应用层端-端加密管理难度大、互通性不高、系统安装与迁移难度高等难题。由于VPN技术具有的成本低、适应性强、高度标准化、管理方便、同其它安全管理技术及系统管理技术融合容易等特点, 越来越引起企业的重视, 并被广泛应用于企业网络安全系统之中。

以应用划分, VPN可分为二种, 一种是虚拟企业网, 另一种是虚拟专用拨号网络 (VPDN) 。前者主要为应用专线上网的公司分部、企业合作者之间的虚拟专用网;后者指的是通过电话拨号 (PPP拨号) 上网的远程企业用户同企业网之间的虚拟专用网。VPN侧重于构建具有高度安全性的数据通道, 构建数据安全通道的协议要具备下列条件:

使数据真实性得到保障, 所用通信主机应经过授权, 同时具备对地址假冒 (IP Spoofing) 的防御能力。

使数据完整性得到保障, 要求接收数据同发送时完全相同, 同时具备对非法纂改数据的抵御能力。

使通道保密性得到保障, 具备高效的加密技术, 确保通道数据不被非法窃听者破解。

具有动态密钥交换功能, 并提供安全管理的集中服务。

具备安全防护手段及访问控制, 能够对黑客经VPN通道威胁企业网络实施防御, 并能够对VPN通道实施访问控制。

3 VPN技术应用实例

苍南教育局为我们的大客户, 要实现全县各教育机构、学校、学区的网络互联, 及今后和温州地区的联网, 同时各学校、学区间的信息要求相互隔离。要求采用VPN技术实现教育私有网络的安全和可靠, 各学校和分支机构要求100M接入, 教育局中心有100M或以上速率接入。同时要求能上Internet。

由于整个方案要求相互之间的通讯效率高, 相互之间通讯时又要保证数据的安全保密, 同时要求通讯费用降低, 采用如下解决方案:教育局中心、学校和学区的内部局域网通过光纤宽带线路连接到我局宽带IP汇聚层交换机上实现本地接入, 采用树型网络结构来组建私有网。各学校、学区之间在二层上实现隔离, 这样他们之间的信息是独立的, 外校就无法访问本地资源。教育局中心的信息和资源是可以被各个学校、学区访问, 在中心可以开展多种服务如信息发布, WWW服务, 网上教育等来满足业务需求, 组建教育数据中心 (IDC) 。另外在外或家里的教师可以通过ADSL或拨本地163等上Internet来访问中心的资源。教育局中心可以独立上互联网, 下面各个学校、学区如果要上网需要通过教育局中心方可上互联网。

为了最大限度的保护用户数据的安全, 我们在网络层上采用IPsec VPN技术来实现, 在LAN与LAN之间在INTERNET上建立一个个专用通道 (TUNNEL) , 没有持有通道使用权的非法用户是无法使用通道的, 通道上的数据是通过严格加密, 即使非法用户获得通道使用权, 由于没有密钥也无法对经过加密的数据进行解密。LAN与REMOTE CLIENT之间由教育局中心的设置的VPN服务器来认证, 只有合法的用户才能通过认证访问内部私有网。同时用户可以在自己的交换机或路由器等设备上设置访问列表等来防止非法者入侵, 也可以在内网和外网之间在添加防火墙。

参考文献

[1]汪海航, 谭成翔, 孙为清, 赵轶群.VPN技术的研究与应用现状及发展趋势[J].计算机工程与应用, 2001 (23)

[2]许勇, 张凌, 郝志锋, 陈育青.基于VPN的企业内联网[J].计算机工程与应用, 2001 (23)

VPN技术与应用论文 篇6

完整的考虑网络安全包括3方面的内容:网络攻击、安全机制与安全服务。网络安全服务应该提供以下基本服务功能:保密性、认证、数据完整性、防抵赖和访问控制。

2 IPsec的VPN技术的应用

VPN (Virtual Private Network) 是虚拟专用网的全称, 指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网, 主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台, 如Internet ATM (异步传输模式) 、Frame Relay (帧中继) 等之上的逻辑网络, 用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

当前, VPN (Virtual Private Network, 即虚拟专用网) 产品在我国的IT应用市场上正逐渐被越来越多的行业和企业用户所熟悉和采用, 已经成为近两年中国市场上成长迅速的主流消费产品之一。

3 VPN的关键技术

目前, VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。

4 IPsec协议分析

4.1 IPsec协议简介

IPsec是一种具有互操作性、高质量、基于加密的, 适用于IPv4和IPv6的规范。IPsec能够对数据的存取控制、机密性、完整性和可用性提供保证, 并能够防止重放攻击。IPsec可应用在IP层 (对IP包进行封装) 或在IP层与数据链路层之间或在物理线路上。IPsec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。IPsec协议是一个标准的第三层安全协议, 它是在隧道外面再封装, 保证了在传输过程中的安全。IPsec的主要特征在于它可以对所有IP级的通信进行加密。

4.2 IPsec工作原理

IPsec的工作原理类似于包过滤防火墙, 可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时, 包过滤防火墙按照规则制定的方法对接受到的IP数据包只进行2种处理:丢弃或转发。而IPsec则是通过查询SD (Security Policy Database安全策略数据库) 来决定对接收到的IP数据包的处理。但不同于包过滤防火墙的, IPSec对IP数据包的处理方法除了丢弃、直接转发 (绕过IPsec) 外, 还有一种, 即进行IPsec处理。

4.3 IPsec协议的实现方式

IPsec的一个最基本的优点是它可以在共享网络上访问设备, 甚至是可以在所有的主机和服务器上完全实现, 这就在很大程度上避免了升级任何网络相关资源的需要。在客户端, IPsec的架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。

4.4 IPsec协议的工作模式

IPsec在不同的应用需求下会有不同的工作方式, 分别为传输模式 (Transport Mode) 和隧道模式 (Tunnel Mode) 。

4.4.1 传输模式 (Transport Mode)

所谓传输模式的IPsec VPN是指可以将两部主机之间所传递的数据加密。例如, 我们使用便携计算机通过POP3协议连回公司的邮件服务器收取信件时, 就可以在Mail Server与便携计算机之间建立传输模式的IPsec VPN, 以确保信件的内容不会被他人窃取。

4.4.2 隧道模式 (Tunnel Mode)

如图1所示, 如果我们需要让两个不同网段所传输的数据内容都经由IPsec VPN来加密, 或者需要将两个Private IP的网段通过IPsec VPN来跨越Internet连接, 就会需要用到隧道模式的IPsec VPN。

5 结束语

VPN技术与应用论文 篇7

在IPRAN网路中, 其核心技术的标准是协议标记交换技术, 国内的中国联通、电信集团目前正在大量的对IPRAN网路进行部署。IPRAN可以对传统的IP技术数据业务进行处理, 可以对柔性管道的高宽带进行利用, 且可以支持L3的时间与功能同步。此外, IPRAN还将SDH网络中承载多业务的性能、维护性及高可靠性融入到了其中, 使IPRAN网络的生命力更加强大。

二、分层VPN技术的提出

传统L3VPN技术只对以太网平面的网路模式适用, PE在整体框架中的关系都是对等的, 不管处在网络中的哪个地点, 对性能要求都相同。若此平面结构中的PE存在扩展和性能问题的话, 对整个网络中VPN业务扩展的能力和覆盖的能力都会形成制约。因此就会发现, 其实MPLS VPN的开展过程远不像想象中的简单, 当MPLS VPN平面化的模型遇到通信网络建设中分层模型的时候, 就会有性能不平衡现象存在。分层VPN技术就是针对这一点所提出的。要想对可阔展性的问题有更好的解决, 就必须将BGP/MPLS VPN以平面分层模型转化成分层模型。MPLS L3VPN领域中提出了关于VPN进行互联的有效方案, 并把PE的所有功能分布在多个PE设备中, 多个PE承担的角色都是不一样的, 是通过层次结构的形成来一起完成一个PE功能, PE的功能在VPN互联中是以分层来实现的[1]。

三、UPE和SPE是PE设备的构成

PE设备包括UPE设备和SPE设备, 与用户直接进行连续的设备称作用户侧PE或下层PE。其中, UPE设备的主要功能是完成用户的接入, UPE设备可以对与其自身直接连接的VPN site路由进行维护, 但对于VPN中远端的site路由, 就不会对其进行维护, 或者只对其聚合路由进行维护。UPE设备可以对与其相连接的site路由内层标签进行分配, 且经过MP-BGP后在随VPN路由将此标签发布给SPE设备。

位于网络的内部并与UPE相连接的设备称作运营商侧PE或上层PE, PE中SPE设备的主要作用是对VPN路由进行管理、发布, 其对通过UPE设备的所有VPN路由进行维护, 包括远端site路由和本地路由。但是, SPU设备不会将远端site路由发送给UPE, 通常只会对VPN实例中的聚合路由或缺省路由进行发布, 并携带着标签。在SPU向UPE设备发布VPN的时候, 实例的缺省路由具有2种方式, 一种对所有的VPN缺省路由进行发送, 另一种是对指定的VPN缺省路由进行发送。

UPE和SPE两个概念之间是相对的, 在多层次PE结构中, 与下层PE相对的是UPE, 与上层PE相对的是SPE。从外部看分层式的PE, 其与传统PE没区别。

SPE和UPE之间是通过标签来进行转发的, 接入用户时只需要一个接口来连接。因为分工不同, 所以, 对UPE和SPE的要求也就不同, UPE的转发性能和路由表的容量都比较低, 但是其接入能力较强, Ho VPN就充分运用了UPE接入能力和SPE的性能。SPE的转发性能较强、表容量较大, 但是接口资源少。SPE和UPE间的接口有隧道接口如LSP和GRE、子接口比如PVC和VLAN、物理接口, 在使用隧道接口的时候, UPE和SPE间可相隔一个多协议标签交换网络或IP网络。

UPE和PE之间的运行设备MP-BGP有MP-EBGP和MP-IBGP两种, 具体使用其中的哪一种取决于SPE和UPE是不是属于同一个AS。当采用MPIBGP的时候, IBGP邻居间不会互相告知路由, 要想在IBGP的对等体间对路由进行通告, 必须把SPE当做路由的反射器, 将来自IBGP中UPE的VPN路由给发送到IBGP中的对等体SPE上, 此时, SPE就不能再做其他PE路由的反射器。当采用的是MP-EBGP时, 要想让EBGP的路由可以通过SPE进入到远端的IBGP, SPE就必须把路由的下一跳给指向自己[2], 只有这样才能让MP-EBGP的作用得到充分发挥。

四、结束语

总而言之, 分层VPN技术的使用能够适应MPLS VPN的部署, 可以接到使用性能较弱, 但接口多的路由器上。这样就可以节省一定的成本, 对借助MPLS VPN业务来盈利的所有运营商来说相当有价值。层次化VPN技术的应用对国内网络技术的发展创造了良好的条件, 为IPRAN网路的组网提供了便利, 使网络的发展前景更加广阔。

摘要：移动互联网技术、云计算技术、无联网技术在可预计的将来必定会成为网络数字化中的重要主体, 会促进数据业务不断的发展。而且网络主体也一定会随着业务的类型改变而发生改变。因而, IPRAN技术也应运而生。

关键词：层次化,VPN技术,IPRAN网络

参考文献

[1]才岩峰.层次化VPN技术应用与IPRAN网络组网[J].数字化用户, 2013, 32 (26) :17

VPN技术与应用论文 篇8

随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部的职能部门,还是企业外部的供应商、分支机构和出差人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。

怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。

1. VPN技术

VPN即虚拟专用网(Virtual Private Network,VPN),是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。

在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

在VPN架构中采用了多种安全机制,例如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。

2. IPsec VPN和SSL VPN的区别

目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。如在企业分部与企业总部之间,及企业员工与企业核心数据之间,在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要。自20世纪90年代末以来,基于IPSec协议的VPN模式成为企业VPN的主流,IPSec VPN甚至成为了企业VPN事实上的代名词。然而IPSec VPN并不能完全代表VPN,近年来,一种新的VPN方式开始进入人们视野——SSL VPN,而且,这种技术正受到越来越多企业的关注。

2.1 IPSec VPN特点和不足

VPN技术应用的开始,大多数远程安全访问解决方案是采用IPSec VPN方式,应用最广泛的组网结构是在站点到站点的VPN组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。

在设计上,IPSec VPN是一种基础设施性质的安全技术,这类VPN的真正价值在于,它们尽量提高IP环境的安全性。IPSec VPN的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。但问题在于部署IPSec需要对基础设施进行重大改造,以便远程访问,管理成本很高。IPSec VPN在解决远程安全访问时具有几个比较大的缺点。

需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序,由于在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。

IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响。IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。

采用隧道方式,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用。

IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。

2.2 SSL VPN特点和优势

SSL VPN指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序。SSL VPN经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器,所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。

目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。加密并提供完整性检查。

同IPSec VPN相比,SSL VPN具有多种优点。SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator等已经预装在了终端设备中,因此不需要再次安装;SSL VPN可在NAT代理装置上以透明模式工作;SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准,下面列举了其中的一些理由。

SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。

SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN比较),SSL VPN更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。

3. SSL VPN在企业远程办公中的实际应用及技术特点

3.1 远程接入方案实例

使用SSL VPN设备安装在企业的DMZ区上,IP地址是10.*.*.*,在防火墙上转换成互联网的IP地址:203.*.*.*,并开放443号端口。远程用户可以使用https://203.*.*.*来访问企业内部信息系统。针对企业的网络特点,在实施时可以将企业的一些应用,如邮件系统、OA系统、文件共享系统等安装到SSL VPN上,同时可以通过Active Directory进行用户身份的统一管理。实施远程接入后的网络拓扑示意图。

3.2 接入方案的技术特点

3.2.1 安全接入

SSL VPN设备能够检测或评估客户设备以确保它们遵从公司的安全策略,包括防火墙和防病毒软件、操作系统和补丁、间谍软件检查、设备类型以及网络配置等,违规设备将被拒绝访问网络,或被定向到软件更新网站。

3.2.2 松实现内部网到外部网的扩展

-无需客户端专用软件、通过普通浏览器接入。

-接入企业内部应用,而不用更换内部应用系统或暴露内部域名。

-支持企业固定TCP端口的非Web应用。

-支持IP层VPN实现企业特殊应用。

3.2.3 SSL VPN用户认证、授权

SSL VPN认证对用户来说是一个简单的过程。所有的用户申请都流经一个专门的服务器:接入点、策略服务点和认证服务点,然后返回用户。但对于用户来说,Web浏览器是他们访问资源的唯一接入点。

多种认证方式。对于多个系统可实现单点登录(SSO),支持身份联盟:您可使用一个数字身份来访问多个部门甚至是整个企业的信息。

访问规则旨在允许用户访问资源。所有资产至少都与一个访问规则相对应,包括认证方法、日期或时间限制以及用户群成员关系等内容。SSL VPN还在内部系统中与防火墙和访问控制机制一起实施访问控制。防火墙在用户与系统互动时使用,访问控制与防火墙提供相同的安全性,应用在IP和端口级别。

3.2.4 单点登录(Single Sign-On)

当使用公司内部不同的应用系统时,需要输入不同的“用户名+口令”,很麻烦。因为需要在不同的Web服务器上进行不同的授权管理,管理员也倍感疲惫。SSL VPN支持单点登陆,可以让用户访问不同的网站只需要一次登录,一次认证,可以有效降低管理负担和方便使用。

3.2.5 对应用的全面支持

支持所有应用,包括基于Web的应用、客户端/服务器、主机、终接服务器和双向应用(Vo IP、在线协作工具)和文件服务器等。作为软件解决方案,现有SSL VPN设备可定制用于支持任何类型的应用。

3.2.6 强安全认证

移动双因素认证(Mobile ID)——使用现有的个人设备,如手机、PDA或Black Berry等,用户可快速轻松地生成部署了双因素认证机制的独一无二的一次性密码(OTP),并结合原有的域认证做双重认证。键盘的单因素认证机制可保护用户和企业免遭特洛伊木马和间谍软件的攻击。

4. SSL VPN安全接入对于企业的益处

通过SSL VPN实现安全接入,可以“帮助企业提高生产力,改善用户使用体验”。安全接入解决方案具有多种优点。

4.1 提高信息安全性

4.1.1 防止信息泄漏

由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务账号等被保护起来,杜绝了有效信息的泄露。

4.1.2 杜绝非法访问

SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。

4.1.3 保护信息的完整性

SSL VPN使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,SSL VPN是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。

4.1.4 防止用户假冒

提供多种认证和授权方式,包括本地本地用户数据库,并且可以和其他更加强大的认证系统结合起来,如ad、radius等以及自带的双因素身份认证系统。

4.1.5 保证系统的可用性

SSL VPN使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。

4.2 灵活的用户管理和访问控制

提供多种多样的认证机制和授权访问机制,存在本地用户数据库,可以配置在SSL VPN网关设备上。SSL VPN组网方案是面向应用的VPN方案,可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。

4.3 降低管理和维护成本

SSL VPN方案是无客户端的方案,由于客户端采用标准浏览器,SSL VPN的网关只需要在企业的数据中心部署,其他的维护操作都是在SP上面进行的,包括用户的授权,访问应用的各种配置等操作。它的管理工作属于集中管理和集中维护模式,可以极大地降低管理和维护成本。

5. 结束语

VPN技术与应用论文 篇9

关键词：虚拟专用网；多协议标记交换；网际协议安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21547-02

1 引言

虚拟专用网(Virtual Private Network，VPN)是指在物理的公用网络上建立专用的数据通信逻辑网络的技术。VPN的出现促使企业改变了通过租用昂贵专线实现网络互联的传统模式，并使得通过互联网安全又经济地传输私有信息成为可能。IPSec技术在网络层上对数据包进行高强度的安全处理，提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业物流机密性等安全服务。MPLS技术采用集成模型将IP技术与下层技术结合在一起兼具了高速交换、Qos性能、流量控制性能以及IP技术的灵活性、可扩展等特性。MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IPSec VPN在企业网边缘逐渐替代传统的专线，成为远程分支及移动办公用户主要接入方式。目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政，无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补，提供设计优良和综合性的VPN服务，同时也提升IPSec和MPLS的应用层次。本文提出把IPSec和MPLS这两种主流VPN技术有机地组合起来，以综合运用各自的优点来构建企业虚拟专用网，为基于Internet的数据传输提供所能获得的最佳解决方案。

2 IPSec与MPLS技术简介

2.1 IPSec技术

IPSec(Internet Protocol Security网际协议安全)是构建于ISO/OSI七层模型中网络层的安全协议，由于它工作于网络层，因此可以用于两台主机之间，网络安全网关之间或者主机与网关之间，其目标是为IPV4和IPV6提供具有较强的互操作能力，高质量和基于密码的安全，它支持对数据加密，同时确保数据的完整性。

IPSec的工作原理如图1所示：

图1 IPSec的工作原理图

从图中分析可知：当IP模块收到一个IP分组时，通过查询安全策略数据库SPD以决定对收到的这个数据分组的处理方式: 丢弃、转发或IPSec处理。所谓的IPSec处理就是对数据报进行加密和认证，以保证在外网传输的数据报的机密性、真实性和完整性。通过查询安全连接数据库SAD，以获得安全连接所需的参数。

2.2 多协议标签交换技术（MPLS）

MPLS（Multi-Protocol Label Switch，多协议标签交换）是由IETF提出的新一代IP骨干网络交换标准，是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务。

多协议标记交换网络由标签边缘路由器(LER)和标签交换路由器(LSR)组成。LER和LSR中运行的路由协议决定了标签交换通道(LSP)沿途应经过的路由器,并使用标签分发协议(LDP)在各个路由器之间互通标签绑定信息,建立标签交换通道。当数据到达LER后,LER对其进行分类,并根据分类的结果为数据加入不同的标签。因此，当数据到达LSR之后,LSR只需分析标签就可判断数据传递的路径，从而完成数据的转发。

MPLS的基本思想在于数据包的寻址和转发的分离,基本原理是以一个类似于路由器的设备来控制ATM的硬件交换设备，同时其具备了与交换机相类似的性价比。MPLS并非针对某一种链路层的技术，可使用于ATM，帧中继等可扩展到其它协议，它将面向连接的机制加入到面向非连接的IP协议中。MPLS的基于OSI/L2的交换是以FEC(向前转发等效类)为单位的。

顾名思义，标签边缘路由器(LER)位于MPLS网络的边缘，作为IP网络和MPLS网络的衔接點，分析来自MPLS接口的数据包包头并对其进行FEC分类，决定是否得打上标签或数据包属于哪个FEC，同时对数据包进行封装，然后从MPLS接口发送；作为出口点，如接收带有标签的数据包，则去除标签，在网络层发送数据包至目的地。

标签交换路由器(LSR)负责FEC标签的分配与发布。数据包发送的路径由标签信息决定：查看入接口的数据包的标签，从表格中检索得到出口标签和出接口交换标签在出接口中发送数据包,以此进行数据传递。

标签分发协议(LDP)按照分布方式控制LSP的建立，每个节点根据各自路由模块得到的路由信息为转发等价类分配标签并通告其上下游节点，从而在每个节点生成标签信息库(LIB)。当带有标签的分组到达标签交换路由器后，标签交换路由器可根据携带的标签和标签信息库中的信息采用交换的方式完成此分组的转发。一旦路由信息发生变化，MPLS会重新协商标签、转发等价类之间绑定关系，同时更新标签信息库，以适应路由变化的新情况，确保数据正确传输。标记交换路径(LSP)是IP数据包在MPLS域中传送的路径。MPLS是一种面向连接的标记交换，其连接就是标记交换路径。

3 将MPLS与IPSec融合来实现VPN

IPSec本质上是网络层加密协议。它保证特定的通信用户之间数据的保密性、完整性和真实性,并可对相应的数据源进行验证。MPLS技术在无连接的IP网络中引入了面向连接机制，从而既保持了IP协议的灵活性、可靠性和扩展性，又可以充分应用第二层的快速交换能力，Qos性能，流量控制性能。下图为IPSec和MPLS两种技术组件VPN比较分析，可知两者各有千秋，具有很强的互补性

3.1 IPSec VPN与MPLS VPN的对比

3.2 两者融合的必要性分析

目前企业VPN解决方案主要缺陷在MPLS VPN技术与IP VPN技术各自为政，无法形成一个端到端的VPN解决方案。如果把IPSec和MPLS融合起来则可以优势互补，提供设计优良和综合性的VPN服务，同时也提升IPSec和MPLS的应用层次。的确，两种技术的结合很有可能为今天基于因特网的数据传输提供所能获得的最佳总体安全方案。

3.3 两者融合的可行性分析

针对两种VPN技术的不同特点,参照现有网络的组织特点,可将两种VPN技术进行融合,形成一个完整的VPN网络体系结构。

(1)系统结构可行性:MPLS VPN运行在网络核心设备和支持MPLS的边缘接入设备上,负责各种速率的专线接入服务；IPSec的终结设备将ISEC的CHANNEL与MPLS的VRF相对应,将数据从IPSec中解密后,重新封装两层的MPLS标签,反之亦然。因此，在系统结构上是可行的。

(2)管理与配置可行性:MPLS之VPN和IPSec之VPN的中间连接设备由运营商进行配置管理。其中，MPLS方面为用户建立相应的VRF，配置相同的RT与RD参数；IPSec方面针对用户建立不同的组，并为用户指定不同的安全策略，定义不同组中用户不能相互访问；在MPLS与IPSec连接方面，连接设备将IPSec中的组与MPLS的VRF相对应，IPSec中启用DHCP服务器功能，当用户建立IPSec连接后重新分配新的IP地址。在MPLS VRF中将地址进行广播。因此，在管理和配置上也是可行的。

3.4 IPSec和MPLS融合实例:华为3COM的VPE技术

VPE＝IP VPN网关＋PE，VPE（VPN PE）是华为3com公司设计的一种特殊PE，它和CE之间的连接方式是L2TP等隧道技术。VPE实现的核心功能时IP VPN隧道与MPLS VPN之间的映射和衔接。

VPE技术很好地融合了MPLS VPN和IP VPN的优势，在网络边缘也实现了网络资源的逻辑划分及安全隔离，核心网与边缘用户形成了一个整体。VPE相当与企业VPN的中枢神经，一方面作为VPN网关接入大量远程分之和移动办公用户，另一方面作为核心网的PE节点。VPE涉及到的关键技术包括：IP VPN隧道和MPLS VPN直接的映射，ACL与MPLS VPN映射，HOPE(MPLS VPN中的PE分层操作系统),MPLS Over IP VPN，Quidway VRP网络操作系统可以提供以上所有技术方案。

图2为IPSec与MPLS融合的VPN结构示意图。

3.5 融合后网络特点分析

(1)全兼容的接入方式：MPLS保证宽带专线用户的VPN接入需要，IPSec保证拨号方式和其他上网方式VPN接入需要。在融合之前，MPLS VPN广泛应用于企业网络资源逻辑划分和安全隔离而IP VPN在企业网边缘逐渐替代传统的专线，成为远程分支及移动办公用户主要接入方式，但是他们各自为政，无法形成一个端到端的VPN解决方案。在融合的方式下，运营商可以为用户提供完全的VPN解决方案：一方面，运营商可以通过MPLS之VPN互连用户不同的办公地点；另一方面，可以允许公司人员提供下班后仍然可以访问公司的内部网络，就是全程全网的VPN服务。

图2 IPSec与MPLS融合的VPN结构示意图

(2)完善的QoS保障：在本地网络中，运营商通过对网络的监控系统可以发现网络中的故障点或拥塞点并及时加以解决，从而保证本地接入过程中的服务质量问题。在跨不同VPN赋予不同的MPLS EXP值，并在出口线路上起用居于DIFFSERV的QoS技术，保证网络互联过程中的QoS问题。这样，在不同的范围采用不同的技术，能够实现整个VPN体系的QoS保证。优秀的MPLS-VPN方案可以提供可伸缩性的，稳固的QoS机制和流量工程能力，从而使服务供应商可以提供具有保证SLA的IP增值服务。

(3)良好的扩展性：融合后VPN的核心结构依然采用MPLS的形式，由于不需要站点到站点的对等性而具有高度的伸缩性，典型的基于MPLS核心的VPN部署能够支持在同一网络上部署上万个VPN组，因此融合后依然后的网络依然继承了其良好的扩展性。对IPSec和MPLS的互联设备，由于MPLS完成了VPN内部的联系，因此在IPSec用户不断增长的情况下，并不一定要对原有的设备进行相应的扩容，而且可以考慮新的性能相当的设备，从而将用户分散到各个设备上，减轻了骨干网的整体负担，从而保证整体的可靠性与扩展性。

4 结束语

VPN方案的实施，不仅节省了网络的建设和运行维护成本开销，而且增强了网络的可靠性和数据传输的安全性。MPLS与IPSec两者技术的结合结合有利于把MPLS的高速交换、Qos保证,流量控制以及灵活性、可扩展性与IPSec的高度安全、可靠的优势充分发挥出来，提供设计优良、运行可靠并能够提供综合性的VPN服务。目前MPLS和IPSec融合的方案尚处于成长阶段，有很多技术标准需要进一步制定和完善，但是，笔者相信，基于IPSec与MPLS技术两者融合的VPN方案将会赢得越来越多企业用户的青睐，为企业构建全程全网的VPN。

参考文献：

[1]Cisco Systems,Cisco公司,Networking Academy Program著.天津大学,电子科技大学,中山大学,思科网络技术学院.译.思科网络技术学院教程（第3第4学期）（第3版）[M].人民邮电出版社,2005.3.

[2]王达.等.编著.虚拟专用网(VPN)精讲[M].清华大学出版社,2004.1.

[3]Ivan Pepelnjak,CCIE NO 1354,Jim Guichard,CCIE No.2069.著.卢泽新,朱培栋,齐宁.等.译.MPLS和VPN体系结构[M].人民邮电出版社,2004.3.

[4]Eric Osborne,CCIE NO 4122,Ajay Simha,CCIE NO.2970.著.张辉,卢锋.等.译.基于MPLS的流量工程[M].人民邮电出版社,2004.3.

[5]Vivek Alwayn,CCIE NO.2995.著.刘新初,黄智,沈平,柏林,杨俊.等.译.高级MPLS设计与实施[M].人民邮电出版社,2004.3.

[6]王维江,钟小平,黄建中,张金石.等.编著.网络应用方案与实例精讲-虚拟专用网[M].人民邮电出版社,2003.10.

VPN技术及其应用的研究 篇10

1 VPN技术

1.1 VPN技术的概述

VPN技术 (Virtual Private Network, 虚拟专用网) 是一种新兴的、在公用网络中建立专用的数据通信网络的技术。如图1所示VPN的示意图。为适应全球经济一体化的格局与发展, 利用IP协议和现有的Internet来建立企业的安全的专有网络, 成为主要VPN发展趋势, 此类VPN通称为IP VPN。目前, IP VPN主要包括MPLS VPN、IPSec VPN和SSL VPN。VPN主要采取以下技术来保护数据安全, 分别为隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、使用者与设备身份认证技术 (Authentication) 以及密钥管理技术 (Key Management) 。

1.2 VPN技术的优势

VPN技术给用户带来的好处主要表现在以下几个方面:

1) 降低成本

VPN技术的最重要的一个优势就是可以降低成本。成本的降低是VPN技术战胜传统的专线网络的关键所在。据相关调查显示采用VPN技术要比采用传统的专线网络成本要节省30%到70%。

2) 易于扩展

企业不需要做很多的事情来实现VPN的容量和覆盖范围。而专业的NSP进行对这些工作的负责，这样不仅能够保证工程质量而且会省时省力。 企业只需和 NSP 签好合同，扩大服务范围。 工作站的配置 VPN 路由器可以自行完成。

3) 保证安全

VPN采用微软的点对点加密算法和网际协议安全机制在数据加密和密钥管理方面对数据进行加密, 对密钥方面采用公私密钥对的方法进行管理。MPPE加密使公共密钥的开销最小化, 同时也保证了数据的传输安全;VPN是通过使用点到点协议 (PPP) 用户级身份验证的方法来进行验证。加密和身份验证由远程VPN服务器强制执行。

由于VPN是加密的, VPN数据包在网络上传输时, 网络上的用户只能看到公用的IP地址, 看不到数据包内包含的专有网络地址, 所以, 远程专用网络上的地址是受到安全保护的。

4) 灵活的与合作商联网

企业和合作商必须通过在双方之间建立租用线路或者帧中继线路才能进行联网, 那都是过去的事情, 而自从VPN问世以来, 两个企业联网是非常灵活的, 不需要那么多步骤。

MPLS VPN一般采用图2所示的网络结构。其中VPN是由若干不同的site组成的集合, 一个site可以属于不同的VPN, 属于同一VPN的site具有IP连通性, 不同VPN间可以有控制地实现互访与隔离。

MPLS VPN网络主要由CE、PE和P等3部分组成:CE (Custom Edge Router, 用户网络边缘路由器) 设备直接与服务提供商网络 (图1中的MPLS骨干网络) 相连, 它“感知”不到VPN的存在;PE (Provider Edge Router, 骨干网边缘路由器) 设备与用户的CE直接相连, 负责VPN业务接入, 处理VPN-IPv4路由, 是MPLS三层VPN的主要实现者:P (Provider Router, 骨干网核心路由器) 负责快速转发数据, 不与CE直接相连。在整个MPLS VPN中, P、PE设备需要支持MPLS的基本功能, CE设备不必支持MPLS。

2 VPN技术在建设电子政务外网的应用

随着信息技术的迅速发展, 政府对电子政务网的建设力度逐渐增大, 通过信息技术对政府信息资源进行整合和管理, 提高政府的工作效率、决策水平以及管理水平。

目前, 电子政务外网已经成为各部门电子政务外部业务的承载平台, 一个跨系统、跨部门的电子政务外部平台逐步建设。图3为电子政务外部平台整体模型。

2.1 需求分析

1) 电子政务外网建设的规范与统一

由于每个地方的投资不同、技术水平不等、建设时间也存在差异, 那么电子政务外网建设统一与规范是非常重要的。

2) 实现三类业务的划分与互访

电子政务外网把业务划分为:纵向业务、公用业务、互联网业务, 均承载于MPLS VPN中。

纵向业务承载网络:承载G2G (内部) 业务, 政府部门内纵向办公业务。不同政府部门纵向业务承载是通过划分单独的MPLS VPN来实现的, 以政府A部门的省、地市、区县的三级部门为例, 省A部门、地市A部门、区县A部门通过与省级电子政务外网、地市电子政务外网、区县电子政务外网实现三级网络之间的互联, 在电子政务外网为A部门划分单独的VPNa为A部门提供纵向业务。即:划分纵向业务虚拟网络资源平台。

公用业务承载网络:承载G2G (部门间) 业务, 政府部门间横向资源共享业务。公用业务承载是实现各个接入部门之间的信息共享, 在公共业务的承载方面两种技术均可实现:一是通过电子政务外网的Global直接承载, 不需要为其开通单独的MPLS VPN, 各个部门将自己的公共业务设置单独的服务器与电子政务外网相连, 通过Global实现与其他接入电子政务外网的政府部门之间的公用业务互访。二是在电子政务外网上开通单独的VPN作为公用业务VPN, 各部门将公共业务区域的服务器单独划分为一个区域, 接入电子政务外网的公用业务VPN实现业务间的互访。从国家信息中心的技术指导要求来看公共业务互访可以采用Global IP网段的承载方式, 但实际开通时会存在IP地址短缺或各部门状况不一的情况, 所以采用划分单独的VPN的方式也同样可以实现, 两种方式均可以实现公共业务网络承载。

互联网业务承载网络:G2C、G2B业务, 承载政府对公众的网站发布业务, 以及政府部门内部访问互联网的业务。互联网业务承载网络有两类业务:包括对外公众信息发布、政务部门内部访问互联网业务。针对两类业务在电子政务外网进行统一划分MPLS VPN的方式来实现, 用户单位需要将对外发布的信息系统设置单独的区域, 统一对外发布。对政府内部访问互联网的用户终端根据国家信息中心的要求与纵向业务之间隔离, 不允许采用同一台主机终端, 因此可以设置单独的主机终端、划分单独的区域, 映射到互联网VPN区域实现对互联网业务的访问。

为了在同一张物理网上针对电子政务外网的三类不同的业务进行承载, MPLS VPN技术成为在网络基础平台的建设中要实现电子政务不同业务应用的不同承载平台, 同时也成为电子政务外网建设中基础的网络技术。

3) 实现不同终端对各个VPN的访问需求

部分终端需要通过外网访问多个纵向VPN资源, 以及不同终端通过外网访问各自VPN资源。

2.2 管理平台

电子政务外网是一张大型的承载网络, 对管理的要求也是非常重要的, 需要实现一个整体的运行与维护平台。

1) 基础网元管理平台

电子政务外网基础平台采用的设备众多, 实现对电子政务外网的基础设备的管理, 所以提出了一个统一的平台, 实现了不同类型的基础平台的网元设备的管理, 如:网络设备, 链路状态监测, 安全设备, 服务器等, 用户可以查看实时管理平台, 整个网络的拓扑结构 (包括所有的网络元素)和链路状态，促进整个网络的有效管理。 基于网元管理的建议落实为底层网络单元的管理平台统一管理平台，以避免管理平台带来的不便。

2) 基础业务管理平台

除了基础的网元管理, 在电子商务的基本业务管理平台区建设外部网络是特别重要的, 基本的业务管理, 包括ACL的政策管理和围护、全网的设备软件管理和整个网络维修, 服务质量管理和维修, MPLS VPN的管理等, 基础业务主要是将原来的多个网元自行维护的业务进行统一管理, 如:ACL的管理, 如果缺乏统一的业务管理平台所有的ACL都是由单台设备管理的, 一旦出现策略变更, 维护人员面对的将是成百上千条策略的变更, 带来极大的管理维护工作量, 所以具有统一的基础业务管理平台对电子政务外网的可运维性十分重要。

3) 运行与维护管理平台

运行与维护管理平台主要是对整体IT基础平台的业务分析, 包括:流量分析、日志管理、配置管理等。以流量分析与管理为例:输出VPN内部的流量情况及输出报表是实现对全网的流量进行分析以及对VPN内部的流量进行分析与管理的前提。

4) 统一应用业务运行管理

IT与业务流程的融合是同一应用业务运行管理平台的条件, 这一部分将会涉及接口开放与定制开发, 它将是电子政务外网将来建设的重点。

3 总结

政府机关和企业在考虑与分支机构、合作伙伴之间建立可信的网络连接时, VPN技术是它们采用的最优方案, VPN技术的优点在广泛应用时越发突出。大型机构的内部专网采用VPN技术将具有较高的稳定性、安全性、灵活性以及扩展性。总之, 采用VPN技术组建网络是大型机构实现内部网扩展的最佳方案。

参考文献

[1]王庆生, 周国英.VPN在政务网中的安全技术分析[J].计算机与现代化, 2007, (9) .

[2]郭美华.VPN技术应用研究[J].商业科技, 2007, (5) .

[3]魏广科.VPN技术及其应用的研究[J].计算机工程与设计, 2005, (3) .