VPN改造(精选七篇)
VPN改造 篇1
MPLS VPN技术优势:
(1) 安全性高:采用MPLS作为通道机制实现透明报文传输, MPLS的标签交换路径 (LSP) 具有与FR和ATMVCC相类似的安全性;另外, 由于CNCnet的MPLS实现对用户透明, 用户还可以采用它已有的手段, 如设置防火墙, 采用数据安全加密等方法, 进一步提高安全性。
(2) 强大的扩展性:包括两点, 网络中可以容纳的VPN数目很大;同一VPN中的用户很容易扩充。
(3) 业务的融合:提供了数据、语音和视频相融合的能力。
(4) 灵活的控制策略:可以制定特殊的控制策略, 满足不同用户的特殊要求, 实现增值服务。
(5) 强大的管理功能:采用集中管理的方式, 业务配置与调度统一平台。减轻了用户的负担。
(6) 服务级别协议:目前有差别服务、流量整形和服务级别来保证一定的流量性能, 将来可以提供带宽保证和更高的服务质量保证。
(7) 为用户节省费用:
线路费:价格比租用专线节约。
设备费:用户只须配备CE设备, 不需要专门的VPN网关。
融合业务:通过融合语音数据业务来节约费用。
管理费用:用户不必进行专门管理维护。
人员费用:不必要雇用大量的专业技术人员。
二、组网需求分析
在吉林省DCN组网过程中, 我们参考了目前几种成熟的组网方案, 经过各方面的对比, 最终选择了MPLS VPN的方式来组网。
以下是三种不同的VPN组网方式, IPSEC VPN需要在用户端安装客户端软件, 当用户的VPN策略稍微有所改变时, 运行和长期维护两个方面都需要有大量的IT支持, 这种模型不太适合在省企业网内部大范围部署;SSLVPN比较适合用于移动用户的远程接入, SSL VPN的移动用户使用标准的浏览器, 无需安装客户端程序, 即可通过SSL VPN隧道接入内部网。SSL VPN是一种基于应用层的VPN, 它避开了部署及管理必要客户软件的复杂性各项需求, 在Web的易用性和安全性方面架起了一座桥梁。但对于一个企业来说不仅提供基于Web的应用, 也同时提供大量不基于Web的应用, 如OA、财务、ERP等应用。在现阶段, SSL VPN只能访问基于Web的应用, 所以这种模型也不适合在DCN内部署;MPLS VPN在技术成熟度、部署方便, 扩展性、兼容性等方面都满足DCN网的组网需求, 它是针对我们的实际需求的一种最佳解决方案。
三、MPLS/VPN应用分析
虚拟专用网 (VPN) 为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。
1. MPLS网络结构
MPLS网络的基本构成单元是标签交换路由器LSR (Lable Swi t ch Rout er) 。由LSR构成的网络叫做MPLS域, 位于区域边缘和其他用户网络相连的LSR称为边缘标签交换路由器 (LER, Labeled Edge Rout er) , 位于区域内部的LSR则称为核心标签交换路由器。核心LSR可以是支持MPLS的路由器, 也可以是由ATM交换机等升级而成的ATM-LSR。被标签的分组沿着由一系列LSR构成的标签交换路径LSP (Label Swit ched Pat h) 传送, 其中入口LSR叫Ingr ess, 出口LSR叫Egr ess。
2. 基于MP-i BGP协议的MPLS VPN的实现
BGP MPLS VPN, 主要实现原理是使用BGP在运营商骨干网发布VPN路由信息, 用MPLS来转发VPN业务流。RFC2547定义了允许服务提供商利用其IP骨干网络为用户提供VPN服务的一种机制。
PE1路由器根据数据报文到达的接口, 以及目的地址信息在查找相应VPN-inst ance转发表, 匹配后将报文转发出去, 同时打上两个标签1001、22, 其中22为外层标签, 1001为内层标签。
报文通过MPLS网络传送到PE2中, 报文从PE2的前一跳转发出来时已经剥离外层标签, PE2收到的报文是仅包含内层标签的MPLS报文, PE2通过内标签和目的地址信息查找VPN-i nst ance表项, 并确定报文发送的出接口, 从而到达CE2。CE2接收到IP报文后, 根据正常的IP转发过程将报文传送到目的主机, 数据报文传送过程结束。
四、DCN网MPLS VPN的设计与实现
1. DCN网中MPLS VPN方案设计
方案设计图
2. DCN骨干域内VPN划分原则
省运营支撑系统中建立六套新业务系统, 分别为计费账务系统、综合结算系统、联机采集系统、综合服务提供平台、资源管理系统、交换网网管系统。
各系统的数据访问模型为:在各地市数据需要相互隔离, 但是必须和省中心相应业务互访。省中心6套业务系统之间需要互访, 同时省中心6套业务还要同原DCN网上承载的业务和国家级DCN网络互访。
经过以上分析, 划分VPN的结果为:各地市划分5个VPN, 分别为计费账务系统、综合结算系统、综合服务提供平台、资源管理系统、交换网网管系统;省中心划分一个VPN, 该VPN在i mpor t VPN路由的时候, 将同时导入其他5个VPN的路由。各地市在导入路由时, 可以使用rout e-filt er导入X里相应的网段;其他业务都划分为非VPN业务。需要将省中心VPN里的路由导入近i net.0路由表,
来实现非VPN业务和省中心的互访。
3. DCN网中LSP的建立
LSP的建立, 在转发数据流时, 可以用GRE Tunnel, 也可以用MPLS LSP。由于路由设备上没有支持GRE的Tunnel PIC硬件卡, 我们只考虑LSP。为了在骨干网上转发VPN流量, 必须在学到路由的PE路由器和广播路由的PE路由器之间建立LSP。
如果希望为LSP分配带宽或使用流量工程为LSP选择一条明确的路径, 那么则使用RSVP。基于RSVP的LSP支持特定的服务质量 (Qo S) 保障和/或特定的流量工程目标。基于RSVP的LSP的优先权要高于基于LDP的LSP。如果基于LDP的LSP和基于RSVP的LSP都位于一对PE路由器之间, 入口标记交换路由器 (LSR) 选择基于RSVP的LSP, 而不是基于LDP的LSP。我们知道, MPLS LSP是单向的点对点的路径, 每两点间通信要建立两条LSP, 一去一回, 才能完成双向通信。如果DCN里14个点都作为PE, 那么需要建立和维护240多条LSP, 这将使维护人员不堪重负。从这里出发, 我们考虑两种协议带来的优缺点。
LDP优点:如果选择使用LDP, 那么将在骨干中建立一个全网状尽力而为的LSP, 以支持PE到PE全连接能力。建立时只需要在相应的端口Enable LDP, 它能够自动建立到所有PE的LSP, 开通简单易行。
LDP缺点:对LSP无法进行控制, 它根据IGP的最短路径建立LSP, 不支持特定的服务质量 (Qo S) 保障和/或特定的流量工程。
RSVP优点:可以对LSP进行控制, 支持支持特定的服务质量 (Qo S) 保障和/或特定的流量工程, 均衡网络上流量负载。有更好的路径失败保护, 可以快速重路由。
PSVP缺点:使用RSVP, 那么将需要手工在骨干网中建立一个全网状的LSP, 也就是手工配置多条LSP, 配置复杂。
吉林省DCN网络分为省网和各地市DCN两个层面, 根据省中心与各分公司数据访问的模型, 各分公司与省中心互访, 各分公司间不进行数据互访, 所以在省中心与各分公司间使用RSVP协议手工建立LSP。
摘要:通过分析MPLS VPN的技术优势, 可以看出MPLS VPN在技术成熟度、部署方便、扩展性、兼容性等方面都满足DCN网的组网需求, MPLS VPN是针对我们的实际需求的一种最佳解决方案。
关键词:MPLS VPN,路由器
参考文献
[1]Jim Guichard Francois LeFaucheur Jean-Philippe Vasseur著陈武译。MPLS网络设计权威指南[M]。北京:人民邮电出版社, 2007.1
VPN应用分析 篇2
关键词:虚拟专用网络,用户远程访问,网络互联
1、VPN的实现原理
VPN的全称是Virtual Private Network, 即虚拟专用网络。VPN是通过一个公用网络 (通常是Internet) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道[1]。可以把它理解成是虚拟的内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个终端内部网之间建立一条专有的线路, 就像是架设了一条专线一样, 但并不需要去铺设物理线路。
为了形成虚拟连接链路, VPN网络采用了"隧道"技术。"隧道"技术就是模仿点对点连接, 它依靠Internet服务提供商和其他的网络服务提供商在公共网中建立自己专用的"隧道", 让数据包通过这条隧道进行传输。
2、VPN的三种应用方式
2.1 通过因特网实现用户远程访问
虚拟专用网络和使用专线连接企业的网络接入服务器不同, 虚拟专用网络用户首先拨通本地ISP的网络接入服务器并与之建立连接, 然后再利用VPN软件在拨号用户和企业的VPN服务器之间创建一个跨越因特网 (或其它公共互联网络) 的虚拟专用网络以达到远程访问的目的。
2.2 通过因特网实现网络互联
网络互联是指通过因特网或其他公共网络将公司内部的局域网和分支机构的局域网连接起来, 形成一个远程局域网络。使用VPN连接远程局域网时, 可以采用以下两种实现方式。
1、使用专线连接分支机构和局域网
专线连接方式的原理是分支机构和终端路由器使用各自的本地专用线路通过本地的ISP连接到因特网或其他公共网络, 然后再通过VPN软件或硬件设备, 利用与本地ISP建立的连接和因特网, 在分支机构和终端路由器之间创建一个虚拟专用网络[2]。可见, 专线连接方式并不是真的使用价格昂贵的长距离线路来连接分支和局域网, 而是利用虚拟专用网来实现连接。
2、使用拨号线路连接分支机构和局域网
在使用拨号线路连接分支机构和局域网的VPN网络中, 分支机构的路由器不再使用专线或其他的方式来连接企业的接入服务器NAS, 而是分支机构端的路由器通过拨号方式连接本地网络服务提供商ISP, 然后再由VPN软件使用与本地ISP建立起的连接在分支机构和终端路由器之间创建一个跨越因特网的虚拟专用网络。
2.3 连接企业网内部网络计算机
通过使用一台VPN服务器既能够实现与整个企业网络的连接, 又可以保证重要数据的安全性。在VPN网络中, 企业网络管理人员可以通过使用VPN服务器, 指定符合特定身份要求的用户连接VPN服务器获得访问敏感信息的权利, 而没有此身份的用户根本无法看到这些敏感部门的局域网络。此外, 可以对所有VPN数据进行加密, 从而确保数据的安全性。为了实现业务网络隔离, 通常在企业局域网中使用VLAN技术, 防止无关人员对特定信息的访问。然而VLAN并不是完善的安全解决方案, 不能实现数据加密, 如果再使用VPN加以改造, 就可实现更安全的网络隔离。我国目前的VPN应用主要集中在跨国公司的国内分支机构、部分用户规模较大的外企、金融领域以及与IT相关的企业之中, 从2004年开始中小企业和教育行业应用也逐渐受到青睐, 应用比例有所提高, 在近一、两年, 更是迅速向中小企业拓展, 在家用产品领域也有所涉足, VPN产品逐渐成为各行业竞相采购的焦点。
3、结语
随着人们对VPN认识的加深, 以及不断拓展的市场需求, VPN市场的前景将非常喜人。无论是从需求的范围还是传输的内容上来看, 网络数据的传输需求越来越宽泛, 目前很多企业, 尤其是分支机构遍布各地的大型企业, 协同管理和数据传输的需求也越来越大, 使得VPN产品的应用范围不断攀升。综合来看, 随着用户需求的进一步扩大, VPN产品的市场将继续扩大, VPN技术发展会日益完善, 国内外各大网络设备商必将推出更多优秀产品, 以满足各大用户不断变化的使用需求。
参考文献
[1]http://baike.baidu.com/view/19735.htm
VPN选型测试研究 篇3
在互联网发展的初期,工程师们致力于更好地实现网络互联互通,经过激烈而残酷的竞争,TCP/IP协议成了最后的胜利者。但TCP/IP协议本身存在安全问题,信息传递以明文方式实现。VPN(Virtual Private Network,虚拟专用网)作为对这个缺陷的一种修复,伴随着网络的发展不断进化,从L2F(层2发送协议)到L2TP(层2隧道协议),再到PPTP(点对点隧道协议)……时至今日,IPSec(IP安全性)和SSL(安全套接层)在VPN世界里取得了巨大的成功,得到了越来越多的重视和应用。
VPN保障网络通信安全的基础原理是VPN实现了三个重要的功能:[1]
1)数据完整性。VPN通过Hash算法对发送的数据进行完整性安全摘要生成,并在接收方则通过相同的算法对接收到的数据进行完整性校验。
2)数据加密。通过VPN的加密,发送的数据将以密文的形式穿越互联网的海洋。哪怕即使是在中途被拦截,拦截者也无法得知通信的内容。
3)通信认证。VPN通过证书、数字签名或者欲共享密钥等方式实现对通信双方身份的认证,确保了通信的安全前提。
从如上的三点上可以看出VPN具有其他网络安全产品(如防火墙、IDS、IPS等)所不具备的功能,现实生活对这种功能的需求正在变得越来越强烈。[1][2]
2. VPN测试类型
为了满足不同对象不同网络应用阶段的需求,发展出诸多的测试类型。下面从中国软件评测中心提供的VPN测试业务列表分析不同的测试类型的特点和用途。
其中,面向厂商的测试业务包括以下几方面内容。
研发(单品)测试:用于为厂商提供详细的测试报告并帮助其发现产品的Bug,为产品品质提升提供技术支持。通过对VPN产品的各项功能和性能的进行完整测试得到。
硬件平台选型测试:用于为企业开发的VPN系统选择一款性价比最高的硬件平台。通过对相同VPN软件系统在不同的硬件平台上的测试指标结果来实现。
横向对比测试:为不同厂商的不同型号VPN产品进行同样的参数测试,通过一系列的指标判定不同产品的优劣。
面对消费者的测试业务包括三种。
选型测试:用于帮助用户在网络建设项目开始之前,确定最理想的VPN产品。通过网络分析、选型咨询、选型测试在内的全周期服务来实现。
验收测试:用于为最终的验收提供客观的证明。通过对VPN产品构成的网络进行整体的功能和性能评估,论证其是否满足最初的网络规划需求。
运维测试:用于用户的网络系统运行后出现故障时,帮助客户修正安全隐患、改善网络质量。通过对网络中的VPN设备的主要性能指标进行压力和稳定性测试,确定问题所在。
在现实中,最常见和重要的一种测试类型就是本文主要针对的选型测试。
3. VPN测试技术
先进、可靠的测试方法和测试技术是一切测试活动的基础。IPSec和SSL VPN典型测试拓扑如图1和图2所示。
业界认可的VPN测试工具包括Avalanche、Tera VPN、Ix VPN、Land Slide等。这些工具可以同时模拟数量巨大的客户端和受保护主机、虚拟安全网关和虚拟路由器等,模拟不同的网段划分和地址分配,配置VPN的相应参数,可以测试众多指标,从不同版本支持到认证方式、算法列举、安全关联寿命限定等,全面考察VPN的功能、性能、可靠性和安全性。
在测试管理上,测评机构应该具有严格的实验室管理体系和质量控制。从项目计划、方案制定、规范评审到测试实施、报告评审的整个环节都依据规范的条例进行,确保了测试过程的严密性、可靠性和测试结果的公正性。
4. VPN测试标准
IPSec VPN经过多年发展,已经出现了通用的测试准则(如YD-T 1467-2006 IP安全协议(IPSec)测试方法)。但SSL VPN在这方面,相关部门尚未出台一个权威的测试准则,下文阐述中国软件评测中心的SSL VPN测试规范。
从表1中可知考察SSL VPN产品并非基于某一项特殊指标,而需从可靠性、易用性、自身安全性和产品性能等方面进行综合评价,才能确保用户得到优质可靠的产品。
在每一项指标上,也需要秉持全面、客观、科学的态度。比如,对管理分级上,要验证被测设备是否支持不同用户具有不同管理权限,是否分成管理员用户和普通用户,管理用户是否分成超级管理用户和站点管理员用户,额外地是否支持审计管理用户等。
对于用户比较关注的应用性能指标,应按照应用的真实场景出发,拒绝为追求测试的高数值而进行实际应用中不会配置出来的优化设置,因为这种设置对用户实际应用而言没有太大意义。例如为了进行认证,必须创建并导入足够的用户名和密码作为帐户;为了证明确实进行了SSL安全连接,会对测试的连接进行抓包分析,查看是否有SSL的握手过程;为了避免连接复用,会在服务器端进行验证,对比客户端和服务器端连接数目的一致性等。
对于功能测试,也应该依据客户要求进行。比如客户要求完全模拟实际应用情景,为达到此目的,往往在测试之前会部署比较复杂但是贴近现实应用场景的测试拓扑结构。比如,不同VPN设备置于不同的测试地点,它们之间跨越公共互联网和实际的空间距离。
实践证明,该指标体系运作良好。配合严格的实验室项目管理要求和测试能力,确保了在用户的需求模型比较宽松的情况下,依旧能够保证测试结果,节省了用户大量的时间和精力,帮助他们更多地关注自己的项目规划和把握项目进度。
5. VPN选型测试实践
作为权威测试机构,中国软件评测中心在VPN产品测试方面具有丰富的经验和深厚的积累。长期的测试案例表明,用户在选择VPN产品的时候,往往会面临如下的问题:
1)不清楚VPN产品的重要指标和其代表的含义;
2)不知道自己当前的网络状况最需要什么设备;
3)无法确定厂商提供的产品存在的问题。
解决这些问题的第一步是需要对VPN的几个重要指标有所理解。[4]
新建能力:代表VPN能够支持的每秒内登录并通过VPN来进行通信的用户/连接数。如果该数值过低,意味着某个时刻很多人需要登录VPN时,只有一部分人能够登陆进去。
并发能力:代表VPN能够同时维持住通信的用户/连接数量。该数值过低,意味着很多人需要VPN在线进行操作时,有一些人的请求无法得到应答,连接会断开或者通信会出错。
带宽流量或吞吐能力:代表VPN所能支持的加密和认证情况下的网络流量。如果该数值过低,意味着用户下载文件或者提交表单的时候,不得不去“排队”等候。
响应时间或者网络延时:代表VPN能够以多快的速度传递信息,它是在VPN的带宽和吞吐保证前提下的VPN自身的转发延时。如果该数值过高,用户就会感觉到网络有点“卡”。
虽然上述指标基本能够体现一款VPN设备的能力,但不应该片面追求某一项指标的高低,或者全面地要求所有的指标都要非常完美,正确地做法是根据自己的网络项目规划需求进行分析,确定能够满足自己需求的指标要求,并重点突出要求最高的某个指标。
下面从中国软件评测中心实际测试的三个VPN选型项目出发,具体分析不同类型的机构和团体,应该如何选择才能保障自己的网络安全需求得到满足。
从中,我们可以发现五方面问题。
1)对于大型能源行业用户的网络应用而言,因为其庞大的网络架构和广泛的网络应用需求,导致其对设备的各方面均有较多要求;而对于大型网络游戏运营用户而言,针对其具体的应用,比较关注于性能方面;对于大型科研机构,根据其应用的规模和设备在项目中的具体定位,其需求位于两者之间。
2)从价格方面考虑,网络游戏运营用户由于要考虑到消减成本实现设备的最大化利用,还对VPN设备的防火墙功能提出了较多要求。而对于大型能源行业用户和大型科研机构,由于其系统结构本身就包含了专门的防火墙设备,所以该方面要求较少。
3)对于功能的易用性方面,大型能源行业用户和大型科研机构都提出了较多要求。这是因为在其项目会涉及到较多的、频繁的Web办公等方面的需求,这就意味着需要经常地调整具体的功能配置。而大型网络游戏运营用户的网吧系统应用属于一次部署,长期使用类型,故其对功能和易用性方面要求较少,而突出对平均无故障时间的需求。同时也是考虑到,这三者的最终应用群体的知识结构和专业技能等的不同。
4)同样的参数,不同的单位和应用的要求也不同。如对于SSL的带宽流量,大型能源行业用户要求大于300Mbps,而大型科研机构要求大于200Mbps,这也是不同应用规模决定的。
5)在同一单位的设备采购中,由于应用架构的不同会导致采购产品需求的变化。如,大型能源行业用户的网络就分为三层,而大型科研机构项目则分为两层。每一层的设备的要求又有明显的区别,总部和分部,分部和移动办公终端,设备的具体需求是变化的。
经过测试,三家单位都能够获得一份全面的产品数据列表,为采购提供可靠的支持。
众多的测试案例表明,选型测试中VPN产品最容易出现三方面问题。
1)功能上不能完全满足客户的需求。如客户的要求是:支持接入前可信检测,范围包括进程、文件、注册表、操作系统,可以检测出客户端是否安装指定的防火墙或杀毒软件,可以根据需要做与或规则。而部分VPN产品则无法全面“与”和“或”规则。
2)性能不能达到要求。部分VPN产品在面对大压力、高负载的情况下,表现往往力不从心。最经常出现的现象是,在高负载下响应明显延迟到一个不能接受的地步;支持的加密认证带宽流量有限;在高并发压力下,系统资源耗尽,系统崩溃或者自行重启。
3)稳定性不够。很多产品能够满足功能和性能的要求,但是在长时间的稳定性测试下则会暴露高可用的问题。这个问题很大程度上来源于厂商对技术细节的关注不够。一丁点的内存泄露就能导致最终系统资源耗尽。这个问题在那些长年累月都将处于紧张工作的设备身上显得尤其重要。
综上可知,要想轻松挑选出满足需求的产品,最佳途径是选择具有多年网络安全产品测试经验的权威测试机构,在明确自身需求的前提下,制订一套合理的测试指标,在具体的测试过程中,采用业内认可的高端测试设备,模拟真实应用场景进行选型测试,从测试结果中进行分析和选择。
参考文献
[1](美)海吉.网络安全技术与解决方案(修订版)[M].北京:人民邮电出版社,2010.
[2]朱丰磊.VPN虚拟专网技术与应用.中国电子商务[J].中国,2009,第11期,88页.
[3]赵慧玲、谭国权、胡杰.中小企业VPN统一管理系统的架构与实现.电信科学[J].中国,2010,第3期,89-92页.
构建便利的VPN网络 篇4
任何一种远程网络访问技术, 不管原因为何, 只要在连接过程中发生了中断, 对于远程用户来说便需要手动重新建立连接, 如此一来, 对于移动工作者而言在许多情况下是相当不方便的。比如, 当您正在使用无线局域网连接Internet, 并用笔记本电脑通过VPN方式连接访问自己公司的内部网络数据, 这时候忽然需要移接到某一层楼的会议室, 并且需要改为使用有线网络来连接Internet时, 根据过去的经验, 在这种情况下目前与自己公司VPN网络的连接肯定是会发生中断的。
如今, 在Windows Server 2008 R2上所提供的RRAS角色服务 (路由及远程访问) , 在结合移动客户端Windows 7的使用下, 提供了VPN Reconnect的连接处理机制, 让暂时性断线的Windows 7移动客户端, 例如从有线的网络切换到无线网络过程中所发生的断线, 系统并不会弹出中断连接的通知, 等到Internet连接恢复之后, 将自动完成与原有企业Windows Server 2008R2的VPN主机连接, 而不需要用户重新自行建立VPN连接, 以及再一次输入相关的身份认证 (域账户与密码或是智能卡的PIN码) 。
注意:对于使用笔记本电脑的人来说, 当关闭了上盖时, 会因进入到睡眠模式而导致连接断开, 这时候将需要手动重新进行连接。
VPN Reconnect技术
VPN Reconnect所采用的IPSec信道模式是IKEv2 (Internet Key Exchange version 2) 协议的加密连接机制, 而IKEv2支持计算机证书以及EAP为主的验证方式。关于这部分的协议说明可以参考RFC 4306, 至于由IKEv2协议提供的移动性 (Mobility) 与多宿主 (Multihoming) 通讯协议 (MOBIKE) 功能, 则可以参考RFC 4555说明。接下来, 让我们来实际做一个VPN Reconnect的测试环境, 来真正感受一下它与其他VPN连接方式的不同之处。
在此, 您需要准备的环境是一部域控制器主机 (DC) , 此主机必须预先将证书授权单位服务器角色安装完毕, 或是在现有域中已经存在。接着, 则是一部准备构建成VPN主机的Windows Server 2008 R2操作系统并且已加入域, 此主机可以是采用双网卡或单网卡, 还有一部作为外部连接访问使用的远程Windows 7计算机。
注意:VPN Reconnect不同于过去其他类型的VPN通道, 例如:PPTP、L2TP/IPSec、SSTP, 它所采用的IPsec Tunnel Mode with IKEv2技术不需要执行在以PPP为基础的通道连接上。
域控制器的准备
首先在域控制器主机的“系统管理工具”菜单中开启“Active Directory用户和计算器”界面, 接着, 建好一个自定义的VPN用户群组, 并且将其中的每一位成员在“拨入”的页面中选取“允许访问”。单击“确定”继续。
浅议VPN的发展前景 篇5
关键词:VPN的分类,VPN发展
1 VPN简介
VPN也就是虚拟专用网, 它通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的通道。
目前国内的VPN应用主要集中在大型企业、跨国集团以及行业用户。在VPN消费中, 有部分企业主要是替换原有的老式产品, 或者对原有产品做维修。更多的中型企业是首次用上VPN产品。相对于拨号上网而言, VPN的速度更快, 且更安全。VPN市场还没进入更新换代周期。VPN刚度过导入期, 已成为主流应用。但是, 作为单一VPN功能的产品, 慢慢不适应于市场的需求, 中型企业不仅仅使用VPN, 还希望网络连接状况及安全性得到改善。此外, 中型企业启用VPN后, 还会用上一些其它的技术。主要有安全、IP数据和语音等技术, 企业如果想最大限度地利用VPN的价值, 不在于把企业的不同分支机构连接起来, 而在于将所有的远程用户连接起来。这样, 企业内部管理的移动性才得以真正增强。
2 VPN技术分类
1) 按VPN的部署可分为:端到端模式、供应商—企业模式、内部供应商、模式。
2) 按VPN的服务类型可分为:企业的总部与分支机构间通过公网构筑的虚拟网 (Internet VPN) 、企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网 (Access VPN) 与企业间发生收购、兼并或企业间建立战略联盟后, 使不同企业网通过公网来构筑的虚拟网 (Extranet VPN) 。
3) 按VPN的技术可分为Ove rlayVPN和MPLS VPN
3 VPN将成为未来网络发展的重要方向
目前, VPN主要用于以下几个方面:一是已经通过专线连接实现广域网的企业, 由于增加业务, 带宽已不能满足业务的需要, 需要经济可靠的升级方案;大中型企业、集团公司:建立全公司的的远程互联, 构建内部专用网络, 实现安全的intranet;二是企业的内部用户和分机构分布范围广、距离远, 需要扩展企业网, 实现远程访问和局域网互联, 最典型的是跨国企业、跨地区企业;三是分支机构、远程用户、合作伙伴多的企业, 需要企业专用网;四是对通信线路保密和可性要求高的用户的公司;五是已有各种远程专线连接, 需要增加网络连接备份的单位。
由于承载VPN流量的非专用网络通常不提供服务质量保障, 所以VPN解决方案必须整合服务质量解决方案才能够具有足够可用性。目前IETF已经提出了支持服务质量的RSVP (带宽资源预留) 协议, 而IPv6协议也提供了处理服务质量的能力。这为VPN的进一步普及化提供了足够的保障。随着IPv6网络的主流化进程, 将会产生更具统治力的VPN架构, VPN技术将向着IP协议这类基础协议的形式发展。在不久的将来, VPN将可以成为更加基础的技术被内嵌到各种系统当中, 从而实现完全透明化的VPN基础设施。
VPN已被普遍认为是当前实现远程安全访问理想的新一代技术, 是解决移动用户在公司外部访问内部应用时最简单最安全、最经济的手段, 在世界各发达国家已经被越来越广泛地使用。移动办公的实用价值与市场前景不可估量, 未来移动办公、在家办公在这个信息时代必将成为了一种提升工作效率、增加效益的主要有效手段。
随着市场的日益扩大, 用户的需求将成为VPN技术持续发展的动力, 多用途、简单易用、功能强大、服务优异的VPN产品将适用于不同的用户群, 部署在宽带、窄带、拨号或者移动通信网络上。
可以由此判定, VPN的发展代表了信息化领域今后的发展趋势, 它在满足用户接入服务需求的同时, 还将集成实现愈来愈多的网络应用。
4 VPN服务将逐渐赶超
尽管目前大部分的VPN市场份额仍由VPN产品销售体现, 但可以预见在未来的若干年里, VPN服务所占的市场份额将超过VPN产品, 这也体现了信息安全服务成为竞争焦点的趋势。随着整合式安全设备的发展, VPN将被更多的集成到整体式安全体系当中, 而各种安全协议和语言的分裂融合将更加激烈。VPN厂商亦将根据形式转换角色, 出现专门进行技术设计、系统制造和增值服务的不同类型的厂商。
由于中小企业成为IT产业新的消费热点, 随着整合安全风潮的盛行, VPN技术将向着多功能、复合性方面发展, 则VPN体系将成为一项兼具复杂性与融合性的技术, 因此, VPN服务的成长速度将逐渐超越VPN产品, 成为VPN发展新的动力。
5 VPN问题及解决方案
VPN是目前架构企业间数据与信息通讯的最好方式, 但随着网络安全等技术的发展, VPN技术需要与网络相关领域技术相融合, 因此也变得越来越复杂。对于客户而言, 对专业技术的理解与接受也会越来越有难度。
目前针对各种VPN技术, 不同厂商之间没有统一的标准, 则使用不同厂商设备的用户之间的相互连通会受到影响。另外, VPN应用的难点还包括国内网络接入的复杂性;客户对于网关多功能一体化的需求和实现;客户端软件的问题;VPN嵌入式系统开发问题, 等等。
由于技术积累的原因, 国内主流网络安全产品供应商都采用X86平台, X86平台研发人才资源丰富, 开发周期短, 在PC机上完成的程序就可以直接运行于设备平台之上。但质量优良的X86硬件体系, 价格相当昂贵, 不利于产品的规模生产与市场推广。因此, 大型VPN厂商都纷纷将目光关注于ARM、MIPS等主流嵌入式硬件平台, 以实现产品在研发平台与购买成本之间的平衡。
VPN技术发展代表着未来网络发展的一个重要方向, 目前已有多家过企业致力于该领域产品的研发, 以使更多的企事业单位在安全的网络环境中享受到高品质、多功能的VPN技术所带来的便利。
参考文献
[1]谢希仁.计算机网络 (第5版) .电子工业出版社, 2008.
[2]史创明.计算机网络原理与实践标准教程.清华大学出版社, 2006.
VPN技术及部署模型分析 篇6
关键词:VPN,安全协议,关键技术,部署模型
0 前言
VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。
1 VPN概述
1.1 VPN的概念
VPN(Virtual Private Network)即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。V P N采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]
1.2 VPN的类型
根据V P N所起的作用,可以将V P N分为三类:[1,2,3]
1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。
2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过V P N互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。
3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。
1.3 VPN特点[2,4,5]
(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;
2 VPN关键技术
2.1 隧道技术
隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。
2.2 密码技术
V P N技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。
2.3 身份鉴别和认证技术
V P N基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用H A S H函数将一段较长的报文通过H A S H函数变换,映射为一段较短的报文摘要。
2.4 QoS技术
通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的V P N。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]
3 VPN解决方案[9]
3.1 VPN部署模型
部署V P N首先要选定一个V P N隧道终端设备,选择的这个设备主要由V P N隧道端点位置和用于隧道端点设备的功能来决定。
3.1.1 位于边界路由器的V P N终端
位于边界路由器的V P N终端所具有的优点是能够确保V P N流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出V P N隧道数据包的增加而增加。
如图1所示。
3.1.2 位于企业防火墙的V P N终端
位于企业防火墙的V P N终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。
如图2所示。
3.1.3 位于专用设备的VPN终端
位于专用设备的V P N终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个V P N需要加密数量的增加而增加。
如图3所示。
3.2 VPN拓扑模型
3.2.1 星状拓扑模型
在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。
如图4所示。
3.2.2 网状拓扑模型
在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。
如图5所示。
3.2.3 中心轮廓拓扑模型
中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。
如图6所示。
3.2.4 远程访问拓扑模型
远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。
如图7所示。
4 结语
VPN技术的发展,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的链接来传输私有数据。V P N通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本,同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。V P N将是企业现在乃至未来最佳的选择[10]。
参考文献
[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.
[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.
[3][美]C arlton R.D avis.IP Sec VPN的安全实施[M].清华大学出版社.2002.
[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47~49.
[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.
[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.
[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12~15.
[8]刘建伟,王育民等.网络安全——技术与实践[M].北京.清华大学出版社.2005.472.
[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136~170.
关于VPN技术环节的分析 篇7
VPN技术的应用需要在良好的公共数据网渠道之下, 其是一种虚拟专用网络, 需要实现公共网络与私人局域网络的连接, 通过对该技术的应用, 也降低了用户的操作成本。相对于传统的网络技术来说, 其更加具备安全性及其可靠性。在应用环节中, VPN可以分为三种类别比如企业网路和员工之间的远程访问形式, 企业各个部门和远程分支之间的连接网络。
在工作模块中, 公司需要进行Extranet VPN的应用, 实现供应商及其客户的连接联系, 当然不同的应用场景其VPN解决方案也是不同的。在企业的V P N产品应用环节中, 进行厂商的相关产品的互动操作是必要的。这就需要进行VPN解决方案的优化选择, 需要根据相关的行业协议展开工作模块的优化。
2 VPN应用技术模式的优化
(1) 通过对VPN技术的应用得知, 进行隧道加密技术的应用是必要的。这需要进行Qo S技术平台的应用, 从而满足现阶段VPN的应用需要。隧道技术的应用建立在网络应用基础上, 保证网络之间的有效传递。通过对隧道数据连接模块的应用, 实现不同协议的数据包的应用。在该种运作模块下, 其利用隧道协议将相关的数据包进行包头的封装, 进行发送, 为包头提供了一系列的路由信息, 实现了互联网的网络连接。
GRE模块应用于线路由及其源路由之间的隧道。通过对新的报文的应用进行隧道报文的封装, 保证隧道终点地址的隧道的放入, 保证数据包进入隧道的尽头。随着工作模块的改变, GRE会出现被剥离的情况, 也就是原有的目标地址的改变。一般来说点至点的GRE隧道模式, 通常只有一个源地址及其结束地址, 也就是实现特定数据的转换。还有一些点对多点的情况, 就是进行多种终端地址的源地址的应用。
(2) 通过对GRE隧道的应用, 可以满足VPN技术的有效应用。从网络体系结构的应用上来看, VPN技术实现了普通主机网络及其隧道模块的协调。在主机网络应用过程中, 其需要进行各个点的地质及其路由的应用, 保证其物理连接的正常保证, 保证各个隧道的生成。从而满足G R E隧道技术的工作需要。在其普通主机网络地址空间应用过程中, 隧道应用的VPN地址空间是流动的原始报文, 实现了VPN与普通主机网络之间的良好交界。
通过对上述模块的应用, 可以保证V P N路由信息及其主机网络路由信息的隔离, 进行不同种VPN的地址空间的重复利用, 避免其出现冲突, 从而满足V P N网络的应用需要, 保证其主机信息的独立性, 满足V P N技术的应用需要, 保证其全局的地址空间的唯一性。通过对隧道的多种协议模式的应用, 进行VPN功能函数数量的减少。
(3) 在主机IP路由应用过程中, 其过滤网络不能进行隧道技术服务的提供, 需要由隧道技术进行VPN私有协议的应用, 进行主机网络的有效隔离。通过对V P N隧道技术的应用, 可以保证VPN路由环境与基于主机网络环境的有效隔离。保证VPN主机网络电路集合的正常开展。从而满足VPN的应用需要, 以满足VPN的管理需要, 保证虚拟网络的有效开展。在该模块中, VPN路由协议要满足虚拟网络VPN的应用管理需要, 从而满足网络路由的应用需要。虽然GRE隧道技术有许多优点, 但使用的技术作为VPN体系来讲也有缺点, 如成本高、管理隧道的数量规模大。因为GRE手工配置, 隧道配置和维护的成本与隧道的数量有直接关系, 改变每个隧道都会导致隧道进行重新配置。隧道还可以是自动配置的隧道也可自动配置, 但有缺点, 如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦你形成了一个循环, 将极大地恶化了路由效率。
(4) 在GRE隧道技术应用过程中, 为了满足Intranet VPN及其Extranet VPN的工作需要, 进行远程访问VPN技术的应用是非常必要的。这涉及到拨号上网模块的应用, 实现PPTP模块及其L2TP的有效协调, 特别是进行PPTP应用模块的开展, 满足GRE隧道技术的应用需要。这需要进行不同种隧道方法的应用。
“用户初始化”隧道和“NAS初始化”隧道隧道。前者一般指的是“主动”, 后者指的是“强制”隧道。“主动”隧道是用户的要求为建立一个特定的目的隧道;而用户的“强制”隧道是在用户没有任何行动, “强制”产生的。L2TP隧道模型为“强制”, 是为拨号用户在网络中建立连接的重要的机制。
在N A S用户及其M o d e m联接过程中, 通过对L 2 T P用户访问权限的验证, 进行NAS服务器的正常访问, 保证其策略配置文件服务器的优化, 进行NAS及其应用策略的协调。这就需要进行服务器的接入, 保证L2TP隧道的创建。保证服务器及其用户之间的接入点协议的实现, 进行服务隧道的访问。PPTP建立如下:用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务。找到PPTP用户访问服务器的路由信息。用户形成一个PPTP虚拟接口。用户通过界面访问服务器PPTP协商建立PPP认证访问服务隧道;。用户通过隧道获得VPN的服务。
在L2TP应用模块中, 其不能进行NAS存在的感知。这是因为在PPTP隧道运作过程中, 其NAS应用策略是透明的, 其只是一种IP流量处理的PPTP流量计算模块, 需要进行相关模块的服务器的接入。在NAS运作模块中, 通过对PPTP VPN等的实现, 保证NA控制权及其用户控制权的分配, 保证其访问权限的更加安全性, L2TP更具安全性, 通过对访问服务器的应用, 进行用户的确定。L2TP主要相对集中, 固定的V P N用户, PPTP更适合于移动用户。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息, 非授权的人不能了解被保护信息的内容。W i n d o w s 9 5的RC4加密算法, I P S e c的D E S和三个D E S O RC4虽然强度比较弱, 但保护免受非专业人员攻击是足够的, 而D E S和三次D E S强度比较高, 可用于敏感的商业信息。
(5) 在日常工作模块中, 通过对加密技术模式的应用, 可以满足协议栈工作的需要, 这需要进行数据加密模块及其文头加密模块的开展, 进行网络层加密标准的优化, 保证网络层加密模块的优化, 保证主机端到端的协调。在隧道模式应用模块中, 通过对路由器的加密环节的应用, 保证其安全性的提升, 在隧道模式中其安全性是比较低的, 这是因为其终端数据的第一条路由在运作过程中可能会出现信息数据被截获的情况。这就需要进行终端到终端加密方案的应用。保证VPN安全性技术的优化。所以所有的链路层加密方案基本上是自己设计的, 并且需要特殊的供应商定制硬件。通过隧道加密技术, 已经能够建立一个安全、互操作性的V P N。但的V P N性能不稳定, 管理不能满足企业的要求, 有必要加入Qo S技术。实现Qo S应该在主机网络中, 即VPN创建的隧道这一段, 这样就可以建立一条性能满足用户需求的隧道。在公共网络上建立一个VPN隧道, 使用数据加密技术和Qo S机制, 可以让用户降低成本、提高效率、增强安全性, VPN将是广大用户的最终选择。
3 结语
通过对于VPN技术体系的优化, 可以满足当下计算机网络运作的安全需要, 实现其综合应用效益的提升, 解决工作过程中的难题。
参考文献
[1]曾巧红.基于SSL VPN的图书馆远程访问系统的构建[J].情报科学, 2007.
[2]孙培松.VPN发展趋势及竞争策略研究[D].北京邮电大学, 2008.
[3]寻大勇.SSL VPN网络安全技术的应用研究[J].通用技术, 2009.