虚拟专用网技术应用研究
探究企业骨干网络VPN技术的应用研究
及办公 的商 业化都无 法离开互联 网。所以 ,我们可 以预测 , 在不远 的将来 ,国内 V P N会有 一个发展 高潮 ,企业 如果采 用V P N技术将会大大节 约成本 。因此 V P N的市场前景广 阔, 将会成 为企业 网络化办公 的 主导 。但 因 国内 V P N技术兼容 性 限制 ,企业在 创建和部 署 V P N线路 上会遇 到困难 ,企业 不能控 制 V P N 的性能与可靠 性等制约因素限制 了 V P N在企 业 中的步伐 。
一
、
平 台具有较广 的支持设备 。( 4)考虑计算机使用软件种类以 及远 程设 备 的有效 性。( 5)安全 级别 的考虑 ,数据传 输类 型 ,远程 办公 的员工 对安全协 议的适用 以及 用户验证 。( 6 ) R A D I U S目录服务 , 用户定义数 据库 的中心 I T是否被利用等 。 通过 以上 的严谨思考与计划 ,企业就能够在繁杂的产品中选 择合适 的 V P N产 品。 虽然 近些年有人 认识 V P N会 被新 的网络 技术 取代 ,这 些技术能避免企业建立数据隧道 的麻烦 。我们不可否认 V P N 的低成 本 、可靠 性强 和安全 性能 高的优点 ,以及 宽带 V P N 可 升级 和具有模块化 ,以及使远程员工 、商务合作伙伴链接 企 业 网络具 便捷 。V P N的缺 陷表现为构建 和部署 V P N较为 困难 ,市场 上不 同 V P N不可相容 ,V P N在使 用无线链 接时 有 安全 隐患。但 因 N A C价格高 ,V P N及 周遍 网关设 备能够
满 足企 业 需 要 。 当今世界 网络普遍化 、互联网的发展 、企业 办公信息化
L 2 T P 、I P S e c 、9 o s 等协议 。 二 、V P N技术在企业 当中的应用
网络虚拟化技术与应用案例研究
网络虚拟化技术与应用案例研究一、网络虚拟化技术1.1 虚拟化技术概述•虚拟化技术是一种将物理资源转化为逻辑资源的技术,通过分离物理硬件与软件资源,实现资源共享和优化配置。
•虚拟化技术可分为全虚拟化、半虚拟化和硬件辅助虚拟化等类型。
1.2 网络虚拟化技术•网络虚拟化技术是将网络资源进行抽象化,以实现网络资源的隔离、共享和灵活配置。
•网络虚拟化技术主要包括虚拟局域网(VLAN)、虚拟专用网(VPN)、虚拟路由/转发(VRF)等。
1.3 虚拟化层•虚拟化层是虚拟化技术的核心,负责资源的管理和分配,主要包括虚拟化器、虚拟设备驱动程序和虚拟设备接口等。
二、网络虚拟化应用案例研究2.1 虚拟私有云(VPC)•虚拟私有云是一种基于云计算技术的网络虚拟化应用,为企业提供安全、可扩展的私有云环境。
•VPC通过虚拟化网络资源,实现企业内部网络与云资源之间的无缝连接。
2.2 虚拟数据中心(VDC)•虚拟数据中心是一种基于虚拟化技术的数据中心的抽象化表示,实现数据中心的资源池化和自动化管理。
•VDC可实现资源共享、提高资源利用率,并支持灵活的业务部署和扩展。
2.3 网络功能虚拟化(NFV)•网络功能虚拟化是将网络功能从硬件设备中解耦,通过软件实现网络功能的技术。
•NFV可实现网络功能的快速部署、灵活调整,降低网络成本,提高网络性能。
2.4 虚拟网络功能集成(VNF)•虚拟网络功能集成是指将网络功能如路由器、交换机、防火墙等集成到虚拟化环境中。
•VNF可实现网络功能的软件化部署和管理,提高网络设备的灵活性和可扩展性。
2.5 虚拟化安全解决方案•虚拟化安全解决方案是指在虚拟化环境中实现安全策略和防护措施,保障虚拟化系统的安全性。
•包括虚拟防火墙、虚拟入侵检测系统(IDS)、虚拟入侵防御系统(IPS)等。
以上是关于网络虚拟化技术与应用案例研究的相关知识点,供您参考。
习题及方法:1.习题:虚拟化技术的主要类型有哪些?•虚拟化技术的主要类型包括全虚拟化、半虚拟化和硬件辅助虚拟化。
浅析计算机网络安全中虚拟网络技术的作用
浅析计算机网络安全中虚拟网络技术的作用摘要:随着经济的发展,信息技术的应用和发展也越来越受到重视,在信息化的今天,网络技术和计算机技术的应用越来越广泛,越来越多的应用到生活、生产的各个方面,并不断的改变着人们的生活方式。
另外,随着计算机网络的普及,网络的安全管理也越来越受到重视,因为计算机网络虽然便捷,但也存在着计算机病毒、黑客等网络风险,如果网络的安全性得不到保障,将会造成大量的用户资料丢失、被盗,造成各类信息的损失。
因此,利用虚拟网络技术来保障网络的安全性是非常重要的。
关键词:计算机网络安全;虚拟网络技术计算机作为一种重要的工具,不仅能在很大程度上促进人类的正常工作,而且能极大地改善人类的生活品质。
然而,当前国内对计算机应用的安全性还很严重,其中,虚拟网技术作为一种基于公用网的专用技术,已成为一种新型的技术。
利用这种技术,可以对整个系统进行有效的保护,增强系统的安全性和稳定性。
一、计算机网络安全中的虚拟网络技术概述在公用网内部建立一个专门的虚拟网来实现对用户的远程存取,保证网络的安全性。
其中,隧道技术、密钥管理技术和身份认证技术是目前计算机网络安全领域研究的热点之一。
由于采用虚拟网技术,可以有效地减少在不同地区间的通讯系统的安全,减少在传送时被篡改和窃取的危险。
在企业和政府部门等公共网络上,利用虚拟技术构建一个专用的虚拟服务器,在用户进行远程接入时,可以使用加密密钥进行远程接入,保证用户的安全。
三、计算机信息技术中虚拟网络技术的运用策略(一)虚拟网络技术在政府部门中的运用相对于普通的公司来说,政府机关每天的工作任务比较多,工作量比较大,工作比较繁杂,因此需要大量的资料,尤其是机密资料。
目前,在政府机关内部,使用大量的虚拟技术。
因为政府机关所用的各种办公软件和软件功能各异,其运行和管理方法也有较大差异。
在政府机关内部应用虚拟网技术,可以使用虚拟服务器来控制多个虚拟软件,保证虚拟主机的稳定;特别是当电脑出现故障的时候,利用虚拟网络技术能够迅速地检测出故障,并对所需的信息进行及时的还原,防止关键的信息资料的损失,保证系统的安全性。
基于计算机网络信息安全的虚拟专用网络技术应用
基于计算机网络信息安全的虚拟专用网络技术应用发布时间:2021-05-14T02:11:35.281Z 来源:《现代电信科技》2020年第17期作者:周礼飞邓云翊[导读] 在时代不断进步,科技水平不断提高的背景下,人们对于互联网信息技术的应用越来越多,已经成为了人们现在工作生活中的重要辅助道具。
(武汉工商学院 430070)摘要:在时代不断进步,科技水平不断提高的背景下,人们对于互联网信息技术的应用越来越多,已经成为了人们现在工作生活中的重要辅助道具。
针对信息网络来分析,互联网技术在提供了使用优势的同时,其内部的网络安全问题也是对面不断研究的内容,是限制计算机网络发展的核心因素之一。
因此,有关工作者不断对网络信息安全技术进行研究,推动其进步发展。
而在这之中,虚拟专用网络技术就是主要研究的内容之一,文章针对该技术在互联网信息安全工作当中的实际应用进行研究,为有关工作者介绍其具体的使用情况。
关键词:计算机;网络信息安全;虚拟专用网络技术前言在计算机应用研究中,计算机网络安全是当下首要被研究解决的问题,也是长期以来阻碍计算机技术发展的问题之一。
通过在互联网网络安全管理中应用虚拟专用网络技术,可以。
良好的提供良好的信息安全问题技术支撑,帮助解决网络信息安全问题,建立一个良好的安全控制平台,确保信息传输工作能够安全可靠地进行。
从实际角度分析,互联网技术本身就具有良好的安全性特征,但其中的安全问题仍不可忽视,需要做好相应的强化工作,提供技术保障。
所以应当积极研究虚拟专用网络技术,保证网络安全效益能够得到有效的提高。
1虚拟专用网络技术概述虚拟专用网络技术因其独特的优势,使得在信息安全工作中得到广泛运用,为信息安全提供良好的保障。
将虚拟专用网络技术运用在企业内部的通讯以及文件传输工作当中,可以有效的提高文件数据的安全性。
并且该技术还能够将信息进行简化,使得网络系统变得更加高效,降低企业在虚拟专用网络线路设计中所需要投入的成本。
VPN技术在网络中的应用
VPN技术在网络中的应用************************************摘要:随着我国互联网技术的不断发展,网络安全已经成为人们关注的重点问题,如何保障网络系统的安全性、保密性,确保网络运行过程中的安全可靠,成为当前困扰人们的一大难题。
基于此本文就计算机网络系统中常见的集中VPN 虚拟网技术展开论述,并提出了VPN在网络中数据传输、以及信息安全共享的实际解决措施,以期能够为网络运行安全提供理论支持。
关键词:VPN技术;网络系统;实际应用前言自进入21世纪以来,数字信息成为当前社会的代名词,计算机网络系统也以更加惊人的速度高速发展,其不仅改变了人们的传统生活方式,还对企业工作有着极其重要的影响,已经成为计算机领域的重要组成部分。
VPN技术作为网络技术的重要组成部分,其可以实现不同地域的跨时空资源共享,并且还可以进行公文流转以及数据传输等工作,这种网络信息传输方式有效的减小并且降低了信息传输所涉及到的安全问题。
实际上,VPN虚拟专网能够实现两个节点之间的有效链接,并不需要借助于传统的专用网络形式,而是属于一种构架在网络服务商所提供的网络平台之上的逻辑网络,能够帮助人们实现信息数据的有效传输和信息资源共享。
通过使用VPN系统,可以帮助构建用户之间点对点的安全通道,这种安全通道是保障信息数据安全性的专用渠道。
1.三种常用的VPN技术目前来看,在计算机系统常见的VPN技术大致可以分为三种:①MPLS VPN技术;②基于数字证书应用层的VPN技术;③IPSee VPN技术。
(1)MPLS VPN技术这种VPN技术属于第三代网络架构,实际上当前很多重要的网络设备都离不开这种VPN技术的支持,其主要是由网络大厂主导。
主要具备应用简单、快速的基本特点,在实际的使用过程中不需要借助于其他设备的支持,单单使用固定的专有设备就能够支持其稳定运行,能够有效的支持网络使用以及数据传输的稳定性以及安全性、快速性。
VPN
虚拟专用网技术及其应用的研究引言目前,Internet的发展引起了产业结构的变化,同时产业结构的变化也对网络的发展提出了新的要求。
随着企业的规模的扩大,远程用户、远程办公人员、分支机构、合作伙伴也在增多,这就意味着用传统的租用线路的方法实现私有网络的互连会给企业带来很大的经济负担。
因此人们开始寻求一种经济、高效、快捷的私有网络互连技术。
虚拟专用网络(VPN:Virtual Private Network)的出现,为当今企业发展所需的网络功能提供了理想的实现途径。
VPN可以使公司获得使用公用通信网络基础结构所带来的便利和经济效益,同时获得使用专用的点到点连接所带来的安全。
1 VPN技术 1.1 VPN的定义 VPN是利用接入服务器(Access Server)、路由器及VPN专用设备在公用的WAN(包括Internet、公用电话网、帧中继网及ATM 等)上实现虚拟专用网的技术。
也就是说,用户觉察不到他在利用公用WAN获得专用网的服务[1]。
从客观上可以认为VPN就是一种具有私有和专用特点网络通信环境。
它是通过虚拟的组网技术,而非构建物理的专用网络的手段来达到的。
因此,可以分别从通信环境和组网技术的角度来定义VPN。
从通信环境角度而言,VPN是一种存取受控制的通信环境,其目的在于只允许同一利益共同体的内部同层实体连接,而VPN的构建则是通过对公共通信基础设施的通信介质进行某种逻辑分割来实现的,其中基础通信介质提供共享性的网络通信服务。
从组网技术而言,VPN通过共享通信基础设施为用户提供定制的网络连接服务。
这种连接要求用户共享相同的安全性、优先级服务、可靠性和可管理性策略,在共享的基础通信设施上采用隧道技术和特殊配置技术仿真点到点的连接。
1.2 VPN的关键技术 VPN是由特殊设计的硬件和软件直接通过共享的基于IP的网络所建立起来的。
它以交换和路由的方式工作。
隧道技术把在网络中传送的各种类型的数据包提取出来,按照一定的规则封装成隧道数据包,然后在网络链路上传输。
网络化制造技术应用与发展趋势
近十几年的时间internet发展平稳,一段时间内无声无息的发展。唯一真正重大的变化是用户数量的增长。可以说,internet最近一些年相当平静。不过虚拟专用网将改变这种情况。它对社会意味着什么呢?很有可能,在几年内,我们将在这个星球上看到令人吃惊的变化。远程办公可能越来越流行,很可能从事信息处理和交换的大多数人员将会在自己家中远程办公,不需要每天往返于家庭与办公室之间。结果是减少了交通拥挤、污染,减少了与工业化社会相伴的一系列问题。而且,雇用最好的人员来完成工作不再受地域的,限制。雇员可在家中工作,而公司则减少办公开支。虚拟专用网并不是一种未来的东西,已经有企业以及政府已经使用它们,而且每天都有更多的机构利用它进行连接。新的硬件与新的软件正在研制出来,正在现有设备中对其进行实现和制作。未来Internet必将得到更大的普及。它将在信息交流中占统治地位,甚至超过电视。而作为Internet“副产品”一定会得到巨大的发展,而且潜力无限。
在第二代计算机网络中,多台计算机通过通信子网构成一个有机的整体,在这种系统中,即使单机出现故障也不会一导致整个网络系统的全面瘫痪。但是,网络中相互通信的计算机必须高度协调工作,而这种“协调”是相当复杂的。为了降低网络设计的复杂性,提出了层次模型。但是,在初期各个公司都各自研究开发自己的网络体系结构,而它们的网络体系结构是各不相同的。这种自行发展的网络,由于在网络体系结构上差别很大,以至于它们之间互不相容,难于相互连接以构成更大的网络系统。
(一)虚拟专用网络技术
虚拟专用网络(virtual Private Network)简称VNP,是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。是在开放的公共网络设施(主要是指Internet)上,为用户开辟一个安全专用的数据隧道,确保信息的完整性和保密性。这种方式相对于租用线路来讲,信息传输费用是最为低廉的,而且VPN还提供以下安全功能:加密数据保证通过公共网络时传输的信息即使被他人截获也不会泄露。信息认证和身份认证保证信息的完整性、合法性,并能鉴别用户的身份。提供访问控制不同的用户有不同的访问权限。 虚拟专用网络技术的优点:(1)它有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。(2)只为特定的企业或用户群体所专用。从用户角度看来,与传统专网没有区别。即作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,资源不会被承载网络中的其它用户的网络成员所使用;另一方面,提供足够安全性、确保内部信息不受外部的侵扰。
在民航空管中无线VPN技术的应用研究
信 息 技 术DOI:10.16661/ki.1672-3791.2019.26.025在民航空管中无线VPN技术的应用研究杨蓉(民航西北空管局 陕西西安 710000)摘 要:民航空管工作即利用通信、导航技术与各类监控手段来对飞机的飞行活动进行监视和管理,从而保障飞行安全、有秩序地进行飞行。
VPN技术应用的出现,对于民航空管工作方法与工作效率提升的作用非常明显,而除去信息安全的考虑,我们也需要重视无线VPN技术的具体应用,为今后的工作提供参考与借鉴。
关键词:民航空管 无线VPN技术 应用研究中图分类号:V355.1 文献标识码:A 文章编号:1672-3791(2019)09(b)-0025-02VPN的含义是虚拟专用网,是利用公共因特网建立一个安全的连接,一般来说是对企业内部网的一种扩展,通过VPN可以实现远程用户信息传输、内部网连接等,保障数据管理工作的稳定性。
该研究也将对无线VPN技术与不同的无线VPN接入方式进行分析,对比两种方式的特点与应用价值。
1 无线VPN技术内涵民航空管工作的通信业务对于安全性和稳定性的要求非常高,尤其是在空管关键业务的管理方面,需要提供两条地面传输路由和一条空侧传输路由进行保障。
在无线VPN尚未普及之前,所采取的技术是通过民航C波段与KU 波段卫星链路提供,能够实现大范围、远距离传输,受到环境的影响因素较小。
不过考虑到卫星路由本身需要建设地面接收站,在建设成本上较高,设备也会占据较大的占地面积,在实际应用和维护管理方面存在着一定的技术难度。
民航业务的快速发展之下,卫星路由对于通信业务的大带宽已经无法保障。
无线VPN技术开始变得更加程度,为民航空管提供了更加稳定的传输通道。
一般情况下我们可以将无线VPN技术划分为两种不同的接入方式:APN接入与VPDN接入。
1.1 APN接入方式APN即(Access Point Network),能够用来判断运营商网络中无线VPN用户的区别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虚拟专用网技术应用研究【摘要】随着现代企业网络系统信息化程度的提高,利用虚拟专用网VPN 为公司内部网与远程用户、公司分支机构建立可靠的安全连接显得日益重要。
本文着重介绍虚拟专用网VPN的概念和相关技术,对远程接入VPN、站点到站点VPN和MPLS VPN的技术特点做了详细分析和阐述,并针对远程接入VPN、站点到站点VPN提出了实施方案,VPN技术在解决信息孤岛、实现分支与总部、公司与合作伙伴的安全互联必将有更广泛的应用。
【关键词】虚拟专用网VPN;隧道技术;IPSec;MPLS VPN计算机网络技术的迅速发展和新技术的成熟深刻地改变了企业用户的工作方式,企业对网络化、信息化的需求不断上升。
对于企业来说,实现企业集团不同地点网络的内部互联,使远程用户接入到企业内部网络进行资源访问有两种选择,一是建立自己的专用网络,二是采用虚拟专用网VPN。
对于中小企业来说,专网建设的高昂费用是难以接受的,VPN是实现自建专网向利用运营商网络方向发展的重要技术。
VPN(虚拟专用网)是一种利用Internet或其它公共互联网络的基础设施为用户创建隧道,提供与专用网络一样的安全和功能保障的网络技术。
“虚拟”是相对传统私有网络的构建方式而言的,VPN利用公共网络实现安全的远程连接。
通过VPN,企业可以更低的成本连接远程分支机构,或者在公共的骨干网络上承载不同的专用网络。
1 VPN的分类1.1 VPN的应用分类1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。
远程接入VPN用于实现出差员工或家庭办公用等移动用户安全访问企业网络。
2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
Intranet VPN用于组建跨地区的企业总部与分支机构内部网络的安全互联。
3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
Extranet VPN用于企业与客户、合作伙伴之间建立安全的网络互联。
1.2 VPN网络结构分类1)VPN的远程访问结构:用于提供远程移动用户对企业内部网络资源的安全访问,即Access VPN.单机通过公共网络利用隧道技术连接到企业的一个网络内部,成为网络中的一个连接点,这种结构又称点到站点、桌面到网络结构。
2)VPN的网络互连结构:用于企业总部网络和分支机构网络的内部网络之间的安全互连,即Intranet VPN 或Extranet VPN.这是一种网络到网络也称站点到站点(Site to Site)结构。
3)VPN的点对点通信结构:用于企业内部网的两台主机之间的安全通信,即单机到单机结构。
1.3 VPN的隧道协议分类隧道技术是一种使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。
隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
一旦到达网络终点,数据将被解包并转发到最终目的地。
从VPN采用的隧道协议所处的网络层次来分,有第二层隧道协议,如PPTP、L2F和L2TP;第三层隧道协议,如IPSec、GRE等;第四层隧道协议,如SSL;还有跨越第二层和第三层隧道协议,如MPLS;第二层和第三层配合的隧道协议,如L2TP/IPSec。
1.4 VPN接入方式分类一般企业的局域网,多是通过光纤连接到互联网。
对于单个出差用户或家庭用户,通过拨号(如ADSL)连接到ISP,这种方式建立的VPN,称为拨号接入VPN。
2 VPN技术的应用2.1 企业的移动用户或小型分支采用拨号VPN的方式接入企业的内部网络对于一般企业来说,出差流动性员工、远程办公人员和远程小办公室需要访问企业内部网络中的服务器,可以通过远程接入VPN连接访问企业内部网络资源。
图1 远程接入VPN(Access VPN)应用模式借助Windows Server 2003的“路由和远程访问”服务,可以实现基于软件的VPN。
用户可以在企业内部搭建VPN服务器,然后通过企业外部客户端的VPN 拨号连接对企业内部网进行访问。
图2 远程接入VPN(Access VPN)的网络结构VPN服务器要有两个网络接口,一边连接外部网络,另一边连接内部网络。
VPN服务器运行Windows Server 2003系统,通过企业网接入Internet。
客户端运行Windows XP系统,通过ADSL接入Internet,连接方式为客户端通过Internet 与服务器建立VPN连接。
在Windows Server 2003系统中,“路由和远程访问”服务是默认安装的。
用户要启动该服务并进行必要的配置,才能使VPN服务生效。
1)配置VPN服务器第一步:打开管理工具中路由和远程访问窗口,右击VPN服务器,选择“配置并启用路由和远程访问”。
第二步:在安装向导中选择“虚拟专用网络(VPN)访问和NAT”。
第三步:选择VPN访问所需的协议TCP/IP。
第四步:指定服务器上与互联网相连接的网卡。
第五步:指定服务器上与内部网络相连接的网卡。
第六步:选择远程拔入客户的IP地址来源。
第七步:为了安全的客户端拔入,可以设置一个RADIUS服务器,也可以用VPN服务器来进行验证。
第八步:选择开始-程序-管理工具中的服务,可以看到在服务中的路由和远程访问已经启动。
第九步:配置VPN服务器中的远程访问策略,例如允许远程用户在任何时间接入。
第十步:若使用VPN服务器来进行身份验证,在计算机管理中创建VPN用户名,并在用户属性“拨入”选项卡中设置允许VPN访问。
2)VPN网络的客户端的设置以Windows XP客户端的设置为例,右击网上邻居、属性、选择新建连接。
在连接建立向导上,选择“连接到我的工作场所的网络”;在出现的对话框中单击“虚拟专用网络连接”;在公司名称对话框中为连接键入一个名称;键入目标地址即VPN 服务器的IP 地址或主机名;在出现的对话框中,如果限制此连接仅供当前登录用户使用,选择“只是我使用”选项;如果允许登录到该计算机的任何用户访问此拨号连接,选择“任何使用此计算机的人”;单击“完成”按钮保存新建的连接。
3)测试VPN连接打开连接对话框,输入VPN服务器上允许远程拔入的用户名和密码。
连接成功后会在右下角的任务栏处出现一个网络连接图标。
2.2 采用IPSec VPN技术实现企业不同地点网络的互联使用IPSec VPN技术实现基于路由器的站点到站点模式的VPN,使远程企业分支机构通过公共网络连接成一个内部网络,为企业总部和分支用户实现对内部数据资源的安全互访。
图3 Intranet VPN应用模式1)IPSec协议IPSec是一组开放的网络安全协议的总称,提供访问控制、数据来源验证、加密及数据流分类加密等服务。
IPSec在IP层提供以上服务,包括两个安全协议AH(报文验证头协议)和ESP(报文安全封装协议)。
AH主要提供数据来源验证、数据完整性验证和防报文重放功能。
ESP在AH协议的功能之外提供对IP 报文的加密功能。
通信双方如果要用IPSec建立一条安全的传输通路,需要协商将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。
当双方协商好使用的安全策略后,我们就说双方建立了一个安全关联SA。
SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接。
当给定了一个SA,就确定了IPSec 要执行的处理,如加密,认证等。
SA可以进行两种方式的组合,分别为传输模式和隧道模式。
为进行加密和认证需要有密钥的管理和交换功能,这是由IKE(Internet密钥交换协议)实现的。
IKE是一种为IPSec管理和交换密钥的标准方法,可以将IKE分为两个阶段:阶段1进行认证,建立一个IKE SA;阶段2进行密钥交换,利用阶段1中的IKE SA来协商IPSec SA。
安全关联SA是从由IPSec提供安全服务的数据流的发送者到接收者的一个单向逻辑关系,用来表示IPSec如何为SA所承载的数据通信提供安全服务。
AH和ESP都需要使用SA,IKE的主要功能之一就是SA的建立与维护。
2)站点到站点IPsec VPN的实现IPsec VPNs在企业与分支机构的应用中较常见,对于企业的实现也不受限制,IPsec VPN为三层VPN技术,下面重点就IPsec VPNs组成与功能特性中的站点到站点IPsec VPNs进行介绍。
基于思科路由器的站点到站点IPsecVPN操作的5个步骤如下:第一步,在路由器R1和R2上配置访问控制列表定义VPN数据流,非VPN 数据流通过配置NAT进行转换;第二步,路由器R1和R2协商IKE第1阶段会话(IKE安全关联);1)选用协商模式:main mode 或aggressive mode;2)选用一种身份认证方法:Preshare Key 或非对称加密算法级数字证书方式;3)选用一种加密算法:des 或3des;4)选用一种验证算法:sha 或md5;5)选用一组diffie-hellman公钥密码系统组:dh1或dh2;6)定义IKE Sa的生存周期;第三步,路由器R1和R2协商IKE第2阶段会话(IPsec安全关联);1)选用协议封装:ESP或AH;2)选用一种加密算法和验证算法:esp-des或esp-md5-hmac;3)选择是否使用diffie-hellman公钥密码系统来执行PFS完美向前保密:默认为none;4)选用变换集的模式:tunnel 或transport;5)定义IPSec SA生存时间;第四步,VPN数据流信息通过IPsec隧道进行交换传输;第五步,IPsec隧道终止。
2.3 大型企业集团在专用网络上采用MPLS VPN技术MPLS最初是为提高网络设备的转发速度而提出的一个协议,使用一个短的定长标签(Label)来标识数据流,用固定长度的标签搜索实现数据的高速转发。
随着交换芯片技术的突破及高性能网络处理器的出现,网络设备普遍可以线速处理数据,MPLS技术转而被应用于提供QoS以及VPN服务。
MPLS VPN是业界近几年发展迅速的新兴技术,融合了ATM技术与IP技术的优点,成为解决当前广域VPN的最佳技术选择。
在MPLS VPN中,各站点之间使用两层标签封装报文,在入口运营商边缘路由器(入口PE)处为报文打上两层标签,作为骨干网络设备提供相应服务的依据。
外层标签在骨干网内部进行交换,标识从运营商边缘设备(PE)到对端运营商边缘设备(对端PE)的一条隧道,保证VPN沿着标签交换通道LSP到达对端运营商边缘设备,内层标签则确定在出口运营商边缘路由器(出口PE)处应该向哪个站点转发数据。