序論:在您撰寫vpn技術論文時��,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導您走向新的創(chuàng)作高度。
第1篇
關鍵詞vpn�;虛擬專用網;SSLVPN�����;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虛擬專用網��,是一項迅速發(fā)展起來的新技術��,主要用于在公用網絡中建立專用的數(shù)據(jù)通信網絡�����。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡��,僅在效果上和真正的專用網一樣���,故稱之為虛擬專用網�����。在虛擬專用網中�����,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網所需的端到端的物理鏈路����,而是利用某種公眾網的資源動態(tài)組成的。一個網絡連接通常由客戶機�、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成�����,不同的是VPN連接使用了隧道技術����。所謂隧道技術就是在內部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術,使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內容��,就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協(xié)議的���。
2隧道技術的實現(xiàn)
假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網���,其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然���,這兩個部門若利用因特網進行通信�,則需要分別擁有具有合法的全球IP的路由器���。這里假設部門A、B的路由器分別為R1�、R2,且其全球IP地址分別為125.1.2.3和192.168.5.27���,如圖1所示���。
圖1
現(xiàn)在設部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報,源地址是20.1.0.1而目的地址是20.2.0.3��。該數(shù)據(jù)報從主機X發(fā)送給路由器R1����。路由器R1收到這個內部數(shù)據(jù)報后進行加密����,然后重新封裝成在因特網上發(fā)送的外部數(shù)據(jù)報����,這個外部數(shù)據(jù)報的源地址是R1在因特網上的IP地址125.1.2.3,而目的地址是路由器R2在因特網上的IP地址192.168.5.27���。路由器R2收到R1發(fā)送的數(shù)據(jù)報后���,對其進行解密,恢復出原來的內部數(shù)據(jù)報�,并轉發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網的數(shù)據(jù)傳輸��。
3軍隊院校校園網建設VPN技術應用設想
隨著我軍三期網的建設�����,VPN技術也可廣泛應用于軍隊院校的校園網建設之中����。這是由軍隊院校的實際需求所決定的。首先,軍隊的特殊性要求一些信息的傳達要做到安全可靠���,采用VPN技術會大大提高網絡傳輸?shù)目煽啃?�;第二���,軍隊院校不但有各教研室和學員隊,還包括保障部隊�����、管理機構等���,下屬部門較多�����,有些部門相距甚至不在一個地方,采用VPN技術可簡化網絡的設計和管理��;第三��,采用了VPN技術后將為外出調研的教員���、學員們以及其它軍隊院校的用戶通過軍隊網訪問本校圖書館查閱資料提供便利����。
而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性��,VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進行驗證����,這些驗證方法包括:密碼身份驗證協(xié)議(PAP)、質詢握手身份驗證協(xié)議(CHAP)���、Shiva密碼身份驗證協(xié)議(SPAP)����、Microsoft質詢握手身份驗證協(xié)議(MS-CHAP)和可選的可擴展身份驗證協(xié)議(EAP)���,并且采用微軟點對點加密算法(MPPE)和網際協(xié)議安全(IPSec)機制對數(shù)據(jù)包進行加密���。對于敏感的數(shù)據(jù),還可以使用VPN連接通過VPN服務器將高度敏感的數(shù)據(jù)服務器物理地進行分隔��,只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接�����,并且可以訪問敏感部門網絡中受到保護的資源。第二�����,在解決異地訪問本地電子資源問題上��,這正是VPN技術的主要特點之一���,可以讓外地的授權用戶方便地訪問本地的資源����。目前��,主要的VPN技術有IPSecVPN和SSLVPN兩種�。其中IPSec技術的工作原理類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展���。當接收到一個IP數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配�����。當找到一個相匹配的規(guī)則時,包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理�����。但是IPSec不同于包過濾防火墻的是�,對IP數(shù)據(jù)包的處理方法除了丟棄,直接轉發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進行加密和認證�。而SSLVPN技術則是近幾年發(fā)展起來的新技術,它能夠更加有效地進行訪問控制����,而且安全易用,不需要高額的費用����。該技術主要具有以下幾個特點:第一,安全性高��;第二���,便于擴展����;第三����,簡單性����;第四����,兼容性好。
我認為軍隊院校校園網VPN技術應主要采用SSLVPN技術�����。首先因為其安全性好����,由于IPSecVPN部署在網絡層,因此����,內部網絡對于通過VPN的使用者來說是透明的,只要是通過了IPSecVPN網關���,它可以在內部為所欲為�。因此���,IPSecVPN的目標是建立起來一個虛擬的IP網����,而無法保護內部數(shù)據(jù)的安全���,而SSLVPN則是接入企業(yè)內部的應用��,而不是企業(yè)的整個網絡���。它可以根據(jù)用戶的不同身份,給予不同的訪問權限�����,從而保護具體的敏感數(shù)據(jù)��。并且數(shù)據(jù)加密的安全性有加密算法來保證�。對于軍隊機構,安全保密應該是主要考慮的方面之一�。第二,SSLVPN與IPSecVPN相比����,具有更好的可擴展性�����??梢噪S時根據(jù)需要���,添加需要VPN保護的服務器���。而IPSecVPN在部署時,要考慮網絡的拓撲結構����,如果增添新的設備,往往要改變網絡結構����,那么IPSecVPN就要重新部署。第三�,操作的復雜度低,它不需要配置����,可以立即安裝、立即生效,另外客戶端不需要麻煩的安裝�,直接利用瀏覽器中內嵌的SSL協(xié)議就行。第四�����,SSLVPN的兼容性很好�,而不像傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求��,不同的終端操作系統(tǒng)需要不同的客戶端軟件��。此外��,使用SSLVPN還具有更好的經濟性����,這是因為只需要在總部放置一臺硬件設備就可以實現(xiàn)所有用戶的遠程安全訪問接入;但是對于IPSecVPN來說��,每增加一個需要訪問的分支就需要添加一個硬件設備���。
雖然SSLVPN的優(yōu)點很多�,但也可結合使用IPSecVPN技術���。因為這兩種技術目前應用在不同的領域����。SSLVPN考慮的是應用軟件的安全性,更多應用在Web的遠程安全接入方面�����;而IPSecVPN是在兩個局域網之間通過網絡建立的安全連接��,保護的是點對點之間的通信�,并且,IPSecVPN工作于網絡層���,不局限于Web應用��。它構建了局域網之間的虛擬專用網絡��,對終端站點間所有傳輸數(shù)據(jù)進行保護����,而不管是哪類網絡應用��,安全和應用的擴展性更強�。可用于軍校之間建立虛擬專用網,進行安全可靠的信息傳送����。
4結論
總之,VPN是一項綜合性的網絡新技術��,目前的運用還不是非常地普及��,在軍隊網中的應用更是少之又少����。但是隨著全軍三期網的建成以及我軍信息化建設的要求��,VPN技術將會發(fā)揮其應有的作用���。
參考文獻
第2篇
關鍵詞:虛擬專用網VPN遠程訪問網絡安全
引言
隨著信息時代的來臨�����,企業(yè)的發(fā)展也日益呈現(xiàn)出產業(yè)多元化����、結構分布化�����、管理信息化的特征。計算機網絡技術不斷提升���,信息管理范圍不斷擴大�����,不論是企業(yè)內部職能部門�,還是企業(yè)外部的供應商����、分支機構和外出人員,都需要同企業(yè)總部之間建立起一個快速�����、安全���、穩(wěn)定的網絡通信環(huán)境�����。怎樣建立外部網絡環(huán)境與內部網絡環(huán)境之間的安全通信���,實現(xiàn)企業(yè)外部分支機構遠程訪問內部網絡資源����,成為當前很多企業(yè)在信息網絡化建設方面亟待解決的問題����。
一、VPN技術簡介
VPN(VirtualPrivateNetwork)即虛擬專用網絡�,指的是依靠ISP(Internet服務提供商)和其他NSP(網絡服務提供商)在公用網絡中建立專用的數(shù)據(jù)通信網絡的技術,通過對網絡數(shù)據(jù)的封裝和加密傳輸����,在公用網絡上傳輸私有數(shù)據(jù)的專用網絡��。在隧道的發(fā)起端(即服務端)�����,用戶的私有數(shù)據(jù)經過封裝和加密之后在Internet上傳輸�,到了隧道的接收端(即客戶端),接收到的數(shù)據(jù)經過拆封和解密之后安全地到達用戶端��。
VPN可以提供多樣化的數(shù)據(jù)���、音頻�、視頻等服務以及快速、安全的網絡環(huán)境����,是企業(yè)網絡在互聯(lián)網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數(shù)據(jù)傳輸功能��,具有接入方式靈活���、可擴充性好���、安全性高、抗干擾性強��、費用低等特點�。它能夠提供Internet遠程訪問,通過安全的數(shù)據(jù)通道將企業(yè)分支機構���、遠程用戶����、現(xiàn)場服務人員等跟公司的企業(yè)網連接起來����,構成一個擴展的公司企業(yè)網����,此外它還提供了對移動用戶和漫游用戶的支持��,使網絡時代的移動辦公成為現(xiàn)實��。
隨著互聯(lián)網技術和電子商務的蓬勃發(fā)展�����,基于Internet的商務應用在企業(yè)信息管理領域得到了長足發(fā)展����。根據(jù)企業(yè)的商務活動,需要一些固定的生意伙伴�����、供應商���、客戶也能夠訪問本企業(yè)的局域網,從而簡化信息傳遞的路徑����,加快信息交換的速度����,提高企業(yè)的市場響應速度和決策速度���。同時����,圍繞企業(yè)自身的發(fā)展戰(zhàn)略����,企業(yè)的分支機構越來越多,企業(yè)需要與各分支機構之間建立起信息相互訪問的渠道��。面對越來越復雜的網絡應用和日益突出的信息處理問題�����,VPN技術無疑給我們提供了一個很好的解決思路��。VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接�����,并保證數(shù)據(jù)的安全傳輸,通過將數(shù)據(jù)流轉移到低成本的網絡上��,大幅度地減少了企業(yè)�����、分支機構�����、供應商和客戶花在信息傳遞環(huán)節(jié)的時間�����,降低了企業(yè)局域網和Internet安全對接的成本����。VPN的應用建立在一個全開放的Internet環(huán)境之中,這樣就大大簡化了網絡的設計和管理��,滿足了不斷增長的移動用戶和Internet用戶的接入��,以實現(xiàn)安全快捷的網絡連接��。
二�����、基于Internet的VPN網絡架構及安全性分析
VPN技術類型有很多種��,在互聯(lián)網技術高速發(fā)展的今天����,可以利用Internet網絡技術實現(xiàn)VPN服務器架構以及客戶端連接應用,基于Internet環(huán)境的VPN技術具有成本低����、安全性好、接入方便等特點����,能夠很好的滿足企業(yè)對VPN的常規(guī)需求。
2.1Internet環(huán)境下的VPN網絡架構Internet環(huán)境下的VPN網絡包括VPN服務器����、VPN客戶端、VPN連接�、隧道等幾個重要環(huán)節(jié)。在VPN服務器端�,用戶的私有數(shù)據(jù)經過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸,通過虛擬隧道到達接收端,接收到的數(shù)據(jù)經過拆封和解密之后安全地傳送給終端用戶�,最終形成數(shù)據(jù)交互?;贗nternet環(huán)境的企業(yè)VPN網絡拓撲結構。
2.2VPN技術安全性分析VPN技術主要由三個部分組成:隧道技術����,數(shù)據(jù)加密和用戶認證。隧道技術定義數(shù)據(jù)的封裝形式���,并利用IP協(xié)議以安全方式在Internet上傳送����;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜?����?�;用戶認證則保證未獲認證的用戶無法訪問網絡資源�����。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整�����、安全地在隧道中進行傳輸�,因此安全問題是VPN技術的核心問題,目前�����,VPN的安全保證主要是通過防火墻和路由器����,配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)的�,以此確保遠程客戶端能夠安全地訪問VPN服務器。
在運行性能方面���,隨著企業(yè)電子商務活動的激增����,信息處理量日益增加����,網絡擁塞的現(xiàn)象經常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響�。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略,分配基于數(shù)據(jù)傳輸重要性的接口帶寬��,這樣既能滿足重要數(shù)據(jù)優(yōu)先應用的原則�����,又不會屏蔽低優(yōu)先級的應用�����?�?紤]到網絡設施的日益完善�����、網絡應用程序的不斷增加�����、網絡用戶數(shù)量的快速增長���,對與復雜的網絡管理���、網絡安全����、權限分配的綜合處理能力是VPN方案應用的關鍵����。因此VPN方案要有一個固定的管理策略以減輕管理����、報告等方面的負擔,管理平臺要有一個定義安全策略的簡單方法��,將安全策略進行合理分布����,并能管理大量網絡設備,確保整個運行環(huán)境的安全穩(wěn)定����。
三、Windows環(huán)境下VPN網絡的設計與應用
企業(yè)利用Internet網絡技術和Windows系統(tǒng)設計出VPN網絡���,無需鋪設專用的網絡通訊線路����,即可實現(xiàn)遠程終端對企業(yè)資源的訪問和共享。在實際應用中���,VPN服務端需要建立在Windows服務器的運行環(huán)境中��,客戶端幾乎適用于所有的Windows操作系統(tǒng)��。下面以Windows2003系統(tǒng)為例介紹VPN服務器與客戶端的配置�。
3.1Windows2003系統(tǒng)中VPN服務器的安裝配置在Windows2003系統(tǒng)中VPN服務稱之為“路由和遠程訪問”����,需要對此服務進行必要的配置使其生效。
3.1.1VPN服務的配置����。桌面上選擇“開始”“管理工具”“路由和遠程訪問”,打開“路由和遠程訪問”服務窗口���;鼠標右鍵點擊本地計算機名��,選擇“配置并啟用路由和遠程訪問”�����;在出現(xiàn)的配置向導窗口點下一步���,進入服務選擇窗口����;標準VPN配置需要兩塊網卡(分別對應內網和外網)���,選擇“遠程訪問(撥號或VPN)”���;外網使用的是Internet撥號上網���,因此在彈出的窗口中選擇“VPN”��;下一步連接到Internet的網絡接口�����,此時會看到服務器上配置的兩塊網卡及其IP地址����,選擇連接外網的網卡��;在對遠程客戶端指派地址的時候���,一般選擇“來自一個指定的地址范圍”�,根據(jù)內網網段的IP地址,新建一個指定的起始IP地址和結束IP地址��。最后�����,“設置此服務器與RADIUS一起工作”選否��。VPN服務器配置完成��。
3.1.2賦予用戶撥入權限設置�����。默認的系統(tǒng)用戶均被拒絕撥入到VPN服務器上��,因此需要為遠端用戶賦予撥入權限��。在“管理工具”中打開“計算機管理”控制臺����;依次展開“本地用戶和組”“用戶”,選中用戶并進入用戶屬性設置��;轉到“撥入”選項卡,在“選擇訪問權限(撥入或VPN)”選項組下選擇“允許訪問”��,即賦予了遠端用戶撥入VPN服務器的權限����。
3.2VPN客戶端配置VPN客戶端適用范圍更廣,這里以Windows2003為例說明�,其它的Windows操作系統(tǒng)配置步驟類似。
在桌面“網上鄰居”圖標點右鍵選屬性�����,之后雙擊“新建連接向導”打開向導窗口后點下一步�����;接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”�����;在網絡連接方式窗口里選擇“虛擬專用網絡連接”��;接著為此連接命名后點下一步�����;在“VPN服務器選擇”窗口里�,輸入VPN服務端地址,可以是固定IP�,也可以是服務器域名;點下一步依次完成客戶端設置��。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼�,即可連接上VPN服務器端。:
3.3連接后的共享操作當VPN客戶端撥入連接以后�����,即可訪問服務器所在局域網里的信息資源���,就像并入局域網一樣適用�。遠程用戶既可以使用企業(yè)OA���,ERP等信息管理系統(tǒng)�,也可以使用文件共享和打印等共享資源��。
四����、小結
現(xiàn)代化企業(yè)在信息處理方面廣泛地應用了計算機互聯(lián)網絡�����,在企業(yè)網絡遠程訪問以及企業(yè)電子商務環(huán)境中�,虛擬專用網(VPN)技術為信息集成與優(yōu)化提供了一個很好的解決方案�����。VPN技術利用在公共網絡上建立安全的專用網絡���,從而為企業(yè)用戶提供了一個低成本���、高效率、高安全性的資源共享和互聯(lián)服務�����,是企業(yè)內部網的擴展和延伸�。VPN技術在企業(yè)資源管理與配置�����、信息的共享與交互、供應鏈集中管理���、電子商務等方面都具有很高的應用價值�,在未來的企業(yè)信息化建設中具有廣闊的前景�。
參考文獻:
第3篇
一、現(xiàn)代金融網絡系統(tǒng)典型架構及其安全現(xiàn)狀
就金融業(yè)目前的大部分網絡應用而言����,典型的省內網絡結構一般是由一個總部(省級網絡中心)和若干個地市分支機構、以及數(shù)量不等的合作伙伴和移動遠程(撥號)用戶所組成���。除遠程用戶外��,其余各地市分支機構均為規(guī)模不等的局域網絡系統(tǒng)�����。其中省級局域網絡是整個網絡系統(tǒng)的核心�,為金融機構中心服務所在地�����,同時也是該金融企業(yè)的省級網絡管理中心���。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣���,包括遠程撥號���、專線、Internet等�����。
從省級和地市金融機構的互聯(lián)方式來看��,可以分為以下三種模式:(1)移動用戶和遠程機構用戶通過撥號訪問網絡��,撥號訪問本身又可分為通過電話網絡撥入管理中心訪問服務器和撥入網絡服務提供商兩種方式���;(2)各地市遠程金融分支機構局域網通過專線或公共網絡與總部局域網絡連接�����;(3)合作伙伴(客戶����、供應商)局域網通過專線或公共網絡與總部局域網連接�。
由于各類金融機構網絡系統(tǒng)均有其特定的發(fā)展歷史,其網絡技術的運用也是傳統(tǒng)技術和先進技術兼收并蓄����。通常在金融機構的網絡系統(tǒng)建設過程中,主要側重于網絡信息系統(tǒng)的穩(wěn)定性并確保金融機構的正常生產營運���。
就網絡信息系統(tǒng)安全而言���,目前金融機構的安全防范機制仍然是脆弱的,一般金融機構僅利用了一些常規(guī)的安全防護措施��,這些措施包括利用操作系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)自身的安全設施;購買并部署商用的防火墻和防病毒產品等�。在應用程序的設計中,也僅考慮到了部分信息安全問題���。應該說這在金融業(yè)務網絡建設初期的客觀環(huán)境下是可行的���,也是客觀條件限制下的必然。由于業(yè)務網絡系統(tǒng)中大量采用不是專為安全系統(tǒng)設計的各種版本的商用基礎軟件�����,這些軟件通常僅具備一些基本的安全功能,而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性�,如考慮不周很容易留下安全漏洞。此外��,金融機構在獲得公共Internet信息服務的同時并不能可靠地獲得安全保障��,Internet服務提供商(ISP)采取的安全手段都是為了保護他們自身和他們核心服務的可靠性�,而不是保護他們的客戶不被攻擊,他們對于你的安全問題的反應可能是提供建議���,也可能是盡力幫助���,或者只是關閉你的連接直到你恢復正常。因此�����,總的來說金融系統(tǒng)中的大部分網絡系統(tǒng)遠沒有達到與金融系統(tǒng)信息的重要性相稱的安全級別��,有的甚至對于一些常規(guī)的攻擊手段也無法抵御�����,這些都是金融管理信息系統(tǒng)亟待解決的安全問題��。
二、現(xiàn)代金融網絡面臨的威脅及安全需求
目前金融系統(tǒng)存在的網絡安全威脅�����,就其攻擊手段而言可分為針對信息的攻擊�����、針對系統(tǒng)的攻擊�、針對使用者的攻擊以及針對系統(tǒng)資源的攻擊等四類��,而實施安全攻擊的人員則可能是外部人員����,也可能是機構內部人員。
針對信息的攻擊是最常見的攻擊行為�,信息攻擊是針對處于傳輸和存儲形態(tài)的信息進行的,其攻擊地點既可以在局域網內�,也可以在廣域網上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性�,攻擊者可以不動聲色地竊取并利用信息,而無慮被發(fā)現(xiàn)�����;犯罪者也可以在積聚足夠的信息后驟起發(fā)難,進行敲詐勒索��。此類案件見諸報端層出不窮�,而未公開案例與之相比更是數(shù)以倍數(shù)。
利用系統(tǒng)(包括操作系統(tǒng)�����、支撐軟件及應用系統(tǒng))固有的或系統(tǒng)配置及管理過程中的安全漏洞���,穿透或繞過安全設施的防護策略����,達到非法訪問直至控制系統(tǒng)的目的���,并以此為跳板��,繼續(xù)攻擊其他系統(tǒng)���。由于我國的網絡信息系統(tǒng)中大量采用不是專為安全系統(tǒng)設計的基礎軟件和支撐平臺,為了照顧使用的方便性而忽略了安全性���,導致許多安全漏洞的產生��,如果再考慮到某些軟件供應商出于政治或經濟的目的�,可能在系統(tǒng)中預留“后門”,因此必須采用有效的技術手段加以預防���。
針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識不強�、管理制度松弛、認證技術不嚴密的特點�,通過種種手段竊取系統(tǒng)權限,通過合法程序來達到非法目的���,并可在事后嫁禍他人或毀滅證據(jù)��,導致此類攻擊難以取證�����。
針對資源的攻擊是以各種手段耗盡系統(tǒng)某一資源��,使之喪失繼續(xù)提供服務的能力���,因此又稱為拒絕服務類攻擊。拒絕服務攻擊的高級形式為分布式拒絕服務攻擊���,即攻擊者利用其所控制的成百上千個系統(tǒng)同時發(fā)起攻擊�,迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現(xiàn)有的網絡架構����,尤其是Internet以及TCP/IP協(xié)議的固有缺陷,因此在網絡的基礎設施沒有得到大的改進前���,難以徹底解決���。
金融的安全需求安全包括五個基本要素:機密性、完整性���、可用性��、可審查性和可控性����。目前國內金融機構的網絡信息系統(tǒng)應重點解決好網絡內部的信息流動及操作層面所面臨的安全問題���,即總部和分支機構及合作伙伴之間在各個層次上的信息傳輸安全和網絡訪問控制問題�。網絡系統(tǒng)需要解決的關鍵安全問題概括起來主要有:傳輸信息的安全、節(jié)點身份認證��、交易的不可抵賴性和對非法攻擊事件的可追蹤性��。
必須指出:網絡信息系統(tǒng)是由人參與的信息環(huán)境����,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術手段得以有效發(fā)揮的基礎����。金融行業(yè)需要的是集組織�、管理和技術為一體的完整的安全解決方案。
三�、網絡安全基本技術與VPN技術
解決網絡信息系統(tǒng)安全保密問題的兩項主要基礎技術為網絡訪問控制技術和密碼技術。網絡訪問控制技術用于對系統(tǒng)進行安全保護�����,抵抗各種外來攻擊���。密碼技術用于加密隱蔽傳輸信息��、認證用戶身份����、抗否認等。
密碼技術是實現(xiàn)網絡安全的最有效的技術之一���,實際上����,數(shù)據(jù)加密作為一項基本技術已經成為所有通信數(shù)據(jù)安全的基石���。在多數(shù)情況下�,數(shù)據(jù)加密是保證信息機密性的唯一方法�����。一個加密網絡���,不但可以防止非授權用戶的搭線竊聽和入網����,而且也是對付惡意軟件的有效方法����,這使得它能以較小的代價提供很強的安全保護�,在現(xiàn)代金融的網絡安全的應用上起著非常關鍵的作用�����。
虛擬專用網絡(VPN:VirtualPrivateNetwork)技術就是在網絡層通過數(shù)據(jù)包封裝技術和密碼技術����,使數(shù)據(jù)包在公共網絡中通過“加密管道”傳播,從而在公共網絡中建立起安全的“專用”網絡���。利用VPN技術����,金融機構只需要租用本地的數(shù)據(jù)專線�,連接上本地的公眾信息網���,各地的機構就可以互相安全的傳遞信息��;另外��,金融機構還可以利用公眾信息網的撥號接入設備����,讓自己的用戶撥號到公眾信息網上,就可以安全的連接進入金融機構網絡中���,進行各類網絡結算和匯兌�����。
綜合利用網絡互聯(lián)的隧道技術���、數(shù)據(jù)加密技術、網絡訪問控制技術�����,并通過適當?shù)拿荑€管理機制�����,在公共的網絡基礎設施上建立安全的虛擬專用網絡系統(tǒng)�,可以實現(xiàn)完整的集成化金融機構范圍VPN安全解決方案。對于現(xiàn)行的金融行業(yè)網絡應用系統(tǒng)�����,采用VPN技術可以在不影響現(xiàn)行業(yè)務系統(tǒng)正常運行的前提下���,極大地提高系統(tǒng)的安全性能���,是一種較為理想的基礎解決方案���。
當今VPN技術中對數(shù)據(jù)包的加解密一般應用在網絡層(對于TCP/IP網絡,發(fā)生在IP層)��,從而既克服了傳統(tǒng)的鏈(線)路加密技術對通訊方式���、傳輸介質�����、傳輸協(xié)議依賴性高���,適應性差,無統(tǒng)一標準等缺陷���,又避免了應用層端——端加密管理復雜、互通性差����、安裝和系統(tǒng)遷移困難等問題�,使得VPN技術具有節(jié)省成本�、適應性好、標準化程度高���、便于管理���、易于與其他安全和系統(tǒng)管理技術融合等優(yōu)勢,成為目前和今后金融安全網絡發(fā)展的一個必然趨勢����。
從應用上看虛擬專用網可以分為虛擬企業(yè)網和虛擬專用撥號網絡(VPDN)。虛擬企業(yè)網主要是使用專線上網的部分企業(yè)��、合作伙伴間的虛擬專網��;虛擬專用撥號網絡是使用電話撥號(PPP撥號)上網的遠程用戶與企業(yè)網間的虛擬專網�����。虛擬專網的重點在于建立安全的數(shù)據(jù)通道��,構造這條安全通道的協(xié)議應該具備以下條件:保證數(shù)據(jù)的真實性����,通訊主機必須是經過授權的���,要有抵抗地址假冒(IPSpoofing)的能力。保證數(shù)據(jù)的完整性����,接收到的數(shù)據(jù)必須與發(fā)送時的一致,要有抵抗不法分子篡改數(shù)據(jù)的能力�����。保證通道的機密性�����,提供強有力的加密手段���,必須使竊聽者不能破解攔截到的通道數(shù)據(jù)����。提供動態(tài)密鑰交換功能和集中安全管理服務���。提供安全保護措施和訪問控制��,具有抵抗黑客通過VPN通道攻擊企業(yè)網絡的能力�,并且可以對VPN通道進行訪問控制�����。
第4篇
在南水北調自動化業(yè)務系統(tǒng)中的應用按照南水北調自動化業(yè)務系統(tǒng)業(yè)務網的高安全可靠性要求�����,結合南水北調中線工程需求����,一方面在網絡結構的設計上采用層次化結構,按照業(yè)務類別進行物理劃分;另一方面����,利用MPLSVPN技術將各應用系統(tǒng)在邏輯上劃分為獨立的網絡。根據(jù)現(xiàn)有MPLSVPN計算機網絡組網技術�����,整個網絡配置成一個MPLS域�����,將核心層、骨干層路由器配置成P設備����,區(qū)域層和接入層路由器設備全部配置成PE設備;P和PE設備之間運行MPLSLDP協(xié)議,所有PE路由器之間運行MP-iBGP協(xié)議���。將接入層交換機作為CE����,經二層鏈路采用靜態(tài)路由連接到接入層PE設備;PE設備為每個接入的VPN用戶建立并維護獨立的VRF�����,根據(jù)CE設備接入端口的不同�,控制其進入相應的VPN中,實現(xiàn)與其他VPN應用系統(tǒng)和網管類流量的隔離��?�?偣?����、分公司���、管理處的各應用系統(tǒng)都通過專用的應用系統(tǒng)LAN交換機接入���,局域網主干交換機作為CE�����,經二層鏈路采用靜態(tài)路由連接到接入層PE設備;PE設備為每個應用系統(tǒng)建立并維護獨立的VRF,根據(jù)CE設備接入端口的不同����,控制其進入相應的應用系統(tǒng)VPN中,實現(xiàn)與其他應用系統(tǒng)和網管類流量的隔離�。
2MPLSVPN互訪策略
在南水北調自動化業(yè)務系統(tǒng)中的應用按照MPLSVPN劃分的原則,不同MPLSVPN之間不能互相訪問����,這確保了VPN的安全可靠性。但是���,南水北調中線干線工程自動化應用系統(tǒng)之間存在MPLSVPN子系統(tǒng)之間���、用戶至不同業(yè)務系統(tǒng)服務器之間的受控互訪的需求。也就是說���,網絡需要方便地控制不同MPLSVPN之間的互訪���,而且要實現(xiàn)嚴格控制互訪;同時�����,為保障各業(yè)務系統(tǒng)安全����,需要對用戶訪問采取控制措施���。
2.1MPLSVPN子系統(tǒng)之間互訪
通過BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式�����,通過MP-BGP協(xié)議配置建立路由信息���,來達到不同VPN之間的路由擴散;通過VPN內部的路由器(或防火墻)做地址過濾、報文過濾等方式控制訪問的用戶�。上述兩種方式結合使用,實現(xiàn)了子系統(tǒng)的靈活受控互訪���。
2.2應用終端交互訪問不同MPLSVPN
2.2.1方案一
NAT方案此種方案是將多用途終端主機的業(yè)務流在CE進行分類�,不同的業(yè)務流進行不同的靜態(tài)NAT(映射不同的IP地址)。對每個業(yè)務系統(tǒng)的主機/服務器可以分配連續(xù)的地址空間���,PE設備只需要維護較為簡單的路由表���,CE配置確定后一般不需要修改。
2.2.2方案二
PE節(jié)點作訪問控制在PE設備上�,通過多角色主機技術��,將某個VRF中指定的路由(特殊終端的路由)���,引入到另外一個VRF中����,在PE的CE側接口上配置策略路由��,當流量匹配ACL�,則重定向到VPN組,查找并轉發(fā)�,從而實現(xiàn)不同的MPLSVPN可以同時訪問該特殊終端。
2.2.3方案三
802.1X強制認證+Windows域管理802.1X協(xié)議在利用IEEE802局域網優(yōu)勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段�,與VRF路由表的導入導出機制結合使用,從而達到接受合法用戶接入����、保護網絡安全的目的���。用戶訪問其他MPLSVPN,需要禁用�、再啟用網卡,重新輸入不同MPLSVPN的不同身份信息實現(xiàn)�。顯然,基于PE節(jié)點作訪問控制的方案配置簡單�,傳輸效率高,互通網絡可靠性強����,無論從網絡實現(xiàn)、網絡性能����、網絡安全以及網絡管理各方面分析,更適用于南水北調中線干線工程自動化各系統(tǒng)應用終端交互訪問不同的MPLSVPN��。
3結語
第5篇
關鍵詞:VPN隧道技術Qos
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2010)09-0083-02
1 引言
隨著我院辦學形式的轉變,先后在北京和杭州成立的相關研究所,以及在杭州的浙江技師學院分?���!,F(xiàn)要求使各分部區(qū)能訪問主校區(qū)的校內資源,保證連接和訪問的安��。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問校內資源中遇到的問題。價格上要求實惠,數(shù)據(jù)要求安全,因此虛擬專用網可以幫助遠程用戶��、公司分支機構���、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專用網還可以保護現(xiàn)有的網絡投資��。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網���。
2 VPN簡介
2.1 虛擬專用網
虛擬專用網(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數(shù)據(jù)網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網絡的長途數(shù)據(jù)線路����。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡�����。
2.2 VPN的實現(xiàn)技術
VPN實現(xiàn)的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現(xiàn)也至關重要����。
(1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示��。其中IPSec集成了IP層隧道技術和加密技術����。
(2)隧道技術�。隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道����。目前實現(xiàn)隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點
(1)安全保障�。雖然實現(xiàn)VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的�、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現(xiàn)簡單���、方便�����、靈活,但同時其安全問題也更為突出����。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問��。ExtranetVPN將企業(yè)網擴展到合作伙伴和客戶,對安全性提出了更高的要求�����。
(2)服務質量保證(QoS)。VPN網應當為企業(yè)數(shù)據(jù)提供不同等級的服務質量保證�����。不同的用戶和業(yè)務對服務質量保證的要求差別較大����。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業(yè)網應用則要求網絡能提供良好的穩(wěn)定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據(jù)需要提供不同等級的服務質量����。在網絡優(yōu)化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過流量預測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預防阻塞的發(fā)生����。
(3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音��、圖像和數(shù)據(jù)等新應用對高質量傳輸以及帶寬增加的需求����。
(4)可管理性���。從用戶角度和運營商角度應可方便地進行管理��、維護��。在VPN管理方面,VPN要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴����。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業(yè)自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統(tǒng)是必不可少的���。VPN管理的目標為:減小網絡風險�、具有高擴展性��、經濟性�、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理�、設備管理、配置管理��、訪問控制列表管理�����、QoS管理等內容���。
3 VPN應用實例
利用VPN 較少的網絡設備及物理線路,使網絡的管理較為輕松�����。不論分?����;蜻h程訪問用戶的多少,只需通過互聯(lián)網的路徑即可進入主校區(qū)網路���。
結合我校的實際要求,采用美國網件產品FVL328����、FVL318VPN產品,價格實惠,總體性能滿足要求,美國網件的VPN網絡解決方案不僅支持IPSEC等協(xié)議,以及DES����、3DES、AES加密算法,同時還可通過IKE�����、共享秘鑰�、PKI(X.509)進行身份認證等方式,加強內部網絡的安全性能�。
FVL328、FVS318具有支持動態(tài)DDNS組建的IPSEC VPN網絡的功能, 并運用了產品自身的DDNS(動態(tài)域名解析)技術,整個VPN系統(tǒng)網絡使用方便、快速����、圖形化的配置界面使維護和管理更簡單、建設費用低廉�����。VPN拓撲結構圖,如圖2所示:
在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網絡通過認證密碼統(tǒng)一管理,形成一個集中管理的虛擬私有網絡,VPN傳輸使用IPSEC協(xié)議���。對外安全邊界使用NETGEAR的寬帶防火墻技術屏蔽來自外部的各種可能攻擊����。
總?��?刹捎霉潭ǖ腎P地址和域名,各分?����?梢陨暾垊討B(tài)拔號ADSL寬帶線路, 通過從NETGEAR的VPN設備中申請獲得免費的DDNS(動態(tài)域名解析服務),從而可低成本地組建VPN網絡連接,結合美國網件公司的VPN防火墻FVL328和FVS318的先進安全策略技術,來實現(xiàn)實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數(shù)據(jù)共享服務器資源, 同時又要保證數(shù)據(jù)能安全的在公網上進行傳輸.即實現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全���、保密、高速�、穩(wěn)定的實時傳輸���。
4 結語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶就節(jié)省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網費用,也節(jié)省了長途電話費。VPN技術戶廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機構聯(lián)系數(shù)據(jù)的主要手段���。
參考文獻
[1] 石冰.VPN的構建方法.安慶師范學院學報(自然科學版),2008,8(3).
第6篇
組播VPN是基于MPLSL3VPN來實現(xiàn)組播傳輸?shù)募夹g�。如圖1所示�,網絡中同時承載著兩個相互獨立的組播業(yè)務:公網實例、VPN實例A�����。公共網絡邊緣PE組播設備支持多實例��。各實例之間形成彼此隔離的平面�����,每個實例對應一個平面����。以VPN實例A為例,組播VPN指:當VPNA中的組播源向某組播組發(fā)送組播數(shù)據(jù)時�,在網絡中所有可能的接收者中,僅屬于VPNA(即Site1��、Site3或Site5中)的組播組成員才能收到該組播源發(fā)來的組播數(shù)據(jù)����。組播數(shù)據(jù)在各Site及公網中均以組播方式進行傳輸。其中����,實現(xiàn)組播VPN所需具備的網絡條件如下:(1)在每個Site內支持基于VPN實例的組播。(2)在公共網絡內支持基于公網實例的組播����。(3)PE設備支持多實例組播,即支持基于VPN實例和公網實例的組播���,并支持支持公網實例與VPN實例之間的信息交互和數(shù)據(jù)轉換��。為了滿足以上條件����,互聯(lián)網工程任務組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來實現(xiàn)組播VPN的標準�。MD方案的基本思想是:在骨干網中為每個VPN維護一棵稱為Share-MDT的組播轉發(fā)樹。來自VPN中任一Site的組播報文都會沿著Share-MDT被轉發(fā)給屬于該MD的所有PE���。MD是一個集合���,它由一些相互間可以收發(fā)組播數(shù)據(jù)的VRF組成�����。其中���,支持組播業(yè)務的VRF為MVRF,它同時維護單播和組播路由轉發(fā)表���。PE收到組播報文后�,如果其MVRF內有該組播組的接收者��,則繼續(xù)向CE轉發(fā)�����;否則將其丟棄���。不同的MVRF加入到同一個MD中��,通過MD內自動建立的PE間的組播隧道(MT)將這些MVRF連接在一起�,實現(xiàn)了不同Site之間的組播業(yè)務互通��。每個MD會被分配一個獨立的組播地址,稱為Share-Group���。當兩個MVRF之間通信時����,用戶報文以GRE方式被封裝在骨干報文里通過MT進行傳輸����,骨干報文的源地址為PE用來建立BGP連接所使用的接口IP地址����,目的地址為Share-Group。
2民航數(shù)據(jù)通信網中組播VPN的實現(xiàn)
在民航數(shù)據(jù)通信網中實現(xiàn)組播VPN主要需完成骨干網絡的準備工作以及組播VPN設計與實施等工作��。
2.1組播VPN的規(guī)劃設計民航ATM數(shù)據(jù)網華東地區(qū)ATM交換機上的RPM-PR板卡提供了MPLSVPN業(yè)務����,目前部署的MPLSVPN業(yè)務網絡拓撲為星形結構,即由區(qū)域一級節(jié)點9槽RPM板卡作為P設備和路由反射器�,而其他節(jié)點均為PE設備。華東地區(qū)ATM網絡中同時承載著兩個相互獨立的組播業(yè)務:ATM數(shù)據(jù)網公網組播實例和名為YJCJ2的用戶私網組播實例����。VPN組播實例是通過在P和PE設備上部署實現(xiàn)的��,網絡中����,作為P和PE的RPM板卡上運行著公網組播實例��,而作為PE的RPM板卡同時又運行著用戶私網組播實例��。公網的組播實例是在所有RPM板卡上開啟組播應用���。上海虹橋和浦東機場兩個節(jié)點的10槽RPM板卡負責接入用戶的VPN組播業(yè)務��,所以需在這兩臺設備上部署MPLSVPN應用���,并在這兩個用戶站點相應的VRF實例中開啟組播應用。在本案例中�����,VPN用戶接入側要求使用的是PIM密集模式���,而民航數(shù)據(jù)網MPLSVPN公網則使用的是PIM稀松模式����。在MPLSVPN網絡中不同用戶的VPN站點都是彼此邏輯獨立的,并且VPN用戶數(shù)據(jù)封裝MPLS標簽后通過公網的PE和P設備進行傳輸��。對于VPN組播來說��,數(shù)據(jù)的傳輸模式也是類似的��。PE設備通過將該VPN實例中的用戶VPN組播數(shù)據(jù)報文封裝成公網所能“識別”的公網組播數(shù)據(jù)報文進行組播轉發(fā)����。這種將私網組播報文封裝成公網組播報文的過程就叫做構造組播隧道(MT)��。在PE上���,每個VPN用戶的組播數(shù)據(jù)是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網構造組播隧道�����,參見圖2�。由于公網����、VPN網以及用戶接入側各組播部署中都采用PIM協(xié)議啟用了組播應用,MPLSVPN中組播應用包含如下的PIM鄰居關系:(1)PE-P鄰居關系:指PE上公網實例接口與鏈路對端P上的接口之間所建立的PIM鄰居關系����。(2)PE-PE鄰居關系:指PE上的VPN實力通過MTI收到遠端PE上的VPN實例發(fā)來的PIMHello報文后建立的鄰居關系�����。(3)PE-CE鄰居關系:指PE上綁定VPN實例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關系�。部署公網組播實例需在華東地區(qū)所有相關RPM板卡開啟組播服務����,考慮到密集模式對RPM設備和骨干網資源的開銷,在民航ATM數(shù)據(jù)網中使用了PIM稀松模式�。根據(jù)網絡的物理網絡拓撲模型,選取上海虹橋9槽RPM板卡作為RP�����。
2.2組播VPN的實施運行在MPLSVPN網絡中的P和PE設備上部署PIM協(xié)議���,這些設備之間會形成PE-P鄰居關系�,從而使得公網支持組播功能����,并形成公網的組播分發(fā)樹。本案例中使用PIM稀松模式,即在虹橋和浦東機場節(jié)點的9�����、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式����,這樣就構造了公網的PIM共享樹。在傳輸用戶私網組播報文的PE上部署基于VRF實例的組播�,一個VPN實例唯一制定一個Share-Group地址。同一個VPN組播域內的PE之間形成PE-PE鄰居��,并形成該組播域的共享組播分發(fā)樹(Share-MDT)����。在本例中就是在虹橋和浦東機場的10槽YJCJ2VRF實例中部署相應的defaultMDT地址239.255.0.5����。用戶CE設備和PE連接CE的相應接口啟用組播,本例中使用PIM密集模式�。這樣就形成了PE-CE鄰居關系。本例中是在虹橋和浦東機場節(jié)點的相應VPN業(yè)務端口配置PIM密集模式�����。當用戶有組播報文需要傳輸?shù)臅r候,就將組播報文發(fā)送給PE的VRF實例��,PE設備收到報文后識別組播數(shù)據(jù)所屬的VRF實例��。用戶私網的數(shù)據(jù)報文對于公網是透明的�,不論數(shù)據(jù)歸屬或類別,PE都統(tǒng)一將其封裝為公網組播數(shù)據(jù)報文��,并以Share-Group作為其所屬的公網組播組���。一個Share-Group唯一對應一個MD�����,并利用公網資源唯一創(chuàng)建一棵Share-MDT進行數(shù)據(jù)轉發(fā)��。在該VPN中所有私網組播報文�����,都通過此Share-MDT進行轉發(fā)��。如圖3所示����,可以看到華東地區(qū)公網上的Share-MDT創(chuàng)建的過程。虹橋節(jié)點10槽RPM向9槽RPM(RP節(jié)點)發(fā)起加入消息�,以Share-Group地址作為組播組地址,在公網沿途的設備上分別創(chuàng)建(*���,239.255.0.5)表項����。同時虹橋浦東機場節(jié)點也發(fā)起類似的加入過程�����,最終在MD中形成一棵以虹橋節(jié)點9槽RPM為根���,以虹橋����、浦東機場節(jié)點10槽RPM為葉的共享樹(RPT)����。隨后��,虹橋和浦東機場節(jié)點10槽RPM的公網實例向公網RP發(fā)起注冊�,并以自身BGP的router-id地址作為組播源地址�、Share-Group地址作為組播組地址�����,在公網的沿途設備上分別創(chuàng)建(20.51.5.6�����,239.255.0.5)和(20.51.5.3�����,239.255.0.5)表項�����,形成連接PE和RP的最短路徑樹(SPT)�。在PIM-SM網絡中,由(*����,239.255.0.5)和這兩棵相互獨立的SPT共同組成了Share-MDT。虹橋節(jié)點PE的私網組播報文在進入公網后�����,均沿該Share-MDT向浦東機場節(jié)點PE轉發(fā)。圖4是私網組播報文在公網中轉發(fā)的過程���。當浦東機場節(jié)點的YJCJ2VPN用戶CE設備加入到虹橋節(jié)點數(shù)據(jù)源所在的組播組����,此時由于這兩個站點部署為PIM-DM模式����,虹橋節(jié)點組播設備會立刻將數(shù)據(jù)推送到虹橋節(jié)點10槽RPM的YJCJ2VRF實例中,并通過該VPN構建的Share-MDT在公網上以(20.51.5.6�,239.255.0.5)構建的SPT進行公網組播報文傳輸。當公網組播報文被浦東機場10槽PE設備收到后會將其解封裝成原始的私網組播報文���,并轉發(fā)給相應的接收CE�����,最終完成用戶私網組播數(shù)據(jù)在MPLSVPN網絡中的傳輸�����。
3總結
第7篇
關鍵詞:VPN,管理�����,管理技術
一、VPN服務及其應用
VPN�,即Virtual Private Network,是建立于公共網絡基礎之上的虛擬私有網絡����,如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網絡一樣的安全性����、可靠性和可管理性等,并且能夠將通過公共網絡傳輸?shù)臄?shù)據(jù)加密����。利用VPN,企業(yè)能夠以較低的成本提供分支機構�����、出差人員的內網接入服務�����。
如果訪問企業(yè)內部網絡資源���,使用者需要接入本地ISP的接入服務提供點���,即接入Internet���,然后可以連接企業(yè)邊界的VPN服務器。如果利用傳統(tǒng)的WAN技術��,使用者和企業(yè)內網之間需要有一根專線����,而這非常不利于外出辦公人員的接入。而利用VPN�,出差人員只需要接入本地網絡。論文寫作��,管理�����。如果企業(yè)內網的身份認證服務器支持漫游的話�,甚至可以不必接入本地ISP,并且使用VPN服務所使用的設備只是在企業(yè)內部網絡邊界的VPN服務器�����。
二、VPN管理
VPN能夠使企業(yè)將其內部網絡管理功能從企業(yè)網絡無縫延伸到公共網絡�,甚至可以是企業(yè)客戶����。這其中涉及到企業(yè)網絡的網絡管理任務,可以在組建網絡的初期交給運營商去完成���,但企業(yè)自身還要完成許多網絡管理的任務�����。所以��,一個功能完整的VPN管理系統(tǒng)是必需的���。
通過VPN管理系統(tǒng),可以實現(xiàn)以下目的:
1����、降低成本:保證VPN可管理的同時不會過多增加操作和維護成本。
2�、可擴展性:VPN管理需要對日益增加的企業(yè)客戶作出快速的反應,包括網絡軟件和硬件的平滑升級、安全策略維護�、網絡質量保證QOS等。論文寫作�,管理。
3��、減少風險:從傳統(tǒng)的WAN網絡擴展到公共網絡�����,VPN面臨著安全與監(jiān)控的風險�����。網絡管理要求做到允許公司分部����、客戶通過VPN訪問企業(yè)內網的同時,還要確保企業(yè)資源的完整性��。
4�����、可靠性:VPN構建于公共網絡之上���,其可控性降低�,所有必須采取VPN管理提高其可靠性 。
三���、VPN管理技術
1�、第二層通道協(xié)議
第二層通道協(xié)議主要有兩種�����,PPTP和L2TP��,其中L2TP協(xié)議將密鑰進行加密����,其可靠性更強�����。
L2TP提高了VPN的管理性����,表現(xiàn)在以下方面:
(1)安全的身份驗證
L2TP可以對隧道終點進行驗證。不使用明文的驗證����,而是使用類似PPPCHAP的驗證方式����。論文寫作��,管理��。
(2)內部地址分配
用戶接入VPN服務器后�����,可以獲取到企業(yè)內部網絡的地址�,從而方便的加入企業(yè)內網,訪問網絡資源���。地址的獲取可以使用動態(tài)分配的管理方法�����,由于獲取的是企業(yè)內部的私有地址�,方便了地址管理并增加安全性�����。論文寫作,管理����。
(3)網絡計費
L2TP能夠進行用戶接口處的數(shù)據(jù)流量統(tǒng)計,方便計費����。
(4)統(tǒng)一網絡管理
L2TP協(xié)議已成為標準的協(xié)議,相關的MIB也已制定完成��,可以采用統(tǒng)一SNMP管理方案進行網絡維護和管理����。
2���、IKE協(xié)議
IKE協(xié)議��,即Internet Key Exchange��,用于通信雙方協(xié)商和交換密鑰�����。IKE的特點是利用安全算法�����,不直接在網絡上傳輸密鑰�����,而是通過幾次數(shù)據(jù)的交換�����,利用數(shù)學算法計算出公共的密鑰。數(shù)據(jù)在網絡中被截取也不能計算出密鑰���。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的�。
在身份驗證方面,IKE提供了公鑰加密驗證�、數(shù)字簽名、共享驗證字方法�。并可以利用企業(yè)或獨立CA頒發(fā)證書實現(xiàn)身份認證。
IKE解決了在不安全的網絡中安全可靠地建立或更新共享密鑰的問題����,是一種通用的協(xié)議,不僅能夠為Ipsec進行安全協(xié)商���,還可以可以為OSPFv2 ����、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)����。
3、配置管理
可以使VPN服務器支持MIB����,利用SNMP的遠程配置和查詢功能對VPN網絡進行安全的管理。
(1)WEB方式的管理
利用瀏覽器訪問VPN服務器��,利用服務器上設置的賬戶登錄��,然后將Applet下載到瀏覽器上���,就可以對服務器進行配置。論文寫作��,管理���。用戶登錄后���,服務器會只授權登錄的IP地址和登錄客戶權限�,從而避免偽造的IP地址和客戶操作�。而且利用這種方式,還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點�����。
(2)分級統(tǒng)一管理
如果企業(yè)網絡規(guī)模擴大�����,可以對VPN服務器進行統(tǒng)一配置管理�,三級網絡中心負責數(shù)據(jù)的收集與統(tǒng)計,然后向上層匯總�。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等����。通過分級管理,一級網絡中心就能夠獲取全部VPN用戶的數(shù)量����、流量并進行統(tǒng)計,分析出各地情況����,從而使用合適的方案���。
4、IPSec策略
IPSec是一組協(xié)議的總稱�����,IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結點提供給多臺機器或者是局域網��,也可以提供端到端通信安全����,由作為端點的計算機完成安全操作。上述兩種模式都可以用來構VPN��,這是IPsec最主要的用途�����。
IPSec策略包括一系列規(guī)則和過濾器��,以便提供不同程度的安全級別�����。論文寫作�����,管理����。在IPSec策略的實現(xiàn)中,有多種預置策略供用戶選擇���,用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略�����。IPSec策略的實施有兩種基本的方法�����,一是在本地計算機上指定策略�,二是使用組策略對象�����,由其來實施策略。并且利用多種認證方式提升VPN的安全管理性��。
利用上述VPN管理技術�����,可以大大提高企業(yè)網絡資源的安全性�����、完整性�����,并能夠實現(xiàn)資源的分布式服務���。以后還將結合更多的技術�����,實現(xiàn)VPN網絡靈活的使用和安全方便的管理�����。其使用的領域也會越來越廣泛�����。
參考文獻:
[1]帕勒萬等著劉劍譯.無線網絡通信原理與應用[M].清華大學出版社���,2002.11
[2]朱坤華,李長江.企業(yè)無線局域網的設計及組建研究[J].河南科技學院學報2008.2:120-123
[3]潘愛民.計算機網絡(第四版)[M].清華大學出版社2004.8
