VPN技术及应用分析 VPN技术及应用分析

VPN技术及应用分析

  • 期刊名字:内蒙古科技与经济
  • 文件大小:227kb
  • 论文作者:刘永庭
  • 作者单位:铁通内蒙古公司
  • 更新时间:2020-09-25
  • 下载次数:
论文简介

第7期总第185期内蒙古科技与经济No.7. the 185th issue2009年4月Inner Mongolia Science Technology & EconomyApr.2009VPN技术及应用分析刘永庭(铁通内蒙古公司包头分公司,内蒙古包头014010)商要:文章介绍了VPN技术的基本概念、关键技术、各种隧道协议及其应用领域,最后分析了VPN的新应用技术VoIPVPN和基于VPN的多播技术。关键词:VPN;隧道协议;Internet;VoIP VPN;多播中图分类号:TP393.18文献标识码:A文章编号:1007- -6921 (2009)07- -0196- -01近年来,随着Internet的广泛应用.如何利用In-DDN、F.R等专线方式相比,可以节省大量的费用ternet的资源来组建企业的虚拟专用网络(VPN)已成为IT业界的一个新热点。VPN是通过一个公共1.2.2伸缩性高 :用户需要与合作伙伴联网,如果网络建立起来的一一个临时的、安全的连接,它是对企没有VPN,双方的信息技术部门就必须协商如何在业内部网的扩展。VPN可以帮助远程用户、公司分双方之间建立租用线路或帧中继线路,有了VPN之支机构、商业伙伴及供应商与公司的内部网建立可后,只需双方配置安全连接信息即可。当不再需要联信的安全连接,并保证数据的安全可靠传输,它从根网时,也很容易拆除连接。本上解决了网络面临的不安全因素的威胁,大大提1.2.3 容易扩展:如果用户想扩大VPN的容量和高了网络数据传输的安全性、可靠性和保密性覆盖范園,只需改变一些配置或增加几台设备从而VPN还可以使企业能在价格低廉的共享基础扩大服务范围。在远程办公室增加VPN也很简单,设施上以与专用网络提供的相同策略建立一种安全只需进适当的设备配置即可.的WAN (广城网)业务。实现与移动工作人员、分1.2.4全控制主动权:企业可以利用公网或在公司、合作伙伴、产品供应商、客户间的连接,提高与.局域网内部自已组建管理VPN.由自己负责用户的.分公司、客户、供应商和合作伙伴开展业务的能力,查验.访问权、网络地址、安全性和网络变化管理等提高运作效率。重要工作。1VPN的基本概念1.2.5全方 位的安全保护: VPN不仅能在网络与在VPN(Virtual Private Network)即虚拟专用网络之间建立专用通道,保护网关与网关之间信息网中,(虛拟专用网络是指通过;一个私有的通道在公传输的安全,而且能在企业内部的用户与网关之间、众网络上所建立的企业网络)任意两个节点之间的移动办公用户和网关之间、用户与用户之间建立安连接并没有传统专网所需的端到端的物理链路,而全通道,建立全方位的安全保护,保证网络的安全。是利用某种公众网的资源动态组成的。虚拟专用网2 VPN 的关键技术对用户端透明,用户好像使用一条专用线路进行通目前VPN主要采用四项技术来保证安全,这四信。此企业网络拥有与专用网络相同的安全、管理及项技术分别是隧道技术(Tunneling).加解密技术功能等特点,它替代了传统的拨号访问,利用Inter-(Encryption & Decryption).密钥管理技术(Keynet公网资源作为企业专网的延续,节省昂贵的长Management).使用者与设备身份认证技术(Au-途费用VPN是原有专线式企业专用广域网络的替thentication)。代方案,VPN并非改变原有广域网络的一些特性,2.1 隧道技术是在更为符合成本效益的基础上来达到这些特性.VPN是在公网中形成企业专用的链路.为了形VPN通过安全的数据通道将远程用户、公司分支机成这样的链路,采用了所谓的“隧道”,隧道技术.构、公司业务伙伴等跟公司的企业网连接起来,构成是VPN的基本技术,它是分组封装(Capsule)的技一个扩展的公司企业网。在该网中的主机将不会觉术,可以模仿点对点连接技术,依靠Internet服务提察到公共网络的存在,仿佛所有的主机都处于-供商(ISP)和其他的网络服务提供商(NSP)在公用网络之中。公共网络仿佛是只由本网络在独占使用,网中建立自己专用的“隧道”,让数据包通过这条隧而事实上并非如此,所以称之为虚拟专用网。总之,道传输。隧道是一种利用公网设施,在一个网络之上VPN就是要实现:低成本的安全稳定互通。的“网络”传输数据的方法,被传输的数据可以是另1.1发展VPN 的原因一协议的帧。隧道协议用附加的报头封装帧.附加的主要有两个原因:①Ip地址匮乏,成本昂贵。②报头提供了路由信息,因此封装后的包能够通过中企业通过公网实现跨地域的系统互联必然面临安全间的公网。封装后的包所途经的公网的逻辑路径称问题。使用公用网络会导致机构间的传输信息容易为隧道。一旦封装的帧到达了公网上的目的地,帧就被窃取,同时攻击者有可能通过公网对机构的内部会被解除封装并被继续送到最终目的地●网络实施攻击,因此,我们不能担保收到的IP数据隧道封装示意:报:来自原先要求的发送方( IP 头内的源地址);包含的是发送方当初放在其中的原始数据;原始数据原始IP包格式:| IP 头Data在传输中途未被其他人看过。因此需要在企业间建立安全的数据通道,该通道应具备以下的基本安全隧道封装后的数据包:新IP 头| AH ESP |IP头|Data要素;提供数据起源地验证;完整性验证;数据内容的机密性;抗重播保护。而VPN就能有效解决这些安全问题。中国煤化工据提供了标准格1.2 VPN的优势式。'信的源主机发出,1.2.1 降低成本:通过公用网来建立VPN与建立.YHCNMHG(下转第198页)收稿日期:2008-12-12●196●总第185期内蒙古科技与经济预留轨缝上限:伸缩区一般不得设在宽道口.无碴桥、圆曲线、缓和X上= Xg- CXL(to- Tmin) - -C]曲线上.③在小半径曲线制动地段,可以单独布置长.预留轨缝下限:X下= XL(Tmax-tg)-C轨节.④左右两胶长轨节长度应保持对接,相错量超根据《铁路维修规则》,结合本地实际情况,建议过40mm,而且最好为焊接长轨的整数倍。⑤铝热预留轨缝ao焊,小型气压焊缝不得设在道口、桥面、桥墩上,一般.a。=°上|a下=aL+cTmax|Tmin -to)+警距桥台边墙不少于2m.22.4 根据我国大修规则要求,结合通辽市及赤峰市=aL(t,-to)+毕气候条件和地理环境笔者建议修建该区段的无缝线路要求达到以下式中:tz= 1/2(Tmax +Tmin)条件:①允许有最小半径的曲线,但要根据运量,钢2.3.3 防爬设备a的设置。为使无缝线路伸缩区的轨使用寿命大修周期等条件,综合经济效果来确定。扣件阻力大于道订纵向阻力,则:②允许铺设线路的坡度不受限制,但轨节全长在连P防十nP扣>nP枕续大坡道及制动区段,重载线路上,应加强防爬锁式中:P防一--对穿销式防爬器的阻力(N);定。P扣一要轨枕且中间扣件的阻力(N);2.5对铺设的轨道结构要求N-用防爬器组成一级防爬设备用的2.5.1道床应 采用硬质道碴,饱满、密实,一般情况轨枕根数s下肩宽不<40cm,遇到下列情况,还应加宽5em,并P枕一根轨枕下的边床下的纵向阻力堆高碴肩15em;曲线半径R≤800m的曲线外侧.大(N).桥及特大桥路堑在75em范围内;连续长大下坡道及注意:①如用弹条工型扣件的扣件组力大于道制动区段;年最大轨温度差值△T>90C的地区。床纵向阻力,不必设防爬设备.②固定钢轨不随轨温2.5.2尽量采用J一2,S- 2型混凝土枕,混凝土枕变化而伸缩,从理论,上可以不必增加防爬设备,但为最多每km1840 根,木枕为1 920根。了防止钢轨折断,断缝过大,所以木枕无缝线路也按2.5.3混凝土枕地段应采用弹条工型或调高弹条普通线路,每12. 5m安装三组防爬设备,混凝土轨扣件,木枕地段采用“K"式扣件。枕线路可适当减少或取消。2.5.4使用钢轨类型应符合有关标准.焊接用钢轨2.3.4无缝线路长轨的长度及布置.无继线路长轨节长长度,原则上按一个自动塞区间1 000m~无缝线路是我国铁路轨道的一项重大发展方2 000m来布置,最少不得小于两个伸缩区长度150向,是新建铁路首先考虑的内容,与普通线路相比,~200m。随着胶结技术的发展,在两个闭塞区间之可以使线路上的钢轨接头大大减少.从而可以使行间采用胶结绝缘接头,使多个塞区间钢轨联成-根车平稳,延长设备使用寿命,降低设备维修费用,能长轨节,无缝线路长度大大增加,可以成为跨区间的较好完成集通线路高速.重载的运输需要●超长无缝线路。[参考文献]一般无缝线路长度应遵循以下原则:①两无缝[1]陈岳源.铁路轨道[M].北京:中国铁道出版线路长轨节之间,应设置2~4根标准做缓冲区。此外,在道岔与长度轨节、绝缘接头与长轨节,长大坡[2]铁路线路设备大修 规则[S].道凹形纵断面连接处,都应设置缓冲区。②缓冲区,(.上接第196页)ESP支持IP报文的保密性和数VPN主要应用在企业内部网Intranet.远程访据的完整性。根据用户的要求,该机制可以只对IP问以企业外部网Extranet,根据应用领城,VPN大报文的传输层数据段进行加密(如TCP. UCP、致可分为3类:Intranet VPN、Access VPN与Ex-ICMP等),也可以对整个IP报文进行加密。前者称tranet VPN.为传输模式ESP,后者称为隧道模式ESP.Intranet VPN:即企业的总部与分支机构间通过公网构筑的虛拟网。加解密技术是数据通信中一项较成熟的技术,AccessVPN:是指企业员工或企业的小分支机VPN可直接利用现有技术。用于VPN上的加密技构通过公网远程拨号的方式构筑的虚拟网●术由IPSec的ESP (Encapsulationg Security Pay-ExtranetVPN:即企业间发生收购、兼并或企load)实现。主要是发送者在发送数据之前对数据加业间建立战略联盟后,使不同企业网通过公网来构密,当数据到达接收者时由接收者对数据进行解密筑的虚拟网.的处理过程,算法主要种类包括:对称加密(单钥加现在各公司总部都需要实现和分支机构的互密)算法、不对称加密(公钥加密)算法等。如DES联,使OA系统中的个人办公、公文系统、综合业务、(Data Encryption Standard)、 IDEA (International行政管理、综合信息等资源共享,让公司管理更加统Data Encryption Algorithm). RSA (发明者Rivest.一.规范,保证物流、信息流的实时更新,确保公司市Shamir和Adleman名字的首字符)。场信息的及时传递,营销方案的及时执行,提高工作对于对称加密算法,通信双方共享一个密钥,发效率;对于政府机构来讲,需要实现和分局的实时联送方使用该密钥将明文加密成密文,接收方使用相络,保证公文流转的时效性和安全性等等。所以只需同的密钥将密文还原成明文。对称加密算法运算速在客户的总部以及各分支机构分别放一台专业度快。不对称加密算法是通信双方各使用两个不同VPN路由器.各点通过ADSL或其他方式接人公网的密钥,一个是只有发送方知道的密钥,另一个则是INTERNET ,就可以为客户构建廉价,稳定的VPN与之对应的公开密钥,公开密钥不需保密。在通信过网络程中,发送方用接收方的公开密钥加密消息,并且可中国煤化工以用发送方的秘密密钥对消息的某--部分或全部加I网络的安全保密密,进行数字签名。接收方收到消息后,用自己的秘向题CNMHG于解决当前网络密密钥解密消息,并使用发送方的公开密钥解密数通信、资源共享所面临的威胁和提高网络通信的保字签名,验证发送方身份。密性、安全性具有重要的现实意义。3 VPN的应用●198●

论文截图
版权:如无特殊注明,文章转载自网络,侵权请联系cnmhg168#163.com删除!文件均为网友上传,仅供研究和学习使用,务必24小时内删除。