vpn技術范文

時間:2023-03-15 02:40:52

導語:如何才能寫好一篇vpn技術,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

vpn技術

篇1

關鍵詞:vpn 隧道協議 PPTP L2TP IPSec

VPN是Virtual Private Network的縮寫,即虛擬專用網絡。VPN在公共IP網絡上建立用戶私有的數據傳輸通道,將遠程訪問用戶與相應企業的內部網絡連接起來,并提供安全的端到端的數據通信,從而大大減輕了企業的遠程訪問費用,節省企業的運行成本。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺,如Internet、ATM(異步傳輸模式)、Frame Relay(幀中繼)等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

1、VPN的使用隧道協議

VPN的實現,最關鍵的是在公共網洛上建立用于數據傳輸的邏輯虛擬信道,而建立虛擬信道是通過使用隧道技術來實現的,隧道的建立可以是在數據鏈路層和網絡層。第二層隧道技術主要是使用PPP連接,使用的隧道協議有PPTP和L2TP,其特點是協議簡單,易于加密,適合于遠程撥號用戶使用;第三層隧道技術是IPinIP,使用的隧道協議是IPSec,其可靠性及擴展性優于第二層隧道協議,但沒有前者簡單直接。

1.1 PPTP(點對點隧道協議)

點到點隧道協議(PPTP,Point-to-Point Tunneling Protocol),是一種用于使遠程用戶通過撥號方式連接到本地的ISP,通過Internet安全的遠程訪問公司內部網絡資源的工業標準隧道協議,它在WIN NT 4.0系統中首先得到支持。PPTP是對“PPP(點對點協議)”的擴展,它能將PPP(點到點協議)幀封裝成IP數據包,以便能夠在基于IP的互聯網上進行傳輸,它增強了PPP的身份驗證、壓縮和加密機制。PPTP使用TCP(傳輸控制協議)來創建、維護、終止隧道,并使用GRE(通用路由封裝)將PPP幀封裝成隧道數據,被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。PPTP協議數據包通過使用從MS-SHAP(微軟公司的盤問交握式協議)活EAP-TLS(EAP Transport LAN Service,可傳輸式身份驗證協議)身份驗證過程中生成的密鑰進行加密。

1.2 第二層隧道協議(L2TP)

第二層隧道協議(L2TP)是思科公司開發的,具有RFC隧道協議的一種協議,是PPTP與L2F(第二層轉發)的一種綜合。它不同于PPTP,Windows系統中的L2TP不使用“MPPE(微軟點對點加密)”來加密PPP數據包,它是依賴于加密服務的IPSec(網際協議安全)的協議?,F在被廣泛使用的是基于IPSec的L2TP。VPN客戶機和VPN服務器必須同時支持IPSec和L2TP,L2TP將在IPSec身份驗證的過程中生成一個密鑰,而采用IPSec加密機制加密L2TP消息。

1.3 Internet協議安全性(IPSec)

IPSec是專門為了IP提供安全服務而設計的一種協議,它可以有效地保護IP數據報的安全,具體通過包括數據源驗證、無連接數據的完整性驗證、數據內容的機密性保護和抗重播保護等保護形式來實現。IPSec有兩種運行模式:傳輸模式和隧道模式,有兩種安全協議:AH(認證頭協議)和ESP(封裝安全載荷協議)。AH可以驗證數據的起源,保障數據的完整性以及防止相同數據包的不斷重播。ESP除具有AH的所有能力以外,還可以選擇保障數據的機密性,以及為數據流提供有限的機密性保障。即AH提供認證,ESP提供認證和/或加密。通過使用這兩種協議,可以對IP數據報或上層協議,如UDP和TCP,進行保護,而這種保護由IPSec的兩種工作模式來提供。到目前為止,IPSec被業界認為是最安全的IP協議,但是其過于復雜的問題也是系統安全的一個主要威脅。

2、VPN網絡服務的分類

從連接用途以及連接方式上,VPN網絡服務可以分為基于Internet的VPN和基于Intranet的VPN。

2.1 基于Internet的VPN

遠程訪問客戶首先要激活與本地ISP所建立的物理連接,然后遠程訪問客戶通過Internet來訪問企業的VPN服務器,同時初始化一條虛擬的專用隧道。VPN連接創建以后,遠程訪問用戶就可以訪問VPN服務器所在Intranet上的有權限訪問的資源了。

2.2 基于Intranet的VPN

對于企業內部的敏感或需保密的部門,這些部門在邏輯上或者物理上與企業Intranet上的其他部門是斷開的,即不能互訪。如何使需要訪問的用戶訪問這些部門呢?通過VPN鏈接,這些敏感部門的網絡將被允許連接到企業的Intranet內,通過搭建VPN服務器將這些敏感部門和其他部門隔離開。VPN服務器不在企業的Intranet和部門網絡之間提供直接的路由連接。那些企業Intranet內有訪問敏感部門權限的用戶可以與VPN服務器建立遠程訪問連接,進而訪問敏感部門網絡。為此,所有通過VPN的通信數據都會被加密。對于那些沒有訪問敏感部門權限的用戶,在Intranet上,敏感部門的網絡是隱藏的。

3、VPN的解決方案

3.1 Access VPN

這種方案最適合企業內部有大量的遠程辦公訪問需求和提供B2C(Business-to-Customer商家對顧客)方式的企業。遠程訪問的企業員工或者客戶可以利用當地ISP提供的VPN服務和企業的VPN網關建立專有隧道連接,這建立連接的過程中需對訪問者的身份進行驗證和授權,這樣可以使遠程訪問用戶獲得相應的訪問權限。

3.2 Intranet VPN

這種解決方案是企業內部各分支機構進行網絡互聯的最優解決方案。企業特別是大型的跨國企業可以利用VPN技術將分步在各地的分公司、辦事處等分支機構通過Internet建立世界范圍內的Intranet VPN。這個方案充分利用Internet廉價性和VPN的高安全性組建了安全的、專用的虛擬鏈路,使企業的數據和信息可以借助互聯網安全的在企業的各個分支機構之間傳遞。

3.3 Extranet VPN

這種方案以Internet為數據鏈路基礎,通過VPN技術,在充分保證企業內部網絡的網絡安全的基礎上,使企業能夠像其合作伙伴提供有效的、可靠的信息服務。該方案使得企業和企業之間的聯系更加緊密,也保障了企業與企業之間的信息的方便、快捷的傳遞。

4、VPN的應用

VPN技術主要適用于哪些客戶呢?歸納起來以下這些情況需要使用VPN技術。

(1)客戶位置眾多而且極其分散。

(2)企業的機構分布范圍廣,而且各個機構的距離遠,需要通過長途通信,特別需要使用國際長途通信的企業。

篇2

關鍵詞:VPN,管理,管理技術

 

一、VPN服務及其應用

VPN,即Virtual Private Network,是建立于公共網絡基礎之上的虛擬私有網絡,如利用Internet連接企業總部及其分支。VPN能夠給企業提供和私有網絡一樣的安全性、可靠性和可管理性等,并且能夠將通過公共網絡傳輸的數據加密。利用VPN,企業能夠以較低的成本提供分支機構、出差人員的內網接入服務。

如果訪問企業內部網絡資源,使用者需要接入本地ISP的接入服務提供點,即接入Internet,然后可以連接企業邊界的VPN服務器。如果利用傳統的WAN技術,使用者和企業內網之間需要有一根專線,而這非常不利于外出辦公人員的接入。而利用VPN,出差人員只需要接入本地網絡。論文寫作,管理。如果企業內網的身份認證服務器支持漫游的話,甚至可以不必接入本地ISP,并且使用VPN服務所使用的設備只是在企業內部網絡邊界的VPN服務器。

二、VPN管理

VPN能夠使企業將其內部網絡管理功能從企業網絡無縫延伸到公共網絡,甚至可以是企業客戶。這其中涉及到企業網絡的網絡管理任務,可以在組建網絡的初期交給運營商去完成,但企業自身還要完成許多網絡管理的任務。所以,一個功能完整的VPN管理系統是必需的。

通過VPN管理系統,可以實現以下目的:

1、降低成本:保證VPN可管理的同時不會過多增加操作和維護成本。

2、可擴展性:VPN管理需要對日益增加的企業客戶作出快速的反應,包括網絡軟件和硬件的平滑升級、安全策略維護、網絡質量保證QOS等。論文寫作,管理。

3、減少風險:從傳統的WAN網絡擴展到公共網絡,VPN面臨著安全與監控的風險。網絡管理要求做到允許公司分部、客戶通過VPN訪問企業內網的同時,還要確保企業資源的完整性。

4、可靠性:VPN構建于公共網絡之上,其可控性降低,所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術

1、第二層通道協議

第二層通道協議主要有兩種,PPTP和L2TP,其中L2TP協議將密鑰進行加密,其可靠性更強。

L2TP提高了VPN的管理性,表現在以下方面:

(1)安全的身份驗證

L2TP可以對隧道終點進行驗證。不使用明文的驗證,而是使用類似PPPCHAP的驗證方式。論文寫作,管理。

(2)內部地址分配

用戶接入VPN服務器后,可以獲取到企業內部網絡的地址,從而方便的加入企業內網,訪問網絡資源。地址的獲取可以使用動態分配的管理方法,由于獲取的是企業內部的私有地址,方便了地址管理并增加安全性。論文寫作,管理。

(3)網絡計費

L2TP能夠進行用戶接口處的數據流量統計,方便計費。

(4)統一網絡管理

L2TP協議已成為標準的協議,相關的MIB也已制定完成,可以采用統一SNMP管理方案進行網絡維護和管理。

2、IKE協議

IKE協議,即Internet Key Exchange,用于通信雙方協商和交換密鑰。IKE的特點是利用安全算法,不直接在網絡上傳輸密鑰,而是通過幾次數據的交換,利用數學算法計算出公共的密鑰。數據在網絡中被截取也不能計算出密鑰。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的。

在身份驗證方面,IKE提供了公鑰加密驗證、數字簽名、共享驗證字方法。并可以利用企業或獨立CA頒發證書實現身份認證。

IKE解決了在不安全的網絡中安全可靠地建立或更新共享密鑰的問題,是一種通用的協議,不僅能夠為Ipsec進行安全協商,還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協議協商安全參數。

3、配置管理

可以使VPN服務器支持MIB,利用SNMP的遠程配置和查詢功能對VPN網絡進行安全的管理。

(1)WEB方式的管理

利用瀏覽器訪問VPN服務器,利用服務器上設置的賬戶登錄,然后將Applet下載到瀏覽器上,就可以對服務器進行配置。論文寫作,管理。用戶登錄后,服務器會只授權登錄的IP地址和登錄客戶權限,從而避免偽造的IP地址和客戶操作。而且利用這種方式,還解決了普通SNMP協議只有查詢沒有配置功能的缺點。

(2)分級統一管理

如果企業網絡規模擴大,可以對VPN服務器進行統一配置管理,三級網絡中心負責數據的收集與統計,然后向上層匯總。收集的數據包括VPN用戶數量、VPN用戶的數據流量等。通過分級管理,一級網絡中心就能夠獲取全部VPN用戶的數量、流量并進行統計,分析出各地情況,從而使用合適的方案。

4、IPSec策略

IPSec是一組協議的總稱,IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結點提供給多臺機器或者是局域網,也可以提供端到端通信安全,由作為端點的計算機完成安全操作。上述兩種模式都可以用來構VPN,這是IPsec最主要的用途。

IPSec策略包括一系列規則和過濾器,以便提供不同程度的安全級別。論文寫作,管理。在IPSec策略的實現中,有多種預置策略供用戶選擇,用戶也可以根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本的方法,一是在本地計算機上指定策略,二是使用組策略對象,由其來實施策略。并且利用多種認證方式提升VPN的安全管理性。

利用上述VPN管理技術,可以大大提高企業網絡資源的安全性、完整性,并能夠實現資源的分布式服務。以后還將結合更多的技術,實現VPN網絡靈活的使用和安全方便的管理。其使用的領域也會越來越廣泛。

參考文獻:

[1]帕勒萬等著劉劍譯.無線網絡通信原理與應用[M].清華大學出版社,2002.11

[2]朱坤華,李長江.企業無線局域網的設計及組建研究[J].河南科技學院學報2008.2:120-123

[3]潘愛民.計算機網絡(第四版)[M].清華大學出版社2004.8

篇3

關鍵詞 MPLS-VPN;節省公網地址資源;標簽隧道

中圖分類號:TN915 文獻標識碼:A 文章編號:1671—7597(2013)051-143-01

隨著國內互聯網業務的飛速發展,運營商維護工作當中的一些問題也隨之顯現。通過我們在工作中的積累,可以看到寬帶用戶數在飛速增長,使GPON(最新一代寬帶無源光綜合接入標準)等業務在家庭中逐漸普及,但是隨之帶來的是互聯網設備網元數量在逐漸增多,而PPPOE(普通撥號業務)、GPON、專線等各類地址在日常使用中,地址交叉占用,規范不標準,如圖1。

2011年2月國際互聯網號碼注冊機構公布最后一批ipv4地址已分配完畢,據工信部2012年11月的報告數據,我國的寬帶家庭用戶數量已經達到了1.66億,公網IP地址已成為緊缺資源,不能滿足國內互聯網快速發展的需求,我們以一個圖表來說明地址的變化情況。

如何在當前的大環境下,既能保持中國互聯網業務高速發展速度的同時又能做到高效的利用IP地址資源呢?需要啟動私網地址來替換現網中的公網地址,如果將GPON設備網元私網化,既有網絡結構不變,那么會導致GPON私網與公網業務混在一起,不但地址管理容易混亂,而且數據容易造成沖突,可擴展性差。如果使用MPLS-VPN隧道技術進行業務隔離,使用獨立標簽進行業務劃分,并建立GPON業務的獨立通道與公網業務進行隔離,網絡安全可靠,可擴展性強。不同的部門有不同的業務系統,這些系統多數是要求數據隔離的,但有些系統又存在著互訪的需求,所以采用MPLS-VPN技術可以實現這些系統隔離和互訪的要求。

MPLS-VPN網絡主要由PE(運營商邊緣路由器設備,與CE相連,提供VPN業務的接入)、P(運營商核心路由器設備,只負責轉發MPLS數據包)、CE(用戶網絡邊緣路由器設備,與PE相連)3部分組成。

MPLS-VPN是一種基于MPLS(多協議標簽交換)的VPN技術,屬于第三代網絡架構,該技術對轉發用戶的數據包封裝標簽,是一種采用標簽交換認證識別互聯網虛擬網絡技術。它的特點是在現有的網絡架構下,無須增加硬件設備,利用路由選擇協議建立完整的路由表,使用LDP協議生成基于標簽交換的通道,就可以實現網內數據包的快速轉發。在網內各個PE路由器出入端口配置該MPLS-VPN數據后,封裝該標簽的數據包就可以通過標簽隧道互聯互通,從而實現與PE相連CE路由器下的GPON用戶間可以相互訪問。

安全方面我們要考慮是否能做到全網全鏈路VPN,針對運營商所轄地市的網絡結構及設備環境進行排查升級工作,以保證全省VPN網絡的暢通。其次建立MPLS-VPN網絡的通道需在幀上添加標簽,所以要統一修改互聯網與傳輸設備端口MTU值≥1516,需要排查網內傳輸設備是否能滿足封裝標簽后的數據包正常通過,是否能做到鏈路中斷的自動保護,并建立完整的應急預案機制等安全問題。

建立VPN承載網絡,首先要深入研究MPLS-VPN的核心技術,統一進行數據配置,規范操作流程,并在設備提供商的配合下,匯集互聯網設備硬件和軟件存在的問題,進行升級改造,實現多核心、全連路、可中斷保護的VPN承載網絡。為了更好的效果,我們不僅要增強技術手段,還必須規范一系列標準,如圖2。

制訂規范需要統一MPLS-VPN的數據配置與VLAN規劃標準。其次是私網地址使用規范,統一分配私網地址,按不同廠家的設備型號差異化進行使用,已防止出現地址管理混亂的問題。

在當前光進銅退的大環境下,MPLS-VPN技術已經可以成為節省資源成本的一種有力手段,該技術管理便捷,投資教少,使用簡易,在性能價格比上,相比其他廣域網VPN技術也具有較大的優勢,從而可以有效提高了網絡維護效率,為我們快速發展中安全、高效的中國互聯網產業提供有力的支撐。

參考文獻

篇4

關鍵詞:VPN安全協議關鍵技術部署模型

中圖分類號: TP393文獻標識碼: A

VPN Technology and Deployment Model Analysis

JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1

(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;

2. Guizhou Radio and TV University, Guiyang 550004, China)

Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.

Key Words:VPN ;Security agreement;key technology ;Deploy model

0 前言

VPN技術實現了內部網信息在公眾信息網中的傳輸,就好像在廣域網中為用戶建立了一條專線網。VPN根據使用者的身份和權限,直接將使用者接入他所應該接觸的信息中。所以VPN對于每一個用戶來說,也是“專用”的,這一點是VPN給用戶帶來的最為明顯的變化。

1 VPN 概述

1.1VPN的概念

VPN (Virtual Private Network) 即虛擬專用網,是在Internet中建立一條虛擬的專用通道,讓分布在不同地點的網絡用戶能在一個安全、穩定的專用網絡通道中相互傳遞數據信息。VPN采用認證、訪問控制、機密性、數據完整性等技術保障數據通過安全的“加密管道”在Internet中傳播。[1]

1.2 VPN 的類型

根據VPN 所起的作用,可以將VPN 分為三類:[1] [2] [3]

1.企業內部虛擬網(Intranet VPN):通過公用網絡將總部網絡與各個分部網絡安全互聯,是傳統的專線網或其他企業網的擴展或替代形式。

2.企業擴展虛擬網(Extranet VPN):將具有合作關系的幾個內聯網通過VPN互聯,形成一個大的聯網區域,使之可共享訪問的虛擬專用網絡。

3.遠程訪問虛擬網(Access VPN):實現出差流動員工、遠程辦公人員和遠程小辦公室對內部資源的訪問。

1.3 VPN 特點[2][4][5]

(1)數據加密和身份認證;(2)提供不同的訪問控制;(3)用戶有不同的訪問權限;(4)網絡具有很高的安全性;(5)有利益于擴展企業與合作伙伴的關系;(6)可支持新興多媒體業務;

2 VPN關鍵技術

2.1 隧道技術

隧道技術(Tunneling)是一種在公用網絡之間傳遞數據的方式[6]。隧道技術是VPN 的核心。[7]不同協議的數據幀或包都可以使用隧道傳遞。隧道是由隧道協議形成的,常用的有第2、3層隧道協議。隧道協議把其它協議的數據幀或包重新封裝之后,再由隧道發送。

2.2 密碼技術

VPN 技術的安全保障主要依靠密碼技術實現。其加密算法包括對稱加密算法、不對稱加密算法兩種。對稱加密算法是通信雙方共享一個密鑰,發送方使用該密鑰將明文加密為密文,接收方使用相同的密鑰將密文解密為明文。不對稱加密算法是通信雙方各使用一個不同的密鑰,一個是只有發送方知道的密鑰,另一個則是與之對應的公開密鑰。

2.3 身份鑒別和認證技術

VPN基于公共網絡進行通信的特點使得對用戶身份的鑒別顯得極為重要。身份鑒別和認證技術可以辨別數據的真偽,這對于網絡數據是尤為重要的。認證協議一般采取的是消息摘要算法,它主要是采用HASH函數將一段較長的報文通過HASH函數變換,映射為一段較短的報文摘要。

2.4 QoS技術

通過加密技術及隧道技術,就能建立一個具備安全性、互操作性的VPN。但建立的該VPN是不穩定的,在管理上還不能滿足企業的要求,這就需要加入QoS技術。實行QoS技術應該在主機網絡中,即VPN所建立的隧道,這樣才能建立一條性能優越的隧道。[8]

3 VPN 解決方案[9]

3.1 VPN 部署模型

部署VPN首先要選定一個VPN隧道終端設備,選擇的這個設備主要由VPN隧道端點位置和用于隧道端點設備的功能來決定。

3.1.1位于邊界路由器的VPN終端

位于邊界路由器的VPN終端所具有的優點是能夠確保VPN流量遵循外部防火墻的策略后才能夠達到內部網絡,它比較適合外部連接部署。它的缺點是隨著業務合作伙伴的增加,路由器上的負荷也隨著加解密進出VPN隧道數據包的增加而增加。

3.1.2 位于企業防火墻的VPN終端

位于企業防火墻的VPN終端能夠允許來自不同分支機構對公司內部網絡的訪問,在這種模型下,遠程用戶可以直接訪問內部網絡,而不用進行第二次認證。它的缺點是隨著公司分支機構的增加,防火墻的負荷也隨著增加。

3.1.3位于專用設備的VPN終端

位于專用設備的VPN終端能夠允許從分支機構網絡直接訪問公司內部核心網絡,遠程用戶可以訪問提供的所有內部服務。它的缺點是隨著更多的公司分支機構接入內部網絡,防火墻的負荷也會因為每個VPN需要加密數量的增加而增加。

3.2VPN拓撲模型

3.2.1 星狀拓撲模型

在星型拓撲結構中,遠程分支機構可以安全的與公司總部通信,它的缺點是分支機構間不能通信。星型拓撲結構提供的固有優點是新站點的增加比較容易。

3.2.2 網狀拓撲模型

在網狀拓撲模型中,可以全網狀或部分網狀來部署VPN網絡。它的優點是有大量任意目的地的替代路徑,缺點有大量的冗余路徑。

3.2.3中心輪廓拓撲模型

中心輪廓拓撲模型從設計上來,很類似網狀拓撲模型,但其最大的不同點是解決了各分支機構間不能通信的缺點。在這個模型中,公司網絡做外一個傳輸節點,它讓所有的流量從網絡的一個分支結構傳輸到另一個傳輸節點。它的缺點是使得整個網絡的安全風險加大。

3.2.4 遠程訪問拓撲模型

遠程訪問拓撲模型是建立在中心輪廓拓撲模型基礎之上的,它可以為遠程用戶,移動辦公用戶等沒有靜態IP地址的用戶提供連接從而保證它們之間的通信。

4 結語

VPN技術的發展, 為企業建設計算機網絡提供了一種新的思路, 可以通過在公共網絡上建立虛擬的鏈接來傳輸私有數據。VPN通過隧道技術、數據加密技術以及QoS機制,使得企業不僅極大的降低了企業建設網絡的成本, 同時也大大提高了網絡的安全性,提高了企業運營效率。在網絡時代,企業發展取決于是否最大限度地利用網絡。VPN將是企業現在乃至未來最佳的選擇[10]。

參考文獻:

[1]袁德明.喬月圓.計算機網絡安全[M].電子工業出版社.2007.266-282.

[2]謝懷軍.VPN技術透視分析[M].中國金融電腦.2000.10.

[3][美]C arlton R .D avis. IP Sec VPN 的安全實施[M].清華大學出版社.2002.

[4]郝輝,錢華林.VPN及其隧道技術研究[J].微電子學與計算機.2004.21(11):47~49.

[5]周喜等.VPN現狀與在網區中的部署分析[J].計算機應用研究.2003.2.

[6]陳興剛,孟傳良.VPN及其隧道技術研究[J].電腦知識與技術.2008,3(5):879-880.

[7]彭湘凱.VPN及其核心技術[J].成都大學學報(自然科學版),2001,20(1):12~15.

[8]劉建偉,王育民等.網絡安全――技術與實踐[M].北京.清華大學出版社.2005.472.

[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell編著.謝琳,趙俐等譯.防火墻策略與VPN配置[M].中國水利水電出版社.2008.136~170.

篇5

關鍵詞:VPN; 信息化; Qos;捆綁

1.概念綜述

VPN(虛擬專用網絡)技術對大型的跨地域企業內部同步使用ERP、MRP等信息化管理系統有著極大的幫助作用和可觀的經濟意義,不過受到流量問題的限制,VPN技術也面臨一個網絡帶寬“供不應求”的難題,例如現在很多企業都是采用ADSL網絡接入方式,而基于ADSL線路由于技術本身的限制,單條的上行速率只能達到幾百K,如果是一些數據量較大的企業信息系統,要求信息流是雙向的,傳和下傳的速度都要快,那么單條ADSL就顯得力不從心了。

從而,一種既可以不改動原有ADSL線路,又可以有效提升VPN系統性能的技術得以推廣,即“通道多路捆綁”技術,這種技術現在在國內也已經十分成熟,例如我國較早涉足VPN領域的深信服(SINFOR)公司在VPN的多路捆綁技術上就有著諸多建樹。

2.多路通道技術綜述

2.1何為多路通道技術

   所謂多路通道技術,就是使數據包可以從兩條線路進行傳輸,就像計算機中磁盤陣列RAID 0的方式,在理論上可以達到帶寬倍增的效果。從表面上看,多路通道捆綁似乎是一種非常理想的技術,但真正實現起來,其中也存在不少困難:首先,數據要同時在多條線路上傳輸、如何能保證相同的業務數據分配到不同線路時,仍然不受影響?比如一串視頻數據,發送時通過多條Internet線路、在接收端,傳輸的數據順序必須準確有效、并能還原成發送前的狀態。其次,線路的中斷和恢復也是一個必須解決的問題。一旦一條線路出現故障,所承載的數據要立刻無縫切換到其他線路,并保證業務不受影響。同樣,線路恢復后,也要能夠在新恢復的線路上建立VPN隧道,并能夠重新調整負載均衡策略。最后,Internet連接方式也多種多樣。用戶為了進一步增強系統穩定性,往往傾向于從不同的運營商處申請線路,就會存在各種不同方式的Internet線路(如ADSL、寬帶、DDN等等)需要能夠實現帶寬的捆綁和疊加。

2.2多路通道的組合

在一個路由器上做多條線路捆綁的方式有多種組合:多條ADSL線路捆綁,多條光纖線路捆綁,光纖和ADSL線路進行捆綁。這種捆綁是一種帶寬相加式的捆綁,而不是線路互相備份。多路通道1+1=2?從實際應用的角度去分析,兩條線路進行捆綁后,上下行的流量是不可能達到1+1=2的效果的,2條以上的線路也是同樣道理,原因大致如下: 第一,當每一個數據包進行傳輸時,它必須先選擇其中一條線路,這個選擇的過程就是路由器進行調度分配的過程,路由器會按照預先設定的算法將每一個數據包根據一定的條件(這個條件通常不是固定的)分配到一條線路,這個過程會占用路由器的處理器資源,需要耗費一定的時間,當然耗時是非常短的,但是大量的數據包耗費的時間累加起來就比較可觀了,加上現在中低端路由器的處理能力還比較有限,所以這種資源的消耗是不能忽略的。如果你捆綁兩條2M的線路和一條4M的線路做對比,就會發現捆綁兩條2M線路的速度不會快過那條4M的線路,其中一個重要因素就是路由器上對數據包進行調度而耽誤了數據轉發的時間。 第二,相信大家也知道,RAID 0陣列的容量是取決于容量小的那個硬盤,因為數據是同時在兩個硬盤上進行讀寫的;而在VPN多路捆綁中也有類似情形--如果兩條線路的帶寬不一樣,也就是一條大些,一條小些,這時情況就比較復雜了。因為如果路由還是按照1:1的比例將數據包分別派發給兩條線路的話,就會造成帶寬大的那條線路發完時帶寬小的那條還沒發完,于是帶寬大的線路得等待帶寬小的線路,這樣會造成效率的降低,因此很多支持不對稱多路捆綁的路由器都允許設置路由器調度分配的比例,例如接入1條1M的ADSL和1條2M的ADSL時,就可以把這個比例設成1:2,這樣兩條線的帶寬就可以充分利用起來;當然,由于數據分配的比例不會是完美的1:2,而兩條線路的實際流量也不是準確的1:2,因此寬帶資源還是沒有被完全的利用起來,所以最終1M和2M兩條ADSL線路捆綁之后的實際效果依舊小于3M線路的實際效果。第三,如果兩條線路進行捆綁,在下載時和上傳時得到的帶寬其實是不同的,因為在上傳時你是兩條線路同時傳送數據,可以理解為1+1=2;但在下載時,對方并不知道你將線路進行了捆綁,他也無法控制數據包往哪條線路上傳送,所以每次對方的數據包發送過來都是由其中一條線路承擔接收任務,在這種情況下,兩條1M的線路進行捆綁后其實效果大概也是1M,也就是1+1=1,因此,將多路捆綁簡單的理解為帶寬的疊加其實是不對的。

2.3多路通道捆綁的好處

首先,多路通道捆綁技術給用戶帶來的好處是顯而易見的。首先就是帶寬的大幅提升,在目前大多數的VPN系統應用中,都是總部的一條線路、需要應對來自幾個甚至幾十個分支機構、移動用戶的數據量。尤其在類似ADSL的非對稱線路中、上行帶寬本來就較窄,造成總部數據量不堪重負。為了解決帶寬不平衡的問題,有些企業不得不在總部耗費巨資申請高速的專用線路,成本高昂。

其次,VPN支持各種不同方式的線路綁定,用戶可以申請多條動態IP的ADSL上網線路、也可以申請ADSL及其他寬帶線路甚至無線連接等等。通過多線路防火墻/NAT模塊,還可以實現多條線路共同訪問Internet,成倍的提高了上網的速度。

第三多路通道捆綁的另一個好處就是系統的穩定性大大增強。如果是單條線路,一旦中斷、整個系統就會陷入癱瘓,VPN系統的穩定性非常依賴于線路本身的穩定性。通過多線路捆綁技術,尤其是對不同方式的線路捆綁、在任何一條線路出現故障時,數據可以無縫切換到其他正常線路,保證了整個系統的持續可靠運行。優秀的VPN路由還進一步實現了多條Internet線路的QOS管理,并能根據不同線路的帶寬情況智能分配負載,最大限度的提高帶寬利用率。

2.4多路通道捆綁的安全和權限問題

多條線路同時連接時,局域網也同時面臨著多條與Internet連接的通道。這就給各種網絡攻擊、病毒提供了更多的可乘之機,所以很多VPN路由都是直接結合了比較專業的防火墻功能,不但能夠支持多條線路的捆綁上網,還能對帶寬進行智能動態分配,防護來自多條

線路的攻擊。

3.結束語

   由于很多VPN網絡的結構非常龐大,內部成員的權限問題也就非常復雜,因此一些優秀的VPN產品可以對各成員接入后的可訪問資源做嚴格而詳細的限定來杜絕這些安全隱患。例如Sinfor的DLAN方案就可以針對每個用戶設定不同的接入訪問權限,如某些用戶只能訪問總部的庫存系統,不能訪問財務系統等,不同的VPN用戶可以設定對不同資源的訪問權限,避免因為VPN用戶權限過大造成的安全隱患。

  

參考文獻:

[1]CarIton R.Davis. IPSec VPN的安全實施.清華大學出版社.

[2]林闖,單志廣,任豐原, 計算機網絡的服務質量(QoS). 清華大學出版社。2004

篇6

【關鍵詞】VPN 網絡 實現技術

【中圖分類號】G718 【文獻標識碼】A 【文章編號】1672-5158(2013)01―0180-02

1 前言

隨著企業規模逐漸擴大,遠程用戶、遠程辦公人員、分支機構、合作伙伴也在不斷增多,關鍵業務的需求增加,出現了一種通過公共網絡(如Internet)來建立自己的專用網絡的技術,這種技術就是虛擬專用網(簡稱VPN)。VPN集靈活性、安全性、經濟性以及擴展性于一身,可充分滿足分支機構、移動辦公安全通信的需求。

2 VPN技術概述

VPN英文全稱是“Virtual Private Network”(虛擬專用網絡”)。VPN被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。

2.1 VPN的功能

VPN至少應能提供如下功能:加密數據,以保證通過公網傳輸的信息即使被他人截獲也不會泄露;信息認證和身份認證,保證信息的完整性、合法性,并能鑒別用戶的身份;提供訪問控制,不同的用戶有不同的訪問權限。

2.2 VPN的分類

VPN既是一種組網技術,又是一種網絡安全技術。按照不同的方法主要有以下幾種劃分方式。

(1)按實現技術劃分,基于隧道的VPN、基于虛電路的VPN和MPLSVPN

(2)應用范圍劃分,遠程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3種應用模式。

(3)遠程接入VPN用于實現移動用戶或遠程辦公室安全訪問企業網絡;Intranet VPN用于組建跨地區的企業內部互聯網絡;Extranet VPN用于企業與客戶、合作伙伴之間建立互聯網絡。

(4)按隧道協議劃分,VPN可劃分為第2層隧道協議和第3層隧道協議。PPTP、L2P和L2TP都屬于第2層隧道協議,IPSec屬于第3層隧道協議,MPLS跨越第2層和第3層。VPN的實現往往將第2層和第3層協議配合使用,如L2TP/IPSec。當然,還可根據具體的協議來進一步劃分VPN類型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

2.3 VPN的特點

在實際應用中,一個高效、成功的VPN應具備以下幾個特點:

(1)安全保障

VPN應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。

(2)服務質量保證(QoS)

VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網絡阻塞,產生網絡瓶頸,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。

(3)可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

(4)可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

2.4 VPN的技術解決方案

VPN有三種解決方案,用戶可以根據自己的情況進行選擇。這三種解決方案分別是:遠程訪問虛擬網(AccessVPN)、企業內部虛擬網(IntranetVPN)和企業擴展虛擬網(ExtranetVPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet相對應。

(1)如果企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用AccessVPN。

AccessVPN通過一個擁有與專用網絡相同策略的共享基礎設施,提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。AccessVPN包括模擬、撥號、ISDN、數字用戶線路(xDSL)、移動IP和電纜技術,能夠安全地連接移動用戶、遠程工作者或分支機構。

(2)如果要進行企業內部各分支機構的互聯,使用IntranetVPN是很好的方式。

越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等,各個分公司之間傳統的網絡連接方式一般是租用專線。顯然,在分公司增多、業務開展越來越廣泛時,網絡結構趨于復雜,費用昂貴。利用VPN特性可以在Internet上組建世界范圍內的IntranetVPN。

(3)如果是提供B2B之間的安全訪問服務,則可以考慮EXtranetVPN。

隨著信息時代的到來,各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務,通過各種方式了解客戶的需要,同時各個企業之間的合作關系也越來越多,信息交換日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎,而如何利用Internet進行有效的信息管理,是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet,既可以向客戶、合作伙伴提供有效的信息

服務,又可以保證自身的內部網絡的安全。

3 結語

在過去無論因特網的遠程接入還是專線接入,以及骨干傳輸的帶寬都很小,QoS更是無法保障,造成企業用戶寧愿花費大量的金錢去投資自己的專線網絡或是寧愿花費巨額的長途話費來提供遠程接入?,F在隨著ADSL、DWDM、MPLS等新技術的大規模應用和推廣,上述問題將得到根本改善和解決??梢韵胂?,當我們消除了所有這些障礙因素后,VPN將會成為我們網絡生活的主要組成部分。同時,VPN會加快企業網的建設步伐,使得集團公司不僅僅只是建設內部局域網,而且能夠很快地把全國各地分公司的局域網連起來,從而真正發揮整個網絡的作用。VPN對推動整個電子商務、電子貿易將起到不可低估的作用。

參考文獻

[1]秦柯.Cisco IPSec VPN實戰指南人民郵電出版社,2012

篇7

【關鍵詞】虛擬專用網絡 多協議標記交換 安全性 穩定性靈活性

一、前言

隨著企業規模的不斷擴展,企業內部間信息傳輸的安全性,可靠性以及信息傳輸穩定性變得越來越重要,各企業也越來越重視企業內部間的網絡互連。因此,建設安全、可靠、穩定、低成本的企業網絡成為企業的基礎課題。

然而,隨著IP-VPN技術迅速發展,使得IP-VPN技術也廣泛應用于企業網絡建設當中。而MPLSVPN是一種基于MPLS技術的IP-VPN,其能有效解決企業網絡組建中遇到的跨越公用網和跨越自治系統的需求,并且解決企業對于語音和視頻的通信需求。同時MPLS VPN還保證了網絡傳輸的安全性、實時性、穩定性。這為現代異地辦公、移動辦公數據安全性、可靠性及實現企業互連,提供了一種新的途徑和解決方案。

二、MPLS VPN技術在本企業的應用

近年來,隨著企業國際化進程的穩步推進,信息化已成為保障企業持續發展的重要手段之一。企業需要在提高企業網絡的轉發速率和靈活性的同時,又能確保企業信息化的安全性與穩定性,以及在降低投入到一個合理范圍的同時,滿足企業信息化發展的需求。

(一)本企業現狀

本企業的網絡是星形網絡架構,通過總公司的廣域網與各基地相互連通的;新疆和新加坡是直接通過本企業建立的專線接入到燕郊核心交換機上,印尼分公司和墨西哥分公司是通過IPSEC VPN方式接入本企業燕郊內網。本企業的數據中心建在燕郊,各基地和海外子公司都需要訪問數據中心的相關數據,因此網絡流量都會集中在燕郊,從網絡架構上說,本企業的星型結構中心點應該是燕郊地區,而不是作為總公司的中心節點的北京地區,因此現有的網絡架構存在著如下的問題,核心網絡節點資源分配不足,部分網絡上聯網絡資源不足,局部網絡在特定時間段存在網絡瓶頸,網絡傳輸速率不足。

本企業的內部網絡通過總公司的廣域網與各分站基地互聯通信的,同時,本企業的內部網絡與總公司及其二級公司網絡也都是互通的,相互之間沒有充足的隔離手段,因此在數據傳輸的安全性上存在較大隱患。同時,由于本企業的網絡結構扁平,生產網和測試網沒有進行分離,由于測試系統的穩定性與安全性都比較低,兩網在一起也存在著一定的安全隱患。

本企業燕郊、湛江、上海、深圳地區的核心網絡過于扁平化,如遇到網絡環路,就會造成整個網絡的癱瘓,嚴重影響用戶的日常辦公和各生產系統的正常運行。隨著應用系統的增多,重要系統的網絡帶寬保障需求日益突出,然而現有網絡架構與設備無法在燕郊與各地做特殊應用優先保障策略,導致有的重要系統同步數據或上傳數據無法保障網絡傳輸平穩正常。

隨著本企業信息化建設需求不斷增多,應用系統的運維模式向集中管理發展,企業網絡傳輸的穩定性、安全性和轉發速率時刻影響著各地用戶。至此,網絡架構不合理、轉發速率不足、穩定性不夠、以及安全性不高已嚴重制約了企業信息化的發展。

(二)MPLS VPN在油服的應用

1.設計方案

為滿足本企業的多網分離,專網專用,辦公與生產、測試相互隔離的需求,同時一定程度上解決網絡速度慢、穩定性差、安全性低、網絡活動性和擴展性不靈活、QOS無法制定、舊網絡無法升級等問題,充分利用MPLS VPN技術的優勢,項目組制定了本企業獨特的兩橫兩縱VPN設計架構。

本企業的MPLS VPN邏輯上分為兩橫兩縱,兩個橫向VPN分別為應用共享VPN和測試共享VPN;兩個縱向VPN分別為辦公縱向VPN和科研縱向VPN。應用共享VPN里規劃為本企業現運行的各應用系統;測試共享VPN為未正式上線的應用系統;辦公縱向VPN為各基地、機關的普通用戶地址段;科研縱向VPN為各事業部要求網絡環境安全性比較高的用戶地址段。

2.實施過程

根據本企業各地理片區不同的網絡設備以及網絡拓撲結構的不同情況,結合整體考量,MPLS VPN網絡改造從以下幾個步驟進行的,首先,更換全網IP地址;其次,更換全網不滿足的核心設備和樓層設備;再次,增加全網網絡端口和光纖上鏈線路;最后,進行MPLS VPN配置和遷移。根據前期的規劃,通過近兩年的實施,燕郊、湛江、塘沽、深圳和上海各地分站都劃分為邊緣區域,部署MCE設備,在MCE上分別建有本企業的兩橫兩縱VPN,只有新疆地區由于片區小,人數少,網絡結構單一,所以配置為CE。本企業MPLS VPN項目完成后的網絡架構如下圖所示。

圖MPLS 網絡拓撲圖

3.使用效果

自MPLS VPN項目改造以來,實施完成后的益處總結為以下幾點。

(1)提高本企業網絡的安全性

在實施MPLS VPN項目以前,集團公司旗下任何一家二級單位都可以訪問本企業的各應用系統、網絡設備和計算機,一旦有一個單位網絡出現病毒,那么這些網絡病毒可以快速在廣域網中傳播;同時一旦該單位的網絡受到外部攻擊或者黑客進入,很容易會攻擊到本企業的應用系統及個人辦公電腦,在信息化安全不斷提高與強調的今天,這種網絡環境已經不能滿足整個集團以及本企業信息化發展的需要。在實施了MPLS VPN項目后,整個網絡環境從三方面體現了出了高安全性。不同VPN之間地址空間與路由信息的分離;骨干網絡拓撲對VPN用戶的隱藏;提高了網絡抵御惡意攻擊(如拒絕服務攻擊(DOS))以及網絡入侵的能力。

(2)提升各地局域網的網絡穩定性

MPLS VPN實施后,優化了各片區的網絡接入方式,湛江、燕郊、塘沽各地接入網絡都改成了雙上聯的不同路由區域,燕郊的同地區不同片區之間網絡接入也改成了不同的路由區域,提高了網絡的穩定性。同時,同片區下不同VPN下的機器不再受到環路后的泛洪影響。根據PING值測試,MPLS VPN實施前各地存在著每10000個PING包會丟失50到150個包,實施MPLS VPN后測試PING 10000個包丟率為0%,網絡的穩定性達到了最佳值。

(3)優化網絡基礎架構

在實施MPLS VPN后,更換了燕郊、湛江、上海、深圳核心設備,提高了更換的各基地的數據轉換和處理能力,同時調整了網絡架構,從本企業的網絡架構看,現已調整為以燕郊為中心的星型雙鏈路架構;更改了燕郊、湛江、塘沽、湛江、上海和深圳的接入方式,大多實現雙上聯冗余接入網絡,并且根據各基地的現有情況,調整核心交換機配置,使接入層交換機與核心交換機的選路達到最優方式。

三、結束語

MPLS VPN網絡的實施僅只是企業對MPLS VPN技術研究與應用的一個起點,相信隨著MPLS VPN技術的不斷發展和使用的深化,MPLS VPN技術的各種優勢將逐步被應用到我們的生產工作中去,并在我們的生產工作中發揮更加巨大的作用。

參考文獻:

[1] 趙雪石;MPLS VPN的優勢及實施中應注意的問題[J];湖北郵電技術;2004年05期.

[2] 胡國輝;崔可升;MPLS VPN原理及組網應用[J];電信技術;2005年12期.

篇8

隨著Internet的蓬勃發展,人們對其應用提出了更高的要求。但Internet缺乏有效的流量和網絡帶寬管理手段,網絡經常會發生阻塞。無法對服務質量(QoS)提供保證,許多應用對于目前的IP技術(如語音和視頻等)顯得力不從心。而新興的多協議標記交換技術(MPLS:MultiProtocol Label Switching)有望解決這一問題。

1 VPN簡介

VPN指的是依靠ISP和其它NSP,在公用網絡中建立專有數據通信網絡的技術。在虛擬專網中,任意兩個接點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公共網的資源動態組成的。VPN技術采用季認證、存取控制、機密性、數據完整性等措施,以保證信息在傳輸過程中的機密性、完整性和可用性。它是在公共Internet之上為政府、企業構恐安全可靠、方便快捷的專用網絡,并可節省資金。VPN技術是廣域網建設的最佳解決方染,它不僅會大大節省廣域網的建設和運行維護費用,而且擁有成本低、便于管理,開銷少、靈活度高,保密性好等優點。

2 基于MPLS的VPN技術

2.1 MPLS的基本原理

MPLS VPN是指基于MPLS技術構建的虛擬專用網,即采用MPLS技術,在公共IP網絡上構建企業IP專網,實現數據、語音、圖像等多業務寬帶連接。并結合差別服務、流量工程等相關技術,為用戶提供高質量的服務。MPLS VPN能夠在提供原有VPN網絡所有功能的同時,提供強有力的QoS能力,具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。

MPLS是一種特殊的轉發機制,它為進入網絡中的IP數據包分配標記,并通過對標記的交換來實現IP數據包的轉發。標記作為IP包頭在網絡中的替代品而存在,在網絡內部MPLS在數據包所經過的路徑通過交換標記(而不是看IP包頭)來實現轉發;當數據包要退出MPLS網絡時,數據包被解開封裝,繼續按照IP包的路由方式到達目的地。

    如圖1所示,MPLS網絡包含一些基本的元素。在網絡邊緣的節點就稱作標記邊緣路由器(LER:Label Edge Router),而網絡的核心節點就稱作標記交換路由器(LSR:Label Switching Router)。LER節點在網絡中提供高速交換功能。在MPLS節點之間的路徑就叫做標記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網絡的單向隧道。

MPLS的工作流程可以分為三個方面:即網絡的邊緣行為、網絡的中心行為以及如何建立標記交換路徑。

1. 網絡的邊緣行為

當IP數據包到達一個LER時,MPLS第一次應用標記。首先,LER要分析IP包頭的信息,并且按照它的目的地址和業務等級加以區分。

在LER中,MPLS使用了轉發等價類(FEC:Forwarding Equivalence Class)的概念來將輸入的數據流映射到一條LSP上。簡單地說,FEC就是定義了一組沿著同一條路徑、有相同處理過程的數據包。這就意味著所有的FEC相同的包都可以映射到同一個標記中。

對于每一個FEC,LER都建立一條獨立的LSP穿過網絡,到達目的地。數據包分配到一個FEC后,LER就可以根據標記信息庫(LIB:Label Information Base)來為其生成一個標記。標記信息庫將每一個FEC都映射到LSP下一跳的標記上。如果下一跳的鏈路是ATM,則MPLS將使用ATM VCC里的VCI作為標記。

轉發數據包時,LER檢查標記信息庫中的FEC,然后將數據包用LSP的標記封裝,從標記信息庫所規定的下一個接口發送出去。

2. 網絡的核心行為

當一個帶有標記的包到達LSR的時候,LSR提取入局標記,同時以它作為索引在標記信息庫中查找。當LSR找到相關信息后,取出出局的標記,并由出局標記代替入局標記,從標記信息庫中所描述的下一跳接口送出數據包。

最后,數據包到達了MPLS域的另一端,在這一點,LER剝去封裝的標記,仍然按照IP包的路由方式將數據包繼續傳送到目的地。

3. 如何建立標記交換路徑

建立LSP的方式主要有兩種:

(1)“Hop by Hop (逐跳尋徑) ”路由

一個Hop-by -Hop的LSP是所有從源站點到一個特定目的站點的IP樹的一部分。對于這些LSP,MPLS模仿IP轉發數據包的面向目的地的方式建立了一組樹。

從傳統的IP路由來看,每一臺沿途的路由器都要檢查包的目的地址,并且選擇一條合適的路徑將數據包發送出去。而MPLS則不然,數據包雖然也沿著IP路由所選擇的同一條路徑進行傳送,但是它的數據包頭在整條路徑上從始至終都沒有被檢查。

在每一個節點,MPLS生成的樹是通過一級一級地為下一跳分配標記,而且是通過與它們的對等層交換標記而生成的。交換是通過標記分配協議(LDP:Label Distribution Protocol)的請求以及對應的消息完成的。

(2)顯式路由

MPLS最主要的優點就是它可以利用流量設計“引導”數據包。MPLS允許網絡的運行人員在源節點就確定一條顯式路由的LSP(ER-LSP),以規定數據包將選擇的路徑。ER-LSP從源端到目的端建立一條直接的端到端的路徑。MPLS將顯式路由嵌入到限制路由的標記分配協議的信息中,從而建立這條路徑。

2.2 基本MPLS的VPN實現

如圖2所示,基于BGP擴展實現的MPLS三層VPN包含以下基本組件:

PE:Provider Edge Router,PE路由器使用靜態路由、RIPv2、OSPF或EBGP與CE路由器交換路由信息。盡管PE路由器維護著VPN路由信息,但它只需為其直接相連的那些VPN維護VPN路由。每臺PE路由器為其直接相連的每個站點維護一個VRP(Virtual Routing Forwarding Table),每個客戶連接映射到某個VRF上。在從CE路由器上學習本地VPN路由信息。PE路由器使用IBGP與其它路由器交換VPN路由信息。PE路由器可以保護到路由反射器的IBGP會話,作為全網狀IBGP會話的替代方案。使用MPLS在供應商骨干中轉發VPN數據流量時,入口PE路由器作為入MPLS使用,出入PE路由器作為出中LSR使用。

    CE:客戶邊緣(CE)設備允許客戶通過連接一臺或多臺供應商邊緣(PE)路由器的一條數據鏈路接入服務供應商網絡。CE設備是一臺IP路由器,它與直接連接的PE路由器建立鄰接關系。在建立鄰接后,CE路由器把站點的本地VPN路由廣播到PE路由器,并從PE路由器上學習遠程VPN路由。

Prouter:Provider Router,供應商路由器是沒有連接CE設備的供應商網絡中的任何路由器。在PE路由器這間轉發VPN數據流量時,供應商路由器作為MPLS連接LSR使用。由于是在采用兩層標記堆棧的MPLS骨干中轉發流量,因此供應商路由器只需維護到供應商PE路由器的路由,而不需維護每個客戶站點專用的VPN路由信息。

RR:Route Reflector,BGP路由反射器

ASBR:Automated System Border Router,自治系統邊界路由器,在實現跨自治系統的VPN時,與其它自治系統交換VPN路由。

MP-BGP:多協議擴展BGP,承載攜帶標簽的IPv4/VPN路由,包括MP-IBGP、MP-EBGP。

PE-CE路由協議:在PE、CE之間傳遞用戶網絡路由,可以是靜態路由,或RIP、OSPF、ISIS、BGP協議。

LDP:Label distribution Protocol,在PE之間建立盡力而為的LSP,經過P路由器,所有PE、P路由器均需要支持。RSVP-TE:在VPN需要QoS保障時,在PE之間建立具有QoS能力的ER-LSP。

VRF:Virtual Routing Fowarding Table,虛擬路由轉發表,它包含同一個Site相關的路由表、轉發表、接口(子接口)、路由實例和路由策略等。在PE設備上,屬于同一VPN的物理端口或邏輯端口對應一個VRF,可通過命令行或網管工具進行配置,主要參數包括RD(Route Distinguish)、Import Route-Targets、Export Route-Targets、接口(子接口)等。

VPN用戶站點:Site是VPN中的一個孤立的IP網絡,一般來說,它不通過骨干網公司總部、分支機構都是Site的具體例子。CE路由器通常為VPN Site中的一個路由器或交換設備,Site通過一個單獨的物理端口或邏輯端口(通常是VLAN端口)連接到PE設備。

用戶接入MPLS VPN后,每個Site提供一個或多個CE與骨干網的PE連接,并在PE上為該Site配置VRF,將連結PE-CE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定到VRF上,但不可以是多跳的三層連接。

BGP擴展實現的MPLS VPN擴展的BGP NLRI的IPv4地址,在其前增加了一個8字節的RD(Route Distinguisher),用于標記VPN的成員(Site)。每個VRF可配置某些策略,規定VPN可以接收哪些Site的路由信息,可以向外哪些Site的路由信息。PE根據BGP擴展的信息進行路由計算,生成相關VPN的路由表。

通常,PE-CE之間通過靜態路由交換路由信息,也可通過RIP、OSPF、BGP、IS-IS等協議,靜態路由方式可以減少因CE設備管理不善等原因造成的對骨干網BGP路由的震蕩,從而提供骨干網的穩定性。

MPLS BGP三層VPN適用于固定的Internet/Extranet用戶,每個Site可代表Internet/Extranet的總部或分支機構。MPLS三層VPN的CE與PE設備之間只需要一條物理或邏輯鏈路,但PE設備必須保存多個路由表。如果在CPE或PE之間運行動態路由協議,則PE還必須支持多實例,對PE性能要求較高。PE與PE之間需要運行BGP協議,可擴展性較差,目前可通過一個或多個路由反射器解決這一問題。對于同一AS(Automated System)域的VPN,必須建立運營商之間路由器IBGP連接的PE,與路由反射器建立IBGP連接即可。

MPLS BGP三層VPN可通過與Internet路由之間配置一些靜態路由的方式,實現VPN的Internet上網服務,并可為跨不同地域的、屬于同一個AS但沒有骨干網的運營商提供VPN互連,即提供“運營商的運營商”模式的VPN網絡互連。

2.3 MPLS的優點

1.高安全性。MPLS的標記交換路徑(LPS)具有與FR和ATM VCC相似的安全性;另外。MPLS VPN還集成了IPSEC加密,同時也實現了對用戶透時,用戶可以采用防火墻,數據加密等方法,進一步提高安全性。

2.強大的擴展性。第一,網絡可以容納的VPN數目很大;第二,同一VPN的用戶很容易擴充。

3.業務的融合能力。MPLS VPN提供了數據、語音和視頻三網融合的能力。

4.靈活的控制策略??梢灾贫ㄌ厥獾目刂撇呗?,同時滿足不同用戶的特殊需求,實現增值服務。

5.強大的管理功能。采用集中管理的方式,業務配置和調度統一平臺,減少了用戶的負擔。

6.服務級別協議(SLA)。目前利用差別服務、流量控制和服務級別來保證一定的流量控制,將來可以提供寬帶保證以及更高的服務質量保證。

篇9

Abstract: The paper mainly introduces the components and key technologies of MPLS VPN network system and explores the application of MPLS VPN network system in railway communication.

關鍵詞:MPLS/VPN;MPLS;鐵路

Key words: MPLS/VPN;MPLS;railway

中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0167-01

0引言

MPLS VPN技術目前發展迅速,初期在亞洲,2002年比2001年增長了357%,達到一定的規模后開始保持每年大約27%的增長率。目前,MPLS VPN 已經在銀行、保險、運輸、大型制造和連鎖企業提供了端到端高質量、安全可靠的網絡平臺和服務。

1VPN技術概述

虛擬專用網(VPN:Virtual Private Network)指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。

2MPLS VPN技術介紹

MPLS VPN是基于MPLS (Multiprotocol Label Switching,多協議標記交換)技術的IP VPN,是在網絡路由和交換設備上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN),可用來構造寬帶的Intranet、Extranet,滿足多種靈活的業務需求。

2.1 MPLS的基本原理MPLS網絡包含一些基本的元素。在網絡邊緣的節點就稱作標記邊緣路由器(LER:Label Edge Router),而網絡的核心節點就稱作標記交換路由器(LSR:Label Switching Router)。LER節點在網絡中提供高速交換功能。在MPLS節點之間的路徑就叫做標記交換路徑(LSP:Label Switched Path)。一條LSP可以看作是一條貫穿網絡的隧道。

2.2 MPLS VPN的實現原理基于BGP的MPLS VPN中的路由器有三種:P路由器、PE路由器和CE路由器。

CE路由器(CE:Customer Edge Device)為客戶邊緣路由器,由客戶負責維護。客戶邊緣(CE)設備允許客戶通過連接一臺或多臺供應商邊緣(PE)路由器的一條數據鏈路接入服務供應商網絡。CE設備是一臺IP路由器,它與直接連接的PE路由器建立鄰接關系。在建立鄰接后,CE路由器把站點的本地VPN路由廣播到PE路由器,并從PE路由器上學習遠程VPN路由。通常,PE-CE之間通過靜態路由交換路由信息,也可通過RIP、OSPF、BGP、IS-IS等協議,靜態路由方式可以減少因CE設備管理不善等原因造成的對骨干網BGP路由的震蕩,從而提供骨干網的穩定性。

PE路由器(PE:Provider Edge Router)為運營商邊界路由器,存放著VRF表和全局路由表,VRF中存放著VPN路由,全局路由表中存放著運營商的域內路由。

P路由器(Prouter:Provider Router)為運營商主干路由器,負責VPN分組外層標簽的交換。供應商路由器是沒有連接CE設備的供應商網絡中的任何路由器。在PE路由器間轉發VPN數據流量時,供應商路由器作為MPLS連接LSR使用。由于是在采用兩層標記堆棧的MPLS骨干中轉發流量,因此供應商路由器只需維護到供應商PE路由器的路由,而不需維護每個客戶站點專用的VPN路由信息。

3MPLS VPN優勢

3.1 安全性高采用MPLS作為通道機制實現透明報文傳輸,MPLS的標簽交換路徑(LSP)具有與FR和ATM VC相類似的安全性;另外,由于MPLS VPN實現對用戶透明,用戶還可以采用已有的手段,如設置防火墻,采用數據安全加密等方法,進一步提高安全性。

3.2 可擴展性強網絡中可以容納的VPN數目大,同一VPN中的節點容易擴充,解決了各節點全網狀互聯的N平方問題。

3.3 接入便利MPLS VPN提供多種接入方式,不必對原有接入設備做任何改變,保護了企業的現有網絡投資。

3.4 維護成本低網絡的使用與維護變得簡單,便于管理和擴展,降低了網絡運維與管理的人力、物力成本運。

4鐵路系統應用分析

在鐵路系統中,以往鐵道部、鐵路局、各業務部門等組織機構之間的組網,較多是以2M數字通道(E1)的方式進行,這種方式適合于數據敏感、較少節點之間互聯、帶寬要求不高的環境,但隨著鐵路系統各組織機構之間信息需求和網絡節點數量逐漸增多,此組網方式在拓展線路帶寬、增加網絡節點上就不具備良好的擴展能力,如果要實現各節點之間全互聯則線路接入費用也隨N 平方的問題成倍增加,接入設備也需要作大量調整。

鐵路系統應用MPLS VPN技術組網時,主要考慮有以下因素:

4.1 安全性對于較為敏感、安全級別高的應用系統,在采用MPLS VPN隔離系統基礎上,可以在各節點之間進一步通過增加防火墻建立IPsec數據加密機制,從而實現通道隔離和IPsec數據加密的雙重保護。

4.2 接入方式節點之間基于對等模式的數據互訪,需要在互訪的節點使用LAN、光纖等對稱帶寬的線路接入MPLS VPN網絡,帶寬大小根據業務需求而定。

節點之間基于C/S模式的數據互訪,需要根據其應用特點在服務節點采用高帶寬的線路接入,接入方式可以通常采用LAN 、光纖等。在客戶端也可以同樣的接入方式,但出于對成本的降低和帶寬需求不高考慮,可以采用ADSL這種靈活的非對稱帶寬線路方式接入。

4.3 可擴展性對原有業務的網絡節點增加,只需在相應節點增加接入線路即可;新增業務的網絡節點只需要申請新的VPN業務,并設立各節點接入。原有業務和新增業務共同存在于運營商網絡中,但互相隔離。

5結束語

以MPLS VPN為基礎構架,結合其它各種VPN技術構建鐵路系統的骨干網絡,必將會加速推動鐵路信息化建設,滿足鐵路系統日益增長的信息需求,同時為鐵路系統帶來安全、高帶寬、高擴展性和較低維護費用的網絡。

篇10

關鍵詞:圖書館網絡互聯vpn技術

0引言

隨著Internet和信息技術的快速發展,人們越來越依賴Internet進行各種數據交換和信息存取,高校信息化建設也進一步完善,應用系統逐漸豐富,圖書館信息資源得到飛速的發展,現在教師的教學、科研都離不開圖書館信息資源。

然而對于圖書館來說,基于安全和知識產權的考慮,文獻信息資源并不是無限制地對外開放,圖書館許多信息資源僅限校內訪問。如圖書館所購買的電子資源,大部分只允許擁有校內IP地址的授權用戶訪問。這樣,對于某些在校外通過撥號等方式上網卻沒有固定IP地址的用戶,以及范圍不在校園局域網內的寬帶用戶就很難利用到校園圖書館網上的文獻資源。

此外,許多高校圖書館為了規范化管理,均采用統一的圖書館管理系統在校園網上支撐多校區圖書館業務,勢必存在許多安全隱患,為了安全起見一般采用獨立成網,但是這種做法費用高而且不靈活。若能在校園網的基礎上架構一個安全、可靠的專用虛擬網絡,專供圖書館管理系統使用,既廉價又方便。

本文介紹了運用VPN技術來解決以上問題的方案。

1VPN描述

1.1VPN的定義VPN(VirtualPrivateNetwork,虛擬專用網)是一種通過對網絡數據進行封包和加密,在公網如因特網上傳輸私有數據,同時保證私有網絡安全性的技術。它是利用公共網絡資源和設備建立一個臨時、安全、邏輯上的專用通道,盡管沒有自己的專用線路,但是這個邏輯上的專用通道卻可以提供和專用網絡同樣的功能[1]。

1.2VPN的主要特點

1.2.1網際互聯安全性高[2]VPN技術繼承了現有網絡的安全技術,并結合了下一代IPv6的安全特性,通過隧道、認證、接入控制、數據加密技術,利用公網建立互聯的虛擬專用通道,實現網絡互聯的安全。

1.2.2經濟實用、管理簡化[3]由于VPN獨立于初始協議,用戶可以繼續使用傳統設備,保護了用戶在現有硬件和軟件系統上的投資。由于VPN可以完全管理,并且能夠從中央網站進行基于策略的控制,因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷和安全配置。

1.2.3可擴展性好[4]如果想擴大VPN的容量和覆蓋范圍,管理者只需與新加入的分館簽約,建立賬戶;或者與原有的下級組織重簽合約,擴大服務范圍。在遠程地點增加VPN能力也很簡單,幾條命令就可以使Extranet路由器擁有因特網和VPN能力,路由器還能對工作站自動進行配置。

1.2.4支持多種應用由于VPN給我們提供了安全的通道,可以把目前在局域網上的應用直接運用在廣域網上。VPN則可以支持各種高級的應用,如IP語音,IP傳真等。

1.2.5有效實現網絡資源共建共享在網絡安全的保證下和認證技術的支持下,可以實現整個VPN體系中互聯單位的資源共建共享,避免資源重復開發帶來的巨大浪費,甚至可以實現普通讀者在家用ADSL來訪問公共圖書館局域網絡中的全文數據庫。

2利用VPN實現圖書館網絡互聯

要實現對分布在不同地域的信息資源實行更為方便有效的統一規劃與管理,并有效地利用各總館與分館的資源,進行內部業務交流和開展讀者服務工作,必須解決兩個問題:第一,要建立圖書館網絡間的安全通道,保護鏈路的通訊安全。第二,要根據身份認證實現圖書館網絡內部共享資源的訪問控制。利用VPN技術將有效解決上述問題。

2.1采用自建方式構建VPN網絡雖然可以通過ISP(InternetServiceProvider,網絡服務提供商)的中心交換設備來構建專用通道,但公共圖書館內部局域網互聯速度相對較快,所以圖書館VPN網絡互聯宜采用自建的方式。其優勢如下:①多數公共圖書館都具備良好的計算機基礎設施和內聯局域網,接入因特網帶寬有百兆、甚至千兆,而總館在這方面的優勢更加突出。在此基礎上自建VPN,既便捷又經濟。②能使圖書館互聯網絡對所有的安全認證、網絡系統以及網絡訪問情況進行控制,建立端到端的安全結構,集成和協調現有的內部安全技術。③開發額外的新的應用服務不用通過與ISP協商。圖書館信息技術應用人員可得到可持續性鍛煉和培養。④可以根據需要來配置自己的安全策略,滿足不同級別的安全需要。

2.2VPN類型的選擇目前國內高校大多采用IPSec(IPSecurity)VPN技術來解決校外用戶訪問校圖書館問題。但由于IPSec協議最初是為了解決點對點的安全問題而制定的。因此在此基礎上建立的遠程接入方案面對越來越多終端站點時,已日漸顯得力不從心。

在此情況下,SSL(SecruitySocketLayer)VPN技術應運而生。SSLVPN的突出優勢在于Web安全和移動接入。它可以提供遠程的安全接入,而無需安裝或設定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前,對SSLVPN公認的三大好處:一是它不需要配置,可以立即安裝立即生效和使用;二是客戶端不需要安裝,直接利用瀏覽器中內嵌的SSL協議就行;三是兼容性好,可以適用于任何的終端及操作系統。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的InternetIP即可成功接入圖書館。

但SSLVPN并不能取代IPSecVPN,因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性,更多應用在Web的遠程安全接入方面;而IPSecVPN是在兩個局域網之間通過Intemet建立安全連接,是實現點對點之間的通信。并且,IPSec工作于網絡層,不局限于Web應用。從高校應用來看,由于SSL接人方式下所有用戶的訪問請求都是從SSLVPN設備的LAN口發起的。對于那些對單個用戶流量有嚴格限制的資源商來說,集群SSL用戶的訪問會被當成一個用戶對待。這樣當集群訪問流量達到資源商限制的數值時,就極易造成該IP被禁用,從而導致所有SSL用戶無法繼續訪問圖書館。

為解決這個問題,可以將圖書館大量的校外用戶分為兩類,一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶(比如教師,但用戶數量少);另一類則是使用次數較少、訪問數據不多的用戶(比如學生,但用戶將數量多)。通過用戶劃分,我們給教師用戶分配IPSec接入方式,這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過大造成IP被禁用問題;而將那些數量眾多但訪問量小的學生用戶分配SSL接入方式。利用SSLVPN無需部署客戶端的特性來降低客戶端的維護工作量,從而實現VPN在圖書館應用的快速部署。

目前,許多VPN產品都能提供多種VPN接入形式,如:CiscoASA5500系列可以在單一平臺上提供IPSec和基于SSL(SecureSocketsLayer,安全套協議)的VPN服務,避免了為SSL和IPSecVPN部署分立的平臺而導致低效和成本增加。

2.3VPN支持的認證技術一個VPN系統應支持標準的認證方式,如基于機器特征碼、數字證書技術、遠程用戶撥號認證系統(RADIUS,RemoteAuthenticationDialInUserService)認證、基于公開密鑰基礎設施(PKI,PublicKeyInfrastructure)[5]的證書認證以及逐漸興起的生物識別技術等等。另外,還要提供基于用戶組策略的認證。

2.4VPN接入控制的選擇機制為了方便網絡使用者(包括館員、讀者、管理部門等等)互聯,所有局域網內部的用戶都必須有使用VPN服務器的權限。因此,接入控制顯得比其他兩種隧道形式更為重要??梢圆捎脙杉壍目刂茩C制,粗度的接入控制交給VPN服務器來完成,VPN服務器上的安全策略數據庫(SPD,SafetyPolicyDatabase)可以實現基于類似于用戶組級別的控制,既把所有用戶劃分為不同等級的組來配置接入控制策略。細度的接入控制將由獨立的認證服務器來完成,可以使局域網共享一個證書機構CA(CertificateAuthority,數字證書認證中心)和安全策略服務器,由它來管理和發放數字證書,實現對控制資源的訪問。

2.5VPN數據安全采用分級處理方式數據安全包括數據加密、完整性檢測和抗篡改。VPN技術在支持多種加密算法的同時還提供了對數據完整性進行檢測的功能。在數據安全上,采用分級處理方式,對不同的等級的用戶配置不同的數據安全策略,把用戶分為普通級、普通加密級、高級加密級。對在普通級的用戶通訊數據(例如:讀者訪問圖書館電子資源)配置為不使用任何加密的安全策略;普通加密級的通訊數據采用低位的加密和散列函數進行完整性檢測安全策略;高級加密級的通訊數據可以采用多位的加密+散列函數的安全策略。

2.6VPN的設備選擇對于設備的選擇,可以根據自己的實際情況,結合已有網絡的特點從可擴展性、效果、性能、價錢等進行分析衡量選配。最好選擇集成防火墻功能的VPN產品,以保證加密的流量在解密后,同樣需要經過嚴格的訪問控制策略的檢查,保護VPN網關免受DoS(DenialofService,拒絕服務)攻擊和入侵威脅,提供更好的處理性能,簡化網絡管理的任務,快速適應動態、變化的網絡環境。

3總結

總之,VPN新技術綜合傳統數據網絡的安全性和較好的服務質量,以及共享數據網絡結構的簡單和低成本,建立安全的數據通道,滿足了用戶對網絡帶寬、接入和服務不斷增加的需求,在高校圖書館中構建以公眾網為基礎的虛擬專用網(VPN)系統,能有效解決當前高校圖書館資源的遠程利用問題和資源統一管理問題。隨著VPN技術的日益成熟,VPN必將成為未來圖書館互聯網絡的主要發展方向。

參考文獻:

[1]焦青亮.虛擬網絡VPN綜述[J].黑龍江科技信息.2007(1):54.

[2]唐淑娟,秦一方,井向陽.VPN技術與圖書館資源遠程利用[J].情報探索.2007(1):49-51.

[3]韓明明.VIP技術在高校圖書館中的應用探討[J].高校圖書情報論壇.2007(1):43-45.