序論:在您撰寫vpn技術(shù)論文時��,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞vpn��;虛擬專用網(wǎng)�;SSLVPN;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)�����,是一項(xiàng)迅速發(fā)展起來的新技術(shù)�����,主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)���。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)�,僅在效果上和真正的專用網(wǎng)一樣,故稱之為虛擬專用網(wǎng)��。在虛擬專用網(wǎng)中���,任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路�����,而是利用某種公眾網(wǎng)的資源動態(tài)組成的��。一個網(wǎng)絡(luò)連接通常由客戶機(jī)���、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成����,不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)��,使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容���,就好像建立了一條可信賴的隧道�����。該技術(shù)也是基于TCP/IP協(xié)議的���。
2隧道技術(shù)的實(shí)現(xiàn)
假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng),其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0���。顯然���,這兩個部門若利用因特網(wǎng)進(jìn)行通信,則需要分別擁有具有合法的全球IP的路由器���。這里假設(shè)部門A��、B的路由器分別為R1�����、R2��,且其全球IP地址分別為125.1.2.3和192.168.5.27�����,如圖1所示�。
圖1
現(xiàn)在設(shè)部門A的主機(jī)X向部門B的主機(jī)Y發(fā)送數(shù)據(jù)報,源地址是20.1.0.1而目的地址是20.2.0.3��。該數(shù)據(jù)報從主機(jī)X發(fā)送給路由器R1�。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進(jìn)行加密,然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報����,這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3,而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27��。路由器R2收到R1發(fā)送的數(shù)據(jù)報后�����,對其進(jìn)行解密����,恢復(fù)出原來的內(nèi)部數(shù)據(jù)報,并轉(zhuǎn)發(fā)給主機(jī)Y���。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸����。
3軍隊院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想
隨著我軍三期網(wǎng)的建設(shè)����,VPN技術(shù)也可廣泛應(yīng)用于軍隊院校的校園網(wǎng)建設(shè)之中。這是由軍隊院校的實(shí)際需求所決定的���。首先��,軍隊的特殊性要求一些信息的傳達(dá)要做到安全可靠��,采用VPN技術(shù)會大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃?����;第二�,軍隊院校不但有各教研室和學(xué)員隊����,還包括保障部隊、管理機(jī)構(gòu)等�,下屬部門較多,有些部門相距甚至不在一個地方���,采用VPN技術(shù)可簡化網(wǎng)絡(luò)的設(shè)計和管理�����;第三��,采用了VPN技術(shù)后將為外出調(diào)研的教員�、學(xué)員們以及其它軍隊院校的用戶通過軍隊網(wǎng)訪問本校圖書館查閱資料提供便利。
而VPN技術(shù)的特點(diǎn)正好能夠滿足以上幾點(diǎn)需求����。首先是安全性,VPN通過使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級身份驗(yàn)證的方法進(jìn)行驗(yàn)證�����,這些驗(yàn)證方法包括:密碼身份驗(yàn)證協(xié)議(PAP)���、質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)�、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)����、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP),并且采用微軟點(diǎn)對點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對數(shù)據(jù)包進(jìn)行加密�。對于敏感的數(shù)據(jù),還可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔��,只有擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與VPN服務(wù)器的VPN連接����,并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源��。第二����,在解決異地訪問本地電子資源問題上���,這正是VPN技術(shù)的主要特點(diǎn)之一,可以讓外地的授權(quán)用戶方便地訪問本地的資源�����。目前�,主要的VPN技術(shù)有IPSecVPN和SSLVPN兩種。其中IPSec技術(shù)的工作原理類似于包過濾防火墻��,可以看作是對包過濾防火墻的一種擴(kuò)展����。當(dāng)接收到一個IP數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進(jìn)行匹配����。當(dāng)找到一個相匹配的規(guī)則時����,包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理�����。但是IPSec不同于包過濾防火墻的是���,對IP數(shù)據(jù)包的處理方法除了丟棄�,直接轉(zhuǎn)發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證��。而SSLVPN技術(shù)則是近幾年發(fā)展起來的新技術(shù)�����,它能夠更加有效地進(jìn)行訪問控制��,而且安全易用���,不需要高額的費(fèi)用�。該技術(shù)主要具有以下幾個特點(diǎn):第一����,安全性高�;第二��,便于擴(kuò)展�����;第三���,簡單性����;第四�����,兼容性好�����。
我認(rèn)為軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSLVPN技術(shù)���。首先因?yàn)槠浒踩院茫捎贗PSecVPN部署在網(wǎng)絡(luò)層��,因此,內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的�,只要是通過了IPSecVPN網(wǎng)關(guān),它可以在內(nèi)部為所欲為�����。因此���,IPSecVPN的目標(biāo)是建立起來一個虛擬的IP網(wǎng)����,而無法保護(hù)內(nèi)部數(shù)據(jù)的安全�,而SSLVPN則是接入企業(yè)內(nèi)部的應(yīng)用,而不是企業(yè)的整個網(wǎng)絡(luò)�����。它可以根據(jù)用戶的不同身份����,給予不同的訪問權(quán)限,從而保護(hù)具體的敏感數(shù)據(jù)�。并且數(shù)據(jù)加密的安全性有加密算法來保證。對于軍隊機(jī)構(gòu),安全保密應(yīng)該是主要考慮的方面之一�����。第二���,SSLVPN與IPSecVPN相比��,具有更好的可擴(kuò)展性��?���?梢噪S時根據(jù)需要����,添加需要VPN保護(hù)的服務(wù)器��。而IPSecVPN在部署時���,要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)��,如果增添新的設(shè)備�����,往往要改變網(wǎng)絡(luò)結(jié)構(gòu)�,那么IPSecVPN就要重新部署。第三�����,操作的復(fù)雜度低�,它不需要配置,可以立即安裝�、立即生效,另外客戶端不需要麻煩的安裝�,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四�����,SSLVPN的兼容性很好�,而不像傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件�。此外,使用SSLVPN還具有更好的經(jīng)濟(jì)性�����,這是因?yàn)橹恍枰诳偛糠胖靡慌_硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問接入;但是對于IPSecVPN來說��,每增加一個需要訪問的分支就需要添加一個硬件設(shè)備�。
雖然SSLVPN的優(yōu)點(diǎn)很多,但也可結(jié)合使用IPSecVPN技術(shù)�。因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性�,更多應(yīng)用在Web的遠(yuǎn)程安全接入方面;而IPSecVPN是在兩個局域網(wǎng)之間通過網(wǎng)絡(luò)建立的安全連接���,保護(hù)的是點(diǎn)對點(diǎn)之間的通信�����,并且��,IPSecVPN工作于網(wǎng)絡(luò)層��,不局限于Web應(yīng)用�。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)�,對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)���,而不管是哪類網(wǎng)絡(luò)應(yīng)用��,安全和應(yīng)用的擴(kuò)展性更強(qiáng)���?��?捎糜谲娦Vg建立虛擬專用網(wǎng),進(jìn)行安全可靠的信息傳送��。
4結(jié)論
總之��,VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)���,目前的運(yùn)用還不是非常地普及��,在軍隊網(wǎng)中的應(yīng)用更是少之又少����。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求�����,VPN技術(shù)將會發(fā)揮其應(yīng)有的作用�。
參考文獻(xiàn)
第2篇
關(guān)鍵詞:虛擬專用網(wǎng)VPN遠(yuǎn)程訪問網(wǎng)絡(luò)安全
引言
隨著信息時代的來臨,企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化���、結(jié)構(gòu)分布化�����、管理信息化的特征���。計算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升�,信息管理范圍不斷擴(kuò)大���,不論是企業(yè)內(nèi)部職能部門����,還是企業(yè)外部的供應(yīng)商���、分支機(jī)構(gòu)和外出人員����,都需要同企業(yè)總部之間建立起一個快速����、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境�。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信,實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源�����,成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題�。
一、VPN技術(shù)簡介
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò)�����,指的是依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)�����,通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸�,在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端(即服務(wù)端)����,用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸,到了隧道的接收端(即客戶端)�,接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。
VPN可以提供多樣化的數(shù)據(jù)��、音頻��、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境����,是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能���,具有接入方式靈活���、可擴(kuò)充性好、安全性高�����、抗干擾性強(qiáng)��、費(fèi)用低等特點(diǎn)����。它能夠提供Internet遠(yuǎn)程訪問,通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)��、遠(yuǎn)程用戶�����、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)�,此外它還提供了對移動用戶和漫游用戶的支持��,使網(wǎng)絡(luò)時代的移動辦公成為現(xiàn)實(shí)����。
隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展,基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長足發(fā)展�。根據(jù)企業(yè)的商務(wù)活動,需要一些固定的生意伙伴�、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng)�,從而簡化信息傳遞的路徑,加快信息交換的速度����,提高企業(yè)的市場響應(yīng)速度和決策速度。同時�,圍繞企業(yè)自身的發(fā)展戰(zhàn)略,企業(yè)的分支機(jī)構(gòu)越來越多����,企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問的渠道。面對越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題,VPN技術(shù)無疑給我們提供了一個很好的解決思路����。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸��,通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上��,大幅度地減少了企業(yè)����、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時間��,降低了企業(yè)局域網(wǎng)和Internet安全對接的成本���。VPN的應(yīng)用建立在一個全開放的Internet環(huán)境之中�����,這樣就大大簡化了網(wǎng)絡(luò)的設(shè)計和管理���,滿足了不斷增長的移動用戶和Internet用戶的接入,以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接���。
二�����、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析
VPN技術(shù)類型有很多種�,在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天,可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用�,基于Internet環(huán)境的VPN技術(shù)具有成本低����、安全性好、接入方便等特點(diǎn)����,能夠很好的滿足企業(yè)對VPN的常規(guī)需求。
2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器���、VPN客戶端���、VPN連接、隧道等幾個重要環(huán)節(jié)����。在VPN服務(wù)器端,用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸,通過虛擬隧道到達(dá)接收端�,接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶,最終形成數(shù)據(jù)交互����。基于Internet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�。
2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個部分組成:隧道技術(shù),數(shù)據(jù)加密和用戶認(rèn)證��。隧道技術(shù)定義數(shù)據(jù)的封裝形式��,并利用IP協(xié)議以安全方式在Internet上傳送��;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜?。挥脩粽J(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源�����。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整�����、安全地在隧道中進(jìn)行傳輸�,因此安全問題是VPN技術(shù)的核心問題�,目前���,VPN的安全保證主要是通過防火墻和路由器����,配以隧道技術(shù)���、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的����,以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器����。
在運(yùn)行性能方面�,隨著企業(yè)電子商務(wù)活動的激增,信息處理量日益增加�,網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響����。因此制定VPN方案時應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略�����,分配基于數(shù)據(jù)傳輸重要性的接口帶寬,這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則�����,又不會屏蔽低優(yōu)先級的應(yīng)用�。考慮到網(wǎng)絡(luò)設(shè)施的日益完善����、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長�,對與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全��、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵����。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負(fù)擔(dān)�,管理平臺要有一個定義安全策略的簡單方法,將安全策略進(jìn)行合理分布�,并能管理大量網(wǎng)絡(luò)設(shè)備,確保整個運(yùn)行環(huán)境的安全穩(wěn)定����。
三����、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計與應(yīng)用
企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計出VPN網(wǎng)絡(luò)�,無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路,即可實(shí)現(xiàn)遠(yuǎn)程終端對企業(yè)資源的訪問和共享���。在實(shí)際應(yīng)用中�,VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中�,客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置����。
3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”,需要對此服務(wù)進(jìn)行必要的配置使其生效���。
3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠(yuǎn)程訪問”�����,打開“路由和遠(yuǎn)程訪問”服務(wù)窗口����;鼠標(biāo)右鍵點(diǎn)擊本地計算機(jī)名��,選擇“配置并啟用路由和遠(yuǎn)程訪問”����;在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步����,進(jìn)入服務(wù)選擇窗口;標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡(分別對應(yīng)內(nèi)網(wǎng)和外網(wǎng))�����,選擇“遠(yuǎn)程訪問(撥號或VPN)”���;外網(wǎng)使用的是Internet撥號上網(wǎng)���,因此在彈出的窗口中選擇“VPN”;下一步連接到Internet的網(wǎng)絡(luò)接口����,此時會看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址,選擇連接外網(wǎng)的網(wǎng)卡����;在對遠(yuǎn)程客戶端指派地址的時候�,一般選擇“來自一個指定的地址范圍”�����,根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址���,新建一個指定的起始IP地址和結(jié)束IP地址����。最后����,“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成����。
3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上�����,因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限�����。在“管理工具”中打開“計算機(jī)管理”控制臺�����;依次展開“本地用戶和組”“用戶”����,選中用戶并進(jìn)入用戶屬性設(shè)置;轉(zhuǎn)到“撥入”選項(xiàng)卡�,在“選擇訪問權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問”,即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限��。
3.2VPN客戶端配置VPN客戶端適用范圍更廣�,這里以Windows2003為例說明,其它的Windows操作系統(tǒng)配置步驟類似�����。
在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性����,之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c(diǎn)下一步;接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場所的網(wǎng)絡(luò)”;在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”;接著為此連接命名后點(diǎn)下一步;在“VPN服務(wù)器選擇”窗口里����,輸入VPN服務(wù)端地址����,可以是固定IP����,也可以是服務(wù)器域名;點(diǎn)下一步依次完成客戶端設(shè)置�。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼,即可連接上VPN服務(wù)器端�����。:
3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后���,即可訪問服務(wù)器所在局域網(wǎng)里的信息資源�����,就像并入局域網(wǎng)一樣適用���。遠(yuǎn)程用戶既可以使用企業(yè)OA,ERP等信息管理系統(tǒng)����,也可以使用文件共享和打印等共享資源。
四��、小結(jié)
現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計算機(jī)互聯(lián)網(wǎng)絡(luò)��,在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中��,虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個很好的解決方案�。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò),從而為企業(yè)用戶提供了一個低成本�����、高效率���、高安全性的資源共享和互聯(lián)服務(wù)�,是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸��。VPN技術(shù)在企業(yè)資源管理與配置��、信息的共享與交互、供應(yīng)鏈集中管理�����、電子商務(wù)等方面都具有很高的應(yīng)用價值����,在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。
參考文獻(xiàn):
第3篇
一�����、現(xiàn)代金融網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀
就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言���,典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個總部(省級網(wǎng)絡(luò)中心)和若干個地市分支機(jī)構(gòu)����、以及數(shù)量不等的合作伙伴和移動遠(yuǎn)程(撥號)用戶所組成�����。除遠(yuǎn)程用戶外��,其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)���。其中省級局域網(wǎng)絡(luò)是整個網(wǎng)絡(luò)系統(tǒng)的核心�,為金融機(jī)構(gòu)中心服務(wù)所在地,同時也是該金融企業(yè)的省級網(wǎng)絡(luò)管理中心��。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣�,包括遠(yuǎn)程撥號��、專線����、Internet等。
從省級和地市金融機(jī)構(gòu)的互聯(lián)方式來看��,可以分為以下三種模式:(1)移動用戶和遠(yuǎn)程機(jī)構(gòu)用戶通過撥號訪問網(wǎng)絡(luò)�����,撥號訪問本身又可分為通過電話網(wǎng)絡(luò)撥入管理中心訪問服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式���;(2)各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接�����;(3)合作伙伴(客戶��、供應(yīng)商)局域網(wǎng)通過專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接����。
由于各類金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史,其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄�����。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過程中�����,主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營運(yùn)�����。
就網(wǎng)絡(luò)信息系統(tǒng)安全而言�����,目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的����,一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施,這些措施包括利用操作系統(tǒng)��、數(shù)據(jù)庫系統(tǒng)自身的安全設(shè)施;購買并部署商用的防火墻和防病毒產(chǎn)品等����。在應(yīng)用程序的設(shè)計中,也僅考慮到了部分信息安全問題�����。應(yīng)該說這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的���,也是客觀條件限制下的必然。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計的各種版本的商用基礎(chǔ)軟件��,這些軟件通常僅具備一些基本的安全功能��,而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性��,如考慮不周很容易留下安全漏洞��。此外����,金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時并不能可靠地獲得安全保障,Internet服務(wù)提供商(ISP)采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性����,而不是保護(hù)他們的客戶不被攻擊�����,他們對于你的安全問題的反應(yīng)可能是提供建議��,也可能是盡力幫助���,或者只是關(guān)閉你的連接直到你恢復(fù)正常。因此�,總的來說金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒有達(dá)到與金融系統(tǒng)信息的重要性相稱的安全級別,有的甚至對于一些常規(guī)的攻擊手段也無法抵御����,這些都是金融管理信息系統(tǒng)亟待解決的安全問題。
二����、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求
目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅,就其攻擊手段而言可分為針對信息的攻擊��、針對系統(tǒng)的攻擊�����、針對使用者的攻擊以及針對系統(tǒng)資源的攻擊等四類,而實(shí)施安全攻擊的人員則可能是外部人員����,也可能是機(jī)構(gòu)內(nèi)部人員。
針對信息的攻擊是最常見的攻擊行為�����,信息攻擊是針對處于傳輸和存儲形態(tài)的信息進(jìn)行的����,其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi),也可以在廣域網(wǎng)上����。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性���,攻擊者可以不動聲色地竊取并利用信息��,而無慮被發(fā)現(xiàn)����;犯罪者也可以在積聚足夠的信息后驟起發(fā)難���,進(jìn)行敲詐勒索���。此類案件見諸報端層出不窮�����,而未公開案例與之相比更是數(shù)以倍數(shù)����。
利用系統(tǒng)(包括操作系統(tǒng)���、支撐軟件及應(yīng)用系統(tǒng))固有的或系統(tǒng)配置及管理過程中的安全漏洞���,穿透或繞過安全設(shè)施的防護(hù)策略,達(dá)到非法訪問直至控制系統(tǒng)的目的��,并以此為跳板��,繼續(xù)攻擊其他系統(tǒng)����。由于我國的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計的基礎(chǔ)軟件和支撐平臺,為了照顧使用的方便性而忽略了安全性,導(dǎo)致許多安全漏洞的產(chǎn)生��,如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的����,可能在系統(tǒng)中預(yù)留“后門”,因此必須采用有效的技術(shù)手段加以預(yù)防����。
針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識不強(qiáng)����、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn)�����,通過種種手段竊取系統(tǒng)權(quán)限��,通過合法程序來達(dá)到非法目的��,并可在事后嫁禍他人或毀滅證據(jù)�,導(dǎo)致此類攻擊難以取證�。
針對資源的攻擊是以各種手段耗盡系統(tǒng)某一資源,使之喪失繼續(xù)提供服務(wù)的能力,因此又稱為拒絕服務(wù)類攻擊��。拒絕服務(wù)攻擊的高級形式為分布式拒絕服務(wù)攻擊��,即攻擊者利用其所控制的成百上千個系統(tǒng)同時發(fā)起攻擊����,迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu)�,尤其是Internet以及TCP/IP協(xié)議的固有缺陷,因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒有得到大的改進(jìn)前��,難以徹底解決��。
金融的安全需求安全包括五個基本要素:機(jī)密性�、完整性、可用性����、可審查性和可控性。目前國內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動及操作層面所面臨的安全問題�����,即總部和分支機(jī)構(gòu)及合作伙伴之間在各個層次上的信息傳輸安全和網(wǎng)絡(luò)訪問控制問題�。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問題概括起來主要有:傳輸信息的安全��、節(jié)點(diǎn)身份認(rèn)證�、交易的不可抵賴性和對非法攻擊事件的可追蹤性��。
必須指出:網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境�,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)�。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案��。
三����、網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù)
解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進(jìn)行安全保護(hù)�����,抵抗各種外來攻擊�。密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶身份����、抗否認(rèn)等�。
密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一�����,實(shí)際上���,數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下�����,數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法�。一個加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)��,而且也是對付惡意軟件的有效方法����,這使得它能以較小的代價提供很強(qiáng)的安全保護(hù),在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用���。
虛擬專用網(wǎng)絡(luò)(VPN:VirtualPrivateNetwork)技術(shù)就是在網(wǎng)絡(luò)層通過數(shù)據(jù)包封裝技術(shù)和密碼技術(shù)�����,使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過“加密管道”傳播��,從而在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)�����。利用VPN技術(shù)����,金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng)���,各地的機(jī)構(gòu)就可以互相安全的傳遞信息�����;另外��,金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備����,讓自己的用戶撥號到公眾信息網(wǎng)上���,就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中����,進(jìn)行各類網(wǎng)絡(luò)結(jié)算和匯兌。
綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)�、數(shù)據(jù)加密技術(shù)��、網(wǎng)絡(luò)訪問控制技術(shù)���,并通過適當(dāng)?shù)拿荑€管理機(jī)制�,在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專用網(wǎng)絡(luò)系統(tǒng)�����,可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案�。對于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng),采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下�,極大地提高系統(tǒng)的安全性能,是一種較為理想的基礎(chǔ)解決方案�。
當(dāng)今VPN技術(shù)中對數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層(對于TCP/IP網(wǎng)絡(luò),發(fā)生在IP層)�����,從而既克服了傳統(tǒng)的鏈(線)路加密技術(shù)對通訊方式�、傳輸介質(zhì)、傳輸協(xié)議依賴性高����,適應(yīng)性差����,無統(tǒng)一標(biāo)準(zhǔn)等缺陷����,又避免了應(yīng)用層端——端加密管理復(fù)雜、互通性差��、安裝和系統(tǒng)遷移困難等問題�����,使得VPN技術(shù)具有節(jié)省成本�、適應(yīng)性好、標(biāo)準(zhǔn)化程度高�����、便于管理���、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢�����,成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個必然趨勢�����。
從應(yīng)用上看虛擬專用網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專用撥號網(wǎng)絡(luò)(VPDN)�����。虛擬企業(yè)網(wǎng)主要是使用專線上網(wǎng)的部分企業(yè)��、合作伙伴間的虛擬專網(wǎng)�;虛擬專用撥號網(wǎng)絡(luò)是使用電話撥號(PPP撥號)上網(wǎng)的遠(yuǎn)程用戶與企業(yè)網(wǎng)間的虛擬專網(wǎng)��。虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道��,構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以下條件:保證數(shù)據(jù)的真實(shí)性��,通訊主機(jī)必須是經(jīng)過授權(quán)的�����,要有抵抗地址假冒(IPSpoofing)的能力�����。保證數(shù)據(jù)的完整性,接收到的數(shù)據(jù)必須與發(fā)送時的一致�,要有抵抗不法分子篡改數(shù)據(jù)的能力。保證通道的機(jī)密性��,提供強(qiáng)有力的加密手段��,必須使竊聽者不能破解攔截到的通道數(shù)據(jù)��。提供動態(tài)密鑰交換功能和集中安全管理服務(wù)�。提供安全保護(hù)措施和訪問控制,具有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力�����,并且可以對VPN通道進(jìn)行訪問控制����。
第4篇
在南水北調(diào)自動化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照南水北調(diào)自動化業(yè)務(wù)系統(tǒng)業(yè)務(wù)網(wǎng)的高安全可靠性要求,結(jié)合南水北調(diào)中線工程需求�,一方面在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計上采用層次化結(jié)構(gòu),按照業(yè)務(wù)類別進(jìn)行物理劃分;另一方面��,利用MPLSVPN技術(shù)將各應(yīng)用系統(tǒng)在邏輯上劃分為獨(dú)立的網(wǎng)絡(luò)����。根據(jù)現(xiàn)有MPLSVPN計算機(jī)網(wǎng)絡(luò)組網(wǎng)技術(shù)���,整個網(wǎng)絡(luò)配置成一個MPLS域,將核心層�����、骨干層路由器配置成P設(shè)備���,區(qū)域?qū)雍徒尤雽勇酚善髟O(shè)備全部配置成PE設(shè)備;P和PE設(shè)備之間運(yùn)行MPLSLDP協(xié)議,所有PE路由器之間運(yùn)行MP-iBGP協(xié)議���。將接入層交換機(jī)作為CE����,經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個接入的VPN用戶建立并維護(hù)獨(dú)立的VRF�,根據(jù)CE設(shè)備接入端口的不同,控制其進(jìn)入相應(yīng)的VPN中���,實(shí)現(xiàn)與其他VPN應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離�����?��?偣?�、分公司�����、管理處的各應(yīng)用系統(tǒng)都通過專用的應(yīng)用系統(tǒng)LAN交換機(jī)接入�,局域網(wǎng)主干交換機(jī)作為CE����,經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個應(yīng)用系統(tǒng)建立并維護(hù)獨(dú)立的VRF,根據(jù)CE設(shè)備接入端口的不同����,控制其進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)VPN中,實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)和網(wǎng)管類流量的隔離�����。
2MPLSVPN互訪策略
在南水北調(diào)自動化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照MPLSVPN劃分的原則�,不同MPLSVPN之間不能互相訪問,這確保了VPN的安全可靠性���。但是���,南水北調(diào)中線干線工程自動化應(yīng)用系統(tǒng)之間存在MPLSVPN子系統(tǒng)之間�����、用戶至不同業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求�����。也就是說�,網(wǎng)絡(luò)需要方便地控制不同MPLSVPN之間的互訪����,而且要實(shí)現(xiàn)嚴(yán)格控制互訪;同時����,為保障各業(yè)務(wù)系統(tǒng)安全,需要對用戶訪問采取控制措施�。
2.1MPLSVPN子系統(tǒng)之間互訪
通過BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通過MP-BGP協(xié)議配置建立路由信息����,來達(dá)到不同VPN之間的路由擴(kuò)散;通過VPN內(nèi)部的路由器(或防火墻)做地址過濾����、報文過濾等方式控制訪問的用戶�。上述兩種方式結(jié)合使用,實(shí)現(xiàn)了子系統(tǒng)的靈活受控互訪�。
2.2應(yīng)用終端交互訪問不同MPLSVPN
2.2.1方案一
NAT方案此種方案是將多用途終端主機(jī)的業(yè)務(wù)流在CE進(jìn)行分類,不同的業(yè)務(wù)流進(jìn)行不同的靜態(tài)NAT(映射不同的IP地址)���。對每個業(yè)務(wù)系統(tǒng)的主機(jī)/服務(wù)器可以分配連續(xù)的地址空間�����,PE設(shè)備只需要維護(hù)較為簡單的路由表�����,CE配置確定后一般不需要修改��。
2.2.2方案二
PE節(jié)點(diǎn)作訪問控制在PE設(shè)備上���,通過多角色主機(jī)技術(shù),將某個VRF中指定的路由(特殊終端的路由)�,引入到另外一個VRF中,在PE的CE側(cè)接口上配置策略路由�,當(dāng)流量匹配ACL��,則重定向到VPN組�,查找并轉(zhuǎn)發(fā)����,從而實(shí)現(xiàn)不同的MPLSVPN可以同時訪問該特殊終端。
2.2.3方案三
802.1X強(qiáng)制認(rèn)證+Windows域管理802.1X協(xié)議在利用IEEE802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段�,與VRF路由表的導(dǎo)入導(dǎo)出機(jī)制結(jié)合使用,從而達(dá)到接受合法用戶接入���、保護(hù)網(wǎng)絡(luò)安全的目的��。用戶訪問其他MPLSVPN��,需要禁用���、再啟用網(wǎng)卡,重新輸入不同MPLSVPN的不同身份信息實(shí)現(xiàn)�����。顯然���,基于PE節(jié)點(diǎn)作訪問控制的方案配置簡單����,傳輸效率高�,互通網(wǎng)絡(luò)可靠性強(qiáng),無論從網(wǎng)絡(luò)實(shí)現(xiàn)�、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)管理各方面分析����,更適用于南水北調(diào)中線干線工程自動化各系統(tǒng)應(yīng)用終端交互訪問不同的MPLSVPN。
3結(jié)語
第5篇
關(guān)鍵詞:VPN隧道技術(shù)Qos
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2010)09-0083-02
1 引言
隨著我院辦學(xué)形式的轉(zhuǎn)變,先后在北京和杭州成立的相關(guān)研究所,以及在杭州的浙江技師學(xué)院分?�!��,F(xiàn)要求使各分部區(qū)能訪問主校區(qū)的校內(nèi)資源,保證連接和訪問的安��。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問校內(nèi)資源中遇到的問題����。價格上要求實(shí)惠,數(shù)據(jù)要求安全,因此虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)����、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)�。
2 VPN簡介
2.1 虛擬專用網(wǎng)
虛擬專用網(wǎng)(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機(jī)制仿真出一個私有的廣域網(wǎng)"是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)�����。所謂虛擬,是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路��。所謂專用網(wǎng)絡(luò),是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)����。
2.2 VPN的實(shí)現(xiàn)技術(shù)
VPN實(shí)現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時QoS技術(shù)對VPN的實(shí)現(xiàn)也至關(guān)重要�����。
(1)VPN訪問點(diǎn)模型�。首先提供一個VPN訪問點(diǎn)功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)�����。
(2)隧道技術(shù)��。隧道技術(shù)簡單的說就是:原始報文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道����。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP����。
2.3 VPN的主要特點(diǎn)
(1)安全保障���。雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的����、點(diǎn)對點(diǎn)的連接,稱之為建立一個隧道,可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡單�、方便、靈活,但同時其安全問題也更為突出�����。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問���。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對安全性提出了更高的要求�����。
(2)服務(wù)質(zhì)量保證(QoS)�。VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證�。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素;而對于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對于其它應(yīng)用(如視頻等)則對網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量�。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過流量預(yù)測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生�。
(3)可擴(kuò)充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時傳輸語音��、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求���。
(4)可管理性����。從用戶角度和運(yùn)營商角度應(yīng)可方便地進(jìn)行管理�、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴���。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)�。所以,一個完善的VPN管理系統(tǒng)是必不可少的��。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險���、具有高擴(kuò)展性���、經(jīng)濟(jì)性�����、高可靠性等優(yōu)點(diǎn)�����。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理����、配置管理、訪問控制列表管理�、QoS管理等內(nèi)容。
3 VPN應(yīng)用實(shí)例
利用VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松�。不論分校或遠(yuǎn)程訪問用戶的多少,只需通過互聯(lián)網(wǎng)的路徑即可進(jìn)入主校區(qū)網(wǎng)路�����。
結(jié)合我校的實(shí)際要求,采用美國網(wǎng)件產(chǎn)品FVL328�����、FVL318VPN產(chǎn)品,價格實(shí)惠,總體性能滿足要求,美國網(wǎng)件的VPN網(wǎng)絡(luò)解決方案不僅支持IPSEC等協(xié)議,以及DES���、3DES�、AES加密算法,同時還可通過IKE、共享秘鑰�����、PKI(X.509)進(jìn)行身份認(rèn)證等方式,加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性能����。
FVL328、FVS318具有支持動態(tài)DDNS組建的IPSEC VPN網(wǎng)絡(luò)的功能, 并運(yùn)用了產(chǎn)品自身的DDNS(動態(tài)域名解析)技術(shù),整個VPN系統(tǒng)網(wǎng)絡(luò)使用方便����、快速、圖形化的配置界面使維護(hù)和管理更簡單�、建設(shè)費(fèi)用低廉。VPN拓?fù)浣Y(jié)構(gòu)圖,如圖2所示:
在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網(wǎng)絡(luò)通過認(rèn)證密碼統(tǒng)一管理,形成一個集中管理的虛擬私有網(wǎng)絡(luò),VPN傳輸使用IPSEC協(xié)議��。對外安全邊界使用NETGEAR的寬帶防火墻技術(shù)屏蔽來自外部的各種可能攻擊����。
總校可采用固定的IP地址和域名,各分?�?梢陨暾垊討B(tài)拔號ADSL寬帶線路, 通過從NETGEAR的VPN設(shè)備中申請獲得免費(fèi)的DDNS(動態(tài)域名解析服務(wù)),從而可低成本地組建VPN網(wǎng)絡(luò)連接,結(jié)合美國網(wǎng)件公司的VPN防火墻FVL328和FVS318的先進(jìn)安全策略技術(shù),來實(shí)現(xiàn)實(shí)際需求和將來可能的需求. 各分院能夠直接訪問到母校的數(shù)據(jù)共享服務(wù)器資源, 同時又要保證數(shù)據(jù)能安全的在公網(wǎng)上進(jìn)行傳輸.即實(shí)現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全��、保密、高速����、穩(wěn)定的實(shí)時傳輸。
4 結(jié)語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò),用戶就節(jié)省了租用專線的費(fèi)用,在運(yùn)行的資金支出上,除了購買VPN設(shè)備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用,也節(jié)省了長途電話費(fèi)���。VPN技術(shù)戶廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機(jī)構(gòu)聯(lián)系數(shù)據(jù)的主要手段����。
參考文獻(xiàn)
[1] 石冰.VPN的構(gòu)建方法.安慶師范學(xué)院學(xué)報(自然科學(xué)版),2008,8(3).
第6篇
組播VPN是基于MPLSL3VPN來實(shí)現(xiàn)組播傳輸?shù)募夹g(shù)�。如圖1所示���,網(wǎng)絡(luò)中同時承載著兩個相互獨(dú)立的組播業(yè)務(wù):公網(wǎng)實(shí)例�、VPN實(shí)例A�����。公共網(wǎng)絡(luò)邊緣PE組播設(shè)備支持多實(shí)例��。各實(shí)例之間形成彼此隔離的平面�����,每個實(shí)例對應(yīng)一個平面。以VPN實(shí)例A為例��,組播VPN指:當(dāng)VPNA中的組播源向某組播組發(fā)送組播數(shù)據(jù)時��,在網(wǎng)絡(luò)中所有可能的接收者中��,僅屬于VPNA(即Site1�、Site3或Site5中)的組播組成員才能收到該組播源發(fā)來的組播數(shù)據(jù)。組播數(shù)據(jù)在各Site及公網(wǎng)中均以組播方式進(jìn)行傳輸���。其中�,實(shí)現(xiàn)組播VPN所需具備的網(wǎng)絡(luò)條件如下:(1)在每個Site內(nèi)支持基于VPN實(shí)例的組播����。(2)在公共網(wǎng)絡(luò)內(nèi)支持基于公網(wǎng)實(shí)例的組播。(3)PE設(shè)備支持多實(shí)例組播��,即支持基于VPN實(shí)例和公網(wǎng)實(shí)例的組播�,并支持支持公網(wǎng)實(shí)例與VPN實(shí)例之間的信息交互和數(shù)據(jù)轉(zhuǎn)換。為了滿足以上條件���,互聯(lián)網(wǎng)工程任務(wù)組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來實(shí)現(xiàn)組播VPN的標(biāo)準(zhǔn)����。MD方案的基本思想是:在骨干網(wǎng)中為每個VPN維護(hù)一棵稱為Share-MDT的組播轉(zhuǎn)發(fā)樹。來自VPN中任一Site的組播報文都會沿著Share-MDT被轉(zhuǎn)發(fā)給屬于該MD的所有PE��。MD是一個集合���,它由一些相互間可以收發(fā)組播數(shù)據(jù)的VRF組成�����。其中����,支持組播業(yè)務(wù)的VRF為MVRF�����,它同時維護(hù)單播和組播路由轉(zhuǎn)發(fā)表��。PE收到組播報文后���,如果其MVRF內(nèi)有該組播組的接收者,則繼續(xù)向CE轉(zhuǎn)發(fā)���;否則將其丟棄��。不同的MVRF加入到同一個MD中����,通過MD內(nèi)自動建立的PE間的組播隧道(MT)將這些MVRF連接在一起,實(shí)現(xiàn)了不同Site之間的組播業(yè)務(wù)互通�。每個MD會被分配一個獨(dú)立的組播地址,稱為Share-Group�。當(dāng)兩個MVRF之間通信時,用戶報文以GRE方式被封裝在骨干報文里通過MT進(jìn)行傳輸�,骨干報文的源地址為PE用來建立BGP連接所使用的接口IP地址,目的地址為Share-Group�。
2民航數(shù)據(jù)通信網(wǎng)中組播VPN的實(shí)現(xiàn)
在民航數(shù)據(jù)通信網(wǎng)中實(shí)現(xiàn)組播VPN主要需完成骨干網(wǎng)絡(luò)的準(zhǔn)備工作以及組播VPN設(shè)計與實(shí)施等工作。
2.1組播VPN的規(guī)劃設(shè)計民航ATM數(shù)據(jù)網(wǎng)華東地區(qū)ATM交換機(jī)上的RPM-PR板卡提供了MPLSVPN業(yè)務(wù)��,目前部署的MPLSVPN業(yè)務(wù)網(wǎng)絡(luò)拓?fù)錇樾切谓Y(jié)構(gòu)��,即由區(qū)域一級節(jié)點(diǎn)9槽RPM板卡作為P設(shè)備和路由反射器���,而其他節(jié)點(diǎn)均為PE設(shè)備�。華東地區(qū)ATM網(wǎng)絡(luò)中同時承載著兩個相互獨(dú)立的組播業(yè)務(wù):ATM數(shù)據(jù)網(wǎng)公網(wǎng)組播實(shí)例和名為YJCJ2的用戶私網(wǎng)組播實(shí)例��。VPN組播實(shí)例是通過在P和PE設(shè)備上部署實(shí)現(xiàn)的���,網(wǎng)絡(luò)中��,作為P和PE的RPM板卡上運(yùn)行著公網(wǎng)組播實(shí)例����,而作為PE的RPM板卡同時又運(yùn)行著用戶私網(wǎng)組播實(shí)例。公網(wǎng)的組播實(shí)例是在所有RPM板卡上開啟組播應(yīng)用����。上海虹橋和浦東機(jī)場兩個節(jié)點(diǎn)的10槽RPM板卡負(fù)責(zé)接入用戶的VPN組播業(yè)務(wù),所以需在這兩臺設(shè)備上部署MPLSVPN應(yīng)用�����,并在這兩個用戶站點(diǎn)相應(yīng)的VRF實(shí)例中開啟組播應(yīng)用���。在本案例中��,VPN用戶接入側(cè)要求使用的是PIM密集模式,而民航數(shù)據(jù)網(wǎng)MPLSVPN公網(wǎng)則使用的是PIM稀松模式�����。在MPLSVPN網(wǎng)絡(luò)中不同用戶的VPN站點(diǎn)都是彼此邏輯獨(dú)立的����,并且VPN用戶數(shù)據(jù)封裝MPLS標(biāo)簽后通過公網(wǎng)的PE和P設(shè)備進(jìn)行傳輸�。對于VPN組播來說���,數(shù)據(jù)的傳輸模式也是類似的���。PE設(shè)備通過將該VPN實(shí)例中的用戶VPN組播數(shù)據(jù)報文封裝成公網(wǎng)所能“識別”的公網(wǎng)組播數(shù)據(jù)報文進(jìn)行組播轉(zhuǎn)發(fā)。這種將私網(wǎng)組播報文封裝成公網(wǎng)組播報文的過程就叫做構(gòu)造組播隧道(MT)����。在PE上,每個VPN用戶的組播數(shù)據(jù)是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網(wǎng)構(gòu)造組播隧道��,參見圖2����。由于公網(wǎng)、VPN網(wǎng)以及用戶接入側(cè)各組播部署中都采用PIM協(xié)議啟用了組播應(yīng)用���,MPLSVPN中組播應(yīng)用包含如下的PIM鄰居關(guān)系:(1)PE-P鄰居關(guān)系:指PE上公網(wǎng)實(shí)例接口與鏈路對端P上的接口之間所建立的PIM鄰居關(guān)系���。(2)PE-PE鄰居關(guān)系:指PE上的VPN實(shí)力通過MTI收到遠(yuǎn)端PE上的VPN實(shí)例發(fā)來的PIMHello報文后建立的鄰居關(guān)系。(3)PE-CE鄰居關(guān)系:指PE上綁定VPN實(shí)例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關(guān)系��。部署公網(wǎng)組播實(shí)例需在華東地區(qū)所有相關(guān)RPM板卡開啟組播服務(wù),考慮到密集模式對RPM設(shè)備和骨干網(wǎng)資源的開銷�,在民航ATM數(shù)據(jù)網(wǎng)中使用了PIM稀松模式。根據(jù)網(wǎng)絡(luò)的物理網(wǎng)絡(luò)拓?fù)淠P?,選取上海虹橋9槽RPM板卡作為RP。
2.2組播VPN的實(shí)施運(yùn)行在MPLSVPN網(wǎng)絡(luò)中的P和PE設(shè)備上部署PIM協(xié)議�,這些設(shè)備之間會形成PE-P鄰居關(guān)系,從而使得公網(wǎng)支持組播功能�,并形成公網(wǎng)的組播分發(fā)樹。本案例中使用PIM稀松模式��,即在虹橋和浦東機(jī)場節(jié)點(diǎn)的9�����、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式�����,這樣就構(gòu)造了公網(wǎng)的PIM共享樹����。在傳輸用戶私網(wǎng)組播報文的PE上部署基于VRF實(shí)例的組播,一個VPN實(shí)例唯一制定一個Share-Group地址�。同一個VPN組播域內(nèi)的PE之間形成PE-PE鄰居���,并形成該組播域的共享組播分發(fā)樹(Share-MDT)�。在本例中就是在虹橋和浦東機(jī)場的10槽YJCJ2VRF實(shí)例中部署相應(yīng)的defaultMDT地址239.255.0.5。用戶CE設(shè)備和PE連接CE的相應(yīng)接口啟用組播�,本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關(guān)系���。本例中是在虹橋和浦東機(jī)場節(jié)點(diǎn)的相應(yīng)VPN業(yè)務(wù)端口配置PIM密集模式�。當(dāng)用戶有組播報文需要傳輸?shù)臅r候�����,就將組播報文發(fā)送給PE的VRF實(shí)例���,PE設(shè)備收到報文后識別組播數(shù)據(jù)所屬的VRF實(shí)例�。用戶私網(wǎng)的數(shù)據(jù)報文對于公網(wǎng)是透明的�����,不論數(shù)據(jù)歸屬或類別����,PE都統(tǒng)一將其封裝為公網(wǎng)組播數(shù)據(jù)報文,并以Share-Group作為其所屬的公網(wǎng)組播組���。一個Share-Group唯一對應(yīng)一個MD�����,并利用公網(wǎng)資源唯一創(chuàng)建一棵Share-MDT進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)���。在該VPN中所有私網(wǎng)組播報文��,都通過此Share-MDT進(jìn)行轉(zhuǎn)發(fā)�����。如圖3所示��,可以看到華東地區(qū)公網(wǎng)上的Share-MDT創(chuàng)建的過程����。虹橋節(jié)點(diǎn)10槽RPM向9槽RPM(RP節(jié)點(diǎn))發(fā)起加入消息�,以Share-Group地址作為組播組地址,在公網(wǎng)沿途的設(shè)備上分別創(chuàng)建(*��,239.255.0.5)表項(xiàng)���。同時虹橋浦東機(jī)場節(jié)點(diǎn)也發(fā)起類似的加入過程��,最終在MD中形成一棵以虹橋節(jié)點(diǎn)9槽RPM為根����,以虹橋��、浦東機(jī)場節(jié)點(diǎn)10槽RPM為葉的共享樹(RPT)�。隨后,虹橋和浦東機(jī)場節(jié)點(diǎn)10槽RPM的公網(wǎng)實(shí)例向公網(wǎng)RP發(fā)起注冊�����,并以自身BGP的router-id地址作為組播源地址��、Share-Group地址作為組播組地址�,在公網(wǎng)的沿途設(shè)備上分別創(chuàng)建(20.51.5.6,239.255.0.5)和(20.51.5.3��,239.255.0.5)表項(xiàng)�,形成連接PE和RP的最短路徑樹(SPT)。在PIM-SM網(wǎng)絡(luò)中���,由(*�����,239.255.0.5)和這兩棵相互獨(dú)立的SPT共同組成了Share-MDT����。虹橋節(jié)點(diǎn)PE的私網(wǎng)組播報文在進(jìn)入公網(wǎng)后,均沿該Share-MDT向浦東機(jī)場節(jié)點(diǎn)PE轉(zhuǎn)發(fā)�����。圖4是私網(wǎng)組播報文在公網(wǎng)中轉(zhuǎn)發(fā)的過程�。當(dāng)浦東機(jī)場節(jié)點(diǎn)的YJCJ2VPN用戶CE設(shè)備加入到虹橋節(jié)點(diǎn)數(shù)據(jù)源所在的組播組,此時由于這兩個站點(diǎn)部署為PIM-DM模式�,虹橋節(jié)點(diǎn)組播設(shè)備會立刻將數(shù)據(jù)推送到虹橋節(jié)點(diǎn)10槽RPM的YJCJ2VRF實(shí)例中,并通過該VPN構(gòu)建的Share-MDT在公網(wǎng)上以(20.51.5.6����,239.255.0.5)構(gòu)建的SPT進(jìn)行公網(wǎng)組播報文傳輸。當(dāng)公網(wǎng)組播報文被浦東機(jī)場10槽PE設(shè)備收到后會將其解封裝成原始的私網(wǎng)組播報文�����,并轉(zhuǎn)發(fā)給相應(yīng)的接收CE�����,最終完成用戶私網(wǎng)組播數(shù)據(jù)在MPLSVPN網(wǎng)絡(luò)中的傳輸����。
3總結(jié)
第7篇
關(guān)鍵詞:VPN�,管理����,管理技術(shù)
一���、VPN服務(wù)及其應(yīng)用
VPN�����,即Virtual Private Network�,是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò)���,如利用Internet連接企業(yè)總部及其分支�。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性�、可靠性和可管理性等,并且能夠?qū)⑼ㄟ^公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密�����。利用VPN��,企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)�����。
如果訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源�,使用者需要接入本地ISP的接入服務(wù)提供點(diǎn),即接入Internet�,然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù)����,使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線,而這非常不利于外出辦公人員的接入���。而利用VPN�,出差人員只需要接入本地網(wǎng)絡(luò)����。論文寫作,管理��。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話���,甚至可以不必接入本地ISP��,并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器����。
二、VPN管理
VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無縫延伸到公共網(wǎng)絡(luò)�����,甚至可以是企業(yè)客戶���。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù),可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營商去完成���,但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)�����。所以���,一個功能完整的VPN管理系統(tǒng)是必需的。
通過VPN管理系統(tǒng)����,可以實(shí)現(xiàn)以下目的:
1���、降低成本:保證VPN可管理的同時不會過多增加操作和維護(hù)成本。
2��、可擴(kuò)展性:VPN管理需要對日益增加的企業(yè)客戶作出快速的反應(yīng)�����,包括網(wǎng)絡(luò)軟件和硬件的平滑升級�����、安全策略維護(hù)�����、網(wǎng)絡(luò)質(zhì)量保證QOS等���。論文寫作���,管理。
3���、減少風(fēng)險:從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò)�,VPN面臨著安全與監(jiān)控的風(fēng)險。網(wǎng)絡(luò)管理要求做到允許公司分部����、客戶通過VPN訪問企業(yè)內(nèi)網(wǎng)的同時,還要確保企業(yè)資源的完整性���。
4��、可靠性:VPN構(gòu)建于公共網(wǎng)絡(luò)之上��,其可控性降低�,所有必須采取VPN管理提高其可靠性 ���。
三、VPN管理技術(shù)
1�、第二層通道協(xié)議
第二層通道協(xié)議主要有兩種,PPTP和L2TP��,其中L2TP協(xié)議將密鑰進(jìn)行加密��,其可靠性更強(qiáng)���。
L2TP提高了VPN的管理性��,表現(xiàn)在以下方面:
(1)安全的身份驗(yàn)證
L2TP可以對隧道終點(diǎn)進(jìn)行驗(yàn)證�。不使用明文的驗(yàn)證,而是使用類似PPPCHAP的驗(yàn)證方式����。論文寫作,管理�����。
(2)內(nèi)部地址分配
用戶接入VPN服務(wù)器后��,可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址����,從而方便的加入企業(yè)內(nèi)網(wǎng),訪問網(wǎng)絡(luò)資源��。地址的獲取可以使用動態(tài)分配的管理方法����,由于獲取的是企業(yè)內(nèi)部的私有地址,方便了地址管理并增加安全性���。論文寫作�,管理。
(3)網(wǎng)絡(luò)計費(fèi)
L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計���,方便計費(fèi)��。
(4)統(tǒng)一網(wǎng)絡(luò)管理
L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議���,相關(guān)的MIB也已制定完成,可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理���。
2���、IKE協(xié)議
IKE協(xié)議,即Internet Key Exchange�,用于通信雙方協(xié)商和交換密鑰。IKE的特點(diǎn)是利用安全算法��,不直接在網(wǎng)絡(luò)上傳輸密鑰��,而是通過幾次數(shù)據(jù)的交換���,利用數(shù)學(xué)算法計算出公共的密鑰��。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計算出密鑰����。使用的算法是Diffie Hellman����,逆向分析出密鑰幾乎是不可能的。
在身份驗(yàn)證方面�����,IKE提供了公鑰加密驗(yàn)證��、數(shù)字簽名�����、共享驗(yàn)證字方法����。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書實(shí)現(xiàn)身份認(rèn)證。
IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問題���,是一種通用的協(xié)議��,不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商���,還可以可以為OSPFv2 �����、RIPv2�����、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)���。
3、配置管理
可以使VPN服務(wù)器支持MIB�����,利用SNMP的遠(yuǎn)程配置和查詢功能對VPN網(wǎng)絡(luò)進(jìn)行安全的管理����。
(1)WEB方式的管理
利用瀏覽器訪問VPN服務(wù)器,利用服務(wù)器上設(shè)置的賬戶登錄�,然后將Applet下載到瀏覽器上�,就可以對服務(wù)器進(jìn)行配置�����。論文寫作�����,管理�。用戶登錄后�,服務(wù)器會只授權(quán)登錄的IP地址和登錄客戶權(quán)限,從而避免偽造的IP地址和客戶操作����。而且利用這種方式,還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點(diǎn)��。
(2)分級統(tǒng)一管理
如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大�����,可以對VPN服務(wù)器進(jìn)行統(tǒng)一配置管理����,三級網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計,然后向上層匯總�����。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等�。通過分級管理,一級網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量����、流量并進(jìn)行統(tǒng)計,分析出各地情況�,從而使用合適的方案。
4�����、IPSec策略
IPSec是一組協(xié)議的總稱��,IPsec被設(shè)計用來提供入口對入口通信安全分組通信的安全性由單個結(jié)點(diǎn)提供給多臺機(jī)器或者是局域網(wǎng)����,也可以提供端到端通信安全,由作為端點(diǎn)的計算機(jī)完成安全操作�����。上述兩種模式都可以用來構(gòu)VPN,這是IPsec最主要的用途��。
IPSec策略包括一系列規(guī)則和過濾器�,以便提供不同程度的安全級別�����。論文寫作��,管理��。在IPSec策略的實(shí)現(xiàn)中���,有多種預(yù)置策略供用戶選擇�,用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略����。IPSec策略的實(shí)施有兩種基本的方法,一是在本地計算機(jī)上指定策略���,二是使用組策略對象�����,由其來實(shí)施策略�。并且利用多種認(rèn)證方式提升VPN的安全管理性。
利用上述VPN管理技術(shù)��,可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性�、完整性,并能夠?qū)崿F(xiàn)資源的分布式服務(wù)����。以后還將結(jié)合更多的技術(shù),實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理�。其使用的領(lǐng)域也會越來越廣泛。
參考文獻(xiàn):
[1]帕勒萬等著劉劍譯.無線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社�,2002.11
[2]朱坤華,李長江.企業(yè)無線局域網(wǎng)的設(shè)計及組建研究[J].河南科技學(xué)院學(xué)報2008.2:120-123
[3]潘愛民.計算機(jī)網(wǎng)絡(luò)(第四版)[M].清華大學(xué)出版社2004.8
