vpn技术论文精选(九篇)
第1篇:vpn技术论文范文
关键词:vpn ipsec ssl 天融信
中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00
随着企业信息化程度的加深,远程安全访问、协同工作的需求日益明显,VPN技术逐渐成为企业用户远程安全接入的重要方式。本文正是作者在河南中烟工业公司协同办公系统上线运行3年来的一些思考和研究。
越来越多的企业通过Internet来满足员工、客户以及合作伙伴远程访问企业内部网络资源,这势必会给企业的内部网络带来一定的安全威胁,所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。VPN(虚拟专用网)技术可以扩展企业的内部网络,具体实现是通过互联网建立一条虚拟的专用加密线路,使局域网之外的用户通过分配的帐号,进入局域网进行访问企业内部网络。适用于出差、在家办公时访问局域网,前提是使用VPN客户端的计算机必须能上互联网。IPSec VPN和SSL VPN是两种不同的技术手段,可以实现大量数据的远程访问,为人们提供了一种低运行成本、高生产效率的远程访问方式,根据企业不同特点,巧用企业VPN,激活远程办公,将为企业的协同办公、业务效率带来较大提升。
远程分支机构用什么?
带着这些问题,笔者走访了河南牧业高等专科学院,对那里部署的SSL VPN Succendo远程接入平台情况进行了解。据学院方面介绍,该学院现有教职员工和学生近万人,并分为两个校区,日常教学活动的开展离不开网络的应用,院方也很早就开始着手打造信息化教育平台。但随着信息化技术应用的不断进步和应用范围的扩展,原有网络已经无法满足全校师生们的需求,最终采用了其Succendo系列SSL VPN产品中的Succendo 502。
IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,该技术被越来越多的企业用来连接远程分支机构。
分散用户的VPN
SSL(Secure Sockets Layer),即安全套接协议层,它是一种基于Web应用的安全协议,在Http、FTP、Telnet等应用协议和TCP/IP协议之间提供一种数据安全分层机制。该协议支持多种认证机制,如数字证书、智能卡、令牌等。SSL协议只对通信双方所使用的应用通道进行加密,并不会对通信双方的整个通道进行加密。结合了SSL 协议的VPN技术更适用于远程分散用户的安全接入。
SSL VPN相对于IPSec VPN,具有以下优点:
(1)支持维护简单
基于SSL协议的远程访问不需要安装客户端,通过标准的Web浏览器就可以访问企业内部的网络资源;而IPSec VPN需要在远程终端安装客户端软件,以建立安全隧道。
(2)安全性能高
IPSec VPN通过在两站点间创建安全隧道提供直接接入,实现对整个网络的透明访问; 一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,接入用户权限过大时会带来很多安全风险。所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
基于以上分析,作者通过对国内知名度较高的VPN安全设备对比分析,漯河卷烟厂最终选择了市场占有率第一的天融信5130系列产品。下面是具体使用当中的配置截图
(1)打开IE浏览器,在地址栏中输入:xxx.xxx.xxx.xxx然后按回车键,在弹出的“安全警报”对话框中,选择“是”。
(2)安装完成后,VPN客户端将开始建立连接,直到出现VPN隧道建立成功,“OA系统”颜色变成黑色后,VPN建立才算完成,点击“OA系统”即可进入我厂OA。
SSL VPN 技术的应用不仅激活了远程办公能力,同时也极大的提高了协同办公的效率,收到了广泛好评。但是,SSL VPN技术只支持基于Web方式的应用,不能像IPSec VPN那样几乎可以支持所有的应用;由于SSL VPN是对应用通道进行加密,对系统性能有较大的影响; 此外,SSL VPN适用于点到点的通信,对大量分散在外地的个人提供了便利的访问企业内网资源的手段,无法完成分支机构或驻外单位网络到企业网络的安全连接,那样的连接只能考虑采用IPSec VPN。
参考文献
[1]高海英,薛元星,辛阳等.VPN技术.机械工业出版社,2004.4,170―182 .
[2]Mark Levis. VPN故障诊断与排除. 人民邮电出版社,第二版,2006.2.1.
第2篇:vpn技术论文范文
关键词:计算机网络;VPN技术;运用;实践
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0012-02
随着计算机网络的快速发展,使得计算机网络逐渐进入人们的实际工作中,并有效提高工作效率与工作质量,强化了计算机技术水平和技术含量。就现有计算机网络来看,各项计算机技术的运用都存在极强的针对性,在各自的领域中发挥着巨大的作用,促进了行业发展的现代化和技术化。 VPN技术是计算机网络技术发展后的成果,主要依托于ISP技术与NSP技术,通过虚拟专用网络建立通信专门线路,实现信息数据的及时交换和共享。因此,VPN技术可以有效提高数据信息的准确性和安全性,保证计算机网络系统的高效运行。
1 VPN技术综合概述分析
1.1 VPN技术运行原理
就目前而言,VPN技术在实际运行中,主要利用双网卡结构,外网卡通过公网IP连接Internet。若公网终端A访问公司内网终端B,其访问数据地址为公司内网终端B的IP地址。公网VPN网关接收终端A访问数据包后,会对终端A的目标地址进行程序检查,若目标地址为公司内网地址,公网VPN网关会对该数据包采取封装处理,封装的方式由VPN技术而决定。同时,VPN网关也会建立新VPN网关数据包,封装后的数据包直接转化成新VPN数据包的载荷,VPN数据包的目标地址就是公司内网VPN网关外部地址。因此,在VPN网关进行数据处理的过程中,原始数据包目标地址与远程VPN网关地址起着至关重要的作用,在VPN地址的基础上,VPN网关可以明确需要进行VPN处理的信息数据,识别不需要VPN处理的数据包,并将其直接上传到上级路由中。远程VPN网关地址主要是对特定VPN数据包地址进行统一处理,也就是VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
1.2 VPN技术通信过程分析
在VPN技术的实际使用中,首先,网络用户要利用个人终端向区域内的 VPN 技术服务器进行访问请求的发送,建立传输通道。VPN 服务器会及时接受个人终端发来的访问请求,并对个人终端的身份进行有效验证。其次,若个人终端身份通过访问认证,访问权限被允许,可以进行网页的访问;若个人终端身份没有通过访问认证,则访问受限制,要进行重新访问。在访问允许后,计算机网会形成VPN虚拟化技术,使得网络线路更具安全性和针对性。最后,用户终端和网络服务器建立有效的访问联系后,所有的传输数据在实际使用和运行过程中会进行加密与封装处理,通过 VPN 网关技术隧道,将数据从发送端传输到VPN接收端。
1.3 VPN技术的优势
VPN技术在实际应用中具有很大的优势,主要表现在以下几方面,第一,VPN技术易操作,使用流程相对简单,并具有很高的经济性,运行成本相比于传统租用DDN方式来说较低,后期维护费用也相对较低,这也是VPN技术被广泛使用的重要原因之一。第二,VPN技术具有极强的高效性与便利性,在实际使用的过程中,通过专用网络的连接,根据复杂性的网络结构与传输访问地址,构建多样性与丰富性的通信线路,进而实现信息数据的快速传输。第三,VPN技术可以有效保证传输数据信息的真实性与可靠性,并在实际传输中通过高强度的认证系统和加密系统,保证了数据信息的安全性,防止出现信息数据泄漏等安全问题,为网络用户的隐私提供了重要的安全保障。
2 计算机网络中VPN技术分析
2.1 MPLS VPN技术
MPLS VPN主要是建立在MPLS技术基础之上的IP VPN,主要是在网络路由或者是交换器设备上通过MPLS多协议标记交换技术来优化核心路由器的选择方式,充分结合传统路由交换技术实现IP专用网络的虚拟化。MPLS VPN技术的最大特点在于在实际应用过程中,可以将网关二层交换与三层路由技术充分的结合在一起,进而共同作用实现VPN和服务分类以及流量工程等方面的管理。从另一方面上看,MPLS VPN 技术可以在数据访问与传输中,迅速建立 IP 虚拟专用网络,加快网页访问以及数据传输的速度与效率,简化路由器的选择方式,避免虚拟专用网络运行中的冲突,用户提供更好的网络服务。
2.2 IPSEC VPN 技术
IPSEC VPN 技术主要是建立在IPSEC协议基础上的VPN技术,IPSEC协议是一种由IETF设计、确保基于IP通讯数据安全性的机制,可以为VPN通信传输提供隧道安全保证。在IPSEC VPN 技术的实际应用中,通过VPN网关的远程连接,将多个局域网进行有效的组建与分析,进而构建一个新的虚拟局域网络。同时,通过IPSEC VPN 技术构建的虚拟局域网具有极强的稳定性和有效性。IPSEC VPN技术的实现原理与计算机过滤防火墙相似,在实际操作中,网络服务器接收数据包后,会按照安全策略在数据库中进行数据包的查询处理,将查询处理结果列为操作依据。在局域网特定范围内,IPSEC VPN 技术的数据传输和处理能力,具有加密机制,进而强化认证手段。针对外部站点,在进行虚拟局域网访问中,会进行信息过滤,全方位确认数据的质量。因此,PSEC VPN技术的广泛使用,无论是在经济效益还是在社会效益方面,都具有很大优势,获得广大用户的高度重视。
2.3 SSL VPN技术
SSL VPN技术主要依托于HTTPS,应用在传输层与应用层间的数据传输、交换以及共享。SSL VPN通过SSL协议设置生局域网访问权限,建立身份认证和数据加密以及消息完整性验证等安全访问机制,在应用层于传输层间建立一条安全的通信渠道。在实际应用过程中,SSL VPN技术存在Web 浏览器、SSL VPN 客户端和 LAN 到 LAN 等工作模式,在Web 浏览器工作模式中,用户可以通过SSL 协议构建虚拟专用网络,对公司内部网关进行远程访问,可以完全忽略网络配置对远程访问的影响,进而有效减少VPN 系统运行时间和工作量,提高VPN管理效率。在SSL VPN 客户端工作模式中,可以利用 SSL 协议客户端实现远程应用服务器的访问,在此过程中客户端和服务器中的加密数据主要靠隧道数据进行传输,进而提高数据传输的稳定性与安全性。LAN 到 LAN 工作模式主要适用于不同局域网络的数据传输,实现各个局域网之间的通信传输,并设置加密处理,提高数据包的可靠性。目前,SSL VPN广泛应用在基于Web远程接入领域中,为用户远程访问公司内部网络提供了安全保证。
3 计算机网络中VPN技术的实际应用
3.1 在公司内部网络中的应用
VPN技术在公司内部网络中的应用主要体现在地址管理中,为用户提供安全性高的网络地址。例如,某集团有大约30个分公司,分布在全国各地,为了便于各个分公司与总公司交流沟通,保证工作效率和工作质量,集团企业可以通过VPN技术进行计算机网络沟通。首先,集团企业要和旗下分公司建立VPN网络联系,利用加密处理的VPN共网实现集团企业服务器与子公司服务器的访问。在服务器系统中设置视频会议、邮件以及办公自动化系统,实现网络联系的多元化,满足实际的工作需求。
在VPN技术实际运行的过程中,集团企业可以根据子公司网络用户的属性以及运营规模将其分为以下几个方面。第一,移动用户。规模较小分公司或者是利用网络连接集团企业单机,在进行VPN技术使用中要设置Client软件,将用户所在局域网络与VPN虚拟技术联系在一起,依托SplitTunneling安全机制有效保障核心网关的使用安全。另一方面看,这种传输方式可以让远程办公室网关将VPN作为传输载体进行集团企业内网的访问。第二,子公司用户所在局域网不具备地址转换器以及防火墙功能,并占用集团企业共网地址。对于这样的子公司,集团企业要在子公司的以太网中设置网关交换器与路由器进行与子公司网络的连接。第三,对于需要安装防火墙的子公司,一方面,集团企业可以利用VPN技术进一步完善企业网络设计,减少不必要的安装程序,建立VPN网络通信系统,使子公司的公司活动与销售情况始终处于集团企业网络监控中,降低通信成本。另一方面,为了保证网络通信的安全性,集团企业可以通过VPN技术提高网络通信的安全性,在企业内部网关中设置VPN机密机制,保证内外网的安全性。同时,还要进行VPN软件的扩展,为子公司的增加做好充分的准备。
综上所述,集团企业通过VPN技术与子公司进行沟通的过程中,形成VPN通信网络通道,不仅节省了大量的通信费用,其建设投资与后期维护费用也相对较低。在远程访问中要做好安全防护措施,安装安全认证机制,强化生产管理监督、视频会议以及异地协同办公等具体功能,促进集团企业管理的现代化和信息化以及系统化,满足集团企业的发展需求。
3.2 在图书馆管理中的应用
目前,VPN技术已经广泛地应用在高校图书馆计算机网络管理系统中,有效提高高校图书馆管理效率和管理质量,实现现代化管理模式。随着学校规模的扩大,增加了分校的数量,学校可以引入VPN技术实现各个学校之间的联系与沟通,各个学校图书馆局域网可以互相访问,节省了大量的访问时间,实现各个分校图书馆资源的共享,进而提高了高校图书馆管理效率。在实际的使用过程中,图书馆VPN服务器不仅要连接互联网,还要连接到高校内部VPN专网,通过公共目标地址,在分校与总校进行网络通信过程中,要将相关数据信息上传到本地计算机中,并通过身份认证和数据加密以及隧道协议等VPN技术安全机制提高信息传输的有效性和安全性。在计算机发出指令后,VPN服务器要对计算机指令进行分析与判断,过滤信息数据,验证用户身份,若安全,访问用户才会有局域网访问权限,服务器认可网络连接,反之则阻止用户访问。在实际身份验证中,VPN服务器会通过公钥进行访问信息的加密,路由将数据信息传送到目标地址。
3.3 VPN 技术在计算机教学资源网中的应用
VPN技术应用在计算机教学资源网中,可以丰富教学资源,利用校园内外网关的连接访问,使得教育信息网络连接公网internet ,在此过程中,校园外网很容易受到其他网络攻击,传统网络无法进行教育资源的加密,在用户身份安全和教学资源安全方面都存在较大的漏洞,不利于计算机教学资源网的应用与发展。针对以上安全问题,VPN技术的实际应用很好地解决了信息传输以及用户身份的安全问题,有效提高网络使用的安全性和有效性。在VPN技术中,SSL是一个相对于平台与应用的独立协议,主要应用在安全层中,利用 TCP技术保障访问用户的个人信息。因此,在构建校园计算机教学资源网中,要重视VPN网络工程设计,特别是用户身份认证以及访问权限,利用SSL VPN 技术构建VPN公网,加强数字证书技术的用户身份认证控制,通过USB-key 实现教学资源的安全操作,进而对校园计算机教学资源网进行不断的优化和完善,满足学校的教学需求。
4 结束语
综上所述,VPN技术日益发展成熟,在进行数据传输和共享中可以有效提高网络环境的稳定性和安全性,为数据信息的真实与完整提供了重要的安全保障,实现现代化与信息化管理水平。
参考文献:
[1] 李春泉, 周德俭, 吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报, 2004(3).
[2] 李亚利. 关于计算机网络中常用VPN技术的分析[J]. 信息与电脑(理论版), 2014(10).
[3] 许伟, 娄松涛. VPN 技术在计算机网络中的应用研究[J]. 电子技术与软件工程, 2014(4).
[4] 刘晋州. 基于VPN的计算机虚拟网络技术及应用[J]. 电脑知识与技术, 2016(7).
[5] 赵凌琪. VPN技术及其在网络管理系统开发中的应用[J]. 内蒙古师范大学学报(自然科学汉文版), 2003(4).
第3篇:vpn技术论文范文
【论文摘要】:虚拟专用网(VPN)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对VPN隧道技术的分类提出了一些新的探索。
引言
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
[1] E Rescorla, A Schiffman. The secure hypertext trausfer protocol. Draft-wes-shttp-06[R]. text 1998,6.
第4篇:vpn技术论文范文
关键词: MPLS; VPN; 体系结构
中图分类号: TP393 文献标识码: A 文章编号: 1009-8631(2011)05-0096-01
1 VPN技术概述
VPN(Virtual Private Network,虚拟专用网络)是通过一个公用网络(通常是因特网)利用加密等技术建立一个临时的、安全的连接,是一条穿过混乱公用网络的安全、稳定的隧道,提供虚拟专用网络,带给用户一种直接连接到私人局域网的感觉。
1.1传统VPN组网方式
传统VPN组网方式分成两种,一种是专线VPN,一种是基于客户端设备的VPN (CPE-based VPN)。
专线VPN使用静态的虚电路(如 ATM PVC、FR PVC等)连接客户的站点,形成一个二层的VPN骨干网。VPN成员站点连接到运营商的边界设备(PE),由运营商负责建立VPN成员站点之间的虚电路连接,客户对属于自己VPN的站点的路由进行自主的控制和管理。采用这种方式组建VPN无论对运营商或者是对客户来说成本都是很高的,而且二层虚电路的业务提供的周期长,网络管理人员需要进行大量的手工配置工作。这种方式的VPN,成本高、建设周期长、网络拓展性不好,并且可管理性差。
1.2 Provider Provisioned VPN(PP-VPN)
随着通信技术的不断发展,特别是MPLS技术的出现,基于运营商网络的VPN,即PP-VPN应运而生。PP-VPN整个操作是作为一个运营商的外包资源,实现在网络上,而不是在客户端设备上。这种方式的VPN,降低了客户的投入,增加了运营商的收入,同时又具有较好的网络拓展性、可管理性,因而赢得了越来越多客户和运营商的青睐。基于MPLS的VPN就属于PP-VPN。
2 MPLS VPN简介
MPLS(Multi-Protocol Label Switch,多协议标签交换)是由IETF提出的新一代IP骨干网络交换标准,是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性。该技术提供了类似于虚电路的标签交换业务,这种基于标签的交换可以提供类似于Frame relay、ATM的网络安全性。相对于传统的VPN技术, MPLS VPN可以实现底层标签的自动分配,在业务的提供上比传统的VPN技术更廉价,更快速。同时MPLS VPN可以充分利用MPLS技术的一些先进特性,比如MPLS流量工程能力,MPLS的服务质量保证。结合这些能力,MPLS VPN可以向客户提供不同服务质量等级的服务,也更容易实现跨运营商骨干网服务质量的保证。MPLS VPN还可以向客户提供传统的基于路由技术VPN无法提供的业务种类,如支持VPN地址空间复用。对于MPLS的客户,运营商的MPLS网络可以提供客户需要的安全机制,以及组网的能力。VPN底层连接的建立、管理和维护主要由运营商负责,客户运营VPN的维护和管理都将比传统的VPN解决方案简单,也降低了企业在人员和设备维护上的投资和成本。基于MPLS的VPN可以作为传统的基于二层专线的VPN、纯三层的IP VPN和隧道方式的VPN的替代技术,在现阶段可以作为传统VPN技术的有效补充。
3 BGP/MPLS VPN的体系结构
体系结构主要分为数据平面和控制平面。数据平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。对于控制平面中所使用的路由协议,可以使用以前的任何一种,如OSPF、 RIP、BGP等等,这些协议的主要功能是与其他设备交换路由信息,生成路由表。这是实现标签交换的基础。在控制平面中导入了一种新的协议―LDP(标签分配协议),该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签,由此生成LIB表,再把路由条目和本地标签的绑定通告给邻居LSR(标签交换路由器),同时把邻居LSR 告知的路由条目和标签绑定接收下来放到LIB表里,最后在网络路由收敛的情况下,参照路由表和LIB表的信息生成FIB表和LFIB表。控制平面则定义了LSP(标签交换通路)的建立和VPN路由信息的分发过程,该模块的功能是用来与其他LSR交换三层路由信息,以此建立路由表和交换标签对路由的绑定信息,以此建立Label Information Table(LIB)标签信息表,同时再根据路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表。
4 跨越多个运营商网络的MPLS VPN的实现
在某个客户的MPLS/VPN跨越多个运营商网络的情况下,如果假定运营商所用地址域不重叠,那么可以通过下述方法来解决:
(1)为了分发带有标签的IPv4路由信息,在边缘路由器上建立EBGP连接;
(2)为了分发带有标签的VPN-IPv4路由信息,在属于不同运营商的PE路由器之间建立多跳的 EBGP连接。值得注意的是,这种用于不同运营商之间的EBGP解决方案同样适用于一个具有多个AS值的运营商。
5 MPLS VPN管理面临的问题
MPLS VPN能够利用公用骨干网络广泛而强大的传输能力,在满足用户对信息传输安全性、实时性、方便性需要的前提下降低企业内部网络的建设成本,提高用户网络运营和管理的灵活性。但该业务的运营对IP网络的管理提出了更高的要求。
MPLS VPN涉及技术多且复杂,增加了业务运营、部署监控等的管理难度,在实际运营过程中,存在相当多的运维问题:
(1)业务的复杂性:技术复杂(涉及BGP、LDP等多种协议)、实施复杂(如VC ID的分配、VLAN ID的分配、N平方问题),如何快速完成业务规划部署?是否需要运营商的网络管理员必须对所有VPN的技术细节都非常熟悉与了解?
(2)设备的多样性:多厂商设备共同组网,如何跨不同设备厂商设备之间进行VPN部署监控?不同设备厂商设备的命令行存在着差异,运营商的网管管理员是否必需熟悉所有厂商设备的相关命令?
(3)网络形态的多样性:在同一网络中,可能会同时存在多种VPN类型,在这种情况如何同时管理多种VPN类型共存的网络?
(4)响应及时性:如何快速部署客户提出的VPN申请?如何快速定位设备物理故障所影响的客户和VPN,并且快速排障?
(5)监控手段的完整性:如何监控整个VPN业务网络?如果说业务规划、业务部署在手工管理方式下还能够完成(可能是速度慢一点,容易出差错一点),但是 MPLS VPN的全网监控,则在手工管理方式下是无法管理的,因为任何网络节点的状态正常都无法确定某个VPN状态是否正常,一个网络节点的异常可能导致的 VPN/客户的异常不仅仅是一个;必须有相应的业务管理软件系统给予支撑。
(6)精品服务的提供能力:如何为大客户提供个性化服务?如何使租用VPN的客户了解自己租用的VPN情况,使他们更加明明白白消费,进而提高运营商的客户满意度。
第5篇:vpn技术论文范文
关键词:VPN;技术原理;应用
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)07-0049-02
1 VPN技术原理
1.1 VPN定义
VPN是英文全称Virtual Private Network 的缩写,译为汉语即“虚拟专用网络”。它不需要真正的光缆线路,只是借用Internet连接,加上特殊的加密的通讯协议而为内部设置的一条专有通讯线路。在这条线路上传输的信息,实现了完整性与真实性,又保证了私有性。
1.2 VPN工作原理
如何满足用户需求呢?通过IPsec协议栈,从而产生一个和谐的安全框架,有Internet的密钥交换(IKE)、负载安全封装(ESP)及认证头(AH)协议,该协议保证了VPN的机密性、完整性、源认证及防重放的四大功能。以VPN的机密性为例:VPN采用的加密算法一般是DES和3DES.两者都是20世纪的产物,前者由IBM开发研制的,有效密钥长度为56位;后者由NIST在DES的基础上所创建,有效密钥长度为168位;2002年NITS采用了最先进的AES数据块加密算法,目前是IPsecVPN中最常用、最安全的算法。
2 VPN技术应用实践
信息化的快速发展,为了实现资源优化整合,很多学校都建立了校园网。为了保证网络安全,防止电脑黑客入侵,运用VPN技术可以在基于公共互联网的校园网中较好地解决校园网多网区,远程访问及管理等问题。即通过VPN技术,在校园网里,将校内外人员直接连接到校园局域网。VPN技术可以实现办公自动化,无论校园有多少信息点,都可以连至于INTERNET用户。使用VPN技术,校园网可以降低使用费,通过当地的ISP申请账户登录到Internet,以此为通道与校园内部网络相连,可以降低通信费用。现以某高校为例,论证一下VPN技术的应用。
2.1 校园网VPN方案设计
校园网给师生带来资源共享的便利,但安全风险隐患很大,如非法授权访问,信息泄漏或丢失,以非法手段删除、修改或插入某些信息,干扰网络服务系统,利用网络传播计算机病毒等等。VPN的通道协议、身份验证和数据加密的安全功能可以消除上述安全风险。校园网内的VPN服务器接收到远程外网客户机的请求后,会对其进行身份质询,然后根据用户数据库检验客户机发出的加密信息,检验合格方接受此连接,然后即可在互联网公网上传输私有数据,达到私有网络的安全级别。具体运行方案如图1所示。
在具体操作方面,IPsec VPN和SSL VPN是目前校园网VPN方案采用最广泛的安全技术,但是两者还是有区别的,即前者比较适合校园网内分校与分校的连接;后者比较适合校园网与外网的连接。学校要根据自己的实际情况与现实需要来进行选择。
2.2 VPN在校园网的应用
采用VPN技术,校园网首先可以降低使用费,用户通过申请的账户可以远程登录到Internet,然后与校园内部专用网络连接就以Internet为通道,这样就大大降低了通信费用,相应的,学校购买和维护通信设备的费用也节省了。如果学校设有分校的话,利用VPN服务器,可以对分校进行Web通讯控制,实现各分校访问互通。以图书管理为例,为了师生共享图书资源,采用VPN加密技术,数据在Internet中传输时,IP地址会被Internet上的用户看到,但是数据包内包含的专用网络地址却看不到。这样既保证了校园图书馆的资源共享,又确保了校园图书资源的安全性(见图2)。
2.3 VPN在校园网的接入方式
校园网根据自身条件不同,网络接入方式也各有千秋。从模拟电话、ISDN、ADSL拨号上网到光纤、DDN、帧中继等专线上网都存在。本应用实践是基于IP、IPX及NetBUI协议的网络中的客户机。
某高校共有两个校区,彼此通过新校区的Cisco6513和老校区的Cisco6509
万兆相连。选择CISCO VPN安装在 Cisco6513上,则VPN配置如下:
启动aaa,将radius服务器的用户认证和cisco组本地用户授权配置打开:
aaa new - model
aaa authentication Iogin default group radius local
aaa authorization network cisco local
使用3des加密与共享密钥,远端VPN用户定义crypto和用group2产生密钥配置
crypto isakmp policy1
encr 3des
authentication pre-share
group 2
接下来创建组验证的用户名及密码,然后分派DNS地址,指定分配范围配置:
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp nat keepalive 15
crypto isakmp quqth timeout 45
crypto isakmp client configurtion gurup cisco
key cisco
dns 202.194.126.10 202. 194.126.03
Pool remote-pool
Acl 101
最好创建一个合成的map,然后配置如下:
Crypto map client-map client auauthentication Iist default
Crypto map client-map isakmp auauthentication Iist cisco
rypto map client-map client configuration address respond
rypto map client-map ipsec-isakmp dynamic dynmap
3 小结
本文对技术方面谈及颇少,因为很多同行大多都熟悉操作。仅此例说明,作为校园网安全及实用原则,本设计方案既顾及到了网络设备的远程管理,又顾及到了校内外用户访问网络资源问题。实践验证,运用VPN技术,在远程访问、内外部连接方面会起到一定的安全保障作用。
参考文献:
[1] 安计勇,夏士雄.基于IPSEC协议的MPLS VPN的实现[J].计算机与信息技术,2010(Z1).
第6篇:vpn技术论文范文
关键词:虚拟专用网;隧道技术;加密认证;MPLS VPN;IPSec VPN
随着计算机的快速普及和互联网技术的蓬勃发展,各个区域之间的信息交换日益频繁。这样的信息交流不仅带来了网络的复杂性,还使得网络管理问题日益突出,商业活动中的数据传输时常面临着信息泄露等安全隐患。为保证内部网络的安全,一般的解决办法是建立专用网,但是建立专网不仅建设周期长、费用巨大,而且建成后的网络维护、设备管理,仍需要相当大的投入。在这样的背景下,VPN技术凭借其灵活、经济、安全和可扩展等优势,在企业的信息化建设中得到了广泛的应用。
一、VPN技术概述
VPN(Virtual Private Network)是指虚拟专用网络,它利用专用隧道、加密认证等技术,在公用骨干网上将分布在不同地点上的网络联接成逻辑上的虚拟子网,从而达到专用网的实际效果,实现企业或部门间信息的安全传输。其中隧道技术是应用最广泛,也是最典型的VPN技术,它的实质是利用网络协议架构起专用“隧道”,实现数据单元的多向传输。主要的网络隧道协议包含点对点隧道协议(PPTP)、第2层隧道协议(L2TP)、基于网络层的IPSec协议和第四层隧道协议(SSL)。加密认证技术则是VPN数据传输的安全保证,VPN设备将需要传输的数据包进行拆分,并增加源IP地址、数字签名等加密信息后重新封装,目标VPN设备在收到数据包后首先进行解封装,之后根据加密规则进行数据包解密,最终实现数据信息在专用“隧道”内的安全传输。
二、VPN技术特点及主要类型
1、VPN的技术特点
VPN网络可以架设在防火墙设备之后,这样不但可以为网内用户提供防火墙保护,最大限度地减少网络改造成本,还能实现用户对互联网的正常访问,各种办公互联系统也不会受到任何影响,为用户提高办公效率,实现无纸化、移动式办公提供了技术保障。VPN技术在实际应用中的优势还体现在以下几个方面:
(1)、组网和运营成本低廉且便于管理。
(2)、组网方式灵活多样且联接速度快。
(3)、运用了防火墙、隧道技术、加密技术和身份验证技术,保证了数据信息传输的安全性。
2、VPN的主要类型
目前IPSec VPN与MPLS VPN是企业构建虚拟专用网时使用最多的两种技术方案。MPLS(Multiprotocol Label Switching)VPN,即多协议标记交换虚拟专用网络,它有着安全性高、网络容量大、业务承载力强、控制策略灵活等特点;IPSec VPN相比MPLS VPN则更加适合中小连锁企业,其接入方式更加灵活,无需占用固定IP地址,无论任何地区、任何接入方式都可以利用IPSec技术连接到VPN网络,从而弥补MPLS VPN的缺陷,另一方面在建设及维护成本上,IPSec VPN也要更加低廉,网络维护也要相对简单。
三、VPN技术在中小企业中的应用
中小企业的VPN解决方案主要以IPSec VPN形式为主,根据目标用户群的网点数量和对网络带宽的要求,制定出了两种IPSec VPN网络接入方式。一种是分布式企业VPN模式,这种方式适用于网络规模较大的VPN用户;另一种是虚拟安全域VPN模式,这种方式适用于网络规模较小的VPN用户。
1. 分布式企业VPN模式
在这种模式下,由电信运营商建立网络管理中心,提供网络管理、证书管理等基础服务,并且在网络管理中心部署一台VPNGW2000充当VPN集中设备,该设备的作用是与各个企业总部的VPN设备建立VPN通道,实现网络管理数据的传递。
各企业总部安装VPNGW2000或VPNGW200安全网关,在企业分支机构安装VPNGW200或VPN的客户端VRC软件,企业的分支机构或移动办公用户直接通过“隧道”连向企业总部的VPNGW2000或VPNGW200。这样每个企业的VPN设备相互连接,形成一种星型的网络结构。在一个企业内部,企业总部的VPN设备具有虚拟安全域的功能,使得该企业内的各个VPN节点之间可以相互访问。具体方案如图1:
图1 分布式企业VPN网络拓扑图
2. 虚拟安全域VPN模式
虚拟安全域VPN是为小企业量身订做的VPN服务模式。由于企业网点数量较少,无需在总部机构设置固定IP地址的VPNGW2000设备,只需要在企业的各业务点上部署一台VPNGW200,各业务点上的VPNGW200将利用“隧道”技术,联接到电信运营商提供的中心VPNGW2000上面,由中心VPNGW2000设备转发IPSEC报文,实现VPN隧道的互联互通,然后在中心VPNGW2000设备上执行虚拟安全域技术,保证用户VPN网络不被其他用户访问,实现各个小企业网点之间的相互隔离,而小企业内部的各个网点之间则可以实现互联互通。由于多家企业共用电信运营商的中心设备,这种模式将极大地降低小企业开通VPN网络的成本
四、结束语
VPN技术使得企业在组建跨地域专用网络时变得更加便捷,其出色的安全特性,也使得它受到了越来越多企业的青睐。相信在不久的将来,随着计算机网络技术的进一步发展,VPN技术也将更加完善,从而在企业信息化建设中发挥更加重要的作用。
参考文献
1. 李建光.浅谈IPSec VPN技术及应用过程[J].网络安全技术与应用,2015 ,(1)
第7篇:vpn技术论文范文
关键词:校园网络;SSL VPN; 安全套接层;身份认证
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6470-03
信息技术飞速发展的今天,高校信息化的步伐也紧跟时代的节奏,各大高校逐步拥有了信息门户系统、自动化办公系统、数字资源库系统等数据交流共享数字化平台。这为老师和学生提供了一个很好的工作学习和学术研究的环境,极大的便利了广大师生。但很多资源往往受到资源权限保护,只在校园内部提供服务,通过校园网来访问电子资源库。然而现实生活中,广大师生对资源的使用不仅仅局限在校园内部,很多行政和教学人员会因工作需要出差,而同时学生如何在假期使用到校内资源就成为了各大高校需要面临和解决的问题。这成了制约数字化校园建设发展的瓶颈。而这一系列问题催生了虚拟专用网络(Virtual Private Network)技术的出现,即VPN技术。
1 VPN原理概述及分类对比
1.1 VPN原理
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式。[1]VPN综合传统和共享数据网络的优点,具有安全、低成本等优势,近年来各大高校已经广泛将这一技术应用在移动办公和数字化资源访问等方面。
1.2 VPN技术分类
虚拟专用网络(VPN)技术是指临时建立一个特定的安全网络通道或者临时网络连接,来把不同域的网络连接在同一个逻辑网络中。目前VPN一般采用安全隧道、加密解密技术、密钥管理和身份认证等技术来进行网络安全通信。
VPN按技术实现可区分为L2TP、MPLS、PPTP、IPSec、SSL等,其中两大主流是分别是基于IPSec和基于SSL协议的VPN技术。
1.3 主流VPN技术对比
IPSec(Internet Protocol Security)是一个协议包是第三层安全协议,主要包括验证协议(AH)、密钥分配协议(IKE)以及用于网络认证和加密。与之对比SSL(Security Socket Layer)是一种基于客户、服务器认证的一种WEB应用安全协议。IPSec协议需要用户安装客户端,而SSL是通过认证的用户经过WEB浏览器就可以直接连入网络查询电子资源,对比来看SSL VPN相对于IPSec在高校中的广泛应用有几大优势:
1) SSL协议的VPN使用更加便捷,它具有很好的兼容性,适用于各种操作系统而且也不需要下载客户端,不需要维护,管理难度大大降低,只要在浏览器中加入协议即可,方便广大师生使用。
2) 安全性能比IPsec要高,IPsec基于网络层面,对IP安全保护不够,而SSL面向应用,安全防护功能优势明显。
3) SSL可以设定访问权限,这对用户级别和访问控制有很好的管理,在实际应用中可以划分各部门的资源使用区域,如各部门行政人员可以访问各自的办公自动化系统,而学生也只可以阅览电子资源等。
2 SSL协议VPN的组成和关键技术
2.1 SSL VPN的组成
SSL (Security Socket Layer)翻译过来就是安全套接协议层。是通过对数据进行加密处理从而实现VPN安全通信。SSL VPN一般由网关和客户端的浏览器组成。用户通过在浏览器上增加SSL协议加密对VPN网关发送访问请求,网关解密后发到校内服务器,这一过程就形成了一个加密隧道。SSL VPN 访问组成模型如图1所示:
2.2 SSL VPN关键技术
现在SSL协议VPN关键技术包括:数据安全和可伸缩访问控制、authentication(身份认证)、翻译和重写、加解密和隧道技术。
2.2.1数据安全和精细访问控制
越来越多的用户选择使用SSL VPN来远程接入网络是因为SSL VPN给移动用户提供了良好的数据安全,从数据安全层面来讲,SSL VPN是应用层面的授权,未经授权的用户不能访问开放使用的应用。
同时SSL VPN可以精细的分配用户的访问权,一个用户可以根据组织结构框架来获得不同授权,他们可以别分配多个授权,例如学校里的教师可以被分配到财务和教学人员两个角色,可以更好的利用办公自动化系统来完成工作。而且远程用户的访问日志也可以通过跟踪引擎得到记录,加强了安全管理。
2.2.2 身份与设备认证技术
SSL VPN能根据需求对认证方式做调整。SSL协议支持客户密码认证、USB验证、数字认证、短信和秘钥等各种方式的认证。它可以和第三方通过重定向有效集成,让部署更加方便。
2.2.3翻译技术和重写内容
SSL协议的VPN的系统架构里面最重要的一环就是网关。用户的需求被发送到网关来,然后再网关里重写内容转化加密后发送到服务器,利用翻译技术从而获取校内的电子资源和办公系统的数据。
2.2.4加解密和隧道技术
用户通过IE里面的SSL协议和网关相连,经过网关认证后就形成了一条数据通道。在此过程中为了保证通信内容不泄露就必须对数据进行加密处理。SSL(安全套接协议)就是一种标准IE自带的安全协议,使用的X.509证书和公开秘钥来使得通信更加完整更加机密。
3 实例(SSL VPN在南京财经大学校园网中的应用)
3.1 南京财经大学的网络特点
南京财经大学共分三个校区,分别是南京财经大学仙林校区、南京财经大学福建路校区、南京财经大学桥头校区。其中仙林校区和福建路校区位于南京,桥头校区位于镇江。仙林和福建路网络互连,桥头校区独立网络。南京财经大学仙林图书馆和福建路网络拓扑图如图2所示,桥头校区网络拓扑图如图3所示。
3.2实际应用中所存在的问题
我校图书馆购买了很多常用电子资源库,例如中外文数据库、学位论文库、事实统计数据库、学生学习考试库、工具书数据库等、这些电子资源受到DRM数字版权保护,要经过加密数字安全的内容还有分配的路径,确保数字资源都经过授权才能使用。购买的资源都是有固定的IP范围的。有部分资源存在资源供应商的服务器,不在图书馆的内部服务器上,这样一来经过校园网进出的IP都是经过授权的,允许访问数字资源,而一部分出差或者不在校园网段的老师学生就无法使用资源。所以便于管理,能认证的一套安全访问校内资源的解决方案显得尤为重要。这能从根本上解决老师、学生校外使用校内资源的问题。
4 结束语
当今社会是高度信息化的社会,信息的获取变得更加便捷,老师、学生校外获取内部电子资源的需求在不断增长。SSL VNP技术很好的解决了用户的这一需求,我校SSL VPN方案的部署给师生提供的一个更好的办公,使用校内电子资源学习的平台,基本满足的现阶段的用户需求。SSL VPN作为一项成熟的VPN技术具有便捷、安全、便于管理等特点,这使得数字图书馆可以提供更好的服务。
参考文献:
[1] 王达.虚拟专用网( VPN) 精解[M].北京:清华大学出版社,2004: 45-46.
[2] 马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计,2008(11):5137-5143.
[3] 吉妮.SSL VPN让校内资源发挥更大效能——Juniper公司东南大学解决方案[EB/OL].http:∥
[4] 刘洪强.基于SSL协议的VPN技术研究与实现[D].济南:山东大学,2008.
第8篇:vpn技术论文范文
关键词:校园网;VPN(虚拟专用网);网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6689-04
Application of VPN in Extending Coverage of Campus Network
WANG Yi-hong, LIU Yi
(Shanghai Medical Workers' College,Shanghai 200237,China)
Abstract: Introducing the characteristics of Virtual Private Network, puts forward a VPN based networking scheme of campus network according to the demands of securely internetworking and remote access to campus network.By testing and analyzing the implement results,the feasibility and availability of the scheme are proved.
Key words: campus network; VPN; network safety
近年来我校教育规模不断扩大,在重新整合、资源共享、联合办学的发展过程中形成了梅陇、市北、市东、崇明、松江的多校区合作办学模式。但是地理位置上的分散性,使得原先相互独立的校园网拓扑结构不能满足要求:如采用专线连接,将会增加网络运行的成本;如将校区间交换的数据直接通过Internet传送,数据的安全性又很难得到保证。
所以需要利用相应的技术手段实现安全可靠的校园网互连,实现统一管理和对资源的充分利用。此外,利用网络资源还能丰富办学手段,实现和开展远程教学和远程办公,提供个性化的学习支持服务和信息服务,也是学校网络建设发展的趋势。虚拟专用网(Virtual Private Network)正是满足这种要求的解决方案。
1 VPN概念
虚拟专用网(Virtual Private Network,VPN)是在Internet中建立一条虚拟的专用通道,利用Internet来传输内部数据的虚拟专用网络。VPN技术采用隧道技术、数据加密技术和身份认证技术,从而保证构建于公共网络之上的虚拟内部网络的有效连通性和安全性[1]。如图1所示,虽然VPN 通讯建立在公共互联网络的基础上,但用户在使用VPN时感觉如同在使用局域网。
1) VPN技术具有以下特点[2-3]:
(1) 低成本。VPN利用了现有的线路,在其上构建了虚拟的通道,节省了建设专线的高昂造价及租金。
(2) 易扩展。如果采用专线连接,当物理节点变化时,网络结构趋于复杂,费用增加。而VPN技术是通过虚拟通道来实现的。
(3) 保证安全。VPN技术利用可靠的加密认证技术,在Internet上建立隧道,能够保证通信数据的机密性和完整性,保证信息不被泄露或暴露给未授权的组织或个人。
2 基于校园网的VPN应用方案
根据校园网对安全互联、远程访问的需求,提出基于校园网的虚拟专用网应用方案。对方案的实现结果进行测试和分析,验证方案的可行性。
2.1需求分析
1) 师生在校外无法访问校内资源
2) 校区与校区之间的内部网络无法互访
解决方案:利用VPN技术建立远程用户到校园网的安全连接,数据通过公共Internet上的VPN隧道加密传输。并通过对用户身份的认证以及特定资源的访问控制,保证校园网的内部资源不被泄漏和非法访问。
2.2 PPTP VPN解决方案
2.2.1 什么是PPTP VPN
建立 VPN 隧道有多种方式,包括 L2TP、IPSEC、PPTP、SSL等隧道,其中 PPTP 是 VPN 隧道中部署最为简单、方便的实现方式之一,Windows 系统默认自带 PPTP VPN 客户端,只需几个步骤可以轻松完成 VPN 的设定[4-5]。
2.2.2 应用环境说明
学校 (VPN服务端)
架设 VPN 服务器,允许远程用户拨入,外网IP为 211.x.x.x。
远程用户 (VPN客户端)
经常需要和学校交换数据, 通过 VPN 拨号到总校。拨入成功后虚拟通道被建立,获得虚拟 IP: 172.16.0.101。由VPN通道进入学校内部局域网,上传和下载文档。
出差人员 (VPN客户端)
需要和学校交换数据时, 通过 VPN 拨号到学校。拨入成功后虚拟通道被建立,获得虚拟 IP: 172.16.0.100。 由VPN通道进入总部内部局域网,上传和下载文档,或和其他拨入点 (如办事处或其他出差人员)相互通讯。
2.2.3 PPTP_VPN 服务端的设定
目前市场上有许多的防火墙附带VPN功能,本文以SHARETECH AW-5100为例,介绍PPTP_VPN的部署和实施。
1) 激活PPTP VPN功能,设置客户端IP范围
进入“管制条例选项” ->“VPN” ->“PPTP 服务器”->“客户端IP范围”,如图3。
VPN 网络上使用的是内部保留IP地址,一般用 192.168.x.x或172.16.x.x或10.X.X.X,这里我们使用 172.16.0.X,可根据实际情况自行调整。VPN 网络地址不能和本地局域网地址重复,也尽量不要和远程拨入端的局域网地址重复。为了防止冲突,建议把 VPN 网络地址设为比较特殊,比如 172.16.100.X 或 192.168.123.X 等。
2) 新增PPTP 服务器
激活PPTP后,按需添加PPTP服务器。比如允许使用者shzy可以访问学校所有资源,而只允许使用者guest访问部分资源,就需要设置多个PPTP服务器供不同用户使用。
进入“管制条例选项” ->“VPN” ->“PPTP 服务器”->“新增PPTP 服务器”,如图4。
使用者名称:shzy;密码:******。
如果需要让某个帐户拨号后始终获得一个固定的 VPN IP,选择“使用特定IP地址”项输入想要分配的 IP 即可,比如这里可以是 172.16.0.110。
3) 添加VPN管制条例
设置完PPTP服务器后,需要添加管制条例。每一个封包在通过SHARETECH AW-5100时,需要逐条检查是否符合管制条例。当封包的条件符合某条管制条例时,就会按该管制条例的设定来通过SHARETECH AW-5100,如封包无法符合任何管制条例时,该封包就会被拦截。
进入“管制条例”->“内部至外部”->“新增”,如图5。
进入“管制条例”->“外部至内部”->“新增”,如图6。
设置好后,PPTP VPN的服务器端就可以运作了。另外,如需对VPN接入用户的访问权限做一定限制的话,可以在“来源网络地址”和“目的网络地址”进行设置,通过管制条例对来源网络地址进行管制,判断是否可以访问目的网络地址,这里不做详细说明。
2.2.4 PPTP VPN 客户端设置(Windows) [6-7]
Windows 2000/XP/2003/Vista 自带有 PPTP_VPN 的拨号客户端,无需另外安装软件。以 Windows XP 为例,设置步骤如下:
1) 启动新建连接向导
依次点击“开始” -> “设置” -> “网络连接” -> “新建连接向导” 即可。 或右键单击桌面上的“网上邻居”图标,选择“属性”,在“向导”栏双击“新建连接向导”。
2) 选择“连接到我的工作场所的网络”
3) 选择“虚拟专用网络连接”
4) 设置连接名pptp_vpn
5) VPN 服务器端地址211.*.*.*
6) 完成连接向导
7) 设置拨号连接参数
打开建立的拨号连接,点击“属性”进入连接属性设置; 选择“网络”选项卡 -> “Internet 协议 (TCP/IP)”; 点击“属性”进入TCP/IP协议设置。
一般情况下,请去掉“在远程网络上使用默认网关”前面的勾,否则VPN拨号后将无法上网(访问Internet)。
8) 开始VPN拨号
点击“连接” 进行VPN拨号,用户名是shzy,密码是******。拨号成功后,点击“连接成功”的提示图标,查看详细的连接信息: 可以看到拨号后本地VPN 连接的IP:172.16.0.100,VPN 服务器IP为172.16.0.1。
2.2.5 测试VPN连接
1) 在“开始” ->“运行” 输入 cmd 进入 DOS 命令提示符,使用 ping 测试 VPN 通道是否正常。
2) 测试连接文件交换区(ip地址:172.16.0.11)
开始――>运行――>输入ip地址,比如文件交换区\\172.16.0.11
3 VPN性能测试
以SHARETECH AW-5100为例,它的VPN技术参数如表1所示。
模拟学校VPN可能的使用情况,对VPN进行上传下载速度和网络延时的测试(学校租用科技网10M光纤),如表2所示。
测试是在网络空闲时进行的,传输速度基本上达到理想数值。在日常工作时,受各方面的因素影响,速度可能会有所下降,但能够满足校外人员利用VPN访问校园网的需要。
4 使用PPTP VPN 连接校区
在两个校区网络之间建立VPN连接,策略上允许两地的所有用户互访,像是一个网络,可以任意访问这两个校区网络的资源。因为并不需要让所有用户都能够访问两个网络,所以这样做即增加了VPN设备的负荷,也不便于VPN用户的管理。这里介绍一下方法,仅供参考:同样以SHARETECH AW-5100为例,主校区的AW-5100作为PPTP服务器端,分校区的AW-5100作为PPTP客户端。
4.1 服务器端设置
同3.2.3,激活PPTP服务器,设置好客户端IP地址范围并新增PPTP服务器,设置PPTP服务器的使用者名称“PPTP”和密码“******”
4.2 客户端设置
在分校区的设备上新增PPTP客户端,输入使用者名称、密码和服务器IP地址,如图11。
完成PPTP VPN联机,效果如图12。
设置好后,分校区的用户就可以访问总校区的资源了。想让总校区的用户也可以访问分校区,只需在分校区的设备上新增一个服务器端,在总校区的设备上新增一个客户端,两个校区就可以互相访问了。
5 结论
VP N技术使得校园网内部的重要信息在有安全保证的情况下传输,如同建立了专用的网络连接,提高了校园网的可管理性、灵活性和安全性。
面对多校区合作办学模式带来的复杂的网络现状,网络建设和资源共享的问题将会日益突出。利用VPN技术有效组织和开发网上资源,以网络应用推动网络扩展,以资源共享促进信息资源建设,实现各校区之间网络建设统一规划和信息资源共享,必将成为今后信息化建设和发展的方向。
参考文献:
[1] 王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[2] Jeffrey Richter, Windows核心编程[M].机械工业出版社,2000.
[3] Jim Ohlund,Anthony Jones,James Ohlund. Network Programming for Microsoft Windows[M].北京:清华大学出版社,2002,10.
[4] 高鸿斌.VPN在多校区校园网络建设中的应用[J].中国科技信息,2007,20.
[5] 王常亮.论高职院校如何推进校园信息化[J].职业教育研究,2005,9.
第9篇:vpn技术论文范文
关键词:IP网络 VPN 信息安全
中图分类号:TN711 文献标识码:A 文章编号:
随着信息技术的飞速发展和IP网用户数量的迅猛增加以及多媒体应用需求的不断增长,人们对IP网提高带宽的渴望越来越强。
初期的Internet仅提供文件传输、电子邮件等数据业务,如今的Internet集图像、视频、声音、文字、动画等为一体,即以传输多媒体宽带业务为主,由此Internet的发展趋势必然是宽带化向宽带IP网络发展,宽带IP网络技术应运而生。
所谓的宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的,通常中继线带宽为每秒数吉比特至几十吉比特,接入带宽为1~100Mbit/s。在这样一个宽带IP网络上能传送各种音视频和多媒体等宽带业务,同时支持当前的窄带业务,它集成与发展了当前的网络技术、IP技术,并向下一代网络方向发展。
当今年代,IP网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁,保障其安全性显然是至关重要的。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从内容看网络安全大致包括4个方面,即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。
宽带IP网络面临的安全性威胁分为两大类:被动攻击和主动攻击。被动攻击中,攻击者只是观察和分析某一个协议数据单元,不对数据信息做任何修改,所以根本不会留下痕迹或留下的痕迹很少,因而一般都检测不出来,对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击,攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来,而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序,如计算机如冲、特洛伊木马和逻辑炸弹。
宽带IP网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。
为了满足网络信息系统安全的基本要求,加强网络信息系统安全性,对抗安全攻击,可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。
为了保证数据信息的保密性和完整性,要对数据信息进行加密,数据加密的密码体制分为常规密钥和公开密钥两种密码体制,从网络传输的角度看,有两种不同的加密策略:链路加密和端到端加密。两种加密策略各有优缺点,一般将链路加密和端到端加密结合起来使用,以获得更好的安全性。
保证网络安全的另外一个重要措施就是设置防火墙,防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合,防火墙的网络称为“可信赖的网络”,而将外部Internet 称为“不可信赖的网络”。
防火墙可以从不同角度分类,根据物理特性可分为硬件防火墙和软件防火墙,但是由于软件防火墙自身属于运行于系统上的程序,不可避免地需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失。因此,许多网络更侧重于硬件防火墙作为防御措施。
以上介绍了保障IP网络安全的一些措施,在不安全的公共网络上建立一个安全的专用通信网络VPN也称得上是实现管好全性的一项举措。
VPN虚拟专网是虚拟私有网络的简称,安是一种利用公共网络,来构建的私有专用网络,VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。
VPN的目标是在不安全的公共网络上建立一个安全的专用通信网络,在降低费用的同时保障通信的安全性,即构建在公共数据网络上的VPN将像当前企业私有的网络一样提供安全性、可靠性和可管理性。VPN利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前Internet已成为全球最大的网络基础设施,几乎延伸到世界的各个角落,于是基于Internet的IP VPN技术越来越受到关注,IETF对基于IP的VPN的定义为“使用IP机制仿真出一个私有广域网”。
IP VPN按接入方式划分可分为专线VPN和拨号VPN,专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案,是一种“永远在线”的VPN。拨号VPN又称VPDN,它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务,是一种“按需连接”的VPN。因为这种VPN的用户一般是漫游用户,因此VPDN通常需要做身份认证。按协议实现类型还可以分为采用第二层隧道协议的VPN和采用第三层隧道协议的VPN。还可以按VPN的发起方式、服务类型、承载主体等多种方式进行划分。
构成IP VPN的主要设备有IP安全隧道和VPN设备。内部网LAN1发送者发送明文信息到连接公共网络的源VPN设备,源VPN设备首先进行访问控制,确定是否需要对数据进行加密或让数据直接通过或拒绝通过。对需要加密的IP数据报进行加密,并附上数字签名以提供数据报鉴别。VPN设备依据所使用的隧道协议,重新封装加密后的数据,此数据通过IP安全隧道在公共网络上传输。当数据报到达目的的PVN设备时,首先根据隧道协议数据报被解除封装,数字签名被核对无误后数据报被解密还原成原明文,然后目的VPN设备根据明文中的目的地址对内部网LAN2中的主机进行访问控制,在核对无误后将明文传送经LAN2中的接收者。
VPN的隧道技术是构建VPN的关键技术,广义的隧道包括隧道启动节点、隧道终止点和承载隧道的IP网络。按照工作的层次,隧道协议可分为两类:二层隧道协议和三层隧道协议。三层隧道协议主要有两种:RFC1701通用路由封装协议和IETF制定的IP层加密标准协议IPSec协议。二层隧道协议主要有三种,点对点隧道协议(PPTP)、二层转发协议(L2F)和二层隧道协议(L2TP)。二层隧道协议简单易行,但扩展性差且提供内在的安全机制安全强度低,主要应用于构建拨号VPN,而三层隧道协议安全性、可扩展性、可靠性较强,两者通常结合使用。
- 上一篇:法律援助工作经验总结范文
- 下一篇:英语会计论文范文
