VPN(共12篇)
VPN 篇1
1. 引言
随着互联网技术的快速发展, 越来越多的部门 (如政府、军队, 公司) 考虑运用专用网络, 早期的解决方法是架设或者租用专用的线路, 但是路费用昂贵, 且不灵活, 浪费资源。对于中小企业明显不适用, 于是VPN技术得到越来越广泛的运用。
VPN (Virtual Private Network) 就是虚拟专用网络技术。虚拟的专用不是实际上的专用网络, 是在公用网络中建立一个私有的专用通道。能够实现专用网络的功能。VPN技术的出现, 使用户不再依赖传统的昂贵的长途拨号以及长途专线服务。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。
VPN与传统的专线网络相比, 有如下优势 (1) 降低费用。VPN是通过公用网络建立的, 它并不需要真正的去铺设光缆之类的物理线路。可以大大节省费用, 不必花费财力、物力和人力对设备进行维护和管理。 (2) VPN的建立和管理上更加灵活方便。在专线网络中, 如果用户的内部网络有变动, 原有的专线可能不能再重复使用, 造成了资源浪费, 而虚拟的专用网络只要配置相关的连接参数信息就可以了。因此, VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接 (如DSL、有线电视或者Wi Fi网络) 连接到企业内部网络。
2. SSL VPN技术介绍
SSL是Secure Socket Layer的英文缩写, 中文中称作安全套接层, 是由Netscape公司开发的一套Internet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。与IPSec VPN比较, SSL通过简单易用的方法实现信息远程连通。任何有安装浏览器的PC机都能使用SSL VPN, 因为SSL内嵌在浏览器中, 不需要在每台机子上安装客户端软件。
SSL协议位于TCP/IP与应用层之间, 是一种面向连接的通信安全协议, 它为两个通信实体之间提供认证、数据的保密性和完整性服务。整个过程由握手协议, 改变加密约定协议, 警告协议和记录协议构成。它们共同为应用访问连接提供认证, 加密和防篡改功能。
握手协议是关于客户和服务器如何协商它们在安全信道中要使用的安全参数, 这些参数包括要采用的协议版本, 加密算法和密钥。记录协议主要用来实现对数据块的分块、加密解密、压缩与解压缩、完整性检查及封装各种高层协议。改变加密约定协议主要是为了及时通知修改密码策略, 传输过程中使用当前的加密约定来压缩和加密, 但是并不改变其加密策略。警告协议的一个用途是通信双方在握手协商阶段或是在数据传输阶段, 如果通信中的其中一方发现了错误, 则使用警告消息通知对方所发生的错误, 并对所发生的错误做出相应的处理。
3. IPSec VPN技术介绍
IPSec VPN是采用IPSec协议来实现远程接入的一种VPN技术, IPSec英文为Internet Protocol Security, 是由Internet Engineering Task Force (IETF) 定义的安全标准框架, 用以提供公用和专用网络的端对端加密和验证服务。
IPSce协议有两种安全保护模式, 分别是通道模式与隧道模式。通道模式保护数据包从源主机到目的主机间的安全, 数据包的最终目的是安全终点, 它保护的是IP包的有效载荷或者说是上层协议数据。AH和ESP保护的是传输头;AH和ESP会拦截从传输层到网络层的数据包, 根据具体的配置提供安全保护。通道模式主要用于主机-主机的VPN应用。
而隧道模式用于数据包的最终目的地不是安全终点的情况下。在隧道模式中, 对一个IP报文进行封装, 在原有的IP头前, 又添加一个新的IP报头的协议, 就像隧道一样保护原来的
IP报文。从而隐藏了网络的相关信息。
4. IPSec VPN与SSL VPN的比较
在企业应用中, 最常见的有IPSec VPN与SSL VPN, 两者有各自的特点和使用范围。
4.1 使用复杂性
相比于SSL VPN, IPSec VPN的安装使用更复杂。
IPSec的使用需要安装复杂的客户端软件, 不同的操作系统需要的客户端软件也不同。VPN的策略一旦有所改变, 其管理难度也相应增大, 不方便而且不灵活。而且IPSec还要耗费人力、物力、财力进行后期的维护管理和升级。而SSl VPN相比而言, 不需要额外的客户端软件, 只要一个支持SSL VPN的浏览器即可, SSL VPN避开了在客户端上人力和财力的耗费。因为不同的操作系统对客户端软件的要求不同, SSL VPN不需要安装额外的客户端软件, 所以提高的系统的兼容性。
对于使用着来说, 在第一次使用时, 往往需要配置复杂的网络参数, 这增加了使用过程的繁琐。
在比较复杂的网络中, 比如通过多个ISP (互联网服务提供商) 和防火墙时, IPSec往往容易出现配置错误。这主要原因是数据在网络层需要被认证和加密, 比如说, 在网络地址传输过程中, IP地址可能出现错误。
SSL VPN的数据传输是基于应用层的, 所以, 对于所以通过复杂的网络, 不同的ISP和防火墙时候, 不会出现问题。
以上的种种问题, 使得移动用户使用IPSec VPN时显得十分不方便。SSL VPN成为一种合适的选择。
4.2 安全性能分析
SSL VPN是一种访问的方式, 其加密级别通常不如IPSce VPN高。SSL被设计成利用TCP来提供一种可靠的端到端的安全服务, 被广泛用于Web浏览器和Web服务器之间, 提供身份认证和应用数据加密。
IPSec不是单独的一个协议, 而是一系列协议标准, 由于IPSec协议是一种端到端协议, 虽然它提供了较高的通路安全性, 但是在安全的通路两端, 存在很多不安全因素。
在认证方面IPSec VPN必须安装相应的客户端软件并进行相应的配置, 这样IPSec的认证就与连接双方的设备连接方式和IP地址有对应的关系。这就形成了一种保护机制。再加上用户名, 密码的认证, 使得IPSce VPN有相对高的安全性。对应普通的连接相对安全。但若IPSce VPN的客户端电脑感染了病毒, 此病毒就有可能向网络中其他客户端电脑传播扩散, 从而影响整个系统, 对与SSL VPN来说, 由于没有安装客户端软件, 其感染的可能性, 仅限于被访问的主机, 而且由于每种病毒一般只是针对个别平台的操作系统, 其他类型的操作系统的主机不会受到影响。
对于SSL VPN来说, 因为任何一个支持SSL协议浏览器的公共电脑都可以远程登录公司内部的网络, 这就造成了安全隐患, 如果黑客在这台电脑上安装了键盘输入检测软件, 黑客就能收集用户的账号名和密码, 或者黑客也可以收集浏览器的cookie, 找到需要的信息。所以针对这方面不足, SSL VPN还需要改进。
加密算法方面:密码算法也像系统上的任何一部分, 容易受到各方面的攻击, 密码系统的强度涉及加密算法和作为密码基础的散列函数的强度, 一旦协议或者算法被攻破, 就可以破坏整个系统。
在IPSec VPN中, 采用的是56位, 112位, 168位的DES或者三重DES加密算法, 有时也使用192位, 256位的AES加密算法。在IPSec协议中, 服务端和客户端在通信的开始阶段选择一个加密算法, 越长的密钥, 虽然更安全, 但是也使算法的复杂性增加。在SSL VPN中, 通常采用40位或者128位的RC4加密算法, 因为密钥比较短, 所以这种算法安全性比IPSec VPN低。
IPSec VPN通常保护的是网关之间的数据安全, 但是在应用服务器和安全网关的数据传输过程中, 是不被加密的, 所以黑客可以轻松地监听在本地网络上计算机的敏感信息。SSL VPN提供端到端的连接, 数据在客户端和应用端的数据是被加密的, 所以确保了本地网络的安全。
4.3 可扩展
可扩展性包含三个个方面, 用户扩展和应用扩展和设备扩展。由于IPSec是基于网络层的, 所以应用是相对于独立的一个方面, 企业用户可以随时方便地修改或增加应用功能。但是由于增加新用户需要新的客户端, 所以增加新用户会相对麻烦。
SSL VPN是基于应用层的服务, 所以改变应用需要改变VPN的接口, 所以对于SSL VPN来说, 应用扩展不是很方便。SSL VPN的一大优势是它跟网络层无太大的关系。所以使用者增加或改变用户信息相对快而且简单, 只要增加了新的用户名和密码, 认证之后的新用户即可投入使用, 但是我们在实际中也注意到了一个现象, 当系统内的用户增长到一个数值, 即一个特定的阈值, 整个VPN系统的性能会随之下降。
IPSec一般部署在网络网关处, 因此如果添加新设备, 一般要考虑网络的拓扑结构, 往往要改变网络的结构, 这样IPSec就要重新部署, 会造成资源的浪费, 所以IPSec可扩展性差。而SSL VPN一般部署在内网中的任一节点, 可以根据需要, 添加VPN保护服务器, 无需改变原有的网络结构。
4.4 投入成本方面
在决定使用何种VPN技术时, 投入成本是一个很重要的关键因素, 如何在成本和效率直间均衡是企业用户最关心的因素之一, SSL VPN是最经济高效的选择, 我们可以利用现有的数据库投资, 创建基于角色/资源的的策略, 在短时间内完成系统的部署, 而不用一一安装客户端软件。
对于IPSec VPN来说, 每增加新的分支, 就需要添加一个硬件设备。所以, 对于一个发展中的公司, 投入的成本会随着设备的增长而增长。
而使用SSL VPN部署公司网络时, 只需要在总部放置一台硬件设备, 就可以实现所有用户的远程访问接入。
4.5 跨平台性
当公司员工出差时, 要在外网访问公司的内部网络, 此时远程终端用户的环境往往多种多样, 这就要求VPN系统能兼容大部分的软硬件环境, 由于SSL VPN的客户端是基于SSL协议和浏览器技术而实现的, 所以只要浏览器能内置有SSL协议, 就能实现其功能。这点比IPSec VPN方便。
虽然已有许多开发的操作系统提出对IPSec协议的支持, 但是在实际应用是, IPSec安全协议客户的计算机通常只运行基于Windows系统, 很少有运行其他平台的系统, 如MAC, Linux
等系统。这影响了, IPSec VPN系统在其他平台上的应用。
5. 结束语
SSL VPN网关作为一种新兴的VPN技术, 与传统的IPSec VPN相比, 有巨大的优势, 基于SSL协议的VPN远程访问方案主要以其不需要安装和设置任何客户端软件的特点, 使其更容易配置和管理, 使作为后起之秀的SSL VPN得到了广泛的应用, 其网络配置和维护成本也比起目前主流的IPSec VPN要低, 利用基于SSL协议的远程访问技术来实现VPN已经获得了迅速的发展, 具有巨大的市场情景。
参考文献
[1]董靖超.VPN技术与应用.电脑与电信[J], 2012, 7:42-44.
[2]王达.虚拟专用网精解[M].北京:清华大学出版社, 2004.
[3]金汉均.VPN虚拟专用网安全实践教程[M].北京:清华大学出版社, 2010.
[4]徐博.面向SSL VPN的访问控制及相关技术研究[D].浙江:浙江工业大学, 2009.
[5]雷万云.云计算:企业信息化建设策略与实践[M].北京:清华大学出版社, 2011.
[6]王凤领.基于IPSec的VPN技术的应用研究.计算机技术与发展[J], 2012, 9:250-252
VPN 篇2
1.VPN概述
随着通信基础设施建设和互联网络技术的飞速发展,各行各业纷纷借助互联网络技术来加快信息的流动速度,提升企业的综合竞争力。VPN 技术,就是一种目前业界主流的解决异地网络安全互连的加密通信协议。
VPN是Virtual Private Network(虚拟专用网络)的简称,指综合利用封装技术、加密技术,密钥交换技术、PKI技术,可以在公用的互联网络上,建立安全虚拟专用网络。
VPN 是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、有安全保障的互联网上传输的。VPN 技术能够有效保证信息安全传输中的性”、“完整性”和“不可抵赖性”。
实际上,VPN是一种依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在VPN服务中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路,用Internet公众数据网络的长途数据线路,为自己制定一个最符合自己需求的网络,从而实现企业内部多个分支机构之间的数据通信、Voip电话、视频会议等多种业务。
包没“机密而是使
2.VPN主要技术
目前市场上多种 VPN技术并存,主要有以下几种:
PPTP/L2TP:属于上世纪末的技术,实现比较便捷,集成在 Windows 操作系统之中,使用方便。但技术过于简单,加密算法和协议的安全性以及性能吞吐率都很低,并发接入数目较低,属于非主流的VPN 技术,基本已被淘汰。
MPLS VPN:在IP路由和控制协议的基础上提供面向连接(基于标记)的交换。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持 MPLS,所以这种技术对网络有较为特殊的要求。特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。MPLS VPN的用户,需要通过光纤或者以太网接口FR(EDSL)专线接入电信骨干网络,MPLS VPN服务给企业提供高带宽的二层透明通路,企业可以自定义规划其网络结构和地址。
IPSec VPN:目前市场主流 VPN技术,由于 IPSec是在 IP 层进行加密和封装,所以在性能表现强劲的同时,又能支持各种基于 IP 协议的网络应用,是国际上公认的 IP 层 VPN技术标准。IPSec VPN 安全性好,对 IP 应用透明,性能高,灵活稳定,易于扩展,互通性强;适合网间互连(Site To Site)和客户端接入互连(Client To Site)。但是,局限性主要在于在Client To Site的通讯模式下,移动用户需要安装专门的VPN客户端软件,增添了使用和维护的复杂程度。
SSL VPN:专用于解决客户端接入互连(Client To Site)的传输层VPN技术。移动用户不需要安装VPN客户端软件,而使用WEB浏览器作为登陆方式。SSL VPN安全性好,使用灵活,不受网络接入环境的限制,对应用的控制粒度更细。但其局限性是:对许多 C/S应用的支持能力较差,性能相对较低;并且不能满足网间互连(Site To Site)的VPN连接需求,设备价格高昂,且SSL VPN 网关自身抗攻击能力差,需要额外的防火墙或安全网关等防护设备的保护。
3.VPN产品分类
根据产品应用对象,VPN产品分为:
中小型企业VPN:百兆接口、嵌入式处理器 大中型企业VPN:百兆接口、嵌入式处理器
大型企业VPN:千兆接口、X86架构处理器、集成加密卡
面向骨干网络和超大型企业VPN:千兆+光纤接口、至强处理器、集成加密卡
根据产品采用的技术,VPN产品分为: MPLS VPN IPSec VPN SSL VPN IPSec/SSL VPN
4.VPN产品主要功能
4.1.VPN产品通用功能
SSL VPN的关键技术包括:Web代理、端口转发、应用转换、网络连接(Network Connection, NC),目前大部分的SSL VPN产品,都是以这几项技术的一项或几项为基础研发实现的。那么,对国产SSL VPN产品而言,哪些技术尤其重要呢? 首先是Web代理技术。由于用户需要访问内网的Web应用,而且希望访问方式尽量简便,而只有具备Web代理技术,SSL VPN产品才能做到100%零客户端,才能为用户提供最简便的接入方式,因此,Web代理技术对国产SSL VPN产品而言是一项必须技术,也是SSL VPN产品是否专业的重要标准之一。
除了Web代理技术,端口转发技术的重要性也不容小觑。除了要访问除Web应用外,用户还需要经常访问组织内部的C/S架构应用,例如邮件、FTP、文件共享、数据库、ERP等,这时,SSL VPN产品采用端口转发技术实现对C/S应用的处理,是再合适不过的了。
至于应用转换技术,目前国内用户需求并不迫切。由于SSL VPN产品需要把FTP、Email,SSH等应用以Web的形式重新实现,实现起来比较复杂,还可能存在提供的功能不够完整,界面不够友好,不太符合用户的操作习惯以及控件引用是不合法等一系列问题。从另一个角度来看,用户在没有使用SSL VPN之前,都已经习惯通过相应的客户端软件对C/S应用进行访问,在使用SSL VPN后,仍然希望通过使用原来的客户端软件访问内部的各种C/S应用。由此看来,应用转换技术并不十分适应于国内的用户,也并非是国产SSL VPN产品的必须功能。
最后再看NC技术,由于NC技术可以实现SSL VPN与应用无关的特性,因此客户端通过SSL VPN访问内部整个子网的需求仍然存在。然而,在使用该功能时,需要给客户端配置虚拟IP地址,这样一来,就会遇到地址规划上的一些问题,在配置和使用上也比较复杂。目前,国内已经有SSL VPN厂商注意到这个问题,为了更好地满足用户对易用性的要求,采用了一种“网络层代理”技术,客户端通过SSL VPN产品访问内部整个子网时,不需要借助虚拟IP地址,也不需要改变内网服务器网关指向,有效地解决了NC功能配置和使用复杂的难题。但目前,“网络层代理”技术还存在一个问题,即无法处理TCP连接由内向外发起的应用,无法做到“与应用无关”。如果有SSL VPN产品能够同时具备NC和网络代理功能,将会受到更多国内用户的青睐。
以上列举的只是SSL VPN产品的几项主要技术,为了更好地满足国内用户的需求,SSL VPN产品还必须在功能上进一步贴近需求,不断丰富,主要包括:
丰富的认证方式:国内用户类型众多,对认证方式和安全性要求也不尽相同。除了基本的本地口令外,动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书+USBKEY等多因素认证方式也越来越常见,成为对SSL VPN产品的基本要求。此外,随着CA体系在中国不断健全,越来越多的用户从专业的CA企业购买服务,因此国产SSL VPN产品能否很好地与标准第三方CA系统兼容,能否提供标准OSCP、CRL等证书校验接口,在一定程度上决定了该产品能否应用到用户现有环境中。
线路优化:国内用户常常向不同的ISP申请了多个公网IP提供服务。如果SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问,并可以根据接入客户端的ISP来源选择最佳路径,那么将可以大大提高访问效率,更好地适应国内的网络环境。
单点登录:在用户的内网中,OA系统通常都带认证功能,使用者需要提交用户名及口令才可登录。加上SSL VPN后,用户就首先要登录SSL VPN,然后再次提交认证信息登录OA,导致重复认证过程。为了简化登陆程序,SSL VPN产品应该能记录用户登录SSL VPN时的认证信息,在用户访问OA时,代替用户提交认证,用户不需要再次输入用户名和口令就可打开登录成功后的页面。
端点安全:安装SSL VPN产品后,端点安全也是不得不考虑的重要方面。是否允许所有PC都接入SSL VPN,在连接SSL VPN隧道后是否允许访问互联网,在SSL VPN客户端注销后,访问痕迹是否应该清理,都是SSL VPN需要重点考虑的几个安全问题。目前,国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前,先检测终端主机上是否具备管理员要求的某些特征,如操作系统版本、IE浏览器版本、是否运行了杀毒软件等等,如果不满足安全策略,则拒绝连接。在建立隧道后,SSL VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户注销后,还会自动清除此次的访问痕迹,确保信息不被泄漏。此外,如果产品能实现帐号和客户端主机特征绑定以及防伪造功能等,将可以进一步提高客户端的端点安全性。
应用层防御:SSL VPN产品是以应用为核心的安全接入产品,因此应用层的安全防御必不可少。目前,防SQL注入,防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌发上限控制功能,保障了应用服务系统。安全审计:而言,SSL VPN哪个用户、在什么时间,在什么地理位置通过哪个什么服务,访问了哪些条件(如时间范围、浏览和下载。4.2.安达通4.2.1.特色功能 IPSec over HTTPS/HTTP 隧道接力技术 虚地址互联技术 自动路由技术 多播隧道技术 准入控制技术 动态口令短信认证技术4.2.2.负载均衡功能 智能均衡上网技术SSL VPN产品上。甚至有厂商还提供了基于账号的最大并有效防止了一个账号恶意产生大量连接的DoS攻击行为,有效
SSL VPN产品相对传统VPN的优势之一就是审计更加详细。相比IP地址。在日志中应该可以记录ISP登录了SSL VPN,访问了Web页面等等。另外,SSL VPN产品还应该提供基于各种关键字等)的查询功能,甚至可以根据时间范围生成报表提供VPN产品主要功能
技术
产品更关注账号而不仅仅只是 VPN多点接入和均衡技术 VPN链路备份技术
4.2.3.VPN 移动接入加速系统功能 4.2.4.防火墙功能
网络地址转换(NAT)技术 状态检测防火墙技术 HTTP 检测技术 IP-MAC地址绑定技术 内网用户认证技术 IDS联动技术
4.2.5.其他功能
双机热备 流量控制 路由支持 配置和升级管理 日志管理
5.VPN典型应用
5.1.单臂连接模式
“单臂连接”模式是用户已有防火墙等设备时安达通首推的部署方式。“单臂连接”模式指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安全网关设备当作一台服务器或主机,专门处理 VPN 报文的加解密。从实现技术上而言,单臂连接结合了串行连接和并行连接两者的优势,实现了部署和性能的最优化。在实施时,需要在防火墙(路由器)上为安全网关做静态端口映射(静态 NAPT),同时也需要在防火墙(路由器)上添加静态路由来解决要通过VPN的数据包正确流向的问题。
结合”自动路由”技术,单臂连接方式能在对用户环境最小改动的前提下部署 VPN,大大增加了VPN设备对网络环境的适应能力。
单臂连接实际案例配置示意图如下所示:
上图示例中总部局域网利用一台防火墙通过光纤接入互联网,防火墙外口 IP 地址为218.1.1.1,内口IP 地址为192.168.1.1,现仅将安全网关的LAN 口接到内网交换机。安全网关工作在路由模式下,LAN口IP 地址 192.168.1.254,WAN口任意设置一个 IP 地址,比如为 1.1.1.1,总部内网只有一个子网 192.168.1.0/24。该单位有一异地分部,采用 ADSL 接入互联网,并使用 SJW74A 安全网关作为接入设备,内网也只有一个子网为 192.168.2.0/24。通过这样的部署,可实现该分部与总部子网的 VPN 互连。同时还可实现移动客户端的远程接入(如上图),客户端的私有 IP 地址为172.16.1.1-10。
5.2.路由模式
“路由模式”是指VPN网关内外网接口路由不同,网关本身要作为路由器或NAT 转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。通过使用安达通自带的初始化向导工具可以非常简便的部署“路由模式”网关,典型部署示意如下图:
上图示例中,VPN 安全网关作为总部局域网的出口,对内提供上网服务,对外提供 VPN接入服务。内部 192.168.1.X 的 PC 用户默认网关指向 VPN 内网口 192.168.1.1,通过 NAT 映射访问公网和其他VPN子网。
5.3.透明模式
“透明模式”又称为“网桥模式”,是指安全网关接入在防火墙(路由器)与内网之间,透明转发除VPN报文之外所有数据的一种连接方式。
安达通 VPN 安全网关的“透明模式”主要分成链路层协议的学习功能,报文的接收和转发功能。对于透明模式下收到的报文,根据其目的 MAC地址可以分为,发往网关自身的报文、广播报文和发往其他的报文,由于透明模式仅仅对 VPN 报文进行加密,其他报文在出入端口上进行完整复制,所以保证了链路的透明性和 VPN的安全性。
以某商业银行网络的 VPN安全网关部署为例。所有的安达通安全网关均部署在防火墙/路由器之后,工作在“透明”模式下。安装这些安全网关设备的前后,原有网络系统:路由器、PC、Server 等没有调整过任何配置,就实现了各分行和总行之间数据传输加密。“透明模式”部署的安达通 VPN 安全网关的 WAN 和 LAN 口 IP 是和本地内网同一网段的未被使用的IP 地址。如下图示意: 6.VPN与TPN是,可信专用网防护、VPN接入、全网行为管理、主机安全管理等组成。可信专用网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。企业对VPN分布在异地的局域网络进行互联。随着网络互联的进行,的基础设施。
这些基础设施,安全可信是最重要的。可信平台建设包括了边界、内网、主机、接入等部分。目前来看,企业可以用各种技术来确保这四部分成为有机整体。网技术TPN.TPN互联以后全网的可信任安全平台。目前来看,能:包括虚拟专网、防火墙、入侵检测、漏洞扫描、病毒防护、网络审计、身份认证、桌面安全等。网络边界防护力度不够、分支机构的统一、垃圾邮件和病毒、越权访问密、非法接入TPN(Trusted 系统通过对“用户—角色—资源”的集中描述,因为信息的共享有网络互联的需求,整个网络平台已经越来越成为企业以及政府单位运行VPN的主要区别,TPN模型需要实现所有传统安全设备所提供的安全功而TPN应对的问题则包括了:实现“内网
客观上需要将从而产生/盗取机
TPN
Private Network)系统的简称,由边界
浅谈MPLS VPN技术 篇3
【关键词】MPLS;VPN
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2012)09-0074-01
1、MPLS VPN简介
随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network)。在公共网络上组建的VPN像企业现有的私有网络一样提供安全性和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。
MPLS即多协议标签交换属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF所提出,由Cisco、3Com等网络设备大厂所主导。从MPLS字面上来看,它是一个可以在多种第二层媒质上进行标签交换的网络技术。这一技术结合了第二层的交换和第三层路由的特点,将第二层的基础设施和第三层路由有机地结合起来。第三层的路由在网络的边缘实施,在MPLS的网络核心则采用第二层交换。
2、MPLS VPN工作原理
MPLS是一种特殊的转发机制,它把进入网中的IP数据包分配标签,并通过标签的交换来实现IP数据包的转发。标签作为替代品,在网络内部MPLS在数据包所经过的路径沿途通过交换标签,而不是看数据包的IP包头来实现转发,当数据包要退出MPLS网络时,去掉数据包上的标签,继续按IP包的路由方式到达目的地。MPLSVPN有三种类型的路由器,CE路由器、PE路由器和P路由器,主要工作流程如下:
(1)CE到PE间通过IGP路由或BGP将用户网络中的路由信息通知PE,在PE上有对应于每个VPN的虚拟路由表VRF,类似有一台独立的路由器与CE进行连接。
(2)PE之间采用MP-BGP传送VPN路由信息以及相应的标签(VPN的标签,以下简称为内层标签),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标签(用于MPLS标签转发,以下称为外层标签)的绑定。到此时,CE、PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息VRF。
(3)当属于某一VPN的CE有数据进入时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的VRF路由表中去读取下一跳的地址信息。同时,在前传的数据包中打上内层标签。下一跳地址为与该PE作对等的PE的地址,为了到达这个目的端的PE,在起始端PE中需读取MPLS骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上用于MPLS标签交换的外层标签。
(4)在MPLS骨干网络中,初始PE之后的P均只读取外层标签的信息来决定下一跳,因此骨干网络中只是简单的标签交换。
(5)在达到目的端PE之前的最后一个P路由器时,将把外层标签去掉,读取内层标签,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
(6)P路由器完全依据MPLS的标签来作出转发决定。由于P路由器完全不需要读取原始的数据包信息来作出转发决定,P路由器不需要拥有VPN的路由信息,因此P只需要参与骨干IGP的路由,不需要参加MP-BGP的路由。从MPLS VPN工作过程可见,MPLSVPN絲毫不改变CE和PE原有的配置,一旦有新的cE加入到网络时,只需在PE上简单配置,其余的改动信息由BGP自动通知到CE和P。
3、MPLS体系结构
(1)标签边界路由器LER是MPLS的入口/出口路由器,在MPLS域与其他网络边缘的标记交换路由器,主要功能是进行IP报文初始化处理、分类等第三层功能和标签绑定功能。在入口处将IP地址转换成标签,在出口处又将标堑恢复成IP地址。
(2)标签交换路由器LSR是支持标记交换协议的路由器,具有第三层转发分组和第二层交换分组的功能。它能运行传统的IP路由协议,并能执行一个特殊控制协议以与邻接的LSR协调标签的绑定信息。
(3)标签Label(如图3-1所示)
4、MPLS VPN在信息网络中的应用
基于MPLS技术平台实现的MPLS VPN,以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
MPLS是多协议标签交换协议的简称。MPLS VPN网络中,有三种设备:CE、PE和P路由器,CE是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;PE是骨干网中的边缘设备,它直接与用户的CE相连;P路由器是骨干网中不与CE直接相连的设备。P路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议,并使能该协议;PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便网络的扩展和变更。
5、总结
VPN 篇4
由于办学规模不断扩大的需求及历史、地理原因,我院现有两个校区,院本部位于山东省济宁市,分校区位于日照市。另外,考虑到住在校外或出差的老师也有使用校园网络资源的需求,我们在进行校园网规划的时候,将如何实现分校区及移动用户接入作为一个重点考虑的问题。选择V PN技术,是当前经济、安全、灵活、高效地将这些远程子网接入校园主干网的一种较理想的方案。
1. VPN的概念
V PN(V irtual Private N etwork,虚拟专用网)是通过一个公用网络建立一个临时的、安全的连接,是一条通过公用网络的安全的、稳定的隧道。在V PN中,任意两个节点间并没有端到端的专用物理链路,而是利用现有的公众网络资源动态形成的一种通道。按IE T F(互联网工程任务组)草案理解:V PN是使用IP机制仿真出一个私有的广域网,是通过私有的隧道技术在公共数据网上仿真一条点对点的专用线路技术。所谓虚拟是指用户不再需要拥有实际的长途数据专用线路,而是通过已有的公众网来实现;所谓专用网络,是指用户可以为自己定制一个最符合自己需要的网络。V PN利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。我们通常将V PN当作W AN的解决方案,但它也可以简单地用于L AN[2]。
2. VPN技术
在构建网络时用户除了考虑其实用性外,最关心就是它的安全性。VPN是利用公用网络实现专用网络的虚拟连接,其安全性如何呢?目前V PN主要采用四项技术来保证安全,分别是隧道技术(Tunneling)、加解密技术(Encry ption&Decry ption)、密钥管理技术(Key M anagement)、使用者与设备身份认证技术(Auth entication)[3,4]。
3. VPN应用分类
根据V PN所起的作用,可以将V PN分为3类:Access V PN、Intranet V PN和E xtranet V PN,这3种类型的V PN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的E xtranet相对应[5]。
4. 我院VPN的连接方式
图1中的济宁校区和日照校区分别通过本地的因特网服务商用多种接入方式联入因特网,两校区各有一台带有VPN功能的防火墙,防火墙的其中一端接入校园的内部网,另一端接入因特网,这样就从物理上构筑了VPN即虚拟专用网。由此,移动办公用户、出差教师、校外居住教师、家属区网通用户、学院合作单位用户都可以通过学校网络管理者授权的身份认证方式登陆学校内部网络,进而使用学校内部的网络资源,如:网络存储、信息系统、期刊数据库、网络教学平台、下载内部软件等。
5. 未来的构想
在图1中,存在一条2M的专用线路连接着两校区,这是构建VPN网络前所使用的。现在虽然构建了VPN网络,但由于两校区间的数据传输量大、需求高,且目采用的设备不是专用的V PN设备,只是带有V PN功能的防火墙,若防火墙出现问题,V PN将会中断,那样两校区就会失去连接,所以保留了此线路。笔者已做过实验,断掉此线路,通过V PN可连接两校区。使用专用线路是能保证数据及链路的问题,但是投资高。在未来的时间,学院计划使用专用的V PN设备构筑两校区的连接,这样既可以省掉专用线路的投资,又可以保证数据及链路的问题。
由此可见,VPN技术既可以满足用户的需求又可以把投资降到最低,同时又能够使用户拥有更加优质的服务。目前V PN技术在一些建有分支机构的大型企事业单位中已得到较为广泛的应用,而在校园网络中使用的还不是太广泛,相信该技术在日后会得到更为广泛的推广与应用。
摘要:文章通过对VPN技术进行具体分析与研究,提出了将其应用于校园网络的技术方案,用以解决高校合并导致校园呈现多校区化,以及住在校外或出差的教师对校园网络资源使用的需求等问题。
关键词:VPN,虚拟专用网,校园网,VPN技术
参考文献
[1]黄强.校园VPN网的建设与管理[J].贵州大学学报(自然科学版).2005,22(1):59-63
[2]周丽佩.VPN技术在校园网中的应用[J].大庆石油学院学报.2003,27(2):62-64
[3]叶国建.VPN技术在校园网上的应用[J].计算机工程.2000,26(S1):210-214
[4]冯伟.基于VPN技术的校园办公网解决方案[J].三峡大学学报(自然科学版).2002,24(6):516-519
典型应用之--VPN篇 篇5
VPN技术简介
1.1 概述
VPN的全称是Virtual Private Network,翻译过来一般称为虚拟专用网络。其主要作用就是利用公用网络(主要是互联网)将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。
一般来说两台连接上互联网的计算机只要知道对方的IP地址,是可以直接同通信的。不过位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络 和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。连个私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这 样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过 一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个 VPN系统。一个完整的VPN系统一般包括以下几个单元:
VPN服务器,一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。VPN数据通道,一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。
1.2 应用情景
我们可以设想一下的情景:公司的总部在广州,有两个办事处分别在香港和上海,两个办事处的网络需要和总部连接,同时办事处之间也需要相互连接。解决这种问题以前只有一种办法就是分别申请两条专线连接总部和两个办事处,两个办事处之前的通信通过总部转发。长途专线的费用是非常昂贵的,在以前也只有银行、证券 公司以及大象企业才有能力负担。
有了互联网和VPN技术之后解决办法可以变成这样,总部通过一条专线和互联网连接,两个办事处分别在本地申请互联网的拨号连接。然后通过在互联网上建立两条VPN通道将三个网络连接起来。这样可以省去长途专线费用。不过互联网的专线连接也不便宜,这种解决方案暂时也只有大中型公司可以负担得起。
那么为什么总部必须使用互联网专线呢,这里牵涉到一个VPN的技术细节,在建立VPN通道的时候,连接的发起者必须知道接受连接的服务器的IP地址,就像我们打电话之前必须知道对方的号码一样。而普通的拨号连接每次上网的IP地址都不相同。不过现在有一个很好的解决方案,通过花生壳动态域名服务可以让一个拨号连接获得的IP地址与一个固定的域名绑定在一起,当建立VPN连接的时候,连接建立者只需要输入连接接受方的域名就可以了。不过接受方的IP地址怎么改变,这个域名都可以解释到接受方当前的Ip地址上。这样就可以省去一条互联网的专线连接,大大降低了通信的费用,这样VPN的解决方案中小型企业也可以负担得起了。
二、规划VPN接入环境
VPN不但可以用于上述网络对网络的连接,也可以用于单台计算机到网络的连接。在使用VPN的时候我们需要规划一下我们应用环境。
首先我们需要列出需要连接的节点以及节点的类型,以及之间的访问关系,即由谁发起连接和向谁发起连接的问题。这样我们可以确认在我们环境中确定哪些地方需要安装VPN服务器,哪些地方仅仅是配置客户端就可以了。
对于需要安装VPN服务器的地方我们需要一条比较高速的互联网线路,一个固定的IP地址,或者使用花生壳配置一个固定的域名。
下面的介绍时基于微软间操作系统进行的。微软的操作系统中提供VPN服务器功能的有Window 2000 Server和Advance Server,以及比较久的NT Server 4.0,当然这些操作系统也可以作为VPN的客户端。其他的则全部都可以作为VPN客户端。(Window95必须安装Dialup Network 1.3组件)。
确定了服务器和客户端之后,我们还需要规划个节点的IP地址。每个私有网络必须使用不同的地址段,在各自的地址段中必须划分出一部分用于VPN的接入。
以下的介绍我们都是围绕着Window2000的配置进行的。
三、配置VPN接入服务器
3.1 安装花生壳
只有VPN服务器才需要安装花生壳服务,在规划环境的时候必须为每台VPN服务器申请一个Oray护照。这样每台服务器就会有一个不同的域名。在客户端拨号的时候可以通过域名控制连接不同的网络。
一般建议花生壳直接安装在VPN服务器上,并配置为自动启动。这样只要服务器在线域名一定有效。当然如果VPN服务器也提供互联网共享的话也可以将花生壳安装在内部网络的任何一台计算机上,不过必须保证这台计算机不会在服务器在线的时候关机,以免域名失效。
3.2 网络连接准备
作为VPN服务器实际上就是一台路由器,一般需要安装两块或以上的网卡,其中一块网卡负责和互联网连接。另一块网卡则连接内部网络。在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。
另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址,即接入的ISP不是使用地址转换技术。检测的办法如下:
在命令行输入ipconfig,检查和互联网连接的网卡的IP地址,如果其地址在下列范围之一则不是公网地址,ISP使用了地址转换技术提供接入服务。这样就必须更换ISP。10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
3.3 配置路由和远程访问服务
激活路由和远程访问服务
在安装Window 2000 服务器或高级服务器的时候路由和远程服务是默认安装好的,不过没有激活罢了,因此我们需要首先激活路由和远程访问服务。步骤如下:
在程序/管理工具中,点击“路由和远程访问”。打开路由和远程访问服务管理界面,见图3-1
图3-1
当前的管理界面中尚未添加服务器,所接下来需要将本机添加进去,方法是在服务器状态上按鼠标右键,选择添加服务器,打开添加服务器的对话框,选择“这台计算机”,见图3-2
图3-2
按确定之后管理界面出现本机,并且处于停止状态,见图3-3
图3-3
接下来需要激活本机的路由和远程访问服务,在本级服务器上按鼠标右键,选择配置和激活路由和远程访问服务。系统打开路由和远程访问服务安装向导。按下一步出现想到的功用设置页面,见图3-4。
图3-4 选择手动配置服务器,实际上这是最简单的配置方法,我们暂时撇开复杂的概念,这个选择实际上已经将大部分我们需要的功能完成了。按下一步然后完成,系统会询问是否启动路由和远程访问服务,回答是。然后我们又回到管理界面。见图3-5
图3-5
接下来我们所需要改动的地方只有一个就是配置VPN接入是分配的IP地址。
配置接入的IP地址
VPN服务在接受了VPN客户端的接入之后就会为客户端分配一个IP地址,客户端就是用这个地址和服务器或服务器连接的内部网络通信。这个地址需要实现分配好,这个地址可以有两种配置方法:
1、使用和内部网络相同的地址段,这样远程接入的VPN客户就和直接连接在内部网络的计算机一样,其网络配置和在公司内部的计算机没有什么区别。这种方式适合于单机拨入的情况,但不太适合网络对网络的VPN互联。
2、使用和内部网络不同的地址段,这时候VPN服务器相当于一台路由器,比较和与网络对网络的互联。对于单机就比较麻烦,对于接入移动式办公的电脑最好还是选用第一种方式。
配置接入地址段的方法也有两种方法,一种是利用DHCP服务器,另一种就是直接在接入服务器上配置。前一种方法需要介绍DHCP服务器的使用,这里就暂不介绍了。以下是配置接入服务器自己的地址段的方法。
在接入服务器上按鼠标右键,点击属性,打开服务器的属性对话框,选择IP页面,如图3-6
图3-6 选择“静态地址”,按添加打开静态地址配置对话框,如图3-7
图3-7
输入其实抵制和结束地质,注意地址数量必须比最大的接入数量多一个,因为服务总是占用地址段的第一个地址。
3.4 配置访问权限
用户必须有相应的权限才能使用接入服务,这个权限是在用户管理工具中配置的。如果使用活动目录则必须使用活动目录的拥护和计算机进行管理,如果使用本机的账号则使用计算机管理中的用户和组的功能。
远程拨入的权限是一个个用户配置的,默认情况下所有用户都没有拨入权限。我们在用户管理中选择需要拨入的用户,打开属性对话框,选择拨入页面。在远程访问权限中选择“允许访问”即可,见图3-8
图3-8
四、配置客户端
这里介绍的客户端指的是单台PC连接VPN服务器的情况,即单机和网络的连接。关于网络到网络的连接我将在后续的文章介绍。
单机连接2000Server做的VPN服务器非常简单,和平时Modem拨号上网差不多。区别在于原来填写电话号码的地方现在必须填写VPN服务器的 Ip地址或域名。另外我们需要记住VPN是一种建立在已有的网络连接上的一种专用连接,即人和VPN都需要一个底层的网络连接,我们可以在建立VPN拨号 连接的时候指定底层连接(如连接互联网的拨号连接),这样在拨VPN的时候计算机会自动拨互联网的连接。当然你如果使用多种互联网连接或直接使用局域网类 型的连接。可以不指定这个底层连接,在拨VPN之前自己手工拨号上互联网。建立VPN拨号连接的方法如下:
首先打开控制面板里面的网络和拨号连接,点击新建连接。系统会打开拨号连接向导,按下一步,进入网络连接类型的选择,如图4-1
图4-1
选择通过Internet连接到专用网络,按下一步,进入公用网络配置,见图4-2
图4-2
如果你使用的局域网形式的接入选择,不拨初始连接,如果你使用一个固定的拨号网络连接互联网,则选择自动拨此初始连接,并选择对应的拨号连接名称。按下一步,进入目标地址配置,见图4-3
图4-3
输入VPN服务器的IP地址或域名,如果你的VPN服务器采用的是动态连接,这时花生壳就显示出其威力了,只需要输入了VPN服务器的动态域名,我们就可以省去大笔固定线路的租用费用了。按下一步,输入新建VPN连接的名称,见图4-4
图4-4
实用中小企业VPN需求分析 篇6
关键词:VPN 需求分析 共享信息资源 协同工作
中图分类号:C934 文献标识码:A 文章编号:1007-3973(2012)010-139-02
1 引言
随着业务的不断发展,中小企业的规模逐渐扩大,在全国各地甚至全球都成立了分公司或办事处,与产业链上下游机构建立了紧密的合作关系。依托互联网,可以实现企业总部、分支机构、经销商、合作伙伴、客户和外地出差人员跨地域、跨时空地交流信息,促进资源共享和业务集成,增强协同效率和降低经营成本。
如何低成本、合理、合法、安全、易扩充地支持异地机构的办公网络互联,一直是中小企业最为关心的问题。大公司采用的租赁电信运营商数据专线方式,由于费用昂贵,不适应中小企业的实际情况和需求。同时,专线也仅仅解决了多个内部网对接的问题,网络互连与身份验证的安全隐患仍有待解决。随着网络与安全技术的不断升级换代,VPN技术与产品已经趋于成熟,易为众多中小企业接受。
本文以一家虚拟的中小企业为例,以现实适应性和安全与投资最大性价比为目标,通过技术解析、需求分析、综合考核评估等几个步骤,逐步剖析优化得出VPN产品的推荐选型建议。
2 技术背景介绍
VPN(“虚拟专用网络”)通过特殊加密的通讯协议,在连接于互联网上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,从而利用公共网络建立虚拟私有网,实现异地访问。
VPN有两种基本实现方式,IPSec VPN和SSL VPN。前者可提供高安全性的用户远程访问,但安装和维护比较麻烦(需要客户端安装软件,异地机构之间对接要求双方都同时部署设备等),同时客户端上的设备配置改变,不仅可能导致客户端软件的重新安装和调试,还有可能引起整个网络结构的调整。后者是解决远程用户访问公司内部系统与共享数据的最简单、最易用、最安全的技术,在不影响已有网络结构的前提下,通过加密传输、插件内嵌浏览器的方式实现,具有部署简单,无客户端,维护成本低,网络适应强等特点。
3 选型需求分析
由于市场上VPN实施方法与产品及价格区别很大,作为信息化投入预算较小的中小企业,在采购和实施设备及软件之前,必须进行全面需求分析与合理综合评估。
建议先考虑以下几个问题:
3.1 是否需采购专用的硬件设备
理解相关产品所涉及的技术路线,确认解决方案选型的方向。广义上讲,VPN技术是路由器具有的重要技术之一,目前已被路由器、交换机,防火墙等硬件设备或Windows Server、ISA Server等软件支持,配置成为VPN网关。本案例推荐硬件设备原因在于企业级的应用需求,简单通过软件配置难以实现,例如:
(1)当需要同时支持SSL/IPSec时;
(2)当需要支持包括DKEY在内等的网络接入多重身份认证方式组合,以及实施细粒度的资源访问授权控制来保障用户、边界、应用数据的完整和安全时;
(3)当涉及易用性、可配置、执行效率、扩展性、可靠性、系统集成、分布式集群等企业级应用要求时;
(4)当从设备的系统处理能力的角度考虑时。专业的硬件VPN设备采用的是硬件架构甚至专有操作系统,相对于软件VPN服务器的通用架构,系统运算能力与执行效率高。
3.2 对安全接入实际需求的分析
判断到底哪种类型的VPN能够解决问题?用什么组网方式最好?产品中最值得关注的关键指标是什么等等,这些都是后续选型决策评价的依据,并不能想当然地认为最贵的设备就一定适合。根据研究,本文需求分析如下:
(1)为了对已有办公网络拓扑影响最小,推荐采用旁路方式部署新设备。
(2)应同时支持IPSec和SSL两种标准协议,因为各有最适合的应用环境和情形。
(3)广泛地支持各类网络应用,包括支持绝大部分基于TCP的应用和协议,支持服务器和客户端间的双向访问以及UDP应用,提供客户端安全检查的功能等。
(4)针对吞吐量和并发用户数的评估,不能简单累加用户数,应当针对不同应用领域,差异化估算,再统筹规划,以免过多采购并发数授权造成不必要的浪费。以表1为例,对于某200-300人左右的集团型中小企业,即便拥有多个应用信息系统,最多也只需购买100个并发授权。
(5)随着企业规模的扩大,可以通过建立集群的方式,为企业运营提供更高的可用性保障。中小企业双机集群一般足矣,但提供互联网服务的机构,因为外部接入用户数会几何级别变化,需要考虑建立几十台VPN设备的大集群和增加负载均衡器等网络设备。
4 重点研究内容
针对本案例,有两点是需要进一步补充研究的:一是安全体系,二是性价比。
(1)安全是端到端,多层次的管理体系,不是孤立的一个参数。从需求分析角度,有几个考虑:1)仅通过用户名和密码的传统登录验证方式,存在密码泄露的风险,建议中小企业用户采用基于USB加密狗等多种安全身份验证技术组合;2)端到端即客户机、设备、数据和服务器的多层安全控制;3)安全体系应当包括终端安全,集成防火墙、反向代理结构,全面的认证/授权/审计,以及安全性能加强的OS等内容。
(2)如何通过选型,合理地节省成本?有权接入用户数量多,但并不代表同时接入网络的“并发用户数”多,否则将产生很多不合理费用。可以争取一种更合理更灵活的报价方式,即DKEY硬件单独报价,并发数授权按需购买。这种采购模式是一种创新,通过合理评估几乎能节省50%的采购费用。
5 后续准备工作
当前市场上不同解决方案所涉及到的信息安全产品的功能特性、实现方法和价格差异很大。经过上述需求分析,我们可以确认一系列待评估和比较的功能技术要点,从而总结出选型标准与细分指标,做到有的放矢,客观量化有依据。
综合选型标准方案应当是全面客观的,不仅需要考虑设备的购置成本,还应考虑设备的管理成本和服务成本,以及后续升级、扩展的成本和实施方法等,要根据当前网络的安全需求、网络规模、具体应用和费用预算酌情选购。
简单VPN应用心得 篇7
客户端的配置相对简单, XP和WIN2000的系统只需要在“网络连接”属性里点击“创建一个新的连接”, 按向导一步步走, 网络连接类型选“连接到我的工作场所的网络”;下一步选“虚拟专用网络连接”;下一步连接名任意指定;下一步是否初始化可以选择不初始化任何连接 (这样比较简洁) ;下一步输入你的VPN服务器的IP地址或域名, 一般是输入IP地址的, 正确输入。这里给一个小技巧提示, 打开该连接的属性, 如右图:
其他设置采用默认配置即可, 在“网络”选项卡里选“TCP/IP属性”, 再点“高级”, “在远程网络上使用默认网关”这一可选项默认是选中的, 改为不选, 这样可以使你的客户机保持正常的Internet连接, 否则你会发现你的本机只能访问远程网络了。
2 服务器的配置
服务器的配置相对复杂一些, 不同的操作系统设置是不一样的, 下面我们以Windows 2000和Windows XP为例分别说明一下:
1) Windows 2000中需要启动“管理工具”中的“路由和远程访问”, 如下图:
选择“配置并启用远程路由访问”, 在公共设置中选择“手动配置服务器”即可。结束向导后, 路由和远程访问就配置完成了, 一般这样就可以了。这里给一个小提示, 如果你的局域网里还有子网, 你可以在下图 (左) 的“静态路由”里添加相应的网关地址, 使拨入用户可以访问这些子网。
接下来打开“网络和拨号连接”, 会多出一个“传入的连接”, 如下图 (右) :
打开其属性, 在“常规”选项里用默认的配置即可;在“用户”选项里可以添加选择有远程访问权限的用户 (就是你在远程拨号连接时必须输入的用户名及密码) ;在“网络”选项里设置远程计算机拨入的TCP/IP属性, 如右图:
要实现远程访问本地网络。“网络访问”下的选项当然用该勾上;地址分配最好选择指定, 你可以设置上你本地网络一段不用的IP地址;“允许呼叫的计算机指定其IP地址”看你的喜好了, 无关大局。
2) 在Windows XP中需要启动服务中的“Routing and Remote Access”, 该服务默认是禁用的, 更改启动类型为自动, 并启动该服务即可。这时查看你的网络连接, 会多出一个“传入的连接”项, 之后的设置与Windows 2000相似, 此处就不再叙述了。
3 路由器的设置
设置好服务端和客户端只是完成了最基本的设置, 除非客户端能直接连接到服务端, 也就是说除非服务端直接接在互联网上并有固定的IP或者域名, 否则这样简单的设置是不可能建立VPN通道的。目前较多的互联网接入方式是ADSL拨号+路由器, 即由路由器管理互联网的接入, 局域网架设在路由器之后。这样就需要在路由器上设置一下, 以允许VPN连接通过。如下图 (左) :
在路由器的虚拟服务器中设置, 其中, 1723为PPTP协议的默认端口, 指向的IP地址即为局域网内的VPN服务器。
其次, 拨号上网每次的IP地址都是不同的, 为此我们需要做DDNS, 即动态域名解析, 它的作用是将你的固定域名与不固定的IP地址进行绑定, 大多数的路由器是支持的, 如上图 (右) :
去花生壳网站注册一个用户并申请免费域名, 在上图中填写你注册的用户名及密码, 选中“启用DDNS”, 登录即可。这样你在远程用客户端连接时, 可以填入VPN服务器的当前IP地址 (通过Ping你申请的免费域名得到) , 也可以直接填入该域名。
如果你的路由器不支持DDNS或者你没有使用路由器, 那你可以在服务器端安装花生壳客户端, 登录后保持一直在线即可。
摘要:VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义, 虚拟专用网络可以理解成是虚拟出来的私有专线。虚拟专用网 (VPN) 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。远程访问虚拟网 (Access VPN) 可以帮助你轻松地在家里、办公场所、外地等不同的环境里轻松地进行互相访问, 仿佛这些环境并没有被物理分开一样。作者因从事网络工作, 在这个问题上做了一些应用实践, 得到一些心得, 在此与各位朋友交流, 希望能互相学习促进。另外, 作者只是利用操作系统及家庭SOHO路由器的简单功能来实现的, 并没有使用专业的VPN路由器, 对大型或有严格加密要求的网络并不适用。
VPN的加密算法 篇8
VPN———虚拟专用网 (Virtual Private Network) 是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线从而达到安全的数据传输目的。如果要仿真一条专线, 为保证传输数据的安全通常还要对数据进行加密处理。在局域网之间进行信息传输时, VPN网关的加密功能能够保证信息在不安全的网络上传输时采用密文形式。这样, 即使信息被截取, 它的内容也无法被偷窥和篡改。保证通过互联网连接的各个局域网间的信息传输是安全的、机密的。
二、加密算法
加密就是对信息重新进行编码, 隐藏信息内容, 使非法用户无法获得信息的真实内容。信息被称为明文。隐藏信息的过程称为加密。加密后出现的信息称为密文。由密文恢复原文的过程称为解密。密码算法就是用于加密和解密的数学函数。
1. CBC算法。
CBC (Cipher Block Chain) 模式即密码分组链接模式, 是很好的加解密模式。每一分组被用来修改下一分组的加密。加密公式为:Ci=Ek (Mi⊙Ci-1) ;解密公式为:Mi=Ci-1⊙Dk (Ci) , 其中, Ek (x) 是用密钥k对明文加密, Dk (x) 是用密钥k对密文解密。
为了避免两个完全相同的明文被加密成完全相同的密文, 用一个随机数据作为第一个分组, 即初始向量IV (Initialization Vector) , 其大小与分组块一致。IV只是参与消息加解密的一个“填充物”, 没有实际意义, 可以与密文一起传送, 不必另行加密。由于一个明文消息不可能总是恰好分成64位分组, 最后一个分组经常会不足64位, 而CBC要求对相同大小的分组进行加密。因此, 需要对最后的分组进行填充 (Padding) , 使其成为一个完整的64位分组, 然后进行处理。
2. DES (Data Encryption Standard) 算法。
DES (数据加密标准) 采用传统加密方法的区组密码。在相信复杂函数可以通过简单函数迭代若干次得到的原则下, 用8个S盒和P-置换, 经过16次迭代产生64位密文。每次迭代使用的48位子密钥由原来的56位产生。明文被分成64位的块, 然后用密钥把每一块明文转化成64位的密文。
旧版数据加密标准DES自20世纪70年代采用以来, 一直算是不错的数据加密算法。Windows2000自带的VPN系统支持DES, 不过由于使用的密钥相对较小 (56位) , 由于在现有的技术条件下用穷举法寻找正确密钥已趋于可行, 已有被攻破的纪录, 所以若要安全保护10年以上的数据最好不用DES算法。为克服这个缺陷, IPSec VPN用三重DES算法来增强DES安全性。用三把不同密钥对数据连续加密3次, 构成3DES。它等价于把DES的钥匙长度增加到112位。钥匙长度每增加1位, 钥匙总数就会翻一番, 能有效地防止对密钥的穷尽搜索。但是, 3DES加密解密的运算量也会是DES的3倍。对一小段数据输出前进行三重加密需要优良的CPU, 消耗资源大。
3. AES算法。
近年来, 高级数据加密标准AES出现, 这是一种安全强度更高、更适合软硬件实现的高效加密标准。AES标准的实现是Rijndael算法。
Rijndael算法是一种迭代分组密码, 即代替———置换网络 (SPN) 。它是以字节定义的, 使用有限域GF (28) 。如果一个字节a由a7a6a5a4a3a2a1a0组成, 则用系数在{0, 1}中的多项式表示为a7x7+a6x6+a5x5+a4x4+a3x3+a2x2+a1x+a0。两个字节的和或差是一个多项式, 其系数是相应系数的模2加 (异或运算) , 乘法与模2元域上的不可约多项式m (x) =x8+x4+x3+x+1的多项式乘法一致。在这个域上的模m (x) 多项式相乘运算举例:[ (x4+x2+1) ⊙ (x3+x) ]modm (x) =[ (x7+x5+x3) + (x5+x3+x) ]modm (x) = (x7+x) modm (x) =x7+x。
由于外部输入的密码密钥长度有限, 所以要用一个密钥扩展程序把密码密钥扩充成更长的比特串, 以生成各轮的轮回密钥。设NK为密钥中4字节 (32位) 字的个数, 则128、192、256位密钥长度的NK值分别为4、6、8, 密码密钥按如下程序 (C++伪代码) 扩充成扩展密钥。
其中, Nb=数据块长度/32, Nr为轮回次数, W[]是4字节的数组, Rot () 把一个四字节的字节循环左移, 例如:[a0, a1, a2, a3]变为[a1, a2, a3, a0], Sub () 对一个四字节的字节进行S盒变换, Rcon () 是轮回常数, 其值为[xi-1], 即x0为{01}, x1为{02}, x2为{04}, x3为{08}……
轮回密钥从这个扩展密钥里得到。对于不同的密钥长度和数据块长度, 其轮回次数不一样。例如:对于128位密钥, 需要轮回次数为10;对于192位密钥, 需要轮回次数为12;对于256位密钥, 需要轮回次数为14等等。
从以上分析可以看出, Rijndael的高效算法有很多优点。AES内部有简洁精确的数学算法, 而加密数据只需一次通过。DES算法存在弱密钥和半弱密钥会降低算法的安全性。而Rijndael加密算法对密钥扩展, 所产生的轮回密钥随机性很强, 对初始密钥的选取没有专门的限制, 因此不存在弱密钥和半弱密钥的问题。
差分分析和线性分析方法都是针对Feistel结构设计的密钥分析方法。16次迭代的DES算法就是这样被破译的。AES的Rijndael算法在每轮的转换中并不具有Feistel结构, 它的3个独特的可逆均衡转换可以将中间状态的每一位按照同样方式处理, 进而避免了Feistel结构产生的加密信息不均匀的问题。7次轮回以上的Rijndael算法对于针对Square算法提出的攻击方法是免疫的。
三、结论
通过对以上各种加密算法的比较, 可以看出不同的算法不仅在安全性能上有重大差别, 在使用性能和资源有效利用上也有很大差别。高效的AES具有其它算法无法能及的优越性, 例如原来3DES中密钥大小是64bits, 在AES中改为128bits。所以在实现IPSec VPN的过程中更倾向于采用AES的模式。
参考文献
[1].何宝宏.IP虚拟专用网技术.北京:人民邮电出版社, 2002, 15~17.
[2].戴宗坤, 唐三平.VPN与网络安全.电子工业出版社, 2002, 10~12.
[3].唐琰琰.AES的快速实现及其安全性分析.广州大学硕士学位论文, 2006, 7~13.
[4].张清华.Rijindael算法的高效实现及其性能分析.计算机应用, 2004, (2) .
VPN的解决方案 篇9
VPN通常有三种解决方案, 用户可以根据自己的情况进行选择。这三种解决方案分别是远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 和企业扩展虚拟网 (Extranet VPN) , 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
1、如果企业的内部人员移动或远程办公需要, 或者商家要提供B2C的安全访问服务, 就可以考虑使用Access VPN。
AccessVPN通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的需要。出差员工利用当地ISP提供的VPN服务, 就可以和公司的VPN网关建立私有的隧道连接, 员工通过VPN访问企业内
网就像使用本地网一样。 (如图)
AccessVPN对用户的吸引力在于
(1) 减少调制解调器和终端服务设备的资金及费用, 简化网络;
(2) 实现本地拨号接入的功能来取代远距离接入或800电话接入, 这样能显著降低远通信的费用;
(3) 极大的可扩展性, 简便地对加入网络的新用户进行调度;
(4) 远端验证拨入用户服务 (RADIUS) 基于标准、基于策略功能的安全服务;
(5) 将工作重心从管理和保留运作拨号网络的工作人员转至公司的核心业务上来。
2、如果要进行企业内部各分支机构的互联, 使用Intranet VPN是很好的方式。
随着经济全球化的迅猛发展, 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等, 各个分公司之间传统的网络连接方式一般是租用专线。显然, 在分公司增多、业务范围越来越广泛时, 网络结构也趋于复杂, 所花的费用也越来越大, 租用专线的方式越来越显得不合时宜。VPN技术的出现, 可以使企业组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。
3、如果提供B2B之间的安全访问服务, 则可以考虑Extrane VPN。
随着信息时代的到来, 各个企业越来越重视企业之间各种信息的处理情与沟通。希望可以提供给客户最快捷方便的信息服务, 通过各种方式了解客户的需要, 同时各个企业之间的合作关系也越来越多, 信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的平台, 而如如何利用Internet进行有效的信息管理, 是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet。既可以向客户、合作伙伴提供有效的信息服务, 又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施, 将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专业网络的相同政策, 包括安全、服务质量 (QoS) 、可管理性和可靠性。
摘要:VPN的解决方案可分为远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 和企业扩展虚拟网 (Extranet VPN) , 用户根据自身需要进行选择方案。Access VPN适合于经常出差或B2C方式的用户。Intranet VPN适合于与分支机构的联接。Extranet VPN适合与合作伙伴、供应商、客户等群体的联接。
不对称VPN系统研究 篇10
随着新的网络安防设备的出现,传统的第3层VPN系统(如IPSec、L2TP和PPTP等)面临着诸多新的问题。一是它们使用的隧道协议(如ESP、GRE等)是在NAT广为流传前的时代被开发的,必须处理不同IP路由,这样使得VPN通道不是经常可以建立,并且它们封装的VPN数据包属于特殊的IP数据包无法很好通过网络安防设备。并且构建这种VPN系统对用户的权限要求较高,如果网络管理人员想要利用WEBSHELL远程进行内部网络服务资源的维护管理,就会因为权限不足而止步。我们就设想有没有一种好的方法,既可以通过防火墙、代理服务器或NAT设备等网络安防设备,又能在普通用户权限下实现远程维护管理,这就引出了本文的主要内容。
1 相关基础简介
虚拟HUB顾名思义是虚拟的HUB,主要是通过软件模拟物理以太网交换机的行为,其功能和物理交换HUB一样。不同的是后者使用硬件来处理,而前者使用软件进行处理,其虚拟端口通过隧道协议连接到计算机终端的虚拟端口。每个虚拟HUB都有其自身的转发数据库(FDB),且具备自动进行MAC地址学习的能力,定期更新适应网络环境。
2 不对称 VPN 系统设计
2.1 系统设计原理
引入虚拟HUB、虚拟网卡等概念把以太网架构完全虚拟化,并对现有SSL VPN模型进行改进和扩展,在权限一般的WEBSHELL管理端运行用户态的TCP/IP协议栈创建Sec NAT会话,在高权限的VPN客户端创建普通VPN会话,通过这种不对称的方式从而实现在只具有WEBSHELL普通用户权限下完成远程管理目标内网资源的目标。这个不对称,有两层含义,一是两个接入的客户端网络规模不对称,二是VPN接入对端的权限不对称。
2.2 总体框架设计
不对称VPN系统是一款基于开源软件开发的VPN系统,拟采用C/S结构模型,按如图1所示拓扑结构设计,整个系统由服务器和多个客户端组成。服务器用于启动监听进程,等待客户端的连接,并对客户端的数据包进行转发,客户端发起连接并与服务端建立安全连接。VPN连接建立后,服务器和所有客户端如同工作于一个局域网之中,在整个网路上传递是二层以太网数据帧。
根据系统架构拟开发出运行在具有公网IP服务器上的服务端程序、运行在目标网络具有WEBSHELL管理接口下的客户端程序和运行在管理者终端网络的客户端程序。服务端程序创建多个虚拟HUB,每个虚拟HUB拥有独立的二层网络,相互间不能通信。服务端程序创建虚拟HUB时,把虚拟HUB的管理权限及HUB管理密码传送给其管理者。服务端程序有两种运行模式,服务模式和用户模式。后台服务模式运行时,可以在系统服务中查看其运行状态、管理服务等;用户模式时,服务端程序与其他的用户模式操作的应用程序一样,是普通的用户权限可运行的程序操作,用户退出的同时服务端程序也会结束。运行在管理者终端网络的客户端程序主要完成与部署在互联网上具有公网IP的VPN服务器的交互、接收和发送数据、数据加解密和VPN管理等任务。具有WEBSHELL管理接口的客户端程序主要完成用户态TCP/IP协议栈、VPN隧道处理、接收和发送数据、数据加解密等。
2.3 系统结构设计
2.3.1 服务端结构设计
服务端系统结构如图2所示,主要包括VPN隧道处理模块、虚拟网卡模块、虚拟HUB模块、用户态协议栈处理模块。
VPN隧道处理模块由虚拟HUB管理子模块、通信封装子模块、身份认证子模块、加解密子模块组成,完成与客户端的交换、接收与发送数据。由于VPN服务器根据需要可能产生多个虚拟HUB,所以虚拟HUB管理子模块主要用于管理、维护和删除这些虚拟HUB。通信封装子模块用于与VPN客户端建立通信链路、发送和接收数据。身份认证子模块进行VPN客户端身份验证工作,保证VPN会话的合法性。加解密子模块进行数据包的加密与解密工作,发送数据前进行数据的加密操作,接收到数据后进行解密操作,以保证数据在通信链路上的完整性、机密性及抗重放攻击。虚拟网卡模块主要是模拟真实网卡的工作过程完成与操作系统TCP/IP协议栈的交互,另一方面向用户态提供一个字符设备接口,实现核心态和用户态的数据交互,两方面的功能分别由网卡驱动子模块和字符设备子模块实现。虚拟HUB模块由VPN会话管理子模块、MAC地址数据库、用户帐户数据库、Sec NAT子模块组成,主要负责维护管理一个或多个VPN会话,注册或查询MAC地址数据库快速交换处理以太网数据帧。一个虚拟HUB可能有多个VPN会话,VPN会话管理子模块主要负责管理、维护和删除VPN会话。MAC地址数据库类似于局域网交换环境下的FDB,存储VPN会话中的MAC址址列表。用户帐户数据库用于存储用户的账号、密码等信息以及管理日常用户登录日志等。Sec NAT子模块主要根据命令完成构建一组用户态协议栈、构建Socket API接口等工作。
2.3.2 客户端结构设计
整个系统客户端分两类,一类为普通VPN客户端,另一类则是Sec NAT客户端。因为其各自功能及运行权限的不同,其结构设计也不尽相同。
普通VPN客户端结构如图3所示,主要包括VPN隧道处理模块、虚拟网卡模块、UI接口模块等。
VPN隧道处理模块,由通信封装子模块、身份认证子模块、加解密子模块组成,完成与服务器端的连接、接收与发送数据。通信封装子模块用于与VPN客户端建立通信链路、发送和接收数据,该模块通过socket通信机制实现,采用TCP协议建立面向连接的通信。身份认证子模块进行VPN客户端身份验证工作,保证VPN会话的合法性。加解密子模块进行数据包的加密与解密工作,发送数据前进行数据的加密操作,接收到数据后进行解密操作,以保证数据在通信链路上的完整性、机密性及抗重放攻击。虚拟网卡模块主要是模拟真实网卡的工作过程完成与操作系统TCP/IP协议栈的交互,另一方面向用户态提供一个字符设备接口,实现核心态和用户态的数据交互,两方面的功能分别由网卡驱动子模块和字符设备子模块实现。UI接口模块主要是完成图形化控制台界面设计与实现,使用户不用关心具体的实现细节,便于用户的操作使用。
Sec NAT客户端系统结构如图4所示,主要包括VPN隧道处理模块、用户态协议栈处理模块、应用程序处理模块等。
VPN隧道处理模块与普通VPN客户端该模块类似,由通信封装子模块、身份认证子模块、加解密子模块组成,完成与服务器端的连接、接收与发送数据,具体功能不再重复描述。用户态协议栈处理模块由捕包子模块、一组虚拟用户态协议栈子模块组成。一组虚拟用户态协议栈子模块主要用于实现一个完整的用户态协议栈,包括构建一组虚拟用户态协议栈,在此基础上分配至少一个虚拟IP、构建Socket API接口等。用户态协议栈处理线程。数据包处理子模块主要功能是捕获网络数据包并发送到上层IP协议处理子模块,同时转发从IP协议处理子模块发送过来的数据到VPN隧道处理模块,其对外表现与真实路由器一样,可以与真实的物理网络建立连接并传输数据。一组虚拟用户态协议栈通常包括IGMP协议处理模块、IP协议处理模块、ICMP协议处理模块、UDP协议处理模块、TCP协议处理模块和DNS协议处理模块等。IP协议处理模块接收从数据包处理子模块发送过来的数据,并根据数据的协议类型对应地转发给ICMP、IGMP、TCP、UDP协议处理子模块,ICMP、IGMP、TCP、UDP、DNS协议处理子模块分别对各自接收的数据进行处理,DNS协议构建在UDP协议之上。应用程序处理模块使用Socket API或者TCP代理API进行网络操作,从而使用户数据进入VPN隧道处理模块与对端VPN进行交互。
3结束语
VPN 篇11
【关键词】VPN;校园网;Access VPN;Intranet VPN
【中图分类号】TP393.03
【文献标识码】A
【文章编号】1672—5158(2012)10-0062-01
随着信息技术的快速发展,校园网建设变得越来越迫切。为了能够满足校园网在资源共享、联合办学发展过程中的需要,利用VPN技术来建设校园网相对更加合适。随着学校的发展,对网络的要求越来越高,传统的校园网组网技术已经难以适应学校的发展要求。较为简单的处理方式是通过公共互联网来进行互访,但是这种方法却难以保证校园网资源的安全性。为了能够更好的实现高效、安全、低成本地交换数据,在组建校园网的过程中必须要使用合理的技术进行规划。
一、VPN简介
VPN是利用公共网络资源为客户搭建专用网的一种技术,这是相对应实际的专用网络而言的,主要是基于Internet/Intranet等各种公用的开放的传输媒体,通过加密与验证等安全措施来建立起虚拟的数据传输通道,用来防止在公共网络上所传递的数据被窃取、篡改、复制,使得用户能够享受到相当与专用网络的安全服务。VPN技术当前被广泛的应用于电子商务、电子政务、大型企业等当中。总的来将VPN具有两层含义:
第一层是Virtual,指的是它是一种虚拟的网,没有固定的物理连接,只有当用户有需要时才会建立网络。
第二层是Private,指的是通过公共的网络设施来组成私有的专用网。
虚拟专用网(VPN)是当前网络发展的一种新趋势,它对传统数据网络的性能优点(安全与QOS)与共享数据网络结构的优点(成本低与简单)进行了综合。通过VPN可以进行远程访问,实现外网与内网的连接,而价格却要比专线或者是帧中继网络要低很多。并且VPN能够在降低成本的同时还可以满足对网络贷款、接入以及服务需求不断增加的情况。因此VPN技术在教育行业的应用前景相当的广泛。总的来说VPN有着以下几个特点:(1) 成本低廉可以利用现有的Internet来组建起虚拟专网,而并不需要利用专用线路就能够实现数据的安全传输;(2) 容易进行扩展,当内部网络结点越来越多时,采用专线连接的网络结构会变得越来越复杂昂贵,但是VPN只需要在结点处假设VPN设备,就能够利用Interet来建立起安全连接;(3) VPN技术有着较强的安全性,可以利用可靠的加密认证技术,在内部网络建立隧道,可以有效的防止信息泄露、篡改以及复制;(4) 能够让地理与物理上分布分散的若干知网从逻辑上进行有效集成。
二、基于VPN的校园网络建设
VPN的关键技术就在于隧道,而隧道的形成是采用隧道协议来对数据进行封装。利用VPN技术将校园网的数据封装在隧道之中,并通过公网进行传输。在隧道协议中SSL、IPSEC、L2TP、PPTP等都是属于较为典型的。其中SSL是属于安全套接层协议,IPSEC则是属于第三层隧道协议,L2TP和PPTP则都属于第二层隧道协议。第二层隧道协议与第三层隧道协议相比,这两者的最根本的区别就在于用户的IP数据包是被封装到哪一种数据包中在隧道之中进行传输的。并且安全套接层隧道还具有更多的细粒度管理,使用更加的方便并具有良好的安全性。在校园网的组建过程中,可以采用Access VPN和Intranet VPN这两类。
(一) 远程用户访问虚拟网
远程用户访问虚拟网主要采用Access VPN。Access VPN通过一个与和专用网络具有相同策略的共享基础设施来提供对内部网或者是外部网的远程访问。通过Access VPN,用户可以随时、随地通过他们所需要的方式访问所需要的内部资源。Access VPN有着以下几个方面的优点:(1) 能够减少用于调制解调器与终端服务设备的资金投入,对网络进行简化;(2) 可以实现本地拨号的功能取代远距离接入,能降低远距离通信的费用;(3) 有着相当良好的扩展性;(4) 能够更加方便的对接入网络的新用户进行调度。
(二)利用Intranet VPN构建校区之间的VPN
对于不同校区之间可以建立Intranet VPN。Intranet VPN是利用Internet线路来组建VPN,通过Interet的线路可以保证网络的互联性,而利用VPN的隧道、加密等特性则能够保证信息在InternetVPN传输时的安全性。Intranet VPN通过一个使用专用连接的共享基础设施,对校本部与其他各个校区进行连接。其特点是:(1) 能够减少WAN带宽费用;(2) 可以利用较为灵活的拓扑结构,其中包括了全网孔连接;(3) 通过设备提供商WAN的连接冗余可以对网络的可用时间进行延长;(4) 新的站点能够更陕、更容易的被链接。
在两个校区之间所建立的VPN,其在策略上要求允许两个校区之中的所有用户都可以进行互访。对于这样的网络,其安全性级别要求并不是非常高,因为如果安全级别提高,不仅仅开销增加,而且数据传送也会非常的困难,特别是在很多用户都在使用VPN网络时。虽然IPSEC与L2TP和PPTP相比都有着更高的安全性,但是相对而言PPTP的实现更加容易。因此在校区之间构建的VPN连接可以采用PPTP协议。在两个校区之间建立VPN,需要在两段的VPN设备中配置路由,并让所有到达对方校区的访问都通过VPN。校园网中的用户很多都是使用的Windows系统平台,因此,可以利用Windows系统来建立VPN路由,同时还需要对VPN方案的稳定性以及设备本身的交换能力进行考虑,因此具有VPN功能的路由器将会是更好的选择。在两个校区具有VPN功能的路由器之间建立隧道,这两个路由器主要起封装和解包的作用。
在两个校区之间建立VPN时如果采用带有VPN功能的路由器来实现,需要对两地的路由、用户、地址池以及协议进行配置,通过这样的方式在这两个校区的路由器之间建立起虚拟专用链路。当校区1的用户对校区2的网络进行访问时,根据校区1VPN路由器中的静态路由,用户能够通过这两个校区之间的虚拟隧道来道德校区2的路由器,而校区2的路由器则为该用户分配一个在校区2内的校园网专用IP,并根据用户的账户名等相关信息来检测自身配置,根据检查的结果赋予相应的权限,反之亦然。
三、结语
随着信息技术的快速发展,学校中的软硬件资源已经较为完备,各种设施也较为齐全,这些都为构建VPN提供了基本的物质条件。同时如今VPN技术已经较为成熟,并且在商业上的应用也相当成熟,校园网在利用VPN构建校园网时可以对商业解决方案进行借鉴。相信,通过采用合理的VPN技术可以使得校园网络更加的合理。
参考文献
[1] 张敏波.网络安全实战详解:企业专供版[M].北京:电子工业出版社,2008
[2] 安钢.校园网扩展建设中的VPN技术探析[J].科技信息,2009,(01)
[3] 王达.虚拟专用网(VPN)精解[M].北京清华大学出版社,2005
VPN及其隧道技术研究 篇12
VPN, 即虚拟专用网 (Virtual Private Network) , 它指的是一种依靠ISP和其它NSP, 在公用网络中建立专用的数据通信网络的技术。通过对网络数据的特殊封包和加密传输, 在一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 从而实现在公网上传输私有数据、达到私有网络的安全级别。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。IETF草案理解的基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”, 即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
通常, VPN是对企业内部网的扩展, 通过它可以帮助远程用户、公司分支机构、商业伙伴以及供应商同公司的内部网建立可信的安全连接, 并保证数据传输的安全。VPN可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路, 以便经济有效地连接到商业伙伴和公司分支机构。
2 VPN的原理
VPN通过公众IP网络建立了私有数据传输通道, 将远程的分支办公室、商业伙伴、移动办公人员等连接起来, 减轻了企业的远程访问费用负担、节省电话费用开支, 并且提供了安全的端到端的数据通讯。
常规的直接拨号连接与虚拟专网连接的异同点在于:在前一种情形之中, PPP (点对点协议) 数据包流是通过专用线路传输的;在VPN中, PPP数据包流是由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输, 再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么, 如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动 (Client-Initiated) 或客户透明 (Client-Transparent) 。客户启动要求客户和隧道服务器 (或网关) 都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道, 隧道服务器中止隧道, ISP可以不必支持隧道。客户和隧道服务器只需建立隧道, 并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立, 就可以进行通信了, 如同ISP没有参与连接一样。
另一方面, 如果希望隧道对客户透明, ISP的POPS就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器, 服务器必须能识别这一连接要与某一特定的远程点建立隧道, 然后服务器与隧道服务器建立隧道, 通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件, 但客户只能拨号进入正确配置的访问服务器。
3 VPN的隧道技术
VPN技术比较复杂, 它涉及到通信技术、密码技术和现代认证技术, 是一项交叉科学。具体来讲, 目前VPN主要采用下列四项技术来保证其安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。
隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网中建立一条数据通道 (隧道) , 让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中, 在目的局域网与公网的接口处将数据解封装, 取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装, 通信协议是完成此任务的关键。目前VPN的隧道协议可大致分为第二层次的隧道协议PPTP、L2F、L2TP和第三层次的隧道协议GRE、IPSec等。它们的本质区别在于用户的数据包是被封装在哪种数据包里面从而在隧道中进行传输的。无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的, 传输协议被用来传送封装协议;封装协议被用来建立、保持和拆卸隧道, Cisco产品支持几种封装协议, 包括L2F、L2TP、GRE协议等;而乘客协议是被封装的协议, 它们可以是PPP、SLIP等。隧道协议的组成如图1所示:
3.1 PPTP———点对点隧道协议
PPTP协议由Microsoft、Ascend和3Com公司开发, 它的分组不但能在IP上传送, 也能在IPX、Apple Talk上传送。PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机, 如启动了该协议的Windows XP;PPTP服务器是指运行该协议的服务器, 如启动了该协议的Windows Server服务器。PPTP可看作是PPP协议的一种扩展, 它提供了一种在Internet上建立多协议的安全虚拟专用网的通信方式, 远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP, 客户可采用拨号方式接入公共IP网络———Internet。拨号客户首先按常规方式拨号到ISP的接入服务器 (NAS) , 建立PPP连接;在此基础上, 客户进行二次拨号建立到PPTP服务器的连接, 该连接称为PPTP隧道, 实质上是基于IP协议上的另一个PPP连接, 其中的IP包可以封装多种协议数据, 包括TCP/IP、IPX和Net BEUI。PPTP采用了基于RSA公司RC4的数据加密方法, 保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接, 可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户, 但用户需要在其PC机上配置PPTP, 这样做就增加了用户的工作量也会造成一定的网络安全隐患。
3.2 L2F———第二层转发协议
L2F (Layer 2 Forwarding Protocol) 是由Cisco公司提出的可以在多种介质如ATM、Frame Relay、IP网上建立多协议的虚拟专用网的隧道协议。远端用户能够透过任何拨号方式接入公共IP网络, 首先按常规方式拨号到ISP的接入服务器 (NAS) , 建立PPP连接;NAS根据用户名等信息, 发起第二重连接, 通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。但是, L2F不支持流控;要求每个用户端局域网有专用的网关, 费用较高。
3.3 L2TP———第二层隧道协议
L2TP结合了PPTP和L2F的优点, 可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
L2TP的主要作用是将PPP接入由本地扩展到远端, 向用户提供经济的远程ISP接入和企业网接入, 是IP VPN中极为重要的协议。L2TP支持多种协议, 用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址;L2TP还解决了多个PPP链路的捆绑问题, 使物理上连接到不同NAS的PPP链路, 在逻辑上的终结点为同一个物理设备。
L2TP主要由LAC (L2TP Access Concentrator) 和LNS (L2TP Network Server) 构成 (网络结构如图2所示) , LAC (L2TP接入汇接点) 支持客户端的L2TP, 它用于发起呼叫、接收呼叫和建立隧道;LNS (L2TP网络服务器) 是所有隧道的终点。
在ISP接入情况下, LAC对应本地NAS, LNS对应为ISP, 拨号用户通过PSTN/ISDN接入本地的LAC后, 可以通过隧道接入所选择的ISP。在VPN情况下, LAC对应为NAS或ISP, LNS对应为企业网网关, 拨号用户或路由器可通过隧道直接接入企业网, 成为企业网的一个虚拟用户。LAC和LNS就是隧道的两个端点, 期间运行L2TP协议。
LNS和LAC经由L2TP组成了分布式广域接入系统。一个LAC可以建立多个隧道接入不同的LNS, 一个LNS也可以经多个LAC接入。在给定的一对LAC和LNS之间可以根据需要建立多条隧道, 隧道的物理传送媒体可以是UDP/IP、ATM或FR等。每条隧道内包含两类信道:控制信道和数据信道。相应地, L2TP消息也分为两类:控制消息和数据消息。其中, 控制消息的作用是建立、维护和释放隧道和会话, 在控制信道上发送;数据消息的作用就是封装PPP帧, 在数据信道上传送。L2TP协议的操作包括三个过程:隧道建立、会话建立和PPP帧的封装前转, 相应的隧道结构及呼叫和会话情况如图3所示。
L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件, 企业可以使用未注册的IP地址, 并在本地管理认证数据库, 从而降低了使用成本和培训维护费用。
与PPTP和L2F相比, L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输, L2TP使用Nr (下一个希望接受的消息序列号) 和Ns (当前发送的数据包序列号) 字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区, 一旦数据丢失根据序列号可以进行重发。
4 结束语
实现VPN的隧道技术多种多样, 它们各有各的优势, 本文主要讨论了L2TP隧道技术。
目前的一种趋势是将L2TP和IPSec结合起来用L2TP作为隧道协议, 用IPSec协议保护数据。现在, 市场上大部分VPN采用这类技术。
参考文献
[1]郭世满, 马蕴颖, 郭苏宁.宽带接入技术及应用[M].北京:北京邮电大学出版社, 2006.
[2]李征.接入网与接入技术[M].北京:清华大学出版社, 2003.
[3]李明琪.宽带接入网络[M].北京:科学出版社, 2002.
【VPN】推荐阅读: