网络热词 > VPN技术

VPN技术

VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN 架构中采用了多种安全机制,如隧道技术( Tunneling )、加解密技术( Encryption )、密钥管理技术身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。

虚拟专用网(Virtual Private Network,VPN)是一种"基于公共数据网,给用户一种直接连接到私人局域网感觉的服务"。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类:(1)企业各部门与远程分支之间的Internet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。

由于采用了"虚拟专用网"技术,即用户实际上并不存在一个独立专用的网络,用户既不需要建设或租用专线,也不需要装备专用的设备,就能组成一个属于用户自己专用的电信网络。

虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络,通过网络内部的软件控制就可以组建不同种类的虚拟专用网。例如:利用公用电话网可以构建"虚拟专用电话网"。

VPN实现的两个关键技术是隧道技术加密技术,同时QoS技术对VPN的实现也至关重要。

首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是"隧道模式":加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而"隧道模式"方案,VPN安全力度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。

通过隧道技术加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。

不同的应用对网络通信有不同的要求,这些要求可用如下参数给予体现:

带宽:网络提供给用户的传输率;

反应时间:用户所能容忍的数据报传递延时;

抖动:延时的变化;

丢失率:数据包丢失的比率。

网络资源是有限的,有时用户要求的网络资源得不到满足、通过QoS机制对用户的网络资源分配进行控制以满足应用的需求。QoS机制具有通信处理机制以及供应(Provisioning)和配置(Configuration)机制。通信处理机制包括802.1p、区分服务(differentiated service per-hop-behaviors,DiffServ)、综合服务(integrated services,IntServ)等等。现在大多数局域网是基于IEEE802技术的,如以太网令牌环、FDDI等,802.1p为这些局域网提供了一种支持QoS的机制。802.1p对链路层的802报文定义了一个可表达8种优先级的字段。802.1p优先级只在局域网中有效,一旦出了局域网,通过第三层设备时就被移走。DiffServ则是第三层的QoS机制,它在IP报文中定义了一个字段称DSCP(DiffServ codepoint)。DSCP有六位,用作服务类型和优先级,路由器通过它对报文进行排队和调度。与802.1p、DiffServ不同的是,IntServ是一种服务框架,目前有两种:保证服务和控制负载服务。保证服务许诺在保证的延时下传输一定的通信量;控制负载服务则同意在网络轻负载的情况下传输一定的通信量。典型地,IntServ与资源预留协议(Resource reservation Protocol,RSVP)相关。IntServ服务定义了允许进入的控制算法,决定多少通信量被允许进入网络中。

供应和配置机制包括RSVP、子网带宽管理(subnet bandwidth manager,SBM)、政策机制和协议以及管理工具和协议。这里供应机制指的是比较静态的、比较长期的管理任务,如:网络设备的选择、网络设备的更新、接口添加删除、拓扑结构的改变等等。而配置机制指的是比较动态、比较短期的管理任务,如:流量处理的参数。

RSVP是第三层协议,它独立于各种的网络媒介。因此,RSVP往往被认为介于应用层(或操作系统)与特定网络媒介QoS机制之间的一个抽象层。RSVP有两个重要的消息:PATH消息,从发送者到接收者;RESV消息,从接收者到始发者。 RSVP消息包含如下信息:①网络如何识别一个会话流(分类信息);②描述会话流的定量参数(如数据率);③要求网络为会话流提供的服务类型;④政策信息(如用户标识)。RSVP的工作流程如下:

会话接收者若对发送者要求的会话流认同,则发送RESV消息,否则发送拒绝消息;

当发送者收到RESV消息时,表示可以进行会话,否则表示失败。

SBM是对RSVP功能的加强,扩大了对共享网络的利用。在共享子网或LAN中包含大量交换机网络集线器,因此标准的RSVP对资源不能充分利用。支持RSVP的主机和路由器同意或拒绝会话流,是基于它们个人有效的资源而不是基于全局有效的共享资源。结果,共享子网的RSVP请求导致局部资源的负载过重。SBM可以解决这个问题:协调智能设备。包括:具有SBM能力的主机、路由器以及交换机。这些设备自动运行一选举协议,选出最合适的设备作为DSBM(designated SBM)。当交换机参与选举时,它们会根据第二层的拓扑结构对子网进行分割。主机和路由器发现最近的DSBM并把RSVP消息发送给它。然后,DSBM查看所有消息来影响资源的分配并提供允许进入控制机制。

网络管理员基于一定的政策进行QoS机制配置。政策组成部分包括:政策数据,如用户名;有权使用的网络资源;政策决定点(policy decsion point,PDP);政策加强点(policy enforcement point,PEP)以及它们之间的协议。传统的由上而下(TopDown)的政策协议包括简单网络管理协议(Simple Network Management Protocol,SNMP)、命令行接口(Command Line Interface,CLI)、命令开放协议服务(Command Open Protocol Services,COPS)等。这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。

基于公共网的VPN通过隧道技术数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。

All rights reserved Powered by 网络热词 87994.com

copyright ©right 2010-2020。
网络热词内容来自网络,如有侵犯请联系客服。zhit325@126.com