VPN技术应用研究

VPN技术应用研究（精选十篇）

VPN技术应用研究 篇1

1 IPSEC VPN方案

IPSEC是一套比较完整成为体系的VPN技术, 它规定了一系列的协议标准。它为数据在通过公用网络 (如因特网) 在网络层进行传输时提供安全保障。IPSEC通过包封装包的方法, 通过Internet建立了一个通讯的隧道, 通过这个通讯的隧道, 就可以建立起网络的连接。

IPSEC协议支持几种操作模式, 通信双方要确定所要采用的安全策略和使用模式, 这包括如加密运算法则和身份验证方法类型等。在IPSEC协议中, 一旦IPSEC通道建立, 所有在网络层之上的协议在通信双方都经过加密, 如TCP、UDP、SNMP、HTTP、POP、AIM、Ka Zaa等, 而不管这些通道构建时所采用的安全和加密方法如何。

我们设计IPSEC方案中, 中心和分支机构分别采用IPSEC VPN网关设备, 中心为每个节点分配一套密码, 各个节点通过密码与中心交换机互相认证, 建立IPSEC VPN虚拟通路, 这条通路的特性, 如带宽、何时可以建立等通过中心统一管理。还可以通过双密钥机制实现更加可靠的认证。

2 SSL VPN方案

SSL的英文全称是“Secure Sockets Layer, 中文名为“安全套接层协议层”, 它是网景 (Netscape) 公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议 (如Http、Telenet、NMTP和FTP等) 和TCP/IP协议之间提供数据安全性分层的机制, 它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

从简单而一言, SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理网关或接入服务器设备。如果用户希望安全地连接到公司网络上, 那么当用户在浏览器上输入一个URL后, 连接将被SSL代理服务器取得, 并验证该用户的身份, 然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。

几乎所有的主流商业浏览器都集成了SSL, 实施SSLVPN不需要再安装额外的软件。绝大多数SSL VPN的生产厂商都通过“signed plugins”提供其他的功能, “signed plugins”可以跟随浏览器自动传输给客户端。

SSL实现了客户端零安装, 零配置。但其功能和应用也受到限制。它适合B/S模式, 移动用户通过浏览器访问WEB服务应用, 有的SSL VPN还对其他非B/S等进行有限扩充, 增强了其可用性, 可是在通用性、兼容性方面还存在很多不确定性, 在认证方式、应用程序类型上限制很多。

按照SSLVPN设计的外服网络方案, 中心和各分支节点采用专用SSL VNP设备连接Internet, 要求设备兼容外服各项专用应用, 系统要求较高, 没有统一的扩展应用标准, 存在是否能支持今后业务发展各项新应用等相关问题。方案中移动用户和家庭用户无需客户端连接SSLVPN服务器, 经安全认证后使用各项B/S模式应用, 解决较为理想, 基本不用考虑计算机维护和相关网络问题, 也较安全的隔离了病毒传播和木马程序等问题。

3 MPLS VPN方案

MPLS VNP是一种基于MPLS技术的IPVPN, 是在网络路由和交换设备上应用MPLS (Multi protocol Label Switching, 多协议标记交换) 技术, 简化核心路由器的路由选择方式, 利用结合传统路由技术的标记交换实现的IP虚拟专用网络 (IPVPN) 。

MPLS技术通过标签的引入, 将IP路由网络中“数据报”的转发方式转变为类似于“虚电路”VC的转发方式。VC的方式在数据包转发只前先由IP网络建立一条从源端到目的端的唯一路径, 一旦这条路径确定, 所有的数据包将通过这条路径传输。在MPLS网络中, 路径即是由“标签”来表示的。在路由器中, 每个目的网络由一个标签表示, 所有到此目的网络的数据包被打上此标签转发到目的地。MPLS类似“虚电路”的标签转发方式保证两个VNP节点之间的流量经过唯一路径, 不会被转发到其它节点, 保证了用户数据包的安全性。

MPLS VPN能够利用电信运营商公用骨干网络强大的传输能力, 为企业构建内部Intranet, 同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。

在基于IP的网络中, MPLS具有很多优点, 也有明显的缺点:

1) 相对降低了成本

MPLS VPN方式支持路由器方式连接, 能保护用户的以前专线方式设备投资;其运营租金与专线相比下降很多, 降低了一定成本, 但国内电信运营商还处于相对垄断阶段, 租金还相对偏高。

2) 提高了资源利用率, 提高了网络速度

由于在网内使用标签交换, 用户各个点的局域网可以使用重复的IP地址, 提高了IP资源利用率。由于使用标签交换, 缩短了每一跳过程中地址搜索的时间, 减少了数据在网络传输中的时间, 提高了网络速度。

3) 系统应用支持能力强

网络对C/S、B/S和其他应用支持较好, 保障业务开展和新信息系统今后支持。

4) MPLS具有QOS保证

网络通过电信运营商骨干城域网络实现, 并由运营商提供24小时网管监控服务, 保证了网络的服务质量。相对于其优点, MPLS的缺点也是明显的:

1) 价格高

相对于使用IPSec、SSL方式通过Intranet组网, MPLS的代价比较高。相当于一种准专线。

2) 跨运营商不便

由于需支持全国网络, 可能会跨越不同运营商, 运营商之间还有很多协调工作没有完成, 中国电信、网通等巨头之间, 互联互通并不完美, 网络堵塞时有发生。从以上总结可以看出, MPLS更适应比较高端的大型用户。

摘要：根据企业实际需求, 对现有常用的3种VPN技术方案做分析比较, 选择适合外服应用的方案, 再在方案基础上考虑其它功能集合。

关键词：VPN,技术方案,比较

参考文献

[1]白木, 周洁.浅谈VPDN与VPN技术[J].有线电视技术, 2003 (4) .

[2]张金权.VPDN企业端解决方案[J].邮电设计技术, 2002 (7) .

VPN技术应用研究 篇2

关键词:VPN技术;物业管理;研究;应用

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

VPN Technology Research&Application in Property Management

Liu Haixia

(Chengzhuang Mineral Industry Company,Jincheng Anthracite Mining Group,Jincheng048021,China)

Abstract:Through careful analysis of virtual network technology and application of the principle advantages,combined Chengzhuang Mineral Industry Company's actual situation,development of mineral sector in the management of the implementation in my program,the specific configuration,obtained the technology in property management relatively economical,safe and reliable conclusions.

Keywords:VPN technology;Property management;Research;Application

在随着宽带Internet网络的普及和信息化的发展,VPN虚拟网络技术在物业管理领域备受青睐,它不需要任何租用线路,只是通过在Internet上挖掘一条隧道就可传输加密数据,并且可以把费用降到最低。对于晋煤集团成庄矿物业公司来说,具有广阔应用前景。

一、工作原理

虚拟专用网,是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输目的。虚拟专用网中PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器,而过去的直接拔号连接的PPP(点对点协议)数据包流是通过专用线路传输的,这两者的不同主要是隧道代替了实在的专用线路,它好比是在WAN中拉出了一根串行通信电缆。

二、实施方案

构建以成庄物业公司机关设为整个网络的中心,把它看作总部,并安装C/S应用程序,存储中央数据库。各二级单位看成分部,直接与总部网络互联。

三、硬件环境

(一)分部(二级单位)

1.10台电脑,每台至少采用10M/100M自适应网卡,处理器512M,硬盘80G,内存512M以上。

2.16口交换机1台另外,VPN技术还可以用于视频会议、远程监控、跨地域的数据、声音、图像集成一体的数据通信等业务中,特别是对于那些需统一集中、协调管理的业务领域,将会发挥出更大的优势。

3.APN GW2000路由器11台

4.申请上网线路一条,通过路由器作现线路的冗余备份。

(二)总部

1.APN GW2000路由器1台(支持远程办公)。

2.数据库服务器1台(配有1000M网卡2块,支持8个CPU,1G内存)。

3.VPN服务器。

4.高性能的硬件防火墙设备。

5.磁盘阵列柜(供数据热备份使用)。

6.网管交换机,通过VLAN技术以实现对每台计算机可访问范围的限制,同时支持端口汇聚功能,能有效地提高主干部分的带宽和连接可靠性,符合连接要求。

7.采用光纤接入。

四、软件要求

(一)服务器端C/S应用程序。

(二)远程客户端软件,启用DHCP服务器功能、启用DHCP服务器功能、启用DNS服务器功能、安装802.3协议标准、启用完善的路由功能。

(三)安装完善的宽带代理服务器软件,内置PPPoE。

五、VPN服务器具体设置

(一)客户端:首先在windows XP网络中添加PPTP协议——再设置两个VPN私人网络通道——安装VPN RAS And Routing Admin软件——在安装过程中要重新启动计算机3次,在程序项中增加Routing And RAS Admin程序项——添加VPN拨号适配器及拨号IP地址,设置VPN验证用户名、口令和域——接下来要设置VPN路由,可以用静态路由也可以用RIP路由。用静态路由要添加两个路由。一个是走VPN通道的路由,另一个是走Internet网络的路由——在NT的域用户管理器中添加VPN拨号用户,并允许拨入。

设置完成后,可以从本地的工作站Ping中心點的局域网中的工作站。另外在本地VPN服务器是可以Ping通Internet上的其他计算机的。

(二)总部服务器端:中心接点VPN验证服务器的配置过程:

其配置过程基本上与分布的验证服务器配置过程一样,就是所添加的VPN私有网络通道数是各分支所添加的和。要创建到各分部的VPN接口,并且对每一端口进行静态路由的配置。还要在WINDOWS NT 的域用户管理器上创建每一个VPN用户。

当中心点验证服务器和分部验证服务器的配置都结束之后,就可以进行VPN的连接。

六、本方案优点

(一)本方案费用低:VPN使用Internet进行数据传输免去了昂贵的专线费用,只须添加支持VPN的上网设备。保密性强:VPN使用了加密技术,保证了Internet进行数据的安全性。私有性:连接上VPN服务器的客户就像使用局域网一样,使用局域网内部IP地址就可以访问整个VPN中所有的主机。

(二)远程接入——实现了集中管理访问权限,达到了各种资源和信息统一管理。

(三)支持动态的IP——达到了多线路捆绑高速稳定的传输目的,有效地增强了总公司和分公司之间高效沟通能力。

(四)容易扩展——在扩展网络分支时,只对新加入的网络终端在逻辑上进行设置。节省网络新设备投入费用。并具有维护容易、安全性高的优点。

七、结束语

物业公司是一种新兴的行业,她的职能是为我矿住宅小区及工业小区,提供水、电、气、暖、保洁、绿化、小型维修等优质服务,她容纳了小区的住房信息、职工服务需求信息、水、电、气、暖供给运行、收费情况等重要信息。另外,VPN技术还可以用于公司视频会议、远程监控、跨地域的数据、声音、图像集成一体的数据通信等业务,特别是对于统一集中、协调管理的物业业务领域,将会发挥出更大的优势。

基于MPLS技术的VPN研究 篇3

1.1 基本概念

VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义, 虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议, 将连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路, 就好比是架设了一条专线一样, 但是它并不需要真正地去铺设光缆之类的物理线路。这就好比去电信局申请专线, 但是不用给铺设线路的费用, 也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一, 目前在交换机、防火墙设备或Windows2000等软件里都支持VPN功能, 一句话, VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网 (VPN) 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路, 用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

1.2 网络协议

IPSec:IPsec (缩写IP Security) 是保护IP协议安全通信的标准, 它主要对IP协议分组进行加密和认证。

IPsec作为一个协议族 (即一系列相互关联的协议) 由以下部分组成: (1) 保护分组流的协议; (2) 用来建立这些安全分组流的密钥交换协议。前者又分成两个部分:加密分组流的封装安全载荷 (ESP) 及较少使用的认证头 (AH) , 认证头提供了对分组流的认证并保证其消息完整性, 但不提供保密性。目前为止, IKE协议是唯一已经制定的密钥交换协议。

PPTP:Point to Point Tunneling Protocol——点到点隧道协议。在因特网上建立IP虚拟专用网隧道的协议, 主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。

L2F:Layer 2 Forwarding——第二层转发协议。

L2TP:Layer 2 Tunneling Protocol——第二层隧道协议。

GRE:VPN的第三层隧道协议。

2 MPLS

2.1 基本概念

多协议标签交换MPLS最初是为了提高转发速度而提出的。与传统IP路由方式相比, 它在数据转发时, 只在网络边缘分析IP报文头, 而不用在每一跳都分析IP报文头, 从而节约了处理时间。

MPLS起源于IPv4 (Internet Protocol version 4) , 其核心技术可扩展到多种网络协议, 包括IPX (Internet Packet Exchange) Appletalk、DECnet、CLNP (Connectionless Network Protocol) 等。“MPLS”中的“Multiprotocol”指的就是支持多种网络协议。

2.2 基本工作过程

(1) LDP和传统路由协议 (如OSPF、ISIS等) 一起, 在各个LSR中为有业务需求的FEC建立路由表和标签映射表; (2) 入节点Ingress接收分组, 完成第3层功能, 判定分组所属的FEC, 并给分组加上标签, 形成MPLS标签分组, 转发到中间节点Transit; (3) Transit根据分组上的标签以及标签转发表进行转发, 不对标签分组进行任何第3层处理; (4) 在出节点Egress去掉分组中的标签, 继续进行后面的转发。

由此可以看出, MPLS并不是一种业务或者应用, 它实际上是一种隧道技术, 也是一种将标签交换转发和网络层路由技术集于一身的路由与交换技术平台。这个平台不仅支持多种高层协议与业务, 而且, 在一定程度上可以保证信息传输的安全性。

2.3 体系结构

(1) 控制平面 (Control Plane) 之间基于无连接服务, 利用现有IP网络实现; (2) 转发平面 (Forwarding Plane) 也称为数据平面 (Data Plane) , 是面向连接的, 可以使用ATM、帧中继等二层网络。

MPLS使用短而定长的标签 (label) 封装分组, 在数据平面实现快速转发。

在控制平面, MPLS拥有IP网络强大灵活的路由功能, 可以满足各种新应用对网络的要求。

对于核心LSR, 在转发平面只需要进行标签分组的转发。

对于LER, 在转发平面不仅需要进行标签分组的转发, 也需要进行IP分组的转发, 前者使用标签转发表LFIB, 后者使用传统转发表FIB (Forwarding Information Base) 。

3 基于MPLS的IP-VPN

3.1 基本工作过程

同传统的VPN不同, MPLS VPN不依靠封装和加密技术, MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN, MPLS VPN的所有技术产生于Internet Connect网络。

CPE被称为客户边缘路由器 (CE) 。在Internet Connect网络中, 同CE相连的路由器称为供应商边缘路由器 (PE) 。一个VPN数据包括一组CE路由器, 以及同其相连的Internet Connect网中的PE路由器。只有PE路由器理解VPN, CE路由器并不理解潜在的网络。

CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例 (VRF) 。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表, 一个派生的Cisco Express Forwarding (CEF) 表, 一套使用转发表的接口, 一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中, 所有的可能连到该站点的路由。

对于每个VRF, 数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表可以防止转发信息被传输到VPN之外, 同时也能阻止VPN之外的数据包转发到VPN内不同的路由器中。这个机制使得VPN具有安全性。

在每个VPN内部, 可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点, 无需穿越中心站点。一个路由识别器 (RD) 可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商 (P) 设备组成。这些设备构成了MPLS核, 且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器 (PE) 可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器 (LSR) 。LSR设备基于标记来交换数据包。

客户站点可以通过不同的方式连接到PE路由器, 例如帧中继、ATM、DSL和T1方式等等。

3种不同的VPN, 分别用Route Distinguishers 10、20和30来表示。

3.2 主要特点

(1) PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支间路由分派; (2) PE间的路由分派通常是用LDP或扩展的BGP协议实现; (3) 支持不同分支间IP地址复用和不同VPN间互通。

4 结束语

就MPLS本身而言, 目前MPLS领域的研究热点主要关注于包括VPN在内MPLS应用, 如Qo S、流量工程等。具体到MPLS VPN, 目前研究重点主要集中在解决MPLS VPN应用中可能遇到的一些问题, 例如VPN跨自治域、VPN组播等。

相信随着这些技术的不断成熟, 通过MPLS VPN构建一个多业务的IP网络, 为用户提供有Qo S保障的业务, 都将不再是一个梦想。

摘要：对VPN中多级QoS控制问题进行了研究。根据多级QoS路由器控制机制原理, 结合MPLS与DiffServ等方法, 提出了多级QoS MPLS VPN的基本框架模型。通过该框架的实施, 有效地实现了MPLSVPN中多级QoS控制。

关键词：IPv6,QoS,MPLS,VPN

参考文献

[1]A URRECOECHEA C, CAMPBELLA, HAUW L.A survey of QoS architecture[J].Multimedia System Journal, 1998 (3) .

[2]Intergated service in the Internet architecture:an overview.RFC163-3, 1994.

[3]J IANG Y, THAM C, KO C.Providing quality of service monitoring:challenges and approaches[J].International Journal of Network Management, 2000 (6) .

[4]Muthukrishnan and amalis, a core MPLS IP VPN architecture[Z].RFC2917-2001.

浅谈VPN技术在企业中的应用 篇4

【摘要】随着信息时代的来临，企业的发展也日益呈现出结构分布化、产业多元化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，网络安全逐渐成为一个潜在的巨大问题，网络的安全性、保密性、可靠稳定性，对于企业和一些跨区域专门从事特定业务的部门，从经济实用性、网络安全性、数据传输可靠性上来看，VPN技术无疑是一种不错的选择。

【关键词】VPN 网络 实现技术

【中图分类号】G718 【文献标识码】A 【文章编号】1672-5158（2013）01—0180-02

1 前言

随着企业规模逐渐扩大，远程用户、远程办公人员、分支机构、合作伙伴也在不断增多，关键业务的需求增加，出现了一种通过公共网络（如Internet）来建立自己的专用网络的技术，这种技术就是虚拟专用网（简称VPN）。VPN集灵活性、安全性、经济性以及扩展性于一身，可充分满足分支机构、移动办公安全通信的需求。

2 VPN技术概述

VPN英文全称是“Virtual Private Network”（虚拟专用网络”）。VPN被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

2.1 VPN的功能

VPN至少应能提供如下功能：加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露；信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份；提供访问控制，不同的用户有不同的访问权限。

2.2 VPN的分类

VPN既是一种组网技术，又是一种网络安全技术。按照不同的方法主要有以下几种划分方式。

（1）按实现技术划分，基于隧道的VPN、基于虚电路的VPN和MPLSVPN

（2）应用范围划分，远程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3种应用模式。

（3）远程接入VPN用于实现移动用户或远程办公室安全访问企业网络；Intranet VPN用于组建跨地区的企业内部互联网络；Extranet VPN用于企业与客户、合作伙伴之间建立互联网络。

（4）按隧道协议划分，VPN可划分为第2层隧道协议和第3层隧道协议。PPTP、L2P和L2TP都属于第2层隧道协议，IPSec属于第3层隧道协议，MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用，如L2TP/IPSec。当然，还可根据具体的协议来进一步划分VPN类型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特点

在实际应用中，一个高效、成功的VPN应具备以下几个特点：

（1）安全保障

VPN应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

（2）服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

（3）可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

（4）可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

2.4 VPN的技术解决方案

VPN有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

（1）如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。

AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。

（2）如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。

越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。

（3）如果是提供B2B之间的安全访问服务，则可以考虑EXtranetVPN。

随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息

服务，又可以保证自身的内部网络的安全。

3 结语

在过去无论因特网的远程接入还是专线接入，以及骨干传输的带宽都很小，QoS更是无法保障，造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广，上述问题将得到根本改善和解决。可以想象，当我们消除了所有这些障碍因素后，VPN将会成为我们网络生活的主要组成部分。同时，VPN会加快企业网的建设步伐，使得集团公司不仅仅只是建设内部局域网，而且能够很快地把全国各地分公司的局域网连起来，从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。

参考文献

[1]秦柯.Cisco IPSec VPN实战指南人民邮电出版社，2012

[2]王占京.VPN网络技术与业务应用国防工业出版社2012

VPN技术应用研究 篇5

1 现有VPN组网协议及其比较

现有的VPN组网协议按隧道所工作的层次可分为三大类:二层隧道协议、三层隧道协议、传输层以上隧道协议。

其中,二层协议主要有即IP、LZTP和MPLS三种;三层协议有IPSec、GRE和IPinIP等;传输层及其以上层隧道协议主要有SSL协议和SOCKS等。其中IPSec和SSL协议是目前应用相对广泛的协议。下面分别对这几类协议从组网功能、安全功能两方面进行讨论。

1.1 PPTP和LZTP协议

即TP[(point-to-PointTunnelingProtocol)协议的作用是将本地的PPP会话延伸到远程访问服务器。PPTP将原来NAS的功能分解为PPTP访问控制器PAC(PPTPAeeessConeentrator)和PPTP网络服务器PNS(PPTPNetworkServer)。PPTPVPN采用客户/服务器访问模式,适合PCtoLAN组网模式,如图l所示。

PPTP客户首先采用拨号方式接入PAC,建立连接,然后进行二次拨号建立PAC与PNS间的连接,该连接为PPTP隧道连接。PPTP只支持IP作为传输协议,协议本身不提供安全机制,身份认证和虚拟地址的分配均由即P协议完成,通信时P即数据包首先由P即协议本身加密,再由GRE协议封装,传输到PNS处进行解封。LZTPVPN由LZTP访问集中器(LZTPAeeessConeentrator,LAC)和LZTP网络服务器(LZTPNetworkServer,LNS)组成。拨号客户端首先与本地拨号网络的LAC建立即P连接,由LAC将客户端的P即数据帧进行LZTP封装传送到LNS。与即TP相比,LZTP能够支持多协议,可以在IP、IPX、Appletalk等网络上传输,并支持任意的广域网技术如帧中继、ATM以及以太网技术等。安全性方面与PPTP相同,LZTP协议本身不提供安全性机制,它的安全保护由P即协议提供。图1为传统PPTP/LZTPVPN组网图。从组网功能上,这两个协议具有以下优点:

1)系统扩展的灵活性好。当有新客户端加入时只用建立与网络服务器的隧道,系统扩展时只需要修改新设备与网络服务器的设置,对其它客户端没有影响。

2)适合于拨号网络。这两种协议都采用非对称的客户/服务器访问模式,支持PCtoLAN的组网模式,适合拨号网络环境的VPN应用。

3)具有良好的动态特性。该协议适用于拨号网络环境,支持以动态地址接入,支持设备动态登录和退出VPN网络。

但是,这两个协议在组网方面还存在如下不足:第一。大规模应用时可扩展性不足。PPTP和LZTP提供的虚拟P即连接会贯穿整个隧道,并终止于PNS/LNS或内网RAS服务器上,所以需要维护大量的P即会话连接,加重了系统的负荷,在一定程度上影响了系统在大规模应用时的可扩展性。第二,有限的VPN类型支持。这两个协议不支持LANtoLAN路由VPN类型,对于目前的大量的LANtoLAN组网环境具有局限性。第三安全性不足。这两个协议本身不具有安全机制,仅依靠P即协议来提供机密性、完整性以及身份认证服务,而一般P即的实施没有采用加密措施,因此采用这两个协议构建的VPN可以说没有安全性保证。目前,LZTP可以通过与IPSec相结合来解决安全性问题。总之,PPTP和LZTP只是解决了有限的VPN组网问题,并未考虑VPN的安全问题。

1.2 MPLS协议

MPLS技术是将第二层交换和第三层路由相结合的集成数据传输技术。在体系结构上可以分为两个独立的部件:控制层面和转发层面。控制层面用于在标签交换路由器(LSR)间创建、分发和维护标签转发信息,建立标签转发路径(LSP);转发层面根据维护的标签转发数据库和分组携带的标签,执行数据的转发。使用MPLS构建VPN可以实现多LAN之间的互联,如图2所示。

MPLS VPN的数据传输使用两层标签:内层标签和外层标签。内层标签用于标识VPN,外层的标签用于分组在骨干网络中快速转发。入口PE负责向报文添加两层标签,外层标签用于在骨干网中进行交换,代表了从PE到对端PE的一条隧道,VPN可以根据这层标签沿着LSP到达对端PE。内层标签代表了两个CE之间的隧道,对端PE根据内层标签将报文传至对应的CE站点。这样VPN可以共享外层的MPLS隧道,进行分组的传输。MPLSVPN具有以下优点:

1)系统可扩展性好。当有新客户VPN加入时只用修改相应PE的设置,对其它客户VPN和PE设备均没有影响,系统扩展比较方便,即使对于大规模的网络应用初始配置量也比较小。

2)适合于路由VPN类型。该VPN基于服务提供商,适合于组建大规模的VPN网络,支持LANtoLAN的路由VPN类型。

但是,MPLS协议在组网方面还存在如下不足:第一有限的VPN类型支持。它依赖于服务商提供MPLS服务,要求骨干网络支持MPLS协议,对于不支持MPLS协议的网络不适用,不支持拨号VPN类型。第二不具备动态特性。MPLSVPN组网要求手工配置,不支持动态地址接入,不支持VPN设备的动态的加入和退出等动态特性。第三安全性不足。MPLS协议主要依靠PE上的虚拟路由转发表(VRF)进行VPN用户信息的分离,不提供安全机制。目前围绕MPLSVPN的安全性出了多种安全解决方案。它们大多与IPSec结合,借助IPSec协议解决MPLs的机密性、完整性和身份认证等问题。因此,MPLSVPN只注重组网功能,并不具有VPN的安全功能。

1.3 SSL协议

传输层及其以上层的VPN组网协议中,除SSL协议外,还存在一些应用层的隧道协议,如SOCKs协议。基于应用层协议也可以实现相应的隧道封装,一些基于TCP或UDP协议封装的实现方案也可以归结为应用层隧道协议。SSL协议是目前应用比较广泛的VPN组网协议,该协议位于传输层与应用层之间,一般用以保护特定应用协议的安全。SSL(SeeureSoeketLayer)主要由三个协议组成,握手协议、记录协议和警告协议。握手协议类似于IPSec协议族中的IKE协议,用于建立SSL安全隧道;记录协议对保护的数据提供分割、压缩、验证和加密操作;警告协议用于发生传输错误或会话终止时,相互交换警告信息。图3是SSL VPN组网方式。

客户端通过协议转发(端口转发)等技术,实现对多个应用程序的安全保护。该方式在SSLVPN网关与SSL客户端间建立SSL隧道,SSL网关解析SSL客户端发送过来的web请求,并进行协议转换,转发给内网相应的服务器。总的说来,改进方式需要考虑的是如何解决客户端和服务器间的1:m的问题。SSLVPN组网具有以下优点:

1)系统扩展的灵活性好。SSLVPN中有新设备加入时只需要修改网关的配置,对其它的客户端没有影响,系统扩展灵活简便。

2)支持拨号VPN类型。SSL采用客户/服务器访问模式,支持PCtoPC的组网模式,适于远程访问VPN。

3)网络适应较好。SSL协议工作在传输层之上,即使在NAT和防火墙设备的网络环境下也能正常工作。

4)支持接入方式的动态特性。SSLVPN支持以动态地址接入,支持设备的动态加入和退出VPN网络,具有良好的动态特性。

5)普遍适用于广泛的操作系统平台。SSL在应用层实现,不需要开放底层操作系统的接口,几乎可以在所有操作系统上实现,包括一些手持终端的操作系统。

6)提供一定程度的安全性保证。SSL协议能够提供基于证书的强身份认证,提供数据机密性、完整性和简单的数据源认证,并可以提供细粒度的访问控制。

1.4 VPN组网协议比较和组网模式分析

VPN组网模式是VPN组网协议在不同网络环境下的组网应用,不同的VPN协议组网模式不尽相同,同一种协议也具有多种组网模式,这也是目前VPN组网应用呈现多样性的主要原因。目前主要有以下几种VPN组网模式:PCtoPC、PCtoLAN、LANtoLAN以及混合组网模式。

PCtoPC组网模式也称为端一端组网模式。这种VPN组网模式中的安全设备都是安全客户端,所有具有安全通信关系的安全客户端间均建立了安全隧道。各隧道构成了复杂平面网状结构。该模式网络适应性不好,整个VPN网络形成了分散式的网状结构不利于VPN的管理。

PCtoLAN组网模式也称为端一网关组网模式。VPN网络由VPN客户端和一个VPN网关(又称作VPN服务器)组成。整个VPN网络构成了以VPN网关为中心的星型拓扑结构。这种集中式的星形结构,便于VPN管理,可以基于VPN网关进行VPN的集中策略控制和设备管理。

LANtoLAN组网模式也称为网关-网关组网模式。这种组网模式中VPN的安全设备均为VPN网关。所有具有通信关系的VPN网关间建立有安全隧道,各隧道形成类似端-端组网模式的复杂的平面网状结构。该组网模式支持子网一子网的访问模式,但对于远程接入访问支持不够。此外,该组网模式形成的网状拓扑结构不利于VPN管理。

2 VPN应用实例

2.1 基于SSL的北海市气象局VPN网络模式

北海市气象局VPN网络模式包含了上述的三种组网模式,以SSLVPN为主要技术支持,如图4所示。

VPN网络中存在三类隧道:网关-网关隧道、网关-端隧道以及端-端隧道。该组网模式可以适用于各种VPN协议的组网。根据形成的VPN拓扑的不同,可以继续进行划分。在实际的应用环境中,往往是VPN客户端和VPN网关交错组织的混合组网模式。笔者采用的是星型VPN混合组网,这种VPN组网模式存在以下优点:

1)VPN拓扑简单,隧道数量小。每个普通网关只需配置与中心网关的安全策略和隧道数量,与网状结构组网模式相比,VPN组网的配置和维护量大大减少。

2)管理方便。VPN的安全管理控制主要由中心网关集中实施,VPN管理相对简单。

3)可扩展性较好。添加新的设备或增加新用户时,只用修改新设备和中心网关的配置,对其它设备没有影响。

存在的问题是,星型组网模式中中心网关可能成为VPN网络的瓶颈。中心网关是系统的核心,维护了与其它安全设备的隧道、密钥和安全策略,所有安全设备间的通信均要由中心网关来转发,对中心网关的处理能力和网络带宽要求很高。

2.2 应用分析

目前实现VPN的技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。这些技术可以应用在TCP/IP协议的数据链路层、IP层、TCP层和应用层。目前常用的技术包括通用路由封装协议GRE(Ge-neric RoutingEncapsulation)、点对点隧道协议PPTP(Point to PointTunneling Protocol)、第二层隧道协议L2TP(Layer2 TunnelingProtocol)、第二层转发协议L2F(Layer2 Forwarding)和IP安全协议IPSec(IP Security)等。多年来,IPSec协议一直被认为是构建VPN最好的选择。从理论上讲,IPSec协议提供了网络层以上所有协议的安全,但是因为IPSec协议的复杂,使其很难满足构建VPN要求的灵活性和可扩展性。而基于SSL协议的VPN则可满足不同的网络需求。

2.2.1 SSL通信的工作原理

从图5可看出,握手协议负责客户机和服务器之间会话的加密参数的协商。当一个SSL客户机和服务器第一次开始通信时,他们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。记录协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接收方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。警告协议用于警示在什么时刻发生了错误或者两个主机之间的会话在什么时刻终止。作为应用层协议,SSL使用公钥机制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三个部分:认证、加密和完整性校验。

2.2.2 SSLVPN应用通信过程

第1步,SSL客户机连接到SSL服务器,并要求服务器验证身份。第2步,服务器通过发送它的数字证书证明自身的身份。第3步,服务器发出一个请求,对客户端的证书进行验证。第4步,双方协商用于加密的消息加密算法和用于完整性检查的HASH函数。第5步:客户机和服务器生成会话密钥。

通常,为了提高安全性,客户端登录时使用i Key+PIN码双因素认证方式。对服务器端使用标准SSL验证,对客户端使用Md5哈希算法的挑战—响应进行验证。双方验证结束后,所有通信均使用Https协议,保证了从客户端到iGate之间的通信安全。消息传递到iGate,由iGate将其解密后以标准Http协议传递到后端的服务器,从服务器返回的信息,再由iGate加密后传递到客户端。

2.3 SSL VPN实例

北海市气象局VPN服务器端软件安装在Windows Server 2000系统环境里,该软件主要依赖技术是SSL,由该单位员工开发完成,使用过程中需要在注册表上设置更改系统默认的WAN微型端口使用用户的数量值,本系统正式投入业务运行已经有半年,安全性、可靠性、稳定性都非常好,目前是北海市气象局非气象专用网工作主机访问Notes的主要工具软件,同时也是北海市防讯指挥部与北海市气象局业务数据访问的主要工具软件(图6)。

4 结束语

以上讨论的VPN实现方法在基于北海市气象局Internet局域网模拟环境下实际搭建,经测试通过,运行良好。利用VPN软件构建内部VPN,可以不影响内部网络现在的拓扑结构,以最小的投资获取最大的收益。实现了公网和企业内部专用网的安全、有效结合,北海市气象局各种办公主机通过本VPN方法可以非常快捷的在各个地方安全访问气象专用网的自动站要素等各种根据需要的数据,同时也可以非常快捷的在各个地方安全访问气象部门的主要办公系统(NOTES)的各种数据,随着网络安全的重要性的越发突出,相信VPN的应用将更加广泛。

参考文献

[1]TIMOTHY SW.Privacy issues in virtual private networks[J].ComputerCommunications,2004(4):517-521.

[2]DAEMEN J,RIJINDAELRV.The advanced encryption standard[J].Dr.Dobbs'Journa,l2001(3).

[3]HUNTR.Technological infrastructure forPKI and digital certification[J].ComputerCommunications,2001(9):1460-1461.

[4]YONAN J.Openvpn security overview[S].http://www.openvpn.sourceforge.net,2004.

[5]CHARLIEHOSTNER.Openvpn an the SSLVPN Revolution[S].http://www.openvpn.org.2004.

[6]马军锋.SSLVPN技术原理及其应用[J].电信网技术,2005(8):6-8

[7]徐家臻,陈莘萌.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004(4):586-588.

VPN技术应用研究 篇6

关键词：动态VPN,组网技术,国防动员应用

近年来, 随着国民经济和社会的发展, 计算机网络技术在我国得到了广泛的应用, 地方网络基础设施建设与军队相比已趋完善, 其覆盖远大于军队网络基础设施范围。如何有效整合地方网络基础设施资源优势, 拓展其国防应用空间, 是军队特别是省军区系统信息化建设需要研究课题。

1 传统VPN技术。

作为一种网络接入技术, VPN技术凭借其安全、可管理、低成本等特性被越来越多的用户所采纳, 通过采用GRE隧道、L2TP、IPSec以及MPLS等方式[1], VPN技术综合了传统数据网络的性能优点和共享数据网络结构的优点, 能够提供远程访问, 外部网和内部网的连接, 在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。但是, 在现有的VPN组网方案中都存在一个弊端, 就是必须是按照事先的配置进行组网, 并且要完成一个全联通的网络时, 结构和配置就变得复杂。由于要建立一对一的连接, 所以当有N个网络设备进行互联时, 网络就必须建立N× (N-1) /2个连接, 这样不仅造成了组网和配置的复杂, 而且配置时必须知道对端设备的基本信息, 试想如果其中有一个节点的设备修改了配置, 那么其他所有节点都必须针对这台设备修改本地配置, 这给维护造成了很大的成本。另外, GRE无法穿透NAT网关, GRE无法适用于动态IP设备建立VPN;L2TP和GRE没有提供对传输的数据的加密保护;IPSec对动态路由的支持存在一定的问题。

2 动态VPN组网技术[2]。

动态VPN技术不但结合了传统VPN的优点, 而且解决了传统VPN的缺陷, 可以实现非常灵活建立VPN的方式, 能够在动态获得IP地址的设备之间自动创建、维护隧道, 能够实现接入到VPN域的所有设备互相访问;同时提供身份认证、控制报文加密保护、数据报文的IPSec保护, 实现VPN内部数据在公网上的安全传输。动态VPN技术采用Client/Server的方式, 一台网关作为Server, 其他的网关作为Client。每个Client都需要到Server进行注册, 注册成功之后Client就可以互相通讯了。其关键技术有:2.1穿透NAT/防火墙技术。传统的GRE方式建立隧道, 它的封装方式比较简单, 如果需要通过NAT网关, 那么就必须要一个公网地址对应一个私网地址来解决, 就需要大量的公网IP地址, 这是GRE不能够应用于防火墙内的主要原因。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生, 当路由器作为Client并且使用了一个私网IP地址, 那么路由器建立UDP隧道的时候就会使用一个指定的UDP端口号, 当隧道通过防火墙的时候就会转换为对应的公网IP地址和相应的端口号, 从外部来的数据通过隧道又会把公网IP地址和端口号转换为私网IP地址和UDP端口号, 从而完成数据穿越NAT网关。2.2动态IP地址构建VPN技术。传统的GRE方式建立隧道必须知道对端设备的IP地址, 这样的话建立N台设备的全连接就需要建立N× (N-1) /2个连接, 并且这些连接建立都依赖于固定的IP地址, 一旦有一个设备IP地址更换, 那其他N-1台设备就全部都需要更改配置;同时由于传统的GRE隧道建立必须知道对方的IP地址, 这样就使得动态IP地址的设备无法正常建链。动态VPN在同一个VPN内部构建隧道不需要知道其他Client网关的任何信息, 只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次, 不管其他Client设备怎么更改也都能够进行互相通讯, 同时用户也不用关心自己当前使用的IP地址是多少, 更加适应现在动态IP地址的使用方式。2.3自动建立隧道技术。隧道的自动建立特性依赖于动态VPN Server的重定向功能 (Redirect) , Client不会发送重定向报文。Server在进行数据转发时, 如果转发的数据是从VPN域中的一个Client发送到另外一个Client, Server会判断在两个Client之间是否可以建立Session会话通道, 如果可以建立则向报文的发起Client发送重定向报文。同时Server会记录已经发送重定向报文的两个Client的信息, 保证在一定的时间内不会连续的发送相同的重定向报文。Client接收到Server发送的重定向报文, 在报文中可以得到目的Client的信息, 发起Session建立请求, 最终自动的建立Session会话通道。2.4认证加密技术[3]。动态VPN使用了认证、加密等技术, 最大程度地保证用户数据的安全, 用户网络的安全。首先, 动态VPN提供了注册认证机制, Client端设备要想加入到某个特定的动态VPN内, 必须首先经过Server的认证, 只有通过Server认证的Client设备才能够接入VPN网络, 这样保证了非授权用户非法登录, 同时也阻止了人为的破坏。其次, Client和Client之间建立隧道时也必须经过认证, 就是说必须两个Client都经过同一个Server的认证才允许建立隧道, 这样就可以防止公网上非法用户的入侵。另外, 在使用动态VPN的接口上启用IPSec进行加密, 保证用户在公网上传输数据的安全可靠。2.5支持多个VPN域。动态VPN允许用户在一台网关上支持多个VPN域。即一台网关不仅可以属于VPN A, 也可以属于VPN B, 并且可以在VPN A中作为Client设备, 同时还可以在VPN B中作为Server设备使用。这样大大提高了组网的灵活性, 也可以更加充分的使用网络设备资源, 减少用户投资。

3 动态VPN组网技术的国防动员应用。

国防动员信息化建设是我军信息建设的重要组成部分, 而大多数内陆省担负国防动员主要任务的军队基层单位缺乏军用线路, 是各级国防动员信息化建设的瓶颈, 解决好信息化建设的基础平台, 将会有力地提高国防动员信息化建设的水平。目前, 各级政府广泛开展的电子政务工程, 已经全面建成了覆盖县 (市、区) 的光纤传输网络, 政府各部门已经纳入政府网络之中, 有的甚至提供到镇 (乡) 基层单位的ADSL (或拨号) 接入。因此, 以政府电子政务网络为基础, 建成连接同级国防动员委员会各专业办公室和省、市、县各级的国防动员应用网络体系已经具备条件, 能有效解决军用链路缺乏的瓶颈问题。同时从动态VPN技术的安全性能看, 其提供的接入认证与IPSec隧道加密传输机制, 为依托电子政务网络安全传输国防动员信息提供了支撑。以省国防动员专用网络为例, 依托地方电子政务网络, 采用动态VPN组网技术, 形成三层结构的国防动员虚拟专用网络, 不仅降低了系统建设、维护的费用, 而且使得网络应用更加灵活。其拓扑结构如图1所示:

这样, 利用动态VPN组网技术就能在基于政府电子政务网络基础设施上建立国防动员应用专用虚拟网络, 可以不用投资进行专用网络基础设施建设, 就能构建起覆盖范围广泛的省国防信息动员网络, 同时也是对现有军队内部网络的一个有效备份。当然如果需要进一步扩大网络的应用覆盖范围, 做到既要支持固定IP地址用户 (电子政务网络直接接入的用户) , 也要支持动态IP地址用户 (以ADSL拨号和用户普通拨号接入) , 动态VPN技术也是一个很好的选择。

4 结论。

动态VPN组网技术为充分利用地方网络通信基础设施开展国防动员应用提供了条件, 其不但使动态IP地址之间建立VPN成为可能, 而且建设、维护、使用方便, 同时动态VPN组网技术提供的安全特性保证了传输数据的安全性。特别是在电子政务网上建立动态VPN国防动员应用虚拟专用网络, 其不仅投资费用小, 而且能有效提高国防动员委员会成员单位之间日常办公效率, 起到军地共赢的良好效果。

参考文献

[1]RUIXIYUAN.W.TIMONTHY SYTAYER等.虚拟专网:技术与解决方案[M].北京:中国电力出版社.

[2]DVPN技术白皮书.深圳:华为技术有限公司, 2003, 12.

VPN技术应用研究 篇7

1 SSL安全协议

SSL[1,2]协议工作在传输层,它分为两层:SSL握手协议和SSL记录协议。使用SSL协议组建的VPN称为SSL VPN。

1.1 SSL握手协议

SSL握手协议[3]用于在通信双方建立安全传输通道,可以实现以下功能:

1)在客户端验证服务器,SSL协议采用公钥方式进行身份认证;

2)在服务器端验证客户(可选);

3)客户端和服务器之间协商双方都支持的加密算法和压缩算法,可选用的加密算法包括:IDEA、RC4、DES、3DES、RSA、DSS、MD5等;

4)产生对称加密算法的会话密钥;

5)建立加密SSL连接。

1.2 SSL记录协议

SSL记录协议[4]从高层接收到数据后要经过分段、压缩和加密处理,再发送出去。在SSL协议中,所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。每个SSL记录包含以下信息:1)内容类型:指SSL的高层协议;2)协议版本号:指所用的SSL协议版本号;3)长度:指记录数据的长度,最大长度为16383字节;4)数据有效载荷:将数据进行压缩和加密处理后的结果;5)MAC:MAC在有效数据被加密之前计算出来并放入SSL记录中,用于进行数据完整性检查。

SSL VPN最大的好处就是不需要安装客户端程序,由于只通过443端口作为唯一的传输通道,因此管理员不需要在防火墙上作任何修改,从而最大限度的减少了分发和管理客户端软件的麻烦,降低了系统部署成本和IT部门日常性的管理支持工作费用。SSL VPN能保证在任何地方访问基于TCP应用程序的安全,包括Web和C/S应用,传统的应用程序,网络文件传输和共享,终端服务,电子邮件服务以及PDA等手持无线设备。

然而SSL VPN也有其缺点:它不适用做点对点的VPN,后者通常是使用IPsec技术,SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过,SSL VPN通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(包括其他信息站或家用计算机)。

2 IPsec协议与隧道技术

2.1 隧道技术简介

隧道[5]是网络通信常用的一种模式,在公用网络中,通信两端之间建立的虚拟专用网络,就是一种隧道技术的运用。隧道技术包括封装、传输及解除封装等几个方面。目前常见的隧道技术有IPsec隧道模式、IPX隧道、点对点隧道协议PPTP和第二层隧道协议L2TP等。其中效果最好,应用最广泛的就是IPsec。

隧道由用户终端及服务器端构成,两端必须使用相同的隧道协议(tunnel protocol)。隧道传输协议用来传送数据,隧道维护协议用于管理隧道。隧道工作于OSI参考模型的第二层或第三层,第二层对应到数据链路层,以帧为单元交换信息。PPTP、L2TP都是第二层的隧道协议,数据被封装在点对点通讯协议(PPP)帧中,再以隧道协议封装,继而通过网络传送。第二层隧道协议可以实现如下功能:用户验证、动态地址指派、数据压缩、数据加密等。第三层对应到网络层,以信息分组为信息交换单位,包括IPX及IPsec隧道模式,IP信息分组被处理(如压缩、加密)后,封装上额外的IP标头,然后再通过IP网络传送。

2.2 IPSec的基本概念

IPSec协议定义了通过公共网络时实现安全通信的规范,通过在IP数据包中增加字段来保证IP数据包的完整性、私有性和真实性以及采用的加密方法。IPsec协议集合了多种安全技术,从而能确保建立一个安全的通信隧道。

IPSec提供以下几个方面的网络安全服务:

(1)私有性:IPSec通过加密数据包,保证数据的安全性。

(2)完整性:IPSec能在目的地验证数据包,保证数据包没有被替换。

(3)真实性:IPSec端验证所有加密数据包,保证加密正确。

(4)反重复:IPSec通过序列号防止数据包被捕捉。

IPSec协议实现过程如图1所示。

IPsec实施方案主要包括以下几个组件:

1)IPSec基本协议:包括ESP和AH,用于处理数据包头,通过与SPD和SADB交互,决定为数据包提供的安全措施。

2)SPD:SPD决定了对数据包是否采用安全措施以及外来数据包的安全措施是否符合策略配置。

3)SADB:SADB为数据包的出入处理维持一个活动列表。以确保数据包的安全受到IPSec的保障。SADB由各个SA聚集构成,通常由IKE等自动密钥管理系统来进行。

4)IKE:IKE代表IPSec对SA进行协商,并对SADB数据库进行填充。

5)策略和SA管理:对策略和SA进行管理。

2.3 IPSec组件功能

IPsec安全体系结构中包括了三个最基本的协议:AH协议,为IP包提供信息源验证和完整性保证;ESP协议,提供加密保证;密钥管理协议ISAKMP,提供双方交流时的共享安全信息。ESP和AH协议具备相关的一系列支持文件,规定了加密和认证的算法。信息分组通过这两种转换协议得以加密保护。其实现方式分为隧道模式(Tunnel Mode)和传输模式(Transport Mode)两种。IPSec的组件构成如图2所示。

2.3.1 AH与ESP

确认性标头AH[6](Authentication Header)用来保证IP包的信息的完整性和准确性。AH既可以单独使用,也可在隧道模式下和ESP联用。AH支持传输模式(Transport Mode)和隧道模式(Tunnel Mode)。AH利用在Header和信息分组之间添加验证链接,来验证该信息分组的发送用户身份。AH协议不加密所保护的数据包,它只为IP数据流提供高强度的密码认证,以确保被修改的数据包可以被检查出来。为此AH必须包含对HMAC的支持(Keyed-Hashing for Message Authentication)。

植入安全载荷ESP[7](Encapsulating Security Payload)主要用来处理对IP信息分组的加密,同时也可进行认证。为了保证通信中的互操作性,ESP规范规定要强制实现56位的DES加密算法,同时ESP与具体的加密算法是相互独立的,几乎可以支持各种对称密钥加密算法,例如DES,Triple DES,RC5等。ESP在隧道模式和传输模式中的作用是不同的,在隧道模式中,整个IP数据包都被ESP封装和加密。真正的IP源地址和目的地址被隐藏为Internet发送的普通数据。而在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分,在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。

ESP协议数据单元格式由三部分组成:头部、加密数据、可选尾部。头部有两个域:安全策略索引(SPI)和序列号SN(Sequence Number)。使用ESP进行安全通信之前,通信双方需要先协商加密策略,包括使用的算法、密钥以及密钥的有效期等。安全策略索引用来标识发送方的加密策略,接收方可采用相应策略对收到的IP信息分组处理。“序列号”用来区分不同信息分组。加密数据部分除了包含原IP信息分组的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求),其余部分在传输时都是加密过的。ESP结构如图3所示。

2.3.2 IKE

自动密钥交换IKE[8](IPsec Key Exchange)用于动态验证IPSec通信双方的身份、协商安全服务以及生成安全密钥。有了IKE,密钥在使用一段时间后可以作废,并重新生成密钥。这样,限制了每个密钥所保护的数据量,增强了IPSec的安全性。IKE协商的参数同协议本身是分隔开的,在IPsec协议中IKE协商的参数被归于一个单独的IKE参数文档内。

IKE定义了两个阶段的协议:第一阶段生成IKE自身的加密和验证标头,第二阶段IKE快速生成和刷新IPsec的加密和验证标头。IPsec和IKE通过接口层进行交互,IPsec通过接口层向IKE发出生成或刷新IPsec的加密和验证标头的请求,IKE通过接口层向IPsec传送加密和验证标头。

2.3.3 密钥管理协议ISAKMP

IPSec采用ISAKMP[9](Internet Security Association and Key Management Protocol)作为管理协议的框架。ISAKMP是一个应用层协议,它不仅可管理IPSec协议所辖的安全联结和密钥,而且也适应于其他网络安全协议。ISAKMP协议定义了通信双方的认证过程,安全联结的建立、修改和删除过程及相应的报文格式。一次ISAKMP会话分为两个阶段:

第一阶段,会话双方协商建立一个ISAKMP的安全联结,用来保护它们自身的通信。会话双方通过基于公钥加密算法的数字签名完成相互认证。具体的认证步骤由相应的认证协议来规定,ISAKMP定义了一个认证时应遵循的报文格式。

第二阶段,双方协商建立其他安全联结。IPSec使用因特网密钥交换协议IKE(Internet Key Exchange)来完成会话密钥的生成。IKE规定了自动验证IPSec对等实体、协商安全服务和产生共享密钥的标准。IKE采用ISAKMP报文格式,并综合了Oakley和SKEME密钥交换协议的优点,使用Diffie-Hellman算法来生成会话密钥。

3 IPSec安全特点

IPsec产生于IPv6的制定过程中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP、SNMP、HTTP、POP等,而不管这些协议构建时所采用的安全和加密方法如何。IPsec协议弥补了IP层的安全缺陷,定义了针对IP分组(信息分组)的加密标头和验证标头,以及如何添加和拆分这些标头。同时IPSec支持各种对称密钥加密算法,这就使得数据传输的加密保护灵活多样,提高了数据的安全性。

4 结束语

通过以上分析,可以看出IPSec因其安全性和灵活性,已经成为构建VPN的首选。IPSec能对IP数据包的安全提供足够的保护,大大加强了Internet传输信息的安全性,为VPN的建立提供了坚实的基础,同时大大降低了网络费用。未来的VPN技术将在IPSec的基础上得到更大的发展。

参考文献

[1]李塑京.SSL的原理和应用[J].微型机与应用,2000,11:34-35.

[2]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001.

[3]金仑,谢俊元.基于SSL协议的可信应用及实现[J].计算机应用研究,2006,(1):103-105.

[4]马英杰,肖丽萍,何文才,李彦兵.SSL协议分析及其在Web服务应用中的改进[J].微处理机,2005,12:31-33.

[5]刘铁民,孙伟.VPN网络隧道技术的研究[J].电信工程技术与标准化,2003(12):55-57.

[6]S.Kent,R.Atkinson.IP Authentication Header.RFC2402IETF[S].1998,11:1-68.

[7]S.Kent,R.Atkinson,IP Encapsulating Security Payload.RFC2406IETF[S].1998,11:1-57.

[8]S.Kent,R.Atkinson,The Internet Key Exchange.RFC2409IETF[S].1998,11:1-58.

组播VPN业务关键技术研究与实践 篇8

随着MPLS VPN技术的日臻成熟, 越来越多的企业客户采用MPLS VPN组建企业内部网络。随着多媒体和办公自动化应用的普及,不少大客户提出在企业VPN中部署组播业务的需求。组播VPN业务可以为企业客户提供多媒体、事务处理、大型数据的大范围分发、语音和视频等服务,大大节省网络带宽和业务平台投资。

然而,组播VPN业务对网络能力及资源要求极高,在国内尚无运营案例。因此,需要对组播VPN业务进行深入的研究,验证现网对组播VPN业务的支持能力,以保障网络及业务稳定、可靠地运行。

2 组播VPN业务模型

如图1,组播VPN站点加入到同一个组播域(MD)中,通过MD内自动建立的组播隧道(MDT)将这些组播VPN站点连接在一起,从而实现组播互通。MVRF实例只需要在PE上部署,P设备不感知用户私网组播路由。用户私网组播数据通过公网组播隧道进行传输,公网组播对用户透明。

3 组播VPN业务关键技术

3.1 组播VPN业务承载方案

目前,组播VPN业务承载方案主要有两种,一种是基于PIM协议和mGRE(组播通用路由封装)隧道技术,即Rosen方式组播VPN;另一种是基于mLDP/RSVP-TE技术,即下一代MVPN。下面首先对组播VPN的几种实现方式进行简要介绍,然后结合运营商网络实际情况,通过对不同方案的对比分析,提出适合现网的部署方案。

(1) Rosen MVPN

根据公网PIM协议部署方式的不同,Rosen组播VPN又可以分为两种,一种基于PIM-SM协议和组播通用路由封装(mGRE)隧道技术,另一种基于PIM-SSM协议和组播通用路由封装(mGRE)隧道技术,并通过BGPMDT SAFI地址族实现拓扑发现。

①PIM-SM/mGRE方案

如图2所示,公网运行PIM-SM协议,且各PE都支持mVRF实例,各PE上的mVRF加入到同一个组播域(MD)中,通过MD内自动建立的组播隧道(MT)将这些MVRF站点连接在一起,实现组播互通。

公网通过PIM-SM协议为每个VPN维护一棵ShareMDT的组播转发树,协议和用户数据报文通过mGRE隧道封装,沿着Share-MDT转发给该MD的所有PE。当数据流量超过一定门限,可切换到Data-MDT,避免把流量转发到无关PE[1]。

②PIM-SSM/mGRE方案

如图3,该方案采用BGP AD方式实现MVPN PE成员自动发现机制,通过在BGP消息中定义新的MDT地址族,向所有PEER发布MVPN的RD信息以及Share-group地址。对端PE收到MDT-SAFI消息后,与自己的Sharegroup地址进行匹配,相同则加入该MVPN实例。BGP AD方式在公网中采用PIM-SSM协议维护Share-MDT,不依赖公网RP和MSDP协议。为了防止组播数据流沿着shareMDT传送MVPN中的所有PE,在各PE之间也可以按需建立专用的Data-MDT,以实现按需组播[2]。

(2) NG MVPN

NG MVPN在控制层面基于BGP地址族、扩展团体属性实现组播VPN成员发现,在数据层面通过MPLS LSP实现组播报文转发。

与Rosen方案的Share-MDT、Data-MDT类似,NG MVPN也提供了两种组播分布树:Inclusive tree和Selective tree。通过MP2MP LSP建立Inclusive tree,用于传递信令消息和小流量数据,基于P2MP LSP,采用MDT join TLV消息动态建立Selective tree,用于转发高带宽数据流量[3]。

(3) 方案对比分析

接下来,对以上三种承载方案进行对比分析,并结合国内运营商网络实际情况,提出合适的现网部署方案。

三种组播VPN承载方案之间的对比分析如表1。

方案一和方案二都是基于PIM协议和mGRE隧道来实现组播VPN业务的承载,对公网设备能力有较高要求。其中方案一基于PIM-SM方式,依赖公网RP和MSDP来建立公网MDT;方案二基于PIM-SSM,不需要依赖公网RP,且基于BGP实现拓扑自动发现,稳定性更好。方案三基于mLDP/RSVP协议,单播及组播流量都通过MPLS隧道转发,转发效率高,并采用MPLS OAM机制维护公网组播状态,可维护性更好,在三个方案中实现方式最优,但是目前多数现网设备不支持该方案,因此暂不具备现网部署条件。通过上述分析对比,建议采用方案二进行现网部署。

3.2 组播VPN业务组网

与普通单播VPN业务一样,组播VPN业务的组网拓扑也可分为全网状、星形(HUB SPOKE)和部分网状三种,其组网拓扑控制方法与单播VPN类似。

用户私网组播一般采用PIM-SM或PIM-SSM协议。采用PIM-SM协议时,用户RP可采用静态RP、BSR和AutoRP三种方式。为了减轻PE设备压力,建议用户RP部署在用户CE上,由用户负责维护。采用PIM-SSM协议时,组播接收终端会明确提出希望预定的组播源信息,因此用户网络不再需要RP。在一对多的视频业务中,SSM具有非常明显的优势,如果用户网络设备和终端支持IGMPv3协议,建议用户采用PIM-SSM方式,以降低用户组播维护复杂度。

3.3 组播VPN业务安全策略

与传统单播业务不同的是,组播业务安全更多体现为对组播源和组播流的控制。由于每台运行组播路由协议的路由器都需要维护大量组播组的状态信息,因此,当有恶意的组播源向网内随机发送组播数据流时,不但可能造成对网络带宽的恶意占用,也会在路由器之间造成大量的协议数据包,加重路由器的计算负载。

因此,在组播VPN业务运行过程中,应部署控制策略,从而保证业务稳定运行。常用的安全控制策略有:

(1)限制源信息注册

(2)限制组播组信息注册

(3)边缘路由器源控制

为了更安全地控制非法组播源,在组播域边界路由器默认禁止组播内容的接入,采用静态授权或动态授权,在边界路由器上通过ACL实现。

(4)采用SSM组播部署方式

SSM组播相对于传统的PIM-SM组播在安全性方面有着天然的优势。由于在SSM业务中,终端会明确提出希望预定组播组的源信息,即(S,G)信息,不需要依赖RP,终端的网关路由器会直接向源发出请求,建立源树,这就大大降低了组播网内的虚假信息风险。

3.4 组播VPN业务部署规模

组播VPN业务是对网络资源及能力要求极高的业务,在国内尚无运营的案例。组播VPN业务开放不仅对业务PE设备能力要求较高,同时对网络核心设备组网能力及稳定运行也提出了新的要求。在部署组播VPN业务之前,需要对现网设备的组播VPN功能及性能进行充分评估,并对业务开放规模进行详细论证。

在实验室压力测试中,部分P设备维护8 000个组播表项时,CPU峰值利用率超过85%。参考国际主流运营商的运营经验,建议组播VPN的公网组播组数量控制在6 000个以内,其中Defaut-MDT和Data-MDT分别控制在4 000和2 000个以内,按照上表进行推算,对4 000个Defaut-MDT进行分解,若每mVPN平均为20个站点,可支持200个mVPN;对2 000个Data-MDT进行分解,若每mVPN有10个group需要切换,则可支持200个mVPN。

4 结束语

目前,现网设备只能支持基于Roesn方案的组播VPN业务。Rosen方案中,所有邻居关系都是通过PIM hello机制来建立和维护,不管是用户组播分发树还是公网组播分发树,其建立和维护都依赖于周期性发送PIM JP报文(Join/Prune),PIM的状态刷新机制带来很大的协议报文处理开销,对网络设备控制层面的压力较大。另外,PE间需要建立全网状的GRE隧道,对设备资源消耗较大[4]。通过实验室和现网验证测试可知,基于Rosen方案的组播VPN业务对核心层设备带来相当大的挑战,因此不适合大规模部署。

NG MVPN最大的优势在于采用和单播VPN一致的架构,单播、组播架构统一能够有效通过已有单播VPN组网架构开展各项组播业务。在骨干网内基于mLDP/RSVP-TE维护组播分发树,不依赖PIM组播协议。使用BGP实现成员发现、组播业务流和组播隧道的绑定,以及私网组播路由传播,可以大大减少PE之间维护组播状态的开销[4]。

同时,NG MVPN具有更好的可维护性,支持LSPping、LSP Trace和Multicast CV等维护手段。

综上所述,NG MVPN在很大程度上更符合MPLSVPN发展的需求和方向。

但是,就目前来说,NG MVPN还存一些问题和局限性,主要表现在以下几个方面:

(1) 厂家设备对NG MVPN的支持程度不一,互操作性较差;

(2) 现网多数PE、P设备还不支持mLDP;

(3) NG MVPN的可扩展性尚需进一步研究验证。

VPN技术在局域网中的应用 篇9

关键词：局域网；VPN技术；应用

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2014）8-0041-01

1 VPN实现的技术及其特点

VPN（Virtual Private Network：虚拟专用网络）技术指的是利用私有、专用的隧道技术在公共数据网络中建立起一条仿真的点到点的、专用的数据通信网络的技术。在VPN中，任意两个节点之间的链接不是通过端到端的物理连接，而是利用公众网络的动态资源进行虚拟链接的。

1.1 VPN实现的技术

①隧道技术。这是一种通过使用互联网基础设施实现在网络之间进行数据传递的方式。隧道传送的形式可以是不同协议的数据帧或者数据包，隧道协议将这些不同协议的数据进行整合、重新包装并进行发送。

②隧道协议。现阶段应用较为广泛的隧道协议主要有点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及第三层隧道协议（IP Sec）、第四层隧道协议（SSL ）等。

③安全技术。由于VPN直接连接到公共网络，具有一定的便捷性，但也存在一定的安全风险，通过先进的VPN加密、认证、密匙交换与管理技术，可以确保传输信息的安全可靠，避免企业信息不被非法访问、修改以及窃取等。

④QoS技术。QoS（服务质量）可以较好的解决网络延迟和阻塞，在网络过载或者拥挤时，QoS能够保证网络高效运行的同时保证网内重要信息不被延误或者丢弃，提供可预期的端到端的服务质量保障，并对网络流量进行监管和整形，按照优先级别进行宽带资源的分配。

1.2 PN技术的特点

①低投入。由于隧道使用的网络可以是任何类型的公共互联网络，不需要租用长途专线建设专网，极大的减少了局域网的设备投入以及网络维护成本。

②高安全。通过隧道加密技术以及相互认证技术可以对经过隧道传输的数据进行加密、对数据的接送方进行认证，保证了数据的私密性和安全性。

③高效率。QoS技术通过对网络流量的流分类、流标志，实现对流量的监管，避免网络拥塞对网络数据、信息传送的影响。

④易扩展。专网要扩展容量，需要考虑新链路架设、新设备采购以及网络维护人员的增加，而通过VPN技术，用户可以选择多种网络连接技术，需要增加容量时只需要对新的网络终端进行简单的逻辑设置就可以，简单、快捷。

2 VPN技术在局域网的应用

2.1 在保证稳定性、安全性以及可扩展性等方面的作用

VPN技术在保证局域网的稳定性、安全性以及可扩展性等方面表现突出，在局域网的应用中发挥了重要作用，例如远程访问虚拟网、内部虚拟网以及扩展虚拟网等方面。

①远程访问虚拟网（Access VPN）。Access VPN通过一个拥有与专用网络相同策略的共享基础设施使得用户可以实现对单位内部或者外部网的随时、随地、任意方式的远程访问。Access VPN对于用户内部经常有流动人员远程办公的单位非常适用，出差人员通过当地ISP提供的VPN服务，可以和单位内部的VPN网关快速建立起私密的隧道链接，并通过RADIUS服务器对用户进行验证以及授权。

②内部虚拟网（Intranet VPN）。Intranet VPN通过使用专用连接的共享基础设施以及网关到网关的VPN形式，将分布在世界范围的单位总部、各个远程办事处、分支机构连接到内部局域网，在内部虚拟网拥有相同的网络安全、服务质量（QoS），并具有相同的可管理、可靠性的特点。Intranet VPN不但为单位内部的分支提供便捷的安全信息传统网络，还可以通过加密、认证技术实现不同用户对网络资源的访问控制。

③扩展虚拟网（Extranet VPN）。Extranet VPN利用使用专用连接的共享基础设施，将单位、合作单位、供应商以及兴趣群体连接到单位内部局域网。通过扩展虚拟网，单位、企业可以和客户、合作伙伴等进行快捷、方便的信息交换，同时通过在外部网连接使用和内部网以及远端访问相同架构和协议的VPN技术，可以实现对外部网用户访问的控制，保证内部局域网的安全。

2.2 SSL VPN技术在无线局域网的应用

SSL协议是高层协议，实现在第四层，而IP Sec实现在第三层。无线局域网由于自身在传输介质、访问方式以及安全控制等方面的缺陷，容易受到外部非法用户的攻击，通过利用VPN技术可以提供更可靠、安全的解决方案。VPN技术在无线局域网的应用方式主要有两种，一是基于IP See模式的无线VPN设计；一是基于SSL的无线VPN设计。由于IP Sec协议在无线安全方面存在的一些缺陷，SSL VPN技术应用方式已经成为无线局域网VPN技术应用的主流。

SSL VPN指的是采用SSL协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议，在局域网内部、局域网外联网以及无线网使用SSL协议可以保证信息的真实型、完整性和保密性。由于SSL协议已经被内置在各种浏览器中，应用SSL VPN技术还可以免于安装客户端，部署简单、方便。

2.3 Socks5 VPN技术在局域网的应用

Socks5 VPN技术是在总结IP See VPN和SSL VPN 技术的优缺点之后提出的全新局域网解决方法。基于会话层实现Socks5 VPN的核心是会话层代理，通过在远程用户机器安装Socks5 VPN客户端，并由这个客户端对用户的远程访问请求进行监控，对合法用户的请求转化为代理协议可以识别的请求发送到局域网的Socks5 VPN服务器进行身份认证和访问控制策略。Socks5 VPN技术对进行远程访问的请求者首先进行相应的身份认证和访问控制，进一步保护了内部局域网的安全。

3 结 语

VPN技术通过在信息隧道入口设置用户身份准入验证，并支持各种通用的安全协议和加密技术，是局域网实现网内、外联网以及远程办公的重要技术保障，通过和其它通信技术的结合，例如MPLS、BGP等，可以构建起安全、实时、高效的局域网络。

参考文献：

[1] 朱宪超.SSL VPN组网设计及关键技术分析[J].电脑知识与技术（学术交流），2013，（12）.

[2] 雷富强.关于VPN技术环节的分析[J].科技资讯，2013，（31）.

基于IP的VPN技术的研究 篇10

1. VPN的基本原理

VPN用户都希望以最小的代价, 使数据安全性得到的一定程度保证。互联网具有极为广泛的网络覆盖范围、远比长途通信费用低廉的接入费用等优点, 却存在内在的不安全性, 促使用户根据自身业务特点和需要, 或者自己构建VPN, 或者直接向VPN服务供应商购买合适的VPN服务。自己构建VPN简称自构VPN, 亦称为基于用户设备的VPN, 此时, 用户在已有的网络设备基础上, 适当扩充功能和 (或) 添置设备, 利用互联网连接远程网络。这里, 互联网仅用作IP分组传送平台, VPN应具备的安全功能基本由用户网络设备实现, 此方案适合那些有远程安全通信需求、却又不信任VPN服务供应商所提供的安全服务的用户。直接向VPN服务供应商购买合适的VPN简称外购VPN, 亦称为基于网络的VPN, 与前面相反, 用户认为VPN服务供应商提供他所需的安全服务, 仅需将自有远程网络按VPN服务供应商的要求连接到服务商提供的VPN边缘路由器, 便可安全地远程通信, 还省去大量VPN网络设备投资和维护的开销。这两种方案实现策略迥异, 但都基于相同的安全原理, 即通过一定方式将互联网上每个VPN用户的数据与其他数据区别开, 避免未经授权的访问, 从而确保数据的安全。

2. VPN的应用领域

VPN技术是由于用户的远程安全通信需求而产生的, 特定的需求规定了VPN技术的特定应用领域。目前, VPN主要有三个应用领域。

(1) 基于VPN的远程接入网远程接入网主要用于企业内部人员的移动或远程办公, 也可以用于商家为其顾客提供B2C (Busness to Censumer) 的安全访问服务[1]。基于VPN的远程接入网不仅能使用户随时随地以其所需的方式安全访问企业资源, 而且与传统远程接入网相比更有优势。

(2) 基于VPN的内联网内联网主要用于企业内部各分支机构的互联。基于VPN的内联网不仅能够为各分支机构提供便捷的安全通信, 还能实现相互间基于策略的信息共享, 杜绝未经授权的资源访问。基于VPN的内联网与传统内联网相比具有更大优势。

(3) 基于VPN的外联网外联网主要为某个企业和其合作伙伴提供许可范围内的信息共享服务。基于VPN的外联网, 既可以向客户和合作伙伴提供快捷准确的信息服务, 同时跟踪了解客户的最新需求, 又可以保证自身内部网络的安全。

3. VPN的关键安全技术

网络安全技术在21世纪将成为信息网络发展的关键技术。目前VPN主要采用五项技术来保证安全, 这五项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 和访问控制技术 (Access Control) 。

(1) 隧道技术隧道技术不仅屏蔽了VPN所采用的分组格式和特殊地址, 支持多协议业务传送 (IPSec (IP Security) 也可视为一种隧道技术, 但需要适当扩展, 以支持多协议业务) , 解决了CRL所存在的VPN地址冲突, 而且可以很方便的支持IP流量管理, 如MPLS (Multi-Protocol Label Switching, 多协议标记交换) 中基于策略的标记交换路径能够很好实现流量工程[2]。隧道技术是目前实现不同VPN用户业务区分的基本方式。一个VPN可抽象为一个没有自环的连通图, 每个顶点代表一个VPN端点 (所谓VPN端点, 是指用户数据进入或离开VPN的设备端口) , 相邻顶点之间的边表示连结这两对应端点的逻辑通道, 即隧道。作为VPN的基本构件, 隧道以叠加在IP主干网上的方式运行。需安全传输的数据分组经一定的封装处理, 从信源的一个VPN端点进入VPN, 经相关隧道穿越VPN (物理上穿越不安全的互联网) , 到达信宿的另一个VPN端点, 再经过相应解封装处理, 便得到原始数据。封装的数据在传送中, 不仅遵循指定的路径, 避免经由不信任的节点而到达未授权接收方, 而且封装处理使得传送的中转节点不必也不会解析原始数据, 一定程度上防止了数据泄密。

(2) 加解密技术加解密技术指信源在原始数据发送前对其采用某种加密算法得到密文, 并以密文的形式传送数据, 信宿接收到密文后, 再采取相应的解密算法解析密文得到原始数据。按照现代密码学的观点, 密文的安全只取决于密钥的安全, 而不是算法的保密。合适的密钥管理技术能够确保在互联网上安全传递密钥而不被窃取。显然, 结合加解密技术和密钥管理技术, 密文形式传送的数据即使被第三方获得, 也只是一堆无意义的数据, 这进一步保证了通信的安全性。

(3) 密钥管理技术密钥管理机制对常规加密体制来说, 在进行通信之前, 双方必须持有相同的密钥, 在通信过程中要防止密钥泄密和能够更改密钥。通常, 密钥管理技术有两种方法:一是设立密钥分配中心KDC来管理密钥[3], 但是增加了网络成本, 降低了网络的性能;二是利用公开密钥加密技术来实现对常规密钥的管理, 此方法使密钥管理变得简单, 同时解决了对称密钥中的可靠性和鉴别性的问题。公开密钥的管理通常采用数字证书的方式。数字证书通常含有惟一标识证书所有者 (发送方) 的名称、惟一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。

(4) 使用者与设备身份认证技术身份认证是指用户必须提供他是谁的证明, 他是某个雇员, 某个组织的代理、某个软件过程 (如股票交易系统或Web订货系统的软件过程) 。认证的目的就是弄清楚他是谁, 他具有什么特征, 他知道什么可用于识别他的东西。这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源, 它是其他安全机制的基础。

认证技术是信息安全技术的一个重要方面。身份认证是安全系统中的第一道关卡, 用户在访问安全系统之前, 首先经过身份认证系统识别身份, 然后访问监控器, 根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。

(5) 访问控制技术访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。它是针对越权使用资源的防御措施, 通过限制对关键资源的访问, 防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏, 从而保证网络资源受控地、合法地使用[4]。用户只能根据自己的权限大小来访问系统资源, 不得越权访问。访问控制技术并不能取代身份认证, 它是建立在身份认证的基础之上的, 通俗地说, 身份认证解决的是"你是谁, 你是否真的是你所声称的身份", 而访问控制技术解决的是"你能做什么, 你有什么样的权限"这个问题。

4. VPN的实现方法

通常, 具体实现一个VPN时, 至少应当回答这些问题:一台VPN设备如何发现属于同一VPN的其他设备?如何建立VPN隧道?采用哪种隧道协议?如何在一个VPN内传播各端点的路由情况信息?通过端口配置, (用户或运营商的) 设备成为某个VPN的一员;对于一个成员设备, 了解VPN其他成员主要有三种方法, 手动配置 (若此了解者是用户设备) 、利用BGP所携带的信息获得 (若此了解者是运营商的设备) 和域名服务 (适用所有成员设备) 。与手动配置相比, 利用BGP和域名服务都具有极佳的可扩展性[5], 但后两者孰优孰劣仍需进一步研究。目前, 可供选择的隧道技术主要是MPLS、L2TP和IPSec, 而且隧道技术的选择需要能独立于所采用的了解VPN成员的方法。建立隧道的方法由相应的信令决定, 而选择的信令必须支持选定的隧道协议。VLL可利用隧道建立的过程获得网络层可到达信息;VPDN和VPLS没有广播可到达信息的必要;VPRN广播可到达信息有两种方法, 通过运行在虚拟路由器间VPN隧道上的IGP或通过经VPN地址扩展的BGP。显然, 这些VPN的实现将各具特点, 即使同一类型VPN在不同场合的实现也存在很大差异, 所以仅着重讨论与安全最相关的隧道技术在不同VPN实现中的取舍。

5. VPN产品与解决方案

(1) 问题与解决方案一。问题一:某大型企业有分支机构设在外地, 各地的分支机构每天日常的信息资源流动 (如电子邮件、公文流转等) 都通过长途电话拨号进入总部, 每月的长途话费用开销达上万元甚至数万元, 而且由于拨号网络的速度限制, 用户都普遍反应网络效率甚低。解决方案:考虑到现在Internet接入的费用日趋下降, 可以利用当地ISP提供的宽带网络服务接入到Internet, 再利用Internet公众网络使分支机构与总部公司实现网络互连[6]。但公众网络上黑客众多, 公司内部邮件和公文需要保密, 不可以直接暴露在公众网络中。基于用户的需求, 可以采用VPN方式来进行网络互连, 即利用Internet节省了原有的长途话费开销, 又具有一定强度加密保障的安全性, 还提高了整个网络的吞吐量和效率[7]。

(2) 问题与解决方案二。问题二:某IT公司的业务分布在全国各省市, 由于该公司业务量庞大, 员工出差的频率相当高。出差员工日常与总公司只能通过长途电话汇报情况, 由于IT公司有相当多的资料更新比较快, 而且往往是电子文档, 一般员工就只能通过Internet公众网络中的电子邮件信箱或匿名FTP来交换资料, 而且经常受到信箱大小的限制, 或匿名FTP不安全因素的威胁。解决方案:由于现在大多数员工都使用Windows 2000或Windows XP作为操作系统, 可以利用这些操作系统内置的VPN拨号功能来实现异地、安全、低开销地连入到总公司网络中。这样员工不论出差在哪个城市, 都可以利用当地的ISP连回总公司, 使用总部的网络资源、收发电子邮件等, 显著提高了工作效率。

(3) 不同形式之间建立通信的VPN解决方案:如果公司内部在外出差和在家中办公的人员与公司建立通信, 那么可以利用Access VPN技术方案来解决通信问题;如果公司内部各分支办公室与中心办公室之间建立通信, 那么可以利用Intran VPN技术方案来解决通信问题;如果合作伙伴和重要客户与本公司建立通信, 那么可以利用Extranet VPN技术方案来解决通信问题。

6. 结束语

随着移动办公、信息共享和安全通信等需求的增加, VPN将受到更多的关注。随着分组语音和流媒体等业务的发展, 人们不再仅满足于安全保证, 希望VPN还能够提供诸如网络性能和服务质量方面的保证。VPN和IP的天然渊源, 使新的IP技术能够自然运用于VPN。相信VPN将以更强的安全保证、更好的服务质量满足人们更多的通信需求。

摘要：文章围绕基于IP的VPN技术进行讨论, 简述了VPN的基本原理及其应用领域。特别是详细介绍了VPN的关键安全技术。同时, 文中阐述了VPN的实现方法, 尤其是VPN的产品与解决方案。

关键词：IP,VPN,安全隧道,身份证,访问控制

参考文献

[1].Patel B, Aboba B, Dixon W, et al.Nov 2001.Security L2TP using Ipsec, RFC 3193.

[2].Muthukishnan K, Malis A.Sep 2000.A Core MPLS IP VPN Architectere, RFC 2917.

[3].冯登国.计算机通信网络安全[M].北京:清华大学出版社, 2001.

[4].王承恕.通信网新技术[M].北京:人民邮电出版社, 2006.

[5].李孟珂, 余祥宣.基于角色的访问控制技术及应用[J].计算机应用研究, 2000, 17 (10) .

[6].毕厚杰.多业务宽带IP通信网络[M].北京:人民邮电出版社, 2005.