关键词 VPN;移动气象台;应用;pcAnywhere
中图分类号TP39 文献标识码 A 文章编号 1674-6708(2015)135-0069-02
近年来,随着Internet的快速发展,基于虚拟专用网络的VPN作为一种新的网络技术,可以远程访问,实现外部网和内部局域网的连接[1]。因为其安全性和成本低廉的优点,在各企事业单位的数据传输业务中得到了广泛的应用。通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动
办公。
1 VPN简介
1.1 VPN的定义
VPN(Virtual Private Network),中文全称虚拟专用网络,它是指采用特殊的加密通讯协议,为了实现临时、安全的远程连接在Internet公共网上建立的虚拟的、专用网络通道[2],主要依靠网络服务提供商(NSP)及Internet服务提供商(ISP)提供,并通过采用隧道、密钥管理、加密、身份认证等安全技术及手段来保证在公共网络上传输数据的安全性,为终端提供类似于私用网络的一种网络服务技术。
1.2 VPN的类型
VPN一般分为三种类型:1)远程访问虚拟网(Access VPN);2)内部虚拟网(Intranet VPN);3)扩展虚拟网(Intranet VPN),其中,Access VPN 主要用于个人远程访问局域网实现异地办公,Intrant VPN主要用于大中型企事业单位或者集团和其异地机构通过Internet建立的虚拟私有网络。利用因特网保证网络的互联性,同时利用VPN的隧道、加密等特性保证整个Internet VPN上信息的安全传输。Extranet VPN主要实现将合作伙伴不同的用户子网构成虚拟的企业网络,该应用的功能最完善。
1.3 VPN的优点
VPN作为一种新的网络技术,与传统的通过电话线远程拨号方式相比,具有以下优点。
1)使用VPN技术大大降低了构建网络的成本。
2)VPN构建的虚拟专用网使用基于IPSec标准的设备能够保证数据传输的安全性。同时,用户还可以通过设置防火墙、采用数据加密等已有的手段使数据传输的安全性进一步提高。
3)最常用的网络协议VPN都支持。
4)IP地址安全。
5)通过VPN技术来实现局域网的互联,简单、灵活、便于扩展[3]。
1.4 VPN技术在安阳气象网络中的主要应用
随着安阳市气象局气象业务的加强,气象信息化建设的发展,VPN虚拟专用网络技术在安阳气象网络中应用包括两个方面:一个是气象资料调取(例如安阳移动气象台、外部门例如航校Micaps资料共享),一个是气象远程管理,结合symantec公司的pcAnywhere远程控制软件实现。
2 Windows 2003 VPN服务器的配置及VPN用户的添加
2.1 配置VPN服务器
在Windows 2003管理工具中打开“路由和远程访问”,右键选择“配置并启用路由和远程访问”,下一步,选择VPN访问,下一步,“路由和远程服务已被安装,要开始服务吗”,选“是”,即启动了VPN服务。首先在该服务器上点击右键选择“属性”,选择“IP”标签,然后在“IP地址指派”中选择“静态地址池”进行配置。添加设置VPN局域网内的虚拟IP地址范围。
为了实现气象资料的远程共享,在VPN上定时运行着一个任务计划caiji.exe,实现所需的地面图、高空图等气象信息资料从CMACast数据处理服务器获取并供VPN客户端调取。
2.2 VPN用户添加
每个客户端都需要一个拨入并能够访问VPN服务器的账号,默认是Windows身份认证,所以要为每个VPN客户端设置一个用户,为了客户端之间能够相互访问,还应为每个用户制定一个固定的虚拟内网IP地址。添加VPN用户的步骤如下:管理工具计算机管理,从中添加用户,以添加“hangxiao”用户为例,新建好“hangxiao”用户,查看并设置该用户属性,通过“拨入”标签修改该用户的远程访问权限为“允许访问”。
3 安阳市移动气象台
为了应对突发性、局地的强对流天气过程和重大灾情,或者在非固定的地点现场开展一些特殊的公共气象服务,安阳市气象局利用移动气象台实现了对自动站的雨量、风速、气温等气象要素的采集[4],在重大气象服务过程中,安阳市移动气象台作为应急服务中心,预报专家能够及时掌控现场状况提高了预报预测的准确率。
安阳市移动气象台以计算机网络为核心,通过技术与预报专家相结合,在应急现场快速对周围的气象要素实况进行采集,还需要调取国家气象局、河南省气象局下发的卫星云图资料、多普勒雷达资料等,并利用移动气象台的通信网络系统和安阳市气象台预报专家进行视频会商。实况气象资料的快速收集以及卫星云图资料、雷达资料的快速调取与否对应急服务的决策准确率非常重要。很多移动气象台配有车载卫星天线,主要采用卫星链路实现数据通信,在气象应急服务中,人工对星实现卫星与天线的连接需要耗费较长时间,若通过VPN技术实现移动气象台和固定台站间的连接,可以满足气象应急服务要求的气象资料和声音、图像的传输要求[5],而且省去耗时较长的对星这一步骤,连接速度快,大大降低了连接费用。
4 VPN技术结合pcAnywhere实现远程管理
pcAnywhere是由美国symantec公司开发的一款远程控制软件,可以实现以下功能:1)屏幕监视;2)远程控制3)文件传输4)安全管理,配合VPN技术可以实现远程控制[6]。针对内网服务器远程控制难的问题,安阳市气象局分析部署了信息网络,在局域网内对关键服务器进行远程控制,并利用VPN技术通过Internet实现了对安阳气象内网的远程管理。
在局域网内远程管理内网服务器,将网管的计算机和需要远程管理的服务器均安装pcAnywhere软件(网管计算机配置成主控端,目标服务器配置成被控端),网管计算机即可通过pcAnywhere软件的远程管理功能管理目标服务器。
通过Internet实现对安阳气象内网的远程管理,利用VPN技术解决了外网访问内网难的问题,通过公网路由器建立虚拟专用网络VPN连接,实现了网络管理员在外网通过因特网Internet访问安阳气象局域网的服务器,然后利用远程控制软件pcAnywhere实现远程管理,有效提高了工作效率。
图1 利用VPN技术和pcAnywhere实现服务器远程管理
5 结论
VPN作为一门网络新技术,提供了一种通过因特网(Internet)安全地远程访问内部局域网的方式,通过VPN技术,单位及个人在任何时间、地点都可以享用局域网资源并实现文件传输服务等,也可以远程管理及维护气象业务计算机并实现移动办公,在安阳移动气象台气象数据调取、与外部门(例如航校)Micaps资料共享以及结合pcAnywhere实现气象远程管理中得到了具体应用,是对现有网络的拓展和补充。
参考文献
[1]高海英,薛元星,辛阳.VPN技术[M].北京:机械工业出版社,2004:147.
[2]马奇蔚,吴孟春,周必高,等.气象网络VPN的组建方案和安全策略的讨论[J].计算机与网络,2006(7):53-55.
[3]杨达.VPN全攻略[J].网管员世界,2005(11):34-36.
[4]尹佐臣,张涛,陈力强,等.沈阳市移动气象台设计与实施[J].气象,2006,32(10):44-46.
针对以往的供电系统来说,各供电部门只能很好的实现内部数据的共享,通过局域网进行高效的数据共享,但是对于城市之间各供电企业之间的数据却不能做到高效的数据共享。以往的外部数据共享通常采用以下几种传递方式:(1)打印数据共享方式;(2)通过磁盘刻录传递Excel表格文件的方式进行共享(3)采用电子邮件实现数据的共享。目前电力部门的数据共享实现大多数采用的是电子邮件的方式,但这种方式的共享的安全性不够,并且不具备高效性。所以,必须采取新型技术来实现电力营销数据的高效共享。
一、实现数据远距离共享的意义
(一)实现数据远距离共享的前提
针对网络问题入手,通过数据的传输速度以及费用等方面进行分析,实现远距离数据共享。互联网功能适合实现数据的高效共享。还应该考虑的是计算机的硬件问题,目前的电力企业都具备高档次的计算机服务器用来合理营销数据,所以更具备实现远距离数据共享的有利条件。
(二)VPN技术
通过对VPN技术的采用,实现电力系统间的数据远距离共享。VPN技术全称虚拟私有网络,是通过互联网实现的一种高新技术,通过对网络数据的加密,传输私有数据,保证网络私有模式的安全,利用公网建立VPN传输系统。VPN在互联网上建立可私有的数据传输通道,并将远程工作地点和移动办公人员等联系起来,降低了远程访问的负担,节省电话费,同时也为数据安全提供了保障。VPN是通过虚拟的公共网络传输私人数据,所以其保密性和安全性必须完善,VPN技术主要从以下几个技术上体现出这一问题。
1、隧道
在VPN系统中采用隧道技术,通过对公共网络上传数据,进行数据传输分组,隧道能够把来自多个网络上的流量分开,通过隧道技术能使点与点通信协议代替交换连接。隧道技术允许授权的用户随时进行访问。通过隧道技术的引入,能够实现的功能:(1)把数据流量强制到特定位置;(2)隐藏私有网络地址;(3)通过公网传输非IP协议数据包;(4)保证数据的安全性。
2、安全性
采用VPN技术实现数据的远程共享功能,最重要的是保证系统的安全性。当下的安全策略是通过数据的人在和对数据的加密等方式。对于隧道数据传输的安全性,已经注定了一些安全协议。利用加密和数字签名的方式来确保数据的机密性安全性,对操作双方的身份进行检验。通常情况下对加密技术和隧道技术同时使用。
3、VPN成员管理
加强对VPN人员的管理,对用户的认证授权和计费管理以及IP地址的分配,应该建立独立的VPN通道,进行数据加密,设置用户访问权限等功能。严格检验用户的身份。
二、建立VPN实现数据远程共享
(一)配置VPN服务器
VPN服务器采用的是Windows 2000,通过路由和远程访问来配置运行Windows 2000的VPN服务器,连接用户同时监控远程访问通信。
(二)配置远程访问
通过对访问进行权限管理,对用户访问的管理模式需要使用VPN进行进行管理设置,将权限设置为“允许访问”。针对策略访问的管理,将设置为用户远程访问权限。
(三)实现远程数据共享
采用VPN服务器进行远程数据传输,通过对VPN服务器的访问权限设置,并将供电企业通过服务器连接起来,具有权限的用户可以通过互联网直接访问到服务器的资料,并且操作方便,有利于随时随地的查看数据信息,通过VPN的采用能够更好的实现高效的远程数据共享。
1、文件数据共享
文件数据的共享和点对点的数据共享大致相同,将共享的数据放入共享文件夹中,直接可以实现数据的共享,从而是授权的用户能够方便快捷的通过互联网访问数据信息。
2、用电数据共享
通过对VPN技术的应用,实现电力营销数据的共享,通过对网络计算机终端的管理操作,将授权用户VPN权限,在Delphi环境下构建用户界面层。在Delphi环境下,进入DCOM设置界面,设置VPN服务器的名称为ComputerName,完成设置后,将Connectec的属性改为True,并于数据服务层联系在一起。通过T ClientDataSet就可以很容易的共享所需的数据,实现数据的共享,方便随时查看。
通过采用VPN技术实现电力营销数据的远程共享,将各个供电公司的数据通过VPN进行有效连接,完成数据的高效传输和共享,同时提高了数据的安全性以及及时性。同时,在采用VPN技术时程序采用的是三层Client/Server结构,所以更有效地保证了数据的传输速度。
三、结束语
随着VPN技术的不断改进和完善,已经广受电力企业的关注。通过VPN技术对电力营销数据的共享,实现数据的实时传输与共享。采用VPN技术,可以对用户进行权限管理,更保证了数据传输过程中的安全性。由于VPN技术是通过互联网进行传输的,所以节省了大量的成本,同时也提高了数据的实时共享,通过对电力企业的数据传输系统各种采用VPN技术,改变了以往落后的传输方式,打破了数据传输速度慢、传输费用大以及传输安全性低等缺点,更有效的保证了电力企业的安全运行,促进了电力企业的发展。随着互联网的不断发展,网络的传输速度也会越来越快,VPN的传输性能也将越来越高,VPN的应用将为电力企业创造更大的利润。
参考文献
[1]安徽省电力局课题组.关于供电企业拓展电力市场的研究[J].安徽电力职工大学.2008(04).
[2]李宁,,冯启源.基于多Agent的电力营销决策支持系统的研究[C].2005年全国开放式分布与并行计算学术会议论文集,2005年.
[3]阜新供电公司党委书记,廖茂新.树立大营销观念,建立以市场为导向的营销机制[N].东北电力报,2010.
本篇校园网论文介绍加强对新技术在校园网中的应用理论研究,对实际的发展有着重要的指导性。
1 MPLS技术原理及体系结构分析
1.1 MPLS技术原理分析
从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。 1.2 MPLS体系结构分析
MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。
通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。
2 MPLS VPN技术在校园网中的规划设计及应用
2.1 MPLS VPN技术在校园网中的规划设计分析
通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。
2.2 MPLS VPN技术在校园网中的实际应用
通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。
另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。
网络通信的大部分信息不再来自工作组内部,主要是来自于外部对因特网的访问,倘若是对第三层QOS问题得到有效解决,那么在校园网中所有第三层网络设备就会成为校园网QOS的发展瓶颈。从当前的大型复杂网络建设过程中能够发现,通过对MPLS VPN技术的有效应用,能够将信息受控访问及安全隔离等问题得到有效的解决,这一技术能够保证各业务系统逻辑网络相对独立性,并对各种类型的业务系统安全性有着很强的保护作用,所以在校园网的应用上有着比较广阔的前景。
关键词:VPN 远程连接;L2TP 和IPSec;安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)03-0039-01
1 VPN及其功能特点
虚拟专用网络(Virtual Private Network),即VPN,属于远程访问技术,就是利用加密技术在公网上封装出一个数据通讯隧道。用户不论在何地,通过互联网利用VPN也随时可以使用企业内部的资源。
VPN因其具有易使用、成本低的特点,用户在使用网络运营商的设施和服务的同时,又掌握着自己网络的控制权。[1]
2 VPN的实现技术
VPN的实现有很多种,常用的有VPN服务器、软件VPN、硬件VPN、集成VPN。现以性能最好,应用最广泛的L2TP和IPSec创建的VPN服务器为例。
以此校园网为例,服务器处于同一vlan中,网关地址172.18.1.1,VPN服务器单网卡。
2.1 VPN服务器的架设
(1)配置并启用路由和远程访问,启用服务器VPN访问。
(2)启用IP路由,配置VPN客户端连接后获取的IP地址池,此例我们将远程接入IP采用静态地址池172.18.1.101-172.18.1.150(根据同时连接数确定数量),另外定义默认路由,远程连接数据全部由网关172.18.1.1转发,并删除[DHCP 中继程序] 中的[内部]接口。
(3)配置NAT路由,新增NAT路由协议,并在本地连接上的接口上启用NAT。
(4)创建用户客户端进行远程拨号连接的用簦设置允许拨入并配置权限为通过远程访问策略控制访问。
2.2 远程访问策略配置
在路由和远程访问管理中,设置远程访问策略的匹配条件(如日期和时间),在权限页选择授予远程访问权限。
2.3 身份验证
L2TP IPSEC VPN建立连接开始通信前需要互相验证VPN服务器和客户端身份合法性,下面来配置基于证书的L2TP IPSec VPN。[2]
(1)配置CA服务器(以下简称CA)。本例在内网WEB服务器上直接配置为CA(见图1)。安装“证书服务”组件,创建“独立根CA”。因与WEB服务器在同一主机,需另外设置CA的站点。
(2)证书申请。VPN服务器通过WEB浏览器访问之前设置的CA网站地址申请证书。
(3)颁发证书。CA管理员在管理工具的“证书颁发机构”审核证书请求并手动颁发证书。
(4)安装证书。浏览器访问CA,选 “查看挂起的证书申请的状态”按向导安装证书。为使CA所颁发证书合法,VPN服务器证书安装后还要安装CA根证书,因为只有根CA合法后才可以确保其所颁发证书的合法性。在CA页面 “下载CA证书”,导入证书到存储区。
(5)创建VPN客户端连接并测试。客户端也需申请并安装相同CA颁发的证书,除证书类型选择“客户端身份验证证书”,其他与服务器相同。
2.4 测试VPN PPTP穿透
通过路由器把VPN服务器的服务端口映射到外网IP。如L2TP VPN使用的1701端口,配置:route(config)#ip nat inside source static tcp 172.18.1.38 1701 218.67.78.78 1701。
2.5 VPN客户端设置
配置Windows 7计算机作为L2TP 客户端。新建VPN连接,选择“使用我的Internet连接(VPN)” ,设置服务器地址“218.67.78.78”;设置连接属性,允许协议为PAP、CHAP、MS-CHAP,VPN 类型为“L2TP IPSec VPN”;用具有远程拨入权限的用户进行连接。
基于Windows的PPTP或L2TP VPN,默认网络流量全部通过VPN通道,如果访问内网的流量通过VPN,而其他流量通过原来的互联网连接,需更改客户端本地路由表。
3 结语
L2TP IPSec VPN的配置在确保安全的同时也对客户端的配置带来不便。
参考文献
关键词: VPN; SSL VPN; 网络仿真; GNS3
中图分类号: TN915.08?34 文献标识码: A 文章编号: 1004?373X(2013)13?0102?03
Research and simulation analysis on SSL VPN technology
LIU Dong?lin
(Shaanxi Branch, Unicom, Xi’an 710065, China)
Abstract: SSL VPN technology provides security assurance for remote users accessing to the internal network by certificate authentication, data encryption and message integrity verification mechanism. The SSL VPN system is built between remote users and the internal network by use of GNS3 simulator based on the basic framework of the SSL VPN system. The experimental results show that SSL VPN is more usable and safer for the interconnection between points and network.
Keywords: VPN; SSL VPN; network simulation; GNS3
0 引 言
VPN即虚拟专用网,是一条穿过公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别[1]。常用的两种VPN技术分别是基于传统网络安全协议(IPSec)的VPN技术和安全套接字层(SSL)VPN技术,前者主要作用于网络层,而后者主要作用于应用层。SSL VPN是以HTTPS为基础的VPN技术,它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证[2?3]。
1 SSL VPN系统组成
一个典型SSL VPN组网架构如图1所示,系统由远程主机、CA、SSL VPN网关、认证服务器和内网服务器组成[4]。其中,远程主机作为管理员和用户远程接入的终端设备,可以是个人电脑、手机、手持电子终端等。SSL VPN网关是SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和机构网内资源的信息,用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和机构网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接,以保证数据传输的安全性[5?6]。内网的服务器可以是任意类型的服务器,如Web服务器、FTP服务器,也可以是网内需要与远程接入用户通信的主机。CA为SSL VPN网关颁发包含公钥信息的数字证书,以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接。认证服务器用于对用户进行身份认证,SSL VPN网关不仅支持本地认证,还支持通过外部认证服务器对用户的身份进行远程认证[7]。
图1 SSL VPN系统组成
2 仿真环境搭建
2.1 实验环境简介
实验中使用的仿真软件包括GNS3 v0.8.2模拟器,虚拟机软件VMware Workstation v8.0,终端仿真软件SecureCRT v6.7,虚拟通道软件Named Pipe TCP Proxy v1.001,虚拟机包括Windows XP、Cisco ASA v8.0。GSN3用到的Cisco IOS组件包括unzip?c3640?ik9o3s?mz.124?10.bin和sslclient?win?1.1.3.173.pkg。
2.2 仿真实验拓扑结构
远程客户机处于23.23.23.0/24的网络中,IP地址为23.23.23.1/24,网关地址为23.23.23.254/24,该网络通过R1的IP地址为12.12.12.2/24的端口与Internet相连。内网服务器IP地址为192.168.1.1/24,与R2的IP地址为192.168.1.2/24端口相连,通过R2与ASA即SSL VPN网关相连,ASA使用公网地址12.12.12.1与Internet相连,网络结构如图2所示[8?9]。
图2 SSL VPN仿真实验拓扑结构
2.3 仿真环境搭建
(1)使用VMware模拟一台Window XP来作为远程接入用户。在GNS3上使用路由器模拟内网的HTTP Server 与外网的Internet。防火墙使用安装在VMware之中的Cisco ASA。
(2)使用GNS3搭建拓扑,ASA防火墙作为SSL VPN服务器,分别连接至VMnet1 与VMnet8。虚拟机XP连接至VMnet2。VMnet为VMware建立的虚拟网络适配器,VMnet1和VMnet2网络模式为Host?only(仅主机),VMnet8网络模式为NAT(地址转换)[10]。
(3)将Windows XP的网络连接模式设置为VMnet2。将Cisco ASA的虚拟网卡增加到3个,网络模式分别设置为VMnet1(host?only)、VMnet8(NAT)和Bridge(桥接)。其中网络适配器代表ASA 的e0/0,网络适配器2代表ASA 的e0/1。
(4)搭建好拓扑,使用SecureCRT连接设备进行配置。由于VMware模拟的ASA 并无法直接提供一个可供本机SecureCRT 连接的端口,因此需要辅助软件Named Pipe TCP Proxy通过VMware 提供的管道来创建一个端口,之后再使用SecureCRT 进行连接[11]。
2.4 主要配置命令
在Cisco ASA上配置SSL VPN,主要配置如下:
(1)组策略配置
group?policy webvpn internal
group?policy webvpn attributes
vpn?tunnel?protocol svc webvpn
split?tunnel?policy tunnelspecified
split?tunnel?network?list value webvpn
address?pools value webvpn
webvpn
svc enable
(2)用户策略配置
username cisco password cisco
username cisco attributes
vpn?group?policy webvpn
(3)隧道分离ACL
access?list webvpn extended permit ip 192.168.1.0 255.255.255.0 any
access?list webvpn extended permit ip 192.168.2.0 255.255.255.0 any
access?list outside extended deny ip any any
access?list inside extended deny ip any any
(4)路由配置
route outside 0.0.0.0 0.0.0.0 12.12.12.1
route inside 192.168.1.0 255.255.255.0 192.168.2.1
2.5 仿真结果分析
在ASA配置SSL VPN之前,虽然远程计算机可以与CISCO ASA防火墙通信,但是无法与内网的HTTP服务器通信。在CISCO ASA完成SSL VPN配置,客户端安装ASA提供的数字证书后,远程SSL VPN客户端从其所在的23.23.23.0/24 网段使用网页浏览器就可以访问内网192.168.1.0/24 网段内的Web 服务,这说明了SSL VPN已经建立成功[12]。
在虚拟机上输入预先设置好的用户名和密码后,连接到SSL VPN服务器,就可以看到获得的内网IP和服务器IP,以及用户访问内网的路由条目,如图3所示。建立了安全的通道后,可以进一步对内网资源进行访问。
图3 内网IP、服务器IP和路由条目
3 结 论
在本次仿真实验中由CISCO ASA防火墙充当SSL VPN服务器。在CISCO ASA 使用出口PAT,本地内网用户能够通过ASA 防火墙实现与外网通信。在ASA 上配置SSL VPN,为外网远程用户提供VPN 接入,采用本地认证,外网远程用户可获得内网IP地址,能够通过使用内网IP访问内网的资源。
传统的IPSec VPN在部署时需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置,若企业的远程接入和移动办公数增量增多,企业的维护成本将会呈线性增加。而SSL VPN不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全接入到内部网络,安全地访问应用程序,无需安装或设置客户端软件,降低了企业的维护成本。因而SSL VPN在点对网互连方面,有较好的易用性和安全性[13-14]。
参考文献
[1] 鲍劼,吕向前,朱世平.基于SSL协议的VPN电子资源远程访问方案的研究与实现[J].煤炭技术,2012,31(6):184?186.
[2] 葛苏慧,王敏.SSL VPN技术在校园网中的应用[J].广西大学学报:自然科学版,2011,36(1):155?159.
[3] 李之棠,何桂丽,王美珍.基于虚拟网卡的SSL VPN体系结构的研究[J].计算机应用研究,2007,24(12):327?329.
[4] 马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计,2007,28(21):5137?5138.
[5] 曾巧红,徐文贤,林绮屏.基于SSL VPN的图书馆远程访问系统的构建[J].情报科学,2007,25(10):1520?1524.
[6] 何玲.高校数字图书馆中SSL VPN系统的安全策略研究[J].天津师范大学学报:自然科学版,2010,30(1):27?28.
[7] 应国良,田京波.基于SSL VPN的核心机房远程管理系统的设计与实现[J].电化教育研究,2007(8):39?42.
[8] 王婷,汪琴.VPN技术在电子资源远程访问中的应用探讨[J].现代情报,2007(4):141?143.
[9] 秦鸿.利用VPN技术实现远程访问的研究与实践[J].图书情报工作,2007,51(3):117?120.
[10] 陈爱和,徐敬东,刘晓欣,等.支持多路负载平衡的SSL VPN 系统的设计与实现[J].计算机工程与设计,2006,27(21):3995?3998.
[11] 杨杰,李涛,王姝妲,等.应用虚拟设备驱动的SSL VPN系统改进的实现[J].计算机工程,2006,32(16):148?150.
[12] 张学杰,李大兴.SSL技术在构建VPN中的应用[J].计算机应用,2006,26(8):1827?1830.
论文摘要:本文通过对网络存储技术、虚拟专网VPN技术的设计原则和关健技术的详细介绍,全面分析了这两项技术的性能特点,以及在“共享工程”天津分中心和18家区县支中心的具体实现方案与发展设计构想,阐述了这两项技术的发展前景,及其在全国文化信息资源共享工程得到广泛应用的必然性。
全国文化信息资源共享工程(以下简称文化共享工程)是由文化部、财政部共同组织实施的一项社会主义文化建设标志性工程,是新形势下构建我国公共文化服务体系、惠及千家万户的一项重要文化基础工程。“共享工程”将充分利用现代高新技术手段,将中华民族几千年来积淀的各种类型的文化信息资源精华以及贴近大众生活的现代社会文化信息资源,进行数字化加工处理与整合;建成互联网上的中华文化信息中心和网络中心,并通过覆盖全国所有省、自治区、直辖市和大部分地(市)、县(区)以及部分乡镇、街道(社区)的文化信息资源网络传输系统,实现优秀文化信息在全国范围内的共建共享。该工程于2004年4月正式启动实施。
在中央和地方各级财政的大力支持下经过不断努力,文化共享工程技术体系已经初步形成:在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统;在传输建设方面,形成了以互联网、卫星网、有线电视及数字电视网为主要传输渠道,光盘、移动存储设备为辅助传输手段的网络传输体系,实现了文化信息资源的有效传递;在终端服务上,提供了国家中心网站、省分中心网站、省分中心镜像站、卫星终端服务系统、文化共享工程基层服务系统、有线电视、数字电视、光盘、移动硬盘等手段,方便广大群众以多种方式从不同渠道获取和使用文化信息资源。
本文从动态发展的角度,以现有的技术体系为基础,简要对网络存储技术与虚拟专网VPN技术在“文化共享工程”中应用加以论述。
1网络存储技术
文化共享工程以加工整合各类优秀文献信息资源为重点,建成了具有一定规模的文献信息资源库群。截至2007年6月,数字资源的总量己达到60TB。资源的存储成为了各级分中心核心建设的重中之重。
1.1存储系统设计原则
存储系统的设计要遵循以下原则:
先进性和实用性:在方案总体设计规划时不仅要满足当时业务需求,而且充分考虑未来的需求可能。保证硬件环境的先进性,尽可能采用业界领先的技术。软件环境的先进性,要从软件平台,设计思想、系统结构等方面考虑,选择先进、可靠的应用平台。
安全可靠性:存储系统要保证365 X 24小时的不间断稳定运行,具有灾难恢复能力。
灵活性与可扩展性:网络存储系统是一个不断发展的系统,所以它具有良好的扩展性,方便的扩大容量和提高层次的功能,支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性/互联性:具备与多种协议计算机通信网络互联互通的特性,确保网络存储系统基础设施的作用可以充分发挥。
经济性/投资保护:以较高的性能价格构建网络系统,充分利用以往在资金与技术方面的投人。
可管理性:采用智能化,可管理的设备,先进的管理软件,实现先进的分布式管理。实现监控、监测整个系统的运行状况,合理分配资源、动态配置负载等等。
综上所述,存储设备的选择可按需定制,根据不同预算情况,不仅满足当前需求,还要兼顾将来的升级维护。
1. 2存储系统解决方案
1.2.1省级分中心的存储解决方案
天津图书馆作为“共享工程”的省级分中心,以其存储系统为例:存储设备采用的是EMC CLARi-iON CX500存储系统。CX500提供了一种没有任何单点故障的可扩展、高可用性体系结构,采用了通用的硬件体系结构和软件应用程序套件,通过EMCNavisphere进行集中管理并支持基于存储的业务连续性和灾难恢复功能,保证了数据的完整性和高可用性。具有了全局热备功能,冗余电源和冷却,通向光纤通道和ATA磁盘驱动器的四条通路,双活动存储处理器,整个阵列内的数据通路奇偶校验等许多特性。
在性能方面,CX500配有4个用于SAN连接的2Gb前端光纤通道端口和4个光纤通道和ATA磁盘驱动器的2Gb后端光纤通道通路,可以有效地支持多达120个驱动器而不会出现性能降级。CX500同时支持高性能光纤通道驱动器和高容量ATA驱动器,所以提供了最好的部署灵活性。鉴于共享工程资源存储的需求,天津图书馆的CX500共配置了3个光纤磁盘柜共15TB的存储空间,其中包括7. 5TB的光纤硬盘和7. 5TB的SATA硬盘。
在软件支持方面,CX500在设计上可同时支持多达128部服务器,大大简化存储设施的整合过程。它符合绝大多数常用服务器操作环境的要求,其中包括Microsoft Windows, Sun Solaris, UNIX, Linux和NetWare平台等,而且在SAN,NAS和DAS环境中运行时具有高度的灵活性。采用Navisphere管理框架,该系统是一套简单易用的基于图形用户界面
1.2.2区县支中心的存储解决方案
以天津市的十八家区县支中心为例:
存储设备统一采用H3C的EX1000存储磁盘阵列柜。该设备为基于成熟的IP协议传输的存储设备,使用更灵活,配置更方便。可以在简单配置后为网络中的各种服务器提供海量存储空间,同时也具备极大的扩展性和灵活的升级。此存储配置了4. 5T的存储空间(共9块5006盘),其中一块硬盘做为全局热备盘,在最大程度上保证了磁盘的冗余,确保数据的安全。在数据传输上将4个1000M数据端口进行连路聚合,既保证了高带宽的可用还保证了链路的冗余。高带宽的使用除可以保证访问瓶颈的解除,同时也对数据的链路提供了必要的保护,同时4条链路的存在即意味着可以承受75%的故障率,所以,这样的技术保证是完善的安全运行应用的保证。
2 VPN技术
互联网作为“共享工程”的文化信息资源的主要传输渠道,所有信息服务都暴露在Internet上,很容易被入侵者窃取和篡改,安全性不够。如果改用专线方式,一方面造价较高,维护也较困难;另一方面升级和扩展也受限制。因此寻找一种比较经济,对数据的安全又较有保障,而且又有利用网络的升级和扩展的组网方式显得异常的重要,而VPN技术恰恰能满足这方面的需要。
VPN(Virtual Private Network)中文译为虚拟专用网,它是一种通过ISP和其它NSP,在公网中建立用户私有专用网的数据通信技术,是一种通过私有隧道在公共数据网上仿真一条点到点的专线技术。是对专用网络的扩展,它是指共享或公共网络上经封装,加密和身份验证的链路。VPN模仿专用网的一些属性;它允许数据通过诸如Internet的网络在两台计算机间传递;通过隧道技术模仿点对点的连接。
2. 1核心技术
①隧道技术:隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F, PPTP, L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装人隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP,IPSec等。IPSec(IP Securi-ty)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。 ②加解密技术:加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
③密钥管理技术:密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAK-LEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMI〕中,双方都有两把密钥,分别用于公用、私用。
④使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
2. 2 VPN技术在“共享工程”中应用的必要性与实现方法
“共享工程”在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统。
天津图书馆作为天津市“共享工程”的省分中心,数字资源经过多年建设已初具规模,数字资源近5T。内容涉及电子图书、数字化期刊、津门曲艺库、津门群星库,以及与本地经济、文化发展息息相关的各种特色资源库。如何使天津图书馆这些丰富公共资源得到更加广泛的利用,能够在合理范围内为各区县支中心、共享工程基层服务中心进行有效共享。可以利用VPN技术来实现,首先建立VPN数字资源中心,向各区县支中心、共享工程基层服务中心等基层单位提供VPN接人和数据资源内容的提供服务。
2. 2. 1 VPN技术的实现方式
构建VPN网络可分为硬件、TPN和软件、’PN两种形式:软件、’PN的建立成本低,硬件VPN在系统防御上要稳定,软件VPN维护起来相当麻烦,网络管理员不但要维护VPN软件,还需要考虑病毒、恶意攻击及相关设备的软、硬件冲突导致系统平台运行不稳定的因素出现,而硬件VPN一般采用专用硬件,维护量相对减少很多。
2. 2. 2实现VPN技术的方案
主要有三种:硬件平台VPN、软件平台VPN和辅助硬件平台VPNa
(1)软件平台VPN
利用一些软件公司所提供的完全基于软件的VPN产品来实现简单VPN的功能,甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统就可实现纯软件平台的VPN。特别从Windows2000系统开始对传统的Ipsec VPN方案提供了全面支持,不仅可以提供原来PPTP隧道协议VPN的方案支持,而且还提出了新的L2TP隧道协议VPN方案,使VPN的应用得到前所未有的推进。
(2)硬件平台VPN
使用硬件平台的VPN设备可以满足不同用户对高数据安全及通信性能的需求,特别是加密及数据乱码等对CPU处理能力需求很高的功能。能提供这些平台的硬件厂商较多,如Cisco, 3Com、华为、联想等,这类VPN平台投资了大量的硬件设备,投资成本较高。
(3)辅助硬件平台VPN
辅助硬件平台VPN作为最常见的VPN平台,介于软件平台和硬件平台之间,主要是以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。但通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还要添加专业的VPN设备,如VPN交换机、VPN网关或路由器等。
2.2.3构建VPN专网的关键问题
由于“共享工程”天津分中心与各区县支中心都已建成了自己的局域网,那么VPN设备与防火墙的安装方式,成为构建VPN专网的关键问题。
现在最普遍采用的方式:是将、’PN设备与防火墙平行安装,它不需要改变防火墙目前的结构体系,但也意味着进人内部网络将有两个人口。在大部分VPN设备上,检查进人的数据,并阻挡非VPN流量进人内部网络,以减小额外的安全风险。依赖网络建设的方式,也需要VPN设备做一些地址翻译的工作,或者将流量重定向到防火墙。
还有一种方式:是将VPN设备安装在防火墙后,对防火墙做出一些改变。需要防火墙配置一个足够“聪明”的过滤器以允许VPN流量通过。另外,一些防火墙不能处理碎片,而碎片对于VPN来说是非常普遍的。因此,如果不在客户软件中人为减小MTU(最大传输单元),就不可能将VPN安装在防火墙之后。
信息资源广域VPN网建成后,逻辑上把物理位置省级分中心与不同的区县支中心、共享工程基层中心连接成统一的内部网,从而提升了文化信息资源共享工程的实在意义。
关键词:VPN隧道技术Qos
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
[1] 石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
论文摘要:重点分析了vpn的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:
1 vpn简介
虚拟专用网(virtuaiprivatenetwork, vpn)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
vpn可分为三大类:(1)企业各部门与远程分支之间的in-tranet vpn;(2)企业网与远程(移动)雇员之间的远程访问(re-mote access)vpn;(3)企业与合作伙伴、客户、供应商之间的extranet vpno
在extranetvpn中,企业要与不同的客户及供应商建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopoint tunneling protocol,pptp)、第二层隧道协议(layer2 tunneling protocol,i,2tp)等。
2 vpn的实现技术
vpn实现的两个关键技术是隧道技术和加密技术,同时qos技术对vpn的实现也至关重要。
2.1 vpn访问点模型
首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在a地进行封装,到达b地后把封装去掉还原成原始报文,这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation, gre )i,2tp和pptpo
(1)gre
gre主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,gre报文头被剥掉,继续原始报文的目标地址进行寻址。gre隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol , nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。
gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看,vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是vpn的地址空间,这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来,多个vpn可以重复利用同一个地址空间而没有冲突,这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现vpn功能函数的数量。还有,对许多vpn所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。ip路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合,vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受vpn用户网络的路由协议限制。
虽然gre隧道技术有很多优点,但用其技术作为vpn机制也有缺点,例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
gre隧道技术是用在路由器中的,可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中,多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。
(2)l2tp和pptp
l2tp是l2f( layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp,因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上,nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol, ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。
与之相反的是,pptp作为“主动”隧道模型允许终端系统进行配置,与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且,pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。
在l2tp中,用户感觉不到nas的存在,仿佛与pptp接入服务器直接建立连接。而在pptp中,pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在,只是简单地把pptp流量作为普通ip流量处理。
采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全,因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户,而pptp比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4 qos技术