基于VPN技术的内部网络构建分析

来源 :中国科技博览 | 被引量 : 0次 | 上传用户:ZuoLuo
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘 要]当今社会是一个信息技术高度发达的时代,以网络技术为代表的信息技术也已成为主导社会生产力发展的关键因素。而在企业的经营发展中,如何利用网络信息技术,为企业的长效发展壮大服务,也成为目前企业所面临的重点问题。文章介绍了利用VPN技术构建企业内部网络的技术基础与安全要素,并结合几种VPN技术设计了一种内部网络的构建方案,以供相关人员参考。
  [关键词]VPN技术;MPLS VPN技术;内部网络;构建策略
  中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2015)06-0089-02
  引言
  VPN技术又称远程访问技术或虚拟专用网络技术,主要是指利用公用网络架设专用网络,进行加密通讯的一种技术。VPN技术按照协议可分类为多种方式,并通过服务器、硬件、软件等来实现。由于VPN技术具有的经济性、实用性、简单性等特点,使其在企业网络中的应用十分广泛。
  1.VPN技术的概述
  VPN技术被定义为通过一个公用网络,建立起一个安全、临时的连接,该技术是对企业内部网的扩展,其可以帮助异地用户、商业伙伴、供应商、公司分支机构同公司的内部网建立起可信的安全连接,保证数据的安全传输。VPN技术主要的优点体现在三方面:一,VPN技术可以省去专线租用费用或长距离电话费用,进而有效地降低了成本;二,VPN技术可以充分地利用internet公网资源,快速地建立起公司的广域连接;三,VPN技术可以对所有数据进行加密,以此确保数据信息的安全性与保密性,使没有访问权利的用户无法看到企业的局域网络。
  2.VPN技术构建企业内部网络的技术基础与安全要素
  2.1 VPN技术基础
  实现一个完整、系统的VPN技术,主要基础技术包括密码技术、隧道技术、网络访问控制技术等。⑴密码技术。密码技术作为VPN技术中的一项基本技术,也是所有通信数据安全的基石,是保证信息机密性的唯一方法。通过对网络的加密,防止非授权用户的搭线窃听以及入网行为,有效对抗恶意软件,最终起到以最小代价提供最强安全保护的效果。密码技术又可根据算法分为非对称密钥密码算法与对称密钥密码算法两种,在应用中根据实际情况选择最适宜的一种。
  ⑵隧道技术。受到Internet网络中IP地址资源短缺的影响,企业内部网络使用多属于私有IP地址,但是从这些地址发出的数据包却不能直接通过Internet传输,必须代之合法的IP地址。而隧道技术便是将这种私有IP地址转换成为合法IP地址的技术。隧道技术又称之为数据包封装技术,发生在VPN的发送节点,通过将原数据包打包,添加合法的外层IP包头,然后这个包再通过公网被传送到接收端的VPN节点,该节点在接收后通过拆包处理,还原出原报文中传输给目标主机。从现状来看,几乎所有的VPN技术采用了隧道技术[1]。
  ⑶网络访问控制技术。网络访问控制技术主要起到对出入广域网的数据包进行过滤的作用,一个系统的VPN产品,应该同时提供完整的网络访问控制功能,才能保证系统的性能、安全性以及统一管理。
  2.2 VPN技术的安全要素
  采用VPN技术构建企业内部网络时,应该具备如下几点安全要素:一,使用偷听者无法破解拦截的通道数据,提供有效的加密手段,保证系统通道的安全性与机密性;二,VPN技术要有抵抗不法分子篡改数据的功能,接收到的数据必须要与发送时的数据一致,必须保证数据的完整性与有效性;三,通信主机必须经过授权,要有抵抗地址假冒的功能,确保数据的真实性;四,可提供安全、有效的访问控制与防护措施,可以对VPN通道进行访问控制,同时也起到抵抗黑客通过VPN通道攻击网络的能力。
  3.基于VPN技术的内部网络构建
  文章以西北空管局为例,分析在H3C路由器应用下,基于VPN技术的内部网络构建对策。
  3.1 VPN基本组网应用
  就以某企业为例,基于VPN建立的企业内部网见图1所示:
  上述可见,企业内部资源享用者利用PSTN/ISDN网或局域网连入本地ISP的POP服务器,以此来访问到公司内部资源。
  3.2 L2TP协议配置
  ⑴VPDN指通过PSTN、ISDN等公共网络的拨号功能及接入网,实现虚拟专用网,为企业提供接入服务。VPDN主要有两种实现方式,包括:NAS通过隧道协议与VPDN网关建立通道的方式、客户机与VPDN网关建立隧道的方式。而VPDN隧道协议又分为L2F、L2TP、PPTP三种,由于L2TP协义所具有的多协议传输、高度的安全性与可靠性、灵活的身份验证、支持内部地址分配、网络计费的灵活性等特点,使得该协议的应用最为普遍。L2TP隧道模式有两种最为典型:1.由远程拨号用户发起。远程系统和PSTN/ISDN拨入LAC,LAC通过Internet向LNS发起建立通道连接的请求;2.由LAC客户发起。LAC客户也可直接向LNS发起通道连接请求,由LNS来完成LAC客户的分配[2]。
  ⑵PPP用户通过接入认证后,EAD服务器便会对其进行安全认证,若是认证通过,用户便可正常访问网络资源,但若认证不通过,用户便只能访问隔离区资源。L2TP配置分为LAC端配置与LNS端配置两种,具体配置可根据详细说明书参阅。值得注意的是,在实际配置中,一台设备可以同时配置为LAC侧与LNS侧,但它们所使用的用户名不能相同。
  ⑶L2TP的呼叫可以由NAS主动发起,也可通过客户端来发起,现作举例说明:其一,NAS-Initialized VPN。用户先以普通上网方式进行拨号上网,在接入NAS处对此用户进行验证,发现是VPN用户时由NAS向LNS发起隧道连接的请求;NAS与LNS隧道建立后,NAS将与VPN用户协商的内容以报文形式传给LNS,LNS根据预协商决定是否接受此连接,用户与公司总部间的通信均通过NAS与LNA之间隧道传输。其二,Client-Initialized VPN。用户连接Internet后直接向LNS发起Tunnel连接请求,LNS接受连接请求后,VPN用户便与LNS间建立了一条虚拟Tunnel,用户与公司总部间通信均可通过该通道进行传输。   3.3 DVPN
  DVPN动态虚拟私有网络技术通过动态获取对端的信息建立VPN连接,在网络中用以构建DVPN动态虚拟私用网络的路由器设备,所有支持DVPN特性的路由器都可以作为DVPN接入设备。DVPN采用Client/Server模式,对于同一个DVPN域的N个接入设备,均要设置成一个Server工作方式,其他可设置为Client方式。当Client到Server注册成功以后,Client与Server之间便可自动建立起Session隧道。网络运行中,Server根据需要,向Client发送Redirect报文,Client接收到重定向报文后,从中得到其他Client信息,并在Client之间建立Session隧道,最终实现DVPN域中的全连接[3]。
  4.MPLS VPN技术介绍
  MPLS-VPN是指采用MPLS(多协议标记转换)技术在骨干的宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起。
  MPLS VPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间数据的隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题,MPLS自身提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。MPLS提供了电信、计算机、有线电视网络三网融合的基础,除了ATM,是目前唯一可以提供高质量的数据、语音和视频相融合的多业务传送、包交换的网络平台。因此基于MPLS技术的MPLS VPN,在灵活性、扩展性、安全性各个方面是当前技术最先进的VPN。此外,MPLS VPN提供灵活的策略控制,可以满足不同用户的特殊要求,快速实现增值服务(VAS),在带宽价格比、性能价格比上,相比其他广域VPN也具有较大的优势。
  MPLSVPN网络主要由CE、PE和P等3部分组成:
  CE(Customer Edge Router)用户网络边缘路由器设备,直接与服务提供商网络相连,它“感知”不到VPN的存在;
  PE(Provider Edge Router)服务提供商边缘路由器设备,与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者;
  P(Provider Router)服务提供商核心路由器设备,负责快速转发数据,不与CE直接相连。如图2
  在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
  5.结束语
  基于VPN技术建立的企业内部网络,具有安全性高、成本造价低、扩展性佳、可支持动态分配IP等诸多特点,已成为各企业必不可少的网络构建方式。而MPLS VPN技术是基于VPN技术上延伸出的一种更加适应各个企业的网络技术,有VPN技术提供安全保障,又引申出了适应多种业务的传输交换协议。
  参考文献
  [1] 李淑梅.中小企业基于IPSec VPN的网络构建[J].现代计算机,2011,9(9):99-101.
  [2] 蒋宏林.浅谈企业VPN网络构建[J].管理学家,2012,7(13):60-62.
  [3] 陶志勇.基于MPLS和BGP的VPN构建及其应用研究[D].软件工程·湖南大学,2012.
其他文献
[摘 要]介绍500 kV侯村变电站远跳保护及远跳保护和远传保护的区别,澄清远跳和远传之间的歧义,并介绍了不同种类的非全相保护及常见疑难问题和注意事项;分析了远跳保护、非全相保护的功能,原理,将运行人员比较模糊的问题进行阐述和解析使运行人员更加清楚这些保护的性质,从而提高运行人员对保护设备的认识水平,提高操作质量。  [关键词]远传;远跳;非全相  中图分类号:TM773 文献标识码:A 文章编号
期刊
[摘 要]随着飞轮装置在钻孔设备这一领域的不断发展,传统的飞轮装置已经无法更好的发挥其作用,为这一行业带来较好的效益。传统的飞轮加工装置包括钻模、钻套及底座,运行时只能用手固定住飞轮,然后采用普通钻床上逐一对飞轮的螺纹孔进行加工,这样不仅结构复杂,安全可靠性低,而且产生的加工效率较低,同时螺纹孔的位置度尺寸无法保证。本文研究设计了一种用于加工飞轮螺纹孔的装置,通过具体的实施措施来解决上述存在的问题
期刊
[摘 要]网络故障是指硬件的问题、软件的漏洞、病毒的侵入等可以引起网络的故障。网络故障带来了很多烦恼,轻则影响用户网络运行质量,重则导致整个网络瘫痪,带来巨大的经济损失。在网络出现故障时要做到及时发现网络故障、准确定位网络故障并且能及时排除故障就显得特别重要。  [关键词]网络;故障;诊断分析;处理对策  中图分类号:G250.72 文献标识码:A 文章编号:1009-914X(2015)06-0
期刊
[摘 要]针对平方王油田改造难点,转变技术思路,由端部脱砂转变为小排量小规模改造,避免沟通水层;加强方案技术论证,借助GOHFER软件计算地应力剖面,优化射孔井段、施工排量及规模,加强现场施工管理,结合改造效果对后续工艺设计进一步优化,形成闭合回路管理模式。  [关键词]平方王油田;油水关系复杂;储层改造;新理念;GOHFER软件  中图分类号:P618.13 文献标识码:A 文章编号:1009-
期刊
[摘 要]涡旋压缩机作为目前多联机普遍采用的压缩机产品,其优势特点是不容置疑的。本文通过对不同结构的涡旋压缩机进行对比分析,了解其优、缺点,以方便多联机系统设计中对压缩机的选型与运用。  [关键词]多联机系统 涡旋压缩机 高压腔 低压腔。  中图分类号:TH45 文献标识码:A 文章编号:1009-914X(2015)06-0114-01  1 引言  作为空调系统中核心的零部件,空调系统的好坏与
期刊
[摘 要]在我国实行改革开放政策以后,电力行业得到了极大的发展,电力系统也越来越完善,这就对电力系统的安全问题提出了更高的要求。所以电力部门要对这个问题起到足够的重视,要在电力系统管理过程中引进自动化技术,这样才能满足经济发展对电力系统的要求。在本文中,我们就来详细的分析一下电力自动化的现状、内容以及重要性,希望能够促进我国电力自动化的发展。  [关键词]电力系统 电力自动化 发展趋势  中图分类
期刊
[摘 要]本文首先概述了城市水利工程施工的特点,然后分析了施工总体安排、进度计划及施工方法,最后就当前城市水利工程施工管理提出了新思路,本文在此谈了谈自己的看法和观点,可供参考。  [关键词]城市水利工程; 施工组织; 施工管理;  中图分类号:TV512 文献标识码:A 文章编号:1009-914X(2015)06-0128-01  一、前言  水利工程施工组织设计从施工开始到施工结束都有着非常
期刊
[摘 要]注汽已成为开发稠油的一种常用工艺。注汽锅炉(湿蒸汽发生器,以下简称锅炉)是油田开采稠油的专用设备。它利用所生产的高压湿蒸汽注入油井,加热油层中的原油以降低粘度,从而增加其流动性,能够有效提高稠油的采收率。活动锅炉因高温高压、搬迁频繁,涉及多种介质、诸多参数,运行环境差,影响因素多,在工艺、设备、操作等方面均存在较高的安全风险。但只要建立规范流程、强化现场管理、提高安全意识,注汽安全是有保
期刊
[摘 要]空压机的作用功能就是产生压缩空气,另外一个系统元件叫做气压制动,它的力源就是空压机所产生的压缩空气。压缩空气被保存在储气筒中,储存它就是为了给汽车的有关用气装置和汽车的制动提供足够多的高压空气。商用汽车的发展越来越快,汽车内部的每个系统元件也越来越复杂。就像空压机,它的数量是不断增加的,所以就出现了各种各样的空压机。虽然种类增多了,但也不能保证质量的过硬,所以空压机的故障也是层出不穷。要
期刊
[摘 要][目的]从小鼠组织细胞中提取的a基因片段的克隆;[方法]从小鼠组织细胞中提取目的基因片段,采用PCR方法将该目的基因片段扩增,将其与表达载体相连接,构建重组质粒[1];将该重组质粒转入大肠杆菌Top10内,用蓝白斑筛选法筛选菌株进行电泳等检验。[结果]含目的基因质粒转化效率很高,电泳结果知a基因克隆成功,形成大量可用重组质粒方便下一步进行研究。[结论]从小鼠组织细胞中提取的a基因克隆效率
期刊