vpn技术论文汇总十篇
时间:2023-03-08 14:51:46
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇vpn技术论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:VirtualPrivateNetwork)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
篇(2)
2民航数据通信网中组播VPN的实现
在民航数据通信网中实现组播VPN主要需完成骨干网络的准备工作以及组播VPN设计与实施等工作。
2.1组播VPN的规划设计民航ATM数据网华东地区ATM交换机上的RPM-PR板卡提供了MPLSVPN业务,目前部署的MPLSVPN业务网络拓扑为星形结构,即由区域一级节点9槽RPM板卡作为P设备和路由反射器,而其他节点均为PE设备。华东地区ATM网络中同时承载着两个相互独立的组播业务:ATM数据网公网组播实例和名为YJCJ2的用户私网组播实例。VPN组播实例是通过在P和PE设备上部署实现的,网络中,作为P和PE的RPM板卡上运行着公网组播实例,而作为PE的RPM板卡同时又运行着用户私网组播实例。公网的组播实例是在所有RPM板卡上开启组播应用。上海虹桥和浦东机场两个节点的10槽RPM板卡负责接入用户的VPN组播业务,所以需在这两台设备上部署MPLSVPN应用,并在这两个用户站点相应的VRF实例中开启组播应用。在本案例中,VPN用户接入侧要求使用的是PIM密集模式,而民航数据网MPLSVPN公网则使用的是PIM稀松模式。在MPLSVPN网络中不同用户的VPN站点都是彼此逻辑独立的,并且VPN用户数据封装MPLS标签后通过公网的PE和P设备进行传输。对于VPN组播来说,数据的传输模式也是类似的。PE设备通过将该VPN实例中的用户VPN组播数据报文封装成公网所能“识别”的公网组播数据报文进行组播转发。这种将私网组播报文封装成公网组播报文的过程就叫做构造组播隧道(MT)。在PE上,每个VPN用户的组播数据是通过不同的MTI(MulticastTunnelInterfac)组播隧接口在公网构造组播隧道,参见图2。由于公网、VPN网以及用户接入侧各组播部署中都采用PIM协议启用了组播应用,MPLSVPN中组播应用包含如下的PIM邻居关系:(1)PE-P邻居关系:指PE上公网实例接口与链路对端P上的接口之间所建立的PIM邻居关系。(2)PE-PE邻居关系:指PE上的VPN实力通过MTI收到远端PE上的VPN实例发来的PIMHello报文后建立的邻居关系。(3)PE-CE邻居关系:指PE上绑定VPN实例的接口与链路对端CE上的接口之间建立的PIM邻居关系。部署公网组播实例需在华东地区所有相关RPM板卡开启组播服务,考虑到密集模式对RPM设备和骨干网资源的开销,在民航ATM数据网中使用了PIM稀松模式。根据网络的物理网络拓扑模型,选取上海虹桥9槽RPM板卡作为RP。
2.2组播VPN的实施运行在MPLSVPN网络中的P和PE设备上部署PIM协议,这些设备之间会形成PE-P邻居关系,从而使得公网支持组播功能,并形成公网的组播分发树。本案例中使用PIM稀松模式,即在虹桥和浦东机场节点的9、10槽RPM板卡的配置底层IGP路由协议的接口上部署PIM稀松模式,这样就构造了公网的PIM共享树。在传输用户私网组播报文的PE上部署基于VRF实例的组播,一个VPN实例唯一制定一个Share-Group地址。同一个VPN组播域内的PE之间形成PE-PE邻居,并形成该组播域的共享组播分发树(Share-MDT)。在本例中就是在虹桥和浦东机场的10槽YJCJ2VRF实例中部署相应的defaultMDT地址239.255.0.5。用户CE设备和PE连接CE的相应接口启用组播,本例中使用PIM密集模式。这样就形成了PE-CE邻居关系。本例中是在虹桥和浦东机场节点的相应VPN业务端口配置PIM密集模式。当用户有组播报文需要传输的时候,就将组播报文发送给PE的VRF实例,PE设备收到报文后识别组播数据所属的VRF实例。用户私网的数据报文对于公网是透明的,不论数据归属或类别,PE都统一将其封装为公网组播数据报文,并以Share-Group作为其所属的公网组播组。一个Share-Group唯一对应一个MD,并利用公网资源唯一创建一棵Share-MDT进行数据转发。在该VPN中所有私网组播报文,都通过此Share-MDT进行转发。如图3所示,可以看到华东地区公网上的Share-MDT创建的过程。虹桥节点10槽RPM向9槽RPM(RP节点)发起加入消息,以Share-Group地址作为组播组地址,在公网沿途的设备上分别创建(*,239.255.0.5)表项。同时虹桥浦东机场节点也发起类似的加入过程,最终在MD中形成一棵以虹桥节点9槽RPM为根,以虹桥、浦东机场节点10槽RPM为叶的共享树(RPT)。随后,虹桥和浦东机场节点10槽RPM的公网实例向公网RP发起注册,并以自身BGP的router-id地址作为组播源地址、Share-Group地址作为组播组地址,在公网的沿途设备上分别创建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表项,形成连接PE和RP的最短路径树(SPT)。在PIM-SM网络中,由(*,239.255.0.5)和这两棵相互独立的SPT共同组成了Share-MDT。虹桥节点PE的私网组播报文在进入公网后,均沿该Share-MDT向浦东机场节点PE转发。图4是私网组播报文在公网中转发的过程。当浦东机场节点的YJCJ2VPN用户CE设备加入到虹桥节点数据源所在的组播组,此时由于这两个站点部署为PIM-DM模式,虹桥节点组播设备会立刻将数据推送到虹桥节点10槽RPM的YJCJ2VRF实例中,并通过该VPN构建的Share-MDT在公网上以(20.51.5.6,239.255.0.5)构建的SPT进行公网组播报文传输。当公网组播报文被浦东机场10槽PE设备收到后会将其解封装成原始的私网组播报文,并转发给相应的接收CE,最终完成用户私网组播数据在MPLSVPN网络中的传输。
篇(3)
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
篇(4)
背景需求分析
近年来,数字视频监控系统以其控制灵活、信息容量大、存储和检索便利等优点逐步取代了传统的模拟视频监控系统,被广泛应用于监控、安防、质检等方面。随着计算机及网络技术的发展、普及和网络带宽的迅速扩大,视频监控已经发展到了网络多媒体监控系统,即将数字视频监控技术与网络技术相结合,在现场监控主机无人职守情况下,实现局域网或Internet远程监控的功能。如此一来,将监控信息从监控中心释放出来,从而提高了治理水平和效率。但假如远程访问视频监控服务技术功能不足,则无法保证监控信息所需的保密性和速度性,这该怎样解决呢?VPN?(VirtualPrivate Networking)技术的出现,正好解决了该问题,实现了远程视频监控信息安全便利的传输。
经调查发现,实现VPN远程视频监控系统较重视的需求为:
虚拟私有网络VPN安全传输:完整的VPN网络视频监控系统,最重要的需求是要让各分支外点及本地局域网的监控视频能安全、实时的传送到总公司监控中心的治理服务器,统一作企业安全防护及报警。视频监控信息若不作加密处理就直接通过公众互联网进行传送,可能会造成企业内部机密外露等问题。因此,需要建置完善的VPN传输,不仅可节约高昂的专线成本,还能得到安全稳定的传输质量。
稳定良好的宽带接入服务:将视频监控信息集成到VPN中,虽然可以确保得到安全稳定的联机,但VPN线路还是建立在公众互联网上,一但接入的宽带线路不稳定轻易掉线,也连带影响到VPN的联机质量。稳定良好的的宽带接入服务或于运营商掉线断网时可以实时提供备援的支持是必要的。
带宽增级同时也能节省成本:多媒体视频监控系统包括视频、音频及相关数据的传送,若要得到实时、顺畅的传送质量,需要相当大的带宽才可达成,因此首先就面临到带宽的增级。如此就会导致线路成本的增加及可能的线路添加,带来成本及治理上的诸多问题。这时,兼顾成本的考虑下,适当的线路集成整合成为企业的需求。
网络安全防攻击防火墙:越来越多的攻击及病毒,造成企业网络安全的潜危机。一旦宽带接入受到恶意攻击影响网络正常运作,轻则让监控信息传输效率大减,严重时发生整个网络断网,造成视频监控系统停摆的窘境。若是多购置防火墙,等于是增加成本,因此路由器中需要有适当的防火墙功能,以进行网络安全的防护。
内部上网行为管控避免影响重要传输:多数员工在上班时间通过BT等下载音乐电影,或是聊QQ、MSN等实时交流工具,不仅影响工作效率,也很大可能会造成带宽被占用、影响监控信息传送速度降低影响监控实时反应,更严重是可能随之而来的病毒、蠕虫和木马的威胁。有效而可靠的管制内网用户使用特定软件是很必要的。
方便的配置及治理:当今讲求效率的时代,路由器也需要提供简易配置好治理的配置接口设计,让网管由繁复工作中解放。另外VPN客户端大多不配备专业的网管,很多指令行的路由器给设置带来了困扰,而想要对路由器进行任一个操作,都必须找来专业的人员,这又为实时反应带来了变量。因此路由器的配置,最好使用直观的配置接口及简化的配置设计,即使不是是专门的网管人员经简单的培训后也可轻易上手,节省不必要的时间浪费。
VPN远程视频监控应用
依据企业远程VPN视频监控系统服务需求及以上组网分析,具有高度性价比优势的多WAN VPN防火墙厂商侠诺科技,为远程VPN视频监控系统提出一完整的组网方案。
方案功能特点
多WAN端口接入汇聚带宽:Qno侠诺多WAN产品支持带宽汇聚、自动线路备援等功能,多WAN口接入方式,让企业有更大和弹性配置空间。可支持多线路多ISP接入,不仅可以汇聚带宽以节省成本,而且还可以实现线路备援、数据分流、负载均衡等效果。当一条线路掉线,会自动改用另一个WAN连接端口的线路连接,确保VPN联机不掉线,避免掉线时造成无形的损失与伤害。
强效防火墙有效防病毒攻击:VPN防火墙,具备主动式封包检测功能,只需单向启动各式黑客攻击、蠕虫病毒防护功能,即可简易完成配置,有效防止内外网恶意攻击,确保企业网络安全,降低网络受攻击带来的损失。具有内建的防制ARP功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定,在路由器端以内网PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。论文参考网。
QoS带宽治理优化带宽使用:视频监控多媒体传输需要有稳定的带宽,而少数BT下载等恶意占用带宽造成网络卡,经常会造成客户抱怨。让人宽慰的是侠诺二代多元QoS带宽治理功能,支持一周七天、一天三个时段采取不同的带宽治理政策,依据不同的网络应用环境、时段,自由选择管控方式,达到带宽利用率最佳化的目的。该功能包含有传统QoS带宽管控及智能SmartQoS治理,可依据联机数、要害字、最大或最小带宽等方式进行管控,也可启动动态智能治理,对于非凡的应用或用户进行非凡限制。这个功能并不禁止特定的应用,只是加以限制,从而更弹性的提供带宽服务。
轻松实现了中心管控:同时治理外点多条VPN接入联机,对于大部分网管来说,是非常棘手的问题,尤其是必须反复留心查询各点联机状况、带宽使用率、视频监控等信息,更是耗费许多时间。而Qno侠诺多WAN VPN防火墙则轻松解决了上述问题,其所具备的中心控管功能,可一次看清全部VPN联机的情况,再也不必一一地检查联机的状况。若需进一步协助设定或排解问题,网管也可直接进入分点的治理接口查看或进行设定治理,安全又有效率。
简易又方便的系统治理:Qno侠诺多WAN VPN防火墙具有全中文化配置及治理界面,所有设定参数与组态清楚明确、简单易懂,轻松完成网络设置。还支持强大的系统日志功能,可通过对日志治理和查找,即时监控系统状态及内外流量,进而作对应的配置,确保内网运作无误。
支持多VPN协议外点灵活选择:Qno侠诺高阶产品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客户端密钥等多种连机方式,可满足外点多种VPN弹性配置需求,实现总部中心端与各分点建构实时、稳定、安全的互连VPN网络系统。由此可见,多通道多协议的特点完全能胜任企业扩展及网络视频布点,而且外点可根据实际规划与应用,灵活选择适用的方式接入中心端。
SmartLink VPN快速设定:侠诺SmartLinkVPN快速联机,简化20多复杂设置步骤,将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输中心端服务器IP地址、用户名、密码三个参数,即可完成超快速VPN连机设定。
策略路由解决VPN跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。侠诺多WAN口的设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,实现“电信走电信、网通走网通”,从而有效解决跨网受限问题。
指定路由强化网络稳定性:另外一方面,多WAN口的设计,也提供了访问网络快速稳定的途径。支持指定路由功能,可通过协议绑定,将特定的服务或应用绑定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速访问速度,进一步保障网络的稳定性。也可将VPN绑定特定端口,保证VPN通道的稳定流畅。
总结
通过以上介绍,可以看出,Qno侠诺多WAN VPN防火墙产品多项功能,都体现了侠诺简单、安全、快速的“3S”研发理念和贴近用户需求的专心,帮助企业以较少的成本、时间与精力,达成高效、快速、安全的运营效能。非凡对于远程VPN视频监控服务来说,在带宽、安全性稳定性等多方面都有较高要求,VPN远程视频监控解决方案,可有效保持企业总部和分支机构间的隧道畅通,进而保证其服务的稳定性和可靠度,提高安全监控的视频质量,当异常事件发生时,可以在第一时间进行处理。论文参考网。可谓是最省成本、且最方便的解决途径。
春节假期,偶然在街上碰到大学同学小张。多年不见话题就多了,在了解到本人现在所从事的是网络安全技术方面的工作后,他像是碰到了大救星,一个劲儿要请客吃饭。原来,他利用这几年打工的储蓄独立创业,加盟了一家全国闻名的服装连锁店,连锁总店要求必须部署VPN信息网络。年前,他便按照要求进行了统一购买了VPN设备,但是由于其设置和应用过于复杂,对于作为网络“外行”的人来说,实在是有点难以应付。此外,因为金融危机的影响,为了压缩人力资源成本,他暂时还没有聘请专业网管的计划,正为这事上火。论文参考网。
其实,这种问题在国内数万家中小连锁企业的经营治理过程中绝不是首例。产生这种矛盾的原因有两点:专业化的高端设备满足了企业的应用需求,但是一般的兼职网管无法应付其治理和维护;平民化的低端设备,使用和治理倒是比较简单,却达不到企业信息化治理的全面需求。VPN网络是未来企业发展的大势所趋,但当务之急是为企业提供最为合适的设备,即要能兼具安全与简便的基本特性。安全无须多说,简便性就成了体现产品技术水平的最大差异化,也同样彰显了企业客户在应用上的突出需求之一。事实证实,其简便的应用特性非常贴近中小企业的需求现状,得到了较好的市场效果。
篇(5)
2 综合承载传送网的组网结构
综合承载传送网采用分层结构组网,分为核心汇聚层和边缘接入层。核心汇聚层组网结构主要分为三种:环形组网、口字型组网和双上联组网。
山东联通各地市组网主要采用环形和口字型组网方式。双上联组网和口字型组网结构类似,但由于需要耗费大量的光纤资源或者波分波道资源,因此在实际组网时主要还是采用折中的口字型组网方式。
边缘专业提供论文写作和写作论文的服务,欢迎光临dylw.net接入层主要根据光纤资源情况,分为双挂环形组网和单挂环形组网方式,一般光纤资源能保证的区域优先选用双挂方式,因为双挂方式除了能实现传统的路径保护(1:1 LSP)外,还能实现双归保护,从而避免汇聚设备单点故障引起的大面积掉站。
3 业务承载方案
3.1 业务承载需求
山东联通综合承载传送网主要有两大类业务承载需求:
⑴基站回传等自营业务或者系统的承载需求:
具备IP化、以太化基站的接入能力,提供高可靠、大容量的基站回传流量的承载;
满足LTE网络的承载需求,实现基站间灵活互访、基站多归属、基站组播等承载能力;
能够满足动力监控、综合业务接入网网管等各类系统的承载需求。
⑵政企业务或者大客户的承载需求:
⑶提供高可靠、大容量的二、三层VPN接入能力,能够满足点到点、点到多点、多点到多点等二、三层VPN的组网需求;
⑷具备电路仿真能力,提供ATM/FR/DDN等电路的接入能力。
3.2 承载方案分析
山东联通综合承载传送网的业务承载方案可归结为三点:
⑴对于2G和3G基站的TDM业务,可以采用伪线方式一PWE3实现。并在核心节点采用CSTM1端口进行汇聚。El业务一般采用SAToP方式,封装帧数和抖动缓存暂按设备缺省值取定。
⑵对于TDM、以太网、ATM等大客户专线,应采用相应的伪线方式实现。对于L3VPN的大客户专线,可采用核心汇聚层L3VPN加边缘接入层伪线、层次化L3VPN等两种方式实现。
⑶对于未来的LTE业务,分组传送网络需要承载s1和X2接口的流量。业务对IP转发的层面要求将进一步下移。可采用核心汇聚层L3VPN或层次化L3VPN到边缘的方式。
不同厂家对于3G IP业务承载方案的推荐会有所不同,就山东联通而言,基站数据域业务承载方式主要存在两种,(1)L3VPN部署到边缘-华为主推;(2)L3VPN部署到汇聚-中兴和贝尔主推。两者各有优势,L3VPN部署到边缘需要为基站互联端口分配IP地址,根据目前3G基站的IP地址分配规则,会涉及大量基站的IP地址调整,但符合中远期网络的演进思路;L3VPN部署到汇聚,基站IP地址的调整量将大大减少,与现有MSTP提供3G移动回传FE的业务提供方式、维护方式相似度高,利于分组传送技术引入后网络运行维护的逐步过渡。
山东联通综合承载传送网的业务承载方案如图3和图4:
4 综合承载传送网与RNC的互联方案
目前,山东联通2G/3G基站的电路域业务在核心机房均通过155M电路与BSC/RNC直接相连。3G基站的分组专业提供论文写作和写作论文的服务,欢迎光临dylw.net域业务与RNC对接现网有两种方式,一种是RNC直接与分组承载传送网业务汇聚设备互连,另一种是RNC通过CE与分组承载传送网互连。
在RNC直接与分组承载传送网互联情况下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口扩容
通过对RNC的GE和STM-1端口成对扩容,满足与分组承载传送网业务互联的需求,同时可以减少对已有3G业务的影响。通过逐步割接,可将现有以MSTP网络承载的3G分组业务割接到分组承载传送网上。
4.2 RNC接入端口不方便扩容
应将MSTP上的分组业务在汇聚层或核心层直接割接到分组承载传送网上。通过分组承载传送网设备与RNC相连。
就山东联通目前的组网而言,由于还存在着大规模的2G/3G基站采用MSTP传输接入,在一定的时间段内无法保证IP化,因此还存在着核心设备与RNC有大量的CSTM-1口对接,RNC的扩容在未来2-3年内也将继续进行,也会带来一定规模的GE口扩容,因此中大型地市的综合承载网与RNC互联通过分组业务汇聚设备显得更为合理。
5 传输背景人员快速融入IP RAN维护
引入分组传送技术后,整个综合承载传送网解决方案都是以数通技术作为基础,如何使传输背景人员快速融入IPRAN的建设维护显得尤为重要,结合实际工作,建议从以下几个方面入手:
5.1 比较传统传输理念和IP化理念的异同
传统的MSTP网络属于硬管道交换,所有业务都是建立端到端的连接通道占用固定带宽,
但是综合承载传送不一样,它既继承了传输端到端OAM的特性,又有数据网络逐跳建立连接的特性,整个网络是一张弹性的网。我们可以借助传统IP城域网的理念去类比IPRAN技术的相关概念,深入理解数通相关知识。
5.2 深刻认识全程全网和端到端业务理念
与传统的MSTP一样,综合承载传送网也需要建立端到端业务的概念,我们不仅仅需要理解分组网络是如何进行信息传递的,而且还需要把无线接入和核心网纳入到我们关注的范围,从NODEB和UTN如何连接,RNC与UTN如何对接,整个数据流进入UTN以后如何进行封装传送等等,理解整个UTN、在配置数据排除故专业提供论文写作和写作论文的服务,欢迎光临dylw.net障时才能得心应手。
5.3 认真学习实施方案
建议在工程建设期间认真学习具体的实施方案,一般而言,厂家会根据设计文件完成具体的实施方案,从组网方案、拓扑设计及设备选型、IP地址规划、路由部署设计、MPLS隧道设计、业务部署设计、可靠性设计、时钟/网管同步设计、QOS部署设计等等。这个过程可以帮助你学习完成一张网搭建所需的所有知识。
5.4 熟练掌握网管
网管需要掌握相关的数通知识,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要对解决方案中用到的知识点有个较深入的理解,另外一方 面我们又要熟练掌握网管的相关操作,在IPRAN的维护习惯上,我们更偏向于网管操作,不会像传统数通设备维护那样通过命令行进行操作,但是网管操作的基础又是数通知识,因为网管只是提供一个界面,提升效率,真正要配置的还是数通协议。理论和网管是IPRAN的两个关键点,两者相辅相成缺一不可,所以我们要同时加强这两方面的技能。
5.5 工程随工学习
更多的现场随工学习可以帮助你快速提升,深入现场多操作设备,通过实际对比分IPRAN技术与MSTP传统传输的区别。工程建设期的随工是一个很好的机会,因为工程建设期不用担心业务是否受影响,操练起来能更充分。
6 结束语
篇(6)
引言
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
篇(7)
图书馆在使用过程中由于涉及到版权保护,容易导致异地用户或者外网用户无法对其资源进行访问。为了解决此问题,一个典型的远程访问技术VPN(虚拟专用网)正在被越来越广泛的使用。本文在介绍虚拟专用网技术的基础上,给出了基于VPN的图书馆资源远程访问解决方案。
1 VPN技术简介
VPN即虚拟专用网,SSL VPN是VPN的一种。其实现软件既可以安装在现有服务器上也可以固化在专业的硬件上。基于虚拟专用网的图书馆数字资源访问技术优势集中体现在以下几个方面:
虚拟专用网的简单性。SSL VPN是最简单的一种解决远程用户访问图书馆的形式。原因在于SSL协议是内嵌于用户浏览器中的,因此就舍去了客户端上安装软件的步骤,用户只需连接Internet,就能通过网页访问图书馆资源。因此,通过VPN就可以在外网用户和图书馆之间的建立一条专用的数据传输通道,客户对资源的任何访问均需进行安全的身份验证。
虚拟专用网的安全性。采取SSL VPN,攻击者难以侦测出系统网络设置,攻击机会就会降低许多。通过SSL VPN进行连接,还能够在很大程度上低于病毒的侵害,保证了图书馆信息系统的安全运行。
保护敏感的数据。结合不同用户的身份,赋予其相应的访问权限。通过用户划分,降低客户端的维护工作量,保护了敏感数据,同时也实现虚拟专用网在图书馆应用的快速部署。
扩展性强。随着网络的扩张,虚拟专用网可以实现灵活的扩展。如果图书馆需要添加新的用户或新的子网,只需在VPN服务器上对已有网络软件配置进行相应的修改即可。
2 基于VPN的远程访问模式设计
2.1 SSL VPN 的具体部署方案
图书馆的SSL VPN所部署的位置是内网的防火墙后面,结合具体的安全控制策略,为那些位置分散的用户架设从公网进入图书馆内网信息资源的访问途径。通常采取的方式为:对图书馆内网的信息资源服务器进行设置,使之为位于外部网络的用户提供虚拟地址,当位于外网的用户根据所提供的虚拟URL对图书馆内网资源进行访问时,由SSL VPN网关获取来自用户发起的连接,同时为远程客户与服务器之间建立加密、解密的隧道,同时采取一定的访问控制策略,通过对用户信息进行认证后,向不同的应用服务器进行映射。
结合图书馆用户的实际情况,(大部分图书馆用户均属于公网用户),在本文的设计中,以思科公司的产品应用为例,选择CiscoASA5510设备,利用其SSL VPN功能,布署于公网和策略分流交换机之间。具体的做法是:以思科CiscoASA 5510服务器实现Web VPN功能,用户身份的验证由Radius Server服务器实现,处于外网的用户通过所在的网络服务商接入互联网,之后向WebVPN服务器发出身份验证的请求,身份验证通过以后,就可以对图书馆内网的图书资源进行访问。思科CiscoASA 5510服务器的外网接口与因特网相连,为此接口配置公网的IP地址,位于图书馆外网的用户可以通过公网地址对其进行访问,服务器的内网接口连接策略分流交换机,为此接口配置图书馆内网IP地址,使之可以和 Radius Server服务器进行通讯,实现用户身份的验证,用户通过验证之后,就会被分配一个图书馆内网的IP地址,就可以对图书馆资源服务器群进行访问了。
2.2 SSL VPN的主要配置过程
以思科ASA5510内置的SSL VPN功能构建基于网络的虚拟专用网服务器,需要设置的内容包括DNS、网关和SSL VPN的接口地址等,在初始化设置之后,为共享图书资源,还需要配置SSL VPN设备,下面对几个关键的配置进行介绍。 转贴于
2.2.1 用户认证服务器的添加
因为只能允许一些特定的注册用户作为合法的外网用户,所以,为了对用户进行身份的确认,必须提供用户名和密码。图书馆远程访问的权限包括SSL VPN的使用期限和用户的并发数。本文所选取的思科ASA5510服务器能够兼容多种身份认证协议,系统的管理员可以结合单位内部的认证服务器进行认证,也可以使用SSL VPN 内部的自建帐号进行认证,本文推荐采用的认证协议是Radius, 进行如下配置:
#启用radius协议认证
#配置radius服务器的使用的key和IP 地址
#应用于内网口,配置VPN组使用radius协议
2.2.2 增设内网资源和访问资源
在系统的资源管理中增设Web资源或APP资源。例如,在”姓名”一栏中写入用户专属的名字,例如”图书馆资源网”;在”描述”一栏中写入描述内容;在”地址”一栏中写入访问网站的主机域名或是IP地址。然后执行”Everything under this Url”和“Auto-allow Bookmark”,执行完毕后,对学术期刊网的远程访问设置进行保存。
2.2.3 用户角色管理的设置
这一步骤的主要内容是为用户建立不同访问权限的角色,并将这些角色与图书资源进行关联。这样,就能让不同角色的用户在成功登陆SSL之后,能够对相应角色所具有权限的图书馆资源进行访问。因为本文所选择的身份认证是Radius协议,所以由radius服务器来完成用户的建立和管理,此时思科ASA5510并不需要对本地用户进行建立,用户管理的工作量显著降低了。
2.2.4 外网用户的访问
因为图书馆内网的ASA5510服务器与公网相连,所以对外提供Web VPN的地址就是外网口的 IP 地址。具有用户身份的外网用户在连接到因特网之后,输入图书馆内网地址就会接收到图书馆 SSL VPN的界面,用户根据提示输入ID和密码,结果服务器认证后,就能够得到图书馆内网的 IP地址以对图书馆资源进行访问。
3 结语
虚拟专用网是目前网络应用发展的趋势,随着信息技术的发展和宽带应用的普及,人们对网络依赖的日益增强,虚拟专用网应用也将变得更加广泛。对于图书馆服务而言,VPN正在得到广泛的推广与应用,既能够为图书馆之间的资源共享提供网络传输途径,又可以为远程异地用户提供资源服务,提高了图书馆资源利用效率,必将成为未来图书馆的发展方向。
参考文献
[1] 张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7)69~70.
篇(8)
中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03
0引言
随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。
1VPN 的原理及SSL VPN方案的优势
11VPN原理
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。
12两种VPN方案的对比
按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析
21访问控制技术
访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。
22性能分析
VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。
3SSL-VPN下的数字化校园解决方案
31需求分析与设计目标
校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。
32系统体系结构
经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。
由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。
33改进型安全策略——基于角色的控制
本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。
4结束语
随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。
参考文献:
[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.
[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.
[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.
篇(9)
0引言
随着电力信自、化水平的不断提高,县级供电企业综合管理信息系统开始逐步建立,但基层变电站、乡镇供电听与供电公司局域网联网问题严重地制约着县级供电企业信息系统实用化水平的发展和信息资源的充分有效利用,这与供电企业管理发展的目标追求以及客户的需求是极不适应的。由于乡镇供电所信息化建设工作受地形、人员素质、资金投人等因素影响,解决远程站点联网问题成为县级供电企业信自、网络建设中的突出矛盾。
1庐江供电公司信息化建设现状
安徽庐江供电公司的信息化上作起步较晚,供电公司总部于X004年实现了生产M I S与办公自动化OA的单轨制运行,总部信息化运行提高了企业的整体管理水平和办公效率。如今,庐江供电公司总部已运行的信息系统有:生产管理系统、办公自动化系统、档案管理系统、Web系统、财务管理系统,现有的服务器包括:生产服务器、办公自动化服务器、档案服务器、Web服务器、财务服务器。力、公用微机80多台,每位管理人员以及每个班组都配有微机。
在实施信息化建设与管理中,深深体会到庐江供电公司信息化建设不仅可降低财务管理、物资管理、项目管理、资料管理等方面的管理成本,并在生产管理中可将所有设备信息进行分类编号,输人数据库,实行设备、设施缺陷管理,科学地制定缺陷检修计划,提高设备运行可靠度,降低故障率,提高供电可靠性;同时,庐江供电公司的营销管理信息系统建有业扩子系统、电量电费f系统、用电检查子系统、综合查询系统,通过这些系统,可方便与客户的交流、沟通,节约成本开支,实现科学化营销流程管理。这些管理信息系统的应用,加强J’企业的规范化管理,增强了管理的科学化水平,减轻了工作人员的负担,提高了企业的经济效益。
为此,庐江供电公司加入了乡镇供电所营销MIS应用系统的推进力度,进一步减轻了抄表人员的负担,缩短了开票时间,加强了电费电价的控制与管理,提高了营销管理自动化水平。全县17个乡镇供电听,都使用同一版本的营销MIS应用系统。舟个供电听都有3台以上的微机,其中1台所长用于日常办公,另外2台分别作为用电MIS系统的服务器与客户端,并兼为所里其他工作人员办公使用。其中,已有10个供电所可利用变电站的光纤系统,与庐江供电公司总部实现网络互联,提高了工作效率,节省了开支。其余7个供电所仍不能够实现信息化共享,这些供电所非常希望尽快网络互联。
2采用VPN方案推进供电所信息化建设进程
这些供电所若使用以前的光纤联网方式,不仅投资大,施工工期长,而且日后的维护量也多。考虑到以上原因,为尽快解决其余7个光纤未开通的乡镇供电所的网络互联问题,达到信息、共享,推广乡镇供电所的营销MIS系统应用,公司决定采用虚拟局域网(VPN),在现有设备基础上,进行简单的改造。通过在VPN网关中配置7个供电所的用户、密码以及访问策略,并分别在7个供电所安装VPN客户端,安装公司的MIS应用系统,实现全公司网络互联。VPN技术实际上就是综合利用包封装技术、加密技术、密钥交换技术、PKI技术,可以在公用的互联网上建立安全的虚拟专用网络(VPN , Virtual Private Network ) 。 VPN是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、没有安全保障的、经过路由传送的网络上传输的。VPN技术能够有效解决信息安全传输中的“机密性、完整性、不可抵赖性”问题。
3方案效果比较
对2种方案的可能性进行了比较,如图1所示。如果庐江供电公司全部运用光纤法来实现供电所的网络互联,每个供电所的材料费、施工费按3.5万元,施工工期10天计算,7个供电所就需要3.5 x 7=24.5万元,需要10 x 7=70天。若这7个供电所采用VPN方案,只需要购买VPN网关1台,价值3.5万元和7个客户端钥匙,价值7 x 480=3360元,5天内就能完成7个供电所安装。因此,应用VPN方案,庐江供电公司就能节省资金达24 . 5-3 . 836=20.664万元,缩短工期65天,取得的直接效益是显著的,并省去了今后光纤线路维护所需要工作量。
现在,这7个乡镇供电所均可利用VPN方案安全可靠地登陆公司局域网,在局域网下载内容的速度可达350 kb/s,生产MIS系统响应时间为2--3 s,办公自动化系统浏览公司收发的文件、接受电子邮件的时间因文件的大小不同而有所差别,1 MB的文件大约需要8 s。由于ADSL是非对称数字环路,所以发送电子邮件的速度要慢得多,1 MB的文件大约需要18s。从VPN方案运行效果来看,完全能够满足庐江供电公司网络发展及MIS系统应用的需要。
4下一步信息化建设的主攻方向
篇(10)
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:
1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Re-mote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPNo
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.1 VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol , NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F( Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol, PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。
与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。