時間:2022-10-27 07:34:14
引言:易發(fā)表網(wǎng)憑借豐富的文秘實踐,為您精心挑選了九篇vpn技術(shù)論文范例。如需獲取更多原創(chuàng)內(nèi)容,可隨時聯(lián)系我們的客服老師。
關(guān)鍵詞:虛擬專用網(wǎng)vpn遠程訪問網(wǎng)絡(luò)安全
引言
隨著信息時代的來臨,企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計算機網(wǎng)絡(luò)技術(shù)不斷提升,信息管理范圍不斷擴大,不論是企業(yè)內(nèi)部職能部門,還是企業(yè)外部的供應(yīng)商、分支機構(gòu)和外出人員,都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信,實現(xiàn)企業(yè)外部分支機構(gòu)遠程訪問內(nèi)部網(wǎng)絡(luò)資源,成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。
一、VPN技術(shù)簡介
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò),指的是依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù),通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸,在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端(即服務(wù)端),用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸,到了隧道的接收端(即客戶端),接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達用戶端。
VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境,是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能,具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問,通過安全的數(shù)據(jù)通道將企業(yè)分支機構(gòu)、遠程用戶、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個擴展的公司企業(yè)網(wǎng),此外它還提供了對移動用戶和漫游用戶的支持,使網(wǎng)絡(luò)時代的移動辦公成為現(xiàn)實。
隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展,基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長足發(fā)展。根據(jù)企業(yè)的商務(wù)活動,需要一些固定的生意伙伴、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng),從而簡化信息傳遞的路徑,加快信息交換的速度,提高企業(yè)的市場響應(yīng)速度和決策速度。同時,圍繞企業(yè)自身的發(fā)展戰(zhàn)略,企業(yè)的分支機構(gòu)越來越多,企業(yè)需要與各分支機構(gòu)之間建立起信息相互訪問的渠道。面對越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題,VPN技術(shù)無疑給我們提供了一個很好的解決思路。VPN可以幫助遠程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上,大幅度地減少了企業(yè)、分支機構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時間,降低了企業(yè)局域網(wǎng)和Internet安全對接的成本。VPN的應(yīng)用建立在一個全開放的Internet環(huán)境之中,這樣就大大簡化了網(wǎng)絡(luò)的設(shè)計和管理,滿足了不斷增長的移動用戶和Internet用戶的接入,以實現(xiàn)安全快捷的網(wǎng)絡(luò)連接。
二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析
VPN技術(shù)類型有很多種,在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天,可以利用Internet網(wǎng)絡(luò)技術(shù)實現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用,基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點,能夠很好的滿足企業(yè)對VPN的常規(guī)需求。
2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個重要環(huán)節(jié)。在VPN服務(wù)器端,用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸,通過虛擬隧道到達接收端,接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶,最終形成數(shù)據(jù)交互。基于Internet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓撲結(jié)構(gòu)。
2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個部分組成:隧道技術(shù),數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式,并利用IP協(xié)議以安全方式在Internet上傳送;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜取;用戶認(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進行傳輸,因此安全問題是VPN技術(shù)的核心問題,目前,VPN的安全保證主要是通過防火墻和路由器,配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的,以此確保遠程客戶端能夠安全地訪問VPN服務(wù)器。
在運行性能方面,隨著企業(yè)電子商務(wù)活動的激增,信息處理量日益增加,網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響。因此制定VPN方案時應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略,分配基于數(shù)據(jù)傳輸重要性的接口帶寬,這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則,又不會屏蔽低優(yōu)先級的應(yīng)用。考慮到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長,對與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔(dān),管理平臺要有一個定義安全策略的簡單方法,將安全策略進行合理分布,并能管理大量網(wǎng)絡(luò)設(shè)備,確保整個運行環(huán)境的安全穩(wěn)定。
三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計與應(yīng)用
企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計出VPN網(wǎng)絡(luò),無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路,即可實現(xiàn)遠程終端對企業(yè)資源的訪問和共享。在實際應(yīng)用中,VPN服務(wù)端需要建立在Windows服務(wù)器的運行環(huán)境中,客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。
3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠程訪問”,需要對此服務(wù)進行必要的配置使其生效。
3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠程訪問”,打開“路由和遠程訪問”服務(wù)窗口;鼠標(biāo)右鍵點擊本地計算機名,選擇“配置并啟用路由和遠程訪問”;在出現(xiàn)的配置向?qū)Т翱邳c下一步,進入服務(wù)選擇窗口;標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡(分別對應(yīng)內(nèi)網(wǎng)和外網(wǎng)),選擇“遠程訪問(撥號或VPN)”;外網(wǎng)使用的是Internet撥號上網(wǎng),因此在彈出的窗口中選擇“VPN”;下一步連接到Internet的網(wǎng)絡(luò)接口,此時會看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址,選擇連接外網(wǎng)的網(wǎng)卡;在對遠程客戶端指派地址的時候,一般選擇“來自一個指定的地址范圍”,根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址,新建一個指定的起始IP地址和結(jié)束IP地址。最后,“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。
3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上,因此需要為遠端用戶賦予撥入權(quán)限。在“管理工具”中打開“計算機管理”控制臺;依次展開“本地用戶和組”“用戶”,選中用戶并進入用戶屬性設(shè)置;轉(zhuǎn)到“撥入”選項卡,在“選擇訪問權(quán)限(撥入或VPN)”選項組下選擇“允許訪問”,即賦予了遠端用戶撥入VPN服務(wù)器的權(quán)限。
3.2VPN客戶端配置VPN客戶端適用范圍更廣,這里以Windows2003為例說明,其它的Windows操作系統(tǒng)配置步驟類似。
在桌面“網(wǎng)上鄰居”圖標(biāo)點右鍵選屬性,之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c下一步;接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場所的網(wǎng)絡(luò)”;在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”;接著為此連接命名后點下一步;在“VPN服務(wù)器選擇”窗口里,輸入VPN服務(wù)端地址,可以是固定IP,也可以是服務(wù)器域名;點下一步依次完成客戶端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼,即可連接上VPN服務(wù)器端。:
3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后,即可訪問服務(wù)器所在局域網(wǎng)里的信息資源,就像并入局域網(wǎng)一樣適用。遠程用戶既可以使用企業(yè)OA,ERP等信息管理系統(tǒng),也可以使用文件共享和打印等共享資源。
四、小結(jié)
現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計算機互聯(lián)網(wǎng)絡(luò),在企業(yè)網(wǎng)絡(luò)遠程訪問以及企業(yè)電子商務(wù)環(huán)境中,虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò),從而為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù),是企業(yè)內(nèi)部網(wǎng)的擴展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價值,在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。
參考文獻:
組播VPN是基于MPLSL3VPN來實現(xiàn)組播傳輸?shù)募夹g(shù)。如圖1所示,網(wǎng)絡(luò)中同時承載著兩個相互獨立的組播業(yè)務(wù):公網(wǎng)實例、VPN實例A。公共網(wǎng)絡(luò)邊緣PE組播設(shè)備支持多實例。各實例之間形成彼此隔離的平面,每個實例對應(yīng)一個平面。以VPN實例A為例,組播VPN指:當(dāng)VPNA中的組播源向某組播組發(fā)送組播數(shù)據(jù)時,在網(wǎng)絡(luò)中所有可能的接收者中,僅屬于VPNA(即Site1、Site3或Site5中)的組播組成員才能收到該組播源發(fā)來的組播數(shù)據(jù)。組播數(shù)據(jù)在各Site及公網(wǎng)中均以組播方式進行傳輸。其中,實現(xiàn)組播VPN所需具備的網(wǎng)絡(luò)條件如下:(1)在每個Site內(nèi)支持基于VPN實例的組播。(2)在公共網(wǎng)絡(luò)內(nèi)支持基于公網(wǎng)實例的組播。(3)PE設(shè)備支持多實例組播,即支持基于VPN實例和公網(wǎng)實例的組播,并支持支持公網(wǎng)實例與VPN實例之間的信息交互和數(shù)據(jù)轉(zhuǎn)換。為了滿足以上條件,互聯(lián)網(wǎng)工程任務(wù)組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來實現(xiàn)組播VPN的標(biāo)準(zhǔn)。MD方案的基本思想是:在骨干網(wǎng)中為每個VPN維護一棵稱為Share-MDT的組播轉(zhuǎn)發(fā)樹。來自VPN中任一Site的組播報文都會沿著Share-MDT被轉(zhuǎn)發(fā)給屬于該MD的所有PE。MD是一個集合,它由一些相互間可以收發(fā)組播數(shù)據(jù)的VRF組成。其中,支持組播業(yè)務(wù)的VRF為MVRF,它同時維護單播和組播路由轉(zhuǎn)發(fā)表。PE收到組播報文后,如果其MVRF內(nèi)有該組播組的接收者,則繼續(xù)向CE轉(zhuǎn)發(fā);否則將其丟棄。不同的MVRF加入到同一個MD中,通過MD內(nèi)自動建立的PE間的組播隧道(MT)將這些MVRF連接在一起,實現(xiàn)了不同Site之間的組播業(yè)務(wù)互通。每個MD會被分配一個獨立的組播地址,稱為Share-Group。當(dāng)兩個MVRF之間通信時,用戶報文以GRE方式被封裝在骨干報文里通過MT進行傳輸,骨干報文的源地址為PE用來建立BGP連接所使用的接口IP地址,目的地址為Share-Group。
2民航數(shù)據(jù)通信網(wǎng)中組播VPN的實現(xiàn)
在民航數(shù)據(jù)通信網(wǎng)中實現(xiàn)組播VPN主要需完成骨干網(wǎng)絡(luò)的準(zhǔn)備工作以及組播VPN設(shè)計與實施等工作。
2.1組播VPN的規(guī)劃設(shè)計民航ATM數(shù)據(jù)網(wǎng)華東地區(qū)ATM交換機上的RPM-PR板卡提供了MPLSVPN業(yè)務(wù),目前部署的MPLSVPN業(yè)務(wù)網(wǎng)絡(luò)拓撲為星形結(jié)構(gòu),即由區(qū)域一級節(jié)點9槽RPM板卡作為P設(shè)備和路由反射器,而其他節(jié)點均為PE設(shè)備。華東地區(qū)ATM網(wǎng)絡(luò)中同時承載著兩個相互獨立的組播業(yè)務(wù):ATM數(shù)據(jù)網(wǎng)公網(wǎng)組播實例和名為YJCJ2的用戶私網(wǎng)組播實例。VPN組播實例是通過在P和PE設(shè)備上部署實現(xiàn)的,網(wǎng)絡(luò)中,作為P和PE的RPM板卡上運行著公網(wǎng)組播實例,而作為PE的RPM板卡同時又運行著用戶私網(wǎng)組播實例。公網(wǎng)的組播實例是在所有RPM板卡上開啟組播應(yīng)用。上海虹橋和浦東機場兩個節(jié)點的10槽RPM板卡負責(zé)接入用戶的VPN組播業(yè)務(wù),所以需在這兩臺設(shè)備上部署MPLSVPN應(yīng)用,并在這兩個用戶站點相應(yīng)的VRF實例中開啟組播應(yīng)用。在本案例中,VPN用戶接入側(cè)要求使用的是PIM密集模式,而民航數(shù)據(jù)網(wǎng)MPLSVPN公網(wǎng)則使用的是PIM稀松模式。在MPLSVPN網(wǎng)絡(luò)中不同用戶的VPN站點都是彼此邏輯獨立的,并且VPN用戶數(shù)據(jù)封裝MPLS標(biāo)簽后通過公網(wǎng)的PE和P設(shè)備進行傳輸。對于VPN組播來說,數(shù)據(jù)的傳輸模式也是類似的。PE設(shè)備通過將該VPN實例中的用戶VPN組播數(shù)據(jù)報文封裝成公網(wǎng)所能“識別”的公網(wǎng)組播數(shù)據(jù)報文進行組播轉(zhuǎn)發(fā)。這種將私網(wǎng)組播報文封裝成公網(wǎng)組播報文的過程就叫做構(gòu)造組播隧道(MT)。在PE上,每個VPN用戶的組播數(shù)據(jù)是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網(wǎng)構(gòu)造組播隧道,參見圖2。由于公網(wǎng)、VPN網(wǎng)以及用戶接入側(cè)各組播部署中都采用PIM協(xié)議啟用了組播應(yīng)用,MPLSVPN中組播應(yīng)用包含如下的PIM鄰居關(guān)系:(1)PE-P鄰居關(guān)系:指PE上公網(wǎng)實例接口與鏈路對端P上的接口之間所建立的PIM鄰居關(guān)系。(2)PE-PE鄰居關(guān)系:指PE上的VPN實力通過MTI收到遠端PE上的VPN實例發(fā)來的PIMHello報文后建立的鄰居關(guān)系。(3)PE-CE鄰居關(guān)系:指PE上綁定VPN實例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關(guān)系。部署公網(wǎng)組播實例需在華東地區(qū)所有相關(guān)RPM板卡開啟組播服務(wù),考慮到密集模式對RPM設(shè)備和骨干網(wǎng)資源的開銷,在民航ATM數(shù)據(jù)網(wǎng)中使用了PIM稀松模式。根據(jù)網(wǎng)絡(luò)的物理網(wǎng)絡(luò)拓撲模型,選取上海虹橋9槽RPM板卡作為RP。
2.2組播VPN的實施運行在MPLSVPN網(wǎng)絡(luò)中的P和PE設(shè)備上部署PIM協(xié)議,這些設(shè)備之間會形成PE-P鄰居關(guān)系,從而使得公網(wǎng)支持組播功能,并形成公網(wǎng)的組播分發(fā)樹。本案例中使用PIM稀松模式,即在虹橋和浦東機場節(jié)點的9、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式,這樣就構(gòu)造了公網(wǎng)的PIM共享樹。在傳輸用戶私網(wǎng)組播報文的PE上部署基于VRF實例的組播,一個VPN實例唯一制定一個Share-Group地址。同一個VPN組播域內(nèi)的PE之間形成PE-PE鄰居,并形成該組播域的共享組播分發(fā)樹(Share-MDT)。在本例中就是在虹橋和浦東機場的10槽YJCJ2VRF實例中部署相應(yīng)的defaultMDT地址239.255.0.5。用戶CE設(shè)備和PE連接CE的相應(yīng)接口啟用組播,本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關(guān)系。本例中是在虹橋和浦東機場節(jié)點的相應(yīng)VPN業(yè)務(wù)端口配置PIM密集模式。當(dāng)用戶有組播報文需要傳輸?shù)臅r候,就將組播報文發(fā)送給PE的VRF實例,PE設(shè)備收到報文后識別組播數(shù)據(jù)所屬的VRF實例。用戶私網(wǎng)的數(shù)據(jù)報文對于公網(wǎng)是透明的,不論數(shù)據(jù)歸屬或類別,PE都統(tǒng)一將其封裝為公網(wǎng)組播數(shù)據(jù)報文,并以Share-Group作為其所屬的公網(wǎng)組播組。一個Share-Group唯一對應(yīng)一個MD,并利用公網(wǎng)資源唯一創(chuàng)建一棵Share-MDT進行數(shù)據(jù)轉(zhuǎn)發(fā)。在該VPN中所有私網(wǎng)組播報文,都通過此Share-MDT進行轉(zhuǎn)發(fā)。如圖3所示,可以看到華東地區(qū)公網(wǎng)上的Share-MDT創(chuàng)建的過程。虹橋節(jié)點10槽RPM向9槽RPM(RP節(jié)點)發(fā)起加入消息,以Share-Group地址作為組播組地址,在公網(wǎng)沿途的設(shè)備上分別創(chuàng)建(*,239.255.0.5)表項。同時虹橋浦東機場節(jié)點也發(fā)起類似的加入過程,最終在MD中形成一棵以虹橋節(jié)點9槽RPM為根,以虹橋、浦東機場節(jié)點10槽RPM為葉的共享樹(RPT)。隨后,虹橋和浦東機場節(jié)點10槽RPM的公網(wǎng)實例向公網(wǎng)RP發(fā)起注冊,并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址,在公網(wǎng)的沿途設(shè)備上分別創(chuàng)建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表項,形成連接PE和RP的最短路徑樹(SPT)。在PIM-SM網(wǎng)絡(luò)中,由(*,239.255.0.5)和這兩棵相互獨立的SPT共同組成了Share-MDT。虹橋節(jié)點PE的私網(wǎng)組播報文在進入公網(wǎng)后,均沿該Share-MDT向浦東機場節(jié)點PE轉(zhuǎn)發(fā)。圖4是私網(wǎng)組播報文在公網(wǎng)中轉(zhuǎn)發(fā)的過程。當(dāng)浦東機場節(jié)點的YJCJ2VPN用戶CE設(shè)備加入到虹橋節(jié)點數(shù)據(jù)源所在的組播組,此時由于這兩個站點部署為PIM-DM模式,虹橋節(jié)點組播設(shè)備會立刻將數(shù)據(jù)推送到虹橋節(jié)點10槽RPM的YJCJ2VRF實例中,并通過該VPN構(gòu)建的Share-MDT在公網(wǎng)上以(20.51.5.6,239.255.0.5)構(gòu)建的SPT進行公網(wǎng)組播報文傳輸。當(dāng)公網(wǎng)組播報文被浦東機場10槽PE設(shè)備收到后會將其解封裝成原始的私網(wǎng)組播報文,并轉(zhuǎn)發(fā)給相應(yīng)的接收CE,最終完成用戶私網(wǎng)組播數(shù)據(jù)在MPLSVPN網(wǎng)絡(luò)中的傳輸。
3總結(jié)
關(guān)鍵詞:VPN,MPLS,BGP,WAN
隨著廣域網(wǎng)(WAN)的應(yīng)用需求不斷增長,通信運營商競爭不斷加劇,新的WAN的解決方案必須在降低實施、運營成本的同時,提供更快的響應(yīng)時間、更好的服務(wù)質(zhì)量(QoS)以及足夠的安全性。VPN技術(shù)的出現(xiàn),滿足了市場需求。
傳統(tǒng)的解決方案是采用搭建物理鏈路的專網(wǎng),VPN采用在公共IP網(wǎng)絡(luò)商構(gòu)建企業(yè)IP虛擬專網(wǎng)。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時,提供強有力的QoS能力,具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。
1.技術(shù)分析1:VPN虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。
如此需要迫切解決的兩個問題:
一:動態(tài)創(chuàng)建隧道。通過MPLS協(xié)議解決了這個問題。
二:路由沖突問題。通過BGP協(xié)議解決了這個問題。
2:MPLSMPLS(Multi Protocol Label Switch:多協(xié)議標(biāo)簽交換)提供了快速包轉(zhuǎn)發(fā)和動態(tài)建立隧道的技術(shù)。論文大全。MPLS是基于標(biāo)記的IP路由選擇方法。這些標(biāo)記可以被用來代表逐跳式或者顯式路由,并指明服務(wù)質(zhì)量(QoS)、虛擬專網(wǎng)以及影響一種特定類型的流量(或一個特殊用戶的流量)在網(wǎng)絡(luò)上的傳輸方式等其它各類信息。MPLS的報文Head結(jié)構(gòu)如下圖:
本篇校園網(wǎng)論文介紹加強對新技術(shù)在校園網(wǎng)中的應(yīng)用理論研究,對實際的發(fā)展有著重要的指導(dǎo)性。
1 MPLS技術(shù)原理及體系結(jié)構(gòu)分析
1.1 MPLS技術(shù)原理分析
從實際來看,在傳統(tǒng)以IP分組轉(zhuǎn)發(fā)的技術(shù)方面,主要是在IP分組報頭基礎(chǔ)上,通過IP地址在路由表當(dāng)中實施的最長匹配查找。MPLS技術(shù)將網(wǎng)絡(luò)層靈活的路由選擇功能及數(shù)據(jù)鏈路層高速交換性能特點進行的完美結(jié)合,這樣就對以往的以IP分組技術(shù)為主的局限性得到了優(yōu)化。另外在這一技術(shù)上同時也引進了標(biāo)簽概念,這是比較短并方便處置以及對拓撲信息沒有包含的信息內(nèi)容。這一原理是對標(biāo)簽交換機制進行的引入,也就是將路由控制以及數(shù)據(jù)轉(zhuǎn)發(fā)等進行單獨化的處理,從而就為每個IP數(shù)據(jù)包提供了固定長度標(biāo)簽,就決定了數(shù)據(jù)包路徑及優(yōu)先級。 1.2 MPLS體系結(jié)構(gòu)分析
MPLS這一體系結(jié)構(gòu)當(dāng)中,MPLS所使用的短而定長標(biāo)簽封裝分組在數(shù)據(jù)平面實現(xiàn)了快速轉(zhuǎn)發(fā)功能,并在這一平面有著IP網(wǎng)絡(luò)的強大靈活路由功能,對實際所需要的網(wǎng)絡(luò)需求能夠得以有效滿足。其體系結(jié)構(gòu)圖示如下圖1所示,針對核心的LSR主要是在平面進行標(biāo)簽的分組并轉(zhuǎn)發(fā),在LER方面主要是轉(zhuǎn)發(fā)平面所進行實施的工作任務(wù),同時也包含了對傳統(tǒng)IP分組的轉(zhuǎn)發(fā)。
通過上圖就能夠看出,對這一體系結(jié)構(gòu)起到支持的主要就是顯示路由以及逐跳路由,在對MPLS進行實際應(yīng)用的過程中,實行標(biāo)記分發(fā)過程中也需要對顯示路由進行規(guī)定,但這一路由并不會對每個IP分組進行規(guī)定,這樣就會使得MPLS顯示路由會比傳統(tǒng)IP源點路由在作業(yè)額效率上得到很大程度的提升。不僅如此,在對MPLS LSP進行構(gòu)建的過程中,能夠通過有序LSP以及獨立LSP進行控制。
2 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計及應(yīng)用
2.1 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計分析
通過對相關(guān)的技術(shù)加以借鑒對校園網(wǎng)要進行詳細的規(guī)劃設(shè)計,通過實踐之后主要是采取了MPLS/BGP VPN技術(shù)作為是實現(xiàn)MPLS VPN業(yè)務(wù)技術(shù)路線所構(gòu)建的各業(yè)務(wù)系統(tǒng)虛擬獨立網(wǎng)絡(luò),而后在各業(yè)務(wù)系統(tǒng)部門間的可控互通訪問。另外就是在MPLS VPN技術(shù)支持下通過對IP VPN部署來進行提供安全保證,構(gòu)建能夠?qū)崿F(xiàn)全網(wǎng)電子信息資源庫,以及通過H3C網(wǎng)管平臺技術(shù)進行實現(xiàn)網(wǎng)管中心對全網(wǎng)MPLS VPN業(yè)務(wù)的統(tǒng)一管理。具體的規(guī)劃設(shè)計能夠通過分校區(qū)規(guī)劃以及主校區(qū)規(guī)劃、共享數(shù)據(jù)VPN規(guī)劃的方式進行實現(xiàn)。
2.2 MPLS VPN技術(shù)在校園網(wǎng)中的實際應(yīng)用
通過對MPLS VPN技術(shù)在校園網(wǎng)中的簡單規(guī)劃設(shè)計的分析,主要是能夠在實際中得到應(yīng)用。在具體應(yīng)用中主要是將局域網(wǎng)交換技術(shù)作為重要的基礎(chǔ),并對虛擬局域網(wǎng)技術(shù)進行有機的結(jié)合,在校園網(wǎng)當(dāng)中來實現(xiàn)單純的在OR基礎(chǔ)上第二層優(yōu)先級服務(wù)。由于所需服務(wù)的差異性,例如音視頻傳輸自身的要求。故此要能夠緊密的和服務(wù)機制進行結(jié)合,來為校園網(wǎng)當(dāng)中一些關(guān)鍵通信數(shù)據(jù)幀設(shè)置較高的用戶優(yōu)先級。
另外就是要結(jié)合實際進行差別服務(wù)結(jié)合資源預(yù)留協(xié)議,雖然在綜合服務(wù)所提供的更高QOS保證,而對于校園網(wǎng)這類非運營性網(wǎng)絡(luò)來說,過高的實現(xiàn)現(xiàn)代價以及復(fù)雜度并非是合適的。在具體的應(yīng)用過程中要能夠?qū)S域設(shè)置問題以及DSCP分類實現(xiàn)問題進行有效的解決。MPLS VPN實現(xiàn)了VPN間的路由隔離,在每個PE路由器方面為每個所連接的VPN都進行維護了獨立虛擬路由轉(zhuǎn)發(fā)實例,而每個VF駐留都是來自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器過程中,這一隔離是過多協(xié)議,并增加了唯一VPN標(biāo)識符進行實現(xiàn)。
網(wǎng)絡(luò)通信的大部分信息不再來自工作組內(nèi)部,主要是來自于外部對因特網(wǎng)的訪問,倘若是對第三層QOS問題得到有效解決,那么在校園網(wǎng)中所有第三層網(wǎng)絡(luò)設(shè)備就會成為校園網(wǎng)QOS的發(fā)展瓶頸。從當(dāng)前的大型復(fù)雜網(wǎng)絡(luò)建設(shè)過程中能夠發(fā)現(xiàn),通過對MPLS VPN技術(shù)的有效應(yīng)用,能夠?qū)⑿畔⑹芸卦L問及安全隔離等問題得到有效的解決,這一技術(shù)能夠保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)相對獨立性,并對各種類型的業(yè)務(wù)系統(tǒng)安全性有著很強的保護作用,所以在校園網(wǎng)的應(yīng)用上有著比較廣闊的前景。
山東聯(lián)通在2012年開始分組承載傳送網(wǎng)的建設(shè),2013年基本完成核心匯聚層面和市區(qū)接入層面的全覆蓋,分組傳送網(wǎng)設(shè)備集采中標(biāo)廠家包括華為、中興和貝爾,三個廠家在各地市分別進行了綜合承載傳送網(wǎng)的建設(shè)。其中組網(wǎng)結(jié)構(gòu)、業(yè)務(wù)承載方案,與RNC對接方案等關(guān)鍵點成為時下討論研究的重點。
2 綜合承載傳送網(wǎng)的組網(wǎng)結(jié)構(gòu)
綜合承載傳送網(wǎng)采用分層結(jié)構(gòu)組網(wǎng),分為核心匯聚層和邊緣接入層。核心匯聚層組網(wǎng)結(jié)構(gòu)主要分為三種:環(huán)形組網(wǎng)、口字型組網(wǎng)和雙上聯(lián)組網(wǎng)。
山東聯(lián)通各地市組網(wǎng)主要采用環(huán)形和口字型組網(wǎng)方式。雙上聯(lián)組網(wǎng)和口字型組網(wǎng)結(jié)構(gòu)類似,但由于需要耗費大量的光纖資源或者波分波道資源,因此在實際組網(wǎng)時主要還是采用折中的口字型組網(wǎng)方式。
邊緣專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net接入層主要根據(jù)光纖資源情況,分為雙掛環(huán)形組網(wǎng)和單掛環(huán)形組網(wǎng)方式,一般光纖資源能保證的區(qū)域優(yōu)先選用雙掛方式,因為雙掛方式除了能實現(xiàn)傳統(tǒng)的路徑保護(1:1 LSP)外,還能實現(xiàn)雙歸保護,從而避免匯聚設(shè)備單點故障引起的大面積掉站。
3 業(yè)務(wù)承載方案
3.1 業(yè)務(wù)承載需求
山東聯(lián)通綜合承載傳送網(wǎng)主要有兩大類業(yè)務(wù)承載需求:
⑴基站回傳等自營業(yè)務(wù)或者系統(tǒng)的承載需求:
具備IP化、以太化基站的接入能力,提供高可靠、大容量的基站回傳流量的承載;
滿足LTE網(wǎng)絡(luò)的承載需求,實現(xiàn)基站間靈活互訪、基站多歸屬、基站組播等承載能力;
能夠滿足動力監(jiān)控、綜合業(yè)務(wù)接入網(wǎng)網(wǎng)管等各類系統(tǒng)的承載需求。
⑵政企業(yè)務(wù)或者大客戶的承載需求:
⑶提供高可靠、大容量的二、三層VPN接入能力,能夠滿足點到點、點到多點、多點到多點等二、三層VPN的組網(wǎng)需求;
⑷具備電路仿真能力,提供ATM/FR/DDN等電路的接入能力。
3.2 承載方案分析
山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案可歸結(jié)為三點:
⑴對于2G和3G基站的TDM業(yè)務(wù),可以采用偽線方式一PWE3實現(xiàn)。并在核心節(jié)點采用CSTM1端口進行匯聚。El業(yè)務(wù)一般采用SAToP方式,封裝幀數(shù)和抖動緩存暫按設(shè)備缺省值取定。
⑵對于TDM、以太網(wǎng)、ATM等大客戶專線,應(yīng)采用相應(yīng)的偽線方式實現(xiàn)。對于L3VPN的大客戶專線,可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實現(xiàn)。
⑶對于未來的LTE業(yè)務(wù),分組傳送網(wǎng)絡(luò)需要承載s1和X2接口的流量。業(yè)務(wù)對IP轉(zhuǎn)發(fā)的層面要求將進一步下移。可采用核心匯聚層L3VPN或?qū)哟位疞3VPN到邊緣的方式。
不同廠家對于3G IP業(yè)務(wù)承載方案的推薦會有所不同,就山東聯(lián)通而言,基站數(shù)據(jù)域業(yè)務(wù)承載方式主要存在兩種,(1)L3VPN部署到邊緣-華為主推;(2)L3VPN部署到匯聚-中興和貝爾主推。兩者各有優(yōu)勢,L3VPN部署到邊緣需要為基站互聯(lián)端口分配IP地址,根據(jù)目前3G基站的IP地址分配規(guī)則,會涉及大量基站的IP地址調(diào)整,但符合中遠期網(wǎng)絡(luò)的演進思路;L3VPN部署到匯聚,基站IP地址的調(diào)整量將大大減少,與現(xiàn)有MSTP提供3G移動回傳FE的業(yè)務(wù)提供方式、維護方式相似度高,利于分組傳送技術(shù)引入后網(wǎng)絡(luò)運行維護的逐步過渡。
山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案如圖3和圖4:
4 綜合承載傳送網(wǎng)與RNC的互聯(lián)方案
目前,山東聯(lián)通2G/3G基站的電路域業(yè)務(wù)在核心機房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net域業(yè)務(wù)與RNC對接現(xiàn)網(wǎng)有兩種方式,一種是RNC直接與分組承載傳送網(wǎng)業(yè)務(wù)匯聚設(shè)備互連,另一種是RNC通過CE與分組承載傳送網(wǎng)互連。
在RNC直接與分組承載傳送網(wǎng)互聯(lián)情況下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口擴容
通過對RNC的GE和STM-1端口成對擴容,滿足與分組承載傳送網(wǎng)業(yè)務(wù)互聯(lián)的需求,同時可以減少對已有3G業(yè)務(wù)的影響。通過逐步割接,可將現(xiàn)有以MSTP網(wǎng)絡(luò)承載的3G分組業(yè)務(wù)割接到分組承載傳送網(wǎng)上。
4.2 RNC接入端口不方便擴容
應(yīng)將MSTP上的分組業(yè)務(wù)在匯聚層或核心層直接割接到分組承載傳送網(wǎng)上。通過分組承載傳送網(wǎng)設(shè)備與RNC相連。
就山東聯(lián)通目前的組網(wǎng)而言,由于還存在著大規(guī)模的2G/3G基站采用MSTP傳輸接入,在一定的時間段內(nèi)無法保證IP化,因此還存在著核心設(shè)備與RNC有大量的CSTM-1口對接,RNC的擴容在未來2-3年內(nèi)也將繼續(xù)進行,也會帶來一定規(guī)模的GE口擴容,因此中大型地市的綜合承載網(wǎng)與RNC互聯(lián)通過分組業(yè)務(wù)匯聚設(shè)備顯得更為合理。
5 傳輸背景人員快速融入IP RAN維護
引入分組傳送技術(shù)后,整個綜合承載傳送網(wǎng)解決方案都是以數(shù)通技術(shù)作為基礎(chǔ),如何使傳輸背景人員快速融入IPRAN的建設(shè)維護顯得尤為重要,結(jié)合實際工作,建議從以下幾個方面入手:
5.1 比較傳統(tǒng)傳輸理念和IP化理念的異同
傳統(tǒng)的MSTP網(wǎng)絡(luò)屬于硬管道交換,所有業(yè)務(wù)都是建立端到端的連接通道占用固定帶寬,
但是綜合承載傳送不一樣,它既繼承了傳輸端到端OAM的特性,又有數(shù)據(jù)網(wǎng)絡(luò)逐跳建立連接的特性,整個網(wǎng)絡(luò)是一張彈性的網(wǎng)。我們可以借助傳統(tǒng)IP城域網(wǎng)的理念去類比IPRAN技術(shù)的相關(guān)概念,深入理解數(shù)通相關(guān)知識。
5.2 深刻認(rèn)識全程全網(wǎng)和端到端業(yè)務(wù)理念
與傳統(tǒng)的MSTP一樣,綜合承載傳送網(wǎng)也需要建立端到端業(yè)務(wù)的概念,我們不僅僅需要理解分組網(wǎng)絡(luò)是如何進行信息傳遞的,而且還需要把無線接入和核心網(wǎng)納入到我們關(guān)注的范圍,從NODEB和UTN如何連接,RNC與UTN如何對接,整個數(shù)據(jù)流進入UTN以后如何進行封裝傳送等等,理解整個UTN、在配置數(shù)據(jù)排除故專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net障時才能得心應(yīng)手。
5.3 認(rèn)真學(xué)習(xí)實施方案
建議在工程建設(shè)期間認(rèn)真學(xué)習(xí)具體的實施方案,一般而言,廠家會根據(jù)設(shè)計文件完成具體的實施方案,從組網(wǎng)方案、拓撲設(shè)計及設(shè)備選型、IP地址規(guī)劃、路由部署設(shè)計、MPLS隧道設(shè)計、業(yè)務(wù)部署設(shè)計、可靠性設(shè)計、時鐘/網(wǎng)管同步設(shè)計、QOS部署設(shè)計等等。這個過程可以幫助你學(xué)習(xí)完成一張網(wǎng)搭建所需的所有知識。
5.4 熟練掌握網(wǎng)管
網(wǎng)管需要掌握相關(guān)的數(shù)通知識,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要對解決方案中用到的知識點有個較深入的理解,另外一方 面我們又要熟練掌握網(wǎng)管的相關(guān)操作,在IPRAN的維護習(xí)慣上,我們更偏向于網(wǎng)管操作,不會像傳統(tǒng)數(shù)通設(shè)備維護那樣通過命令行進行操作,但是網(wǎng)管操作的基礎(chǔ)又是數(shù)通知識,因為網(wǎng)管只是提供一個界面,提升效率,真正要配置的還是數(shù)通協(xié)議。理論和網(wǎng)管是IPRAN的兩個關(guān)鍵點,兩者相輔相成缺一不可,所以我們要同時加強這兩方面的技能。
5.5 工程隨工學(xué)習(xí)
更多的現(xiàn)場隨工學(xué)習(xí)可以幫助你快速提升,深入現(xiàn)場多操作設(shè)備,通過實際對比分IPRAN技術(shù)與MSTP傳統(tǒng)傳輸?shù)膮^(qū)別。工程建設(shè)期的隨工是一個很好的機會,因為工程建設(shè)期不用擔(dān)心業(yè)務(wù)是否受影響,操練起來能更充分。
6 結(jié)束語
綜合承載傳送網(wǎng)已經(jīng)是一張成熟的網(wǎng)絡(luò),但隨著技術(shù)的進一步發(fā)展,還有很多方面可以繼續(xù)深入探討并且完善,例如北方省分的二級匯聚(縣鄉(xiāng)層面)如何拓展,綜合業(yè)務(wù)區(qū)規(guī)劃帶來的網(wǎng)絡(luò)調(diào)整等等,隨著LTE的引入,綜合承載傳送網(wǎng)將發(fā)揮更大的作用,成為目標(biāo)網(wǎng)絡(luò)架構(gòu)的一張精品網(wǎng)。
論文摘要:MPLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù),可以實現(xiàn)底層標(biāo)簽自動的分配,在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價,更快速和安全的數(shù)據(jù)傳輸。同時MPLS VPN可以充分利用MPLS技術(shù)的一些先進特性,提供流量工程能力、服務(wù)質(zhì)量保證等。DCN網(wǎng)絡(luò)作為公司內(nèi)部各營業(yè)、辦公、網(wǎng)管、運維等各信息系統(tǒng)承載的網(wǎng)絡(luò)平臺,在應(yīng)用系統(tǒng)整合的大趨勢下,對網(wǎng)絡(luò)健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環(huán)境背景下,成為DCN網(wǎng)絡(luò)改造的必然。
隨著公司的不斷發(fā)展,DCN網(wǎng)上承載的業(yè)務(wù)系統(tǒng)不斷增多,除“97”系統(tǒng)外,還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)、客服系統(tǒng)、OA等及融合后3G網(wǎng)管系統(tǒng)等,有些應(yīng)用系統(tǒng)對安全性要求較高比如OA和財務(wù),有些系統(tǒng)對帶寬和網(wǎng)絡(luò)質(zhì)量(QoS)要求較高。現(xiàn)有的網(wǎng)絡(luò)不能滿足“分而治之”的企業(yè)運作管理需要。由于信息系統(tǒng)集中整合的需要,實施此次MPLS升級改造。通過本次改造工程的實施,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),提高網(wǎng)絡(luò)的安全性、可靠性及整個DCN網(wǎng)的服務(wù)質(zhì)量。由一張實體物理網(wǎng)實現(xiàn)虛擬多業(yè)務(wù)網(wǎng),采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng),骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建,接入網(wǎng)采用靈活的方式到終端,滿足企業(yè)內(nèi)部應(yīng)用的承載和安全需求。最終,DCN網(wǎng)絡(luò)中的終端與主機須劃入至各自所屬的MPLS VPN域中,實現(xiàn)各個VPN域之間的通信隔離,同時在各個VPN間建立數(shù)據(jù)通道,部署防火墻對經(jīng)過數(shù)據(jù)通道的流量進行訪問控制,實現(xiàn)對不同VPN域的通信數(shù)據(jù)的有效安全控制。
1 MPLS VPN技術(shù)簡介
MPLS VPN是由若干不同的site組成的集合,一個site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性,不同VPN間可以有控制地實現(xiàn)互訪與隔離。
MPLS VPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成:CE(Custom Edge Router,用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)。設(shè)備與用戶的CE直接相連,負責(zé)VPN業(yè)務(wù)接入,處理VPN-IPv4路由,是MPLS三層VPN的主要實現(xiàn)者:P(Provider Router,骨干網(wǎng)核心路由器)負責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù),不與CE直接相連。在整個MPLS VPN中,P、PE設(shè)備需要支持MPLS的基本功能,CE設(shè)備不必支持MPLS。
PE是MPLS VPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備,根據(jù)PE路由器是否參與客戶的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標(biāo)準(zhǔn),使用MBGP在PE路由器之間分發(fā)路由信息,使用MPLS技術(shù)在VPN站點之間傳送數(shù)據(jù),因而又稱為BGP/MPLS VPN。在MPLS VPN網(wǎng)絡(luò)中,對VPN的所有處理都發(fā)生在PE路由器上,為此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性,通過將8byte的RD作為IPv4地址前綴的擴展,使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對客戶端設(shè)備來說是不可見的,它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。RT使用了BGP中擴展團體屬性,用于路由信息的分發(fā),具有全局惟一性,同一個RT只能被一個VPN使用,它分成Import RT和Export RT,分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在PE路由器上針對每個site都創(chuàng)建了一個虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding),VRF為每個site維護邏輯上分離的路由表,每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置,運營商可以構(gòu)建不同拓撲類型的VPN,如重疊式VPN和Hub-and-spoke VPN。
整個MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面,控制面定義了LSP的建立和VPN路由信息的分發(fā)過程,數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面,P路由器并不參與VPN路由信息的交互,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個VPN的網(wǎng)絡(luò)拓撲信息。除了路由協(xié)議外,在控制層面工作的還有LDP,它在整個MPLS網(wǎng)絡(luò)中進行標(biāo)簽的分發(fā),形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面,MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后,PE路由器查找該子接口對應(yīng)的VRF表,從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后,就通過PE輸出接口轉(zhuǎn)發(fā)出去,然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)。在出口PE之前的最后一個P路由器上,外層標(biāo)簽被彈出,P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對應(yīng)的輸出接口,在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器,從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程。
2 骨干遷移的三個關(guān)鍵問題
由于DCN網(wǎng)絡(luò)建設(shè)時間比較久,網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡(luò)升級改造的重點。網(wǎng)絡(luò)改造期間,網(wǎng)絡(luò)的平穩(wěn)運行無論對于市場還是對于業(yè)務(wù)系統(tǒng)都是至關(guān)重要的,由于MPLS VPN技術(shù)是對全省DCN網(wǎng)絡(luò)傳輸技術(shù)的徹底改變,如何在改變網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)的同時讓網(wǎng)絡(luò)仍然健康地運行成為實現(xiàn)MPLS VPN改造的首要問題。
過渡期間最應(yīng)該考慮的關(guān)鍵三個問題是:
1)在IP環(huán)境下,各域間路由的互通問題。實現(xiàn)方法是先將組成DCN的各個IP網(wǎng)絡(luò)單元以地市為單位逐個改造為MPLS VPN 網(wǎng)絡(luò)單元,然后逐個與省公司建立MP BGP鄰居實現(xiàn)全網(wǎng)MPLS VPN化。
2)受控互訪的實現(xiàn),即做到市公司在同一VPN區(qū)域內(nèi)部互相之間不可見;市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司;市公司訪問處于不同VPN區(qū)域的省公司業(yè)務(wù)。方案設(shè)計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現(xiàn)。
3)VPN劃分與IP地址整理,DCN網(wǎng)絡(luò)建設(shè)前期并未考慮各個應(yīng)用系統(tǒng)的MPLS VPN劃分,因此大多系統(tǒng)混雜在一起,或者接在同一臺設(shè)備,或者干脆就在同一個網(wǎng)段中,同時還存在生產(chǎn)與管理地址段混用的問題。具體系統(tǒng)混接的問題可以分為三類,地址混用、設(shè)備支持能力不足以及第二地址問題。
3 DCN網(wǎng)絡(luò)改造升級的設(shè)計
DCN網(wǎng)絡(luò)改造解決方案是融合MPLS、VPN和QOS技術(shù)的統(tǒng)一解決方案。方案采用MPLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議,使用EIGRP作為主干IGP協(xié)議,MPLS VPN路由使用MP-IBGP以及路由反射器進行域內(nèi)傳送,省公司采用背對背VRF方式與集團對接。
MPLS需要建立在IGP路由的基礎(chǔ)上,IGP協(xié)議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性,省骨干網(wǎng)使用的EIGRP協(xié)議,地市網(wǎng)絡(luò)根據(jù)自己網(wǎng)絡(luò)環(huán)境使用EIGRP或OSPF協(xié)議。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)。整個網(wǎng)絡(luò)IGP協(xié)議互通。根據(jù)整體方案,各PE-CE路由協(xié)議保持原OSPF動態(tài)路由協(xié)議,在PE設(shè)備將OSPF路由重分發(fā)至MP-BGP。
各業(yè)務(wù)VPN互訪通過防火墻來實現(xiàn)。由于目前將DCN全網(wǎng)業(yè)務(wù)基本劃分為MS、BS、OS和OTHER這四個大的系統(tǒng),跨系統(tǒng)流量如何導(dǎo)通成為一個較為重要的問題。如果全部使用重疊VPN的方式,一方面增加了維護的復(fù)雜度,另一方面違背了建設(shè)MPLS VPN的根本目標(biāo),重新給各業(yè)務(wù)系統(tǒng)帶來了安全隱患。采用防火墻和重疊VPN配合方式實現(xiàn)跨域互訪,省公司不同域的終端和主機通過省公司防火墻實現(xiàn)跨域互訪,地市公司終端或主機需要跨域訪問省公司系統(tǒng),通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴(yán)格的安全策略,對各VPN之間流量進行過濾,這樣隔離的各MPLS VPN之間可以安全的進行數(shù)據(jù)通信,這樣即解決了各業(yè)務(wù)系統(tǒng)之間的互通問題,也保證了各業(yè)務(wù)系統(tǒng)的安全。
綜合前面所述,主要采用防火墻和重疊VPN配合方式實現(xiàn)跨域互訪,省公司不同域的終端和主機通過省公司防火墻實現(xiàn)跨域互訪,地市公司終端或主機需要跨域訪問省公司系統(tǒng),通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪。
將各業(yè)務(wù)VPN為HUB-SPOKE模式,即各地市業(yè)務(wù)系統(tǒng)僅可與省中心進行通信,相互之間不可見,不能進行相互訪問。
在省公司和地市公司核心路由器連接防火墻,將防火墻的不同端口接入到不同VPN域中。在防火墻上根據(jù)各VPN業(yè)務(wù)的訪問需求作相應(yīng)的訪問控制,各VPN業(yè)務(wù)之間通過防火墻進行訪問。
4 MPLS VPN對DCN網(wǎng)絡(luò)的重要意義
由于應(yīng)用系統(tǒng)整合方向是集團公司集中和省公司集中。集團、省集中應(yīng)用系統(tǒng)通過DCN網(wǎng)絡(luò)進行信息交互,而應(yīng)用系統(tǒng)整合除功能整合外,其物理整合和集中的形勢則表現(xiàn)為集中的企業(yè)數(shù)據(jù)中心,MPLS升級的重要意義體現(xiàn)在:
1)全網(wǎng)絡(luò)覆蓋:應(yīng)用系統(tǒng)整合后,系統(tǒng)集中統(tǒng)一部署服務(wù)器,滿足地市、縣客戶端遠程訪問省級應(yīng)用系統(tǒng)服務(wù)器,集團公司級應(yīng)用系統(tǒng)和省級應(yīng)用系統(tǒng)之間有信息交互的應(yīng)用需求。
2)系統(tǒng)受控安全互訪需求:企業(yè)運作需要,不同應(yīng)用系統(tǒng)間又有互訪的要求。例如:營帳綜合客戶端,處于辦公網(wǎng),兼顧辦公和營帳工作,需訪問營帳系統(tǒng);網(wǎng)管綜合客戶端,兼顧網(wǎng)管工作和辦公管理、資源管理、工單、故障單工作,經(jīng)常在兩網(wǎng)間切換;因此需要DCN網(wǎng)絡(luò)進行安全隔離的同時,支持系統(tǒng)間受控互訪,通過用戶身份識別、訪問授權(quán)、隧道加密、安全策略部署等技術(shù)保證被訪系統(tǒng)的安全。
3)可用性要求:隨著信息化建設(shè)的深入,系統(tǒng)功能將逐步得到完善,傳送的信息內(nèi)容將日趨豐富,VPN顆粒將趨向細化,VPN拓撲將日益復(fù)雜,對現(xiàn)有企業(yè)網(wǎng)絡(luò)的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網(wǎng)絡(luò)規(guī)劃建設(shè)中必需著重考慮的問題。
4)可靠性要求:DCN網(wǎng)絡(luò)承載著企業(yè)運作所需的重要應(yīng)用和數(shù)據(jù),在整個信息化系統(tǒng)中起到中樞神經(jīng)的作用,網(wǎng)絡(luò)故障將影響企業(yè)正常運作。信息系統(tǒng)整合將導(dǎo)致地域性和功能性集中化程度的提高,從而增加了對DCN網(wǎng)絡(luò)的依賴。必需充分考慮網(wǎng)絡(luò)高可靠性,避免網(wǎng)絡(luò)設(shè)備和鏈路的單點故障,保證關(guān)鍵應(yīng)用系統(tǒng)的訪問和接入,保證作為應(yīng)用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接。
5)服務(wù)質(zhì)量要求:DCN網(wǎng)絡(luò)是在同一物理網(wǎng)絡(luò)上承載多個相對獨立的業(yè)務(wù)系統(tǒng),各業(yè)務(wù)系統(tǒng)為不同的職能部門開展業(yè)務(wù)提供服務(wù),其數(shù)據(jù)流程和管理方式都存在差異,不同業(yè)務(wù)系統(tǒng),需要網(wǎng)絡(luò)平臺提供差別服務(wù),如對帶寬、實時性有不同的要求,網(wǎng)絡(luò)必須具備帶寬管理、資源預(yù)留、服務(wù)等級設(shè)置的能力。
在保證DCN網(wǎng)絡(luò)安全運行的前提下,有步驟、分階段實施MPLS改造,并按照規(guī)劃設(shè)計應(yīng)用RT策略實現(xiàn)各系統(tǒng)互訪受控與隔離。目前,改造后的DCN網(wǎng)絡(luò)運行狀況良好。
在實現(xiàn)MPLS VPN后,受控互訪則變得相對輕松,僅僅需要在各個MPLS VPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對各VPN間也就是各應(yīng)用系統(tǒng)間的訪問進行控制。隨著受控互訪的實現(xiàn),全覆蓋、可用、可靠、優(yōu)化傳輸以及可管理等周邊需求的實現(xiàn)也變得比較容易。一張實體物理網(wǎng)、虛擬多業(yè)務(wù)網(wǎng),采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng),骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建,接入網(wǎng)采用靈活的方式到終端。獨立統(tǒng)一的一張實體物理網(wǎng),滿足企業(yè)內(nèi)部應(yīng)用的承載需求。虛擬多業(yè)務(wù)網(wǎng),統(tǒng)一的業(yè)務(wù)隔離、受控互訪機制和統(tǒng)一的VPN業(yè)務(wù)接入機制。
5 結(jié)束語
MPLS VPN網(wǎng)絡(luò)改造的實現(xiàn),極大的提高的DCN網(wǎng)絡(luò)的安全性,為前臺營業(yè)、辦公OA、運維網(wǎng)絡(luò)監(jiān)控等各項不同的業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用提供可靠地保證。
參考文獻:
[1] 范亞芹,張麗翠,宋維剛.可提供MPLS VPN網(wǎng)絡(luò)安全性保障的解決方案[J].吉林大學(xué)學(xué)報:信息科學(xué)版,2005(03).
【關(guān)鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN
ZHU Yufeng(School of Electronics Engineering and Computer Science, Peking University, Beijing, 100871, China)
Abstract: L2 VPN is working at layer 2 of OSI network model, which can hide the geographical limitations and provide virtual private network service.
This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.
Key Words:L2 VPN, IPSec Tunnel, Virtualization
一、引言
隨著虛擬化及云計算的興起和應(yīng)用,VPN隧道成為一個連接不同地區(qū)虛擬數(shù)據(jù)中心或者云計算中心的必備技術(shù),其中L2 VPN工作在OSI網(wǎng)絡(luò)模型的第二層,它可以隱藏地域限制,提供虛擬專有網(wǎng)絡(luò)服務(wù),能夠更好的滿足虛擬化及云計算的需求。
二、方法研究
L2 VPN基本的概念是將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合,利用VPN隧道模擬物理網(wǎng)線,將2臺或者多臺跨越因特網(wǎng)的網(wǎng)橋連接起來。
如圖所示:
為了實現(xiàn)以上L2 VPN的功能,我們需要考慮以下因素:
(1)如何將L2數(shù)據(jù)包導(dǎo)向VPN隧道;
(2)如何封裝以太網(wǎng)幀;
(3)數(shù)據(jù)包的flow設(shè)計;
(4)如何支持VLAN;
(5)如何支持多站點多用戶(例如,星型拓撲)。
2.1重定向數(shù)據(jù)包到VPN隧道
為了很好的連接L2網(wǎng)橋和VPN網(wǎng)關(guān),我們定義一個虛擬的隧道端口,用來解耦合網(wǎng)橋和VPN的功能。對于網(wǎng)橋來說,虛擬隧道端口就像是一個物理端口一樣,用來收發(fā)以太網(wǎng)數(shù)據(jù)包。對于VPN網(wǎng)關(guān)來說,虛擬隧道端口就是一個明文數(shù)據(jù)包進入加密隧道的入口,所有到達虛擬隧道端口的數(shù)據(jù)包,都將會被加密從隧道發(fā)出去。
虛擬隧道端口模擬物理以太網(wǎng)端口,它的功能如下:
(1)在內(nèi)核中創(chuàng)建一個虛擬網(wǎng)絡(luò)端口;
(2)發(fā)送以太網(wǎng)數(shù)據(jù)包。而驅(qū)動程序的發(fā)送功能,就是VPN隧道加密。
(3)接收以太網(wǎng)數(shù)據(jù)包。VPN加密后,會把明文放到虛擬端口的接收隊列。
(4)支持網(wǎng)橋MAC反向?qū)W習(xí)。
(5)支持VLAN tag。
所有對于L2網(wǎng)橋看來,虛擬隧道端口和物理網(wǎng)橋端口沒有任何區(qū)別,收到和發(fā)送的都是以太網(wǎng)數(shù)據(jù)包。網(wǎng)橋也不知道VPN網(wǎng)關(guān)的存在。同樣,VPN網(wǎng)關(guān)也知道網(wǎng)橋的存在,到達VPN網(wǎng)關(guān)也只是以太網(wǎng)數(shù)據(jù)包。
2.2以太網(wǎng)數(shù)據(jù)包封裝
IPSec隧道工作在三層,用來設(shè)計封裝IP數(shù)據(jù)包,所以我們需要將以太網(wǎng)幀封裝成IP數(shù)據(jù)包,再將該IP數(shù)據(jù)包封裝成IPSec數(shù)據(jù)包。
我們可以考慮以下方式:
(1)EtherIP over IPSec;
(2)非標(biāo)準(zhǔn)的IPSec封裝;
(3)混合模式。
(8)VPN1收到ARP應(yīng)答密文包,解密去EtherIP和IPSec包頭,查詢MAC地址表,得知出口是eth1,然后將報文發(fā)往PC1。此時,VPN1并且更新MAC地址表。
VPN2網(wǎng)橋的MAC表:
(9)PC1收到ARP應(yīng)答明文包,學(xué)到PC2的MAC地址。然后發(fā)送ICMP請求到PC2。數(shù)據(jù)包的目的MAC是PC2-MAC,源MAC是PC1-MAC。
(10)VPN1收到ICMP請求,查詢MAC地址表得到出口是tun1,將數(shù)據(jù)包送到VPN隧道加密,然后發(fā)往VPN2網(wǎng)關(guān)。
(11)VPN2收到ICMP請求,查詢MAC地址表,得到出口是eth1,將數(shù)據(jù)包發(fā)送到PC2。
(12)PC2收到ICMP請求并發(fā)送ICMP應(yīng)答,該應(yīng)答數(shù)據(jù)包被發(fā)發(fā)送到VPN2。
(13)VPN2收到ICMP應(yīng)答,查詢MAC地址表,得到出口是tun1,將數(shù)據(jù)包通過隧道發(fā)送到VPN1。
(14)VPN1收到ICMP應(yīng)答,查詢MAC地址表,得到出口是eth1,將數(shù)據(jù)包發(fā)送到PC1。
3.1VLAN支持
二層網(wǎng)橋可能連接很多VLAN,隧道端口需要工作在TRUNK模式,這樣可以允許VLAN數(shù)據(jù)包通過VPN隧道。
拓撲如下:
EtherIP over IPSec可以封裝VLAN tag,但是overhead會比較大。一種優(yōu)化的方法是分配每個tunnel端口和tunnel一個VALN tag,這樣就不需要封裝VLAN tag,提高有效載荷。
3.2星型拓撲支持
要支持Hub & Spoke星型拓撲,我們只需要再增加一個tunnel端口,并且把該端口綁定到一個到Spoke的VPN隧道。該設(shè)計非常靈活,易于擴展。
拓撲如下:
四、結(jié)束語
本文通過引入虛擬隧道端口,巧妙的將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合在一起,簡單并且有效的將數(shù)據(jù)包重定向到VPN隧道。
另外,本文通過結(jié)合EtherIP over IPSec封裝發(fā)送多播和廣播數(shù)據(jù)包,IPSec封裝發(fā)送單播數(shù)據(jù)包,有效提高了VPN隧道的有效載荷和傳輸性能。
參考文獻
[1] RFC3378: EtherIP: Tunneling Ethernet Frames in IP Datagrams
[2] RFC2784: Generic Routing Encapsulation
[3] RFC3438: Layer Two Tunneling Protocol
[4] RFC4664: Framework for Layer 2 Virtual Private Networks
[5] RFC4665: Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks
[6] RFC4026; Provider Provisioned Virtual Private Network (VPN) Terminology
[7] RFC4301: Security Architecture for the Internet Protocol
關(guān)鍵詞:SSL VPN; IPsec VPN; 數(shù)字化校園; 遠程訪問
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:2095-2163(2013)02-0032-03
0引言
隨著信息化進程的加快,各個高校對校園信息化投入不斷增加,致力于建成數(shù)據(jù)交換與共享的數(shù)字化校園平臺。雖然目前很多學(xué)校已經(jīng)擁有了應(yīng)用管理系統(tǒng)、數(shù)據(jù)資源庫系統(tǒng)、公共通訊平臺,但這些網(wǎng)絡(luò)資源和辦公平臺常常受到網(wǎng)絡(luò)的限制,只能在校園內(nèi)部使用。本校2012年師生問卷調(diào)查顯示:居住在外的教師、經(jīng)常出差的行政辦公人員以及在外實習(xí)的大四畢業(yè)生對于校外不能訪問校內(nèi)數(shù)字化資源,均已感到極為不便。具體來說,教師在外網(wǎng)不能登錄學(xué)習(xí)平臺批改作業(yè);行政人員出差時,不能獲取部門統(tǒng)計數(shù)據(jù);大四未在校的學(xué)生不能通過畢業(yè)設(shè)計系統(tǒng)提交論文。這些狀況即已表明目前校園的基礎(chǔ)網(wǎng)絡(luò)及其實現(xiàn)方案存在一定的不足,亟需新技術(shù)的應(yīng)用以解決校園外部訪問校內(nèi)數(shù)字化資源的問題。經(jīng)過廣泛,深入的調(diào)研分析可知,VPN(Virtual Private Network)正是解決這一瓶頸的技術(shù)方案。
1VPN 的原理及SSL VPN方案的優(yōu)勢
11VPN原理
VPN,即虛擬專用網(wǎng)絡(luò),其含義指通過使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施,利用“隧道”技術(shù)、認(rèn)證技術(shù)、加密技術(shù)以及控制訪問等相應(yīng)技術(shù)向單位內(nèi)部專用網(wǎng)絡(luò)提供遠程訪問的連接方式[1]。VPN利用公用網(wǎng)絡(luò)來實現(xiàn)任意兩個節(jié)點之間的專有連接,適用于移動用戶、分支機構(gòu)以及遠程用戶安全、穩(wěn)定地接入到內(nèi)部網(wǎng)絡(luò)。同時,VPN還向用戶提供了專用網(wǎng)絡(luò)所獨具的功能,但其本身卻不是一種真正意義上的獨立物理網(wǎng)絡(luò),沒有固定物理線路連接。近年來,VPN技術(shù)已經(jīng)大量應(yīng)用于高校的移動辦公,并且在數(shù)字化資源的多校區(qū)數(shù)據(jù)訪問方面也有著廣泛應(yīng)用。VPN遠程訪問的思路是,用戶在網(wǎng)絡(luò)覆蓋的任意地點,首先,通過ADSL或者LAN方式接入互聯(lián)網(wǎng);其后,通過撥號校園網(wǎng)的VPN網(wǎng)關(guān),構(gòu)建一條從用戶所在網(wǎng)絡(luò)地址到校園網(wǎng)的二層隧道;而后是VPN服務(wù)器給用戶分配相應(yīng)的校園網(wǎng)地址,從而實現(xiàn)校園網(wǎng)數(shù)字化資源的遠程訪問[2]。
12兩種VPN方案的對比
按照協(xié)議劃分,VPN主要有兩大主流,分別是IPsec VPN和SSL VPN。IPsec VPN技術(shù)是由IP安全體系架構(gòu)協(xié)議來提供隧道的安全保障,IPsec協(xié)議是一組協(xié)議套件,包括安全協(xié)議、加密算法、認(rèn)證算法、密鑰管理協(xié)議等[3]。IPsec VPN構(gòu)建于網(wǎng)絡(luò)層,通過對數(shù)據(jù)的加密和認(rèn)證來保證數(shù)據(jù)傳輸?shù)目煽啃浴⒈C苄院退接行裕钸m合Site to Site之間的虛擬專用網(wǎng)。相比之下,SSL VPN采用的是SSL安全套接層協(xié)議,構(gòu)建于網(wǎng)絡(luò)的應(yīng)用層。SSL VPN方案無需安裝客戶端軟件,經(jīng)過認(rèn)證的用戶是通過Web瀏覽器而接入網(wǎng)絡(luò),適用于Point to Site的連接方式。總體來看,相比于IPsec VPN方案,SSL VPN方案有三點優(yōu)勢,具體如下。
(1)兼容性較好。SSL VPN適用于現(xiàn)存的各款操作系統(tǒng)和使用終端,對用戶也無任何特殊的操作要求。用戶不需要下載客戶端,由此免去了對客戶端軟件的更新升級、配置維護,否則,在進行VPN策略調(diào)整的時候,其管理難度將呈幾何級數(shù)的增長。SSL VPN方案只需在普通的瀏覽器中內(nèi)嵌入SSL協(xié)議,就可以使客戶端簡便、安全地訪問內(nèi)網(wǎng)信息,維護成本較低。
(2)提供更為精細的訪問控制。由于校園網(wǎng)內(nèi)、外部流量均經(jīng)過VPN硬件設(shè)備,由此在服務(wù)器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能,可提供用戶級別鑒定,確證只有一定權(quán)限之上的用戶才能訪問校園網(wǎng)內(nèi)的特定網(wǎng)絡(luò)資源。比如大四在外的實習(xí)學(xué)生只具有期刊檢索的訪問功能,而在外的辦公行政人員還可以訪問某個特定部門的相關(guān)數(shù)據(jù)。
(3)具備更強的安全性。IPsec是基于網(wǎng)絡(luò)層的VPN方案,對IP應(yīng)用均是高度透明的。而SSL VPN是基于應(yīng)用層的,在Web的應(yīng)用防護方面更具一定優(yōu)勢。某些高端的SSL VPN產(chǎn)品同樣支持文件共享、網(wǎng)絡(luò)鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應(yīng)用。2SSL-VPN的關(guān)鍵技術(shù)及性能分析
21訪問控制技術(shù)
訪問控制技術(shù)是由VPN服務(wù)的提供者根據(jù)用戶的身份標(biāo)志對訪問某些信息項進行相應(yīng)操控的作用機制。目前,通用的VPN方案中,常常是由系統(tǒng)管理員來控制相關(guān)用戶的訪問權(quán)限。作為安全的VPN設(shè)備,SSL VPN可通過“組”策略對應(yīng)用進行訪問控制[4]。有些SSL VPN產(chǎn)品可以將Web應(yīng)用定義為一系列的URL,而組和用戶則可允許和禁止訪問相應(yīng)的應(yīng)用。其它一些SSL VPN產(chǎn)品可以提供更為精細的高級控制,控制策略不僅含有“允許”和“禁止”,還包括用戶能訪問的資源列表以及對這些資源的操作權(quán)限控制。由于SSL VPN工作在網(wǎng)絡(luò)的應(yīng)用層,管理員可以基于應(yīng)用需求、用戶特征以及TCP/IP端口進行嚴(yán)密的訪問控制策略設(shè)置。SSL VPN還能通過瀏覽器中的參數(shù)支持動態(tài)訪問部署策略,管理員可以依據(jù)用戶身份、設(shè)備類型、網(wǎng)絡(luò)信任級別、會話參數(shù)等各型因子,定義不同的會話角色,并給與不同的訪問權(quán)限。另外,基于用戶的訪問控制需要維護大量的用戶信息,當(dāng)前最流行的控制策略則是基于角色的訪問控制,在握手協(xié)議的過程中統(tǒng)一集成訪問控制的基礎(chǔ)功能,再將資源的控制權(quán)交托于可信的授權(quán)管理模型。
22性能分析
VPN的性能指標(biāo)值對校園網(wǎng)中關(guān)鍵業(yè)務(wù)的應(yīng)用實現(xiàn)具有直接影響,在設(shè)計數(shù)字化校園的VPN詳盡方案之前,有必要了解其性能指標(biāo)。SSL VPN中,常見的性能指標(biāo)有連接速率、網(wǎng)絡(luò)延遲、加密吞吐量、并發(fā)用戶數(shù),等。其中,連接速率表示了SSL VPN系統(tǒng)每秒鐘可建立或終止的最大會話連接數(shù)目,用以度量被測VPN設(shè)備在單位時間內(nèi)交易事務(wù)的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外,SSL VPN使用的是非對稱加密算法,這就導(dǎo)致VPN服務(wù)器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作,為了保障服務(wù)器能夠正常工作,既可以限制SSL會話的數(shù)量,也可以添加服務(wù)器的數(shù)目。只是這兩種方式各有利弊,若限制會話數(shù)目,就會出現(xiàn)高峰期間的部分用戶無法連接服務(wù)器,而添加服務(wù)器數(shù)目又會大幅增加VPN系統(tǒng)的財務(wù)用度。因而,通常情況下,使用SSL加速器來提升加解密速度,進入SSL的數(shù)據(jù)流由加速器解密并傳給服務(wù)器,而外流的數(shù)據(jù)又經(jīng)過加速器加密再回傳給客戶。服務(wù)器方面,只需要處理簡單的SSL請求,將消耗資源的工作完全交給加速器,全面有效地提升了VPN方案的整體性能。
3SSL-VPN下的數(shù)字化校園解決方案
31需求分析與設(shè)計目標(biāo)
校園數(shù)字化資源中集結(jié)了多種重要的數(shù)據(jù)庫以及多款辦公軟件。大四年級的學(xué)生會經(jīng)常需要登錄畢業(yè)設(shè)計系統(tǒng)上傳學(xué)科論文;校外居住的教師也需要登錄圖書館期刊檢索系統(tǒng),下載專業(yè)文獻;另外,因公在外的招生、財務(wù)人員又需要及時獲取部門的數(shù)字化信息,并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網(wǎng)的這些外部訪問通常都是不確定的動態(tài)IP地址,在數(shù)據(jù)庫服務(wù)器的安全策略中多會將之認(rèn)定為是非法用戶而遭到拒絕。因此,在外部訪問校園網(wǎng)之?dāng)?shù)字化校園時,就需要研發(fā)一個遠程訪問方案,該方案可將合法的非授權(quán)校外地址轉(zhuǎn)化為授權(quán)的校園網(wǎng)內(nèi)地址。此方案需要考慮的用戶有三種,分別是:在外居住的教師、大四實習(xí)生以及在外辦公的行政人員。
32系統(tǒng)體系結(jié)構(gòu)
經(jīng)過實地調(diào)研和深入分析,采用了SSL VPN架構(gòu),具體框架如圖1所示。
由圖1可知,這是一個基于Web模式的SSL VPN系統(tǒng),在用戶和應(yīng)用服務(wù)器之間構(gòu)建了一個安全的信息傳遞通道。其中,SSL VPN服務(wù)器相當(dāng)于一個網(wǎng)關(guān),且具備雙重身份。對用戶而言,這是服務(wù)器,負責(zé)提供基于證書的身份鑒別;對應(yīng)用服務(wù)器而言,則屬于客戶端的身份,并向服務(wù)器遞交訪問申請。由此,通過在防火墻后安裝VPN設(shè)備,校外用戶只需要打開IE瀏覽器,就可以訪問到校園數(shù)字化資源的URL。其后,SSL VPN 設(shè)備將取得連接并驗證用戶的身份,此時SSL服務(wù)器就會將連接映射到不同應(yīng)用的服務(wù)器上。而且方案中又采用了技術(shù),所有成功接入SSL VPN系統(tǒng)的校外用戶都可以全面訪問LAN口所能獲得的數(shù)字化資源。本系統(tǒng)還具備較高的傳輸性能,優(yōu)先考慮SSL VPN服務(wù)器的性能,將需要消耗大量資源的加解密工作交給加速器。實現(xiàn)過程中,采用的設(shè)備是由Cisco ASA建立Web VPN服務(wù)器,而將Radius Server作為驗證用戶身份的服務(wù)器。
33改進型安全策略——基于角色的控制
本校SSL VPN系統(tǒng)采用的是基于角色的訪問控制策略,既包括用戶安全認(rèn)證的接口也包括用戶訪問的資源列表。實際上,校園網(wǎng)系統(tǒng)的用戶認(rèn)證和訪問控制均在控制協(xié)議部分獲得實現(xiàn),可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性,系統(tǒng)在進行安全認(rèn)證時,就可以同步實現(xiàn)角色驗證。VPN系統(tǒng)在明確用戶角色屬性的基礎(chǔ)上確定其訪問權(quán)限,而后給出該用戶可以訪問的資源列表信息。另外,用戶在登錄VPN系統(tǒng)時,還需要在登錄界面輸入身份信息。
4結(jié)束語
隨著校外用戶對數(shù)字化校園資源訪問需求的日益迫切增長,使得VPN技術(shù)也隨之廣受關(guān)注[6]。為了給予校外訪問、使用校園數(shù)字化資源提供更大便利,因而在綜合考慮本校實際用戶數(shù)量和主要用戶角色的基礎(chǔ)上,由網(wǎng)絡(luò)中心主持設(shè)計并全面實現(xiàn)了SSL VPN系統(tǒng)。目前,本校SSL VPN系統(tǒng)運轉(zhuǎn)良好,能夠滿足現(xiàn)有的使用需求,并且也具備了一定的擴展能力。當(dāng)然,該實施方案并不是唯一可選,當(dāng)校園網(wǎng)的VPN用戶數(shù)量并不多、要求也不高時,就可以考慮軟件型VPN方案。不然,還可通過購買專業(yè)的VPN設(shè)備打造高水準(zhǔn)、高級別的SSL VPN系統(tǒng)。
參考文獻:
[1]王達. 虛擬專用網(wǎng)(VPN)精解[M]. 北京:清華大學(xué)出版社,2004:45-46.
[2]朱偉珠. 利用VPN技術(shù)實現(xiàn)高校圖書館資源共享[J]. 情報科學(xué),2007,25(7):1158-1061.
[3]徐家臻,陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設(shè)計,2004,25(4):186-188.
[4]沈海波,洪帆. 訪問控制模型研究綜述[J].計算機應(yīng)用研究,2005,32(5):9-11.
論文關(guān)鍵詞:VPN;供電企業(yè);信息化
論文摘要:縣級供電企業(yè)在推進信息化過程中,普遍存在著成本過大,安全系數(shù)較低以及建設(shè)周期長等問題。結(jié)合廬江供電公司在開展城鄉(xiāng)營銷管理信息化建設(shè)中出現(xiàn)的問題進行分析,提出利用VPN實現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)的解決方案,并分析了下一步信息化的主攻方向。
0引言
隨著電力信自、化水平的不斷提高,縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立,但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴(yán)重地制約著縣級供電企業(yè)信息系統(tǒng)實用化水平的發(fā)展和信息資源的充分有效利用,這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響,解決遠程站點聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。
1廬江供電公司信息化建設(shè)現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運行,總部信息化運行提高了企業(yè)的整體管理水平和辦公效率。如今,廬江供電公司總部已運行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財務(wù)管理系統(tǒng),現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財務(wù)服務(wù)器。力、公用微機80多臺,每位管理人員以及每個班組都配有微機。
在實施信息化建設(shè)與管理中,深深體會到廬江供電公司信息化建設(shè)不僅可降低財務(wù)管理、物資管理、項目管理、資料管理等方面的管理成本,并在生產(chǎn)管理中可將所有設(shè)備信息進行分類編號,輸人數(shù)據(jù)庫,實行設(shè)備、設(shè)施缺陷管理,科學(xué)地制定缺陷檢修計劃,提高設(shè)備運行可靠度,降低故障率,提高供電可靠性;同時,廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴子系統(tǒng)、電量電費f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng),通過這些系統(tǒng),可方便與客戶的交流、溝通,節(jié)約成本開支,實現(xiàn)科學(xué)化營銷流程管理。這些管理信息系統(tǒng)的應(yīng)用,加強J’企業(yè)的規(guī)范化管理,增強了管理的科學(xué)化水平,減輕了工作人員的負擔(dān),提高了企業(yè)的經(jīng)濟效益。
為此,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進力度,進一步減輕了抄表人員的負擔(dān),縮短了開票時間,加強了電費電價的控制與管理,提高了營銷管理自動化水平。全縣17個鄉(xiāng)鎮(zhèn)供電聽,都使用同一版本的營銷MIS應(yīng)用系統(tǒng)。舟個供電聽都有3臺以上的微機,其中1臺所長用于日常辦公,另外2臺分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個供電所可利用變電站的光纖系統(tǒng),與廬江供電公司總部實現(xiàn)網(wǎng)絡(luò)互聯(lián),提高了工作效率,節(jié)省了開支。其余7個供電所仍不能夠?qū)崿F(xiàn)信息化共享,這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。
2采用VPN方案推進供電所信息化建設(shè)進程
這些供電所若使用以前的光纖聯(lián)網(wǎng)方式,不僅投資大,施工工期長,而且日后的維護量也多。考慮到以上原因,為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題,達到信息、共享,推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用,公司決定采用虛擬局域網(wǎng)(VPN),在現(xiàn)有設(shè)備基礎(chǔ)上,進行簡單的改造。通過在VPN網(wǎng)關(guān)中配置7個供電所的用戶、密碼以及訪問策略,并分別在7個供電所安裝VPN客戶端,安裝公司的MIS應(yīng)用系統(tǒng),實現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù),可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN , Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程,該過程把數(shù)據(jù)安全地從一端傳送到另一端,這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障,而數(shù)據(jù)是在一個開放的、沒有安全保障的、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。
3方案效果比較
對2種方案的可能性進行了比較,如圖1所示。如果廬江供電公司全部運用光纖法來實現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián),每個供電所的材料費、施工費按3.5萬元,施工工期10天計算,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天。若這7個供電所采用VPN方案,只需要購買VPN網(wǎng)關(guān)1臺,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元,5天內(nèi)就能完成7個供電所安裝。因此,應(yīng)用VPN方案,廬江供電公司就能節(jié)省資金達24 . 5-3 . 836=20.664萬元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護所需要工作量。
現(xiàn)在,這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng),在局域網(wǎng)下載內(nèi)容的速度可達350 kb/s,生產(chǎn)MIS系統(tǒng)響應(yīng)時間為2--3 s,辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路,所以發(fā)送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運行效果來看,完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。
4下一步信息化建設(shè)的主攻方向
目前,廬江供電所信息化還處于初級階段,對電力企業(yè)信息化建設(shè)的目標(biāo)還沒有完全形成統(tǒng)一的管理標(biāo)準(zhǔn);同時,廬江供電公司在實施VPN技術(shù)后,也清楚地看出:VPN是一種虛擬專用網(wǎng)絡(luò),而不是一種真正的專用網(wǎng)絡(luò)。因此,廬江供電公司打算設(shè)立嚴(yán)格的管理制度,包括嚴(yán)格的權(quán)限管理,無關(guān)人員無權(quán)查看、改動數(shù)據(jù),VPN客戶端的用戶與密碼管理等,建立起一套計算機管理操作等規(guī)章制度,使整個網(wǎng)絡(luò)安全有序地運行。此外,該公司今后還將加大對供電所使用人員的計算機培訓(xùn)力度,包括計算機知識在內(nèi)的應(yīng)用培訓(xùn),促進操作人員更好地使用軟件,提高操作人員計算機水平,也為計算機應(yīng)用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動作用,并充實培養(yǎng)供電聽計算機網(wǎng)絡(luò)管理人員、信息安全管理人員,把信息化建設(shè)中的培訓(xùn)工作貫穿始終,進而拓寬信息化的覆蓋面,保證信息、化工作的健康發(fā)展,讓VPN技術(shù)更好地為廬江供電公司信息化、專業(yè)化、現(xiàn)代化服務(wù)。
