vpn技术
开篇:润墨网以专业的文秘视角,为您筛选了八篇vpn技术范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
vpn技术范文第1篇
【关键词】MPLS;vpn
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2012)09-0074-01
1、MPLS VPN简介
随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network)。在公共网络上组建的VPN像企业现有的私有网络一样提供安全性和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。
MPLS即多协议标签交换属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF所提出,由Cisco、3Com等网络设备大厂所主导。从MPLS字面上来看,它是一个可以在多种第二层媒质上进行标签交换的网络技术。这一技术结合了第二层的交换和第三层路由的特点,将第二层的基础设施和第三层路由有机地结合起来。第三层的路由在网络的边缘实施,在MPLS的网络核心则采用第二层交换。
2、MPLS VPN工作原理
MPLS是一种特殊的转发机制,它把进入网中的IP数据包分配标签,并通过标签的交换来实现IP数据包的转发。标签作为替代品,在网络内部MPLS在数据包所经过的路径沿途通过交换标签,而不是看数据包的IP包头来实现转发,当数据包要退出MPLS网络时,去掉数据包上的标签,继续按IP包的路由方式到达目的地。MPLSVPN有三种类型的路由器,CE路由器、PE路由器和P路由器,主要工作流程如下:
(1)CE到PE间通过IGP路由或BGP将用户网络中的路由信息通知PE,在PE上有对应于每个VPN的虚拟路由表VRF,类似有一立的路由器与CE进行连接。
(2)PE之间采用MP-BGP传送VPN路由信息以及相应的标签(VPN的标签,以下简称为内层标签),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标签(用于MPLS标签转发,以下称为外层标签)的绑定。到此时,CE、PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息VRF。
(3)当属于某一VPN的CE有数据进入时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的VRF路由表中去读取下一跳的地址信息。同时,在前传的数据包中打上内层标签。下一跳地址为与该PE作对等的PE的地址,为了到达这个目的端的PE,在起始端PE中需读取MPLS骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上用于MPLS标签交换的外层标签。
(4)在MPLS骨干网络中,初始PE之后的P均只读取外层标签的信息来决定下一跳,因此骨干网络中只是简单的标签交换。
(5)在达到目的端PE之前的最后一个P路由器时,将把外层标签去掉,读取内层标签,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
(6)P路由器完全依据MPLS的标签来作出转发决定。由于P路由器完全不需要读取原始的数据包信息来作出转发决定,P路由器不需要拥有VPN的路由信息,因此P只需要参与骨干IGP的路由,不需要参加MP-BGP的路由。从MPLS VPN工作过程可见,MPLSVPN丝毫不改变CE和PE原有的配置,一旦有新的cE加入到网络时,只需在PE上简单配置,其余的改动信息由BGP自动通知到CE和P。
3、MPLS体系结构
(1)标签边界路由器LER是MPLS的入口/出口路由器,在MPLS域与其他网络边缘的标记交换路由器,主要功能是进行IP报文初始化处理、分类等第三层功能和标签绑定功能。在入口处将IP地址转换成标签,在出口处又将标堑恢复成IP地址。
(2)标签交换路由器LSR是支持标记交换协议的路由器,具有第三层转发分组和第二层交换分组的功能。它能运行传统的IP路由协议,并能执行一个特殊控制协议以与邻接的LSR协调标签的绑定信息。
(3)标签Label(如图3-1所示)
4、MPLS VPN在信息网络中的应用
基于MPLS技术平台实现的MPLS VPN,以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
MPLS是多协议标签交换协议的简称。MPLS VPN网络中,有三种设备:CE、PE和P路由器,CE是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;PE是骨干网中的边缘设备,它直接与用户的CE相连;P路由器是骨干网中不与CE直接相连的设备。P路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议,并使能该协议;PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便网络的扩展和变更。
vpn技术范文第2篇
[关键词] VPN隧道技术L2TP协议IPSec VPNMPLS VPN
一、引言
当前以Internet为标志的信息技术革命,正以惊人的速度改变着人们的生产、工作、学习和生活方式,Internet应用已经越来越成为人们生活中不可缺少的部分,教师的教学工作空间已不再局限于三尺讲台,他们完全可以在登陆网络后完成备课、答疑、了解学生学习情况等教学工作。校园网的快速发展,使得学生不仅通过课堂和书本获得知识,而且可以从网络进行协作学习和获取大量对学习有益的学习信息。同时要保证教育的各种应用得以顺利实施,安全问题(如不向非授权的学生泄露教学内容、试卷内容等)也很重要,将VPN(Virtual Private Network,虚拟专用网)技术应用于远程教育教学中,可达到保证数据的安全性,和节省异地远程用户访问费用。
二、VPN技术
VPN(虚拟专用网)指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。简单地说VPN就是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术,本文更多讨论的是远程教育教学用户使用Internet公众数据网络的长途数据线路动态地联接而成逻辑上的虚拟子网时,给教育教学带来的安全性、便利性和可管理性。
目前VPN主要采用四项技术来保证数据安全,分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
VPN在公用网上建立一条数据通道(即隧道),让数据包通过这条隧道,从而实现虚拟通信。进行虚拟通信的两个或多个设备之间传输的数据对于没有参与虚拟通信的设备是保密的,而且他们也不会意识到这种虚拟通信。隧道由隧道协议组成,定义了一系列较为完整的数据封装和安全协议及其算法。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等,其中L2TP协议是目前IETF的标准,由IETF融合点到点隧道协议(PPTP)与二层转发协议(L2F)而形成,特别适合组建远程接入方式的VPN。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(Internet Protocol Security,因特网安全协议)使用包括安全封装协议(ESP)和数据加密标准(DES)等已经验证的加密技术,从认证、完整性和加密三个方面来保证数据的安全性,在IPSec VPN里,通信双方首先要采用一定的方式建立连接,确定所要采用的安全策略和使用模式,包括加密运算法则和身份验证方法类型等。一旦IPSEC通道建立,所有其上层协议数据都被进行加密,而不管这些通道构建时所采用的安全和加密方法如何。IPSec适合内联网VPN,将分布在不同地域的分校网络互联,为远程用户提供增强的安全性。
vpn技术范文第3篇
关键词:VPN;隧道;虚拟专用网;IPSec;SSL
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)04-0798-02
The Rearch for the VPN Technique and its Application
CHEN Zhen
(School for Intensive Instruction, Nanjing Normal University, Nanjing 210046, China)
Abstract: This text introduces the basic concept,working principle,key technique,main characteristics and the application of VPN(Virtual Private Network).Then it compares the difference between the two commonly used VPN technology――IPSec VPN and SSL VPN.
Key words: VPN; tunnel; virtual private network; IPSec; SSL
1 引言
随着Internet的普及,人们需要随时随地连入企业网。同时随着企业的发展壮大,企业的分支机构越来越多,企业内各个分布之间也需要网络通信,这就意味着使用传统的租用线路的方法实现私有网络互联会给企业带来很大的经济负担。虚拟专用网(VPN,Virtual Private Network)的出现,为当今企业发展所需的网络通信提供了经济安全的实现途径。VPN可以使得企业以低廉的价格享有公用网络上的“专用”安全通道的便利。
2 VPN技术
2.1 VPN概念
虚拟专用网(VPN,Virtual Private Network)不是真正的专用网络,却能够实现专用网络的功能。VPN是一种通过对网络数据进行封包和加密,在公网上传输私有数据,同时保证私有网络安全性的技术。它兼备了公网的便捷和专用网的安全,实现了利用公网通过加密等手段来实现单位组织的“专用网”。
2.2 VPN原理
需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备在公共网上建立一条虚拟的专用网络通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。
2.3 VPN技术
VPN技术是指支持在公共通信基础设施上构成虚拟专用连接或虚拟专用网络的技术。这些技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。这些技术可应用在TCP/IP协议层的数据链路层、IP层、TCP层和应用层。
从安全角度看,采用密码技术或加密隧道封装在公共通信网络上构建的VPN,其安全强度最高,隧道技术次之,协议封装较差,过滤路由最差。必要时,可以同时将两种以上的VPN技术组合,以满足安全要求。
从VPN工作原理中可以看出,实现VPN的最关键的部分是在公网上建立虚拟信道,而建立虚拟信道是利用隧道技术实现的。而隧道技术是利用一种协议传输另一种协议的技术,主要利用隧道协议来实现VPN功能,VPN隧道协议工作在数据链路层和网络层。同时为了保证信息在隧道中的安全传输,VPN系统采用加密技术。通过隧道技术和加密技术,已经能够建立起一个安全性、互操作性的VPN。但是虚拟专用网要想成为用户真正的选择,必须能够保障一定的带宽、可靠性和安全性。为此有必要采用QoS策略控制方案来控制数据流量。
总的来说,VPN中采用的关键技术主要包括隧道技术、安全加密技术及QoS技术。
2.3.1 实现VPN的隧道技术
隧道技术是一种通过使用互联网网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同的协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。隧道技术是指包括数据封装、传输和解包在内的全过程。此外创建隧道的客户机和服务器双方必须使用相同的隧道协议。
隧道的实现机制主要设计两个方面,其一是所建立的虚连接是在第二层还是在第三层。第二层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位,主要有PPT,L2TP和L2F等,主要优点是协议简单,易于加密,但由于其需要维护大量的PPP会话连接状态,故其传输效率和系统的扩展均受到影响。第三层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位,主要有GRE以及IPSec等,由于第三层隧道是IP in IP,其可靠性及扩展性方面均优于第二层隧道。
其二是在网络是的什么层次上实现IP隧道的问题。目前较多的是IP协议实现IP隧道,但也有用UDP等协议来实现IP隧道的,如L2TP。对于IP隧道来说,当在隧道的开启处封装及在隧道中止处还原装配数据报时,进行包的过滤、检查非常方便,所以VPN网关通过“过滤型”隧道可直接融入“包过滤”防火墙机制,进一步增强了VPN的安全性。
2.3.2 实现VPN的安全加密技术
在VPN中,由于数据通过公共通信网络传输,从而为保证信息在隧道中的安全传输,VPN系统要采用加密技术。数据加密的基本过程就是对明文文件或数据按某种算法进行处理,使其成为一段不可读的“密文”,使其只能在输入相应的密钥后才能正确显示出本来的内容。通过这样的方法来保证VPN通信过程中的数据安全。
根据密钥类型不同,加密技术可以分为两大类:对称式和非对称式。对称式加密就是加密和解密使用同一个密钥,这种加密技术目前被广泛使用,如EDS加密标准。非对称式加密就是加密和解密多使用的密钥不是同一个,通常有两个密钥,“公钥”和“密钥”,他们必须配对,否则不能打开加密文件,而为了保证公用密钥的完整性,公用密钥随证书一同。
2.3.3 实现VPN的QoS技术
QoS(Quality ofService)是指服务质量,也是指数据流通过网络时的性能。它的目的是向用户提供端到端的服务质量保证。它有一套度量指标,包括业务可用性、延迟、可变延迟、吞吐量和丢包率。
3 VPN的特点
3.1 VPN的优点
1) 降低成本。
与专用网络相比,借助ISP来建立VPN可以节省大量的通信费用,同时企业节省了大量人力物力。
2) 简化网络设计。
借助ISP的,企业只需少量对远程链路进行安装、配置和管理的任务
3) 实现网络安全。
数据传输前的用户认证以及VPN传输过程中的安全和加密协议都保证了增强了网络的安全性。
4) 容易扩展。
如果想扩大VPN容量和覆盖范围,企业只需与ISP签订新的合约,几条命令即可。
5) 可随意与合作伙伴联网。
6) 完全控制主动权。
7) 支持新兴应用
3.2 VPN的缺点
1) 尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式,可是VPN的服务提供商们只保证数据在其管辖范围内的性能,一旦出了其“辖区”则安全没有保证。
2) 不同厂商的VPN的管理和配置管理起来是最难的,这需要同时熟悉不同厂商的执行方式,不同术语。
4 应用研究
图书馆局域网内有丰富的数字资源,在局域网内可直接访问。现在图书馆内建立一个VPN服务器,局域网外用户便可通过它从校外远程访问数字资源,并通过适当的访问策略配置,保证网络安全。IPSec VPN、SSL VPN 是目前使用主流的Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。
IPSec协议(因特网安全协议)是网络层上为保障IP通信而提供的一系列协议族,针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计的一套隧道、加密和认证方案。SSL(安全套层协议)是保障在Internet上基于Web的通信安全而提供的协议。如表1是两种VPN接入方式的比较。
从表1看出,IPSEC和SSL VPN各有优缺点,互为补充,目前最好的方式是,采用IPSEC/SSL二合一的VPN安全网关,这样能够充分发挥IPSEC和SSL VPN各自的技术优势,而且一机二用,无需分别购买两种网关,节省费用。
5 小结
VPN技术是一种在公网上实现私有网络连接的技术,为企业学校内部互连、资源共享提供了一种经济、灵活、安全的连网方式。VPN技术是计算领域内多种技术的统一起来的技术,现在其发展还不成熟,存在许多需要改进和完成地方,但是随着计算机网络的发展以及企业对VPN的需求,VPN技术拥有广阔的发展前景。
参考文献:
[1] 戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
[2] 高海应,薛元兴,辛阳.VPN技术[M].北京:机械工业出版社,2004.
[3] 张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008(11).
vpn技术范文第4篇
关键词:VPN技术;应用;研究
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)17-3996-03
虚拟专用网,用英文翻译过来就是Virtual Private Network,简称为VPN。虚拟专用网是通过公共网络中相关的基础设施,采用先进的技术方式,对不同的两台计算机进行一种专用的连接,使相关的网络数据信息在通过公共网络进行上传的过程中,保证网络数据信息私密性的一项技术。如何有效的应用虚拟专用网技术,是企业在发展过程中必须解决的一个重要问题。
1 VPN技术的优点
1.1 节约成本
VPN技术对公共网络进行了利用,建立并组成了虚拟的专用网络,不需要在单独依靠公共网络中专用的线路来保障数据信心传输的安全,利用专用的网络就能够实现数据信心的安全性,这一种方式相对于其他通信方式而言,所需要使用的成本更为低廉,例如:长途电话、专线电话等。
1.2 使用便捷
VPN技术在公共网络中的使用较为便捷,易于在公共网络中进行扩展。当公共网络内部中的节结点逐渐增多的时候,专线连接网络的结构也会变得越来越复杂,而且所需要花费的成本也非常的高,而在使用虚拟专用网的过程中,只需要在公共网络的节点位置构架相关的VPN设备,就能够在对Internet进行利用时在计算机网络中建立安全连接,若是公共网络内部中有其他的网络想要进入安全连接,只需要在使用使用一台虚拟专用网设备,对相关的配置的配置进行调整就能够使其他的网络加入到安全连接之中。
1.3 确保安全性
确保公共网络中的安全性,是VPN技术在计算机网络中的基础,为了确保相关的数据信息在通过公共网络进行传输过程中的安全性,VPN技术对加密认证这一项技术进行利用,在公共网络内部中对相关的安全隧道进行构建,重要的数据信息通过安全隧道进行传输,有效的保证了数据信息在传输时的安全性,避免数据信息被恶意的篡改、破坏。
2 VPN得以实现的主要技术
VPN不是一个实体,而是一种虚拟的网络形态,是计算机网络中的一个概念,是一个通过公共网络中的基础设施对虚拟专用网络进行构建时,所运用连接技术综合起来的名称。VPN技术的实现,离不开隧道技术,隧道技术是VPN技术得以实现的前提,隧道技术是一种对公共网络中的数据信息进行包装,然后在公共网络中构建一条网络隧道,使公共网络中的数据信心通过这一条网络隧道进行传输,以下是VPN技术在运用过程中的主要隧道技术。
2.1 点到点隧道协议
点到点隧道协议简称为PPTP,即Point-to-Point Tunneling Protocol,PPTP将公共网络中的PPP数据信息进行包装之后,通过Internet对这些数据信息进行传输,PPTP协议提供了使多协议VPN构建于Internet中的一种通信方式,远程的客户端能够通过PPTP对专用网络进行访问。
2.2 二层转发协议
二层转发协议简称L2F,即Layer Two Forwarding Protocol,二层转发协议能够对各种不同的传输协议提供支持,例如:帧中继、ATM以及IP等,二层转发协议可以让远程客户端的客户在接入公共IP网络中时,在拨号方式上不会受到任何的限制,例如:远程客户端的客户在运用常规的拨号方式对ISP中的NAS进行拨号时,对PPP连接进行构建,NAS则通过对远程客户端客户的一些基本信息的了解,在网络中进行第二重连接,向公司所在地的二层转发协议中的网络服务器进行传输,二层转发协议中的网络服务器在将接收到的数据信心传输到公司内部的网络中。
2.3 IP安全协议
IP安全协议简称为IP Sec,IP安全协议包含了秘钥协商与安全协议这两个方面中的一部分,IP Sec安全协议提供了鉴别头与封装安全载荷这两种在通信过程中起到保护作用的机制。鉴别头用英文表示为Authentication Header,简称AH,它给计算机网络通信中提供的是一种完全性的保护。封装安全载荷用英文表示为Encapsulations Security Payload,简称ESP,它给计算机网络通信中提供的不仅仅是完整性的保护,还有机密文件在通过网络进行传输这一过程中的保护。鉴别头与封装安全载荷对计算机网络通信的保护具有实效性,对于公司内部在使用网络进行数据信息传输的安全性有着十分重要的意义。IP安全协议是虚拟专用网技术中一个非常重要的组成部分,它对于网络的保护具有完整性,是虚拟专用网在计算机网络的应用中,不可缺少的一个部分,不仅仅保护了数据信息在通过网络进行传输中的安全,还在很大程度上保障了数据信息来源的安全性、可靠性。
3 VPN技术的应用
在对VPN技术进行应用的过程中,能够有效的解决虚拟专用网络在对公共网络进行利用中存在的问题。
以下是VPN技术主要的几种应用:
3.1 远程访问VPN
随着我国科学技术的深入发展,人们对于远程通信的需求逐渐的扩大,各个行业办公方式由办公室办公转变为在办公室以外进行办公,企业中的工作人员对于企业网络中的远程客户端访问的要求逐渐增高,在这一形势下远程访问VPN的出现是必然的趋势。
一些公司或企业在网络中进行远程访问的过程中,为了保证远程访问的安全性,传统的方法是公司或企业的内部网络中对RAS进行构建,即远程访问服务器。远程客户端客户利用电话这一形式进行网络拨号,然后接入RAS,接着进行入到公司或企业的内部网络中,在利用这种传统的方法进行远程访问时,需要对相关的RAS设备进行购买,RAS设备的价格都非常的高,而且远程客户端客户只能采取拨号这一种形式进行远程访问,远程访问的效率非常低,在远程访问时的安全性也得不到有效的保障,在进行拨号时所需要的花费的费用也非常的多。远程访问VPN,通过数字用户线路、ISDN以及拨号等一系列方式,进入到公司或企业所在地的ISP中,再进入Internet中,然后对公司或企业中的VPN网关进行连接,在VPN与远程客户端的客户之间构建一条安全隧道,远程客户端的客户可以通过这一条安全隧道对公司或企业内部中的网络进行访问,这种方式不仅仅节约了远程访问过程中所需要花费的费用,还在很大程度上保障了远程访问中的安全性。
远程访问VPN的结构示意图,如图1所示。
3.2 站点到站点的内联网
一般情况下,在对同一个企业中两个不同的分支机构进行连接的过程中,专用私有线路是必不可少的连接工具,但是专用私有线路非常的难找,寻找一条专用私有线路需要花费很多的时间与精力,而且专用私有线路一般都以出租的方式进行利用,租金非常的高。企业在利用一条专用私有线路对内部中不同的分支机构进行连接时,如果专用私有线路对企业内部网络造成了破坏,则会导致连接的失败,而且在利用专用私有线路对企业内部网络中的数据信息进行传输的时候,传输数据信息的网络通道没有进行相关的加密,这就造成了数据信息在传输过程中存在着不安全因素。
站点到站点的内联网,能够有效的解决企业内联网结构、传输、连接在安全这一方面存在的问题,站点到站点的内联网结构示意图,如图2所示。
VPN网关,处于公共网络与企业专用网络的交界处,站点到站点的内联网对数据信息通信进行加密,通过Internet将数据信息传输到相关的VPN网关中。站点到站点的内联网在接收到Internet所传输的数据信息已被加密,然后通过将数据信息传输到VPN网关对数据信息进行解密,接着传输到企业的内部网络中。站点与站点的内联网在传输数据信息时,不需要专用的私有线路,而且还能够使VPN变得非常的灵活。
3.3 VPN技术应用的实例
VPN技术在宜春供水有限公司中的应用,图3是宜春供水有限公司中VPN网络结构图。
VPN技术在宜春供水有限公司中的应用,取代了宜春供水有限公司内部中传统的专线网络,VPN技术的应用极大的增强了宜春供水有限公司在利用网络进行数据信息传递时的安全性,有效的节约了宜春供水有限公司在网络信息数据传输这一方面的资金成本,在总体上为公司节省了85%左右的信息数据通讯的资金成本,而且只需要普通宽带就能够实现。
4 结束语
虚拟专用网技术在企业应用计算机网络的过程中有着重要的作用,企业采用VPN这一技术,能够有效的保障计算机网络的安全性、可靠性、经济性,能够确保企业中的一些重要的私密性文件在通过网络进行传输时的安全。
参考文献:
[1] 浦兜,陈依群,曾鸿文.虚拟专用网络(VPN)信息加密技术研究[J].电讯技术,2010(17).
[2] 束坤,凳国新.基于计算机网络的VPN技术[J].计算机应用,2008(11).
vpn技术范文第5篇
关键词VPN;虚拟专用网;SSLVPN;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
2隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。
图1
现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
3军队院校校园网建设VPN技术应用设想
随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。
而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。
4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
参考文献
vpn技术范文第6篇
关键词:网络;VPN;金融;信息;安全
在现代金融行业里,计算机网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。
一、现代金融网络系统典型架构及其安全现状
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
三、网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:Virtual Private Network)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
针对现行的金融机构的网络信息安全,VPN具有以下优点:(1)降低成本。不必租用长途专线建设专网,不必大量的网络维护人员和设备投资;(2)容易扩展。网络路由设备配置简单,无需增加太多的设备,省时省钱;(3)完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说,金融机构可以把拨号访问交给网络服务商(NSP)去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
综上所述,VPN技术使金融行业各部门的内部信息可以跨越公共网络进行传输,如同在各金融机构各部门之间架起众多的“虚拟专用”的网络连接线,同时,VPN为每个用户定义出各自相应的网络空间,根据使用者的身份和权限,直接将他们引导到应该接触的信息环境中去,针对目前金融管理的信息安全存在的隐患,VPN技术可以弥补这些缺点。VPN作为广域网的一种新形式,确实为金融行业在新世纪提供了一个系统实用的技术平台。总之,VPN技术拥有很吸引人的优点,随着VPN技术发展的不断完善,在未来的金融管理信息安全领域里,将会起着至关重要的作用。
参考文献:
1.戴相龙,桂世镛.中国金融改革与发展.北京:中国金融出版社,2000.
vpn技术范文第7篇
关键词:VPN技术;技工院校;校园网;IPSec;SSL
中图分类号:G712 文献标识码:A 文章编号:1672-5727(2013)06-0170-02
目前,广东省各技工院校的规模在不断扩大,很多学校纷纷建立了新校区或分校区。出现的一个突出问题是,总校区与分校区之间或新校区与老校区之间没有教学网络联系,分校区或新校区不能使用总校区的各种应用系统(如办公自动化、教务管理系统、学生信息管理系统和电子图书馆等)等资源,急需高效、安全、低成本地将总校区与分校区或新校区的校园网连接起来,实现对资源的统一管理和充分利用。此外,利用网络资源丰富办学手段,实现和开展远程教育教学和远程办公,提供个性化的学习支持服务和信息服务,也是各技工院校网络建设发展的趋势。VPN技术正是这些需求的最佳解决方案之一。
VPN概述
(一)VPN概念
虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加密解密技术、密钥管理技术和使用者与设备身份认证技术。
(二)VPN优点
在传统的企业网络配置中,要进行异地局域网之间的互连,方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的出现就能解决这些问题:(1)使用VPN可降低成本。通过公用网来建立VPN,可以节省大量通信费用,不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。(2)传输数据安全可靠。虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。(3)连接方便灵活。用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。(4)完全控制。虚拟专用网使用户可以利用ISP的设施和服务,同时,又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其他安全设置、网络管理变化可由自己管理。在企业内部也可以建立虚拟专用网。
(三)VPN分类
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
我校校园网VPN解决方案
(一)校园网网络结构及应用需求
我校分为惠州总校区和广州分校区,校园网网络拓扑图如图1所示。总校区的网络中有办公自动化系统、教务系统、学生管理系统、招生就业系统、资产管理系统、教学课件及教学视频等资源,分校区的网络中没有这些应用系统。现在,学校想让分校区和总校区一样能安全、可靠地使用总校区的应用系统和教学资源,实现统一管理与教学资源共享;另外,学校还希望能实现远程办公和使用校园网上的资源,网络管理员希望能实现远程管理校园网网络设备。
(二)VPN应用方案
针对分校区使用总校区的应用系统和教学资源的需求,采用IPSec VPN来实现。IPSec VPN可以高效、安全、低成本地将总校区的网络和分校区的网络在逻辑上连接起来;基于SSL VPN功能非常适合移动办公人员的远程安全接入,故针对远程办公及远程管理网络设备的需求,采用SSL VPN来实现。
两个校区的防火墙都选用了神州数码的DCFW-1800系列,经查看防火墙资料可知,此设备支持IPSec VPN 和SSL VPN的功能,因此,无需再购买专门的VPN设备,在学校的防火墙上架设IPSec VPN和SSL VPN,就能达到学校的应用要求。解决方案网络结构图如图2所示。
(三)IPSec VPN配置
总校区防火墙IPSec VPN配置 第一步:创建IKE第一阶段提议。在VPN/IPSec VPN/P1提议中,定义IKE第一阶段的协商内容(提议名称:P1、认证方式:Pre-shared、验证算法:SHA-1、加密算法:3DES、DH组:Groups、生存时间:86400)。两台防火墙的IKE第一阶段协商内容需要一致。第二步:创建IKE第二阶段提议。在VPN/IPSec VPN/P2提议中定义IKE第二阶段协商内容(例如,提议名称:P2、协议:ESP、验证算法:SHA-1、PFS组:NO PFS、生存时间:28800)。两台防火墙第二阶段协商内容需要一致。第三步:创建对等体(peer)。在VPN/IPSec VPN/VPN对端中新建对端,并定义相关参数(对端名称:peer、接口:ethernet0/1、模式:主模式、类型:静态IP、对端IP地址:218.240.143.220、提议1:P1、预共享密码:1216)。第四步:创建隧道。在VPN/IPSec VPN/IPSec VPN中创建到防火墙FW-B的VPN隧道,并定义相关参数(名称:ipsec_tun、模式:tunnel、提议名称:P2、ID:手工、本地IP/掩码:172.17.0.0/16、远程IP/掩码:192.168.0.0/16、服务:Any)。第五步:创建隧道接口并与IPSec绑定。在网络/接口中,新建隧道接口指定安全域并绑定IPSec隧道(接口名:tunnel8、安全域类型:三层安全域、安全域:untrust、类型:静态IP、隧道类型:IPSec、VPN名称:ipsec_tun)。第六步:添加隧道路由。在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网(IP:192.168.0.0、子网掩码:255.255.0.0、下一跳:接口、接口:tunnel8),网关为创建的tunnel口。第七步:添加安全策略。在创建安全策略前首先要创建本地网段(名为local)和对端网段(名为remote)的地址簿,创建完成两个地址簿后,在防火墙/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。允许对端VPN保护子网访问本地VPN保护子网。
分校区防火墙IPSec VPN配置 由于分校区防火墙与总校区的一样,所以配置过程同总校区防火墙。
(四)SSL VPN配置
在总校区的防火墙上配置SSL VPN,具体步骤如下。第一步:配置SCVPN地址池。通过配置SCVPN地址池为VPN接入用户分配IP地址,地址池需配置网路中未使用网段。在SCVPN/SCVPN实例/地址池中新建一个名为scvpn的地址池,起始地址为172.17.250.10,终止地址为172.17.250.254,子网掩码为255.255.255.0。第二步:配置SCVPN实例——创建实例。在SCVPN/SCVPN实例中新建SCVPN实例,HTTPS服务端口设为4433、绑定出接口ethernet0/1、地址池设为scvpn后点击确认,再次编辑,点出添加按钮,隧道路由目标网络指向172.17.1.0/24,AAA服务器设为local。要注意,在添加隧道路由时,度量值建议设置成1。第三步:创建SCVPN所属安全域。在网络/安全域中为创建的SCVPN新建一个安全域,安全域类型为“三层安全域”。第四步:创建隧道接口并引用SCVPN隧道。为了SCVPN客户端能与防火墙上其他接口所属区域之间正常路由转发,需要为他们配置一个网关接口,这在防火墙上通过创建一个隧道接口,并将创建好的SCVPN实例绑定到该接口上来实现,具体配置为:接口名:tunnel1、安全域类型:三层安全域、安全域:scvpn、IP类型:静态IP、IP/网络掩码:172.17.250.1/24、隧道类型:SCVPN、VPN名称:scvpn。第五步:创建安全策略。在防火墙/策略中添加访问策略,允许通过SCVPN到内网的访问。第六步:添加SCVPN用户账号。创建SCVPN登陆账号,因SCVPN实例使用local认证,所以需在AAA服务器local中添加用户,输入用户名和密码。第七步:SCVPN登陆演示。在客户端上打开浏览器,在地址栏中键入:https://59.39.146.126:4433,在登陆界面中填入用户账号和密码点击登陆即可。
通过以上VPN技术在我校的应用,学校以非常低的成本解决了分校使用总校网络资源和远程办公等问题。VPN技术为我们提供了一种安全、高效、灵活和经济的联网方式,解决了技工院校办学方式变化后校园网建设面临的具体问题。
参考文献:
[1]何亚辉,肖路,陈凤英.基于IPSec的VPN技术原理与应用[J].重庆工学院学报,2006(11).
[2]殷平.VPN技术及其应用的研究[J].电脑知识与技术,2010(21).
[3]张宓.采用SSL VPN技术实现远程办公自动化[J].科技风,2011(12).
vpn技术范文第8篇
(1.遵义师范学院计算机与信息科学学院,贵州 遵义 563002;
2.遵义师范学院人文与传媒学院,贵州 遵义 563002)
【摘 要】如今网络技术在日常生活中的应用范围越来越广,怎样确保网络内部数据安全成为目前网络应用领域的一大难题,VPN(虚拟专用网络)可以为用户创建隧道通过互联网或者是Internet,并能提供和专用网络同样的功能和安全保障,VPN技术是利用隧道技术、身份认证、加密等方法,在公共网络或Internet上创建专用网络技术,数据信息可以通过安全的“加密管道”在Internet中进行传播。主要介绍的是VPN技术的特点,同时还要达到使用VPN(虚拟专用网络)实现不同的组件和资源之间的相互连接,不仅如此,我们还要通过VPN技术实现各分校区与本部校区局域网互联,共享数据资源,实现各分校区与本部校区网络资源的优化管理和教师校外移动办公的目的。除此之外,在校园网中应用VPN技术不仅成本低且安全有效。
关键词 VPN;安全;局域网互联;移动办公;隧道
1 VPN的介绍
VPN是“Virtual Private Network”的缩写。VPN是实现安全的数据流传送是通过隧道技术在公共网络上仿真一条点到点的专线。从VPN的实际应用而言,它是通过公共网络来安全有效地对内部网络进行远程访问的一种技术。这种技术的关键就在于要在VPN服务器和远程用户之间创建一条加密的隧道,并在外部封装新的协议包头,同时将原始的数据包进行加密。通过这种方法来解开数据包就只有知道密钥的通信双方才行,这保障了数据包在公共煤质上传送的安全性,再也不用担心数据包会被非法的VPN用户截取。
2 实现VPN的关键技术
隧道技术:
隧道技术是一种数据传递的方式,主要通过使用互联网络的基础设施来实现,其中包括数据封装、传输和解包的全过程。隧道技术需要使用到一种关键的协议,即隧道协议,虽然使用隧道传递数据可以是不同协议的数据帧或数据包,但是隧道协议能够将其它协议的数据帧或包重新封装在新的包头中发送,从而使新的包头提供了路由信息,保证封装的负载数据能够通过互联网络来传递。
3 设计与实现
在本部校区与各分院都已接入Internet的情况下,才可以利用VPN技术来实现本部校区与各分校区互连的目的。我们采用基于软件的方式,这种方式要求在Windows的环境下实现,并要求在本部校区和各分院都各配置一台VPN服务器,这种方式相对而言不仅简单而且快速。
基于软件的方式则只需在各分院与本部校区各配置一台VPN服务器,不需要配置专用的VPN设备。在WindowsServer2003下具体作法如下。
首先配置VPN服务器。
安装WindowsServer2003的计算机将其作为VPN服务器,通过服务器的配置授权合法用户对VPN服务器保护的校园内部网络资源进行访问,并阻止非授权的用户访问校园内部网络资源,将这台服务器放置在本部校区。由于该服务器具有合法的静态IP地址,所以可以将其直接接入互联网。其具体的配置方法和步骤如下:(1)首先选择“开始”,然后选择“程序”,接着选择“管理工具”,最后选择“路由和远程访问”,紧接着用鼠标右键单击本地计算机的名称,点击“启用并配置路由器和远程访问”,出现“启用并配置路由器和远程访问服务器安装导向”的对话框。(2)选择“VPN(虚拟专用网络)服务器”,鼠标左键单击“下一步”按钮,选择“是,所有可用的协议都在列表上”的这个选项,在此处选择默认的VPN访问协议。(3)选择VPN用户所使用的互联网进行连接,选择“本地连接”。(4)选择远程客户端的IP地址,为其指定一个合理的IP地址范围。(5)接下来选择一个远程身份验证拨号服务R来管理多个VPN服务器,此处可以采用默认设置。(6)单击“完成”按钮,系统会自动进行路由初始化和远程访问,这个过程就完成了VPN服务器的相关配置工作。
接下来配置VPN客户机。个人用户计算机可以在任意的Windows环境下运行,而对于路由器到路由器的VPN连接的计算机则需要在特定的Windows环境下运行。建立VPN连接的基本步骤如下:(1)打开“网络和拨号连接”,然后双击其中的“新建连接”按钮,进入到“网络连接向导”对话框。(2)选择“通过Internet连接到专用网络”,然后从“自动拨此初始连接”选项中选择一个已经建立好的Internet连接,输入VPN服务器的计算机名或者是IP地址,接下来选择所有用户能够使用该连接来访问外部网络资源。(3)选择默认值,及配置该连接共享来决定局域网中的其他计算机都能够使用此连接来访问外部网络资源。(4)在弹出的虚拟专用网络连接登录对话框中输入正确的用户名和密码,单击“连接”按钮,在弹出的提示框中单击“完成”按钮,如此便建立了客户端和服务器之间的VPN连接。然后再选择“属性”按钮,便可以对VPN客户连接的属性进行允许通过的协议和数据加密等方式的配置。
接下来我们便可以建立相应的网络连接。VPN连接主要使用局域网和远程访问等网络协议进行连接。Windows远程访问允许用户访问Unix和Internet网络上的资源,同时支持TCP/IP协议以及IPX协议。当客户机与远程访问服务器建立连接后,系统中的Internet应用都将无法正常使用,这是由于VPN系统会自动修改当前数流送路径—路由表。另外VPN可以通过端口配置来建立多个VPN连接。端口的配置方法如下:(1)首先选择“开始”,然后选择“程序”,紧接着再选择“管理工具”,最后选择“路由和远程访问”,从本地计算机名字中选择“端口”,便会出现已配置过的端口,用鼠标右键单击某个“端口”,双击“状态”项,便可查看该窗口当前的状态。(2)用鼠标右键单击“端口”选项,单击“属性”这一命令,会弹出一个“端口属性”对话框,通过这个对话框便可以看到“WAN微型端口(PPTP)”和“WAN微型端口(L2TP)”设备项。在通常情况下一般是先使用PPTP协议,然后才使用L2TP协议,实际情况下可以根据需求自行调整。(3)选择一个VPN设备,左键单击“配置”按钮,打开“配置设备”对话框,选择“远程访问连接”复选框来启用该项设备;接着选择“请求拨号路由选择连接”复选框。在“最多端口数”中调整支持动态端口的VPN连接可以同时打开的连接数。
在此我们可以利用Access VPN技术实现移动办公人员校外办公需求,“Access VPN”利用的是它远程访问虚拟专用网的功能,通过配置VPN服务器,使它能够可以接入VPN网络,并且要求该服务器在Internet上有固定的IP地址,然后再在服务器端配置相应的VPN用户,并授予该用户接入的权限;另外还需要配置VPN客户端,在客户端建立VPN连接使客户机连入Internet后就可以进行VPN的连接与拨入了,接着在客户机和远端VPN服务器之间建立点到点的连接。
参考文献
[1]戴宗坤.VPN与网络安全[M].北京:电子工业出版社,2002.
[2]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[3]Wilson Doak.虚拟专用网的创建于实现[M].北京:机械工业出版社,2000.
[4]陈振武.多校区高校VPN建设的探究与研究[J].电脑知识与技术,2005.