前言:中文期刊網(wǎng)精心挑選了vpn技術(shù)范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
vpn技術(shù)范文1
關(guān)鍵詞 vpn;原理;特點(diǎn);應(yīng)用
中圖分類號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2011)35-0182-01
1 VPN的概念
所謂VPN(Virtual Private Network,虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng),這里的公用網(wǎng)主要指Interet。為了保障信息在Internet上傳輸?shù)陌踩裕琕PN通過(guò)建立隧道機(jī)制實(shí)現(xiàn),隧道機(jī)制可以提供一定的安全性,并且使VPN中分組的封裝方式、地址信息與承載網(wǎng)絡(luò)的封裝方式、地址信息無(wú)關(guān)。VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施,以保證信息在傳輸中不被偷看、篡改、復(fù)制。
2 IPSec是VPN最常用技術(shù)之一
IPSec VPN是基于IPSec(Internet Protocol Security)規(guī)范的VPN技術(shù)或網(wǎng)絡(luò)的統(tǒng)稱。IPSec即Intenet安全協(xié)議,是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過(guò)公用網(wǎng)的安全保障。IPSec規(guī)范相當(dāng)復(fù)雜,規(guī)范中包含大量的文檔。IPSec在TCP/IP協(xié)議的核心層―IP層實(shí)現(xiàn),可以有效地保護(hù)各種上層協(xié)議,并為各種安全服務(wù)提供一個(gè)統(tǒng)一的平臺(tái)。
3 IPSec VPN工作原理
設(shè)想甲、乙兩個(gè)異地局域網(wǎng)需要進(jìn)行通訊,因?yàn)槭蔷钟蚓W(wǎng)內(nèi)網(wǎng)IP地址不能通過(guò)INTERNET公網(wǎng)進(jìn)行安全通訊。只有通過(guò)IPSec包封裝技術(shù),利用Internet公網(wǎng)IP地址,封裝內(nèi)部私網(wǎng)的IP數(shù)據(jù),實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通:如果甲私網(wǎng)IP發(fā)信給乙私網(wǎng)IP地址,甲局域網(wǎng)IP數(shù)據(jù)經(jīng)甲私網(wǎng)IP地址傳至出口處甲地IPSec VPN網(wǎng)關(guān)進(jìn)行加密封裝,通過(guò)INTERNET公網(wǎng)傳送至乙地IPSec VPN網(wǎng)關(guān)進(jìn)行解密拆封裝后,交給乙局域網(wǎng)私網(wǎng)IP地址。相反乙私網(wǎng)IP地址回信給甲私網(wǎng)IP也是一樣過(guò)程,這樣就實(shí)現(xiàn)異地局域網(wǎng)對(duì)局域網(wǎng)的通訊。IPSEC引進(jìn)了完整的安全機(jī)制,包括加密、認(rèn)證和數(shù)據(jù)防篡改功能,保證數(shù)據(jù)通信安全正確。IPSec安全協(xié)議對(duì)數(shù)據(jù)封裝加密及身份認(rèn)證使用同一密鑰,既用于加密又用于解密。私鑰加密算法非常快,特別適用于對(duì)較大的數(shù)據(jù)流執(zhí)行加密轉(zhuǎn)換。IPSEC通訊的數(shù)據(jù)認(rèn)證使用md5算法計(jì)算包文特征,報(bào)文還原以后,檢查這個(gè)特征碼,看看是否匹配,證明數(shù)據(jù)傳輸過(guò)程是否被篡改。
4 IPSec VPN特點(diǎn)
1)經(jīng)濟(jì):用戶不再承擔(dān)昂貴的固定線路的租費(fèi)。DDN、幀中繼、SDH的異地租費(fèi)很高,而Internet的接入費(fèi)用則只承擔(dān)本地的寬帶費(fèi)用,費(fèi)用很低。此外VPN網(wǎng)關(guān)設(shè)備功能強(qiáng)勁但造價(jià)低廉;2)靈活: 接入靈活,不受互聯(lián)網(wǎng)接入運(yùn)營(yíng)商的限制,支持動(dòng)態(tài)IP地址和NAT穿越。連接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,XDSL 或撥號(hào)都可以連接Internet。一個(gè)IPSec VPN網(wǎng)絡(luò)可以連接任意地點(diǎn)的分支,即使跨越大洋也毫不受限制。支持多分支多端口,擴(kuò)展性好;3)安全: IPSec VPN最顯著特點(diǎn)就是它的安全性,這是它保證內(nèi)部數(shù)據(jù)安全的根本。通過(guò)領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、過(guò)濾/防火墻、通過(guò)RADIUS、LDAP和 SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全。同時(shí),VPN 設(shè)備內(nèi)置專業(yè)防火墻功能,對(duì)數(shù)據(jù)包采用多維策略過(guò)濾,最大可能地防止黑客攻擊;4)可靠: VPN 設(shè)備可提供冗余機(jī)制,保證鏈路和設(shè)備的可靠性。在中心節(jié)點(diǎn)VPN 核心設(shè)備提供冗余CPU 、冗余電源的硬件設(shè)計(jì)。而在鏈路發(fā)生故障時(shí),VPN交換機(jī)支持靜態(tài)隧道故障恢復(fù)功能,隧道定時(shí)巡檢機(jī)制,快速自動(dòng)修復(fù)功能,確保互聯(lián)數(shù)據(jù)的安全可靠;5)方便: 技術(shù)人員可以通過(guò)管理軟件,實(shí)現(xiàn)遠(yuǎn)程配置節(jié)點(diǎn)設(shè)備,方便管理及故障處理;
6)多業(yè)務(wù): 通過(guò)IPSec VPN網(wǎng)絡(luò)可以傳送IP話音、視頻業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù),運(yùn)行ERP軟件,為現(xiàn)代化辦公提供便利條件。
vpn技術(shù)范文2
關(guān)鍵詞:MPLS VPN;路由器;配置
中圖分類號(hào):TP393.1
MPLS VPN由于在靈活性、擴(kuò)展性、QoS方面的優(yōu)勢(shì),逐漸成為最主要的IP-VPN技術(shù),采用MPLS VPN組建各類虛擬專網(wǎng),首先保證了網(wǎng)絡(luò)數(shù)據(jù)流的安全性和服務(wù)質(zhì)量。其次,滿足多種靈活的業(yè)務(wù)需求,此技術(shù)將會(huì)在綜合信息網(wǎng)絡(luò)虛擬專網(wǎng)建設(shè)中推廣使用。
1 MPLS VPN組織結(jié)構(gòu)
目前,幾乎所有的網(wǎng)絡(luò)設(shè)計(jì)都采用分層結(jié)構(gòu),例如,骨干——核心——匯聚——接入四層模型是城域網(wǎng)典型結(jié)構(gòu),所采用設(shè)備等級(jí)依次程下降,而信息網(wǎng)絡(luò)的規(guī)模則不斷擴(kuò)大。核心層與骨干層常用網(wǎng)狀拓?fù)浣Y(jié)構(gòu),這樣可以增加冗余,以確保信息網(wǎng)絡(luò)具有良好的可靠性和抗毀性。在這樣的信息網(wǎng)絡(luò)中,PE節(jié)點(diǎn)該如何部署呢?我們可以將PE直接設(shè)置在核心層(即在骨干網(wǎng)層邊緣直接相連CE),也可以將其部署在匯聚層和接入層。現(xiàn)在最常用的做法是將PE分為多個(gè)層,這個(gè)層分別對(duì)應(yīng)整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的層次,來(lái)共同負(fù)責(zé)全網(wǎng)的VPN業(yè)務(wù)的完成。同樣,在這種分層部署的MPLS VPN中,網(wǎng)絡(luò)層次越高則PE性能及容量等方面的要求就更苛刻,網(wǎng)絡(luò)層次越低則PE性能及容量等方面的要求就更寬松。同樣,這種類型MPLS VPN中網(wǎng)絡(luò)層次越靠下,則PE設(shè)備的量就越大,同時(shí)MPLS VPN用戶的接入能力也就更強(qiáng)。
采用分層結(jié)構(gòu)設(shè)計(jì)的MPLS VPN中,網(wǎng)絡(luò)系統(tǒng)組成一般為骨干和核心節(jié)點(diǎn)作為P路由器,匯聚節(jié)點(diǎn)作為PE路由器,接入節(jié)點(diǎn)作為CE路由器。骨干節(jié)點(diǎn)作為本自治系統(tǒng)的ASBR。
1.1 跨域組網(wǎng)結(jié)構(gòu)
實(shí)現(xiàn)跨域MPLS VPN服務(wù)的方式多種多樣,目前有如,OptionB跨域的VPN組網(wǎng)方式,提供域間MPLS VPN服務(wù)。使用MPLS VPN技術(shù)入網(wǎng)的用戶可以跨越多個(gè)自治系統(tǒng),以實(shí)現(xiàn)組成MPLS VPN網(wǎng)絡(luò),此方法是信息網(wǎng)絡(luò)組建中較為推廣使用方案。如圖3-2所示。
圖中自治系統(tǒng)的ASBR為骨干節(jié)點(diǎn),其與同他直連的其它自治系統(tǒng)的ASBR之間,配置的是MP-EBGP協(xié)議,對(duì)端的直連接口地址被用作協(xié)議會(huì)話鄰居的地址。網(wǎng)絡(luò)通過(guò)域間MP-EBGP分發(fā)VPN標(biāo)簽,ASBR將改變路由的下一跳屬性。ASBR與域內(nèi)節(jié)點(diǎn)運(yùn)行的OSPF、MP-IBGP(RR)和LDP等協(xié)議不變。
2 基于NE80E/40E的配置MPLS VPN
2.1 配置思路
如圖3-1為采用單跳MP-EBGP方式構(gòu)建的MPLS-VPN網(wǎng)絡(luò),該網(wǎng)絡(luò)提供域間MPLS-VPN服務(wù)。VPN用戶可以跨越任意自治系統(tǒng),實(shí)現(xiàn)VPN組網(wǎng)。
CE1和CE2屬于同一個(gè)VPN。CE1通過(guò)AS100的PE1接入,CE2通過(guò)AS200的PE2接入。采用OptionB方式實(shí)現(xiàn)跨域的BGP/MPLS IP VPN:在骨干網(wǎng)上運(yùn)行IGP協(xié)議實(shí)現(xiàn)同一AS的ASBR與PE之間的互通,并且同一AS的ASBR與PE之間要建立MPLS LDP LSP。在PE與CE之間需要建立EBGP對(duì)等體關(guān)系;PE與ASBR之間建立MP-IBGP對(duì)等體關(guān)系。在PE上需配置VPN實(shí)例(在ASBR上無(wú)需配置VPN實(shí)例)。在ASBR上與另一ASBR相連接口上分別使能MPLS,且ASBR之間建立MP-EBGP對(duì)等體關(guān)系。
2.2 設(shè)備配置方案
(1)在AS100和AS200的MPLS骨干網(wǎng)上分別配置IGP協(xié)議,實(shí)現(xiàn)各自骨干網(wǎng)PE之間的互通本例中采用OSPF,具體配置步驟略。配置完成后,同一AS的ASBR與PE之間應(yīng)能建立OSPF鄰居關(guān)系,執(zhí)行display ospf peer命令可以看到鄰居狀態(tài)為Full。
(2)在AS100和AS200的MPLS骨干網(wǎng)上分別配置MPLS基本能力和MPLS LDP,建立LDP LSP。
(3)為PE1和PE2配置基本BGP/MPLS IP VPN。
(4)配置跨域VPN-OptionB方式。
# 配置ASBR1:在與ASBR2相連的接口POS2/0/0上使能MPLS。
system-view
[ASBR1] interface pos 2/0/0
[ASBR1-Pos2/0/0] ip address 192.1.1.1 24
[ASBR1-Pos2/0/0] mpls
[ASBR1-Pos2/0/0] quit
# 配置ASBR1:與ASBR2建立MP-EBGP對(duì)等體關(guān)系,并且不對(duì)接收的VPNv4路由進(jìn)行VPN-target過(guò)濾,并且使能ASBR1按下一跳分標(biāo)簽。
[ASBR1] bgp 100
[ASBR1-bgp] peer 192.1.1.2 as-number 200
[ASBR1-bgp] ipv4-family vpnv4
[ASBR1-bgp-af-vpnv4] peer 192.1.1.2 enable
[ASBR1-bgp-af-vpnv4] undo policy vpn-target
[ASBR1-bgp-af-vpnv4] apply-label per-nexthop
[ASBR1-bgp-af-vpnv4] quit
[ASBR1-bgp] quit
上述配置完成后,CE之間能學(xué)習(xí)到對(duì)方的接口路由,CE1和CE2能夠相互ping通。同一AS的ASBR和PE能學(xué)習(xí)到對(duì)方的Loopback地址,并能夠互相ping通。ASBR2的配置與ASBR1類似,此處不再詳述。
3 結(jié)束語(yǔ)
綜上所述,因?yàn)镸PLS VPN具有更好的安全性、QoS、靈活性、擴(kuò)展性的優(yōu)勢(shì),較好的滿足了信息網(wǎng)絡(luò)對(duì)數(shù)據(jù)流安全性和服務(wù)質(zhì)量的要求,因此MPLS VPN技術(shù)在信息網(wǎng)絡(luò)虛擬專網(wǎng)建設(shè)中被推廣使用。
參考文獻(xiàn):
[1]薛戈麗.組建基于MPLS VPN的IP城域網(wǎng)網(wǎng)絡(luò)方案[J].中國(guó)科技信息,2005(15):137.
vpn技術(shù)范文3
近兩年,SSL VPN的市場(chǎng)突飛猛進(jìn),SSL VPN產(chǎn)品與IPSecVPN產(chǎn)品在市場(chǎng)占有率已開(kāi)始出現(xiàn)此消彼長(zhǎng)的情況。
狀態(tài)監(jiān)測(cè)、應(yīng)用智能、SmartDefense技術(shù)都是Check Point公司借助14年以來(lái)專業(yè)充實(shí)安全領(lǐng)域研究過(guò)程中所開(kāi)發(fā)出來(lái)的安全防護(hù)技術(shù),是貫穿公司所有安全防護(hù)產(chǎn)品,包括SSL VPN產(chǎn)品的安全特性。
狀態(tài)監(jiān)測(cè)技術(shù)
狀態(tài)監(jiān)測(cè)技術(shù)已經(jīng)逐漸成為企業(yè)級(jí)網(wǎng)絡(luò)安全解決方案的行業(yè)標(biāo)準(zhǔn)。狀態(tài)監(jiān)測(cè)能夠滿足上面指定的所有安全要求,而傳統(tǒng)的防火墻技術(shù)在某些方面均存在一定的缺陷。借助狀態(tài)檢測(cè)技術(shù),將在網(wǎng)絡(luò)層截獲數(shù)據(jù)包以達(dá)到最佳性能(與包過(guò)濾器相同),但隨后將訪問(wèn)和分析來(lái)自于所有通信層的數(shù)據(jù)(與應(yīng)用層網(wǎng)關(guān)的第 4~7層比較而言)來(lái)改進(jìn)安全性。
然后,狀態(tài)監(jiān)測(cè)通過(guò)合并來(lái)自于通信以及應(yīng)用程序的狀態(tài)和上下文信息(這些信息是動(dòng)態(tài)存儲(chǔ)和更新的),來(lái)獲得更高的安全性。這樣將提供累積數(shù)據(jù),據(jù)以評(píng)估以后的通信嘗試。它還提供創(chuàng)建虛擬會(huì)話信息的功能,以便跟蹤無(wú)連接協(xié)議(例如基于 RPC 和 UDP 的應(yīng)用程序),這些是其他防火墻技術(shù)無(wú)法實(shí)現(xiàn)的。
應(yīng)用智能技術(shù)
應(yīng)用智能作為一組高級(jí)功能,能夠檢測(cè)和阻止應(yīng)用級(jí)攻擊。許多防火墻(特別是那些基于 Stateful Inspection 技術(shù)的防火墻)已經(jīng)保存了成功抵御網(wǎng)絡(luò)攻擊的防護(hù)庫(kù)。事實(shí)上,越來(lái)越多的攻擊試圖利用網(wǎng)絡(luò)應(yīng)用的弱點(diǎn),而不是直接面向防火墻。這種攻擊方法的重要變化需要防火墻不僅提供訪問(wèn)控制和網(wǎng)絡(luò)級(jí)攻擊保護(hù),還要理解應(yīng)用程序的行為以抵御對(duì)應(yīng)用程序的攻擊和入侵。Check Point應(yīng)用智能擴(kuò)展了對(duì)這種網(wǎng)絡(luò)安全解決方案的理解。
應(yīng)用智能本身的形式與應(yīng)用級(jí)防護(hù)相關(guān)聯(lián)。然而實(shí)踐中,許多針對(duì)網(wǎng)絡(luò)應(yīng)用程序的攻擊實(shí)際上均指向網(wǎng)絡(luò)層和傳輸層。黑客們以攻擊這些較低層為手段來(lái)訪問(wèn)應(yīng)用層,并最終達(dá)到攻擊應(yīng)用程序和數(shù)據(jù)本身的目的。同時(shí),以較低層為目標(biāo),攻擊可以中斷或拒絕合法的用戶和應(yīng)用程序服務(wù)(如 DoS 攻擊)。基于上述原因,應(yīng)用智能和其他網(wǎng)絡(luò)安全解決方案不僅必須要解決應(yīng)用層問(wèn)題,還可以解決網(wǎng)絡(luò)及傳輸層安全問(wèn)題。
防火墻已經(jīng)成為網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的主要部分,這主要基于它們阻隔網(wǎng)絡(luò)級(jí)攻擊的能力。防火墻的成功另一方面也使黑客們又開(kāi)發(fā)出更加復(fù)雜的攻擊方法。新種類的攻擊直接面向應(yīng)用程序,經(jīng)常試圖利用應(yīng)用程序本身固有的弱點(diǎn)或基本的通信協(xié)議中的弱點(diǎn)。因此,需要使用多層安全網(wǎng)關(guān)來(lái)保護(hù)公司網(wǎng)絡(luò)免受這些威脅。另外,多層安全解決方案必須保護(hù)網(wǎng)絡(luò)層和應(yīng)用層免受攻擊,提供對(duì) IT 資源的訪問(wèn)控制。Check Point應(yīng)用智能具有一系列高級(jí)功能,與 Check Point FireWall-1 NGX 和 SmartDefense 集成,能夠檢測(cè)和防止應(yīng)用層攻擊。并且針對(duì)越來(lái)越多直接針對(duì)關(guān)鍵應(yīng)用的攻擊行為,公司在業(yè)界提供了領(lǐng)先的安全解決方案。
SmartDefense技術(shù)
vpn技術(shù)范文4
[關(guān)鍵詞] 網(wǎng)絡(luò)安全 VPN SSL 體系結(jié)構(gòu) 工作模式
VPN(Virtual Personal Network,虛擬專用網(wǎng))是通過(guò)一個(gè)私有的通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng),通過(guò)在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò),數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。SSL VPN是一種新的VPN的實(shí)現(xiàn)方法,是可靠安全地構(gòu)建VPN的一種模式。
一、SSL協(xié)議
1.SSL概述
SSL(Secure Socket Layer,安全套接層)協(xié)議是 Netscape 公司于1994年提出的一個(gè)網(wǎng)絡(luò)安全通信協(xié)議,是一種在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù),以及識(shí)別通信機(jī)器的功能。SSL最初是通過(guò)加密HTTP連接為Web瀏覽器提供安全而引入的。
SSL在TCP上提供一種通用的通道安全機(jī)制,任何可以在TCP上承載的協(xié)議都能夠使用SSL加以保護(hù)。在TCP或IP四層協(xié)議族中,SSL協(xié)議位于傳輸層與應(yīng)用層之間,基于可靠傳輸協(xié)議TCP,服務(wù)于各種應(yīng)用層協(xié)議,如HTTP、POP、TELNET等,它們?cè)赟SL協(xié)議上運(yùn)行分別被稱作HTTPS、POPS、TELNETS協(xié)議等,分別對(duì)應(yīng)的端口號(hào)為443、995、992等。
圖1 SSL協(xié)議結(jié)構(gòu)圖
2.SSL體系結(jié)構(gòu)
SSL協(xié)議在結(jié)構(gòu)上分為兩個(gè)層次:底層為記錄層協(xié)議(Record Protocol),負(fù)責(zé)封裝高層協(xié)議(包括握手協(xié)議)的數(shù)據(jù),保證SSL連接的數(shù)據(jù)保密性和完整性;高層為握手層,由四個(gè)并行的協(xié)議構(gòu)成:握手協(xié)議(Handshake Protocol)、修改密碼參數(shù)協(xié)議(Change Cipher Spec Protocol)、報(bào)警協(xié)議(Alert Protocol)、應(yīng)用數(shù)據(jù)協(xié)議(Application data Protocol),高層協(xié)議需要記錄層協(xié)議支持,其中握手協(xié)議與其他的高層協(xié)議不同,主要負(fù)責(zé)在交換應(yīng)用層數(shù)據(jù)之前進(jìn)行協(xié)商加密算法與密鑰,其他高層協(xié)議屬于應(yīng)用開(kāi)發(fā)的范疇,而要得到握手協(xié)議的支持,而握手協(xié)議則是SSL底層實(shí)現(xiàn)必須具有的功能,因?yàn)橛涗泴訁f(xié)議的完成也由它來(lái)保證。
二、基于SSL協(xié)議的VPN技術(shù)研究
1.SSLVPN概念
SSL VPN是指一種基于數(shù)據(jù)包封裝技術(shù)的,利用SSL或TLS協(xié)議結(jié)合強(qiáng)加密算法和身份認(rèn)證技術(shù)的,可靠安全地構(gòu)建VPN的一種方法。它作為一種新的VPN的實(shí)現(xiàn)方法,SSL VPN可以用來(lái)構(gòu)建外聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)和遠(yuǎn)程接入訪問(wèn)。它通過(guò)數(shù)據(jù)包封裝的隧道技術(shù)來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)的私有性,通過(guò)PKI技術(shù)和密碼學(xué)技術(shù)來(lái)鑒別通信雙方的身份和確保傳輸數(shù)據(jù)的安全。
2.SSL VPN的工作模式
(1)基于Web模式的SSL VPN系統(tǒng)
客戶端使用瀏覽器通過(guò)SSLVPN 服務(wù)器來(lái)訪問(wèn)企業(yè)局域網(wǎng)的內(nèi)部資源。SSLVPN 服務(wù)器相當(dāng)于一個(gè)數(shù)據(jù)中轉(zhuǎn)站,Web瀏覽器對(duì)WWW服務(wù)器的訪問(wèn)經(jīng)過(guò)SSL VPN服務(wù)器的處理(解密、身份鑒別、訪問(wèn)控制)后轉(zhuǎn)發(fā)給WWW服務(wù)器,從WWW服務(wù)器發(fā)往Web瀏覽器的數(shù)據(jù)經(jīng)過(guò)SSL VPN服務(wù)器處理(過(guò)濾、加密)后送到Web瀏覽器。
圖2 基于Web模式的SSL VPN系統(tǒng)
(2)基于客戶模式的SSL VPN
用戶在客戶端安裝一個(gè)SSL VPN客戶端程序,當(dāng)客戶端訪問(wèn)企業(yè)內(nèi)部的應(yīng)用服務(wù)器時(shí),需要經(jīng)過(guò)SSL VPN客戶端程序和SSL VPN服務(wù)器之間的保密傳輸后才能到達(dá)。從而在SSLVPN客戶端和 SSLVPN服務(wù)器之間,由SSL協(xié)議構(gòu)建一條安全通道,保護(hù)客戶端與SSLVPN服務(wù)器之間的數(shù)據(jù)傳輸。此時(shí),SSLVPN服務(wù)器充當(dāng)服務(wù)器的角色,SSL VPN客戶端充當(dāng)客戶端的角色。
圖3 基于客戶端模式的SSL VPN系統(tǒng)
(3)局域網(wǎng)到局域網(wǎng)模式的SSL VPN系統(tǒng)
在網(wǎng)絡(luò)邊緣都安裝和配置了SSLVPN服務(wù)器。當(dāng)一個(gè)局域網(wǎng)內(nèi)的終端要訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器時(shí),需要經(jīng)過(guò)兩個(gè)SSL VPN服務(wù)器之間的保密傳輸后才能到達(dá)。從而在兩個(gè)SSLVPN服務(wù)器之間,由SSL協(xié)議構(gòu)建一條安全通道,保護(hù)局域網(wǎng)之間的數(shù)據(jù)傳輸。此時(shí),SSL VPN服務(wù)器充當(dāng)安全網(wǎng)關(guān)的角色。
圖4 局域網(wǎng)到局域網(wǎng)模式的SSL VPN系統(tǒng)
參考文獻(xiàn):
[1]徐家臻陳莘萌:基于IPSec與基于SSL的VPN的比較與分析[J].計(jì)算機(jī)工程與設(shè)計(jì),2004,(04)
vpn技術(shù)范文5
【關(guān)鍵詞】VPN;VPN技術(shù);校園網(wǎng)
1.VPN的概念
VPN即Virtual Private Network,中文稱為“虛擬專用網(wǎng)”。“虛擬”的意思是用戶在實(shí)際使用中,不需要有真實(shí)的長(zhǎng)途數(shù)據(jù)線路,可使用公眾網(wǎng)絡(luò)的數(shù)據(jù)鏈路。而“專用網(wǎng)絡(luò)”是指用戶可根據(jù)個(gè)人需求來(lái)制定特殊的網(wǎng)絡(luò)。所以說(shuō),VPN就是利用公眾網(wǎng)資源為客戶構(gòu)成專用網(wǎng)的一種業(yè)務(wù)。這種技術(shù)是基于因特網(wǎng)平臺(tái)的虛擬專用網(wǎng),用于在因特網(wǎng)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。實(shí)際運(yùn)用中,VPN一般是這樣進(jìn)行操作:在因特網(wǎng)中建立一個(gè)臨時(shí)的安全連接,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包及加密傳輸,實(shí)現(xiàn)在公共網(wǎng)絡(luò)上傳輸私有數(shù)據(jù),進(jìn)而達(dá)到建立私有網(wǎng)絡(luò)的目的。
VPN技術(shù)有三個(gè)組成部分:數(shù)據(jù)加密、用戶認(rèn)證和隧道技術(shù)。數(shù)據(jù)加密和用戶認(rèn)證涉及到安全性的兩個(gè)方面:數(shù)據(jù)加密可以保障數(shù)據(jù)不被盜取,用戶認(rèn)證可以保障非認(rèn)證用戶無(wú)權(quán)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。隧道技術(shù)作為VPN的關(guān)鍵技術(shù),它的作用是定義數(shù)據(jù)的封裝形式,以安全的方式利用IP協(xié)議在因特網(wǎng)上傳送。
VPN有三種解決方案來(lái)迎合不同用戶的不同需求:第一,企業(yè)擴(kuò)展虛擬網(wǎng)Extranet VPN,第二,企業(yè)內(nèi)部虛擬網(wǎng)Intranet VPN,第三,遠(yuǎn)程訪問(wèn)虛擬網(wǎng)Access VPN。這三類VPN分別對(duì)應(yīng)企業(yè)網(wǎng)和相關(guān)合作企業(yè)的網(wǎng)共同構(gòu)成的傳統(tǒng)訪問(wèn)網(wǎng)絡(luò)。
2.校園網(wǎng)中VPN技術(shù)的應(yīng)用
2.1 用Access VPN實(shí)現(xiàn)校外學(xué)習(xí)和辦公。
AccessVPN是建立在VPN上的,站點(diǎn)到站點(diǎn)的,由單機(jī)連接到網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)。通過(guò)這種方式,遠(yuǎn)程已接入因特網(wǎng)的用戶可以隨時(shí)隨地、安全地訪問(wèn)內(nèi)部網(wǎng)的資源。AccessVPN這種方式優(yōu)點(diǎn)很多,比如可擴(kuò)展性大,費(fèi)用低廉、網(wǎng)絡(luò)簡(jiǎn)單,對(duì)網(wǎng)絡(luò)新用戶而言調(diào)度簡(jiǎn)便。
現(xiàn)今的高校教育,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,不管是老師的教學(xué)和學(xué)生的學(xué)習(xí)越來(lái)越多地要用到校園網(wǎng)上的軟件,比如教務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)、電子圖書(shū)館等教學(xué)資源。但是這些放在校園網(wǎng)上的軟件資源,由于各種原因,只能在校內(nèi)的計(jì)算機(jī)上使用,直接通過(guò)公網(wǎng)無(wú)法訪問(wèn)。所以就出現(xiàn)到了校外老師無(wú)法通過(guò)校園網(wǎng)進(jìn)行教學(xué)和辦公,學(xué)生無(wú)法在網(wǎng)上提交作業(yè)和網(wǎng)絡(luò)學(xué)習(xí),寒暑假放假后在校外也不能查詢自己的考試成績(jī)等等這些影響學(xué)校正常運(yùn)行的現(xiàn)實(shí)問(wèn)題。但是通過(guò)AccessVPN技術(shù)我們就可以輕松化解這些難題。AccessVPN技術(shù)具體應(yīng)用于校園網(wǎng)中,需要在校園網(wǎng)內(nèi)配置VPN服務(wù)器,在服務(wù)器端添加用戶信息,給予用戶接入VPN服務(wù)器的權(quán)限。校園網(wǎng)以外的用戶在自己計(jì)算機(jī)上建立VPN連接,配置好VPN客戶端。計(jì)算機(jī)接入因特網(wǎng)后,客戶便能進(jìn)行VPN撥號(hào)。撥號(hào)成功后,在客戶計(jì)算機(jī)和校園網(wǎng)內(nèi)的VPN服務(wù)器之間,就建立起了點(diǎn)對(duì)點(diǎn)的連接。這樣,老師和同學(xué)根據(jù)各自賬號(hào)的不同權(quán)限,就可以像在校內(nèi)一樣地訪問(wèn)校園網(wǎng)內(nèi)的資源。
通過(guò)VPN服務(wù)使用校園網(wǎng)的資源,實(shí)現(xiàn)異地辦公。這樣就打破傳統(tǒng)的固定辦公學(xué)習(xí)模式,將地點(diǎn)延伸到家庭或出差地。意味著校園網(wǎng)的延伸。通過(guò)實(shí)踐證明,在校園網(wǎng)中應(yīng)用AccessVPN,成本低、安全并且有效。
2.2 用Intranet VPN實(shí)現(xiàn)多校區(qū)互訪。
Intranet VPN是一種建立在VPN上的,遠(yuǎn)程的網(wǎng)絡(luò)互聯(lián)。網(wǎng)絡(luò)互聯(lián)所指的范圍廣泛,可以是站點(diǎn)到站點(diǎn)、路由器到路由器、網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接。這種連接費(fèi)用低廉并且易于擴(kuò)展,接入的用戶可以不受線路的限制。所以Intranet VPN也成為了當(dāng)今應(yīng)用最普遍VPN模式。
近些年,隨著教育規(guī)模不斷擴(kuò)大,很多學(xué)校由于高校合并、修建新校區(qū)、聯(lián)合辦學(xué)等等原因。造成多校區(qū)分散運(yùn)作已成為當(dāng)下很普遍的現(xiàn)象。這些校區(qū)之間由于在不同的地方,缺乏有效的相互連接,造成了校園網(wǎng)操作水平極低的現(xiàn)象。各種校園網(wǎng)上的應(yīng)用系統(tǒng)教學(xué)資源使用不暢,迫切需要實(shí)現(xiàn)統(tǒng)一管理和充分利用。因此,利用有效的技術(shù)手段實(shí)現(xiàn)校區(qū)之間校園網(wǎng)的安全可靠的連接,就成為了目前高校校園網(wǎng)建設(shè)的當(dāng)務(wù)之急。但是對(duì)于那些擁有多個(gè)校區(qū)的學(xué)校而言,如果通過(guò)租用光纖的方式,把多個(gè)校區(qū)校園網(wǎng)連接為專用網(wǎng)的話,租賃的成本會(huì)比較高,學(xué)校財(cái)政將會(huì)面臨極大的負(fù)擔(dān)。為了低成本實(shí)現(xiàn)多校區(qū)校園網(wǎng)的連接,可以將Intranet VPN技術(shù)應(yīng)用到校園網(wǎng)中,構(gòu)建學(xué)校自己的虛擬專用網(wǎng)絡(luò)。
在建設(shè)中,只需要結(jié)合現(xiàn)有的網(wǎng)絡(luò),在校區(qū)之間建立通信端的VPN設(shè)備需要配置的路由。如果要求不高可以利用最普遍的Windows系統(tǒng)在兩地分別建立VPN路由,如果要考慮VPN的穩(wěn)定性和設(shè)備的數(shù)據(jù)交換能力的話,使用具有VPN功能的路由器當(dāng)然就更好。帶VPN功能的路由器可以更方便地實(shí)現(xiàn)不同校區(qū)的路由、ACL及協(xié)議和安全帳戶間的相同配置。具有VPN功能的路由器在校區(qū)間建立起了數(shù)據(jù)傳輸隧道,相當(dāng)于在各個(gè)校區(qū)路由器之間,建立起了一條專用虛擬線路。當(dāng)新校區(qū)用戶需要對(duì)老校區(qū)的網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí),先連到新校區(qū)VPN路由器上的靜態(tài)路由。通過(guò)之前建立的專用虛擬隧道,到達(dá)老校區(qū)的路由器。這時(shí),老校區(qū)路由器會(huì)自動(dòng)分一個(gè)老校區(qū)網(wǎng)絡(luò)的IP地址給該用戶,同時(shí)根據(jù)用戶的帳戶信息檢查他的身份,按照檢查的結(jié)果,授予該用戶和他賬號(hào)相等的訪問(wèn)權(quán)限。
用Intranet VPN技術(shù)應(yīng)用于學(xué)校主校區(qū)網(wǎng)絡(luò)和分校區(qū)網(wǎng)絡(luò)之間的通信及主校區(qū)與分校區(qū)內(nèi)部網(wǎng)之間的信息交流,成本上不僅費(fèi)用大大降低,技術(shù)上還可以防止外面的用戶非法訪問(wèn)內(nèi)部的信息,從而提供了有效的安全保護(hù)。具有與本地局域網(wǎng)互聯(lián)同樣的管理性和可靠性是這種網(wǎng)絡(luò)互聯(lián)的模式。
3.校園網(wǎng)VPN的設(shè)置
3.1 服務(wù)器端VPN配置
第一步,硬件要求。需要兩塊網(wǎng)卡用于服務(wù)器中,一塊連接局域網(wǎng),另一塊連接公網(wǎng)。操作系統(tǒng)可以選擇Windows 2003 Server版,安裝時(shí)只要開(kāi)啟路由和遠(yuǎn)程訪問(wèn)服務(wù)即可。
第二步,開(kāi)啟VPN服務(wù)。選擇“管理工具”,“路由遠(yuǎn)程訪問(wèn)”,“配置啟用路由和遠(yuǎn)程訪問(wèn)”,彈出“路由遠(yuǎn)程訪問(wèn)服務(wù)器安裝”向?qū)А_x擇“遠(yuǎn)程訪問(wèn)”或“虛擬專用網(wǎng)絡(luò)(VPN訪問(wèn)和NAT)”,選擇“自定義配置”,在對(duì)話框中選擇“VPN訪問(wèn)”,在選項(xiàng)系統(tǒng)中選擇啟動(dòng)服務(wù),系統(tǒng)會(huì)按之前的配置啟動(dòng)路由和遠(yuǎn)程訪問(wèn)服務(wù)了。
第三步,設(shè)置VPN服務(wù)。設(shè)置連接數(shù):在“路由和遠(yuǎn)程訪問(wèn)”窗口中打開(kāi)“端口”菜單,在“屬性”中選擇“WAN微型端口”選項(xiàng),根據(jù)需要在對(duì)話框里輸入連接數(shù)(Win-dows 2003支持16384個(gè)PPTP端口或30000個(gè)L2TP端口)。設(shè)置IP地址:在“路由和遠(yuǎn)程訪問(wèn)”窗口中打開(kāi)本地服務(wù)器名,選擇“屬性”然后切換到IP選項(xiàng)卡,出現(xiàn)“靜態(tài)地址池”選項(xiàng),選擇“添加”,按照需要接入的數(shù)量,添加一個(gè)地址范圍,注意添加的地址不能和本地IP地址沖突,然后確定。
第四步,設(shè)置遠(yuǎn)程訪問(wèn)策略。新建用戶和組:分別打開(kāi)“管理工具”-“計(jì)算機(jī)管理”-“本地用戶和組”,在“用戶”菜單中設(shè)置,選中“不能更改密碼”和“密碼不過(guò)期”。新創(chuàng)建一個(gè)用戶test。在“組”菜單中也新建一個(gè)組,組名為test。然后查找到之前添加的用戶名為test的用戶,加入到剛才新建的組中去。遠(yuǎn)程訪問(wèn)策略的設(shè)置:依次選擇“路由和遠(yuǎn)程訪問(wèn)”,“遠(yuǎn)程訪問(wèn)策略”,“新建遠(yuǎn)程訪問(wèn)策略”選項(xiàng),在彈出的對(duì)話框中輸入“策略名”,選擇“VPN”選項(xiàng),把剛才新建的組加入到這里,設(shè)置就完成了。將來(lái)如有新用戶需要使用VPN服務(wù),只需為該用戶添加一個(gè)新帳號(hào),加入到剛才新建的test組即可。
3.2 客戶端計(jì)算機(jī)的VPN設(shè)置
選擇“新建連接向?qū)А保瑒?chuàng)建新的連接。在網(wǎng)絡(luò)連接類型中,選中“連接到工作場(chǎng)所的網(wǎng)絡(luò)”,填入VPN服務(wù)器的公網(wǎng)IP地址。然后在網(wǎng)絡(luò)連接中就會(huì)出現(xiàn)剛才新建的連接。設(shè)置新建連接的“Internet協(xié)議(TCP/IP)”選項(xiàng),去掉“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”前面的勾,選擇相應(yīng)的安全措施和加密協(xié)議。然后輸入用戶名和密碼就可以連接VPN服務(wù)器了。
4.結(jié)束語(yǔ)
實(shí)際的使用證明,VPN技術(shù)作為新的網(wǎng)絡(luò)技術(shù),解決了校園網(wǎng)建設(shè)中面臨的實(shí)際問(wèn)題。在目前校園網(wǎng)建設(shè)中,提供了一種費(fèi)用低廉、安全而且高效的聯(lián)網(wǎng)方式。伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,VPN技術(shù)也將繼續(xù)進(jìn)步,在更廣泛的領(lǐng)域發(fā)揮更多的作用。
參考文獻(xiàn)
[1]伏秋平,姚渺波.應(yīng)用VPN技術(shù)延伸校園網(wǎng)覆蓋范圍[J].計(jì)算機(jī)時(shí)代,2007(4).
[2]王春海著.VPN網(wǎng)絡(luò)組建案例實(shí)錄[M].北京:科學(xué)出版社,2008.
vpn技術(shù)范文6
關(guān)鍵詞 VPN;技術(shù)方案;比較
中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2010)33-0224-02
VPN被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。我們根據(jù)企業(yè)實(shí)際需求,對(duì)現(xiàn)有常用的3種VPN技術(shù)方案做分析比較,選擇適合外服應(yīng)用的方案,再在方案基礎(chǔ)上考慮其它功能集合。
1 IPSEC VPN方案
IPSEC是一套比較完整成為體系的VPN技術(shù),它規(guī)定了一系列的協(xié)議標(biāo)準(zhǔn)。它為數(shù)據(jù)在通過(guò)公用網(wǎng)絡(luò)(如因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。IPSEC通過(guò)包封裝包的方法,通過(guò)Internet建立了一個(gè)通訊的隧道,通過(guò)這個(gè)通訊的隧道,就可以建立起網(wǎng)絡(luò)的連接。
IPSEC協(xié)議支持幾種操作模式,通信雙方要確定所要采用的安全策略和使用模式,這包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。在IPSEC協(xié)議中,一旦IPSEC通道建立,所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過(guò)加密,如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。
我們?cè)O(shè)計(jì)IPSEC方案中,中心和分支機(jī)構(gòu)分別采用IPSEC VPN網(wǎng)關(guān)設(shè)備,中心為每個(gè)節(jié)點(diǎn)分配一套密碼,各個(gè)節(jié)點(diǎn)通過(guò)密碼與中心交換機(jī)互相認(rèn)證,建立IPSEC VPN虛擬通路,這條通路的特性,如帶寬、何時(shí)可以建立等通過(guò)中心統(tǒng)一管理。還可以通過(guò)雙密鑰機(jī)制實(shí)現(xiàn)更加可靠的認(rèn)證。
2 SSL VPN方案
SSL的英文全稱是“Secure Sockets Layer,中文名為“安全套接層協(xié)議層”,它是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如Http、Telenet、NMTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制,它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。
從簡(jiǎn)單而一言,SSLVPN一般的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL網(wǎng)關(guān)或接入服務(wù)器設(shè)備。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上,那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后,連接將被SSL服務(wù)器取得,并驗(yàn)證該用戶的身份,然后SSL服務(wù)器將提供一個(gè)遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間連接。
幾乎所有的主流商業(yè)瀏覽器都集成了SSL,實(shí)施SSLVPN不需要再安裝額外的軟件。絕大多數(shù)SSL VPN的生產(chǎn)廠商都通過(guò)“signed plugins”提供其他的功能,“signed plugins”可以跟隨瀏覽器自動(dòng)傳輸給客戶端。
SSL實(shí)現(xiàn)了客戶端零安裝,零配置。但其功能和應(yīng)用也受到限制。它適合B/S模式,移動(dòng)用戶通過(guò)瀏覽器訪問(wèn)WEB服務(wù)應(yīng)用,有的SSL VPN還對(duì)其他非B/S等進(jìn)行有限擴(kuò)充,增強(qiáng)了其可用性,可是在通用性、兼容性方面還存在很多不確定性,在認(rèn)證方式、應(yīng)用程序類型上限制很多。
按照SSLVPN設(shè)計(jì)的外服網(wǎng)絡(luò)方案,中心和各分支節(jié)點(diǎn)采用專用SSL VNP設(shè)備連接Internet,要求設(shè)備兼容外服各項(xiàng)專用應(yīng)用,系統(tǒng)要求較高,沒(méi)有統(tǒng)一的擴(kuò)展應(yīng)用標(biāo)準(zhǔn),存在是否能支持今后業(yè)務(wù)發(fā)展各項(xiàng)新應(yīng)用等相關(guān)問(wèn)題。方案中移動(dòng)用戶和家庭用戶無(wú)需客戶端連接SSLVPN服務(wù)器,經(jīng)安全認(rèn)證后使用各項(xiàng)B/S模式應(yīng)用,解決較為理想,基本不用考慮計(jì)算機(jī)維護(hù)和相關(guān)網(wǎng)絡(luò)問(wèn)題,也較安全的隔離了病毒傳播和木馬程序等問(wèn)題。
3 MPLS VPN方案
MPLS VNP是一種基于MPLS技術(shù)的IPVPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(Multi protocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù),簡(jiǎn)化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IPVPN)。
MPLS技術(shù)通過(guò)標(biāo)簽的引入,將IP路由網(wǎng)絡(luò)中“數(shù)據(jù)報(bào)”的轉(zhuǎn)發(fā)方式轉(zhuǎn)變?yōu)轭愃朴凇疤撾娐贰盫C的轉(zhuǎn)發(fā)方式。VC的方式在數(shù)據(jù)包轉(zhuǎn)發(fā)只前先由IP網(wǎng)絡(luò)建立一條從源端到目的端的唯一路徑,一旦這條路徑確定,所有的數(shù)據(jù)包將通過(guò)這條路徑傳輸。在MPLS網(wǎng)絡(luò)中,路徑即是由“標(biāo)簽”來(lái)表示的。在路由器中,每個(gè)目的網(wǎng)絡(luò)由一個(gè)標(biāo)簽表示,所有到此目的網(wǎng)絡(luò)的數(shù)據(jù)包被打上此標(biāo)簽轉(zhuǎn)發(fā)到目的地。MPLS類似“虛電路”的標(biāo)簽轉(zhuǎn)發(fā)方式保證兩個(gè)VNP節(jié)點(diǎn)之間的流量經(jīng)過(guò)唯一路徑,不會(huì)被轉(zhuǎn)發(fā)到其它節(jié)點(diǎn),保證了用戶數(shù)據(jù)包的安全性。
MPLS VPN能夠利用電信運(yùn)營(yíng)商公用骨干網(wǎng)絡(luò)強(qiáng)大的傳輸能力,為企業(yè)構(gòu)建內(nèi)部Intranet,同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶和方便性的需要。
在基于IP的網(wǎng)絡(luò)中,MPLS具有很多優(yōu)點(diǎn),也有明顯的缺點(diǎn):
1)相對(duì)降低了成本
MPLS VPN方式支持路由器方式連接,能保護(hù)用戶的以前專線方式設(shè)備投資;其運(yùn)營(yíng)租金與專線相比下降很多,降低了一定成本,但國(guó)內(nèi)電信運(yùn)營(yíng)商還處于相對(duì)壟斷階段,租金還相對(duì)偏高。
2)提高了資源利用率,提高了網(wǎng)絡(luò)速度
由于在網(wǎng)內(nèi)使用標(biāo)簽交換,用戶各個(gè)點(diǎn)的局域網(wǎng)可以使用重復(fù)的IP地址,提高了IP資源利用率。由于使用標(biāo)簽交換,縮短了每一跳過(guò)程中地址搜索的時(shí)間,減少了數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的時(shí)間,提高了網(wǎng)絡(luò)速度。
3)系統(tǒng)應(yīng)用支持能力強(qiáng)
網(wǎng)絡(luò)對(duì)C/S、B/S和其他應(yīng)用支持較好,保障業(yè)務(wù)開(kāi)展和新信息系統(tǒng)今后支持。
4)MPLS具有QOS保證
網(wǎng)絡(luò)通過(guò)電信運(yùn)營(yíng)商骨干城域網(wǎng)絡(luò)實(shí)現(xiàn),并由運(yùn)營(yíng)商提供24小時(shí)網(wǎng)管監(jiān)控服務(wù),保證了網(wǎng)絡(luò)的服務(wù)質(zhì)量。相對(duì)于其優(yōu)點(diǎn),MPLS的缺點(diǎn)也是明顯的:
1)價(jià)格高
相對(duì)于使用IPSec、SSL方式通過(guò)Intranet組網(wǎng),MPLS的代價(jià)比較高。相當(dāng)于一種準(zhǔn)專線。
2)跨運(yùn)營(yíng)商不便
由于需支持全國(guó)網(wǎng)絡(luò),可能會(huì)跨越不同運(yùn)營(yíng)商,運(yùn)營(yíng)商之間還有很多協(xié)調(diào)工作沒(méi)有完成,中國(guó)電信、網(wǎng)通等巨頭之間,互聯(lián)互通并不完美,網(wǎng)絡(luò)堵塞時(shí)有發(fā)生。從以上總結(jié)可以看出,MPLS更適應(yīng)比較高端的大型用戶。
參考文獻(xiàn)
[1]白木,周潔.淺談VPDN與VPN技術(shù)[J].有線電視技術(shù),2003(4).