vpn技術(shù)范文

導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇vpn技術(shù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：vpn 隧道協(xié)議 PPTP L2TP IPSec

VPN是Virtual Private Network的縮寫(xiě)，即虛擬專用網(wǎng)絡(luò)。VPN在公共IP網(wǎng)絡(luò)上建立用戶私有的數(shù)據(jù)傳輸通道，將遠(yuǎn)程訪問(wèn)用戶與相應(yīng)企業(yè)的內(nèi)部網(wǎng)絡(luò)連接起來(lái)，并提供安全的端到端的數(shù)據(jù)通信，從而大大減輕了企業(yè)的遠(yuǎn)程訪問(wèn)費(fèi)用，節(jié)省企業(yè)的運(yùn)行成本。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

1、VPN的使用隧道協(xié)議

VPN的實(shí)現(xiàn)，最關(guān)鍵的是在公共網(wǎng)洛上建立用于數(shù)據(jù)傳輸?shù)倪壿嬏摂M信道，而建立虛擬信道是通過(guò)使用隧道技術(shù)來(lái)實(shí)現(xiàn)的，隧道的建立可以是在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層。第二層隧道技術(shù)主要是使用PPP連接，使用的隧道協(xié)議有PPTP和L2TP，其特點(diǎn)是協(xié)議簡(jiǎn)單，易于加密，適合于遠(yuǎn)程撥號(hào)用戶使用；第三層隧道技術(shù)是IPinIP，使用的隧道協(xié)議是IPSec，其可靠性及擴(kuò)展性優(yōu)于第二層隧道協(xié)議，但沒(méi)有前者簡(jiǎn)單直接。

1.1 PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）

點(diǎn)到點(diǎn)隧道協(xié)議（PPTP，Point-to-Point Tunneling Protocol），是一種用于使遠(yuǎn)程用戶通過(guò)撥號(hào)方式連接到本地的ISP，通過(guò)Internet安全的遠(yuǎn)程訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)資源的工業(yè)標(biāo)準(zhǔn)隧道協(xié)議，它在WIN NT 4.0系統(tǒng)中首先得到支持。PPTP是對(duì)“PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）”的擴(kuò)展，它能將PPP（點(diǎn)到點(diǎn)協(xié)議）幀封裝成IP數(shù)據(jù)包，以便能夠在基于IP的互聯(lián)網(wǎng)上進(jìn)行傳輸，它增強(qiáng)了PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP使用TCP（傳輸控制協(xié)議）來(lái)創(chuàng)建、維護(hù)、終止隧道，并使用GRE（通用路由封裝）將PPP幀封裝成隧道數(shù)據(jù)，被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時(shí)被加密與壓縮。PPTP協(xié)議數(shù)據(jù)包通過(guò)使用從MS-SHAP（微軟公司的盤(pán)問(wèn)交握式協(xié)議）活EAP-TLS（EAP Transport LAN Service，可傳輸式身份驗(yàn)證協(xié)議）身份驗(yàn)證過(guò)程中生成的密鑰進(jìn)行加密。

1.2 第二層隧道協(xié)議（L2TP）

第二層隧道協(xié)議（L2TP）是思科公司開(kāi)發(fā)的，具有RFC隧道協(xié)議的一種協(xié)議，是PPTP與L2F（第二層轉(zhuǎn)發(fā)）的一種綜合。它不同于PPTP，Windows系統(tǒng)中的L2TP不使用“MPPE（微軟點(diǎn)對(duì)點(diǎn)加密）”來(lái)加密PPP數(shù)據(jù)包，它是依賴于加密服務(wù)的IPSec（網(wǎng)際協(xié)議安全）的協(xié)議。現(xiàn)在被廣泛使用的是基于IPSec的L2TP。VPN客戶機(jī)和VPN服務(wù)器必須同時(shí)支持IPSec和L2TP，L2TP將在IPSec身份驗(yàn)證的過(guò)程中生成一個(gè)密鑰，而采用IPSec加密機(jī)制加密L2TP消息。

1.3 Internet協(xié)議安全性（IPSec）

IPSec是專門(mén)為了IP提供安全服務(wù)而設(shè)計(jì)的一種協(xié)議，它可以有效地保護(hù)IP數(shù)據(jù)報(bào)的安全，具體通過(guò)包括數(shù)據(jù)源驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)和抗重播保護(hù)等保護(hù)形式來(lái)實(shí)現(xiàn)。IPSec有兩種運(yùn)行模式：傳輸模式和隧道模式，有兩種安全協(xié)議：AH（認(rèn)證頭協(xié)議）和ESP（封裝安全載荷協(xié)議）。AH可以驗(yàn)證數(shù)據(jù)的起源，保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。ESP除具有AH的所有能力以外，還可以選擇保障數(shù)據(jù)的機(jī)密性，以及為數(shù)據(jù)流提供有限的機(jī)密性保障。即AH提供認(rèn)證，ESP提供認(rèn)證和/或加密。通過(guò)使用這兩種協(xié)議，可以對(duì)IP數(shù)據(jù)報(bào)或上層協(xié)議，如UDP和TCP，進(jìn)行保護(hù)，而這種保護(hù)由IPSec的兩種工作模式來(lái)提供。到目前為止，IPSec被業(yè)界認(rèn)為是最安全的IP協(xié)議，但是其過(guò)于復(fù)雜的問(wèn)題也是系統(tǒng)安全的一個(gè)主要威脅。

2、VPN網(wǎng)絡(luò)服務(wù)的分類(lèi)

從連接用途以及連接方式上，VPN網(wǎng)絡(luò)服務(wù)可以分為基于Internet的VPN和基于Intranet的VPN。

2.1 基于Internet的VPN

遠(yuǎn)程訪問(wèn)客戶首先要激活與本地ISP所建立的物理連接，然后遠(yuǎn)程訪問(wèn)客戶通過(guò)Internet來(lái)訪問(wèn)企業(yè)的VPN服務(wù)器，同時(shí)初始化一條虛擬的專用隧道。VPN連接創(chuàng)建以后，遠(yuǎn)程訪問(wèn)用戶就可以訪問(wèn)VPN服務(wù)器所在Intranet上的有權(quán)限訪問(wèn)的資源了。

2.2 基于Intranet的VPN

對(duì)于企業(yè)內(nèi)部的敏感或需保密的部門(mén)，這些部門(mén)在邏輯上或者物理上與企業(yè)Intranet上的其他部門(mén)是斷開(kāi)的，即不能互訪。如何使需要訪問(wèn)的用戶訪問(wèn)這些部門(mén)呢？通過(guò)VPN鏈接，這些敏感部門(mén)的網(wǎng)絡(luò)將被允許連接到企業(yè)的Intranet內(nèi)，通過(guò)搭建VPN服務(wù)器將這些敏感部門(mén)和其他部門(mén)隔離開(kāi)。VPN服務(wù)器不在企業(yè)的Intranet和部門(mén)網(wǎng)絡(luò)之間提供直接的路由連接。那些企業(yè)Intranet內(nèi)有訪問(wèn)敏感部門(mén)權(quán)限的用戶可以與VPN服務(wù)器建立遠(yuǎn)程訪問(wèn)連接，進(jìn)而訪問(wèn)敏感部門(mén)網(wǎng)絡(luò)。為此，所有通過(guò)VPN的通信數(shù)據(jù)都會(huì)被加密。對(duì)于那些沒(méi)有訪問(wèn)敏感部門(mén)權(quán)限的用戶，在Intranet上，敏感部門(mén)的網(wǎng)絡(luò)是隱藏的。

3、VPN的解決方案

3.1 Access VPN

這種方案最適合企業(yè)內(nèi)部有大量的遠(yuǎn)程辦公訪問(wèn)需求和提供B2C（Business-to-Customer商家對(duì)顧客）方式的企業(yè)。遠(yuǎn)程訪問(wèn)的企業(yè)員工或者客戶可以利用當(dāng)?shù)豂SP提供的VPN服務(wù)和企業(yè)的VPN網(wǎng)關(guān)建立專有隧道連接，這建立連接的過(guò)程中需對(duì)訪問(wèn)者的身份進(jìn)行驗(yàn)證和授權(quán)，這樣可以使遠(yuǎn)程訪問(wèn)用戶獲得相應(yīng)的訪問(wèn)權(quán)限。

3.2 Intranet VPN

這種解決方案是企業(yè)內(nèi)部各分支機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)互聯(lián)的最優(yōu)解決方案。企業(yè)特別是大型的跨國(guó)企業(yè)可以利用VPN技術(shù)將分步在各地的分公司、辦事處等分支機(jī)構(gòu)通過(guò)Internet建立世界范圍內(nèi)的Intranet VPN。這個(gè)方案充分利用Internet廉價(jià)性和VPN的高安全性組建了安全的、專用的虛擬鏈路，使企業(yè)的數(shù)據(jù)和信息可以借助互聯(lián)網(wǎng)安全的在企業(yè)的各個(gè)分支機(jī)構(gòu)之間傳遞。

3.3 Extranet VPN

這種方案以Internet為數(shù)據(jù)鏈路基礎(chǔ)，通過(guò)VPN技術(shù)，在充分保證企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的基礎(chǔ)上，使企業(yè)能夠像其合作伙伴提供有效的、可靠的信息服務(wù)。該方案使得企業(yè)和企業(yè)之間的聯(lián)系更加緊密，也保障了企業(yè)與企業(yè)之間的信息的方便、快捷的傳遞。

4、VPN的應(yīng)用

VPN技術(shù)主要適用于哪些客戶呢？歸納起來(lái)以下這些情況需要使用VPN技術(shù)。

（1）客戶位置眾多而且極其分散。

（2）企業(yè)的機(jī)構(gòu)分布范圍廣，而且各個(gè)機(jī)構(gòu)的距離遠(yuǎn)，需要通過(guò)長(zhǎng)途通信，特別需要使用國(guó)際長(zhǎng)途通信的企業(yè)。

篇2

關(guān)鍵詞：VPN，管理，管理技術(shù)

 

一、VPN服務(wù)及其應(yīng)用

VPN，即Virtual Private Network，是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò)，如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等，并且能夠?qū)⑼ㄟ^(guò)公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密。利用VPN，企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)。

如果訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源，使用者需要接入本地ISP的接入服務(wù)提供點(diǎn)，即接入Internet，然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù)，使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網(wǎng)絡(luò)。論文寫(xiě)作，管理。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器。

二、VPN管理

VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無(wú)縫延伸到公共網(wǎng)絡(luò)，甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù)，可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營(yíng)商去完成，但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)。所以，一個(gè)功能完整的VPN管理系統(tǒng)是必需的。

通過(guò)VPN管理系統(tǒng)，可以實(shí)現(xiàn)以下目的：

1、降低成本：保證VPN可管理的同時(shí)不會(huì)過(guò)多增加操作和維護(hù)成本。

2、可擴(kuò)展性：VPN管理需要對(duì)日益增加的企業(yè)客戶作出快速的反應(yīng)，包括網(wǎng)絡(luò)軟件和硬件的平滑升級(jí)、安全策略維護(hù)、網(wǎng)絡(luò)質(zhì)量保證QOS等。論文寫(xiě)作，管理。

3、減少風(fēng)險(xiǎn)：從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò)，VPN面臨著安全與監(jiān)控的風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理要求做到允許公司分部、客戶通過(guò)VPN訪問(wèn)企業(yè)內(nèi)網(wǎng)的同時(shí)，還要確保企業(yè)資源的完整性。

4、可靠性：VPN構(gòu)建于公共網(wǎng)絡(luò)之上，其可控性降低，所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術(shù)

1、第二層通道協(xié)議

第二層通道協(xié)議主要有兩種，PPTP和L2TP，其中L2TP協(xié)議將密鑰進(jìn)行加密，其可靠性更強(qiáng)。

L2TP提高了VPN的管理性，表現(xiàn)在以下方面：

（1）安全的身份驗(yàn)證

L2TP可以對(duì)隧道終點(diǎn)進(jìn)行驗(yàn)證。不使用明文的驗(yàn)證，而是使用類(lèi)似PPPCHAP的驗(yàn)證方式。論文寫(xiě)作，管理。

（2）內(nèi)部地址分配

用戶接入VPN服務(wù)器后，可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址，從而方便的加入企業(yè)內(nèi)網(wǎng)，訪問(wèn)網(wǎng)絡(luò)資源。地址的獲取可以使用動(dòng)態(tài)分配的管理方法，由于獲取的是企業(yè)內(nèi)部的私有地址，方便了地址管理并增加安全性。論文寫(xiě)作，管理。

（3）網(wǎng)絡(luò)計(jì)費(fèi)

L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計(jì)，方便計(jì)費(fèi)。

（4）統(tǒng)一網(wǎng)絡(luò)管理

L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議，相關(guān)的MIB也已制定完成，可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。

2、IKE協(xié)議

IKE協(xié)議，即Internet Key Exchange，用于通信雙方協(xié)商和交換密鑰。IKE的特點(diǎn)是利用安全算法，不直接在網(wǎng)絡(luò)上傳輸密鑰，而是通過(guò)幾次數(shù)據(jù)的交換，利用數(shù)學(xué)算法計(jì)算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計(jì)算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗(yàn)證方面，IKE提供了公鑰加密驗(yàn)證、數(shù)字簽名、共享驗(yàn)證字方法。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書(shū)實(shí)現(xiàn)身份認(rèn)證。

IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問(wèn)題，是一種通用的協(xié)議，不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。

3、配置管理

可以使VPN服務(wù)器支持MIB，利用SNMP的遠(yuǎn)程配置和查詢功能對(duì)VPN網(wǎng)絡(luò)進(jìn)行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問(wèn)VPN服務(wù)器，利用服務(wù)器上設(shè)置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對(duì)服務(wù)器進(jìn)行配置。論文寫(xiě)作，管理。用戶登錄后，服務(wù)器會(huì)只授權(quán)登錄的IP地址和登錄客戶權(quán)限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協(xié)議只有查詢沒(méi)有配置功能的缺點(diǎn)。

（2）分級(jí)統(tǒng)一管理

如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大，可以對(duì)VPN服務(wù)器進(jìn)行統(tǒng)一配置管理，三級(jí)網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計(jì)，然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過(guò)分級(jí)管理，一級(jí)網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量、流量并進(jìn)行統(tǒng)計(jì)，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協(xié)議的總稱，IPsec被設(shè)計(jì)用來(lái)提供入口對(duì)入口通信安全分組通信的安全性由單個(gè)結(jié)點(diǎn)提供給多臺(tái)機(jī)器或者是局域網(wǎng)，也可以提供端到端通信安全，由作為端點(diǎn)的計(jì)算機(jī)完成安全操作。上述兩種模式都可以用來(lái)構(gòu)VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規(guī)則和過(guò)濾器，以便提供不同程度的安全級(jí)別。論文寫(xiě)作，管理。在IPSec策略的實(shí)現(xiàn)中，有多種預(yù)置策略供用戶選擇，用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本的方法，一是在本地計(jì)算機(jī)上指定策略，二是使用組策略對(duì)象，由其來(lái)實(shí)施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性。

利用上述VPN管理技術(shù)，可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性、完整性，并能夠?qū)崿F(xiàn)資源的分布式服務(wù)。以后還將結(jié)合更多的技術(shù)，實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理。其使用的領(lǐng)域也會(huì)越來(lái)越廣泛。

參考文獻(xiàn)：

[1]帕勒萬(wàn)等著劉劍譯.無(wú)線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社，2002.11

[2]朱坤華，李長(zhǎng)江.企業(yè)無(wú)線局域網(wǎng)的設(shè)計(jì)及組建研究[J].河南科技學(xué)院學(xué)報(bào)2008.2:120-123

[3]潘愛(ài)民.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）[M].清華大學(xué)出版社2004.8

篇3

關(guān)鍵詞 MPLS-VPN；節(jié)省公網(wǎng)地址資源；標(biāo)簽隧道

中圖分類(lèi)號(hào)：TN915 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671—7597（2013）051-143-01

隨著國(guó)內(nèi)互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，運(yùn)營(yíng)商維護(hù)工作當(dāng)中的一些問(wèn)題也隨之顯現(xiàn)。通過(guò)我們?cè)诠ぷ髦械姆e累，可以看到寬帶用戶數(shù)在飛速增長(zhǎng)，使GPON（最新一代寬帶無(wú)源光綜合接入標(biāo)準(zhǔn)）等業(yè)務(wù)在家庭中逐漸普及，但是隨之帶來(lái)的是互聯(lián)網(wǎng)設(shè)備網(wǎng)元數(shù)量在逐漸增多，而PPPOE（普通撥號(hào)業(yè)務(wù)）、GPON、專線等各類(lèi)地址在日常使用中，地址交叉占用，規(guī)范不標(biāo)準(zhǔn)，如圖1。

2011年2月國(guó)際互聯(lián)網(wǎng)號(hào)碼注冊(cè)機(jī)構(gòu)公布最后一批ipv4地址已分配完畢，據(jù)工信部2012年11月的報(bào)告數(shù)據(jù)，我國(guó)的寬帶家庭用戶數(shù)量已經(jīng)達(dá)到了1.66億，公網(wǎng)IP地址已成為緊缺資源，不能滿足國(guó)內(nèi)互聯(lián)網(wǎng)快速發(fā)展的需求，我們以一個(gè)圖表來(lái)說(shuō)明地址的變化情況。

如何在當(dāng)前的大環(huán)境下，既能保持中國(guó)互聯(lián)網(wǎng)業(yè)務(wù)高速發(fā)展速度的同時(shí)又能做到高效的利用IP地址資源呢？需要啟動(dòng)私網(wǎng)地址來(lái)替換現(xiàn)網(wǎng)中的公網(wǎng)地址，如果將GPON設(shè)備網(wǎng)元私網(wǎng)化，既有網(wǎng)絡(luò)結(jié)構(gòu)不變，那么會(huì)導(dǎo)致GPON私網(wǎng)與公網(wǎng)業(yè)務(wù)混在一起，不但地址管理容易混亂，而且數(shù)據(jù)容易造成沖突，可擴(kuò)展性差。如果使用MPLS-VPN隧道技術(shù)進(jìn)行業(yè)務(wù)隔離，使用獨(dú)立標(biāo)簽進(jìn)行業(yè)務(wù)劃分，并建立GPON業(yè)務(wù)的獨(dú)立通道與公網(wǎng)業(yè)務(wù)進(jìn)行隔離，網(wǎng)絡(luò)安全可靠，可擴(kuò)展性強(qiáng)。不同的部門(mén)有不同的業(yè)務(wù)系統(tǒng)，這些系統(tǒng)多數(shù)是要求數(shù)據(jù)隔離的，但有些系統(tǒng)又存在著互訪的需求，所以采用MPLS-VPN技術(shù)可以實(shí)現(xiàn)這些系統(tǒng)隔離和互訪的要求。

MPLS-VPN網(wǎng)絡(luò)主要由PE（運(yùn)營(yíng)商邊緣路由器設(shè)備，與CE相連，提供VPN業(yè)務(wù)的接入）、P（運(yùn)營(yíng)商核心路由器設(shè)備，只負(fù)責(zé)轉(zhuǎn)發(fā)MPLS數(shù)據(jù)包）、CE（用戶網(wǎng)絡(luò)邊緣路由器設(shè)備，與PE相連）3部分組成。

MPLS-VPN是一種基于MPLS（多協(xié)議標(biāo)簽交換）的VPN技術(shù)，屬于第三代網(wǎng)絡(luò)架構(gòu)，該技術(shù)對(duì)轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包封裝標(biāo)簽，是一種采用標(biāo)簽交換認(rèn)證識(shí)別互聯(lián)網(wǎng)虛擬網(wǎng)絡(luò)技術(shù)。它的特點(diǎn)是在現(xiàn)有的網(wǎng)絡(luò)架構(gòu)下，無(wú)須增加硬件設(shè)備，利用路由選擇協(xié)議建立完整的路由表，使用LDP協(xié)議生成基于標(biāo)簽交換的通道，就可以實(shí)現(xiàn)網(wǎng)內(nèi)數(shù)據(jù)包的快速轉(zhuǎn)發(fā)。在網(wǎng)內(nèi)各個(gè)PE路由器出入端口配置該MPLS-VPN數(shù)據(jù)后，封裝該標(biāo)簽的數(shù)據(jù)包就可以通過(guò)標(biāo)簽隧道互聯(lián)互通，從而實(shí)現(xiàn)與PE相連CE路由器下的GPON用戶間可以相互訪問(wèn)。

安全方面我們要考慮是否能做到全網(wǎng)全鏈路VPN，針對(duì)運(yùn)營(yíng)商所轄地市的網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備環(huán)境進(jìn)行排查升級(jí)工作，以保證全省VPN網(wǎng)絡(luò)的暢通。其次建立MPLS-VPN網(wǎng)絡(luò)的通道需在幀上添加標(biāo)簽，所以要統(tǒng)一修改互聯(lián)網(wǎng)與傳輸設(shè)備端口MTU值≥1516，需要排查網(wǎng)內(nèi)傳輸設(shè)備是否能滿足封裝標(biāo)簽后的數(shù)據(jù)包正常通過(guò)，是否能做到鏈路中斷的自動(dòng)保護(hù)，并建立完整的應(yīng)急預(yù)案機(jī)制等安全問(wèn)題。

建立VPN承載網(wǎng)絡(luò)，首先要深入研究MPLS-VPN的核心技術(shù)，統(tǒng)一進(jìn)行數(shù)據(jù)配置，規(guī)范操作流程，并在設(shè)備提供商的配合下，匯集互聯(lián)網(wǎng)設(shè)備硬件和軟件存在的問(wèn)題，進(jìn)行升級(jí)改造，實(shí)現(xiàn)多核心、全連路、可中斷保護(hù)的VPN承載網(wǎng)絡(luò)。為了更好的效果，我們不僅要增強(qiáng)技術(shù)手段，還必須規(guī)范一系列標(biāo)準(zhǔn)，如圖2。

制訂規(guī)范需要統(tǒng)一MPLS-VPN的數(shù)據(jù)配置與VLAN規(guī)劃標(biāo)準(zhǔn)。其次是私網(wǎng)地址使用規(guī)范，統(tǒng)一分配私網(wǎng)地址，按不同廠家的設(shè)備型號(hào)差異化進(jìn)行使用，已防止出現(xiàn)地址管理混亂的問(wèn)題。

在當(dāng)前光進(jìn)銅退的大環(huán)境下，MPLS-VPN技術(shù)已經(jīng)可以成為節(jié)省資源成本的一種有力手段，該技術(shù)管理便捷，投資教少，使用簡(jiǎn)易，在性能價(jià)格比上，相比其他廣域網(wǎng)VPN技術(shù)也具有較大的優(yōu)勢(shì)，從而可以有效提高了網(wǎng)絡(luò)維護(hù)效率，為我們快速發(fā)展中安全、高效的中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)提供有力的支撐。

參考文獻(xiàn)

篇4

關(guān)鍵詞:VPN安全協(xié)議關(guān)鍵技術(shù)部署模型

中圖分類(lèi)號(hào): TP393文獻(xiàn)標(biāo)識(shí)碼: A

VPN Technology and Deployment Model Analysis

JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1

(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;

2. Guizhou Radio and TV University, Guiyang 550004, China)

Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.

Key Words:VPN ;Security agreement;key technology ;Deploy model

0 前言

VPN技術(shù)實(shí)現(xiàn)了內(nèi)部網(wǎng)信息在公眾信息網(wǎng)中的傳輸,就好像在廣域網(wǎng)中為用戶建立了一條專線網(wǎng)。VPN根據(jù)使用者的身份和權(quán)限,直接將使用者接入他所應(yīng)該接觸的信息中。所以VPN對(duì)于每一個(gè)用戶來(lái)說(shuō),也是“專用”的,這一點(diǎn)是VPN給用戶帶來(lái)的最為明顯的變化。

1 VPN 概述

1.1VPN的概念

VPN (Virtual Private Network) 即虛擬專用網(wǎng),是在Internet中建立一條虛擬的專用通道,讓分布在不同地點(diǎn)的網(wǎng)絡(luò)用戶能在一個(gè)安全、穩(wěn)定的專用網(wǎng)絡(luò)通道中相互傳遞數(shù)據(jù)信息。VPN采用認(rèn)證、訪問(wèn)控制、機(jī)密性、數(shù)據(jù)完整性等技術(shù)保障數(shù)據(jù)通過(guò)安全的“加密管道”在Internet中傳播。[1]

1.2 VPN 的類(lèi)型

根據(jù)VPN 所起的作用,可以將VPN 分為三類(lèi):[1] [2] [3]

1.企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN):通過(guò)公用網(wǎng)絡(luò)將總部網(wǎng)絡(luò)與各個(gè)分部網(wǎng)絡(luò)安全互聯(lián),是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。

2.企業(yè)擴(kuò)展虛擬網(wǎng)(Extranet VPN):將具有合作關(guān)系的幾個(gè)內(nèi)聯(lián)網(wǎng)通過(guò)VPN互聯(lián),形成一個(gè)大的聯(lián)網(wǎng)區(qū)域,使之可共享訪問(wèn)的虛擬專用網(wǎng)絡(luò)。

3.遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(Access VPN):實(shí)現(xiàn)出差流動(dòng)員工、遠(yuǎn)程辦公人員和遠(yuǎn)程小辦公室對(duì)內(nèi)部資源的訪問(wèn)。

1.3 VPN 特點(diǎn)[2][4][5]

(1)數(shù)據(jù)加密和身份認(rèn)證;(2)提供不同的訪問(wèn)控制;(3)用戶有不同的訪問(wèn)權(quán)限;(4)網(wǎng)絡(luò)具有很高的安全性;(5)有利益于擴(kuò)展企業(yè)與合作伙伴的關(guān)系;(6)可支持新興多媒體業(yè)務(wù);

2 VPN關(guān)鍵技術(shù)

2.1 隧道技術(shù)

隧道技術(shù)(Tunneling)是一種在公用網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式[6]。隧道技術(shù)是VPN 的核心。[7]不同協(xié)議的數(shù)據(jù)幀或包都可以使用隧道傳遞。隧道是由隧道協(xié)議形成的,常用的有第2、3層隧道協(xié)議。隧道協(xié)議把其它協(xié)議的數(shù)據(jù)幀或包重新封裝之后,再由隧道發(fā)送。

2.2 密碼技術(shù)

VPN 技術(shù)的安全保障主要依靠密碼技術(shù)實(shí)現(xiàn)。其加密算法包括對(duì)稱加密算法、不對(duì)稱加密算法兩種。對(duì)稱加密算法是通信雙方共享一個(gè)密鑰,發(fā)送方使用該密鑰將明文加密為密文,接收方使用相同的密鑰將密文解密為明文。不對(duì)稱加密算法是通信雙方各使用一個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的密鑰,另一個(gè)則是與之對(duì)應(yīng)的公開(kāi)密鑰。

2.3 身份鑒別和認(rèn)證技術(shù)

VPN基于公共網(wǎng)絡(luò)進(jìn)行通信的特點(diǎn)使得對(duì)用戶身份的鑒別顯得極為重要。身份鑒別和認(rèn)證技術(shù)可以辨別數(shù)據(jù)的真?zhèn)?這對(duì)于網(wǎng)絡(luò)數(shù)據(jù)是尤為重要的。認(rèn)證協(xié)議一般采取的是消息摘要算法,它主要是采用HASH函數(shù)將一段較長(zhǎng)的報(bào)文通過(guò)HASH函數(shù)變換,映射為一段較短的報(bào)文摘要。

2.4 QoS技術(shù)

通過(guò)加密技術(shù)及隧道技術(shù),就能建立一個(gè)具備安全性、互操作性的VPN。但建立的該VPN是不穩(wěn)定的,在管理上還不能滿足企業(yè)的要求,這就需要加入QoS技術(shù)。實(shí)行QoS技術(shù)應(yīng)該在主機(jī)網(wǎng)絡(luò)中,即VPN所建立的隧道,這樣才能建立一條性能優(yōu)越的隧道。[8]

3 VPN 解決方案[9]

3.1 VPN 部署模型

部署VPN首先要選定一個(gè)VPN隧道終端設(shè)備,選擇的這個(gè)設(shè)備主要由VPN隧道端點(diǎn)位置和用于隧道端點(diǎn)設(shè)備的功能來(lái)決定。

3.1.1位于邊界路由器的VPN終端

位于邊界路由器的VPN終端所具有的優(yōu)點(diǎn)是能夠確保VPN流量遵循外部防火墻的策略后才能夠達(dá)到內(nèi)部網(wǎng)絡(luò),它比較適合外部連接部署。它的缺點(diǎn)是隨著業(yè)務(wù)合作伙伴的增加,路由器上的負(fù)荷也隨著加解密進(jìn)出VPN隧道數(shù)據(jù)包的增加而增加。

3.1.2 位于企業(yè)防火墻的VPN終端

位于企業(yè)防火墻的VPN終端能夠允許來(lái)自不同分支機(jī)構(gòu)對(duì)公司內(nèi)部網(wǎng)絡(luò)的訪問(wèn),在這種模型下,遠(yuǎn)程用戶可以直接訪問(wèn)內(nèi)部網(wǎng)絡(luò),而不用進(jìn)行第二次認(rèn)證。它的缺點(diǎn)是隨著公司分支機(jī)構(gòu)的增加,防火墻的負(fù)荷也隨著增加。

3.1.3位于專用設(shè)備的VPN終端

位于專用設(shè)備的VPN終端能夠允許從分支機(jī)構(gòu)網(wǎng)絡(luò)直接訪問(wèn)公司內(nèi)部核心網(wǎng)絡(luò),遠(yuǎn)程用戶可以訪問(wèn)提供的所有內(nèi)部服務(wù)。它的缺點(diǎn)是隨著更多的公司分支機(jī)構(gòu)接入內(nèi)部網(wǎng)絡(luò),防火墻的負(fù)荷也會(huì)因?yàn)槊總€(gè)VPN需要加密數(shù)量的增加而增加。

3.2VPN拓?fù)淠Ｐ?/p>

3.2.1 星狀拓?fù)淠Ｐ?/p>

在星型拓?fù)浣Y(jié)構(gòu)中,遠(yuǎn)程分支機(jī)構(gòu)可以安全的與公司總部通信,它的缺點(diǎn)是分支機(jī)構(gòu)間不能通信。星型拓?fù)浣Y(jié)構(gòu)提供的固有優(yōu)點(diǎn)是新站點(diǎn)的增加比較容易。

3.2.2 網(wǎng)狀拓?fù)淠Ｐ?/p>

在網(wǎng)狀拓?fù)淠Ｐ椭?可以全網(wǎng)狀或部分網(wǎng)狀來(lái)部署VPN網(wǎng)絡(luò)。它的優(yōu)點(diǎn)是有大量任意目的地的替代路徑,缺點(diǎn)有大量的冗余路徑。

3.2.3中心輪廓拓?fù)淠Ｐ?/p>

中心輪廓拓?fù)淠Ｐ蛷脑O(shè)計(jì)上來(lái),很類(lèi)似網(wǎng)狀拓?fù)淠Ｐ?但其最大的不同點(diǎn)是解決了各分支機(jī)構(gòu)間不能通信的缺點(diǎn)。在這個(gè)模型中,公司網(wǎng)絡(luò)做外一個(gè)傳輸節(jié)點(diǎn),它讓所有的流量從網(wǎng)絡(luò)的一個(gè)分支結(jié)構(gòu)傳輸?shù)搅硪粋€(gè)傳輸節(jié)點(diǎn)。它的缺點(diǎn)是使得整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)加大。

3.2.4 遠(yuǎn)程訪問(wèn)拓?fù)淠Ｐ?/p>

遠(yuǎn)程訪問(wèn)拓?fù)淠Ｐ褪墙⒃谥行妮喞負(fù)淠Ｐ突A(chǔ)之上的,它可以為遠(yuǎn)程用戶,移動(dòng)辦公用戶等沒(méi)有靜態(tài)IP地址的用戶提供連接從而保證它們之間的通信。

4 結(jié)語(yǔ)

VPN技術(shù)的發(fā)展, 為企業(yè)建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)提供了一種新的思路, 可以通過(guò)在公共網(wǎng)絡(luò)上建立虛擬的鏈接來(lái)傳輸私有數(shù)據(jù)。VPN通過(guò)隧道技術(shù)、數(shù)據(jù)加密技術(shù)以及QoS機(jī)制,使得企業(yè)不僅極大的降低了企業(yè)建設(shè)網(wǎng)絡(luò)的成本, 同時(shí)也大大提高了網(wǎng)絡(luò)的安全性,提高了企業(yè)運(yùn)營(yíng)效率。在網(wǎng)絡(luò)時(shí)代,企業(yè)發(fā)展取決于是否最大限度地利用網(wǎng)絡(luò)。VPN將是企業(yè)現(xiàn)在乃至未來(lái)最佳的選擇[10]。

參考文獻(xiàn):

[1]袁德明.喬月圓.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社.2007.266-282.

[2]謝懷軍.VPN技術(shù)透視分析[M].中國(guó)金融電腦.2000.10.

[3][美]C arlton R .D avis. IP Sec VPN 的安全實(shí)施[M].清華大學(xué)出版社.2002.

[4]郝輝,錢(qián)華林.VPN及其隧道技術(shù)研究[J].微電子學(xué)與計(jì)算機(jī).2004.21(11):47～49.

[5]周喜等.VPN現(xiàn)狀與在網(wǎng)區(qū)中的部署分析[J].計(jì)算機(jī)應(yīng)用研究.2003.2.

[6]陳興剛,孟傳良.VPN及其隧道技術(shù)研究[J].電腦知識(shí)與技術(shù).2008,3(5):879-880.

[7]彭湘凱.VPN及其核心技術(shù)[J].成都大學(xué)學(xué)報(bào)(自然科學(xué)版),2001,20(1):12～15.

[8]劉建偉,王育民等.網(wǎng)絡(luò)安全――技術(shù)與實(shí)踐[M].北京.清華大學(xué)出版社.2005.472.

[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell編著.謝琳,趙俐等譯.防火墻策略與VPN配置[M].中國(guó)水利水電出版社.2008.136～170.

篇5

關(guān)鍵詞：VPN； 信息化； Qos；捆綁

1.概念綜述

VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)對(duì)大型的跨地域企業(yè)內(nèi)部同步使用ERP、MRP等信息化管理系統(tǒng)有著極大的幫助作用和可觀的經(jīng)濟(jì)意義，不過(guò)受到流量問(wèn)題的限制，VPN技術(shù)也面臨一個(gè)網(wǎng)絡(luò)帶寬“供不應(yīng)求”的難題，例如現(xiàn)在很多企業(yè)都是采用ADSL網(wǎng)絡(luò)接入方式，而基于ADSL線路由于技術(shù)本身的限制，單條的上行速率只能達(dá)到幾百K，如果是一些數(shù)據(jù)量較大的企業(yè)信息系統(tǒng)，要求信息流是雙向的，傳和下傳的速度都要快，那么單條ADSL就顯得力不從心了。

從而，一種既可以不改動(dòng)原有ADSL線路，又可以有效提升VPN系統(tǒng)性能的技術(shù)得以推廣，即“通道多路捆綁”技術(shù)，這種技術(shù)現(xiàn)在在國(guó)內(nèi)也已經(jīng)十分成熟，例如我國(guó)較早涉足VPN領(lǐng)域的深信服（SINFOR）公司在VPN的多路捆綁技術(shù)上就有著諸多建樹(shù)。

2．多路通道技術(shù)綜述

2.1何為多路通道技術(shù)

   所謂多路通道技術(shù)，就是使數(shù)據(jù)包可以從兩條線路進(jìn)行傳輸，就像計(jì)算機(jī)中磁盤(pán)陣列RAID 0的方式，在理論上可以達(dá)到帶寬倍增的效果。從表面上看，多路通道捆綁似乎是一種非常理想的技術(shù)，但真正實(shí)現(xiàn)起來(lái)，其中也存在不少困難：首先，數(shù)據(jù)要同時(shí)在多條線路上傳輸、如何能保證相同的業(yè)務(wù)數(shù)據(jù)分配到不同線路時(shí)，仍然不受影響？比如一串視頻數(shù)據(jù)，發(fā)送時(shí)通過(guò)多條Internet線路、在接收端，傳輸?shù)臄?shù)據(jù)順序必須準(zhǔn)確有效、并能還原成發(fā)送前的狀態(tài)。其次，線路的中斷和恢復(fù)也是一個(gè)必須解決的問(wèn)題。一旦一條線路出現(xiàn)故障，所承載的數(shù)據(jù)要立刻無(wú)縫切換到其他線路，并保證業(yè)務(wù)不受影響。同樣，線路恢復(fù)后，也要能夠在新恢復(fù)的線路上建立VPN隧道，并能夠重新調(diào)整負(fù)載均衡策略。最后，Internet連接方式也多種多樣。用戶為了進(jìn)一步增強(qiáng)系統(tǒng)穩(wěn)定性，往往傾向于從不同的運(yùn)營(yíng)商處申請(qǐng)線路，就會(huì)存在各種不同方式的Internet線路（如ADSL、寬帶、DDN等等）需要能夠?qū)崿F(xiàn)帶寬的捆綁和疊加。

2.2多路通道的組合

在一個(gè)路由器上做多條線路捆綁的方式有多種組合：多條ADSL線路捆綁，多條光纖線路捆綁，光纖和ADSL線路進(jìn)行捆綁。這種捆綁是一種帶寬相加式的捆綁，而不是線路互相備份。多路通道1＋1＝2？從實(shí)際應(yīng)用的角度去分析，兩條線路進(jìn)行捆綁后，上下行的流量是不可能達(dá)到1＋1＝2的效果的，2條以上的線路也是同樣道理，原因大致如下： 第一，當(dāng)每一個(gè)數(shù)據(jù)包進(jìn)行傳輸時(shí)，它必須先選擇其中一條線路，這個(gè)選擇的過(guò)程就是路由器進(jìn)行調(diào)度分配的過(guò)程，路由器會(huì)按照預(yù)先設(shè)定的算法將每一個(gè)數(shù)據(jù)包根據(jù)一定的條件（這個(gè)條件通常不是固定的）分配到一條線路，這個(gè)過(guò)程會(huì)占用路由器的處理器資源，需要耗費(fèi)一定的時(shí)間，當(dāng)然耗時(shí)是非常短的，但是大量的數(shù)據(jù)包耗費(fèi)的時(shí)間累加起來(lái)就比較可觀了，加上現(xiàn)在中低端路由器的處理能力還比較有限，所以這種資源的消耗是不能忽略的。如果你捆綁兩條2M的線路和一條4M的線路做對(duì)比，就會(huì)發(fā)現(xiàn)捆綁兩條2M線路的速度不會(huì)快過(guò)那條4M的線路，其中一個(gè)重要因素就是路由器上對(duì)數(shù)據(jù)包進(jìn)行調(diào)度而耽誤了數(shù)據(jù)轉(zhuǎn)發(fā)的時(shí)間。 第二，相信大家也知道，RAID 0陣列的容量是取決于容量小的那個(gè)硬盤(pán)，因?yàn)閿?shù)據(jù)是同時(shí)在兩個(gè)硬盤(pán)上進(jìn)行讀寫(xiě)的；而在VPN多路捆綁中也有類(lèi)似情形－－如果兩條線路的帶寬不一樣，也就是一條大些，一條小些，這時(shí)情況就比較復(fù)雜了。因?yàn)槿绻酚蛇€是按照1:1的比例將數(shù)據(jù)包分別派發(fā)給兩條線路的話，就會(huì)造成帶寬大的那條線路發(fā)完時(shí)帶寬小的那條還沒(méi)發(fā)完，于是帶寬大的線路得等待帶寬小的線路，這樣會(huì)造成效率的降低，因此很多支持不對(duì)稱多路捆綁的路由器都允許設(shè)置路由器調(diào)度分配的比例，例如接入1條1M的ADSL和1條2M的ADSL時(shí)，就可以把這個(gè)比例設(shè)成1:2，這樣兩條線的帶寬就可以充分利用起來(lái)；當(dāng)然，由于數(shù)據(jù)分配的比例不會(huì)是完美的1:2，而兩條線路的實(shí)際流量也不是準(zhǔn)確的1:2，因此寬帶資源還是沒(méi)有被完全的利用起來(lái)，所以最終1M和2M兩條ADSL線路捆綁之后的實(shí)際效果依舊小于3M線路的實(shí)際效果。第三，如果兩條線路進(jìn)行捆綁，在下載時(shí)和上傳時(shí)得到的帶寬其實(shí)是不同的，因?yàn)樵谏蟼鲿r(shí)你是兩條線路同時(shí)傳送數(shù)據(jù)，可以理解為1＋1＝2；但在下載時(shí)，對(duì)方并不知道你將線路進(jìn)行了捆綁，他也無(wú)法控制數(shù)據(jù)包往哪條線路上傳送，所以每次對(duì)方的數(shù)據(jù)包發(fā)送過(guò)來(lái)都是由其中一條線路承擔(dān)接收任務(wù)，在這種情況下，兩條1M的線路進(jìn)行捆綁后其實(shí)效果大概也是1M，也就是1＋1＝1，因此，將多路捆綁簡(jiǎn)單的理解為帶寬的疊加其實(shí)是不對(duì)的。

2.3多路通道捆綁的好處

首先，多路通道捆綁技術(shù)給用戶帶來(lái)的好處是顯而易見(jiàn)的。首先就是帶寬的大幅提升，在目前大多數(shù)的VPN系統(tǒng)應(yīng)用中，都是總部的一條線路、需要應(yīng)對(duì)來(lái)自幾個(gè)甚至幾十個(gè)分支機(jī)構(gòu)、移動(dòng)用戶的數(shù)據(jù)量。尤其在類(lèi)似ADSL的非對(duì)稱線路中、上行帶寬本來(lái)就較窄，造成總部數(shù)據(jù)量不堪重負(fù)。為了解決帶寬不平衡的問(wèn)題，有些企業(yè)不得不在總部耗費(fèi)巨資申請(qǐng)高速的專用線路，成本高昂。

其次，VPN支持各種不同方式的線路綁定，用戶可以申請(qǐng)多條動(dòng)態(tài)IP的ADSL上網(wǎng)線路、也可以申請(qǐng)ADSL及其他寬帶線路甚至無(wú)線連接等等。通過(guò)多線路防火墻/NAT模塊，還可以實(shí)現(xiàn)多條線路共同訪問(wèn)Internet，成倍的提高了上網(wǎng)的速度。

第三多路通道捆綁的另一個(gè)好處就是系統(tǒng)的穩(wěn)定性大大增強(qiáng)。如果是單條線路，一旦中斷、整個(gè)系統(tǒng)就會(huì)陷入癱瘓，VPN系統(tǒng)的穩(wěn)定性非常依賴于線路本身的穩(wěn)定性。通過(guò)多線路捆綁技術(shù)，尤其是對(duì)不同方式的線路捆綁、在任何一條線路出現(xiàn)故障時(shí)，數(shù)據(jù)可以無(wú)縫切換到其他正常線路，保證了整個(gè)系統(tǒng)的持續(xù)可靠運(yùn)行。優(yōu)秀的VPN路由還進(jìn)一步實(shí)現(xiàn)了多條Internet線路的QOS管理，并能根據(jù)不同線路的帶寬情況智能分配負(fù)載，最大限度的提高帶寬利用率。

2.4多路通道捆綁的安全和權(quán)限問(wèn)題

多條線路同時(shí)連接時(shí)，局域網(wǎng)也同時(shí)面臨著多條與Internet連接的通道。這就給各種網(wǎng)絡(luò)攻擊、病毒提供了更多的可乘之機(jī)，所以很多VPN路由都是直接結(jié)合了比較專業(yè)的防火墻功能，不但能夠支持多條線路的捆綁上網(wǎng)，還能對(duì)帶寬進(jìn)行智能動(dòng)態(tài)分配，防護(hù)來(lái)自多條

線路的攻擊。

3.結(jié)束語(yǔ)

   由于很多VPN網(wǎng)絡(luò)的結(jié)構(gòu)非常龐大，內(nèi)部成員的權(quán)限問(wèn)題也就非常復(fù)雜，因此一些優(yōu)秀的VPN產(chǎn)品可以對(duì)各成員接入后的可訪問(wèn)資源做嚴(yán)格而詳細(xì)的限定來(lái)杜絕這些安全隱患。例如Sinfor的DLAN方案就可以針對(duì)每個(gè)用戶設(shè)定不同的接入訪問(wèn)權(quán)限，如某些用戶只能訪問(wèn)總部的庫(kù)存系統(tǒng)，不能訪問(wèn)財(cái)務(wù)系統(tǒng)等，不同的VPN用戶可以設(shè)定對(duì)不同資源的訪問(wèn)權(quán)限，避免因?yàn)閂PN用戶權(quán)限過(guò)大造成的安全隱患。

  

參考文獻(xiàn)：

[1]CarIton R.Davis. IPSec VPN的安全實(shí)施.清華大學(xué)出版社.

[2]林闖，單志廣，任豐原, 計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)質(zhì)量(QoS). 清華大學(xué)出版社。2004

篇6

【關(guān)鍵詞】VPN 網(wǎng)絡(luò) 實(shí)現(xiàn)技術(shù)

【中圖分類(lèi)號(hào)】G718 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）01―0180-02

1 前言

隨著企業(yè)規(guī)模逐漸擴(kuò)大，遠(yuǎn)程用戶、遠(yuǎn)程辦公人員、分支機(jī)構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過(guò)公共網(wǎng)絡(luò)（如Internet）來(lái)建立自己的專用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專用網(wǎng)（簡(jiǎn)稱VPN）。VPN集靈活性、安全性、經(jīng)濟(jì)性以及擴(kuò)展性于一身，可充分滿足分支機(jī)構(gòu)、移動(dòng)辦公安全通信的需求。

2 VPN技術(shù)概述

VPN英文全稱是“Virtual Private Network”（虛擬專用網(wǎng)絡(luò)”）。VPN被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。

2.1 VPN的功能

VPN至少應(yīng)能提供如下功能：加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露；信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份；提供訪問(wèn)控制，不同的用戶有不同的訪問(wèn)權(quán)限。

2.2 VPN的分類(lèi)

VPN既是一種組網(wǎng)技術(shù)，又是一種網(wǎng)絡(luò)安全技術(shù)。按照不同的方法主要有以下幾種劃分方式。

（1）按實(shí)現(xiàn)技術(shù)劃分，基于隧道的VPN、基于虛電路的VPN和MPLSVPN

（2）應(yīng)用范圍劃分，遠(yuǎn)程接入VPN（Accesss VPN）、Intranet VPN和Extranet VPN等3種應(yīng)用模式。

（3）遠(yuǎn)程接入VPN用于實(shí)現(xiàn)移動(dòng)用戶或遠(yuǎn)程辦公室安全訪問(wèn)企業(yè)網(wǎng)絡(luò)；Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)；Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。

（4）按隧道協(xié)議劃分，VPN可劃分為第2層隧道協(xié)議和第3層隧道協(xié)議。PPTP、L2P和L2TP都屬于第2層隧道協(xié)議，IPSec屬于第3層隧道協(xié)議，MPLS跨越第2層和第3層。VPN的實(shí)現(xiàn)往往將第2層和第3層協(xié)議配合使用，如L2TP/IPSec。當(dāng)然，還可根據(jù)具體的協(xié)議來(lái)進(jìn)一步劃分VPN類(lèi)型，如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特點(diǎn)

在實(shí)際應(yīng)用中，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：

（1）安全保障

VPN應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

（2）服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

（3）可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類(lèi)型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類(lèi)型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

（4）可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。

2.4 VPN的技術(shù)解決方案

VPN有三種解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這三種解決方案分別是：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類(lèi)型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。

（1）如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問(wèn)服務(wù)，就可以考慮使用AccessVPN。

AccessVPN通過(guò)一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)。AccessVPN能使用戶隨時(shí)、隨地以其所需的方式訪問(wèn)企業(yè)資源。AccessVPN包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路（xDSL）、移動(dòng)IP和電纜技術(shù)，能夠安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。

（2）如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。

越來(lái)越多的企業(yè)需要在全國(guó)乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。

（3）如果是提供B2B之間的安全訪問(wèn)服務(wù)，則可以考慮EXtranetVPN。

隨著信息時(shí)代的到來(lái)，各個(gè)企業(yè)越來(lái)越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過(guò)各種方式了解客戶的需要，同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來(lái)越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息

服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。

3 結(jié)語(yǔ)

在過(guò)去無(wú)論因特網(wǎng)的遠(yuǎn)程接入還是專線接入，以及骨干傳輸?shù)膸挾己苄。琎oS更是無(wú)法保障，造成企業(yè)用戶寧愿花費(fèi)大量的金錢(qián)去投資自己的專線網(wǎng)絡(luò)或是寧愿花費(fèi)巨額的長(zhǎng)途話費(fèi)來(lái)提供遠(yuǎn)程接入。現(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問(wèn)題將得到根本改善和解決。可以想象，當(dāng)我們消除了所有這些障礙因素后，VPN將會(huì)成為我們網(wǎng)絡(luò)生活的主要組成部分。同時(shí)，VPN會(huì)加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國(guó)各地分公司的局域網(wǎng)連起來(lái)，從而真正發(fā)揮整個(gè)網(wǎng)絡(luò)的作用。VPN對(duì)推動(dòng)整個(gè)電子商務(wù)、電子貿(mào)易將起到不可低估的作用。

參考文獻(xiàn)

[1]秦柯.Cisco IPSec VPN實(shí)戰(zhàn)指南人民郵電出版社，2012

篇7

【關(guān)鍵詞】虛擬專用網(wǎng)絡(luò) 多協(xié)議標(biāo)記交換 安全性 穩(wěn)定性靈活性

一、前言

隨著企業(yè)規(guī)模的不斷擴(kuò)展，企業(yè)內(nèi)部間信息傳輸?shù)陌踩裕煽啃砸约靶畔鬏敺€(wěn)定性變得越來(lái)越重要，各企業(yè)也越來(lái)越重視企業(yè)內(nèi)部間的網(wǎng)絡(luò)互連。因此，建設(shè)安全、可靠、穩(wěn)定、低成本的企業(yè)網(wǎng)絡(luò)成為企業(yè)的基礎(chǔ)課題。

然而，隨著IP-VPN技術(shù)迅速發(fā)展，使得IP-VPN技術(shù)也廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)建設(shè)當(dāng)中。而MPLSVPN是一種基于MPLS技術(shù)的IP-VPN，其能有效解決企業(yè)網(wǎng)絡(luò)組建中遇到的跨越公用網(wǎng)和跨越自治系統(tǒng)的需求，并且解決企業(yè)對(duì)于語(yǔ)音和視頻的通信需求。同時(shí)MPLS VPN還保證了網(wǎng)絡(luò)傳輸?shù)陌踩?、?shí)時(shí)性、穩(wěn)定性。這為現(xiàn)代異地辦公、移動(dòng)辦公數(shù)據(jù)安全性、可靠性及實(shí)現(xiàn)企業(yè)互連，提供了一種新的途徑和解決方案。

二、MPLS VPN技術(shù)在本企業(yè)的應(yīng)用

近年來(lái)，隨著企業(yè)國(guó)際化進(jìn)程的穩(wěn)步推進(jìn)，信息化已成為保障企業(yè)持續(xù)發(fā)展的重要手段之一。企業(yè)需要在提高企業(yè)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)速率和靈活性的同時(shí)，又能確保企業(yè)信息化的安全性與穩(wěn)定性，以及在降低投入到一個(gè)合理范圍的同時(shí)，滿足企業(yè)信息化發(fā)展的需求。

（一）本企業(yè)現(xiàn)狀

本企業(yè)的網(wǎng)絡(luò)是星形網(wǎng)絡(luò)架構(gòu)，通過(guò)總公司的廣域網(wǎng)與各基地相互連通的；新疆和新加坡是直接通過(guò)本企業(yè)建立的專線接入到燕郊核心交換機(jī)上，印尼分公司和墨西哥分公司是通過(guò)IPSEC VPN方式接入本企業(yè)燕郊內(nèi)網(wǎng)。本企業(yè)的數(shù)據(jù)中心建在燕郊，各基地和海外子公司都需要訪問(wèn)數(shù)據(jù)中心的相關(guān)數(shù)據(jù)，因此網(wǎng)絡(luò)流量都會(huì)集中在燕郊，從網(wǎng)絡(luò)架構(gòu)上說(shuō)，本企業(yè)的星型結(jié)構(gòu)中心點(diǎn)應(yīng)該是燕郊地區(qū)，而不是作為總公司的中心節(jié)點(diǎn)的北京地區(qū)，因此現(xiàn)有的網(wǎng)絡(luò)架構(gòu)存在著如下的問(wèn)題，核心網(wǎng)絡(luò)節(jié)點(diǎn)資源分配不足，部分網(wǎng)絡(luò)上聯(lián)網(wǎng)絡(luò)資源不足，局部網(wǎng)絡(luò)在特定時(shí)間段存在網(wǎng)絡(luò)瓶頸，網(wǎng)絡(luò)傳輸速率不足。

本企業(yè)的內(nèi)部網(wǎng)絡(luò)通過(guò)總公司的廣域網(wǎng)與各分站基地互聯(lián)通信的，同時(shí)，本企業(yè)的內(nèi)部網(wǎng)絡(luò)與總公司及其二級(jí)公司網(wǎng)絡(luò)也都是互通的，相互之間沒(méi)有充足的隔離手段，因此在數(shù)據(jù)傳輸?shù)陌踩陨洗嬖谳^大隱患。同時(shí)，由于本企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)扁平，生產(chǎn)網(wǎng)和測(cè)試網(wǎng)沒(méi)有進(jìn)行分離，由于測(cè)試系統(tǒng)的穩(wěn)定性與安全性都比較低，兩網(wǎng)在一起也存在著一定的安全隱患。

本企業(yè)燕郊、湛江、上海、深圳地區(qū)的核心網(wǎng)絡(luò)過(guò)于扁平化，如遇到網(wǎng)絡(luò)環(huán)路，就會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響用戶的日常辦公和各生產(chǎn)系統(tǒng)的正常運(yùn)行。隨著應(yīng)用系統(tǒng)的增多，重要系統(tǒng)的網(wǎng)絡(luò)帶寬保障需求日益突出，然而現(xiàn)有網(wǎng)絡(luò)架構(gòu)與設(shè)備無(wú)法在燕郊與各地做特殊應(yīng)用優(yōu)先保障策略，導(dǎo)致有的重要系統(tǒng)同步數(shù)據(jù)或上傳數(shù)據(jù)無(wú)法保障網(wǎng)絡(luò)傳輸平穩(wěn)正常。

隨著本企業(yè)信息化建設(shè)需求不斷增多，應(yīng)用系統(tǒng)的運(yùn)維模式向集中管理發(fā)展，企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性、安全性和轉(zhuǎn)發(fā)速率時(shí)刻影響著各地用戶。至此，網(wǎng)絡(luò)架構(gòu)不合理、轉(zhuǎn)發(fā)速率不足、穩(wěn)定性不夠、以及安全性不高已嚴(yán)重制約了企業(yè)信息化的發(fā)展。

（二）MPLS VPN在油服的應(yīng)用

1.設(shè)計(jì)方案

為滿足本企業(yè)的多網(wǎng)分離，專網(wǎng)專用，辦公與生產(chǎn)、測(cè)試相互隔離的需求，同時(shí)一定程度上解決網(wǎng)絡(luò)速度慢、穩(wěn)定性差、安全性低、網(wǎng)絡(luò)活動(dòng)性和擴(kuò)展性不靈活、QOS無(wú)法制定、舊網(wǎng)絡(luò)無(wú)法升級(jí)等問(wèn)題，充分利用MPLS VPN技術(shù)的優(yōu)勢(shì)，項(xiàng)目組制定了本企業(yè)獨(dú)特的兩橫兩縱VPN設(shè)計(jì)架構(gòu)。

本企業(yè)的MPLS VPN邏輯上分為兩橫兩縱，兩個(gè)橫向VPN分別為應(yīng)用共享VPN和測(cè)試共享VPN；兩個(gè)縱向VPN分別為辦公縱向VPN和科研縱向VPN。應(yīng)用共享VPN里規(guī)劃為本企業(yè)現(xiàn)運(yùn)行的各應(yīng)用系統(tǒng)；測(cè)試共享VPN為未正式上線的應(yīng)用系統(tǒng)；辦公縱向VPN為各基地、機(jī)關(guān)的普通用戶地址段；科研縱向VPN為各事業(yè)部要求網(wǎng)絡(luò)環(huán)境安全性比較高的用戶地址段。

2.實(shí)施過(guò)程

根據(jù)本企業(yè)各地理片區(qū)不同的網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同情況，結(jié)合整體考量，MPLS VPN網(wǎng)絡(luò)改造從以下幾個(gè)步驟進(jìn)行的，首先，更換全網(wǎng)IP地址；其次，更換全網(wǎng)不滿足的核心設(shè)備和樓層設(shè)備；再次，增加全網(wǎng)網(wǎng)絡(luò)端口和光纖上鏈線路；最后，進(jìn)行MPLS VPN配置和遷移。根據(jù)前期的規(guī)劃，通過(guò)近兩年的實(shí)施，燕郊、湛江、塘沽、深圳和上海各地分站都劃分為邊緣區(qū)域，部署MCE設(shè)備，在MCE上分別建有本企業(yè)的兩橫兩縱VPN，只有新疆地區(qū)由于片區(qū)小，人數(shù)少，網(wǎng)絡(luò)結(jié)構(gòu)單一，所以配置為CE。本企業(yè)MPLS VPN項(xiàng)目完成后的網(wǎng)絡(luò)架構(gòu)如下圖所示。

圖MPLS 網(wǎng)絡(luò)拓?fù)鋱D

3.使用效果

自MPLS VPN項(xiàng)目改造以來(lái)，實(shí)施完成后的益處總結(jié)為以下幾點(diǎn)。

（1）提高本企業(yè)網(wǎng)絡(luò)的安全性

在實(shí)施MPLS VPN項(xiàng)目以前，集團(tuán)公司旗下任何一家二級(jí)單位都可以訪問(wèn)本企業(yè)的各應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)，一旦有一個(gè)單位網(wǎng)絡(luò)出現(xiàn)病毒，那么這些網(wǎng)絡(luò)病毒可以快速在廣域網(wǎng)中傳播；同時(shí)一旦該單位的網(wǎng)絡(luò)受到外部攻擊或者黑客進(jìn)入，很容易會(huì)攻擊到本企業(yè)的應(yīng)用系統(tǒng)及個(gè)人辦公電腦，在信息化安全不斷提高與強(qiáng)調(diào)的今天，這種網(wǎng)絡(luò)環(huán)境已經(jīng)不能滿足整個(gè)集團(tuán)以及本企業(yè)信息化發(fā)展的需要。在實(shí)施了MPLS VPN項(xiàng)目后，整個(gè)網(wǎng)絡(luò)環(huán)境從三方面體現(xiàn)了出了高安全性。不同VPN之間地址空間與路由信息的分離；骨干網(wǎng)絡(luò)拓?fù)鋵?duì)VPN用戶的隱藏；提高了網(wǎng)絡(luò)抵御惡意攻擊（如拒絕服務(wù)攻擊（DOS））以及網(wǎng)絡(luò)入侵的能力。

（2）提升各地局域網(wǎng)的網(wǎng)絡(luò)穩(wěn)定性

MPLS VPN實(shí)施后，優(yōu)化了各片區(qū)的網(wǎng)絡(luò)接入方式，湛江、燕郊、塘沽各地接入網(wǎng)絡(luò)都改成了雙上聯(lián)的不同路由區(qū)域，燕郊的同地區(qū)不同片區(qū)之間網(wǎng)絡(luò)接入也改成了不同的路由區(qū)域，提高了網(wǎng)絡(luò)的穩(wěn)定性。同時(shí)，同片區(qū)下不同VPN下的機(jī)器不再受到環(huán)路后的泛洪影響。根據(jù)PING值測(cè)試，MPLS VPN實(shí)施前各地存在著每10000個(gè)PING包會(huì)丟失50到150個(gè)包，實(shí)施MPLS VPN后測(cè)試PING 10000個(gè)包丟率為0%，網(wǎng)絡(luò)的穩(wěn)定性達(dá)到了最佳值。

（3）優(yōu)化網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

在實(shí)施MPLS VPN后，更換了燕郊、湛江、上海、深圳核心設(shè)備，提高了更換的各基地的數(shù)據(jù)轉(zhuǎn)換和處理能力，同時(shí)調(diào)整了網(wǎng)絡(luò)架構(gòu)，從本企業(yè)的網(wǎng)絡(luò)架構(gòu)看，現(xiàn)已調(diào)整為以燕郊為中心的星型雙鏈路架構(gòu)；更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式，大多實(shí)現(xiàn)雙上聯(lián)冗余接入網(wǎng)絡(luò)，并且根據(jù)各基地的現(xiàn)有情況，調(diào)整核心交換機(jī)配置，使接入層交換機(jī)與核心交換機(jī)的選路達(dá)到最優(yōu)方式。

三、結(jié)束語(yǔ)

MPLS VPN網(wǎng)絡(luò)的實(shí)施僅只是企業(yè)對(duì)MPLS VPN技術(shù)研究與應(yīng)用的一個(gè)起點(diǎn)，相信隨著MPLS VPN技術(shù)的不斷發(fā)展和使用的深化，MPLS VPN技術(shù)的各種優(yōu)勢(shì)將逐步被應(yīng)用到我們的生產(chǎn)工作中去，并在我們的生產(chǎn)工作中發(fā)揮更加巨大的作用。

參考文獻(xiàn)：

[1] 趙雪石；MPLS VPN的優(yōu)勢(shì)及實(shí)施中應(yīng)注意的問(wèn)題[J]；湖北郵電技術(shù)；2004年05期.

[2] 胡國(guó)輝；崔可升；MPLS VPN原理及組網(wǎng)應(yīng)用[J]；電信技術(shù)；2005年12期.

篇8

隨著Internet的蓬勃發(fā)展，人們對(duì)其應(yīng)用提出了更高的要求。但I(xiàn)nternet缺乏有效的流量和網(wǎng)絡(luò)帶寬管理手段，網(wǎng)絡(luò)經(jīng)常會(huì)發(fā)生阻塞。無(wú)法對(duì)服務(wù)質(zhì)量(QoS)提供保證，許多應(yīng)用對(duì)于目前的IP技術(shù)(如語(yǔ)音和視頻等)顯得力不從心。而新興的多協(xié)議標(biāo)記交換技術(shù)(MPLS:MultiProtocol Label Switching)有望解決這一問(wèn)題。

1 VPN簡(jiǎn)介

VPN指的是依靠ISP和其它NSP，在公用網(wǎng)絡(luò)中建立專有數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專網(wǎng)中，任意兩個(gè)接點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公共網(wǎng)的資源動(dòng)態(tài)組成的。VPN技術(shù)采用季認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，以保證信息在傳輸過(guò)程中的機(jī)密性、完整性和可用性。它是在公共Internet之上為政府、企業(yè)構(gòu)恐安全可靠、方便快捷的專用網(wǎng)絡(luò)，并可節(jié)省資金。VPN技術(shù)是廣域網(wǎng)建設(shè)的最佳解決方染，它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用，而且擁有成本低、便于管理，開(kāi)銷(xiāo)少、靈活度高，保密性好等優(yōu)點(diǎn)。

2 基于MPLS的VPN技術(shù)

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技術(shù)構(gòu)建的虛擬專用網(wǎng)，即采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音、圖像等多業(yè)務(wù)寬帶連接。并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時(shí)，提供強(qiáng)有力的QoS能力，具有可靠性高、安全性高、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點(diǎn)。

MPLS是一種特殊的轉(zhuǎn)發(fā)機(jī)制，它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記，并通過(guò)對(duì)標(biāo)記的交換來(lái)實(shí)現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在，在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過(guò)的路徑通過(guò)交換標(biāo)記（而不是看IP包頭）來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包被解開(kāi)封裝，繼續(xù)按照IP包的路由方式到達(dá)目的地。

    如圖1所示，MPLS網(wǎng)絡(luò)包含一些基本的元素。在網(wǎng)絡(luò)邊緣的節(jié)點(diǎn)就稱作標(biāo)記邊緣路由器(LER:Label Edge Router),而網(wǎng)絡(luò)的核心節(jié)點(diǎn)就稱作標(biāo)記交換路由器（LSR：Label Switching Router）。LER節(jié)點(diǎn)在網(wǎng)絡(luò)中提供高速交換功能。在MPLS節(jié)點(diǎn)之間的路徑就叫做標(biāo)記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò)的單向隧道。

MPLS的工作流程可以分為三個(gè)方面：即網(wǎng)絡(luò)的邊緣行為、網(wǎng)絡(luò)的中心行為以及如何建立標(biāo)記交換路徑。

1. 網(wǎng)絡(luò)的邊緣行為

當(dāng)IP數(shù)據(jù)包到達(dá)一個(gè)LER時(shí)，MPLS第一次應(yīng)用標(biāo)記。首先，LER要分析IP包頭的信息，并且按照它的目的地址和業(yè)務(wù)等級(jí)加以區(qū)分。

在LER中，MPLS使用了轉(zhuǎn)發(fā)等價(jià)類(lèi)(FEC:Forwarding Equivalence Class)的概念來(lái)將輸入的數(shù)據(jù)流映射到一條LSP上。簡(jiǎn)單地說(shuō)，F(xiàn)EC就是定義了一組沿著同一條路徑、有相同處理過(guò)程的數(shù)據(jù)包。這就意味著所有的FEC相同的包都可以映射到同一個(gè)標(biāo)記中。

對(duì)于每一個(gè)FEC，LER都建立一條獨(dú)立的LSP穿過(guò)網(wǎng)絡(luò)，到達(dá)目的地。數(shù)據(jù)包分配到一個(gè)FEC后，LER就可以根據(jù)標(biāo)記信息庫(kù)(LIB:Label Information Base)來(lái)為其生成一個(gè)標(biāo)記。標(biāo)記信息庫(kù)將每一個(gè)FEC都映射到LSP下一跳的標(biāo)記上。如果下一跳的鏈路是ATM，則MPLS將使用ATM VCC里的VCI作為標(biāo)記。

轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，LER檢查標(biāo)記信息庫(kù)中的FEC，然后將數(shù)據(jù)包用LSP的標(biāo)記封裝，從標(biāo)記信息庫(kù)所規(guī)定的下一個(gè)接口發(fā)送出去。

2. 網(wǎng)絡(luò)的核心行為

當(dāng)一個(gè)帶有標(biāo)記的包到達(dá)LSR的時(shí)候，LSR提取入局標(biāo)記，同時(shí)以它作為索引在標(biāo)記信息庫(kù)中查找。當(dāng)LSR找到相關(guān)信息后，取出出局的標(biāo)記，并由出局標(biāo)記代替入局標(biāo)記，從標(biāo)記信息庫(kù)中所描述的下一跳接口送出數(shù)據(jù)包。

最后，數(shù)據(jù)包到達(dá)了MPLS域的另一端，在這一點(diǎn)，LER剝?nèi)シ庋b的標(biāo)記，仍然按照IP包的路由方式將數(shù)據(jù)包繼續(xù)傳送到目的地。

3. 如何建立標(biāo)記交換路徑

建立LSP的方式主要有兩種：

(1)“Hop by Hop (逐跳尋徑) ”路由

一個(gè)Hop-by -Hop的LSP是所有從源站點(diǎn)到一個(gè)特定目的站點(diǎn)的IP樹(shù)的一部分。對(duì)于這些LSP，MPLS模仿IP轉(zhuǎn)發(fā)數(shù)據(jù)包的面向目的地的方式建立了一組樹(shù)。

從傳統(tǒng)的IP路由來(lái)看，每一臺(tái)沿途的路由器都要檢查包的目的地址，并且選擇一條合適的路徑將數(shù)據(jù)包發(fā)送出去。而MPLS則不然，數(shù)據(jù)包雖然也沿著IP路由所選擇的同一條路徑進(jìn)行傳送，但是它的數(shù)據(jù)包頭在整條路徑上從始至終都沒(méi)有被檢查。

在每一個(gè)節(jié)點(diǎn)，MPLS生成的樹(shù)是通過(guò)一級(jí)一級(jí)地為下一跳分配標(biāo)記，而且是通過(guò)與它們的對(duì)等層交換標(biāo)記而生成的。交換是通過(guò)標(biāo)記分配協(xié)議(LDP:Label Distribution Protocol)的請(qǐng)求以及對(duì)應(yīng)的消息完成的。

(2)顯式路由

MPLS最主要的優(yōu)點(diǎn)就是它可以利用流量設(shè)計(jì)“引導(dǎo)”數(shù)據(jù)包。MPLS允許網(wǎng)絡(luò)的運(yùn)行人員在源節(jié)點(diǎn)就確定一條顯式路由的LSP（ER-LSP），以規(guī)定數(shù)據(jù)包將選擇的路徑。ER-LSP從源端到目的端建立一條直接的端到端的路徑。MPLS將顯式路由嵌入到限制路由的標(biāo)記分配協(xié)議的信息中，從而建立這條路徑。

2.2 基本MPLS的VPN實(shí)現(xiàn)

如圖2所示，基于BGP擴(kuò)展實(shí)現(xiàn)的MPLS三層VPN包含以下基本組件：

PE：Provider Edge Router,PE路由器使用靜態(tài)路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器維護(hù)著VPN路由信息，但它只需為其直接相連的那些VPN維護(hù)VPN路由。每臺(tái)PE路由器為其直接相連的每個(gè)站點(diǎn)維護(hù)一個(gè)VRP（Virtual Routing Forwarding Table），每個(gè)客戶連接映射到某個(gè)VRF上。在從CE路由器上學(xué)習(xí)本地VPN路由信息。PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保護(hù)到路由反射器的IBGP會(huì)話，作為全網(wǎng)狀I(lǐng)BGP會(huì)話的替代方案。使用MPLS在供應(yīng)商骨干中轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時(shí)，入口PE路由器作為入MPLS使用，出入PE路由器作為出中LSR使用。

    CE：客戶邊緣(CE)設(shè)備允許客戶通過(guò)連接一臺(tái)或多臺(tái)供應(yīng)商邊緣（PE）路由器的一條數(shù)據(jù)鏈路接入服務(wù)供應(yīng)商網(wǎng)絡(luò)。CE設(shè)備是一臺(tái)IP路由器，它與直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后，CE路由器把站點(diǎn)的本地VPN路由廣播到PE路由器，并從PE路由器上學(xué)習(xí)遠(yuǎn)程VPN路由。

Prouter:Provider Router，供應(yīng)商路由器是沒(méi)有連接CE設(shè)備的供應(yīng)商網(wǎng)絡(luò)中的任何路由器。在PE路由器這間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時(shí)，供應(yīng)商路由器作為MPLS連接LSR使用。由于是在采用兩層標(biāo)記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量，因此供應(yīng)商路由器只需維護(hù)到供應(yīng)商PE路由器的路由，而不需維護(hù)每個(gè)客戶站點(diǎn)專用的VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router，自治系統(tǒng)邊界路由器，在實(shí)現(xiàn)跨自治系統(tǒng)的VPN時(shí)，與其它自治系統(tǒng)交換VPN路由。

MP-BGP：多協(xié)議擴(kuò)展BGP，承載攜帶標(biāo)簽的IPv4/VPN路由，包括MP-IBGP、MP-EBGP。

PE-CE路由協(xié)議：在PE、CE之間傳遞用戶網(wǎng)絡(luò)路由，可以是靜態(tài)路由，或RIP、OSPF、ISIS、BGP協(xié)議。

LDP：Label distribution Protocol，在PE之間建立盡力而為的LSP，經(jīng)過(guò)P路由器，所有PE、P路由器均需要支持。RSVP-TE：在VPN需要QoS保障時(shí)，在PE之間建立具有QoS能力的ER-LSP。

VRF：Virtual Routing Fowarding Table，虛擬路由轉(zhuǎn)發(fā)表，它包含同一個(gè)Site相關(guān)的路由表、轉(zhuǎn)發(fā)表、接口（子接口）、路由實(shí)例和路由策略等。在PE設(shè)備上，屬于同一VPN的物理端口或邏輯端口對(duì)應(yīng)一個(gè)VRF，可通過(guò)命令行或網(wǎng)管工具進(jìn)行配置，主要參數(shù)包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口（子接口）等。

VPN用戶站點(diǎn)：Site是VPN中的一個(gè)孤立的IP網(wǎng)絡(luò)，一般來(lái)說(shuō)，它不通過(guò)骨干網(wǎng)公司總部、分支機(jī)構(gòu)都是Site的具體例子。CE路由器通常為VPN Site中的一個(gè)路由器或交換設(shè)備，Site通過(guò)一個(gè)單獨(dú)的物理端口或邏輯端口（通常是VLAN端口）連接到PE設(shè)備。

用戶接入MPLS VPN后，每個(gè)Site提供一個(gè)或多個(gè)CE與骨干網(wǎng)的PE連接，并在PE上為該Site配置VRF，將連結(jié)PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上，但不可以是多跳的三層連接。

BGP擴(kuò)展實(shí)現(xiàn)的MPLS VPN擴(kuò)展的BGP NLRI的IPv4地址，在其前增加了一個(gè)8字節(jié)的RD（Route Distinguisher），用于標(biāo)記VPN的成員(Site)。每個(gè)VRF可配置某些策略，規(guī)定VPN可以接收哪些Site的路由信息，可以向外哪些Site的路由信息。PE根據(jù)BGP擴(kuò)展的信息進(jìn)行路由計(jì)算，生成相關(guān)VPN的路由表。

通常，PE-CE之間通過(guò)靜態(tài)路由交換路由信息，也可通過(guò)RIP、OSPF、BGP、IS-IS等協(xié)議，靜態(tài)路由方式可以減少因CE設(shè)備管理不善等原因造成的對(duì)骨干網(wǎng)BGP路由的震蕩，從而提供骨干網(wǎng)的穩(wěn)定性。

MPLS BGP三層VPN適用于固定的Internet/Extranet用戶，每個(gè)Site可代表Internet/Extranet的總部或分支機(jī)構(gòu)。MPLS三層VPN的CE與PE設(shè)備之間只需要一條物理或邏輯鏈路，但PE設(shè)備必須保存多個(gè)路由表。如果在CPE或PE之間運(yùn)行動(dòng)態(tài)路由協(xié)議，則PE還必須支持多實(shí)例，對(duì)PE性能要求較高。PE與PE之間需要運(yùn)行BGP協(xié)議，可擴(kuò)展性較差，目前可通過(guò)一個(gè)或多個(gè)路由反射器解決這一問(wèn)題。對(duì)于同一AS(Automated System)域的VPN，必須建立運(yùn)營(yíng)商之間路由器IBGP連接的PE，與路由反射器建立IBGP連接即可。

MPLS BGP三層VPN可通過(guò)與Internet路由之間配置一些靜態(tài)路由的方式，實(shí)現(xiàn)VPN的Internet上網(wǎng)服務(wù)，并可為跨不同地域的、屬于同一個(gè)AS但沒(méi)有骨干網(wǎng)的運(yùn)營(yíng)商提供VPN互連，即提供“運(yùn)營(yíng)商的運(yùn)營(yíng)商”模式的VPN網(wǎng)絡(luò)互連。

2.3 MPLS的優(yōu)點(diǎn)

1.高安全性。MPLS的標(biāo)記交換路徑(LPS)具有與FR和ATM VCC相似的安全性；另外。MPLS VPN還集成了IPSEC加密，同時(shí)也實(shí)現(xiàn)了對(duì)用戶透時(shí)，用戶可以采用防火墻，數(shù)據(jù)加密等方法，進(jìn)一步提高安全性。

2.強(qiáng)大的擴(kuò)展性。第一，網(wǎng)絡(luò)可以容納的VPN數(shù)目很大；第二，同一VPN的用戶很容易擴(kuò)充。

3.業(yè)務(wù)的融合能力。MPLS VPN提供了數(shù)據(jù)、語(yǔ)音和視頻三網(wǎng)融合的能力。

4.靈活的控制策略?？梢灾贫ㄌ厥獾目刂撇呗?，同時(shí)滿足不同用戶的特殊需求，實(shí)現(xiàn)增值服務(wù)。

5.強(qiáng)大的管理功能。采用集中管理的方式，業(yè)務(wù)配置和調(diào)度統(tǒng)一平臺(tái)，減少了用戶的負(fù)擔(dān)。

6.服務(wù)級(jí)別協(xié)議(SLA)。目前利用差別服務(wù)、流量控制和服務(wù)級(jí)別來(lái)保證一定的流量控制，將來(lái)可以提供寬帶保證以及更高的服務(wù)質(zhì)量保證。

篇9

Abstract: The paper mainly introduces the components and key technologies of MPLS VPN network system and explores the application of MPLS VPN network system in railway communication.

關(guān)鍵詞:MPLS/VPN;MPLS;鐵路

Key words: MPLS/VPN;MPLS;railway

中圖分類(lèi)號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2010)27-0167-01

0引言

MPLS VPN技術(shù)目前發(fā)展迅速,初期在亞洲,2002年比2001年增長(zhǎng)了357%,達(dá)到一定的規(guī)模后開(kāi)始保持每年大約27%的增長(zhǎng)率。目前,MPLS VPN 已經(jīng)在銀行、保險(xiǎn)、運(yùn)輸、大型制造和連鎖企業(yè)提供了端到端高質(zhì)量、安全可靠的網(wǎng)絡(luò)平臺(tái)和服務(wù)。

1VPN技術(shù)概述

虛擬專用網(wǎng)(VPN:Virtual Private Network)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。所謂虛擬,是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò),是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。

2MPLS VPN技術(shù)介紹

MPLS VPN是基于MPLS (Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡(jiǎn)化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IP VPN),可用來(lái)構(gòu)造寬帶的Intranet、Extranet,滿足多種靈活的業(yè)務(wù)需求。

2.1 MPLS的基本原理MPLS網(wǎng)絡(luò)包含一些基本的元素。在網(wǎng)絡(luò)邊緣的節(jié)點(diǎn)就稱作標(biāo)記邊緣路由器(LER:Label Edge Router),而網(wǎng)絡(luò)的核心節(jié)點(diǎn)就稱作標(biāo)記交換路由器(LSR:Label Switching Router)。LER節(jié)點(diǎn)在網(wǎng)絡(luò)中提供高速交換功能。在MPLS節(jié)點(diǎn)之間的路徑就叫做標(biāo)記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò)的隧道。

2.2 MPLS VPN的實(shí)現(xiàn)原理基于BGP的MPLS VPN中的路由器有三種:P路由器、PE路由器和CE路由器。

CE路由器(CE:Customer Edge Device)為客戶邊緣路由器,由客戶負(fù)責(zé)維護(hù)。客戶邊緣(CE)設(shè)備允許客戶通過(guò)連接一臺(tái)或多臺(tái)供應(yīng)商邊緣(PE)路由器的一條數(shù)據(jù)鏈路接入服務(wù)供應(yīng)商網(wǎng)絡(luò)。CE設(shè)備是一臺(tái)IP路由器,它與直接連接的PE路由器建立鄰接關(guān)系。在建立鄰接后,CE路由器把站點(diǎn)的本地VPN路由廣播到PE路由器,并從PE路由器上學(xué)習(xí)遠(yuǎn)程VPN路由。通常,PE-CE之間通過(guò)靜態(tài)路由交換路由信息,也可通過(guò)RIP、OSPF、BGP、IS-IS等協(xié)議,靜態(tài)路由方式可以減少因CE設(shè)備管理不善等原因造成的對(duì)骨干網(wǎng)BGP路由的震蕩,從而提供骨干網(wǎng)的穩(wěn)定性。

PE路由器(PE:Provider Edge Router)為運(yùn)營(yíng)商邊界路由器,存放著VRF表和全局路由表,VRF中存放著VPN路由,全局路由表中存放著運(yùn)營(yíng)商的域內(nèi)路由。

P路由器(Prouter:Provider Router)為運(yùn)營(yíng)商主干路由器,負(fù)責(zé)VPN分組外層標(biāo)簽的交換。供應(yīng)商路由器是沒(méi)有連接CE設(shè)備的供應(yīng)商網(wǎng)絡(luò)中的任何路由器。在PE路由器間轉(zhuǎn)發(fā)VPN數(shù)據(jù)流量時(shí),供應(yīng)商路由器作為MPLS連接LSR使用。由于是在采用兩層標(biāo)記堆棧的MPLS骨干中轉(zhuǎn)發(fā)流量,因此供應(yīng)商路由器只需維護(hù)到供應(yīng)商PE路由器的路由,而不需維護(hù)每個(gè)客戶站點(diǎn)專用的VPN路由信息。

3MPLS VPN優(yōu)勢(shì)

3.1 安全性高采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸,MPLS的標(biāo)簽交換路徑(LSP)具有與FR和ATM VC相類(lèi)似的安全性;另外,由于MPLS VPN實(shí)現(xiàn)對(duì)用戶透明,用戶還可以采用已有的手段,如設(shè)置防火墻,采用數(shù)據(jù)安全加密等方法,進(jìn)一步提高安全性。

3.2 可擴(kuò)展性強(qiáng)網(wǎng)絡(luò)中可以容納的VPN數(shù)目大,同一VPN中的節(jié)點(diǎn)容易擴(kuò)充,解決了各節(jié)點(diǎn)全網(wǎng)狀互聯(lián)的N平方問(wèn)題。

3.3 接入便利MPLS VPN提供多種接入方式,不必對(duì)原有接入設(shè)備做任何改變,保護(hù)了企業(yè)的現(xiàn)有網(wǎng)絡(luò)投資。

3.4 維護(hù)成本低網(wǎng)絡(luò)的使用與維護(hù)變得簡(jiǎn)單,便于管理和擴(kuò)展,降低了網(wǎng)絡(luò)運(yùn)維與管理的人力、物力成本運(yùn)。

4鐵路系統(tǒng)應(yīng)用分析

在鐵路系統(tǒng)中,以往鐵道部、鐵路局、各業(yè)務(wù)部門(mén)等組織機(jī)構(gòu)之間的組網(wǎng),較多是以2M數(shù)字通道(E1)的方式進(jìn)行,這種方式適合于數(shù)據(jù)敏感、較少節(jié)點(diǎn)之間互聯(lián)、帶寬要求不高的環(huán)境,但隨著鐵路系統(tǒng)各組織機(jī)構(gòu)之間信息需求和網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量逐漸增多,此組網(wǎng)方式在拓展線路帶寬、增加網(wǎng)絡(luò)節(jié)點(diǎn)上就不具備良好的擴(kuò)展能力,如果要實(shí)現(xiàn)各節(jié)點(diǎn)之間全互聯(lián)則線路接入費(fèi)用也隨N 平方的問(wèn)題成倍增加,接入設(shè)備也需要作大量調(diào)整。

鐵路系統(tǒng)應(yīng)用MPLS VPN技術(shù)組網(wǎng)時(shí),主要考慮有以下因素:

4.1 安全性對(duì)于較為敏感、安全級(jí)別高的應(yīng)用系統(tǒng),在采用MPLS VPN隔離系統(tǒng)基礎(chǔ)上,可以在各節(jié)點(diǎn)之間進(jìn)一步通過(guò)增加防火墻建立IPsec數(shù)據(jù)加密機(jī)制,從而實(shí)現(xiàn)通道隔離和IPsec數(shù)據(jù)加密的雙重保護(hù)。

4.2 接入方式節(jié)點(diǎn)之間基于對(duì)等模式的數(shù)據(jù)互訪,需要在互訪的節(jié)點(diǎn)使用LAN、光纖等對(duì)稱帶寬的線路接入MPLS VPN網(wǎng)絡(luò),帶寬大小根據(jù)業(yè)務(wù)需求而定。

節(jié)點(diǎn)之間基于C/S模式的數(shù)據(jù)互訪,需要根據(jù)其應(yīng)用特點(diǎn)在服務(wù)節(jié)點(diǎn)采用高帶寬的線路接入,接入方式可以通常采用LAN 、光纖等。在客戶端也可以同樣的接入方式,但出于對(duì)成本的降低和帶寬需求不高考慮,可以采用ADSL這種靈活的非對(duì)稱帶寬線路方式接入。

4.3 可擴(kuò)展性對(duì)原有業(yè)務(wù)的網(wǎng)絡(luò)節(jié)點(diǎn)增加,只需在相應(yīng)節(jié)點(diǎn)增加接入線路即可;新增業(yè)務(wù)的網(wǎng)絡(luò)節(jié)點(diǎn)只需要申請(qǐng)新的VPN業(yè)務(wù),并設(shè)立各節(jié)點(diǎn)接入。原有業(yè)務(wù)和新增業(yè)務(wù)共同存在于運(yùn)營(yíng)商網(wǎng)絡(luò)中,但互相隔離。

5結(jié)束語(yǔ)

以MPLS VPN為基礎(chǔ)構(gòu)架,結(jié)合其它各種VPN技術(shù)構(gòu)建鐵路系統(tǒng)的骨干網(wǎng)絡(luò),必將會(huì)加速推動(dòng)鐵路信息化建設(shè),滿足鐵路系統(tǒng)日益增長(zhǎng)的信息需求,同時(shí)為鐵路系統(tǒng)帶來(lái)安全、高帶寬、高擴(kuò)展性和較低維護(hù)費(fèi)用的網(wǎng)絡(luò)。

篇10

關(guān)鍵詞：圖書(shū)館網(wǎng)絡(luò)互聯(lián)vpn技術(shù)

0引言

隨著Internet和信息技術(shù)的快速發(fā)展，人們?cè)絹?lái)越依賴Internet進(jìn)行各種數(shù)據(jù)交換和信息存取，高校信息化建設(shè)也進(jìn)一步完善，應(yīng)用系統(tǒng)逐漸豐富，圖書(shū)館信息資源得到飛速的發(fā)展，現(xiàn)在教師的教學(xué)、科研都離不開(kāi)圖書(shū)館信息資源。

然而對(duì)于圖書(shū)館來(lái)說(shuō)，基于安全和知識(shí)產(chǎn)權(quán)的考慮，文獻(xiàn)信息資源并不是無(wú)限制地對(duì)外開(kāi)放，圖書(shū)館許多信息資源僅限校內(nèi)訪問(wèn)。如圖書(shū)館所購(gòu)買(mǎi)的電子資源，大部分只允許擁有校內(nèi)IP地址的授權(quán)用戶訪問(wèn)。這樣，對(duì)于某些在校外通過(guò)撥號(hào)等方式上網(wǎng)卻沒(méi)有固定IP地址的用戶，以及范圍不在校園局域網(wǎng)內(nèi)的寬帶用戶就很難利用到校園圖書(shū)館網(wǎng)上的文獻(xiàn)資源。

此外，許多高校圖書(shū)館為了規(guī)范化管理，均采用統(tǒng)一的圖書(shū)館管理系統(tǒng)在校園網(wǎng)上支撐多校區(qū)圖書(shū)館業(yè)務(wù)，勢(shì)必存在許多安全隱患，為了安全起見(jiàn)一般采用獨(dú)立成網(wǎng)，但是這種做法費(fèi)用高而且不靈活。若能在校園網(wǎng)的基礎(chǔ)上架構(gòu)一個(gè)安全、可靠的專用虛擬網(wǎng)絡(luò)，專供圖書(shū)館管理系統(tǒng)使用，既廉價(jià)又方便。

本文介紹了運(yùn)用VPN技術(shù)來(lái)解決以上問(wèn)題的方案。

1VPN描述

1.1VPN的定義VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）是一種通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密，在公網(wǎng)如因特網(wǎng)上傳輸私有數(shù)據(jù)，同時(shí)保證私有網(wǎng)絡(luò)安全性的技術(shù)。它是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)臨時(shí)、安全、邏輯上的專用通道，盡管沒(méi)有自己的專用線路，但是這個(gè)邏輯上的專用通道卻可以提供和專用網(wǎng)絡(luò)同樣的功能[1]。

1.2VPN的主要特點(diǎn)

1.2.1網(wǎng)際互聯(lián)安全性高[2]VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過(guò)隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

1.2.2經(jīng)濟(jì)實(shí)用、管理簡(jiǎn)化[3]由于VPN獨(dú)立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開(kāi)銷(xiāo)和安全配置。

1.2.3可擴(kuò)展性好[4]如果想擴(kuò)大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級(jí)組織重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程地點(diǎn)增加VPN能力也很簡(jiǎn)單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。

1.2.4支持多種應(yīng)用由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運(yùn)用在廣域網(wǎng)上。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音，IP傳真等。

1.2.5有效實(shí)現(xiàn)網(wǎng)絡(luò)資源共建共享在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下，可以實(shí)現(xiàn)整個(gè)VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開(kāi)發(fā)帶來(lái)的巨大浪費(fèi)，甚至可以實(shí)現(xiàn)普通讀者在家用ADSL來(lái)訪問(wèn)公共圖書(shū)館局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫(kù)。

2利用VPN實(shí)現(xiàn)圖書(shū)館網(wǎng)絡(luò)互聯(lián)

要實(shí)現(xiàn)對(duì)分布在不同地域的信息資源實(shí)行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總館與分館的資源，進(jìn)行內(nèi)部業(yè)務(wù)交流和開(kāi)展讀者服務(wù)工作，必須解決兩個(gè)問(wèn)題：第一，要建立圖書(shū)館網(wǎng)絡(luò)間的安全通道，保護(hù)鏈路的通訊安全。第二，要根據(jù)身份認(rèn)證實(shí)現(xiàn)圖書(shū)館網(wǎng)絡(luò)內(nèi)部共享資源的訪問(wèn)控制。利用VPN技術(shù)將有效解決上述問(wèn)題。

2.1采用自建方式構(gòu)建VPN網(wǎng)絡(luò)雖然可以通過(guò)ISP（InternetServiceProvider，網(wǎng)絡(luò)服務(wù)提供商）的中心交換設(shè)備來(lái)構(gòu)建專用通道，但公共圖書(shū)館內(nèi)部局域網(wǎng)互聯(lián)速度相對(duì)較快，所以圖書(shū)館VPN網(wǎng)絡(luò)互聯(lián)宜采用自建的方式。其優(yōu)勢(shì)如下：①多數(shù)公共圖書(shū)館都具備良好的計(jì)算機(jī)基礎(chǔ)設(shè)施和內(nèi)聯(lián)局域網(wǎng)，接入因特網(wǎng)帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢(shì)更加突出。在此基礎(chǔ)上自建VPN，既便捷又經(jīng)濟(jì)。②能使圖書(shū)館互聯(lián)網(wǎng)絡(luò)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。③開(kāi)發(fā)額外的新的應(yīng)用服務(wù)不用通過(guò)與ISP協(xié)商。圖書(shū)館信息技術(shù)應(yīng)用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據(jù)需要來(lái)配置自己的安全策略，滿足不同級(jí)別的安全需要。

2.2VPN類(lèi)型的選擇目前國(guó)內(nèi)高校大多采用IPSec（IPSecurity）VPN技術(shù)來(lái)解決校外用戶訪問(wèn)校圖書(shū)館問(wèn)題。但由于IPSec協(xié)議最初是為了解決點(diǎn)對(duì)點(diǎn)的安全問(wèn)題而制定的。因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案面對(duì)越來(lái)越多終端站點(diǎn)時(shí)，已日漸顯得力不從心。

在此情況下，SSL（SecruitySocketLayer）VPN技術(shù)應(yīng)運(yùn)而生。SSLVPN的突出優(yōu)勢(shì)在于Web安全和移動(dòng)接入。它可以提供遠(yuǎn)程的安全接入，而無(wú)需安裝或設(shè)定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對(duì)SSLVPN公認(rèn)的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開(kāi)IE瀏覽器訪問(wèn)圖書(shū)館的InternetIP即可成功接入圖書(shū)館。

但SSLVPN并不能取代IPSecVPN，因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSecVPN是在兩個(gè)局域網(wǎng)之間通過(guò)Intemet建立安全連接，是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)之間的通信。并且，IPSec工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。從高校應(yīng)用來(lái)看，由于SSL接人方式下所有用戶的訪問(wèn)請(qǐng)求都是從SSLVPN設(shè)備的LAN口發(fā)起的。對(duì)于那些對(duì)單個(gè)用戶流量有嚴(yán)格限制的資源商來(lái)說(shuō)，集群SSL用戶的訪問(wèn)會(huì)被當(dāng)成一個(gè)用戶對(duì)待。這樣當(dāng)集群訪問(wèn)流量達(dá)到資源商限制的數(shù)值時(shí)，就極易造成該IP被禁用，從而導(dǎo)致所有SSL用戶無(wú)法繼續(xù)訪問(wèn)圖書(shū)館。

為解決這個(gè)問(wèn)題，可以將圖書(shū)館大量的校外用戶分為兩類(lèi)，一類(lèi)是使用圖書(shū)館資源較為頻繁、訪問(wèn)數(shù)據(jù)量較大的用戶（比如教師，但用戶數(shù)量少）；另一類(lèi)則是使用次數(shù)較少、訪問(wèn)數(shù)據(jù)不多的用戶（比如學(xué)生，但用戶將數(shù)量多）。通過(guò)用戶劃分，我們給教師用戶分配IPSec接入方式，這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過(guò)大造成IP被禁用問(wèn)題；而將那些數(shù)量眾多但訪問(wèn)量小的學(xué)生用戶分配SSL接入方式。利用SSLVPN無(wú)需部署客戶端的特性來(lái)降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)VPN在圖書(shū)館應(yīng)用的快速部署。

目前，許多VPN產(chǎn)品都能提供多種VPN接入形式，如：CiscoASA5500系列可以在單一平臺(tái)上提供IPSec和基于SSL（SecureSocketsLayer，安全套協(xié)議）的VPN服務(wù)，避免了為SSL和IPSecVPN部署分立的平臺(tái)而導(dǎo)致低效和成本增加。

2.3VPN支持的認(rèn)證技術(shù)一個(gè)VPN系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證方式，如基于機(jī)器特征碼、數(shù)字證書(shū)技術(shù)、遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)（RADIUS，RemoteAuthenticationDialInUserService）認(rèn)證、基于公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI，PublicKeyInfrastructure）[5]的證書(shū)認(rèn)證以及逐漸興起的生物識(shí)別技術(shù)等等。另外，還要提供基于用戶組策略的認(rèn)證。

2.4VPN接入控制的選擇機(jī)制為了方便網(wǎng)絡(luò)使用者（包括館員、讀者、管理部門(mén)等等）互聯(lián)，所有局域網(wǎng)內(nèi)部的用戶都必須有使用VPN服務(wù)器的權(quán)限。因此，接入控制顯得比其他兩種隧道形式更為重要。可以采用兩級(jí)的控制機(jī)制，粗度的接入控制交給VPN服務(wù)器來(lái)完成，VPN服務(wù)器上的安全策略數(shù)據(jù)庫(kù)（SPD,SafetyPolicyDatabase）可以實(shí)現(xiàn)基于類(lèi)似于用戶組級(jí)別的控制，既把所有用戶劃分為不同等級(jí)的組來(lái)配置接入控制策略。細(xì)度的接入控制將由獨(dú)立的認(rèn)證服務(wù)器來(lái)完成，可以使局域網(wǎng)共享一個(gè)證書(shū)機(jī)構(gòu)CA（CertificateAuthority，數(shù)字證書(shū)認(rèn)證中心）和安全策略服務(wù)器，由它來(lái)管理和發(fā)放數(shù)字證書(shū)，實(shí)現(xiàn)對(duì)控制資源的訪問(wèn)。

2.5VPN數(shù)據(jù)安全采用分級(jí)處理方式數(shù)據(jù)安全包括數(shù)據(jù)加密、完整性檢測(cè)和抗篡改。VPN技術(shù)在支持多種加密算法的同時(shí)還提供了對(duì)數(shù)據(jù)完整性進(jìn)行檢測(cè)的功能。在數(shù)據(jù)安全上，采用分級(jí)處理方式，對(duì)不同的等級(jí)的用戶配置不同的數(shù)據(jù)安全策略，把用戶分為普通級(jí)、普通加密級(jí)、高級(jí)加密級(jí)。對(duì)在普通級(jí)的用戶通訊數(shù)據(jù)（例如：讀者訪問(wèn)圖書(shū)館電子資源）配置為不使用任何加密的安全策略；普通加密級(jí)的通訊數(shù)據(jù)采用低位的加密和散列函數(shù)進(jìn)行完整性檢測(cè)安全策略；高級(jí)加密級(jí)的通訊數(shù)據(jù)可以采用多位的加密+散列函數(shù)的安全策略。

2.6VPN的設(shè)備選擇對(duì)于設(shè)備的選擇，可以根據(jù)自己的實(shí)際情況，結(jié)合已有網(wǎng)絡(luò)的特點(diǎn)從可擴(kuò)展性、效果、性能、價(jià)錢(qián)等進(jìn)行分析衡量選配。最好選擇集成防火墻功能的VPN產(chǎn)品，以保證加密的流量在解密后，同樣需要經(jīng)過(guò)嚴(yán)格的訪問(wèn)控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DoS（DenialofService，拒絕服務(wù)）攻擊和入侵威脅，提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。

3總結(jié)

總之，VPN新技術(shù)綜合傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性和較好的服務(wù)質(zhì)量，以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本，建立安全的數(shù)據(jù)通道，滿足了用戶對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，在高校圖書(shū)館中構(gòu)建以公眾網(wǎng)為基礎(chǔ)的虛擬專用網(wǎng)（VPN）系統(tǒng)，能有效解決當(dāng)前高校圖書(shū)館資源的遠(yuǎn)程利用問(wèn)題和資源統(tǒng)一管理問(wèn)題。隨著VPN技術(shù)的日益成熟，VPN必將成為未來(lái)圖書(shū)館互聯(lián)網(wǎng)絡(luò)的主要發(fā)展方向。

參考文獻(xiàn)：

[1]焦青亮.虛擬網(wǎng)絡(luò)VPN綜述[J].黑龍江科技信息.2007(1):54.

[2]唐淑娟，秦一方，井向陽(yáng).VPN技術(shù)與圖書(shū)館資源遠(yuǎn)程利用[J].情報(bào)探索.2007(1):49-51.

[3]韓明明.VIP技術(shù)在高校圖書(shū)館中的應(yīng)用探討[J].高校圖書(shū)情報(bào)論壇.2007(1):43-45.