论文部分内容阅读
[摘 要]当今社会是一个信息技术高度发达的时代,以网络技术为代表的信息技术也已成为主导社会生产力发展的关键因素。而在企业的经营发展中,如何利用网络信息技术,为企业的长效发展壮大服务,也成为目前企业所面临的重点问题。文章介绍了利用VPN技术构建企业内部网络的技术基础与安全要素,并结合几种VPN技术设计了一种内部网络的构建方案,以供相关人员参考。
[关键词]VPN技术;MPLS VPN技术;内部网络;构建策略
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2015)06-0089-02
引言
VPN技术又称远程访问技术或虚拟专用网络技术,主要是指利用公用网络架设专用网络,进行加密通讯的一种技术。VPN技术按照协议可分类为多种方式,并通过服务器、硬件、软件等来实现。由于VPN技术具有的经济性、实用性、简单性等特点,使其在企业网络中的应用十分广泛。
1.VPN技术的概述
VPN技术被定义为通过一个公用网络,建立起一个安全、临时的连接,该技术是对企业内部网的扩展,其可以帮助异地用户、商业伙伴、供应商、公司分支机构同公司的内部网建立起可信的安全连接,保证数据的安全传输。VPN技术主要的优点体现在三方面:一,VPN技术可以省去专线租用费用或长距离电话费用,进而有效地降低了成本;二,VPN技术可以充分地利用internet公网资源,快速地建立起公司的广域连接;三,VPN技术可以对所有数据进行加密,以此确保数据信息的安全性与保密性,使没有访问权利的用户无法看到企业的局域网络。
2.VPN技术构建企业内部网络的技术基础与安全要素
2.1 VPN技术基础
实现一个完整、系统的VPN技术,主要基础技术包括密码技术、隧道技术、网络访问控制技术等。⑴密码技术。密码技术作为VPN技术中的一项基本技术,也是所有通信数据安全的基石,是保证信息机密性的唯一方法。通过对网络的加密,防止非授权用户的搭线窃听以及入网行为,有效对抗恶意软件,最终起到以最小代价提供最强安全保护的效果。密码技术又可根据算法分为非对称密钥密码算法与对称密钥密码算法两种,在应用中根据实际情况选择最适宜的一种。
⑵隧道技术。受到Internet网络中IP地址资源短缺的影响,企业内部网络使用多属于私有IP地址,但是从这些地址发出的数据包却不能直接通过Internet传输,必须代之合法的IP地址。而隧道技术便是将这种私有IP地址转换成为合法IP地址的技术。隧道技术又称之为数据包封装技术,发生在VPN的发送节点,通过将原数据包打包,添加合法的外层IP包头,然后这个包再通过公网被传送到接收端的VPN节点,该节点在接收后通过拆包处理,还原出原报文中传输给目标主机。从现状来看,几乎所有的VPN技术采用了隧道技术[1]。
⑶网络访问控制技术。网络访问控制技术主要起到对出入广域网的数据包进行过滤的作用,一个系统的VPN产品,应该同时提供完整的网络访问控制功能,才能保证系统的性能、安全性以及统一管理。
2.2 VPN技术的安全要素
采用VPN技术构建企业内部网络时,应该具备如下几点安全要素:一,使用偷听者无法破解拦截的通道数据,提供有效的加密手段,保证系统通道的安全性与机密性;二,VPN技术要有抵抗不法分子篡改数据的功能,接收到的数据必须要与发送时的数据一致,必须保证数据的完整性与有效性;三,通信主机必须经过授权,要有抵抗地址假冒的功能,确保数据的真实性;四,可提供安全、有效的访问控制与防护措施,可以对VPN通道进行访问控制,同时也起到抵抗黑客通过VPN通道攻击网络的能力。
3.基于VPN技术的内部网络构建
文章以西北空管局为例,分析在H3C路由器应用下,基于VPN技术的内部网络构建对策。
3.1 VPN基本组网应用
就以某企业为例,基于VPN建立的企业内部网见图1所示:
上述可见,企业内部资源享用者利用PSTN/ISDN网或局域网连入本地ISP的POP服务器,以此来访问到公司内部资源。
3.2 L2TP协议配置
⑴VPDN指通过PSTN、ISDN等公共网络的拨号功能及接入网,实现虚拟专用网,为企业提供接入服务。VPDN主要有两种实现方式,包括:NAS通过隧道协议与VPDN网关建立通道的方式、客户机与VPDN网关建立隧道的方式。而VPDN隧道协议又分为L2F、L2TP、PPTP三种,由于L2TP协义所具有的多协议传输、高度的安全性与可靠性、灵活的身份验证、支持内部地址分配、网络计费的灵活性等特点,使得该协议的应用最为普遍。L2TP隧道模式有两种最为典型:1.由远程拨号用户发起。远程系统和PSTN/ISDN拨入LAC,LAC通过Internet向LNS发起建立通道连接的请求;2.由LAC客户发起。LAC客户也可直接向LNS发起通道连接请求,由LNS来完成LAC客户的分配[2]。
⑵PPP用户通过接入认证后,EAD服务器便会对其进行安全认证,若是认证通过,用户便可正常访问网络资源,但若认证不通过,用户便只能访问隔离区资源。L2TP配置分为LAC端配置与LNS端配置两种,具体配置可根据详细说明书参阅。值得注意的是,在实际配置中,一台设备可以同时配置为LAC侧与LNS侧,但它们所使用的用户名不能相同。
⑶L2TP的呼叫可以由NAS主动发起,也可通过客户端来发起,现作举例说明:其一,NAS-Initialized VPN。用户先以普通上网方式进行拨号上网,在接入NAS处对此用户进行验证,发现是VPN用户时由NAS向LNS发起隧道连接的请求;NAS与LNS隧道建立后,NAS将与VPN用户协商的内容以报文形式传给LNS,LNS根据预协商决定是否接受此连接,用户与公司总部间的通信均通过NAS与LNA之间隧道传输。其二,Client-Initialized VPN。用户连接Internet后直接向LNS发起Tunnel连接请求,LNS接受连接请求后,VPN用户便与LNS间建立了一条虚拟Tunnel,用户与公司总部间通信均可通过该通道进行传输。 3.3 DVPN
DVPN动态虚拟私有网络技术通过动态获取对端的信息建立VPN连接,在网络中用以构建DVPN动态虚拟私用网络的路由器设备,所有支持DVPN特性的路由器都可以作为DVPN接入设备。DVPN采用Client/Server模式,对于同一个DVPN域的N个接入设备,均要设置成一个Server工作方式,其他可设置为Client方式。当Client到Server注册成功以后,Client与Server之间便可自动建立起Session隧道。网络运行中,Server根据需要,向Client发送Redirect报文,Client接收到重定向报文后,从中得到其他Client信息,并在Client之间建立Session隧道,最终实现DVPN域中的全连接[3]。
4.MPLS VPN技术介绍
MPLS-VPN是指采用MPLS(多协议标记转换)技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起。
MPLS VPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间数据的隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题,MPLS自身提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。MPLS提供了电信、计算机、有线电视网络三网融合的基础,除了ATM,是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于MPLS技术的MPLS VPN,在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外,MPLS VPN提供灵活的策略控制,可以满足不同用户的特殊要求,快速实现增值服务(VAS),在带宽价格比、性能价格比上,相比其他广域VPN也具有较大的优势。
MPLSVPN网络主要由CE、PE和P等3部分组成:
CE(Customer Edge Router)用户网络边缘路由器设备,直接与服务提供商网络相连,它“感知”不到VPN的存在;
PE(Provider Edge Router)服务提供商边缘路由器设备,与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者;
P(Provider Router)服务提供商核心路由器设备,负责快速转发数据,不与CE直接相连。如图2
在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
5.结束语
基于VPN技术建立的企业内部网络,具有安全性高、成本造价低、扩展性佳、可支持动态分配IP等诸多特点,已成为各企业必不可少的网络构建方式。而MPLS VPN技术是基于VPN技术上延伸出的一种更加适应各个企业的网络技术,有VPN技术提供安全保障,又引申出了适应多种业务的传输交换协议。
参考文献
[1] 李淑梅.中小企业基于IPSec VPN的网络构建[J].现代计算机,2011,9(9):99-101.
[2] 蒋宏林.浅谈企业VPN网络构建[J].管理学家,2012,7(13):60-62.
[3] 陶志勇.基于MPLS和BGP的VPN构建及其应用研究[D].软件工程·湖南大学,2012.
[关键词]VPN技术;MPLS VPN技术;内部网络;构建策略
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2015)06-0089-02
引言
VPN技术又称远程访问技术或虚拟专用网络技术,主要是指利用公用网络架设专用网络,进行加密通讯的一种技术。VPN技术按照协议可分类为多种方式,并通过服务器、硬件、软件等来实现。由于VPN技术具有的经济性、实用性、简单性等特点,使其在企业网络中的应用十分广泛。
1.VPN技术的概述
VPN技术被定义为通过一个公用网络,建立起一个安全、临时的连接,该技术是对企业内部网的扩展,其可以帮助异地用户、商业伙伴、供应商、公司分支机构同公司的内部网建立起可信的安全连接,保证数据的安全传输。VPN技术主要的优点体现在三方面:一,VPN技术可以省去专线租用费用或长距离电话费用,进而有效地降低了成本;二,VPN技术可以充分地利用internet公网资源,快速地建立起公司的广域连接;三,VPN技术可以对所有数据进行加密,以此确保数据信息的安全性与保密性,使没有访问权利的用户无法看到企业的局域网络。
2.VPN技术构建企业内部网络的技术基础与安全要素
2.1 VPN技术基础
实现一个完整、系统的VPN技术,主要基础技术包括密码技术、隧道技术、网络访问控制技术等。⑴密码技术。密码技术作为VPN技术中的一项基本技术,也是所有通信数据安全的基石,是保证信息机密性的唯一方法。通过对网络的加密,防止非授权用户的搭线窃听以及入网行为,有效对抗恶意软件,最终起到以最小代价提供最强安全保护的效果。密码技术又可根据算法分为非对称密钥密码算法与对称密钥密码算法两种,在应用中根据实际情况选择最适宜的一种。
⑵隧道技术。受到Internet网络中IP地址资源短缺的影响,企业内部网络使用多属于私有IP地址,但是从这些地址发出的数据包却不能直接通过Internet传输,必须代之合法的IP地址。而隧道技术便是将这种私有IP地址转换成为合法IP地址的技术。隧道技术又称之为数据包封装技术,发生在VPN的发送节点,通过将原数据包打包,添加合法的外层IP包头,然后这个包再通过公网被传送到接收端的VPN节点,该节点在接收后通过拆包处理,还原出原报文中传输给目标主机。从现状来看,几乎所有的VPN技术采用了隧道技术[1]。
⑶网络访问控制技术。网络访问控制技术主要起到对出入广域网的数据包进行过滤的作用,一个系统的VPN产品,应该同时提供完整的网络访问控制功能,才能保证系统的性能、安全性以及统一管理。
2.2 VPN技术的安全要素
采用VPN技术构建企业内部网络时,应该具备如下几点安全要素:一,使用偷听者无法破解拦截的通道数据,提供有效的加密手段,保证系统通道的安全性与机密性;二,VPN技术要有抵抗不法分子篡改数据的功能,接收到的数据必须要与发送时的数据一致,必须保证数据的完整性与有效性;三,通信主机必须经过授权,要有抵抗地址假冒的功能,确保数据的真实性;四,可提供安全、有效的访问控制与防护措施,可以对VPN通道进行访问控制,同时也起到抵抗黑客通过VPN通道攻击网络的能力。
3.基于VPN技术的内部网络构建
文章以西北空管局为例,分析在H3C路由器应用下,基于VPN技术的内部网络构建对策。
3.1 VPN基本组网应用
就以某企业为例,基于VPN建立的企业内部网见图1所示:
上述可见,企业内部资源享用者利用PSTN/ISDN网或局域网连入本地ISP的POP服务器,以此来访问到公司内部资源。
3.2 L2TP协议配置
⑴VPDN指通过PSTN、ISDN等公共网络的拨号功能及接入网,实现虚拟专用网,为企业提供接入服务。VPDN主要有两种实现方式,包括:NAS通过隧道协议与VPDN网关建立通道的方式、客户机与VPDN网关建立隧道的方式。而VPDN隧道协议又分为L2F、L2TP、PPTP三种,由于L2TP协义所具有的多协议传输、高度的安全性与可靠性、灵活的身份验证、支持内部地址分配、网络计费的灵活性等特点,使得该协议的应用最为普遍。L2TP隧道模式有两种最为典型:1.由远程拨号用户发起。远程系统和PSTN/ISDN拨入LAC,LAC通过Internet向LNS发起建立通道连接的请求;2.由LAC客户发起。LAC客户也可直接向LNS发起通道连接请求,由LNS来完成LAC客户的分配[2]。
⑵PPP用户通过接入认证后,EAD服务器便会对其进行安全认证,若是认证通过,用户便可正常访问网络资源,但若认证不通过,用户便只能访问隔离区资源。L2TP配置分为LAC端配置与LNS端配置两种,具体配置可根据详细说明书参阅。值得注意的是,在实际配置中,一台设备可以同时配置为LAC侧与LNS侧,但它们所使用的用户名不能相同。
⑶L2TP的呼叫可以由NAS主动发起,也可通过客户端来发起,现作举例说明:其一,NAS-Initialized VPN。用户先以普通上网方式进行拨号上网,在接入NAS处对此用户进行验证,发现是VPN用户时由NAS向LNS发起隧道连接的请求;NAS与LNS隧道建立后,NAS将与VPN用户协商的内容以报文形式传给LNS,LNS根据预协商决定是否接受此连接,用户与公司总部间的通信均通过NAS与LNA之间隧道传输。其二,Client-Initialized VPN。用户连接Internet后直接向LNS发起Tunnel连接请求,LNS接受连接请求后,VPN用户便与LNS间建立了一条虚拟Tunnel,用户与公司总部间通信均可通过该通道进行传输。 3.3 DVPN
DVPN动态虚拟私有网络技术通过动态获取对端的信息建立VPN连接,在网络中用以构建DVPN动态虚拟私用网络的路由器设备,所有支持DVPN特性的路由器都可以作为DVPN接入设备。DVPN采用Client/Server模式,对于同一个DVPN域的N个接入设备,均要设置成一个Server工作方式,其他可设置为Client方式。当Client到Server注册成功以后,Client与Server之间便可自动建立起Session隧道。网络运行中,Server根据需要,向Client发送Redirect报文,Client接收到重定向报文后,从中得到其他Client信息,并在Client之间建立Session隧道,最终实现DVPN域中的全连接[3]。
4.MPLS VPN技术介绍
MPLS-VPN是指采用MPLS(多协议标记转换)技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起。
MPLS VPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间数据的隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题,MPLS自身提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。MPLS提供了电信、计算机、有线电视网络三网融合的基础,除了ATM,是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于MPLS技术的MPLS VPN,在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外,MPLS VPN提供灵活的策略控制,可以满足不同用户的特殊要求,快速实现增值服务(VAS),在带宽价格比、性能价格比上,相比其他广域VPN也具有较大的优势。
MPLSVPN网络主要由CE、PE和P等3部分组成:
CE(Customer Edge Router)用户网络边缘路由器设备,直接与服务提供商网络相连,它“感知”不到VPN的存在;
PE(Provider Edge Router)服务提供商边缘路由器设备,与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者;
P(Provider Router)服务提供商核心路由器设备,负责快速转发数据,不与CE直接相连。如图2
在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
5.结束语
基于VPN技术建立的企业内部网络,具有安全性高、成本造价低、扩展性佳、可支持动态分配IP等诸多特点,已成为各企业必不可少的网络构建方式。而MPLS VPN技术是基于VPN技术上延伸出的一种更加适应各个企业的网络技术,有VPN技术提供安全保障,又引申出了适应多种业务的传输交换协议。
参考文献
[1] 李淑梅.中小企业基于IPSec VPN的网络构建[J].现代计算机,2011,9(9):99-101.
[2] 蒋宏林.浅谈企业VPN网络构建[J].管理学家,2012,7(13):60-62.
[3] 陶志勇.基于MPLS和BGP的VPN构建及其应用研究[D].软件工程·湖南大学,2012.