VPN发展范文

VPN发展范文（精选10篇）

VPN发展 第1篇

VPN即虚拟专用网, 是利用公用互连网来实现的某个机构的专用网.IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网", 它是一种通过私有的隧道技术在公共数据网络上仿真一条点到点专线的技术.

在虚拟专用网中, 任意两个节点之间的连接并没有端到端的物理链路, 而是利用某种公众网的资源之上的逻辑网络动态组成, 用户数据在逻辑链路中传输.在因特网上传送的外部数据报的数据部分 (即内部数据报) 是加密的, 这样既利用了因特网的网络资源又保证了数据传送的安全性.

VPN可以取代租用DDN专线或帧中继解决企业异地局域网的互连问题, 主要有以下优势:

a.使用VPN可降低成本:通过公用网来建立VPN, 可节省通信费用, 而且不必安装和维护WAN设备和远程访问设备.

b.传输数据安全可靠:虚拟专用网产品均采用加密及身份验证等安全技术, 保证连接用户的可靠性及传输数据的安全和保密性.

c.连接方便灵活:双方只需配置安全连接信息即可, 不需建立租用线路或帧中继线路.

d.完全控制:用户只利用ISP提供的网络资源, 对于其它的安全设置、网络管理可由自己控制.

2. VPN安全技术

目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Au-thentication) .

2.1 隧道技术

隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网建立一条数据通道 (隧道) , 让数据包通过这条隧道传输.

隧道是由隧道协议形成的, 分为第二、三层隧道协议.第二层隧道协议是先把各种网络协议封装到PPP中, 再把整个数据包装入隧道协议中.第二层隧道协议有L2F、PPTP、L2TP等.其中L2TP协议是目前IETF的标准, 由IETF融合PPTP与L2F而形成.第三层隧道协议是把各种网络协议直接装入隧道协议中, 形成的数据包依靠第三层协议进行传输.第三层隧道协议有VTP、IPSec等.IP网络上的SNA隧道技术和IP网络上的Novell Net Ware IPX隧道技术是目前较成熟的隧道技术..

2.2 加解密技术

加解密技术是数据通信中一项较成熟的技术, VPN可直接利用现有技术.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取.现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种.SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥.而在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用.

2.3 身份认证技术

最常用的是使用者名称与密码或卡片式认证等方式.目前常用的方法是依赖于CA (数字证书签发中心) 所签发的符合X.509规范的标准数字证书.通信双方交换数据前.需先确认彼此的身份, 交换彼此的数字证书, 双方将此证书进行比较, 只有比较结果正确, 双方才开始交换数据.

3. VPN解决方案

针对不同的用户要求, VPN有三种解决方案:远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 、企业扩展虚拟网 (Extranet VPN) .这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet (外部扩展) 相对应.

远程访问虚拟通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问.实现了以本地拨号接入的功能来取代远距离接入, 降低通信的费用.并且有极大的可扩展性, 可简便地对加入网络的新用户进行调度, 提供远端验证拨入用户服务的安全保证.

企业内部虚拟网利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输.它具有以下优点:减少WAN带宽的费用;能使用灵活的拓扑结构;新的站点能更快、更容易地被连接;通过设备供应商WAN的连接冗余, 可以延长网络的可用时间.

企业扩展虚拟网通过一个使用专用连接的共享基础设施, 将客户、供应商等连接到企业内部网.Extranet VPN结构的主要好处是能容易地对外部网进行部署和管理, 外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署.

4. VPN方案的要求

成功的VPN方案应该能为用户分配专用网络上的地址并确保其安全性, 并对通过公共互联网络传递的数据必须经过加密.必须能够生成并更新客户端和服务器的加密密钥, 提供身份审查严格控制只有授权用户才能访问VPN.具有审计和记费功能.还必须支持公共互联网络上普遍使用的基本协议.

5. 下一代VPN

虚拟专用网 (VPN) 是由在公用网上提供安全路径的一些路由器及防火墙组成.下一代VPN的概念还包括网络设计策略.下一代的VPN要求设计师不仅要仔细研究VPN的每一个技术细节, 而且要有宏观意识.

5.1 目录服务器

下一代VPN的最为主要的部件是目录服务器, 主要用于存放端用户的信息及网络配置数据, 公司的网络可以横跨网络公共服务设施, 因此, 传统公用网与专用网的界线已经变得模糊.

这种网络必须生成一个逻辑与物理目录服务器, 该服务器既可设置于公司的一端, 也可设置于电话公司的网络运行中心NOC处, 且有防火墙的保护.这种多个地点使用的目录服务器在NOC端做镜像, 提供了物理与逻辑的冗余备份, 却也给黑客提供了攻击的机会.

这种使用网络目录的方式也改变了传统网

络的访问点, 这些载有整个公司用户相关资料及网络配置的目录应置于用户或网络运行中心NOC的安全区内.该安全区是进一步开发VPN的基础, 它主要由策略服务器与认证服务器组成策略服务器根据公司的规则制定访问策略, 认证服务器则负责公共密钥的认证及其他有关安全任务.

5.2 服务质量

实现上述VPN仍有许多工作要做, 首当其冲的是要解决服务质量Qo S问题.基于策略的网络中, 策略服务器装载有关应用及网络资源的信息, 动态地确定端用户如何访问应用程序.IPv Qo S的实现是通过将IPv6的信息包定义为不同级别的信息流.

由于Qo S要求提供跨越LAN与WAN的端对端的服务, 网络设计人员必须了解每个公司的网络在何处结束, 公用网的VPN又从何处开始.要求网络设计师要予以规划、区分不同系统间的各种进程流及每个公司各拥有哪些VPN部件等.另外, 如何对那些跨越多个VPN的信息包进行跟踪与收费以及计费的可行性, 例如由谁结算账单等, 所有这些问题都有待于下一代VP来解决.

5.3 安全问题

安全是VPN的核心问题.目前一种灵活的、可伸缩性的、并具有互操作性的安全服务已经出现, 如PKI (公共密钥结构) 及IKE (因特网密钥交换) .PKI允许端用户使用从有关权威部门获得的公用及专用密钥在因特网上加密与交换信息.目前, ITUT的X.509标准已成为公认的构建上述结构的基础, 并用以定义经由认证部门签署的有关公共密钥的过程及数据格式.IETF正在研究PKI的简化版本SPKI, 它将简化目前所使用的层次验证机制.

6. 结论

VPN的出现, 使企业可借助公共网络服务平台, 搭建廉价而广泛的通信.同时, 通过各种安全技术的引入, 可以保证通信的安全性, 提供较高的网络性能.

VPN兼备了公众网和专用网的许多优点, 价格低廉、功能丰富以及高性能、高安全性, 成为构建企业专用网络的一种有效的解决方案, 将逐渐取代采用专线构建企业专用网络的传统做法.

参考文献

[1].谢希仁.计算机网络 (第四版) .电子工业出版社, 2003年6月

[2].陈选育, 李灿平.IPv6下基于IPSec的VPN的研究与性能分析.广东通信技术, 2007, 1

[3].刘茵, 陈常嘉.VPN技术应用与实现浅谈.电子科技, 2006年第11期

[4].李世武, 韩雅琴.VPN技术与实现策略研究.计算机与网络, 2006年第23期

方正VPN安全网关 第2篇

评选理由：鞭的由来与锏相同，惟戬必双用，鞭则有单双软硬之分，但是现在普遍所见都是软鞭。鞭要求演习者在身法上转折圆活，刚柔合度；步伐轻捷奋迅，与手法紧密配合。软鞭是软硬兼施的兵器，其特点是身械协调性强，演练者强，既要有击打速度，又要体现灵巧的方法。尤其舞动时，上下翻飞，相击作响，如银蛇飞舞，使人眼光撩乱。方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，同时具有VPN客户端和集中管理软件，整个系统采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，可谓软硬兼施，灵活方便。

产品简介：方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，是采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，能满足企业总部和分支之间、企业和合作伙伴之间、移动办公用户和企业之间安全连接的需求，还可作为专线的备份线路。适用于静态地址、动态地址、NAT穿越等各种应用环境。适用于静态地址、动态地址、NAT穿越等各种应用环境，能够满足从大型企业集团到中小型企业、政府机关、行业用户的各种组网要求。

方正VPN系统由三部分组成：VPN安全网关、安全管理中心SecuwayCenter2000和VPN客户端SecuwayClient2000。整个系统采用模块化设计，用户可以根据实际需要灵活配置。对于中小企业，由于VPN设备不多，也可以不采用SecuwayCenter2000，直接采用网关自带的GateAdminPro管理软件进行安装、配置，从而最大限度地节省用户的投资，减少系统的维护量。

方正VPN安全网关特点：

独创的芯片级设计思想

独创的芯片级设计是方正VPN在稳定性、安全性和性能方面得以出色表现的坚实基础。它独特的体系结构消除了传统VPN系统中由于使用通用处理器、通用操作系统而导致的自身安全漏洞、稳定隐患和性能瓶颈，同时依然提供了基于完全状态检测的网络通信安全。

使用超级VPN加速芯片

采用芯片级的设计，极大地提高了自身的可靠性和效率。 使用针对VPN高强度运算优化的超级芯片，VPN通讯速度达到软件模拟的10倍以上。

获得专利的黑区安全体系

可灵活提供了一个安全的监视区域，并提供与其他网络安全技术的联动接口。黑区可帮助管理员对整个网络进行安全监控，能够与众多主流入侵检测系统无缝联动，并联合其他安全产品形成立体网络安全体系。

强大的集中管理功能

利用SecuwayCenter2000安全管理中心可对VPN策略、VPN隧道、VPN客户端进行有效的管理。同时SecuwayCenter2000还是证书分发中心、身份认证中心、日志信息收集和分析中心。通过SecuwayCenter2000对VPN网络进行有效的管理。安全管理中心包括SecuwayCenter2000管理中心、SQLServer 数据库和Radius服务器。

独一无二的自毁保护

提供国际先进理念的物理安全，可保证不因人为的物理损坏而导致策略失效和敏感信息泄密，符合国际和国内标准所规定的安全系统本身高安全性的要求。

多ISP线路接入

VPN发展 第3篇

一高校校园网现状

校园网作为因特网的一部分, 方便了师生们的工作、学习和信息交流。一方面, 它具有开放性, 可以让师生通过它获得校内外大量的、丰富的信息, 也可以让世界各角落的人们通过邮件、网页等形式了解学校。另一方面, 校园网络也具有专用性, 它的某些资源只允许校园内的用户享用, 或是某些资源对不同的用户具有不同的权限。

二VPN概述

1. VPN简介

虚拟专用网络 (Virtual Private Network, 简称VPN) 指的是在公用网络上建立专用网络技术。整个VPN网络架构在公用网络服务商所提供的网络平台 (如因特网) , 任意两个节点之间的连接没有传统专用网所需的物理链, 用户数据在逻辑链路中传输。简单来说, 就是利用开放的公众网络建立专用数据传输通道, 将远程的分支机构、伙伴、办公人员连接起来, 并提供安全的端到端的数据通信的一种技术。

2. VPN技术解析

第一, 隧道技术。隧道技术是VPN的基础, 它是在公用网建立一条专用数据通道 (隧道) , 让数据包通过这条隧道传输。

第二, 加密和解密技术。加密、解密技术是VPN的安全保障, 除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外, 两边的设备还必须增加建立于信任关系基础之上的加密、解密功能。

第三, 密钥管理技术。密钥管理技术的主要任务是如何在公共数据网上安全地传递密钥而不被窃取。

第四, 身份认证和安全策略。在隧道数据传输前, 确认用户身份, 便于系统进一步实施资源访问控制或用户授权。

3. VPN的优势

第一, 低成本。VPN使用现有的因特网跨区域建立数据隧道, 实现不需要通过专有线路的低成本且廉价的安全数据传输。

第二, 扩展性强。在子网增加, 内部结点越来越多时, 只需在结点处架设VPN设备, 就可利用因特网建立安全连接。

第三, 安全性强。为确保信息安全, VPN技术使用可靠的加密认证技术, 在内部网络建立专有隧道, 避免信息的泄漏、篡改和复制。

三VPN在高校校园网中的运用

1. 跨地域、低成本、高效互联

当前, 国内多数高校存在地理上跨地域分布, 为了保证学校逻辑和管理上的统一性要求, 可在不同校区之间投入VPN设备, 在因特网上建立数据隧道, 使得校区之间的访问像在一个专用的局域网中一样, 可满足不同地域校区之间网络信息交换量大、频率高、信息安全级别高的要求, 由于使用公用网络作载体, 所以保障了价格的低廉。

2. 远程连接, 发展远程教育

对于出差在外或是在校外居住的学校工作人员, 利用相应的VPN客户端软件, 通过因特网就可实现在校外通过因特网登录校园网进行移动办公等功能, 从而提高工作效率。

网上远程教育作为一个崭新的教育形式。将最大限度地利用现有教育资源, 是实现教育的大众化、现代化、终身化和国际化的新型教育形式和必然途径。网络作为远程教育的重要载体之一, 在应用过程中, 网络的优势日趋显现。VPN技术的运用, 可以实现跨地域建立一个虚拟专用教学网, 使教与学的过程就像在一个内部网中进行, 实现远程教学的开放与安全、自主与协作的和谐统一。

3. 网内构架, 保障数据安全

目前, 学生用户的快速增加, 是校园网规模扩大的显著体现。由于校园网的用户绝大多数为求知欲和动手能力非常强的学生群体, 他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。所以, 校园网除了要防范来自外部的安全隐患外, 还要构建网内的安全架构。

四结束语

相对专线, VPN可以大大降低成本;相对公网, VPN又具有很好的安全性。VPN的应用为校园网组建“自己专用”的网络提供了经济能力可以承受且相对安全的技术手段。可以预见, 这将是校园网成内联网、外联网和实现远程接入网的基本的、主要的方法, 对于校园网的发展是具有重要意义的!

参考文献

建立VPN轻松实现远程协助 第4篇

TeamViewer对于PC远程协助就是不错的解决方案，现在它提供的Android与iOS的应用程序就能很好地建立移动设备与PC之间的特殊通道。

首先，在需要远程协助的PC安装TeamViewer软件。安装步骤虽然简单，但是需要用户注意的是，在选择安装类型这一步骤时选择“Yes”建立无人值守，以便用户随时访问远程PC，并注意选择“使用TeamViewer VPN”用来创建安全的VPN远程控制链接。之后程序会自动弹出设置无人值守安装向导，依次设置PC用户名与预定义密码，以后无需在PC端操作即可使用Android或iOS设备远程控制了。

完成安装后，运行TeamViewer即可获得一个远程连接ID，在移动终端连接PC主机时，只需将刚获得的ID与预定义密码输入即可，不用操控PC端获得TeamViewer随机生成的连接密码。

接下来，就在手机或平板电脑中下载并安装移动版的TeamViewer应用。运行应用后，在登录界面中输入远程PC的ID与预设密码，也可以通过“伙伴”功能，直接输入预设的PC用户名与密码连接。

触控“连接至伙伴”按钮，即可看到PC端桌面，可以通过触屏操作来控制鼠标、图标的拖动以及屏幕的缩放，双手指点击可实现鼠标右键功能。

VPN技术初探 第5篇

VPN, 虚拟专用网, 是一种当前较流行的网络连接技术, 是Virtual Private Network的缩写, “虚拟”的概念是相对传统私有专用网络的构建方式而言的, 对于广域网连接, 传统的组网方式是通过远程拨号和专线连接来实现的。虚拟专用网不是真的专用网络, 但却能够实现专用网络的功能, 如图1所示。虚拟专用网指的是依靠ISP (Internet服务提供商) 和其它NSP (网络服务提供商) , 在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。由于VPN是在Internet上临时建立的安全专用虚拟网络, 用户节省了租用专线的费用, 这使得VPN价格相对低廉。

2 VPN的特点

(1) 虚拟性:

与传统的专用网不同, VPN 不是在2个站点之间建立永久的连接, 当端与端之间的连接断开后, 所释放的物理资源又可被挪为他用。

(2) 安全性:

VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。

(3) 低成本:

用户不必租用长途专线建设专网, 不需大量的网络维护人员和设备投入。

(4) 易于实现与扩展:

网络路由设备配置简单, 无需增加太多的设备, 节省了人力和物力, 可以直接利用Windows系统中的网络功能来实现。

3 VPN的应用方式

VPN有三种应用方式:远程访问虚拟网 (AccessVPN) 、企业内部虚拟网 (IntranetVPN) 和企业扩展虚拟网 (ExtranetVPN) , 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

(1) 远程访问虚拟网

AccessVPN通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路 (xDSL) 、移动IP和电缆技术, 能够安全地连接移动用户、远程工作者或分支机构, 适用于公司内部经常有流动人员远程办公的情况, 如图2所示。

(2) 企业内部虚拟网

企业内部分公司之间传统的上网方式是租用专线。显然, 在分公司增多、业务开展越来越广泛时, 网络结构趋于复杂, 费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施, 连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同保障和服务, 如图3所示。

(3) 企业扩展虚拟网

企业扩展虚拟网通过一个使用专用连接的共享基础设施, 将客户、供应商、合作伙伴连接到企业内部网, 能容易地对外部网进行部署和管理, 外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署, 主要的不同是接入许可, 外部网的用户被许可只有一次机会连接到其合作人的网络, 如图4所示。

4 常见的VPN产品种类

目前电信可提供的VPN产品类有MPLS VPN, 二层交换VPN, IPSEC VPN和VPDN。

4.1 MPLS VPN

MPLS VPN是指基于MPLS技术构建的虚拟专用网, 即采用MPLS技术, 在公共IP网络上构建企业IP专用网络, 实现数据、语音、图像多业务宽带连接, 并结合差别服务、流量控制等相关技术, 为用户提供高质量的服务。MPLS VPN能够利用Internet组建专用网, 将大笔的专线费用缩减为少量的Internet费用, 对用户而言无疑是非常有吸引力的, 而且企业甚至可以不必建立自己的广域网维护系统, 而将这一繁重的任务交由ISP来完成, 并可提供强有力的QoS能力, 具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。

(1) MPLS工作原理

MPLS (Multiprotocol Label Switch, 多协议标签交换) 是由Cisco标记交换演变而来的IETF的标准协议。它可以看做是一种面向连接的技术。包的转发完全基于Label, 标记表示路径和服务的属性 (Label Switched Path, 简称LSP) , 当数据包流入时可以通过MPLS指令或者手工配置的方式做上标记, 位于核心的设备仅仅读这些标记, 赋予适当的服务, 然后根据标记转发这些数据包, 对这些数据包的分析、分类和过滤只发生一次, 在MPLS标记交换路径的出口 (或倒数第二跳时) , 标记被移去, 还回原来的IP包 (在VPN的时候可能是以太网报文或ATM报文等) , 数据包转发到最终目的地。MPLS节点转发这些数据包完全根据Label值进行转发, 而不是根据IP信息。MPLS这样的包转发运算方式比IP包转发运算方式更为简单, 但它却可以提供比IP包转发提供更为强大的功能。

(2) MPLS VPN的技术特点

①能提供QoS的保证。

主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务, 也可以通过划分类以面向无连接的方式提供差分服务, 另外, 还可以通过流量控制技术间接地为QoS的实现提供一定的资源保障。基于流的集成服务因其需要指令的支持造成可扩展性较差, 不适合在骨干网上应用, MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量控制来满足, 另外在传统IP网上的专线技术IPSec/GRE等也可以构建VPN, 但这些技术无法保证QoS。

②安全性较高。

MPLS骨干不负责维护任何VPN路由, 只进行标签交换, 因此其安全性与二层的ATM技术相当。在PE路由器 (服务商边沿路由器) 上, 各VPN路由通过VRF来隔离, 也具有良好的安全性。

③可扩展性好。

MPLS VPN的路由只存在于PE路由器上, PE路由器只保存与之相连的客户站点的VPN路由, 骨干的PE路由器无需任何VPN路由的知识, 这大大减少了VPN路由的维护量。另外, MPLS VPN通过二层标签栈区分域内路由和VPN路由, 使网络具有较好的可扩展性。

④减轻客户的维护负担。

MPLS VPN技术中的VPN路由存在于运营商的PE路由器上, 由运营商替客户维护路由, 减轻用户的管理和维护负担, 以利于将VPN业务向各类高中低端客户大规模推广。

(3) MPLS VPN的适用范围

适用于数据通信量大、高效运作、商务活动频繁、对网络依靠程度高、有较多分支机构的企业, 如网络公司、 IT公司、金融业、贸易行业、新闻机构等。

4.2 IP-Sec VPN

在公共网络构架上 (通常是Internet) 利用安全、认证、加密等技术建立企业的专用线路, 也就是一个安全的网络隧道 (TUNNEL) , 在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN虚拟专网, 是一个通过Internet将个人和系统安全相连的技术, 即利用公用基础设施为企业各部门提供安全的互联网服务, 它可以提供与昂贵的专线 (DDN) 类似的安全性、可靠性、可管理性和优先级别, 可构筑于IP网络, 帧中继网络和ATM网络上。

(1) IP-Sec VPN网络技术特征

①属于端到端服务, 不需要骨干网络承担业务相关功能。

②响应市场变化的速度快捷, 可以在现有的任何IP网络上部署。用户可在任意位置使用。

③IPsec协议不解决网络的可靠性或者QOS机制等方面的问题, 服务质量主要依赖承载网络。

(2) IP-Sec VPN的适用范围

连锁业态的超市便利店、大卖场、连锁快餐点及大型企业物流、跨地区大型企业、政府、公用事业总部和分支机构。

4.3 PDN远程办公

远程办公 (VPDN) 是指有远程办公 (包括群体远程办公和个人远程办公) 需求的用户采用专门的账号和企业自定义的IP地址, 通过ADSL PPPoE拨号联入企业内部网络, 该账号不提供Internet功能。

(1) VPDN网络技术特征

①上下行速率不对称。

②用户认证以保证其安全性。

③速率为128K～2M。

④用户通过ADSL方式拨入, 用户无需路由器。

(2) VPDN的适用范围

A类业务账号:用户端账号与ADSL PVC绑定。适用于固定地点的公司内部分支点 (超市、连锁类远程办公点) , 仅开通VPDN账号 (不提供Internet上网功能) , 以包月资费形式绑定在各业务分支点上。

B类业务账号:VPDN账号与ADSL PVC不绑定, 适用于个人远程访问公司内部信息 (SOHO) , 采用有限包月、超时计费的资费方式。

4.4 二层VPN

建立在IP城域网基础上, 利用MPLS VPN技术实现的二层VPN, 用户端通过光纤接入电信骨干网络, 能提供类似ATM, FR的二层端到端数据线路, 是一种高带宽、高安全性, 带宽扩展性强的新型VPN产品。

(1) 二层VPN技术特征

①通过数据链路层组建VPN网络, 安全性高。

②用户接入采用以太网口, 接入成本低。

③上下行带宽种类齐全, 带宽高 (2Mbps～100Mbps) , 扩展性强。

(2) 二层VPN的适用范围

类似端到端的传统数据专线, 适合分支机构较少、安全性要求高、升级带宽灵活方便的金融业、贸易业、IT业、新闻机构。

目前支持VPN的设备很多, 如VPN路由器、VPN防火墙、VPN网关等, 像华为、思科、3Com公司均可提供较好的VPN解决方案, 主要有点到局域网方式和局域网到局域网方式。

VPN接入可以使地理位置分散的多个点连成局域网, 并能提供与局域网相同的安全性, 具有广扩的应用前景。

摘要：VPN是虚拟私有网络的简称, 可以实现不同网络的组件和资源之间的相互连接, 其核心技术为隧道技术和加密技术, 使用VPN技术连接企业内部网络, 可以提供专用网络的安全和功能保障并大大降低网络的运营成本。

关键词：VPN技术,隧道技术,企业内部网络

参考文献

[1]陈雪非, 黄河, 李蓬.MPLS VPN关键技术研究[J].计算机工程与设计, 2007 (13) .

[2]徐军.IPSec和MPLS VPN的集成技术与远程教育网的设计[J].计算机工程与设计, 2007 (23) .

[3]张俊才, 鲁幸福.基于IPSec的嵌入式网络安全应用研究[J].微计算机信息, 2007 (26) .

[4]范青.浅谈虚拟专用网 (VPN) 的技术研究与应用[J].科技信息, 2007 (33) .

[5]Ivan Pepelnjak, Jim Guichard.MPLS和VPN体系结构[M].人民邮电出版社, 2001:8.

[6]王达.虚拟专用网 (VPN) 精解[M].清华大学出版社, 2005:4.

VPN技术应用 第6篇

1 VPN的工作原理

VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。

1.1 网络风险

数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听;ISP查看用户的数据;In-ternet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。

数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。

信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法[9]。

重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。

1.2 VPN协议介绍

采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。

常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。

1.3 VPN隧道技术

隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。

经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。

PPP(Point to Point Protocol)协议隧道技术建立过程:

阶段1:创建PPP链路

PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。

阶段2:用户验证

这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。

阶段3:PPP回叫控制

回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。

阶段4:调用网络层协议

在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。

阶段5:数据传输阶段

在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。

1.4 IPSec隧道数据传输过程

IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。

一个数据包经IPsec VPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。 1 Host A发送的数据由VPN网关1 内口;2 VPN网关1 内口接收后发现需要经过隧道,则把数据交由VPN网关1 加密;3 加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2 外口收到数据发现需要解密;5 则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。

2 VPN技术应用

2.1 用VPN连接分支机构

随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。

2.2用VPN连接合作伙伴

当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。

2.3 用VPN连接远程用户

为保障单位内部网的安全,很多应用不会对公网放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近发布的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。

3 结论

VPN发展 第7篇

随着Internet技术的迅速发展, 计算机技术的应用已经渗入人们生活工作的各个环节, 人们在享受计算机网络带来的便利的同时也饱受私有数据在网络传输过程中存在的安全威胁和传输的快速性、高效性所带来的煎熬。目前主要采用VPN技术来解决此类问题。VPN (Virtual Private Network) , 即虚拟专用网络, 它是在网络通信中较重要的一种互联方式。一方面, 可以利用VPN技术来构建私人专用网络, 可以说它是在公共网络架构的一种技术拓展;另一方面, VPN利用隧道技术、加解密、认证技术、密钥管理技术以及访问控制技术来保证重要信息传输的安全性。其主要优点就是高效、稳定、快速、安全、低廉, 使其在internet与intranet中均发挥出相当重要的作用, 并显示出广泛应用前景[1]。

本文讨论了采用MPLS VPN和IPSec VPN混合组网模式构建多点无纸化阅卷私有数据系统。该模式综合了MPLS VPN是第三层的智能VPN, 具有很强的可扩展性。标签交换转发技术可以使基于MPLS的VPN达到第二层VPN具有的专用性、安全性和数据传输的高速度的优点, 同时结合了IPSec VPN一般不向外界开放, 认证与连接双方设备、设备的网络参数和策略设置、设备的IP地址等有直接关系, 对远程连接相当安全的优点。从而增强了私有数据在网络中传输的安全性、快速性和安全性, 提高了MPLS VPN和IPSec VPN组网模式业务在不同场景下对网络QoS (抖动、时延、丢包率) 的要求[2]。

1、主要技术

1.1MPLS VPN

MPLS (Multiprotocol Label Switching) 是多协议标签交换的简称。

MPLS VPN是结合了ATM和IP技术优点的MPLS技术的一个重要应用, 主要分为二层和三层MPLS VPN。其中二层MPLS VPN相当于在互联网上仿真出来的类似于ATM/FR的二层专线VPN, 而三层MPLS VPN则是将企业路由表的处理功能基本都交给了运营商的网络边缘路由器。

MPLS VPN网络一般采用图1所示的网络结构, VPN由若干不同的Site组成的集合, 一个Site可以属于不同的VPN, 属于同一VPN的Site具有IP连通性, 不同VPN之间可以有控制地实现互访与隔离。设备主要由CE、PE和P三部分组成, 功能如下:

CE (用户网络边缘路由器) 设备直接与服务提供商网络相连, 它“感知”不到VPN的存在, 也就意味用户感知不到VPN数据;

PE (骨干网边缘路由器) 设备与用户的CE直接相连, 负责VPN业务接入, 处理VPN路由, 是MPLS三层VPN的主要实现者;

P (骨干网核心路由器) 负责快速转发数据, 不与CE直接相连[3]。

在整个MPLS-VPN中, P、PE设备需要支持MPLS的基本功能, CE设备不必支持MPLS。

MPLS VPN组网优势:在组网应用中, MPLS VPN具有网络部署灵活简便、一次性投资较小、管理和维护成本低的优势。MPLS-VPN组网能以较低的价格充分利用路由器的快速转发能力和巨大的传输带宽, 满足用户较高带宽的应用要求, 如视频、话音与数据的一体化传输。因此MPLS VPN特别适合那些对安全和QoS没有特殊要求的在中高速率 (2M以上) 专网组建。

1.2 IPSec VPN

IPSec (IP Security) 是由IETF IPSec工作组制订的一系列RFC标准协议所组成的体系。IPSec是在网络层实现数据加密和验证, 提供端到端的网络安全方案, 可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务[4]。由于加密后的数据包仍然是一般的IP数据包, 作为网络层的安全标准, IPSec为IP协议提供了一整套的安全机制。IPSec在网络层提供的安全服务对任何IP上层协议及应用进程透明, 多种协议和各种应用程序都可以共享IP层安全服务和密钥管理, 而不必设计和实现自己的安全机制, 从而减少密钥协商的开销, 也降低了产生安全漏洞的可能性。IPSec是Internet上提供安全保障最通用的方法[5]。

IPSec的工作原理类似于包过滤防火墙。当接收到一个IP数据包时, IPSec通过查询SPD (安全策略数据库) 决定对接收到的IP数据包的处理。IPSec提供了3种结构:1) 主机到主机 (Host to Host) 客户机到服务器之间的整个连接都是加密的;2) 主机到网关 (Host to Gateway) 整个连接除了网关和远端服务器之间的那段外都是加密的;3) 网关到网关 (Gateway to Gateway) 两个网关之间的连接是加密的, 但从客户到客户的网关之间的连接, 服务器与服务器的网关的连接是未加密的.无论是加密还是认证, IPSec都有两种工作模式, 一种是传输模式, 另外一种是隧道模式.传输模式:只对IP数据包的有效载荷进行加密或认证.继续使用以前的IP头, 只对IP头的部分进行修改, 而IPSec协议头插入到IP头和传输层头之间.隧道模式:对整个IP数据包进行加密或认证.IPSec头被放在新产生的IP头和IP数据包之间, 从而组成一个新的IP头[6]。

2、单一VPN组网中传输无纸化阅卷私有数据存在的问题

单一的MPLS VPN组网中, 虽然解决了数据在传输过程中的安全性、高效性、快速性和QoS, 但是它必须依赖路由协议来准确的传递信息, 完成与标签分发相关的工作.它并不提供加密、认证等安全服务, 传输的数据是明文的, 仍将带来安全漏洞, 并且它所提供的结构和工作的模式没有IPSec VPN丰富。本文所设计的混合组网模式主要就是用到IPSec VPN所提供的主机到主机之间的整个连接都是加密的结构, 同时使用的工作模式是IPSec VPN的传输模式, 用来解决无纸化阅卷中私有数据在End-to-End上的传输。

单一的IPSec VPN组网中, 虽然解决了数据在传输过程中的对IP数据包的有效载荷, 进行加密或认证, 提供了整个连接过程中的安全性, 但是它没有很好的解决无纸化阅卷中有很大的私有数据在网络中传输的快速性、高效性和QoS (抖动、延时、丢包率) , 而这些刚好通过MPLS VPN来弥补[4]。

综合以上两种VPN技术的优缺点, 提出了采用MPLS VPN和IPSec VPN混合组网的模型来解决无纸化阅卷时多点传输私有数据的QoS (抖动、延时、丢包率) 、安全性、高效性、快速性等。

3、MPLS VPN和IPSec VPN混合组网模型

3.1 MPLS-IPSec VPN混合组网的网络拓扑图

无纸化阅卷多点私有数据传输混合组网拓扑图如图2所示[7][8], 其中P (骨干网核心路由器) 为核心节点, 在核心节点的组网方式是利用专线接入, 从中国电信核心机房新增FE专线至贵州师范大学网络中心中心机房, 完成全网流量汇集和通信。根据以贵州师范大学网络中心为中心的多点无纸化阅卷私有数据传输VPN组网需求, 建议采用下面的网络架构方式:

(1) 将黔南州、黔东南州、凯里市、毕节市、遵义市各市 (州) 的边缘路由器 (CE) 节点封装在MPLS VPN网中, 借助中国电信MPLS VPN网进行数据传输。

(2) 以贵阳 (贵州师范大学为中心) , 通过光纤专线VPN接入到离贵州师范大学较近的中国电信的中心机房, 向图2中五个分支阅卷点传输实时私有数据。

(3) 贵州师范大学数据中心以及其他五个分支阅卷点通过中国电信专用IPSec网关统一进入中国电信IPSec集中认证平台通过认证后, 接入骨干MPLS VPN网络。

各个分支无纸化阅卷点接收贵州师范大学数据中心通过MPLS-IPSec VPN混合组网实时发送过来的私有数据后, 进行阅卷的拓扑图如图3所示:

3.2 MPLS-IPSec VPN混合组网方式说明

(1) 由于无纸化多点阅卷跨越多个城市要通过Internet来传输学生试卷的私有数据, 为确保指定的分支阅卷点安全接入核心的MPLS VPN网络必须采用混合组网模式, 利用IPSec VPN网关来组建专门的私有数据传输所用的VPN隧道, 实现以贵州师范大学为中心与其他几个分支阅卷点系统互联的需求。所以本方案在中心节点选择新建中心IPSec VPN汇聚网关管理平台一套, 用于全局所有的IPSec VPN远程终端设备的汇聚。该平台是专门为本次混合组网提供统一的部署和管理的高可靠性管理服务系统。支持远程所有IPSec VPN方式接入的节点设备异常、隧道异常报警等, 提供可视化的信息形式汇报节点设备在线及联网情况, 可查询节点设备当前IP、配置信息、登陆时间、离线时间、防火墙配置等实时信息, 提供VPN网络统一安全访问控制策略管理服务。

(2) 各分支阅卷点的远程IPSec VPN接入设备, 都是与中国电信的中心汇聚管理平台建立加密的VPN隧道连接, 所有的数据都能防止不法人员的窃取和篡改。所有远程接入终端上的防火墙规则可以单独配置, 也可以通过电信公司统一下发。

MPLS-IPSec VPN混合组网中使用的IPSec VPN产品可由指定的公司根据电信网络的状况, 并结合私有数据在该混合网络中传输时的安全性、快速性和高效性的要求来定做。

3.3 MPLS-IPSec VPN混合组网达到的目标

该种混合组网的优点除了能保证在贵州省内实现多个无纸化阅卷点能安全地接入VPN系统外, 还有以下优点:

(1) 可扩展性好。该系统可以在保证当前的物理网络不变的情况下, 通过VPN技术实现增加全省内各个自治区、市、县的接入, 实现与现有网络的无缝连接。

(2) 安全性高。该系统采用MPLS-IPSec VPN混合组网的方式来建立, 结合了IPSec VPN确保在端与端之间建立的连接路径的安全性优点和MPLS VPN确保了数据在传输过程中QoS (抖动、延时、丢包率) 的提高。

(3) 适用范围广。该模型还适用于在贵州较为落后的地区。比如:中国电信没有覆盖的地区, 这些地区可以通过利用IPSec VPN实现单点接入该系统, 从而确保指定无纸化阅卷地区的全网覆盖, 实现全网统一管理。

4、结束语

本模型是针对为了解决贵州师范大学贵州省信息与计算科学重点实验室中无纸化阅卷项目过程中多点私有数据传输过程中数据的QoS、安全性、快速性、高效性而提出的。结合了IPSec VPN能提供端到端之间数据加密和认证的优点, MPLS VPN能提高多点之间数据传输过程中的QoS、安全性、快速性、高效性等优点。从而将两种VPN技术结合在一起形成一种MPLS-IPSec VPN混合组网模型来很好地保证了无纸化阅卷过程中多点之间私有数据传输过程中的安全性、高效性、快速性, 同时可以更好地保证数据传输过程中的QoS (抖动、延时、丢包率) , QoS的提高可以参考[3]参考文献中研究的成果。该模型的提出同时也为今后的VPN技术的扩展提供了一种新的方向, 可以结合当前流行三种VPN技术的优点来混合组网从而更好的解决部分用户的特殊需求。

参考文献

[1]易光华, 傅光轩, 周锦顺.MPLS VPN、IPSec VPN和SSL VPN技术的研究与比较[J].贵州科学, 2007, 25 (2) :35-38.

[2]倪波, 黄柯佳.采用MPLS VPN和IPSec VPN混合组网模式构建某集团财务系统[J].通信与信息技术.2011, 5:52-55.

[3]荷璐茜.MPLS VPN技术研究与应用[J].现代电子技术, 2011, 34 (15) :127-130.

[4]玄文启.VPN的技术原理及其安全性分析[J].中国科技信息, 2011, 23:92.

[5]郑博.基于IPSec的VPN技术及应用[J].数字技术与应用, 2011, 9:52-54.

[6]张文华.IPSec VPN的应用与组网方案[J].信息通信, 2011, 4:129-130.

[7][EB/OL]——http://wenku.baidu.com/view/b7ac5273f242336c1eb95e81.html.

VPN技术原理探析及实例 第8篇

1.1 基于IPsec协议的VPN

1.1.1 IPsec协议概述

IPsec协议是应用于IP层上网络数据安全的一整套体系结构, 包括网络认证协议Authentication Header (AH) 、封装安全载荷协议Encapsulating Security Payload (ESP) 、密钥管理协议Internet Key Exchange (IKE) 和用于网络认证 (如md5, SHA-1) 及加密算法 (如des、IDEA) 等。

IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换, 向上提供了访问控制、数据源认证、数据加密等网络安全服务。通过查询SPD (Security P01icy Database安全策略数据库) 决定对接收到的IP数据包进行IPSec处理 (加密和认证) 。AH、ESP和IKE 3个协议规定了加密和认证, 密钥的管理和交换 (ESP对认证也提供支持) 。其中AH和ESP都需要使用SA (Securlty Association安全关联, 指安全服务与它服务载体之间的一个“连接”) , 由IKE负责SA的建立和维护。该结构示意图如图1所示。

IPSec会话过程为: (1) 定义需要保护的数据流 (interesting traffic) ; (2) IKE第一阶段协商安全策略, 有两种模式 (主要模式和aggressive模式) , 验证IPSec对端体, 建立SA的安全通道; (3) IKE第二阶段协商安全参数、建立IPSec SA和DiffieHellman交换; (4) 传输数据数据在IPSec对端体之间进行安全传输; (5) 关闭隧道, IPSec通道被终止。

1.1.2 IPsec VPN功能模块

管理模块负责整个系统的配置和管理, 决定采取何种传输模式及定义安全数据流;密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。其中密钥的生成采取随机生成的方式。各安全网关之间密钥的分配采取手工分配的方式, 通过非网络传输的其它安全通信方式完成密钥在各安全网关之间的传送。各安全网关的密钥存贮在安全策略数据库中, 支持以IP地址为关键字的快速查询获取;身份认证模块对IP数据包完成数字签名的运算;数据加密/解密模块完成对IP数据包的加密和解密操作;数据分组的封装/分解模块实现对IP数据分组进行安全封装或分解。

1.1.3 IPsec VPN配置过程

(1) 配置IKE策略 (policy) :内容有hash算法、加密算法、D-H组、生存时间; (2) 配置预共享密钥 (preshare) :需要选择IP地址或者Hostname来标识该密钥; (3) 配置本端标识 (localid) :本端标识有IP地址和Hostname; (4) 配置数据流 (Access-list) :配置好数据流后, 在加密映射 (map) 中引用该数据流; (5) 配置变换集合 (transform-set) :变换集合是某个对等方能接受的一组IPSec协议和密码学算法, 双方要保持一致; (6) 配置加密映射 (map) :为IPSec创建的加密映射条目使得用于建立IPSec安全联盟的各个部件协调工作; (7) 应用 (激活) 加密映射:在安全路由器上是将该加密映射应用到接口上去; (8) 查看VPN的配置。

1.1.4 IPsec VPN配置实例

VPN配置如下 (非主要信息省略) :

(1) 启用IKE协商。router1 (config) #crypto isakmp policy 1建立IKE协商策略 (1是策略编号) router1 (config-isakmap) #hash md5 (密钥认证的算法) router1 (config-isakmap) #authentication pre-share (告诉路由使用预先共享的密钥) router1 (config) #crypto isakmp key 1111111 address 202.102.1.68 (111111:共享密码) 。

router2类似配置 (略) 。

(2) 配置IPSec参数。router1 (config) #crypto ipsec transform-set test ah-md5-hamc esp-des (test传输模式的名称) , router1 (config) #acess-list 101 permit ip 172.1.1.0 0.0.255.255172.2.1.0 0.0.255.255 (定义哪些地址的报文加密或是不加密) 。

router2类似配置 (略) 。

(3) 设置crypto map (将IKE协商信息和IPSec参数整合, 起名) 。router1 (config) #crypto map testmap 1 ipsec-isakmp (testmap:给crypto map起名字) 。

router1 (config-crypto-map) #set peer 202.102.1.68 (指定此VPN链路对端的IP地址) 。router1 (config-crypto-map) #set transform-set test (IPSec传输模式的名字) router1 (config-crypto-map) #match address 101 (上面定义的ACL列表号) 。

router2类似配置 (略) 。

(4) 把crypto map的名字应用到端口。router1 (config) #inter s0/0 (进入应用VPN的接口) 。router1 (config-if) #crypto map testmap (testmap:crypto map的名字) 。

(5) 查看VPN的配置。router1#show crypto ipsec sa (查看安全联盟) ;router#show crypto map (显示crypto map内的所有配置) ;router#show crypto isakmp policy (查看优先级) 。

1.1.5 IPsec VPN相关问题

(1) 动态加密映射:在配置加密映射的时候, 不需要配置对端的peer IP地址和所要保护的数据流 (在路由器上的命令是:crypto dynamic-map) ; (2) NAT穿越:指在两台VPN网关之间的还存在NAT设备, NAT更改了IP数据包的IP源地址或者目的地址, 与IPSec协议中的AH认证头协议存在矛盾, 在配置变换集合的时候不能选用AH协议 (ESP) ;NAT设备端口地址转换是针对TCP/UDP/ICMP等协议。没有针对ESP。VPN穿越NAT需要升级。

1.2 基于SSL协议的VPN

(1) SSL概述。SSL是一种国际标准的加密及身份认证的基于WEB的应用层安全通信协议, 为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证, 包括:服务器认证、客户认证 (可选) 、SSL链路上的数据完整性和SSL链路上的数据保密性。使用通讯双方的客户及CA根证书, 具备:信息保密性、信息完整性、相互鉴定的特征, 包括握手协议、记录协议以及警告协议3部分, 标准端口为443, 主要适用于点对点之间的信息传输。SSL协议只对通信双方所进行的应用通道进行加密, 而不是对从一个主机到另一主机的整个通道进行加密。

(2) SSL的工作原理。SSL位于http和tcp协议层次之间, 在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密, 从而保证通信的私密性。浏览器连接SSL认证加密服务器时唤醒SSL会话, 检查证书, 完成认证, 从而用户能确认其浏览器连接到正确的服务器。

(3) SSL VPN。使用者利用浏览器内建的SSL封包处理功能, 用浏览器连回公司内部SSL VPN服务器, 然后透过网络封包转向的方式, 让使用者可以在远程计算机执行应用程序, 读取公司内部服务器数据, 而IPSec VPN必须更改网络地址转换 (NAT) 和防火墙设置。

只要将所有其他非Web的应用进行重定向, 在客户端将所有数据转入SSL协议通道传输, 在中心端进行恢复和还原就可以实现VPN。

SSL VPN最大的便利在于不需安装任何客户端, 这也使得它在一些特殊终端 (如支持浏览器的PDA) 、特殊场合 (如不是使用自己电脑时、临时需要接入总部) 具有IPSec VPN不可比拟的优势。

(4) 配置SSL VPN实例。

(1) 外网口启动WEBVPN, 并同时启动SSL VPN

(2) 创建SSL VPN用户地址池和配置SSL VPN数据流 (不做NAT)

(3) Web VPN隧道组与策略组的配置

(4) 配置SSL VPN隧道分离 (可选)

1.3 基于IPSec的VPN与SSL VPN的比较

在实施固定的点到点的VPN和复杂应用的移动用户接入VPN时, 一般采用IPSec技术;在实施普通应用的移动用户接入VPN时, 通常采用SSL技术, 但要根据客户具体需求, 也可以结合使用。

2 结束语

VPN已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能, 并在全球的信息安全体系中发挥着重要的作用, 由于RSVP (带宽资源预留) 和IPv6协议支持Qos (服务质量) , 随着IPv6的普及, VPN技术将向着基础协议的形式发展, 被内嵌到各种系统当中, 从而实现完全透明化的VPN基础设施。

参考文献

[1]谢希仁.计算机网络 (第2版) [M].北京:电子工业出版社, 2002.

[2]Steve McQuerry Cisco网络设备互连[M].北京:人民邮电出版社, 2006.

[3][美]Naganand Doraswamy, Dan Harkins.IPSec新一代因特网安全标准[M].京京工作室, 译.北京:机械工业出版社, 2000.

VPN发展 第9篇

关键词：VPN业务用户连接方案远程登录

1 概述

随着企业信息化发展的逐步深入，以及电信运营商针对企业实际需求的产品和服务的持续推进，VPN（虚拟专用网络）业务在不少企业中的应用越来越广泛。在VPN网络的部署和维护中，存在着操作过于复杂，维护升级困难等问题，此外，如何保证VPN连接的安全性与数据的完整性，也是摆在业界面前的一个亟待解决的问题。本文在现有VPN技术的基础上进行创新与优化，构建了一种远程登录虚拟专用网络构架，该构架充分结合了第三层网络层IPSec技术以及第二层L2TP技术，通过数据的透明传输来实现NAT/PAT穿越。从而以相对简单的VPN结构实现了通讯安全性目标，支持数据的完整有效传送，具有比较好的理论价值和实践意义。

2 远程登录VPN体系结构

远程接入VPN的体系结构设计要考虑的因素包括：是否便于管理、是否节约费用、是否具有可移植性和高可用性、是否有利于ISP进行计费流量控制以及用户管理等。

结合以上的需求，本文所设计的远程用户连接模型将实现以下的通信过程（如图所示）:

①用户所在的远程接入终端与企业intranet中的网关集中器实现有效连接，在图中，表现为ISP网关A与各类企业异地远程用户终端之间的服务请求应答和连接建立过程。②连接建立之后，企业intranet中的网关集中器经由Internet，实现与远程目标服务器的连接，在图中，表现为目标服务器与网关A之间构建了一条隧道维护数据通路，如果数据流超时，则系统将遵循算法自动绕过NAT/PAT，同时穿越防火墙，实现加密数据的有效传送。③目标地址服务器接受企业intranet中的网关集中器的请求之后，作为响应，从企业intranet中寻找目的地址并向客户提供服务。

在上图所示的基于VPN的远程用户连接体系结构图中，总公司服务器与客户个人PC就是两个意欲构建安全连接的终端，客户端的主机系统涵盖了客户上网办公所使用的各类移动设备，也包括办公人员的个人PC，还包括企业的异地远程分公司。这个VPN构架的核心部分是网关A访问集中器，此模块实现了客户端的连接以及参数模式安全控制，同时实现了NAT穿越。

3 L2TP部分的设计

3.1 连接过程设计

本文所设计的客户连接过程为：①由远程客户端发起呼叫，请求连接公司内部的登录服务器。②公司内部的登录服务器在受到来自客户端的请求后，将其转发给ISP访问集中器（网关A）进行进一步的处理。③ISP访问集中器（网关A）结合所受到的代理请求，从中抽取出客户端和连接服务器两者的IP地址。④ISP访问集中器对终端服务器的代理请求的合法性经检测，若通过了检测，则进一步调用L2TP的验证用户进程，对客户端进行认证。⑤假若用户通过了认证，则发起VPN连接，VPN连接包括两方面，一是网关A到远程目标服务器的IPSec连接，二是客户端到网关A的L2TP连接。

3.2对等体间的隧道建立

ISP访问集中器（网关A）和客户端之间构成了L2TP对等体。网关A在确认受到的是来自远程客户的合法请求后，便开始发起客户端认证进程，这一过程通过调用链路控制协议LCP来完成。随后网关A使用回拨技术向远程用户端发起连接，主要的模式保证了用户终端到网关服务器的安全性，避免客户端受到伪装攻击，进一步确保了流量可控性。在网关A的回拨过程中，通过CHAP或PAP来实现客户端和服务器间的相互认证，认证成功后，开始建立基于VPN的从ISP访问集中器到客户端的连接。

3.3 会话建立维护

通过上一步对等体间的隧道建立，接着还需构建一个便于数据传输的会话，在会话建立维护中，首先发送一条ICRQ消息（呼入请求消息）。假若系统目前有可用资源，则新会话被允许建立。此时，客户端的ICRQ消息便会受到来自网关A的响应，即呼入应答(ICRP)消息。客户端受到响应之后，再发出ICCN（呼入连接）消息。ICCN表明远程客户端此时在进行会话建立。在此期间，网关A和远程客户端之间交换如下参数：代理LCP、指定的服务以及实际连接速度。

4 隧道连接部分的设计

4.1 隧道建立过程

在隧道建立阶段，主要包括以下的步骤:①ISP访问集中器向远端客户服务器发起连接请求。②触发IKE协议“a”阶段，ISP访问集中器向远端客户服务器之间协商策略，接着调入策略处理模块。③建立共享的密钥机制本文所设计的系统采用Diffie Hellman协议。④在以上步骤建立的安全连接上，开始触发设备验证。⑤触发IKE协议“b”阶段，在建立的安全连接上，在ISP访问集中器向远端客户服务器之间间协商不同于先前的参数和密钥。⑥IKE协议“b”阶段结束，建立数据连接，传输数据报文。⑦周期性地对Hell消息进行检验，长期空闲的或者到期的连接将被结束。

4.2数据报处理流程

结合安全关联数据库和安全策略数据库信息进行数据报处理，具体工作流程为:首先进行数据报输出，通过对安全策略数据关联数据库的查询，确定具体的安全策略，再通过对安全关联数据库查询，确定是否有效，如果安全联盟有效，则将数据报封装，并抽取相应参数。假若安全策略尚未建立，则将以IKE建立连后再查看安全策略数据。此外，为了保证报文封装的完整性，需要引入Hash算法，对不是认证数据的包进行哈希计算，以保证ICV值的完整性。

4.3加密/解密过程

通过封装模块来调用加密解密模块，实现数据的加密和解密。加密解密模块同时结合密钥管理模块的算法函数库，进行具体的加/解密操作，共同实现VPN加密与解密处理。此处，将数据封装模块视为统一的一个系统接口，远程连接模型的主控制模块不直接调用完整性验证单元和加解密单元。数据分组首先被封装模块读取出来，通过加解密算法，把并将需要加解密的内容和SA的密钥传输至加解密单元。通过调用加密算法函数，得到经过加密的信息，再通过数据封装单元封装成新的数据。

5系统安全控制

系统完成身份认证是通过调用用户管理模块实现的，通过调用API，在需要进行授权时，从属性证书目录服务器中，通过身份证书和属性证书的关联，取出属性证书，对已签名的属性证书按照策略进行检查，从通过检查的属性证书中获取相关的角色信息，完成以后，结合角色信息和其权限之间的对应关系，采用具体策略检查访问的目标，允许或拒绝访问的结果最终由API向系统返回。访问控制流程描述如下所示：

①资源访问请求由用户客户端引发，给应用校验代码提交请求，用户PKC证书包含在该请求里。

②安全支撑平台收到来自校验代码的权限校验请求。

③用户PKI证书的有效性提交给安全支撑平台进行校验。

④根据用户PKC和PMI发布点，安全支撑平台获取用户属性证书。

⑤根据用户属性证书，策略实施点生成并发出决策请求。

⑥根据策略，策略决策点判断该请求，返回判断结果。

⑦根据返回的决策结果，策略实施点决定是否进行访问，并返回其决定的结果。

⑧假若用户未能通过校验，则返回拒绝页面；通过校验则向资源发送访问请求。

⑨在用户所在的客户端以页面形式显示访问结果。

6结束语

支持用户远程登录的VPN是由一系列相互配合的协议组成的，结合实际的应用需求也有着具有针对性的实际方案，在具体应用时，可以结合实际的客户需求采取合理的配置方案。本文结合企业移动办公需求，设计了基于优化L2TP和IPSec协议的用户连接方案，一方面可以提高了网络的安全性，另一方面能够保证客户端程序简单易用，此外还可以支持服务提供商的流量控制检测。本文的构架模型具有比较好的理论意义和实践价值。

参考文献：

[1]釜晓，宇魏鸿等译.Steven Brown著[M].构建虚拟专用网.北京人民邮电出版社2011.8.

[2]周永彬等译，CarltonR Davis著[M].IPSecVPN的安全实施清华大学出版社.2012.1.

[3]王惠芳，徐开勇.网上密钥分配协议分析. [J]西安电子科技大学ISDN国家重点实验室，通信学报，2011.3.

基于协议的VPN技术分析 第10篇

随着各种网络应用的快速发展, 人们对网络上数据传输的安全性越来越重视。然而由于TCP/IP协议在设计过程中主要考虑的是易用性和开放性, 缺少服务质量保证以及相应的安全机制, 因此如何通过Internet建立一条安全的信息传输通道, 以保证所传输数据的安全性和完整性, 成为网络管理者和使用者所关心的问题。

传统的租用专线方式虽然可以实现企业与企业、企业与分支机构间的安全通信, 但专线方式的高通信费用以及扩展性差等缺点使其难以适应现代企业的需求。VPN (Virtual Private Network) , 即虚拟专用网, 利用Internet或其他公共互联网络的基础设施为用户创建隧道, 提供与专用网络一样的安全和功能保障, 实现不同网络的组件和资源之间的相互连接。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输, 以其高安全性、低成本、扩展性强和易于管理等优点为企业提供服务。当前, IPSec VPN和SSL VPN为主流技术。

二、IPSec协议分析

IPSec是指IETF (因特网工程任务组) 以RFC形式公布的一组安全IP协议集, 是为IP及其以上协议 (TCP和UDP等) 提供安全保护的安全协议标准。其目标是把安全机制引入IP协议, 通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制认证头 (AH) 和封装安全载荷 (ESP) 来支持IP数据报的认证、完整性和机密性。

IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换 (IKE) 等协议。IP安全架构协议指定了IPSec的整个框架, 是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制, 在实际进行IP通信时, 可以根据实际安全需求, 同时使用AH和ESP协议, 或选择使用其中的一种。AH和ESP都可以提供认证服务, AH提供的认证服务要强于ESP, 但不对数据报文进行加密, 如下图所示。

IPSec的安全服务是由通讯双方建立的安全联盟 (SA) 来提供的。SA为通讯提供了安全协议、模式、算法和应用于单向IP流的密钥等安全信息, 这些信息由SAD管理提供。当IP报文流经IPSec设备时, 系统对比安全策略库 (SPD) 中相应的安全策略, 对IP报文进行不同的处理。处理方法一般有三种:丢弃、绕过和IPSec保护。如果选择了IPSec保护, 根据SPD和SAD的对应关系, 找到相应的SA, 进行指定的IPSec处理。

三、SSL协议分析

SSL (Secure Socket Layer) 是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务, 它不是一个单一的协议, 而是由多个协议组成, 包括SSL记录协议 (SSLRecord Protocol) , SSL握手协议 (SSL handshake Protocol) 、SSL修改密文规约协议 (SSL ChangeCipher Spec Protocol) 、SSL警告协议 (SSL Alert Protocol) , 其体系结构如下图所示。

记录协议定义了要传输数据的格式, 它位于可靠的的传输协议TCP之上, 用于各种更高层协议的封装。记录协议主要完成分组和组合, 压缩和解压缩, 以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道, SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录, 最后再进行传输。

四、基于协议的VPN技术分析

IPSec是一种健壮的可扩展的安全机制, 其工作在网络层, 对终端站点间所有传输数据进行保护, 提供数据的加密性、完整性、数据源身份认证以及抗重播保护。故IPSec VPN对IP层上的各种服务提供安全保障, 确保数据传输的安全性。而SSL处于TCP之上, 只对TCP上的通信数据提供安全服务。因此, IPSec VPN较SSL VPN有更广泛的应用范围。

从安全性上看, 由于工作在网络层, IPSec VPN要求远程接入客户端适当安装和配置IPSec客户端软件和接入设备, 这大大提高了安全级别, 因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。因此, IPSec VPN在站点之间建立了一条安全的通道。但在安全通道两端, IPSec VPN则存在不安全因素。远程客户端通过IPSec VPN将拥有内部网用户一样的权限和操作功能。故IPSec VPN只能做到客户到VPN网关的安全, 也意味者通道两端安全性低的一端有可能通过IPSec VPN将安全隐患传递给安全性高的一端。而SSL VPN主要应用基于B/S结构, 其安全性不如基于C/S结构的IPSec VPN。但是, SSL协议直接作用于应用层各种服务, SSL VPN是一种基于应用层的、以某个应用为目标的安全方案, 只有经认证的用户才能对资源进行访问。故SSL VPN安全通道是在客户到所访问的资源之间建立的, 确保点到点的全程安全。

在访问控制方面, IPSec VPN的目标是建立起一个虚拟的IP网络, 保证数据在通道上的安全, 而无法保护内部数据的安全。而SSL VPN重点在于保护具体的敏感数据, 可以根据用户的不同身份, 给予不同的访问权限。这种精确的接入控制功能对远程接入IPSec VPN来说几乎是难以实现的。

在管理成本方面, 由于IPSec工作在网络层, 用作远程接入的IPSec VPN客户端实现较困难, 配置和维护工作复杂。而对于SSL VPN, 由于SSL工作于TCP协议与各种应用层协议之间, 又浏览器内嵌了SSL协议, 则基于B/S结构的业务时, 可以直接使用浏览器完成SSL VPN的建立, 无需安装客户端。

五、结论

IPSec VPN提供完整的网络层连接功能, 在网对网 (Site-Site) 的VPN连接中具备先天优势, 是实现多专用网安全连接的最佳选项, 而SSL VPN的“零客户端”架构特别适合于移动用户的远程接入 (Client-Site) , 为他们提供一种简单的安全接入方式, 通过任何Web浏览器访问企业网Web应用。

摘要：本文对IPSec与SSL两种协议进行剖析, 从协议层面分析比较了两种VPN主流技术在应用范围、安全性、访问控制、管理成本方面的技术特点, 进而提出各自发展方向。

关键词：VPN,IPSec,SSL,协议,安全

参考文献

[1]Gleeson B.A framework for IP based virtual private networks〔S〕.RFC2764, 2000

[2]Kent S, Atkinson R.Security architecture for the internet protocol[S].RFC2401, 1998

[3]张扬:基于Ipsec的VPN研究[J].重庆工学院学报 (自然科学) , 2008, 22 (1) :115～117