VPN网络(精选十篇)
VPN网络 篇1
任何一种远程网络访问技术, 不管原因为何, 只要在连接过程中发生了中断, 对于远程用户来说便需要手动重新建立连接, 如此一来, 对于移动工作者而言在许多情况下是相当不方便的。比如, 当您正在使用无线局域网连接Internet, 并用笔记本电脑通过VPN方式连接访问自己公司的内部网络数据, 这时候忽然需要移接到某一层楼的会议室, 并且需要改为使用有线网络来连接Internet时, 根据过去的经验, 在这种情况下目前与自己公司VPN网络的连接肯定是会发生中断的。
如今, 在Windows Server 2008 R2上所提供的RRAS角色服务 (路由及远程访问) , 在结合移动客户端Windows 7的使用下, 提供了VPN Reconnect的连接处理机制, 让暂时性断线的Windows 7移动客户端, 例如从有线的网络切换到无线网络过程中所发生的断线, 系统并不会弹出中断连接的通知, 等到Internet连接恢复之后, 将自动完成与原有企业Windows Server 2008R2的VPN主机连接, 而不需要用户重新自行建立VPN连接, 以及再一次输入相关的身份认证 (域账户与密码或是智能卡的PIN码) 。
注意:对于使用笔记本电脑的人来说, 当关闭了上盖时, 会因进入到睡眠模式而导致连接断开, 这时候将需要手动重新进行连接。
VPN Reconnect技术
VPN Reconnect所采用的IPSec信道模式是IKEv2 (Internet Key Exchange version 2) 协议的加密连接机制, 而IKEv2支持计算机证书以及EAP为主的验证方式。关于这部分的协议说明可以参考RFC 4306, 至于由IKEv2协议提供的移动性 (Mobility) 与多宿主 (Multihoming) 通讯协议 (MOBIKE) 功能, 则可以参考RFC 4555说明。接下来, 让我们来实际做一个VPN Reconnect的测试环境, 来真正感受一下它与其他VPN连接方式的不同之处。
在此, 您需要准备的环境是一部域控制器主机 (DC) , 此主机必须预先将证书授权单位服务器角色安装完毕, 或是在现有域中已经存在。接着, 则是一部准备构建成VPN主机的Windows Server 2008 R2操作系统并且已加入域, 此主机可以是采用双网卡或单网卡, 还有一部作为外部连接访问使用的远程Windows 7计算机。
注意:VPN Reconnect不同于过去其他类型的VPN通道, 例如:PPTP、L2TP/IPSec、SSTP, 它所采用的IPsec Tunnel Mode with IKEv2技术不需要执行在以PPP为基础的通道连接上。
域控制器的准备
首先在域控制器主机的“系统管理工具”菜单中开启“Active Directory用户和计算器”界面, 接着, 建好一个自定义的VPN用户群组, 并且将其中的每一位成员在“拨入”的页面中选取“允许访问”。单击“确定”继续。
VPN网络 篇2
一.产品概述
管理网络的智能手段
HP OpenView Network Node Manager是市场上领先的网络管理解决方案,它以直观的图形方式提供了深入的网络视图。Network Node Manager能够发现网络设备,并提供显示网络实际状况的视图。多层次映射图显示了哪些设备和网络分段工作正常,而哪些部分需要引起注意。当报警浏览器上显示出主要设备的故障事件时,Network Node Manager功能强大的关联引擎(correlation engine)就能够分析事件流并找到故障的根本原因。趋势分析、阈值和数据仓库等功能实现了防患于未然的网络管理。
Network Node Manager能够迅速地找到网络故障的根源,并协助网络管理人员进行网络增长的计划和网络变化的设计。Network Node Manager的远程用户存取功能提供了从万维网的任何地点存取网络的灵活性。使用这些强大的功能,网络管理员就可以更加智能化地管理网络,提高网络正常运行时间并降低成本。
功能最全面的网络管理解决方案
自动发现(Discovery)和布局功能
Network Node Manager可以发现网络上的TCP/IP、IPX(在Windows NT操作系统上被Network Node Manager支持)和Level2设备,并将这些信息以直观的图形格式表示出来(Level2发现功能包括支持Bridge、Repeater/802.3、或者MAU MIBs的设备)。
Network Node Manager持续地监控网络上新的设备和网络设备状态。发现和监控功能还可以探测到位于广域网上的设备。
为适应企业发展而设计
可伸缩的解决方案
Windows NT和UNIX收集站可以分布在网络环境的各个地点,这样就可以从本地收集数据,然后将数据发送到一个或者多个的Windows NT/UNIX管理站上。与UNIX管理站和收集站相连的Windows NT远程控制台实现了多操作员存取,成本更低。新的基于Java语言的Web用户界面增加了被支持的操作员数量,并提供了广域网的可连接性。
灵活的定价
Network Node Manager有多种节点增量的版本,使软件可以跟随网络需求的增长而伸缩。Network Node Manager Enterprise for UNIX或者Windows NT适用于较大型的企业,而NetworkNodeManager250则是250个或者更少节点环境的适当选择。当网络增长时,客户可以以250个节点的增量增加容量。
伙伴关系确保了成功
Network Node Manager拥有业界最强大的伙伴关系,现有超过300个集成应用。这种水平的伙伴关系支持为我们的用户提供了最高程度的灵活性,形成了一个全面、定制的网络管理解决方案。
二.性能与优势
新的事件关联技术更快地排除故障
通过高级事件关联引擎,Network Node Manager可以更快地识别故障。这个引擎将把事件与高水平报警关联起来,并立即查找网络故障的根本原因。深入分析(drill-down)功能使网络管理人员能够看到与每一个报警有关的所有事件。
事先定义好的关联逻辑已包含在一些常见的网络故障管理之中。预先定义的关联逻辑是基于最新的拓扑数据,使得网络轮巡效率更高。在HP OpenView ECS Designer for IT/Operations和Network Node Manager中,您可以通过简单易用的图形用户界面开发和测试特定关联要求的关联逻辑。这些逻辑可以在环境中的任何关联站(correlation station)或者管理站上实施。
基于Java语言的用户界面
Network Node Manager现在能够通过Java Base的Web界面灵活访问网络拓扑及网管数据,实现了在万维网的任何地点进行数据管理的能力。
HP OpenView Web Launcher使得专职的IT人员可以在任何地点启动基于Java语言的HP OpenView应用,如Network Presenter、Alarm Browser、和SNMP Data Presenter等。带有密码校验的登录程序确保了管理数据的安全性。Web Launcher还可以根据用户的管理目标,定义其用户角色,存取经过过滤的信息。
Network Presenter和Alarm Browser可以动态地自动更新网络拓扑图和事件信息。网络拓扑是以图形或者表格的格式表现的,提供了最大程度的灵活性。另外,SNMP Data Presenter使用户可以查询网络的SNMP数据,例如接口流量、CPU负荷或者通讯路由(traffic routing)等,以帮助进行网络诊断和计划。
通过数据仓库实现防患于未然的管理
Network Node Manager的拓扑、事件和SNMP采集的数据都将输出到其数据仓库中。然后这些数据将被汇总和调整。数据仓库包括了一个开放的结构,允许报告和数据精简工具的存取。历史数据的分析功能使得网络经理们可以防患于未然地维护网络的正常运行。容错能力
用户可以使用Network Node Manager安排关键业务网络管理信息的备份时间表,同时不间断地管理那些关键的网络元素。
另外,如果Network Node Manager数据收集站(collection station)可配置成当发生故障,可以继续使用Network Node Manager的管理站(management stations),这样,网络监控就得以不中断地继续下去。CiscoWorks Windows CiscoWorks Windows是为小型到中型网络或远程工作组开发的一套基于PC的集成式网络配置和诊断工具。CiscoWorks Windows包括Configuration Builder、Show Commands、Health Monitor和CiscoView应用程序。
CiscoWorks Windows可以和某个全面的NMS平台捆绑在一起为设备统计数据绘制图形并处理客户网络中的警报和问题。
作为一种选择,您可以将CiscoWorks Windows与HP OpenView for Windows集成在一起以便充分利用与其它HP OpenView第三方应用程序集成所带来的好处。
Configuration Builder和CiscoView可在没有管理平台的情况下以独立应用程序的形式运行。
CiscoWorks Windows包括以下功能:
Configuration Builder您无需牢记复杂的命令行语言或设备的语法就能为多种Cisco路由器、访问服务器和集线器生成配置文件。借助Configuration Builder,您可以使用Cisco IOS版本10.0到11.0(3)中最常用的Cisco IOS功能配置Cisco路由器,包括Access Pro、IGS、CGS、MGS、AGS、Cisco2000、Cisco2500、Cisco3000、Cisco4000、Cisco4500、Cisco7010和Cisco7000,您还可以使用Cisco IOS版本10.2或更高版本配置Cisco访问服务器。先进的功能可通过在Add commands窗口中输入命令来进行配置。Configuration Builder可提供以下功能:
多个设备配置窗口
可为远程源路由桥接和同步数据链路控制(SDLC)传输同时配置多台设备。
配置“快餐”
可快速输入定义的优先级排序表、IP或IPX访问序列表、IPX服务广告协议(SAP)过滤器和AppleTalk过滤器以便形成多个配置文件。 重复的地址和配置检测
重复的IP、IPX、AppleTalk和DEC net地址可在所有打开的配置文件中进行检测。 指导性配置
借助“指导性配置”选项,用户可在相关的对话框序列中自动移动以便在访问服务器或集线器中为路由器与路由器相关的性能生成配置文件。
了解硬件功能
可探测某设备的型号、软件版本、图像类型以及所安装接口的数目和类型。这些信息将自动放置在配置文件中。 远程配置功能
可通过TCP/IP网络将配置文件发送到远端运行WinSock兼容TCP/IP栈的设备。 支持访问服务器和集线器
Configuration Builder包括一个新功能,这个新功能允许配置图表程序、能够为访问服务器提供路由选择协议和终端服务。能够建立安全性并能够为IP和IPX及协议转换配置按需拨号路由选择。
Show Commands.使您无需牢记复杂的命令行语言或语法就能够快速显示有关Cisco路由选择设备的系统和协议的详细信息。Show Commands支持Cisco IOS版本10.0到版本11.1。 Health Monitor.它是一个动态的错误和性能管理工具,可提供设备特性、接口状态、错误和协议使用率的实时统计数据。它还提供CPU和环境卡状态并通过颜色变化显示条件的改变。此应用程序使用SNMP监视和控制Cisco设备。Health Monitor支持Cisco IOS版本10.0到11.1。
CiscoView用于提供设备前、后面板的物理视图并通过状态栏中的信息反馈和端口颜色的变化显示实时状态。此应用程序使用SNMP来监视和控制表36中所列的Cisco设备。CiscoView支持Cisco IOS版本10.0到版本11.2。CiscoWorks Windows与Cisco Network Management Support CD-ROM附随在一起。此CD包括对最新的Cisco设备提供管理的最新Cisco设备“软件包”文件。
另外,最新的设备软件包文件还在Cisco Connection Online(CCO)的Software Images Library中提供。随着Cisco新设备和CiscoView管理功能的推出,相应的软件包文件将在CCO上发布。
CISCOWorks Windows主要面向中小型网络和企业,我们向浙江VPN网络建设项目推荐它,主要是基于高的性能价格比和目前浙江VPN网络建设的网络和设备容量考虑。
Juniper产品网络管理
由于Juniper公司产品定位于IP骨干网路由器,目前还没有自身独立的网络管理软件,其设备和网络的管理是采用与第三方网络管理平台相结合来实现,如,HP OpenView。
浅谈VPN应用和企业内部网络安全 篇3
关键词:网络安全企业内部VPN技术应用
中图分类号:TP393文献标识码:A文章编号:1007-3973(2011)008-073-02
当今社会信息高度发达,以网络技术为代表的信息技术已成为了主导生产力发展的重要因素之一。现在越来越多的公司走向集团化、国际化,而计算机网络缺乏足够的安全性,网络传输的信息随时都会受到非法存取、篡改、破坏等安全威胁,企业如何利用网络技术为其自身发展服务,不断完善企业网络系统,确保企业内部网络安全,一直以来就是企业要迫切解决的问题。VPN是利用Internet建立一个临时的、安全的连接,以帮助用户建立经济、有效的连接,它在保证数据安全传输功能方面发挥着重要作用。
1我国企业网络建设现状
首先,企业网络建设具有普遍性。随着网络技术的普及,企业越来越意识到建立自身独立的网络系统的重要性,能够主动投入人力、物力、财力来研发本企业的网络系统。其次,网络安全意识进一步提高,企业网络应用范围非常广泛。目前我国企业进一步加强对网络安全的防范,企业的观念正在逐步改進,并且在创建独立网络体系的同时又注重对网络功能的再开发,如利用网络系统可进行内部管理、办公自动化处理、连锁经营管理、合作招商、产品发布等,极大地拓展了企业网络的应用领域。再次,企业网络层级化趋势越来越明显。企业网络的层级化,是指企业网络大都由外部网络和内部网络构成,外部网络是互联网,而内部网络就是企业独立的网络系统。企业既要依托内部网络开展日常工作,又需要连通外部网络共享资源信息,这就需要企业在内部网络与外部网络间建立一条稳定的通道,而VPN技术可很好地满足建立企业网络安全通道的需求。
2当前影响企业内部网络安全的因素
(1)操作系统的安全问题。目前广泛应用的UNIX、WIN-DOWS和L1NUX等网络操作系统,都存在各种各样的安全问题。许多新型计算机病毒都是利用操作系统的漏洞进行传染。(2)病毒的破坏。计算机病毒严重影响到计算机系统的正常运行,破坏系统软件与文件系统,甚至造成计算机和网络系统的瘫痪,它是影响企业内部网络安全的主要因素。(3)黑客。大多数黑客通过灵活地运用手中掌握的丰富的现成工具,采用端口扫描、口令入侵、JAVA炸弹等方式入侵。此外,还有非正常途径访问以及内部破坏。如企业中,有人为了报复而篡改或销毁人事档案记录;有人越权处理公务,为个人私利而窃取机密数据。(4)设备破坏,主要是指对网络硬件设各的破坏。企业内部网络涉及的设备比较分散,管理起来相当困难,不能上锁的设施都有可能遭人损坏,造成企业内部网络部分或全部瘫痪的严重后果。(5)技术之外的问题。如许多领导以及员工的计算机网络安全意识薄弱,安全知识较为缺乏。企业的规章制度还不够完善,对导和员工上网行为的规范和约束力较弱。加上,大多企业科室办公上网地点的扩大,导致网络监管越来越困难。
3VPN技术及应用
3.1VPN概念
VPN(虚拟专用网络,Virtual Private Network)是将物理上分布在不同地点的网络,通过公用网联接而成逻辑上的虚拟子网,是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网并不是真的专用网络,但能够实现专用网络的功能,保障信息在因特网上传输的安全性。
3.2VPN的独特优势
(1)降低成本。与其它网络技术不同的是,VPN技术独立于初始协议,可有效地实现对新技术的兼容,有效地减少企业内部网络与外网连接时所需的网络配置设备。而且在虚拟网络的运行过程中,由于其稳定性良好,企业不需要付大量的成本进行维护,这也是VPN网络技术最为重要的一个优势。
(2)可扩充性和灵活性。企业如果想扩大自身的服务范围,就必须使远程办公室的Extranet路由器拥有Internet以及VPN能力,方便增加新的节点,支持多类型的传输媒介,进而大大简化工作流程。
(3)可掌握网络主控权,提升企业网络系统功能。企业利用VPN技术,借助网络服务提供商的设施与服务,创建自己的私有网络,还可以将企业内部的网络设备与外网实现安全互联,有效地掌控企业网络系统的运行状况,且依托企业网络开展各项活动,实现对企业网络功能的进一步扩展的目的。
3.3实现VPN的关键技术
3.3.1安全隧道技术
安全隧道技术,是VPN的一项基本的、较为实用的技术,它主要是通过将待传输的原始信息经过加密、协议封装以及压缩处理之后嵌套在另一种协议的数据包中送入网络,进而确保对公用网络的透明度。通过隧道的建立,可将数据流量强制到特定目的地、在IP网上传输非IP协议数据包、隐藏私有网络的地址、提供数据安全支持以及提供数据包认证与密钥管理。
3.3.2密钥管理技术
密钥管理技术,主要是用来实现在公用数据网上进行安全的传递密钥而保证不会被窃取。现行的密钥管理技术可分为SKIP与ISAKMP/OAKLEY两种类型。
3.3.3访问控制技术
访问控制技术,它是由VPN服务的提供者按照在各种预定义的组中的用户的身份标识以及其成员身份来实现限制访问某些信息项或某些控制的机制,以实现对信息资源的最大权限的保护。
3.3,4身份认证技术
身份认证技术最常用的是使用者名称和密码或卡片式认证等方式。VPN身份认证,包括信息认证和身份认证,即双方共享加、解密码。使用者须提供信息认证或身份认证,才能访问数据包,从而保证了信息的合法性与完整性。
4VPN建设方案
(1)大型企业自建VPN。由于大型企业用户拥有雄厚的资金投入作保证,可以将VPN设备安装在其总部和分支的机构中,并将各机构低成本、安全地连接在一起,建立自己的VPN,能够很好地实现在安全基础上的控制。一个内部VPN能够使企业对所有的安全认证、网络访问及网络系统情况进行控制,集成和协调现有的内部安全技术。还可以确保企业得到业内最好的技术来满足自身的特殊需要。同时,建立内部VPN能使企业有效地节省VPN的运作费用和用于外包管理设备的额外费用,获取最佳性价比的VPN。尽管VPN外包可简化企业网络部署,但这同样也降低了企业对公司网的控制等级。因为网络越大,企业就越依赖于外包VPN供应商。因此,对大型企业来说,自建VPN是其最佳的选择。(2)中小型企业外包VPN。虽然中小型企业之间都是相对集中和比较固定的,但部门与部门间、企业与其业务相关企业间的信息沟通、联系依然讲究廉价与安全,这时就需要VPN技术。中小企业如果自己购买VPN设备,财务成本就比较高,且一般中小企业的IT人员短缺、水平较低,不足以支持VPN。因此,外包VPN是他们较好的选择。
5VPN的应用领域
虚拟专用网络(VPN)技术 篇4
虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。这种跨越公共互联网络建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。
使用VPN技术可以解决在当今远程通讯量日益增大,企业全国甚至全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。
1 概念
VPN的英文全称是“Virtual Private Network”,顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的内部专线。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个单位内部网之间建立一条专有的通讯线路。
VPN的基本概念:隧道,加密以及认证
· 隧道——隧道是在公网上传递私有数据的一种方式;安全隧道是指在公网上几方之间进行数据传输中,保证数据安全及完整的技术
· 加密——保证数据传输过程中的安全
· 认证——保证VPN通讯方的身份确认及合法
2 虚拟专用网络的基本用途
通过Internet实现远程用户访问,虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。
与使用专线拨打长途连接企业的网络接入服务器(NAS)不同,虚拟专用网络用户首先拨通本地ISP的NAS,然后利用VPN软件或硬件与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络(如图1所示)。
3 隧道技术基础
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
隧道所使用的传输网络可以是任何类型的公共互联网络。目前较为成熟的技术包括:
(1) IP网络上的SNA隧道技术
当系统网络结构(SystemNetworkArchitecture)的数据流通过企业IP网络传送时,SNA数据帧将被封装在UDP和IP协议包头中。
(2) IP网络上的NovellNetWareIPX隧道技术
当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地。
(3) 点对点隧道协议(PPTP)
PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
(4) 第2层隧道协议(L2TP)
L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,帧中继或ATM。
(5) 安全IP(IPSec)隧道模式
IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
(6) 安全套接层协议SSL
SSL(Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它主要适用于点对点之间的信息传输,是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。
(7) 隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
隧道协议和基本隧道要求如下:
① 用户验证:第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
② 令牌卡(Tokencard)支持:通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepassword),加密计算器(cryptographic calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如IPSec协议通过ISAKMP/Oakley公共密钥证书验证。
③ 动态地址分配:第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。
④ 数据压缩:第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
⑤ 数据加密:第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
⑥ 密钥管理:作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
⑦ 多协议支持:第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP,IPX,或NetBEUI等多种协议企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。
4 隧道类型
4.1 自愿隧道(Voluntarytunnel)
用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。
自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立一条新的隧道。因此,一条隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才终止整条隧道。
4.2 强制隧道(Compulsorytunnel)
由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。
因为客户只能使用由FEP创建的隧道,所以称为强制隧道。一旦最初的连接成功,所有客户端的数据流将自动的通过隧道发送。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS(Network Attached Storage:网络附属存储)时,一条隧道将被创建,所有的数据流自动通过该隧道路由。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道,也可以配置FEP基于不同的用户名或目的地创建不同的隧道。
5 高级安全功能
虽然Internet为创建VPN提供了极大的方便,但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击,确保通过公共网络传送的企业数据的安全。对称加密与非对称加密(专用密钥与公用密钥)。
对称加密,或专用密钥(也称做常规加密)由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法,数据加密标准(DES),国际数据加密算法(IDEA)以及Skipjack加密技术都属于对称加密方式。
非对称加密,或公用密钥,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥,任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。
公用密钥加密技术允许对信息进行数字签名。数字签名使用发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后,使用发送方的公用密钥解密数字签名,验证发送方身份。
5.1 证书
使用对称加密时,发送和接收方都使用共享的加密密钥。必须在进行加密通讯之前,完成密钥的分布。使用非对称加密时,发送方使用一个专用密钥加密信息或数字签名,接收方使用公用密钥解密信息。公用密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方,发送方只要保证专用密钥的安全性即可。
5.2 扩展验证协议(EAP)
由于PPP协议只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展,允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两端动态加入验证插件模块。
5.3 交易层安全协议(EAP-TLS)
EAP-TLS是基于公用密钥证书的验证方式。使用EAP-TLS,客户向拨入服务器发送一份用户方证书,同时,服务器把服务器证书发送给客户。用户证书向服务器提供了强大的用户识别信息;服务器证书保证用户已经连接到预期的服务器。用户方证书可以被存放在拨号客户PC中,或存放在外部智能卡。无论那种方式,如果用户不能提供没有一定形式的用户识别信息(PIN号或用户名和口令),就无法访问证书。
5.4 IPSEC
IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。
5.5 协商安全关联(NegotiatedSecurityAssociation)
一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。
5.6 验证包头
通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。
5.7 封装安全包头
为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。
5.8 扩展性
通过使用循环DNS在同属一个安全地带(securityperimeter)的VPN隧道服务器之间进行请求分配,可以实现容余和负荷平衡。一个安全地带只具有一个对外域名,但拥有多个IP地址,负荷可以在所有的IP地址之间进行任意的分配。
5.9 RADIUS
远程验证用户拨入服务(RADIUS)协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便(lightweight)协议。
5.10 记费,审计和报警
为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。
6 结论
如本文所述,虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。
摘要:虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接,并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。
关键词:虚拟专用网络,隧道技术,加解密技术
参考文献
[1]王达,何艳辉,王珂,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[2]何宝宏.IP虚拟专用网技术[M].北京:人民邮电出版社,2002.4.
VPN 实验心得 篇5
(一)vpn access server的配置
实验网络拓扑:
pc(vpn client 4.01)---switch---router1720
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
步骤:
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
vpn access server)(cry isa client conf group vclient-group
####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap
cry map vpnmap 1 ipsec-isakmp dynamic template-map
#### 使用第?*脚渲玫?map 模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization
cry map vpnmap client conf address respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0
说明几点:
(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。
(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。
(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。
(5)关于split tunnel。配置方法:首先,设置access 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1321 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
no ip domain-lookup!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool192!
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192!
!
crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!
crypto dynamic-map template-map 1
set transform-set vclient-tfs!
!
crypto map vpnmap isakmp authorization list vclient-group
crypto map vpnmap client configuration address respond
crypto map vpnmap 1 ipsec-isakmp dynamic template-map!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.240!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpnmap!
interface Serial0
no ip address
shutdown!
ip local pool pool192 192.168.1.1 192.168.1.254
ip classless
ip route 192.168.1.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable!
!
!
line con 0
line aux 0
line vty 0 4!
no scheduler allocate
end
VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn access server的f0地址10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn access server。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试睿?
show cry isakmp sa
show cry ipsec sa
clear cry sa
clear cry isakmp
debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720(vpn access server)
pc(vpn client 4.01)------|
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name
mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname
connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-address F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1
inter f0/1
cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0
inter f0/0
cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址
ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name
network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关
lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数
ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。
(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn server和vpn client两端的内部网络之间可以通过ip地址互相访问。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)定义isakmp policy
cry isa policy 1
authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(4)定义pre-share key
cry isa key pre-share-key address 10.130.23.244
####其中pre-share-key 为key,两个路由器上要一样
####其中10.130.23.244为peer路由器的ip地址。
(5)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(6)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer
(7)将crypto map应用到接谏?br /> inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720的完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1217 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key pre-share-key address 10.130.23.244!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。
(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令:
show cry isa sa
show cry ip sa
show cry engine configuration
show cry engine connections active
show cry engine connections flow
deb cry isa
deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)生成rsa key
cry key generate rsa general-keys ####生成General Purpose rsa Key
或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key
这里 统一用general purpose key
(4)复制peer router的public key到本地router中
(A)在3662上生成general purpose key
(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key
(C)在1720上,cry key pubkey-chain rsa ####设置public key
addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key
key-string ####定义key串
粘贴从3662上复制的General Purpose Key
#####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)
(5)定义isakmp policy
cry isa policy 1
authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(6)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(7)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br /> ####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey也要对应进行设置。
(7)将crypto map应用到接口上
inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run
Building configuration...Current configuration : 1490 bytes!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption!
hostname VPN1720!
logging buffered 4096 debugging
no logging rate-limit
enable password CISCO!
username vclient1 password 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero!
!
ip domain-name fjbf.com!
ip audit notify log
ip audit po max-events 100!
crypto isakmp policy 1
encr 3des
authentication rsa-encr
group 2!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!
crypto key pubkey-chain rsa
addressed-key 10.130.23.244
address 10.130.23.244
key-string
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF
D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102
DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001
quit!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match address 144!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0!
interface FastEthernet0
ip address 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map!
interface Serial0
no ip address
encapsulation ppp
no keepalive
no fair-queue!
ip classless
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable!
!
access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login!
end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。
常用调试命令:
show cry ip sa
show cry isa sa
deb cry isa
deb cry ip
clear cry isa
VPN网络 篇6
关键词:图书馆网络互联vpn技术
0引言
随着Internet和信息技术的快速发展,人们越来越依赖Inter-net进行各种数据交换和信息存取,高校信息化建设也进一步完善,应用系统逐渐丰富。图书馆信息资源得到飞速的发展,现在教师的教学、科研都离不开图书馆信息资源。
然而对于图书馆来说,基于安全和知识产权的考虑,文献信息资源并不是无限制地对外开放,图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源,大部分只允许拥有校内IP地址的授权用户访问。这样,对于某些在校外通过拨号等方式上网却没有固定IP地址的用户,以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。
此外,许多高校图书馆为了规范化管理,均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务,势必存在许多安全隐患,为了安全起见一般采用独立成网,但是这种做法费用高而且不灵活。若能在校园网的基础上架构一个安全、可靠的专用虚拟网络,专供图书馆管理系统使用,既廉价又方便。
本文介绍了运用VPN技术来解决以上问题的方案。
1VPN描述
1.1 VPN的定义VPN(V;rtual private Network,虚拟专用网)是一种通过对网络数据进行封包和加密,在公网如因特网上传输私有数据,同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。
1.2 VPN的主要特点
1.2.1网际互联安全性高VPN技术继承了现有网络的安全技术,并结合了下一代lPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道。实现网络互联的安全。
1_2.2经济实用、管理简化“由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
1.2.3可扩展性好如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
1.2.4支持多种应用由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
1.2.5有效实现网络资源共建共享在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
2利用VPN实现图书馆网络互联
要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理,并有效地利用各总馆与分馆的资源,进行内部业务交流和开展读者服务工作,必须解决两个问题:第一,要建立图书馆网络间的安全通道,保护链路的通讯安全。第二,要根据身份认证实现图书馆网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。
2.1采用自建方式构建VPN网络虽然可以通过ISP(Intemet Servlce Provider,網络服务提供商)的中心交换设备来构建专用通道,但公共图书馆内部局域网互联速度相对较快,所以图书馆VPN网络互联宜采用自建的方式。其优势如下:①多数公共图书馆都具备良好的计算机基础设施和内联局域网,接入因特网带宽有百兆、甚至千兆,而总馆在这方面的优势更加突出。在此基础上自建VPN,既便捷又经济o②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略,满足不同级别的安全需要。
2.2 VPN类型的选择目前国内高校大多采用IPSec(IP Se-curlty)VPN技术来解决校外用户访问校图书馆问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接八方案面对越来越多终端站点时,已日渐显得力不从心。
在此情况下,SSL(Secrulty Socket Layer)VPN技术应运而生。SSL VPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处:一是它不需要配置,可以立即安装立即生效和使用;二是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;三是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的Internet IP即可成功接入图书馆。
但SSL VPN并不能取代IPSec VPN,因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面:而IPSec VPN是在两个局域网之间通过Intemet建立安全连接,是实现点对点之间的通信。并且,IPSec工作于网络层,不局限于Web应用。从高校应用来看,由于SSL接人方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说,集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时,就极易造成该IP被禁用,从而导致所有SSL用户无法继续访问图书馆。
为解决这个问题,可以将图书馆大量的校外用户分为两类,一类是使用图书馆资源较为频繁、访问数据量较大的用户(比如教师,但用户数量少);另一类则是使用次数较少、访问数据不多的用户(比如学生,但用户将数量多)。通过用户划分,我们给教师用户分配IPSec接入方式,这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题;而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSL VPN无需部署客户端的特性来降低客户端的维护工作量,从而实现VPN在图书馆应用的快
速部署。
目前,许多VPN产品都能提供多种VPN接入形式,如:Cis-coASA5500系列可以在单一平台上提供IPSec和基于SSL(Se-cureSocketsLayer,安全套协议)的VPN服务,避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。
2.3 VPN支持的认证技术一个VPN系统应支持标准的认证方式,如基于机器特征码、数字证书技术、远程用户拨号认证系统(RA-DIUS,Remote Authentication Dial In User Service)认证、基于公开密钥基础设施(PKl,Public Key Infrastructure)的證书认证以及逐渐兴起的生物识别技术等等。另外,还要提供基于用户组策略的认证。
2.4 VPN接入控制的选择机制为了方便网络使用者(包括馆员、读者、管理部门等等)互联,所有局域网内部的用户都必须有使用VPN服务器代理的权限。因此,接入控制显得比其他两种隧道形式更为重要。可以采用两级的控制机制,粗度的接入控制交给VPN服务器来完成,VPN服务器上的安全策略数据库(SPD,Safety PolicyDatabase)可以实现基于类似于用户组级别的控制,既把所有用户划分为不同等级的组来配置接入控制策略。细度的接入控制将由独立的认证服务器来完成,可以使局域网共享一个证书机构CA(Cer-tificate Authority,数字证书认证中心)和安全策略服务器,由它来管理和发放数字证书,实现对控制资源的访问。
2.5 VPN数据安全采用分级处理方式数据安全包括数据加密、完整性检测和抗篡改。VPN技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上,采用分级处理方式,对不同的等级的用户配置不同的数据安全策略,把用户分为普通级、普通加密级、高级加密级。对在普通级的用户通讯数据(例如:读者访问图书馆电子资源)配置为不使用任何加密的安全策略:普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略;高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。
2.6 VPN的设备选择对于设备的选择,可以根据自己的实际情况,结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。最好选择集成防火墙功能的VPN产品,以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS(DenialofService,拒绝服务)攻击和入侵威胁,提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。
3总结
基于VPN网络接入研究及实现 篇7
VPN (Virtual Private Network, 虚拟专用网) 是指在公共网络提供的信息传输平台基础之上, 通过建立虚拟隧道, 信息在隧道中安全可靠的传输的一种网络传输模式。通过VPN技术可以在跨国、跨地区企业通过Internet建立一个安全、高效的企业内部网。位于不同区域的用户像使用企业内部网络一样使用VPN网络中的资源。
2、VPN原理
Internet工程任务组织IETF制订的IP安全协议 (IPSec) 为VPN网络应用提供了加密、数据完整性、用户认证等功能。VPN的专用性保证了企业内部网络的保密性;VPN的虚拟性使组建VPN网络的成本大大降低。
3、VPN的关键技术
VPN的关键技术使用隧道技术、加解密技术、认证技术等。
3.1 隧道技术
隧道技术是VPN的基本技术。隧道由隧道协议形成, 隧道协议分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP中, 然后将整个数据包装入隧道协议中在隧道中传输。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议将数据包直接封装到隧道协议中, 形成的数据包通过第三层协议传输, 第三层隧道协议有VTP、IPSec等。其中IPSec隧道协议得到了广泛的应用。IPSec是由IETF制订的保护IP协议安全通信的标准, 它主要对IP协议分组进行加密和认证。IPSec有两种工作模式, 运输模式和隧道模式[1]。
运输模式 (Transport) :在该模式中, 仅利用传输层数据来计算AH或ESP首部。AH或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常, 传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。
隧道模式 (Tunnel) :在该模式中, 利用整个IP数据包来计算AH或ESP首部, AH或ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常, 隧道模式应用在两个安全网关之间的通信。
3.2 加解密技术
为了保证数据通信的机密性, VPN必须采用现有成熟的加解密技术来实现数据安全传输。IPSec的ESP协议采用56位的DES-CBC[2]算法实现加密传输, 并使用ISAKM P密钥交换协商机制来完成加密和解密密钥的交换。在IPSec中ESP提供加密功能而AH则不提供加密功能。
3.3 认证技术
IPSec定义了两个协议, 鉴别首部 (AH) 协议和封装安全有效载荷 (ESP) 协议, 这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。 (1) AH协议。AH协议被设计用来鉴别源主机, 以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文摘要, 并根据IPSec的运输方式插入到相应位置, AH可以实现数据的完整性、数据源的真实性, 但不提供数据的保密传输功能。 (2) ESP协议。ESP (封装安全有效载荷) 协议提供报文鉴别、完整性和加密功能, ESP增加首部和尾部, 并根据IPSec的工作模式插入到相应的位置。 (3) AH和ESP的对比。ESP协议是在AH协议的基础上而设计的。ESP协议能完成AH所做的所有功能, 但增加了加密机制。因此AH协议最终会被ESP协议所代替[3]。
4、VPN实现
在中小型企业中, 绝大多数情况采用以太网技术将企业所有资源融合在一起, 因以太网的广播特性, 在企业网络中产生大量的安全问题是必然的。用户接入的安全性、数据源的真实性、数据的机密性是企业对网络永恒的需求。利用VPN技术可以完美解决企业上述需求。
(1) 企业网络需求描述。企业办公系统、Web服务器、FTP服务器、邮件服务器、数据库服务器等资源服务器置于企业资源网中。要求企业内部用户群通过某种接入方式安全访问企业资源网和Internet。禁止企业外部用户访问企业内部网络。 (2) 网络功能结构。根据企业需求, 采用VPN技术完成用户接入、数据源鉴别、数据完整性和数据加密等功能。利用VPN服务器、防火墙和路由器构建一个安全区域, 并将企业资源服务器置于该区域, 实现安全保护。路由器完成NAT功能, 使内网接入到Internet;在防火墙上设置安全策略禁止Internet访问企业资源网。V PN服务器完成内网用户接入、数据源鉴别、数据完整性和数据加密等功能, 通过验证后, 从DHCP服务器获取动态IP地址, 内网用户方可访问企业资源网和Internet。
4.3 网络配置
(1) 企业资源网服务器的IP配置。使用网络号为192.168.1.0的IP地址分别分配给各服务器。 (2) VPN服务器配置。VPN服务器安装两块网卡, 连接企业内网用户群的网卡1和连接企业资源网的网卡2, 其IP地址规划为:网卡1:172.18.0.1 255.255.0.0网卡2:192.168.1.2 255.255.255.0默认网关:192.168.1.1 DNS:61.128.128.68并在V PN服务器中配置DHCP中继, 为接入到VP N服务器的用户自动配置IP地址。 (3) 防火墙的配置。在防火墙中配置禁止外网用户访问企业资源网, 允许内网用户访问Internet。 (4) 路由器的配置。路由器连接内网的接口IP地址配置为192.168.1.1。配置NAT, 使内网用户通过路由器的NAT功能上网。
5、结语
VPN技术凭借安全性、可靠性和低成本将成为当前广域网建设的最佳解决方案之一。IPSec作为VPN中的IP安全协议, 虽然能解决诸多安全问题, 但也存在一些急待解决的问题。多点传送、跨平台、从IPv4升级到IP v6、内置防火墙功能以及综合的VPN管理能力方面是未来VPN发展的方向[4]。
摘要:随着Internet广泛而深入的应用, 对网络接入提出了更高、更安全、更高效的要求。本文针对VPN基本原理、VPN的关键技术等方面进行了深入研究, 并对VPN技术在网络接入中的实际应用进行了讨论。
关键词:VPN原理,IPSec,VPN关键技术,VPN实现
参考文献
[1]杨明福.计算机网络原理[M].经济科学出版社, 2007, 229~231.
[2] (美) Donald.C.Lee.Cisco网络增强型IP服务[M].北京:电子工业出版社, 2000.
[3]谢希仁等译.TCP/IP协议族[M].北京:清华大学出版社, 2007, (4) :630~633.
VPN网络 篇8
MPLS VPN不是新生的概念, 而是在原来MPLS技术的基础上发展而来的IP-VPN。为了构造宽带网络及扩展功能、满足更多的业务需要, MPLS VPN是架设在路由器和交换机层次上应用MPLS技术而产生的, 通过以上的方式能够减轻核心设备的路径选择压力, 还可以结合以往的标记交换技术, 实现新的虚拟专用网络, 即IP VPN。MPLS VPN技术的引入可以为现代网络的需求带来极大的便利, 它不但把原有的互联网络进行逻辑意义上的分离, 为企业部门之间的连通提供便利条件;还能够基于此种技术提供新的应用类型, 例如为了解决地址冲突和质量保证, 可以为采用IP通信的语音业务单独划分一个VPN。另外, MPLS VPN还为在IPv6协议上的各种应用提供有力保障。
MPLS VPN网络模型一般由两部分组成, 即上游运营商的骨干网和用户级的各个站点 (即Site) 。每个VPN网络是由多个不同的站点组成的, 换句话说, VPN的概念就是站点的有效划分方式。正因为如此, 有需求的计入需要通过MPLS VPN的方式, 各个站点要具备提供CE (可以一个或多个) 的能力, 通过CE与骨干网络进行连接, 这中间的路由信息一般采用静态的方式来实现, 当然采用OSPF、RIP、BGP等方式也可以完全可以实现的。使用MPLS VPN的另一个好处是, 它能极大丰富地址空间, 为地址的管理带来便捷性。MPLS VPN一方面使用自己的路由表, 另一方面又赋予VPN自己单独使用地址空间, 这种方式被称之为VPN-IPv4地址, 所以, 在RD的基础上加上IPv4地址, 构成了VPN-IPv4地址。这样一来, 用户端的处理也变得简单起来, 原来需要进行NAT转化的私有地址用户不再需要过多的步骤就可以对外访问。在BGP的影响下, 由于其对策略的控制是先天的, VPN用户的路由选择也变得更加容易起来, 这样, 运用MPLS VPN就能减少对用户端设备的需求, 降低管理维护的人力、物力成本。
Ho VPN需求的提出
互联网技术发展至今, 部分模型是较为成熟的。当前多数的网络结构都采用分层的思想, 按照功能需求不同, 制定专属的协议、接口, 把特定的功能实现放在特定的组织层次中, 各个层次对于设备的性能和功能要求也是因层而异的。
迁移到MPLS VPN的结构设计上, 最主要的设备就是PE, 它需要具备以下两方面的左右:一、具备为不同应用提供准入功能, 为了适应多种的需求, 要求PE自身具有不同类型的接口;二、为了处理用户产生的报文, 需要具备管理和发布VPN路由的功能, 为了应对用户产生的大量报文, 这对PE的性能提出了具体要求, 即需要具备存储大的存储能力和即时转发的处理能力。
MPLS VPN严格来讲, 还是一种平面的层次结构, 它对于PE设备性能的需求是完全一致的, 网络一个PE存在性能、扩展性问题时, 就会影响整个网络的性能及可扩展性。分层次的VPN (即Hierarchy of VPN, 简称Ho VPN) , 为了完成一共PE的功能, 把PE的功能分配到不同的PE设备上, 这样就有多个PE承担着不同的作用, 这种方案的提出为VPN网络的发展提供了一种有效的解决方案。
分层网络模型就是为了解决以上提及的可扩展性问题, VPN所涉及的也不再是以往简单的平面模型了。在MPLSL3VPN中, 分层次的VPN (即Hierarchy of VPN, 简称Ho VPN) , 为了完成一共PE的功能, 把PE的功能分配到不同的PE设备上, 这样就有多个PE承担着不同的作用, 这种方案的提出为VPN网络的发展提供了一种有效的解决方案。
Ho VPN仍然与分层次的网络模型思想上是一致的, 它把特定的功能实现放在特定的组织层次中, 各个层次对于设备的性能和功能要求也是因层而异的。Ho VPN的基本结构如图1所示:
如图中所示, UPE是与用户侧设备直接相连的, 分为Underlayer PE (下层PE) 和User-end PE (用户侧PE) ;榆次相对应, SPE是位于整个网络中间的设备, 与UPE连接, 分为Super stratum PE (上层PE) 和Sevice Provider-end PE (运营商侧PE) 。
传统意义的PE功能由不同数量的UPE和SPE构成, 最终形成图中的层次结构。
用户的接入功能是由UPE完成的。与UPE连接的路由是由其来进行维护的, 而远端站点的路由UPE是不负责看护和守候的, 最多UPE完成也只是他们的聚合部分;具体的过程是, UPE把内层标签分配给直连的路由, 再经由MP-BGP随VPN路由想SPE发送这个标签。
VPN路由管理和发布则是由SPE来完成的。SPE负责的范围则更为广泛, 基本所有通过UPE的路由都是由其负责的, 其中包括的路由主要是本地的和远程的站点。但是, SPE并不把远程站点的路由发送给UPE, 而是只打好标签以后把缺省路由或聚合路发送给UPE。
以上层次的划分, 从根本上保证了SPE和UPE的不同分工:SPE的功能决定其必须具备大的路由表容量, 强大的转发性能, 至于接口则不需要太多;UPE则恰恰相反, 它需要丰富的接口提供能力, 但对路由容量和转发性能的要求就不那么高了。Ho VPN则正好运用了以上提到的SPE性能方面和UPE接入方面的双方优势。
另外需要指出的, 其实SPE和UPE并不是绝对的, 而是两个相对的概念。在复杂的PE层次模型中, 上层PE就是下层的SPE, 而下层PE则是上层的UPE。
从根本上看, PE的分层思想和以往的PE并没有外在的区别, 是可以与普通的PE是可以共同存在于一个MPLS网络而统一对待的。
Ho VPN的实现原理
正像上面所说UPE只保持本地VPN的路由, 那么如何和其他的VPN通信呢?事实上分层PE的原理是BGP的路由反射器, 但是普通的RR是为了减少BGP邻居数量, 所以H3C实现的分层PE技术在SPE上会做特殊处理, SPE不提供RR客户之间的具体路由反射, 只提供一条默认路由0.0.0.0/0给UPE, 这条路由的下一跳为SPE。
下面说明一下分层公网LSP建立、VPN路由交换以及数据通信的过程:
公网LSP的建立很简单, 只要全网运行一个IGP, 然后再启动MPLS以及LDP就可以了;
路由交换过程:两个UPE之间不需要建立MBGP邻居, 只会收到SPE发过来的一条携带VPN标签的默认路由;
数据传递过程:在UPE处把数据加封两层标签:外层的标签是到SPE的, 内层标签是SPE分配的默认路由标签。这个数据包到达SPE后只剩下内层标签, 然后SPE去掉内层标签并且送到本地相应的VPN路由表进行查找, 然后再封上内层标签与外层标签发向目的地, 具体传递过程如图2所示:
分层PE对UPE要求不高, UPE只负责维护本地VPN路由就可以了。SPE由于要维护整个VPN的路由表, 并且要负责VPN标签以及LSP标签的转换, 所以对其性能要求相对较高。
Ho VPN的嵌套与扩展
Ho VPN在分层结构过程中, 还支持PE的嵌套:
一个UPE可以由分层的PE来充当, 同另一个SPE组成新的分层式PE;
一个SPE也可以由分层的PE来充当, 同多个UPE组成新的分层式PE;
这种嵌套在分层的结构中, 是可以循环使用的。
理论上讲, 这种嵌套, 能够无限扩展VPN的层次模型, 丰富其具体的网络设计。
图3是一个明显分三层的PE, 中间层的PE称为Middle level PE, 即MPE。在SPE和MPE、MPE和UPE之间都需要运行的是MP-BGP。
MP-BGP为上层PE发布下层PE上的所有VPN路由, 但只为下层PE发布上层PE的VPN实例缺省路由。
校园VPN网络建设解决方案 篇9
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道,将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。由于我校目前有两处校区,相隔较远,为了实现资源共享,并能够在校区或师生间做到即时沟通,常常需要大量的投资,所以一直在寻找一种有效地性价比高而且实用的方案。最初准备使用专线连接,这种方案的成本和使用费用都很高,对于学校来说无疑是很大的负担。如今,各种宽带上网方式迅速发展,基于Internet构建集团的VPN网络无疑是一种高性价比的方案。因此提出建设我校的VPN解决方案,能够兼顾性能和价格,实现真正意义上的高质量、低价格的网络VPN互联。
2 校园VPN的建设规划
2.1 内部网络建设
学校内部网络建设目的主要是提高运行效率,节约日常运做成本。
2.1.1 不同校区内部电话系统
建立VPN后,两个校区可以共享网络资源。例如一套教务资源平台和办公平台通过VPN网络就可以两个校区共同使用,就直接减少了一套资源库的成本;同时,两个校区可以直接通过互联网建立内部电话系统,这样方便了两个校区的交流又节约了一部分电话费用。
2.1.2 建立内部发送系统和网络议事论坛
校园网络通知发送系统是一个能增强办公效率的软件系统,彻底实现无纸化办公。建立学校内部网络议事论坛能是使学校以最直接最快速的方式了解老师对学校事情的评价,也可以让每个老师都参与学校事情的讨论。
2.1.3 建立网络教案系统
已经进入信息化时代了,教师把教案直接写到网上也成为可能。学校可以直接到网站上检查教案,并可以加注评语,这样不但可以提高办公效率也省去了教案交来送去的麻烦,还可以共享教案,让其他老师及时点评。
2.1.4 建立教师个人网络日志
建立教师个人网络日志系统,使教师可以通过网络进行自主业务学习,并把学习资料保留到自己的网络日志上,供自己以后查询,他人也可以看到。
3 解决方案
3.1 创建安全数据通道
在我校建立VPN,可将远程的分支部门、移动办公用户安全连接起来。在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。对我校而言,VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术[1]实现的,隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。只需要租用本地的数据专线,连接上本地的公众信息网,各部门之间就可以互相传递信息;同时,还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入校园网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后网络发展的趋势。
3.1.1 采用基于Ipsec[2]的VPN技术
在众多的VPN解决方案中,IP-VPN脱颖而出,成为我校组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题,因此无法为用户解决他们所担心的数据安全保密性,而IPv6协议目前也是处于试运用阶段,而IP-VPN在使用了一些额外的安全技术后,解决了这一难题。
此方案中VPN的实现是通过隧道(Tunnel)技术进行连接。隧道技术通过软件“叠加”在物理网络之上,是VPN“虚拟”特征的体现,它使VPN连接看起来像是线路上惟一的数据流。借助隧道VPN,还能够使用内部网络中采用的安全和优先级策略,使我们能够完全控制数据流。隧道提供了一层名副其实的安全保障。专用的内部网和外部网VPN可使用基于IPsec的技术或普通路径封装技术(GRE)来创建永久性的“虚拟”隧道。
3.1.2 创建安全的数据通道
由于网络结构采用星型(如图1所示),各个分支仍然使用原有的接入方式和线路,并且均通过VPN隧道与总校连接,因此使用保密性好的IPSec协议建立VPN隧道。在VPN中,IPSec的安全性是最好的。在建立安全隧道和使用安全策略时,各个过程进行得更加严格。IPSec使用了IPSec隧道模式,在这种隧道模式中,用户的数据包加密后,封装进新的IP。这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
基于硬件的集成式IPsec加密,把DES或3DES加密算法[3][4]与IPPCP压缩结合起来。在加密之前实现数据压缩,不仅可以实现高速加密,还提高了WAN的可用带宽。加密技术在方案中具有可选特性,也是VPN“专有”特征的体现。加密功能只应用于特别敏感的应用数据流且只能在需要时使用,因为这种功能耗费大量的处理器容量,并会对性能产生影响。基于IPsec标准的加密方案,能与其他厂商的IPsec设备实现全面的互操作。根据用户对性能的不同要求,可通过Cisco IOS软件或模块与端口适配器中的硬件在Cisco路由器中部署加密服务[5]。
3.2 全动态VPN组网方式
目前IP-VPN的联网方式主要有3种:固定IP与固定IP、固定IP与动态IP和动态IP与动态IP。前两种方式是比较传统的方式,技术上实现容易,目前的防火墙等设备就可以实现这种功能,但申请固定IP费用较高,不适合作为我校VPN建设方案。因此选择采用全动态组网方式作为我校建立VPN的组网方式,这种组网方式的特点是动态IP与动态IP之间的VPN通信技术比较复杂,但费用较低,适于作为经费来源较少的校园用来组建VPN的方式。因此,为了解决动态IP与动态IP之间的VPN通信问题,由于整个系统没有固定IP,采用通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全管理中心(SMC)”进行注册和身份认证,然后从SMC下载自己的VPN策略;同时SMC负责当策略参数发生改变时,实时通知在线的网关产品更新策略,从而确保所有的网关都能够获得最新的策略参数变化情况。
3.3 头端设备的选择及网络部署
3.3.1 VPN头端设备的选择
对VPN头端设备的选择,要综合考虑隧道的数量、VPN网络流量、TUNEL的封装类型、GRE/IPSEC,以及FW、QOS的部署,同时还要考虑到今后网络的扩展性,其中包括VPN网络的扩展性和安全性。在选择头端设备时,要考虑头端VPN设备的CPU使用率不能超过50%,包括启动FW、IDS、QOS、ROUTING等功能。思科ISR系列路由器能够很好的满足以上技术指标。对分支机构而言,VPN设备的CPU使用率不能超过65%。
目前,所有的Cisco路由器平台都可以方便地实现VPN,经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力,降低了VPN的复杂度和成本。在此方案中采用的是用于小型地区、分支机构及远程个人的Cisco3600、2600路由器。所有的Cisco VPN路由器都完全可以互操作,为从园区到广域网ISP,以窄带或宽带速率进行多媒体通信提供了一条可扩展的端到端链路。
3.3.2 VPN网络部署的位置
VPN硬件通常和防火墙一起部署在网络的边缘(如图1所示)。这种部署方式的网络扩展性较好,所有的流量都必须经过防火墙,但是加大了VPN设备和防火墙的配置难度,因为要把VPN流量和直接从内网到Internet的流量通过做策略路由将它们分开。
该方案使用思科提供的ASA 5500系列防火墙UTM产品,在提供IPS、FW、防病毒的同时还能为用户提供强大的VPN接入功能。ASA 5500系列防火墙还支持VLAN、QOS、OSPF动态路由协议[6]。
VPN与防火墙的结合使用,可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力[7][8]。校园内部特定的用户可以访问Internet网络,但是Internet网络内的主机不能通过防火墙访问校园的内部网络,只允许访问位于DMZ(非军事化区)的内部服务器主机,分校区可以利用VPN和总部建立安全的私有隧道,以访问总部的资源。
4 兼容性和可扩展性
4.1 兼容性
VPN安全网关遵循标准的Ipsec和IKE协议,在网络层对IP数据包进行加密,对网络中的数据流做基于五元组的访问控制,因此,对于应用系统是完全透明的,即上层的应用程序感觉不到数据在传输过程中被加密;也就是最终用户感觉不出使用了VPN前后在网络系统上有什么不同,也不必对自己平时的使用习惯做任何改变;应用程序的开发商也不需要对在VPN上使用的系统做特别的修改。
Ipsec协议决定了只要在网络传输上使用TCP/IP协议的应用系统,都可以在VPN平台下正常运行,然而在TCP/IP协议作为事实上工业标准的今天,任何新开发的应用系统都是基于此的,因此对于将来的ERP等系统修改、扩展乃至增加系统等等,VPN系统完全不需更改。
4.2 可扩展性
在实现基本的网络互联以及被动防护系统以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。通过集中管理,能够非常方便地进行网络节点的扩充,增加、删除网络节点对其他网节点的通信不产生负面影响,能够在充分保护已有设备投资的基础上方便进行升级和扩容。
5 结语
建立校园VPN,可以利用现有公网资源,在校区间、校区和普通用户间建立安全、可靠、经济、高效的传输链路,利用Internet的线路保证网络的互联性,采用隧道、加密等VPN特性保证信息在整个VPN上安全传输,从而极大地提高了办公效率,节省了学校资源,为信息化管理打下坚实的基础。
参考文献
[1][美]Vijay.IPSec VPN设计.北京:人民邮电出版社,2006.
[2][美]RICHARD TIBBS,EDWARD OAKES.防火墙与VPN——原理与实践.北京:清华大学出版社,2008.
[3]李伟.企业内部网的实现方案-MPLS VPN.北京:2008.
[4]闭敏.在广播电视监测网上组建VPN专网.2008.
[5][美]GREG HOLDEN.防火墙与网络安全——入侵检测和VPNS.北京:清华大学出版社,2004.
[6][美]Richard.Cisco VPN完全配置指南.北京:人民邮电出版社,2007.
[7]林健.Windows中组建VPN方案.2007.
VPN架起校园网络应用的桥梁 篇10
关键词:VPN,安全,学校
随着信息化时代的到来, 以网络技术为代表的信息技术已经成为社会发展的重要推动力。网络技术以其信息海量性、交互性、便捷性等优势, 正在日益深入人们的生活。同样, 由于信息技术的巨大作用, 它也被广泛应用于学校的各种活动之中。当然, 网络技术同时也存在很多缺点, 比如网络安全问题, 就成为影响学校信息安全的潜在威胁。因此, 学校在利用网络技术的同时, 一定要注意研究和防范其缺点和不足。
1、我国学校网络建设的基本情况和特点
应该说, 我国学校网络建设起步时间较晚, 但是发展速度十分迅速, 笔者总结出我国学校网络建设的基本情况和特点如下:
1.1 建设的普遍性
据一项不完全调查显示, 目前我国具备独立的学校网络系统的学校约占全体注册学校数量的90%以上。这里所说的学校网络建设, 不仅仅指学校的门户网站或者学校主页, 而是涵盖学校内部行政办公网、教学网络以及学生网络等网络系统。可以说, 随着网络技术的进一步普及, 学校已经意识到建立自身独立的网络系统的巨大意义, 能够主动投入人力物力, 聘请专业机构针对本学校特点研发、部署网络系统。
1.2 应用的广泛性
目前我国学校在创建独立网络体系的同时, 非常注意对于网络功能的再开发。目前国内学校利用网络系统可以进行内部管理、办公自动化处理、视频会议、网络教学、IP电话、学校推广等等, 极大地丰富了校园网络的应用手段, 拓展了应用领域。
1.3 安全意识提高
从国内市场主流网络安全技术销售情况可以看出, 全社会网络安全意识正在逐步提高, 一些造价不菲的学校版专业软件销售情况也十分可观。学校加强对网络安全的防范, 一方面体现出学校的观念正在逐步改进, 另一方面可以看出, 我国国内的网络安全市场仍然具备较大的拓展空间。
1.4 交流的多样性
学校网络大都由外部网络和内部网络构成。外部网络就是通常意义上的互联网, 而内部网络是学校独立的网络系统, 俗称内网。随着交流的不断增多和办公形式的多样化, 越来越多的用户希望能随时通过互联网接入校园网, 实现远程办公。而在当今日益繁多的网络技术中, VPN技术由于具备自身独特的优势, 可以很好地满足建立学校网络安全通道的需求。
2、VPN技术
2.1 基本情况
VPN (Virtual Private Network) , 即虚拟专用网, 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。VPN主要技术包括隧道技术与安全技术。简言之, 通过利用VPN技术, 可以在学校内部网络与外网之间建立一个虚拟的安全通道, 实现学校充分利用校内网络系统的要求。
2.2 独特优势
VPN技术是比较新的网络技术, 具有许多以往网络虚拟技术所不具备的优势, 具体说来, 主要体现如下:
第一, 可以最大限度地保证学校网络系统的安全运行。在前文中, 笔者谈到学校关心网络安全问题, 能否保证学校网络系统运行的稳定和安全, 将是这项技术能否被大范围推广和使用的关键。在VPN技术中, 学校可以在内部服务器上实现对用户资格的认证, 同时, 在网络运作过程中。VPN技术还可以支持点对点加密及各种网络安全加密协议, 如IPSecurity, 这可以最大程度上保证学校网络系统的安全运行。
第二, 可以降低学校网络运行维护的成本。由于VPN设备本身带有路由功能, 可以有效地减少学校内部网络与互联网连接时需要的网络配置设备, 对一些传统设备, VPN技术也可以很好地实现兼容。在虚拟网络运行过程中, 由于其稳定性良好, 不需要学校付出大量成本进行维护, 因此可以极大地降低学校网络成本。
第三, 可以实现学校网络系统功能的提升。学校网络系统应用VPN技术, 可以将学校内部的网络设备与外网实现安全互联, 同时也可以将学校分支机构的网络设备进行有效连接, 主要部门通过对于VPN权限的控制, 可以有效地掌控学校网络系统的运行情况, 并依托学校网络进行各项活动, 从而实现对学校网络功能的进一步扩展。
3、学校如何利用VPN技术
既然VPN技术具有许多优势, 非常适合运用于学校网络建设, 那么学校应该着手对这项技术的应用进行研究。笔者认为, 我国学校运用VPN技术没有固定的模式和套路, 应该依据学校自身的情况和特点, 制定出相应的使用方案。但是, 学校在使用VPN技术的过程中, 还是可以找到一些共性的原则。
首先, 是成本最小化原则。学校在利用VPN技术时, 可以委托专业机构设置学校VPN, 学校只需要设置相应的权限即可以实现对网络的有效管理。
其次, 是安全性原则。学校利用VPN技术的目的在于提高学校网络的安全性。因此, 学校在利用VPN技术时, 一定要严格遵守硬件以及软件的有关要求, 严格管理网络使用制度, 确保VPN能够正常运行, 以保证学校网络的安全和用户的正常使用。
参考文献
[1]宋西军计算机网络安全技术[M]北京大学出版社2009
[2]萧文龙最新计算机网络技术与应用[MJ]E科学出版社2009
[3]颜凯, 杨宁, 李育强, 高翔思科网络技术学院教程CCNP2远程接人 (第二版) 人民邮电出版社2005
【VPN网络】相关文章:
网络推手网络传播论文04-19
网络文化网络传播论文04-19
网络安全网络诈骗07-18
网络谣言与网络理性08-28
电信网络新型网络犯罪11-07
网络监测与网络舆情05-20
【网络空间作战】美国网络司令部的网络部队建设和网络安全信息共享机制04-21
社交网络之网络舆情论文04-15
网络监测与网络舆情论文04-15
网络攻击网络会计论文04-18