第一篇:VPN的四種安全技術詳解
VPN的四種安全技術詳解
我們都知道,由于VPN(虛擬專用網絡)傳輸的是私有信息,VPN用戶對數據的安全性都比較關心。目前VPN主要采用四項技術來保證安全,下面,517網游加速器芯晴就來給大家一一道來。
1.隧道技術:
隧道技術是VPN的基本技術類似于點對點連接技術,它在公用網建立一條數據通道,讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
2.加解密技術:
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。
3.密鑰管理技術:
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
4.使用者與設備身份認證技術:
使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
第二篇:VPN技術的學習總結
VPN技術的學習總結
在網絡安全課程的學習過程中,我對網絡安全有了一些了解和認識。特別是它的基礎概念,網絡安全的具體要求,安全通信模型以及目前廣泛使用的安全技術等知識。其中VPN技術是目前安全通信中既能保證一定的安全性又具有經濟性的一項技術,因此它目前的市場應用十分廣泛。所以在學習完這門課程后,我想對所有學過的知識做一個梳理,然后把我比較感興趣的VPN技術做深入一些的學習和整理。
1.網絡安全的基本概念
網絡安全包含網絡系統硬件、軟件以及網絡上存儲和傳輸的信息資源的安全性。而其安全性包括計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改、泄露,確保系統能連續正常運行,網絡服務不中斷。
網絡安全的威脅包括:計算機病毒,蠕蟲,木馬,拒絕服務攻擊,邏輯炸彈,后門和隱蔽通道等。
在網絡信息傳輸的過程中,信息的安全特性包括:機密性,完整性,可用性,不可否認性,可控性,可審查性,可恢復性。只有在滿足了以上特性的信息傳輸才被認為是安全的。因此相對應于各個安全特性,網絡安全服務需要做到的有:認證服務,訪問控制服務,數據機密性服務,數據完整性服務,不可否認服務。在認證服務中,需要提供某個實體(人或系統)的身份保證,確保通信實體就是它們所聲稱的實體。使用口令是一種提供認證的熟知方法,數字證書和簽名也可以提供信息發送方的身份認證。認證是對付假冒攻擊的有效方法;
訪問控制服務中,要能夠防止對系統資源(如計算資源、通信資源或信息資源)的非授權訪問和非授權使用,確保只有授權的實體才能訪問授權的資源。訪問控制直接支持機密性、完整性、可用性以及合法使用等安全目標。訪問控制系統的關鍵是制定訪問控制策略。它是系統安全防范中應用最普遍和最重要的安全機制,可提供機密性和完整性服務。訪問控制采用最小特權原則:即在給用戶分配權限時,根據每個用戶的任務特點使其獲得完成自身任務的最低權限,不給用戶賦予其工作范圍之外的任何權力。
數據機密性服務,能夠保護信息不泄漏或不暴露給那些未授權掌握這一信息的實體(人或組織),確保授權實體才能理解受保護的信息,防止傳輸的數據遭到竊聽、流量分析等被動攻擊。機密性服務是通過加密機制來實現的,目前已有多種加密算法來保護數據的安全,可以根據不同的需求在網絡結構的不同層次來實現。比如:若需保護全部通信業務流的機密性,可在物理層加密;若希望對端系統到端系統之間的通信進行保護,可在網絡層加密。有時也可根據多個需求,在多個層次上提供加密。
數據完整性服務,是用來維護信息的一致性防止對信息的非授權篡改和破壞,使消息的接受者能判斷消息是否被修改或被攻擊者用假消息替換。數據完整性可以通過安全協議中的認證頭AH協議,ESP協議,MAC算法等來保證。
不可否認服務,其目的是保護通信用戶免遭來自系統中其他合法用戶的威脅,而不是來自未知攻擊者的威脅。通過公證機制的數字證書和時間戳可以保證信息發送方對發出的消息不能抵賴。
2.虛擬專用網VPN技術
虛擬專用網VPN(Virtual Private Network)技術是在公共傳輸網絡中采用隧道技術,形成邏輯私有的通訊網絡的技術。這樣對通信安全要求高的用戶就不需要向網絡運營商要求單獨牽一條專線,可以節省不少成本。VPN可實現數據公網傳輸的機密性、完整性,對通信雙方的身份進行認證,并可解決異構網傳輸問題等。VPN可工作在很多層次,如工作在鏈路層的鏈路密碼技術,工作在IP層的IPSEC VPN,GRE封裝,工作在傳輸層的SSL VPN等。2.1.VPN系統的組成
VPN系統由以下七個部分組成,VPN服務器:接受來自VPN客戶機的連接請求。VPN客戶機:終端計算機或者路由器。隧道:數據傳輸通道,其中傳輸的數據必須經過封裝。隧道協議:封裝數據、管理隧道的通信標準。VPN連接:在VPN連接中,數據必須經過加密。傳輸數據:經過封裝、加密后在隧道上傳輸的數據。公共網絡:如Internet,也可以是其他共享型網絡。下圖一直觀的顯示了VPN系統的組成。
圖一 VPN系統的組成
2.2.VPN系統通信流程與功能
首先,需要保護的主機發送明文信息到其VPN設備,其VPN設備根據管理員設置的規則,確定是對數據加密還是直接傳送。如果是需要加密的數據,VPN 設備將其整個數據包進行加密和簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和初始化參數)重新封裝;封裝后的數據包通過隧道在公網上傳輸;然后數據包到達目的VPN設備,收端VPN設備將數據包解封,核對簽名后,將數據包解密。
實現的基本功能有五項,分別是身份鑒別:包括驗證用戶的身份,限制非授權用戶的時候訪問了什么資源。不同的用戶對不同的資源應有不同的訪問權限;地址管理:為每個客戶分配一個地址,并保證地址對虛擬專用網外的不可見性;數據加密:保證通過公共網絡傳送的信息即使被他人截獲也不會泄密;密鑰管理:能夠為VPN的客戶和服務器生成和更新加密密鑰;多協議支持:VPN必需能夠處理公共網絡常用的各種協議,包括IP、IPX等等; 2.3.VPN系統的分類
Intranet VPN:用于集團的總部和多個分支機構之間;分支機構網絡是集團總部網絡的可靠延伸;
Extranet VPN:為集團的供貨商、重要客戶和消費者等商業伙伴提供訪問權限;電子商務是Extranet VPN的一種特殊形式;
Access VPN:為移動用戶遠程訪問集團總部網絡提供服務; 2.4.關鍵技術
隧道技術:VPN的核心技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道由隧道協議形成,常用的有2、3層隧道協議。
密碼技術(由下面三項技術組成)
加解密技術:將認證信息、通信數據等轉換為密文的相關技術,其可靠性主要取決于加解密的算法及強度。
密鑰管理技術:如何在公用網上安全地傳遞密鑰而不被竊取。身份認證技術:在正式的隧道連接開始之前需要確認用戶的身份,以便系統進一步實施資源訪問控制或用戶授權。2.5.身份認證方法
PAP(Password Authentication Protocol):是一種簡單的明文用戶名/口令認證方式。
CHAP(Challenge Handshake Authentication Protocol詢問握手身份驗證協議):是一種挑戰響應式協議。它是PPP(MODEM或ADSL撥號)中普遍使用的認證協議。MS-CHAP:是微軟針對Windows系統設計的,采用MPPE加密用戶密碼和數據。
RADIUS(Remote Authentication Dial In User Service,遠程用戶撥號認證系統):最初是由Livingston公司提出的,原先的目的是為撥號用戶進行認證和計費。后來經過多次改進,形成了一項通用的認證計費協議。
2.6.具體通信協議與方法 2.6.1.點對點隧道協議(PPTP)
PPTP(point – to – point Tunneling Protocol)是1996年Microsoft 和Ascend等在PPP協議上開發的支持Client-to-LAN類型的VPN連接。PPTP 使用 PPP 撥號連接,通過對PPP 分組的封裝傳輸,將PPP 鏈接邏輯地延伸到遠程用戶與企業總部的PPTP服務器之間,從而借用PPP 協議成熟的機制對用戶進行身份鑒別、訪問授權以及網絡配置,同時,通過PPTP封裝傳輸,也使得使用企業內部地址的分組,能成功地穿越IP 異構網絡,到達企業總部,以此達到資源共享。PPTP只能在兩端點間建立單一隧道。
PPTP工作模式分為被動和主動兩種模式。被動模式中,PPTP會話通過一個一般位于ISP 處的前端處理器發起,客戶端不需安裝任何PPTP軟件,ISP 為用戶提供相應的服務,這種方式降低了對客戶的要求,但限制了客戶對Internet 其他部分的訪問。主動模式中,客戶與網絡另一端的服務器直接建立PPTP隧道,不需ISP 的參與,不需位于ISP 處的前端處理器,ISP 只提供透明的傳輸通道。這種方式的優點是客戶對PPTP有絕對的控制。
PPTP隧道機制的特點有,PPTP不提供數據安全性保證,它必須借助PPP 的加密機制,如MPPE(Window自帶),或者與其它安全協議如IPsec)結合使用,才能為隧道通信提供安全保護;由于PPP協議本身支持多協議傳輸,PPTP因此支持多協議傳輸; PPTP不支持多隧道復用,但通過呼叫ID 能支持對隧道的會話復用; PPTP通過GRE頭中的序列號支持有限的分組排序功能; PPTP協議的系統開銷適中;除了有限的流量控制功能,PPTP也基本不能提供QoS 保障。2.6.2.第2層轉發L2F(Layer 2 Forward)協議
L2F(Layer 2 Forward)協議由Cisco公司提出,通過對PPP或SLIP分組的封裝傳輸,能使PPP/SLIP分組在多種網絡(如ATM、幀中繼和IP網絡)中傳輸。其標準于1998年提交IETF,發布在RFC 2341。L2F協議設計了L2F封裝頭, 形成L2F分組。L2F分組可在任何能提供點到點鏈接的底層媒體上發送。當L2F分組在IP網絡上發送時,L2F分組將作為UDP協議的上層協議數據單元被封裝成為UDP報文,經過IP協議發送。
以下是一個典型的L2F協議的實現:
圖二 L2F協議的典型實現
遠程用戶通過ISDN/PSTN 網與NAS建立PPP 連接。VPN客戶機通過VPN撥號向NAS服務器發送請求,希望建立與遠程HGW的VPN連接。NAS根據用戶名稱等信息向HGW發送隧道建立連接請求,實現與HGW之間通過IP 網、幀中繼或其它網絡建立L2F 隧道,總部局域網通過HGW與外界連接。即遠程用戶與NAS之間建立一條PPP 鏈接。這條鏈接被NAS與HGW之間的L2F 隧道邏輯地延伸到HGW。2.6.3.第2層隧道協議(L2TP)
因特網工程任務組(IETF)希望統一虛擬撥號的標準,由此產生了L2TP(Layer 2 Tunneling Protocol)協議。它由微軟、Ascend、Cisco、3COM等公司參予制定,結合了PPTP和L2F兩種協議的優點,成為IETF標準RFC 2661。L2TP是典型的被動式隧道協議,可讓用戶從客戶機或接入服務器發起VPN連接。L2TP協議設計了L2TP封裝頭,設計思想類似于L2F頭。封裝形成的L2TP分組可在任何能提供點到點鏈接的媒體上發送,如IP網、ATM和幀中繼。當L2TP分組在IP網上進行發送時,L2TP分組被封裝入UDP報文,再遞交給IP協議進行發送。
而L2TP協議的工作流程如下:遠程用戶通過PSTN或ISDN網,向ISP發起PPP鏈接請求。在ISP的呈現點 POP處,LAC接受此連接,建立遠程用戶到LAC的PPP鏈接。遠程用戶與LAC互換LCP配置信息,并可能實現如CHAP身份鑒別信息的局部交換;
ISP的LAC依據CHAP應答中的名字信息,確定是否對此遠程用戶提供虛擬的撥號訪問服務。若需要,則由名字信息確定該用戶的總部所在地,即目的LNS;
如果LAC與該LNS之間沒有建立隧道,或者因為保證QoS服務的需要,由LAC向LNS發起隧道的建立,并為該隧道分配一個隧道號,即Tunnel ID;并在隧道中為該用戶呼叫分配一個ID號,稱Call ID。LAC隨后向LNS發出入站呼叫請求。該請求中可能包括LAC對遠程用戶收集的鑒別信息以及其它配置信息;如果LNS接受此入站呼叫,則在LNS為此呼叫產生一個“虛擬接口”,該虛擬接口為L2TP隧道的終點,其另一終點是建立于LAC上的一個L2TP虛擬接口;
LNS為遠程用戶分配IP地址。LNS分配給遠程用戶的IP地址由管理員設置,一般使用私有地址,但LAC和LNS需使用公共IP地址。從遠程用戶發送的PPP幀到達LAC后,LAC上的L2TP虛擬接口將PPP幀封裝為L2TP分組之中,在特定的傳輸媒體上發送。當L2TP分組到達LNS端后,L2TP頭被剝去,剩余的PPP或SLIP分組將與正常進入的分組一樣被送入相應的接口進行處理。
從LNS發送到遠程用戶的數據的處理過程與此完全相似。2.6.4.IP安全協議(IPSec)與SSL VPN VPN技術雖然種類眾多,但IETF下的IPSec工作組推出的IPSec協議是目前工業界IP VPN標準,安全性明顯優于其它隧道協議,以IPSec協議構建虛擬專用網已成為主流。
基于IPSec構建IP VPN是指利用實現IPsec協議的安全網關(Security Gateway)充當邊界路由器,完成安全的遠程接入和在廣域網上內部網絡的“虛擬”專線互聯等。
IPSec VPN的建立方式包括:Host 對Host,Host 對VPN 網關,VPN 對VPN 網關,Remote User 對VPN 網關,Host 對Host,Host 對VPN 網關,VPN 對VPN 網關,Remote User 對VPN 網關。SSL VPN主要供遠程用戶訪問內部網絡資源時使用,包括Web服務、文件服務(包括FTP 服務、Windows網上鄰居服務)、可轉化為Web方式的應用(如Webmail)以及基于C/S的各類應用等。SSL 應用模式基本分為三類:Web瀏覽器模式、專門的SSL VPN客戶端模式和LAN 到LAN 模式。
在Web瀏覽器模式中,SSL VPN服務器使用https和socks 協議(實現代理功能,負責轉發數據)。SSL VPN客戶端與SSL VPN服務器間使用https協議;而SSL VPN服務器與單位內部服務器間使用http 協議。當客戶端需要訪問內部網絡中的C/S應用時,它從SSL VPN服務器下載控件。該控件是一個服務監聽程序,用于將客戶端的C/S數據包轉換為Http 協議支持的連接方法,并通知SSL VPN服務器它所采用的通信協議(TCP/UDP)及訪問的目的服務地址和端口。客戶端控件與SSL VPN服務器建立安全通道后,在本機接收客戶端數據包后,通過SSL 通道轉發給SSL VPN服務器。SSL VPN服務器解密數據后轉發給內部網絡的目的服務器。SSL VPN服務器接收到內部網絡的服務器的響應數據包后,通過SSL 通道發給客戶端控件。客戶端控件解密后轉發給客戶端應用程序。
3.學習總結
網絡安全技術是保證網絡通信過程中,傳遞信息的機密性,完整性,可用性,不可否認性等。硬件層面的設備,線纜等安全性可以通過加強設計和提高生產技術來保證。軟件層面的通信安全就需要靠安全通信協議和對明文內容的加密算法來實現。在通信網絡的OSI分層中,軟件層面的通信安全主要體現在網絡層,傳輸層,會話層,表示層。在每個層中,根據網絡通信類型和服務不同,使用的安全協議也有區別。密鑰技術,數字證書技術等保證信息機密性,完整性,可用性,不可否認性的技術主要工作在表示層。而VPN技術是從鏈路層到表示層都有一整套協議和通信方式的技術,在各個層都能夠保證信息不被篡改,閱讀,抵賴。所以幾乎能夠相當于在用戶之間建立了一條專線進行通信。
第三篇:VPN定義
VPN
開放分類: 互聯網、網絡、電腦、技術
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或WINDOWS2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。下面我們結合本站有關思科及微軟關于VPN方面的文章為大家介紹這方面的資訊,更多更豐富的相關方面內容我們將在以后日子里進行補充。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet(外部擴展)相對應。
======
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發展,企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
目前很多單位都面臨著這樣的挑戰:分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
對于很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和復雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對于用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案和昂貴的內部應用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由于受到以上IPSec VPN的限制,大量的企業都認為IPSec VPN是一個成本高、復雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業內部信息孤島,很多公司需要在與企業相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網絡結構,運營成本低的解決方案。
----從概念上講,IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網絡的情況(如運營商的運營商)。
----圖1給出了實現IP-VPN的一個通用方案。其中,CE路由器是用于將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。
----站點是指這樣一組網絡或子網,它們是用戶網絡的一部分,并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位于不同的幾個VPN之中。
----圖2顯示了一個服務提供者網絡支持多個VPN的情況。如圖2所示,一個站點可以同時屬于多個VPN。依據一定的策略,屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉發能力,也可以不提供這種能力。當一個站點同時屬于多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
----MPLS為實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎,服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己的網絡如何支持IP-VPN。所以,在MPLS/ATM網絡中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
----本節介紹一種在公共網中使用MPLS提供IPVPN業務的方法。該方法使用LDP的一般操作方式,即拓撲驅動方式來實現基本的LSP建立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。
----圖3 給出了在MPLS/ATM核心網絡中提供IPVPN業務的一種由LER和LSR構成的網絡配置。
----LER(標記邊緣路由器)
----LER是MPLS的邊緣路由器,它位于MPLS/ATM服務提供者網絡的邊緣。對于VPN用戶的IP業務量,LER將是VPN隧道的出口與入口節點。如果一個LER同時為多個用戶所共享,它還應當具有執行虛擬路由的能力。這就是說,它應當為自己服務的各個VPN分別建立一個轉發表,這是因為不同VPN的IP地址空間可能是有所重疊的。
----LSR(標記交換路由器)
----MPLS/ATM核心網絡是服務提供者的下層網絡,它為用戶的IP-VPN業務所共享。
----建立IP-VPN區域的操作
----希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IPVPN區域。作為一種普通的LDP操作,基本的LSP 建立過程將使用拓撲驅動方法來進行,這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于VPN內部路由,則將使用兩級LSP隧道(標記堆棧)。
----VPN成員
----每一個LER都有一個任務,即發現在VPN區域中為同一 IPVPN服務的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道,所以 LER發現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網絡LSP,向下游發送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。
----LDP Hello消息實際上是一種查詢消息,通過這一消息,發送方可以獲知在目的LER處是否存在與發送方LSR同屬一個VPN的LER(對等實體)。新的Hello消息相鄰實體注冊完成之后,相關的兩個LER之間將開始發起LDP會話。隨后,其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之后,對等LER之間的會話便建立起來了。此后,雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,并被置于原有的標記之上。
----VPN成員資格和可到達性信息的傳播
----通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER 是為同一個VPN服務的。LER將與其所屬的VPN區域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地建立LDP會話。
----VPN內的可到達性
----最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IPVPN的一員時,配置信息將包含它在VPN內部要使用的路由協議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成為其他LER的相鄰路由器。在VPN內部路由方案中,每一次發現階段結束之后,每一個LER 都將發布通過它可以到達的、VPN用戶的地址前綴。
----IP分組轉發
----LER之間的路由信息交互完成之后,各個LER都將建立起一個轉發表,該轉發表將把VPN用戶的特定地址前綴(FEC轉發等價類)與下一跳聯系起來。當收到的IP分組的下一跳是一個LER時,轉發進程將首先把用于該LER的標記(嵌套隧道標記)推入標記棧,隨后把能夠到達該LER的基本網絡LSP上下一跳的基本標記推入標記分組,接著帶有兩個標記的分組將被轉發到基本網絡LSP中的下一個LSR;當該分組到達目的LER時,最外層的標記可能已經發生許多次的改變,而嵌套在內部的標記始終保持不變;當標記棧彈出后,繼續使用嵌套標記將分組發送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
----本節將對一種在公共網中使用MPLS和多協議邊界網關協議來提供IP-VPN業務的方法進行介紹,其技術細節可以參見RFC 2547。
----圖1 給出了在MPLS/ATM核心網絡中提供IPVPN業務的、由LER和LSR構成的網絡配置,圖4則給出了使用RFC 2547的網絡模型。
----提供者邊緣(PE)路由器
----PE路由器是與用戶路由器相連的服務提供者邊緣路由器。
----實際上,它就是一個邊緣LSR(即MPLS網絡與不使用 MPLS的用戶或服務提供者之間的接口)。
----用戶邊緣(CE)路由器
----CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協議或信令。
----提供者(P)路由器
----P路由器是指網絡中的核心LSR。
----站點(Site)
----站點是指這樣一組網絡或子網:它們是用戶網絡的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
----路徑區別標志
----服務提供者將為每一個VPN分配一個唯一的標志符,該標志符稱為路徑區別標志(RD),它對應于服務提供者網絡中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉發表里將包含一系列唯一的地址,這些地址稱為VPNIP 地址,它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務提供者網絡中的每一個端點都是唯一的,對于VPN中的每一個節點(即VPN中的每一個PE路由器),轉發表中都將存儲有一個條目。
----連接模型
----圖4給出了MPLS/BGP VPN的連接模型。
----從圖4中可以看出,P路由器位于MPLS網絡的核心。PE路由器將使用MPLS與核心MPLS網絡通信,同時使用IP路由技術來與CE路由器通信。P與PE路由器將使用IP路由協議(內部網關協議)來建立MPLS核心網絡中的路徑,并且使用LDP實現路由器之間的標記分發。
----PE路由器使用多協議BGP4來實現彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網狀連接。特別地,圖4中的PE處于同一自治域中,它們之間使用內部BGP(iBGP)協議。
----P路由器不使用BGP協議而且對VPN一無所知,它們使用普通的MPLS協議與進程。
----PE路由器可以通過IP路由協議與CE路由器交換IP路徑,也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別了解。
----PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。為了實現路徑分發,BGP使用VPN-IP地址(由RD和IPv4地址構成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發生VPN-IP地址重復的情況。
----PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉發到正確的LSP上。
----這一方案使用兩級標記:內部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發給正確的PE。
----建立IP-VPN區域的操作
----希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置;為了與CE進行通信,還必須進行普通的路由協議配置;為了與MPLS核心網絡進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持VPN。
>----VPN成員資格和可到達性信息的傳播
----PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。
----PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。
----PE路由器將為其支持的每一個VPN分別建立路由表和轉發表,與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。
----IP分組轉發
----PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉發表,該轉發表將把VPN用戶的特定地址前綴與下一跳PE路由器聯系起來。
----當收到發自CE路由器的IP分組時,PE路由器將在轉發表中查詢該分組對應的VPN。
----如果找到匹配的條目,路由器將執行以下操作:
----如果下一跳是一個PE路由器,轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用于把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳;帶有兩級標記的分組將被轉發到基本網絡LSP上的下一個LSR。
----P路由器(LSR)使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時,最外層的標記可能已發生多次改變,而嵌套在內部的標記保持不變。
----當PE收到分組時,它使用內部標記來識別VPN。此后,PE將檢查與該VPN相關的路由表,以便決定對分組進行轉發所要使用的接口。
----如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網絡提供者具備這一能力)。如果找不到路由,相應分組將被丟棄。
----VPNIP轉發表中包含VPNIP地址所對應的標記,這些標記可以把業務流路由至VPN中的每一個站點。這一過程由于使用的是標記而不是IP 地址,所以在企業網中,用戶可以使用自己的地址體系,這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯(NAT)。通過為每一個VPN使用不同的邏輯轉發表,不同的VPN業務將可以被分開。使用BGP協議,交換機可以根據入口選擇一個特定的轉發表,該轉發表可以只列出一個VPN有效目的地址。
----為了建立企業的Extranet,服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
----安全
----在服務提供者網絡中,PE所使用的每一個分組都將與一個RD相關聯,這樣,用戶無法將其業務流或者是分組偷偷送入另一個用戶的VPN。要注意的是,在用戶數據分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業務相同的安全等級。
第四篇:VPN研究報告
一、前言
互聯網的普及、移動通信技術的進步、信息化程度的提高,使全世界的數字信息高度共
享成為可能。中國高校也越來越重視數字化校園的開發,依托先進的網絡技術開展電化教學、電子教學資源的建設。而作為電子教學資源的重點之一,電子圖書館的建設已經成為當今數字化校園建設的新亮點。國內很多高校近幾年都從網上購置了大量的電子數據供廣大師生開展教學研究。這些資源對于學校學科建設和科學研究工作有很重要的意義,數字圖書館的建設和應用已經成為高校信息化建設和現代教育技術改革工作的一大重點。
二、選題背景
隨著教育信息化的深入,很多學校都建立了校園網,為了實現校內資源優化整合,讓師
生們更好的進行工作和學習,他們需要在校園網內部或在校外的遠程節點上,隨時享受校園網內部的各項服務,然而由于互聯網黑客對各高校的資源虎視眈眈,在沒有經過任何允許的情況下,黑客們很容易就潛入校園網內部進行搗亂,為此,多數校園網都不會將自己的各種應用系統和所有信息資源完全開放,因為這樣讓整個校園網面臨無以估量的破壞性損失,為了網絡安全考慮,將vpn技術應用于基于公共互聯網構架的校園網,可以較好的解決校園網多校區、遠程訪問、遠程管理等問題。
三、vpn簡介
虛擬專用網(vpn)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安
全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
四、vpn功能
vpn可以提供的功能: 防火墻功能、認證、加密、隧道化。
vpn可以通過特殊的加密的通訊協議在連接在internet上的位于不同地方的兩個或多個
企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。vpn技術原是路由器具有的重要技術之一,在交換機,防火墻設備或windows 2000等軟件里也都支持vpn功能,一句話,vpn的核心就是在利用公共網絡建立虛擬私有網。
五、vpn常用的網絡協議
常用的虛擬私人網絡協議有:
ipsec : ipsec(縮寫ip security)是保護ip協議安全通信的標準,它主要對ip協議分組進行加密和認證。ipsec作為一個協議族(即一系列相互關聯的協議)由以下部分組成:(1)保護分組流的協議;(2)用來建立這些安全分組流的密鑰交換協議。前者又分成兩個部分: vpn加密分組流的封裝安全載荷(esp)及較少使用的認證頭(ah),認證頭提供了對分組流的認證并保證其消息完整性,但不提供保密性。目前為止,ike協議是唯一已經制定的密鑰交換協議。
pptp: point to point tunneling protocol--點到點隧道協議。在因特網上建立ip虛擬專用網
(vpn)隧道的協議,主要內容是在因特網上建立多協議安全虛擬專用網的通信方式。l2f: layer 2 forwarding--第二層轉發協議
l2tp: layer 2 tunneling protocol--第二層隧道協議 gre:vpn的第三層隧道協議
六、vpn研究問題
? vpn如何解決校園網安全風險
對于校園網而言,它雖然給師生帶來了資源共享的便捷,但同時也意味著具有安全風險,比如非授權訪問,沒有預先經過授權,就使用校園網絡或計算機資源;信息泄漏或丟失,重要數據在有意或無意中被泄漏出去或丟失;以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息;不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓;利用網絡傳播計算機病毒等。那么,校園網利用vpn技術方案,是否能避免校園網的潛在安全隱患,杜絕上述情況的發生呢?
vpn即虛擬私有網絡技術,它的安全功能包括:通道協議、身份驗證和數據加密,實際工作時,遠程外網客戶機向校園網內的vpn服務器發出請求,vpn服務器響應請求并向客戶機發出身份質詢,客戶機將加密的響應信息發送到vpn服務端,vpn服務器根據用戶數據庫檢查該響應,如果賬戶有效,vpn服務器將檢查該用戶是否具有遠程訪問的權限,如果該用戶擁有遠程訪問的權限,vpn服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。簡單來說,vpn可以通過對校園網內的數據進行封包和加密傳輸,在互聯網公網上傳輸私有數據、達到私有網絡的安全級別。? 選擇ipsec vpn還是ssl vpn 校園網vpn方案可以通過公眾ip網絡建立了私有數據傳輸通道,將遠程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來,減輕了校園網的遠程訪問費用負擔,節省電話費用開支,不過對于端到端的安全數據通訊,還需要根據實際情況采取不同的架構。一般而言,ipsec vpn和ssl vpn是目前校園網vpn方案采用最為廣泛的安全技術,但它們之間有很大的區別,總體來說,ipsec vpn是提供站點與站點之間的連接,比較適合校園網內分校與分校的連接;而ssl vpn則提供遠程接入校園網服務,比如適合校園網與外網的連接。
從vpn技術架構來看,ipsec vpn是比較理想的校園網接入方案,由于它工作在網絡層,可以對終端站點間所有傳輸數據進行保護,可以實現internet多專用網安全連接,而不管是哪類網絡應用,它將遠程客戶端置于校園內部網,使遠程客戶端擁有內部網用戶一樣的權限和操作功能。ipsec vpn還要求在遠程接入客戶端適當安裝和配置ipsec客戶端軟件和接入設備,這大大提高了安全級別,因為訪問受到特定的接入設備、軟件客戶端、用戶認證機制和預定義安全規則的限制。而且這些ipsec客戶端軟件能實現自動安裝,不需要用戶參與,因而無論對網管還是終端用戶,都可以減輕安裝和維護上的負擔。? vpn為校園網帶來哪些應用
在校園網中,通過vpn給校外住戶、分校區用戶、出差遠程辦公用戶、遠程工作者等提供一種直接連接到校園局域網的服務。那么,vpn能為校園網帶來哪些具體應用優勢呢?首先就是辦公自動化,比如校園辦公樓共有40個信息點,此時可以通過校園網連至internet用戶,實現100m甚至1000m到桌面的帶寬,并對財務科、人事科等科室進行單獨子網管理。還可以利用vpn在校園網內建立考試監控系統、綜合多媒體教室等,比如學校具有兩個多媒體教室,每個教室60臺pc,通過校園網上連至internet,實現遠程多媒體教學的目的。也可以將學生、教職工宿舍區的pc通過校園網上連至internet,而不進行任何布置。
校園網采用vpn技術可以降低使用費,遠程用戶可以通過向當地的isp申請賬戶登錄到internet,以internet作為通道與企業內部專用網絡相連,通信費用大幅度降低;學校可以節省購買和維護通信設備的費用。現在很多大學都有多個分校,各個分校和培訓場所網絡整合使學校的信息化管理成本必然的增加,比如學校的數據存儲,許多學校都采用了分布式存儲方式,其具有較低的投資花費和軟件部署的靈活性,然而其管理難度高,后期維護成本高,如果采取vpn服務器,可以對各分校進行web通訊控制,同時又可以實現分校訪問互通。為了讓師生共享圖書資源,與國外高校合作交換圖書館數據,以及向國外商業圖書館交納版權費,獲得更多電子文獻資料的瀏覽權,很多高校都建立了數字圖書館,但在應用上也會產生相應的約束性,比如說為了保證數據信息的知識產權,瀏覽者必須是已繳納版權費的本校內網地址,或則被校方授權過的內部合法師生,此時采用vpn加密技術,數據在internet中傳輸時,internet上的用戶只看到公共的ip地址,看不到數據包內包含的專用網絡地址。不僅可以實現將校園網的連續性擴展到校外;在校外可以訪問校內未向互聯網開放的資源。同時又確保了校園數字圖書館的易用性和安全性。? vpn支持哪種校園網接入方式
在教育機構的校園網,由于不同地區、不同學校的條件不同,它們選擇的網絡接入方式也有差異,比如條件不大好的中小學校,可能還在采取模擬電話、isdn、adsl撥號上網,而對于條件好的高校,則采取了光纖或ddn、幀中繼等專線連接,那么,vpn方案到底支持哪種接入方式呢?實際上,vpn可以支持最常用的網絡協議,因為在internet上組建vpn,用戶計算機或網絡需要建立到isp連接,與用戶上網接入方式相似,比如基于ip、ipx和netbui協議的網絡中的客戶機都能使用vpn方案。
七、vpn在校園圖書館系統中的調查分析
數字圖書館的版權問題不容忽視,不管什么類型的圖書,都要遵循數字版權保護(digital rights management,drm)的規定,通過安全和加密技術控制數字內容及其分發途徑,從而防止對數字產品非授權使用。
正是在這樣一種保護知識產權的背景下,高校圖書館所購買的電子資源大部分都有限制訪問的ip地址范圍。即:
1、采購的這些數據庫不是存放在圖書館服務器上,而是存儲在提供商的服務器上,圖書館支付費用以后,數據庫服務商是根據訪問者的ip地址來判斷是否是經過授權的用戶。
2、只要是從校園網出去的ip地址都是認可的,因為校園網出口ip和部分公網ip地址是屬于這個有限范圍的,所以校園網上的所有上網計算機都可以使用。
3、如果教師、學生在家里上網或者一個老師到外地出差需要訪問這些電子資源,無論采用pstn撥號、adsl、小區寬帶,使用的都是社會網絡運營商提供的ip地址,不是校園網的ip地址范圍,因此數據庫服務商認為是非授權用戶,拒絕訪問。當然,我們也可以要求服務商進一步開放更多的ip地址為合法用戶,但是這要求訪問者的ip地址是固定的、靜態的,而實際上,絕大多數校外用戶使用的都是動態ip地址,是不確定的,所以數據庫服務商無法確定訪問者的合法身份,因而自動屏蔽。
因此,就需要一套可管理、可認證、安全的遠程訪問電子圖書館的解決方案,將校園網當作校外用戶的中轉站,使校外用戶通過鑒權后擁有校內地址再訪問資源數據庫。到底有沒有這樣一種方案呢?虛擬專用網即vpn技術,給了我們很好的答案。vpn是虛擬專用網的簡稱,虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠isp(internet service provider 服務提供商)和其它nsp(networkservice provider網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的物理鏈路資源動態組成的。
實際上,目前國內已經有不少高校采用了或者正常嘗試使用vpn技術來解決這個問題,而且大多是采用的ipsec vpn技術。利用ipsec技術,校外用戶在本機安裝一個vpn客戶端軟件后經過配置連入圖書館網絡,ipsec vpn中心端會給每個遠程用戶分配一個校園網ip地址,從而實現遠程用戶以校園網用戶身份訪問電子資源。
雖說ipsec vpn是目前vpn的主流技術之一,但ipsec協議最初是為了解決site to site的安全問題而制定的,因此在此基礎上建立的遠程接入方案在面臨越來越多的end to site應用情況下已經力不從心。
首先是客戶端配置問題:在每個遠程接入的終端都需要安裝相應的ipsec客戶端,并且需要做復雜的配置,隨著這種遠程接入客戶端安裝數量的增多將給網絡管理員帶來巨大的挑戰。雖然一些領先的公司已經解決了ipsec 客戶端難以配置和維護的問題,但是還是無法避免在每個終端上安裝客戶端的麻煩,而且即使這些客戶端很少出問題,但隨著用戶數量的增多,每天需要維護的客戶端絕對數量也不少。
其次是ipsec vpn自身安全問題:往往傳統的ipsec 解決方案都沒有很好的解決移動用戶接入到私有網絡的安全控制問題,這樣就為病毒傳播和黑客入侵提供了很多可能的途徑,并且在如何針對不同用戶身份設定對不同資源的訪問權限上也存在不少缺陷(隨著技術的發展,新興的vpn廠商已經著手改進這些問題并取得了相應的成績)。
然后是對網絡的支持問題:傳統的ipsec vpn在網絡適應性上都存在一些問題,雖然一些領導廠商已經或正在解決網絡兼容性問題,但由于ipsec vpn對防火墻的安全策略的配置較為復雜(往往要開放一些非常用端口),因此客戶端的網絡適應性還是不能做到百分之百完美。
最后是移動設備支持問題:隨著未來通訊技術的發展,移動終端的種類將會越來越多,ipsec 客戶端需要有更多的版本來適應這些終端,但隨著終端種類的爆炸性增長,這幾乎是不可能的。
因此,ssl vpn技術應運而生。ssl vpn的突出優勢在于web安全和移動接入,它可以提供遠程的安全接入,而無需安裝或設定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前,對ssl vpn公認的三大好處是:首先來自于它的簡單性,它不需要配置,可以立即安裝、立即生效;第二個好處是客戶端不需要安裝,直接利用瀏覽器中內嵌的ssl協議就行;第三個好處是兼容性好,可以適用于任何的終端及操作系統。所有的校外用戶只需要打開ie瀏覽器訪問圖書館的internet ip即可成功接入圖書館,ssl vpn技術采用了一種類似代理性質的技術,所有的訪問都是以ssl vpn設備的lan口的名義發起的,所以只要ssl vpn設備的lan口ip是一個合法的校園網ip,所有成功接入ssl的校外用戶都可以成功訪問這個ssl vpn設備lan口所能訪問的資源。
但ssl vpn并不能取代ipsec vpn。因為,這兩種技術目前應用在不同的領域。ssl vpn考慮的是應用軟件的安全性,更多應用在web的遠程安全接入方面;而ipsec vpn是在兩個局域網之間通過internet建立的安全連接,保護的是點對點之間的通信,并且,ipsec工作于網絡層,不局限于web應用。它構建了局域網之間的虛擬專用網絡,對終端站點間所有傳輸數據進行保護,而不管是哪類網絡應用,安全和應用的擴展性更強。從高校應用來看,由于ssl接入方式下所有用戶的訪問請求都是從ssl vpn設備的lan口發起的,對于那些對單個用戶流量有嚴格限制的資源商來說,這些ssl用戶的訪問會被當成一個用戶對待,很快就會因為達到資源商的流量限制而造成該ip被禁用,也就導致所有ssl用戶無法繼續訪問圖書館資源。
那么,高校圖書館應該選擇何種vpn技術以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看,比較合理的應用方式應該是ipsec和ssl共同使用。
正如我們前面所分析的,上游資源商對于資源的應用是有限制的,除了限制發起請求的ip地址外,還會限制單個ip地址所產生的流量,因此在圖書館大量的校外用戶群中,我們將用戶分為兩個類型,一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶(以教師為主,數量較少),另一類則是使用次數較少、訪問數據不多的用戶(以學生為主,數量較多),通過用戶劃分,我們給訪問量大但數量少的教師用戶分配ipsec接入方式,這樣就可以把大量的用戶流量分配到不同的ip地址上,避免單個ip流量過大造成的問題,而那些數量眾多但訪問量小的學生用戶分配ssl接入方式,利用ssl vpn無需部署客戶端的特性大大降低客戶端的維護工作量,從而實現vpn在圖書館應用的快速部署。經過長時間的測試,華師圖書館選擇使用國內專業vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺:sinfor m5100-s。該產品在一臺網關上同時集成了ipsec和ssl vpn功能,利用兩種技術的集成很好解決了圖書館應用的需求,同時一體化的設計能夠大幅度的降低整個vpn產品的投入,滿足教育行業低成本高效率it建設的需求。
八、結論
vpn技術代表了當今網絡發展的最新趨勢,它綜合了傳統數據網絡性能的優點(安全和qos)和共享數據網絡結構的優點(簡單和低成本),能夠提供遠程訪問,外部網和內部網的安全連接,建設與維護費用比專線網絡要低得多.而且,vpn在降低成本的同時滿足了對網絡帶寬,接入和服務不斷增加的需求.根據調查數據表明,用vpn替代租用線路來連接遠程站點可節約20%~47%的開支,這么一種經濟,安全和靈活的技術,在國外圖書館已經逐步普及.在國內,一些高校圖書館也開始應用vpn技術實現多校區圖書館互聯和開展一些遠程文獻信息服務.vpn技術在高校圖書館的應用,必將提高圖書館利用效率,為圖書館的遠程文獻信息服務打開新局面,尤其為多校區圖書館之間資源的共享提供安全,高效,經濟的網絡傳輸和數據訪問途徑.隨著vpn技術的日益成熟,它將在圖書館得到更為廣泛的應用。
第五篇:VPN說明書.
VPN 使用說明書 申請/重置賬號密碼:http://self.cczu.edu.cn/index/addvpnwlan(無賬號或忘記密碼時,進行申請或重置密碼)用戶自助修改密碼:http://219.230.159.60:8080/selfservice(有密碼時,進行修改)中國移動、中國電信、聯通、和教育網用戶請分別點擊上面的圖標進行訪問; 在您首次使用的時候,系統將自動下載安裝插件至所在計算機,請您留意頁面提示并安裝; 當插件安裝完畢之后,正常進入登錄窗口,使用用戶名和密碼進行登錄; 6 登錄成功后,即進入用戶使用頁面,此時即可訪問校內和校外指定資源。7 訪問校內資源時請不要關閉本頁;訪問結束后請及時退出。vista系統使用需進行以下操作:通過把“控制面板”--“用戶帳戶”--“打開或關閉?用戶帳戶控制?”中的選項去掉即可,即不要選中“使用用戶帳戶控制(UAC)幫助保護您的計算機”,點“確定”,從新啟動計算機。9 使用GHOST安裝操作系統的用戶,可能會無法使用sslvpn。
注意事項:
一、若成功登錄后,不能正常下載及瀏覽文件,請首先確認您的計算機上是否已經安裝相應的文件瀏覽器或閱讀器;
二、若不能正常安裝請查看以下說明:
1、瀏覽器安全級別太高,請到中或默認級別,或調整以下設置: A、瀏覽器禁止下載ActiveX控件,設設置允許下載控件;
B、瀏覽器禁止運行ActiveX控件,設設置允許運行控件;
C、瀏覽器禁止ActiveX控件執行腳本,設設置允許執行腳本;
2、瀏覽器插件攔截控件下載,如上網安全助手等,請設置允許下載
3、可瀏覽器安全中將本頁為信任站點
4、瀏覽器要求使用IE5以上版本
5、本系統支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統
四、因帶寬不足,為提高速度,提高訪問效率,請不要在校內使用;不使用時請及時退出系統;10分鐘內如不使用本系統,系統將自動斷線。
五、如果長時間不能建立隧道,或者不能獲取ip地址,請將防火墻和殺毒軟件先行關閉或者卸載,成功連接后,再次把防火墻和殺毒軟件打開或安裝。
六、如有疑問請撥打:86330350
點擊咨詢 