時間:2022-12-21 06:15:45
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇vpn技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞 vpn;原理;特點;應用
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2011)35-0182-01
1 VPN的概念
所謂VPN(Virtual Private Network,虛擬私有網絡)是指將物理上分布在不同地點的網絡通過公用骨干網聯接而成邏輯上的虛擬子網,這里的公用網主要指Interet。為了保障信息在Internet上傳輸的安全性,VPN通過建立隧道機制實現,隧道機制可以提供一定的安全性,并且使VPN中分組的封裝方式、地址信息與承載網絡的封裝方式、地址信息無關。VPN技術采用了認證、存取控制、機密性、數據完整性等措施,以保證信息在傳輸中不被偷看、篡改、復制。
2 IPSec是VPN最常用技術之一
IPSec VPN是基于IPSec(Internet Protocol Security)規范的VPN技術或網絡的統稱。IPSec即Intenet安全協議,是IETF提供Internet安全通信的一系列規范,它提供私有信息通過公用網的安全保障。IPSec規范相當復雜,規范中包含大量的文檔。IPSec在TCP/IP協議的核心層―IP層實現,可以有效地保護各種上層協議,并為各種安全服務提供一個統一的平臺。
3 IPSec VPN工作原理
設想甲、乙兩個異地局域網需要進行通訊,因為是局域網內網IP地址不能通過INTERNET公網進行安全通訊。只有通過IPSec包封裝技術,利用Internet公網IP地址,封裝內部私網的IP數據,實現異地網絡的互通:如果甲私網IP發信給乙私網IP地址,甲局域網IP數據經甲私網IP地址傳至出口處甲地IPSec VPN網關進行加密封裝,通過INTERNET公網傳送至乙地IPSec VPN網關進行解密拆封裝后,交給乙局域網私網IP地址。相反乙私網IP地址回信給甲私網IP也是一樣過程,這樣就實現異地局域網對局域網的通訊。IPSEC引進了完整的安全機制,包括加密、認證和數據防篡改功能,保證數據通信安全正確。IPSec安全協議對數據封裝加密及身份認證使用同一密鑰,既用于加密又用于解密。私鑰加密算法非常快,特別適用于對較大的數據流執行加密轉換。IPSEC通訊的數據認證使用md5算法計算包文特征,報文還原以后,檢查這個特征碼,看看是否匹配,證明數據傳輸過程是否被篡改。
4 IPSec VPN特點
1)經濟:用戶不再承擔昂貴的固定線路的租費。DDN、幀中繼、SDH的異地租費很高,而Internet的接入費用則只承擔本地的寬帶費用,費用很低。此外VPN網關設備功能強勁但造價低廉;2)靈活: 接入靈活,不受互聯網接入運營商的限制,支持動態IP地址和NAT穿越。連接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,XDSL 或撥號都可以連接Internet。一個IPSec VPN網絡可以連接任意地點的分支,即使跨越大洋也毫不受限制。支持多分支多端口,擴展性好;3)安全: IPSec VPN最顯著特點就是它的安全性,這是它保證內部數據安全的根本。通過領先的通道協議、數據加密、過濾/防火墻、通過RADIUS、LDAP和 SecurID實現授權等多種方式保證安全。同時,VPN 設備內置專業防火墻功能,對數據包采用多維策略過濾,最大可能地防止黑客攻擊;4)可靠: VPN 設備可提供冗余機制,保證鏈路和設備的可靠性。在中心節點VPN 核心設備提供冗余CPU 、冗余電源的硬件設計。而在鏈路發生故障時,VPN交換機支持靜態隧道故障恢復功能,隧道定時巡檢機制,快速自動修復功能,確保互聯數據的安全可靠;5)方便: 技術人員可以通過管理軟件,實現遠程配置節點設備,方便管理及故障處理;
6)多業務: 通過IPSec VPN網絡可以傳送IP話音、視頻業務、數據業務,運行ERP軟件,為現代化辦公提供便利條件。
隨著互聯網及網絡技術的發展,VPN(Virtual Private Network)技術被廣泛地應用。MPLS-VPN是一種基于MPLS技術的IP-VPN,在網絡路由和交換設備上應用MPLS技術,從而簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現IP虛擬專用網絡(IP-VPN)。
2 MPLS技術概述
MPLS(Multi-Protocols Label Switching)即多協議標記交換,是一項用綁定在包中的標記(或叫標簽)通過網絡進行數據包轉發的技術。它將第二層的交換和第三層的路由技術很好地結合起來,以簡潔的方式完成了信息的傳送,把路由選擇和數據轉發分開由標簽來規定一個分組通過網絡的路徑。
3 VPN技術的概述
VPN(虛擬專用網)是利用網絡來傳輸私有信息而形成的邏輯網絡,用來在通用的網絡結構上標識閉合的用戶組。通過對網絡數據的封包和加密傳輸,在一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,從而實現在公網上完整、保密地傳輸私有數據。
4 MPLS-VPN的工作原理
MPLS-VPN則是指基于MPLS技術構建的虛擬專用網,即采用MPLS技術在公共IP網絡上構建企業IP專網,實現數據、語音、圖像多業務寬帶連接。MPLS-VPN能夠在提供原有VPN網絡所有功能的同時,提供強有力的QOS能力,具有可靠性高、安全性高、擴展能力強、控制策略靈活等特點。它把整個網絡中的路由器分為三類:用戶邊緣路由器(CE)、運營商邊緣路由器(PE)和運營商骨干路由器(P),其中PE充當IP-VPN接入路由器。MPLS-VPN的主要工作流程如下:
(1)用戶端的路由器(CE)首先通過靜態路由和BGP將用戶網絡中的路由信息通知提供商路由器(PE),同時在PE之間采用BGP的Extension傳送VPN-IP的信息以及相應的標記(VPN的標記,以下簡稱為內層標記),而在PE與P路由器之間則采用傳統的IGP協議相互學習路由信息,采用LDP協議進行路由信息與標記(骨干網絡中的標記,以下稱為外層標記)的綁定。此時,CE、PE以及P路由器基本的網絡拓撲和路由信息已經形成。PE路由器擁有了骨干網絡的路由信息以及每一個VPN的路由信息。
(2)當屬于某一個VPN的CE用戶數據進入網絡時,在CE與PE連接的接口上可以識別出該CE屬于哪一個VPN,進而到該VPN的路由表中去讀取下一跳的地址信息,同時在上傳的數據包上打上VPN標記(內層標記)。這時得到的下一跳地址為該PE作Peer的PE的地址,為了達到這個目的端的地址,同時采用LDP在用戶上傳數據包中打上骨干網絡中的標記(外層標記)。
(3)在骨干網絡中,初始PE之后的P只讀取外層標記的信息來決定下一跳,因此骨干網絡中只是簡單的標記交換。
(4)在達到目的端PE之前的最后一個P路由器時,將外層標記去掉,讀取內層標記,找到VPN并送到相關的接口上,進而將數據傳送到VPN的目的地址處。
從以上的工作過程可見,MPLS-VPN絲毫不改變CE和PE原有的配置,有新的CE加入網絡時,只需在PE上作簡單配置,其余的改動信息由IGP/BGP自動通知CE和PE。
5 MPLS-VPN的特點
(1)安全性。MPLS可以將不同VPN的通信完全隔離,使得無關用戶的通信不會混雜其中從而提高了安全性。MPLS-VPN借助MPLS技術,利用兩層標記(label),自動為不同用戶的節點間建立不同的隧道,實現了用戶流量的隔離,提供了邏輯上最大的安全性。
(2)擴展性。MPLS-VPN具有很好的網絡可擴展性,可以建立任意的連接。同一個VPN中的用戶節點數不受限制容易擴充,特別是在實現用戶節點間的全網狀通信時不需要逐條配置用戶節點間的電路。
(3)可靠性。網絡的可靠性主要靠資源的冗余度來實現。MPLS-VPN依托互聯網展開,因此設備、線路和路由都有冗余保護措施,保證了網絡的可靠性。
(4)無連接的服務。MPLS-VPN是“非面向連接的”,由于這種特性,它不需要通過建立許多點對點的隧道和加密技術來實現,這樣可大大減少網絡實現的復雜性。
(5)易于實施。由于MPLS-VPN是“非面向連接的”,且VPN信息只需要由PE來維護,對CE是透明的,網絡的擴展和實施變得相對容易。增加VPN客戶端站點時,只要簡單地將CE設備接入PE即可,所有的配置只需在PE上進行,非常易于實現和管理。
6 結束語
隨著MPLS技術和IP VPN技術的日趨成熟。MPLS技術是一種在開放的通信網上利用標簽引導數據高速、高效傳輸的新技術,它不僅能夠解決當前網絡中存在的問題,而且能支持許多新的功能,將成為重要技術在公用網上使用。可以說MPLS技術是下一代最具競爭力的通信網絡技術。
參考文獻
[1]凌永發,王杰,陳躍斌.多協議標簽交換技術的應用[J].云南民族大學學報:自然科學版,2005,14(3):64-67.
【關鍵詞】隧道;PPTP;L2TP;IPSec;VPN
Researching and Implementation of VPN Tunnel Technology
Chen qiang
(Center Hospital of Nanyang,Nanyang,China,473009)
Abstract: With the developing and improving of the Internet,more and more companies create their own private network used by Tunnel Technology.Tunneling is a method and mechanisms of encapsulate a packet within another packet,so as to accomplish transmission of private packet between two nodes.This article describes the VPN tunnel technolog, including the general technical requirements for VPN tunnel,and some tunneling protocols which is widely used.In the end I choose L2TP and IPSec by compare with some typical tunneling protocols,and implementation of remote dial-up Internet access based on L2TP by tools ,and setting security tunnel based on IPSec.
Key words: Tunneling;PPTP;L2TP;IPSec;VPN
1、VPN簡介
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它是指在公用網絡中建立專用的數據通信網絡的技術,通過對網絡數據的封包或加密傳輸,在公眾網絡上傳輸私有數據、達到私有網絡的安全級別。它為我們提供了一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。VPN實際上就是一種服務,用戶感覺好象直接和他們的個人網絡相連,但實際上是通過服務商來實現連接的。VPN還被被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
2、VPN隧道技術
當一個數據包被封裝在另一個數據包的凈荷中進行傳送時,所經過的路徑稱為隧道。隧道(Tunneling)技術就是利用一種網絡協議來傳輸另一種網絡協議的技術,它是虛擬專用網所采用的一項關鍵技術。在虛擬專用網中,原有數據包首先要通過特殊的協議重新加密封裝在另一個數據包中,然后再通過公共網絡的傳輸協議(如TCP/IP)在公共網絡中傳輸,當數據包到達虛擬專用網的 VPN設備時,VPN設備首先要對數字簽名進行核對,核對無誤后才能進行解包形成最初的形式。由于這種技術使用了一種網絡傳輸協議來傳輸另一種網絡傳輸協議,就像在公共網絡中挖出了一條數據據傳輸的專用隧道一樣,因此被稱為隧道技術。
隧道技術非常有用。首先,一個IP隧道可以調整任何形式的有效負載。使用桌面或便攜式計算機的用戶能夠透明地撥號上網來訪問他們公司的網絡。第二,隧道能夠同時調整多個用戶或多個不同形式的有效負載,這可以利用封裝技術來實現。第三,使用隧道技術訪問公司網時,公司網不會向Internet報告它的IP網絡地址。第四,隧道技術允許接受者濾掉或報告個人的隧道連接。
3、隧道協議
為創建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協議。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層,使用幀作為數據交換單位。PPTP(點對隧道協議)、L2F(第二層轉發協議)和L2TP(第二層隧道協議)都屬于第2層隧道協議,是將用戶數據封裝在PPP(點對點協議)幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層,使用包作為數據交換單位。IPSec(IP層安全協議)屬于第3層隧道協議,是將IP包封裝在附加的IP包頭中,通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于,用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。
4、隧道的實現
4.1選擇L2TP和IPSec協議
L2TP允許遠程用戶通過Internet安全地訪問企業網絡,同時結合了PPTP和L2TP的特點,特別適合組建遠程接入的VPN。而IPSec可以建立一條安全的隧道,對隧道傳輸中的數據進行加密,保證數據傳輸過程中的安全。
4.2基于L2TP的遠程撥號
由于企業用戶的移動性,通常采用遠程撥號的L2TP連接到企業內部網絡。在此用Vmware和DynamipsGUI模擬實現第二層VPN(l2tp)。路由器采用Cicso 3640-JK.BIN,實驗拓撲如圖1所示。
連接說明:R1的e0/3接口橋接在主機“本地連接”網卡上,通過該網卡接入互聯網,R2的e0/3接口和“VMware Virtual Ethernet Adapter for VMnet1”橋接。然后Vmware上的主機撥號到R1上,通過R1連入Internet。
在做完Vmware虛擬機的設置后,使用DynamipsGUI 模擬網絡環境:打開DynamipsGUI,路由器個數選2個,交換機個數0,橋接到PC,設備類型選3640,根據實驗拓撲圖,端口連接設置:Router1 E0/0 Router2 E0/0;Router1 E0/3 XPC P0/0;Router3 E0/3 XPC P0/1。
根據圖1的網絡拓撲圖,配置路由器R1和R2,使之能夠進行通訊,在配置過程中,要注意利用vpdn enable命令啟動L2TP拔號。在配置好路由器以后,就要在windows中進行拔號連接,首先要修改注冊表項,Windows2000/xp/2003 的L2TP缺省啟動證書方式的IPSEC,因此必須向Windows 添加ProhibitIpSec 注冊表值,并將該值修改為“1”以防止創建用于 L2TP/IPSec 通信的自動篩選器。然后新建L2TP撥號連接。在VPN服務器輸入要拔號的IP地址。一條用于遠程撥號上網的L2TP隧道建立完成。
4.3基于IPSec的安全隧道
雖然采用L2TP的遠程撥號連接可以更好的使企業用戶連接到企業內部網路,但是由于l2TP在傳輸數據過程中的不安全性,容易導致一些重要信息被竊取。因而通常采用IPSec保證VPN隧道的安全。網絡拓撲圖如圖5所示。
將RA的e0/0接口橋接在主機“本地連接”網卡上,RB的e0/0接口和虛擬機的網卡“VMnet1”橋接。根據實驗拓撲圖,連接對應端口
Router1 E0/0 XPC P0/0
Router2 E0/0 XPC P0/1
Router1 E0/1 Router2 E0/1
然后配置圖中的RA和RB兩個路由器使之連通,在配置過程中使用md5等加密算法來加密隧道數據傳輸,并且要啟動ipsec,配置好以后,在Windows下配置IPSec策略,完成在Windows下IPSec策略的配置,當配置好所有路由后,進行全網互通測試。測試成功后,一條基于的IPSec的安全隧道建立完成。
5、結論
隧道機制的實現是VPN技術的一個核心組件。可以說,沒有隧道機制,也就不存在所謂的VPN技術。除了VPN外,隧道機制還被應用在許多其它的場合,例如移動IP。因此,必須深入研究隧道機制的實現和部署。
參考文獻
[1] 郭聃.L2TP構建VPN[J].通訊世界,2002.
[2] 戴宗坤, 唐三瓶.VPN與網絡安全[M].北京:金城出版社,2000.
[3] 張世永.網絡安全原理與應用[M].北京:科學出版社,2002.
[4] W. Richard Stevens.TCP/IP詳解[M].北京:機械工業出版社,2000.
[5] Davis Carlton RIPSec.VPN的安全實施[M].北京:清華大學出版社,2002.
關鍵詞:VPN技術;隧道;優化
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)06-0034-03
1概述
VPN(Virtual Private Network),即虛擬專用網,它是利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并能提供與專用網絡一樣的安全和功能保障。[1]由于通過VPN技術可以實現資源的傳輸和共享,并實現了網絡環境的穩定和安全。因此,它得到了積極的推廣和應用。但其在應用過程中,隨著分支機構辦公人員數量以及需求不斷增加,多帶寬使用率的要求也越來越高,導致分支用戶業務使用不便,同時專線vpn對于移動辦公人員和各辦事處人員訪問公司的系統不能更好的支持。因此,對其進行優化也顯得十分必要。
2 VPN的應用
2.1 VPN的實現原理
VPN技術并不依靠物理上的端到端的專用連接,即沒有固定的物理連接,它是利用Internet、ATM等公用網絡設施,在兩臺直接與公網連接的計算機之間建立一條專用通道,建立起虛擬的專用通路,并利用隧道技術對數據進行封裝,使數據在具有認證和加密機制的隧道中穿越,從而實現點到點或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個雙方協商好的協議進行,這樣在兩個私有網絡之間建立VPN通道將需要一個專門的過程,依賴于一系列不同的協議。這些設備和相關的設備及協議組成了一個VPN系統。一個完整的VPN系統一般包括3個單元:VPN服務器端、VPN客戶端機和VPN數據通道。
2.2 VPN 的實現
要實現VPN連接,企業內部網絡中必需配置一臺VPN內網接入設備,該設備有雙網卡,它一方面連接企業內部網絡,另一方面連接到Internet,即VPN服務器必須有一個公用的IP地址。VPN 使用三個方面的技術保證了通信的安全性:隧道協議、身份驗證和數據加密。遠程用戶使用時根本無需關心隧道的建立、數據加密、用戶認證等過程。[3]遠程用戶采用TCP/IP 協議,選擇建立虛擬隧道,并保持原有的網絡結構、網絡資源和應用模式不變,以便實現快捷、廉價、保密的通信。
2.3 VPN的應用場景
VPN的應用場景分可分為3種:
1)站點到站點或者網關到網關:在不同的地方分支,各使用一個網關相互建立VPN隧道,企業內網(若干PC)之間的數據則通過這些網關建立的IPSec隧道實現安全互聯。
2)端到端或者PC到PC:兩臺PC之間的通信由兩臺PC之間的IPSec進行會話保護,而并不是網關。
3)端到站點或者PC到網關:兩臺PC之間的通信由網關和異地PC之間的IPSec進行保護。VPN只是IPSec的一種應用方式,它的目的是為IP提供高安全性特性,VPN則是在實現這種安全特性的方式下產生的解決方案。[4]
3 VPN的優化
3.1 優化方案設計
本方案主要是在總部和分支各部署一臺深信服(SANGFOR)加速設備,對現有專線數據傳輸進行優化。SANGFOR VPN設備支持多種加密算法、硬件證書認證、移動客戶端專線功能,能保障用戶訪問安全和數據傳輸安全。
具體方案如下:
1)通過SANGFOR設備對專線線路重復冗余的數據進行刪減、壓縮,以減少數據傳輸量,提高分支機構和總部之間響應速度;
關鍵詞:VPN;虛擬專用網;隧道技術;點對點,;虛擬網卡
1.VPN技術簡介
VPN技術是一種組網技術,綜合了加密技術和協議封裝技術,利用在公共網絡上建立加密隧道的方法,來建立一種虛擬的專用網。VPN系統有很多特點,如專用、虛擬、廉價、安全等。VPN系統安全性的基礎是虛擬實現基于某協議的封裝技術或者路由過濾技術,還有所采用的加密算法。VPN的實現方式有兩種,軟件實現或者硬件實現。在VPN技術出現以前,私有專用網絡的建設維護費用非常高昂,再加之網絡帶寬的提高和通信技術的發展,現代辦公的需要等原因,促使VPN技術的出現和快速發展。VPN的發展經歷了三個主要階段,最開始的路由過濾技術,之后的協議封裝技術,現在的應用最普遍的隧道加密技術。
在應用方面看來,VPN主要分為三個類型,企業擴展虛擬網Extranet VPN、企業內部虛擬網Intranet VPN和遠程訪問虛擬網Access VPN。其中,企業擴展虛擬網和企業內部虛擬網一般被統稱為專線VPN;遠程訪問虛擬網通常被叫做撥號VPN,也就是VPDN,Virtual Private-DIAL-UP Networks。
企業擴展虛擬網,就是不同的企業網通過公共網絡來建立虛擬網。它適合提供B2B的訪問服務,并保障其安全。Extranet VPN是通過使用一個共享基礎設施來進行專用鏈接,將感興趣的團體例如供應商戶、合作企業或者客戶與企業內部網絡進行鏈接,這些團體與企業專用網絡享有同樣的服務質量、安全性能、可靠性和管理性。
企業內部虛擬網,也是通過公網建立的虛擬網,它鏈接的是企業的各個分支機構和企業總部。Intranet VPN是通過使用一個共享基礎設施來進行專用鏈接,與企業專用網絡享有同樣的服務質量、安全性能、可靠性和管理性。
遠程訪問虛擬網,是通過公網的遠程撥號建立的虛擬網,它鏈接的對象是企業的小分支部門或者是企業的員工。Access VPN完成鏈接的方式有很多種,用戶可以根據需要選擇鏈接,例如移動IP、ISDN、XDSL、撥號等等。
2.隧道技術
前面提到,VPN技術的實現基礎,但是并不是所有VPN解決方案都使用相同的隧道技術,不同的隧道技術也有著各自的特點。首先,在隧道通信上,所使用的協議不同,但就目前來講應用層實現VPN時,采用的協議只有TCP或者UDP,它們各自有著自己的優點。另外,隧道建立的起始位置也是隨著客戶需求而變化的,主要有從網關到網關、從主機到主機和從主機到網關三種類型。
本文中,將VPN隧道建立在VPN客戶端和VPN服務器或者VPN網關和VPN網關之間,在這里所采用的技術都是在應用層實現的,所以,隧道通信中采用的網絡協議也無外乎是UDP和TCP協議。而在本技術的實現過程中,采用的是TCP協議。TCP協議有著它固有的優點,首先它是流式傳輸,這樣可以非常有效的減少IP數據包在傳輸過程中的分片。例如,假設要傳輸的IP數據包使用1500字節的MTU,如果這個IP數據包使用的是UDP協議,則根據協議棧規定,則需要在數據包中加上IP頭和UDP頭,這樣新生成的數據包就會大于之前的MTU,從而會將其拆分為兩個分段來進行傳輸,而且分段二的大小會很小,這樣不僅影響了傳輸效率,還影響了數據在傳輸過程中的安全性。相反,如果采用TCP來進行IP數據包的傳輸,則IP數據包(最后一個除外)都會是MTU的大小,這樣不僅使得傳輸效率有了非常大的提高,而且還有利于數據的安全性。但是TCP協議也有不足之處,就是TCP連接的建立和確認需要一定的網絡開銷。
在介紹過使用UDP和TCP協議建立隧道的特點后,本文采用的是TCP。在TCP協議的基礎上,隧道傳輸要經歷以下幾個過程,隧道建立、隧道傳輸和隧道拆除。這三個過程組成了一個隧道的生命周期,如圖1所示。
由上圖可以看出,隧道技術的本質就是TCP的鏈接,經過壓縮和特定方法加密后的IP數據包就在這個鏈接上進行傳輸。傳輸有兩方面參與,一方將本地加密的IP數據包傳輸到對方的網關,另一方實在接收到遠程發送的IP數據包以后,將其轉發給本地虛擬網卡。由此可見,利用隧道技術進行的數據傳輸,本質上就是TCP協議的數據傳輸,隧道傳輸在技術上的實現也是通過socket編程,除了socket本身可以提供的I/O模型以外,隧道技術還必須要解決數據收發的同步操作,為了保證數據在隧道上高效的傳輸和收發,必須建立一個合適的數據收發的I/O模型,才能滿足這個需求。一方面線程要及時發送其他線程傳輸過來的數據包,另一方面此線程還要及時接受來自隧道另一端的數據,并且盡力減少同步傳輸過程中帶來的數據損失并保證數據的安全性,所以,隧道上接收的數據是在本地線程內完成的,而發送的數據則是由另外的其他線程完成的,故數據收發的同步操作指的是本地線程和其他線程之間的數據同步。Windows平臺下對于socket實現應用程序的網絡通信同樣也是支持的,針對socket通信機制的平臺擴充,windows也提供了一些高級的編程模型,例如一些WSA開頭的Winsock函數,有效的解決了線程同步的問題。
3.點對點模式的研究
點對點模式有幾方面的實現基礎。首先,是隧道技術,本模式與隧道技術的生命周期關系非常緊密。隧道和協議之間的數據轉發問題則是由虛擬網卡來進行完成的,而VPN網絡地址空間則不需要進行一些新的規劃。當然,對與不同的用戶需求,本模式可以分出多種版本來解決移動用戶、總部分支之間的鏈接問題。
虛擬網卡在本模型中起到了非常重要的作用,它解決了數據包在隧道和協議棧之間轉發的關鍵問題。虛擬網卡在VPN網關中所處地位非常特殊,關系到IP數據包在VPN中的傳輸問題、數據轉發模型和windows平臺下的具體實現等等。
IP數據包在VPN是以以下方式傳輸的,VPN的傳輸媒介是不可靠的共享網絡,隧道技術則在公網的基礎上構建私有專用的網絡,采用 訪問控制、數據加密和身份認證等方法,使得通信安全得到保證。如前文所述,VPN的基礎是隧道技術,異地主機之間的安全通信就是依靠隧道技術完成的。TCP/IP協議是現有internet的基礎,主機之間是通過一個個的IP數據包進行通信的,隧道技術保護IP數據包不受破壞。為了達到保護數據的目的,VPN網關完成對原始數據包的加密,然后產生一個新的數據包并將其發送。
以圖2為例進行說明,VPN通信的雙方為A主機和B主機,A主機給B主機發送IP數據包,首先到達VPN的A網關,經過A網關的判斷,數據包要發送到B網絡,所以將這個IP數據包加入A網關和B網關之間的隧道傳輸等待隊列。在傳輸過程的實現上,等待傳輸隊列中的一個IP數據包首先被傳輸模塊取到,然后對于此IP數據包,進行加密并將其壓縮,即可進入隧道,發送出去。B網關接收到了加密后的數據包,將其解密,然后經過判斷發送給B主機。這樣就完成了一次數據傳輸。
在圖2傳輸過程中,數據包經過隧道從A網絡傳輸到B網絡,完成整個傳輸過程,其中最關鍵的部分在于網關。VPN網關有兩方面作用,一方面將內網的原始數據加密,然后通過隧道發送給對端網關,另一方面從隧道接收加密后的數據包,將其解密,然后發給內網目的主機。這樣可得到,關鍵就是數據包從內網到隧道的轉發功能,這個功能則是由虛擬網卡來解決的。
網關的有著對經過的IP數據包進行路由轉發的功能,也就是從一個網口接受到IP數據包,然后經過判斷從另外一個網口上發送出去。虛擬網卡就是構建在網關上的,經過網關發往B網絡的IP數據包都會經過虛擬網卡發送過去,這樣,發往B網絡的所有IP數據包都可以被虛擬網卡截獲,然后將其加密后送入隧道發送給B網關,B網關接收到IP數據包后進行解密,然后再交給虛擬網卡,虛擬網卡對其進行判斷后,將其從B網關的另外一個網口發出,
IP數據包最終將被發送給目的B主機。
虛擬網卡將IP數據包截獲以后,轉交給應用程序來進行處理。首先,應用程序中的數據交換模塊來讀取虛擬網卡上的IP數據包,然后由這個應用程序的加密模塊,將數據包進行加密處理,最后是由隧道傳輸模塊接收到加密后的數據,將其發送給對端的網關。其中VPN隧道就是一條TCP連接,建立在兩個網關之間的。UDP協議可以用來實現隧道技術。在隧道的對端,接收到IP數據包以后,處理的流程跟發送流程剛好相反,先由應用程序的解密模塊將數據進行解密,然后將其轉交給數據交換模塊,數據交換模塊再將其遞交給虛擬網卡,虛擬網卡接收到IP數據包后,根據其目的地址在內網選擇相應的內網網卡,最后內網網卡將數據送達至目的主機。虛擬網卡在這個過程中的作用是,數據包在VPN隧道和內網之間的轉發,還保證了數據的安全性。
4.總結
虛擬專用網,就是應用隧道技術再公共網絡上邏輯性地區分多個私有網絡,是一種虛擬的網絡,目的是保證網絡傳輸的安全性能和提升服務質量。虛擬專用網建立在公共網絡上,在建立隧道的時候,如果一次性給足帶寬,則會引起帶寬的浪費,從而使得可容納的客戶數量降低,公共網絡使用率也會隨著降低。相反,若帶寬過低,則會提高虛擬專用網上連接被拒絕的次數,所以配置帶寬要適當。
本文重點研究與探討了點對點模式。在系統點對點工作模式的討論上,又著重討論了應用層VPN網關的設計問題,例如隧道技術在數據包中轉發的問題和虛擬網卡等,然后提出了一種新的解決思路,在一定程度上使得VPN的安全性得以提高。
參考文獻:
關鍵詞:MPLS VPN 優點 原理 應用
傳統的VPN通常建立在ATM/DDN/FR網上,隨著IP網的大規模部署及ATM技術應用的衰落,在IP網上提供VPN業務被認為是一種非常經濟的方式,隨著MPLS技術的出現,基于MPLS的VPN技術發展迅速并已獲得商用。
一、MPLS VPN的優點
MPLS VPN能夠利用公用骨干網絡強大的傳輸能力,降低企業內部網絡/Internet的建設成本,極大地提高用戶網絡運營和管理的靈活性,同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要。目前,在基于IP的網絡中,MPLS具有很多優點:
(1)降低了成本
MPLS簡化了ATM與IP的集成技術,使L2和L3技術有效地結合起來,降低了成本,保護了用戶的前期投資。
(2)提高了資源利用率
由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。
(3)提高了網絡速度
由于使用標簽交換,縮短了每一跳過程中地址搜索的時間,減少了數據在網絡傳輸中的時間,提高了網絡速度。
(4)提高了靈活性和可擴展性
由于MPLS使用的是Any To Any的連接,提高了網絡的靈活性和可擴展性。靈活性方面,可以制訂特殊的控制策略,滿足不同用戶的特殊需求,實現增值業務。擴容性包括:一方面網絡中可以容納的VPN數目更大;另一方面,在同一VPN中的用戶很容易擴充。
(5)安全性高
采用MPLS作為通道機制實現透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。
二、MPLS VPN的原理介紹
MPLS VPN一般采用圖1所示的網絡結構。其中VPN是由若干不同的site組成的集合,一個site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性,不同VPN間可以有控制地實現互訪與隔離。
MPLS VPN有三種類型的路由器,CE路由器、PE路由器和P路由器。其中,CE路由器是客戶端路由器,為用戶提供到PE路由器的連接;PE路由器是運營商,也就是MPLS網絡中的標簽邊緣路由器(LER),它根據存放的路由將來自CE路由器或標簽交換路徑(LSP)的VPN數據處理后進行轉發,同時負責和其他PE路由器交換路由;P路由器是運營商網絡主干路由器,也就是MPLS網絡中的標簽交換路由器(LSR),它根據分組的外層標簽對VPN數據進行透明轉發,P路由器只維護到PE路由器的路由而不維護VPN相關的路由。
根據PE路由器是否參與客戶的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis標準,使用BGP在PE路由器之間分發路由,使用MPLS技術在VPN站點之間傳送數據,因而又稱為BGP/MPLS VPN。
整個MPLS VPN體系結構可以分成控制面和數據面,控制面定義了LSP的建立和VPN路由信息的分發過程,數據面則定義了VPN數據的轉發過程。
在控制層面,P路由器并不參與VPN路由信息的交互,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由交互知道屬于某個VPN的網絡拓撲信息。CE-PE路由器之間通過采用靜態/默認路由或采用ICP(RIPv2、OSPF)等動態路由協議。PE-PE之間通過采用MP-iBGP進行路由信息的交互,PE路由器通過維持iBGP網狀連接或使用路由反射器來確保路由信息分發給所有的PE路由器。除了路由協議外,在控制層面工作的還有LDP,它在整個MPLS網絡中進行標簽的分發,形成數據轉發的邏輯通道LSP。
在數據轉發層面,MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后,PE路由器查找該子接口對應的VRF表,從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后,就通過PE輸出接口轉發出去,然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上,外層標簽被彈出,P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口,在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器,從而實現了整個數據轉發過程。
三、MPLS VPN的綜合網管網絡中的應用
河北鐵通省網管中心建有交換綜合網管系統,通過計費網與各地市綜合網管終端相聯,維護和操作各地市的程控交換設備。由于交換綜合網管網絡與計費網絡共有一張業務支撐網,多業務并存,造成諸多問題,如:網絡資源分散,部分網絡資源利用率低,部分網絡不能滿足日益增長的業務需求;各業務系統之間實現了互聯互通,但無法進行有效的安全隔離,安全性較差。
為改變這種狀況,滿足企業業務支撐網絡整體長期發展的需要,河北鐵通采用MPLS VPN技術對現網進行了改造。在全省建立一張統一的MPLS骨干網絡來承載交換綜合網管業務,與原計費網絡實現隔離。
將省兩臺核心路由器NE80E作為RR,提供RR的冗余保護,各地市的華為路由器、BAS作為RR Client和PE;在省干設備和地市匯聚設備上建立新的省內VPN實例jhwg_VPN,要求各地市不能互通,都能夠和省公司互通;各地市城域網自行規劃vlan范圍作為交換網管業務專用。組網說明:業務通過CE路由器(或直連方式)接入VPN,VPN采用MPLS-L3VPN;PE設備組成一個不同VPN間相互隔離的三層路由網絡;建議使用高性能路由器作為路由反射器,避免PE全互聯的組網;全網P、PE設備部署MBGP協議。
與原先的網絡相比,采用MPLS VPN技術改造后的網絡具有以下特點:
不同業務系統的數據由不同骨干網絡承載,網絡結構更加清晰,維護簡單。
安全措施部署簡單,業務系統可以進行更加安全的隔離。
網絡擴展性好,當增加新業務系統時不需要建設新的網絡,只需增加一個VPN即可;不需要針對某個業務系統單獨擴容網絡帶寬,只有當骨干網絡平臺總帶寬不足時才考慮進行擴容。
各業務系統統計復用骨干網總帶寬,也可以根據各業務系統實際的流量分配帶寬,從而合理地使用網絡資源,網絡資源利用率高。
參考文獻
[1]互聯網. BGP/MPLS VPN的實現技術[D].江蘇電信有限公司
[2]籍興江. MPLS/VPN 基本原理及在ZXR10中的配置[J].張玉紅 崔世耀:中國鐵通山東分公司
關鍵詞:SSL VPN; IPsec VPN; 數字化校園; 遠程訪問
中圖分類號:TP393 文獻標識碼:A文章編號:2095-2163(2013)02-0032-03
0引言
隨著信息化進程的加快,各個高校對校園信息化投入不斷增加,致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺,但這些網絡資源和辦公平臺常常受到網絡的限制,只能在校園內部使用。本校2012年師生問卷調查顯示:居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源,均已感到極為不便。具體來說,教師在外網不能登錄學習平臺批改作業;行政人員出差時,不能獲取部門統計數據;大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足,亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛,深入的調研分析可知,VPN(Virtual Private Network)正是解決這一瓶頸的技術方案。
1VPN 的原理及SSL VPN方案的優勢
11VPN原理
VPN,即虛擬專用網絡,其含義指通過使用公共網絡基礎設施,利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接,適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時,VPN還向用戶提供了專用網絡所獨具的功能,但其本身卻不是一種真正意義上的獨立物理網絡,沒有固定物理線路連接。近年來,VPN技術已經大量應用于高校的移動辦公,并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是,用戶在網絡覆蓋的任意地點,首先,通過ADSL或者LAN方式接入互聯網;其后,通過撥號校園網的VPN網關,構建一條從用戶所在網絡地址到校園網的二層隧道;而后是VPN服務器給用戶分配相應的校園網地址,從而實現校園網數字化資源的遠程訪問[2]。
12兩種VPN方案的對比
按照協議劃分,VPN主要有兩大主流,分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障,IPsec協議是一組協議套件,包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層,通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性,最適合Site to Site之間的虛擬專用網。相比之下,SSL VPN采用的是SSL安全套接層協議,構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件,經過認證的用戶是通過Web瀏覽器而接入網絡,適用于Point to Site的連接方式。總體來看,相比于IPsec VPN方案,SSL VPN方案有三點優勢,具體如下。
(1)兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端,對用戶也無任何特殊的操作要求。用戶不需要下載客戶端,由此免去了對客戶端軟件的更新升級、配置維護,否則,在進行VPN策略調整的時候,其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議,就可以使客戶端簡便、安全地訪問內網信息,維護成本較低。
(2)提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備,由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能,可提供用戶級別鑒定,確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能,而在外的辦公行政人員還可以訪問某個特定部門的相關數據。
(3)具備更強的安全性。IPsec是基于網絡層的VPN方案,對IP應用均是高度透明的。而SSL VPN是基于應用層的,在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析
21訪問控制技術
訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前,通用的VPN方案中,常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備,SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL,而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制,控制策略不僅含有“允許”和“禁止”,還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層,管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略,管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子,定義不同的會話角色,并給與不同的訪問權限。另外,基于用戶的訪問控制需要維護大量的用戶信息,當前最流行的控制策略則是基于角色的訪問控制,在握手協議的過程中統一集成訪問控制的基礎功能,再將資源的控制權交托于可信的授權管理模型。
22性能分析
VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響,在設計數字化校園的VPN詳盡方案之前,有必要了解其性能指標。SSL VPN中,常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數,等。其中,連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目,用以度量被測VPN設備在單位時間內交易事務的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外,SSL VPN使用的是非對稱加密算法,這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作,為了保障服務器能夠正常工作,既可以限制SSL會話的數量,也可以添加服務器的數目。只是這兩種方式各有利弊,若限制會話數目,就會出現高峰期間的部分用戶無法連接服務器,而添加服務器數目又會大幅增加VPN系統的財務用度。因而,通常情況下,使用SSL加速器來提升加解密速度,進入SSL的數據流由加速器解密并傳給服務器,而外流的數據又經過加速器加密再回傳給客戶。服務器方面,只需要處理簡單的SSL請求,將消耗資源的工作完全交給加速器,全面有效地提升了VPN方案的整體性能。
3SSL-VPN下的數字化校園解決方案
31需求分析與設計目標
校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文;校外居住的教師也需要登錄圖書館期刊檢索系統,下載專業文獻;另外,因公在外的招生、財務人員又需要及時獲取部門的數字化信息,并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址,在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此,在外部訪問校園網之數字化校園時,就需要研發一個遠程訪問方案,該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種,分別是:在外居住的教師、大四實習生以及在外辦公的行政人員。
32系統體系結構
經過實地調研和深入分析,采用了SSL VPN架構,具體框架如圖1所示。
由圖1可知,這是一個基于Web模式的SSL VPN系統,在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中,SSL VPN服務器相當于一個網關,且具備雙重身份。對用戶而言,這是服務器,負責提供基于證書的身份鑒別;對應用服務器而言,則屬于客戶端的身份,并向服務器遞交訪問申請。由此,通過在防火墻后安裝VPN設備,校外用戶只需要打開IE瀏覽器,就可以訪問到校園數字化資源的URL。其后,SSL VPN 設備將取得連接并驗證用戶的身份,此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了技術,所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能,優先考慮SSL VPN服務器的性能,將需要消耗大量資源的加解密工作交給加速器。實現過程中,采用的設備是由Cisco ASA建立Web VPN服務器,而將Radius Server作為驗證用戶身份的服務器。
33改進型安全策略——基于角色的控制
本校SSL VPN系統采用的是基于角色的訪問控制策略,既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上,校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現,可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性,系統在進行安全認證時,就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限,而后給出該用戶可以訪問的資源列表信息。另外,用戶在登錄VPN系統時,還需要在登錄界面輸入身份信息。
4結束語
隨著校外用戶對數字化校園資源訪問需求的日益迫切增長,使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利,因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上,由網絡中心主持設計并全面實現了SSL VPN系統。目前,本校SSL VPN系統運轉良好,能夠滿足現有的使用需求,并且也具備了一定的擴展能力。當然,該實施方案并不是唯一可選,當校園網的VPN用戶數量并不多、要求也不高時,就可以考慮軟件型VPN方案。不然,還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。
參考文獻:
[1]王達. 虛擬專用網(VPN)精解[M]. 北京:清華大學出版社,2004:45-46.
[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學,2007,25(7):1158-1061.
[3]徐家臻,陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計,2004,25(4):186-188.
[4]沈海波,洪帆. 訪問控制模型研究綜述[J].計算機應用研究,2005,32(5):9-11.
關鍵詞:VPN;隧道技術;加密協議;工傷保險;康復
引言
工傷康復工作的開展,標志著我國工傷保險發展進入一個新時期,是我國在社會保險領域注重借鑒國外先進經驗,主動與國際接軌的重要舉措。世界衛生組織對康復工作所下的定義是:康復是指綜合協調地應用醫學的、教育的、職業的、社會的和其它一切措施,對殘疾者進行治療、訓練和運用一切輔助手段以達到盡可能補償、提高或者恢復其已喪失或削弱的功能,增強其能力,促進其適應或重新適應社會生活。現代觀點的康復包括了醫學康復、教育康復、職業康復、社會康復等幾大基本方面,其中醫學康復是康復首要的和最重要的內容之一,也是使殘疾者全面康復的基礎。可見康復是一項具有重要意義的系統工程,是構建社會主義和諧社會的重要組成部分。
工傷保險康復的費用按工傷保險基金的一定比例列支,因此社保經辦機構在與康復機構簽訂服務協議的基礎上,需參照《國家基本醫療保險和工傷保險藥品目錄》對工傷康復費用按規定進行合理性、合規性審核,拒付其中不合理費用。這就需要對康復人員在定點機構所發生的費用明細進行審核。我們通過對康復機構的調研,了解到他們的日常工作以HIS為平臺,考慮到康復工作處于起步階段(初始定點機構僅兩家,且都在杭州市區),康復人數較少,康復費用按月結算等特點,建議采用標準數據接口,通過電子郵件交換數據的方式實現康復數據明細傳遞;作為特殊情況的應對措施,允許通過U盤等存儲介質,實現數據交換及審核結果的反饋。近兩年的實踐證明,這一方法是可行的。
隨著政府對社會保險工作的投入不斷增加,工傷康復工作不斷完善,業務的快速發展對現有的應用模式提出了挑戰:一是定點機構的數量不斷增加,且出現了跨地域定點單位,如位于建德的浙江省首家工傷康復綜合試點單位――國家電網公司職業病防治院已被列入我市定點機構名錄,需要社保經辦機構與定點單位連網;二是工傷康復待遇審核滯后,一些藥品和診療費用要等到數據反饋后,業務審核階段才能確定是否剔除。為此,有必要建立工傷康復遠程訪問新模式。本文從工傷康復業務實際需求出發,討論VPN在這方面的應用,并根據發展需要,對VPN技術在工傷保險康復信息化中的應用提出自己的見解。
1 工傷康復遠程訪問需求分析
1.1 工傷康復遠程訪問是業務發展的要求
通過對康復全過程的跟蹤、指導,與定點機構、康復人員的溝通,了解康復效果,聽取各方面的意見反饋,在對不同類型的康復對象提供標準化服務的基礎上,可根據實際需要實施個性化服務。要實現這一目標,必須首先解決網絡遠程訪問的問題。
1.2 工傷康復遠程訪問是現實業務的要求
隨著工傷康復定點機構的增加,如果仍沿用目前的業務處理模式,手工處理業務量將迅速增大,出錯概率也將增加;另一方面,社保經辦機構與定點單位均需對康復待遇作實時審核,社保經辦機構如果能盡早發現不規范的業務,并及時糾正,可減小待遇審核時的剔除金額給定點機構造成的財務損失。鑒于以上情況,需要解決網絡遠程訪問的問題。
1.3 工傷康復遠程訪問是突破目前單一醫療康復模式的要求
根據國際勞工組織提出的工傷保險三大目標:預防、補償、康復,勞動部將康復工作作為工傷保險改革的重要目標之一。為了實現居家康復模式,使工傷人員通過網絡與社保經辦機構以及定點康復機構進行溝通,確定康復方案,提高康復資源的使用效率,以及建立教育康復、職業康復、社會康復的平臺,同樣需要解決網絡遠程訪問的問題。
1.4 工傷康復遠程訪問安全問題
目前業務處理的數據交換通過電子郵件實現。為避免公網傳輸信息可能導致泄密、數據篡改等問題,在確定康復機構時,社保局要向康復機構提供一份康復人員名單,其中每位康復對象都有一個代碼(個人編號),后續數據交換通過代碼進行。
由于身份證可能存在重復的情況(錯發、業務操作錯誤等),同一參保人在變更參保單位時,使用新的身份證辦理參保手續,發現存在問題后,需要將該人員兩個身份證信息合并,此時只能保留其中一個個人編號。五險合一業務情況下,多個業務單位都可能需要進行類似的變更,導致康復機構反饋原“個人編號”信息時,可能發生記錄無法匹配的現象,需要業務進行“個人編號”同步,確保后續數據傳輸順利進行。
2 虛擬專用網(VPN)一經濟實用的遠程訪問形式
2.1 VPN技術
VPN是Virtual Private Network(虛擬私有網絡)的縮寫,它是一種利用公共網絡建立虛擬私有網的技術:通過對網絡數據的封包和加密,在公用互聯網絡上建立專用通道傳輸私有數據。它是一種介于公用網和專用網之間的邏輯性“虛擬”網絡,利用開放的公用網絡進行信息傳輸,通過安全隧道、用戶認證和訪問控制等技術幫助遠程用戶、分支機構、商業伙伴及供應商同企業的內部網建立可信的安全連接,并保證數據的安全傳輸。
2.2 隧道技術
內網中普遍使用私有IP地址。從這些地址發出的數據包是不能直接通過Internet傳輸的,必須通過網絡地址轉換為合法IP地址。常見轉換方法有靜態IP地址轉換、動態IP地址轉換、端口替換、數據包封裝等。VPN采用的是數據包封裝(隧道)技術。使用隧道傳遞的數據可以是不同協議的數據包,隧道協議將這些數據包重新封裝在新的包頭中發送。新的數據包頭提供了路由信息,這個包頭即封裝頭,目標地址被封裝在原始包內。當包到達隧道的終點時,封裝頭剝離,原始包被發送到目的地址。
2.3 隧道協議
可以在標準網絡模型的不同層創建隧道。
第二層隧道協議:在數據鏈路層運行的隧道協議提供了點對點的虛擬鏈路。有以下一些協議:
Point-to-Point Tunneling Protocol(PPTP,點對點隧道協議);
Layer 2 Forwarding(L2F,第二層轉發協議);
Layer 2 Tunneling Protocol(L2TP,第二層隧道協議)。
第三層隧道協議:在網絡層運行的隧道協議可提供基于IP的虛擬連接。
IP Sec(IP Security)是一組應用廣泛、開放的協議總稱,它對應用于IP層的網絡數據,提供一套安全的體系結構,包括網絡安全協議AH和ESP、密匙交換協議IKE和用于網絡驗證及加密的算法等。其中兩個使用最普遍的AH標準是MD5和SHA-1,MD5使用最高達128位的密鑰,而SHA-1通過最高達160位密鑰提供更強的保護。ESP標準是數據加密標準(DEs),DES最高支持56位密鑰。IPSec同時還支持3DES,因此其密碼算法具有很高的安全性。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和交換密鑰,并向上提供訪問控制、數 據源驗證、數據加密等網絡安全服務。
SSL(secure Sockets Layer,安全套接字層協議)是Netscape公司提出的基于Web應用的安全協議。SSL是一種在Web服務協議(HTTP)和TCP/IP之間提供數據連接安全性的協議,為TCP/IP連接提供數據加密、服務器認證、可選的客戶機認證和消息完整性驗證。SSL被視為Internet上Web瀏覽器和服務器的安全標準。
2.4 用戶認證和訪問控制
VPN也存在安全隱患。因此,為保護數據在網絡傳輸上的安全性,需利用密碼技術對數據進行加密。除加密和解密外,需要核實信息來源的真實性,確認信息發送方的身份,防止非授權用戶的非法竊聽和惡意篡改信息。核實發送方身份的過程稱為“認證”。認證可通過用戶名和口令實現,或者通過“電子證書”或“數字證書”來完成。
訪問控制技術即傳統的防火墻技術。一個完善的VPN應同時提供完善的網絡訪問控制功能,由VPN服務的提供者與最終網絡信息資源的提供者共同協商確定特定用戶對特定資源的訪問權限,通過對訪問策略的控制實現用戶的細粒度訪問控制,以最大限度地保護信息資源。
2.5 提供更高安全性的SSL VPN
SSL VPN在原始VPN技術基礎上,結合SSL(Secure Sockets Layer安全套接字層協議)技術,使網絡傳輸的安全性更高。但也存在缺點,即僅適用于B/S架構,不支持C/S架構。
3 VPN技術在工傷康復中的應用
3.1 VPN的安全性能滿足工傷康復應用需求
VPN使用隧道技術對原始數據包進行封裝,并采用密鑰技術及身份認證,確保通信的安全,能可靠進行業務數據傳輸,安全性能滿足工傷康復應用的需求。
3.2 采用VPN技術可規范康復工作
為消除目前定點機構用藥、結算等工作中的不規范行為,采用VPN技術確保醫保機構與定點單位的實時連接,及時提供指導及監督,同時,工傷康復費用申報審核周期也可縮短。通過開發基于B/S架構的應用平臺,實現網上辦事,包括工傷康復人員的網上申報,康復醫院日程安排等日常業務工作均可在網上完成。
另外,配備多媒體設備,也可與康復人員進行實時交流,聽取各方面對康復工作的意見和建議。
3.3 采用VPN技術合理利用康復資源
在目前業務中,與工傷康復人員的溝通方式單一。采用VPN技術,傷殘程度較輕的工傷人員,可實現居家康復,有限的康復資源可以合理配置。在VPN上社保經辦機構的工作人員能像打電話一樣,呼叫被授權的康復人員,了解健康情況,并在線提供康復指導。這種方式可有效保護康復人員隱私,改善醫患關系,獲得更好的診療效果。通過網絡康復人員可互相交流,有助于開展全方位康復工作。
3.4 易于管理和良好的可擴展性能
VPN的發展已有10年的歷史,作為一項成熟的技術,以其可擴展性和易于管理等優點被廣泛應用于多個領域,在工傷康復工作,甚至整個社會保險領域中有廣闊的應用前景。從表面看它只是解決了一個物理連接方面的問題,但實際上正在改變著我們的工作和生活方式,正如SUN公司所提出的“網絡就是計算機”。
關鍵詞:校園網;VPN(虛擬專用網);網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6689-04
Application of VPN in Extending Coverage of Campus Network
WANG Yi-hong, LIU Yi
(Shanghai Medical Workers' College,Shanghai 200237,China)
Abstract: Introducing the characteristics of Virtual Private Network, puts forward a VPN based networking scheme of campus network according to the demands of securely internetworking and remote access to campus network.By testing and analyzing the implement results,the feasibility and availability of the scheme are proved.
Key words: campus network; VPN; network safety
近年來我校教育規模不斷擴大,在重新整合、資源共享、聯合辦學的發展過程中形成了梅隴、市北、市東、崇明、松江的多校區合作辦學模式。但是地理位置上的分散性,使得原先相互獨立的校園網拓撲結構不能滿足要求:如采用專線連接,將會增加網絡運行的成本;如將校區間交換的數據直接通過Internet傳送,數據的安全性又很難得到保證。
所以需要利用相應的技術手段實現安全可靠的校園網互連,實現統一管理和對資源的充分利用。此外,利用網絡資源還能豐富辦學手段,實現和開展遠程教學和遠程辦公,提供個性化的學習支持服務和信息服務,也是學校網絡建設發展的趨勢。虛擬專用網(Virtual Private Network)正是滿足這種要求的解決方案。
1 VPN概念
虛擬專用網(Virtual Private Network,VPN)是在Internet中建立一條虛擬的專用通道,利用Internet來傳輸內部數據的虛擬專用網絡。VPN技術采用隧道技術、數據加密技術和身份認證技術,從而保證構建于公共網絡之上的虛擬內部網絡的有效連通性和安全性[1]。如圖1所示,雖然VPN 通訊建立在公共互聯網絡的基礎上,但用戶在使用VPN時感覺如同在使用局域網。
1) VPN技術具有以下特點[2-3]:
(1) 低成本。VPN利用了現有的線路,在其上構建了虛擬的通道,節省了建設專線的高昂造價及租金。
(2) 易擴展。如果采用專線連接,當物理節點變化時,網絡結構趨于復雜,費用增加。而VPN技術是通過虛擬通道來實現的。
(3) 保證安全。VPN技術利用可靠的加密認證技術,在Internet上建立隧道,能夠保證通信數據的機密性和完整性,保證信息不被泄露或暴露給未授權的組織或個人。
2 基于校園網的VPN應用方案
根據校園網對安全互聯、遠程訪問的需求,提出基于校園網的虛擬專用網應用方案。對方案的實現結果進行測試和分析,驗證方案的可行性。
2.1需求分析
1) 師生在校外無法訪問校內資源
2) 校區與校區之間的內部網絡無法互訪
解決方案:利用VPN技術建立遠程用戶到校園網的安全連接,數據通過公共Internet上的VPN隧道加密傳輸。并通過對用戶身份的認證以及特定資源的訪問控制,保證校園網的內部資源不被泄漏和非法訪問。
2.2 PPTP VPN解決方案
2.2.1 什么是PPTP VPN
建立 VPN 隧道有多種方式,包括 L2TP、IPSEC、PPTP、SSL等隧道,其中 PPTP 是 VPN 隧道中部署最為簡單、方便的實現方式之一,Windows 系統默認自帶 PPTP VPN 客戶端,只需幾個步驟可以輕松完成 VPN 的設定[4-5]。
2.2.2 應用環境說明
學校 (VPN服務端)
架設 VPN 服務器,允許遠程用戶撥入,外網IP為 211.x.x.x。
遠程用戶 (VPN客戶端)
經常需要和學校交換數據, 通過 VPN 撥號到總校。撥入成功后虛擬通道被建立,獲得虛擬 IP: 172.16.0.101。由VPN通道進入學校內部局域網,上傳和下載文檔。
出差人員 (VPN客戶端)
需要和學校交換數據時, 通過 VPN 撥號到學校。撥入成功后虛擬通道被建立,獲得虛擬 IP: 172.16.0.100。 由VPN通道進入總部內部局域網,上傳和下載文檔,或和其他撥入點 (如辦事處或其他出差人員)相互通訊。
2.2.3 PPTP_VPN 服務端的設定
目前市場上有許多的防火墻附帶VPN功能,本文以SHARETECH AW-5100為例,介紹PPTP_VPN的部署和實施。
1) 激活PPTP VPN功能,設置客戶端IP范圍
進入“管制條例選項” ->“VPN” ->“PPTP 服務器”->“客戶端IP范圍”,如圖3。
VPN 網絡上使用的是內部保留IP地址,一般用 192.168.x.x或172.16.x.x或10.X.X.X,這里我們使用 172.16.0.X,可根據實際情況自行調整。VPN 網絡地址不能和本地局域網地址重復,也盡量不要和遠程撥入端的局域網地址重復。為了防止沖突,建議把 VPN 網絡地址設為比較特殊,比如 172.16.100.X 或 192.168.123.X 等。
2) 新增PPTP 服務器
激活PPTP后,按需添加PPTP服務器。比如允許使用者shzy可以訪問學校所有資源,而只允許使用者guest訪問部分資源,就需要設置多個PPTP服務器供不同用戶使用。
進入“管制條例選項” ->“VPN” ->“PPTP 服務器”->“新增PPTP 服務器”,如圖4。
使用者名稱:shzy;密碼:******。
如果需要讓某個帳戶撥號后始終獲得一個固定的 VPN IP,選擇“使用特定IP地址”項輸入想要分配的 IP 即可,比如這里可以是 172.16.0.110。
3) 添加VPN管制條例
設置完PPTP服務器后,需要添加管制條例。每一個封包在通過SHARETECH AW-5100時,需要逐條檢查是否符合管制條例。當封包的條件符合某條管制條例時,就會按該管制條例的設定來通過SHARETECH AW-5100,如封包無法符合任何管制條例時,該封包就會被攔截。
進入“管制條例”->“內部至外部”->“新增”,如圖5。
進入“管制條例”->“外部至內部”->“新增”,如圖6。
設置好后,PPTP VPN的服務器端就可以運作了。另外,如需對VPN接入用戶的訪問權限做一定限制的話,可以在“來源網絡地址”和“目的網絡地址”進行設置,通過管制條例對來源網絡地址進行管制,判斷是否可以訪問目的網絡地址,這里不做詳細說明。
2.2.4 PPTP VPN 客戶端設置(Windows) [6-7]
Windows 2000/XP/2003/Vista 自帶有 PPTP_VPN 的撥號客戶端,無需另外安裝軟件。以 Windows XP 為例,設置步驟如下:
1) 啟動新建連接向導
依次點擊“開始” -> “設置” -> “網絡連接” -> “新建連接向導” 即可。 或右鍵單擊桌面上的“網上鄰居”圖標,選擇“屬性”,在“向導”欄雙擊“新建連接向導”。
2) 選擇“連接到我的工作場所的網絡”
3) 選擇“虛擬專用網絡連接”
4) 設置連接名pptp_vpn
5) VPN 服務器端地址211.*.*.*
6) 完成連接向導
7) 設置撥號連接參數
打開建立的撥號連接,點擊“屬性”進入連接屬性設置; 選擇“網絡”選項卡 -> “Internet 協議 (TCP/IP)”; 點擊“屬性”進入TCP/IP協議設置。
一般情況下,請去掉“在遠程網絡上使用默認網關”前面的勾,否則VPN撥號后將無法上網(訪問Internet)。
8) 開始VPN撥號
點擊“連接” 進行VPN撥號,用戶名是shzy,密碼是******。撥號成功后,點擊“連接成功”的提示圖標,查看詳細的連接信息: 可以看到撥號后本地VPN 連接的IP:172.16.0.100,VPN 服務器IP為172.16.0.1。
2.2.5 測試VPN連接
1) 在“開始” ->“運行” 輸入 cmd 進入 DOS 命令提示符,使用 ping 測試 VPN 通道是否正常。
2) 測試連接文件交換區(ip地址:172.16.0.11)
開始――>運行――>輸入ip地址,比如文件交換區\\172.16.0.11
3 VPN性能測試
以SHARETECH AW-5100為例,它的VPN技術參數如表1所示。
模擬學校VPN可能的使用情況,對VPN進行上傳下載速度和網絡延時的測試(學校租用科技網10M光纖),如表2所示。
測試是在網絡空閑時進行的,傳輸速度基本上達到理想數值。在日常工作時,受各方面的因素影響,速度可能會有所下降,但能夠滿足校外人員利用VPN訪問校園網的需要。
4 使用PPTP VPN 連接校區
在兩個校區網絡之間建立VPN連接,策略上允許兩地的所有用戶互訪,像是一個網絡,可以任意訪問這兩個校區網絡的資源。因為并不需要讓所有用戶都能夠訪問兩個網絡,所以這樣做即增加了VPN設備的負荷,也不便于VPN用戶的管理。這里介紹一下方法,僅供參考:同樣以SHARETECH AW-5100為例,主校區的AW-5100作為PPTP服務器端,分校區的AW-5100作為PPTP客戶端。
4.1 服務器端設置
同3.2.3,激活PPTP服務器,設置好客戶端IP地址范圍并新增PPTP服務器,設置PPTP服務器的使用者名稱“PPTP”和密碼“******”
4.2 客戶端設置
在分校區的設備上新增PPTP客戶端,輸入使用者名稱、密碼和服務器IP地址,如圖11。
完成PPTP VPN聯機,效果如圖12。
設置好后,分校區的用戶就可以訪問總校區的資源了。想讓總校區的用戶也可以訪問分校區,只需在分校區的設備上新增一個服務器端,在總校區的設備上新增一個客戶端,兩個校區就可以互相訪問了。
5 結論
VP N技術使得校園網內部的重要信息在有安全保證的情況下傳輸,如同建立了專用的網絡連接,提高了校園網的可管理性、靈活性和安全性。
面對多校區合作辦學模式帶來的復雜的網絡現狀,網絡建設和資源共享的問題將會日益突出。利用VPN技術有效組織和開發網上資源,以網絡應用推動網絡擴展,以資源共享促進信息資源建設,實現各校區之間網絡建設統一規劃和信息資源共享,必將成為今后信息化建設和發展的方向。
參考文獻:
[1] 王達.虛擬專用網(VPN)精解[M].北京:清華大學出版社,2004.
[2] Jeffrey Richter, Windows核心編程[M].機械工業出版社,2000.
[3] Jim Ohlund,Anthony Jones,James Ohlund. Network Programming for Microsoft Windows[M].北京:清華大學出版社,2002,10.
[4] 高鴻斌.VPN在多校區校園網絡建設中的應用[J].中國科技信息,2007,20.
[5] 王常亮.論高職院校如何推進校園信息化[J].職業教育研究,2005,9.
論文摘要:重點分析了VPN的實現技術。
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡的安全性、保密性、可靠穩定性,對于企業和一些跨區域專門從事特定業務的部門,從經濟實用性、網絡安全性、數據傳輸可靠性上來,看VPN技術無疑是一種不錯的選擇。下面就VPN技術的實現做一下粗淺的分析:
1 VPN簡介
虛擬專用網(VirtuaIPrivateNetwork, VPN)是一種“基于公共數據網,給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用,而且提供了比傳統方法更強的安全性和可靠性。
VPN可分為三大類:(1)企業各部門與遠程分支之間的In-tranet VPN;(2)企業網與遠程(移動)雇員之間的遠程訪問(Re-mote Access)VPN;(3)企業與合作伙伴、客戶、供應商之間的Extranet VPNo
在ExtranetVPN中,企業要與不同的客戶及供應商建立聯系,VPN解決方案也會不同。因此,企業的VPN產品應該能夠同其他廠家的產品進行互操作。這就要求所選擇的VPN方案應該是基于工業標準和協議的。這些協議有IPSec、點到點隧道協議(PointtoPoint Tunneling Protocol,PPTP)、第二層隧道協議(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
2.1 VPN訪問點模型
首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。
2.2隧道技術
隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo
(1)GRE
GRE主要用于源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然后帶著隧道終點地址放人隧道中。當報文到達隧道終點時,GRE報文頭被剝掉,繼續原始報文的目標地址進行尋址。GRE隧道通常是點到點的,即隧道只有一個源地址和一個終地址。然而也有一些實現允許一點到多點,即一個源地址對多個終地址。這時候就要和下一條路由協議(Next-HopRoutingProtocol , NHRP)結合使用。NHRP主要是為了在路由之間建立捷徑。
GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看,VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在GRE隧道技術中人口地址用的是普通主機網絡的地址空間,而在隧道中流動的原始報文用的是VPN的地址空間,這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來,多個VPN可以重復利用同一個地址空間而沒有沖突,這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族,減少實現VPN功能函數的數量。還有,對許多VPN所支持的體系結構來說,用同一種格式來支持多種協議同時又保留協議的功能,這是非常重要的。IP路由過濾的主機網絡不能提供這種服務,而只有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基于隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合,VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣,主機網絡用符合網絡要求的路由設計方案,而不必受VPN用戶網絡的路由協議限制。
雖然GRE隧道技術有很多優點,但用其技術作為VPN機制也有缺點,例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的,所以配置和維護隧道所需的費用和隧道的數量是直接相關的—每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進人隧道前的)進行的話,就會影響路由發送速率的能力及服務性能。
GRE隧道技術是用在路由器中的,可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠程訪問VPN中,多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解決。
(2)L2TP和PPTP
L2TP是L2F( Layer2Forwarding)和PPT’I〕的結合。但是由于PC機的桌面操作系統包含著PPTP,因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動’,隧道,后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強制”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機制。建立過程如下:
a.用戶通過Modem與NAS建立連接;b.用戶通過NAS的L2TP接入服務器身份認證;;c.在政策配置文件或NAS與政策服務器進行協商的基礎上,NAS和L2TP接入服務器動態地建立一條L2TP隧道;d.用戶與L2TP接入服務器之間建立一條點到點協議(PointtoPointProtocol, PPP)訪問服務隧道;e.用戶通過該隧道獲得VPN服務。
與之相反的是,PPTP作為“主動”隧道模型允許終端系統進行配置,與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。并且,PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下:a.用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務;b.用戶通過路由信息定位PPTP接入服務器;c.用戶形成一個PPTP虛擬接口;d.用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道;e.用戶通過該隧道獲得VPN服務。
在L2TP中,用戶感覺不到NAS的存在,仿佛與PPTP接入服務器直接建立連接。而在PPTP中,PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入服務器的存在,只是簡單地把PPTP流量作為普通IP流量處理。
采用L2TP還是PPTP實現VPN取決于要把控制權放在NAS還是用戶手中。硯TP比PPTP更安全,因為硯TP接入服務器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶,而PPTP比較適合移動的用戶。
2.3加密技術
數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強度比較弱,但是保護免于非專業人士的攻擊已經足夠了;DES和三次DES強度比較高,可用于敏感的商業信息。
加密技術可以在協議棧的任意層進行;可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密只在路由器中進行,而終端與第一條路由之間不加密。這種方法不太安全,因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中,VPN安全粒度達到個人終端系統的標準;而“隧道模式”方案,VPN安全粒度只達到子網標準。在鏈路層中,目前還沒有統一的加密標準,因此所有鏈路層加密方案基本上是生產廠家自己設計的,需要特別的加密硬件。
2.4 QoS技術
VPN虛擬專用網 (Virtual private network):建立在實在網路(或稱物理網路)基礎上的一種功能性網路,或者說是一種專用網的組網方式,簡稱VPN。它向使用者提供一般專用網所具有的功能,但本身卻不是一個獨立的物理網路;也可以說虛擬專用網是一種邏輯上的專用網路。
2 VPN的特點
(1)安全保障
雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。
(2)服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。所有網絡應用均要求網絡根據需要提供不同等級的服務質量。
(3)可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。
3 VPN安全技術
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
(1) 隧道技術
隧道技術是VPN的基本技術,類似于點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。VPN使用兩種隧道協議:點到點隧道協議(PPTP)和第二層隧道協議(L2TP)。
(2)加解密技術
VPN采用何種加密技術依賴于VPN服務器的類型,因此可以分為兩種情況。
對于PPTP服務器,將采用MPPE加密技術。MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。
對于L2TP服務器,將使用IPSec機制對數據進行加密。IPSec是基于密碼學的保護服務和安全協議的套件。
(3)密鑰管理技術
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。
(4)使用者與設備身份認證技術
使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。VPN的身份驗證采用PPP的身份驗證方法,下面介紹一下VPN進行身份驗證的幾種方法。
CHAP:CHAP通過使用MD5(一種工業標準的散列方案)來協商一種加密身份驗證的安全形式。MS-CHAP:同CHAP相似,微軟開發MS-CHAP是為了對遠程Windows工作站進行身份驗證,它在響應時使用質詢-響應機制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。 MS-CHAP v2:MS-CHAP v2是微軟開發的第二版的質詢握手身份驗證協議,它提供了相互身份驗證和更強大的初始數據密鑰,而且發送和接收分別使用不同的密鑰。
4 VPN發展現狀
在國外,Internet已成為全社會的信息基礎設施,企業端應用也大都基于IP,在Internet上構筑應用系統已成為必然趨勢,因此基于IP的VPN業務獲得了極大的增長空間。在中國,制約VPN的發展、普及的因素大致可分為客觀因素和主觀因素兩方面。
(1)客觀因素包括因特網帶寬和服務質量QoS問題。
在過去無論因特網的遠程接入還是專線接入,以及骨干傳輸的帶寬都很小,QoS更是無法保障,造成企業用戶寧愿花費大量的金錢去投資自己的專線網絡或是寧愿花費巨額的長途話費來提供遠程接入。現在隨著ADSL、DWDM、MPLS等新技術的大規模應用和推廣,上述問題將得到根本改善和解決。
(2)主觀因素之一是用戶總害怕自己內部的數據在Internet上傳輸不安全。主觀因素之二,也是VPN應用最大的障礙,是客戶自身的應用跟不上,只有企業將自己的業務完全和網絡聯系上,VPN才會有了真正的用武之地。
可以想象,當我們消除了所有這些障礙因素后,VPN將會成為我們網絡生活的主要組成部分。在不遠的將來,VPN技術將成為廣域網建設的最佳解決方案。同時,VPN會加快企業網的建設步伐,使得集團公司不僅僅只是建設內部局域網,而且能夠很快地把全國各地分公司的局域網連起來,從而真正發揮整個網絡的作用。VPN對推動整個電子商務、電子貿易將起到不可低估的作用。
參考文獻
[1]張忠玉.VPN 技術綜述及應用.工程技術,2007(25).
關鍵詞:MPLS VPN;三層網絡技術;測試方法
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2017)07-0057-02
隨著網絡通信中大量數據的傳輸,現有的數據交換技術不能有效的實現數據之間的轉換與控制,如何改變網絡數據的傳輸與控制,簡化網絡核心路由器的工作壓力,是當前數據綜合網絡的重要發展趨勢。MPLS VPN技術是一種基于多協議標簽交換的網絡技術,采用IP VPN方式進行數據交換,通過在網絡交換設備與路由器中采用MPLS技術,簡化網絡核心路由器的通訊選擇方式,并將原有的路由器技術對數據交換進行標注,實現網絡通訊的IP虛擬專用網絡(IP VPN)技術,利用MPLS VPN技術可以實現Intranet、Extranet帶寬拓展,滿足多種靈活的業務需求與海量數據的傳輸。采用MPLS VPN技術能夠有效地將現有的IP網絡分解成為各種邏輯上隔離的通信網絡。MPLS VPN技術具有靈活性、拓展性、QoS等方面的優勢,在網絡通信中得到了廣泛的應用,促進了MPLS VPN技術在通信網絡與企業網絡中的應用十分廣泛。
1NPLS VPN三層網絡的組網設計
MPLS VPN網絡的組網設備主要包括:客戶網邊緣路由器(CE)、通信骨干網邊緣路由器(PE)和骨干網核心路由器(P)等幾個部分,同時還有VPN用戶節點等通信組組成。骨干網核心路由器的主要功能是將VPN網絡的分組外層標簽交換與MPLS的數據轉發,通信骨干網邊緣路由器的主要功能是實現通信網絡的PE存儲全局路由表和VRF(虛節點轉發表)的一系列相關需要,客戶網邊緣路由器的功能是負責網絡路由,實現客戶端的數據通信需要,VPN的用戶節點是保證各個用戶在通信過程中的數據轉發與應用。MPLS VPN三層網絡的組網(MPLS L3 VPN)設計要求能夠滿足原因的兩層網絡通信的要求,具體的網絡結構如下圖1所示。MPLS L3 VPN組網方式中,采用了靈活多樣的連接方式,用戶接人VPN的方式是每個通信的網絡Site提供一個或多個CE,各個CE之間的連接采用平行接人的方式,并接入到骨干網絡邊緣路由器PE上,然后在PE上為每一個接入的VPN的CE用戶配置VRF,通過VRF的設置和控制,將PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道等相關的通信命令與數據接口有機地結合在一起,實現用戶的VPN數據通信。
MPLS L3 VPN組網技術具有靈活多樣的特征,可把用戶路由復雜性轉移給網絡服務的提供商,由提供商為用戶的數據需要提供支持服務,這樣就可以與IP網j很好地融合,便于服務商對用戶的數據進行控制,并能夠支持多種封裝協議、數據的互通,通過還能夠支持多種MPLS VPN的二層協議,可以構建在多種網絡數據傳輸的方式,通過MPLS技術,可以有效地實現網絡通信路由的自動發現功能,并能夠方便地進行數據傳輸。因此,MPLS VPN的三層網絡傳輸技術具有很強的自動路由發現功能,能夠很好地對網絡數據進行控制與管理。通過上面的分析可以看出,MPLS L3 VPN網絡數據傳輸具有很強的QoS能力、路由控制能力、自動識別功能,可跨不同地域/封裝協議建立VPN網絡連接、節省省際之際的數據傳輸帶寬傳輸資源,維護比較簡單等優點,適用于無一定技術團隊、qoS保障要求高的高等級跨區域的網絡數據傳輸中。
2MPLS VPN三層網絡的組網的特征
MPLS VPN三層網絡的業務比較廣泛,能夠有效在大型跨境企業、企業與合作伙伴之間構建IP VPN的虛擬網絡,通過IP連接,實現安全可靠的客戶數據中心的訪問,可以有效地實現客戶之間、網內外的數據高質量連接。
1)組網靈活;MPLS VPN技術靈活多樣的特征,這樣客戶就可以利用通信運營商的網絡任意節點之間(any-to-any)的組網通信,使得網絡通信變得比較便捷、迅速,運營商可以根據用戶的需要,在全國范圍內的客戶節點之間建立多種形式的網絡拓撲結構,例如可以創建星型、全網狀、部分網狀的網絡拓撲結構,然后再各個通信節點之間運營標準的網絡通信互聯協議,就可以有效的實現跨網絡之間的有效通信與互通。
2)業務承載透明:MPLS VPN技術可以有效地對網絡通信的上層應用進行透明的承載,采用數據分層傳輸的技術對數據進行控制,同時還能夠支持企業的多種業務發展與融合,實現企業的網絡內部、跨網絡之間的通信,客戶可以充分的利用MPLS VPN可承載數據、語音信息、圖像和視頻等綜合業務應用,使得網絡通信數據傳輸變得透明。
3)差異化Qos分級:在MPLS VPN技術架構的三層網絡通信中,網絡可提供多個Qos保障等級,從不同的等級要求對網絡傳輸的數據進行質量控制,保障客戶不同應用的指標要求,實現客戶的多樣化的數據傳輸服務,有效的滿足客戶業務維度(如語音、數據、視頻等數據業務)數據傳輸以及節點維度(如總部節點、分支節點)個性化數據的不同等級保障與質量控制管理。
4)數據接入方式多樣:MPLS VPN三層網絡具有靈活多樣的特征,在網絡傳輸的過程中可以采用PTN、SDH/MSTP、光纖直連接入、專線接入等多種數據接入與傳輸的方式,這樣也能夠有效的實現不同網絡之間的數據傳輸與跨網絡的數據傳輸服務。
5)專業化網管服務;MPLS VPN三層網絡采用了專業化的設備對網絡數據傳輸進行控制,這樣就需要有專業化網管中心,服務提供商、客戶通過專業化的網絡管理平臺,可以有效地對跨區域、境內外的網絡節點端到端網絡之間進行主動監控與管理,這樣就可以有效的對全網的網絡客戶進行管理和控制,能夠及時的發現網絡傳輸中存在的問題,對相關的數據進行統一維護與管理,能夠快速的發現網絡中的故障,并能夠形成有效的網絡運行報告。
6)高擴展性:高擴展性是MPLS VPN三層網絡的重要特征,能夠快速實現通信網絡的拓展,并降低網絡建設的成本。它可以在任何一個站點之間增加該站點的客戶MPLS VPN接人與控制,即可實現互通,易于擴展,擴大網絡通信的規模,而且能夠有效地降低客戶在組網與并網的成本,提高網絡施工的效率,這種功能特別適合于大型集團、大型網絡服務提供商、境內外的用戶對網絡節點進行擴充的需要。
7)快速的跨省、跨境業務數據互聯。對于跨省客戶業務,在數據傳輸的過程中,客戶側的CE設備可以通過城域網內之間的數據傳輸設備,將客戶側的數據接入到目標區域的PE設備上,PE設備然后采用省內干線傳輸系統將客戶的請求接入到骨干網路由器(即P設備),通過對應的IP數據,為客戶實現數據的鏈接,客戶涉及省P設備通過全國干線傳輸互聯,這樣采用MPLS VPN三層網絡就可以為跨省、跨區域的客戶建立虛擬的網絡客戶節點,進而能夠有效的建立網絡數據鏈接,實現客戶跨省業務的互聯處理。而對跨境客戶數據業務的處理,在用戶發出請求之后,在CE端連接到運營商的IP城域網的PE端,然后就可以通過IP專網與國際網絡出口節點連接到海外的POP網絡中,然后通過網絡設備轉接到境外的客戶端通信節點,這樣就可以實現虛擬專網的數據業務互聯。
3MPLS VPN三層網絡的組網測試分析
客戶在使用MPLS VPN業務進行網絡數據傳輸的過程中,主要關注網絡的可用率、網絡的穩定性、接入性等相關的指標,這些內容反映到網絡中就是數據傳輸的時延、抖動、分組丟失等相關的問題,因此,對于MPLS VPN三層網絡的測試,可以針對CE-CE,PE-CE逐段進行測試,通過分析網絡鏈路連通質量、VPN連通、路由協議收斂等來分析網絡的通信質量。
1)CE-CE測試方法分析。對于客戶邊緣路由器CE-CE之間的數據通信連接測試,主要是對VPN的數據連接的連通性、路由通信協議收斂、鏈路連通質量和鏈路冗余性等相關的指標進行測試,可以將CE路由器作為測試的對象,可以用電腦登陸到CE設備的Console口,采用ping網絡測試命令來檢查VPN路由的數據連接與傳輸的情況,根據測試的要求設置通信分組的大小(64-1600Byte),然后采用Ping命令實現對CE的端節點聯通性與數據通信的效果進行測試,一般情況下,主要對網絡傳輸的時延、分組丟失率、抖動性能指標等相關的內容進行測試,分析客戶邊緣路由器CE-CE之間的連接情況,同時,還可以配以光功率計測試鏈路之間的光功率,通過光功率的記錄情況,對網絡的穩定性進行分析,如果在測試的過程中,存在雙CE的情況,可以先斷開一個CE鏈路,進行倒換測試,同樣的采用ping命令進行數據通信測試,并對其中的時延、分組丟失率、抖動性能指標等進行測試,分析其中的一個CE-CE之間的連接是否正常,然后采用同樣的方法對另一個CE鏈路進行測試即可。
2)PE-CE測試方法分析。在對PE-CE之間的連接進行測試時,主要考慮傳輸網絡的電路傳輸質量與傳輸鏈路的帶寬進行測試,在測試時,可以在客戶端的傳輸設備進行測試。測試的方法是在客戶端的兩側設備上分別連接PC或者筆記本電腦,并配置兩臺電腦設備的IP地址,并將兩臺PC的地址配置在同一子網掩碼區域內,保證電腦的網卡沒有故障,能夠正常的工作,然后將其中的一臺PC作為服務器,另外一臺作為客戶端主機,作為網絡通信的連接設備,在服務器端安裝FTPServer軟件,保證網絡能夠有效的暢通,并配置好用戶權限,然后在客戶端主機安裝FTP Client軟件,這樣就形成一個網絡通信結構,然后在客戶端主機的FTP Client軟件訪問服務器,并從服務器主機的FTP Server獲取大容量文件,測試網絡數據的傳輸的速率、質量等相關的指標,即進行FTP下載操作,待下載速率穩定后記錄下載速率,觀察下載速率的變化情況,一般的情況下,在測試的過程中,可以重復10次操作,待FTP操作穩定之后,取10次測試速率的平均值,可以測試出傳輸電路的帶寬,并能有效的對PE-CE的穩定性及帶寬進行測試。
