时间:2022-10-27 07:34:14
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇vpn技术论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:虚拟专用网vpn远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
组播VPN是基于MPLSL3VPN来实现组播传输的技术。如图1所示,网络中同时承载着两个相互独立的组播业务:公网实例、VPN实例A。公共网络边缘PE组播设备支持多实例。各实例之间形成彼此隔离的平面,每个实例对应一个平面。以VPN实例A为例,组播VPN指:当VPNA中的组播源向某组播组发送组播数据时,在网络中所有可能的接收者中,仅属于VPNA(即Site1、Site3或Site5中)的组播组成员才能收到该组播源发来的组播数据。组播数据在各Site及公网中均以组播方式进行传输。其中,实现组播VPN所需具备的网络条件如下:(1)在每个Site内支持基于VPN实例的组播。(2)在公共网络内支持基于公网实例的组播。(3)PE设备支持多实例组播,即支持基于VPN实例和公网实例的组播,并支持支持公网实例与VPN实例之间的信息交互和数据转换。为了满足以上条件,互联网工程任务组(IETF)最终形成制定了以MD(MulticastDomain)组播域方案来实现组播VPN的标准。MD方案的基本思想是:在骨干网中为每个VPN维护一棵称为Share-MDT的组播转发树。来自VPN中任一Site的组播报文都会沿着Share-MDT被转发给属于该MD的所有PE。MD是一个集合,它由一些相互间可以收发组播数据的VRF组成。其中,支持组播业务的VRF为MVRF,它同时维护单播和组播路由转发表。PE收到组播报文后,如果其MVRF内有该组播组的接收者,则继续向CE转发;否则将其丢弃。不同的MVRF加入到同一个MD中,通过MD内自动建立的PE间的组播隧道(MT)将这些MVRF连接在一起,实现了不同Site之间的组播业务互通。每个MD会被分配一个独立的组播地址,称为Share-Group。当两个MVRF之间通信时,用户报文以GRE方式被封装在骨干报文里通过MT进行传输,骨干报文的源地址为PE用来建立BGP连接所使用的接口IP地址,目的地址为Share-Group。
2民航数据通信网中组播VPN的实现
在民航数据通信网中实现组播VPN主要需完成骨干网络的准备工作以及组播VPN设计与实施等工作。
2.1组播VPN的规划设计民航ATM数据网华东地区ATM交换机上的RPM-PR板卡提供了MPLSVPN业务,目前部署的MPLSVPN业务网络拓扑为星形结构,即由区域一级节点9槽RPM板卡作为P设备和路由反射器,而其他节点均为PE设备。华东地区ATM网络中同时承载着两个相互独立的组播业务:ATM数据网公网组播实例和名为YJCJ2的用户私网组播实例。VPN组播实例是通过在P和PE设备上部署实现的,网络中,作为P和PE的RPM板卡上运行着公网组播实例,而作为PE的RPM板卡同时又运行着用户私网组播实例。公网的组播实例是在所有RPM板卡上开启组播应用。上海虹桥和浦东机场两个节点的10槽RPM板卡负责接入用户的VPN组播业务,所以需在这两台设备上部署MPLSVPN应用,并在这两个用户站点相应的VRF实例中开启组播应用。在本案例中,VPN用户接入侧要求使用的是PIM密集模式,而民航数据网MPLSVPN公网则使用的是PIM稀松模式。在MPLSVPN网络中不同用户的VPN站点都是彼此逻辑独立的,并且VPN用户数据封装MPLS标签后通过公网的PE和P设备进行传输。对于VPN组播来说,数据的传输模式也是类似的。PE设备通过将该VPN实例中的用户VPN组播数据报文封装成公网所能“识别”的公网组播数据报文进行组播转发。这种将私网组播报文封装成公网组播报文的过程就叫做构造组播隧道(MT)。在PE上,每个VPN用户的组播数据是通过不同的MTI(MulticastTunnelInterfac)组播隧接口在公网构造组播隧道,参见图2。由于公网、VPN网以及用户接入侧各组播部署中都采用PIM协议启用了组播应用,MPLSVPN中组播应用包含如下的PIM邻居关系:(1)PE-P邻居关系:指PE上公网实例接口与链路对端P上的接口之间所建立的PIM邻居关系。(2)PE-PE邻居关系:指PE上的VPN实力通过MTI收到远端PE上的VPN实例发来的PIMHello报文后建立的邻居关系。(3)PE-CE邻居关系:指PE上绑定VPN实例的接口与链路对端CE上的接口之间建立的PIM邻居关系。部署公网组播实例需在华东地区所有相关RPM板卡开启组播服务,考虑到密集模式对RPM设备和骨干网资源的开销,在民航ATM数据网中使用了PIM稀松模式。根据网络的物理网络拓扑模型,选取上海虹桥9槽RPM板卡作为RP。
2.2组播VPN的实施运行在MPLSVPN网络中的P和PE设备上部署PIM协议,这些设备之间会形成PE-P邻居关系,从而使得公网支持组播功能,并形成公网的组播分发树。本案例中使用PIM稀松模式,即在虹桥和浦东机场节点的9、10槽RPM板卡的配置底层IGP路由协议的接口上部署PIM稀松模式,这样就构造了公网的PIM共享树。在传输用户私网组播报文的PE上部署基于VRF实例的组播,一个VPN实例唯一制定一个Share-Group地址。同一个VPN组播域内的PE之间形成PE-PE邻居,并形成该组播域的共享组播分发树(Share-MDT)。在本例中就是在虹桥和浦东机场的10槽YJCJ2VRF实例中部署相应的defaultMDT地址239.255.0.5。用户CE设备和PE连接CE的相应接口启用组播,本例中使用PIM密集模式。这样就形成了PE-CE邻居关系。本例中是在虹桥和浦东机场节点的相应VPN业务端口配置PIM密集模式。当用户有组播报文需要传输的时候,就将组播报文发送给PE的VRF实例,PE设备收到报文后识别组播数据所属的VRF实例。用户私网的数据报文对于公网是透明的,不论数据归属或类别,PE都统一将其封装为公网组播数据报文,并以Share-Group作为其所属的公网组播组。一个Share-Group唯一对应一个MD,并利用公网资源唯一创建一棵Share-MDT进行数据转发。在该VPN中所有私网组播报文,都通过此Share-MDT进行转发。如图3所示,可以看到华东地区公网上的Share-MDT创建的过程。虹桥节点10槽RPM向9槽RPM(RP节点)发起加入消息,以Share-Group地址作为组播组地址,在公网沿途的设备上分别创建(*,239.255.0.5)表项。同时虹桥浦东机场节点也发起类似的加入过程,最终在MD中形成一棵以虹桥节点9槽RPM为根,以虹桥、浦东机场节点10槽RPM为叶的共享树(RPT)。随后,虹桥和浦东机场节点10槽RPM的公网实例向公网RP发起注册,并以自身BGP的router-id地址作为组播源地址、Share-Group地址作为组播组地址,在公网的沿途设备上分别创建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表项,形成连接PE和RP的最短路径树(SPT)。在PIM-SM网络中,由(*,239.255.0.5)和这两棵相互独立的SPT共同组成了Share-MDT。虹桥节点PE的私网组播报文在进入公网后,均沿该Share-MDT向浦东机场节点PE转发。图4是私网组播报文在公网中转发的过程。当浦东机场节点的YJCJ2VPN用户CE设备加入到虹桥节点数据源所在的组播组,此时由于这两个站点部署为PIM-DM模式,虹桥节点组播设备会立刻将数据推送到虹桥节点10槽RPM的YJCJ2VRF实例中,并通过该VPN构建的Share-MDT在公网上以(20.51.5.6,239.255.0.5)构建的SPT进行公网组播报文传输。当公网组播报文被浦东机场10槽PE设备收到后会将其解封装成原始的私网组播报文,并转发给相应的接收CE,最终完成用户私网组播数据在MPLSVPN网络中的传输。
3总结
关键词:VPN,MPLS,BGP,WAN
随着广域网(WAN)的应用需求不断增长,通信运营商竞争不断加剧,新的WAN的解决方案必须在降低实施、运营成本的同时,提供更快的响应时间、更好的服务质量(QoS)以及足够的安全性。VPN技术的出现,满足了市场需求。
传统的解决方案是采用搭建物理链路的专网,VPN采用在公共IP网络商构建企业IP虚拟专网。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
1.技术分析1:VPN虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
如此需要迫切解决的两个问题:
一:动态创建隧道。通过MPLS协议解决了这个问题。
二:路由冲突问题。通过BGP协议解决了这个问题。
2:MPLSMPLS(Multi Protocol Label Switch:多协议标签交换)提供了快速包转发和动态建立隧道的技术。论文大全。MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等其它各类信息。MPLS的报文Head结构如下图:
本篇校园网论文介绍加强对新技术在校园网中的应用理论研究,对实际的发展有着重要的指导性。
1 MPLS技术原理及体系结构分析
1.1 MPLS技术原理分析
从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。 1.2 MPLS体系结构分析
MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。
通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。
2 MPLS VPN技术在校园网中的规划设计及应用
2.1 MPLS VPN技术在校园网中的规划设计分析
通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。
2.2 MPLS VPN技术在校园网中的实际应用
通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。
另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。
网络通信的大部分信息不再来自工作组内部,主要是来自于外部对因特网的访问,倘若是对第三层QOS问题得到有效解决,那么在校园网中所有第三层网络设备就会成为校园网QOS的发展瓶颈。从当前的大型复杂网络建设过程中能够发现,通过对MPLS VPN技术的有效应用,能够将信息受控访问及安全隔离等问题得到有效的解决,这一技术能够保证各业务系统逻辑网络相对独立性,并对各种类型的业务系统安全性有着很强的保护作用,所以在校园网的应用上有着比较广阔的前景。
山东联通在2012年开始分组承载传送网的建设,2013年基本完成核心汇聚层面和市区接入层面的全覆盖,分组传送网设备集采中标厂家包括华为、中兴和贝尔,三个厂家在各地市分别进行了综合承载传送网的建设。其中组网结构、业务承载方案,与RNC对接方案等关键点成为时下讨论研究的重点。
2 综合承载传送网的组网结构
综合承载传送网采用分层结构组网,分为核心汇聚层和边缘接入层。核心汇聚层组网结构主要分为三种:环形组网、口字型组网和双上联组网。
山东联通各地市组网主要采用环形和口字型组网方式。双上联组网和口字型组网结构类似,但由于需要耗费大量的光纤资源或者波分波道资源,因此在实际组网时主要还是采用折中的口字型组网方式。
边缘专业提供论文写作和写作论文的服务,欢迎光临dylw.net接入层主要根据光纤资源情况,分为双挂环形组网和单挂环形组网方式,一般光纤资源能保证的区域优先选用双挂方式,因为双挂方式除了能实现传统的路径保护(1:1 LSP)外,还能实现双归保护,从而避免汇聚设备单点故障引起的大面积掉站。
3 业务承载方案
3.1 业务承载需求
山东联通综合承载传送网主要有两大类业务承载需求:
⑴基站回传等自营业务或者系统的承载需求:
具备IP化、以太化基站的接入能力,提供高可靠、大容量的基站回传流量的承载;
满足LTE网络的承载需求,实现基站间灵活互访、基站多归属、基站组播等承载能力;
能够满足动力监控、综合业务接入网网管等各类系统的承载需求。
⑵政企业务或者大客户的承载需求:
⑶提供高可靠、大容量的二、三层VPN接入能力,能够满足点到点、点到多点、多点到多点等二、三层VPN的组网需求;
⑷具备电路仿真能力,提供ATM/FR/DDN等电路的接入能力。
3.2 承载方案分析
山东联通综合承载传送网的业务承载方案可归结为三点:
⑴对于2G和3G基站的TDM业务,可以采用伪线方式一PWE3实现。并在核心节点采用CSTM1端口进行汇聚。El业务一般采用SAToP方式,封装帧数和抖动缓存暂按设备缺省值取定。
⑵对于TDM、以太网、ATM等大客户专线,应采用相应的伪线方式实现。对于L3VPN的大客户专线,可采用核心汇聚层L3VPN加边缘接入层伪线、层次化L3VPN等两种方式实现。
⑶对于未来的LTE业务,分组传送网络需要承载s1和X2接口的流量。业务对IP转发的层面要求将进一步下移。可采用核心汇聚层L3VPN或层次化L3VPN到边缘的方式。
不同厂家对于3G IP业务承载方案的推荐会有所不同,就山东联通而言,基站数据域业务承载方式主要存在两种,(1)L3VPN部署到边缘-华为主推;(2)L3VPN部署到汇聚-中兴和贝尔主推。两者各有优势,L3VPN部署到边缘需要为基站互联端口分配IP地址,根据目前3G基站的IP地址分配规则,会涉及大量基站的IP地址调整,但符合中远期网络的演进思路;L3VPN部署到汇聚,基站IP地址的调整量将大大减少,与现有MSTP提供3G移动回传FE的业务提供方式、维护方式相似度高,利于分组传送技术引入后网络运行维护的逐步过渡。
山东联通综合承载传送网的业务承载方案如图3和图4:
4 综合承载传送网与RNC的互联方案
目前,山东联通2G/3G基站的电路域业务在核心机房均通过155M电路与BSC/RNC直接相连。3G基站的分组专业提供论文写作和写作论文的服务,欢迎光临dylw.net域业务与RNC对接现网有两种方式,一种是RNC直接与分组承载传送网业务汇聚设备互连,另一种是RNC通过CE与分组承载传送网互连。
在RNC直接与分组承载传送网互联情况下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口扩容
通过对RNC的GE和STM-1端口成对扩容,满足与分组承载传送网业务互联的需求,同时可以减少对已有3G业务的影响。通过逐步割接,可将现有以MSTP网络承载的3G分组业务割接到分组承载传送网上。
4.2 RNC接入端口不方便扩容
应将MSTP上的分组业务在汇聚层或核心层直接割接到分组承载传送网上。通过分组承载传送网设备与RNC相连。
就山东联通目前的组网而言,由于还存在着大规模的2G/3G基站采用MSTP传输接入,在一定的时间段内无法保证IP化,因此还存在着核心设备与RNC有大量的CSTM-1口对接,RNC的扩容在未来2-3年内也将继续进行,也会带来一定规模的GE口扩容,因此中大型地市的综合承载网与RNC互联通过分组业务汇聚设备显得更为合理。
5 传输背景人员快速融入IP RAN维护
引入分组传送技术后,整个综合承载传送网解决方案都是以数通技术作为基础,如何使传输背景人员快速融入IPRAN的建设维护显得尤为重要,结合实际工作,建议从以下几个方面入手:
5.1 比较传统传输理念和IP化理念的异同
传统的MSTP网络属于硬管道交换,所有业务都是建立端到端的连接通道占用固定带宽,
但是综合承载传送不一样,它既继承了传输端到端OAM的特性,又有数据网络逐跳建立连接的特性,整个网络是一张弹性的网。我们可以借助传统IP城域网的理念去类比IPRAN技术的相关概念,深入理解数通相关知识。
5.2 深刻认识全程全网和端到端业务理念
与传统的MSTP一样,综合承载传送网也需要建立端到端业务的概念,我们不仅仅需要理解分组网络是如何进行信息传递的,而且还需要把无线接入和核心网纳入到我们关注的范围,从NODEB和UTN如何连接,RNC与UTN如何对接,整个数据流进入UTN以后如何进行封装传送等等,理解整个UTN、在配置数据排除故专业提供论文写作和写作论文的服务,欢迎光临dylw.net障时才能得心应手。
5.3 认真学习实施方案
建议在工程建设期间认真学习具体的实施方案,一般而言,厂家会根据设计文件完成具体的实施方案,从组网方案、拓扑设计及设备选型、IP地址规划、路由部署设计、MPLS隧道设计、业务部署设计、可靠性设计、时钟/网管同步设计、QOS部署设计等等。这个过程可以帮助你学习完成一张网搭建所需的所有知识。
5.4 熟练掌握网管
网管需要掌握相关的数通知识,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要对解决方案中用到的知识点有个较深入的理解,另外一方 面我们又要熟练掌握网管的相关操作,在IPRAN的维护习惯上,我们更偏向于网管操作,不会像传统数通设备维护那样通过命令行进行操作,但是网管操作的基础又是数通知识,因为网管只是提供一个界面,提升效率,真正要配置的还是数通协议。理论和网管是IPRAN的两个关键点,两者相辅相成缺一不可,所以我们要同时加强这两方面的技能。
5.5 工程随工学习
更多的现场随工学习可以帮助你快速提升,深入现场多操作设备,通过实际对比分IPRAN技术与MSTP传统传输的区别。工程建设期的随工是一个很好的机会,因为工程建设期不用担心业务是否受影响,操练起来能更充分。
6 结束语
综合承载传送网已经是一张成熟的网络,但随着技术的进一步发展,还有很多方面可以继续深入探讨并且完善,例如北方省分的二级汇聚(县乡层面)如何拓展,综合业务区规划带来的网络调整等等,随着LTE的引入,综合承载传送网将发挥更大的作用,成为目标网络架构的一张精品网。
论文摘要:MPLS技术提供了类似于虚电路的标签交换业务,可以实现底层标签自动的分配,在业务的提供上比传统的VPN技术更廉价,更快速和安全的数据传输。同时MPLS VPN可以充分利用MPLS技术的一些先进特性,提供流量工程能力、服务质量保证等。DCN网络作为公司内部各营业、办公、网管、运维等各信息系统承载的网络平台,在应用系统整合的大趋势下,对网络健壮性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在这样的环境背景下,成为DCN网络改造的必然。
随着公司的不断发展,DCN网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、OA等及融合后3G网管系统等,有些应用系统对安全性要求较高比如OA和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次MPLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个DCN网的服务质量。由一张实体物理网实现虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和安全需求。最终,DCN网络中的终端与主机须划入至各自所属的MPLS VPN域中,实现各个VPN域之间的通信隔离,同时在各个VPN间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同VPN域的通信数据的有效安全控制。
1 MPLS VPN技术简介
MPLS VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。
MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络。设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Router,骨干网核心路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由协议交互知道属于某个VPN的网络拓扑信息。除了路由协议外,在控制层面工作的还有LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
2 骨干迁移的三个关键问题
由于DCN网络建设时间比较久,网络结构比较复杂,如何从全部使用IP环境的DCN过渡到全部使用MPLS VPN环境的DCN成了此次网络升级改造的重点。网络改造期间,网络的平稳运行无论对于市场还是对于业务系统都是至关重要的,由于MPLS VPN技术是对全省DCN网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现MPLS VPN改造的首要问题。
过渡期间最应该考虑的关键三个问题是:
1)在IP环境下,各域间路由的互通问题。实现方法是先将组成DCN的各个IP网络单元以地市为单位逐个改造为MPLS VPN 网络单元,然后逐个与省公司建立MP BGP邻居实现全网MPLS VPN化。
2)受控互访的实现,即做到市公司在同一VPN区域内部互相之间不可见;市公司在同一VPN区域内部可以访问省公司;市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPOKE方式和对PE、CE层面实施控制来实现。
3)VPN划分与IP地址整理,DCN网络建设前期并未考虑各个应用系统的MPLS VPN划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。
3 DCN网络改造升级的设计
DCN网络改造解决方案是融合MPLS、VPN和QOS技术的统一解决方案。方案采用MPLS作为承载数据传输的新协议,使用EIGRP作为主干IGP协议,MPLS VPN路由使用MP-IBGP以及路由反射器进行域内传送,省公司采用背对背VRF方式与集团对接。
MPLS需要建立在IGP路由的基础上,IGP协议对MPLS的主要作用就是保证MPLS邻居之间的可达性和MBGP邻居之间的可达性,省骨干网使用的EIGRP协议,地市网络根据自己网络环境使用EIGRP或OSPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案,各PE-CE路由协议保持原OSPF动态路由协议,在PE设备将OSPF路由重分发至MP-BGP。
各业务VPN互访通过防火墙来实现。由于目前将DCN全网业务基本划分为MS、BS、OS和OTHER这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠VPN的方式,一方面增加了维护的复杂度,另一方面违背了建设MPLS VPN的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。通过在防火墙上配置严格的安全策略,对各VPN之间流量进行过滤,这样隔离的各MPLS VPN之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。
综合前面所述,主要采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。
将各业务VPN为HUB-SPOKE模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。
在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制,各VPN业务之间通过防火墙进行访问。
4 MPLS VPN对DCN网络的重要意义
由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCN网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,MPLS升级的重要意义体现在:
1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。
2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要DCN网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。
3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,VPN颗粒将趋向细化,VPN拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及VPN支持能力是网络规划建设中必需着重考虑的问题。
4)可靠性要求:DCN网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对DCN网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。
5)服务质量要求:DCN网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。
在保证DCN网络安全运行的前提下,有步骤、分阶段实施MPLS改造,并按照规划设计应用RT策略实现各系统互访受控与隔离。目前,改造后的DCN网络运行状况良好。
在实现MPLS VPN后,受控互访则变得相对轻松,仅仅需要在各个MPLS VPN路由环境之间的数据通道上部署防火墙即可对各VPN间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的VPN业务接入机制。
5 结束语
MPLS VPN网络改造的实现,极大的提高的DCN网络的安全性,为前台营业、办公OA、运维网络监控等各项不同的业务网络应用提供可靠地保证。
参考文献:
[1] 范亚芹,张丽翠,宋维刚.可提供MPLS VPN网络安全性保障的解决方案[J].吉林大学学报:信息科学版,2005(03).
【关键词】L2 VPNIPSec隧道虚拟化The Research and Design of IPSec-based L2 VPN
ZHU Yufeng(School of Electronics Engineering and Computer Science, Peking University, Beijing, 100871, China)
Abstract: L2 VPN is working at layer 2 of OSI network model, which can hide the geographical limitations and provide virtual private network service.
This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.
Key Words:L2 VPN, IPSec Tunnel, Virtualization
一、引言
随着虚拟化及云计算的兴起和应用,VPN隧道成为一个连接不同地区虚拟数据中心或者云计算中心的必备技术,其中L2 VPN工作在OSI网络模型的第二层,它可以隐藏地域限制,提供虚拟专有网络服务,能够更好的满足虚拟化及云计算的需求。
二、方法研究
L2 VPN基本的概念是将L2网桥和IPSec VPN网关结合,利用VPN隧道模拟物理网线,将2台或者多台跨越因特网的网桥连接起来。
如图所示:
为了实现以上L2 VPN的功能,我们需要考虑以下因素:
(1)如何将L2数据包导向VPN隧道;
(2)如何封装以太网帧;
(3)数据包的flow设计;
(4)如何支持VLAN;
(5)如何支持多站点多用户(例如,星型拓扑)。
2.1重定向数据包到VPN隧道
为了很好的连接L2网桥和VPN网关,我们定义一个虚拟的隧道端口,用来解耦合网桥和VPN的功能。对于网桥来说,虚拟隧道端口就像是一个物理端口一样,用来收发以太网数据包。对于VPN网关来说,虚拟隧道端口就是一个明文数据包进入加密隧道的入口,所有到达虚拟隧道端口的数据包,都将会被加密从隧道发出去。
虚拟隧道端口模拟物理以太网端口,它的功能如下:
(1)在内核中创建一个虚拟网络端口;
(2)发送以太网数据包。而驱动程序的发送功能,就是VPN隧道加密。
(3)接收以太网数据包。VPN加密后,会把明文放到虚拟端口的接收队列。
(4)支持网桥MAC反向学习。
(5)支持VLAN tag。
所有对于L2网桥看来,虚拟隧道端口和物理网桥端口没有任何区别,收到和发送的都是以太网数据包。网桥也不知道VPN网关的存在。同样,VPN网关也知道网桥的存在,到达VPN网关也只是以太网数据包。
2.2以太网数据包封装
IPSec隧道工作在三层,用来设计封装IP数据包,所以我们需要将以太网帧封装成IP数据包,再将该IP数据包封装成IPSec数据包。
我们可以考虑以下方式:
(1)EtherIP over IPSec;
(2)非标准的IPSec封装;
(3)混合模式。
(8)VPN1收到ARP应答密文包,解密去EtherIP和IPSec包头,查询MAC地址表,得知出口是eth1,然后将报文发往PC1。此时,VPN1并且更新MAC地址表。
VPN2网桥的MAC表:
(9)PC1收到ARP应答明文包,学到PC2的MAC地址。然后发送ICMP请求到PC2。数据包的目的MAC是PC2-MAC,源MAC是PC1-MAC。
(10)VPN1收到ICMP请求,查询MAC地址表得到出口是tun1,将数据包送到VPN隧道加密,然后发往VPN2网关。
(11)VPN2收到ICMP请求,查询MAC地址表,得到出口是eth1,将数据包发送到PC2。
(12)PC2收到ICMP请求并发送ICMP应答,该应答数据包被发发送到VPN2。
(13)VPN2收到ICMP应答,查询MAC地址表,得到出口是tun1,将数据包通过隧道发送到VPN1。
(14)VPN1收到ICMP应答,查询MAC地址表,得到出口是eth1,将数据包发送到PC1。
3.1VLAN支持
二层网桥可能连接很多VLAN,隧道端口需要工作在TRUNK模式,这样可以允许VLAN数据包通过VPN隧道。
拓扑如下:
EtherIP over IPSec可以封装VLAN tag,但是overhead会比较大。一种优化的方法是分配每个tunnel端口和tunnel一个VALN tag,这样就不需要封装VLAN tag,提高有效载荷。
3.2星型拓扑支持
要支持Hub & Spoke星型拓扑,我们只需要再增加一个tunnel端口,并且把该端口绑定到一个到Spoke的VPN隧道。该设计非常灵活,易于扩展。
拓扑如下:
四、结束语
本文通过引入虚拟隧道端口,巧妙的将L2网桥和IPSec VPN网关结合在一起,简单并且有效的将数据包重定向到VPN隧道。
另外,本文通过结合EtherIP over IPSec封装发送多播和广播数据包,IPSec封装发送单播数据包,有效提高了VPN隧道的有效载荷和传输性能。
参考文献
[1] RFC3378: EtherIP: Tunneling Ethernet Frames in IP Datagrams
[2] RFC2784: Generic Routing Encapsulation
[3] RFC3438: Layer Two Tunneling Protocol
[4] RFC4664: Framework for Layer 2 Virtual Private Networks
[5] RFC4665: Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks
[6] RFC4026; Provider Provisioned Virtual Private Network (VPN) Terminology
[7] RFC4301: Security Architecture for the Internet Protocol
关键词:SSL VPN; IPsec VPN; 数字化校园; 远程访问
中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03
0引言
随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。
1VPN 的原理及SSL VPN方案的优势
11VPN原理
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。
12两种VPN方案的对比
按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析
21访问控制技术
访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。
22性能分析
VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。
3SSL-VPN下的数字化校园解决方案
31需求分析与设计目标
校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。
32系统体系结构
经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。
由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。
33改进型安全策略——基于角色的控制
本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。
4结束语
随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。
参考文献:
[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.
[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.
[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.
[4]沈海波,洪帆. 访问控制模型研究综述[J].计算机应用研究,2005,32(5):9-11.
论文关键词:VPN;供电企业;信息化
论文摘要:县级供电企业在推进信息化过程中,普遍存在着成本过大,安全系数较低以及建设周期长等问题。结合庐江供电公司在开展城乡营销管理信息化建设中出现的问题进行分析,提出利用VPN实现全公司网络互联的解决方案,并分析了下一步信息化的主攻方向。
0引言
随着电力信自、化水平的不断提高,县级供电企业综合管理信息系统开始逐步建立,但基层变电站、乡镇供电听与供电公司局域网联网问题严重地制约着县级供电企业信息系统实用化水平的发展和信息资源的充分有效利用,这与供电企业管理发展的目标追求以及客户的需求是极不适应的。由于乡镇供电所信息化建设工作受地形、人员素质、资金投人等因素影响,解决远程站点联网问题成为县级供电企业信自、网络建设中的突出矛盾。
1庐江供电公司信息化建设现状
安徽庐江供电公司的信息化上作起步较晚,供电公司总部于X004年实现了生产M I S与办公自动化OA的单轨制运行,总部信息化运行提高了企业的整体管理水平和办公效率。如今,庐江供电公司总部已运行的信息系统有:生产管理系统、办公自动化系统、档案管理系统、Web系统、财务管理系统,现有的服务器包括:生产服务器、办公自动化服务器、档案服务器、Web服务器、财务服务器。力、公用微机80多台,每位管理人员以及每个班组都配有微机。
在实施信息化建设与管理中,深深体会到庐江供电公司信息化建设不仅可降低财务管理、物资管理、项目管理、资料管理等方面的管理成本,并在生产管理中可将所有设备信息进行分类编号,输人数据库,实行设备、设施缺陷管理,科学地制定缺陷检修计划,提高设备运行可靠度,降低故障率,提高供电可靠性;同时,庐江供电公司的营销管理信息系统建有业扩子系统、电量电费f系统、用电检查子系统、综合查询系统,通过这些系统,可方便与客户的交流、沟通,节约成本开支,实现科学化营销流程管理。这些管理信息系统的应用,加强J’企业的规范化管理,增强了管理的科学化水平,减轻了工作人员的负担,提高了企业的经济效益。
为此,庐江供电公司加入了乡镇供电所营销MIS应用系统的推进力度,进一步减轻了抄表人员的负担,缩短了开票时间,加强了电费电价的控制与管理,提高了营销管理自动化水平。全县17个乡镇供电听,都使用同一版本的营销MIS应用系统。舟个供电听都有3台以上的微机,其中1台所长用于日常办公,另外2台分别作为用电MIS系统的服务器与客户端,并兼为所里其他工作人员办公使用。其中,已有10个供电所可利用变电站的光纤系统,与庐江供电公司总部实现网络互联,提高了工作效率,节省了开支。其余7个供电所仍不能够实现信息化共享,这些供电所非常希望尽快网络互联。
2采用VPN方案推进供电所信息化建设进程
这些供电所若使用以前的光纤联网方式,不仅投资大,施工工期长,而且日后的维护量也多。考虑到以上原因,为尽快解决其余7个光纤未开通的乡镇供电所的网络互联问题,达到信息、共享,推广乡镇供电所的营销MIS系统应用,公司决定采用虚拟局域网(VPN),在现有设备基础上,进行简单的改造。通过在VPN网关中配置7个供电所的用户、密码以及访问策略,并分别在7个供电所安装VPN客户端,安装公司的MIS应用系统,实现全公司网络互联。VPN技术实际上就是综合利用包封装技术、加密技术、密钥交换技术、PKI技术,可以在公用的互联网上建立安全的虚拟专用网络(VPN , Virtual Private Network ) 。 VPN是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、没有安全保障的、经过路由传送的网络上传输的。VPN技术能够有效解决信息安全传输中的“机密性、完整性、不可抵赖性”问题。
3方案效果比较
对2种方案的可能性进行了比较,如图1所示。如果庐江供电公司全部运用光纤法来实现供电所的网络互联,每个供电所的材料费、施工费按3.5万元,施工工期10天计算,7个供电所就需要3.5 x 7=24.5万元,需要10 x 7=70天。若这7个供电所采用VPN方案,只需要购买VPN网关1台,价值3.5万元和7个客户端钥匙,价值7 x 480=3360元,5天内就能完成7个供电所安装。因此,应用VPN方案,庐江供电公司就能节省资金达24 . 5-3 . 836=20.664万元,缩短工期65天,取得的直接效益是显着的,并省去了今后光纤线路维护所需要工作量。
现在,这7个乡镇供电所均可利用VPN方案安全可靠地登陆公司局域网,在局域网下载内容的速度可达350 kb/s,生产MIS系统响应时间为2--3 s,办公自动化系统浏览公司收发的文件、接受电子邮件的时间因文件的大小不同而有所差别,1 MB的文件大约需要8 s。由于ADSL是非对称数字环路,所以发送电子邮件的速度要慢得多,1 MB的文件大约需要18s。从VPN方案运行效果来看,完全能够满足庐江供电公司网络发展及MIS系统应用的需要。
4下一步信息化建设的主攻方向
目前,庐江供电所信息化还处于初级阶段,对电力企业信息化建设的目标还没有完全形成统一的管理标准;同时,庐江供电公司在实施VPN技术后,也清楚地看出:VPN是一种虚拟专用网络,而不是一种真正的专用网络。因此,庐江供电公司打算设立严格的管理制度,包括严格的权限管理,无关人员无权查看、改动数据,VPN客户端的用户与密码管理等,建立起一套计算机管理操作等规章制度,使整个网络安全有序地运行。此外,该公司今后还将加大对供电所使用人员的计算机培训力度,包括计算机知识在内的应用培训,促进操作人员更好地使用软件,提高操作人员计算机水平,也为计算机应用在企业内部得到更好地发展起到一定的推动作用,并充实培养供电听计算机网络管理人员、信息安全管理人员,把信息化建设中的培训工作贯穿始终,进而拓宽信息化的覆盖面,保证信息、化工作的健康发展,让VPN技术更好地为庐江供电公司信息化、专业化、现代化服务。
