vpn技术论文十篇-ag尊龙app
时间:2023-04-09 00:47:33 凯时k66会员登录的版权声明
vpn技术论文篇1
关键词:虚拟专用网vpn远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、vpn技术简介
vpn(virtualprivatenetwork)即虚拟专用网络,指的是依靠isp(internet服务提供商)和其他nsp(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
vpn可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,vpn技术无疑给我们提供了一个很好的解决思路。vpn可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和internet安全对接的成本。vpn的应用建立在一个全开放的internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和internet用户的接入,以实现安全快捷的网络连接。
二、基于internet的vpn网络架构及安全性分析
vpn技术类型有很多种,在互联网技术高速发展的今天,可以利用internet网络技术实现vpn服务器架构以及客户端连接应用,基于internet环境的vpn技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对vpn的常规需求。
2.1internet环境下的vpn网络架构internet环境下的vpn网络包括vpn服务器、vpn客户端、vpn连接、隧道等几个重要环节。在vpn服务器端,用户的私有数据经过隧道协议和和数据加密之后在internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于internet环境的企业vpn网络拓扑结构。
2.2vpn技术安全性分析vpn技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用ip协议以安全方式在internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。vpn的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是vpn技术的核心问题,目前,vpn的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问vpn服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给vpn性能的稳定带来极大的影响。因此制定vpn方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过vpn管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是vpn方案应用的关键。因此vpn方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、windows环境下vpn网络的设计与应用
企业利用internet网络技术和windows系统设计出vpn网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,vpn服务端需要建立在windows服务器的运行环境中,客户端几乎适用于所有的windows操作系统。下面以windows2003系统为例介绍vpn服务器与客户端的配置。
3.1windows2003系统中vpn服务器的安装配置在windows2003系统中vpn服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1vpn服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准vpn配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或vpn)”;外网使用的是internet拨号上网,因此在弹出的窗口中选择“vpn”;下一步连接到internet的网络接口,此时会看到服务器上配置的两块网卡及其ip地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的ip地址,新建一个指定的起始ip地址和结束ip地址。最后,“设置此服务器与radius一起工作”选否。vpn服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到vpn服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或vpn)”选项组下选择“允许访问”,即赋予了远端用户拨入vpn服务器的权限。
3.2vpn客户端配置vpn客户端适用范围更广,这里以windows2003为例说明,其它的windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“vpn服务器选择”窗口里,输入vpn服务端地址,可以是固定ip,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上vpn服务器端。:
3.3连接后的共享操作当vpn客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业oa,erp等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(vpn)技术为信息集成与优化提供了一个很好的凯时k66会员登录的解决方案。vpn技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。vpn技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
vpn技术论文篇2
论文关键词:vpn,校园网,远程访问
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内oa系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 vpn工作原理及其主要优点
虚拟专用网vpn(virtual private network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的ip网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
vpn并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时vpn 又具有专线的数据传输功能,因为vpn 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。vpn在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。vpn的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的vpn架构中,以致他们可以在任何地方,通过internet网络访问校园网内部资源。(3)良好的安全性。vpn架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。vpn 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的vpn技术选择及对策
选择适当的vpn技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
vpn 可分为软件vpn和硬件vpn。软件vpn 具有成本低、实施方便等优势。若是采用windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件vpn必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件vpn能穿透nat (network address translation)防火墙,其次是硬件vpn 安全性远远好于软件vpn。软件vpn 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件vpn的加密算法通常都较为安全,硬件vpn 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的凯时k66会员登录的解决方案,可以轻松实现远程实施和维护,相比之下软件vpn 的后期维护显得较为复杂。
目前vpn主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如vpn 隧道类型现就有l2tp (layer 2tunneling protoco1)、ip sec (internet protocol security)、ssl (secure sockets layer)等,加密算法有des (data encryption standard)、3des (triple des)、aes(advanced encryption standard)等,在构建vpn连接时应根据实际情况进行选用。
3.2 技术对策
vpn产品的性价比不同,对vpn硬件设备的选型也应视需求而定。例如,在构建vpn连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成vpn功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立vpn网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 vpn网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的vpn访问。远程客户端要通过浏览器访问主校区的web服务器,还需建立远程客户端到主校区的单向vpn访问。
3.3.1 主校区和分校区的vpn连接
在各校区现有校园网的出口处分别安装一台vpn网关,每个校区通过该设备连接互联网。vpn网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的ip sec vpn隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成vpn功能的防火墙。此外,防火墙还应具备路由功能,支持nat技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为vpn网关,设备应可以支持上千个并发tcp/ip会话和上百个vpn 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及vpn支持的需求。对于分校区的多台计算机上网及vpn需求,选择一台可支持几十个vpn隧道的防火墙作为vpn 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网ip地址,不会做经常性的变动,可采用“基于路由的lan (局域网)到lan的vpn” 手动密钥方式,创建ip sec vpn隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的vpn连接
考虑到远程用户访问校园网络集中于主校区web服务器,远程用户到主校区的vpn连接可以采用ssl vpn模式。ssl vpn采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高vpn的安全性
虽然vpn 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的凯时k66会员登录的解决方案堵住vpn的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到vpn网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过vpn连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
[1] 戴宗坤等 vpn 与网络安全[m]. 北京: 电子工业出版社, 2002.
vpn技术论文篇3
关键词:vpn技术;电视台;应用状况
中图分类号:tp393.1 文献标识码:a 文章编号:1674-7712 (2012) 10-0040-01
一、引言
网络技术迅猛发展是社会发展的必然趋势,随之衍生的是诸多宽带多媒体技术,在多媒体技术的影响下,电信网络的业务既包括传统业务,又包括新型业务,都在宽带数据网中被传输,这无疑颠覆了人们的生活,使得各类多媒体业务推广到社会诸多领域。这样的形式下,多种宽带网络传输交换技术出现,采用这样的技术大多高带宽、业务发展局限小,具备极大的发展前景,vpn技术就是其中的一种,vpn技术在电视台也被广泛应用。
二、vpn 技术概述
(一)vpn技术含义
vpn是virtual private network的缩写,又可以称之为“虚拟专用网络”,它是一种虚拟化的网络,是在公用网络中构建,被专门用来给某些企业所使用。
对于vpn技术进行研究分析可知,成功且高效的vpn一般具有如下特点:
1.专用性与安全性。vpn技术采用加密技术手段,对利用隧道所传输的数据予以加密保护,这实现了数据的指定发送与接收,从而实现数据的专用性与安全性。2.不同质量保证。从服务质量等级角度而言,vpn可以根据不同用户的需求,提供不同等级的服务质量。以移动办公用户为例,需要vpn保证连接的广泛性与覆盖性;以专线网络为例,因为拥有较多的分支机构,所以必须保证服务的稳定性;以电视台为例,因为对视频的码率传输有一定的要求,所以必须提供足够的带宽,以解决网络时延及误码的问题。3.可实现有效管理。从vpn管理角度而言,虽然服务提供商可以实现对次要网络任务的管理,但是vpn还是要求企业将其网络管理功能予以延伸的,实现对局域网、公用网,甚至是对客户、凯时k66会员登录的合作伙伴相关网络的有效管理。不能缺少完善的vpn管理系统,以此来实现对网络风险的规避,充分发挥vpn扩展性、经济性、可靠性的优势。4.可扩充性与灵活性。电视台、视频网站等的媒介对语音、图像、数据等的传输都有特殊的要求,而vpn能够充分满足这些要求,实现对网络资源的灵活配置,也能够满足其增加带宽的需求,这就是vpn的可扩充性与灵活性。
二、vpn技术在电视台的应用
现阶段,电视事业发展迅速,很多电视台具备不同频道,每个频道又具备新闻制作网、办公网、媒资系统等诸多系统,因为不能实现各系统间的协作,这增加了重复录入与播出的麻烦,不利于实现资源共享,也提高了投资成本。为了有效规避上述不利现象,必须充分利用vpn技术,唯有如此,才能更好地推动电视台各项工作的有序进行。
(一)成功vpn方案的要求
总的来说,一个成功的vpn方案应符合以下几项要求:
1.保证地址安全。成功的vpn方案,会给予用户专用网络的地址,并具备相应的措施,保证网络地址的安全性。2.需要用户验证。成功的vpn方案,必然具备验证用户身份的功能,那些经过授权的用户,才可以去访问vpn系统。除此之外,还可以设置计费与审计功能,通过运用这些功能,就可以清晰访问vpn时间及内容。3.对数据进行加密。因为vpn方案中采用了加密技术手段,对利用隧道所传输的数据予以加密保护,这实现了数据的指定发送与接收,未经授权的用户是无法接收这些数据的,从而实现数据的专用性与安全性。4.实行密钥管理。成功的vpn方案,还能够实行密钥管理,实现对客户端与服务器的维护。5.能支持多协议。在公用网络中,实施多种协议,成功的vpn方案能够对这些协议予以支持,如ip与ipx等,不但如此,成功的vpn方案还能够充分利用互联网的优势。
从服务类型来看,vpn主要有3种类型,即企业内部虚拟网、远程访问虚拟网、企业扩展虚拟网。
(二)电视台对vpn技术的应用
1.ipsec vpn技术。ipsec是对tnternet protocol security的缩写,又可以称之为网际协议安全。它范围广泛且具有开放性,是一个标准的框架结构。ipsec是一种安全模式,这种协议模式的设立,建立在对数据传输、网络通信不安全的假设基础之上,因为有了ipsec协议的存在,使数据传输经过加密流程,能够为网络数据传输提供透明安全保障,有效防范tcp/ip通信不受窃听或篡改的侵害,对于网络攻击也能有所防范。
电视台运用ipsec vpn技术,一般都是用在人员较为集中的台外办公地点。举例说明,采用互联的方式,将台外办公地点与电视台网络中心的两台m5400相联,再采用相应的管理功能,实现对vpn系统的管理,实现两台m5400的顺利运行,对于电视台网络中心的vpn而言,台外办公地点vpn的一个分支系统。因为台外办公人员自身职责,他们自身具备不同的权限,在自身权限所允许的范围内,通过访问局域网,可以实现对电视台内部网络资源的访问。
2.ssl vpn技术。ssl vpn是secure sockets layer的缩写,又可以称为安全套接层协议。基于在外办公人员对单位内部网络资源的需求,ssl vpn技术得以迅猛发展,这是一项虚拟的专用技术,是适用于应用层的,ssl vpn技术的存在,为数据通讯的安全提供了有利的支持。
对于电视台那些在外办公又地点分散的办公人员,可以采取ssl vpn技术,通过对vpn系统管理功能的运用,实现对内网用户的有效管理,可以根据部门及职责的不同,实现不同工作组的划分与设置,给予不同工作组相应的权限。除此之外,还必须实施一定的安全策略,如微机硬件特征码认证、手机短信认证、邮件认证等,这样能够更为有效地保障电视台内网诸多系统的安全。如在电视台vpn系统的网址,可以设置电视台内部网的链接,这更方便对内部网资源的利用,有利于电视台工作效率的提升。
三、小结
在信息化建设日益发展的今天,vpn技术以其高效率、低成本的优点而被广为采用,且使用的效果良好,借着网络技术的推动作用,vpn技术具备着更大的发展前景。很多电视台顺应信息化建设的趋势,采用了vpn技术,并不断予以完善,新的业务与管理方式被启动,这必将推动电视事业的更大发展。
参考文献:
[1]程思,程家兴.vpn中的隧道技术研究[j].计算机技术与发展,2010,02
vpn技术论文篇4
关键词:ssl vpn;组网模式;隧道技术;pmtu
中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)34-7727-02
基于ssl(secure socket layer)协议的虚拟专用网络(virtual private network,vpn)已经逐渐成为人们解决internet安全问题的重要方式。由于传统网络协议在设计之初是建立在相互信赖的基础上的,从而忽视了网络安全问题,从而为今天的应用带来了巨大风险,这也是当初设计人员始料未及的事情。随着互联网规模的迅猛发展,各种新技术的不断涌现,网络攻击手段业变得多样化和复杂起来,用户对于网络安全防范变得越来越困难,从而造成巨大的人力和物力的投入,有时也难以挽回巨大的经济损失,至此,网络安全问题已经变得刻不容缓。而基于ssl的vpn网络可以使人们在任何时候任何地点安全的接入远程网络,并增加企业执行访问控制能力和安全级别,是解决远程用户访问公司敏感数据相当便捷且安全的凯时k66会员登录的解决方案。
netscape公司最早提出了ssl协议,即安全套接字,是建立两台机器之间安全协议通道的桥梁。此后经过标准化后逐渐形成了传输层安全协议(transport layer security protocol,tls)。ssl/tls协议的主要针对web服务的安全性而设计,但其明显的不足是会造成巨大的系统开销。
ssl vpn的特征是利用不同网络的基础设施构建安全通信隧道,从而使得不同网络组件和资源之间互连问题得以解决。基于ssl协议的vpn是首先将浏览器上获取的数据进行封包,然后通过回调函数或其他方法将相关数据包输送回ssl vpn服务器。客户在远端电脑执行应用程序则是通过封包转向的方式完成的,最终实现获取到企业内部服务器资料。但是由于这些传送的信息是私密的,失窃或被破坏则会所造成非常巨大损失。虽然隧道技术能够保证数据在internet上的安全,但是当远程用户使用ssl vpn访问内部网络的时候,仍然无法防止来自合法用户终端的攻击和用户终端的数据被窃取或遭到破坏。接下来,该文从ssl vpn网络的相关研究现状和组网模式以及关键技术进行展开论述,在论述ssl vpn技术自身优点的通水,也给出其存在的不足,最后给出一些可行的建议和解决方法。
1 vpn组网设计
1.1 ssl vpn 系统组网现状分析
目前,商业主流浏览器都集成了ssl协议,ssl vpn是确保访问远程网络的重要的方案之一,该方案主要依据浏览器和服务之间的数据传输,因而用户安装客户端软件。因此,ssl vpn是典型的“瘦客户端”架构,适合于用户远程安全连接,具有使简单、灵活、易用性好等突出的特点。
在传统vpn上增加ssl协议一般可以采用三种方法实现:其一,一般称之为远程访问vpn,是采用neoteris、netilla等公司生产的基于ssl协议的web安全装置,通过一个拥有专用网络相同策略的公共设施,与企业的服务器直接互联;其二,一般称之为企业内部vpn,已经获得广泛的办事机构、公司和科研院所的认可和使用,是利用相应的ssl软件,将传统ipsec vpn上获得ssl功能,可以使得传统vpn获得较高的安全策略、提高服务质量以及较好的可管理性和可靠性;其三,一般称之为企业扩展vpn,是将ssl vpn作为一种对外提供的服务,用户只需要订购这种服务即可享受ssl功能,而不需要安装软件或添加硬件。无论采用上述何种方法实现ssl功能,都需要支持4个层面的功能,即文件共享应用、c/s应用、web资源映射和网络扩展功能。
部署ssl vpn网络通道以便用户在互联网上可以随时访问ssl vpn设备,使得网络信息资源能够被用户更加方便的远程接入和使用;同时,远程用户也可以利用权限等级来访问数据中心的内部资源,从而确保ssl vpn安全的接入内部网络。使得ssl vpn具有安全、高效、可靠等突出的特征。
ssl vpn网关在整体的体系结构上设置不同于传统的vpn体系,下面就从组网结构和组网模式两个方面对ssl vpn的体系结构进行分析和讨论。
1.2 ssl vpn 组网结构
ssl vpn网关系统的显著特点是既可以作为企业网络的入口,也可以作为内网服务器群组的网关使用,对现有网络的组网结构不会造成影响,部署便捷、运行高效,下面对作为网络入口和网关进行分别介绍。
1)入口网关。ssl vpn网关系统可作为独立的电子通信设备存在;并能够集成防火墙所具有的功能。由于作为企业网络的入口网关,同时也处在整个网络的出口,该结构需要系统能够提高高度的稳定性和可靠性。如图1所示,即为典型的企业网络的入口网关组网结构示意图。
2)网关。作为网关主要是保护企业内部很多重要的服务器资源,阻止没有授权的各种访问以及来自internet网络上的非法访问和恶性攻击;同时,也不会因为在访问许多重要的网络资源时对企业网络中其它重要部分造成任何不良影响。作为企业内部网络的结构如图2所示。
1.3 ssl vpn 的组网模式
ssl vpn网关接入网络有很多不同的类型,从而也导致ssl vpn组网模式有所区别,常见的模式有单臂、双臂两种模式。
1)单臂模式。所谓单臂模式是指将ssl vpn网关作为于一台服务器使用;当内部服务器与该远程服务器进行通信时,ssl vpn网关不处在网络通讯的关键路径上。也就是说,单臂模式类似环形网络拓扑结构,当一边环路不通时,可以选择其他的路径方式实现通信。因此,单臂模式的优点是当该网络上某点出现故障时,不会影响整个网络的通信;其不足在于对于网络信息资源不能够实现全面的保护。
2)双臂模式。所谓双臂模式是指将ssl vpn 网关架接在外网与内网之间,即实现了网桥的功能。同时,该网桥也充当必要的防火墙的作用,从而实现对全网络的保护。这种结构具有很好的安全性,但也有比较明显的不足,即会降低内外网络之间数据传输的稳定性。
2 ssl vpn组网关键技术分析
2.1 安全隧道技术
所谓隧道顾名思义是连接一个网络和另一个网络的通道。在ssl vpn体系中,隧道技术是其实现的关键。网络中的隧道就是一个连接传输的分组。换句话说,就是将依据了某种协议的数据单元封装在另一种协议的数据单元中。ssl vpn的私有性就是通过数据包封装的隧道技术予以实现的。
2.2 身份认证技术
简单地说,身份认证就是确认用户的使用权限,常见的身份认证包括口令认证、智能卡认证和生物认证等等。利用身份认证得到确认后,才可以使获得用户授权,进而完成系统资源访问。当ssl开始网络通信时,通信双方都要持有各自由认证中心发放的身份证书和认证中心的公开密钥。以生物认证为例,如指纹,首先用户提交指纹到授权方,办理相应的应用授权,授权方在得到用户的订购需求和提供相应的使用费用后,发出授权。用户即可利用授权方法给出的用户名,并在登陆时提供指纹,远程服务器即可对其身份进行验证,当用户名和指纹都获得通过后,用户即可享用该网络或服务的使用权。
2.3 访问控制技术
所谓访问控制(access control)是指对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,在ssl vpn体系指由服务商对用户的身份标志、成员身份进行限制访问某些信息项或实施某些控制的机制。当定义了应用后,某些应用就可以被用户或组禁止或开放。如果需要放开这种访问权限则需要系统管理员的同意和授权,用户方可对某些订购的应用进行访问。
3 结束语
本文主要从ssl vpn的起源、概念和近几年发展现状进行展开,然后针对其组网方式和模式进行论述,最后对其涉及的几方
面的关键技术进行综述。ssl vpn技术具有先天的优点,但也存在一定的不足,有些技术实现起来相对负责,部署也较为昂贵,因此,虽然ssl vpn技术获得了广泛的应用,但还需要做进一步研究。
参考文献:
[1] 李津生,洪佩琳.下一代internet的网络技术[m]. 北京:人民邮电出版社, 2001.
[2] 王达.虚拟专用网(vpn)精解[m]. 北京: 清华大学出版社, 2004.
[3] 唐建雄. ipsec体系结构分析及实现策略[j].交通与计算机,2001(2): 41-44.
[4] ivan pepelnjak,jim guichard.mpls和vpn体系结构[m].北京:人民邮电出版社,2001: 89-126.
vpn技术论文篇5
[关键词]vpn技术无线局域网ssl vpn
[中图分类号]tp3[文献标识码]a[文章编号]1007-9416(2010)03-0091-02
随着信息产业的飞速发展,通信技术和计算机技术的融合越来越快。无线通信已经成为我们生活不可缺少的一部分。但由于其无线通信设备采用的是无线信号的空中传输,使得在无线链路中传输的信息很容易被窃听,存在很不安全的因素。严重的话甚至导致整个网络的瘫痪。为此在一个企业当中建立一个无线局域网,安全性应是头号要解决的问题。vpn是无线网络建设当中解决无线通信安全问题的一个很好的方案。本文试图就vpn技术在无线局域网中的应用做出一定的探讨。
1 vpn技术概述
vpn (virtual private network,虚拟专用网)是专用网络在公共网络如internet上的扩展。vpn通过隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的,基于internet的vpn也称为ip-vpn。所以从本质上说,虚拟专用网(vpn)是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和vpn服务器之间建立一条加密隧道,将原始数据包加密,并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包,保证了数据包在公共媒质上传送的时候,不会被非vpn 用户截取。
2 vpn技术在无线局域网中的应用分析
无线局域网因其传输介质、访问方式等原因,使得其很容易受到攻击。无线局域网常用的安全方式,如mac地址过滤、服务区标识符(ssid)匹配等存在很多明显的弊端。利用vpn技术可以为无线局域网提供更可靠的安全凯时k66会员登录的解决方案。但是从目前现状来看,vpn在无线局域网中应用实现方式主要有两种,一种是基于ipsec 的无线vpn设计,另外一种是基于ssl的无线vpn设计。但是ipsec 的无线vpn设计是较早时期vpn在无线局域网中的实现方式,随着近年来无线局域网以及vpn技术的逐渐成熟,基于ssl的无线局域网实现技术已经成为主流,本文将重点探讨基于ssl的vpn技术在无线局域网中的应用。
2.1 ssl vpn在无线局域网中应用原理及功能特点
ssl(secure socket layer,安全套接层)是一种在两台机器间提供安全通道的协议,它具有保护传输数据以及识别通信机器的功能。ssl vpn是解决远程用户访问敏感公司数据最简单最安全的解决技术。ssl vpn使用ssl协议和为终端用户提供基于http, c/s和共享文件资源的认证和安全访问。与复杂的ipsec vpn相比,ssl通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用ssl vpn,这是因为ssl内嵌在浏览器中,它不需要象传统ipsec vpn一样必须为每一台客户机安装客户端软件。ssl vpn的工作原理如图1所示:
ssl vpn的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于ssl协议的远程访问不需要在远程客户端设备上安装软件,只需使用标准web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,从而大幅降低vpn网络的实施成本。二是适用于大多数设备及系统。由于web方式的开放性,支持标准浏览器的任何设备都可以使用sslvpn进行远程访问,包括非传统设备,如pda等。三是适用于大多数操作系统。任何支持标准web浏览器的操作系统都可以作为s sl vpn的客户端进行远程访问。不管用户使用的操作系统是windows、macintosh、unix还是linux。都可以非常容易地访问到企业内部网站的资源。
2.2 ssl vpn在无线局域网中的具体应用
通过图1的示意图可以看出,ssl vpn在无线局域网网中应用的整个系统由ssl网关和web服务器以及ap组成,其中最重要的是ssl网关。网关由多个服务器组成,ldap服务器负责证书以及证书吊销列表的保存,radius服务器负责访问控制策略,dhcp服务器负责为接入网关的局域网计算机分配ip地址,ad是证书验证服务器。
对于ssl vpn来说,要保证通信的安全,必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密,消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过,端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。ssl协议通过ssl握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证,并用密钥交换技术交换通信使用的对称密钥,然后使用对称密钥加密通信数据。ssl的安全依赖于所使用的加密套件,每个加密套件使用四种算法,即:数字签名算法,消息摘要算法,密钥确立算法以及数据加密算法。
ssl vpn在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于ssl vpn服务器来说,有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证,它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后,如何有效而灵活控制客户的访问权限,是非常重要的问题,同时也是ssl vpn系统最具特色的特点之一。如何实施用户的集中化管理,通过ssl vpn控制台进行管理,更加有效的监控用户使用权限,如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个ssl vpn服务器来说,传输在整个ssl vpn系统中是一个性能的瓶颈点。
总之,随着我国网络用户的快速增长,无线网络作为有效网络的有效补充,在人们的网络生活中将会占据更加重要的地位。而vpn技术作为无线局域网的一种有效安全措施,在无线局域网中具有非常广泛的应用。
[参考文献]
[1] 刘乃安.无线局域网(wlan)――原理、技术与应用[m].西安:电子科技大学出版社,2004.
[2] 周明.ssl vpn体系结构在无线局域网中的应用与设计[j].电子科技大学.2006(4).
vpn技术论文篇6
该技术是利用互联网基础设施来实现数据的传递,运用隧道技术进行传递的数据能够是数据帧或者包,隧道技术协议将这些数据帧或者包重新进行拆解封装然后使用隧道进行传输。简而言之,即原始数据在传输地进行处理封装,通过通信隧道,到达隧道目的地后再对封装数据进行解包还原。这种技术是vpn进行信息数据传递的关键性技术。
2加密技术
加密技术就是转变和伪装信息,这样就可以有效的转换信息数据,从而保证非授权者不会窥视到这些信息数据内容;在协议栈的任意层都可以应用这种加密技术,通过实践研究表明,可以有效的加密信息数据,保证数据的安全;网络层中的加密标准为ipsec.。主机端到端的加密是网络层中最安全的加密实现方法,此外,还有一些其他的加密技术,比如加密路由器,不加密终端和第一条路由间,这种加密方法存在着一定的风险,这是因为非法分子可能采取一系列的手段来从终端到第一条路由间截获信息数据,影响到信息数据的安全性。
3qos技术
如果将隧道技术和加密技术有机的结合起来,建立起来的vpn就比较的安全,并且可以满足互相操作的要求,但是,这种vpn在企业中应用,依然在很多方面不能够符合相关的需求,针对这种问题,就可以将qos技术加入进来,在主机网络中合理科学的应用qos技术,简单来讲,就是将其应用于vpn所组件隧道,从而实现vpn性能指标提高的目的。另外,vpn的ip地址非常安全,由于vpn加密,其数据包在网络中传输时,普通用户只能看到公用ip,因此,专用的网络ip是得到保护的。
4vpn技术在网络安全中的应用
由于vpn的连接特点,用户网络中的内容在公共网络中传输就要进行加密或解密,在此过程中都必须通过协议进行,这样两个私有网络间组建vpn隧道就需要依赖各种不同的协议,ike协议以及ipsec共同使用为信息数据提供专门的身份鉴别。vpn服务器、vpn客户端以及vpn数据通道共同组建成一个完整的vpn系统,其中vpn服务器即一台用作接受以及验证vpn连接请求的计算机或别的设备等,主要用来处理信息数据的封包、解包工作。
而vpn客户端,即一台用来发起vpn连接请求的计算机或别的设备等,它也是用来处理信息数据的封包、解包工作,最后vpn数据通道,即一条组建在公共网络中的数据连接。为了保证vpn的安全性,企业网络需要安装一种网关,即可以对vpn连接进行管理的设备,这种网关可以是一个vpn软件,当然也能使一个vpn设备。
企业网络的管理者可以对vpn服务器进行设置,对敏感信息的访问权限进行设定,使没有特殊权限的用户无法使用到公司的局域网络,从而窥探到企业的核心机密。而使用了vpn技术,用户可以于任何地点接入英特网对企业的网络服务器进行访问,从普通用户来分析,就是普通用户到企业网络服务器间的点到点的连接,由于数据的传输是靠一条仿真专线进行传输,所以,用户在处理企业信息时,就仿佛在专线上一样方便。
5结束语
vpn技术论文篇7
[关键词]ip城域网;mpls vpn;网络安全性;ping;路由表 ?
1概述
mpls(multi-protocol label switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(forwarding equivalent class,转发等价类fec)的分类转发技术[1]。在mpls网络中,通过ldp(label distribution protocol,标签分配协议)动态地在邻居之间标签/fec绑定关系,建立一系列的lsp(label switching path,标签交换路径)隧道,形成逻辑上的全网状拓扑结构[2]。mpls结合了ip技术的灵活性与atm技术的安全性等优点,非常适合组建vpn(virtual private network,虚拟专用网)。在vpn中有ce(custom edge,用户接入设备)、pe(provider edge router,骨干网边缘路由器)和p(provider router,骨干网核心路由器)三种路由器。
mpls vpn工作过程:当一个ip分组由源端ce进入pe时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同vpn用户,后者用于实现分组在lsp上的高速转发)到分组头中形成标签分组;标签分组在lsp上高速透明地通过p到达骨干网对端的pe;在被去掉两层标签后,用户分组被转发到目的ce,进行vpn内部的ip转发[3]。
mpls vpn路由信息过程:pe和ce可以通过静态或动态路由协议交换路由信息,pe维护一个公网路由表和多个逻辑上分离的vpn私网路由表vrf(vpn routing/forwarding instance,路由转发实例,用于区分不同vpn用户的路由);pe对每一条vpn路由加上rd(route distinguisher,路由区分符,用于区分一台pe接收到其他pe发来的不同vrf的相同路由,并形成一条vpnv4路由)和rt(route target,路由目标rt,用于实现不同vrf之间的路由互通)属性,然后把路由更新信息发给所有的pe邻居;根据本地vrf的rt属性把vpnv4路由加入到相应的vrf中,再由本地vrf的路由协议引入并转发给相应的ce。
2 规划mpls vpn实验平台
设计与规划基于ip城域网的mpls vpn,其拓扑结构模型如图1所示:
图中mpls骨干网使用华为quidway s8016路由交换机,其中p路由器的ip地址为198.148.10.0网段,pe路由器的ip地址为204.18.68/78/88.0网段。x、y公司使用二层交换机作为ce接入mpls骨干网,组成vpnx和vpny,其中x公司cex1、cex2、ce3…的ip地址为10.1.1/2/3.0网段,vrf为mplsvpn-x,rt、rd均为65500:3,y公司cey1、cey2、cey3的ip地址为10.2.1/2/3.0网段,vrf为mplsvpn-y,rt、rd均为65500:3。
3 测试网络的安全性[ht5”]
3.1测试vpnx和vpny的连通性
采用交叉互ping的方法测试。在未禁止icmp流量和防火墙的条件下,轮流地在x或y公司的各个网段上ping对方的各个网段,利用返回的icmp包验证vpnx和vpny的连通性。测试的显示信息均为“request timed out”,说明vpnx和vpny之间的数据是隔离的。
3.2测试ce与p的连通性
在x或y公司的各个网段上ping骨干网路由器p。测试显示信息均为“request timed out”,说明vpn的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。
3.3查看p的路由信息
显示骨干网路由器p的路由信息,如图2所示:
测试结果说明:在p路由器上只有全局路由信息,用于保证骨干网的通信,而没有vpn私网路由信息,不和ce直接通信。因此,用户数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上ping不通p路由器。
3.4查看pe的路由信息
显示pe1的全局/vpnv4/bgp路由信息,如图3所示:
图中前两段显示的是pe1的全局/vpnv4路由信息。测试结果说明:在pe路由器上有全局路由信息,用于保证骨干网的通信。还有不同vpn的私网路由信息(图中的mplsvpn-x和mplsvpn-y),二者是完全隔离的,这就保证了用户vpn通信的安全。图中第三段显示的是pe1路由器的bgp路由信息。测试结果说明:用户vpn的私网路由信息是使用bgp的扩展属性透明地通过mpls骨干网传递到对端的pe,保证了vpn的安全。
4 传统专网与mpls vpn的安全性分析
传统vpn的安全保证主要靠其cug(closed user group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的dos(denial of service,拒绝服务)等攻击。但如果用户vpn的每个cpe都连到internet,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新配置每个防火墙是非常困难的。
与传统vpn不同,由于mpls vpn采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此mpls vpn完全能够提供与atm/fr vpn相类似的安全保证[4]。mpls vpn依靠转发表和分组的标签来创建一个安全的vpn,而不是依靠封装和加密技术。一个vpn包括一组ce,以及同其相连的ip man中的pe。只有pe理解vpn,ce可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个vpn依靠vpn-instance来识别成员关系。
从上面的测试可以看出,mpls vpn的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的vpn标记,因此在骨干网上vpn的数据流量是隔离的,保证了用户发送的分组被传送到正确的vpn。
另外,封闭的mpls vpn本身就具有内在的安全性。如果用户需要访问internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个vpn提供安全的连接。由于整个vpn只需要维护一种安全策略,管理起来也非常容易[5]。
5结论
通过前文的测试和理论分析,可以得出结论:mpls vpn的安全性高于传统基于ip技术组建的vpn,具有与atm/fr vpn相类似的安全性。
[参考文献]
[1] eric osborne,ajay simha.基于mpls的流量工程[m].北京:人民邮电出版社,2003:18
[2] 王达,等.虚拟专用网(vpn)精解[m].北京:清华大学出版社,2004:58-59.
[3] vivek alwayn.高级mpls设计与实施[m].北京:人民邮电出版社,2003:41-42.
vpn技术论文篇8
关键词:mpls;ip vpn;部署方案;路由器
中图分类号:tn915 文献标识码:b
文章编号:1004-373x(2008)11-063-03オ
application analysis ofip vpn based on mpls
song yanhui1,chen lin2,he linna1
(1.changsha telecommunicaions and technology vocational colledge,changsha,410015,china;
2.changsha branch,hunan mobile communication company,changsha,410015,china)オ
abstract:based on the realization ways and means of sustaining ip vpn,adopting the examples reasoning methods of certain mobile communication company,this article presents the application of mpls-vpn in detail,and especially analyzes the configuration and working course of ip vpn based on mpls,three arrang projects in practice for mpls-vpn,the advatages of mpls-vpn,finally presents the develop trend of mpls-vpn and puts forward the problems must be payed attention to in using this technology.this paper has instructional meanings for the most popular technology ofmpls applicating to ip-vpn.
keywords:mpls;ip vpn;arrang project;routerオ
mpls为ip vpn的实现提供了一种灵活的、具有可扩展性的技术基础,在mpls网络中,一项ip vpn业务可以通过多种方式来提供。一种方式是仿真第二层的ip vpn,如直接仿真帧中继;另一种方法是使用支持mpls功能的用户设备来提供这一业务。无论是哪一种方法都可以让业务提供者以一种集成的方式,在提供因特网服务的同一平台上提供这一流行业务。因此有多种支持ip vpn的方法,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持ip vpn。
本文将以实际应用的实例对mpls-vpn进行详细的分析。
1 基于mpls的ip vpn概述
1.1 基于mpls的ip vpn的结构组成
如图1所示给出了使用mpls和多协议边界网关协议来提供ip vpn业务的一种网络配置模型。这种网络模型主要由提供者(p)路由器、提供者边缘(pe)路由器、用户边缘(ce)路由器以及站点(site)组成。
提供者(p)路由器相当于核心部分的标签交换路由器(lsr),p路由器之间使用mpls协议与进程,p与pe路由器将使用ip路由协议(内部网关协议)来建立mpls核心网络中的路径,并且使用ldp实现路由器之间的标记分发。提供者边缘(pe)路由器相当于核心部分的标签边缘路由器(ler),用户边缘(ce)路由器的作用是将某个用户站点连接至pe路由器,它不使用mpls,也不必支持任何vpn的特定路由协议和信令。站点(site)是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条pe/ce链路接至vpn,而vpn是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个vpn之中。
在图1中,每个pe(pe1~pe3)都直接和属于相应vpn的用户站点相连,这些vpn都直接映射到每个vpn各自的虚拟路由中。通过使用bgp协议,pe路由器之间自动的交换特定vpn的mpls标记,并且自动的在内部vpn站点之间建立mpls隧道,这些mpls隧道能够传输一个或多个特定vpn lsps,每个vpn标记交换通道都直接与隧道两端点的站点连接。
ce(custom edge)用户site中直接与服务提供商相连的边缘设备,一般是路由器。
pe(provider edge)骨干网中的边缘设备,它直接与用户的ce相连。
p routers骨干网中不与ce直接相连的设备,只负责标签转发。
site是一个内部连通但不通过服务提供者骨干网不具有相互连通性的网络系统。
1.2 mpls ip vpn的工作过程
(1) 用户端的路由器(ce)首先通过静态路由或bgp将用户网络中的路由信息通知提供商路由器(pe),同时在pe之间采用bgp的extension传送vpn-ip的信息以及相应的vpn标记,而在pe与p路由器之间则使用igp协议相互学习路由信息,采用ldp协议进行路由信息与骨干网络中的标记的绑定。此时形成ce、pe以及p路由器中基本的网络拓扑以及路由信息。pe路由器拥有了骨干网络的路由信息以及每一个vpn的路由信息。
(2) 当属于某一vpn的ce用户数据进入网络时,在ce与pe连接的接口上可以识别出该ce属于那一个vpn,进而到该vpn的路由表中去读取下一跳的地址信息,同时在前传的数据包中打上vpn标记。为了到达目的端pe,在起始端pe中读取骨干网络的路由信息,得到下一个p路由器的地址,同时采用ldp在用户前传数据包中打上骨干网络中的标记。其中在骨干网络中,初始pe之后的p均只读取骨干网络中的标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(3) 在达到目的端pe之前的最后一个p路由器时,将骨干网络中的标记去掉,读取vpn标记,找到vpn,并送到相关的接口上,进而将数据传送到vpn的目的地址处。
2 某省移动公司mdcn 的mpls-vpn部署方案
省移动公司mdcn各区县营业厅及大型分支机构的业务,其路由包括3种情况:
(1)地市中心pe路由器(cisco7507/7206/3745/r3680e)地市中心二层交换设备(cat6509/4006/4003)区县大型分支机构ce交换设备(flexhammer24)连接,其中ce交换机之间采用光纤ge方式直连。
该方案通过在港湾flexhammer24交换机上采用vlan方式实现各区县营业厅及大型分支机构的mpls-vpn服务,boss系统、mis系统及oa系统等3个业务系统接入到港湾flexhammer24交换机。
根据业务需求,不同业务系统需要相互隔离,在港湾flexhammer24交换机划分vlan11,vlan12,vlan13共3个vlan,并为三个业务vlan分别定义mis,boss,oa,实现vlan和vrf一一对应;将港湾flexhammer24交换机 与cat 6509/4006/4003相连的两个ge端口及跟cisco7507/7206/3745/r3680e相连cat 6509上的ge/fe端口配置成trunk模式;同时在cisco7507/7206/3745/r3680epe路由器与cat6509/4006/4003相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的ip地址,分别作为vlan11,vlan12,vlan13的网关,再将各vlan(子)接口分别与miss,oa,boss三个vrf一一关联,从而实现各个业务系统的上连和相互隔离;从以上所述可以看出cat 6509/4006/4003交换机在整个过程只是作为一台普通的二层交换机使用,港湾flexhammer24交换机以trunk方式向cisco7507上传vrf/vlan信息数据,具体如图2所示。
(2) 地市中心pe路由器(cisco7507/7206/3745/r3680e)区县大型分支机构ce路由设备(cisco2620xm/quidway r2620)区县flexhammer24,其中地市中心pe路由器至区县ce路由器之间采用e1传输方式直连。
该方案通过在ce路由设备(cisco2620xm/quidway r2620)上实现实现市各区县的mpls-vpn服务。boss系统、mis系统及oa系统等3个业务系统接入到flexhammer24交换机。根据业务需求,不同业务系统需要相互隔离,在flexhammer24交换机划分vlan11,vlan12,vlan13共3个vlan;将flexhammer24与cisco2620xm/quidway r2620路由器相连的fe端口配置成trunk模式;在cisco2620xm/quidway r2620路由器与flexhammer24相连的以太网接口上划分3个逻辑(子)接口,并在每个接口配置各个业务系统对应的ip地址,分别作为vlan11,vlan12,vlan13的网关,再将各vlan(子)接口分别与mis,oa,boss三个vrf一一关联;将ce路由器cisco2620xm/quidway r2620与pe 路由器cisco7507/7206/3745/quidway r3680相连的e1链路封装frame-relay,同时在其连接的串口上为3个业务系统划分三个point to point的子接口,ce与pe 路由器之间运行ospf动态路由技术,并且ce与pe之间采用负荷分担、主-备双网络连接方式连接,能够避免单点故障,提高了网络系统高可用性。对于通过ospf从ce路由器收到的信息,都将被加入到(pe 路由器)与接收信息的接口相关的vrf中,然后这些信息将跨越mpls/vpn主干,在pe-路由器之间进行通告。从而实现各个业务系统基于路由器multi-ce方式的vpn服务,具体如图3所示。
(3) 远程营业厅通过地市pe路由器(cisco7507/7206/3745/r3680e)地市中心 ce设备(汇聚路由器cisco4500/3640)ce设备(路由器cisco2610/2510)连接。远程营业厅cisco2610/2510路由器通过e1/ddn链路接入到汇聚路由器cisco4500/3640,再通过地市中心交换机cat4006/4003与pe路由器相连,汇聚ce路由器与pe 路由器之间采用的是ospf进行交互。
因为远程营业厅只包含单一的boss业务,在4006上只需划分一个vlan,在pe 路由器可以配置一个boss vrf, pe路由器使用每-vpn ospf进程收集汇聚ce路由设备的路由信息,然后将收集到的信息重新到mp-bgp中,并跨越省公司的pe路由器进行转发,到了对端的出口路由器就通过多协议bgp收到的路由信息入到boss vrf中,并被选择性转发给ce设备,实现mpls/vpn过程,具体如图4所示。
3 mpls vpn的优势
mpls vpn是基于网络服务提供商的主干网络所提供的一种高性能的虚拟专用网技术,与其他虚拟专用网技术相比,它更能满足企业集团用户的应用要求。mpls vpn主要有以下优点:
提供无连接服务 因特网采用tcp/ip协议,是基于无连接网络技术。无连接是指两个主机在通信前不需要预先进行一些操作建立通信连接,双方的通信过程比较简单。为了在无连接的ip网络环境中保证通信的安全性,现在的mpls vpn大多采用重叠模型,在公网上使用点到点、面向连接的技术来构建vpn,这样的vpn方案无法利用无连接的ip网络提供的多种服务和便捷的网络连接。如果采用无连接技术创建vpn,则不需要设置隧道和各种加密方案,大大减少了网络的复杂性。
扩展能力强 采用点到点模式创建面向连接的vpn,例如采用vc连接的fr、atm网络,最主要的缺陷就是伸缩能力受到vc数目的限制。相反,mpls vpn采用对等模型和第三层无连接的结构来实现。对等模型不需要vpn成员节点之间互相建立连接,也无需使用隧道和vc进行连接。同时在mpls vpn中,路由表采用分布式计算由不同路由器共同维护进一步提高了网络的伸缩能力。
安全性高
mpls vpn与面向连接的vpn提供同样的安全性。正常配置情况下,一个vpn中的数据分组不会进入到另一个vpn中,mpls的安全性是通过以下方法获得:在服务商网络边缘,确保从一个用户收到的分组进入正确的vpn中,在主干网中vpn数据是互相隔离的,恶意欺骗几乎不可能发生。
易于管理
因为mpls vpn是无连接的工作模式,没有特定的点到点连接映射或需要指定的拓扑形式,可以很方便地增加或减少用户。另外,mpls vpn还支持用户自己的编址方案,方便用户网络规划管理,vpn用户编址方案与网络服务商及其他vpn用户无关。
支持服务类别设置
服务质量保证对许多vpn用户来说都是一个重要的需求。在一个mpls vpn中可以支持多级别的服务。视频、话音、图文数据等需要不同的服务质量保证,采用mpls技术后,增强了ip网络的服务能力,可以根据不同的服务质量提供不同的服务。
4 结 语
mpls是当今ip vpn的发展趋势,vpn的划分在pe节点上实现。由于信息和网络资源共享的需求,mdcn网需要同时支持很多个vpn,为了简化ip地址的规划、分配、维护,mpls来实现vpn。基于mpls的标签转发路径的vpn可以单独构成一个独立的地址空间,独立寻址,即vpn之间可以重用地址,在分配地址时不必考虑是否会与其他的vpn发生冲突,只需要考虑在本vpnブ内不冲突即可。当然在考虑vpn与internet互连时还是得通过nat等方式以避免与internet地址冲突。
参 考 文 献
[1]davie b,rekhter y.mpls-technology and applications\[m\].san francisio:morgan kaufmann publisher,2000.
[2]林华生,王文东.mpls及mpls vpn的发展现状与前景分析\[j\].信息网络,2004(4):41-43,50.
[3]徐云斌.mpls虚拟专用网络\[j\].数据通信,2000(4):13-16.
[4]白东伟,马志强,林咏梅.基于mpls的vpn\[j\].信息技术,2002(6):38-40.
[5]陈辉,周自立.利用mpls vpn构建企业网络\[j\].现代电子技术,2007,30(2):110-112.
vpn技术论文篇9
ip ran的核心技术标准为ip/mpls技术,目前中国电信集团、中国联通集团已经开始大规模部署ip ran网络。ip ran既具有传统ip技术的数据业务处理能力、柔性管道高带宽利用率、支持l3功能和时间同步能力,又融入了传统sdh网络的多业务承载,高可靠性和可维护性的特性。使得ip ran技术具有强大的生命力。在当前网络变革的背景下,ipran不但要满足当前3g等业务的承载,还能够面向lte基站与基站之间传递路由和大量集团客户对承载网络支持l3vpn的承载需求。
而ip网络的面型无连接的特性如何实现面向连接的可靠传输呢?vpn技术可以解决这个问题。利用公共网络来构建的私有专用网络称为虚拟私有网络(vpn,virtual private network)。在公共网络上组建的vpn如同企业现有的私有网络一样提供安全性、和可管理性等。
而传统的l3vpn技术只适用于以太网平面网络模式,pe在整个框架中是对等关系,无论处于网络中哪个位置,对性能的要求是相同的。这种平面结构的问题在于,如果其中某些性能较低的pe存在性能和扩展性问题的时候,实际上也制约了整个网络vpn业务的广泛覆盖能力与进一步的扩展能力。因此我们会发现mpls vpn远不像人们想象的那么便于开展,当其平面化模型遭遇通信网络建设的分层模型时,就会存在性能的不平衡现象。分层vpn技术的提出就是讨论如何的解决这一点。使的mpls vpn技术广泛的应用于ipran网络当中。
为解决可扩展性问题,bgp/mpls vpn必然要从平面模型转变为分层模型。在mpls l3vpn领域,提出了vpn互联的凯时k66会员登录的解决方案,将pe的功能分布到多个pe设备上,多个pe承担不同的角色,并形成层次结构,共同完成一个pe的功能。vpn互联把pe的功能分层实现。
如图1所示,将pe设备分成以下几个部分
upe:直接连结用户的设备称为下层pe(underlayer pe)或用户侧pe(user-end pe)。upe主要完成用户接入功能。upe维护其直接相连的vpn site的路由,但不维护vpn中其他远端site的路由或仅维护它们的聚合路由;upe为其直接相连的site的路由分配内层标签,并通过mp-bgp随vpn路由此标签给spe。
spe:连结upe并位于网络内部的设备称为上层pe(superstratum pe)或运营商侧pe(sevice provider-end pe)。spe主要完成vpn路由的管理和。spe维护其通过upe连接的vpn所有路由,包括本地和远端site的路由,但spe不远端site的路由给upe,只vpn实例的缺省路由或聚合路由,并携带标签。spe向upevpn 实例缺省路由有两种方式:1.发送所有vpn的缺省路由;2.发送指定vpn的缺省路由。
spe和upe是相对的概念。在多个层次的pe结构中,上层pe相对于下层就是spe,下层pe相对于上层就是upe。分层式pe从外部来看同传统上的pe没有区别,可以同普通pe共存于一个mpls网络。
upe和spe之间采用标签转发,只需要一个接口连接,spe不需要使用大量接口来接入用户。由于分工的不同,对spe和upe的要求也不同:spe的路由表容量大,转发性能强,但接口资源较少;upe的路由容量和转发性能较低,但接入能力强。hovpn充分利用了spe的性能和upe的接入能力。upe和spe之间的接口可以是物理接口、子接口(如vlan,pvc)或隧道接口(如 gre、lsp)。采用隧道接口时,spe和upe之间可以相隔一个ip网络或mpls网络,upe或spe发出的标签报文经过隧道传递。如果是gre隧道,要求gre支持对mpls报文的封装。
spe和upe之间运行mp-bgp,可以是mp-ibgp,也可以是mp-ebgp,这取决于upe和spe是否属于同一个as。采用mp-ibgp时,ibgp邻居之间不会相互通告路由,为了在ibgp对等体之间通告路由,spe需作为路由反射器,把来自ibgp对等体upe的vpn路由给ibgp对等体spe,但spe不作为其它pe的路由反射器。
vpn技术论文篇10
关键词:inter-as mpls vpn
随着mpls vpn凯时k66会员登录的解决方案的越来越流行,服务的终端用户的规模和范围也在增长,随着在一个特定的企业内部的站点数目越来越大,跨过一定的地理区域与另外一个服务提供商相连的可能性的需求变得非常的普遍,比如运营商的不同城域网之间或是同骨干网之间都存在着非常现实的跨越不同自治系统的问题,这些都需要一个不同于基本的mpls vpn体系结构所提供的互连模型――inter-as。rfc2547定义了inter-as mpls vpn来解决如何在两个as之间交换路由前缀和标签信息的问题。该rfc中定义了三种方案,称作optin a/b/c,如下所示:
option a:vrf-to-vrf
option b:asbr-to-asbr mp-ebgp
option c:multi-hop mp-ebgp
1. option a 背靠背vrf(back-to-back vrf)
option a的特点是:在asbr处,把对端asbr作为ce设备看,asbr之间通过igp传递ipv4路由。背靠背vrf作为一种过渡方案,需要建立一个vrf链路来连接两个mpls vpn as,每个as将被另一个as看作一个巨大的客户站点,如果asbr间只有一条物理链路,则需要将vrf链路配置在连接asbr之间的隧道接口上。
option a的优点是:vpn隧道构建比较简单,asbr之间不需要运行mpls;可以基于每个customer来做qos。其缺点是:(1)asbr要维护所有vpn的路由,并且要为每一个跨域的vpn分配一个接口,当vpn比较多时耗费设备资源;(2)可扩展性较差;(3)不是端到端的mpls;(4)asbr上维护所有的vpn路由,耗费设备内存。因此,仅当asbr、vrf数量相对较小且vpn相对较稳定(不会随时增加新的vpn)时,option a才是一种合适的选择
2. option b asbr间的多协议ebgp(asbr-to-asbr mp-ebgp)
option b的特点是:在asbr之间的直连口上建立mp-ebgp 实现跨域交换。进入pe时打上两层标签,外层标签用于本as内部交换,内层标签用于bgp跨域交换。当数据包到达asbr前一跳时,弹出外层标签。因此asbr会收到仅含内层标签的数据包,再在asbr之间交换vpnv4标签来实现数据的转发。
option b所有vpn用户共用一个mp-ebgp session,扩展性好,但独立性较差,asbr接收对端asbr的所有vpnv4的路由信息,并通过ibgp给本as内的所有pe路由器,而不管这些vpn路由是否必须的。asbr 仍需要维护所有的 vpn 路由,并且为每个标签分配新的标签,在本地安装新老标签转换的表项,因此对于 asbr 路由器的设备性能要求比较高。当 vpn 业务发展到一定阶段,asbr 之间的链路受限时,可以考虑 option b 跨域方法。对于一些超大型网络不太适合,但对于一般中型或大型网络是合适的。
3. option c 多跳多协议ebgp(multihop mp-ebgp)
option c的特点与option b类似,考虑到要两个asbr传递所有的vpnv4路由负担太重,可以直接让已具有vpn路由的路由反射器(rr)来传递路由,将mp-ebgp建立在rr之间,asbr之间只建立ipv4的ebgp。多跳是vpn的标签分发不是在asbr之间,而是在其他的p路由器(rr)或者pe上。这两种方法的效果和配置都一致,只不过在现实环境中,rr的路由器可能有更高的性能,再者在运营商内部处理比较快速。而pe有可能被客户攻击,有一定的安全风险。
optionc将压力转移到其他路由器上了。asbr不需要再保存着vpn label,可以认为asbr是一个p路由器了。这样运营商有更多的部署方案,可以将mp-ebgp部署到任何其认为可行的位置。但这种方式需要在域之间互相通告环回接口的路由,造成所谓的路由泄漏问题。同时由于需要建立跨域的 lsp,在管理上带来较大的麻烦。另外,由于跨域同一 vpn 的所有 pe 之间都要建立 ebgp 连接,存在严重的扩展性问题。
4. inter-as mpls vpn option ab
inter-as mpls vpn option ab也叫inter-as hybrid方式,是option a和option b的混合体,充分利用了a和b方案的优点,克服了两种方案的一些缺陷。option a 独立性较好,在asbr路由器上,每个vpn由vrf分离,但扩展性差,每一个vpn需要一个ebgp session;option b所有vpn用户共用一个mp-ebgp session,扩展性好,但独立性较差,asbr接收对端asbr的所有vpnv4的路由信息,并通过ibgp给本as内的所有pe路由器,而不管这些vpn路由是否必须的。option ab取option a的独立性和option b的扩展性混合而成,使用vrf过滤和区分vpnv4路由,共用一个mp-ebgp session所有vpn用户的路由。
mpls vpn inter-as option ab有两种模式:一是非csc(运营商的运营商)模式,在asbr间以ip报文的方式传送报文,适用 于普通inter-as mpls vpn的应用;二是csc模式,在asbr间以mpls标签交换的方式传送报文,适用于inter-as csc mpls vpn(自治系统间运营商的运营商mpls vpn)的应用。■
参考文献
[1]毕伟英.贾志刚 浅析mpls vpn网络的特点[j]-数字技术与应用2014(2)
[2]李维贤. 跨域mpls vpn技术的实施研究[j]-电信工程技术与标准化2014(8)
- 上一篇:
- 下一篇:
vpn技术论文范文
时间:2023-04-09 00:47:33 阅读:0
推荐度: