前言:中文期刊网精心挑选了vpn技术论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
vpn技术论文范文1
组播vpn是基于MPLSL3VPN来实现组播传输的技术。如图1所示,网络中同时承载着两个相互独立的组播业务:公网实例、VPN实例A。公共网络边缘PE组播设备支持多实例。各实例之间形成彼此隔离的平面,每个实例对应一个平面。以VPN实例A为例,组播VPN指:当VPNA中的组播源向某组播组发送组播数据时,在网络中所有可能的接收者中,仅属于VPNA(即Site1、Site3或Site5中)的组播组成员才能收到该组播源发来的组播数据。组播数据在各Site及公网中均以组播方式进行传输。其中,实现组播VPN所需具备的网络条件如下:(1)在每个Site内支持基于VPN实例的组播。(2)在公共网络内支持基于公网实例的组播。(3)PE设备支持多实例组播,即支持基于VPN实例和公网实例的组播,并支持支持公网实例与VPN实例之间的信息交互和数据转换。为了满足以上条件,互联网工程任务组(IETF)最终形成制定了以MD(MulticastDomain)组播域方案来实现组播VPN的标准。MD方案的基本思想是:在骨干网中为每个VPN维护一棵称为Share-MDT的组播转发树。来自VPN中任一Site的组播报文都会沿着Share-MDT被转发给属于该MD的所有PE。MD是一个集合,它由一些相互间可以收发组播数据的VRF组成。其中,支持组播业务的VRF为MVRF,它同时维护单播和组播路由转发表。PE收到组播报文后,如果其MVRF内有该组播组的接收者,则继续向CE转发;否则将其丢弃。不同的MVRF加入到同一个MD中,通过MD内自动建立的PE间的组播隧道(MT)将这些MVRF连接在一起,实现了不同Site之间的组播业务互通。每个MD会被分配一个独立的组播地址,称为Share-Group。当两个MVRF之间通信时,用户报文以GRE方式被封装在骨干报文里通过MT进行传输,骨干报文的源地址为PE用来建立BGP连接所使用的接口IP地址,目的地址为Share-Group。
2民航数据通信网中组播VPN的实现
在民航数据通信网中实现组播VPN主要需完成骨干网络的准备工作以及组播VPN设计与实施等工作。
2.1组播VPN的规划设计民航ATM数据网华东地区ATM交换机上的RPM-PR板卡提供了MPLSVPN业务,目前部署的MPLSVPN业务网络拓扑为星形结构,即由区域一级节点9槽RPM板卡作为P设备和路由反射器,而其他节点均为PE设备。华东地区ATM网络中同时承载着两个相互独立的组播业务:ATM数据网公网组播实例和名为YJCJ2的用户私网组播实例。VPN组播实例是通过在P和PE设备上部署实现的,网络中,作为P和PE的RPM板卡上运行着公网组播实例,而作为PE的RPM板卡同时又运行着用户私网组播实例。公网的组播实例是在所有RPM板卡上开启组播应用。上海虹桥和浦东机场两个节点的10槽RPM板卡负责接入用户的VPN组播业务,所以需在这两台设备上部署MPLSVPN应用,并在这两个用户站点相应的VRF实例中开启组播应用。在本案例中,VPN用户接入侧要求使用的是PIM密集模式,而民航数据网MPLSVPN公网则使用的是PIM稀松模式。在MPLSVPN网络中不同用户的VPN站点都是彼此逻辑独立的,并且VPN用户数据封装MPLS标签后通过公网的PE和P设备进行传输。对于VPN组播来说,数据的传输模式也是类似的。PE设备通过将该VPN实例中的用户VPN组播数据报文封装成公网所能“识别”的公网组播数据报文进行组播转发。这种将私网组播报文封装成公网组播报文的过程就叫做构造组播隧道(MT)。在PE上,每个VPN用户的组播数据是通过不同的MTI(MulticastTunnelInterfac)组播隧接口在公网构造组播隧道,参见图2。由于公网、VPN网以及用户接入侧各组播部署中都采用PIM协议启用了组播应用,MPLSVPN中组播应用包含如下的PIM邻居关系:(1)PE-P邻居关系:指PE上公网实例接口与链路对端P上的接口之间所建立的PIM邻居关系。(2)PE-PE邻居关系:指PE上的VPN实力通过MTI收到远端PE上的VPN实例发来的PIMHello报文后建立的邻居关系。(3)PE-CE邻居关系:指PE上绑定VPN实例的接口与链路对端CE上的接口之间建立的PIM邻居关系。部署公网组播实例需在华东地区所有相关RPM板卡开启组播服务,考虑到密集模式对RPM设备和骨干网资源的开销,在民航ATM数据网中使用了PIM稀松模式。根据网络的物理网络拓扑模型,选取上海虹桥9槽RPM板卡作为RP。
2.2组播VPN的实施运行在MPLSVPN网络中的P和PE设备上部署PIM协议,这些设备之间会形成PE-P邻居关系,从而使得公网支持组播功能,并形成公网的组播分发树。本案例中使用PIM稀松模式,即在虹桥和浦东机场节点的9、10槽RPM板卡的配置底层IGP路由协议的接口上部署PIM稀松模式,这样就构造了公网的PIM共享树。在传输用户私网组播报文的PE上部署基于VRF实例的组播,一个VPN实例唯一制定一个Share-Group地址。同一个VPN组播域内的PE之间形成PE-PE邻居,并形成该组播域的共享组播分发树(Share-MDT)。在本例中就是在虹桥和浦东机场的10槽YJCJ2VRF实例中部署相应的defaultMDT地址239.255.0.5。用户CE设备和PE连接CE的相应接口启用组播,本例中使用PIM密集模式。这样就形成了PE-CE邻居关系。本例中是在虹桥和浦东机场节点的相应VPN业务端口配置PIM密集模式。当用户有组播报文需要传输的时候,就将组播报文发送给PE的VRF实例,PE设备收到报文后识别组播数据所属的VRF实例。用户私网的数据报文对于公网是透明的,不论数据归属或类别,PE都统一将其封装为公网组播数据报文,并以Share-Group作为其所属的公网组播组。一个Share-Group唯一对应一个MD,并利用公网资源唯一创建一棵Share-MDT进行数据转发。在该VPN中所有私网组播报文,都通过此Share-MDT进行转发。如图3所示,可以看到华东地区公网上的Share-MDT创建的过程。虹桥节点10槽RPM向9槽RPM(RP节点)发起加入消息,以Share-Group地址作为组播组地址,在公网沿途的设备上分别创建(*,239.255.0.5)表项。同时虹桥浦东机场节点也发起类似的加入过程,最终在MD中形成一棵以虹桥节点9槽RPM为根,以虹桥、浦东机场节点10槽RPM为叶的共享树(RPT)。随后,虹桥和浦东机场节点10槽RPM的公网实例向公网RP发起注册,并以自身BGP的router-id地址作为组播源地址、Share-Group地址作为组播组地址,在公网的沿途设备上分别创建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表项,形成连接PE和RP的最短路径树(SPT)。在PIM-SM网络中,由(*,239.255.0.5)和这两棵相互独立的SPT共同组成了Share-MDT。虹桥节点PE的私网组播报文在进入公网后,均沿该Share-MDT向浦东机场节点PE转发。图4是私网组播报文在公网中转发的过程。当浦东机场节点的YJCJ2VPN用户CE设备加入到虹桥节点数据源所在的组播组,此时由于这两个站点部署为PIM-DM模式,虹桥节点组播设备会立刻将数据推送到虹桥节点10槽RPM的YJCJ2VRF实例中,并通过该VPN构建的Share-MDT在公网上以(20.51.5.6,239.255.0.5)构建的SPT进行公网组播报文传输。当公网组播报文被浦东机场10槽PE设备收到后会将其解封装成原始的私网组播报文,并转发给相应的接收CE,最终完成用户私网组播数据在MPLSVPN网络中的传输。
3总结
vpn技术论文范文2
山东联通在2012年开始分组承载传送网的建设,2013年基本完成核心汇聚层面和市区接入层面的全覆盖,分组传送网设备集采中标厂家包括华为、中兴和贝尔,三个厂家在各地市分别进行了综合承载传送网的建设。其中组网结构、业务承载方案,与RNC对接方案等关键点成为时下讨论研究的重点。
2 综合承载传送网的组网结构
综合承载传送网采用分层结构组网,分为核心汇聚层和边缘接入层。核心汇聚层组网结构主要分为三种:环形组网、口字型组网和双上联组网。
山东联通各地市组网主要采用环形和口字型组网方式。双上联组网和口字型组网结构类似,但由于需要耗费大量的光纤资源或者波分波道资源,因此在实际组网时主要还是采用折中的口字型组网方式。
边缘专业提供论文写作和写作论文的服务,欢迎光临dylw.net接入层主要根据光纤资源情况,分为双挂环形组网和单挂环形组网方式,一般光纤资源能保证的区域优先选用双挂方式,因为双挂方式除了能实现传统的路径保护(1:1 LSP)外,还能实现双归保护,从而避免汇聚设备单点故障引起的大面积掉站。
3 业务承载方案
3.1 业务承载需求
山东联通综合承载传送网主要有两大类业务承载需求:
⑴基站回传等自营业务或者系统的承载需求:
具备IP化、以太化基站的接入能力,提供高可靠、大容量的基站回传流量的承载;
满足LTE网络的承载需求,实现基站间灵活互访、基站多归属、基站组播等承载能力;
能够满足动力监控、综合业务接入网网管等各类系统的承载需求。
⑵政企业务或者大客户的承载需求:
⑶提供高可靠、大容量的二、三层VPN接入能力,能够满足点到点、点到多点、多点到多点等二、三层VPN的组网需求;
⑷具备电路仿真能力,提供ATM/FR/DDN等电路的接入能力。
3.2 承载方案分析
山东联通综合承载传送网的业务承载方案可归结为三点:
⑴对于2G和3G基站的TDM业务,可以采用伪线方式一PWE3实现。并在核心节点采用CSTM1端口进行汇聚。El业务一般采用SAToP方式,封装帧数和抖动缓存暂按设备缺省值取定。
⑵对于TDM、以太网、ATM等大客户专线,应采用相应的伪线方式实现。对于L3VPN的大客户专线,可采用核心汇聚层L3VPN加边缘接入层伪线、层次化L3VPN等两种方式实现。
⑶对于未来的LTE业务,分组传送网络需要承载s1和X2接口的流量。业务对IP转发的层面要求将进一步下移。可采用核心汇聚层L3VPN或层次化L3VPN到边缘的方式。
不同厂家对于3G IP业务承载方案的推荐会有所不同,就山东联通而言,基站数据域业务承载方式主要存在两种,(1)L3VPN部署到边缘-华为主推;(2)L3VPN部署到汇聚-中兴和贝尔主推。两者各有优势,L3VPN部署到边缘需要为基站互联端口分配IP地址,根据目前3G基站的IP地址分配规则,会涉及大量基站的IP地址调整,但符合中远期网络的演进思路;L3VPN部署到汇聚,基站IP地址的调整量将大大减少,与现有MSTP提供3G移动回传FE的业务提供方式、维护方式相似度高,利于分组传送技术引入后网络运行维护的逐步过渡。
山东联通综合承载传送网的业务承载方案如图3和图4:
4 综合承载传送网与RNC的互联方案
目前,山东联通2G/3G基站的电路域业务在核心机房均通过155M电路与BSC/RNC直接相连。3G基站的分组专业提供论文写作和写作论文的服务,欢迎光临dylw.net域业务与RNC对接现网有两种方式,一种是RNC直接与分组承载传送网业务汇聚设备互连,另一种是RNC通过CE与分组承载传送网互连。
在RNC直接与分组承载传送网互联情况下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口扩容
通过对RNC的GE和STM-1端口成对扩容,满足与分组承载传送网业务互联的需求,同时可以减少对已有3G业务的影响。通过逐步割接,可将现有以MSTP网络承载的3G分组业务割接到分组承载传送网上。
4.2 RNC接入端口不方便扩容
应将MSTP上的分组业务在汇聚层或核心层直接割接到分组承载传送网上。通过分组承载传送网设备与RNC相连。
就山东联通目前的组网而言,由于还存在着大规模的2G/3G基站采用MSTP传输接入,在一定的时间段内无法保证IP化,因此还存在着核心设备与RNC有大量的CSTM-1口对接,RNC的扩容在未来2-3年内也将继续进行,也会带来一定规模的GE口扩容,因此中大型地市的综合承载网与RNC互联通过分组业务汇聚设备显得更为合理。
5 传输背景人员快速融入IP RAN维护
引入分组传送技术后,整个综合承载传送网解决方案都是以数通技术作为基础,如何使传输背景人员快速融入IPRAN的建设维护显得尤为重要,结合实际工作,建议从以下几个方面入手:
5.1 比较传统传输理念和IP化理念的异同
传统的MSTP网络属于硬管道交换,所有业务都是建立端到端的连接通道占用固定带宽,
但是综合承载传送不一样,它既继承了传输端到端OAM的特性,又有数据网络逐跳建立连接的特性,整个网络是一张弹性的网。我们可以借助传统IP城域网的理念去类比IPRAN技术的相关概念,深入理解数通相关知识。
5.2 深刻认识全程全网和端到端业务理念
与传统的MSTP一样,综合承载传送网也需要建立端到端业务的概念,我们不仅仅需要理解分组网络是如何进行信息传递的,而且还需要把无线接入和核心网纳入到我们关注的范围,从NODEB和UTN如何连接,RNC与UTN如何对接,整个数据流进入UTN以后如何进行封装传送等等,理解整个UTN、在配置数据排除故专业提供论文写作和写作论文的服务,欢迎光临dylw.net障时才能得心应手。
5.3 认真学习实施方案
建议在工程建设期间认真学习具体的实施方案,一般而言,厂家会根据设计文件完成具体的实施方案,从组网方案、拓扑设计及设备选型、IP地址规划、路由部署设计、MPLS隧道设计、业务部署设计、可靠性设计、时钟/网管同步设计、QOS部署设计等等。这个过程可以帮助你学习完成一张网搭建所需的所有知识。
5.4 熟练掌握网管
网管需要掌握相关的数通知识,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要对解决方案中用到的知识点有个较深入的理解,另外一方 面我们又要熟练掌握网管的相关操作,在IPRAN的维护习惯上,我们更偏向于网管操作,不会像传统数通设备维护那样通过命令行进行操作,但是网管操作的基础又是数通知识,因为网管只是提供一个界面,提升效率,真正要配置的还是数通协议。理论和网管是IPRAN的两个关键点,两者相辅相成缺一不可,所以我们要同时加强这两方面的技能。
5.5 工程随工学习
更多的现场随工学习可以帮助你快速提升,深入现场多操作设备,通过实际对比分IPRAN技术与MSTP传统传输的区别。工程建设期的随工是一个很好的机会,因为工程建设期不用担心业务是否受影响,操练起来能更充分。
6 结束语
综合承载传送网已经是一张成熟的网络,但随着技术的进一步发展,还有很多方面可以继续深入探讨并且完善,例如北方省分的二级汇聚(县乡层面)如何拓展,综合业务区规划带来的网络调整等等,随着LTE的引入,综合承载传送网将发挥更大的作用,成为目标网络架构的一张精品网。
vpn技术论文范文3
关键词:SSL VPN; IPsec VPN; 数字化校园; 远程访问
中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03
0引言
随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。
1VPN 的原理及SSL VPN方案的优势
11VPN原理
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。
12两种VPN方案的对比
按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析
21访问控制技术
访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。
22性能分析
VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。
3SSL-VPN下的数字化校园解决方案
31需求分析与设计目标
校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。
32系统体系结构
经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。
由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。
33改进型安全策略——基于角色的控制
本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。
4结束语
随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。
参考文献:
[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.
[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.
[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.
[4]沈海波,洪帆. 访问控制模型研究综述[J].计算机应用研究,2005,32(5):9-11.
vpn技术论文范文4
【关键词】虚拟专用网 数字证书 身份认证 校园网
虚拟专用网(VPN)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。目前,一些企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性,但存在不少的安全隐患。因此针对现有VPN系统无法满足校园网安全使用的问题,深入分析、研究了VPN系统中的关键技术和主要功能,构建了一种基于PKI的校园网VPN系统的体系架构。
1 系统框架设计及系统功能模块描述
1.1 系统框架设计
VPN系统需要解决的首要问题是网络上的用户与设备都需要确定性的身份认证。错误的身份认证。不管其他安全设施有多严密。将导致整个VPN的失效, IPSec本身的因为它的身份认证规模较小、比较固定的VPN上是可行的,把PKI技术引进VPN中是为了网络的可扩展性和保证最大限度的安全,CA为每个新用户或设备核发一张身份数字证书,利用CA强大的管理功能,证书的发放、维护和撤销等管理极其容易,借助CA,VPN的安全扩展得到了很大的加强。传统的VPN系统中,设备的身份是由其IP地址来标识的。IP地址也可能随着服务商或地点的改变而改变,借助CA提供的交叉认证,无论用户走到哪儿,该用户的数字证书却不会改变可以随时跟踪该数字证书的有效性。本人提出将PKI证书身份认证技术应用在校园网IPSec-VPN网关中,以此来解决VPN的身份认证。
1.2 系统功能模块描述
从软件结构上分VPN网关系统分为应用层模块和内核层模块,SAD手工注入接口模块和密钥管理程序模块为运行在应用层的软件模块。IPSEC处理模块、CA模块和防火墙模块为运行在内核层的软件模块。
2 VPN系统分析
2.1 系统的需求分析
师生们越来越多地走出校园。他们也可能需要用到校园内部专用网络资源。这是因为随着我校的发展、项目的合作以及文化的交流越来越频繁,通过校园网VPN网统在公共网络中建立的可保密、控制授权、鉴别的临时安全虚拟连接,它是一条穿越相当混乱的公用网络的安全隧道,是高校内部网的扩展,采用通道加密技术的VPN系统,通过基础公网为使用高校提供安全的网络互联服务。这样师生们很方便的访问我校内网的网络资源,而且相对专用网、校园网VPN系统大大降低成本;相对Internet通信,VPN系统又具有相当高的安全性。密钥基础设施PKI是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务以及所必须的密钥和证书管理体系,这正好能弥补VPN的IPSec在身份认证方面的缺点。
2.2 流程分析设计
(1)将PKI的认证、机密性和完整性协议定义为PKI专用数据,并把它们置于DOI字段中,同时加载证书字段,生成带PKI性能的IKE载荷。
(2)IKE进行野蛮模式或者主模式交换,互换证书,建立IKE SA。
(3)双方用公钥检查CA和证书中的身份信息在证书上的数字签名。
(4)用公开密钥加密算法验证机密性。
(5)用数字签名算法验证完整性。
(6)协商一致后,生成具体的SA。
IPSec与PKI结合后,在密钥交换过程中,通过交换证书的方式交换了公钥和身份信息,验证数字签名、机密性和完整性,从而充分的保证了信息来源的可信度、完整性等,同时,IPSec配置文件中实现与多数用户的通信,只需少数的CA证书即可。
3 VPN系统的实现
3.1 IPSec内核处理模块实现
(1)为每种网络协议(IPv4,IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数)。在数据涉及流过协议栈的几个关键点这些钩子函数被调用。在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用Netfilter框架。
(2)内核的任何模块注册每种协议的一个或多个钩子,实现挂接,这样当传递给Netfilter框架某个数据包时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。如果注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示Netfzlter将该数据包传入用户空间的队列。
(3)那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。
3.2 CA系统功能模块实现
根据我校校区的分布,在这里PKI系统采用单CA多RA的系统结构,这种结构是单CA的改进,其中RA承担了CA的部分任务,减轻了CA的负担,随着校园规模和校园网的进一步扩大,如果经费允许,我们将建立层次CA,学校一个根CA,考虑到系统的安全性,CA服务器、RA服务器、Ldap服务器放置在北校区的防火墙后面,由于我校已购置日立的磁盘阵列,实际的数据库系统采用磁盘阵列实现。
CA服务器负责制作证书,签发证书作废表,审核证书申请,管理和维护中心CA系统,提供加密服务,保护存储密钥和密钥管理等等功能,整个系统基于windows系统,采用Java平台,并利用OpenSSL函数库和命令行工具而本论文并不讨论与之相关的加密、解密和密钥存储,证书策略等。
4 结语
本文从互联网的发展说明VPN技术产生的背景和意义,再对VPN的相关技术、协议进行研究与分析。在此基础上,结合校园网络的实际情况,提出了一个基于PKI校园网VPN系统的实现方案以利用VPN安全技术突破校园专用网的区域性限制来解决校园网存在的一些问题。同时根据提出的方案给出了一个校园网VPN实现的实例,并对该实现过程进行了检验和分析,在一定程度上验证了所提方案的有效性。
参考文献
[1]钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究[J].中国教育信息,2008(9):77-80.
[2]冯登国,李丹.当前我国PKI/PMI标准的制订与应用[J].信息网络安全,2005:16-17.
vpn技术论文范文5
论文摘要:本文通过对网络存储技术、虚拟专网vpn技术的设计原则和关健技术的详细介绍,全面分析了这两项技术的性能特点,以及在“共享工程”天津分中心和18家区县支中心的具体实现方案与发展设计构想,阐述了这两项技术的发展前景,及其在全国文化信息资源共享工程得到广泛应用的必然性。
全国文化信息资源共享工程(以下简称文化共享工程)是由文化部、财政部共同组织实施的一项社会主义文化建设标志性工程,是新形势下构建我国公共文化服务体系、惠及千家万户的一项重要文化基础工程。“共享工程”将充分利用现代高新技术手段,将中华民族几千年来积淀的各种类型的文化信息资源精华以及贴近大众生活的现代社会文化信息资源,进行数字化加工处理与整合;建成互联网上的中华文化信息中心和网络中心,并通过覆盖全国所有省、自治区、直辖市和大部分地(市)、县(区)以及部分乡镇、街道(社区)的文化信息资源网络传输系统,实现优秀文化信息在全国范围内的共建共享。该工程于2004年4月正式启动实施。
在中央和地方各级财政的大力支持下经过不断努力,文化共享工程技术体系已经初步形成:在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统;在传输建设方面,形成了以互联网、卫星网、有线电视及数字电视网为主要传输渠道,光盘、移动存储设备为辅助传输手段的网络传输体系,实现了文化信息资源的有效传递;在终端服务上,提供了国家中心网站、省分中心网站、省分中心镜像站、卫星终端服务系统、文化共享工程基层服务系统、有线电视、数字电视、光盘、移动硬盘等手段,方便广大群众以多种方式从不同渠道获取和使用文化信息资源。wWw.lw881.com
本文从动态发展的角度,以现有的技术体系为基础,简要对网络存储技术与虚拟专网vpn技术在“文化共享工程”中应用加以论述。
1网络存储技术
文化共享工程以加工整合各类优秀文献信息资源为重点,建成了具有一定规模的文献信息资源库群。截至2007年6月,数字资源的总量己达到60tb。资源的存储成为了各级分中心核心建设的重中之重。
1.1存储系统设计原则
存储系统的设计要遵循以下原则:
先进性和实用性:在方案总体设计规划时不仅要满足当时业务需求,而且充分考虑未来的需求可能。保证硬件环境的先进性,尽可能采用业界领先的技术。软件环境的先进性,要从软件平台,设计思想、系统结构等方面考虑,选择先进、可靠的应用平台。
安全可靠性:存储系统要保证365x24小时的不间断稳定运行,具有灾难恢复能力。
灵活性与可扩展性:网络存储系统是一个不断发展的系统,所以它具有良好的扩展性,方便的扩大容量和提高层次的功能,支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性/互联性:具备与多种协议计算机通信网络互联互通的特性,确保网络存储系统基础设施的作用可以充分发挥。
经济性/投资保护:以较高的性能价格构建网络系统,充分利用以往在资金与技术方面的投人。
可管理性:采用智能化,可管理的设备,先进的管理软件,实现先进的分布式管理。实现监控、监测整个系统的运行状况,合理分配资源、动态配置负载等等。
综上所述,存储设备的选择可按需定制,根据不同预算情况,不仅满足当前需求,还要兼顾将来的升级维护。
1.2存储系统解决方案
1.2.1省级分中心的存储解决方案
天津图书馆作为“共享工程”的省级分中心,以其存储系统为例:存储设备采用的是emcclari-ioncx500存储系统。cx500提供了一种没有任何单点故障的可扩展、高可用性体系结构,采用了通用的硬件体系结构和软件应用程序套件,通过emcnavisphere进行集中管理并支持基于存储的业务连续性和灾难恢复功能,保证了数据的完整性和高可用性。具有了全局热备功能,冗余电源和冷却,通向光纤通道和ata磁盘驱动器的四条通路,双活动存储处理器,整个阵列内的数据通路奇偶校验等许多特性。
在性能方面,cx500配有4个用于san连接的2gb前端光纤通道端口和4个光纤通道和ata磁盘驱动器的2gb后端光纤通道通路,可以有效地支持多达120个驱动器而不会出现性能降级。cx500同时支持高性能光纤通道驱动器和高容量ata驱动器,所以提供了最好的部署灵活性。鉴于共享工程资源存储的需求,天津图书馆的cx500共配置了3个光纤磁盘柜共15tb的存储空间,其中包括7.5tb的光纤硬盘和7.5tb的sata硬盘。
在软件支持方面,cx500在设计上可同时支持多达128部服务器,大大简化存储设施的整合过程。它符合绝大多数常用服务器操作环境的要求,其中包括microsoftwindows,sunsolaris,unix,linux和netware平台等,而且在san,nas和das环境中运行时具有高度的灵活性。采用navisphere管理框架,该系统是一套简单易用的基于图形用户界面<glti)的存储管理工具。cx500能实现高数据的可用性、无中断在线备份、高速数据移动、应用程序测试和灾难恢复等要求。客户可在不停止cx500阵列前提下,升级以下各项内容:添加新软件,如snap-view,mirrorview,sancopy,navisphereagent,bi-os、核心软件;在san中添加或删除服务器;调整raid重建设置;重新分配读/写缓存等等。
1.2.2区县支中心的存储解决方案
以天津市的十八家区县支中心为例:
存储设备统一采用h3c的ex1000存储磁盘阵列柜。该设备为基于成熟的ip协议传输的存储设备,使用更灵活,配置更方便。可以在简单配置后为网络中的各种服务器提供海量存储空间,同时也具备极大的扩展性和灵活的升级。此存储配置了4.5t的存储空间(共9块5006盘),其中一块硬盘做为全局热备盘,在最大程度上保证了磁盘的冗余,确保数据的安全。在数据传输上将4个1000m数据端口进行连路聚合,既保证了高带宽的可用还保证了链路的冗余。高带宽的使用除可以保证访问瓶颈的解除,同时也对数据的链路提供了必要的保护,同时4条链路的存在即意味着可以承受75%的故障率,所以,这样的技术保证是完善的安全运行应用的保证。
2vpn技术
互联网作为“共享工程”的文化信息资源的主要传输渠道,所有信息服务都暴露在internet上,很容易被入侵者窃取和篡改,安全性不够。如果改用专线方式,一方面造价较高,维护也较困难;另一方面升级和扩展也受限制。因此寻找一种比较经济,对数据的安全又较有保障,而且又有利用网络的升级和扩展的组网方式显得异常的重要,而vpn技术恰恰能满足这方面的需要。
vpn(virtualprivatenetwork)中文译为虚拟专用网,它是一种通过isp和其它nsp,在公网中建立用户私有专用网的数据通信技术,是一种通过私有隧道在公共数据网上仿真一条点到点的专线技术。是对专用网络的扩展,它是指共享或公共网络上经封装,加密和身份验证的链路。vpn模仿专用网的一些属性;它允许数据通过诸如internet的网络在两台计算机间传递;通过隧道技术模仿点对点的连接。
2.1核心技术
①隧道技术:隧道技术是vpn的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有l2f,pptp,l2tp等。l2tp协议是目前ietf的标准,由ietf融合pptp与l2f而形成。
第三层隧道协议是把各种网络协议直接装人隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有vtp,ipsec等。ipsec(ipsecuri-ty)是由一组rfc文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在ip层提供安全保障。
②加解密技术:加解密技术是数据通信中一项较成熟的技术,vpn可直接利用现有技术。
③密钥管理技术:密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为skip与isakmp/oak-ley两种。skip主要是利用diffie-hellman的演算法则,在网络上传输密钥;在isakmi〕中,双方都有两把密钥,分别用于公用、私用。
④使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
2.2vpn技术在“共享工程”中应用的必要性与实现方法
“共享工程”在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统。
天津图书馆作为天津市“共享工程”的省分中心,数字资源经过多年建设已初具规模,数字资源近5t。内容涉及电子图书、数字化期刊、津门曲艺库、津门群星库,以及与本地经济、文化发展息息相关的各种特色资源库。如何使天津图书馆这些丰富公共资源得到更加广泛的利用,能够在合理范围内为各区县支中心、共享工程基层服务中心进行有效共享。可以利用vpn技术来实现,首先建立vpn数字资源中心,向各区县支中心、共享工程基层服务中心等基层单位提供vpn接人和数据资源内容的提供服务。
2.2.1vpn技术的实现方式
构建vpn网络可分为硬件、tpn和软件、’pn两种形式:软件、’pn的建立成本低,硬件vpn在系统防御上要稳定,软件vpn维护起来相当麻烦,网络管理员不但要维护vpn软件,还需要考虑病毒、恶意攻击及相关设备的软、硬件冲突导致系统平台运行不稳定的因素出现,而硬件vpn一般采用专用硬件,维护量相对减少很多。
2.2.2实现vpn技术的方案
主要有三种:硬件平台vpn、软件平台vpn和辅助硬件平台vpna
(1)软件平台vpn
利用一些软件公司所提供的完全基于软件的vpn产品来实现简单vpn的功能,甚至可以不需要另外购置软件,仅依靠微软的windows操作系统就可实现纯软件平台的vpn。特别从windows2000系统开始对传统的ipsecvpn方案提供了全面支持,不仅可以提供原来pptp隧道协议vpn的方案支持,而且还提出了新的l2tp隧道协议vpn方案,使vpn的应用得到前所未有的推进。
(2)硬件平台vpn
使用硬件平台的vpn设备可以满足不同用户对高数据安全及通信性能的需求,特别是加密及数据乱码等对cpu处理能力需求很高的功能。能提供这些平台的硬件厂商较多,如cisco,3com、华为、联想等,这类vpn平台投资了大量的硬件设备,投资成本较高。
(3)辅助硬件平台vpn
辅助硬件平台vpn作为最常见的vpn平台,介于软件平台和硬件平台之间,主要是以现有网络设备为基础,再增添适当的vpn软件以实现vpn的功能。但通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还要添加专业的vpn设备,如vpn交换机、vpn网关或路由器等。
2.2.3构建vpn专网的关键问题
由于“共享工程”天津分中心与各区县支中心都已建成了自己的局域网,那么vpn设备与防火墙的安装方式,成为构建vpn专网的关键问题。
现在最普遍采用的方式:是将、’pn设备与防火墙平行安装,它不需要改变防火墙目前的结构体系,但也意味着进人内部网络将有两个人口。在大部分vpn设备上,检查进人的数据,并阻挡非vpn流量进人内部网络,以减小额外的安全风险。依赖网络建设的方式,也需要vpn设备做一些地址翻译的工作,或者将流量重定向到防火墙。
还有一种方式:是将vpn设备安装在防火墙后,对防火墙做出一些改变。需要防火墙配置一个足够“聪明”的过滤器以允许vpn流量通过。另外,一些防火墙不能处理碎片,而碎片对于vpn来说是非常普遍的。因此,如果不在客户软件中人为减小mtu(最大传输单元),就不可能将vpn安装在防火墙之后。
信息资源广域vpn网建成后,逻辑上把物理位置省级分中心与不同的区县支中心、共享工程基层中心连接成统一的内部网,从而提升了文化信息资源共享工程的实在意义。
vpn技术论文范文6
关键词:多协议标签交换;虚拟专用网;网络改造;安全隔离
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)27-6643-02
随着公司的不断发展,DCN网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、OA等及融合后3G网管系统等,有些应用系统对安全性要求较高比如OA和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次MPLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个DCN网的服务质量。由一张实体物理网实现虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和安全需求。最终,DCN网络中的终端与主机须划入至各自所属的MPLS VPN域中,实现各个VPN域之间的通信隔离,同时在各个VPN间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同VPN域的通信数据的有效安全控制。
1 MPLS VPN技术简介
MPLS VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。
MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络。设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Router,骨干网核心路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由协议交互知道属于某个VPN的网络拓扑信息。除了路由协议外,在控制层面工作的还有LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
2 骨干迁移的三个关键问题
由于DCN网络建设时间比较久,网络结构比较复杂,如何从全部使用IP环境的DCN过渡到全部使用MPLS VPN环境的DCN成了此次网络升级改造的重点。网络改造期间,网络的平稳运行无论对于市场还是对于业务系统都是至关重要的,由于MPLS VPN技术是对全省DCN网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现MPLS VPN改造的首要问题。
过渡期间最应该考虑的关键三个问题是:
1)在IP环境下,各域间路由的互通问题。实现方法是先将组成DCN的各个IP网络单元以地市为单位逐个改造为MPLS VPN 网络单元,然后逐个与省公司建立MP BGP邻居实现全网MPLS VPN化。
2)受控互访的实现,即做到市公司在同一VPN区域内部互相之间不可见;市公司在同一VPN区域内部可以访问省公司;市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPOKE方式和对PE、CE层面实施控制来实现。
3)VPN划分与IP地址整理,DCN网络建设前期并未考虑各个应用系统的MPLS VPN划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。
3 DCN网络改造升级的设计
DCN网络改造解决方案是融合MPLS、VPN和QOS技术的统一解决方案。方案采用MPLS作为承载数据传输的新协议,使用EIGRP作为主干IGP协议,MPLS VPN路由使用MP-IBGP以及路由反射器进行域内传送,省公司采用背对背VRF方式与集团对接。
MPLS需要建立在IGP路由的基础上,IGP协议对MPLS的主要作用就是保证MPLS邻居之间的可达性和MBGP邻居之间的可达性,省骨干网使用的EIGRP协议,地市网络根据自己网络环境使用EIGRP或OSPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案,各PE-CE路由协议保持原OSPF动态路由协议,在PE设备将OSPF路由重分发至MP-BGP。
各业务VPN互访通过防火墙来实现。由于目前将DCN全网业务基本划分为MS、BS、OS和OTHER这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠VPN的方式,一方面增加了维护的复杂度,另一方面违背了建设MPLS VPN的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。通过在防火墙上配置严格的安全策略,对各VPN之间流量进行过滤,这样隔离的各MPLS VPN之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。
综合前面所述,主要采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。
将各业务VPN为HUB-SPOKE模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。
在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制,各VPN业务之间通过防火墙进行访问。
4 MPLS VPN对DCN网络的重要意义
由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCN网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,MPLS升级的重要意义体现在:
1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。
2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要DCN网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。
3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,VPN颗粒将趋向细化,VPN拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及VPN支持能力是网络规划建设中必需着重考虑的问题。
4)可靠性要求:DCN网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对DCN网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。
5)服务质量要求:DCN网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。
在保证DCN网络安全运行的前提下,有步骤、分阶段实施MPLS改造,并按照规划设计应用RT策略实现各系统互访受控与隔离。目前,改造后的DCN网络运行状况良好。
在实现MPLS VPN后,受控互访则变得相对轻松,仅仅需要在各个MPLS VPN路由环境之间的数据通道上部署防火墙即可对各VPN间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的VPN业务接入机制。
5 结束语
MPLS VPN网络改造的实现,极大的提高的DCN网络的安全性,为前台营业、办公OA、运维网络监控等各项不同的业务网络应用提供可靠地保证。
参考文献:
[1] 范亚芹,张丽翠,宋维刚.可提供MPLS VPN网络安全性保障的解决方案[J].吉林大学学报:信息科学版,2005(03).