欢迎来到速发表网,咨询电话:400-838-9661

关于我们 登录/注册 购物车(0)

期刊 科普 SCI期刊 SCI发表 学术 出书

首页 > 优秀范文 > vpn技术论文

vpn技术论文样例十一篇

时间:2022-05-17 20:37:51

vpn技术论文

vpn技术论文例1

 

1.校园网问题分析及其解决方案的提出

虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。

近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。

为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。

2.VPN关键技术研究

⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。

⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。

3.基于VPN技术的多出口校园网的设计

3.1 网络结构规划

为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。

图1 网络拓扑图

3.2 网络工作原理

在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。

3.3 技术要点

⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。

⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。

⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。

⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。

4.结束语

多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。

参考文献

[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07

[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11

[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01

vpn技术论文例2

 

1.校园网问题分析及其解决方案的提出

虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。

近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。

为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。

2.VPN关键技术研究

⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。

⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。

3.基于VPN技术的多出口校园网的设计

3.1 网络结构规划

为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。

图1 网络拓扑图

3.2 网络工作原理

在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。

3.3 技术要点

⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。

⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。

⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。

⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。

4.结束语

多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。

参考文献

[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07

[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11

[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01

vpn技术论文例3

一、现状及需求

文山学院坐落于祖国西南边陲云南省文山州州府所在地文山市,学校占地948亩,有教职工594人,学校设有10个二级学院共43个本专科专业,全日制在校生9183人。从学校建设角度,可以把文山学院分为老校区和新校区。学校校园网覆盖到办公楼、教学楼、教职工宿舍楼及老校区部分学生宿舍,由于校园网出口带宽不高,整体网速慢以及很多学生宿舍没有校园网布线,使得很多学生都是自己向网络供应商申请接入互联网。由于我校的教务管理系统只能在校园网内部访问,教师查询教学信息以及考试成绩等的录入只能局限在校园网内部,另外广大教师在获取学校图书馆提供的电子图书、科研论文等信息资源时,也只能在校园网访问。因此,迫切需要一种方法能让学校的师生无论是在学校内还是校外,都能顺利地访问校园网里的资源。这对提高教学效率和教师的科研水平都是很有益的。因此,提出建设我校的VPN解决方案,能够兼顾性能和价格,实现真正意义的优质低价的网络VPN互联。

二、VPN技术分析

虚拟专用网(Virtual Private NetWork,VPN)是指利用Internet等公共网络创建远程的计算机到局域网以及局域网到局域网的连接,而建立的一种可以跨跃更大的物理范围的局域网应用。

1.隧道技术

隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。

VPN采用隧道(Tunneling)技术,利用PPTP与L2TP等协议对数据包进行封装和加密,所以保证了在Internet等公共网络上传输的数据的安全性。

2.VPN分类

VPN按照它的应用可以分为两种:单机到局域网的连接(point to LAN)(如图1所示)和局域网到局域网的连接(LAN to LAN)[1](如图2所示)。

单机到局域网的连接适用于单个用户连接到企业局域网。只要用户个人计算机能够访问Internet,用户就能通过VPN方式跟企业局域网建立连接,从而访问企业局域网提供的资源。

局域网到局域网的连接适用于企业分支机构(可以是多个分支机构)连接到企业总部局域网。企业分支机构和企业总部既可以通过Internet互联也可以通过专线连接,达到分支机构局域网和总部局域网逻辑上属于一个更大的局域网,实现资源的相互共享。

图1单机到局域网的连接

图2 局域网到局域网的连接

根据我校的实际情况,提供VPN服务可以方便广大师生员工通过外网访问校园网登陆教务管理系统数字图书馆等操作,选择单机到局域网的连接。

一个完整的VPN系统一般由VPN服务器、VPN数据通道和VPN客户端三个单元构成。

三、VPN服务器及客户机的安装配置

1.VPN服务器的安装与配置

方案以安装有Windows Server 2008操作系统作为VPN服务器。

①单击“开始”“程序”“管理工具”“管理您的服务器”命令,添加“远程访问/VPN服务器”角色,启动“路由和远程访问服务器向导”

②在向导的配置界面中,选择“虚拟专用网络(VPN)访问和NAT”单选按钮,配置该服务器为VPN服务器,同时具有NAT功能,然后单击“下一步”按钮

③选择“VPN”和拨号复选框,然后单击“下一步”按钮

④使用VPN,在VPN服务器上必须有两个网络接口,一个连接到Internet,一个接到校园网网络。选择“本地连接”为VPN服务器到Internet的网络接口,“本地连接2”连接到校园局域网。单击“下一步”按钮

⑤选择“自动”单选按钮,因为校园网内专门有DHCP服务器进行IP地址的指派。单击“下一步”按钮

⑥提示是否选择此服务器与RADIUS服务器一起工作,选择“否”,单击“下一步”按钮

⑦最后单击“完成”按钮,结束“远程访问/VPN服务器”的配置。

为用户配置远程访问权限

用户可以通过VPN服务器上的本地用户账户和局域网中的域用户账户通过VPN访问局域网。要使用户通过VPN访问局域网,账户都应该具有“拨入权限”。

2.VPN客户端计算机安装与配置

远程客户首要条件是已经连接到Internet。远程客户机接入Internet可以是通过宽带拨号,也可以是局域网到Internet的网络连接。

方案以安装有windows 7 SP1操作系统作为VPN客户端。

①打开控制面板进入“网络和共享中心”。

②点击进入“设置新的连接和网络”,选择“连接到工作区”并点击“下一步”。

③点击“使用我的Internet连接(VPN)”

④在“Internet地址”栏输入企业网络地址,并“下一步”。

⑤输入企业网络管理员提供的用户名和密码,点击“连接”便可以连接到企业网络。

⑥连接成功后,VPN客户端逻辑上已经和企业网络处在同一局域网内,此时VPN客户端便可以使用远程局域网提供的各种资源。

四、结论

建立校园VPN,可以利用现有的公共网络资源,在普通用户和校区之间建立安全、可靠、经济和高效的传输链路,利用Internet的传输线路保证了网络的互联性,采用隧道、加密等VPN技术保证了信息传输的安全性,从而极大地提高了办公效率,节省了学校资源,为校园信息化建设奠定了基础。

参考文献:

[1]郝兴伟.计算机网络技术及应用[M].中国水利水电出版社,2009年:196-212.

vpn技术论文例4

中图分类号 G2 文献标识码 A 文章编号 1674-6708(2017)189-0031-01

随着广播电视网络的日益发展,网络内部多业务多系统并存的现象越来越普遍,单纯运用传统路由器很难完成局域网中不同业务的完整隔离。LAN中业务隔离的传统办法有两种:应用VLAN隔离业务,将用户划分在一个独立的VLAN中或者应用CE设备隔离业务,为每个用户部署一个独立的CE路由器。这些业务应用在广电业务中有许多能通过VLAN隔离,一旦涉及到多业务应用就需要多CE路由器就会对广电网络来说大量资金投入,这些投入既需要大量金钱投入,又需求更多的网络管理工作和用户站点部署。如何把钱花在刀刃上成为一个让人头疼的问题,既要减少设备投入,又要业务安全隔离互补干扰。在这里笔者给大家介绍一下VPN-INSTANCE在广电承载网络中的应用与维护。

1 Vpn实例在广电网络中的作用

广电网络近几年发展迅猛,接入网设备从WiFi、cmts、pon、eoc或者ipqam等设备五花八门,终端设备有pc、pad、stb等业务类型复杂多样。相对应的核心网络在对前端接入设备只是分配ipv4的地址,完成设备的互联互通。当核心网络发展到一定程度负责维护网络的人员就会发现,在核心网络层上各个ipv4的地址都是在同一个动态地址路由转发表里面,或ospf、或静态路由插入。假设说一个用户从上网终端设备获取到dhcp分配的ipv4地址后,不用pppoe拨号就能ping通自己机顶盒ipv4地址,或者其他人获得的ipv4终端地址。其互联互通的特性必将导致安全方面的问题,如果发生病毒、入侵等安全事件,广电网络就会完全暴露在攻击中。笔者认为广电网络中的用户所使用的大量应用会存在某些不稳定的因素,与其要求客户端的安全,不如在核心设备一侧将业务隔离。

2 Vpn实例极简配置与技术细节

Vpn-instance(vpn实例:俗称虚拟化技术中的一虚多技术穷人版)在bgp\Mpls vpn中,不同的vpn之间路由隔离经过vpn-instance完成。Pe(汇聚层设备)为每个直接的站点树立并维护独立的vpn-instance。Vpn-instance包含独立的路由表和D发表。使用vpn-instance可以在一台路由器上虚拟出多立逻辑的路由器,从而实现广电网络IP三层网络路由隔离。这一功能可以在广电网络环境中得到应用,将不同的业务分配到不同的vpn-instance中直到外网防火墙、bars等终结地址设备。完成从业务终端到核心一整条链路的业务二、三层隔离。

#

ip vpn-instance ipvpn (生成vpn-instance实例)

ipv4-family (生成采用ipv4)

route-distinguisher xxxx:xxx (生成路由标识符)

vpn-target xxxx:xxx export-extcommunity (vpn实例输出标签)

vpn-target xxxx:xxx import-extcommunity (vpn实例输入标签)

#

interface Vlanif xxxx (三层VLAN接口xxxx)

ip binding vpn-instance ipvpn (绑定vpn实例)

ip address xxx.xxx.xxx.xxx 255.255.255.252

ospf xxx vpn-instance ipvpn (vpn实例中ospf)

import-route static (允许静态地址插入)

area 0.0.0.0

network xxx.xxx.xxx.xxx xxx.xxx.xxx.0

network xxx.xxx.xxx.xxx 255.255.255.252

ip route-static vpn-instance ipvpn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

(vpn实例中静态路由)

3 Vpn-instance案例

正常情况下数据互不干扰,各自运行。

发生网络攻击时候的数据走向:

图1

由于dhcp分配的地址所属各自业务都在同一张ospf网络内,理论上都是互联互通的,黑客攻击可以通过ddos、arp等方式攻击网络。如图所示:area102许多用户获取不到正确的IP地址,area100网络arp攻击访问不了出口网络。由于网络的联通性,很难查找到攻击源在哪里,只能通过故障现象发现某一区域有用户故障,从而导致业务处理时间延长。

运行vpn-instance后每台逻辑上的路由器都具有自己的路由表与转发表,完成不同vpn-instance间的IP地址通信。绑定在vpn-instance下的端口转发与其一致的报文的对端设备通信,当发生不同接口报文接错时,则该路径被视为故障链路。笔者还认为vpn-instance虚拟化技术能将一台物理路由器虚拟成多台逻辑路由器,从而减少设备数量,简化网络管理,减少运维人员成本。

4 结论

虽然vpn-instance能实现虚拟化技术,网络三层隔离。但并不是所有的设备都支持该功能。并且一个ospf进程只能属于一个vpn-instance,一个vpn-instance下可以存在多个ospf进程,但在多ospf进程下会导致动态路由环路的情况

发生。

vpn技术论文例5

中图分类号:TM711 文献标识码:A

1 VPN简介

VPN (Virtual Private Network,即虚拟专用网络)指的是在公用网络上建立专用网络的技术。它是以公用网络为基础建立的一个稳定、临时、安全的信息连接通道。其之所以“虚拟”,是因为整个VPN网络的任意两个节点之间的连接是动态的,是架构在公共网络平台上,并没有传统专网所需的端到端的物理链路,用户的数据只是在逻辑链路中进行传输。“专用”则是指VPN是通过加密与识别两个组件来实现连接。加密通过变换信息实体,达到隐藏原有信息含义、保证信息安全的目的;识别则是对节点或者节点进行标识的过程,它在通过公共网络平台进行传输前就已经完成。

2 VPN 技术原理

VPN主要采用了隧道技术、加解密技术和认证技术。

2.1 隧道技术

隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载,封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。隧道由隧道协议形成,可分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP中,然后将整个数据包装入隧道协议中在隧道中传输,第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议将数据包直接封装到隧道协议中,形成的数据包通过第三层协议传输,第三层隧道协议有VTP、IPSec等。其中IPSec隧道协议得到了广泛的应用,IPSec有两种工作模式,运输模式和隧道模式。

运输模式(Transport):在该模式中,仅利用传输层数据来计算AH或ESP首部。AH或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。

隧道模式(Tunnel):在该模式中,利用整个IP数据包来计算AH或ESP首部,AH或ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通信。

2.2 加解密技术

VPN是在不安全的公用网络中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要,为了保证数据通信的机密性,VPN必须采用成熟的加解密技术来实现数据的安全传输。IPSec的ESP协议采用56位的DES算法实现加密传输,并使用ISAKMP密钥交换协商机制来完成加密和解密密钥的交换。

2.3 认证技术

认证技术防止数据的伪造和被篡改,它采用一种被称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文,即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。IPSec定义了两个协议,鉴别首部(AH)协议和封装安全有效载荷(ESP)协议,这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。①AH协议。AH协议被设计用来鉴别源主机,以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文摘要,并根据IPSec的运输方式插入到相应位置,AH可以实现数据的完整性、数据源的真实性,但不提供数据的保密传输功能。②ESP协议。ESP(封装安全有效载荷)协议提供报文鉴别、完整性和加密功能,ESP增加首部和尾部,并根据IPSec的工作模式插入到相应的位置。③ESP协议是在AH协议的基础上而设计的,ESP协议能完成AH所做的所有功能,但增加了加密机制。因此ESP协议与AH协议相比,ESP协议具有优越性。

3 VPN在企业网络中的应用

VPN在企业网络中的应用主要有以下三种形式:

3.1 企业内部虚拟网络(即Intranet VPN)

企业内部虚拟网络主要适用于处于异地的企业总部及子公司、分支机构的网络互联,传统的互联方式主要是通过租用网络运营商的专线进行连接,但是如果企业的分支机构不断增多,地理位置越来越广,则网络的结构将会越来越复杂,相关联网的费用也会不断增加。企业在内部虚拟网络建设的过程中,可以使用VPN技术,采用网关到网关的形式将企业总部及各子公司、分支机构通过Internet连接起来,从而实现企业内部虚拟网络的组建。企业可以利用VPN的加密、识别等特性,保证信息通过Internet,在企业内部虚拟网络内安全的传输。IPSec隧道协议可满足所有网关到网关的VPN连接,在Intranet VPN组网方式中使用得最多。

3.2 企业远程访问(即Access VPN)

远程访问是VPN应用最为广泛的一项技术,它提供了安全、可靠,但是价格低廉的远程用户接入企业内部网络的技术,采用客户端到网关的形式,通过Internet等公共互联网络的路由基础设施,以安全的方式对位于VPN服务器后面的企业内部网络进行访问。这一技术利用了公共基础设施与ISP,一旦与VPN服务系统进行连接,用户与VPN服务器之间就架设了一条穿越Internet的专用通道,虽然互联网具有开放性,安全系数较低等特点,但是因为VPN技术采用的是加密技术,这就保证了远程用户与VPN服务器之间连接的安全性和可靠性。

3.3 企业外部虚拟网络(即Extranet VPN)

企业外部虚拟网络是将企业与其客户、合作伙伴的网络互联构成Extranet,实现信息的共享,它既可以为企业客户与合作伙伴提供非常便捷、准确的信息服务,又可以提高企业内部网络的安全系数。企业外部虚拟网络由于是不同企业之间的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题,也属于网关到网关的连接方式,主要是使用专用的连接设备和VPN的IPSec协议将企业与客户、合作伙伴的内部网络进行连接。企业外部虚拟网络有着与专用网络相同的特性,包括了可靠性、安全等级、服务质量以及可管理性等。

结语

VPN技术是在公共网络上建立安全的专用网络,它是企业内部网络在公共网络上的延伸。VPN为用户提供了一个低成本、高效率、高安全性的互联服务,极大地加快了信息在企业内部不同区域间的流通,其在资源管理与配置、信息共享与交互、异地协同与移动办公等方面都具有很高的应用价值。随着信息技术的快速发展,VPN技术也必将更加完善,在未来的信息化建设中具有广阔的前景。

参考文献

vpn技术论文例6

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0101-01

一、引言

随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。

二、IPSec VPN

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。

(一)认证头(AH)协议

IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。

(二)封装安全载荷(ESP)协议

封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。

(三)IKE

IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。

三、MPLS VPN

MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。

(一)MPLS VPN的基本原理

每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。

(二)MPLS VPN的优点

1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。

2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。

3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。

4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。

四、SSL VPN

SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:

五、总结

由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。

vpn技术论文例7

 

一、VPN服务及其应用

VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。

如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。

二、VPN管理

VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。

通过VPN管理系统,可以实现以下目的:

1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。

2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。

3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。

4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。

三、VPN管理技术

1、第二层通道协议

第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。

L2TP提高了VPN的管理性,表现在以下方面:

(1)安全的身份验证

L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。

(2)内部地址分配

用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。

(3)网络计费

L2TP能够进行用户接口处的数据流量统计,方便计费。

(4)统一网络管理

L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。

2、IKE协议

IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。

在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。

IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。

3、配置管理

可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。

(1)WEB方式的管理

利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。

(2)分级统一管理

如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。

4、IPSec策略

IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。

IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。

利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。

参考文献:

[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11

[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123

vpn技术论文例8

 

一、VPN服务及其应用

VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。

如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。

二、VPN管理

VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。

通过VPN管理系统,可以实现以下目的:

1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。

2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。

3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。

4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。

三、VPN管理技术

1、第二层通道协议

第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。

L2TP提高了VPN的管理性,表现在以下方面:

(1)安全的身份验证

L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。

(2)内部地址分配

用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。

(3)网络计费

L2TP能够进行用户接口处的数据流量统计,方便计费。

(4)统一网络管理

L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。

2、IKE协议

IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。

在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。

IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。

3、配置管理

可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。

(1)WEB方式的管理

利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。

(2)分级统一管理

如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。

4、IPSec策略

IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。

IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。

利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。

参考文献:

[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11

[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123

vpn技术论文例9

引言

虚拟专用网即vpn(virtual private network)是利用接入服务器(access sever)、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。

利用共用的wan网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。

1. 隧道技术

internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后,立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。WWw.133229.COm此ip分组到达总部的vpn设备c后,全局ip地址即被删除,恢复成ip分组发往地址a。由此可见,隧道技术就是vpn利用公用网进行信息传输的关键。为此,还必须在ip分组上添加新头标,这就是所谓ip的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。

基于隧道技术vpn网络,对于通信的双方,感觉如同在使用专用网络进行通信。

2. 隧道协议

在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用vpn技术还需要有隧道协议。

2.1 当前主要的隧道协议以及隧道机制的分类:

⑴ l2f(layer 2 forwarding)

l2f是cisco公司提出的隧道技术,作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器(路由器).

⑵ ptp(point to point tunnelimg protocol)

pptp协议又称为点对点的隧道协议。pptp协议允许对ip,ipx或netbeut数据流进行加密,然后封装在ip包头中通过企业ip网络或公共互连网络传送。

⑶ 2tp(layer 2 tunneling protocol)

该协议是远程访问型vpn今后的标准协议。

l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接,端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外,还能在vpn上利用ppp支持的多协议通信功能,多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理,称其为第三层隧道,以区分于第二层隧道。

⑷ tmp/baydvs

atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议,它部分采用了移动ip的机制。atmp以gre实现封装化,将vpn的起点和终点配置isp内。因此,用户可以不装与vpn想适配的软件。

⑸ psec

ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标(ah:authmentication header)和封装化安全净荷(esp:encapsnlating security paylamd)。

ipsec隧道模式允许对ip负载数据进行加密,然后封装在ip包头中,通过企业ip网络或公共ip互联网络如internet发送。

从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,dsi七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层vpn "与"三层vpn"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类,将出现"四层vpn"、"五层vpn",分类教为冗余。因此,目前出现了其他的隧道机制的分类。

2.2 改进后的几种隧道机制的分类

⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的vpn,使用路由方式的vpn,使用专线方式的vpn和使用局域网仿真方式的vpls。

例如同样是以太网的技术,根据实际情况的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对vpn技术选型造成误导。

⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。

隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如lsvpn。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。

采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。

3. 诸种安全与加密技术

ipvpn技术,由于利用了internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此,利用ipvpn通信时,应比专线更加注意internet接入点的安全。为此,ipvpn采用了以下诸种安全与加密技术。[2]

⑴ 防火墙技术

防火墙技术,主要用于抵御来自黑客的攻击。

⑵ 加密及防止数据被篡改技术

加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。

非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的vpn虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。

vpn技术论文例10

中图分类号:TP393

随着计算机网络技术的发展,数据传输的安全性与成本方面的矛盾越突出,有时也不能保障数据安全。通过运用VPN技术可以快捷、安全地构建一个安全通道,从而实现广泛的资源共享和移动办公。

1 建立农委虚拟网络是农委信息化工作的需要

近年来,农委工作包罗万象,仅到2008年底,各项数据就有105大类、494项之多,涵盖了土壤、气象、水、地貌等自然资源条件和人口、种植业、养殖业、林业等相关第二和第三产业等社会经济条件;同时覆盖了全部村级合作经济组织,及所有的农村社会经济数据;服务对象包括涉农政府机关、涉农企事业单位、农村各类经济实体和专业协会、城乡居民等。每年农委为国家和各部门提供了大量的决策支持;虽然农委系统信息网络基础建设也已经初具规模:有农委局域网络,存在网络物理隔离,计算机不上网等;农委电子政务框架也分为基础层、数据层、支撑层和应用层等几部分,电子政务成绩显著。但是农委根据部门职责和工作特点,今后以率先支持社会主义新农村建设和率先形成城乡一体化新局面为目标,建立农委政务信息资源共享交换平台,支撑农委跨层级、跨部门政务信息资源共享及业务信息系统共享的任务仍然十分繁重。

2 VPN技术

虚拟专用网络(VirtualPrivateNetwork)简称VPN,VPN作为一种新型的网络技术,是近年来随着Internet的广泛应用而迅速发展起来的,“虚拟”主要指这种网络是一种逻辑上的网络。

那么VPN是怎样工作的?

2.1 VPN的客户端拨叫VPN的服务器,

2.2 VPN的服务器响应

2.3 VPN服务器验证客户机的身份,验证成功VPN的连接建立和发送数据。

可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅降低了网络建设的费用,还提高了网络的安全性。

3 VPN特点

3.1 成本较低

VPN在设备的使用量同专线式比较,网络的总成本(TotalCostofOwner-ship)较低。在LAN(局域网)-to-LAN(局域网)连接时,用VPN比使用专线的成本会节省30%~50%左右;在远程访问方面,VPN和直接拨入到企业内部网络成本相比会节省60%~80%。

3.2 网络架构方面弹性大

VPN和专线式的架构比起来更加有弹性,VPN平台有完整扩展性,大至总部的设备,小至各部门,甚至个人拨号用户,都能在整体的VPN架构中,具有对未来广域网络频宽扩充及连接更新架构的特性。

3.3 安全性能好

VPN架构通过加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术,确保资料的安全。

3.4 管理轻松

VPN在建立网络上可以用较少的设备完成,网络管理轻松;无论什么用户必须通过VPN隧道的路径进入内部网络。

3.5 服务质量好

公共网络中流量不稳定,带宽利用率低,在流量高峰期会引起网络拥堵,很卡,数据发送很慢或失败,数据有时接收不及时,流量低谷期带宽浪费。VPN网络对流量预测并且进行控制,优化了带宽管理,有效防止了网络拥堵,数据传输的质量得到了提高。

4 VPN的应用

4.1 远程访问

农委内部的资源(电子邮件、资料、数据库、重要会议和文件等),农委网的用户(农委各部门)可以通过拨号、ADSL等连接到Internet后,访问农委资源,而资源的管理者通过VPN下的远程桌面控制功能,对农委内资源进行管理。通过互联网建立虚拟专用网络实现了对农委共享目录的远程访问,安全性较高,操作简便。

4.2 IntranetVPN

是利用互联网把总部和分支机构连接起来,成为一个总体网络。这对于农委而言是用最低的成本换来最高的收益的好办法。有了IntranetVPN,农委就可以通过Internet这一公共网络将农委各门分支机构的LAN连到总部的LAN,以实现农委内部的资源共享、文件传送等,可节省开支。

4.3 ExtranetVPN

将IntranetVPN的连接再扩展到其他相关部门,以达到信息共享。

5 配置方法

农委的VPN网络不需要很贵的设备,配置及维护灵活简单,造价低廉实用,只需在Windows系统平台上建立VPN客户端就可以轻松方便地连接到农委网。农委根据工作需要在办公网络设立了专门文件共享目录,并根据各部门的权限可以分别访问各自的文件。由于移动办公需要,有时在外地和家中需要查看共享目录中的文件。借助于虚拟专用网络,可以实现这方便快捷这一功能。

在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。具体操作如下:

第一步,打开管理工具,用鼠标双击“路由和远程访问”。

第二步,弹出“路由和远程访问”的窗口。

第三步,配置路由和远程访问,弹出路由和远程访问的向导窗口。

第四步,单击“下一步”,在“配置”里,选择“自定义的配置”。

第五步,单击下一步,在“自定义配置”里,选择“vpn访问”和“拨号访问”。

第六步,单击下一步,然后单击“完成”按钮。

第七步,提示,是否开始服务,单击“是”。

第八步,出现正在启用路由和远程访问的图标。系统启用路由和远程访问。

第九步,单击已启用的“HANW(本地)”的右键,选择“属性”,并选择“IP”属性页,录入静态IP地址池:192.168.1.1192.168.1.50。然后点确定按钮。VPN服务器设定完毕。

第十步,在服务器上分别给每个部门开设远程访问用户账户,远程访问权限设定为允许。

通过远程访问测试,确认账户可用以后,在农业网通知公告,正式启用农委VPN网络。

6 结论

虚拟专用网VPN能够解决农委各部门远程访问中数字资源的问题,它安全性好、可操作性强、经济实用和灵活方便等,因此随着VPN技术的不断发展和完善,VPN技术在各部门的应用前景一定会更加广阔。

参考文献:

[1]林丽丽.VPN(虚拟专用网络)初探[J].沿海企业与科技,2005,9.

[2]满延俊.VPN安全可靠又省钱的网络新技术[J].高科技与产业化,2004,8.

[3]陈廷勇,邢敏,潘希秋.高校图书馆数字资源的远程访问研究[J].现代情报,,2009,11.

[4]吴文臻.浅谈计算机虚拟专用网络技术[J].科技向导,2010,29.

[5]唐灯平.如何搭建VPN访问企业内部网络[J].现代企业教育,2008,12.

[6]彭鹏.实战MCSE之远程访问[J].电脑知识与技术,2004,5.

vpn技术论文例11

摘要:虚拟专用网(VPN)是利用公共网络构建私有专用网络的技术,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的虚拟专用网络。无论是企业还是高校都希望能够构建一种网络,既确保安全,又便于维护。VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定的通讯隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。本文结合几种VPN技术设计了一种内部网络的构建方案,既保证了协议之间的兼容,又实现了安全传输。

关键词:VPN技术;MPLS VPN;SSL;IPSec;VOIP VPN;基于VPN的安全多播

0引言

随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。

近年来,宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展,反过来,VPN的应用又促进宽带内容的不断丰富。

在国外网络通信发达的围家,VPN应用已经非常普及。国外的VPN技术发展较快,基于标准的虚拟专用网技术近年来己成为网络界的新热点,这是因为它有着无可比拟的优势:通过整合几种数据保护的方式,使用户可以在开放的Internet上轻松地交换私有数据,而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低,更重要的是将服务质量也带给了用户。

我国的IP网络安全研究起步晚、投入少、研究力量分散,与技术先进国家有较大的差距,特别是在系统安全和安全协议方面。目前,国内市场对信息安全的需求日益强烈,尤其是颇具规模的客户对网络安全的需求越来越紧迫,因此,需要加大力度,研发方便、安全和适合自己的VPN解决方案。近两年来,一些大中型企业已建立VPN网络,一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术,开发实用的VPN软件产品,提高全方位的VPN技术服务。

1VPN技术简介

1.1 IPSec VPNIPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准,用于保护IP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理,提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务,具有较好的安全一致性、共享性及应用范围。这是因为,IP层可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。

1.1.1 IPSec VPN的优点①通用性好。IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被篡改;②整合性好。IPSec VPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性;③透明性。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置,即使在终端系统中执行IPSec,应用程序一类的上层软件也不会受到影响。

1.1.2 IPSec VPN的缺点①IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;② IPSec VPN的连接性会受到网络地址转换的影响,或受网关设备的影响;③IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置比较复杂。

1.2 SSL VPNSSL协议的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议,SSL使用公开密钥体制和数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。

SSL VPN作为一种新的VPN技术,相对于传统的IPSec VPN等有其自身的技术特点。

1.2.1 SSL VPN的主要优点:① 客户端支撑维护简单;② 良好的安全性;③ 提供更细粒度的访问控制;④ 能够穿越NAT和防火墙设备;⑤ 能够较好地抵御外部系统和病毒攻击;⑥ 网络部署灵活方便;⑦ 适用大多数设备。

1.2.2 SSL VPN的主要缺点:① 安全认证方式比较单一,只能够使用证书方式,而且一般是单向认证;② SSL VPN应用受到限制。一般都用于B/S模式,用户只能访问基于Web服务器的应用;③ SSL VPN是应用层加密,性能相对来说可能会受到较大影响。

1.3 MPLS VPNMPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度,而且,MPLS可以运行在任何链接层技术之上。

MPLS VPN网络主要由CE(CustomEdgeRouter,用户网络边缘路由器)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)等3部分组成:CE设备直接与服务提供商网络相连,它“感知”不到VPN的存在;PE设备与用户的CE直接相连,负责VPN业务接入,处理VPN-Ipv6路由,是MPLS三层VPN的主要实现者;P负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。

MPLS VPN构建在专用网络上,能够保证很好的服务质量,而且价格与传统专线在同一水平。IPSec/SSL VPN承载在公众互联网上,成本相对比较低,但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。

1.4 内部网VPN构建方案VPN系统的首要职责是保障安全,保障互联网数据传输安全的基本机制包括:身份认证、信息保密和信息完整。

内部网VPN的设计须遵循以下原则:①保障安全;②保证多平台兼容;③提供有效的访问控制;④有效的管理平台。

MPLS VPN主要解决的是固定站点间的互联问题,一般不借助Internet来实现,服务质量和安全性的保障比较方便,适用于中大型客户的组网;而IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术,我们发现,作为SSL VPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问,使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护,因此应该提供一定的访问控制策略,让不同的用户有不同的访问权限。而SSL VPN较之于IPSec VPN的一个优势就在于,SSL VPN能够提供更细粒度的访问控制管理,即针对具体应用程序实施访问控制策略。SSL VPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面,方便用户的使用。

虽然目前企业应用最广泛的是IPSec VPN,然而研究表明,在未来的几年中IPSec的市场份额将下降,而SSL VPN将逐渐上升。由于技术进步,用户更愿将应用外包给运营商来提供,或是自己选择部署成本低且应用方便的VPN。

综上所述,内部网的构建方案如下:①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPsec解决方案,而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。②对于内部网络中,安全要求较高的局域网选择部署MPLS VPN来支持Sites to Sites间且具有QoS等级的VPN连接;而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。③对于语音业务,可以利用VoIP技术使企业利用IP VPN来传送语音业务,允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器,通过使用服务类型字段对语音和视频流量作标记,将其显示为IPSec报头的一部分发向网络,使其享有更高的优先级,这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIP VPN使企业不必为语音和数据分别建立网络,大大节省了开销。④为更好得实现与IPSec协议的兼容,可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec协议的VPN系统的体系结构,来实现多播数据的安全传输,实现简单,结构灵活。

相关范文