vpn技术范文
时间:2023-03-15 02:40:52
导语:如何才能写好一篇vpn技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:vpn 隧道协议 PPTP L2TP IPSec
VPN是Virtual Private Network的缩写,即虚拟专用网络。VPN在公共IP网络上建立用户私有的数据传输通道,将远程访问用户与相应企业的内部网络连接起来,并提供安全的端到端的数据通信,从而大大减轻了企业的远程访问费用,节省企业的运行成本。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
1、VPN的使用隧道协议
VPN的实现,最关键的是在公共网洛上建立用于数据传输的逻辑虚拟信道,而建立虚拟信道是通过使用隧道技术来实现的,隧道的建立可以是在数据链路层和网络层。第二层隧道技术主要是使用PPP连接,使用的隧道协议有PPTP和L2TP,其特点是协议简单,易于加密,适合于远程拨号用户使用;第三层隧道技术是IPinIP,使用的隧道协议是IPSec,其可靠性及扩展性优于第二层隧道协议,但没有前者简单直接。
1.1 PPTP(点对点隧道协议)
点到点隧道协议(PPTP,Point-to-Point Tunneling Protocol),是一种用于使远程用户通过拨号方式连接到本地的ISP,通过Internet安全的远程访问公司内部网络资源的工业标准隧道协议,它在WIN NT 4.0系统中首先得到支持。PPTP是对“PPP(点对点协议)”的扩展,它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输,它增强了PPP的身份验证、压缩和加密机制。PPTP使用TCP(传输控制协议)来创建、维护、终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据,被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP协议数据包通过使用从MS-SHAP(微软公司的盘问交握式协议)活EAP-TLS(EAP Transport LAN Service,可传输式身份验证协议)身份验证过程中生成的密钥进行加密。
1.2 第二层隧道协议(L2TP)
第二层隧道协议(L2TP)是思科公司开发的,具有RFC隧道协议的一种协议,是PPTP与L2F(第二层转发)的一种综合。它不同于PPTP,Windows系统中的L2TP不使用“MPPE(微软点对点加密)”来加密PPP数据包,它是依赖于加密服务的IPSec(网际协议安全)的协议。现在被广泛使用的是基于IPSec的L2TP。VPN客户机和VPN服务器必须同时支持IPSec和L2TP,L2TP将在IPSec身份验证的过程中生成一个密钥,而采用IPSec加密机制加密L2TP消息。
1.3 Internet协议安全性(IPSec)
IPSec是专门为了IP提供安全服务而设计的一种协议,它可以有效地保护IP数据报的安全,具体通过包括数据源验证、无连接数据的完整性验证、数据内容的机密性保护和抗重播保护等保护形式来实现。IPSec有两种运行模式:传输模式和隧道模式,有两种安全协议:AH(认证头协议)和ESP(封装安全载荷协议)。AH可以验证数据的起源,保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力以外,还可以选择保障数据的机密性,以及为数据流提供有限的机密性保障。即AH提供认证,ESP提供认证和/或加密。通过使用这两种协议,可以对IP数据报或上层协议,如UDP和TCP,进行保护,而这种保护由IPSec的两种工作模式来提供。到目前为止,IPSec被业界认为是最安全的IP协议,但是其过于复杂的问题也是系统安全的一个主要威胁。
2、VPN网络服务的分类
从连接用途以及连接方式上,VPN网络服务可以分为基于Internet的VPN和基于Intranet的VPN。
2.1 基于Internet的VPN
远程访问客户首先要激活与本地ISP所建立的物理连接,然后远程访问客户通过Internet来访问企业的VPN服务器,同时初始化一条虚拟的专用隧道。VPN连接创建以后,远程访问用户就可以访问VPN服务器所在Intranet上的有权限访问的资源了。
2.2 基于Intranet的VPN
对于企业内部的敏感或需保密的部门,这些部门在逻辑上或者物理上与企业Intranet上的其他部门是断开的,即不能互访。如何使需要访问的用户访问这些部门呢?通过VPN链接,这些敏感部门的网络将被允许连接到企业的Intranet内,通过搭建VPN服务器将这些敏感部门和其他部门隔离开。VPN服务器不在企业的Intranet和部门网络之间提供直接的路由连接。那些企业Intranet内有访问敏感部门权限的用户可以与VPN服务器建立远程访问连接,进而访问敏感部门网络。为此,所有通过VPN的通信数据都会被加密。对于那些没有访问敏感部门权限的用户,在Intranet上,敏感部门的网络是隐藏的。
3、VPN的解决方案
3.1 Access VPN
这种方案最适合企业内部有大量的远程办公访问需求和提供B2C(Business-to-Customer商家对顾客)方式的企业。远程访问的企业员工或者客户可以利用当地ISP提供的VPN服务和企业的VPN网关建立专有隧道连接,这建立连接的过程中需对访问者的身份进行验证和授权,这样可以使远程访问用户获得相应的访问权限。
3.2 Intranet VPN
这种解决方案是企业内部各分支机构进行网络互联的最优解决方案。企业特别是大型的跨国企业可以利用VPN技术将分步在各地的分公司、办事处等分支机构通过Internet建立世界范围内的Intranet VPN。这个方案充分利用Internet廉价性和VPN的高安全性组建了安全的、专用的虚拟链路,使企业的数据和信息可以借助互联网安全的在企业的各个分支机构之间传递。
3.3 Extranet VPN
这种方案以Internet为数据链路基础,通过VPN技术,在充分保证企业内部网络的网络安全的基础上,使企业能够像其合作伙伴提供有效的、可靠的信息服务。该方案使得企业和企业之间的联系更加紧密,也保障了企业与企业之间的信息的方便、快捷的传递。
4、VPN的应用
VPN技术主要适用于哪些客户呢?归纳起来以下这些情况需要使用VPN技术。
(1)客户位置众多而且极其分散。
(2)企业的机构分布范围广,而且各个机构的距离远,需要通过长途通信,特别需要使用国际长途通信的企业。
篇2
关键词:VPN,管理,管理技术
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
[3]潘爱民.计算机网络(第四版)[M].清华大学出版社2004.8
篇3
关键词 MPLS-VPN;节省公网地址资源;标签隧道
中图分类号:TN915 文献标识码:A 文章编号:1671—7597(2013)051-143-01
随着国内互联网业务的飞速发展,运营商维护工作当中的一些问题也随之显现。通过我们在工作中的积累,可以看到宽带用户数在飞速增长,使GPON(最新一代宽带无源光综合接入标准)等业务在家庭中逐渐普及,但是随之带来的是互联网设备网元数量在逐渐增多,而PPPOE(普通拨号业务)、GPON、专线等各类地址在日常使用中,地址交叉占用,规范不标准,如图1。
2011年2月国际互联网号码注册机构公布最后一批ipv4地址已分配完毕,据工信部2012年11月的报告数据,我国的宽带家庭用户数量已经达到了1.66亿,公网IP地址已成为紧缺资源,不能满足国内互联网快速发展的需求,我们以一个图表来说明地址的变化情况。
如何在当前的大环境下,既能保持中国互联网业务高速发展速度的同时又能做到高效的利用IP地址资源呢?需要启动私网地址来替换现网中的公网地址,如果将GPON设备网元私网化,既有网络结构不变,那么会导致GPON私网与公网业务混在一起,不但地址管理容易混乱,而且数据容易造成冲突,可扩展性差。如果使用MPLS-VPN隧道技术进行业务隔离,使用独立标签进行业务划分,并建立GPON业务的独立通道与公网业务进行隔离,网络安全可靠,可扩展性强。不同的部门有不同的业务系统,这些系统多数是要求数据隔离的,但有些系统又存在着互访的需求,所以采用MPLS-VPN技术可以实现这些系统隔离和互访的要求。
MPLS-VPN网络主要由PE(运营商边缘路由器设备,与CE相连,提供VPN业务的接入)、P(运营商核心路由器设备,只负责转发MPLS数据包)、CE(用户网络边缘路由器设备,与PE相连)3部分组成。
MPLS-VPN是一种基于MPLS(多协议标签交换)的VPN技术,属于第三代网络架构,该技术对转发用户的数据包封装标签,是一种采用标签交换认证识别互联网虚拟网络技术。它的特点是在现有的网络架构下,无须增加硬件设备,利用路由选择协议建立完整的路由表,使用LDP协议生成基于标签交换的通道,就可以实现网内数据包的快速转发。在网内各个PE路由器出入端口配置该MPLS-VPN数据后,封装该标签的数据包就可以通过标签隧道互联互通,从而实现与PE相连CE路由器下的GPON用户间可以相互访问。
安全方面我们要考虑是否能做到全网全链路VPN,针对运营商所辖地市的网络结构及设备环境进行排查升级工作,以保证全省VPN网络的畅通。其次建立MPLS-VPN网络的通道需在帧上添加标签,所以要统一修改互联网与传输设备端口MTU值≥1516,需要排查网内传输设备是否能满足封装标签后的数据包正常通过,是否能做到链路中断的自动保护,并建立完整的应急预案机制等安全问题。
建立VPN承载网络,首先要深入研究MPLS-VPN的核心技术,统一进行数据配置,规范操作流程,并在设备提供商的配合下,汇集互联网设备硬件和软件存在的问题,进行升级改造,实现多核心、全连路、可中断保护的VPN承载网络。为了更好的效果,我们不仅要增强技术手段,还必须规范一系列标准,如图2。
制订规范需要统一MPLS-VPN的数据配置与VLAN规划标准。其次是私网地址使用规范,统一分配私网地址,按不同厂家的设备型号差异化进行使用,已防止出现地址管理混乱的问题。
在当前光进铜退的大环境下,MPLS-VPN技术已经可以成为节省资源成本的一种有力手段,该技术管理便捷,投资教少,使用简易,在性能价格比上,相比其他广域网VPN技术也具有较大的优势,从而可以有效提高了网络维护效率,为我们快速发展中安全、高效的中国互联网产业提供有力的支撑。
参考文献
篇4
关键词:VPN安全协议关键技术部署模型
中图分类号: TP393文献标识码: A
VPN Technology and Deployment Model Analysis
JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1
(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;
2. Guizhou Radio and TV University, Guiyang 550004, China)
Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.
Key Words:VPN ;Security agreement;key technology ;Deploy model
0 前言
VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。
1 VPN 概述
1.1VPN的概念
VPN (Virtual Private Network) 即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。VPN采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]
1.2 VPN 的类型
根据VPN 所起的作用,可以将VPN 分为三类:[1] [2] [3]
1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。
2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过VPN互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。
3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。
1.3 VPN 特点[2][4][5]
(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;
2 VPN关键技术
2.1 隧道技术
隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN 的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。
2.2 密码技术
VPN 技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。
2.3 身份鉴别和认证技术
VPN基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用HASH函数将一段较长的报文通过HASH函数变换,映射为一段较短的报文摘要。
2.4 QoS技术
通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的VPN。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]
3 VPN 解决方案[9]
3.1 VPN 部署模型
部署VPN首先要选定一个VPN隧道终端设备,选择的这个设备主要由VPN隧道端点位置和用于隧道端点设备的功能来决定。
3.1.1位于边界路由器的VPN终端
位于边界路由器的VPN终端所具有的优点是能够确保VPN流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出VPN隧道数据包的增加而增加。
3.1.2 位于企业防火墙的VPN终端
位于企业防火墙的VPN终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。
3.1.3位于专用设备的VPN终端
位于专用设备的VPN终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个VPN需要加密数量的增加而增加。
3.2VPN拓扑模型
3.2.1 星状拓扑模型
在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。
3.2.2 网状拓扑模型
在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。
3.2.3中心轮廓拓扑模型
中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。
3.2.4 远程访问拓扑模型
远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。
4 结语
VPN技术的发展, 为企业建设计算机网络提供了一种新的思路, 可以通过在公共网络上建立虚拟的链接来传输私有数据。VPN通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本, 同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业现在乃至未来最佳的选择[10]。
参考文献:
[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.
[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.
[3][美]C arlton R .D avis. IP Sec VPN 的安全实施[M].清华大学出版社.2002.
[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47~49.
[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.
[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.
[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12~15.
[8]刘建伟,王育民等.网络安全――技术与实践[M].北京.清华大学出版社.2005.472.
[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136~170.
篇5
关键词:VPN; 信息化; Qos;捆绑
1.概念综述
VPN(虚拟专用网络)技术对大型的跨地域企业内部同步使用ERP、MRP等信息化管理系统有着极大的帮助作用和可观的经济意义,不过受到流量问题的限制,VPN技术也面临一个网络带宽“供不应求”的难题,例如现在很多企业都是采用ADSL网络接入方式,而基于ADSL线路由于技术本身的限制,单条的上行速率只能达到几百K,如果是一些数据量较大的企业信息系统,要求信息流是双向的,传和下传的速度都要快,那么单条ADSL就显得力不从心了。
从而,一种既可以不改动原有ADSL线路,又可以有效提升VPN系统性能的技术得以推广,即“通道多路捆绑”技术,这种技术现在在国内也已经十分成熟,例如我国较早涉足VPN领域的深信服(SINFOR)公司在VPN的多路捆绑技术上就有着诸多建树。
2.多路通道技术综述
2.1何为多路通道技术
所谓多路通道技术,就是使数据包可以从两条线路进行传输,就像计算机中磁盘阵列RAID 0的方式,在理论上可以达到带宽倍增的效果。从表面上看,多路通道捆绑似乎是一种非常理想的技术,但真正实现起来,其中也存在不少困难:首先,数据要同时在多条线路上传输、如何能保证相同的业务数据分配到不同线路时,仍然不受影响?比如一串视频数据,发送时通过多条Internet线路、在接收端,传输的数据顺序必须准确有效、并能还原成发送前的状态。其次,线路的中断和恢复也是一个必须解决的问题。一旦一条线路出现故障,所承载的数据要立刻无缝切换到其他线路,并保证业务不受影响。同样,线路恢复后,也要能够在新恢复的线路上建立VPN隧道,并能够重新调整负载均衡策略。最后,Internet连接方式也多种多样。用户为了进一步增强系统稳定性,往往倾向于从不同的运营商处申请线路,就会存在各种不同方式的Internet线路(如ADSL、宽带、DDN等等)需要能够实现带宽的捆绑和叠加。
2.2多路通道的组合
在一个路由器上做多条线路捆绑的方式有多种组合:多条ADSL线路捆绑,多条光纤线路捆绑,光纤和ADSL线路进行捆绑。这种捆绑是一种带宽相加式的捆绑,而不是线路互相备份。多路通道1+1=2?从实际应用的角度去分析,两条线路进行捆绑后,上下行的流量是不可能达到1+1=2的效果的,2条以上的线路也是同样道理,原因大致如下: 第一,当每一个数据包进行传输时,它必须先选择其中一条线路,这个选择的过程就是路由器进行调度分配的过程,路由器会按照预先设定的算法将每一个数据包根据一定的条件(这个条件通常不是固定的)分配到一条线路,这个过程会占用路由器的处理器资源,需要耗费一定的时间,当然耗时是非常短的,但是大量的数据包耗费的时间累加起来就比较可观了,加上现在中低端路由器的处理能力还比较有限,所以这种资源的消耗是不能忽略的。如果你捆绑两条2M的线路和一条4M的线路做对比,就会发现捆绑两条2M线路的速度不会快过那条4M的线路,其中一个重要因素就是路由器上对数据包进行调度而耽误了数据转发的时间。 第二,相信大家也知道,RAID 0阵列的容量是取决于容量小的那个硬盘,因为数据是同时在两个硬盘上进行读写的;而在VPN多路捆绑中也有类似情形--如果两条线路的带宽不一样,也就是一条大些,一条小些,这时情况就比较复杂了。因为如果路由还是按照1:1的比例将数据包分别派发给两条线路的话,就会造成带宽大的那条线路发完时带宽小的那条还没发完,于是带宽大的线路得等待带宽小的线路,这样会造成效率的降低,因此很多支持不对称多路捆绑的路由器都允许设置路由器调度分配的比例,例如接入1条1M的ADSL和1条2M的ADSL时,就可以把这个比例设成1:2,这样两条线的带宽就可以充分利用起来;当然,由于数据分配的比例不会是完美的1:2,而两条线路的实际流量也不是准确的1:2,因此宽带资源还是没有被完全的利用起来,所以最终1M和2M两条ADSL线路捆绑之后的实际效果依旧小于3M线路的实际效果。第三,如果两条线路进行捆绑,在下载时和上传时得到的带宽其实是不同的,因为在上传时你是两条线路同时传送数据,可以理解为1+1=2;但在下载时,对方并不知道你将线路进行了捆绑,他也无法控制数据包往哪条线路上传送,所以每次对方的数据包发送过来都是由其中一条线路承担接收任务,在这种情况下,两条1M的线路进行捆绑后其实效果大概也是1M,也就是1+1=1,因此,将多路捆绑简单的理解为带宽的叠加其实是不对的。
2.3多路通道捆绑的好处
首先,多路通道捆绑技术给用户带来的好处是显而易见的。首先就是带宽的大幅提升,在目前大多数的VPN系统应用中,都是总部的一条线路、需要应对来自几个甚至几十个分支机构、移动用户的数据量。尤其在类似ADSL的非对称线路中、上行带宽本来就较窄,造成总部数据量不堪重负。为了解决带宽不平衡的问题,有些企业不得不在总部耗费巨资申请高速的专用线路,成本高昂。
其次,VPN支持各种不同方式的线路绑定,用户可以申请多条动态IP的ADSL上网线路、也可以申请ADSL及其他宽带线路甚至无线连接等等。通过多线路防火墙/NAT模块,还可以实现多条线路共同访问Internet,成倍的提高了上网的速度。
第三多路通道捆绑的另一个好处就是系统的稳定性大大增强。如果是单条线路,一旦中断、整个系统就会陷入瘫痪,VPN系统的稳定性非常依赖于线路本身的稳定性。通过多线路捆绑技术,尤其是对不同方式的线路捆绑、在任何一条线路出现故障时,数据可以无缝切换到其他正常线路,保证了整个系统的持续可靠运行。优秀的VPN路由还进一步实现了多条Internet线路的QOS管理,并能根据不同线路的带宽情况智能分配负载,最大限度的提高带宽利用率。
2.4多路通道捆绑的安全和权限问题
多条线路同时连接时,局域网也同时面临着多条与Internet连接的通道。这就给各种网络攻击、病毒提供了更多的可乘之机,所以很多VPN路由都是直接结合了比较专业的防火墙功能,不但能够支持多条线路的捆绑上网,还能对带宽进行智能动态分配,防护来自多条
线路的攻击。
3.结束语
由于很多VPN网络的结构非常庞大,内部成员的权限问题也就非常复杂,因此一些优秀的VPN产品可以对各成员接入后的可访问资源做严格而详细的限定来杜绝这些安全隐患。例如Sinfor的DLAN方案就可以针对每个用户设定不同的接入访问权限,如某些用户只能访问总部的库存系统,不能访问财务系统等,不同的VPN用户可以设定对不同资源的访问权限,避免因为VPN用户权限过大造成的安全隐患。
参考文献:
[1]CarIton R.Davis. IPSec VPN的安全实施.清华大学出版社.
[2]林闯,单志广,任丰原, 计算机网络的服务质量(QoS). 清华大学出版社。2004
篇6
【关键词】VPN 网络 实现技术
【中图分类号】G718 【文献标识码】A 【文章编号】1672-5158(2013)01―0180-02
1 前言
随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。
2 VPN技术概述
VPN英文全称是“Virtual Private Network”(虚拟专用网络”)。VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
2.1 VPN的功能
VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
2.2 VPN的分类
VPN既是一种组网技术,又是一种网络安全技术。按照不同的方法主要有以下几种划分方式。
(1)按实现技术划分,基于隧道的VPN、基于虚电路的VPN和MPLSVPN
(2)应用范围划分,远程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3种应用模式。
(3)远程接入VPN用于实现移动用户或远程办公室安全访问企业网络;Intranet VPN用于组建跨地区的企业内部互联网络;Extranet VPN用于企业与客户、合作伙伴之间建立互联网络。
(4)按隧道协议划分,VPN可划分为第2层隧道协议和第3层隧道协议。PPTP、L2P和L2TP都属于第2层隧道协议,IPSec属于第3层隧道协议,MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec。当然,还可根据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。
2.3 VPN的特点
在实际应用中,一个高效、成功的VPN应具备以下几个特点:
(1)安全保障
VPN应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.4 VPN的技术解决方案
VPN有三种解决方案,用户可以根据自己的情况进行选择。这三种解决方案分别是:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
(1)如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
(2)如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
(3)如果是提供B2B之间的安全访问服务,则可以考虑EXtranetVPN。
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息
服务,又可以保证自身的内部网络的安全。
3 结语
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
[1]秦柯.Cisco IPSec VPN实战指南人民邮电出版社,2012
篇7
【关键词】虚拟专用网络 多协议标记交换 安全性 稳定性灵活性
一、前言
随着企业规模的不断扩展,企业内部间信息传输的安全性,可靠性以及信息传输稳定性变得越来越重要,各企业也越来越重视企业内部间的网络互连。因此,建设安全、可靠、稳定、低成本的企业网络成为企业的基础课题。
然而,随着IP-VPN技术迅速发展,使得IP-VPN技术也广泛应用于企业网络建设当中。而MPLSVPN是一种基于MPLS技术的IP-VPN,其能有效解决企业网络组建中遇到的跨越公用网和跨越自治系统的需求,并且解决企业对于语音和视频的通信需求。同时MPLS VPN还保证了网络传输的安全性、实时性、稳定性。这为现代异地办公、移动办公数据安全性、可靠性及实现企业互连,提供了一种新的途径和解决方案。
二、MPLS VPN技术在本企业的应用
近年来,随着企业国际化进程的稳步推进,信息化已成为保障企业持续发展的重要手段之一。企业需要在提高企业网络的转发速率和灵活性的同时,又能确保企业信息化的安全性与稳定性,以及在降低投入到一个合理范围的同时,满足企业信息化发展的需求。
(一)本企业现状
本企业的网络是星形网络架构,通过总公司的广域网与各基地相互连通的;新疆和新加坡是直接通过本企业建立的专线接入到燕郊核心交换机上,印尼分公司和墨西哥分公司是通过IPSEC VPN方式接入本企业燕郊内网。本企业的数据中心建在燕郊,各基地和海外子公司都需要访问数据中心的相关数据,因此网络流量都会集中在燕郊,从网络架构上说,本企业的星型结构中心点应该是燕郊地区,而不是作为总公司的中心节点的北京地区,因此现有的网络架构存在着如下的问题,核心网络节点资源分配不足,部分网络上联网络资源不足,局部网络在特定时间段存在网络瓶颈,网络传输速率不足。
本企业的内部网络通过总公司的广域网与各分站基地互联通信的,同时,本企业的内部网络与总公司及其二级公司网络也都是互通的,相互之间没有充足的隔离手段,因此在数据传输的安全性上存在较大隐患。同时,由于本企业的网络结构扁平,生产网和测试网没有进行分离,由于测试系统的稳定性与安全性都比较低,两网在一起也存在着一定的安全隐患。
本企业燕郊、湛江、上海、深圳地区的核心网络过于扁平化,如遇到网络环路,就会造成整个网络的瘫痪,严重影响用户的日常办公和各生产系统的正常运行。随着应用系统的增多,重要系统的网络带宽保障需求日益突出,然而现有网络架构与设备无法在燕郊与各地做特殊应用优先保障策略,导致有的重要系统同步数据或上传数据无法保障网络传输平稳正常。
随着本企业信息化建设需求不断增多,应用系统的运维模式向集中管理发展,企业网络传输的稳定性、安全性和转发速率时刻影响着各地用户。至此,网络架构不合理、转发速率不足、稳定性不够、以及安全性不高已严重制约了企业信息化的发展。
(二)MPLS VPN在油服的应用
1.设计方案
为满足本企业的多网分离,专网专用,办公与生产、测试相互隔离的需求,同时一定程度上解决网络速度慢、稳定性差、安全性低、网络活动性和扩展性不灵活、QOS无法制定、旧网络无法升级等问题,充分利用MPLS VPN技术的优势,项目组制定了本企业独特的两横两纵VPN设计架构。
本企业的MPLS VPN逻辑上分为两横两纵,两个横向VPN分别为应用共享VPN和测试共享VPN;两个纵向VPN分别为办公纵向VPN和科研纵向VPN。应用共享VPN里规划为本企业现运行的各应用系统;测试共享VPN为未正式上线的应用系统;办公纵向VPN为各基地、机关的普通用户地址段;科研纵向VPN为各事业部要求网络环境安全性比较高的用户地址段。
2.实施过程
根据本企业各地理片区不同的网络设备以及网络拓扑结构的不同情况,结合整体考量,MPLS VPN网络改造从以下几个步骤进行的,首先,更换全网IP地址;其次,更换全网不满足的核心设备和楼层设备;再次,增加全网网络端口和光纤上链线路;最后,进行MPLS VPN配置和迁移。根据前期的规划,通过近两年的实施,燕郊、湛江、塘沽、深圳和上海各地分站都划分为边缘区域,部署MCE设备,在MCE上分别建有本企业的两横两纵VPN,只有新疆地区由于片区小,人数少,网络结构单一,所以配置为CE。本企业MPLS VPN项目完成后的网络架构如下图所示。
图MPLS 网络拓扑图
3.使用效果
自MPLS VPN项目改造以来,实施完成后的益处总结为以下几点。
(1)提高本企业网络的安全性
在实施MPLS VPN项目以前,集团公司旗下任何一家二级单位都可以访问本企业的各应用系统、网络设备和计算机,一旦有一个单位网络出现病毒,那么这些网络病毒可以快速在广域网中传播;同时一旦该单位的网络受到外部攻击或者黑客进入,很容易会攻击到本企业的应用系统及个人办公电脑,在信息化安全不断提高与强调的今天,这种网络环境已经不能满足整个集团以及本企业信息化发展的需要。在实施了MPLS VPN项目后,整个网络环境从三方面体现了出了高安全性。不同VPN之间地址空间与路由信息的分离;骨干网络拓扑对VPN用户的隐藏;提高了网络抵御恶意攻击(如拒绝服务攻击(DOS))以及网络入侵的能力。
(2)提升各地局域网的网络稳定性
MPLS VPN实施后,优化了各片区的网络接入方式,湛江、燕郊、塘沽各地接入网络都改成了双上联的不同路由区域,燕郊的同地区不同片区之间网络接入也改成了不同的路由区域,提高了网络的稳定性。同时,同片区下不同VPN下的机器不再受到环路后的泛洪影响。根据PING值测试,MPLS VPN实施前各地存在着每10000个PING包会丢失50到150个包,实施MPLS VPN后测试PING 10000个包丢率为0%,网络的稳定性达到了最佳值。
(3)优化网络基础架构
在实施MPLS VPN后,更换了燕郊、湛江、上海、深圳核心设备,提高了更换的各基地的数据转换和处理能力,同时调整了网络架构,从本企业的网络架构看,现已调整为以燕郊为中心的星型双链路架构;更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式,大多实现双上联冗余接入网络,并且根据各基地的现有情况,调整核心交换机配置,使接入层交换机与核心交换机的选路达到最优方式。
三、结束语
MPLS VPN网络的实施仅只是企业对MPLS VPN技术研究与应用的一个起点,相信随着MPLS VPN技术的不断发展和使用的深化,MPLS VPN技术的各种优势将逐步被应用到我们的生产工作中去,并在我们的生产工作中发挥更加巨大的作用。
参考文献:
[1] 赵雪石;MPLS VPN的优势及实施中应注意的问题[J];湖北邮电技术;2004年05期.
[2] 胡国辉;崔可升;MPLS VPN原理及组网应用[J];电信技术;2005年12期.
篇8
随着Internet的蓬勃发展,人们对其应用提出了更高的要求。但Internet缺乏有效的流量和网络带宽管理手段,网络经常会发生阻塞。无法对服务质量(QoS)提供保证,许多应用对于目前的IP技术(如语音和视频等)显得力不从心。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。
1 VPN简介
VPN指的是依靠ISP和其它NSP,在公用网络中建立专有数据通信网络的技术。在虚拟专网中,任意两个接点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公共网的资源动态组成的。VPN技术采用季认证、存取控制、机密性、数据完整性等措施,以保证信息在传输过程中的机密性、完整性和可用性。它是在公共Internet之上为政府、企业构恐安全可靠、方便快捷的专用网络,并可节省资金。VPN技术是广域网建设的最佳解决方染,它不仅会大大节省广域网的建设和运行维护费用,而且拥有成本低、便于管理,开销少、灵活度高,保密性好等优点。
2 基于MPLS的VPN技术
2.1 MPLS的基本原理
MPLS VPN是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术,在公共IP网络上构建企业IP专网,实现数据、语音、图像等多业务宽带连接。并结合差别服务、流量工程等相关技术,为用户提供高质量的服务。MPLS VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
MPLS是一种特殊的转发机制,它为进入网络中的IP数据包分配标记,并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径通过交换标记(而不是看IP包头)来实现转发;当数据包要退出MPLS网络时,数据包被解开封装,继续按照IP包的路由方式到达目的地。
如图1所示,MPLS网络包含一些基本的元素。在网络边缘的节点就称作标记边缘路由器(LER:Label Edge Router),而网络的核心节点就称作标记交换路由器(LSR:Label Switching Router)。LER节点在网络中提供高速交换功能。在MPLS节点之间的路径就叫做标记交换路径(LSP:Label Switched Path)。一条LSP可以看作是一条贯穿网络的单向隧道。
MPLS的工作流程可以分为三个方面:即网络的边缘行为、网络的中心行为以及如何建立标记交换路径。
1. 网络的边缘行为
当IP数据包到达一个LER时,MPLS第一次应用标记。首先,LER要分析IP包头的信息,并且按照它的目的地址和业务等级加以区分。
在LER中,MPLS使用了转发等价类(FEC:Forwarding Equivalence Class)的概念来将输入的数据流映射到一条LSP上。简单地说,FEC就是定义了一组沿着同一条路径、有相同处理过程的数据包。这就意味着所有的FEC相同的包都可以映射到同一个标记中。
对于每一个FEC,LER都建立一条独立的LSP穿过网络,到达目的地。数据包分配到一个FEC后,LER就可以根据标记信息库(LIB:Label Information Base)来为其生成一个标记。标记信息库将每一个FEC都映射到LSP下一跳的标记上。如果下一跳的链路是ATM,则MPLS将使用ATM VCC里的VCI作为标记。
转发数据包时,LER检查标记信息库中的FEC,然后将数据包用LSP的标记封装,从标记信息库所规定的下一个接口发送出去。
2. 网络的核心行为
当一个带有标记的包到达LSR的时候,LSR提取入局标记,同时以它作为索引在标记信息库中查找。当LSR找到相关信息后,取出出局的标记,并由出局标记代替入局标记,从标记信息库中所描述的下一跳接口送出数据包。
最后,数据包到达了MPLS域的另一端,在这一点,LER剥去封装的标记,仍然按照IP包的路由方式将数据包继续传送到目的地。
3. 如何建立标记交换路径
建立LSP的方式主要有两种:
(1)“Hop by Hop (逐跳寻径) ”路由
一个Hop-by -Hop的LSP是所有从源站点到一个特定目的站点的IP树的一部分。对于这些LSP,MPLS模仿IP转发数据包的面向目的地的方式建立了一组树。
从传统的IP路由来看,每一台沿途的路由器都要检查包的目的地址,并且选择一条合适的路径将数据包发送出去。而MPLS则不然,数据包虽然也沿着IP路由所选择的同一条路径进行传送,但是它的数据包头在整条路径上从始至终都没有被检查。
在每一个节点,MPLS生成的树是通过一级一级地为下一跳分配标记,而且是通过与它们的对等层交换标记而生成的。交换是通过标记分配协议(LDP:Label Distribution Protocol)的请求以及对应的消息完成的。
(2)显式路由
MPLS最主要的优点就是它可以利用流量设计“引导”数据包。MPLS允许网络的运行人员在源节点就确定一条显式路由的LSP(ER-LSP),以规定数据包将选择的路径。ER-LSP从源端到目的端建立一条直接的端到端的路径。MPLS将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。
2.2 基本MPLS的VPN实现
如图2所示,基于BGP扩展实现的MPLS三层VPN包含以下基本组件:
PE:Provider Edge Router,PE路由器使用静态路由、RIPv2、OSPF或EBGP与CE路由器交换路由信息。尽管PE路由器维护着VPN路由信息,但它只需为其直接相连的那些VPN维护VPN路由。每台PE路由器为其直接相连的每个站点维护一个VRP(Virtual Routing Forwarding Table),每个客户连接映射到某个VRF上。在从CE路由器上学习本地VPN路由信息。PE路由器使用IBGP与其它路由器交换VPN路由信息。PE路由器可以保护到路由反射器的IBGP会话,作为全网状IBGP会话的替代方案。使用MPLS在供应商骨干中转发VPN数据流量时,入口PE路由器作为入MPLS使用,出入PE路由器作为出中LSR使用。
CE:客户边缘(CE)设备允许客户通过连接一台或多台供应商边缘(PE)路由器的一条数据链路接入服务供应商网络。CE设备是一台IP路由器,它与直接连接的PE路由器建立邻接关系。在建立邻接后,CE路由器把站点的本地VPN路由广播到PE路由器,并从PE路由器上学习远程VPN路由。
Prouter:Provider Router,供应商路由器是没有连接CE设备的供应商网络中的任何路由器。在PE路由器这间转发VPN数据流量时,供应商路由器作为MPLS连接LSR使用。由于是在采用两层标记堆栈的MPLS骨干中转发流量,因此供应商路由器只需维护到供应商PE路由器的路由,而不需维护每个客户站点专用的VPN路由信息。
RR:Route Reflector,BGP路由反射器
ASBR:Automated System Border Router,自治系统边界路由器,在实现跨自治系统的VPN时,与其它自治系统交换VPN路由。
MP-BGP:多协议扩展BGP,承载携带标签的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。
PE-CE路由协议:在PE、CE之间传递用户网络路由,可以是静态路由,或RIP、OSPF、ISIS、BGP协议。
LDP:Label distribution Protocol,在PE之间建立尽力而为的LSP,经过P路由器,所有PE、P路由器均需要支持。RSVP-TE:在VPN需要QoS保障时,在PE之间建立具有QoS能力的ER-LSP。
VRF:Virtual Routing Fowarding Table,虚拟路由转发表,它包含同一个Site相关的路由表、转发表、接口(子接口)、路由实例和路由策略等。在PE设备上,属于同一VPN的物理端口或逻辑端口对应一个VRF,可通过命令行或网管工具进行配置,主要参数包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。
VPN用户站点:Site是VPN中的一个孤立的IP网络,一般来说,它不通过骨干网公司总部、分支机构都是Site的具体例子。CE路由器通常为VPN Site中的一个路由器或交换设备,Site通过一个单独的物理端口或逻辑端口(通常是VLAN端口)连接到PE设备。
用户接入MPLS VPN后,每个Site提供一个或多个CE与骨干网的PE连接,并在PE上为该Site配置VRF,将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上,但不可以是多跳的三层连接。
BGP扩展实现的MPLS VPN扩展的BGP NLRI的IPv4地址,在其前增加了一个8字节的RD(Route Distinguisher),用于标记VPN的成员(Site)。每个VRF可配置某些策略,规定VPN可以接收哪些Site的路由信息,可以向外哪些Site的路由信息。PE根据BGP扩展的信息进行路由计算,生成相关VPN的路由表。
通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡,从而提供骨干网的稳定性。
MPLS BGP三层VPN适用于固定的Internet/Extranet用户,每个Site可代表Internet/Extranet的总部或分支机构。MPLS三层VPN的CE与PE设备之间只需要一条物理或逻辑链路,但PE设备必须保存多个路由表。如果在CPE或PE之间运行动态路由协议,则PE还必须支持多实例,对PE性能要求较高。PE与PE之间需要运行BGP协议,可扩展性较差,目前可通过一个或多个路由反射器解决这一问题。对于同一AS(Automated System)域的VPN,必须建立运营商之间路由器IBGP连接的PE,与路由反射器建立IBGP连接即可。
MPLS BGP三层VPN可通过与Internet路由之间配置一些静态路由的方式,实现VPN的Internet上网服务,并可为跨不同地域的、属于同一个AS但没有骨干网的运营商提供VPN互连,即提供“运营商的运营商”模式的VPN网络互连。
2.3 MPLS的优点
1.高安全性。MPLS的标记交换路径(LPS)具有与FR和ATM VCC相似的安全性;另外。MPLS VPN还集成了IPSEC加密,同时也实现了对用户透时,用户可以采用防火墙,数据加密等方法,进一步提高安全性。
2.强大的扩展性。第一,网络可以容纳的VPN数目很大;第二,同一VPN的用户很容易扩充。
3.业务的融合能力。MPLS VPN提供了数据、语音和视频三网融合的能力。
4.灵活的控制策略。可以制定特殊的控制策略,同时满足不同用户的特殊需求,实现增值服务。
5.强大的管理功能。采用集中管理的方式,业务配置和调度统一平台,减少了用户的负担。
6.服务级别协议(SLA)。目前利用差别服务、流量控制和服务级别来保证一定的流量控制,将来可以提供宽带保证以及更高的服务质量保证。
篇9
Abstract: The paper mainly introduces the components and key technologies of MPLS VPN network system and explores the application of MPLS VPN network system in railway communication.
关键词:MPLS/VPN;MPLS;铁路
Key words: MPLS/VPN;MPLS;railway
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0167-01
0引言
MPLS VPN技术目前发展迅速,初期在亚洲,2002年比2001年增长了357%,达到一定的规模后开始保持每年大约27%的增长率。目前,MPLS VPN 已经在银行、保险、运输、大型制造和连锁企业提供了端到端高质量、安全可靠的网络平台和服务。
1VPN技术概述
虚拟专用网(VPN:Virtual Private Network)指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2MPLS VPN技术介绍
MPLS VPN是基于MPLS (Multiprotocol Label Switching,多协议标记交换)技术的IP VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。
2.1 MPLS的基本原理MPLS网络包含一些基本的元素。在网络边缘的节点就称作标记边缘路由器(LER:Label Edge Router),而网络的核心节点就称作标记交换路由器(LSR:Label Switching Router)。LER节点在网络中提供高速交换功能。在MPLS节点之间的路径就叫做标记交换路径(LSP:Label Switched Path)。一条LSP可以看作是一条贯穿网络的隧道。
2.2 MPLS VPN的实现原理基于BGP的MPLS VPN中的路由器有三种:P路由器、PE路由器和CE路由器。
CE路由器(CE:Customer Edge Device)为客户边缘路由器,由客户负责维护。客户边缘(CE)设备允许客户通过连接一台或多台供应商边缘(PE)路由器的一条数据链路接入服务供应商网络。CE设备是一台IP路由器,它与直接连接的PE路由器建立邻接关系。在建立邻接后,CE路由器把站点的本地VPN路由广播到PE路由器,并从PE路由器上学习远程VPN路由。通常,PE-CE之间通过静态路由交换路由信息,也可通过RIP、OSPF、BGP、IS-IS等协议,静态路由方式可以减少因CE设备管理不善等原因造成的对骨干网BGP路由的震荡,从而提供骨干网的稳定性。
PE路由器(PE:Provider Edge Router)为运营商边界路由器,存放着VRF表和全局路由表,VRF中存放着VPN路由,全局路由表中存放着运营商的域内路由。
P路由器(Prouter:Provider Router)为运营商主干路由器,负责VPN分组外层标签的交换。供应商路由器是没有连接CE设备的供应商网络中的任何路由器。在PE路由器间转发VPN数据流量时,供应商路由器作为MPLS连接LSR使用。由于是在采用两层标记堆栈的MPLS骨干中转发流量,因此供应商路由器只需维护到供应商PE路由器的路由,而不需维护每个客户站点专用的VPN路由信息。
3MPLS VPN优势
3.1 安全性高采用MPLS作为通道机制实现透明报文传输,MPLS的标签交换路径(LSP)具有与FR和ATM VC相类似的安全性;另外,由于MPLS VPN实现对用户透明,用户还可以采用已有的手段,如设置防火墙,采用数据安全加密等方法,进一步提高安全性。
3.2 可扩展性强网络中可以容纳的VPN数目大,同一VPN中的节点容易扩充,解决了各节点全网状互联的N平方问题。
3.3 接入便利MPLS VPN提供多种接入方式,不必对原有接入设备做任何改变,保护了企业的现有网络投资。
3.4 维护成本低网络的使用与维护变得简单,便于管理和扩展,降低了网络运维与管理的人力、物力成本运。
4铁路系统应用分析
在铁路系统中,以往铁道部、铁路局、各业务部门等组织机构之间的组网,较多是以2M数字通道(E1)的方式进行,这种方式适合于数据敏感、较少节点之间互联、带宽要求不高的环境,但随着铁路系统各组织机构之间信息需求和网络节点数量逐渐增多,此组网方式在拓展线路带宽、增加网络节点上就不具备良好的扩展能力,如果要实现各节点之间全互联则线路接入费用也随N 平方的问题成倍增加,接入设备也需要作大量调整。
铁路系统应用MPLS VPN技术组网时,主要考虑有以下因素:
4.1 安全性对于较为敏感、安全级别高的应用系统,在采用MPLS VPN隔离系统基础上,可以在各节点之间进一步通过增加防火墙建立IPsec数据加密机制,从而实现通道隔离和IPsec数据加密的双重保护。
4.2 接入方式节点之间基于对等模式的数据互访,需要在互访的节点使用LAN、光纤等对称带宽的线路接入MPLS VPN网络,带宽大小根据业务需求而定。
节点之间基于C/S模式的数据互访,需要根据其应用特点在服务节点采用高带宽的线路接入,接入方式可以通常采用LAN 、光纤等。在客户端也可以同样的接入方式,但出于对成本的降低和带宽需求不高考虑,可以采用ADSL这种灵活的非对称带宽线路方式接入。
4.3 可扩展性对原有业务的网络节点增加,只需在相应节点增加接入线路即可;新增业务的网络节点只需要申请新的VPN业务,并设立各节点接入。原有业务和新增业务共同存在于运营商网络中,但互相隔离。
5结束语
以MPLS VPN为基础构架,结合其它各种VPN技术构建铁路系统的骨干网络,必将会加速推动铁路信息化建设,满足铁路系统日益增长的信息需求,同时为铁路系统带来安全、高带宽、高扩展性和较低维护费用的网络。
篇10
关键词:图书馆网络互联vpn技术
0引言
随着Internet和信息技术的快速发展,人们越来越依赖Internet进行各种数据交换和信息存取,高校信息化建设也进一步完善,应用系统逐渐丰富,图书馆信息资源得到飞速的发展,现在教师的教学、科研都离不开图书馆信息资源。
然而对于图书馆来说,基于安全和知识产权的考虑,文献信息资源并不是无限制地对外开放,图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源,大部分只允许拥有校内IP地址的授权用户访问。这样,对于某些在校外通过拨号等方式上网却没有固定IP地址的用户,以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。
此外,许多高校图书馆为了规范化管理,均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务,势必存在许多安全隐患,为了安全起见一般采用独立成网,但是这种做法费用高而且不灵活。若能在校园网的基础上架构一个安全、可靠的专用虚拟网络,专供图书馆管理系统使用,既廉价又方便。
本文介绍了运用VPN技术来解决以上问题的方案。
1VPN描述
1.1VPN的定义VPN(VirtualPrivateNetwork,虚拟专用网)是一种通过对网络数据进行封包和加密,在公网如因特网上传输私有数据,同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能[1]。
1.2VPN的主要特点
1.2.1网际互联安全性高[2]VPN技术继承了现有网络的安全技术,并结合了下一代IPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
1.2.2经济实用、管理简化[3]由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
1.2.3可扩展性好[4]如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
1.2.4支持多种应用由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
1.2.5有效实现网络资源共建共享在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
2利用VPN实现图书馆网络互联
要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理,并有效地利用各总馆与分馆的资源,进行内部业务交流和开展读者服务工作,必须解决两个问题:第一,要建立图书馆网络间的安全通道,保护链路的通讯安全。第二,要根据身份认证实现图书馆网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。
2.1采用自建方式构建VPN网络虽然可以通过ISP(InternetServiceProvider,网络服务提供商)的中心交换设备来构建专用通道,但公共图书馆内部局域网互联速度相对较快,所以图书馆VPN网络互联宜采用自建的方式。其优势如下:①多数公共图书馆都具备良好的计算机基础设施和内联局域网,接入因特网带宽有百兆、甚至千兆,而总馆在这方面的优势更加突出。在此基础上自建VPN,既便捷又经济。②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略,满足不同级别的安全需要。
2.2VPN类型的选择目前国内高校大多采用IPSec(IPSecurity)VPN技术来解决校外用户访问校图书馆问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接入方案面对越来越多终端站点时,已日渐显得力不从心。
在此情况下,SSL(SecruitySocketLayer)VPN技术应运而生。SSLVPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSLVPN公认的三大好处:一是它不需要配置,可以立即安装立即生效和使用;二是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;三是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的InternetIP即可成功接入图书馆。
但SSLVPN并不能取代IPSecVPN,因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过Intemet建立安全连接,是实现点对点之间的通信。并且,IPSec工作于网络层,不局限于Web应用。从高校应用来看,由于SSL接人方式下所有用户的访问请求都是从SSLVPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说,集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时,就极易造成该IP被禁用,从而导致所有SSL用户无法继续访问图书馆。
为解决这个问题,可以将图书馆大量的校外用户分为两类,一类是使用图书馆资源较为频繁、访问数据量较大的用户(比如教师,但用户数量少);另一类则是使用次数较少、访问数据不多的用户(比如学生,但用户将数量多)。通过用户划分,我们给教师用户分配IPSec接入方式,这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题;而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSLVPN无需部署客户端的特性来降低客户端的维护工作量,从而实现VPN在图书馆应用的快速部署。
目前,许多VPN产品都能提供多种VPN接入形式,如:CiscoASA5500系列可以在单一平台上提供IPSec和基于SSL(SecureSocketsLayer,安全套协议)的VPN服务,避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。
2.3VPN支持的认证技术一个VPN系统应支持标准的认证方式,如基于机器特征码、数字证书技术、远程用户拨号认证系统(RADIUS,RemoteAuthenticationDialInUserService)认证、基于公开密钥基础设施(PKI,PublicKeyInfrastructure)[5]的证书认证以及逐渐兴起的生物识别技术等等。另外,还要提供基于用户组策略的认证。
2.4VPN接入控制的选择机制为了方便网络使用者(包括馆员、读者、管理部门等等)互联,所有局域网内部的用户都必须有使用VPN服务器的权限。因此,接入控制显得比其他两种隧道形式更为重要。可以采用两级的控制机制,粗度的接入控制交给VPN服务器来完成,VPN服务器上的安全策略数据库(SPD,SafetyPolicyDatabase)可以实现基于类似于用户组级别的控制,既把所有用户划分为不同等级的组来配置接入控制策略。细度的接入控制将由独立的认证服务器来完成,可以使局域网共享一个证书机构CA(CertificateAuthority,数字证书认证中心)和安全策略服务器,由它来管理和发放数字证书,实现对控制资源的访问。
2.5VPN数据安全采用分级处理方式数据安全包括数据加密、完整性检测和抗篡改。VPN技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上,采用分级处理方式,对不同的等级的用户配置不同的数据安全策略,把用户分为普通级、普通加密级、高级加密级。对在普通级的用户通讯数据(例如:读者访问图书馆电子资源)配置为不使用任何加密的安全策略;普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略;高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。
2.6VPN的设备选择对于设备的选择,可以根据自己的实际情况,结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。最好选择集成防火墙功能的VPN产品,以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS(DenialofService,拒绝服务)攻击和入侵威胁,提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。
3总结
总之,VPN新技术综合传统数据网络的安全性和较好的服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道,满足了用户对网络带宽、接入和服务不断增加的需求,在高校图书馆中构建以公众网为基础的虚拟专用网(VPN)系统,能有效解决当前高校图书馆资源的远程利用问题和资源统一管理问题。随着VPN技术的日益成熟,VPN必将成为未来图书馆互联网络的主要发展方向。
参考文献:
[1]焦青亮.虚拟网络VPN综述[J].黑龙江科技信息.2007(1):54.
[2]唐淑娟,秦一方,井向阳.VPN技术与图书馆资源远程利用[J].情报探索.2007(1):49-51.
[3]韩明明.VIP技术在高校图书馆中的应用探讨[J].高校图书情报论坛.2007(1):43-45.