時(shí)間:2023-03-16 15:51:04
緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇vpn技術(shù)論文,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2010)09-0083-02
1 引言
隨著我院辦學(xué)形式的轉(zhuǎn)變,先后在北京和杭州成立的相關(guān)研究所,以及在杭州的浙江技師學(xué)院分校。現(xiàn)要求使各分部區(qū)能訪問主校區(qū)的校內(nèi)資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問校內(nèi)資源中遇到的問題。價(jià)格上要求實(shí)惠,數(shù)據(jù)要求安全,因此虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
2 VPN簡介
2.1 虛擬專用網(wǎng)
虛擬專用網(wǎng)(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)"是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬,是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò),是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。
2.2 VPN的實(shí)現(xiàn)技術(shù)
VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。
(1)VPN訪問點(diǎn)模型。首先提供一個(gè)VPN訪問點(diǎn)功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。
(2)隧道技術(shù)。隧道技術(shù)簡單的說就是:原始報(bào)文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報(bào)文,這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點(diǎn)
(1)安全保障。雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接,稱之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡單、方便、靈活,但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對(duì)安全性提出了更高的要求。
(2)服務(wù)質(zhì)量保證(QoS)。VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對(duì)于其它應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。
(3)可擴(kuò)充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
(4)可管理性。從用戶角度和運(yùn)營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。
3 VPN應(yīng)用實(shí)例
利用VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松。不論分校或遠(yuǎn)程訪問用戶的多少,只需通過互聯(lián)網(wǎng)的路徑即可進(jìn)入主校區(qū)網(wǎng)路。
結(jié)合我校的實(shí)際要求,采用美國網(wǎng)件產(chǎn)品FVL328、FVL318VPN產(chǎn)品,價(jià)格實(shí)惠,總體性能滿足要求,美國網(wǎng)件的VPN網(wǎng)絡(luò)解決方案不僅支持IPSEC等協(xié)議,以及DES、3DES、AES加密算法,同時(shí)還可通過IKE、共享秘鑰、PKI(X.509)進(jìn)行身份認(rèn)證等方式,加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性能。
FVL328、FVS318具有支持動(dòng)態(tài)DDNS組建的IPSEC VPN網(wǎng)絡(luò)的功能, 并運(yùn)用了產(chǎn)品自身的DDNS(動(dòng)態(tài)域名解析)技術(shù),整個(gè)VPN系統(tǒng)網(wǎng)絡(luò)使用方便、快速、圖形化的配置界面使維護(hù)和管理更簡單、建設(shè)費(fèi)用低廉。VPN拓?fù)浣Y(jié)構(gòu)圖,如圖2所示:
在總校采用一臺(tái)FVL328作為中心端,在其他分校使用FVS318,整個(gè)VPN網(wǎng)絡(luò)通過認(rèn)證密碼統(tǒng)一管理,形成一個(gè)集中管理的虛擬私有網(wǎng)絡(luò),VPN傳輸使用IPSEC協(xié)議。對(duì)外安全邊界使用NETGEAR的寬帶防火墻技術(shù)屏蔽來自外部的各種可能攻擊。
總校可采用固定的IP地址和域名,各分校可以申請(qǐng)動(dòng)態(tài)拔號(hào)ADSL寬帶線路, 通過從NETGEAR的VPN設(shè)備中申請(qǐng)獲得免費(fèi)的DDNS(動(dòng)態(tài)域名解析服務(wù)),從而可低成本地組建VPN網(wǎng)絡(luò)連接,結(jié)合美國網(wǎng)件公司的VPN防火墻FVL328和FVS318的先進(jìn)安全策略技術(shù),來實(shí)現(xiàn)實(shí)際需求和將來可能的需求. 各分院能夠直接訪問到母校的數(shù)據(jù)共享服務(wù)器資源, 同時(shí)又要保證數(shù)據(jù)能安全的在公網(wǎng)上進(jìn)行傳輸.即實(shí)現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全、保密、高速、穩(wěn)定的實(shí)時(shí)傳輸。
4 結(jié)語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò),用戶就節(jié)省了租用專線的費(fèi)用,在運(yùn)行的資金支出上,除了購買VPN設(shè)備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用,也節(jié)省了長途電話費(fèi)。VPN技術(shù)戶廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機(jī)構(gòu)聯(lián)系數(shù)據(jù)的主要手段。
參考文獻(xiàn)
[1] 石冰.VPN的構(gòu)建方法.安慶師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2008,8(3).
組播VPN是基于MPLSL3VPN來實(shí)現(xiàn)組播傳輸?shù)募夹g(shù)。如圖1所示,網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù):公網(wǎng)實(shí)例、VPN實(shí)例A。公共網(wǎng)絡(luò)邊緣PE組播設(shè)備支持多實(shí)例。各實(shí)例之間形成彼此隔離的平面,每個(gè)實(shí)例對(duì)應(yīng)一個(gè)平面。以VPN實(shí)例A為例,組播VPN指:當(dāng)VPNA中的組播源向某組播組發(fā)送組播數(shù)據(jù)時(shí),在網(wǎng)絡(luò)中所有可能的接收者中,僅屬于VPNA(即Site1、Site3或Site5中)的組播組成員才能收到該組播源發(fā)來的組播數(shù)據(jù)。組播數(shù)據(jù)在各Site及公網(wǎng)中均以組播方式進(jìn)行傳輸。其中,實(shí)現(xiàn)組播VPN所需具備的網(wǎng)絡(luò)條件如下:(1)在每個(gè)Site內(nèi)支持基于VPN實(shí)例的組播。(2)在公共網(wǎng)絡(luò)內(nèi)支持基于公網(wǎng)實(shí)例的組播。(3)PE設(shè)備支持多實(shí)例組播,即支持基于VPN實(shí)例和公網(wǎng)實(shí)例的組播,并支持支持公網(wǎng)實(shí)例與VPN實(shí)例之間的信息交互和數(shù)據(jù)轉(zhuǎn)換。為了滿足以上條件,互聯(lián)網(wǎng)工程任務(wù)組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來實(shí)現(xiàn)組播VPN的標(biāo)準(zhǔn)。MD方案的基本思想是:在骨干網(wǎng)中為每個(gè)VPN維護(hù)一棵稱為Share-MDT的組播轉(zhuǎn)發(fā)樹。來自VPN中任一Site的組播報(bào)文都會(huì)沿著Share-MDT被轉(zhuǎn)發(fā)給屬于該MD的所有PE。MD是一個(gè)集合,它由一些相互間可以收發(fā)組播數(shù)據(jù)的VRF組成。其中,支持組播業(yè)務(wù)的VRF為MVRF,它同時(shí)維護(hù)單播和組播路由轉(zhuǎn)發(fā)表。PE收到組播報(bào)文后,如果其MVRF內(nèi)有該組播組的接收者,則繼續(xù)向CE轉(zhuǎn)發(fā);否則將其丟棄。不同的MVRF加入到同一個(gè)MD中,通過MD內(nèi)自動(dòng)建立的PE間的組播隧道(MT)將這些MVRF連接在一起,實(shí)現(xiàn)了不同Site之間的組播業(yè)務(wù)互通。每個(gè)MD會(huì)被分配一個(gè)獨(dú)立的組播地址,稱為Share-Group。當(dāng)兩個(gè)MVRF之間通信時(shí),用戶報(bào)文以GRE方式被封裝在骨干報(bào)文里通過MT進(jìn)行傳輸,骨干報(bào)文的源地址為PE用來建立BGP連接所使用的接口IP地址,目的地址為Share-Group。
2民航數(shù)據(jù)通信網(wǎng)中組播VPN的實(shí)現(xiàn)
在民航數(shù)據(jù)通信網(wǎng)中實(shí)現(xiàn)組播VPN主要需完成骨干網(wǎng)絡(luò)的準(zhǔn)備工作以及組播VPN設(shè)計(jì)與實(shí)施等工作。
2.1組播VPN的規(guī)劃設(shè)計(jì)民航ATM數(shù)據(jù)網(wǎng)華東地區(qū)ATM交換機(jī)上的RPM-PR板卡提供了MPLSVPN業(yè)務(wù),目前部署的MPLSVPN業(yè)務(wù)網(wǎng)絡(luò)拓?fù)錇樾切谓Y(jié)構(gòu),即由區(qū)域一級(jí)節(jié)點(diǎn)9槽RPM板卡作為P設(shè)備和路由反射器,而其他節(jié)點(diǎn)均為PE設(shè)備。華東地區(qū)ATM網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù):ATM數(shù)據(jù)網(wǎng)公網(wǎng)組播實(shí)例和名為YJCJ2的用戶私網(wǎng)組播實(shí)例。VPN組播實(shí)例是通過在P和PE設(shè)備上部署實(shí)現(xiàn)的,網(wǎng)絡(luò)中,作為P和PE的RPM板卡上運(yùn)行著公網(wǎng)組播實(shí)例,而作為PE的RPM板卡同時(shí)又運(yùn)行著用戶私網(wǎng)組播實(shí)例。公網(wǎng)的組播實(shí)例是在所有RPM板卡上開啟組播應(yīng)用。上海虹橋和浦東機(jī)場(chǎng)兩個(gè)節(jié)點(diǎn)的10槽RPM板卡負(fù)責(zé)接入用戶的VPN組播業(yè)務(wù),所以需在這兩臺(tái)設(shè)備上部署MPLSVPN應(yīng)用,并在這兩個(gè)用戶站點(diǎn)相應(yīng)的VRF實(shí)例中開啟組播應(yīng)用。在本案例中,VPN用戶接入側(cè)要求使用的是PIM密集模式,而民航數(shù)據(jù)網(wǎng)MPLSVPN公網(wǎng)則使用的是PIM稀松模式。在MPLSVPN網(wǎng)絡(luò)中不同用戶的VPN站點(diǎn)都是彼此邏輯獨(dú)立的,并且VPN用戶數(shù)據(jù)封裝MPLS標(biāo)簽后通過公網(wǎng)的PE和P設(shè)備進(jìn)行傳輸。對(duì)于VPN組播來說,數(shù)據(jù)的傳輸模式也是類似的。PE設(shè)備通過將該VPN實(shí)例中的用戶VPN組播數(shù)據(jù)報(bào)文封裝成公網(wǎng)所能“識(shí)別”的公網(wǎng)組播數(shù)據(jù)報(bào)文進(jìn)行組播轉(zhuǎn)發(fā)。這種將私網(wǎng)組播報(bào)文封裝成公網(wǎng)組播報(bào)文的過程就叫做構(gòu)造組播隧道(MT)。在PE上,每個(gè)VPN用戶的組播數(shù)據(jù)是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網(wǎng)構(gòu)造組播隧道,參見圖2。由于公網(wǎng)、VPN網(wǎng)以及用戶接入側(cè)各組播部署中都采用PIM協(xié)議啟用了組播應(yīng)用,MPLSVPN中組播應(yīng)用包含如下的PIM鄰居關(guān)系:(1)PE-P鄰居關(guān)系:指PE上公網(wǎng)實(shí)例接口與鏈路對(duì)端P上的接口之間所建立的PIM鄰居關(guān)系。(2)PE-PE鄰居關(guān)系:指PE上的VPN實(shí)力通過MTI收到遠(yuǎn)端PE上的VPN實(shí)例發(fā)來的PIMHello報(bào)文后建立的鄰居關(guān)系。(3)PE-CE鄰居關(guān)系:指PE上綁定VPN實(shí)例的接口與鏈路對(duì)端CE上的接口之間建立的PIM鄰居關(guān)系。部署公網(wǎng)組播實(shí)例需在華東地區(qū)所有相關(guān)RPM板卡開啟組播服務(wù),考慮到密集模式對(duì)RPM設(shè)備和骨干網(wǎng)資源的開銷,在民航ATM數(shù)據(jù)網(wǎng)中使用了PIM稀松模式。根據(jù)網(wǎng)絡(luò)的物理網(wǎng)絡(luò)拓?fù)淠P停x取上海虹橋9槽RPM板卡作為RP。
2.2組播VPN的實(shí)施運(yùn)行在MPLSVPN網(wǎng)絡(luò)中的P和PE設(shè)備上部署PIM協(xié)議,這些設(shè)備之間會(huì)形成PE-P鄰居關(guān)系,從而使得公網(wǎng)支持組播功能,并形成公網(wǎng)的組播分發(fā)樹。本案例中使用PIM稀松模式,即在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的9、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式,這樣就構(gòu)造了公網(wǎng)的PIM共享樹。在傳輸用戶私網(wǎng)組播報(bào)文的PE上部署基于VRF實(shí)例的組播,一個(gè)VPN實(shí)例唯一制定一個(gè)Share-Group地址。同一個(gè)VPN組播域內(nèi)的PE之間形成PE-PE鄰居,并形成該組播域的共享組播分發(fā)樹(Share-MDT)。在本例中就是在虹橋和浦東機(jī)場(chǎng)的10槽YJCJ2VRF實(shí)例中部署相應(yīng)的defaultMDT地址239.255.0.5。用戶CE設(shè)備和PE連接CE的相應(yīng)接口啟用組播,本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關(guān)系。本例中是在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的相應(yīng)VPN業(yè)務(wù)端口配置PIM密集模式。當(dāng)用戶有組播報(bào)文需要傳輸?shù)臅r(shí)候,就將組播報(bào)文發(fā)送給PE的VRF實(shí)例,PE設(shè)備收到報(bào)文后識(shí)別組播數(shù)據(jù)所屬的VRF實(shí)例。用戶私網(wǎng)的數(shù)據(jù)報(bào)文對(duì)于公網(wǎng)是透明的,不論數(shù)據(jù)歸屬或類別,PE都統(tǒng)一將其封裝為公網(wǎng)組播數(shù)據(jù)報(bào)文,并以Share-Group作為其所屬的公網(wǎng)組播組。一個(gè)Share-Group唯一對(duì)應(yīng)一個(gè)MD,并利用公網(wǎng)資源唯一創(chuàng)建一棵Share-MDT進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在該VPN中所有私網(wǎng)組播報(bào)文,都通過此Share-MDT進(jìn)行轉(zhuǎn)發(fā)。如圖3所示,可以看到華東地區(qū)公網(wǎng)上的Share-MDT創(chuàng)建的過程。虹橋節(jié)點(diǎn)10槽RPM向9槽RPM(RP節(jié)點(diǎn))發(fā)起加入消息,以Share-Group地址作為組播組地址,在公網(wǎng)沿途的設(shè)備上分別創(chuàng)建(*,239.255.0.5)表項(xiàng)。同時(shí)虹橋浦東機(jī)場(chǎng)節(jié)點(diǎn)也發(fā)起類似的加入過程,最終在MD中形成一棵以虹橋節(jié)點(diǎn)9槽RPM為根,以虹橋、浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM為葉的共享樹(RPT)。隨后,虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM的公網(wǎng)實(shí)例向公網(wǎng)RP發(fā)起注冊(cè),并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址,在公網(wǎng)的沿途設(shè)備上分別創(chuàng)建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表項(xiàng),形成連接PE和RP的最短路徑樹(SPT)。在PIM-SM網(wǎng)絡(luò)中,由(*,239.255.0.5)和這兩棵相互獨(dú)立的SPT共同組成了Share-MDT。虹橋節(jié)點(diǎn)PE的私網(wǎng)組播報(bào)文在進(jìn)入公網(wǎng)后,均沿該Share-MDT向浦東機(jī)場(chǎng)節(jié)點(diǎn)PE轉(zhuǎn)發(fā)。圖4是私網(wǎng)組播報(bào)文在公網(wǎng)中轉(zhuǎn)發(fā)的過程。當(dāng)浦東機(jī)場(chǎng)節(jié)點(diǎn)的YJCJ2VPN用戶CE設(shè)備加入到虹橋節(jié)點(diǎn)數(shù)據(jù)源所在的組播組,此時(shí)由于這兩個(gè)站點(diǎn)部署為PIM-DM模式,虹橋節(jié)點(diǎn)組播設(shè)備會(huì)立刻將數(shù)據(jù)推送到虹橋節(jié)點(diǎn)10槽RPM的YJCJ2VRF實(shí)例中,并通過該VPN構(gòu)建的Share-MDT在公網(wǎng)上以(20.51.5.6,239.255.0.5)構(gòu)建的SPT進(jìn)行公網(wǎng)組播報(bào)文傳輸。當(dāng)公網(wǎng)組播報(bào)文被浦東機(jī)場(chǎng)10槽PE設(shè)備收到后會(huì)將其解封裝成原始的私網(wǎng)組播報(bào)文,并轉(zhuǎn)發(fā)給相應(yīng)的接收CE,最終完成用戶私網(wǎng)組播數(shù)據(jù)在MPLSVPN網(wǎng)絡(luò)中的傳輸。
3總結(jié)
關(guān)鍵詞:VPN,管理,管理技術(shù)
一、VPN服務(wù)及其應(yīng)用
VPN,即Virtual Private Network,是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò),如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等,并且能夠?qū)⑼ㄟ^公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密。利用VPN,企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)。
如果訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源,使用者需要接入本地ISP的接入服務(wù)提供點(diǎn),即接入Internet,然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù),使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線,而這非常不利于外出辦公人員的接入。而利用VPN,出差人員只需要接入本地網(wǎng)絡(luò)。論文寫作,管理。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話,甚至可以不必接入本地ISP,并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器。
二、VPN管理
VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無縫延伸到公共網(wǎng)絡(luò),甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù),可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營商去完成,但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)。所以,一個(gè)功能完整的VPN管理系統(tǒng)是必需的。
通過VPN管理系統(tǒng),可以實(shí)現(xiàn)以下目的:
1、降低成本:保證VPN可管理的同時(shí)不會(huì)過多增加操作和維護(hù)成本。
2、可擴(kuò)展性:VPN管理需要對(duì)日益增加的企業(yè)客戶作出快速的反應(yīng),包括網(wǎng)絡(luò)軟件和硬件的平滑升級(jí)、安全策略維護(hù)、網(wǎng)絡(luò)質(zhì)量保證QOS等。論文寫作,管理。
3、減少風(fēng)險(xiǎn):從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò),VPN面臨著安全與監(jiān)控的風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理要求做到允許公司分部、客戶通過VPN訪問企業(yè)內(nèi)網(wǎng)的同時(shí),還要確保企業(yè)資源的完整性。
4、可靠性:VPN構(gòu)建于公共網(wǎng)絡(luò)之上,其可控性降低,所有必須采取VPN管理提高其可靠性 。
三、VPN管理技術(shù)
1、第二層通道協(xié)議
第二層通道協(xié)議主要有兩種,PPTP和L2TP,其中L2TP協(xié)議將密鑰進(jìn)行加密,其可靠性更強(qiáng)。
L2TP提高了VPN的管理性,表現(xiàn)在以下方面:
(1)安全的身份驗(yàn)證
L2TP可以對(duì)隧道終點(diǎn)進(jìn)行驗(yàn)證。不使用明文的驗(yàn)證,而是使用類似PPPCHAP的驗(yàn)證方式。論文寫作,管理。
(2)內(nèi)部地址分配
用戶接入VPN服務(wù)器后,可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址,從而方便的加入企業(yè)內(nèi)網(wǎng),訪問網(wǎng)絡(luò)資源。地址的獲取可以使用動(dòng)態(tài)分配的管理方法,由于獲取的是企業(yè)內(nèi)部的私有地址,方便了地址管理并增加安全性。論文寫作,管理。
(3)網(wǎng)絡(luò)計(jì)費(fèi)
L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計(jì),方便計(jì)費(fèi)。
(4)統(tǒng)一網(wǎng)絡(luò)管理
L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議,相關(guān)的MIB也已制定完成,可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。
2、IKE協(xié)議
IKE協(xié)議,即Internet Key Exchange,用于通信雙方協(xié)商和交換密鑰。IKE的特點(diǎn)是利用安全算法,不直接在網(wǎng)絡(luò)上傳輸密鑰,而是通過幾次數(shù)據(jù)的交換,利用數(shù)學(xué)算法計(jì)算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計(jì)算出密鑰。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的。
在身份驗(yàn)證方面,IKE提供了公鑰加密驗(yàn)證、數(shù)字簽名、共享驗(yàn)證字方法。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書實(shí)現(xiàn)身份認(rèn)證。
IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問題,是一種通用的協(xié)議,不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商,還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。
3、配置管理
可以使VPN服務(wù)器支持MIB,利用SNMP的遠(yuǎn)程配置和查詢功能對(duì)VPN網(wǎng)絡(luò)進(jìn)行安全的管理。
(1)WEB方式的管理
利用瀏覽器訪問VPN服務(wù)器,利用服務(wù)器上設(shè)置的賬戶登錄,然后將Applet下載到瀏覽器上,就可以對(duì)服務(wù)器進(jìn)行配置。論文寫作,管理。用戶登錄后,服務(wù)器會(huì)只授權(quán)登錄的IP地址和登錄客戶權(quán)限,從而避免偽造的IP地址和客戶操作。而且利用這種方式,還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點(diǎn)。
(2)分級(jí)統(tǒng)一管理
如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大,可以對(duì)VPN服務(wù)器進(jìn)行統(tǒng)一配置管理,三級(jí)網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計(jì),然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過分級(jí)管理,一級(jí)網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量、流量并進(jìn)行統(tǒng)計(jì),分析出各地情況,從而使用合適的方案。
4、IPSec策略
IPSec是一組協(xié)議的總稱,IPsec被設(shè)計(jì)用來提供入口對(duì)入口通信安全分組通信的安全性由單個(gè)結(jié)點(diǎn)提供給多臺(tái)機(jī)器或者是局域網(wǎng),也可以提供端到端通信安全,由作為端點(diǎn)的計(jì)算機(jī)完成安全操作。上述兩種模式都可以用來構(gòu)VPN,這是IPsec最主要的用途。
IPSec策略包括一系列規(guī)則和過濾器,以便提供不同程度的安全級(jí)別。論文寫作,管理。在IPSec策略的實(shí)現(xiàn)中,有多種預(yù)置策略供用戶選擇,用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本的方法,一是在本地計(jì)算機(jī)上指定策略,二是使用組策略對(duì)象,由其來實(shí)施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性。
利用上述VPN管理技術(shù),可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性、完整性,并能夠?qū)崿F(xiàn)資源的分布式服務(wù)。以后還將結(jié)合更多的技術(shù),實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理。其使用的領(lǐng)域也會(huì)越來越廣泛。
參考文獻(xiàn):
[1]帕勒萬等著劉劍譯.無線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社,2002.11
[2]朱坤華,李長江.企業(yè)無線局域網(wǎng)的設(shè)計(jì)及組建研究[J].河南科技學(xué)院學(xué)報(bào)2008.2:120-123
[3]潘愛民.計(jì)算機(jī)網(wǎng)絡(luò)(第四版)[M].清華大學(xué)出版社2004.8
關(guān)鍵詞:有效 利用 數(shù)字圖書館 方法
中圖分類號(hào):G250.7 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):1672-1578(2013)03-0081-02
1 引言
信息技術(shù)的迅速發(fā)展和廣泛應(yīng)用,不僅改變著人們的工作和生活方式,也改變著教育和學(xué)習(xí)方式,也促進(jìn)了國內(nèi)外數(shù)字資源的突飛猛進(jìn)發(fā)展,高校圖書館購買的數(shù)字資源也越來越多,可供師生訪問的資源日漸增多,但是數(shù)據(jù)庫資源的知識(shí)產(chǎn)權(quán)和版權(quán)等因素使得相當(dāng)部分?jǐn)?shù)字資源使用范圍有限,只能在校園網(wǎng)內(nèi)部訪問,不能對(duì)外網(wǎng)開放。電大開放教育以學(xué)生為中心,具有開放性、靈活性、針對(duì)性和適應(yīng)性等特點(diǎn),主要運(yùn)用衛(wèi)星、電視、互聯(lián)網(wǎng)、移動(dòng)終端等信息化手段和多種教學(xué)媒介,構(gòu)建全民多樣化終身學(xué)習(xí)型社會(huì)。國家開放大學(xué)數(shù)字圖書館的服務(wù)對(duì)象是開放大學(xué)及電大系統(tǒng)的師生,但他們多數(shù)是在職在崗的成人,學(xué)習(xí)的地方相對(duì)分散,到校園圖書館利用數(shù)字資源極為不便,也因此形成了開放大學(xué)圖書館服務(wù)方式的特殊性。為了滿足電大系統(tǒng)教師和學(xué)生隨時(shí)隨地便捷地使用圖書館數(shù)字資源,國家開放大學(xué)數(shù)字圖書館提供遠(yuǎn)程訪問服務(wù)。
2 遠(yuǎn)程訪問數(shù)字圖書館
本文所討論的遠(yuǎn)程訪問是校外訪問,就是指非校園網(wǎng)用戶突破校內(nèi)IP地址的物理限制使用學(xué)校購買的數(shù)字化數(shù)據(jù)庫資源。目前遠(yuǎn)程訪問圖書館數(shù)字資源有傳統(tǒng)服務(wù)器技術(shù)、VPN技術(shù)、Athens項(xiàng)目、PKI技術(shù)、Shibbloeth項(xiàng)目、EZproxy技術(shù)等[1]。VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問已經(jīng)普遍應(yīng)用并逐步完善,尤其在遠(yuǎn)程訪問圖書館數(shù)字資源中應(yīng)用更為廣泛。新興的 SSL VPN 技術(shù)非常適合移動(dòng)用戶的遠(yuǎn)程接入訪問,該技術(shù)集傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全、快速及共享數(shù)據(jù)庫的低成本且簡單易行等優(yōu)點(diǎn)特點(diǎn),可以為外部網(wǎng)提供虛擬連接,從而成為高校圖書館為所有非校園網(wǎng)的師生提供資源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虛擬專用網(wǎng)絡(luò),是一種網(wǎng)絡(luò)新技術(shù),在公用網(wǎng)絡(luò)上通過加密、認(rèn)證、封裝以及密鑰交換技術(shù),建立單位內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程虛擬訪問的連接方式。VPN具有傳輸數(shù)據(jù)安全可靠,連接方便靈活,可完全控制,成本低等特點(diǎn)[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接層)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB的安全協(xié)議,使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的VPN就可以免于安裝客戶端。相對(duì)于傳統(tǒng)的VPN而言,SSL VPN具有部署簡單,無客戶端,維護(hù)成本低,網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)[4]。
4 應(yīng)用VPN技術(shù)訪問數(shù)字圖書館的方法
筆者在教育教學(xué)過程中發(fā)現(xiàn)絕大多數(shù)學(xué)生不會(huì)遠(yuǎn)程訪問數(shù)字圖書館,甚至很多教師都不會(huì)合理利用網(wǎng)上數(shù)字資源。開放大學(xué)圖書館由于涉及數(shù)據(jù)庫資源的知識(shí)產(chǎn)權(quán)問題,使用范圍有限,在校園網(wǎng)內(nèi)使用沒有限制,但校外只允許屬于電大的教師和學(xué)生作為合法的用戶,提供VPN技術(shù),用戶在登錄后,需要安裝VPN控件,才能正常的打開文獻(xiàn)資源列表。一般情況下,VPN系統(tǒng)會(huì)自動(dòng)檢測(cè)電腦系統(tǒng),并引導(dǎo)安裝VPN插件,也可以在網(wǎng)站下載插件安裝包進(jìn)行安裝。因此要求我們提供用戶名和密碼來進(jìn)行身份的確認(rèn)。筆者在教學(xué)工作中發(fā)現(xiàn),很多學(xué)生寫畢業(yè)論文或教師做課題研究的時(shí)候,抱怨找不到資源,找到的資源不完整或者下載需付費(fèi),下面簡單介紹校外如何訪問開放大學(xué)數(shù)字圖書館(中央廣播電視大學(xué)圖書館)。
4.1 開放大學(xué)數(shù)字圖書館介紹
國家開放大學(xué)數(shù)字圖書館為開放大學(xué)及全國電大系統(tǒng)提供一站式、扁平化服務(wù),其中電子圖書書目數(shù)據(jù)達(dá)340多萬種、電子圖書全文達(dá)234萬種、學(xué)術(shù)文獻(xiàn)7000多萬篇、社科數(shù)字期刊2800多種,名師講座88624集,基本實(shí)現(xiàn)數(shù)字文獻(xiàn)資源全學(xué)科覆蓋[5]。主要涵蓋:(1)開放文獻(xiàn)資源列表,提供中央電大圖書館提供的常用電子文獻(xiàn)資源列表;(2)讀者論壇幫助BBS(beta),是開放數(shù)圖論壇讀者幫助模塊,在此可以反饋在使用中存在的問題,提出數(shù)字圖書改進(jìn)建議;(3)數(shù)字圖書館學(xué)習(xí)空間,以圖書館培訓(xùn)、教育為主要內(nèi)容,同時(shí)提供教師自建課程的Moodle教學(xué)平臺(tái);(4)電大在線?我的工作室,提供在線教學(xué)輔導(dǎo)的全部信息;(5)開放大學(xué)講壇,由中央電大圖書館主辦的學(xué)術(shù)講座平臺(tái),匯集名師名家,深入講解近期發(fā)生的熱點(diǎn)問題,提供最全的視頻資料信息;(6)全國電大圖書館通訊,是圖書館服務(wù)與交流電子期刊,提供了最新的電大圖書館工作動(dòng)態(tài),介紹電大圖書館新引進(jìn)的和推薦的文獻(xiàn)信息資源等;(7)社會(huì)化應(yīng)用及交流網(wǎng)站等服務(wù)。
4.2 安裝VPN控件
開放大學(xué)數(shù)字圖書館(http://)通過VPN的方式對(duì)開放教育學(xué)生以及電大系統(tǒng)教職工提供授權(quán)訪問服務(wù)。打開頁面“插件”(如上圖),下載“國家開放大學(xué)數(shù)字圖書館遠(yuǎn)程訪問控件”,即VPN控件,在安裝過程中關(guān)閉防火墻和IE安全控(上接81頁)
件軟件,并將圖書館網(wǎng)站的鏈接地址添加到IE信任列表,Windows Vista用戶在安裝控件時(shí)請(qǐng)關(guān)閉UAC,Windows 7用戶在安裝控件時(shí)請(qǐng)對(duì)IE點(diǎn)擊右鍵選擇“以管理員身份運(yùn)行”,再打開安裝頁面。安裝VPN控件后,這個(gè)插件要求必須使用IE瀏覽器進(jìn)行訪問,IE瀏覽器的版本最低為6.0。
4.3 登陸訪問資源列表
點(diǎn)擊“開放數(shù)圖”,學(xué)生用電大在線學(xué)生證號(hào)進(jìn)行登錄,教師用電大在線用戶名進(jìn)行登錄,通過點(diǎn)擊開放文獻(xiàn)資源列表標(biāo)簽,在進(jìn)入過程中檢查身份的合法性及訪問資源的安全性,檢查完畢進(jìn)入應(yīng)用列表,包括CNKI、維普、萬方、超星、龍?jiān)础⒆x秀等數(shù)據(jù)庫,涵蓋了最新期刊、會(huì)議論文、學(xué)位論文等。
4.4 文獻(xiàn)檢索
以中國知網(wǎng)(CNKI)為例,打開CNKI(國開鏡像版),期刊包括博碩士學(xué)位論文、會(huì)議、報(bào)紙、外文文獻(xiàn)、年鑒、百科、詞典、統(tǒng)計(jì)數(shù)據(jù)、專利、標(biāo)準(zhǔn)等內(nèi)容,通過全文、主題、篇名、關(guān)鍵字、摘要、文獻(xiàn)來源等方式輸入關(guān)鍵字進(jìn)行檢索,在檢索結(jié)果中打開自己感興趣的文獻(xiàn)進(jìn)行閱讀、下載。
日新月異的信息技術(shù),促進(jìn)了教育信息化的迅猛發(fā)展,電大教師的信息技術(shù)應(yīng)用能力、文獻(xiàn)檢索的方法和途徑直接決定了遠(yuǎn)程教育教學(xué)資源的使用效率和科研水平,因此筆者認(rèn)為提升師生信息素養(yǎng),加強(qiáng)信息技術(shù)應(yīng)用能力,通過系統(tǒng)內(nèi)數(shù)字資源應(yīng)用培訓(xùn),從數(shù)字圖書館平臺(tái)訪問、國內(nèi)主要文獻(xiàn)數(shù)據(jù)庫的使用、移動(dòng)數(shù)字圖書館的使用等方面進(jìn)行培訓(xùn),使教職工掌握數(shù)字文獻(xiàn)資源的使用,提高數(shù)字資源的使用率,充分發(fā)揮資源共享的優(yōu)勢(shì)和效益,為教學(xué)和科研提供支持。
參考文獻(xiàn):
[1]張文豐,黃淑敏.開放大學(xué)數(shù)字圖書館資源校外訪問方式的研究[J].黑龍江科技信息,2007,(20):146.
[2]付凱東.SSL VPN技術(shù)在高校圖書館數(shù)字資源中的應(yīng)用[J].微計(jì)算機(jī)信息,2010,26(7-3):107.
[3]百度百科:虛擬專用網(wǎng)絡(luò)[EB/OL].http:///view/480950.htm?fromId=19735.
[4]百度百科:SSL VPN介紹[EB/OL].http:///view/708397.htm/
山東聯(lián)通在2012年開始分組承載傳送網(wǎng)的建設(shè),2013年基本完成核心匯聚層面和市區(qū)接入層面的全覆蓋,分組傳送網(wǎng)設(shè)備集采中標(biāo)廠家包括華為、中興和貝爾,三個(gè)廠家在各地市分別進(jìn)行了綜合承載傳送網(wǎng)的建設(shè)。其中組網(wǎng)結(jié)構(gòu)、業(yè)務(wù)承載方案,與RNC對(duì)接方案等關(guān)鍵點(diǎn)成為時(shí)下討論研究的重點(diǎn)。
2 綜合承載傳送網(wǎng)的組網(wǎng)結(jié)構(gòu)
綜合承載傳送網(wǎng)采用分層結(jié)構(gòu)組網(wǎng),分為核心匯聚層和邊緣接入層。核心匯聚層組網(wǎng)結(jié)構(gòu)主要分為三種:環(huán)形組網(wǎng)、口字型組網(wǎng)和雙上聯(lián)組網(wǎng)。
山東聯(lián)通各地市組網(wǎng)主要采用環(huán)形和口字型組網(wǎng)方式。雙上聯(lián)組網(wǎng)和口字型組網(wǎng)結(jié)構(gòu)類似,但由于需要耗費(fèi)大量的光纖資源或者波分波道資源,因此在實(shí)際組網(wǎng)時(shí)主要還是采用折中的口字型組網(wǎng)方式。
邊緣專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net接入層主要根據(jù)光纖資源情況,分為雙掛環(huán)形組網(wǎng)和單掛環(huán)形組網(wǎng)方式,一般光纖資源能保證的區(qū)域優(yōu)先選用雙掛方式,因?yàn)殡p掛方式除了能實(shí)現(xiàn)傳統(tǒng)的路徑保護(hù)(1:1 LSP)外,還能實(shí)現(xiàn)雙歸保護(hù),從而避免匯聚設(shè)備單點(diǎn)故障引起的大面積掉站。
3 業(yè)務(wù)承載方案
3.1 業(yè)務(wù)承載需求
山東聯(lián)通綜合承載傳送網(wǎng)主要有兩大類業(yè)務(wù)承載需求:
⑴基站回傳等自營業(yè)務(wù)或者系統(tǒng)的承載需求:
具備IP化、以太化基站的接入能力,提供高可靠、大容量的基站回傳流量的承載;
滿足LTE網(wǎng)絡(luò)的承載需求,實(shí)現(xiàn)基站間靈活互訪、基站多歸屬、基站組播等承載能力;
能夠滿足動(dòng)力監(jiān)控、綜合業(yè)務(wù)接入網(wǎng)網(wǎng)管等各類系統(tǒng)的承載需求。
⑵政企業(yè)務(wù)或者大客戶的承載需求:
⑶提供高可靠、大容量的二、三層VPN接入能力,能夠滿足點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)、多點(diǎn)到多點(diǎn)等二、三層VPN的組網(wǎng)需求;
⑷具備電路仿真能力,提供ATM/FR/DDN等電路的接入能力。
3.2 承載方案分析
山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案可歸結(jié)為三點(diǎn):
⑴對(duì)于2G和3G基站的TDM業(yè)務(wù),可以采用偽線方式一PWE3實(shí)現(xiàn)。并在核心節(jié)點(diǎn)采用CSTM1端口進(jìn)行匯聚。El業(yè)務(wù)一般采用SAToP方式,封裝幀數(shù)和抖動(dòng)緩存暫按設(shè)備缺省值取定。
⑵對(duì)于TDM、以太網(wǎng)、ATM等大客戶專線,應(yīng)采用相應(yīng)的偽線方式實(shí)現(xiàn)。對(duì)于L3VPN的大客戶專線,可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實(shí)現(xiàn)。
⑶對(duì)于未來的LTE業(yè)務(wù),分組傳送網(wǎng)絡(luò)需要承載s1和X2接口的流量。業(yè)務(wù)對(duì)IP轉(zhuǎn)發(fā)的層面要求將進(jìn)一步下移。可采用核心匯聚層L3VPN或?qū)哟位疞3VPN到邊緣的方式。
不同廠家對(duì)于3G IP業(yè)務(wù)承載方案的推薦會(huì)有所不同,就山東聯(lián)通而言,基站數(shù)據(jù)域業(yè)務(wù)承載方式主要存在兩種,(1)L3VPN部署到邊緣-華為主推;(2)L3VPN部署到匯聚-中興和貝爾主推。兩者各有優(yōu)勢(shì),L3VPN部署到邊緣需要為基站互聯(lián)端口分配IP地址,根據(jù)目前3G基站的IP地址分配規(guī)則,會(huì)涉及大量基站的IP地址調(diào)整,但符合中遠(yuǎn)期網(wǎng)絡(luò)的演進(jìn)思路;L3VPN部署到匯聚,基站IP地址的調(diào)整量將大大減少,與現(xiàn)有MSTP提供3G移動(dòng)回傳FE的業(yè)務(wù)提供方式、維護(hù)方式相似度高,利于分組傳送技術(shù)引入后網(wǎng)絡(luò)運(yùn)行維護(hù)的逐步過渡。
山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案如圖3和圖4:
4 綜合承載傳送網(wǎng)與RNC的互聯(lián)方案
目前,山東聯(lián)通2G/3G基站的電路域業(yè)務(wù)在核心機(jī)房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net域業(yè)務(wù)與RNC對(duì)接現(xiàn)網(wǎng)有兩種方式,一種是RNC直接與分組承載傳送網(wǎng)業(yè)務(wù)匯聚設(shè)備互連,另一種是RNC通過CE與分組承載傳送網(wǎng)互連。
在RNC直接與分組承載傳送網(wǎng)互聯(lián)情況下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口擴(kuò)容
通過對(duì)RNC的GE和STM-1端口成對(duì)擴(kuò)容,滿足與分組承載傳送網(wǎng)業(yè)務(wù)互聯(lián)的需求,同時(shí)可以減少對(duì)已有3G業(yè)務(wù)的影響。通過逐步割接,可將現(xiàn)有以MSTP網(wǎng)絡(luò)承載的3G分組業(yè)務(wù)割接到分組承載傳送網(wǎng)上。
4.2 RNC接入端口不方便擴(kuò)容
應(yīng)將MSTP上的分組業(yè)務(wù)在匯聚層或核心層直接割接到分組承載傳送網(wǎng)上。通過分組承載傳送網(wǎng)設(shè)備與RNC相連。
就山東聯(lián)通目前的組網(wǎng)而言,由于還存在著大規(guī)模的2G/3G基站采用MSTP傳輸接入,在一定的時(shí)間段內(nèi)無法保證IP化,因此還存在著核心設(shè)備與RNC有大量的CSTM-1口對(duì)接,RNC的擴(kuò)容在未來2-3年內(nèi)也將繼續(xù)進(jìn)行,也會(huì)帶來一定規(guī)模的GE口擴(kuò)容,因此中大型地市的綜合承載網(wǎng)與RNC互聯(lián)通過分組業(yè)務(wù)匯聚設(shè)備顯得更為合理。
5 傳輸背景人員快速融入IP RAN維護(hù)
引入分組傳送技術(shù)后,整個(gè)綜合承載傳送網(wǎng)解決方案都是以數(shù)通技術(shù)作為基礎(chǔ),如何使傳輸背景人員快速融入IPRAN的建設(shè)維護(hù)顯得尤為重要,結(jié)合實(shí)際工作,建議從以下幾個(gè)方面入手:
5.1 比較傳統(tǒng)傳輸理念和IP化理念的異同
傳統(tǒng)的MSTP網(wǎng)絡(luò)屬于硬管道交換,所有業(yè)務(wù)都是建立端到端的連接通道占用固定帶寬,
但是綜合承載傳送不一樣,它既繼承了傳輸端到端OAM的特性,又有數(shù)據(jù)網(wǎng)絡(luò)逐跳建立連接的特性,整個(gè)網(wǎng)絡(luò)是一張彈性的網(wǎng)。我們可以借助傳統(tǒng)IP城域網(wǎng)的理念去類比IPRAN技術(shù)的相關(guān)概念,深入理解數(shù)通相關(guān)知識(shí)。
5.2 深刻認(rèn)識(shí)全程全網(wǎng)和端到端業(yè)務(wù)理念
與傳統(tǒng)的MSTP一樣,綜合承載傳送網(wǎng)也需要建立端到端業(yè)務(wù)的概念,我們不僅僅需要理解分組網(wǎng)絡(luò)是如何進(jìn)行信息傳遞的,而且還需要把無線接入和核心網(wǎng)納入到我們關(guān)注的范圍,從NODEB和UTN如何連接,RNC與UTN如何對(duì)接,整個(gè)數(shù)據(jù)流進(jìn)入U(xiǎn)TN以后如何進(jìn)行封裝傳送等等,理解整個(gè)UTN、在配置數(shù)據(jù)排除故專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net障時(shí)才能得心應(yīng)手。
5.3 認(rèn)真學(xué)習(xí)實(shí)施方案
建議在工程建設(shè)期間認(rèn)真學(xué)習(xí)具體的實(shí)施方案,一般而言,廠家會(huì)根據(jù)設(shè)計(jì)文件完成具體的實(shí)施方案,從組網(wǎng)方案、拓?fù)湓O(shè)計(jì)及設(shè)備選型、IP地址規(guī)劃、路由部署設(shè)計(jì)、MPLS隧道設(shè)計(jì)、業(yè)務(wù)部署設(shè)計(jì)、可靠性設(shè)計(jì)、時(shí)鐘/網(wǎng)管同步設(shè)計(jì)、QOS部署設(shè)計(jì)等等。這個(gè)過程可以幫助你學(xué)習(xí)完成一張網(wǎng)搭建所需的所有知識(shí)。
5.4 熟練掌握網(wǎng)管
網(wǎng)管需要掌握相關(guān)的數(shù)通知識(shí),如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要對(duì)解決方案中用到的知識(shí)點(diǎn)有個(gè)較深入的理解,另外一方 面我們又要熟練掌握網(wǎng)管的相關(guān)操作,在IPRAN的維護(hù)習(xí)慣上,我們更偏向于網(wǎng)管操作,不會(huì)像傳統(tǒng)數(shù)通設(shè)備維護(hù)那樣通過命令行進(jìn)行操作,但是網(wǎng)管操作的基礎(chǔ)又是數(shù)通知識(shí),因?yàn)榫W(wǎng)管只是提供一個(gè)界面,提升效率,真正要配置的還是數(shù)通協(xié)議。理論和網(wǎng)管是IPRAN的兩個(gè)關(guān)鍵點(diǎn),兩者相輔相成缺一不可,所以我們要同時(shí)加強(qiáng)這兩方面的技能。
5.5 工程隨工學(xué)習(xí)
更多的現(xiàn)場(chǎng)隨工學(xué)習(xí)可以幫助你快速提升,深入現(xiàn)場(chǎng)多操作設(shè)備,通過實(shí)際對(duì)比分IPRAN技術(shù)與MSTP傳統(tǒng)傳輸?shù)膮^(qū)別。工程建設(shè)期的隨工是一個(gè)很好的機(jī)會(huì),因?yàn)楣こ探ㄔO(shè)期不用擔(dān)心業(yè)務(wù)是否受影響,操練起來能更充分。
6 結(jié)束語
綜合承載傳送網(wǎng)已經(jīng)是一張成熟的網(wǎng)絡(luò),但隨著技術(shù)的進(jìn)一步發(fā)展,還有很多方面可以繼續(xù)深入探討并且完善,例如北方省分的二級(jí)匯聚(縣鄉(xiāng)層面)如何拓展,綜合業(yè)務(wù)區(qū)規(guī)劃帶來的網(wǎng)絡(luò)調(diào)整等等,隨著LTE的引入,綜合承載傳送網(wǎng)將發(fā)揮更大的作用,成為目標(biāo)網(wǎng)絡(luò)架構(gòu)的一張精品網(wǎng)。
論文關(guān)鍵詞:電子商務(wù),信息安全,防火墻,權(quán)限控制
0 引言
近年來,隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開展業(yè)務(wù)工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站,通過網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問題日益突出,并且該問題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。
1 農(nóng)產(chǎn)品電子商務(wù)的安全需求
根據(jù)電子商務(wù)系統(tǒng)的安全性要求,田陽農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。
1) 系統(tǒng)實(shí)體安全
系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過程。
2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn),提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急)來保護(hù)信息處理過程的安全[1]。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析,防止計(jì)算機(jī)受到病毒攻擊,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份)。為防止意外停電,系統(tǒng)需要配備多臺(tái)備用電源,作為應(yīng)急設(shè)施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù),因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性,即保護(hù)客戶的私人信息,不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性,即確保客戶身份的合法性,保證預(yù)約信息的真實(shí)性和完整性,系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問防火墻,即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性,要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。
2 農(nóng)產(chǎn)品電子商和安全策略
為了滿足電子商務(wù)的安全要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù),具體可采用的技術(shù)如下:
2.1基于多重防范的網(wǎng)絡(luò)安全策略
1) 防火墻技術(shù)
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護(hù)屏障,并在此進(jìn)行檢查和連接,只有被授權(quán)的信息才能通過此保護(hù)屏障,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離,防止非法入侵、非法盜用系統(tǒng)資源,執(zhí)行安全管制機(jī)制,記錄可疑事件等。
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
邊界防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
2) VPN 技術(shù)
VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一,它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò),數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí),企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上,就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問、便于管理和實(shí)現(xiàn)全面控制,是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中,要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息;在遠(yuǎn)程訪問VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。
性能
VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時(shí)代,隨著電子商務(wù)活動(dòng)的激增,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺(tái),管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能防火墻,又不會(huì)“餓死”,低優(yōu)先級(jí)的應(yīng)用。
管理問題
由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長,對(duì)越來越復(fù)雜的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸,因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡單方法,將安全政策進(jìn)行分布,并管理大量設(shè)備論文的格式。
2.2基于角色訪問的權(quán)限控制策略
農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象,與這些對(duì)象有關(guān)的用戶數(shù)量也非常多,所以用戶權(quán)限管理工作非常重要。
目前權(quán)根控制方法很多,我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中,包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務(wù),并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色,低級(jí)別角色可以為高級(jí)別角色的子角色,高級(jí)別角色完全繼承其子角色的權(quán)限。
(2)分配權(quán)限策略
根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼,系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時(shí)角色不發(fā)生沖突,對(duì)該角色的權(quán)限不能輕易進(jìn)行修改,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對(duì)用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí),系統(tǒng)會(huì)根據(jù)用戶的角色的并集,從而得到用戶的權(quán)限,由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中,數(shù)據(jù)庫系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件,數(shù)據(jù)庫文件作為信息的聚集體,其安全性將是重中之重。
1)數(shù)據(jù)庫加密系統(tǒng)措施
(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制
這種控制可以采用多種方式,包括設(shè)置數(shù)據(jù)庫用戶名和口令,或者利用IC卡讀寫器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。
2)防止非法復(fù)制
對(duì)于服務(wù)器來說防火墻,可以采用軟指紋技術(shù)防止非法復(fù)制,當(dāng)然,權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數(shù)據(jù)明文,在這種模式下,可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結(jié)束語
隨著信息化技術(shù)的快速發(fā)展,農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化,必須充分考慮信息安全因素與利用信息安全技術(shù),這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長,本文所述的安全策略,對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的,是值得推介應(yīng)用的。
參考文獻(xiàn):
[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35
[3]張立克.電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69-74.
關(guān)鍵詞:IPSec VPN;MPLS VPN;SSL VPN;對(duì)比
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0101-01
一、引言
隨著信息化經(jīng)濟(jì)一體化的發(fā)展,實(shí)現(xiàn)資源共享是每個(gè)企業(yè)追求發(fā)展進(jìn)步不可或缺的一步。利用隧道技術(shù)在公共網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN)是實(shí)現(xiàn)資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個(gè)比較主流的VPN技術(shù)。
二、IPSec VPN
IPSec VPN即指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),用來提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPsec給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括AH網(wǎng)絡(luò)認(rèn)證協(xié)議、ESP封裝安全載荷、IKE因特網(wǎng)密鑰交換和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等[1]。其中,AH協(xié)議和ESP協(xié)議用來提供安全服務(wù),IKE協(xié)議用于密鑰交換。
(一)認(rèn)證頭(AH)協(xié)議
IPsec認(rèn)證頭協(xié)議是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議(AH協(xié)議把AH頭插入IP數(shù)據(jù)包),它為IP數(shù)據(jù)報(bào)提供無連接完整性、數(shù)據(jù)源認(rèn)證、保護(hù)以避免重播情況[1]。
(二)封裝安全載荷(ESP)協(xié)議
封裝安全載荷(ESP)協(xié)議是IPsec體系結(jié)構(gòu)中的一種用來提高IP的安全性的主要協(xié)議。ESP加密要保護(hù)的數(shù)據(jù)并且在IPsec ESP的數(shù)據(jù)部分進(jìn)行數(shù)據(jù)的完整性校驗(yàn),以達(dá)到其數(shù)據(jù)機(jī)密性和完整性的目的。ESP提供了與AH相同的安全服務(wù)并提供了一種保密。
(三)IKE
IKE是一種混合型協(xié)議,由Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)這兩種密鑰交換協(xié)議組成。IKE是以受保護(hù)的方式為SA協(xié)商并提供經(jīng)過認(rèn)證的密鑰信息的協(xié)議。IKE用于協(xié)商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當(dāng)位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。
三、MPLS VPN
MPLS VPN與傳統(tǒng)的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術(shù),而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個(gè)安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于Internet。MPLS VPN是一種以MPLS技術(shù)為基礎(chǔ)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù),簡化核心路由器的路由選擇方式,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IP VPN)。
(一)MPLS VPN的基本原理
每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由P(供應(yīng)商)設(shè)備組成,這些設(shè)備構(gòu)成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。在MPLS VPN中,用戶站點(diǎn)通常運(yùn)行的是IP。它們并不需要運(yùn)行MPLS和其他特殊的VPN協(xié)議。在PE路由器中,RD對(duì)應(yīng)同每個(gè)用戶站點(diǎn)連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設(shè)置VPN站點(diǎn)工作的一部分,它并不在用戶設(shè)備上進(jìn)行配置,對(duì)于用戶來說是透明的[2]。
(二)MPLS VPN的優(yōu)點(diǎn)
1.減少時(shí)延。由于數(shù)據(jù)包不再經(jīng)過封裝或者加密,所以時(shí)延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創(chuàng)建一個(gè)專用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似[2]。
2.配置MPLS VPN網(wǎng)絡(luò)的設(shè)備比較容易。配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò)不許訪問CPE。
3.提高了資源利用率。由于在網(wǎng)內(nèi)使用標(biāo)簽交換,用戶各個(gè)點(diǎn)的局域網(wǎng)可以使用重復(fù)的IP地址,提高了IP資源利用率。
4.安全性高。采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。
四、SSL VPN
SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有的缺點(diǎn),SSL VPN繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致優(yōu)點(diǎn),避免了因有客戶端而導(dǎo)致的使用維護(hù)不便、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認(rèn)證服務(wù)器結(jié)合、無法審計(jì)等問題[2]。IPSec VPN與SSL VPN的對(duì)比。傳統(tǒng)的IPSec VPN在部署時(shí),往往需要在每個(gè)遠(yuǎn)程接入的終端都安裝相應(yīng)的IPSec客戶端并需要作復(fù)雜的配置。若企業(yè)的遠(yuǎn)程接入數(shù)量增多,企業(yè)的維護(hù)成本就會(huì)隨之增加。而SSL VPN最大的優(yōu)點(diǎn)之一就是不需要安裝客戶端程序遠(yuǎn)程用戶可以隨時(shí)隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡(luò)。對(duì)比表如下:
五、總結(jié)
由于VPN的優(yōu)秀安全特性,讓它越來越受到安全要求較高的企業(yè)或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術(shù)增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復(fù)雜的VPN系統(tǒng)會(huì)繼續(xù)出現(xiàn)。所以,其安全策略管理的問題將逐步顯現(xiàn),這方面的研究也將受到高度重視。
參考文獻(xiàn):
關(guān)鍵詞:SSL VPN; IPsec VPN; 數(shù)字化校園; 遠(yuǎn)程訪問
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2163(2013)02-0032-03
0引言
隨著信息化進(jìn)程的加快,各個(gè)高校對(duì)校園信息化投入不斷增加,致力于建成數(shù)據(jù)交換與共享的數(shù)字化校園平臺(tái)。雖然目前很多學(xué)校已經(jīng)擁有了應(yīng)用管理系統(tǒng)、數(shù)據(jù)資源庫系統(tǒng)、公共通訊平臺(tái),但這些網(wǎng)絡(luò)資源和辦公平臺(tái)常常受到網(wǎng)絡(luò)的限制,只能在校園內(nèi)部使用。本校2012年師生問卷調(diào)查顯示:居住在外的教師、經(jīng)常出差的行政辦公人員以及在外實(shí)習(xí)的大四畢業(yè)生對(duì)于校外不能訪問校內(nèi)數(shù)字化資源,均已感到極為不便。具體來說,教師在外網(wǎng)不能登錄學(xué)習(xí)平臺(tái)批改作業(yè);行政人員出差時(shí),不能獲取部門統(tǒng)計(jì)數(shù)據(jù);大四未在校的學(xué)生不能通過畢業(yè)設(shè)計(jì)系統(tǒng)提交論文。這些狀況即已表明目前校園的基礎(chǔ)網(wǎng)絡(luò)及其實(shí)現(xiàn)方案存在一定的不足,亟需新技術(shù)的應(yīng)用以解決校園外部訪問校內(nèi)數(shù)字化資源的問題。經(jīng)過廣泛,深入的調(diào)研分析可知,VPN(Virtual Private Network)正是解決這一瓶頸的技術(shù)方案。
1VPN 的原理及SSL VPN方案的優(yōu)勢(shì)
11VPN原理
VPN,即虛擬專用網(wǎng)絡(luò),其含義指通過使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施,利用“隧道”技術(shù)、認(rèn)證技術(shù)、加密技術(shù)以及控制訪問等相應(yīng)技術(shù)向單位內(nèi)部專用網(wǎng)絡(luò)提供遠(yuǎn)程訪問的連接方式[1]。VPN利用公用網(wǎng)絡(luò)來實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的專有連接,適用于移動(dòng)用戶、分支機(jī)構(gòu)以及遠(yuǎn)程用戶安全、穩(wěn)定地接入到內(nèi)部網(wǎng)絡(luò)。同時(shí),VPN還向用戶提供了專用網(wǎng)絡(luò)所獨(dú)具的功能,但其本身卻不是一種真正意義上的獨(dú)立物理網(wǎng)絡(luò),沒有固定物理線路連接。近年來,VPN技術(shù)已經(jīng)大量應(yīng)用于高校的移動(dòng)辦公,并且在數(shù)字化資源的多校區(qū)數(shù)據(jù)訪問方面也有著廣泛應(yīng)用。VPN遠(yuǎn)程訪問的思路是,用戶在網(wǎng)絡(luò)覆蓋的任意地點(diǎn),首先,通過ADSL或者LAN方式接入互聯(lián)網(wǎng);其后,通過撥號(hào)校園網(wǎng)的VPN網(wǎng)關(guān),構(gòu)建一條從用戶所在網(wǎng)絡(luò)地址到校園網(wǎng)的二層隧道;而后是VPN服務(wù)器給用戶分配相應(yīng)的校園網(wǎng)地址,從而實(shí)現(xiàn)校園網(wǎng)數(shù)字化資源的遠(yuǎn)程訪問[2]。
12兩種VPN方案的對(duì)比
按照協(xié)議劃分,VPN主要有兩大主流,分別是IPsec VPN和SSL VPN。IPsec VPN技術(shù)是由IP安全體系架構(gòu)協(xié)議來提供隧道的安全保障,IPsec協(xié)議是一組協(xié)議套件,包括安全協(xié)議、加密算法、認(rèn)證算法、密鑰管理協(xié)議等[3]。IPsec VPN構(gòu)建于網(wǎng)絡(luò)層,通過對(duì)數(shù)據(jù)的加密和認(rèn)證來保證數(shù)據(jù)傳輸?shù)目煽啃浴⒈C苄院退接行裕钸m合Site to Site之間的虛擬專用網(wǎng)。相比之下,SSL VPN采用的是SSL安全套接層協(xié)議,構(gòu)建于網(wǎng)絡(luò)的應(yīng)用層。SSL VPN方案無需安裝客戶端軟件,經(jīng)過認(rèn)證的用戶是通過Web瀏覽器而接入網(wǎng)絡(luò),適用于Point to Site的連接方式。總體來看,相比于IPsec VPN方案,SSL VPN方案有三點(diǎn)優(yōu)勢(shì),具體如下。
(1)兼容性較好。SSL VPN適用于現(xiàn)存的各款操作系統(tǒng)和使用終端,對(duì)用戶也無任何特殊的操作要求。用戶不需要下載客戶端,由此免去了對(duì)客戶端軟件的更新升級(jí)、配置維護(hù),否則,在進(jìn)行VPN策略調(diào)整的時(shí)候,其管理難度將呈幾何級(jí)數(shù)的增長。SSL VPN方案只需在普通的瀏覽器中內(nèi)嵌入SSL協(xié)議,就可以使客戶端簡便、安全地訪問內(nèi)網(wǎng)信息,維護(hù)成本較低。
(2)提供更為精細(xì)的訪問控制。由于校園網(wǎng)內(nèi)、外部流量均經(jīng)過VPN硬件設(shè)備,由此在服務(wù)器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能,可提供用戶級(jí)別鑒定,確證只有一定權(quán)限之上的用戶才能訪問校園網(wǎng)內(nèi)的特定網(wǎng)絡(luò)資源。比如大四在外的實(shí)習(xí)學(xué)生只具有期刊檢索的訪問功能,而在外的辦公行政人員還可以訪問某個(gè)特定部門的相關(guān)數(shù)據(jù)。
(3)具備更強(qiáng)的安全性。IPsec是基于網(wǎng)絡(luò)層的VPN方案,對(duì)IP應(yīng)用均是高度透明的。而SSL VPN是基于應(yīng)用層的,在Web的應(yīng)用防護(hù)方面更具一定優(yōu)勢(shì)。某些高端的SSL VPN產(chǎn)品同樣支持文件共享、網(wǎng)絡(luò)鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應(yīng)用。2SSL-VPN的關(guān)鍵技術(shù)及性能分析
21訪問控制技術(shù)
訪問控制技術(shù)是由VPN服務(wù)的提供者根據(jù)用戶的身份標(biāo)志對(duì)訪問某些信息項(xiàng)進(jìn)行相應(yīng)操控的作用機(jī)制。目前,通用的VPN方案中,常常是由系統(tǒng)管理員來控制相關(guān)用戶的訪問權(quán)限。作為安全的VPN設(shè)備,SSL VPN可通過“組”策略對(duì)應(yīng)用進(jìn)行訪問控制[4]。有些SSL VPN產(chǎn)品可以將Web應(yīng)用定義為一系列的URL,而組和用戶則可允許和禁止訪問相應(yīng)的應(yīng)用。其它一些SSL VPN產(chǎn)品可以提供更為精細(xì)的高級(jí)控制,控制策略不僅含有“允許”和“禁止”,還包括用戶能訪問的資源列表以及對(duì)這些資源的操作權(quán)限控制。由于SSL VPN工作在網(wǎng)絡(luò)的應(yīng)用層,管理員可以基于應(yīng)用需求、用戶特征以及TCP/IP端口進(jìn)行嚴(yán)密的訪問控制策略設(shè)置。SSL VPN還能通過瀏覽器中的參數(shù)支持動(dòng)態(tài)訪問部署策略,管理員可以依據(jù)用戶身份、設(shè)備類型、網(wǎng)絡(luò)信任級(jí)別、會(huì)話參數(shù)等各型因子,定義不同的會(huì)話角色,并給與不同的訪問權(quán)限。另外,基于用戶的訪問控制需要維護(hù)大量的用戶信息,當(dāng)前最流行的控制策略則是基于角色的訪問控制,在握手協(xié)議的過程中統(tǒng)一集成訪問控制的基礎(chǔ)功能,再將資源的控制權(quán)交托于可信的授權(quán)管理模型。
22性能分析
VPN的性能指標(biāo)值對(duì)校園網(wǎng)中關(guān)鍵業(yè)務(wù)的應(yīng)用實(shí)現(xiàn)具有直接影響,在設(shè)計(jì)數(shù)字化校園的VPN詳盡方案之前,有必要了解其性能指標(biāo)。SSL VPN中,常見的性能指標(biāo)有連接速率、網(wǎng)絡(luò)延遲、加密吞吐量、并發(fā)用戶數(shù),等。其中,連接速率表示了SSL VPN系統(tǒng)每秒鐘可建立或終止的最大會(huì)話連接數(shù)目,用以度量被測(cè)VPN設(shè)備在單位時(shí)間內(nèi)交易事務(wù)的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外,SSL VPN使用的是非對(duì)稱加密算法,這就導(dǎo)致VPN服務(wù)器的CPU將在高負(fù)荷狀況下處理SSL的加解密。而對(duì)于這種計(jì)算密集型的加解密操作,為了保障服務(wù)器能夠正常工作,既可以限制SSL會(huì)話的數(shù)量,也可以添加服務(wù)器的數(shù)目。只是這兩種方式各有利弊,若限制會(huì)話數(shù)目,就會(huì)出現(xiàn)高峰期間的部分用戶無法連接服務(wù)器,而添加服務(wù)器數(shù)目又會(huì)大幅增加VPN系統(tǒng)的財(cái)務(wù)用度。因而,通常情況下,使用SSL加速器來提升加解密速度,進(jìn)入SSL的數(shù)據(jù)流由加速器解密并傳給服務(wù)器,而外流的數(shù)據(jù)又經(jīng)過加速器加密再回傳給客戶。服務(wù)器方面,只需要處理簡單的SSL請(qǐng)求,將消耗資源的工作完全交給加速器,全面有效地提升了VPN方案的整體性能。
3SSL-VPN下的數(shù)字化校園解決方案
31需求分析與設(shè)計(jì)目標(biāo)
校園數(shù)字化資源中集結(jié)了多種重要的數(shù)據(jù)庫以及多款辦公軟件。大四年級(jí)的學(xué)生會(huì)經(jīng)常需要登錄畢業(yè)設(shè)計(jì)系統(tǒng)上傳學(xué)科論文;校外居住的教師也需要登錄圖書館期刊檢索系統(tǒng),下載專業(yè)文獻(xiàn);另外,因公在外的招生、財(cái)務(wù)人員又需要及時(shí)獲取部門的數(shù)字化信息,并借助辦公自動(dòng)化的高端平臺(tái)與其它部門順暢溝通。上述校園網(wǎng)的這些外部訪問通常都是不確定的動(dòng)態(tài)IP地址,在數(shù)據(jù)庫服務(wù)器的安全策略中多會(huì)將之認(rèn)定為是非法用戶而遭到拒絕。因此,在外部訪問校園網(wǎng)之?dāng)?shù)字化校園時(shí),就需要研發(fā)一個(gè)遠(yuǎn)程訪問方案,該方案可將合法的非授權(quán)校外地址轉(zhuǎn)化為授權(quán)的校園網(wǎng)內(nèi)地址。此方案需要考慮的用戶有三種,分別是:在外居住的教師、大四實(shí)習(xí)生以及在外辦公的行政人員。
32系統(tǒng)體系結(jié)構(gòu)
經(jīng)過實(shí)地調(diào)研和深入分析,采用了SSL VPN架構(gòu),具體框架如圖1所示。
由圖1可知,這是一個(gè)基于Web模式的SSL VPN系統(tǒng),在用戶和應(yīng)用服務(wù)器之間構(gòu)建了一個(gè)安全的信息傳遞通道。其中,SSL VPN服務(wù)器相當(dāng)于一個(gè)網(wǎng)關(guān),且具備雙重身份。對(duì)用戶而言,這是服務(wù)器,負(fù)責(zé)提供基于證書的身份鑒別;對(duì)應(yīng)用服務(wù)器而言,則屬于客戶端的身份,并向服務(wù)器遞交訪問申請(qǐng)。由此,通過在防火墻后安裝VPN設(shè)備,校外用戶只需要打開IE瀏覽器,就可以訪問到校園數(shù)字化資源的URL。其后,SSL VPN 設(shè)備將取得連接并驗(yàn)證用戶的身份,此時(shí)SSL服務(wù)器就會(huì)將連接映射到不同應(yīng)用的服務(wù)器上。而且方案中又采用了技術(shù),所有成功接入SSL VPN系統(tǒng)的校外用戶都可以全面訪問LAN口所能獲得的數(shù)字化資源。本系統(tǒng)還具備較高的傳輸性能,優(yōu)先考慮SSL VPN服務(wù)器的性能,將需要消耗大量資源的加解密工作交給加速器。實(shí)現(xiàn)過程中,采用的設(shè)備是由Cisco ASA建立Web VPN服務(wù)器,而將Radius Server作為驗(yàn)證用戶身份的服務(wù)器。
33改進(jìn)型安全策略——基于角色的控制
本校SSL VPN系統(tǒng)采用的是基于角色的訪問控制策略,既包括用戶安全認(rèn)證的接口也包括用戶訪問的資源列表。實(shí)際上,校園網(wǎng)系統(tǒng)的用戶認(rèn)證和訪問控制均在控制協(xié)議部分獲得實(shí)現(xiàn),可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性,系統(tǒng)在進(jìn)行安全認(rèn)證時(shí),就可以同步實(shí)現(xiàn)角色驗(yàn)證。VPN系統(tǒng)在明確用戶角色屬性的基礎(chǔ)上確定其訪問權(quán)限,而后給出該用戶可以訪問的資源列表信息。另外,用戶在登錄VPN系統(tǒng)時(shí),還需要在登錄界面輸入身份信息。
4結(jié)束語
隨著校外用戶對(duì)數(shù)字化校園資源訪問需求的日益迫切增長,使得VPN技術(shù)也隨之廣受關(guān)注[6]。為了給予校外訪問、使用校園數(shù)字化資源提供更大便利,因而在綜合考慮本校實(shí)際用戶數(shù)量和主要用戶角色的基礎(chǔ)上,由網(wǎng)絡(luò)中心主持設(shè)計(jì)并全面實(shí)現(xiàn)了SSL VPN系統(tǒng)。目前,本校SSL VPN系統(tǒng)運(yùn)轉(zhuǎn)良好,能夠滿足現(xiàn)有的使用需求,并且也具備了一定的擴(kuò)展能力。當(dāng)然,該實(shí)施方案并不是唯一可選,當(dāng)校園網(wǎng)的VPN用戶數(shù)量并不多、要求也不高時(shí),就可以考慮軟件型VPN方案。不然,還可通過購買專業(yè)的VPN設(shè)備打造高水準(zhǔn)、高級(jí)別的SSL VPN系統(tǒng)。
參考文獻(xiàn):
[1]王達(dá). 虛擬專用網(wǎng)(VPN)精解[M]. 北京:清華大學(xué)出版社,2004:45-46.
[2]朱偉珠. 利用VPN技術(shù)實(shí)現(xiàn)高校圖書館資源共享[J]. 情報(bào)科學(xué),2007,25(7):1158-1061.
[3]徐家臻,陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì),2004,25(4):186-188.
[4]沈海波,洪帆. 訪問控制模型研究綜述[J].計(jì)算機(jī)應(yīng)用研究,2005,32(5):9-11.