時間:2022-10-27 07:34:14
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇vpn技術論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:虛擬專用網vpn遠程訪問網絡安全
引言
隨著信息時代的來臨,企業的發展也日益呈現出產業多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升,信息管理范圍不斷擴大,不論是企業內部職能部門,還是企業外部的供應商、分支機構和外出人員,都需要同企業總部之間建立起一個快速、安全、穩定的網絡通信環境。怎樣建立外部網絡環境與內部網絡環境之間的安全通信,實現企業外部分支機構遠程訪問內部網絡資源,成為當前很多企業在信息網絡化建設方面亟待解決的問題。
一、VPN技術簡介
VPN(VirtualPrivateNetwork)即虛擬專用網絡,指的是依靠ISP(Internet服務提供商)和其他NSP(網絡服務提供商)在公用網絡中建立專用的數據通信網絡的技術,通過對網絡數據的封裝和加密傳輸,在公用網絡上傳輸私有數據的專用網絡。在隧道的發起端(即服務端),用戶的私有數據經過封裝和加密之后在Internet上傳輸,到了隧道的接收端(即客戶端),接收到的數據經過拆封和解密之后安全地到達用戶端。
VPN可以提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境,是企業網絡在互聯網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能,具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問,通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來,構成一個擴展的公司企業網,此外它還提供了對移動用戶和漫游用戶的支持,使網絡時代的移動辦公成為現實。
隨著互聯網技術和電子商務的蓬勃發展,基于Internet的商務應用在企業信息管理領域得到了長足發展。根據企業的商務活動,需要一些固定的生意伙伴、供應商、客戶也能夠訪問本企業的局域網,從而簡化信息傳遞的路徑,加快信息交換的速度,提高企業的市場響應速度和決策速度。同時,圍繞企業自身的發展戰略,企業的分支機構越來越多,企業需要與各分支機構之間建立起信息相互訪問的渠道。面對越來越復雜的網絡應用和日益突出的信息處理問題,VPN技術無疑給我們提供了一個很好的解決思路。VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接,并保證數據的安全傳輸,通過將數據流轉移到低成本的網絡上,大幅度地減少了企業、分支機構、供應商和客戶花在信息傳遞環節的時間,降低了企業局域網和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環境之中,這樣就大大簡化了網絡的設計和管理,滿足了不斷增長的移動用戶和Internet用戶的接入,以實現安全快捷的網絡連接。
二、基于Internet的VPN網絡架構及安全性分析
VPN技術類型有很多種,在互聯網技術高速發展的今天,可以利用Internet網絡技術實現VPN服務器架構以及客戶端連接應用,基于Internet環境的VPN技術具有成本低、安全性好、接入方便等特點,能夠很好的滿足企業對VPN的常規需求。
2.1Internet環境下的VPN網絡架構Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端,用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸,通過虛擬隧道到達接收端,接收到的數據經過拆封和解密之后安全地傳送給終端用戶,最終形成數據交互。基于Internet環境的企業VPN網絡拓撲結構。
2.2VPN技術安全性分析VPN技術主要由三個部分組成:隧道技術,數據加密和用戶認證。隧道技術定義數據的封裝形式,并利用IP協議以安全方式在Internet上傳送;數據加密保證敏感數據不會被盜取;用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸,因此安全問題是VPN技術的核心問題,目前,VPN的安全保證主要是通過防火墻和路由器,配以隧道技術、加密協議和安全密鑰來實現的,以此確保遠程客戶端能夠安全地訪問VPN服務器。
在運行性能方面,隨著企業電子商務活動的激增,信息處理量日益增加,網絡擁塞的現象經常發生,這給VPN性能的穩定帶來極大的影響。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略,分配基于數據傳輸重要性的接口帶寬,這樣既能滿足重要數據優先應用的原則,又不會屏蔽低優先級的應用。考慮到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數量的快速增長,對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是VPN方案應用的關鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔,管理平臺要有一個定義安全策略的簡單方法,將安全策略進行合理分布,并能管理大量網絡設備,確保整個運行環境的安全穩定。
三、Windows環境下VPN網絡的設計與應用
企業利用Internet網絡技術和Windows系統設計出VPN網絡,無需鋪設專用的網絡通訊線路,即可實現遠程終端對企業資源的訪問和共享。在實際應用中,VPN服務端需要建立在Windows服務器的運行環境中,客戶端幾乎適用于所有的Windows操作系統。下面以Windows2003系統為例介紹VPN服務器與客戶端的配置。
3.1Windows2003系統中VPN服務器的安裝配置在Windows2003系統中VPN服務稱之為“路由和遠程訪問”,需要對此服務進行必要的配置使其生效。
3.1.1VPN服務的配置。桌面上選擇“開始”“管理工具”“路由和遠程訪問”,打開“路由和遠程訪問”服務窗口;鼠標右鍵點擊本地計算機名,選擇“配置并啟用路由和遠程訪問”;在出現的配置向導窗口點下一步,進入服務選擇窗口;標準VPN配置需要兩塊網卡(分別對應內網和外網),選擇“遠程訪問(撥號或VPN)”;外網使用的是Internet撥號上網,因此在彈出的窗口中選擇“VPN”;下一步連接到Internet的網絡接口,此時會看到服務器上配置的兩塊網卡及其IP地址,選擇連接外網的網卡;在對遠程客戶端指派地址的時候,一般選擇“來自一個指定的地址范圍”,根據內網網段的IP地址,新建一個指定的起始IP地址和結束IP地址。最后,“設置此服務器與RADIUS一起工作”選否。VPN服務器配置完成。
3.1.2賦予用戶撥入權限設置。默認的系統用戶均被拒絕撥入到VPN服務器上,因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺;依次展開“本地用戶和組”“用戶”,選中用戶并進入用戶屬性設置;轉到“撥入”選項卡,在“選擇訪問權限(撥入或VPN)”選項組下選擇“允許訪問”,即賦予了遠端用戶撥入VPN服務器的權限。
3.2VPN客戶端配置VPN客戶端適用范圍更廣,這里以Windows2003為例說明,其它的Windows操作系統配置步驟類似。
在桌面“網上鄰居”圖標點右鍵選屬性,之后雙擊“新建連接向導”打開向導窗口后點下一步;接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”;在網絡連接方式窗口里選擇“虛擬專用網絡連接”;接著為此連接命名后點下一步;在“VPN服務器選擇”窗口里,輸入VPN服務端地址,可以是固定IP,也可以是服務器域名;點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼,即可連接上VPN服務器端。:
3.3連接后的共享操作當VPN客戶端撥入連接以后,即可訪問服務器所在局域網里的信息資源,就像并入局域網一樣適用。遠程用戶既可以使用企業OA,ERP等信息管理系統,也可以使用文件共享和打印等共享資源。
四、小結
現代化企業在信息處理方面廣泛地應用了計算機互聯網絡,在企業網絡遠程訪問以及企業電子商務環境中,虛擬專用網(VPN)技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡,從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務,是企業內部網的擴展和延伸。VPN技術在企業資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值,在未來的企業信息化建設中具有廣闊的前景。
參考文獻:
組播VPN是基于MPLSL3VPN來實現組播傳輸的技術。如圖1所示,網絡中同時承載著兩個相互獨立的組播業務:公網實例、VPN實例A。公共網絡邊緣PE組播設備支持多實例。各實例之間形成彼此隔離的平面,每個實例對應一個平面。以VPN實例A為例,組播VPN指:當VPNA中的組播源向某組播組發送組播數據時,在網絡中所有可能的接收者中,僅屬于VPNA(即Site1、Site3或Site5中)的組播組成員才能收到該組播源發來的組播數據。組播數據在各Site及公網中均以組播方式進行傳輸。其中,實現組播VPN所需具備的網絡條件如下:(1)在每個Site內支持基于VPN實例的組播。(2)在公共網絡內支持基于公網實例的組播。(3)PE設備支持多實例組播,即支持基于VPN實例和公網實例的組播,并支持支持公網實例與VPN實例之間的信息交互和數據轉換。為了滿足以上條件,互聯網工程任務組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來實現組播VPN的標準。MD方案的基本思想是:在骨干網中為每個VPN維護一棵稱為Share-MDT的組播轉發樹。來自VPN中任一Site的組播報文都會沿著Share-MDT被轉發給屬于該MD的所有PE。MD是一個集合,它由一些相互間可以收發組播數據的VRF組成。其中,支持組播業務的VRF為MVRF,它同時維護單播和組播路由轉發表。PE收到組播報文后,如果其MVRF內有該組播組的接收者,則繼續向CE轉發;否則將其丟棄。不同的MVRF加入到同一個MD中,通過MD內自動建立的PE間的組播隧道(MT)將這些MVRF連接在一起,實現了不同Site之間的組播業務互通。每個MD會被分配一個獨立的組播地址,稱為Share-Group。當兩個MVRF之間通信時,用戶報文以GRE方式被封裝在骨干報文里通過MT進行傳輸,骨干報文的源地址為PE用來建立BGP連接所使用的接口IP地址,目的地址為Share-Group。
2民航數據通信網中組播VPN的實現
在民航數據通信網中實現組播VPN主要需完成骨干網絡的準備工作以及組播VPN設計與實施等工作。
2.1組播VPN的規劃設計民航ATM數據網華東地區ATM交換機上的RPM-PR板卡提供了MPLSVPN業務,目前部署的MPLSVPN業務網絡拓撲為星形結構,即由區域一級節點9槽RPM板卡作為P設備和路由反射器,而其他節點均為PE設備。華東地區ATM網絡中同時承載著兩個相互獨立的組播業務:ATM數據網公網組播實例和名為YJCJ2的用戶私網組播實例。VPN組播實例是通過在P和PE設備上部署實現的,網絡中,作為P和PE的RPM板卡上運行著公網組播實例,而作為PE的RPM板卡同時又運行著用戶私網組播實例。公網的組播實例是在所有RPM板卡上開啟組播應用。上海虹橋和浦東機場兩個節點的10槽RPM板卡負責接入用戶的VPN組播業務,所以需在這兩臺設備上部署MPLSVPN應用,并在這兩個用戶站點相應的VRF實例中開啟組播應用。在本案例中,VPN用戶接入側要求使用的是PIM密集模式,而民航數據網MPLSVPN公網則使用的是PIM稀松模式。在MPLSVPN網絡中不同用戶的VPN站點都是彼此邏輯獨立的,并且VPN用戶數據封裝MPLS標簽后通過公網的PE和P設備進行傳輸。對于VPN組播來說,數據的傳輸模式也是類似的。PE設備通過將該VPN實例中的用戶VPN組播數據報文封裝成公網所能“識別”的公網組播數據報文進行組播轉發。這種將私網組播報文封裝成公網組播報文的過程就叫做構造組播隧道(MT)。在PE上,每個VPN用戶的組播數據是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網構造組播隧道,參見圖2。由于公網、VPN網以及用戶接入側各組播部署中都采用PIM協議啟用了組播應用,MPLSVPN中組播應用包含如下的PIM鄰居關系:(1)PE-P鄰居關系:指PE上公網實例接口與鏈路對端P上的接口之間所建立的PIM鄰居關系。(2)PE-PE鄰居關系:指PE上的VPN實力通過MTI收到遠端PE上的VPN實例發來的PIMHello報文后建立的鄰居關系。(3)PE-CE鄰居關系:指PE上綁定VPN實例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關系。部署公網組播實例需在華東地區所有相關RPM板卡開啟組播服務,考慮到密集模式對RPM設備和骨干網資源的開銷,在民航ATM數據網中使用了PIM稀松模式。根據網絡的物理網絡拓撲模型,選取上海虹橋9槽RPM板卡作為RP。
2.2組播VPN的實施運行在MPLSVPN網絡中的P和PE設備上部署PIM協議,這些設備之間會形成PE-P鄰居關系,從而使得公網支持組播功能,并形成公網的組播分發樹。本案例中使用PIM稀松模式,即在虹橋和浦東機場節點的9、10槽RPM板卡的配置底層IGP路由協議的接口上部署PIM稀松模式,這樣就構造了公網的PIM共享樹。在傳輸用戶私網組播報文的PE上部署基于VRF實例的組播,一個VPN實例唯一制定一個Share-Group地址。同一個VPN組播域內的PE之間形成PE-PE鄰居,并形成該組播域的共享組播分發樹(Share-MDT)。在本例中就是在虹橋和浦東機場的10槽YJCJ2VRF實例中部署相應的defaultMDT地址239.255.0.5。用戶CE設備和PE連接CE的相應接口啟用組播,本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關系。本例中是在虹橋和浦東機場節點的相應VPN業務端口配置PIM密集模式。當用戶有組播報文需要傳輸的時候,就將組播報文發送給PE的VRF實例,PE設備收到報文后識別組播數據所屬的VRF實例。用戶私網的數據報文對于公網是透明的,不論數據歸屬或類別,PE都統一將其封裝為公網組播數據報文,并以Share-Group作為其所屬的公網組播組。一個Share-Group唯一對應一個MD,并利用公網資源唯一創建一棵Share-MDT進行數據轉發。在該VPN中所有私網組播報文,都通過此Share-MDT進行轉發。如圖3所示,可以看到華東地區公網上的Share-MDT創建的過程。虹橋節點10槽RPM向9槽RPM(RP節點)發起加入消息,以Share-Group地址作為組播組地址,在公網沿途的設備上分別創建(*,239.255.0.5)表項。同時虹橋浦東機場節點也發起類似的加入過程,最終在MD中形成一棵以虹橋節點9槽RPM為根,以虹橋、浦東機場節點10槽RPM為葉的共享樹(RPT)。隨后,虹橋和浦東機場節點10槽RPM的公網實例向公網RP發起注冊,并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址,在公網的沿途設備上分別創建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表項,形成連接PE和RP的最短路徑樹(SPT)。在PIM-SM網絡中,由(*,239.255.0.5)和這兩棵相互獨立的SPT共同組成了Share-MDT。虹橋節點PE的私網組播報文在進入公網后,均沿該Share-MDT向浦東機場節點PE轉發。圖4是私網組播報文在公網中轉發的過程。當浦東機場節點的YJCJ2VPN用戶CE設備加入到虹橋節點數據源所在的組播組,此時由于這兩個站點部署為PIM-DM模式,虹橋節點組播設備會立刻將數據推送到虹橋節點10槽RPM的YJCJ2VRF實例中,并通過該VPN構建的Share-MDT在公網上以(20.51.5.6,239.255.0.5)構建的SPT進行公網組播報文傳輸。當公網組播報文被浦東機場10槽PE設備收到后會將其解封裝成原始的私網組播報文,并轉發給相應的接收CE,最終完成用戶私網組播數據在MPLSVPN網絡中的傳輸。
3總結
關鍵詞:VPN,MPLS,BGP,WAN
隨著廣域網(WAN)的應用需求不斷增長,通信運營商競爭不斷加劇,新的WAN的解決方案必須在降低實施、運營成本的同時,提供更快的響應時間、更好的服務質量(QoS)以及足夠的安全性。VPN技術的出現,滿足了市場需求。
傳統的解決方案是采用搭建物理鏈路的專網,VPN采用在公共IP網絡商構建企業IP虛擬專網。MPLS-VPN能夠在提供原有VPN網絡所有功能的同時,提供強有力的QoS能力,具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。
1.技術分析1:VPN虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
如此需要迫切解決的兩個問題:
一:動態創建隧道。通過MPLS協議解決了這個問題。
二:路由沖突問題。通過BGP協議解決了這個問題。
2:MPLSMPLS(Multi Protocol Label Switch:多協議標簽交換)提供了快速包轉發和動態建立隧道的技術。論文大全。MPLS是基于標記的IP路由選擇方法。這些標記可以被用來代表逐跳式或者顯式路由,并指明服務質量(QoS)、虛擬專網以及影響一種特定類型的流量(或一個特殊用戶的流量)在網絡上的傳輸方式等其它各類信息。MPLS的報文Head結構如下圖:
本篇校園網論文介紹加強對新技術在校園網中的應用理論研究,對實際的發展有著重要的指導性。
1 MPLS技術原理及體系結構分析
1.1 MPLS技術原理分析
從實際來看,在傳統以IP分組轉發的技術方面,主要是在IP分組報頭基礎上,通過IP地址在路由表當中實施的最長匹配查找。MPLS技術將網絡層靈活的路由選擇功能及數據鏈路層高速交換性能特點進行的完美結合,這樣就對以往的以IP分組技術為主的局限性得到了優化。另外在這一技術上同時也引進了標簽概念,這是比較短并方便處置以及對拓撲信息沒有包含的信息內容。這一原理是對標簽交換機制進行的引入,也就是將路由控制以及數據轉發等進行單獨化的處理,從而就為每個IP數據包提供了固定長度標簽,就決定了數據包路徑及優先級。 1.2 MPLS體系結構分析
MPLS這一體系結構當中,MPLS所使用的短而定長標簽封裝分組在數據平面實現了快速轉發功能,并在這一平面有著IP網絡的強大靈活路由功能,對實際所需要的網絡需求能夠得以有效滿足。其體系結構圖示如下圖1所示,針對核心的LSR主要是在平面進行標簽的分組并轉發,在LER方面主要是轉發平面所進行實施的工作任務,同時也包含了對傳統IP分組的轉發。
通過上圖就能夠看出,對這一體系結構起到支持的主要就是顯示路由以及逐跳路由,在對MPLS進行實際應用的過程中,實行標記分發過程中也需要對顯示路由進行規定,但這一路由并不會對每個IP分組進行規定,這樣就會使得MPLS顯示路由會比傳統IP源點路由在作業額效率上得到很大程度的提升。不僅如此,在對MPLS LSP進行構建的過程中,能夠通過有序LSP以及獨立LSP進行控制。
2 MPLS VPN技術在校園網中的規劃設計及應用
2.1 MPLS VPN技術在校園網中的規劃設計分析
通過對相關的技術加以借鑒對校園網要進行詳細的規劃設計,通過實踐之后主要是采取了MPLS/BGP VPN技術作為是實現MPLS VPN業務技術路線所構建的各業務系統虛擬獨立網絡,而后在各業務系統部門間的可控互通訪問。另外就是在MPLS VPN技術支持下通過對IP VPN部署來進行提供安全保證,構建能夠實現全網電子信息資源庫,以及通過H3C網管平臺技術進行實現網管中心對全網MPLS VPN業務的統一管理。具體的規劃設計能夠通過分校區規劃以及主校區規劃、共享數據VPN規劃的方式進行實現。
2.2 MPLS VPN技術在校園網中的實際應用
通過對MPLS VPN技術在校園網中的簡單規劃設計的分析,主要是能夠在實際中得到應用。在具體應用中主要是將局域網交換技術作為重要的基礎,并對虛擬局域網技術進行有機的結合,在校園網當中來實現單純的在OR基礎上第二層優先級服務。由于所需服務的差異性,例如音視頻傳輸自身的要求。故此要能夠緊密的和服務機制進行結合,來為校園網當中一些關鍵通信數據幀設置較高的用戶優先級。
另外就是要結合實際進行差別服務結合資源預留協議,雖然在綜合服務所提供的更高QOS保證,而對于校園網這類非運營性網絡來說,過高的實現現代價以及復雜度并非是合適的。在具體的應用過程中要能夠對DS域設置問題以及DSCP分類實現問題進行有效的解決。MPLS VPN實現了VPN間的路由隔離,在每個PE路由器方面為每個所連接的VPN都進行維護了獨立虛擬路由轉發實例,而每個VF駐留都是來自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器過程中,這一隔離是過多協議,并增加了唯一VPN標識符進行實現。
網絡通信的大部分信息不再來自工作組內部,主要是來自于外部對因特網的訪問,倘若是對第三層QOS問題得到有效解決,那么在校園網中所有第三層網絡設備就會成為校園網QOS的發展瓶頸。從當前的大型復雜網絡建設過程中能夠發現,通過對MPLS VPN技術的有效應用,能夠將信息受控訪問及安全隔離等問題得到有效的解決,這一技術能夠保證各業務系統邏輯網絡相對獨立性,并對各種類型的業務系統安全性有著很強的保護作用,所以在校園網的應用上有著比較廣闊的前景。
山東聯通在2012年開始分組承載傳送網的建設,2013年基本完成核心匯聚層面和市區接入層面的全覆蓋,分組傳送網設備集采中標廠家包括華為、中興和貝爾,三個廠家在各地市分別進行了綜合承載傳送網的建設。其中組網結構、業務承載方案,與RNC對接方案等關鍵點成為時下討論研究的重點。
2 綜合承載傳送網的組網結構
綜合承載傳送網采用分層結構組網,分為核心匯聚層和邊緣接入層。核心匯聚層組網結構主要分為三種:環形組網、口字型組網和雙上聯組網。
山東聯通各地市組網主要采用環形和口字型組網方式。雙上聯組網和口字型組網結構類似,但由于需要耗費大量的光纖資源或者波分波道資源,因此在實際組網時主要還是采用折中的口字型組網方式。
邊緣專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net接入層主要根據光纖資源情況,分為雙掛環形組網和單掛環形組網方式,一般光纖資源能保證的區域優先選用雙掛方式,因為雙掛方式除了能實現傳統的路徑保護(1:1 LSP)外,還能實現雙歸保護,從而避免匯聚設備單點故障引起的大面積掉站。
3 業務承載方案
3.1 業務承載需求
山東聯通綜合承載傳送網主要有兩大類業務承載需求:
⑴基站回傳等自營業務或者系統的承載需求:
具備IP化、以太化基站的接入能力,提供高可靠、大容量的基站回傳流量的承載;
滿足LTE網絡的承載需求,實現基站間靈活互訪、基站多歸屬、基站組播等承載能力;
能夠滿足動力監控、綜合業務接入網網管等各類系統的承載需求。
⑵政企業務或者大客戶的承載需求:
⑶提供高可靠、大容量的二、三層VPN接入能力,能夠滿足點到點、點到多點、多點到多點等二、三層VPN的組網需求;
⑷具備電路仿真能力,提供ATM/FR/DDN等電路的接入能力。
3.2 承載方案分析
山東聯通綜合承載傳送網的業務承載方案可歸結為三點:
⑴對于2G和3G基站的TDM業務,可以采用偽線方式一PWE3實現。并在核心節點采用CSTM1端口進行匯聚。El業務一般采用SAToP方式,封裝幀數和抖動緩存暫按設備缺省值取定。
⑵對于TDM、以太網、ATM等大客戶專線,應采用相應的偽線方式實現。對于L3VPN的大客戶專線,可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實現。
⑶對于未來的LTE業務,分組傳送網絡需要承載s1和X2接口的流量。業務對IP轉發的層面要求將進一步下移。可采用核心匯聚層L3VPN或層次化L3VPN到邊緣的方式。
不同廠家對于3G IP業務承載方案的推薦會有所不同,就山東聯通而言,基站數據域業務承載方式主要存在兩種,(1)L3VPN部署到邊緣-華為主推;(2)L3VPN部署到匯聚-中興和貝爾主推。兩者各有優勢,L3VPN部署到邊緣需要為基站互聯端口分配IP地址,根據目前3G基站的IP地址分配規則,會涉及大量基站的IP地址調整,但符合中遠期網絡的演進思路;L3VPN部署到匯聚,基站IP地址的調整量將大大減少,與現有MSTP提供3G移動回傳FE的業務提供方式、維護方式相似度高,利于分組傳送技術引入后網絡運行維護的逐步過渡。
山東聯通綜合承載傳送網的業務承載方案如圖3和圖4:
4 綜合承載傳送網與RNC的互聯方案
目前,山東聯通2G/3G基站的電路域業務在核心機房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net域業務與RNC對接現網有兩種方式,一種是RNC直接與分組承載傳送網業務匯聚設備互連,另一種是RNC通過CE與分組承載傳送網互連。
在RNC直接與分組承載傳送網互聯情況下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口擴容
通過對RNC的GE和STM-1端口成對擴容,滿足與分組承載傳送網業務互聯的需求,同時可以減少對已有3G業務的影響。通過逐步割接,可將現有以MSTP網絡承載的3G分組業務割接到分組承載傳送網上。
4.2 RNC接入端口不方便擴容
應將MSTP上的分組業務在匯聚層或核心層直接割接到分組承載傳送網上。通過分組承載傳送網設備與RNC相連。
就山東聯通目前的組網而言,由于還存在著大規模的2G/3G基站采用MSTP傳輸接入,在一定的時間段內無法保證IP化,因此還存在著核心設備與RNC有大量的CSTM-1口對接,RNC的擴容在未來2-3年內也將繼續進行,也會帶來一定規模的GE口擴容,因此中大型地市的綜合承載網與RNC互聯通過分組業務匯聚設備顯得更為合理。
5 傳輸背景人員快速融入IP RAN維護
引入分組傳送技術后,整個綜合承載傳送網解決方案都是以數通技術作為基礎,如何使傳輸背景人員快速融入IPRAN的建設維護顯得尤為重要,結合實際工作,建議從以下幾個方面入手:
5.1 比較傳統傳輸理念和IP化理念的異同
傳統的MSTP網絡屬于硬管道交換,所有業務都是建立端到端的連接通道占用固定帶寬,
但是綜合承載傳送不一樣,它既繼承了傳輸端到端OAM的特性,又有數據網絡逐跳建立連接的特性,整個網絡是一張彈性的網。我們可以借助傳統IP城域網的理念去類比IPRAN技術的相關概念,深入理解數通相關知識。
5.2 深刻認識全程全網和端到端業務理念
與傳統的MSTP一樣,綜合承載傳送網也需要建立端到端業務的概念,我們不僅僅需要理解分組網絡是如何進行信息傳遞的,而且還需要把無線接入和核心網納入到我們關注的范圍,從NODEB和UTN如何連接,RNC與UTN如何對接,整個數據流進入UTN以后如何進行封裝傳送等等,理解整個UTN、在配置數據排除故專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net障時才能得心應手。
5.3 認真學習實施方案
建議在工程建設期間認真學習具體的實施方案,一般而言,廠家會根據設計文件完成具體的實施方案,從組網方案、拓撲設計及設備選型、IP地址規劃、路由部署設計、MPLS隧道設計、業務部署設計、可靠性設計、時鐘/網管同步設計、QOS部署設計等等。這個過程可以幫助你學習完成一張網搭建所需的所有知識。
5.4 熟練掌握網管
網管需要掌握相關的數通知識,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要對解決方案中用到的知識點有個較深入的理解,另外一方 面我們又要熟練掌握網管的相關操作,在IPRAN的維護習慣上,我們更偏向于網管操作,不會像傳統數通設備維護那樣通過命令行進行操作,但是網管操作的基礎又是數通知識,因為網管只是提供一個界面,提升效率,真正要配置的還是數通協議。理論和網管是IPRAN的兩個關鍵點,兩者相輔相成缺一不可,所以我們要同時加強這兩方面的技能。
5.5 工程隨工學習
更多的現場隨工學習可以幫助你快速提升,深入現場多操作設備,通過實際對比分IPRAN技術與MSTP傳統傳輸的區別。工程建設期的隨工是一個很好的機會,因為工程建設期不用擔心業務是否受影響,操練起來能更充分。
6 結束語
綜合承載傳送網已經是一張成熟的網絡,但隨著技術的進一步發展,還有很多方面可以繼續深入探討并且完善,例如北方省分的二級匯聚(縣鄉層面)如何拓展,綜合業務區規劃帶來的網絡調整等等,隨著LTE的引入,綜合承載傳送網將發揮更大的作用,成為目標網絡架構的一張精品網。
論文摘要:MPLS技術提供了類似于虛電路的標簽交換業務,可以實現底層標簽自動的分配,在業務的提供上比傳統的VPN技術更廉價,更快速和安全的數據傳輸。同時MPLS VPN可以充分利用MPLS技術的一些先進特性,提供流量工程能力、服務質量保證等。DCN網絡作為公司內部各營業、辦公、網管、運維等各信息系統承載的網絡平臺,在應用系統整合的大趨勢下,對網絡健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環境背景下,成為DCN網絡改造的必然。
隨著公司的不斷發展,DCN網上承載的業務系統不斷增多,除“97”系統外,還有如網管集中監控系統、電源監控系統、客服系統、OA等及融合后3G網管系統等,有些應用系統對安全性要求較高比如OA和財務,有些系統對帶寬和網絡質量(QoS)要求較高。現有的網絡不能滿足“分而治之”的企業運作管理需要。由于信息系統集中整合的需要,實施此次MPLS升級改造。通過本次改造工程的實施,優化網絡結構,提高網絡的安全性、可靠性及整個DCN網的服務質量。由一張實體物理網實現虛擬多業務網,采用MPLS VPN隔離各類業務系統,骨干以現有DCN骨干網為基礎構建,接入網采用靈活的方式到終端,滿足企業內部應用的承載和安全需求。最終,DCN網絡中的終端與主機須劃入至各自所屬的MPLS VPN域中,實現各個VPN域之間的通信隔離,同時在各個VPN間建立數據通道,部署防火墻對經過數據通道的流量進行訪問控制,實現對不同VPN域的通信數據的有效安全控制。
1 MPLS VPN技術簡介
MPLS VPN是由若干不同的site組成的集合,一個site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性,不同VPN間可以有控制地實現互訪與隔離。
MPLS VPN網絡主要由CE、PE和P等3部分組成:CE(Custom Edge Router,用戶網絡邊緣路由器)設備直接與服務提供商網絡。設備與用戶的CE直接相連,負責VPN業務接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實現者:P(Provider Router,骨干網核心路由器)負責快速轉發數據,不與CE直接相連。在整個MPLS VPN中,P、PE設備需要支持MPLS的基本功能,CE設備不必支持MPLS。
PE是MPLS VPN網絡的關鍵設備,根據PE路由器是否參與客戶的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標準,使用MBGP在PE路由器之間分發路由信息,使用MPLS技術在VPN站點之間傳送數據,因而又稱為BGP/MPLS VPN。在MPLS VPN網絡中,對VPN的所有處理都發生在PE路由器上,為此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性,通過將8byte的RD作為IPv4地址前綴的擴展,使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的,它只用于骨干網絡上路由信息的分發。RT使用了BGP中擴展團體屬性,用于路由信息的分發,具有全局惟一性,同一個RT只能被一個VPN使用,它分成Import RT和Export RT,分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創建了一個虛擬路由轉發表VRF(VPN Routing & Forwarding),VRF為每個site維護邏輯上分離的路由表,每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置,運營商可以構建不同拓撲類型的VPN,如重疊式VPN和Hub-and-spoke VPN。
整個MPLS VPN體系結構可以分成控制面和數據面,控制面定義了LSP的建立和VPN路由信息的分發過程,數據面則定義了VPN數據的轉發過程。在控制層面,P路由器并不參與VPN路由信息的交互,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協議交互知道屬于某個VPN的網絡拓撲信息。除了路由協議外,在控制層面工作的還有LDP,它在整個MPLS網絡中進行標簽的分發,形成數據轉發的邏輯通道LSP。在數據轉發層面,MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后,PE路由器查找該子接口對應的VRF表,從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后,就通過PE輸出接口轉發出去,然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上,外層標簽被彈出,P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口,在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器,從而實現了整個數據轉發過程。
2 骨干遷移的三個關鍵問題
由于DCN網絡建設時間比較久,網絡結構比較復雜,如何從全部使用IP環境的DCN過渡到全部使用MPLS VPN環境的DCN成了此次網絡升級改造的重點。網絡改造期間,網絡的平穩運行無論對于市場還是對于業務系統都是至關重要的,由于MPLS VPN技術是對全省DCN網絡傳輸技術的徹底改變,如何在改變網絡協議結構的同時讓網絡仍然健康地運行成為實現MPLS VPN改造的首要問題。
過渡期間最應該考慮的關鍵三個問題是:
1)在IP環境下,各域間路由的互通問題。實現方法是先將組成DCN的各個IP網絡單元以地市為單位逐個改造為MPLS VPN 網絡單元,然后逐個與省公司建立MP BGP鄰居實現全網MPLS VPN化。
2)受控互訪的實現,即做到市公司在同一VPN區域內部互相之間不可見;市公司在同一VPN區域內部可以訪問省公司;市公司訪問處于不同VPN區域的省公司業務。方案設計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現。
3)VPN劃分與IP地址整理,DCN網絡建設前期并未考慮各個應用系統的MPLS VPN劃分,因此大多系統混雜在一起,或者接在同一臺設備,或者干脆就在同一個網段中,同時還存在生產與管理地址段混用的問題。具體系統混接的問題可以分為三類,地址混用、設備支持能力不足以及第二地址問題。
3 DCN網絡改造升級的設計
DCN網絡改造解決方案是融合MPLS、VPN和QOS技術的統一解決方案。方案采用MPLS作為承載數據傳輸的新協議,使用EIGRP作為主干IGP協議,MPLS VPN路由使用MP-IBGP以及路由反射器進行域內傳送,省公司采用背對背VRF方式與集團對接。
MPLS需要建立在IGP路由的基礎上,IGP協議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性,省骨干網使用的EIGRP協議,地市網絡根據自己網絡環境使用EIGRP或OSPF協議。所有協議在省網和市網之間重分發。整個網絡IGP協議互通。根據整體方案,各PE-CE路由協議保持原OSPF動態路由協議,在PE設備將OSPF路由重分發至MP-BGP。
各業務VPN互訪通過防火墻來實現。由于目前將DCN全網業務基本劃分為MS、BS、OS和OTHER這四個大的系統,跨系統流量如何導通成為一個較為重要的問題。如果全部使用重疊VPN的方式,一方面增加了維護的復雜度,另一方面違背了建設MPLS VPN的根本目標,重新給各業務系統帶來了安全隱患。采用防火墻和重疊VPN配合方式實現跨域互訪,省公司不同域的終端和主機通過省公司防火墻實現跨域互訪,地市公司終端或主機需要跨域訪問省公司系統,通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴格的安全策略,對各VPN之間流量進行過濾,這樣隔離的各MPLS VPN之間可以安全的進行數據通信,這樣即解決了各業務系統之間的互通問題,也保證了各業務系統的安全。
綜合前面所述,主要采用防火墻和重疊VPN配合方式實現跨域互訪,省公司不同域的終端和主機通過省公司防火墻實現跨域互訪,地市公司終端或主機需要跨域訪問省公司系統,通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪。
將各業務VPN為HUB-SPOKE模式,即各地市業務系統僅可與省中心進行通信,相互之間不可見,不能進行相互訪問。
在省公司和地市公司核心路由器連接防火墻,將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業務的訪問需求作相應的訪問控制,各VPN業務之間通過防火墻進行訪問。
4 MPLS VPN對DCN網絡的重要意義
由于應用系統整合方向是集團公司集中和省公司集中。集團、省集中應用系統通過DCN網絡進行信息交互,而應用系統整合除功能整合外,其物理整合和集中的形勢則表現為集中的企業數據中心,MPLS升級的重要意義體現在:
1)全網絡覆蓋:應用系統整合后,系統集中統一部署服務器,滿足地市、縣客戶端遠程訪問省級應用系統服務器,集團公司級應用系統和省級應用系統之間有信息交互的應用需求。
2)系統受控安全互訪需求:企業運作需要,不同應用系統間又有互訪的要求。例如:營帳綜合客戶端,處于辦公網,兼顧辦公和營帳工作,需訪問營帳系統;網管綜合客戶端,兼顧網管工作和辦公管理、資源管理、工單、故障單工作,經常在兩網間切換;因此需要DCN網絡進行安全隔離的同時,支持系統間受控互訪,通過用戶身份識別、訪問授權、隧道加密、安全策略部署等技術保證被訪系統的安全。
3)可用性要求:隨著信息化建設的深入,系統功能將逐步得到完善,傳送的信息內容將日趨豐富,VPN顆粒將趨向細化,VPN拓撲將日益復雜,對現有企業網絡的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網絡規劃建設中必需著重考慮的問題。
4)可靠性要求:DCN網絡承載著企業運作所需的重要應用和數據,在整個信息化系統中起到中樞神經的作用,網絡故障將影響企業正常運作。信息系統整合將導致地域性和功能性集中化程度的提高,從而增加了對DCN網絡的依賴。必需充分考慮網絡高可靠性,避免網絡設備和鏈路的單點故障,保證關鍵應用系統的訪問和接入,保證作為應用系統核心的企業數據中心的高效可靠的連接。
5)服務質量要求:DCN網絡是在同一物理網絡上承載多個相對獨立的業務系統,各業務系統為不同的職能部門開展業務提供服務,其數據流程和管理方式都存在差異,不同業務系統,需要網絡平臺提供差別服務,如對帶寬、實時性有不同的要求,網絡必須具備帶寬管理、資源預留、服務等級設置的能力。
在保證DCN網絡安全運行的前提下,有步驟、分階段實施MPLS改造,并按照規劃設計應用RT策略實現各系統互訪受控與隔離。目前,改造后的DCN網絡運行狀況良好。
在實現MPLS VPN后,受控互訪則變得相對輕松,僅僅需要在各個MPLS VPN路由環境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統間的訪問進行控制。隨著受控互訪的實現,全覆蓋、可用、可靠、優化傳輸以及可管理等周邊需求的實現也變得比較容易。一張實體物理網、虛擬多業務網,采用MPLS VPN隔離各類業務系統,骨干以現有DCN骨干網為基礎構建,接入網采用靈活的方式到終端。獨立統一的一張實體物理網,滿足企業內部應用的承載需求。虛擬多業務網,統一的業務隔離、受控互訪機制和統一的VPN業務接入機制。
5 結束語
MPLS VPN網絡改造的實現,極大的提高的DCN網絡的安全性,為前臺營業、辦公OA、運維網絡監控等各項不同的業務網絡應用提供可靠地保證。
參考文獻:
[1] 范亞芹,張麗翠,宋維剛.可提供MPLS VPN網絡安全性保障的解決方案[J].吉林大學學報:信息科學版,2005(03).
【關鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN
ZHU Yufeng(School of Electronics Engineering and Computer Science, Peking University, Beijing, 100871, China)
Abstract: L2 VPN is working at layer 2 of OSI network model, which can hide the geographical limitations and provide virtual private network service.
This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.
Key Words:L2 VPN, IPSec Tunnel, Virtualization
一、引言
隨著虛擬化及云計算的興起和應用,VPN隧道成為一個連接不同地區虛擬數據中心或者云計算中心的必備技術,其中L2 VPN工作在OSI網絡模型的第二層,它可以隱藏地域限制,提供虛擬專有網絡服務,能夠更好的滿足虛擬化及云計算的需求。
二、方法研究
L2 VPN基本的概念是將L2網橋和IPSec VPN網關結合,利用VPN隧道模擬物理網線,將2臺或者多臺跨越因特網的網橋連接起來。
如圖所示:
為了實現以上L2 VPN的功能,我們需要考慮以下因素:
(1)如何將L2數據包導向VPN隧道;
(2)如何封裝以太網幀;
(3)數據包的flow設計;
(4)如何支持VLAN;
(5)如何支持多站點多用戶(例如,星型拓撲)。
2.1重定向數據包到VPN隧道
為了很好的連接L2網橋和VPN網關,我們定義一個虛擬的隧道端口,用來解耦合網橋和VPN的功能。對于網橋來說,虛擬隧道端口就像是一個物理端口一樣,用來收發以太網數據包。對于VPN網關來說,虛擬隧道端口就是一個明文數據包進入加密隧道的入口,所有到達虛擬隧道端口的數據包,都將會被加密從隧道發出去。
虛擬隧道端口模擬物理以太網端口,它的功能如下:
(1)在內核中創建一個虛擬網絡端口;
(2)發送以太網數據包。而驅動程序的發送功能,就是VPN隧道加密。
(3)接收以太網數據包。VPN加密后,會把明文放到虛擬端口的接收隊列。
(4)支持網橋MAC反向學習。
(5)支持VLAN tag。
所有對于L2網橋看來,虛擬隧道端口和物理網橋端口沒有任何區別,收到和發送的都是以太網數據包。網橋也不知道VPN網關的存在。同樣,VPN網關也知道網橋的存在,到達VPN網關也只是以太網數據包。
2.2以太網數據包封裝
IPSec隧道工作在三層,用來設計封裝IP數據包,所以我們需要將以太網幀封裝成IP數據包,再將該IP數據包封裝成IPSec數據包。
我們可以考慮以下方式:
(1)EtherIP over IPSec;
(2)非標準的IPSec封裝;
(3)混合模式。
(8)VPN1收到ARP應答密文包,解密去EtherIP和IPSec包頭,查詢MAC地址表,得知出口是eth1,然后將報文發往PC1。此時,VPN1并且更新MAC地址表。
VPN2網橋的MAC表:
(9)PC1收到ARP應答明文包,學到PC2的MAC地址。然后發送ICMP請求到PC2。數據包的目的MAC是PC2-MAC,源MAC是PC1-MAC。
(10)VPN1收到ICMP請求,查詢MAC地址表得到出口是tun1,將數據包送到VPN隧道加密,然后發往VPN2網關。
(11)VPN2收到ICMP請求,查詢MAC地址表,得到出口是eth1,將數據包發送到PC2。
(12)PC2收到ICMP請求并發送ICMP應答,該應答數據包被發發送到VPN2。
(13)VPN2收到ICMP應答,查詢MAC地址表,得到出口是tun1,將數據包通過隧道發送到VPN1。
(14)VPN1收到ICMP應答,查詢MAC地址表,得到出口是eth1,將數據包發送到PC1。
3.1VLAN支持
二層網橋可能連接很多VLAN,隧道端口需要工作在TRUNK模式,這樣可以允許VLAN數據包通過VPN隧道。
拓撲如下:
EtherIP over IPSec可以封裝VLAN tag,但是overhead會比較大。一種優化的方法是分配每個tunnel端口和tunnel一個VALN tag,這樣就不需要封裝VLAN tag,提高有效載荷。
3.2星型拓撲支持
要支持Hub & Spoke星型拓撲,我們只需要再增加一個tunnel端口,并且把該端口綁定到一個到Spoke的VPN隧道。該設計非常靈活,易于擴展。
拓撲如下:
四、結束語
本文通過引入虛擬隧道端口,巧妙的將L2網橋和IPSec VPN網關結合在一起,簡單并且有效的將數據包重定向到VPN隧道。
另外,本文通過結合EtherIP over IPSec封裝發送多播和廣播數據包,IPSec封裝發送單播數據包,有效提高了VPN隧道的有效載荷和傳輸性能。
參考文獻
[1] RFC3378: EtherIP: Tunneling Ethernet Frames in IP Datagrams
[2] RFC2784: Generic Routing Encapsulation
[3] RFC3438: Layer Two Tunneling Protocol
[4] RFC4664: Framework for Layer 2 Virtual Private Networks
[5] RFC4665: Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks
[6] RFC4026; Provider Provisioned Virtual Private Network (VPN) Terminology
[7] RFC4301: Security Architecture for the Internet Protocol
關鍵詞:SSL VPN; IPsec VPN; 數字化校園; 遠程訪問
中圖分類號:TP393 文獻標識碼:A文章編號:2095-2163(2013)02-0032-03
0引言
隨著信息化進程的加快,各個高校對校園信息化投入不斷增加,致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺,但這些網絡資源和辦公平臺常常受到網絡的限制,只能在校園內部使用。本校2012年師生問卷調查顯示:居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源,均已感到極為不便。具體來說,教師在外網不能登錄學習平臺批改作業;行政人員出差時,不能獲取部門統計數據;大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足,亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛,深入的調研分析可知,VPN(Virtual Private Network)正是解決這一瓶頸的技術方案。
1VPN 的原理及SSL VPN方案的優勢
11VPN原理
VPN,即虛擬專用網絡,其含義指通過使用公共網絡基礎設施,利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接,適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時,VPN還向用戶提供了專用網絡所獨具的功能,但其本身卻不是一種真正意義上的獨立物理網絡,沒有固定物理線路連接。近年來,VPN技術已經大量應用于高校的移動辦公,并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是,用戶在網絡覆蓋的任意地點,首先,通過ADSL或者LAN方式接入互聯網;其后,通過撥號校園網的VPN網關,構建一條從用戶所在網絡地址到校園網的二層隧道;而后是VPN服務器給用戶分配相應的校園網地址,從而實現校園網數字化資源的遠程訪問[2]。
12兩種VPN方案的對比
按照協議劃分,VPN主要有兩大主流,分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障,IPsec協議是一組協議套件,包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層,通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性,最適合Site to Site之間的虛擬專用網。相比之下,SSL VPN采用的是SSL安全套接層協議,構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件,經過認證的用戶是通過Web瀏覽器而接入網絡,適用于Point to Site的連接方式。總體來看,相比于IPsec VPN方案,SSL VPN方案有三點優勢,具體如下。
(1)兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端,對用戶也無任何特殊的操作要求。用戶不需要下載客戶端,由此免去了對客戶端軟件的更新升級、配置維護,否則,在進行VPN策略調整的時候,其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議,就可以使客戶端簡便、安全地訪問內網信息,維護成本較低。
(2)提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備,由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能,可提供用戶級別鑒定,確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能,而在外的辦公行政人員還可以訪問某個特定部門的相關數據。
(3)具備更強的安全性。IPsec是基于網絡層的VPN方案,對IP應用均是高度透明的。而SSL VPN是基于應用層的,在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析
21訪問控制技術
訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前,通用的VPN方案中,常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備,SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL,而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制,控制策略不僅含有“允許”和“禁止”,還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層,管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略,管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子,定義不同的會話角色,并給與不同的訪問權限。另外,基于用戶的訪問控制需要維護大量的用戶信息,當前最流行的控制策略則是基于角色的訪問控制,在握手協議的過程中統一集成訪問控制的基礎功能,再將資源的控制權交托于可信的授權管理模型。
22性能分析
VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響,在設計數字化校園的VPN詳盡方案之前,有必要了解其性能指標。SSL VPN中,常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數,等。其中,連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目,用以度量被測VPN設備在單位時間內交易事務的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外,SSL VPN使用的是非對稱加密算法,這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作,為了保障服務器能夠正常工作,既可以限制SSL會話的數量,也可以添加服務器的數目。只是這兩種方式各有利弊,若限制會話數目,就會出現高峰期間的部分用戶無法連接服務器,而添加服務器數目又會大幅增加VPN系統的財務用度。因而,通常情況下,使用SSL加速器來提升加解密速度,進入SSL的數據流由加速器解密并傳給服務器,而外流的數據又經過加速器加密再回傳給客戶。服務器方面,只需要處理簡單的SSL請求,將消耗資源的工作完全交給加速器,全面有效地提升了VPN方案的整體性能。
3SSL-VPN下的數字化校園解決方案
31需求分析與設計目標
校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文;校外居住的教師也需要登錄圖書館期刊檢索系統,下載專業文獻;另外,因公在外的招生、財務人員又需要及時獲取部門的數字化信息,并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址,在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此,在外部訪問校園網之數字化校園時,就需要研發一個遠程訪問方案,該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種,分別是:在外居住的教師、大四實習生以及在外辦公的行政人員。
32系統體系結構
經過實地調研和深入分析,采用了SSL VPN架構,具體框架如圖1所示。
由圖1可知,這是一個基于Web模式的SSL VPN系統,在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中,SSL VPN服務器相當于一個網關,且具備雙重身份。對用戶而言,這是服務器,負責提供基于證書的身份鑒別;對應用服務器而言,則屬于客戶端的身份,并向服務器遞交訪問申請。由此,通過在防火墻后安裝VPN設備,校外用戶只需要打開IE瀏覽器,就可以訪問到校園數字化資源的URL。其后,SSL VPN 設備將取得連接并驗證用戶的身份,此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了技術,所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能,優先考慮SSL VPN服務器的性能,將需要消耗大量資源的加解密工作交給加速器。實現過程中,采用的設備是由Cisco ASA建立Web VPN服務器,而將Radius Server作為驗證用戶身份的服務器。
33改進型安全策略——基于角色的控制
本校SSL VPN系統采用的是基于角色的訪問控制策略,既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上,校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現,可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性,系統在進行安全認證時,就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限,而后給出該用戶可以訪問的資源列表信息。另外,用戶在登錄VPN系統時,還需要在登錄界面輸入身份信息。
4結束語
隨著校外用戶對數字化校園資源訪問需求的日益迫切增長,使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利,因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上,由網絡中心主持設計并全面實現了SSL VPN系統。目前,本校SSL VPN系統運轉良好,能夠滿足現有的使用需求,并且也具備了一定的擴展能力。當然,該實施方案并不是唯一可選,當校園網的VPN用戶數量并不多、要求也不高時,就可以考慮軟件型VPN方案。不然,還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。
參考文獻:
[1]王達. 虛擬專用網(VPN)精解[M]. 北京:清華大學出版社,2004:45-46.
[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學,2007,25(7):1158-1061.
[3]徐家臻,陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計,2004,25(4):186-188.
[4]沈海波,洪帆. 訪問控制模型研究綜述[J].計算機應用研究,2005,32(5):9-11.
論文關鍵詞:VPN;供電企業;信息化
論文摘要:縣級供電企業在推進信息化過程中,普遍存在著成本過大,安全系數較低以及建設周期長等問題。結合廬江供電公司在開展城鄉營銷管理信息化建設中出現的問題進行分析,提出利用VPN實現全公司網絡互聯的解決方案,并分析了下一步信息化的主攻方向。
0引言
隨著電力信自、化水平的不斷提高,縣級供電企業綜合管理信息系統開始逐步建立,但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用,這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響,解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。
1廬江供電公司信息化建設現狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行,總部信息化運行提高了企業的整體管理水平和辦公效率。如今,廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統,現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺,每位管理人員以及每個班組都配有微機。
在實施信息化建設與管理中,深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本,并在生產管理中可將所有設備信息進行分類編號,輸人數據庫,實行設備、設施缺陷管理,科學地制定缺陷檢修計劃,提高設備運行可靠度,降低故障率,提高供電可靠性;同時,廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統,通過這些系統,可方便與客戶的交流、溝通,節約成本開支,實現科學化營銷流程管理。這些管理信息系統的應用,加強J’企業的規范化管理,增強了管理的科學化水平,減輕了工作人員的負擔,提高了企業的經濟效益。
為此,廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度,進一步減輕了抄表人員的負擔,縮短了開票時間,加強了電費電價的控制與管理,提高了營銷管理自動化水平。全縣17個鄉鎮供電聽,都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機,其中1臺所長用于日常辦公,另外2臺分別作為用電MIS系統的服務器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個供電所可利用變電站的光纖系統,與廬江供電公司總部實現網絡互聯,提高了工作效率,節省了開支。其余7個供電所仍不能夠實現信息化共享,這些供電所非常希望盡快網絡互聯。
2采用VPN方案推進供電所信息化建設進程
這些供電所若使用以前的光纖聯網方式,不僅投資大,施工工期長,而且日后的維護量也多。考慮到以上原因,為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題,達到信息、共享,推廣鄉鎮供電所的營銷MIS系統應用,公司決定采用虛擬局域網(VPN),在現有設備基礎上,進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略,并分別在7個供電所安裝VPN客戶端,安裝公司的MIS應用系統,實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術,可以在公用的互聯網上建立安全的虛擬專用網絡(VPN , Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程,該過程把數據安全地從一端傳送到另一端,這里數據的安全性由可靠的加密技術來保障,而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。
3方案效果比較
對2種方案的可能性進行了比較,如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯,每個供電所的材料費、施工費按3.5萬元,施工工期10天計算,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天。若這7個供電所采用VPN方案,只需要購買VPN網關1臺,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元,5天內就能完成7個供電所安裝。因此,應用VPN方案,廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護所需要工作量。
現在,這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網,在局域網下載內容的速度可達350 kb/s,生產MIS系統響應時間為2--3 s,辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路,所以發送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運行效果來看,完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。
4下一步信息化建設的主攻方向
目前,廬江供電所信息化還處于初級階段,對電力企業信息化建設的目標還沒有完全形成統一的管理標準;同時,廬江供電公司在實施VPN技術后,也清楚地看出:VPN是一種虛擬專用網絡,而不是一種真正的專用網絡。因此,廬江供電公司打算設立嚴格的管理制度,包括嚴格的權限管理,無關人員無權查看、改動數據,VPN客戶端的用戶與密碼管理等,建立起一套計算機管理操作等規章制度,使整個網絡安全有序地運行。此外,該公司今后還將加大對供電所使用人員的計算機培訓力度,包括計算機知識在內的應用培訓,促進操作人員更好地使用軟件,提高操作人員計算機水平,也為計算機應用在企業內部得到更好地發展起到一定的推動作用,并充實培養供電聽計算機網絡管理人員、信息安全管理人員,把信息化建設中的培訓工作貫穿始終,進而拓寬信息化的覆蓋面,保證信息、化工作的健康發展,讓VPN技術更好地為廬江供電公司信息化、專業化、現代化服務。
