vpn技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇vpn技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
vpn技术范文第1篇
摘要:vpn是一项迅速发展起来的新技术,本文阐述了VPN(虚拟局域网)的基本概念以及其特点和优势,重点介绍了虚拟专用网的工作原理和相关技术包括隧道技术,数据加密和用户认证。
关键词:VPN;隧道技术;数据加密;用户认证
VPN(Virtual Private Network)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
VPN的主要特点
(1) 网际互联安全性高。VPN技术继承了现有网络的安全技术,并结合了下一代IPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
(2)经济实用、管理简化。由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
(3) 可扩展性好。 如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
(4)支持多种应用。由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
(5)有效实现网络资源共建共享。在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
VPN技术分析
VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
(1) 隧道技术
1.隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,?现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听
2 .第二层隧道协议
L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设施(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。目前,Internet中的拨号网络只支持IP协议,而且必须注册IP地址;而L2TP可以让拨号用户支持多种协议,并且可以保留网络地址,包括保留IP地址。利用L2TP提供的拨号虚拟专用网服务对用户和服务提供商都很有意义,它能够让更多的用户共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,用户在非IP网络和应用上的投资不至于浪费。
3.第三层隧道协议
IPSec是将几种安全技术结合在一起形成的一个较完整的体系,它可以保证IP数据包的私有性、完整性和真实性。IPSec使用了Diffie-Hellman密钥交换技术,用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IPSec协议定义了如何在IP数据包中增加字段来保证其完整性、私有性和真实性,这些协议还规定了如何加密数据包:Internet密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IPSec定义了两个新的数据包头增加到IP包上,这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IPSec认证包头协议来完成,数据的加密性则由安全荷载封装协议来实现。
(2)用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。?
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(3)加密技术
vpn技术范文第2篇
随着互联网及网络技术的发展,VPN(Virtual Private Network)技术被广泛地应用。MPLS-VPN是一种基于MPLS技术的IP-VPN,在网络路由和交换设备上应用MPLS技术,从而简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现IP虚拟专用网络(IP-VPN)。
2 MPLS技术概述
MPLS(Multi-Protocols Label Switching)即多协议标记交换,是一项用绑定在包中的标记(或叫标签)通过网络进行数据包转发的技术。它将第二层的交换和第三层的路由技术很好地结合起来,以简洁的方式完成了信息的传送,把路由选择和数据转发分开由标签来规定一个分组通过网络的路径。
3 VPN技术的概述
VPN(虚拟专用网)是利用网络来传输私有信息而形成的逻辑网络,用来在通用的网络结构上标识闭合的用户组。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上完整、保密地传输私有数据。
4 MPLS-VPN的工作原理
MPLS-VPN则是指基于MPLS技术构建的虚拟专用网,即采用MPLS技术在公共IP网络上构建企业IP专网,实现数据、语音、图像多业务宽带连接。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QOS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活等特点。它把整个网络中的路由器分为三类:用户边缘路由器(CE)、运营商边缘路由器(PE)和运营商骨干路由器(P),其中PE充当IP-VPN接入路由器。MPLS-VPN的主要工作流程如下:
(1)用户端的路由器(CE)首先通过静态路由和BGP将用户网络中的路由信息通知提供商路由器(PE),同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记,以下简称为内层标记),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标记(骨干网络中的标记,以下称为外层标记)的绑定。此时,CE、PE以及P路由器基本的网络拓扑和路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。
(2)当属于某一个VPN的CE用户数据进入网络时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的路由表中去读取下一跳的地址信息,同时在上传的数据包上打上VPN标记(内层标记)。这时得到的下一跳地址为该PE作Peer的PE的地址,为了达到这个目的端的地址,同时采用LDP在用户上传数据包中打上骨干网络中的标记(外层标记)。
(3)在骨干网络中,初始PE之后的P只读取外层标记的信息来决定下一跳,因此骨干网络中只是简单的标记交换。
(4)在达到目的端PE之前的最后一个P路由器时,将外层标记去掉,读取内层标记,找到VPN并送到相关的接口上,进而将数据传送到VPN的目的地址处。
从以上的工作过程可见,MPLS-VPN丝毫不改变CE和PE原有的配置,有新的CE加入网络时,只需在PE上作简单配置,其余的改动信息由IGP/BGP自动通知CE和PE。
5 MPLS-VPN的特点
(1)安全性。MPLS可以将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中从而提高了安全性。MPLS-VPN借助MPLS技术,利用两层标记(label),自动为不同用户的节点间建立不同的隧道,实现了用户流量的隔离,提供了逻辑上最大的安全性。
(2)扩展性。MPLS-VPN具有很好的网络可扩展性,可以建立任意的连接。同一个VPN中的用户节点数不受限制容易扩充,特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路。
(3)可靠性。网络的可靠性主要靠资源的冗余度来实现。MPLS-VPN依托互联网展开,因此设备、线路和路由都有冗余保护措施,保证了网络的可靠性。
(4)无连接的服务。MPLS-VPN是“非面向连接的”,由于这种特性,它不需要通过建立许多点对点的隧道和加密技术来实现,这样可大大减少网络实现的复杂性。
(5)易于实施。由于MPLS-VPN是“非面向连接的”,且VPN信息只需要由PE来维护,对CE是透明的,网络的扩展和实施变得相对容易。增加VPN客户端站点时,只要简单地将CE设备接入PE即可,所有的配置只需在PE上进行,非常易于实现和管理。
6 结束语
随着MPLS技术和IP VPN技术的日趋成熟。MPLS技术是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术,它不仅能够解决当前网络中存在的问题,而且能支持许多新的功能,将成为重要技术在公用网上使用。可以说MPLS技术是下一代最具竞争力的通信网络技术。
参考文献
[1]凌永发,王杰,陈跃斌.多协议标签交换技术的应用[J].云南民族大学学报:自然科学版,2005,14(3):64-67.
vpn技术范文第3篇
关键词:IPsec/VPN;安全策略数据库;完整性;验证;加密
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 06-0000-02
Security Feature Research of IPsec/VPN Technology
Zhang Jiachen
(Tianjin Development Zone Polytechnic Institute,Tianjin300457,China)
Abstract:With the fast development and popularity of Internet,all kinds of remote access technology comes out.As it can provide convenience for company users and personal users,the openness of Internet also bring risks for remote.So how to ensure the safety and high efficiency of communication by using the lowest cost is the issue company users and personal users are paying more attention.In recent years,with the development of encryption andtunnel technology,establishing safe virtual private net on unsafe public web,such as Internet,has been the best feasible solution,i.e.VPN.This article will discuss the safety of IPsec/VPN technology on web level.
Keywords:IPsec/VPN;Safety strategy database;Integrity; Authentication;Encryption
一、IPsec/VPN的概念
VPN的英文全称是“Virtual Private Network”,即是“虚拟专用网”。我们可以把它理解成是在真实物理连接上再次封装、再次虚拟出来的点到点内部专线。在其技术实现中通过高级的身份验证、加密算法及相关通讯协议,企业之间互访时仿佛是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。
IPsec/VPN即指在网络层采用IPsec协议来实现远程接入的一种VPN技术,IPsec是IETF(Internet Engineer Task Force)正在完善的安全标准,IPsec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。
二、组成IPsec/VPN技术的两个重要协议
IPsec 通信协议其实是由两个不同的协议所组成的,分别为AH(AuthenticationHeader)与ESP(Encapsulated Secutiry Payload),而这两个协议所负责的任务功能是不同的,其中AH协议的功能为“完整性验证”,ESP协议的功能则为“完整性验证与加密”。
(一)AH
IPsec认证头协议(IPsec AH)是IPsec体系结构中的一种主要协议,通过将严格论证后的数学算法应用于网络层IP数据报封装来提供数据传输的安全保护功能,主要包括数据完整性、认证等。通信双方经过认证后建立安全连接,连接后通信双方在进一步实施数据通信或远程管理等业务。AH的设计在保证数据报的复杂度不影响通信双方收发能力及网络带宽可用性的同时,尽可能将足够多的认证功能附加在IP头和上层协议数据中。但是,由于在传输过程中会遇到各种接入技术和MTU值,因此某些IP数据报会发生分片或其他行为,导致IP头字段会发生变化,并且当包到达接收方时,发送方不能预测字段值。AH并不能保密这种字段值。因此AH提供给IP头的保护是零碎的。AH即可单独使用,也可以结合IP封装安全负载(ESP)使用,通常可以用于传输模式和隧道模式两种。传输模式提供了端到端的认证和加密,隧道模式提供了通信子网的认证和加密。ESP提供了相同的安全服务并提供了一种保密性(加密)服务,而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地,如果那些字段不是由ESP封装的,那么ESP不会支持任何IP头字段。通常,当用与IPv6时,AH出现在IPv6逐跳路由头之后IPv6目的选项之前。而用于IPv4时,AH跟随主要IPv4头。
(二)ESP
IPsec封装安全负载协议(IPsec ESP)是IPsec体系结构中的另一种主要协议,其主要设计用来企业接入Internet时提供了一种混合的高安全服务。IPsec ESP最主要的用途是数据加密,同时也可提供完整性。通常在配置好的路由器或者接入服务器上,接入用户可以在真实接入目标主机时先由通信双方做安全接入探测,这种方法既可以用于加密传输层字段,也可以加密网络层IP数据报。这种方式可以极大地保护IP数据报,即使黑客通过抓包软件获得相应信息,也无法打开其中的内容,这种方式在金融、电力、国防、教育等诸多领域已经得到很好的应用。
ESP加密方式通常也分为传输模式和隧道模式两种。传输模式ESP头放在在IP数据报头后、上层协议头前,隧道模式ESP头放在IP数据报头之前。IANA分配给ESP一个协议值50,在ESP头前的头立即在其下一个头(IPv6)或协议(IPv4)字段里包含该值50。ESP由加密数据跟随的非加密头组成。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据,这个用户数据通常既可以是整个IP数据报,或是传输层字段。
三、IPsec/VPN的安全特性
IPsec/VPN技术在使用时可以实现以下几方面安全特性:
(一)抗抵赖性
“抗抵赖性”的作用是接受方在收到发送方的消息后,可以通过某种技术证实发送方时该消息的唯一发送方,接受方通过提供数字证书等各种方法约束发送方不能否认发送过消息。“抗抵赖性”是通常采用先进的非对称加密技术。在非对称加密技术中,通信双方都拥有公钥和私钥。公钥用来加密和验证,私钥用来解密和签名。例如发送方在发送消息的同时用私钥产生一个数字签名随消息一起发送,接收方在接受到消息后先用发送方的公钥来验证数字签名,用来保证接收到的消息确实为发送方所发。这种方式的好处是只有发送方才拥有私钥,并且只有发送方才可能用其私钥对信息进行数字签名,因此只要数字签名通过验证,发送方就无法否认曾发送过该消息。“抗抵赖性”的这种做法时随着计算机软件和硬件技术不断发展,在CPU处理能力不断提高前提下应用的它摒弃了原先通信双方使用相同密钥的这种简单但不安全的对称加密技术,从理论上保证了通信双方的安全性,因此得到了广泛的应用。
(二)反重放性
“反重放性”可以确保每个IP数据报的唯一性,这主要是针对网络上日益增加的黑客攻击,黑客可以通过抓包等手段截取通信双方的数据报文,经过篡改再发送出去。“反重放性”可以防止攻击者截取信息后,利用网络上或内存中并未消除的会话,再用篡改后的数据报冒充合法用户获得访问权。反重放性保证了曾经发送的数据报不能再被重新利用或者重新传回目的地。
(三)数据完整性
“数据完整性”主要是用来防止传输过程中数据被篡改,确保发送方数据和接收方数据的一致性。在IPsec技术中,其利用了一种叫做Hash函数的方法为每个数据报产生一个唯一的消息摘要,接收方在解封装数据报文后先看到数据报和附带的消息摘要,并且利用通信双方预定好的Hash函数再进行一次消息摘要生成操作,假如数据报在传输过程中遭到篡改则会导致计算的消息摘要不相符,则接收方直接将数据报丢弃。
(四)数据可靠性
“数据可靠性”即指通信双方在传输数据前,对数据先进行加密,加密后的数据可以在局域网或广域网上传输,即使数据报被截取,攻击者也无法读取被加密的数据。
四、IPsec/VPN的优势
(一)经济效益高
通过将vpn技术应用于网络层的使用可以使企业免去承担高昂的专线的租用费。这极大的减少了企业开支,特别是像DDN、帧中继、等企业传统接入广域网技术都可以将IPsec/VPN应用其上。传统广域网接入技术大部分都是租费随着距离的增加而增加,分支越远越多,租费越高。而Internet的接入费用则只承担本地ISP的接入费用,无论分支数量和距离,均可方便接入,而且费用很便宜。因此,现在很多分支办公室都采用Internet作为传输骨干,在接入端利用带IPsec/VPN功能的路由器进行企业网接入,而且随着制造VPN设备的厂商日益增加,VPN设备的价格必将逐渐降低。
(二)建网灵活
在传统接入Internet时我们可以采用10M、100M端口,光纤技术,也可以是2M或更低速的端口,还可以是便宜的XDSL连接,或普通modem接入技术,而VPN技术却因其在高层实现,因此可以灵活应用于各种接入网络,成为选择种类众多的端口连接方式。一个IPsec/VPN网络对连接分支机构的数目和距离都没有限制。
(三)应用广泛
IPsec/VPN既可以连接少量的分支机构,也适合连接许多的分支机构。这也取决于IPsec/VPN的核心设备的发展,现在的骨干路由器通常支持异构网互联,其良好的扩展性可以让一个端口同时连接成千上万的分支,包括企业分支部门和移动办公用户,而不需要例如DDN专线等互联方式在收发双方建立物理上的连接。并且IPsec/VPN也支持远程的语音和视频业务,这样连同数据业务一起,为现代化办公提供便利条件,节省大量长途话费。
(四)安全可靠
IPsec/VPN的显著特点是它的安全性,这也是开发VPN技术的最根本原因。通过对VPN骨干设备的合理配置,将隧道技术、数据加密技术、防火墙技术、身份认证、统一授权等多种技术的应用保证网络传输的安全。同时,VPN设备还集成可通过RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等认证方式。
(五)提供冗余设计
由于VPN技术经常用在企业骨干网络上,所以现在的VPN设备大部分都提供冗余机制,包括链路冗余和设备冗余。在VPN核心设备上通常还提供CPU冗余、电源冗余等冗余设计。在链路发生故障时,VPN骨干设备还可支持故障恢复功能,并且网状的VPN骨干拓扑还可实现负载均衡。此外在客户端接入网络时,VPN客户端还可自动选择本地区域的最有接入点,当本地区域接入点发生故障时,选择其他接入设备,从而保证达到连接的可用性。
五、IPsec/VPN的应用前景
IPsec/VPN的应用有两种基本类型:拨号式VPN与专用式VPN。
拨号VPN为移动用户与远程办公者提供远程内部网访问,这种形式的VPN是当前最流行的形式。拨号VPN业务也称为“公司拨号外包”方式。按照隧道建立的场所,拨号VPN分为两种:在用户PC机上或在服务提供商的网络访问服务器(NAS)上。
专用VPN有多种形式,其共同的要素是为用户提供IP服务,一般采用安全设备或客户端的路由器等设备在IP网络上完成服务。通过在帧中继或ATM网上安装IP接口也可以提供IP服务。专用业务应用通过WAN将远程办公室与企业的内部网与外部网连接起来,这些业务的特点是多用户与高速连接,为提供完整的VPN业务,企业与服务提供商经常将专用VPN与远程访问方案结合起来。
目前还出现一种VPN知觉的网络,服务提供商将很快推出一系列新产品,专门用于提供商在向企业提供专用增值服务时对扩展性与灵活性的需求。
总之,现在几乎所有的网络互联技术中都要用到安全技术,IPsec/VPN会在个人和企业内部网接入Internet中应用愈加广泛。
参考文献:
[1]邓志华,朱庆.网络安全与实训教程[M].北京:人民邮电出版社,2005,4
[2]梁亚声.计算机网络安全技术教程[M].北京:机械工业出版社,2008,7
vpn技术范文第4篇
关键词:VPN技术;隧道技术;安全技术
中图分类号:TP309.2 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Application of VPN Technology in Enterprise
Wang Hengxiang
(Tietong,Fujian Branch,Fuzhou350003,China)
Abstract:The typical application of VPN technology has made the detailed analysis and discussion.
Keywords:VPN technology;Channel technology;Safety technology
当前以Internet为标志的信息技术革命,正以惊人的速度改变着人们的生产、工作、学习和生活方式,全球信息化建设都处于一个高速发展的阶段,信息孤岛和信息共享安全已成为企业信息化建设过程中两个比较突出的问题。实现企业集团不同地点网络的互联有两种选择:一是组建传统的企业专用网络,二是组建VPN网络。前者需要采购相应的网络设备,租用或自建传输线路,进行网络的规划和建设以及网络建成后的维护和管理,成本高昂,通常适合于实力雄厚的大型企业集团;而对于中小企业来说,这高昂的成本开销是难以接受的,于是伴随着降低建网成本的市场需求,加之国内的IP资源有限的现状,企业的另一种选择-基于动态IP的VPN技术-悄然登场了,利用VPN组网成了企业网络建设性价比最高的解决方案。
一、VPN技术简介
VPN(虚拟专用网络,Virtual Private Network)是一种利用公共网络来构建的专用网络技术,“虚拟”这一概念是相对传统私有网络的构建方式而言的,VPN是用公共网络来实现远程的广域连接,通过它企业可以以更低的成本连接远程分支机构;或者在公共的骨干网络上承载不同的专用网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。简单地说VPN就是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,CPE-based VPN主要包含两种技术:隧道技术与安全技术。
(一)隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
(二)安全技术
VPN是在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术。认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。
2.加密技术。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
3.密钥交换和管理。VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。
二、VPN在企业中的应用
VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
(一)Access VPN(远程访问VPN)
客户端到网关。VPN允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKSv5协议比较适合这类连接。
(二)Intranet VPN(企业内部VPN)
网关到网关。它适用于公司两个异地机构的局域网互连,在Internet上组建世界范围内的企业网。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
(三)Extranet VPN(扩展的企业内部VPN)
与合作伙伴企业网构成Extranet。由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。使用VPN技术可以解决在当今远程通讯量日益增大,企业全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。VPN可以实现不同网络的组件和资源之间的相互连接,能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。对中小企业来说,VPN是实现自建专网向利用运营商网络方向发展的重要技术,通过部署VPN,利用地理范围覆盖广阔,骨干网络带宽很高的运营商网络可以提供满足企业网络互连的需求,企业因此省去建设费用高昂的专有网络。对于建设了专用网络的大企业集团,利用MPLS VPN可以实现数据、语音、视频的多业务承载和、不同业务系统之间的隔离。MPLS VPN在保证不同业务的QOS和业务系统的安全隔离方面具有天然的优势。VPN组网应是企业信息化网络建设中性价比最高的解决方案。
参考文献:
vpn技术范文第5篇
关键词:VPN简介特点实现技术
中图分类号:TP393文献标识码:A 文章编号:1672-3791(2012)04(a)-0000-00
现如今,针对网络的安全性、保密性、可靠稳定性的问题而研究出来并迅速发展起来了一种技术,那就是VPN。无论是数据传输的可靠性、网络安全性,还是经济实用性来看,VPN技术是一种不错的选择。
1VPN
1.1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork)简称VPN,它是一种“用于公共数据网络,提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用,还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVPN,二是企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN,三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN 在架构上采用了很多种安全机制,例如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认,而对一些敏感的数据,我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔,它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet,我们可以将Internet作为隧道与企业内部专用网络相连,用户的通信费用大幅度降低;然后,企业可以节省购买和维护通讯设备的费用。据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 与使用专线的成本相比较,要比其它的节省 30%~50% 左右;就远程访问而言,用 VPN比直接拨入到企业内部网络节省 60%~80% 的成本。这是由于VPN 在设备的使用量及广域网络的频宽使用上,平均比专线式的架构节省,因而能使网络的总成本(Total Cost of Ownership)降低。
1.2.3 管理简便
由于VPN 使用了比较少的设备来建立网络,所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性,大到企业总部的各个设备,小到各分公司,还有个人拨号用户,都能被包含于整体的 VPN 架构中,同时,VPN 的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN 和专线式的架构相比较具有弹性,当将网络扩充或是变更网络架构时, VPN 可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议,网络客户机都可以轻易的使用VPN。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以VPN支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是 Modem,用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体,再采用VPN技术,来实现企业网宽带远程访问,那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet,用户不论是在家中、在出差途中、还是在任何环境中,他都能够安全地连接到企业网内部。这样既不受到地域限制,也不会受到接入方式限制。
2VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中,多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行,这也就是VPN建立起来的隧道这一段,这样我们才可以建成一条性能符合用户要求的隧道。 对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制,来使VPN用户降低成本、提高效率、增强安全性,VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术,已经能够建立起一个具有互操作性、安全性的VPN,但是这个VPN在性能上还不稳定,管理上仍不能满足所有企业的要求,这就要加入一些QoS技术。
3 结 语
现如今,VPN技术可以利用在公共网络上建立起来的安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景,国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势,这是市场发展的必然。VPN已经是通信技术上的一个重要的突破,它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言,VPN还存在一些缺陷,VPN协议还没有完全标准化,而各VPN产品厂商对VPN也有不同的认知。总的来说,随着虚拟运营商逐渐进入VPN服务领域,我们还有更多的电信业务运营的ISP浮出水面,而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1] 杨小平等.《Internet应用基础教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3] 王达等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
[4] 杨永斌.VPN技术应用研究[J]. 计算机科学,2004,(10).
