论文部分内容阅读
[摘 要]随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来看,VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下分析。
[关键词]VPN 实现技术
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2014)46-0357-01
1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
与拨号网络不同的是,VPN始终是在公用网络(如Internet)之上的,在VPN客户端和虚拟专用网服务器之间的是一种逻辑的、非直接的连接。要保证数据安全,必须通过连接传送的数据进行加密。
根据VPN客户端类型的不同,VPN有两种典型的应用,分别是:远程访问VPN和站点到站点VPN。
远程访问VPN:是指公司已经连接到Internet,移动用户通过客户端的远程拨号连接到ISP并进入Internet后,通过隧道技术与公司的VPN服务器建立连接,利用隧道技术的加密、验证等手段实现数据的安全传输。
站点到站点VPN:是指在两个局域网的VPN服务器之间利用隧道技术建立连接,利用隧道技术的加密、验证等手段实现数据的安全传输。
2 VPN技术特点
VPN技术之所以成功、高效,主要是因为VPN可以使用隧道、身份验证和加密等技术来建立一个安全的网络连接。最突出的特点就是以下几个方面。
(1)低成本运行。使用Internet作为连接方法不仅可以节省长途电话费用,而且需要的硬件也很简单,不需要特殊的设备支持。
(2)高安全性。身份验证可防止未经授权的用户接入公司内部网络。通过使用各种加密方法,使黑客难以破解通过VPN连接传送的数据,从而实现在公共网络上数据的安全传输。
(3)服务质量保证。VPN网可以为数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。对于拥有众多分支机构的VPN 网络,交互式的内部企业网则要求网络能提供良好的稳定性;对于其他应用,则对网络的实时性提出了更高的要求。
3 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
3.1 隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation,GRE )。
(1) GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
3.2 加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3 QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得VPN用户能够降低成本、提高效率、增强安全性,VPN将是广大用户的最终选择。
参考文献
[1] 朱居正陕华.网络组建与管理实训教程.清华大学出版社,2011.1.
[2] 姚华婷.网络服务器配置与管理.人民邮电出版社,2012.6.
[3] 唐华曹卓琳。Windows Server2003系统管理与网络管理(第2版)。电子工业出版社。2014.8.
[关键词]VPN 实现技术
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2014)46-0357-01
1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
与拨号网络不同的是,VPN始终是在公用网络(如Internet)之上的,在VPN客户端和虚拟专用网服务器之间的是一种逻辑的、非直接的连接。要保证数据安全,必须通过连接传送的数据进行加密。
根据VPN客户端类型的不同,VPN有两种典型的应用,分别是:远程访问VPN和站点到站点VPN。
远程访问VPN:是指公司已经连接到Internet,移动用户通过客户端的远程拨号连接到ISP并进入Internet后,通过隧道技术与公司的VPN服务器建立连接,利用隧道技术的加密、验证等手段实现数据的安全传输。
站点到站点VPN:是指在两个局域网的VPN服务器之间利用隧道技术建立连接,利用隧道技术的加密、验证等手段实现数据的安全传输。
2 VPN技术特点
VPN技术之所以成功、高效,主要是因为VPN可以使用隧道、身份验证和加密等技术来建立一个安全的网络连接。最突出的特点就是以下几个方面。
(1)低成本运行。使用Internet作为连接方法不仅可以节省长途电话费用,而且需要的硬件也很简单,不需要特殊的设备支持。
(2)高安全性。身份验证可防止未经授权的用户接入公司内部网络。通过使用各种加密方法,使黑客难以破解通过VPN连接传送的数据,从而实现在公共网络上数据的安全传输。
(3)服务质量保证。VPN网可以为数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。对于拥有众多分支机构的VPN 网络,交互式的内部企业网则要求网络能提供良好的稳定性;对于其他应用,则对网络的实时性提出了更高的要求。
3 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
3.1 隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation,GRE )。
(1) GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
3.2 加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3 QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得VPN用户能够降低成本、提高效率、增强安全性,VPN将是广大用户的最终选择。
参考文献
[1] 朱居正陕华.网络组建与管理实训教程.清华大学出版社,2011.1.
[2] 姚华婷.网络服务器配置与管理.人民邮电出版社,2012.6.
[3] 唐华曹卓琳。Windows Server2003系统管理与网络管理(第2版)。电子工业出版社。2014.8.