VPN应用分析

VPN应用分析（精选7篇）

VPN应用分析 第1篇

关键词：隧道,VPN,组播,VC接入

1 概述

VPN (Virtual Private Network, 虚拟专用网) 是一种基于公共数据网的服务, 它依靠ISP (Internet Service Provider) 和NSP (Network Service Provider) , 在公共网络中建立虚拟专用通信网络。VPN可以极大地降低用户的费用, 并且提供比传统专线方式更强的安全性。

在VPN中广泛使用了各种各样的隧道技术。常用隧道协议包括:L2TP、GRE、IPSec、SSL VPN等。那么, 什么是隧道呢?隧道技术简单地说就是:原始报文在A地进行封装, 到达B地后把封装去掉, 还原成原始报文, 这样就形成了一条由A到B的通信隧道。隧道技术就是指包括数据封装、传输和解封装在内的全过程。实际上隧道可以看作一个虚拟的点到点连接。

在监控应用组网中, 经常会出现EC (编码器) 设备或者VC (视频管理客户端) 用户在远端私网, 需要接入到总部监控中心的情形。在这种情形下, 监控协议本身支持NAT穿越是一种解决方案, 这种方案适用于私网公网模式, 即EC和VC为私网地址, 监控中心为公网的IP地址。但是如果双方都在私网内部, 即:私网私网模式, 由于彼此私网间通讯不能直接穿透公网, 协议本身已经无法解决这个问题, 通过VPN隧道技术是最好的办法。我们将结合实际组网应用, 介绍适合的VPN组网方式。

2 VC接入

对于监控图像的查看需求是随时随地的, 因此要求视频管理客户端VC能够安装在任意一台电脑上, 使用者利用合法的用户名和密码登录后, 即可查看实时、历史监控图像。VC可能出现在各种场合, 按照其接入位置, 可分为分支机构、移动办公两种。

2.1 分支机构

分支机构一般指该专网在某地设有常驻的分支机构, 分支机构网络与总部一样, 也采用私网地址, 通过路由器与总部路由器/防火墙建立VPN隧道, 穿越Internet公网与总部相连。对于分支机构VC接入, 我们推荐以下几种隧道接入方式。

2.1.1 GRE

GRE是对某些网络层协议 (如:IP, IPX, Apple Talk等) 的数据报文进行封装, 使这些被封装的数据报文能够在另一个网络层协议 (如IP) 中传输, 这是GRE最初的定义。最新的GRE封装规范, 已经可以封装二层数据帧了, 如PPP帧、MPLS等。在RFC2784中, GRE的定义是“X over Y”, X和Y可以是任意的协议。

GRE隧道不能配置二层信息, 但可以配置IP地址。GRE利用为隧道指定的实际物理接口完成转发, 转发过程如下:

1) 所有发往远端VPN的原始报文, 首先被发送到隧道源端。

2) 原始报文在隧道源端进行GRE封装, 填写隧道建立时确定的隧道源地址和目的地址, 然后再通过公共IP网络转发到远端VPN网络。

2.1.1. 1 单播与组播

GRE隧道具有虚接口的概念, 隧道一旦建立成功后, 该隧道对于监控的单播或者组播都是天然支持的。下面以网关 (GW) 建立VPN隧道, 描述组播业务开展。

1) GW1支持动态组播协议时, 在VC侧启用IGMP, 在Tunnel口上启用PIM SM。在监控中心网关GW2的Tunnel上也启用PIM SM, 这样GW1和GW2能建立PIM邻居, GRE隧道两端就在同一个动态组播域中, 对于所有的组播业务都能支持。

2) GW1不支持动态组播协议或者不起用动态组播协议时, 可以在私网侧启用IGMP, 将Tunnel接口作为IGMP Proxy的上行口, 而在GW2的Tunnel口上启用IGMP。这样对于GW2来说, GW1不再是一个PIM邻居, 而只是一台主机。

2.1.1. 2 NAT穿越

GRE隧道两端需要静态指定对端的公网IP, 且GRE封装头中没有传输层端口, 所以GRE不支持采用端口复用的NAT网关 (应用最广泛的一种方式) 。

2.1.1. 3 动态地址分配

GRE隧道双方需要静态指定对端的公网IP, 因此不支持动态地址方式。

2.1.1. 4 VPN载荷

GRE头一般长4个字节, 而新IP头为20个字节, 所以新的报文增加了24个字节开销。

2.1.2 GRE Over IPSec

IPSec VPN基于一组开放的网络安全协议, 能够提供服务器及客户端的双向身份认证, 为IP及其上层业务数据提供安全加密保护。IPSec能够支持数据加密 (包括常见的DES, 3DES, AES加密算法) , 数据完整性验证, 数据身份验证, 以及防重放等功能, 充分保证业务数据的安全性。但是IPSec VPN设计没有独立接口, 不支持组播, 也不支持动态路由协议。所以很多情景下会与GRE或者L2TP隧道嵌套使用, 即先使用GRE或者L2TP进行报文封装, 然后再使用IPSec进行加密。

2.1.2. 1 单播与组播

IPSec协议本身天然支持单播, 但因为IPSec隧道没有接口的概念, 无法支持动态的组播协议。采用GRE Over IPSec模式, 可以利用GRE天然的单播、组播支持能力, 满足监控网络的各种组播需求。

2.1.2. 2 NAT穿越

IPSec支持NAT穿越。IPSec隧道在使能了NAT穿越特性后, 在封装的时候会增加一个UDP的封装头来支持NAT穿越。采用GRE Over IPSec模式, 由于IPSec封装在外, GRE作为乘客协议不受NAT影响。

2.1.2. 3 动态地址分配

IPSec使用野蛮模式的Name方式时, IPSec隧道支持动态地址分配。可使用loopback口作为GRE隧道的源和目的, 这样虽然设备的出口地址是动态获取的, 但GRE的隧道地址依然使用静态地址。

2.1.2. 4 VPN载荷

如果使用常用的隧道模式, 使用ESP加密/认证算法, 不使用AH, IPSec共增加了68个字节 (包含了穿越NAT所需要添加的字段) 。GRE Over IPSec模式的VPN载荷相当于IPSec载荷与GRE载荷之和, 即68+24=92字节。

2.1.3 L2TP

L2TP中定义了3个角色:CLIENT、LAC、LNS。LAC与LNS间是一个IP网络, LAC与CLIENT之间一般是一个PPP链路 (常用的是PPPo E、DDR方式的PPP等) 。L2TP的目的是建立一条跨LAC的CLIENT与LNS之间的PPP链路, LAC将CLIENT过来的PPP报文封装到IP报文 (先是一层L2TP的封装, 然后是UDP的封装, 再封装到新的IP头) , 最后发送到LNS端。在实际应用中, L2TP隧道的建立方式有两种情况:触发建立、永久建立。

2.1.3. 1 单播与组播

大多数厂商的L2TP都有虚接口VT的存在, 在隧道建立后, 隧道链路就相当于一条实际的链路连接了两个VT口, 天然支持单播报文转发, 同时VT口也可以启用组播协议。

1) Auto-Initiated LAC设备支持组播协议时, 可以在Auto-Initiated LAC的接VC端起用IGMP, VT口上启用动态路由协议PIM SM;在LNS的VT口和内网口上启用PIM SM, 则Auto-Initiated LAC和LNS能建立PIM邻居, 隧道两边就处于同一个组播域中, 对于组播的相关特性都能支持。

2) Auto-Initiated LAC设备不支持或者不起用动态路由协议时, 可以作为IGMP Proxy设备, 将VT口作为IGMP Proxy的上行口, 而LNS的VT口上启用IGMP, 这样Auto-Initiated LAC设备对于LNS设备来说就是一台主机。

这里需要重点指出的是:目前大多数的厂商, 其VT口只支持伪广播, 如果有多个L2TP用户连接在同一个VT口上, 则设备在出方向会把组播和广播报文为每个连接复制一份。也就是说如果存在多个Auto-Initiated LAC连接到一个VT口, 同一个组播报文会向每一个Auto-Initiated LAC都发送, 即使很多Auto-Initiated LAC下的VC用户根本不需要这条组播流。这样浪费了大量的带宽资源。在这里, 我们就需要对组网方式进行一定的规划和限定。如果是分支机构, 我们知道这种机构是有限的, 并且可控的, 我们可以为这些分支分别建立不同的VT口, 这样, 分支间的组播流就不会互相干扰了。

2.1.3. 1. 2 NAT穿越

通常L2TP数据以UDP报文的形式发送, 那么协议本身就支持公网NAT的穿越。当然分支肯定是要作为隧道的发起者。

2.1.3.3动态地址分配

LNS对LAC和client使用的是隧道和用户名的认证方法, 对接入IP没有要求, 因此天然支持动态地址分配。

2.1.3.1.4 VPN载荷

L2TP封装会增加的字段包括PPP头4个字节、L2TP头6个字节、UDP8个字节、新IP头20个字节, 共38个字节。

2.2 移动办公

移动办公是指安装VC的PC独立移动, 在任何位置接入Internet, 由PC机自身与总部路由器/防火墙建立VPN隧道。

在移动办公情况下, 单个VC接入到总部监控中心, 建议使用隧道触发建立方式, PC自身作为LAC, 由PC直接发起L2TP, 与总部路由器或防火墙建立VPN隧道。如果需要提高网络安全性, 可以使用IPSec做一次加密, 即采用L2TP Over IPSec模式。

2.2.1 SSL VPN

SSL (Secure Sockets Layer, 安全套接层) 是一个安全协议, 为基于TCP的应用层协议提供安全连接, 如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域, 为网络上数据的传输提供安全性保证。

首先我们需要对SSL VPN进行一定的了解, 以便于我们选择合适的、可用的接入方式。SSL VPN有三种接入方式:Web接入、端口转发 (TCP接入) 、网络扩展 (IP接入) 。这三种方式有着不同的特点。

1) Web接入使用的是proxy代理原理, 通过修改URL来达到对内网Web服务器的访问。

2) TCP接入通过在接入端自动安装SSL VPN客户端代理, 用户只需要与SSL VPN客户端不同的监听端口建立TCP的连接, SSL VPN就可以将用户的数据报文转发到目的主机, 本方式主要用于基于TCP的内网业务访问。

3) IP接入方式则会自动在接入端安装一个虚拟网卡, 虚拟网卡先与SSL VPN服务器建立一条SSLVPN隧道, 用户访问内网的数据都是通过这条隧道来加密、封装和转发, 本方式适用于基于IP的内网业务访问。

由于监控业务中有部分协议不是基于TCP的, 而且部分TCP应用的端口是临时协商的。因此我们推荐第三种方式:IP接入方式, SSL VPN仅在VC和企业总部间建立一条隧道, 对所有的IP报文都进行加密, 对具体的业务不作区分。在SSL VPN服务器端, 将监控设备的网段加入到IP网络资源中, 允许监控用户访问所有的监控设备。

2.2.1. 1 单播与组播

天然支持单播, 对于SSL VPN Server设备的虚拟SSL VPN接口, 用户只能配置IP地址, 不能进行其他的配置, 也不能启用IGMP功能, 因此不支持组播业务。

2.2.1. 2 NAT穿越

SSL封装是在TCP之上的, 因此其天然支持NAT穿越功能;

2.2.1. 3 动态地址分配

SSL VPN Server并不关心Client的IP地址, 所以支持动态地址方式。

2.2.1. 4 VPN载荷

IP接入方式封装多了SSL加密部分20个字节, SSL头5个字节, TCP头20个字节, IP头20个字节, 共65个字节。

3 EC/ECR接入

EC/ECR接入与VC接入方式类似, 分为两种, 一种是区域EC/ECR接入 (即一个区域多台EC/ECR接入) , 另一种是远端单一EC/ECR接入。与VC接入不同的是, EC/ECR是物理设备, 而非软件, 不能安装在PC机上, 不能由PC机直接发起VPN链接。因此在两种方式下, EC/ECR均需要借助路由器或其他网络设备建立VPN隧道, 与VC分支机构接入方式类似, 因此后文中不再区分EC/ECR的接入方式, 归并为一类进行讨论。

3.1 GRE

天然支持单播。为了支持组播在GW1的内网接口和GW1 GRE隧道接口上都启用动态组播协议, 在监控中心网关GW2的Tunnel上也启用PIM SM, 这样GRE隧道两端就在同一个动态组播域中, 对于所有的组播业务都能支持。

NAT穿越、动态地址分配等与VC接入方式中的GRE描述一致。

GRE over IPsec方式与前文VC接入方式中的GRE over IPsec描述相同。

3.2 L2TP

使用隧道永久建立方式即将LAC与CLIENT合并。在Auto-Initiated LAC和LNS的私网端和VT口上都启用动态路由协议PIM SM, 则Auto-Initiated LAC和LNS能建立PIM邻居, 隧道两边就处于同一个组播域中, 对于组播的相关特性都能支持。

使用隧道触发建立方式:LAC对报文进行二层透传, 因此对LAC没有要求, EC相当于一个组播源与LNS直连, 仅需要在LNS的VT口和私网端起用动态路由协议即可。当然这种方式需要EC支持PPPo E。

需要注意的是:因为L2TP隧道是可以一对多的, 如果点播用户VC也在私网侧, 且和该EC都登录到了同一个VT接口, 这样LNS上的PIM表项就无法建立了, 因为上行口和下行口都是同一个VT接口, 流量就无法通过组播转发到VC上。

NAT穿越、动态地址分配等与分支机构使用L2TP接入部分的描述一致。

4 总结

我们通过比较下面的表1, 更能直观的看出不同的VPN在视频监控中的使用优势。表2主要可以反映出VC或EC接入不同区域时, 使用的VPN技术也是不同的。

参考文献

[1]徐卉.校园VPN隧道构建中Open VPN的应用与实现[J].电脑知识与技术, 2010 (6) .

[2]彭波, 沈坚.基于开源软件建设节约型数字化校园之网络监控篇[J].电脑知识与技术, 2010 (32) .

[3]唐勇.基于开源软件的流量监控系统研究及实现[J].重庆工商大学学报 (自然科学版) , 2009 (3) .

VPN技术应用 第2篇

1 VPN的工作原理

VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。

1.1 网络风险

数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听;ISP查看用户的数据;In-ternet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。

数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。

信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法[9]。

重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。

1.2 VPN协议介绍

采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。

常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。

1.3 VPN隧道技术

隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。

经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。

PPP(Point to Point Protocol)协议隧道技术建立过程:

阶段1:创建PPP链路

PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。

阶段2:用户验证

这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。

阶段3:PPP回叫控制

回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。

阶段4:调用网络层协议

在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。

阶段5:数据传输阶段

在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。

1.4 IPSec隧道数据传输过程

IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。

一个数据包经IPsec VPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。 1 Host A发送的数据由VPN网关1 内口;2 VPN网关1 内口接收后发现需要经过隧道,则把数据交由VPN网关1 加密;3 加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2 外口收到数据发现需要解密;5 则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。

2 VPN技术应用

2.1 用VPN连接分支机构

随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。

2.2用VPN连接合作伙伴

当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。

2.3 用VPN连接远程用户

为保障单位内部网的安全,很多应用不会对公网放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近发布的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。

3 结论

VPN虚拟专网技术与应用 第3篇

VPN是 (Virtual Private Network) 虚拟专用网, 它通过隧道技术等手段达到类似私有专网的数据安全传输, 在Internet或国际互联网工程工作组 (IETF) 制定的IPSec标准统一下, 利用Internet虚构专用链路, 安全机密的传输数据。

二、VPN的实现技术

1、数据封装

VPN传输的数据是将网络第二层数据分组打包, 加上IP报头, 通过IP传输。

2、身份认证。

通常有三种认证方式:第一是用户身份认证, 用以保证VPN客户的合法性;第二是对VPN服务器端的身份认证, 以防止非认证服务器提供的虚假连接;第三是数据完整性检查, 通过双方共享的密钥, 加密算法来验证通过VPN链路隧道的数据的完整性和安全性。

3、数据加密。

由发送双方协商密钥和加密算法对书记进行加密, 密钥长度越长, 破解越困难, 对特长报文可以分段采用不同的密钥。

4、IP地址的分配。

用VPN连接的主机需要创建虚拟接口, 也就是由VPN服务器分配一个IP地址。基于端口分配的IP地址, 虚拟接口的连接就是一条VPN连接。

三、VPN的分类

根据VPN实现形式可以将VPN分为三类:VPDN、Intranet VPN和Extranet VPN。

1、VPDN (Virtual Private Dial Network)

在远程用户或移动雇员和公司内部网之间的VPN, 称为VPDN, 参见图1:用户拨号NSP网络访问服务器NAS (Network Access Server) , 发出PPP连接请求。NAS收到呼叫后在用户和NAS之间建立PPP链路连接, 然后NAS对用户进行身份验证判断用户是否合法, 并启动VPDN与公司总部内部连接, 访问其内部资源。

2、Intranet VPN

Intranet VPN部署在公司远程分支机构和公司总部之间。通过Internet公共网络将公司在各地分支机构连到公司总部, 实现公司内部的资源共享、文件传输的安全性参见图2:

3、Extranet VPN

Extranet VPN用于在供应商、合作伙伴或者企业与企业之间。由于不同企业网络环境的差异性, Extranet VPN必须能兼容不同的操作平台和协议。通过设置特定的访问控制表ACL (Access Control List) 确定客户权限。

四、VPN技术应用

目虚拟专网VPN应用主要考虑两个方面:一是作为Internet或其他公用网络的一部分, 在本行业之间的信息交换;二是作为一个企业内部网, 为本行业各支部提供统一的数据交换平台。两者都是采用因特网公网络技术传输IP数据包。目前VPN主要应用于企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN等领域, 特别是涉及公司重要信息的传输及对数据完整性和安全性要求比较高的场合。

五、结束语

虽然VPN在理解和应用方面都是高度复杂的技术, 甚至确定其是否适用也是一件复杂的事情, 但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据, 也可节省开支。此外, 在未来几年里, 客户和厂商很可能会使用VPN, 从而使电子商务重又获得生机, 毕竟全球化、信息化、电子化是大势所趋。

摘要：随着计算机网络日益发展, 为解决安全问题, 虚拟专用网技术应运而生。它将不同物理位置上的企业网通过internet利用隧道技术建立一条点到点的虚拟专线, 实现快捷安全的通信。本文主要介绍了VPN虚拟专网技术的概念, 剖析了VPN连接的原理, 最后介绍VPN技术的实际应用。

关键词：虚拟专用网,隧道技术,点到点连接

参考文献

[1]刘羽:《“虚拟机”技术在教学实验中的应用》, 《桂林工学院学报》, 2003年第4期。

[2]蒋东毅、吕述望、罗晓广:《VPN的关键技术分析》, 《计算机工程与应用》, 2003年第15期。

[3]刘昊、杨树堂、何德全、夏微微:《一种面向IPSec VPN教学的实验系统的设计与实现》, 《计算机应用与软件》, 2006年第7期。

[4]周翔鹰、范开涛、刘鸿:《虚拟机辅助计算机实验教学探讨》, 《昆明理工大学学报 (理工版) 》, 2008年第2期。

VPN技术在我校的应用 第4篇

关键词：VPN,医学院校,虚拟专用网,资源共享

随着Internet的普及和互联网技术的日趋完善, 校园网已成为高校的公共通信平台, 学校内部资源共享越来越显得重要与迫切, 我校同样存在校园网资源共享问题, 主要是:我校教职工在校外不能访问校内资源;各教学医院无法共享我校购买的各种资源;学校领导或教师在家里或校外出差时无法登录学校OA系统;各教学医院无法运行一些管理系统。一种简单的处理方法是利用公共互联网互访, 但这样存在两个问题, 一是校园网资源的安全问题难以保障, 二是我校采用的教育网地址出口, 各教学医院及教师都采用的电信出口, 当他们访问我校校园网资源, 访问速度将会受到影响。由于网络技术的发展, 目前采用VPN是一种比较好的实现方法, 各教师或教学医院可以通过专线或拨号等通过公网实现连接。我校通过使用VPN技术构建远程虚拟专用网络, 借助公共互联网, 用更低的成本, 更安全、更高效地将学校和教师、教学医院联结在一起。虚拟专用网是对原校园网的扩展, 它可以帮助远程用户、各教学院建立可信的安全连接, 并保证数据的安全传输。通过对虚拟专用网VPN技术进行具体的分析, 将其应用于我校校园网中。

1 VPN基本概念

VPN (Virtual Private Network:虚拟专用网) 是一种以公用网络, 尤其是Internet为基础通道, 综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术, 实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段, 以替代传统的长途 (租用) 专线连接和远程拨号连接;但同时由于VPN需要借道公用网络, 就必须解决因此而带来的网络安全问题。因此, VPN技术概括地说就是:实现低成本的安全互连。

有许多可以实现VPN的技术途径, 区别主要看该技术是在OSI参考模型的哪一层实现, 如在应用层实现的SSL, 在会话层实现的Socket5, 在网络层实现的IPSec和在数据链层实现的PPTP/L2TP等。如果你想将通过互联网访问公司内网中的某个服务器, 或需要将两个处于不同地域的局域网基于互联网安全通连, 那么IPSec几乎就是一种必然的选择。

2 VPN实现方式

在具体的应用中, 实现VPN技术主要有三种方案:硬件平台VPN、软件平台VPN和辅助硬件平台VPN。

2.1 软件平台VPN

主要利用一些软件公司所提供的完全基于软件的VPN产品来实现简单VPN的功能。可以用Windows 2000或WINDOWS 2003系统布设VPN系统, 这两套操作系统对传统的2IPsec VPN方案提供了全面支持, 不仅可以提供原来PPTP隧道协议VPN的方案支持, 而且还提出了新的L2TP隧道协议VPN方案。

2.2 专用硬件平台VPN

使用专用硬件平台的VPN设备可以满足学校和个人用户对数据安全及通信性能的需求, 尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。这类VPN平台虽然投资了大量的硬件设备, 但其安全性及功能比较强。

2.3 辅助硬件平台VPN

这类VPN的平台介于软件平台和指定硬件平台之间, 辅助硬件平台的VPN主要是以现有网络设备 (路由器、防火墙) 为基础, 再增添适当的VPN软件以实现VPN的功能。

3 我校的校园VPN应用

为了保证我校网络的安全性及稳定性, 我校采用专用硬件平台。在我校内部局域网接入一台VPN硬件设备 (如图1) 。VPN网关可以以透明和路由两种方式接入网络, VPN外网口配置合法的公网IP, 内网口与内部换机相连。

在学校机房还配置一台服务器作为“VPN安全管理平台”, 分配给其一个内部IP地址, 在VPN硬件网关的外网口处设置端口映射, 可以实现互联网对“VPN安全管理平台”的访问, 这样可以利用现有的专业级VPN硬件防火墙功能对SMC服务器提供防护, 确保其在互联网的安全性。“VPN安全管理平台”服务器负责整个VPN网络中VPN设备的证书生成、发放和管理, 使得所有的VPN设备能够以电子证书方式进行身份认证和隧道的建立 (VPN设备同时支持预共享密钥的身份认证和隧道建立方式) 。各用户通过VPN客户端来远程连接VPNM网关来实现和局内网络的互联, 客户端软件可以支持“用户名+口令、电子证书、用户名+口令+电子证书、以及用户特征码绑定”等多种认证方式。

结束语

VPN技术使得校园网内部的重要信息在有安全保证的情况下传输, 就如同建立了专用的网络, 提高了校园网的可管理性、灵活性和安全性。丰富的教育资源为教师教学和学生学习提供了优良的学习条件, 学校建设的资源由于安全性或其它方面的原因导致教师和学生离开本校园就无法使用校园网的内部资源, 虚拟专用网 (VPN) 就是一种既可保障安全、又可保障网络开放的低廉易行的解决方案, 可以使学校各方面的用户随时随地享用校内资源。

参考文献

[1]王达.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.

[3]戴宗坤, 唐三平.VPN与网络安全[M].北京:电子工业出版社, 2002.

基于企业VPN安全技术的应用 第5篇

随着Internet网络技术的普及,网络安全越显重要。为了能更好地解决公司安全问题,让公司总部服务器最小限度地免受外界网络攻击,也为了使企业用户方便地从远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网,企业可以考虑采用VPN技术。

1 VPN概念

VPN是以一个公用网络为基础,建立一个临时的、安全的连接方式,它是一条穿越混乱的公用网络的安全、稳定的隧道,目标是在不安全的公用网络基础上建立一个安全的专用通信网络。

VPN的最大优点是不需要租用电信部门的专用线路,而是由本地ISP提供的VPN服务所替代。所以,人们更加关注基于Internet的VPN技术及应用。

VPN是一种企业内部网的扩展的服务。VPN中传输的是企业的内部信息,因此数据的安全性特别重要。VPN保证数据的安全性主要包括以下3个方面:

(1)数据保密性(Confidentiality):通过数据加密来确保通过公网传输的数据外人无法看到或截获,即便被他人看到也不会泄露出去。

(2)数据完整性(Integrity):确保数据在传输过程中没有被非法改动,保证数据信息以原样到达目的地。

(3)身份验证(Authentication):为确保数据是从正确的发送方传输来的,必须对通信实体的身份认证和信息的完整性进行检查,对于不同的用户必须授予不同的访问权限。

VPN最终用户提供类似于专用网络的网络技术,具有以下特点:

(1)具有高安全性:通过VPN帮助远程用户、公司分支机构、商业伙伴与公司内部网之间建立可信的安全连接,从而保证数据的安全传输。

(2)可降低投资成本:VPN是建立在现有的网络硬件设施的基础上,所以它能保护用户现有的网络基础设施投资;大大降低用户在广域网和远程连接的成本;降低企业内部网络的建设成本。

(3)便于优化管理:VPN方案可以简化网络的设计和管理, 加速新的用户和网站的连接,并且能够极大地提高用户网络运营和管理的灵活性。

2 VPN实现技术

2.1隧道技术

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,是VPN的核心。

隧道技术是在公共网络中建立专用的数据通道,实现点对点的连接,使来自不同的数据来源的网络服务通过不同的渠道,在同一网络体系结构中使网络协议不兼容的系统结构。

2.2加解密技术(Encryption & Decryption)

通过公共互联网的数据必须进行加密,以确保网络是不经授权的网络读取信息。

2.3密钥管理技术(Key Management)

密钥管理技术的主要任务是如何在公共数据网络中传输密钥而不是被窃取。目前常用的密钥管理技术可分为SKIP与ISAKMP/Oakley两种。

2.4身份认证技术(Authentication)

在公共网络上大量的用户和设备,如何正确识别合法用户和设备,使单位的人员和设备可以与设备进行通信,构成一个VPN, 让未经授权的人无法进入系统,这是解决问题的用户和设备身份认证技术。

3 VPN安全协议

网络隧道协议有两种:一种是二层隧道协议,用于传输二层网络协议数据,以构建远程访问虚拟专用网络;另一种是三层隧道协议,用于传输三层网络协议,以建设企业内部虚拟专用网和扩展的企业内部VPN。

3.1二层隧道协议(PPTP/P2TP)

(1)点对点隧道协议(PPTP),该协议是数据链路层协议, 由Microsoft公司提出并且被嵌入到Windows中,作用于路由和远程服务。PPTP通过使用IP包来封装PPP数据帧,它的访问控制是用简单的包过滤和域控制来实现的。

(2)第二层隧道转发协议(L2TP),该协议由PPTP和L2F组合而成,可用于基于Internet的远程拨号访问和使用PPP的客户端建立拨号方式的VPN连接。L2TP可用于传输Net BIOS等多种协议。

3.2三层隧道协议(IPSec)

IPSec是一组开放性协议的总称,它包括认证头(AH)、安全封装载荷(ESP)、Internet安全协议与密钥管理协议(ISAKMP) 三个子协议。IPSec具有以下三个特性。

(1)保密性:为确保的私有性,IPSec在数据传输之前先进行加密。

(2)可靠性:数据到达目标方之后必须进行验证,从而保证数据在传输过程中没有被修改、替换。

(3)真实性:对主机和端点进行身份鉴别。

IPSec有两种工作模式,即运输模式和隧道模式。在隧道模式下,为确保从一个防火墙到另一个防火墙的通信安全性,IPSec把IP分组封装在一个安全的数据报中。

3.3安全会话层(SSL VPN)

在网络中使用浏览网器浏览网站时,主要通过HTTP协议传送网页,是属于明文传播的,传播内容可以被非法读取。SSL的全名叫Secure Session Layer(安全会话层),其最初目的是给HTTP加密使用的安全套件,使用SSL技术的HTTP,就变成了HTTPS,其使用端口从HTTP的默认80端口变成了443端口。 HTTPS既具备安全性,也具备传输数据的能力,被VPN技术的专家认可并得到重视,认为HTTPS可以用于组建VPN网络,加速了SSL VPN技术的推广步伐。

4 VPN的基本类型

根据VPN涉及的业务类型和组网方式的不同,VPN业务总体上可分为以下三类,如图1所示。

4.1内部网VPN(Intranet VPN)

内部网是指企业的总部与分支机构之间,以公共网络为基础构建的虚拟网。Intranet VPN是通过公用网络将某组织的各分支机构的局域网连接而成的网络,它是公司内部网络的扩展。

内部网VPN用于公司远程分支机构的LAN之间、公司远程分支机构的LAN与公司总部LAN之间进行互联,可实现公司内部的资源共享、文件传输、节约DDN专线费用等。

4.2远程访问VPN(Access VPN)

远程访问也称为拨号VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网,用于在远程用户或移动雇员和公司内部网之间进行互联。

远程访问VPN具有可以实现“透明访问策略”的优点,也就是实现远程用户与主机像是在同一个局域网中一样自由地访问局域网上的资源。

4.3外联网VPN(Extranet VPN)

外联网是指收购、兼并或企业间的战略联盟的企业之间,使不同的企业网络通过公共网络建立虚拟网络,在供应商的局域网之间的互联,业务合作伙伴和公司进行互联。外联网VPN通过一个共享基础设施将客户、供应商、合作伙伴等连接到企业内部网,既可以向外提供有效的信息服务,又可以保证自身的内部网络的安全。

5 VPN在企业中的应用

使用VPN结构,可以实现办公室与办公室之间的互联,可通过VPN建立的隧道,通过先进的加密技术安全地互相传送, 避免被恶意的第三者截取分析;非标准TCP/IP的应用,也可通过VPN专有隧道连通,如像一个局域网一样;外部的移动用户, 只要能连入网络,就可通过VPN相关设置连入公司内部,使用各种办公室的应用,传输办公室间数据,例如语音通讯、视频会议等,通过VPN既不受到网络运行商的管制,带宽也不会受到限制。

VPN的设施和服务是由企业完全掌握的。企业可以把拨号访问权交给NSP,企业方负责用户的检查与验收、网络地址、访问权、网络变化和安全性管理等重要工作。在公共网络中,通过采用“隧道”技术,形成企业数据传输的专用链路,并且能保证数据的安全性、机密性以及数据传输的通畅。企业可以省去租用长途专线建设专网的费用,也不必进行大量的网络维护人员和设备的投入,从而节省大量的成本。

VPN在企业中应用的研究 第6篇

防火墙、电子护照、各种认证加密方法来来弥补因特网的不足,但都有其各自的局限性。虚拟专用网为有安全需求的用户重返因特网提供了一种可能。关键性的加密技术、认证技术、隧道协议的无缝结合,使得在公用因特网的基础上建立安全的虚拟专用网成为可能。虚拟专用网(VPN)结合了因特网和专用网的优点,同时也弥补了两者的缺点,使Internet再次成为组成无限商机的宝藏。

1 VPN分类

1.1 按接入方式划分

(1)专线VPN

专线VPN是为已经通过专线接入ISP路由器的用户提供的VPN实现方案。

(2)拨号VPN

拨号VPN是为通过PSTN或ISDN拨号接入ISP的用户提供的VPN实现方案。这种VPN方式是目前最主要的VPN解决方案。

1.2 按隧道协议所属的层次划分

(1)第二层隧道协议

第二层隧道建立在链路层,此协议先要把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有PPTP,L2F,L2TP等。

(2)第三层隧道协议

第三层隧道协议即网络层隧道协议,此协议把各种网络协议直接装入隧道协议中,形成数据包来传输。现有的第三层隧道协议主有是:通用路由封装协议GRE,IP安全协议IPsec。

1.3 按VPN的发起主体不同来划分

(1)基于客户

VPN服务提供的起始点和终止点是面向客户的。需要客户和隧道服务器(或网关)方安装隧道软件。客户方的软件发起隧道,在单位隧道服务器处终止隧道。经过对用户身份和口令的验证,客户方和隧道服务器极易建立隧道。隧道一经建立,用户就会感到通信的进行似乎不再有ISP参与。

(2)基于网络

在单位中心部门和ISP处安装VPN软件,客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对VPN客户完全透明。

1.4 按VPN的业务类型划分

按服务类型划分,VPN业务可以大致分为三类:接入网VPN、企业内部网VPN和企业外部网VPN。

(1)接入网VPN

是一种拨号方式的VPN,是企业员工或企业的小分支机构通过公网远程拨号的方式构筑的VPN,用户与网络通过VPN互联的示意图如1所示。

(2)企业内部网VPN

企业的总部与分支机构之间通过公网构筑的VPN网络。

(3)企业外部网VPN

即不同企业间通过公网来构筑的VPN网络。

通常把企业内部网和企业外部网VPN都归为专线VPN,结构如图2所示。

1.5 按VPN的应用平台划分

VPN的应用平台分为3类:软件平台和专用硬件平台。

(1)软件平台

对数据传输速率要求不高,对性能和安全性需求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能,如Checkpoint software,Aventail Corp等公司的产品。甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。

(2)专用硬件平台

专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com等,国内的如华为、联想等。

2 各种企业的需求及VPN解决方案

不同规模的企业,对远程传输数据信息的安全性要求不同,下面将按企业的规模来分析企业的需求和VPN解决方案。

2.1 小型企业

(1)需求分析

综合小型企业的特点和目前发展现状,小型企业对信息安全的需求是存在的,要求见效快,产品使用维护方便,但是企业所能投入信息化的资金有限,因此,用于信息安全方面的投资会有所限制。总之,小型企业受到客观条件的限制,远程数据通信需要价格便宜、简单易用、性能稳定、维护方便的产品和技术。

(2)解决方案

从上面的需求分析,小型企业对数据传输速率要求不高,同时在安全性方面也较低,连接用户也少,可以得到合理的VPN解决方案:基于现有的公网采用拨号VPN方式,使用软件平台。VPN服务提供商控制了整个VPN设施,最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。最大的不足就是用户自身自主权不足,存在一定的不安全因素(如图3所示)。

2.2 中型企业

(1)需求分析

综合中型企业的特点和目前发展现状,中型企业对信息安全的需求迫切的,要求VPN产品性能可靠稳定,使用简便,便于维护,且企业能投入一定的信息化资金,但是仍然无法承受巨额的专线建设资金投资,因此,用于信息安全方面的仍然会有一定的限制。

(2)解决方案

从上面的需求分析,中型企业对数据传输速率及安全性方面有一定要求,连接用户不多,可以得到合理的VPN解决方案:在总部与分部之间租用服务提供商的虚拟专线,客户不需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。企业仍然可以通过加密数据实现端到端的全面安全性。可以使用最常见的隧道协议有L2TP、L2F或者PPTP。

对于企业员工出差或者在家办公,则采用拨号VPN方式访问公司内部网,既允许远程拨号连接,又防止未授权访问和数据被截获。对于远程VPN接入的方式可以根据用户采用的加密算法的强度、隧道流量等属性选择灵活的计费策略。

2.3 大型企业

大型企业的特点为规模很大,有多个分部或者分公司,在本行业中占有领导地位,资金雄厚,企业员工众多,有很强的抵抗风险能力等。大型企业为了追求更大利润,稳定和扩大市场,保持与客户的关系,继续保持行业内的竞争力,并逐步涉足其他行业,在财务、客户、人力资源、产品产销等方面的需要信息化的管理,使得减少企业的管理成本,提供企业运行与管理的效率,对企业信息化的需求非常迫切。

(1)需求分析

综合大型企业的特点和目前发展现状,大型企业要求VPN产品性能可靠稳定,安全性高,传输效率高,可管理,且企业能够专项资金投入,有足够的技术人员对网络进行维护和管理。

(2)解决方案

由于大型企业在信息化方面要求很高,使用用户较多,从上面的分析中可以得到合理的VPN解决方案:使用专用的硬件平台,需要购买成套昂贵的VPN设备和防火墙,配备专业技术人员,整个网络都是在加密的隧道中完成通信的,非常安全。这是最为彻底的VPN网络,在这种方案中企业具有完全的自主控制权,但是新建VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投资上是最多的。

与中型企业一样,对于企业员工出差或者在家办公,则采用拨号VPN方式访问公司内部网(如图4所示)。

3 结束语

各种企业可以灵活的选择适合的VPN方案,实现企业内部的OA系统,邮件系统,财务系统等,方便企业出差员工的安全移动办公,能够加快企业的信息化进程,提供公司的管理水平,极大的增加了企业的生产效率和竞争力。随着信息化的发展,VPN业务将是电信运营商的一项重要的IP增值业务。

参考文献

[1]李超.基于IPsec的VPN网关的设计与实现.网络通讯.2002.

[2]戴宗坤.VPN与网络安全[J].网络安全技术与应用.2001.

[3]王达等编著.虚拟专用网(VPN)精解[M].清华大学出版社.2004.

[4]电信运营商IPSec VPN业务部署模式研究.2004.http://www.vlan9.com/net-provider/z008013246.html.2007.

试析VPN网络技术及应用 第7篇

1. VPN网络技术概述

1.1 VPN网络技术定义。

VPN的全称是Virtual Private Network, 现在我们一般称为虚拟专用网络。它的主要作用就是利用公用网络将多个私有网络或网络节点连接起来。通过这个公用网络进行连接可以大大降低通信的成本。

目前, 一般来说两台连接上互联网的计算机只要知道对方的IP地址, 是可以直接通信的。不过位于这两台计算机之后的网络是不能直接互联的, 原因是这些私有的网络和公用网络使用了不同的地址空间或协议。

1.2 VPN网络技术工作原理。

VPN通过公众IP网络建立了私有数据传输通道, 将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担, 节省电话费用开支, 并且提供了安全的端到端的数据通讯。

位于这两台计算机之后的网络是不能直接互联的, 原因是这些私有的网络和公用网络使用了不同的地址空间或协议, 即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输, 然后在对端解包, 还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆, 而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。

1.3 VPN网络技术特点

1.31 特点一:成本低。

VPN在设备的使用量及广域网络的频宽使用上, 都比专线式的架构节省, 所以它能使网络的总成本降低。根据笔者的分析, 在LAN-to-LAN连接时, 用VPN较使用专线的成本节省大约在30%~50%左右;而就远程访问而言, 用VPN更能比直接拨入到企业内部网络节省60%~80%的成本。

1.32 特点二:管理方便。

VPN使用了较少的设备来建立网络, 使网络的管理较为轻松;不论连接的是什么用户, 均需通过VPN隧道的路径进入内部网络。

1.33 特点三:网络架构弹性大。

VPN较专线式的架构有弹性, 当有必要将网络扩充或是变更网络架构时, VPN可以轻易的达到目的, VPN (特别是硬件VPN) 的平台具备完整的扩展性, 大至企业总部的设备, 小至各分公司, 甚至个人拨号用户, 均可被包含于整体的VPN架构中。

1.34 特点四:技术安全性高。

VPN网络技术主要由三部分组成:隧道技术, 数据加密、用户认证。隧道技术定义数据的封装形式, 并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输, 因此安全问题是VPN技术的核心问题。目前, 在我国VPN的安全保证主要是通过防火墙和路由器, 配以隧道技术、加密协议和安全密钥来实现的, 以此确保远程客户端能够安全地访问VPN服务器。

2. VPN网络技术应用

VPN网络技术可以给企业提供多样化的数据、音频、视频等服务以及快速、安全的网络环境, 是企业网络在互联网上的延伸。这项技术通过隧道加密技术达到类似私有网络的安全数据传输功能, 具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问, 通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来, 构成一个扩展的公司企业网, 此外它还提供了对移动用户和漫游用户的支持, 使网络时代的移动办公成为现实。

2.1 VPN网络技术企业内部应用。

目前, 用于企业内部自建VPN的主要有两种技术--IP Sec VPN和SSL VPN, IPSec VPN和SSL VPN主要解决的是基于互联网的远程接入和互联, 虽然在技术上来说, 它们也可以部署在其它的网络上, 但那样就失去了其应用的灵活性, 它们更适用于商业客户等对价格特别敏感的客户。

针对IPSec VPN和SSL VPN两种技术, 目前业内存在着较多争议。在未来, IPSec的市场份额将下降, 而SSL VPN将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择, 即安全性与使用便利的冲突。IPSec VPN比较适合中小企业, 其拥有较多的分支机构, 并通过VPN隧道进行站点之间的连接, 交换大容量的数据。企业的数据比较敏感, 要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息, 移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。

2.2 VPN广域网解决方案的应用。

目前各行业网、专用网的应用主要有两个方面:一方面作为Internet或其他公用网络的一部分, 组织本行业是信息资源上网;二方面作为一个内部网, 为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。对于各专用网络两种应用的第一种应用, 其解决方案可以根据网络的性质和信息资源的服务对象, 各地就近接入当地的中国公用计算机互联网或中国公众多媒体通信网, 完全省去了用于连接跨省的DDN专线, 只需在域名规划和信息主页设计中统一规划, 统一形象, 把有限的人力和物力用于专业的信息资源开发和深加工。

2.3 基于Internet的VPN网络的应用。

在互联网技术高速发展的今天, Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端, 用户的私有数据经过隧道协议和和数据加密之后在Internet上传输, 通过虚拟隧道到达接收端, 接收到的数据经过拆封和解密之后安全地传送给终端用户, 最终形成数据交互。

3. VPN网络技术发展

VPN综合了传统数据网络的安全和服务质量, 以及共享数据网络结构的简单和低成本, 建立安全的数据通道。VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求。

VPN上传输的数据流是经过加密处理的, 这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机密性, 提供动态密匙交换功能, 提供安全防护措施和访问控制, 抵抗黑客通过VPN通道攻击企业网络的能力, 并且可以对VPN通道进行访问控制。

用户需求将成为VPN技术发展的动力, 多形式、多用途、灵活易用、功能强大、服务优异的VPN产品将适用于不同的用户群, 部署在宽带、窄带、拨号或者移动通信网络上。

4. 对VPN网络技术使用中的建议

在目前的企业选择VPN技术使用时, 我们一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中便于管理人员和应用程序对信息进行添加, 修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库, 存储每一名用户的信息, 包括用户名, 口令, 以及拨号接入的属性等。

为有效的管理VPN系统, 网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者, 连接数目, 异常活动, 出错情况, 以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费, 审计和报警或其它错误提示具有很大帮助。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志, 报告和数据存储设备。随着市场应用的扩大, VPN的管理有待进一步加强。

摘要：文章在介绍VPN网络技术的概念上, 浅析了它的工作原理和特点, 重点阐述了VPN网络技术的应用及使用中的一些建议。

关键词：VPN技术,技术应用,发展

参考文献

[1]闫晓弟.耶健.基于VPN的电子资源远程访问系统的研究与实现.情报杂志, 2009 (8) .

[2]王达等.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.

[3]杨永斌.VPN技术应用研究[J].计算机科学, 2004, (10) .