第一篇:VPN的典型隧道協(xié)議
VPN的典型隧道協(xié)議
隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。
使用隧道傳遞的數(shù)據(jù)(或負載)可以是不同協(xié)議的數(shù)據(jù)楨(此字不正確)或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。
新的包頭提供了路由信息,從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。
被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達網(wǎng)絡(luò)終點,數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。
注意隧道技術(shù)是指包括數(shù)據(jù)封裝,傳輸和解包在內(nèi)的全過程。
1、點對點隧道協(xié)議(PPTP)
點對點隧道協(xié)議(PPTP,Point-to-point Tunneling Protocol)是一種用于讓遠程用戶撥號連接到本地ISP,通過因特網(wǎng)安全遠程訪問公司網(wǎng)絡(luò)資源的新型技術(shù)。PPTP對PPP協(xié)議本身并沒有做任何修改,只是使用PPP撥號連接,然后獲取這些PPP包,并把它們封裝進GRE頭中。PPTP使用PPP協(xié)議的PAP或CHAP(MS-CHAP)進行認證,另外也支持Microsoft公司的點到點加密技術(shù)(MPPE)。PPTP支持的是一種客戶-LAN型隧道的VPN實現(xiàn)。
傳統(tǒng)網(wǎng)絡(luò)接入服務(wù)器(NAS)執(zhí)行以下功能:它是PSTN或ISDN的本地接口,控制著外部的MODEM或終端適配器:它是PPP鏈路控制協(xié)議會話的邏輯終點;它是PPP認證協(xié)議的執(zhí)行者;它為PPP多鏈路由協(xié)議進行信道匯聚管理;它是各種PPP網(wǎng)絡(luò)控制協(xié)議的邏輯終點。PPTP協(xié)議將上述功能分解成由兩部分即PAC(PPTP接入集中器)和PNS(PPTP網(wǎng)絡(luò)服務(wù)器)來分別執(zhí)行。這樣一來,撥號PPP鏈路的終點就延伸至PNS。
PPTP協(xié)議正是利用了“NAS功能的分解”這樣的機制支持在因特網(wǎng)上的VPN實現(xiàn)。ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能。而企業(yè)VPN中心服務(wù)器將執(zhí)行PNS的功能,通過PPTP,遠程擁護首先撥號到本地ISP的NAS,訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用,而不再需要直接撥號至企業(yè)的網(wǎng)絡(luò),這樣,由GRE將PPP報文封裝成IP報文就可以在PAC-PNS之間經(jīng)由因特網(wǎng)傳遞,即在PAC和PNS之間為用戶的PPP會話建立一條PPTP隧道。
建立PPTP連接,首先需要建立客戶端與本地ISP的PPP連接。一旦成功的接入因特網(wǎng),下一步就是建立PPTP連接。從最頂端PPP客戶端、PAC 和PNS服務(wù)器之間開始,由已經(jīng)安裝好PPTP的PAC建立并管理PPTP任務(wù)。如果PPP客戶端將PPTP添加到它的協(xié)議中,所有列出來的PPTP通信都會在支持PPTP的客戶端上開始與終止。由于所有的通信都將在IP包內(nèi)通過隧道,因此PAC只起著通過PPP連接進因特網(wǎng)的入口點的作用。從技術(shù)上講,PPP包從PPTP隧道的一端傳輸?shù)搅硪欢耍@種隧道對用戶是完全透明的。
PPTP具有兩種不同的工作模式,即被動模式和主動模式。被動模式的PPTP會話通過一個一般是位于ISP處的前端處理器發(fā)起,在客戶端不需要安裝任何與PPTP有關(guān)的軟件。在撥號連接到ISP的過程中,ISP為用戶提供所有的相應(yīng)服務(wù)和幫助。被動方式的好處是降低了對客戶的要求,缺點是限制了客戶對因特網(wǎng)其他部分的訪問。
主動方式是由客戶建立一個與網(wǎng)絡(luò)另外一端服務(wù)器直接連接的PPTP隧道,這種方式不需要ISP的參與,不再需要位于ISP處的前端處理器,ISP只提供透明的傳輸通道。這種方式的優(yōu)點是客戶擁有對PPTP的絕對控制,缺點是對用戶的要求較高,并需要在客戶端安裝支持PPTP的相應(yīng)軟件。
通過PPTP,遠程用戶經(jīng)由因特網(wǎng)訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用,而不再需要直接撥號至企業(yè)的網(wǎng)絡(luò)。這樣大大的減少了建立和維護專用遠程線路的費用。且為企業(yè)提供了充分的安全保證。另外,PPTP還在IP網(wǎng)絡(luò)中支持IP協(xié)議。PPTP“隧道”將IP、IPX、APPLE-TALK等協(xié)議封裝在IP包中,使用戶能夠運行基于特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。同時,“隧道”采用現(xiàn) 有的安全檢測和認證策略,還允許管理員和用戶對數(shù)據(jù)進行加密,使數(shù)據(jù)更加安全。PPTP還提供了靈活的IP地址管理。如果企業(yè)專用的網(wǎng)絡(luò)使用未經(jīng)注冊的IP地址,那么PNS將把此地址和企業(yè)專用地址聯(lián)系起來。
PPTP協(xié)議是一個為中小企業(yè)提供的VPN解決方案,但PPTP協(xié)議在實現(xiàn)上存在著重大安全隱患。有研究表明其安全性甚至比PPP還要弱,因此不適用于需要一定安全保證的通信。如果條件允許,用戶最好選擇完全能夠替代PPTP的下一代二層協(xié)議L2TP。
2、第二層轉(zhuǎn)發(fā)(L2F)
L2F由Cisco公司在1998年5月提交給IETF,RFC2341對L2F有詳細的闡述。L2F可以在多種介質(zhì)(如AMT、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)。它將鏈路層的協(xié)議(如HDLC,PPP,ASYNC等)封裝起來傳送。因此,網(wǎng)絡(luò)的鏈路層完全獨立于用戶的鏈路層協(xié)議。L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò),首先按常規(guī)方式撥號到ISP的接入服務(wù)器(NAS),建立PPP連接:NAS根據(jù)用戶名等信息,發(fā)起第二重連接,呼叫用戶網(wǎng)絡(luò)的服務(wù)器。在這種方式下隧道的建立和配置對用戶是完全透明的。L2F允許撥號接入服務(wù)器發(fā)送PPP幀傳輸并通過WAN連接到達L2F服務(wù)器。L2F服務(wù)器將包去封裝后把它們接入到公司自己的網(wǎng)絡(luò)中。
3、二層隧道協(xié)議(L2TP)
L2TP協(xié)議的前身是Microsoft公司的點到點隧道協(xié)議(PPTP)和Cisco公司的二層轉(zhuǎn)發(fā)協(xié)議(L2F)。PPTP協(xié)議是一個為中小企業(yè)提供的VPN解決方案。但PPTP協(xié)議在實現(xiàn)上存在著重大安全隱患,有研究表明其安全性甚至比PPP還要弱,因此不適用于需要一定安全保證的通信。L2F協(xié)議是一種安全通信隧道協(xié)議,但它的主要缺陷是沒有把標準加密方法包括在內(nèi),因此它也已經(jīng)成為一個過時的隧道協(xié)議。IETF的開放標準L2TP協(xié)議結(jié)合了PPTP協(xié)議和L2F的優(yōu)點,特別適合組建遠程接入方式的VPN,已經(jīng)成為事實上的工業(yè)標準。
遠程撥號的用戶通過本地PSTN、ISDN或PLMN撥號,利用ISP提供的VPDN特服號,接入ISP在當?shù)氐慕尤敕?wù)器(NAS)。NAS通過當?shù)氐腣PDN的管理系統(tǒng)(如認證系統(tǒng)),對用戶身份進行認證,并獲得用戶對應(yīng)的企業(yè)安全網(wǎng)關(guān)(CPE)的隧道屬性(如企業(yè)網(wǎng)關(guān)的IP地址等)。NAS根據(jù)獲得的這些信息,采用適當?shù)乃淼绤f(xié)議封裝上層協(xié),議建立一個位于NAS和LNS(本地網(wǎng)絡(luò)服務(wù)器)之間的虛擬轉(zhuǎn)網(wǎng)。
4、多協(xié)議標記交換(MPLS)
MPLS為每個IP包加上一個固定長度的標簽,并根據(jù)標簽值轉(zhuǎn)發(fā)數(shù)據(jù)包。MPLS實際上就是一種隧道技術(shù),所以使用它來建立VPN隧道是十分容易的。同時,MPLS是一種完備的網(wǎng)絡(luò)技術(shù),可以用它來建立起VPN成員之間簡單而高效的VPN。MPLS VPN適用于實現(xiàn)對服務(wù)質(zhì)量、服務(wù)等級的劃分以及網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。
CE路由器是用于將一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。CE路由器不使用MPLS,它可以只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。PE路由器是與用戶CE路由器相連的服務(wù)提供者邊緣路由器。PE實際上就是MPLS中的邊緣標記交換路由器(LER),它需要能夠支持BGP協(xié)議,一種或幾種IGP路由協(xié)議以及MPLS協(xié)議,需要能夠執(zhí)行IP包檢查、協(xié)議轉(zhuǎn)換等功能。
用戶站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng),它們是用戶網(wǎng)絡(luò)的一部分并且通過一條或多條PE/CE鏈路接至VPN。一組共享相同路由信息的站點就構(gòu)成了VPN。一個站點可以同時位于不同的幾個VPN之中。
從MPLS VPN網(wǎng)絡(luò)的結(jié)構(gòu)可以看到,與前幾種VPN技術(shù)不同,MPLS VPN網(wǎng)絡(luò)中的主角雖然仍然是邊緣路由器(此時是MPLS網(wǎng)絡(luò)的邊緣LSR),但是它需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由都能夠支持MPLS,所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。
5、IP安全(IPSec)
IPSec是專門為IP設(shè)計提供安全服務(wù)的一種協(xié)議(其實是一種協(xié)議族)。IPSec可有效保護IP數(shù)據(jù)報的安全,所采取的具體保護形式包括:數(shù)據(jù)源驗證、無連接數(shù)據(jù)的完整性驗證、數(shù)據(jù)內(nèi)容的機密性保護、抗重播保護等。
IPSec主要由AH(認證頭)、ESP(封裝安全載荷)、IKE(因特網(wǎng)密鑰交換)三個協(xié)議組成,各協(xié)議之間的關(guān)系如下圖所示
①AH為IP數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認證,同時具有防重放攻擊的能力。數(shù)據(jù)完整性校驗通過消息認證碼(如MD5)產(chǎn)生的校驗來保證;數(shù)據(jù)源身份認證通過在待認證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn);AH報頭中的序列號可以防止重放攻擊。
②ESP為IP數(shù)據(jù)包提供數(shù)據(jù)的保密性(加密)、無連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認證以及防重放攻擊保護。其中的數(shù)據(jù)保密性是ESP的基本功能,而數(shù)據(jù)源身份證、數(shù)據(jù)完整性檢驗以及重放保護都是可選的。
③AH和ESP可以單獨使用,也可以結(jié)合使用,甚至嵌套使用。通過這些組合方式,可以在兩臺主機、兩臺安全網(wǎng)關(guān)(防火墻和路由器),或者主機與安全網(wǎng)關(guān)之間使用。
④解釋域(DOI)將所有的IPSec協(xié)議捆綁在一起,是IPSec安全參數(shù)的主要數(shù)據(jù)庫。
⑤密鑰管理包括IKE協(xié)議和安全聯(lián)盟(SA)等部分。IKE提供密鑰確定、密鑰管理。它在通信系統(tǒng)之間建立安全聯(lián)盟,是一個產(chǎn)生和交換密鑰材料并協(xié)調(diào)IPSec參數(shù)框架。
IPSec可以在主機、路由器/防火墻(創(chuàng)建一個安全網(wǎng)關(guān))或兩者中同時實施和部署。用戶可以根據(jù)對安全服務(wù)的要求決定究竟在什么地方實施。、為實現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸,IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對收到的數(shù)據(jù)報進行處理,在去除明文IP包頭,對內(nèi)容進行解密之后,獲的最初的負載IP包。負載IP包在經(jīng)過正常處理之后被路由到位于目標網(wǎng)絡(luò)的目的地。
6、通用路由封裝(GRE)
通用路由協(xié)議封裝(GRE)是由Cisco和NetSmiths等公司1994年提交給IETF的,標號為RFC1701和RFC1702。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GER隧道協(xié)議。
GER規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GER的隧道由兩端的 源IP和目的IP來定義,允許用戶使用IP包封裝IP、IPX、AppleTalk包,并支持全部的路由協(xié)議(如RIP2、OSPF等)。通過GER,用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò),還可以使用保留地址進行網(wǎng)絡(luò)互聯(lián),或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GER只提供了數(shù)據(jù)包的封裝,并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊,所以在實際環(huán)境中經(jīng)常與IPSec在一起使用,由IPSec提供用戶數(shù)據(jù)的加密,從而給用戶提供更好的安全性。GER的實施策略以及網(wǎng)絡(luò)結(jié)構(gòu)與IPSec非常相似,只需要網(wǎng)絡(luò)邊緣的接入設(shè)備支持GER協(xié)議即可。GER封裝的格式如下圖。
第二層和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝,其中GRE、IPSec和MPLS主要用于實現(xiàn)專線VPN業(yè)務(wù),L2TP主要用于實現(xiàn)撥號VPN業(yè)務(wù)(但也可以用于實現(xiàn)專線VPN業(yè)務(wù)),當然這些協(xié)議之間本身不是沖突的,而是可以結(jié)合使用的。
隧道技術(shù)可以分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。上述分層按照開放系統(tǒng)互聯(lián)(OSI)的參考模型劃分。第2層隧道協(xié)議對應(yīng)OSI模型中的數(shù)據(jù)鏈路層,使用楨作為數(shù)據(jù)交換單位。PPTP,L2TP和L2F(第2層轉(zhuǎn)發(fā))都屬于第2層隧道協(xié)議,都是將數(shù)據(jù)封裝在點對點協(xié)議(PPP)楨中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第3層隧道協(xié)議對應(yīng)OSI模型中的網(wǎng)絡(luò)層,使用包作為數(shù)據(jù)交換單位。IP overIP以及IPSec隧道模式都屬于第3層隧道協(xié)議,都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。
第二篇:典型應(yīng)用之--VPN篇
花生殼典型應(yīng)用之--VPN篇
VPN技術(shù)簡介
1.1 概述
VPN的全稱是Virtual Private Network,翻譯過來一般稱為虛擬專用網(wǎng)絡(luò)。其主要作用就是利用公用網(wǎng)絡(luò)(主要是互聯(lián)網(wǎng))將多個私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點連接起來。通過公用網(wǎng)絡(luò)進行連接可以大大降低通信的成本。
一般來說兩臺連接上互聯(lián)網(wǎng)的計算機只要知道對方的IP地址,是可以直接同通信的。不過位于這兩臺計算機之后的網(wǎng)絡(luò)是不能直接互聯(lián)的,原因是這些私有的網(wǎng)絡(luò) 和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議,即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺直接和公用連接的計算機之間建立一個條專用通道。連個私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過這兩臺計算機或設(shè)備打包通過公用網(wǎng)絡(luò)的專用通道進行傳輸,然后在對端解包,還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這 樣對于兩個私有網(wǎng)絡(luò)來說公用網(wǎng)絡(luò)就像普通的通信電纜,而接在公用網(wǎng)絡(luò)上的兩臺計算機或設(shè)備則相當于兩個特殊的線路接頭。
由于VPN連接的特點,私有網(wǎng)絡(luò)的通信內(nèi)容會在公用網(wǎng)絡(luò)上傳輸,出于安全和效率的考慮一般通信內(nèi)容需要加密或壓縮。而通信過程的打包和解包工作則必須通過 一個雙方協(xié)商好的協(xié)議進行,這樣在兩個私有網(wǎng)絡(luò)之間建立VPN通道是需要一個專門的過程,依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備和協(xié)議組成了一個 VPN系統(tǒng)。一個完整的VPN系統(tǒng)一般包括以下幾個單元:
VPN服務(wù)器,一臺計算機或設(shè)備用來接收和驗證VPN連接的請求,處理數(shù)據(jù)打包和解包工作。VPN客戶端,一臺計算機或設(shè)備用來發(fā)起VPN連接的請求,也處理數(shù)據(jù)的打包和解包工作。VPN數(shù)據(jù)通道,一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。
注意所謂的服務(wù)器和客戶端在VPN連接建立之后在通信的角色是一樣的,服務(wù)器和客戶端的區(qū)別在于連接是由誰發(fā)起的而已。這個概念在兩個網(wǎng)絡(luò)之間的連接尤其明顯。
1.2 應(yīng)用情景
我們可以設(shè)想一下的情景:公司的總部在廣州,有兩個辦事處分別在香港和上海,兩個辦事處的網(wǎng)絡(luò)需要和總部連接,同時辦事處之間也需要相互連接。解決這種問題以前只有一種辦法就是分別申請兩條專線連接總部和兩個辦事處,兩個辦事處之前的通信通過總部轉(zhuǎn)發(fā)。長途專線的費用是非常昂貴的,在以前也只有銀行、證券 公司以及大象企業(yè)才有能力負擔。
有了互聯(lián)網(wǎng)和VPN技術(shù)之后解決辦法可以變成這樣,總部通過一條專線和互聯(lián)網(wǎng)連接,兩個辦事處分別在本地申請互聯(lián)網(wǎng)的撥號連接。然后通過在互聯(lián)網(wǎng)上建立兩條VPN通道將三個網(wǎng)絡(luò)連接起來。這樣可以省去長途專線費用。不過互聯(lián)網(wǎng)的專線連接也不便宜,這種解決方案暫時也只有大中型公司可以負擔得起。
那么為什么總部必須使用互聯(lián)網(wǎng)專線呢,這里牽涉到一個VPN的技術(shù)細節(jié),在建立VPN通道的時候,連接的發(fā)起者必須知道接受連接的服務(wù)器的IP地址,就像我們打電話之前必須知道對方的號碼一樣。而普通的撥號連接每次上網(wǎng)的IP地址都不相同。不過現(xiàn)在有一個很好的解決方案,通過花生殼動態(tài)域名服務(wù)可以讓一個撥號連接獲得的IP地址與一個固定的域名綁定在一起,當建立VPN連接的時候,連接建立者只需要輸入連接接受方的域名就可以了。不過接受方的IP地址怎么改變,這個域名都可以解釋到接受方當前的Ip地址上。這樣就可以省去一條互聯(lián)網(wǎng)的專線連接,大大降低了通信的費用,這樣VPN的解決方案中小型企業(yè)也可以負擔得起了。
二、規(guī)劃VPN接入環(huán)境
VPN不但可以用于上述網(wǎng)絡(luò)對網(wǎng)絡(luò)的連接,也可以用于單臺計算機到網(wǎng)絡(luò)的連接。在使用VPN的時候我們需要規(guī)劃一下我們應(yīng)用環(huán)境。
首先我們需要列出需要連接的節(jié)點以及節(jié)點的類型,以及之間的訪問關(guān)系,即由誰發(fā)起連接和向誰發(fā)起連接的問題。這樣我們可以確認在我們環(huán)境中確定哪些地方需要安裝VPN服務(wù)器,哪些地方僅僅是配置客戶端就可以了。
對于需要安裝VPN服務(wù)器的地方我們需要一條比較高速的互聯(lián)網(wǎng)線路,一個固定的IP地址,或者使用花生殼配置一個固定的域名。
下面的介紹時基于微軟間操作系統(tǒng)進行的。微軟的操作系統(tǒng)中提供VPN服務(wù)器功能的有Window 2000 Server和Advance Server,以及比較久的NT Server 4.0,當然這些操作系統(tǒng)也可以作為VPN的客戶端。其他的則全部都可以作為VPN客戶端。(Window95必須安裝Dialup Network 1.3組件)。
確定了服務(wù)器和客戶端之后,我們還需要規(guī)劃個節(jié)點的IP地址。每個私有網(wǎng)絡(luò)必須使用不同的地址段,在各自的地址段中必須劃分出一部分用于VPN的接入。
以下的介紹我們都是圍繞著Window2000的配置進行的。
三、配置VPN接入服務(wù)器
3.1 安裝花生殼
只有VPN服務(wù)器才需要安裝花生殼服務(wù),在規(guī)劃環(huán)境的時候必須為每臺VPN服務(wù)器申請一個Oray護照。這樣每臺服務(wù)器就會有一個不同的域名。在客戶端撥號的時候可以通過域名控制連接不同的網(wǎng)絡(luò)。
一般建議花生殼直接安裝在VPN服務(wù)器上,并配置為自動啟動。這樣只要服務(wù)器在線域名一定有效。當然如果VPN服務(wù)器也提供互聯(lián)網(wǎng)共享的話也可以將花生殼安裝在內(nèi)部網(wǎng)絡(luò)的任何一臺計算機上,不過必須保證這臺計算機不會在服務(wù)器在線的時候關(guān)機,以免域名失效。
3.2 網(wǎng)絡(luò)連接準備
作為VPN服務(wù)器實際上就是一臺路由器,一般需要安裝兩塊或以上的網(wǎng)卡,其中一塊網(wǎng)卡負責和互聯(lián)網(wǎng)連接。另一塊網(wǎng)卡則連接內(nèi)部網(wǎng)絡(luò)。在進行下面的配置之前首先必須檢測服務(wù)器和互聯(lián)網(wǎng)的連接是否正常。
另外很重要的一點就是必須保證服務(wù)器和互聯(lián)網(wǎng)連接的網(wǎng)卡獲得的是一個公網(wǎng)地址,即接入的ISP不是使用地址轉(zhuǎn)換技術(shù)。檢測的辦法如下:
在命令行輸入ipconfig,檢查和互聯(lián)網(wǎng)連接的網(wǎng)卡的IP地址,如果其地址在下列范圍之一則不是公網(wǎng)地址,ISP使用了地址轉(zhuǎn)換技術(shù)提供接入服務(wù)。這樣就必須更換ISP。10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
3.3 配置路由和遠程訪問服務(wù)
激活路由和遠程訪問服務(wù)
在安裝Window 2000 服務(wù)器或高級服務(wù)器的時候路由和遠程服務(wù)是默認安裝好的,不過沒有激活罷了,因此我們需要首先激活路由和遠程訪問服務(wù)。步驟如下:
在程序/管理工具中,點擊“路由和遠程訪問”。打開路由和遠程訪問服務(wù)管理界面,見圖3-1
圖3-1
當前的管理界面中尚未添加服務(wù)器,所接下來需要將本機添加進去,方法是在服務(wù)器狀態(tài)上按鼠標右鍵,選擇添加服務(wù)器,打開添加服務(wù)器的對話框,選擇“這臺計算機”,見圖3-2
圖3-2
按確定之后管理界面出現(xiàn)本機,并且處于停止狀態(tài),見圖3-3
圖3-3
接下來需要激活本機的路由和遠程訪問服務(wù),在本級服務(wù)器上按鼠標右鍵,選擇配置和激活路由和遠程訪問服務(wù)。系統(tǒng)打開路由和遠程訪問服務(wù)安裝向?qū)А0聪乱徊匠霈F(xiàn)想到的功用設(shè)置頁面,見圖3-4。
圖3-4 選擇手動配置服務(wù)器,實際上這是最簡單的配置方法,我們暫時撇開復(fù)雜的概念,這個選擇實際上已經(jīng)將大部分我們需要的功能完成了。按下一步然后完成,系統(tǒng)會詢問是否啟動路由和遠程訪問服務(wù),回答是。然后我們又回到管理界面。見圖3-5
圖3-5
接下來我們所需要改動的地方只有一個就是配置VPN接入是分配的IP地址。
配置接入的IP地址
VPN服務(wù)在接受了VPN客戶端的接入之后就會為客戶端分配一個IP地址,客戶端就是用這個地址和服務(wù)器或服務(wù)器連接的內(nèi)部網(wǎng)絡(luò)通信。這個地址需要實現(xiàn)分配好,這個地址可以有兩種配置方法:
1、使用和內(nèi)部網(wǎng)絡(luò)相同的地址段,這樣遠程接入的VPN客戶就和直接連接在內(nèi)部網(wǎng)絡(luò)的計算機一樣,其網(wǎng)絡(luò)配置和在公司內(nèi)部的計算機沒有什么區(qū)別。這種方式適合于單機撥入的情況,但不太適合網(wǎng)絡(luò)對網(wǎng)絡(luò)的VPN互聯(lián)。
2、使用和內(nèi)部網(wǎng)絡(luò)不同的地址段,這時候VPN服務(wù)器相當于一臺路由器,比較和與網(wǎng)絡(luò)對網(wǎng)絡(luò)的互聯(lián)。對于單機就比較麻煩,對于接入移動式辦公的電腦最好還是選用第一種方式。
配置接入地址段的方法也有兩種方法,一種是利用DHCP服務(wù)器,另一種就是直接在接入服務(wù)器上配置。前一種方法需要介紹DHCP服務(wù)器的使用,這里就暫不介紹了。以下是配置接入服務(wù)器自己的地址段的方法。
在接入服務(wù)器上按鼠標右鍵,點擊屬性,打開服務(wù)器的屬性對話框,選擇IP頁面,如圖3-6
圖3-6 選擇“靜態(tài)地址”,按添加打開靜態(tài)地址配置對話框,如圖3-7
圖3-7
輸入其實抵制和結(jié)束地質(zhì),注意地址數(shù)量必須比最大的接入數(shù)量多一個,因為服務(wù)總是占用地址段的第一個地址。
3.4 配置訪問權(quán)限
用戶必須有相應(yīng)的權(quán)限才能使用接入服務(wù),這個權(quán)限是在用戶管理工具中配置的。如果使用活動目錄則必須使用活動目錄的擁護和計算機進行管理,如果使用本機的賬號則使用計算機管理中的用戶和組的功能。
遠程撥入的權(quán)限是一個個用戶配置的,默認情況下所有用戶都沒有撥入權(quán)限。我們在用戶管理中選擇需要撥入的用戶,打開屬性對話框,選擇撥入頁面。在遠程訪問權(quán)限中選擇“允許訪問”即可,見圖3-8
圖3-8
四、配置客戶端
這里介紹的客戶端指的是單臺PC連接VPN服務(wù)器的情況,即單機和網(wǎng)絡(luò)的連接。關(guān)于網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接我將在后續(xù)的文章介紹。
單機連接2000Server做的VPN服務(wù)器非常簡單,和平時Modem撥號上網(wǎng)差不多。區(qū)別在于原來填寫電話號碼的地方現(xiàn)在必須填寫VPN服務(wù)器的 Ip地址或域名。另外我們需要記住VPN是一種建立在已有的網(wǎng)絡(luò)連接上的一種專用連接,即人和VPN都需要一個底層的網(wǎng)絡(luò)連接,我們可以在建立VPN撥號 連接的時候指定底層連接(如連接互聯(lián)網(wǎng)的撥號連接),這樣在撥VPN的時候計算機會自動撥互聯(lián)網(wǎng)的連接。當然你如果使用多種互聯(lián)網(wǎng)連接或直接使用局域網(wǎng)類 型的連接。可以不指定這個底層連接,在撥VPN之前自己手工撥號上互聯(lián)網(wǎng)。建立VPN撥號連接的方法如下:
首先打開控制面板里面的網(wǎng)絡(luò)和撥號連接,點擊新建連接。系統(tǒng)會打開撥號連接向?qū)В聪乱徊剑M入網(wǎng)絡(luò)連接類型的選擇,如圖4-1
圖4-1
選擇通過Internet連接到專用網(wǎng)絡(luò),按下一步,進入公用網(wǎng)絡(luò)配置,見圖4-2
圖4-2
如果你使用的局域網(wǎng)形式的接入選擇,不撥初始連接,如果你使用一個固定的撥號網(wǎng)絡(luò)連接互聯(lián)網(wǎng),則選擇自動撥此初始連接,并選擇對應(yīng)的撥號連接名稱。按下一步,進入目標地址配置,見圖4-3
圖4-3
輸入VPN服務(wù)器的IP地址或域名,如果你的VPN服務(wù)器采用的是動態(tài)連接,這時花生殼就顯示出其威力了,只需要輸入了VPN服務(wù)器的動態(tài)域名,我們就可以省去大筆固定線路的租用費用了。按下一步,輸入新建VPN連接的名稱,見圖4-4
圖4-4
至此VPN客戶端配置完畢。如果你有多個VPN服務(wù)器可以重復(fù)上述步驟,為每個VPN接入服務(wù)器建立相應(yīng)的連接。
第三篇:網(wǎng)網(wǎng)通VPN成功案例-典型行-客-
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶
網(wǎng)網(wǎng)通VPN成功案例
— 典型行業(yè)客戶 綜合性集團客戶列表.....................................................................................................2 2 能源行業(yè)客戶列表........................................................................................................2 3 化工行業(yè)客戶列表........................................................................................................2 4 機械及機電制造行業(yè)客戶列表.......................................................................................3 5 電子信息行業(yè)客戶列表.................................................................................................3 6 房地產(chǎn)、物業(yè)及建筑行業(yè)客戶列表................................................................................4 7 醫(yī)藥及醫(yī)療器械行業(yè)客戶列表.......................................................................................4 8 服裝紡織行業(yè)客戶列表.................................................................................................5 9 旅游及食品行業(yè)客戶列表..............................................................................................5 10零售批發(fā)連鎖及外貿(mào)行業(yè)客戶列表...............................................................................6 11物流行業(yè)客戶列表.......................................................................................................6 12金融投資及電信行業(yè)客戶列表......................................................................................6 13政府及事業(yè)單位客戶列表.............................................................................................7
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶 綜合性集團客戶列表
僑鑫集團
豪恩國際集團 東凌集團
華聯(lián)發(fā)展集團 上海中發(fā)電氣集團 上海海得股份集團 …… 能源行業(yè)客戶列表
中國石化集團西北石油局
廣東大亞灣核電服務(wù)(集團)有限公司 廣東省德慶電力有限公司
上海電力股份有限公司吳涇熱電廠 真興-愛依斯電力有限公司 鞍山榮信電力
廣西三江電力
廣西西能科技有限責任公司 廣州市番禺煤氣有限公司 廣州市煤建公司 廣州振戎燃氣有限公司 杭州水電十二局 …… 化工行業(yè)客戶列表
日本花王(中國)有限公司 香港圣薇娜化妝品集團 廣州藍月亮有限公司
廣州立白企業(yè)集團有限公司 金兄弟化工(香港)有限公司 深圳市沃爾熱縮材料有限公司 廣州市特儷儂化妝品有限公司 萬益紙巾(深圳)有限公司 安興紙業(yè)(深圳)有限公司 順德寶盛染料有限公司
日本可涂(香港)有限公司 上海利康消毒有限公司 ……
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶 機械及機電制造行業(yè)客戶列表
中國南車集團湖南株洲電力機車研究所 安徽合力股份有限公司 上海漢鐘機械有限公司
廣州電梯集團配件有限公司 廣州雙菱鋼鐵工業(yè)有限公司 廣州膠管廠
上海樂鼎自動化設(shè)備有限公司 深圳市金龍空調(diào)電器有限公司
埃克爾空調(diào)技術(shù)(無錫)有限公司 香港三和國際集團
摩比天線技術(shù)(深圳)有限公司 臺灣輝隆機械有限公司 江蘇江動集團有限公司 廣州吉必時實業(yè)有限公司 西安三力鎖業(yè)有限公司 廣州輝門冠軍火花塞有限公司 浙江寧波車燈電器有限公司 中國臺州杰克縫紉機有限公司 浙江臺州縫紉機集團 …… 電子信息行業(yè)客戶列表
廣東步步高電子工業(yè)有限公司 航天信息技術(shù)股份有限公司 京信通信系統(tǒng)(廣州)有限公司 湯瑪士電器制造(深圳)有限公司
北京希格瑪集團
順德市萬和集團有限公司 順特電氣有限公司
海聯(lián)訊網(wǎng)絡(luò)科技(深圳)有限公司 深圳市金天信電子有限公司
泰德富源科技(深圳)有限公司 松日高科(深圳)有限公司 至卓飛高線路板(深圳)有限公司 廣州威創(chuàng)電子有限公司 廣州星智數(shù)碼科技有限公司 深圳市蜂星電訊有限公司
普諾瑪商業(yè)安全設(shè)備(深圳)有限公司 ……
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶 房地產(chǎn)、物業(yè)及建筑行業(yè)客戶列表
深圳市華僑城集團公司 廣東奧園置業(yè)集團
廣州市珠江地產(chǎn)有限公司
江蘇弘輝房地產(chǎn)開發(fā)有限公司
揚州宏大房地產(chǎn)開發(fā)有限公司
廣東省城建開發(fā)建筑工程集團有限公司 廣州工程總承包集團有限公司 廣州市政工程維修處
深圳市長城物業(yè)管理有限公司 東深投資物業(yè)控股有限公司
華森建筑與工程設(shè)計顧問有限公司 深圳寶成石業(yè)有限公司 高氏(廣州)涂料有限公司 廣東金寶集團有限公司
浙江力寶高新建材股份有限公司 中山市尊寶燈飾有限公司 雅特照明有限公司
榮文燈飾(東莞)有限公司 東營黃河口家具
禮恩派(上海)有限公司 南海市耐爾仕陶瓷有限公司 南海市特高特陶瓷有限公司 南海市美雅陶瓷有限公司 …… 醫(yī)藥及醫(yī)療器械行業(yè)客戶列表
北京同仁堂藥業(yè)
上海市醫(yī)藥股份有限公司 上海復(fù)星藥業(yè)有限公司
上海雷允上藥品連鎖經(jīng)營有限公司 深圳海王星辰醫(yī)藥有限公司 廣州市光華藥業(yè)股份有限公司 廣州敬修堂股份有限公司 廣州醫(yī)藥有限公司 深圳市中醫(yī)院
美信醫(yī)藥國際連鎖中國總部 深圳市匯華醫(yī)藥有限公司 深圳市尚榮醫(yī)療設(shè)備有限公司 廣東明林藥業(yè)有限公司 廣州市致寧藥業(yè)有限公司
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶
廣州三元科技有限公司 廣東柏康連鎖藥店有限公司 上海置基醫(yī)藥有限公司 北京慈濟門診部
深圳市宇冠醫(yī)藥有限公司 洋浦華海醫(yī)藥物資有限公司 …… 服裝紡織行業(yè)客戶列表
南海嘉莉詩國際內(nèi)衣有限公司 深圳市日神羊絨紡織有限公司 港歸服飾有限公司
深圳市港鵬針織廠
北京銅牛針織集團有限責任公司 深圳市億弘潤實業(yè)發(fā)展有限公司 廣州羊毛衫織造廠
虎門元精時裝有限公司 廣州景峰針織有限公司 上海中玄服飾有限公司 廣州市歐時力服飾
吳江煥利實業(yè)紡織有限公司 得時紡織(上海)有限公司 …… 旅游及食品行業(yè)客戶列表
深圳華僑城旅游公司
廣州廣之旅國際旅行社股份有限公司 廣州市羊城國際旅游總公司 佛山市中國國際旅游有限公司 順德市旅游總公司 中山市海外旅游有限公司 廣東時尚國際旅行社 桂林市海外旅游總公司 中山市小欖國際旅行社
上海美林閣餐飲管理有限公司 深圳達能益力泉飲品有限公司 深圳市山天飲食連鎖有限公司 上海怡樂食品科技有限公司 ……
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶
10零售批發(fā)連鎖及外貿(mào)行業(yè)客戶列表
廣州明廊眼鏡連鎖企業(yè)有限公司 深圳市博士眼鏡有限公司 深圳海王星辰藥業(yè)連鎖有限公司 廣州市東澤電器有限公司
北京長安鈴木汽車銷售有限責任公司 西安晶眾佳樂連鎖超市
湖南佳惠百貨有限公司
廣東省工藝品進出口(集團)公司 上海錦宮牧野國際貿(mào)易有限公司 ……
11物流行業(yè)客戶列表
中外運深圳分公司
上海中遠國際航空貨運有限公司 深圳市高速公路有限公司
廣深珠高速公路有限公司
深圳市威豹金融押運股份有限公司 華南國際物流有限公司 德科國際物流有限公司
深圳市鹽田港珠江集裝箱運輸公司 深圳市新產(chǎn)業(yè)綜合物流發(fā)展有限公司 南寧運德汽車運輸有限公司 上海新杰貨運服務(wù)有限公司 上海東亞運輸倉儲有限公司 上海華加國際貨運代理有限公司 廣州越聯(lián)國際運輸有限公司 廣西超大運輸有限公司 上海緯銘國際貨運 上海三駿國際貨運 上海一輝國際貨運 ……
12金融投資及電信行業(yè)客戶列表
華夏證券 泰康人壽 華安保險 信安保險 永安保險
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
網(wǎng)網(wǎng)通VPN成功案例-典型行業(yè)客戶
深圳市北方投資有限公司
深圳市金融電子結(jié)算中心(深圳市金融聯(lián))北京新華信商業(yè)信息咨詢有限公司 西安市電信分公司
上海市電信有限公司南匯電信局 深大電話有限公司 佛山聯(lián)通
中國聯(lián)通綏化分公司 ……
13政府及事業(yè)單位客戶列表
信息產(chǎn)業(yè)部五所賽寶計量檢測中心 深圳市中小企業(yè)信用擔保中心 新疆克拉瑪依社會保險管理局 珠海市交通信息中心
福建省永安市林業(yè)局 福建省石獅市人民政府
上海市市容環(huán)境衛(wèi)生水上管理處 深圳市寶安財政局
廣東省從化市人民法院 廣東省惠州市規(guī)劃局 廣東省增城市建設(shè)局 廣東省河源市地稅局 江西省九江市地稅局 河南省新會市郵政局 廣州市少年兒童圖書館 廣州市越秀圖書館 深圳有線電視臺 深圳慈善公益網(wǎng) 天津工程機械研究院
廣東工業(yè)大學
廣州市番禺區(qū)職業(yè)技術(shù)培訓中心 上海美國管理協(xié)會(學院)深圳市郵電規(guī)劃設(shè)計院 浙江特檢中心
佛山市順德生產(chǎn)力促進中心 湖州市特種設(shè)備檢測中心 ……
(數(shù)千家客戶、上萬個網(wǎng)絡(luò)的成功應(yīng)用)
更多案例,請參見微勝科技網(wǎng)站:www.tmdps.cn
網(wǎng)網(wǎng)通VPN
孫濤::020-33059165,88222967 / 020-87517725
第四篇:隧道施工安全協(xié)議
施 工 安 全 協(xié) 議
甲方:中鐵三局集團太中銀鐵路呂梁山隧道項目經(jīng)理部
乙方:中鐵三局集團太中銀鐵路呂梁山隧道項目經(jīng)理部
為保證中鐵三局集團太中銀鐵路呂梁山隧道項目工程能安全順利的完成及確保施工期間的人身、設(shè)備安全,明確甲乙雙方的安全施工責任,經(jīng)甲乙雙方協(xié)商,達成以下協(xié)議:
一、施工范圍1、2、3、其他甲方指定工程。
二、甲方的職責
1、開工前,必須對員工進行施工安全教育。
2、甲方負責向乙方提供既有地下管線、光、電纜位置。
3、甲方要以高度負責的態(tài)度作好監(jiān)督工作。
4、每個工點指定專職和監(jiān)控人員,協(xié)助乙方作好安全工作。監(jiān)控人員有權(quán)制止乙方施工中影響行車安全作業(yè),乙方必須無條件服從。若不服從甲方有權(quán)向乙方發(fā)放停工通知書,停工造成的損失由乙方負責。
5、甲方負責檢查、監(jiān)督、指導乙方施工,甲方發(fā)現(xiàn)乙方違章施工,有權(quán)停工。若發(fā)放停工通知書后,乙方仍不停止違章作業(yè),由此產(chǎn)生一切后果均由乙方負責。
6、甲方的安全監(jiān)控干部隨現(xiàn)場施工情況隨時抽查,安排好監(jiān)督工作并作好情況匯報。
三、乙方職責
1、乙方所有上崗人員、各工種人員必須熟知《鐵路施
工技術(shù)安全規(guī)則》具體規(guī)則,嚴格按照《鐵路安全規(guī)則》和《技規(guī)》作業(yè),不得違規(guī)作業(yè)。嚴格按照《施工規(guī)范》及《技術(shù)規(guī)范》作業(yè),不得違規(guī)作業(yè)。
2、乙方應(yīng)在在施工現(xiàn)場設(shè)置醒目的施工標志、標語牌,用耐腐蝕、抗老化的材料做成正規(guī)的標牌,嚴格執(zhí)行文明工地標準。
3、道路施工要注意對地下建筑物的安全防護,在未探明具體位置的情況下,嚴禁使用機械作業(yè)。現(xiàn)場開挖的溝坑在道路沒有完全封閉前,在道路兩側(cè)和有出入口的地方必須設(shè)置明顯的警示標志牌,夜間設(shè)警示燈。
4、乙方施工中開挖各種基坑、溝壕時要先挖探溝,摸清地下電纜、光纜的走向、具體徑路和根數(shù),應(yīng)及時通知甲方再行施工。在有地下管線,電纜處施工時,必須了解既有地下管線、光纜、電力電纜的位置及走向,進行有效的現(xiàn)場監(jiān)護,嚴禁觸及。保證不影響既有設(shè)備的正常使用,不應(yīng)該造成設(shè)備的正常使用,也不應(yīng)造成設(shè)備隱患。
5、拆除圍墻、圍柱、其它建筑物及砍伐樹木時,必須統(tǒng)一指揮,專人防護,確保行人和車輛及相鄰建筑物的安全。
6、施工期間,遇有動力設(shè)備,高壓電線路,地下管道、壓力容器、易燃易爆品、有毒有害物體等情況,需要特殊防護時,乙方必須按設(shè)計要求,采取切實可行的安全可靠的防護措施,確保施工人員和設(shè)備的安全。
7、施工現(xiàn)場裝載機、挖掘機等大型機械作業(yè)時,必須設(shè)有專人監(jiān)護,監(jiān)護人員不得以任何理由脫崗。車輛及施工機械在進行倒車、調(diào)頭及施工作業(yè)時要自行安全。
8、施工現(xiàn)場內(nèi)各種臨時用電必須符合臨時用電安全規(guī)
定,閘蓋齊全,按規(guī)定設(shè)置漏電保護器和熔斷器,嚴禁使用其它導線代替保險絲,有危險的地方要立警告牌。使用機械及電器設(shè)備時,要注意設(shè)備的使用安全,經(jīng)常檢查電器設(shè)備的絕緣情況。
9、登高施工作業(yè)時,必須戴安全帽、系安全帶(繩)、設(shè)置安全網(wǎng),衣裝要靈便,禁止穿硬底和帶釘易滑的鞋,嚴禁在同一作業(yè)面上下同時作業(yè),不準向上、向下拋擲材料和工具,并有專人檢修平臺、欄桿的連接扣件的穩(wěn)定性。遇到惡劣氣候條件(如風力在六級以上)禁止高空作業(yè)。
10、用于生產(chǎn)、生活的設(shè)施不得建于低洼處,防止發(fā)生危險。
11、吊車在工作時,嚴禁在起重臂、吊裝物及轉(zhuǎn)動半徑內(nèi)站立。要時刻注意起重臂、吊裝物的動向,避免出現(xiàn)意外。
12、施工人員在施工期間的交通安全及人身安全要自行負責。
13、非工作時間乙方自行進行安全管理。
14、乙方施工作業(yè)人員必須服從甲方管理人員指揮。施工現(xiàn)場嚴格執(zhí)行統(tǒng)一管理,嚴格施工紀律,防止施工人員工作態(tài)度懶散,注意力不集中而出現(xiàn)的安全事故。
15、做好日常和定期安全檢查工作,保證工程順利進行。對于事故苗頭按“三不放過”的原則認真分析,查找原因,進行整改。
16、施工中,進度與安全發(fā)生矛盾時,堅決服從安全。
17、每日施工前,進行安全教育、技術(shù)交底,在全體作業(yè)人員中營造安全生產(chǎn)氛圍。
18、施工中嚴禁擅自變更施工地點,增加項目。
19、在施工中一旦發(fā)生安全事故,乙方應(yīng)停止一切施工,積極配合甲方進行處理,待事故處理完畢后,再繼續(xù)施工。
20、一旦發(fā)生人身傷亡事故,乙方必須立即報告上級主管部門當?shù)貏趧硬块T,檢察機關(guān),并通知甲方代表。甲方代表應(yīng)按規(guī)定向上級安全、建設(shè)主管部門報告。
四、乙方在施工過程中除應(yīng)嚴格遵守本協(xié)議,尚應(yīng)按照國家和公路的有關(guān)標準及各專項施工技術(shù)安全規(guī)則的有關(guān)規(guī)程作業(yè),以及安檢、技術(shù)室下發(fā)的各類技術(shù)交底、安全技術(shù)措施執(zhí)行,如乙方人員在施工中違反上述規(guī)定而造成安全問題,其后果乙方自已負責,甲方不負任何責任。
五、凡因違反本協(xié)議發(fā)生安全及其它問題,均由乙方承擔全部責任,并負責賠償由此引起的所有經(jīng)濟損失。
六、本協(xié)議未盡事宜,雙方協(xié)商解決。
七、本協(xié)議一式貳份,雙方各執(zhí)壹份,自雙方簽字蓋章后生效,工程施工完畢時自行作廢。
甲方:(公章)乙方:(公章)
甲方代表:乙方代表:
2007年月日
第五篇:VPN定義
VPN
開放分類: 互聯(lián)網(wǎng)、網(wǎng)絡(luò)、電腦、技術(shù)
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設(shè)線路的費用,也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一,目前在交換機,防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。下面我們結(jié)合本站有關(guān)思科及微軟關(guān)于VPN方面的文章為大家介紹這方面的資訊,更多更豐富的相關(guān)方面內(nèi)容我們將在以后日子里進行補充。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(wǎng)(Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)和企業(yè)擴展虛擬網(wǎng)(Extranet VPN),這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet(外部擴展)相對應(yīng)。
======
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。
虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時,這將簡化網(wǎng)絡(luò)的設(shè)計和管理,加速連接新的用戶和網(wǎng)站。另外,虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上,而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
目前很多單位都面臨著這樣的挑戰(zhàn):分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時經(jīng)過公用網(wǎng)訪問公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等。現(xiàn)在很多公司通過使用IPSec VPN來保證公司總部和分支機構(gòu)以及移動工作人員之間安全連接。
對于很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對于用戶來說,這些無論是在經(jīng)濟上和技術(shù)上都是個很大的負擔,將遠程解決方案和昂貴的內(nèi)部應(yīng)用相集成,對任何IT專業(yè)人員來說都是嚴峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制,大量的企業(yè)都認為IPSec VPN是一個成本高、復(fù)雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業(yè)內(nèi)部信息孤島,很多公司需要在與企業(yè)相關(guān)的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),運營成本低的解決方案。
----從概念上講,IP-VPN是運營商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網(wǎng)絡(luò)的情況(如運營商的運營商)。
----圖1給出了實現(xiàn)IP-VPN的一個通用方案。其中,CE路由器是用于將一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。
----站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng),它們是用戶網(wǎng)絡(luò)的一部分,并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點,一個站點可以同時位于不同的幾個VPN之中。
----圖2顯示了一個服務(wù)提供者網(wǎng)絡(luò)支持多個VPN的情況。如圖2所示,一個站點可以同時屬于多個VPN。依據(jù)一定的策略,屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力,也可以不提供這種能力。當一個站點同時屬于多個VPN時,它必須具有一個在所有VPN中唯一的地址空間。
----MPLS為實現(xiàn)IP-VPN提供了一種靈活的、具有可擴展性的技術(shù)基礎(chǔ),服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以,在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法,本文介紹其中兩種方法。
方案一
----本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IPVPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式,即拓撲驅(qū)動方式來實現(xiàn)基本的LSP建立過程,同時使用兩級LSP隧道(標記堆棧)來支持VPN的內(nèi)部路由。
----圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。
----LER(標記邊緣路由器)
----LER是MPLS的邊緣路由器,它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。對于VPN用戶的IP業(yè)務(wù)量,LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享,它還應(yīng)當具有執(zhí)行虛擬路由的能力。這就是說,它應(yīng)當為自己服務(wù)的各個VPN分別建立一個轉(zhuǎn)發(fā)表,這是因為不同VPN的IP地址空間可能是有所重疊的。
----LSR(標記交換路由器)
----MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò),它為用戶的IP-VPN業(yè)務(wù)所共享。
----建立IP-VPN區(qū)域的操作
----希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IPVPN區(qū)域。作為一種普通的LDP操作,基本的LSP 建立過程將使用拓撲驅(qū)動方法來進行,這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于VPN內(nèi)部路由,則將使用兩級LSP隧道(標記堆棧)。
----VPN成員
----每一個LER都有一個任務(wù),即發(fā)現(xiàn)在VPN區(qū)域中為同一 IPVPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道,所以 LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網(wǎng)絡(luò)LSP,向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記,以方便這些消息能夠最終到達目的LER。
----LDP Hello消息實際上是一種查詢消息,通過這一消息,發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER(對等實體)。新的Hello消息相鄰實體注冊完成之后,相關(guān)的兩個LER之間將開始發(fā)起LDP會話。隨后,其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之后,對等LER之間的會話便建立起來了。此后,雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道,則該標記將被推入標記棧中,并被置于原有的標記之上。
----VPN成員資格和可到達性信息的傳播
----通過路由信息的交換,LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER,還需要找到在一個VPN中哪些LER 是為同一個VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之,只有支持相同VPN的LER之間才能成功地建立LDP會話。
----VPN內(nèi)的可到達性
----最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當一個LER被配置成一個IPVPN的一員時,配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中,還可能會配置必要的安全保密特性,以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中,每一次發(fā)現(xiàn)階段結(jié)束之后,每一個LER 都將發(fā)布通過它可以到達的、VPN用戶的地址前綴。
----IP分組轉(zhuǎn)發(fā)
----LER之間的路由信息交互完成之后,各個LER都將建立起一個轉(zhuǎn)發(fā)表,該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價類)與下一跳聯(lián)系起來。當收到的IP分組的下一跳是一個LER時,轉(zhuǎn)發(fā)進程將首先把用于該LER的標記(嵌套隧道標記)推入標記棧,隨后把能夠到達該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標記推入標記分組,接著帶有兩個標記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個LSR;當該分組到達目的LER時,最外層的標記可能已經(jīng)發(fā)生許多次的改變,而嵌套在內(nèi)部的標記始終保持不變;當標記棧彈出后,繼續(xù)使用嵌套標記將分組發(fā)送至正確的LER。在LER上,每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
----本節(jié)將對一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供IP-VPN業(yè)務(wù)的方法進行介紹,其技術(shù)細節(jié)可以參見RFC 2547。
----圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置,圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。
----提供者邊緣(PE)路由器
----PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。
----實際上,它就是一個邊緣LSR(即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口)。
----用戶邊緣(CE)路由器
----CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中,CE路由器不使用MPLS,它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。
----提供者(P)路由器
----P路由器是指網(wǎng)絡(luò)中的核心LSR。
----站點(Site)
----站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng):它們是用戶網(wǎng)絡(luò)的一部分,通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。
----路徑區(qū)別標志
----服務(wù)提供者將為每一個VPN分配一個唯一的標志符,該標志符稱為路徑區(qū)別標志(RD),它對應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址,這些地址稱為VPNIP 地址,它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務(wù)提供者網(wǎng)絡(luò)中的每一個端點都是唯一的,對于VPN中的每一個節(jié)點(即VPN中的每一個PE路由器),轉(zhuǎn)發(fā)表中都將存儲有一個條目。
----連接模型
----圖4給出了MPLS/BGP VPN的連接模型。
----從圖4中可以看出,P路由器位于MPLS網(wǎng)絡(luò)的核心。PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信,同時使用IP路由技術(shù)來與CE路由器通信。P與PE路由器將使用IP路由協(xié)議(內(nèi)部網(wǎng)關(guān)協(xié)議)來建立MPLS核心網(wǎng)絡(luò)中的路徑,并且使用LDP實現(xiàn)路由器之間的標記分發(fā)。
----PE路由器使用多協(xié)議BGP4來實現(xiàn)彼此之間的通信,完成標記交換和每一個VPN策略。除非使用了路徑映射標志(route reflector),否則PE 之間是BGP全網(wǎng)狀連接。特別地,圖4中的PE處于同一自治域中,它們之間使用內(nèi)部BGP(iBGP)協(xié)議。
----P路由器不使用BGP協(xié)議而且對VPN一無所知,它們使用普通的MPLS協(xié)議與進程。
----PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑,也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現(xiàn)MPLS或?qū)PN有任何特別了解。
----PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā),BGP使用VPN-IP地址(由RD和IPv4地址構(gòu)成)。這樣,不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復(fù)的情況。
----PE路由器將BGP計算得到的路徑映射到它們的路由表中,以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。
----這一方案使用兩級標記:內(nèi)部標記用于PE路由器對于各個VPN的識別,外部標記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標記把分組轉(zhuǎn)發(fā)給正確的PE。
----建立IP-VPN區(qū)域的操作
----希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對網(wǎng)絡(luò)進行設(shè)計與配置,這包括:PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置;MPLS網(wǎng)絡(luò)或者是一個路徑映射標志中的PE路由器之間必須進行對等關(guān)系的配置;為了與CE進行通信,還必須進行普通的路由協(xié)議配置;為了與MPLS核心網(wǎng)絡(luò)進行通信,還必須進行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能夠支持MPLS之外,還要能夠支持VPN。
>----VPN成員資格和可到達性信息的傳播
----PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息,并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。
----PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外,PE路由器還要通過BGP與其PE路由器對等實體交換標記,以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記,P 路由器看不到這些標記。
----PE路由器將為其支持的每一個VPN分別建立路由表和轉(zhuǎn)發(fā)表,與一個PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。
----IP分組轉(zhuǎn)發(fā)
----PE之間的路由信息交換完成之后,每一個PE都將為每一個VPN建立一個轉(zhuǎn)發(fā)表,該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。
----當收到發(fā)自CE路由器的IP分組時,PE路由器將在轉(zhuǎn)發(fā)表中查詢該分組對應(yīng)的VPN。
----如果找到匹配的條目,路由器將執(zhí)行以下操作:
----如果下一跳是一個PE路由器,轉(zhuǎn)發(fā)進程將首先把從路由表中得到的、該PE路由器所對應(yīng)的標記(嵌套隧道標記)推入標記棧;PE路由器把基本的標記推入分組,該標記用于把分組轉(zhuǎn)發(fā)到到達目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳;帶有兩級標記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個LSR。
----P路由器(LSR)使用頂層標記及其路由表對分組繼續(xù)進行轉(zhuǎn)發(fā)。當該分組到達目的LER時,最外層的標記可能已發(fā)生多次改變,而嵌套在內(nèi)部的標記保持不變。
----當PE收到分組時,它使用內(nèi)部標記來識別VPN。此后,PE將檢查與該VPN相關(guān)的路由表,以便決定對分組進行轉(zhuǎn)發(fā)所要使用的接口。
----如果在VPN路由表中找不到匹配的條目,PE路由器將檢查Internet路由表(如果網(wǎng)絡(luò)提供者具備這一能力)。如果找不到路由,相應(yīng)分組將被丟棄。
----VPNIP轉(zhuǎn)發(fā)表中包含VPNIP地址所對應(yīng)的標記,這些標記可以把業(yè)務(wù)流路由至VPN中的每一個站點。這一過程由于使用的是標記而不是IP 地址,所以在企業(yè)網(wǎng)中,用戶可以使用自己的地址體系,這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進行業(yè)務(wù)傳輸時無需網(wǎng)絡(luò)地址翻譯(NAT)。通過為每一個VPN使用不同的邏輯轉(zhuǎn)發(fā)表,不同的VPN業(yè)務(wù)將可以被分開。使用BGP協(xié)議,交換機可以根據(jù)入口選擇一個特定的轉(zhuǎn)發(fā)表,該轉(zhuǎn)發(fā)表可以只列出一個VPN有效目的地址。
----為了建立企業(yè)的Extranet,服務(wù)提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。
----安全
----在服務(wù)提供者網(wǎng)絡(luò)中,PE所使用的每一個分組都將與一個RD相關(guān)聯(lián),這樣,用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個用戶的VPN。要注意的是,在用戶數(shù)據(jù)分組中沒有攜帶RD,只有當用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當?shù)腞D時,用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN,從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級。
點擊咨詢 