VPN技术及部署模型分析|

　　摘要:虚拟专用网是当今热门的网络技术,文章介绍了VPN技术的定义、VPN的分类情况、各种隧道协议,并就实际组网中的VPN在网区中的部署进行了分析。 　　关键词:VPN安全协议关键技术部署模型
　　中图分类号: TP393文献标识码: A
　　
　　VPN Technology and Deployment Model Analysis
　　JIN Bao-hua1LIU zhen-xiang2WU dan1GU ji-ye1
　　(1. College of Computer Science and Information, Guizhou University, Guiyang 550025, China;
　　2. Guizhou Radio and TV University, Guiyang 550004, China)
　　Abstract: Virtual Private Network (VPN) is a hot network technology at present,this paper introduced VPN definition and classification, a variety of tunneling protocol, and analyzed its deployment on the actual networking.
　　Key Words:VPN ;Security agreement;key technology ;Deploy model
　　
　　0 前言
　　 VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。
　　
　　1 VPN 概述
　　1.1VPN的概念
　　 VPN (Virtual Private Network) 即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。VPN采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]
　　1.2 VPN 的类型
　　 根据VPN 所起的作用,可以将VPN 分为三类:[1] [2] [3]
　　 1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。
　　 2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过VPN互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。
　　 3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。
　　1.3 VPN 特点[2][4][5]
　　(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;
　　
　　2 VPN关键技术
　　2.1 隧道技术
　　 隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN 的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。
　　2.2 密码技术
　　 VPN 技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。
　　2.3 身份鉴别和认证技术
　　 VPN基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用HASH函数将一段较长的报文通过HASH函数变换,映射为一段较短的报文摘要。
　　2.4 QoS技术
　　 通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的VPN。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]
　　3 VPN 解决方案[9]
　　3.1 VPN 部署模型
　　 部署VPN首先要选定一个VPN隧道终端设备,选择的这个设备主要由VPN隧道端点位置和用于隧道端点设备的功能来决定。
　　3.1.1位于边界路由器的VPN终端
　　 位于边界路由器的VPN终端所具有的优点是能够确保VPN流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出VPN隧道数据包的增加而增加。
　　3.1.2 位于企业防火墙的VPN终端
　　 位于企业防火墙的VPN终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。
　　3.1.3位于专用设备的VPN终端
　　 位于专用设备的VPN终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个VPN需要加密数量的增加而增加。
　　3.2VPN拓扑模型
　　3.2.1 星状拓扑模型
　　 在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。
　　3.2.2 网状拓扑模型
　　 在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。
　　3.2.3中心轮廓拓扑模型
　　 中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。
　　3.2.4 远程访问拓扑模型
　　 远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。
　　4 结语
　　 VPN技术的发展, 为企业建设计算机网络提供了一种新的思路, 可以通过在公共网络上建立虚拟的链接来传输私有数据。VPN通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本, 同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业现在乃至未来最佳的选择[10]。
　　
　　参考文献:
　　[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.
　　[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.
　　[3][美]C arlton R .D avis. IP Sec VPN 的安全实施[M].清华大学出版社.2002.
　　[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47～49.
　　[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.
　　[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.
　　[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12～15.
　　[8]刘建伟,王育民等.网络安全――技术与实践[M].北京.清华大学出版社.2005.472.
　　[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136～170.
　　[10]Casey Wilson、Peter Doak 著.钟鸣等译.虚拟专用网的创建与实现[M].北京:机械工业出版社.2000.
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文