综合虚拟专用网(精选8篇)
综合虚拟专用网 篇1
1. 概述
随着我国通信业的飞速发展和通信市场引入竞争机制,各家运营商之间的激烈竞争已越来越多地体现在技术和服务的竞争。综合虚拟专用网业务(简称iVPN业务)作为面向固定移动融合的业务,解决了同一运营商下,不同业务网络中传统VPN业务不能共享、用户体验不一致的不足,是全业务经营下提供融合性的差异化服务的重要业务之一。
本文以CDMA网(简称C网)iVPN业务为例探讨iVPN业务的建设策略,对其他全业务网络经营商进行网路建设起到借鉴作用。
2. iVPN业务定义及其主要业务特征和业务功能
iVPN业务可以将分布在不同区域的固网(PSTN、软交换)、移动通信网用户,组成一个逻辑专网。网内用户之间可以使用短号或真实号码联系,iVPN集团成员进行网内和网外呼叫可以享受灵活的资费策略。
iVPN业务根据iVPN集团用户分布范围,可以分为省iVPN业务及全国iVPN业务。一个iVPN集团所有成员全部在一个省范围内则属于省iVPN业务;若一个iVPN集团成员分布在多个省则属于全国iVPN业务。
综合VPN业务主要提供以下业务特征:
(1)跨区域组网:跨本地网、跨省。
(2)短号互拨:话音通信短号互拨。
(3)多终端同振:对于跨省的全国iVPN集团用户暂不提供同振功能。
(4)网内、网外灵活计费:网内、网外呼叫能够提供灵活的计费策略。
(5)网外号码组:不属于本VPN集团的其它用户号码,VPN用户和网外号码组内的用户之间的呼叫费率有优惠,不允许将它网用户号码设入网外号码组。
(6)企业专网用户可加入综合VPN集团,可与VPN集团内其它用户实现短号互拨,享受优惠。
(7)集团特定折扣等多种优惠。
综合VPN业务的主要功能有:
(1)跨区域组网:跨本地网、跨省。
(2)短号互拨:话音通信短号互拨。
(3)一号多机:一个号码对应多个终端,来话同振,不要求同号显示。
(4)网内、网外灵活计费:网内、网外呼叫能够提供灵活的计费策略。
(5)网外号码组:不属于本VPN集团的其它用户号码,VPN用户和网外号码组内的用户之间的呼叫费率有优惠。
(6)固网单机用户可加入综合VPN集团,享受优惠。
(7)固网PBX用户可加入综合VPN集团,可与VPN集团内其它用户实现短号互拨,享受VPN集团内的资费优惠。
3. iVPN建设方案探讨
3.1 iVPN网络组织示例
iVPN平台由SCP、SDP等功能节点构成,省级iVPN业务一般在省中心统一建设iVPN平台承载省内iVPN业务,并建设独立IP平台,为固网、移动网用户放音。SCP一般采用分区设置,区域划分宜同HLR划分一致。为保证业务的安全性,SCP采用主备用方式容灾,主用SCP负责其管辖区域的业务处理;SDP采用1+1互为备份方式建设,每套SDP均负责全省用户数据的存储,两者互为备份,正常情况下每套负责各自区域的用户数据存储,当其中1套SDP出现问题时,启用备用路由,由另外1套SDP接管原有用户数据。
IP与移动网的TMGW开设电路,对移动网用户放音。
IP与DC2开设电路,对省会城市以外的本地网固网用户放音。与省会城市的DTm开设电路,对省会城市固网用户放音。网络组织如图1所示:
3.2 iVPN业务协议及触发点选择分析和对比iVPN业务协议及触发点选择有以下三个方案:
(1)方案一:固网采用INAP,C网采用WIN
固网业务触发点为各本地网DTm/SSP。
C网原有网络通过端局MSC/SSP触发,C网新建网络通过MSCe/SSP触发。
(2)方案二:固网采用SIP,C网采用WIN
固网业务触发点为软交换SS。
C网原有网络通过端局MSC/SSP触发,C网新建网络通过MSCe/SSP触发。
(3)方案三:采用WIN,固网路由到C网GMSC触发
固网侧交换机从SHLR得到业务接入码后,根据接入码路由至C网GMSC,由GMSC触发业务。该方案不要求业务平台为综合业务平台,业务平台只需支持WIN协议。
固网通过C网MSC/GMSC触发,采用WIN协议。
C网原有网络通过端局MSC/SSP触发,C网新建网络通过MSCe/SSP触发。
三个方案对比如下:
以上方案除方案二还需进一步验证外,其它方案均已成熟,建设单位可以根据自己的实际情况进行选择。
3.3 业务触发方案分析
3.3.1 固网触发方案
(1)固网CENTREX群内呼叫出局,触发iVPN业务
现有固网交换机CENTREX群内呼叫不出局,因而无法实现业务触发,但这样会导致用户的体验缺失,用户在群内拨短号时候无法同振。
为解决群内短号呼叫能够同振的功能,固网交换机需实现实现局内处理CENTREX群内呼叫出局。目前有2种技术方案可以来实现群内呼叫出局:
方案一:利用混合放号的特性实现群内呼叫出局。
方案二:取消CENTREX群,变成普通用户呼叫出局。
由于电信网络中的端局、汇接局等固网交换机机型包括朗讯5ESS、贝尔S1240、爱立信AXE10、富士通F150、中兴ZXJ10、西门子EWSD、华为CC08等,为保证实现CEN-TREX群内呼叫出局,需针对不同机型采用不同方案,并相应对交换机做不同改造。所以以上方案在建设中可以根据实际情况进行选择。
(2)iVPN用户作被叫,触发同振业务
iVPN用户如果登记了同振功能,在做被叫时需触发同振业务。
固网iVPN用户在SHLR签约同振业务,当此用户作被叫时,被叫所在端局或汇接局查询SHLR,SHLR中登记此用户签约了同振业务,即向交换机返回被叫同振业务接入码,根据此接入码触发同振业务。
(3)单机用户呼叫,提供短号功能
单机用户拨打长号码时,由交换机(端局或汇接局)查询SHLR,SHLR判断此主叫用户签约有综合VPN业务,指示交换机在被叫号码前插综合VPN业务接入码,如属于跨省综合VPN用户,则路由至DC1触发业务;如属于省内综合VPN用户,则在省内SSP或软交换或GMSC触发业务。
为向单机用户提供拨打短号的功能,可以有四种实现方案:
方案一:拨短号后以#作为结束符。此方案要求端局交换机支持以#为结束符,并把用户拨打的短号+#送出局,汇接局接收到短号+#后,能够识别#为结束符,并立即向SHLR发起查询业务接入码。
方案二:在用户拨完短号后等待超时。根据YDN 065—1997第4.4节之(3)之(b)位间不拨号时间监视(发端端局对位间不拨号的时间监视):20s的规定,将会给用户带来不适感受。
方案三:二次拨号方式。即用户拨打IVPN业务接入码,在业务提示下输入被叫短号。这种方式给用户的感受也欠佳。
方案四:单机用户加入CENTREX群(或群取消后的分组)。即需加入IVPN的单机用户中,将属于同一个交换局的短号等位长的用户组成CENTREX(或加入相应的用户分组)。
对比以上方案,其中方案一涉及到端局大量交换机的改造,投资较大;方案二、三给用户的体验较差;方案四相对前三种方案,在实现上对网络、对用户不会存在较大影响,建设单位可以根据自己的实际情况选择。
3.3.2 C网业务触发方案
C网iVPN业务用户通过签约信息触发业务。信令网根据用户签约信息中的SCP地址,将呼叫触发请求送至用户归属的SCP处理。
VPN用户拨打紧急特服号(110、119、120、122等)不触发业务,拨打普通特服号触发业务(168等)。
3.4 综合VPN平台能力测算方法
以如下iVPN业务话务模型为例:
(1)综合VPN平台原始CAPS计算方法
CAPS=用户数□忙时平均话务量(Erl)/平均占用时长(秒)
(2)综合VPN平台与固网相关网元之间需求计算方法
iVPN业务平台至固网SSP之间INAP(SIP)信令链路需求:
64K Link数=(CAPS*每个TCAP呼叫消息数*每消息字节数*8)/(64k*双向不平衡系数*链路负荷)
(3)综合VPN业务平台与移动网相关网元之间需求计算方法
iVPN业务平台至移动网MSC/MSCe之间WIN信令链路计算:
64K Link数=(CAPS*每个TCAP呼叫消息数*每消息字节数*8)/(64k*双向不平衡系数*链路负荷)
(4)独立IP管理流程放音通道数计算方法
IP管理流程放音通道数=固网放音通道数+移动网放音通道数
其中:
固网放音通道数=固网管理CAPS*放音时长/0.9
移动网放音通道数=移动网管理CAPS*放音时长/0.9
(5)独立IP与固网相关网元之间需求计算方法
独立IP至固网SSP之间的ISUP信令链路需求:
64K Link数=(业务CAPS*管理流程呼叫比例*每呼叫ISUP消息个数*ISUP每消息字节数*8)/(ISUP信令链路上下行不平均系数*ISUP链路利用率*64K)
(6)独立IP与移动网相关网元之间需求计算方法
独立IP至移动网MSC之间的ISUP信令链路需求:
64K Link数=(业务CAPS*管理流程呼叫比例*每呼叫ISUP消息个数*ISUP每消息字节数*8)/(ISUP信令链路上下行不平均系数*ISUP链路利用率*64K)
4. 结束语
iVPN业务可在向客户群不同形式终端之间提供灵活的资费策略、短号互拨等服务,可以满足政企客户的个性化需求。对全业务电信运营商而言,通过iVPN业务的推广,一方面可以吸引更多的集团客户,另外可以增进现有集团客户的忠诚度。随着该项业务的广泛使用,电信运营商和业务使用者都将从该业务中获得益处。
浅析虚拟专用网VPN的安全技术 篇2
【关键词】VPN;特点;安全技术
虚拟专用网(virtual private network,VPN)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端一端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、FrameRelay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP(Internet服务提供商)支付一定的上网费用,也节省了长途电话费,相对于专线连接来说,通信成本最高可降低70%。这就是VPN价格低廉的原因。随着网络办公自动化的普及,越来越多的企业和单位开设VPN服务,为异地安全办公提供便利。
VPN主要由服务器网关、隧道和客户机3部分组成,其结构如下图所示。在企业内部,需要配置一台VPN服务器网关,在外部网络中的客户端通过VPN隧道访问服务器,数据传输是经过压缩、加密的,具有较高的通信安全性。
1.虚拟专用网VPN的优势及特点
相对于专线网络,VPN的优势和特点主要有以下几点:
1.1安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
1.2服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其他应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
1.3可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
1.4可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,但企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险,具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.虚拟专用网(VPN)的安全技术
由于VPN传输的是企业或单位的私有信息,VPN用户对数据的安全性都很重视。目前VPN主要采用4项技术来保证安全,这4项技术分别是隧道技术(tunneling)、加解密技术(encryption & decryption)、密钥管理技术(key management)、使用者与设备身份认证技术(authentication)。
2.1隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F(1ayer 2 forwarding,第二层转发协议)、PPTP(point-to-pointtunnelingprotocol,点对点隧道协议)、L2TP(1ayer 2 tunneling protocol,第二层隧道协议)等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP,IPSec(IP security)等。IPSec是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用的密钥等服务,从而在IP层提供安全保障。
2.2加解密技术
基于VPN的网络通信中,为了保障数据的安全性,传输的数据都是经过加解密处理的。最基本使用的对称加解密算法主要有DES,3DES,AES,RC4,RC5等,常用的非对称加解密算法主要有RSA、椭圆曲线等。
2.3密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用和私用。
2.4身份认证技术
VPN采用了身份认证技术,常用的有PAP(password authentication protocol,密码认证协议)、CHAP(challenge handshake authentication protocol,质询握手认证协议)等。VPN连接中一般都包括以下两种形式的认证。
(1)用户身份认证:在VPN连接建立之前,VPN服务器对请求建立接连的VPN客户机进行身份认证,检查其是否为合法的授权用户,如果使用双向认证,还需进行VPN客户机对VPN服务器的身份认证,以防伪装的非法服务器提供错误信息。
(2)数据完整性和合法性认证:检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。在VPN链路中传输的数据包包含密码检查和校验,密钥只由发送者和接收者双方共享。
3.结束语
随着Internet技术的不断发展,企业办公越来越离不开网络,VPN技术对于企业的贡献越来越受到重视,因此,VPN会在今后一段时间内保持强劲的发展势头,在这个背景之下,其安全性需要得到我们的充分重视,采取切实有效的措施,抵御各类网络安全性。
【参考文献】
[1]项顺伯.VPN安全性分析[J].承德石油高等专科学校学报,2011.
浅析虚拟专用网(VPN)技术 篇3
1 VPN
1.1 VPN简介
虚拟专用网 (VirtuaIPrivateNetwork) 简称VPN, 它是一种“用于公共数据网络, 提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用, 还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVP N, 二是企业网与远程 (移动) 雇员之间的远程访问 (Re-moteAccess) VPN, 三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN在架构上采用了很多种安全机制, 例如信道 (Tunneling) 、加密 (Encryption) 、认证 (Authentication) 、防火墙 (Firewall) 及黑客侦防系统 (Intrusion Detection) 等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取, 或是即使被窃取了, 对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认, 而对一些敏感的数据, 我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔, 它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VP N服务器的V P N连接, 我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输, 为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet, 我们可以将Internet作为隧道与企业内部专用网络相连, 用户的通信费用大幅度降低;然后, 企业可以节省购买和维护通讯设备的费用。据分析, 在LAN (局域网) -to-LAN (局域网) 连接时, 用VPN与使用专线的成本相比较, 要比其它的节省30%~50%左右;就远程访问而言, 用VPN比直接拨入到企业内部网络节省60%~80%的成本。这是由于VPN在设备的使用量及广域网络的频宽使用上, 平均比专线式的架构节省, 因而能使网络的总成本 (Total Cost of Owner ship) 降低。
1.2.3 管理简便
由于VPN使用了比较少的设备来建立网络, 所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性, 大到企业总部的各个设备, 小到各分公司, 还有个人拨号用户, 都能被包含于整体的VPN架构中, 同时, VPN的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN和专线式的架构相比较具有弹性, 当将网络扩充或是变更网络架构时, VPN可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议, 网络客户机都可以轻易的使用V P N。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以V P N支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是Modem, 用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体, 再采用VPN技术, 来实现企业网宽带远程访问, 那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的, VPN数据包在Internet中传输时, Internet上的用户只能看到公用的IP地址, 却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet, 用户不论是在家中、在出差途中、还是在任何环境中, 他都能够安全地连接到企业网内部。这样既不受到地域限制, 也不会受到接入方式限制。
2 VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足Extran etVPN以及IntranetVPN的需求。但在远程访问VPN过程中, 多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行, 而终端与第一条路由之间不加密。这种方法不太安全, 因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中, VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案, VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行, 这也就是VPN建立起来的隧道这一段, 这样我们才可以建成一条性能符合用户要求的隧道。对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制, 来使VPN用户降低成本、提高效率、增强安全性, VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术, 已经能够建立起一个具有互操作性、安全性的V P N, 但是这个V P N在性能上还不稳定, 管理上仍不能满足所有企业的要求, 这就要加入一些QoS技术。
3 结语
现如今, VPN技术可以利用在公共网络上建立起来的安全的专用网络, 从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务, 它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景, 国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势, 这是市场发展的必然。VPN已经是通信技术上的一个重要的突破, 它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言, VPN还存在一些缺陷, VPN协议还没有完全标准化, 而各VPN产品厂商对VPN也有不同的认知。总的来说, 随着虚拟运营商逐渐进入VPN服务领域, 我们还有更多的电信业务运营的ISP浮出水面, 而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1]杨小平, 等.Internet应用基础教程.
[2]北京安泰网http://www.netscreen.com.cn/zhishipuji/knowledge/vpn.htm
[3]王达, 等.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.
[4]杨永斌.VPN技术应用研究[J].计算机科学, 2004 (10) .
[5]邮电商情, 1999, 19.
虚拟专用网技术应用研究 篇4
关键词:虚拟专用网VPN,隧道技术,IPSec,MPLS VPN
计算机网络技术的迅速发展和新技术的成熟深刻地改变了企业用户的工作方式, 企业对网络化、信息化的需求不断上升。对于企业来说, 实现企业集团不同地点网络的内部互联, 使远程用户接入到企业内部网络进行资源访问有两种选择, 一是建立自己的专用网络, 二是采用虚拟专用网VPN。对于中小企业来说, 专网建设的高昂费用是难以接受的, VPN是实现自建专网向利用运营商网络方向发展的重要技术。VPN (虚拟专用网) 是一种利用Internet或其它公共互联网络的基础设施为用户创建隧道, 提供与专用网络一样的安全和功能保障的网络技术。“虚拟”是相对传统私有网络的构建方式而言的, VPN利用公共网络实现安全的远程连接。通过VPN, 企业可以更低的成本连接远程分支机构, 或者在公共的骨干网络上承载不同的专用网络。
1 VPN的分类
1.1 VPN的应用分类
1) Access VPN (远程接入VPN) :客户端到网关, 使用公网作为骨干网在设备之间传输VPN的数据流量。远程接入VPN用于实现出差员工或家庭办公用等移动用户安全访问企业网络。
2) Intranet VPN (内联网VPN) :网关到网关, 通过公司的网络架构连接来自同公司的资源。Intranet VPN用于组建跨地区的企业总部与分支机构内部网络的安全互联。
3) Extranet VPN (外联网VPN) :与合作伙伴企业网构成Extranet, 将一个公司与另一个公司的资源进行连接。Extranet VPN用于企业与客户、合作伙伴之间建立安全的网络互联。
1.2 VPN网络结构分类
1) VPN的远程访问结构:用于提供远程移动用户对企业内部网络资源的安全访问, 即Access VPN.单机通过公共网络利用隧道技术连接到企业的一个网络内部, 成为网络中的一个连接点, 这种结构又称点到站点、桌面到网络结构。
2) VPN的网络互连结构:用于企业总部网络和分支机构网络的内部网络之间的安全互连, 即Intranet VPN或Extranet VPN.这是一种网络到网络也称站点到站点 (Site to Site) 结构。
3) VPN的点对点通信结构:用于企业内部网的两台主机之间的安全通信, 即单机到单机结构。
1.3 VPN的隧道协议分类
隧道技术是一种使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据 (或负载) 可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点, 数据将被解包并转发到最终目的地。
从VPN采用的隧道协议所处的网络层次来分, 有第二层隧道协议, 如PPTP、L2F和L2TP;第三层隧道协议, 如IPSec、GRE等;第四层隧道协议, 如SSL;还有跨越第二层和第三层隧道协议, 如MPLS;第二层和第三层配合的隧道协议, 如L2TP/IPSec。
1.4 VPN接入方式分类
一般企业的局域网, 多是通过光纤连接到互联网。对于单个出差用户或家庭用户, 通过拨号 (如ADSL) 连接到ISP, 这种方式建立的VPN, 称为拨号接入VPN。
2 VPN技术的应用
2.1 企业的移动用户或小型分支采用拨号VPN的方式接入企业的内部网络
对于一般企业来说, 出差流动性员工、远程办公人员和远程小办公室需要访问企业内部网络中的服务器, 可以通过远程接入VPN连接访问企业内部网络资源。
借助Windows Server 2003的“路由和远程访问”服务, 可以实现基于软件的VPN。用户可以在企业内部搭建VPN服务器, 然后通过企业外部客户端的VPN拨号连接对企业内部网进行访问。
VPN服务器要有两个网络接口, 一边连接外部网络, 另一边连接内部网络。VPN服务器运行Windows Server 2003系统, 通过企业网接入Internet。客户端运行Windows XP系统, 通过ADSL接入Internet, 连接方式为客户端通过Internet与服务器建立VPN连接。在Windows Server 2003系统中, “路由和远程访问”服务是默认安装的。用户要启动该服务并进行必要的配置, 才能使VPN服务生效。
1) 配置VPN服务器
第一步:打开管理工具中路由和远程访问窗口, 右击VPN服务器, 选择“配置并启用路由和远程访问”。
第二步:在安装向导中选择“虚拟专用网络 (VPN) 访问和NAT”。
第三步:选择VPN访问所需的协议TCP/IP。
第四步:指定服务器上与互联网相连接的网卡。
第五步:指定服务器上与内部网络相连接的网卡。
第六步:选择远程拔入客户的IP地址来源。
第七步:为了安全的客户端拔入, 可以设置一个RADIUS服务器, 也可以用VPN服务器来进行验证。
第八步:选择开始-程序-管理工具中的服务, 可以看到在服务中的路由和远程访问已经启动。
第九步:配置VPN服务器中的远程访问策略, 例如允许远程用户在任何时间接入。
第十步:若使用VPN服务器来进行身份验证, 在计算机管理中创建VPN用户名, 并在用户属性“拨入”选项卡中设置允许VPN访问。
2) VPN网络的客户端的设置
以Windows XP客户端的设置为例, 右击网上邻居、属性、选择新建连接。在连接建立向导上, 选择“连接到我的工作场所的网络”;在出现的对话框中单击“虚拟专用网络连接”;在公司名称对话框中为连接键入一个名称;键入目标地址即VPN服务器的IP地址或主机名;在出现的对话框中, 如果限制此连接仅供当前登录用户使用, 选择“只是我使用”选项;如果允许登录到该计算机的任何用户访问此拨号连接, 选择“任何使用此计算机的人”;单击“完成”按钮保存新建的连接。
3) 测试VPN连接
打开连接对话框, 输入VPN服务器上允许远程拔入的用户名和密码。连接成功后会在右下角的任务栏处出现一个网络连接图标。
2.2 采用IPSec VPN技术实现企业不同地点网络的互联
使用IPSec VPN技术实现基于路由器的站点到站点模式的VPN, 使远程企业分支机构通过公共网络连接成一个内部网络, 为企业总部和分支用户实现对内部数据资源的安全互访。
1) IPSec协议
IPSec是一组开放的网络安全协议的总称, 提供访问控制、数据来源验证、加密及数据流分类加密等服务。IPSec在IP层提供以上服务, 包括两个安全协议AH (报文验证头协议) 和ESP (报文安全封装协议) 。AH主要提供数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外提供对IP报文的加密功能。
通信双方如果要用IPSec建立一条安全的传输通路, 需要协商将要采用的安全策略, 包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后, 我们就说双方建立了一个安全关联SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接。当给定了一个SA, 就确定了IPSec要执行的处理, 如加密, 认证等。SA可以进行两种方式的组合, 分别为传输模式和隧道模式。
为进行加密和认证需要有密钥的管理和交换功能, 这是由IKE (Internet密钥交换协议) 实现的。IKE是一种为IPSec管理和交换密钥的标准方法, 可以将IKE分为两个阶段:阶段1进行认证, 建立一个IKE SA;阶段2进行密钥交换, 利用阶段1中的IKE SA来协商IPSec SA。安全关联SA是从由IPSec提供安全服务的数据流的发送者到接收者的一个单向逻辑关系, 用来表示IPSec如何为SA所承载的数据通信提供安全服务。AH和ESP都需要使用SA, IKE的主要功能之一就是SA的建立与维护。
2) 站点到站点IPsec VPN的实现
IPsec VPNs在企业与分支机构的应用中较常见, 对于企业的实现也不受限制, IPsec VPN为三层VPN技术, 下面重点就IPsec VPNs组成与功能特性中的站点到站点IPsec VPNs进行介绍。基于思科路由器的站点到站点IPsecVPN操作的5个步骤如下:
第一步, 在路由器R1和R2上配置访问控制列表定义VPN数据流, 非VPN数据流通过配置NAT进行转换;
第二步, 路由器R1和R2协商IKE第1阶段会话 (IKE安全关联) ;
1) 选用协商模式:main mode或aggressive mode;
2) 选用一种身份认证方法:Preshare Key或非对称加密算法级数字证书方式;
3) 选用一种加密算法:des或3des;
4) 选用一种验证算法:sha或md5;
5) 选用一组diffie-hellman公钥密码系统组:dh1或dh2;
6) 定义IKE Sa的生存周期;
第三步, 路由器R1和R2协商IKE第2阶段会话 (IPsec安全关联) ;
1) 选用协议封装:ESP或AH;
2) 选用一种加密算法和验证算法:esp-des或esp-md5-hmac;
3) 选择是否使用diffie-hellman公钥密码系统来执行PFS完美向前保密:默认为none;
4) 选用变换集的模式:tunnel或transport;
5) 定义IPSec SA生存时间;
第四步, VPN数据流信息通过IPsec隧道进行交换传输;
第五步, IPsec隧道终止。
2.3 大型企业集团在专用网络上采用MPLS VPN技术
MPLS最初是为提高网络设备的转发速度而提出的一个协议, 使用一个短的定长标签 (Label) 来标识数据流, 用固定长度的标签搜索实现数据的高速转发。随着交换芯片技术的突破及高性能网络处理器的出现, 网络设备普遍可以线速处理数据, MPLS技术转而被应用于提供QoS以及VPN服务。
MPLS VPN是业界近几年发展迅速的新兴技术, 融合了ATM技术与IP技术的优点, 成为解决当前广域VPN的最佳技术选择。在MPLS VPN中, 各站点之间使用两层标签封装报文, 在入口运营商边缘路由器 (入口PE) 处为报文打上两层标签, 作为骨干网络设备提供相应服务的依据。外层标签在骨干网内部进行交换, 标识从运营商边缘设备 (PE) 到对端运营商边缘设备 (对端PE) 的一条隧道, 保证VPN沿着标签交换通道LSP到达对端运营商边缘设备, 内层标签则确定在出口运营商边缘路由器 (出口PE) 处应该向哪个站点转发数据。
MPLS VPN提供了灵活的地址管理。由于采用单独的虚拟路由表, 允许每个VPN使用单独的地址空间, 称为VPN-IPv4地址空间, 采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。MPLS VPN的作用并不局限于企业内部互联, 对于建设了专用网络的大企业集团, 利用MPLS VPN可以实现数据、语音、视频的多业务承载和不同业务系统之间的隔离。MPLS VPN在保证不同业务的Qo S和业务系统的安全隔离方面具有天然的优势。
3 结束语
随着全球经济的不断发展, 企业的合作伙伴日益增多, 需要移动办公的人员也随之增加。在这样的背景下, 企业的各分支机构、企业与合作伙伴、企业与客户之间都可能需要建立连接通道以进行信息传送。通过将数据流转移到低成本的公共网络上, 一个企业的虚拟专用网解决方案可以保证数据的传输安全、降低组网成本, 使组建的网络易于扩展, VPN技术必将有更广泛的应用。
参考文献
[1]蒋青泉.虚拟技术在现代通信网络中的应用与研究[J].通信技术, 2009.
[2]李艳梅.基于IPSec的Windows VPN客户端系统的研究与实现[D].济南:山东大学, 2005.
[3]卢峰.企业骨干网络VPN技术的应用研究[D].北京:华北电力大学, 2011.
虚拟专用网(VPN)技术综述 篇5
VPN(Virtual Private Network)也就是虚拟专用网络技术。虚拟专用不是真正的专用网,却能够实现专用网络的功能。VPN虚拟专用网技术在Internet公共网络中建立私有专用网络,虚拟专用网中的数据通过安全的“加密管道”在公共网络中传播,企业只需要租用本地的数据专线或者用户拨号方式连接到本地的公共信息网,就可以相互传递信息,实现分散地点间的企业内部用户安全地连接进入企业网中,从而达到安全的数据传输目的。IETF草案理解基于IP的VPN为“使用IP机制仿真出一个私有的广域网”,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。VPN技术的出现,使企业不再依赖于昂贵的长途拨号以及长途专线服务,而代之以本地ISP提供的VPN服务。从企业中心站点铺设至当地ISP的专线,要比传统WAN解决方案中长途专线短得多,成本也低廉得多。
1 VPN安全技术分类
VPN主要采用四项技术。
1.1 隧道技术
隧道技术是为了将私有数据网络的资料在公众数据网络上传输所发展出来的一种信息封装方式(Encapsulation),亦即在公众网络上建立一条秘密通道。隧道协议中最为典型的有GRE、IPsec、L2TP、PPTP、L2F等。其中GRE、IPsec属于第三层隧道协议,L2TP、PPTP、L2F属于第二层隧道协议。
英信X-ServerVPN网关支持SST、IPSec和基于IPSec的L2TP隧道技术,通过这三种隧道技术,可以实现客户机-LAN(例如:公司移动用户到公司总部LAN)、LAN-LAN(例如:公司总部LAN到公司分部LAN)和LAN-GROUP三种隧道。
1.2 加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
1.3 密钥管理技术
密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要利用Diffie-Hellman的演算法则在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别作为公钥、私钥。
1.4 身份认证技术
网络上的用户与设备都需要确定的身份认证,这是VPN需要解决的首要问题。错误的身份认证将导致整个VPN的失效,不管其他安全设施有多严密。辨认合法使用者的方法很多,但常规用户名密码方式(PAP)显然不能提供足够的安全保障。对于设备更安全的认证通常需依赖数字证书签发中心(CertificateAuthority)所发出的符合X.509规范的标准数字证书(Certificate)。设备间交换资料前,须先确认彼此的身份,接着出示彼此的数字证书,双方将彼此证书比对,如果比对正确,双方才开始交换资料,反之,则不交换。
2 VPN的安全性
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就形成了公司安全防御系统中的弱点。
在家办公是不错的,但从安全的观点来看,它是一种极大的威胁,因为,公司使用大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。
黑客为了侵入员工的家用计算机,需要探测IP地址,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方案,它可以使非法侵入者不能进入公司网络。
3 VPN隧道技术
隧道技术是VPN最重要的技术之一,隧道技术是指包括数据封装、传输和数据拆封在内的全过程。隧道技术是通过公共网络的基础设施,在专用网络或专用设备之间实现加密数据通信的技术。通信的内容可以是任何通信协议的数据包,隧道协议将这些协议的数据包重新封装在新的包中发送,新的包头提供了路由信息,从而使封装的数据能够通过公共网络传递,传递时所经过的逻辑路径称为隧道,当数据包到达通信终点后,将被拆封并转发到最终目的地。
建立VPN隧道有多种方式,包括L2TP、IPSec、PPTP、GRE、SSL隧道,其中IPSec协议是VPN隧道中安全加密功能最完整的产品之一。IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族,主要针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一整套隧道加密和认证方案。远程用户需安装特定的客户端软件,相对来说比较复杂,对于非专业人员或不是很熟悉这个协议的人来说,有一定的难度,而且新增用户比较困难,但是由于IPSec协议是在网络层上的,与上层协议无关,所以可以随时添加和修改应用程序,对于应用层协议没有非凡要求,所以它的应用领域非常之广。它提供的是网络边缘到客户端的安全保护,仅对从客户到VPN网关之间的通道加密。
4 Access VPN接入设备
VPN接入设备是在总结国内外用户实际需求的基础上,面向企业用户推出的VPN接入产品,能够满足大中小型企业和行业用户的分支机构、合作伙伴和移动用户通过Internet安全的进行数据通信。
VPN接入产品在设计上采用独立、安全的操作系统,具有高安全性、高可用性、高易用性和高扩展性。其核心技术主要体现在以下几方面:
(1)集成多种VPN技术,支持IPSec VPN、SSL VPN、L2TP VPN,支持IPSec VPN和SSL VPN同时使用。
(2)全面支持标准IPSec和IKE协议,能够和Cisco、Juniper、Microsoft等第三方厂家的VPN产品实现互通。
(3)支持标准NAT穿越,与各种接入设备(如防火墙、路由器等)有良好的兼容性。
(4)支持多种加密算法。
(5)支持多种验证算法,如国际流行的MD5、SHA算法。
(6)SSL VPN对B/S和C/S的应用均支持。
(7)支持标准PKI协议,采用标准的X.509格式证书,支持第三方CA。
(8)集成强大的防火墙,在实现内外网隔离的同时,能对VPN隧道内的数据进行规则检查,防止入侵者通过数据驱动方式攻击内网。
(9)采用独创的隧道保活技术,不断监控对端设备和隧道状态,能够自动恢复因链路故障而断开的隧道连接。
5 MPLS概述
MPLS(多协议标记交换)使用标签(label)进行转发,可以看作为一种面向连接的技术。通过MPLS信令(如标签分配协议ldp,label distribute protocol)建立MPLS标记交换通道(lsp,label switchedpath),数据转发时,在网络入口对报文进行分类,根据分类结果选择相应的lsp,打上相应的标签,中间路由器在收到MPLS报文后直接根据MPLS报头的标签进行转发,而不用再通过IP报文头的IP地址查找,在lsp出口或倒数第二跳弹出MPLS标签,还原为IP包。
在MPLS的体系结构中,控制平面(control plane)是无连接的,利用现有IP网络实现,转发平面(forwarding plane,也称为数据平面,data plane)是面向连接的,可以使用ATM、帧中继等二层网络。
MPLS的一个重要应用就是VPN。MPLS VPN在提供企业网互联业务的专线市场具有高带宽、高可靠性、网络部署灵活等优势,被各大电信运营商视为未来多服务基础核心的技术趋势。
6 结束语
VPN为LSP和用户都带来了好处,简单点说,节省了大量的资金,组网快捷,而且安全性也比较好。所有的这一切从近年来VPN的飞速发展中就可以看出来,人们为什么如此热衷于此,必有其过人的一面,但是同时我们看到现在VPN还不是十全十美的,在它的安全性方面还存在隐患,但也要相信VPN的明天会更好。
参考文献
[1]雷震甲.网络工程师教程[M].北京:清华大学出版社,2004.
[2]余明辉,汪双顶.中小型网络组建技术[M].北京:人民邮电出版社,2009.
综合虚拟专用网 篇6
关键词:隧道技术,虚拟专用网,方案设计,配置,IPSec
0 引言
在构建一个VPN时,常遇到的问题是如何选择VPN的类型?如何设计一个具体解决方案、如何配置VPN?目前,IPSec VPN和SSL VPN是流行的两类互联网远程接人技术,市场上常见的产品也都支持它们。这两种VPN技术具有类似的功能特性,所采用的加密原理及其加密操作都能够使原始明文变成密文在网络中传输。常用的加密方法有对称密钥加密方法和非对称密钥加密法两种,其主要区别在于密钥的使用方面[1]。SSLVPN是应用层加密,用户使用性、安装部署比较方便,但性能比较差;而IPSec VPN在应用范围上面较广,其安全性也较高。IPSec是一种能为任何形式的互联网通信提供安全保障的协议套件,它的目标是用适当的安全性和算法保护所要传输的数据,所采用的密钥管理协议(ISAKMP)能够提供用于应用层服务的通用格式;互联网密钥交换(IKE)通过提供额外的特性和灵活性,对IPSec进行了增强,并使IPSec易于配置。为此,以IPSec VPN为例,讨论其具体解决方案的设计及其配置实现。
1 IPSec VPN方案设计
一个IPSec VPN方案一般包括以下几个方面的内容。
1)总部接人方案。总部是整个机构的核心,有许多重要信息通过内部网络传输、共享;其内部网络譬如可通过电信网络直接接人互联网。在总部内部网络安装VPN服务器,在网络出口处配置具有VPN功能的路由器。
2)分支机构及合作伙伴接人方案。由于各地分支机构需要与总部进行大量的信息交换,为了保障总部与分支机构、总部与合作伙伴之间数据传输的安全性,可以根据各分支机构的具体情况,分别对路由器进行配置。通常,分支机构可以拥有对总部访问的全部权限,而合作伙伴只能查看部分资源。
3)移动用户的远程安全接入方案。在外出差的移动用户可以通过安装在便携式计算机上的客户端拨号软件,随时通过接入当地ISP。便携机接人互联网后,使用拨号软件与总部机构的安全网关建立起加密隧道,安全接人总部或各个分支机构。
一个典型VPN网络拓扑结构示意图,如图1所示。
在如图1所示的VPN方案中,主要是实现机构总部路由器1与分支机构路由器2,以及合作伙伴路由器3之间的VPN互连;通过VPN服务器和客户端的相关设置,可实现移动办公用户与总部服务器之间的VPN连接。实际中,机构总部下属分支机构和合作伙伴数量可能较多,在拓扑结构示意图中只选择了部分分支机构作为示例说明。表1所列为其相关的端口及IP地址规划设置。
2 路由器到路由器的IPSec配置
在路由器到路由器之间采用IPSec方式连接,需要配置一条虚拟隧道,使两个网络能够通过一个安全链接,进行安全可靠的通信。以采用预共享密钥的IPsec加密方法为例[2],其IPsec VPN配置过程为:
1)配置IKE策略:内容有hash算法、加密算法、DH组、生存时间;
2)配置预共享密钥:需要选择IP地址或者主机名来标识该密钥;
3)配置IPSec参数:包括配置本端标识,本端标识有IP地址和主机名:以及配置数据流(Access—list),以便在加密映射中引用该数据流;
4)设置加密转换规则,转换规则是某个对等方能接受的一组IPSec协议和密码学算法,双方要保持一致;
5)配置加密映射:为IPSec创建加密映射条目,使得用于建立IPSec安全联盟的各个部件协调工作;
6)应用(激活)加密映射;
7)查看VPN的配置。IPsec VPN具体配置一般需要以下三大步骤[3]。
2.1 确定ISAKMP(IKE阶段1)策略
确定ISAKMP就是在远程网络的边界路由器1上,定义管理连接的IKE策略,主要包括确定密钥分发方法、确定认证方法,为对等体确定ISAKMP策略。ISAKMP策略定义IKE协商过程中使用的安全参数组合。一组策略形成一个多策略的保护套件,使IPSec对等体能够以最小配置建立IKE会话和SA。
router1(config)#crypto isakmp enable//启用IKE协商
routerl(config)#crypto isakmp idwntity address
routerl(config)#erypto isakmp policy 10//建立IKE协商策略(10是策略编号)
routerl(config—isakmap)#encryption des 128//使用DES加密方式,密钥长度为128
routerl(eonfig—isakmap)#hash md5//指定Hash算法为MD5(其他方式如SHA、RSA)
router1(eonfig—isakmap)#authentication preshare//告诉路由器使用预共享密钥进行身份认证
router1(config—isakmap)#group 1//指定密钥位数,group 2安全性更高,但更耗CPU
router1(config-isakmap)#exit
然后,配置预共享密钥,并指定VPN另一端路由器的IP地址。
router1(config)#crypto isakmp key thisisatest address 192.168.99.30//thisisatest为共享密钥,192.168.99.30为对等端的路由器2的IP地址。
2.2 定义IPSec(IKE阶段2)策略
IPSec策略定义了一个IPSec参数组合,用于IPSec协商过程。IPSec规划也称为1KE阶段2,是在一台路由器上配置IPSee应该完成的又一个重要步骤。主要配置以下内容。
1)配置IPSec参数。创建一条需要加密本地局域网流量的访问表(ACL),即定义哪些地址的报文加密或是不加密。例如,机构总部的IP地址范围是202.119.128.o/24,远程用户的IP地址范围为192.168.99.0/24。
2)设置加密转换规则。配置用于定义与对等端通信使用的安全协议和算法的变换集,可以定义认证使用AH,加密使用ESP或者是认证使用ESP,用户必须至少定义一个安全协议。
routerl(config)#crypto ipsec transform-settest esp-3des esp-md5//为ESP加密选择3DES,为ESP认证选择MD5作为Hash算法;test为传输模式的名称。
3)配置加密映射。建立匹配访问表与对等端交换集的crypto map(将IKE协商信息与IPSec参数整合,命名),可以为每个映射表项定义多个对等端的IP地址,但每个匹配表项中只能定义一个变换集和一条访问表。
router1(eonfig)#crypto map testmap 1ipsec-isakmp//testmap是erypto map的命名routerl(config-crypto-map)#set peer 192.168.2.1//指定此VPN链路对等端的IP地址router1(config-crypto-map#set transform-set test//IPSec传输模式的名称
router1(config-crypto-map)#match address Local//Local是上面定义的ACL访问表号。
4)应用(激活)加密映射,即把上一步创建的映射(erypto map的名字)应用到一个路由器端口上。一般应用在距目的路由器最近的端口上。
router1(config)#interface s0/0(进入应用VPN的接口)
routerl(config-if)#crypto map testmap//testmap:crypto map的名字
2.3 查看VPN的配置
配置IPSec策略之后,要检查路由器的当前配置,以确定在已经配置的IPSec策略中,是否有一些策略有助于或干扰了规划的IPSee策略配置。
router1#show crypto ipsec sa//查看安全联盟
router1#show crypto map//显示crypto map内配置的加密图
routerl#show crypto isakmp policy//检查默认的IKE阶段1策略及任何配置的IKE阶段1策略
按照上述步骤,在路由器2、路由器3中进行类似配置,就可以实现IPSec加密传送。注意,在开始配置IPSec前,必须检查对等体之间的基本连通性,确保网络在没有加密时也能工作。例如,可使用路由器的ping命令进行检查。否则,一旦激活IPSec后,安全配置可能会掩盖网络的某些基本问题,致使难以处理基本连通性类故障。
3 Windows 2003下VPN的配置与实现
Windows 2003 Server服务器的配置和客户端拨号软件的设置主要有以下两项内容。
1)配置VPN服务器,使之能够接受VPN接人。完成VPN服务器的配置后,还需要创建用户、为用户设置拨人权限,让远程计算机可以通过VPN服务器访问机构内部网络。
2)配置VPN客户端(如Windows XP)并建立客户端与服务器问的VPN链接。通常,在客户端使用PPTP拨号连人VPN服务器。当VPN客户机通过PPTP拨号与VPN服务器链接成功后,VPN客户机就成了VPN服务器所在局域网的一个组成部分。在该局域网内,任意一台计算机均可以按照权限访问其他计算机上的软硬件共享资源,操作方法也与普通局域网完全一样。
VPN技术能够较好地实现远程网络访问与管理等问题。基于IPsec的VPN,一般需要通过对双方路由器的配置、Windows 2000/2003 Server服务器的配置,以及客户端拨号软件的设置之后,才能使得一个总部机构与分支机构或者是合作伙伴使用公网建立起虚拟隧道链接。有时,还可采用身份认证譬如采用智能卡等多种形式,进行远程办公室到本地办公室以及移动用户IPSec VPN拨人的身份认证,以进一步强化安全访问控制。
参考文献
[1]Hundley K.前导工作室译.Cisco访问表配置指南[M].北京:机械工业出版社,2000.
[2]Antoon W Rufi著.北京邮电大学Cisco网络技术学院译.思科网络技术学院教程[M].北京:人民邮电出版社,2008.
[3]王文.VPN技术原理探析及实例[J]软件导刊,2009,8(6):134-136.
综合虚拟专用网 篇7
Internet在给我们带来极大方便的同时,也带来了安全方面的问题。网络存在很多不安全因素,如口令猜测、地址欺骗、TCP盗用等,难以保证企业或组织机构内部信息的安全。为了保证数据在网络传输时的安全,传统的解决方案是建立企业的专网,可以保证其安全性并具有一定程度的可靠性,但成本太高,并且浪费资源;同时也无法满足随时随地的接入要求;更重要的是扩展性不好,不方便新用户的接入,这些特性决定了它不可能广泛地应用到各种企业。
于是,虚拟专用网(Virtal Private Network)应运而生。VPN即虚拟专用网,是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,依靠ISP(Internet服务提供者)和其他NSP(网络服务提供者)在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN技术主要采用了四项技术:隧道技术、密钥管理技术、访问控制技术和用户认证技术,在VPN的关键技术中,最重要的是安全隧道技术,下面重点探讨隧道技术。
2 隧道技术
2.1 隧道技术基础
隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。在目的局域网和公网的接口处将数据解封装,取出负载。
被封装的数据包在隧道的两个端点之间通过公共网络的传输协议(如TCP/IP)在公共互联网络中传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装,传输和解包在内的全过程,如图1所示。
隧道所使用的传输网络可以是任何类型的公共互联网络,本文主要以目前普遍使用Internet为例进行说明。
2.2 隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道协议是隧道技术的核心,基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议主要包括:PPTP,L2TP(Layer 2 Tunnelling protocol)以及IPSec等协议。
隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPSec隧道模式就属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
其中,封装协议被用来建立、保持和拆卸隧道,包括L2TP等协议。而乘客协议是被封装的协议,例如PPP协议。传输协议被用来传送封装协议,IP是一种常见的传输协议。如果用户想通过Internet将其分公司网络连接起来,但网络环境是IPX,这时用户就可以使用IP作为传输协议,通过封装协议封装IPX的数据包,然后就可以在Internet网上传递IPX数据。
2.2.1 PPP点对点协议
因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP,IPX包封装在PPP帧内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS(网络连接存储)。
PPP拨号会话过程可以分成4个不同的阶段:创建PPP链路,使用链路控制协议(LCP)创建,维护或终止一次物理连接;用户验证,客户会通过PC将用户的身份证明发给远端的接入服务器,使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接;PPP回叫控制,该阶段在完成验证之后使用回叫控制协议(CBCP),即验证之后,远程客户和NAS之间的连接将会被断开,然后NAS使用特定的电话号码回叫远程客户,进一步保证了拨号网络的安全性;调用网络层协议,调用在链路创建阶段选定的各种网络控制协议,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。
一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩。类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密。
2.2.2 PPTP点对点隧道协议
PPTP将PPP(Point-to-Point Protocol)帧封装在IP数据包中,通过IP网络如Internet及其他企业专用Intranet等发送。通过点对点隧道协议,远程用户可以通过Microsoft Windows NT Workstation、Windows 95操作系统以及其它支持点对点协议(PPP)的系统拨号连接到Internet服务提供者(ISP),然后再通过Internet与它们的公共网连接。
PPTP支持Client-LAN型隧道。通过利用PPP所采用的身份验证、数据加密与协议配置机制,PPTP连接提供了一种通过诸如Internet这样的公共网络针对远程访问与路由器到路由器虚拟专用网络(VPN)创建安全连接的有效方式。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据帧通过隧道传送,可以对封装PPP帧中的负载数据进行加密或压缩。
2.2.3 L2TP二层隧道协议
L2TP是一种网络层协议,可以让用户从客户端或访问服务器端发起VPN连接,支持封装的PPP帧在IP,帧中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
但在安全性方面,L2TP仅仅定义了控制包的加密传输方式,对传输中的数据并不加密。因此,L2TP并不能满足用户对安全性的需求,如果需要安全的VPN,则需要使用IPSec协议。
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:
a)PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道;
b)L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节;
c)L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。
2.2.4 IPSec协议
IPSec是第3层的协议标准,是一组开放的网络安全协议总称,在IP层提供访问控制、数据来源验证及数据流分类加密等服务。IPSec包括认证头(AH)和报文安全封装协议(ESP)两个安全协议。AH(Authentication header)是报文验证头协议,主要提供数据来源验证、数据完整性验证等功能;ESP(Encapsulating Security Payload)是封装安全载荷协议,除具有AH协议的功能之外还提供对IP报文的加密功能。
IPSec协议提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制,它工作在网络层,主要为设备(如路由器)之间的数据安全传输提供保护,并对数据进行加密和数据收发方的身份验证。IPSec协议可以设置成两种运行模式:隧道模式和传输模式。在隧道模式下,它把IP数据包封装在安全的IP帧中;而传输模式是为了保护端到端的安全性,不会隐藏路由信息。
一个IPSec隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSec隧道技术,采用协商加密机制。为实现在专用或公共IP网络上的安全传输,IPSec隧道模式使用安全方式封装和加密整个IP包,然后对加密的负载再次封装在IP包头内通过网络发送到隧道服务器端,隧道服务器对收到的数据包进行处理,去除IP包头,对内容进行解密之后,获得最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
IPSec隧道模式具有以下功能和局限:
a)只能支持IP数据流;
b)工作在IP栈的底层,因此,应用程序和高层协议可以继承IPSec的行为;
c)由一个安全策略进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。
d)使用该模式需要较大的系统开销。
3 结束语
实现VPN的技术多种多样,其中一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
虚拟专用网(VPN)是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一,可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。VPN不但是一种组网技术,还是一种网络安全技术。因此,VPN可作为远程访问和网络互联的高效低价,安全可靠的解决方案,而且由于集灵活性、安全性、经济性以及可扩展性于一身,可充分满足企业分支机构、移动办公安全通信、校园网的远程访问等的需求。
参考文献
[1]Davis Carlton.VPN的安全实施[M].清华大学出版社,2002.
[2]谢杨.虚拟专用网VPN系列讲座[J].计算机世界,2002[1].
综合虚拟专用网 篇8
随着企业网应用的日益广泛, 邯郸钢铁集团公司 (以下简称邯钢) 企业网的范围也在不断扩大, 逐渐从本地发展到跨地区跨城市。分布在全国各地的多个直销公司业务迅速拓展, 远程和移动办公访问需求不断增长, 而核心的ERP系统必须依托于互联互通的网络平台才能够真正发挥应有的效能。依赖租用昂贵的数字专线或帧中继虚电路的传统互连方案, 已经不能满足跨地域网络互联互通以及灵活接入的要求。
企业级虚拟专用网络 (VPN) , 可以基于Internet, 以低成本、高度安全、灵活接入及易于管理等特点, 保障异地网络通信及数据交换的安全与高效, 实现跨地域网络的互联互通, 企业拥有完全自主的“专用”网络基础设施逐渐成为企业跨地域安全互联的主要技术手段。
1 企业VPN需求分析
1.1 网络现状及需求
邯钢目前在本地设集团本部, 还包括邯钢宾馆、矿业公司及联西秤房等下属单位, 在全国范围内设有9个直销公司, 每个机构均组建了单独的局域网。邯钢宾馆、联西秤房及矿业公司等分支机构采用光纤接入互联网, 各直销公司大部分采用ADSL方式接入互联网。对于远程分支机构来说, 访问ERP系统时需要借助于互联网来进行。同时, 邯钢本部拥有一定数量的移动办公人员, 需要在出差和远程办公地点实时访问邯钢ERP及OA等系统。互联网的开放性以及IPv4协议的脆弱性无法保证用户信息在传输过程中的安全性, 利用VPN技术组建邯钢虚拟网络成为最有效及安全的途径。
1.2 确定VPN建设目标和内容
综合上述网络现状和需求分析, 确定了建设目标为实现跨地域网络安全互联, 依托互联网组建邯钢私有的虚拟专用网络。
(1) 通过组建“专网”, 实现ERP系统的远程安全访问
使ERP系统能够辐射到所有直销公司及移动用户, 实现实时远程安全访问及网络资源远程共享。同时, 满足移动办公需求。
(2) 确保ERP服务器及ERP数据的安全性
杜绝ERP服务器映射到互联网上的安全隐患, 防止非授权用户访问ERP服务器, 确保服务器的安全性。同时, 利用数据加密、认证及权限控制等多种网络安全技术, 保证核心业务信息在传输过程中的数据安全性、机密性、完整性和不可否认性。
(3) 能够解决南北互通问题
解决不同ISP运营商之间的互通性问题, 南方分公司通过电信线路访问ERP系统时, 能够确保访问速度和数据传输速率。同时, 为后续应用系统的扩展提供强有力的网络基础平台。
2 VPN建设总体方案
2.1 总体框架和网络拓扑
邯钢网络已经实施了完整的网络安全防御系统, 本方案以实施VPN安全网关及VPN客户端软件构建VPN专网, 延伸邯钢的安全边界为主要内容。根据邯钢业务特点和网络架构要求, 组建星型专网拓扑结构。
实施完成后拓扑如图1所示。
2.2 方案实施
邯钢本部部署一台HD VPN200硬件安全中心网关, 放置在防火墙前端, 连接网通、电信双线接入互联网, 为各分支及移动用户提供V P N接入功能。V P N安全网关支持E T H、ADSL等多种互联网接入方式, 在现有的网络接入环境下可直接完成设备部署。
在邯钢宾馆、联西秤房、矿业分公司及各直销公司局域网与因特网的接口处, 部署HDVPN 100/100NP安全网关, 直接与ISP提供的接入设备相连。VPN网关完成接入因特网、代理内部主机访问因特网信息及为内部主机提供功能完善的防火墙保护等功能;同时, 向邯钢本部HD VPN200安全网关建立VPN安全隧道, 实现跨地域网络互联互通, 完成与公司本部信息的安全共享。
对只有单台主机的办事处和移动办公人员, 在其主机上安装HD VPN软件客户端, 客户端软件启动后以VPN拨号方式向中心V P N网关进行身份认证, 认证通过后建立相应的VPN隧道。VPN客户端支持开机自启动及初始化默认连接, 每次使用时用户只需启动控制界面即可自动建立VPN隧道。
2.3 方案特点
(1) 跨地域网络互联互通, 构建融合性基础网络平台
VPN实现了跨地域网络互联互通, 将邯钢宾馆、联西秤房、矿业分公司、各直销公司以及移动用户全部连接到邯钢本部局域网当中, 远程用户可以安全、便捷地访问公司内网中的ERP、OA及视频会议等应用系统。
用户通过“网上邻居”共享数据文件, 如在本部局域网当中一样, 操作方式和使用习惯没有任何改变。不但可以保障数据安全、彻底消除地域性的限制, 而且有效提升了网络的可扩展性、应用软件部署和使用上的灵活性, 进一步实现了邯钢整体的网络安全、资源整合及应用融合。更为顺畅的业务和信息沟通方式, 为邯钢的业务流程提供了强有力的支持, 也使客户满意度不断提升。
(2) 保障网络及信息安全
通过VPN专网, ERP服务器可以完全放置到局域网当中, 不用在防火墙做任何地址或端口映射, 远程用户经过严格的身份认证之后连回到局域网当中, 通过高位加密的VPN隧道进行数据传输。ERP服务器和用户数据的传输对互联网上的用户来讲是完全不可见的;对于服务器和应用数据而言都高度安全, 从而不用担心服务器的安全和数据泄露问题, 确保了服务器的高度安全。
VPN采用国际标准的数字证书确认远端接入用户的合法身份, 通过隧道封装、加密、动态密钥管理机制, 杜绝了数据在互联网传输过程中的各种安全隐患;远程用户所有的业务、ERP等数据均通过VPN加密隧道以密文形式传输到中心服务器, 隧道内高强度认证和加密算法 (3DES-CBC、AES) 确保了中心服务器及数据在传输过程中的高度安全。
(3) 多线路捆绑, 解决南北互通问题
中心VPN网关支持多线路捆绑功能, 完美地解决了南北互通问题, 并且实现了线路备份和负载均衡功能。通过将电信、网通两条专线接入到VPN网关上面, 远程用户如果采用的是网通线路, 就直接与中心网关的网通线路建立隧道, 如果是电信线路则与中心电信线路建立隧道。这种方式有效地避免了南北运营商之间的网络瓶颈, 解决了不同ISP运营商之间的互通性问题, 且两条VPN通道之间互为热备份 (即无论是一台V P N设备故障还是一条通信线路故障均不影响V P N业务) , 解决了中心节点设备和线路的冗余问题, 完美实现了企业安全网络的畅流应用。
(4) 满足移动办公需求, 实现随时随地移动办公
VPN专网可以满足远程和移动用户的办公需求, 远程及移动用户只要能够接入互联网, 就可以利用VPN客户端软件直接与中心网关建立安全加密隧道, 通过加密隧道随时随地访问ERP、OA等应用系统服务器, 大大提高了员工的办公及工作效率。
同时, 通过精细粒度的访问权限设置, 实现对不同级别、不同角色的远程用户, 按需分配不同的访问权限。访问权限细划到协议、IP地址、端口、端口范围。有效杜绝了非授权用户 (人) 非法访问敏感信息。移动用户一旦启动客户端软件并正确建立VPN隧道后, 就可以根据中心网关为此用户分配的权限, 访问相应的内部网络资源, 且只能访问权限明确允许的网络应用和共享资源, 进一步保障网络及信息安全。
(5) 灵活接入、轻松扩展的专网应用平台
邯钢VPN专网具备灵活的扩展性, 当需要增加新的网络节点时, 只需简单的部署VPN设备或客户端软件即可。VPN专网构建基于IPSec国际标准, 在网络模型的第三层 (网络层) 实现对数据包的封装和加密, 而对于上层的应用是完全透明的, 这样使得邯钢VPN专网平台具有良好的可扩展性。对于有着不同实现方式的应用系统, 如B/S结构 (OA) 、C/S结构 (ERP、视频会议) 等, 在专网平台上, 可直接扩展并覆盖到所有的分支机构, 大大简化了邯钢的网络结构和应用架构。
(6) 延伸邯钢网络安全边界
在实现数据传输安全的基础上, 局域网内部的网络安全同样需要重视;通过VPN网关的专业防火墙功能, 实现了内、外部网络授权访问、基于时间段的访问控制策略、防网络攻击、地址绑定以及应用代理、DMZ区部署等功能, 确保远程局域网的安全。
(7) 高效承载网络防病毒系统, 进一步提升网络安全性
VPN专网在实现跨地域网络互连, 保证应用服务器和业务数据不受来自互联网的非法攻击和入侵的同时, 也有效承载了网络防病毒系统, 保障邯钢内部网络不受病毒侵扰, 进一步提升网络的安全性。在整个专网内部, 可以方便地实现趋势防病毒系统的远程管理、智能升级、自动分发及远程报警等多种功能;同时, 中心管理员能够通过VPN隧道随时启动对全网的统一查杀毒和病毒库升级, 最大程度地减小了病毒传播的可能。
(8) 稳定、高效的专网平台
邯钢VPN专网构建采用业界领先的HD VPN硬件安全网关, 系统支持平均80000小时连续无故障运行, 最高可提供800Mbps的加密数据吞吐量 (3DES 168位加密算法) , 确保了VPN专网的稳定、高效。系统支持DPD隧道探测协议, 可实时感知VPN隧道状态, 在断线恢复后能够自动进行重新连接, 确保了VPN专网的实时畅通。
3 效果及展望
邯钢通过对跨地域VPN专网的成功构建, 使异地分支机构与总部的无缝沟通和实时信息共享基于共同的基础网络平台, 有效地保护了企业信息核心资产及服务器的安全性, 确保核心业务数据在互联网上传输时的安全性, 实现了核心业务服务器的信息安全及授权访问。在实现信息安全保障方面, 起到了积极明显的作用。邯钢专网架构上线至今一直平稳运行, 经过一年多的运转, 收到了良好的效果。
VPN专网以低成本的网络互联互通, 以及ERP、OA等各种应用系统实时共享的特点, 可以保持邯钢本部与分支机构之间实时的业务联系, 促进了邯钢远程业务的开展;同时, VPN专网能够方便企业实现分布管理和集中管理, 保障信息安全和应用无限扩展, 推动企业网络应用可持续发展, 为邯钢未来的发展提供更为强大的平台支持。
摘要:基于对邯钢企业跨地域网络安全互连的需求分析, 本文研究确立了虚拟专用网的建设目标, 提出了一个运用VPN技术实现低成本网络安全互连的解决方案, 并分析其应用效果和特点。
关键词:网络互连,VPN,信息安全,移动办公
参考文献
[1]赵兵.IPSec VPN和SSL VPN两种技术的对比选择.电力信息化.2007.