VPN技术应用(精选12篇)
VPN技术应用 篇1
随着网络的发展及其在高校的建设与普及,校园网已成为高校的基础公共通信平台,趋于实用化的网络应用需求也越来越多。从上世纪90年代后期开始,高校为了自身的发展以及受到国家教育宏观规划的影响,办学规模不断扩大。但由于各种原因,一部分学校不可能在原校园的基础上再扩大校区,而只能在更远的新的城市边缘地区建设新校区或兼并其它学校形成新校区。由此,给校园网的发展与应用带来了一系列新的问题:高校合并导致校园呈现多校区化;利用网络的远程教育蓬勃发展;住在校外或出差的教师有使用校园网络资源的需求等。而传统的解决方法均存在一定的弊端:一种方法是采用传统的单一的校园网组网技术,如通过专用线路建立广域网,专用线路接入一旦遇到线路问题,各地之间的交流就会中断,而且专用线路的实施也加大了用户的投资负担,同时专用线路不可能铺设给每位教师;另一种方法是利用公共互联网互访,但校园网资源的安全问题难以保障。那么有没有一种接入,既可以满足用户的需求又可以把投资降到最低,同时又能够拥有优质的服务呢?虚拟专用网技术(V PN)的出现较好地解决了以上问题[1]。
由于办学规模不断扩大的需求及历史、地理原因,我院现有两个校区,院本部位于山东省济宁市,分校区位于日照市。另外,考虑到住在校外或出差的老师也有使用校园网络资源的需求,我们在进行校园网规划的时候,将如何实现分校区及移动用户接入作为一个重点考虑的问题。选择V PN技术,是当前经济、安全、灵活、高效地将这些远程子网接入校园主干网的一种较理想的方案。
1. VPN的概念
V PN(V irtual Private N etwork,虚拟专用网)是通过一个公用网络建立一个临时的、安全的连接,是一条通过公用网络的安全的、稳定的隧道。在V PN中,任意两个节点间并没有端到端的专用物理链路,而是利用现有的公众网络资源动态形成的一种通道。按IE T F(互联网工程任务组)草案理解:V PN是使用IP机制仿真出一个私有的广域网,是通过私有的隧道技术在公共数据网上仿真一条点对点的专用线路技术。所谓虚拟是指用户不再需要拥有实际的长途数据专用线路,而是通过已有的公众网来实现;所谓专用网络,是指用户可以为自己定制一个最符合自己需要的网络。V PN利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。我们通常将V PN当作W AN的解决方案,但它也可以简单地用于L AN[2]。
2. VPN技术
在构建网络时用户除了考虑其实用性外,最关心就是它的安全性。VPN是利用公用网络实现专用网络的虚拟连接,其安全性如何呢?目前V PN主要采用四项技术来保证安全,分别是隧道技术(Tunneling)、加解密技术(Encry ption&Decry ption)、密钥管理技术(Key M anagement)、使用者与设备身份认证技术(Auth entication)[3,4]。
3. VPN应用分类
根据V PN所起的作用,可以将V PN分为3类:Access V PN、Intranet V PN和E xtranet V PN,这3种类型的V PN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的E xtranet相对应[5]。
4. 我院VPN的连接方式
图1中的济宁校区和日照校区分别通过本地的因特网服务商用多种接入方式联入因特网,两校区各有一台带有VPN功能的防火墙,防火墙的其中一端接入校园的内部网,另一端接入因特网,这样就从物理上构筑了VPN即虚拟专用网。由此,移动办公用户、出差教师、校外居住教师、家属区网通用户、学院合作单位用户都可以通过学校网络管理者授权的身份认证方式登陆学校内部网络,进而使用学校内部的网络资源,如:网络存储、信息系统、期刊数据库、网络教学平台、下载内部软件等。
5. 未来的构想
在图1中,存在一条2M的专用线路连接着两校区,这是构建VPN网络前所使用的。现在虽然构建了VPN网络,但由于两校区间的数据传输量大、需求高,且目采用的设备不是专用的V PN设备,只是带有V PN功能的防火墙,若防火墙出现问题,V PN将会中断,那样两校区就会失去连接,所以保留了此线路。笔者已做过实验,断掉此线路,通过V PN可连接两校区。使用专用线路是能保证数据及链路的问题,但是投资高。在未来的时间,学院计划使用专用的V PN设备构筑两校区的连接,这样既可以省掉专用线路的投资,又可以保证数据及链路的问题。
由此可见,VPN技术既可以满足用户的需求又可以把投资降到最低,同时又能够使用户拥有更加优质的服务。目前V PN技术在一些建有分支机构的大型企事业单位中已得到较为广泛的应用,而在校园网络中使用的还不是太广泛,相信该技术在日后会得到更为广泛的推广与应用。
摘要:文章通过对VPN技术进行具体分析与研究,提出了将其应用于校园网络的技术方案,用以解决高校合并导致校园呈现多校区化,以及住在校外或出差的教师对校园网络资源使用的需求等问题。
关键词:VPN,虚拟专用网,校园网,VPN技术
参考文献
[1]黄强.校园VPN网的建设与管理[J].贵州大学学报(自然科学版).2005,22(1):59-63
[2]周丽佩.VPN技术在校园网中的应用[J].大庆石油学院学报.2003,27(2):62-64
[3]叶国建.VPN技术在校园网上的应用[J].计算机工程.2000,26(S1):210-214
[4]冯伟.基于VPN技术的校园办公网解决方案[J].三峡大学学报(自然科学版).2002,24(6):516-519
[5]朱洋.浅谈VPN技术及应用[J].南京工程学院学报(自然科学版).2004,2(2):52-56
VPN技术应用 篇2
我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,下面,517网游加速器芯晴就来给大家一一道来。
1.隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.使用者与设备身份认证技术:
VPN技术及其在企业中的应用 篇3
关键词:VPN技术;隧道技术;安全技术
中图分类号:TP309.2 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Application of VPN Technology in Enterprise
Wang Hengxiang
(Tietong,Fujian Branch,Fuzhou350003,China)
Abstract:The typical application of VPN technology has made the detailed analysis and discussion.
Keywords:VPN technology;Channel technology;Safety technology
当前以Internet为标志的信息技术革命,正以惊人的速度改变着人们的生产、工作、学习和生活方式,全球信息化建设都处于一个高速发展的阶段,信息孤岛和信息共享安全已成为企业信息化建设过程中两个比较突出的问题。实现企业集团不同地点网络的互联有两种选择:一是组建传统的企业专用网络,二是组建VPN网络。前者需要采购相应的网络设备,租用或自建传输线路,进行网络的规划和建设以及网络建成后的维护和管理,成本高昂,通常适合于实力雄厚的大型企业集团;而对于中小企业来说,这高昂的成本开销是难以接受的,于是伴随着降低建网成本的市场需求,加之国内的IP资源有限的现状,企业的另一种选择-基于动态IP的VPN技术-悄然登场了,利用VPN组网成了企业网络建设性价比最高的解决方案。
一、VPN技术简介
VPN(虚拟专用网络,Virtual Private Network)是一种利用公共网络来构建的专用网络技术,“虚拟”这一概念是相对传统私有网络的构建方式而言的,VPN是用公共网络来实现远程的广域连接,通过它企业可以以更低的成本连接远程分支机构;或者在公共的骨干网络上承载不同的专用网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。简单地说VPN就是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,CPE-based VPN主要包含两种技术:隧道技术与安全技术。
(一)隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
(二)安全技术
VPN是在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术。认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。
2.加密技术。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
3.密钥交换和管理。VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。
二、VPN在企业中的应用
VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
(一)Access VPN(远程访问VPN)
客户端到网关。VPN允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKSv5协议比较适合这类连接。
(二)Intranet VPN(企业内部VPN)
网关到网关。它适用于公司两个异地机构的局域网互连,在Internet上组建世界范围内的企业网。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
(三)Extranet VPN(扩展的企业内部VPN)
与合作伙伴企业网构成Extranet。由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。使用VPN技术可以解决在当今远程通讯量日益增大,企业全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。VPN可以实现不同网络的组件和资源之间的相互连接,能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。对中小企业来说,VPN是实现自建专网向利用运营商网络方向发展的重要技术,通过部署VPN,利用地理范围覆盖广阔,骨干网络带宽很高的运营商网络可以提供满足企业网络互连的需求,企业因此省去建设费用高昂的专有网络。对于建设了专用网络的大企业集团,利用MPLS VPN可以实现数据、语音、视频的多业务承载和、不同业务系统之间的隔离。MPLS VPN在保证不同业务的QOS和业务系统的安全隔离方面具有天然的优势。VPN组网应是企业信息化网络建设中性价比最高的解决方案。
参考文献:
[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002,9
VPN技术与应用 篇4
随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸显传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。利用Internet组建私有使用网,将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
2. VPN概述
VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密通道”中进行安全传输的技术。通过隧道(TUNNEL)或虚电路(VIRTUAL CIRCUIT)实现网络互联,支持用户安全管理,能够进行网络监控、故障诊断,具有省钱、选择灵活、速度快、安全性好、实现投资的保护等优点。
3. VPN技术原理
(1)VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全通信。
(2)VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
(3)对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
(4)VPN设备加上新的数据包头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
(5)VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
(6)当数据包到达目标VPN设备时,数据包被解封装,数据包被解封装,数字签名被核对无误后,数据包被解密。
如图1所示:
4. VPN的安全性特征
(1)隧道与加密:隧道能实现多协议封装,增加VPN应用的灵活性,可以在IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密要采用IPSEC及IKE,则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
(2)数据验证:在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。
(3)用户验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。
(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,并产生非法访问记录。
5. VPN的分类
5.1 按VPN的协议分类
VPN的隧道协议主要有4种:PPTP,L2TP,GRE和IPSec,其中PPTP和L2TP协议工作在模型的第二层,又称为二层隧道协议;GRE、IPSec是第三层隧道协议,也是最常见的协议。这些协议都是在隧道起点对原始报文进行封装然后在隧道终点进行解封装再得到原始报文,从而达到隧道传输的目的。如图2:
5.2 按VPN的应用分类
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。
(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
5.3 按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的设备,主要为交换机、路由器和防火墙。
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可。
(2)交换机式VPN:主要应用于连接用户较少的VPN网络。
(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。
6. 实际应用
一些大型集团公司,其子公司比较分散。如何将各个子公司的局域网联网,一直是难以解决的问题。自从有了VPN,这些问题迎刃而解。这些集团公司的VPN主要采用Access VPN、Intranet VPN,下面通过2个案例介绍这2种VPN连接方法和配置实例(以H3C MSR3016为例)。图3所示的是一个标准的VPN网络结构示意图,体现集团用户对VPN应用的两个类型需求:(1)接入Internet,主机能够与局域网内主机相互访问;(2)在不同的异地局域网内的主机能够相互访问;
6.1 Access VPN建立和配置
随着当前集团公司移动办公的日益增多,远程用户需要及时地访问Intranet。对于出差流动员工、远程办公人员和远程小办公室,Access VPN通过公用网络与企业的Intranet建立私有的网络连接,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据。这种方式减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络在Access VPN的应用中;实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用;具有极大的可扩展性,简便地对加入网络的新用户进行调度;提高远端验证拨入用户服务(RADIUS)和基于策略功能的安全服务;将工作重心从管理和保留运作拨号网络转到公司的核心业务上来。
Access VPN的结构有两种类型:一种是用户发起(Client-initiated)的VPN连接;另一种是接入服务器发起(NAS-initiated)的VPN连接。在这里,主要介绍第一种连接,采用二层隧道协议L2TP,PC作为LAC(L2TP访问集中器)拨入LNS(L2TP网络服务器)路由器。如图4:
配置内容:
重要语句做了说明,基于安全保密,部分IP地址隐去。
6.2 Intranet VPN建立和配置
Intranet VPN通过公用网络进行企业各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。这种方式减少WAN带宽的费用;能使用灵活的拓扑结构,包括全网络连接;新的站点能更快、更容易地被连接;通过设备供应商WAN的连接冗余,可以延长网络的可用时间。在这里,主要介绍采用三层隧道协议GRE,两台路由器通过公网用GRE实现私网互通。如图5所示:
集团公司:
子公司:
7. 前景
VPN技术应用 篇5
VPN是什么意思?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----
这一个VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一,目前在交换机,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的,安全的连接,是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入,以实现安全连接;可以用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN),企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应.VPN有什么用?
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN如何应用于大型企业网 篇6
何谓VPN
VPN(virtual private network,虚拟专用网络)即是指在公众网络(例如Internet)上所建立的企业网络,并且此企业网络拥有与专业网络相同的安全、管理及功能等特点,它代替了传统的拨号访问,利用Internet公网资源作为企业专网的延续,节省昂贵的长途费用。VPN乃是原有专线式企业专用广域网络的替代方案,VPN并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充度,而是在更为符合成本效益的基础上来达到这些特性。VPN这种新技术有很多优点,给企业带来了无限的商机和发展机遇。
良好的安全性——端到端的安全保障:VPN架构中采用了多种安全机制,在VPN中传输的数据本身已是加密数据,再经过网络加密,提供了双重的安全保证。
覆盖范围广泛,不受地理位置的限制:Internet几乎无处不在,企业各个分支机构无论在何处,只要接在Internet网上,就可以利用VPN实现对关键性的数据进行安全的传输。
可扩展性强:VPN方式的企业网络与专线方式的相比,在网络架构上有较大的弹性,当有必要将网络扩充或是变更网络架构时,VPN可以轻易地达到目的。
VPN在石油系统的应用
中国石油集团的油库营业点遍布全国各地,分布区域广泛,营业点偏离市中心。业务需要进行购销存等数据业务交换,此外,部分营业点对语音、监控、视频业务也有需要。
售油系统网络要安全稳定地工作,需要满足以下条件:数据传输的安全性、可靠性;覆盖区域的广泛性;网络的可扩展性、灵活性和可维护性;增值业务的可扩展性;系统的经济性。
以往多采用租用电信服务商的长途DDN线路方式来组建网络,此方式可以满足其中的安全性和可靠性。如果每个营业点都与省公司通过长途DDN来进行通信的话,覆盖区域、增值业务的扩展、网络的扩展和经济性方面都存在明显的问题,尤其是以后的相应长途月租费相当可观。
而现在可以采用租用电信服务商的本地DDN、ADSL、无线等接入方式,利用VPN技术来实现网络;使用VPN技术在保证同样的传输质量下只需要支付本地月租费,大大降低了费用,而且以上所有的条件都可以满足。
VPN的结构
可以将中国石油集团的销售系统分为三级系统,以总部为中心,作为第一级节点,各个省公司作为二级节点,各个油库营业点作为三级节点。所有节点通过租用当地电信服务商的宽带上网线路连接到Internet网络上,在每个节点添加VPN设备,通过VPN设备建立虚拟的安全通道。
总部(一级节点)只和各省公司(二级节点)之间建立一级VPN通道。省公司(二级节点)与下属油库营业点(三级节点)之间建立二级VPN通道,组成一个树形结构的虚拟网络,同级节点没有直接的VPN通道,通信时需要经过上级节点中转。
VPN支持的业务
石油购销存系统在虚拟网中的运行
在VPN虚拟网中,总部、省公司、下属油库营业点就像在一个大的企业专网中,数据的安全性可以得到很好的保证,购销存系统作为内部数据交换的应用,能够很好地运行。利用VPN可实现企业系统资源的整合,如材料、机械、设备管理等就可以实现统一管理。
系统资源的整合、远程管理和远程办公
利用VPN技术,技术人员还可实现设备的远程维护,而公司领导及出差人员无论在任何地方、任何时候,均可以通过网络手段阅读公司文件、处理相关问题,提高了工作效率,节约了办公成本。
远程视频会议、远程监控
大型企业如何有效管理这些遍布全国各地、分布区域广泛的分支机构,传达总部精神,开会无疑是一个很好的办法,但是空间上的阻隔使面对面的会议无法实现。而通过在VPN网络上增加摄像头、视频电话、视频服务器等设备搭建远程视频会议系统,就可以很好地解决这个问题。
在VPN网络上,还可根据工作需要,增加视频监控设备对部分工作地点进行远程监控管理。
VPN的接入方式
支持VPN功能的接入方式很多,利用G.SHDSL实现的本地DDN接入方式、ADSL方式、无线网桥方式、GPRS、WCDMA 1X等方式接入到Internet网络之后建立相应的VPN通道。
由于中国石油集团公司油库营业室分布区域的多样性,兼顾经济性,根据当地服务商可以提供的接入服务,采用相应的接入方式。
VPN虚拟专网技术与应用 篇7
虚拟专网 (VPN-Virtual Private Network) 是在公用网络上开辟专用网络的技术。它公用网络服务商所提供的网络平台上建立逻辑虚拟链路, 数据在逻辑虚拟链路中传输。“虚拟”这一概念是相对传统私有网络的构建方式而言的, 对于广域网而言, 传统组网方式通过远程拨号连接, 而VPN利用服务商所提供的公共网络Internet实现远程广域连接。通过VPN技术, 企业可以以更低成本连接远程办事机构, 技能减少铺设网络的成本, 又能保证数据传输的安全性, 参见下图:
二、VPN实现过程和安全技术
VPN系统一般采用建立在网络协议堆栈上的应用层VPN技术, 实现密钥管理、协商、数据加密、解密, 而不必修改其它层应用程序, 就像开辟了一层隧道。所有数据包必须经过该安全隧道过滤。客户机向VPN服务器发出连接请求, VPN服务器响应请求并向客户机发出身份验证查询, 客户机加密回应信息发送至VPN服务器, VPN服务器根据用户数据库验证用户合法性和访问权限, 通过验证后, VPN服务器接受此连接。VPN安全技术可有效地避免安全隐患, 保障数据安全, 主要安全技术包含下以几种:
1、基于PKI公钥加密体系
PKI公钥加密体系是一个包含数字证书、证书管理和目录服务的安全技术, 它采用标准x.509证书, 将用户真实身份和自己生成公共密钥绑定, 用以准确地判明用户身份。
2、身份验证和数据加密
用户访问VPN时, 客户端要对用户进行双重身份验证, 即用户所持有的数字证书和该证书的密码。双向验证通过后, VPN服务器产生会话密钥分发给用户数据通过会话密钥进行加密。会话密钥在传递过程中通过非对称加密算法完成, 如1024位的RSA算法。由于数据通过互联网进行传输, VPN必须通过高强度加密算法对数据加密, 并保证数据的完整性。VPN虚拟专网提供128位以上的对称加密, 非对称密码算法使用1024位以上, 通过一次一密体制, 数据安全性极高。对于数据的完整性, VPN虚拟专网采用MD5数据摘要算法保护数据传输的完整性。
3、数据完整性
完VPN要对传输数据进行认证, 确保数据的完整性没有失真。VPN系统对传输的数据进行Hash摘要并对结果进行加密, 有效地保证数据的完整性, 防止被它人篡改。
4、访问权限控制
VPN访问权限控制技术采用访问权限列表ACL形式, 管理员为每个VPN用户分配不同的访问特权, ACL通过用户身份特征为基础, 可以有效防止非法人员窃取数据。
三、无限通信与VPN技术的结合
VPN发展将会与无线通信发展。GPRS无线数据应用解决方案利用远程访问型IPSec VPN虚拟专网安全技术, 在移动数据公网平台上构建数据中心与分散各地的远程业务点的企业虚拟专网, 可保证远程业务点与网络中心服务器的安全连接。无线移动IP与VPN技术相结合, 可以利用VPN技术在移动数据公网上建立企业内部虚拟专网, 保证无线接入和组网的可靠性和安全性。
四、VPN的应用
VPN通过隧道 (Tunnel) 或虚电路 (Virtual Circuit) 实现网络互联支持用户安全管理能够进行网络监控、故障诊断VPN的优势
建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络, 并对网络进行相关配置, 可以降低建网投资由于VPN是利用公用网络为基础而建立的虚拟专网, 因而可以避免建设传统专用网络所需的高额软硬件投资节约使用成本用户采用VPN组网, 可以大大节约链路租用费及网络维护费用, 从而减少企业的运营成本网络安全可靠实现VPN主要采用国际标准的网络安全技术, 通过在公用网络上建立逻辑隧道及网络层的加密, 避免网络数据被修改和盗用, 保证了用户数据的安全性及完整性简化用户对网络的维护及管理工作大量的网络管理及维护工作由公用网络服务提供商来完成
摘要:为保证信息网络传输时的安全性, 减少重复网络投资&负担, 提出了VPN虚拟专用网技术。他在公用网络上建立专用网络的技术, 数据像通过隧道一样从发送端抵达接受端, 保证数据的安全性。本文主要讲述VPN技术产生的背景和实现过程, 详细分析起所采用的安全技术, 最后对其应用进行总结。
参考文献
[1]赵玮、朱来昌、荆肖军、栾彩霞:《浅谈VPN虚拟专网技术及其应用》, 《山西气象》, vol.03, 2005。
[2]刁兴春:《虚拟专网技术及其应用》, 《计算机工程》, vol.12, 2001。
[3]文静华:《虚拟专网VPN技术机制研究与分析》, 《中国有线电视》, vol.16, 2004。
VPN技术浅谈 篇8
VPN (Virtual Private Network) 即虚拟专用网, 是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公用网络上虚拟一条点到点的专线从而达到数据安全传输的目的。VPN属于远程访问技术, 简单地说就是利用公网链路架设私有网络, 为了保证数据的安全, VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密, 就可以认为数据是在一条专用的数据链路上进行安全传输, 就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路, 因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术, 用户无论是在外地出差还是在家中办公, 只要能上互联网就能利用VPN非常方便地访问内网资源, 这就是为什么VPN在企业中应用得如此广泛的原因。VPN基本构架如图1所示。
2 VPN特点
安全性:VPN应保证通过公网传输的数据专用和安全性。在公用IP网络上建立一个点对点连接的逻辑隧道, 通过高强度的加密技术对经过隧道传输的敏感信息进行保护, 确保数据仅被指定用户了解, 从而保证数据的私有性和安全性。
(Qo S) 机制:VPN网应当为企业数据提供不同等级的服务质量保证。不同用户群对服务质量保证的要求各不相同。如对于移动办公用户, 提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的企业专线VPN网络, 交互式的内部企业网应用则要求网络能提供良好的稳定性;其它应用 (如视频等) 则对网络提出了更明确的要求, 如网络延时及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。Qo S机制具有通信处理机制以及供应 (Provisioning) 和配置 (Configuration) 机制, 通过Qo S机制对用户的网络资源分配进行控制以满足应用的需求。
可灵活扩充性:需要对日益增多的用户做出迅捷反应, 其中包括网络软、硬件的升级, 网络质量的保证和路由策略的维护并支持各种类型的传输媒介, 满足用户对新应用的需求。
可管理性:用户和ISP都可方便地进行管理、维护。VPN管理的目标为减小网络风险, 具有高扩展性、经济性、高可靠性等优点。事实上, VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、Qo S管理等内容。
3 VPN的分类
3.1 按应用类分类
access vpn: (DVPN) 解决公司员工在异地访问公司内网的问题, 提供身份验证、授权和记费的功能。
intranet vpn:通过公用网在各个路由器间建立VPN安全隧道连接来传输用户的私有网络数据。常用技术有GRE、Ipsec。
extranet vpn:利用VPN将企业网延伸至合作伙伴与客户。
3.2 按实现的层次分类
二层隧道协议:是将整个PPP帧封装在内部隧道中。
PPTP (point-to-point tunneling protocol) :由微软、朗讯、3COM公司支持, 该协议点到点协议在IP网络上的隧道封装。PPTP作为一种呼叫控制和管理协议, 用一种增强的GRE技术为传输的PPP报文提供流控和拥塞控制的封装服务。
L2F (layer 2 forwarding) :由CISCO和北方电信等公司, 支持对更高级协议链路层的隧道封装, 实现拨号服务器和拨号协议连接在物理位置上的分离。
L2TP (layer 2 tunneling protocol) :由IETF起草, 结合了以上两个协议的优点, 既可以用于实现拨号VPN, 也可以用于实现专线VPN。
三层隧道协议:起点和终点均在ISP内, 隧道内只携带第三层报文。
GRE (generic routing encapsulation) :用于实现任意一种网络层协议在另一种网络层协议上的封装。
Ipsec:不是一个单一的协议, 它给出IP网络上数据安全的一整套体系结构, 包括AH、ESP和IKE。
三层与二层相比, 优势在于安全性、可扩展性和可靠性。
4 VPN安全技术
由于虚拟隧道中传送的是用户间私有数据, 所以VPN用户对数据的安全性十分关注。
目前VPN主要采用隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、用户与设备身份认证技术 (Authentication) 这四项技术来保证用户数据的安全。
4.1 隧道技术
在公网上建立一条虚拟传输隧道, 让用户数据包通过这条隧道传送。隧道能够实现多协议的封装, 增加了VPN应用的灵活性, 可以在无连接的IP网上提供点到点的逻辑通道。
4.2 加解密技术
应用加密隧道进一步保护了数据的私有性, 使数据在网上传送而不被非法的窥视和篡改。
4.3 密钥管理技术
密钥管理技术主要有SKIP与ISAKMP/OAKLEY。SKIP是利用Diffie Hellman的演算法则在公网上安全地传递密钥而不被非法窃取, 而在ISAKMP中用户双方都有公用、私用两把密钥。
4.4 身份认证技术
VPN可以使合法用户访问他们所需的企业资源, 同时禁止未授权的用户非法访问。
5 VPN基本原理
VPN的工作方式是指用户提出需求, ISP会根据用户的需求在公网上为其创建一条隧道, 所谓的隧道就是需要互通的VPN之间的公网路径。当用户的私有数据发送到运营商公共网络边缘时, 边缘设备就会对此用户的数据进行识别判断, 然后对该报文进行再封装。所谓再封装就是按照事先创建好的隧道所指定对端用户连接的公网的边缘设备, 通常就是封装对端设备的IP地址。这样用户数据在公网中传递时, 公网设备只检查其顶部封装公网数据进行转发判断, 而不检查用户的私有数据。当对端边缘设备收到此数据后, 判断出这是给本地某VPN的报文, 就去除公网数据的封装, 将还原后的用户数据发送给本地VPN用户, 这样, VPN就可以通过公共网络传递私网数据了。
6 结语
当然, 目前VPN还存在一些缺陷。如不同厂商的产品和解决方案并不总是相互兼容的。因此, 设备的混合搭配可能引起技术故障。总之, 随着互联网的发展和安全技术的完善, 企业的信息化进程不断加快。高效、安全可靠、经济的VPN技术将会迎来广阔的发展空间。
参考文献
[1]杨小平, 等.Internet应用基础教程[M].
[2]王达, 等.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.
[3]杨永斌.VPN技术应用研究[J].计算机科学, 2004 (10) .
基于隧道的VPN技术应用 篇9
1 VPN技术
1.1 VPN的概念
VPN是虚拟专用网(Virtual Private Network)的简称,它是虚拟的,不是实际存在的物理的网络。它依靠ISP(Internet Service Provider,互联网服务提供商)或NSP(Network Services Provider,网络服务提供商),在公用网络中建立专用的数据通信网络的技术。它是通过对公共通信信道进行逻辑分割来进行的,通过对网络传输数据的打包和加密传输,在公共网络中建立一个安全可靠的连接,从而实现在公共网上传输专用数据,达到专用网络的安全级别。它实现了在公用网上传输专用数据的目的,达到了虚拟专用网的效果。VPN网络的连接示意图如下图所示。
1.2 VPN的分类
根据VPN的使用功能和应用类型,可以分为:组建内联网(Intranet VPN)、远程访问(Access VPN)与组建外联网(Extranet VPN),它们拥有各自的特点,但大多数情况下是同时用到这三种类型的网络,尤其是对于规模比较大的企业。
Intranet VPN是指机构的总部与它的分支机构通过VPN进行网络连接,这是跨地区的大中型企业机构采用的方式。它通过公用的网络进行连接,所有的分支结构都具有网络的访问权限。整个企业或机构通过在公用网络上采用VPN技术,组建整个企业或机构的内部虚拟专用网络。
Access VPN是拨号的VPN,指的是通过远程拨号的方式建立起来的虚拟网络。用户通过VPN技术在任意时间和地点采用拨号、DSL、ISDN等与机构总部建立连接,实现访问,前提是用户必须在自己的设备上安装相应的VPN软件。
Extranet VPN是指为了提供给企业或结构外部的客户访问权限,让其在不影响企业内部网络安全的前提下,快捷方便的访问企业所提供的有效的信息资源。
根据实现技术,VPN可以分为网络层VPN、链路层VPN、传输层VPN和应用层VPN。这几种VPN技术是基于不同的网络层级进行划分的。
1.3 VPN的优点
VPN的出现和应用,解决了许多企业和机构面临的一个难题,即如何在有限的时间和网络费用投入条件下,提供较高的网络性能。与耗费较大的专网相比,VNP具有以下的优点:
1)节约了成本,由于利用了公共的网络进行组网,不用专门建设网络,节省了网络建设的费用。
2)具有较好的扩展性,当新增访问结点时,只需要在新节点处增设客户端设备,就可以方便快捷的加入网络。
3)安全可靠,VPN技术所提供的主要是安全,通过可靠的加密技术,在网络中传输的数据具有隐蔽和不易被篡改的特点。
正是由于以上的优点,VPN在各种企业和机构中被越来越多的采用。
2 隧道技术
2.1 隧道概念
隧道,指的是一种封装技术,利用公共的网络进行数据的传输。将一种协议X的数据包经过隧道封装后再经过另一种协议Y进行传输,实现了协议X对公共网络的透明性。
它是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
这里所说的隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。
通过隧道的建立,可实现:将数据流强制送到特定的地址;隐藏私有的网络地址;在IP网上传递非IP数据包;提供数据安全支持。
2.2 隧道协议
隧道是通过隧道协议建立的,隧道技术使用隧道协议来封装和传输数据。为了创建隧道,隧道的客户端和服务器必须使用相同的隧道协议。隧道技术可分为第2层或第3层。第2层隧道协议对应于OSI模型的数据链路层,第3层隧道协议对应于OSI模型的网络层。
无论是哪种隧道协议,都由传输载体、不同的封装格式以及被传输的数据包组成,以L2TP为例,隧道协议的组成如下图所示。
目前IP隧道协议大致分两类:数据链路层的第二层隧道协议,包括PPTP,L2F以及L2TP协议;应用在网络层的第三层隧道协议,包括GRE,IPsec,IP in IP以及MPLS协议。
1)L2F,提供“虚拟拨号”服务,并且可以在多种介质上建立多协议的安全虚拟专用网络。
2)PPTP,提供PPTP客户机和PPTP服务器之间的加密通信。
3)L2TP,它结合了L2F和PPTP的优点,允许用户从客户端建立VPN连接。
4)GRE,它只提供了数据包的封转,没有防网络侦听和攻击的加密功能可以与IPsec一起使用,由IPsec为用户数据的加密,给用户提供更好的安全服务。
5)IPsec,规定了加密和认证的算法。最后,解释域通过一系列命令、算法、属性和参数连接所有的IPSec组文件。
6)IP in IP,用IP分组封装IP分组的协议,目的是解决在移动IP环境下实现移动主机与其本地代理之间的通信。
7)MPLS,它采用了标签交换路径技术,也就是基于链路控制的隧道技术。
上述的各种隧道协议各有各的优点和缺点,表1对其常用的集中进行了对比。
3 基于隧道的VPN技术应用
在办公自动化的大背景下,无论是企业、事业单位还是政府部门,都需要使其内部资源得到有效而可靠的利用,这就需要本文所介绍的VPN技术,而隧道技术作为VPN技术中的重要基础,必须选择与VPN相适应的隧道协议。
经过长期的发展,VPN技术已经日益成熟和实用,但针对隧道协议的选择和构建还没有统一的意见。不同的隧道协议在不同的应用要求背景下,与VPN相结合,能够发挥其最大的优势。
下面是VPN技术的几种应用:
远程访问VPN,它可以实现企业个人对企业网络的远程访问。传统的远程访问方式是建立一个远程访问服务器,用户通过电话网络拨号接入系统,这种方式需要支付拨号费,且速度慢,不能保证数据安全。远程访问VPN通过在用户和VPN之间建立一个安全的隧道,通过隧道远程访问内部网,既安全方便又节约了费用。下图是远程访问的VPN结构示意图。
点到点的内联网VPN,它可以解决同一机构的两个不同点之间的安全可靠数据传输。避免了原有的专线通信,不需要专门的物理通信线路,并且在增加和删除站点时,只需要更改配置,增加或删除VPN隧道,就可以实现要求,方便灵活。图4是其示意图。
4 结束语
VPN技术的应用随着网络技术的发展而不断增多,由于其比其他通信方式相比,不仅价格低廉,而且耗能提供可靠的安全性。隧道技术是VPN技术实现的一大重要途径,也是VPN领域的一个新的研究方向,能够有效提高VPN构建的安全性、灵活性和可扩展性,解决不同网络服务提供商、不同安全域之间的互连问题,得到了越来越广泛的重视。基于隧道的VPN技术将在各个领域得到越来越广泛的应用。
参考文献
[1]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2005.
[2]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010,20(2):156-159.
[3]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机,2004,21(11):47-51.
[4]韩儒博,邬钧霆,徐孟春.虚拟专用网络及其隧道实现技术[J].微计算机信息,2005,21(8):1-3.
浅谈VPN技术的发展与应用 篇10
基于各种需求, VPN技术应时而生。VPN (Virtual Private Network) , 即“虚拟专用网络”, 简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路, VPN是指依靠Internet服务提供商 (ISP) 和其他网络服务提供商 (NSP) , 在公用网络中建立专用的数据通信网络的技术。
一、VPN原理
VPN即在公用数据网上建立一条数据通道, 这条数据通道就是隧道, 隧道技术是VPN得以实现的关键技术, 数据包从这条隧道上通过, 从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络, 它们之间的通信内容进行封装后经过这条专用的隧道进行传输, 然后在接收方进行解封装, 还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据, 因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议, 即私有网络和公用网络之间是不兼容的, VPN是一种逻辑意义上的网络。
二、VPN的安全保障
由于VPN越来越广泛的应用和其技术特点, 数据的安全问题成为VPN技术的关键问题。为保证数据的安全性, 目前VPN主要采用四项技术:1.隧道技术 (Tunneling) 。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装, 它将私有网的数据进行封装并在隧道中进行传输, 隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式, 在虚拟网结点与公网的接口处将数据解封装, 得到数据。隧道由一系列隧道协议组成, 定义了较为完整的数据封装和安全协议及其算法。2.加解密技术 (Encryption&Decryption) 。发送的一方将数据进行特定加密后再发送数据, 当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术 (Key Management) 。为了满足在公用数据网上所传送的数据的安全性和完整性的需要, 密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术 (Authentication) 。最常用的是用户名、口令或智能卡认证等方式。
三、VPN特点
1.低廉的成本。由于VPN是利用现有的公共网络, 不需要重新构建一个新的网络, 只是在公共网络上建立一个虚拟的逻辑上的网络, 因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较, VPN在设备的使用量及广域网络的频宽使用上, 都很节省, 企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活, VPN的构架可以根据用户的需要进行修改, 可以随意增加新的节点, 具有良好的扩展性, 无论是企业的专线用户, 还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性, VPN架构中采用了多种安全机制, 如隧道技术、加解密技术、身份认证技术、防火墙等技术, 通过这些网络安全技术, 确保通过VPN上传送的数据不会被攻击者窥视和篡改, 防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络, 使网络的管理较为轻松;各种类型的用户, 都通过VPN的隧道进入内部网, 可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件, 无论何时何地, 在有公用网络的前提下, 只需在电脑中添加一个网络连接, 即可与服务器瞬时连接, 远程进行操作。
四、VPN发展与应用
VPN适用于那些位置众多、用户分布范围较广, 特别是远程办公室站点多的企业和那些彼此之间的距离远、遍布全球各地的用户;还有那些要求对所传输的信息进行保密并保证信息准确性的用户。随着internet的迅猛发展, 为VPN提供了良好的网络基础, 全球化的企业为VPN提供了广阔的市场, 这都使VPN的发展与普及成为必然, VPN将具有巨大的发展前景。
VPN技术应用 篇11
关键词:MPLS技术;二层VPN,三层VPN
在Internet不断发展和普及的今天,很多企业都将自身的专用网络建立了起来,并且在internet上连接这种专用网络,因此其对虚拟专用网技术(VPN 技术)的应用起到了极大的推动作用。VPN 技术的核心就是将隧道建立在公共的数据通信网络中,并且与两个具有较远距离的企业专用网络进行连接,从而将更好地服务提供给企业。目前在IP骨干网中MPLS 技术得到了广泛应用,而且其充分地显示出对VPN 的支持能力。
1 基于MPLS技术的二层VPN
基于MPLS技术的二层VPN也被人们称为虚拟私有LAN业务或者透明LAN业务,其最为主要的目的并非是将现有的第二层VPN取代,而是对其进行更好地扩展。基于MPLS技术的二层VPN将简单的点到点的隧道建立在MPLS网络中,因此可以对各种二层数据流进行处理。在Martini方案中对PPP/HDLC、TDM、ATM、帧中继和以太网的点对点封装机制进行了定义。立足于Martini方案的封装机制,IETF还将其他方案制定了出来,对以太网透明LAN业务、ATM的封装机制、帧中继的封装机制等进行了定义。在Martini方案中第二层的VLAN信息被用户端的标签边缘路由器映射到MPLS标签中,随后对路由器组成的网络中路由进行交换。利用这种方式能够连接企业用户的各个远端站点。该网络具有非常高的安全性,这是由于其立足于MPLS标签在公众网络中对数据包进行传递,而不是立足于IP地址。这种方式表明运营商能够通过对已有的网络的利用实现无缝升级。比如其能够在MPLS的网络上迁移以虚电路为基础的点对点的帧中继[1]。
2 基于MPLS技术的三层VPN
在RFC2547bis中对运营商的骨干网上将MPLS VPN服务提供给用户的一种机制进行了定义。RFC2547bis又被人们称作BGP/MPLSVPN。由于BGP最为主要的作用就是将每个VPN路由信息发布在运营商骨干网中,将每个VPN的路由表建立并储存在路由器和交换机上,而MPLS的主要作用就是从一个VPN站点上将VPN业务转发到其他的站点。实际上其中的每个2547VPN都属于私有IP网络,同时有私有的IP地址存在于每个PE路由器上。PE路由器和CE路由器在2547VPN中将对等关系建立了起来,而并非是CE路由器之间形成的对等关系。CE路由器能够将私有网络的路由信息提供给PE路由器。同时,PE路由器必须要确保可以对多个私有路由器表进行存储,每个VPN中都要连接到internet的路由信息和一个私有路由器[2]。
要通过MPLS来转发核心网络节点,该功能具有十分重要的作用,这是由于2547VPN网络内的路由器并不需要被核心网络的路由器知道,只需要将标签交换的功能完成。基于MPLS技术的二、三层VPN在这个方面具有一致性。
基于MPLS技术的二、三层VPN中分别具有怎样的PE—CE路由器关系是两者最为主要的区别,CE路由器和PE路由器在一个基于MPLS技术的二层VPN并不具备对等的关系,而且不需要对独立的路由表进行维护,其主要是在正确的点对点的隧道中映射第二层数据流量。可以通过覆盖模型与第三层的对等模型进行对比。
基于MPLS技术的三层VPN的优势非常明显,其能够很好地融合IP网络,对多种第二层协议进行支持,能够在多种传输网络中构建起来,其自动路由发现功能也比较强,这些对于VPN来说都非常重要[3]。
与此同时,基于MPLS技术的三层VPN在具体的应用中也存在着一定的限制,比如2547VPN就具有较高的PE路由器要求。现在仅仅高端路由器能够对多个私有路由器表进行支持,虽然如此,由于复杂的路由结构而导致的超负荷的可能性仍然存在于设备中。
3 基于MPLS技术的二、三层VPN对比和选择
在运用基于MPLS技术的VPN时,每个运营商都需要对选择二层VPN还是三层VPN这一问题进行慎重考虑。在选择的时候必须要对目前的网络结构和未来的业务进行充分考虑。基于MPLS技术的二层VPN对于已经使用第二层VPN的运营商来说具有更强的吸引力,这是由于这部分运营商并未对提供IP路由的解决方案和高端IP设备具有浓烈的兴趣,而且基于MPLS技术的三层VPN具有更高的费用和更大的复杂性,并且还要对目前的第二层VPN与MPLS VPN之间的互操作进行充分地考虑。总之,这些运营商对如何利用现有的网络更加关心,而不是关心怎样将一个新的网络建立起来。对于这些运营商来说,基于MPLS技术的二层VPN显然具有更大的吸引力[4]。对那些较多运用BGP的ISP来说,基于MPLS技术的三层VPN具有更大的吸引力,这是由于高端的IP/MPLS路由已经开始被运用在其网络边缘中。同时,在对大型的VPN网络进行运营的时候更加适合采用基于MPLS技术的三层VPN,这是由于其客户的节点比较多,而且需要对站点进行经常性的更换,因此其VPN网络需要能够将路由自动发现。
4结语
运营商必须要严格地按照自身的网络情况选择采用哪种运营模式、哪种技术和哪种方式将基于MPLS技术的VPN业务提供出来。如果运行商处于垄断地位,这时候可以选择循序渐进的方法利用基于MPLS技术的VPN补充自身传统的VPN业务。新型的宽带业务运营商由于并不具备原有技术的负担和限制的问题,再加上其本身处于竞争的地位,这时候就可以对MPLSVPN技术进行直接利用,从而将VPN业务体系建立起来。
参考文献:
[1]孟健,龚志凡,唐富强.MPLS网络技术的发展和基本原理与应用简介[J].硅谷,2011(07).
[2]李海华.BGP MPLS VPN数据转发过程分析[J].计算机技术与发展,2011(06).
[3]柳鹏.浅谈MPLS VPN技术[J].中国科技信息,2011(14).
企业网络安全与VPN技术应用 篇12
就当前通常所使用的网络应用来说, 企业的网络结构比较典型形式是一个网络中心、若干分支机构、若干合作伙伴、加上移动远程 (拨号) 用户。网络中心、分支机构和合作伙伴都是不同规模的局域网络系统。作为整个网络系统核心的总部中心网络, 是企业的各种核心服务器设置地点, 又是网络管理中心。各部分之间的联接方式多种多样, 包括远程拨号、专线、Internet等。
对企业网络系统安全构成的威胁有许多种类, 以攻击对象和攻击方式划分, 有攻击信息的威胁、攻击系统的威胁、攻击使用者的威胁和攻击系统资源的威胁四种类型, 进行安全攻击的既有非企业人员, 也有可能来自企业内部。
2 网络安全防范措施及VPN技术
2.1 网络安全防范措施
为网络信息系统提供安全保障通常采用的技术手段, 一是网络访问控制技术, 二是密码技术。前者对系统实施安全保护, 可以防范各类外来的威胁。后者用来对传输信息进行加密、对用户的身份进行确认, 以及抗否认等。
作为保障网络安全的一项技术, 密码技术是最有效的手段之一, 如今, 数据加密技术已构成全部通信数据安全的基础。而且, 数据加密方法已经成为多数信息保密手段的唯一选择。网络经过加密后, 既能有效预防非授权用户的非法入网或进行搭线窃听, 又可防范恶意软件的侵扰。通过数字加密技术可为网络提供强大的安全屏障, 同时这种技术的应用成本很低。
数据加密技术采用的是各种加密算法, 依据信息的接收方与发送方所使用的密钥的相同与否进行划分, 可将加密算法分为两种, 一种是对称密码算法, 一种是非对称密码算法, 也称为公钥算法。
前一种算法的信息接收方解密密钥与发送方加密密钥相同。最为人所了解的对称密码算法是美国的DES算法以及这种算法的各类变形。这种算法具有保密强度高和运算速度快的特点, 唯一不足是密钥须经安全途径进行传递。所以, 应用这种算法, 密钥管理构成了关键因素。
后一种算法的信息接收方与信息发送方所用密钥是不同的, 并且依据加密密钥寻找到解密密钥的可能性也极小, 由于这种算法具有这项特点, 通常被应用于实现数字签名。最著名而且应用最为广泛的公钥密码算法是RSA算法。应用公钥密码可有效适应开放的网络环境, 而且密钥管理方便简单, 特别在实现数字签名及进行验证时经常被采用。
密码技术在网络安全方面的应用主要有两种方式, 一种是应用于网络, 一种是应用于服务。应用在网络一般实施于网络协议的网络层或传输层, 在网络层上实现的加密技术对于网络应用层的用户通常是透明的。面向应用服务的加密技术发生在业务程序中, 通常用于解决特定应用相关的安全问题, 典型应用有用户身份验证、交易信息的签名验证和交易信息的加密等。
2.2 VPN技术
VPN技术即虚拟专用网络 (Virtual Private Network, 简称VPN) 技术, 该项技术是于网络层利用数据包封装技术与密码技术, 使数据包传播于公共网络时“行走”于“加密管道”, 也就是于公共网络构建起自己“专用”的安全网络。企业采用VPN技术, 只需通过本地数据专线与公众信息网进行连接, 企业处于不同地区的机构或合作伙伴就能够安全地进行信息的传递;此外, 通过公众信息网的拨号接入设备, 企业可使其用户通过拨号连接至公众信息网, 并安全地进入到企业网。
隧道技术、网络访问控制技术和数据加密技术为企业构建安全网络提供了技术保障, 再构建有效密钥管理系统, 企业就可利用公用网络构建起自己的具有安全性的VPN系统, 使集成化企业VPN安全解决方案得以实现。将VPN技术应用于企业现行的各类不同业务网络应用系统当中, 能够有效提升系统的安全性, 同时使企业目前运行的业务系统不受到任何影响。
应用VPN技术对数据包进行加密和解密通常实施于网络层 (在TCP/IP网络中则实施于IP层) , 这种技术使得以往的链 (线) 路加密技术缺乏统一标准, 高度依赖于通讯方式、传输媒介和传输协议、缺乏适应性等缺点得以克服, 同时又回避了应用层端-端加密管理难度大、互通性不高、系统安装与迁移难度高等难题。由于VPN技术具有的成本低、适应性强、高度标准化、管理方便、同其它安全管理技术及系统管理技术融合容易等特点, 越来越引起企业的重视, 并被广泛应用于企业网络安全系统之中。
以应用划分, VPN可分为二种, 一种是虚拟企业网, 另一种是虚拟专用拨号网络 (VPDN) 。前者主要为应用专线上网的公司分部、企业合作者之间的虚拟专用网;后者指的是通过电话拨号 (PPP拨号) 上网的远程企业用户同企业网之间的虚拟专用网。VPN侧重于构建具有高度安全性的数据通道, 构建数据安全通道的协议要具备下列条件:
使数据真实性得到保障, 所用通信主机应经过授权, 同时具备对地址假冒 (IP Spoofing) 的防御能力。
使数据完整性得到保障, 要求接收数据同发送时完全相同, 同时具备对非法纂改数据的抵御能力。
使通道保密性得到保障, 具备高效的加密技术, 确保通道数据不被非法窃听者破解。
具有动态密钥交换功能, 并提供安全管理的集中服务。
具备安全防护手段及访问控制, 能够对黑客经VPN通道威胁企业网络实施防御, 并能够对VPN通道实施访问控制。
3 VPN技术应用实例
苍南教育局为我们的大客户, 要实现全县各教育机构、学校、学区的网络互联, 及今后和温州地区的联网, 同时各学校、学区间的信息要求相互隔离。要求采用VPN技术实现教育私有网络的安全和可靠, 各学校和分支机构要求100M接入, 教育局中心有100M或以上速率接入。同时要求能上Internet。
由于整个方案要求相互之间的通讯效率高, 相互之间通讯时又要保证数据的安全保密, 同时要求通讯费用降低, 采用如下解决方案:教育局中心、学校和学区的内部局域网通过光纤宽带线路连接到我局宽带IP汇聚层交换机上实现本地接入, 采用树型网络结构来组建私有网。各学校、学区之间在二层上实现隔离, 这样他们之间的信息是独立的, 外校就无法访问本地资源。教育局中心的信息和资源是可以被各个学校、学区访问, 在中心可以开展多种服务如信息发布, WWW服务, 网上教育等来满足业务需求, 组建教育数据中心 (IDC) 。另外在外或家里的教师可以通过ADSL或拨本地163等上Internet来访问中心的资源。教育局中心可以独立上互联网, 下面各个学校、学区如果要上网需要通过教育局中心方可上互联网。
为了最大限度的保护用户数据的安全, 我们在网络层上采用IPsec VPN技术来实现, 在LAN与LAN之间在INTERNET上建立一个个专用通道 (TUNNEL) , 没有持有通道使用权的非法用户是无法使用通道的, 通道上的数据是通过严格加密, 即使非法用户获得通道使用权, 由于没有密钥也无法对经过加密的数据进行解密。LAN与REMOTE CLIENT之间由教育局中心的设置的VPN服务器来认证, 只有合法的用户才能通过认证访问内部私有网。同时用户可以在自己的交换机或路由器等设备上设置访问列表等来防止非法者入侵, 也可以在内网和外网之间在添加防火墙。
参考文献
[1]汪海航, 谭成翔, 孙为清, 赵轶群.VPN技术的研究与应用现状及发展趋势[J].计算机工程与应用, 2001 (23)
[2]许勇, 张凌, 郝志锋, 陈育青.基于VPN的企业内联网[J].计算机工程与应用, 2001 (23)