VPN技術(shù)及應用分析

第7期總第185期內蒙古科技與經(jīng)濟No.7. the 185th issue2009年4月Inner Mongolia Science Technology & EconomyApr.2009VPN技術(shù)及應用分析劉永庭(鐵通內蒙古公司包頭分公司,內蒙古包頭014010)商要:文章介紹了VPN技術(shù)的基本概念、關(guān)鍵技術(shù)、各種隧道協(xié)議及其應用領(lǐng)域,最后分析了VPN的新應用技術(shù)VoIPVPN和基于VPN的多播技術(shù)。關(guān)鍵詞:VPN;隧道協(xié)議;Internet;VoIP VPN;多播中圖分類(lèi)號:TP393.18文獻標識碼:A文章編號:1007- -6921 (2009)07- -0196- -01近年來(lái),隨著(zhù)Internet的廣泛應用.如何利用In-DDN、F.R等專(zhuān)線(xiàn)方式相比,可以節省大量的費用ternet的資源來(lái)組建企業(yè)的虛擬專(zhuān)用網(wǎng)絡(luò )(VPN)已成為IT業(yè)界的一個(gè)新熱點(diǎn)。VPN是通過(guò)一個(gè)公共1.2.2伸縮性高 :用戶(hù)需要與合作伙伴聯(lián)網(wǎng)，如果網(wǎng)絡(luò )建立起來(lái)的一一個(gè)臨時(shí)的、安全的連接,它是對企沒(méi)有VPN,雙方的信息技術(shù)部門(mén)就必須協(xié)商如何在業(yè)內部網(wǎng)的擴展。VPN可以幫助遠程用戶(hù)、公司分雙方之間建立租用線(xiàn)路或幀中繼線(xiàn)路,有了VPN之支機構、商業(yè)伙伴及供應商與公司的內部網(wǎng)建立可后，只需雙方配置安全連接信息即可。當不再需要聯(lián)信的安全連接,并保證數據的安全可靠傳輸,它從根網(wǎng)時(shí)，也很容易拆除連接。本上解決了網(wǎng)絡(luò )面臨的不安全因素的威脅,大大提1.2.3 容易擴展:如果用戶(hù)想擴大VPN的容量和高了網(wǎng)絡(luò )數據傳輸的安全性、可靠性和保密性覆蓋范園，只需改變一些配置或增加幾臺設備從而VPN還可以使企業(yè)能在價(jià)格低廉的共享基礎擴大服務(wù)范圍。在遠程辦公室增加VPN也很簡(jiǎn)單，設施上以與專(zhuān)用網(wǎng)絡(luò )提供的相同策略建立一種安全只需進(jìn)適當的設備配置即可.的WAN (廣城網(wǎng))業(yè)務(wù)。實(shí)現與移動(dòng)工作人員、分1.2.4全控制主動(dòng)權:企業(yè)可以利用公網(wǎng)或在公司、合作伙伴、產(chǎn)品供應商、客戶(hù)間的連接,提高與.局域網(wǎng)內部自已組建管理VPN.由自己負責用戶(hù)的.分公司、客戶(hù)、供應商和合作伙伴開(kāi)展業(yè)務(wù)的能力，查驗.訪(fǎng)問(wèn)權、網(wǎng)絡(luò )地址、安全性和網(wǎng)絡(luò )變化管理等提高運作效率。重要工作。1VPN的基本概念1.2.5全方 位的安全保護: VPN不僅能在網(wǎng)絡(luò )與在VPN(Virtual Private Network)即虛擬專(zhuān)用網(wǎng)絡(luò )之間建立專(zhuān)用通道,保護網(wǎng)關(guān)與網(wǎng)關(guān)之間信息網(wǎng)中，(虛擬專(zhuān)用網(wǎng)絡(luò )是指通過(guò);一個(gè)私有的通道在公傳輸的安全,而且能在企業(yè)內部的用戶(hù)與網(wǎng)關(guān)之間、眾網(wǎng)絡(luò )上所建立的企業(yè)網(wǎng)絡(luò ))任意兩個(gè)節點(diǎn)之間的移動(dòng)辦公用戶(hù)和網(wǎng)關(guān)之間、用戶(hù)與用戶(hù)之間建立安連接并沒(méi)有傳統專(zhuān)網(wǎng)所需的端到端的物理鏈路,而全通道,建立全方位的安全保護,保證網(wǎng)絡(luò )的安全。是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。虛擬專(zhuān)用網(wǎng)2 VPN 的關(guān)鍵技術(shù)對用戶(hù)端透明，用戶(hù)好像使用一條專(zhuān)用線(xiàn)路進(jìn)行通目前VPN主要采用四項技術(shù)來(lái)保證安全,這四信。此企業(yè)網(wǎng)絡(luò )擁有與專(zhuān)用網(wǎng)絡(luò )相同的安全、管理及項技術(shù)分別是隧道技術(shù)(Tunneling).加解密技術(shù)功能等特點(diǎn),它替代了傳統的撥號訪(fǎng)問(wèn),利用Inter-(Encryption & Decryption).密鑰管理技術(shù)(Keynet公網(wǎng)資源作為企業(yè)專(zhuān)網(wǎng)的延續，節省昂貴的長(cháng)Management).使用者與設備身份認證技術(shù)(Au-途費用VPN是原有專(zhuān)線(xiàn)式企業(yè)專(zhuān)用廣域網(wǎng)絡(luò )的替thentication)。代方案,VPN并非改變原有廣域網(wǎng)絡(luò )的一些特性，2.1 隧道技術(shù)是在更為符合成本效益的基礎上來(lái)達到這些特性.VPN是在公網(wǎng)中形成企業(yè)專(zhuān)用的鏈路.為了形VPN通過(guò)安全的數據通道將遠程用戶(hù)、公司分支機成這樣的鏈路,采用了所謂的“隧道”,隧道技術(shù).構、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來(lái)，構成是VPN的基本技術(shù),它是分組封裝(Capsule)的技一個(gè)擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會(huì )覺(jué)術(shù),可以模仿點(diǎn)對點(diǎn)連接技術(shù)，依靠Internet服務(wù)提察到公共網(wǎng)絡(luò )的存在，仿佛所有的主機都處于-供商(ISP)和其他的網(wǎng)絡(luò )服務(wù)提供商(NSP)在公用網(wǎng)絡(luò )之中。公共網(wǎng)絡(luò )仿佛是只由本網(wǎng)絡(luò )在獨占使用,網(wǎng)中建立自己專(zhuān)用的“隧道”，讓數據包通過(guò)這條隧而事實(shí)上并非如此,所以稱(chēng)之為虛擬專(zhuān)用網(wǎng)?？傊?，道傳輸。隧道是一種利用公網(wǎng)設施,在一個(gè)網(wǎng)絡(luò )之上VPN就是要實(shí)現:低成本的安全穩定互通。的“網(wǎng)絡(luò )”傳輸數據的方法，被傳輸的數據可以是另1.1發(fā)展VPN 的原因一協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀.附加的主要有兩個(gè)原因:①I(mǎi)p地址匱乏,成本昂貴。②報頭提供了路由信息,因此封裝后的包能夠通過(guò)中企業(yè)通過(guò)公網(wǎng)實(shí)現跨地域的系統互聯(lián)必然面臨安全間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱(chēng)問(wèn)題。使用公用網(wǎng)絡(luò )會(huì )導致機構間的傳輸信息容易為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地，幀就被竊取，同時(shí)攻擊者有可能通過(guò)公網(wǎng)對機構的內部會(huì )被解除封裝并被繼續送到最終目的地●網(wǎng)絡(luò )實(shí)施攻擊，因此，我們不能擔保收到的IP數據隧道封裝示意:報:來(lái)自原先要求的發(fā)送方( IP 頭內的源地址);包含的是發(fā)送方當初放在其中的原始數據;原始數據原始IP包格式:| IP 頭Data在傳輸中途未被其他人看過(guò)。因此需要在企業(yè)間建立安全的數據通道，該通道應具備以下的基本安全隧道封裝后的數據包:新IP 頭| AH ESP |IP頭|Data要素;提供數據起源地驗證;完整性驗證;數據內容的機密性;抗重播保護。而VPN就能有效解決這些安全問(wèn)題。中國煤化工據提供了標準格1.2 VPN的優(yōu)勢式。'信的源主機發(fā)出，1.2.1 降低成本:通過(guò)公用網(wǎng)來(lái)建立VPN與建立.YHCNMHG(下轉第198頁(yè))收稿日期:2008-12-12●196●總第185期內蒙古科技與經(jīng)濟預留軌縫上限:伸縮區一般不得設在寬道口.無(wú)碴橋、圓曲線(xiàn)、緩和X上= Xg- CXL(to- Tmin) - -C]曲線(xiàn)上.③在小半徑曲線(xiàn)制動(dòng)地段,可以單獨布置長(cháng).預留軌縫下限:X下= XL(Tmax-tg)-C軌節.④左右兩膠長(cháng)軌節長(cháng)度應保持對接，相錯量超根據《鐵路維修規則》,結合本地實(shí)際情況,建議過(guò)40mm,而且最好為焊接長(cháng)軌的整數倍。⑤鋁熱預留軌縫ao焊,小型氣壓焊縫不得設在道口、橋面、橋墩上,一般.a。=°上|a下=aL+cTmax|Tmin -to)+警距橋臺邊墻不少于2m.22.4 根據我國大修規則要求,結合通遼市及赤峰市=aL(t,-to)+畢氣候條件和地理環(huán)境筆者建議修建該區段的無(wú)縫線(xiàn)路要求達到以下式中:tz= 1/2(Tmax +Tmin)條件:①允許有最小半徑的曲線(xiàn),但要根據運量,鋼2.3.3 防爬設備a的設置。為使無(wú)縫線(xiàn)路伸縮區的軌使用壽命大修周期等條件，綜合經(jīng)濟效果來(lái)確定?？奂枇Υ笥诘烙喛v向阻力,則:②允許鋪設線(xiàn)路的坡度不受限制，但軌節全長(cháng)在連P防十nP扣>nP枕續大坡道及制動(dòng)區段,重載線(xiàn)路上，應加強防爬鎖式中:P防一--對穿銷(xiāo)式防爬器的阻力(N);定。P扣一要軌枕且中間扣件的阻力(N);2.5對鋪設的軌道結構要求N-用防爬器組成一級防爬設備用的2.5.1道床應 采用硬質(zhì)道碴,飽滿(mǎn)、密實(shí),一般情況軌枕根數s下肩寬不<40cm,遇到下列情況,還應加寬5em,并P枕一根軌枕下的邊床下的縱向阻力堆高碴肩15em;曲線(xiàn)半徑R≤800m的曲線(xiàn)外側.大(N).橋及特大橋路塹在75em范圍內;連續長(cháng)大下坡道及注意:①如用彈條工型扣件的扣件組力大于道制動(dòng)區段;年最大軌溫度差值△T>90C的地區。床縱向阻力,不必設防爬設備.②固定鋼軌不隨軌溫2.5.2盡量采用J一2,S- 2型混凝土枕,混凝土枕變化而伸縮,從理論，上可以不必增加防爬設備，但為最多每km1840 根,木枕為1 920根。了防止鋼軌折斷,斷縫過(guò)大,所以木枕無(wú)縫線(xiàn)路也按2.5.3混凝土枕地段應采用彈條工型或調高彈條普通線(xiàn)路,每12. 5m安裝三組防爬設備,混凝土軌扣件,木枕地段采用“K"式扣件。枕線(xiàn)路可適當減少或取消。2.5.4使用鋼軌類(lèi)型應符合有關(guān)標準.焊接用鋼軌2.3.4無(wú)縫線(xiàn)路長(cháng)軌的長(cháng)度及布置.無(wú)繼線(xiàn)路長(cháng)軌節長(cháng)長(cháng)度,原則上按一個(gè)自動(dòng)塞區間1 000m~無(wú)縫線(xiàn)路是我國鐵路軌道的一項重大發(fā)展方2 000m來(lái)布置,最少不得小于兩個(gè)伸縮區長(cháng)度150向，是新建鐵路首先考慮的內容,與普通線(xiàn)路相比，~200m。隨著(zhù)膠結技術(shù)的發(fā)展,在兩個(gè)閉塞區間之可以使線(xiàn)路上的鋼軌接頭大大減少.從而可以使行間采用膠結絕緣接頭,使多個(gè)塞區間鋼軌聯(lián)成-根車(chē)平穩,延長(cháng)設備使用壽命,降低設備維修費用,能長(cháng)軌節,無(wú)縫線(xiàn)路長(cháng)度大大增加,可以成為跨區間的較好完成集通線(xiàn)路高速.重載的運輸需要●超長(cháng)無(wú)縫線(xiàn)路。[參考文獻]一般無(wú)縫線(xiàn)路長(cháng)度應遵循以下原則:①兩無(wú)縫[1]陳岳源.鐵路軌道[M].北京:中國鐵道出版線(xiàn)路長(cháng)軌節之間,應設置2~4根標準做緩沖區。此外,在道岔與長(cháng)度軌節、絕緣接頭與長(cháng)軌節，長(cháng)大坡[2]鐵路線(xiàn)路設備大修 規則[S].道凹形縱斷面連接處,都應設置緩沖區。②緩沖區,(.上接第196頁(yè))ESP支持IP報文的保密性和數VPN主要應用在企業(yè)內部網(wǎng)Intranet.遠程訪(fǎng)據的完整性。根據用戶(hù)的要求,該機制可以只對IP問(wèn)以企業(yè)外部網(wǎng)Extranet,根據應用領(lǐng)城，VPN大報文的傳輸層數據段進(jìn)行加密(如TCP. UCP、致可分為3類(lèi):Intranet VPN、Access VPN與Ex-ICMP等),也可以對整個(gè)IP報文進(jìn)行加密。前者稱(chēng)tranet VPN.為傳輸模式ESP,后者稱(chēng)為隧道模式ESP.Intranet VPN:即企業(yè)的總部與分支機構間通過(guò)公網(wǎng)構筑的虛擬網(wǎng)。加解密技術(shù)是數據通信中一項較成熟的技術(shù)，AccessVPN:是指企業(yè)員工或企業(yè)的小分支機VPN可直接利用現有技術(shù)。用于VPN上的加密技構通過(guò)公網(wǎng)遠程撥號的方式構筑的虛擬網(wǎng)●術(shù)由IPSec的ESP (Encapsulationg Security Pay-ExtranetVPN:即企業(yè)間發(fā)生收購、兼并或企load)實(shí)現。主要是發(fā)送者在發(fā)送數據之前對數據加業(yè)間建立戰略聯(lián)盟后,使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構密,當數據到達接收者時(shí)由接收者對數據進(jìn)行解密筑的虛擬網(wǎng).的處理過(guò)程,算法主要種類(lèi)包括:對稱(chēng)加密(單鑰加現在各公司總部都需要實(shí)現和分支機構的互密)算法、不對稱(chēng)加密(公鑰加密)算法等。如DES聯(lián),使OA系統中的個(gè)人辦公、公文系統、綜合業(yè)務(wù)、(Data Encryption Standard)、 IDEA (International行政管理、綜合信息等資源共享,讓公司管理更加統Data Encryption Algorithm). RSA (發(fā)明者Rivest.一.規范，保證物流、信息流的實(shí)時(shí)更新，確保公司市Shamir和Adleman名字的首字符)。場(chǎng)信息的及時(shí)傳遞，營(yíng)銷(xiāo)方案的及時(shí)執行,提高工作對于對稱(chēng)加密算法,通信雙方共享一個(gè)密鑰,發(fā)效率;對于政府機構來(lái)講,需要實(shí)現和分局的實(shí)時(shí)聯(lián)送方使用該密鑰將明文加密成密文,接收方使用相絡(luò )，保證公文流轉的時(shí)效性和安全性等等。所以只需同的密鑰將密文還原成明文。對稱(chēng)加密算法運算速在客戶(hù)的總部以及各分支機構分別放一臺專(zhuān)業(yè)度快。不對稱(chēng)加密算法是通信雙方各使用兩個(gè)不同VPN路由器.各點(diǎn)通過(guò)ADSL或其他方式接人公網(wǎng)的密鑰,一個(gè)是只有發(fā)送方知道的密鑰,另一個(gè)則是INTERNET ,就可以為客戶(hù)構建廉價(jià)，穩定的VPN與之對應的公開(kāi)密鑰,公開(kāi)密鑰不需保密。在通信過(guò)網(wǎng)絡(luò )程中,發(fā)送方用接收方的公開(kāi)密鑰加密消息,并且可中國煤化工以用發(fā)送方的秘密密鑰對消息的某--部分或全部加I網(wǎng)絡(luò )的安全保密密，進(jìn)行數字簽名。接收方收到消息后,用自己的秘向題CNMHG于解決當前網(wǎng)絡(luò )密密鑰解密消息,并使用發(fā)送方的公開(kāi)密鑰解密數通信、資源共享所面臨的威脅和提高網(wǎng)絡(luò )通信的保字簽名,驗證發(fā)送方身份。密性、安全性具有重要的現實(shí)意義。3 VPN的應用●198●