前言：中文期刊網(wǎng)精心挑選了vpn技術(shù)論文范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

vpn技術(shù)論文范文1

組播vpn是基于MPLSL3VPN來(lái)實(shí)現(xiàn)組播傳輸?shù)?a href="http://www.dzwyw.cn/haowen/40496.html" target="_blank">技術(shù)。如圖1所示，網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù)：公網(wǎng)實(shí)例、VPN實(shí)例A。公共網(wǎng)絡(luò)邊緣PE組播設(shè)備支持多實(shí)例。各實(shí)例之間形成彼此隔離的平面，每個(gè)實(shí)例對(duì)應(yīng)一個(gè)平面。以VPN實(shí)例A為例，組播VPN指：當(dāng)VPNA中的組播源向某組播組發(fā)送組播數(shù)據(jù)時(shí)，在網(wǎng)絡(luò)中所有可能的接收者中，僅屬于VPNA（即Site1、Site3或Site5中）的組播組成員才能收到該組播源發(fā)來(lái)的組播數(shù)據(jù)。組播數(shù)據(jù)在各Site及公網(wǎng)中均以組播方式進(jìn)行傳輸。其中，實(shí)現(xiàn)組播VPN所需具備的網(wǎng)絡(luò)條件如下：（1）在每個(gè)Site內(nèi)支持基于VPN實(shí)例的組播。（2）在公共網(wǎng)絡(luò)內(nèi)支持基于公網(wǎng)實(shí)例的組播。（3）PE設(shè)備支持多實(shí)例組播，即支持基于VPN實(shí)例和公網(wǎng)實(shí)例的組播，并支持支持公網(wǎng)實(shí)例與VPN實(shí)例之間的信息交互和數(shù)據(jù)轉(zhuǎn)換。為了滿足以上條件，互聯(lián)網(wǎng)工程任務(wù)組（IETF）最終形成制定了以MD（MulticastDomain）組播域方案來(lái)實(shí)現(xiàn)組播VPN的標(biāo)準(zhǔn)。MD方案的基本思想是：在骨干網(wǎng)中為每個(gè)VPN維護(hù)一棵稱為Share-MDT的組播轉(zhuǎn)發(fā)樹。來(lái)自VPN中任一Site的組播報(bào)文都會(huì)沿著Share-MDT被轉(zhuǎn)發(fā)給屬于該MD的所有PE。MD是一個(gè)集合，它由一些相互間可以收發(fā)組播數(shù)據(jù)的VRF組成。其中，支持組播業(yè)務(wù)的VRF為MVRF，它同時(shí)維護(hù)單播和組播路由轉(zhuǎn)發(fā)表。PE收到組播報(bào)文后，如果其MVRF內(nèi)有該組播組的接收者，則繼續(xù)向CE轉(zhuǎn)發(fā)；否則將其丟棄。不同的MVRF加入到同一個(gè)MD中，通過MD內(nèi)自動(dòng)建立的PE間的組播隧道（MT）將這些MVRF連接在一起，實(shí)現(xiàn)了不同Site之間的組播業(yè)務(wù)互通。每個(gè)MD會(huì)被分配一個(gè)獨(dú)立的組播地址，稱為Share-Group。當(dāng)兩個(gè)MVRF之間通信時(shí)，用戶報(bào)文以GRE方式被封裝在骨干報(bào)文里通過MT進(jìn)行傳輸，骨干報(bào)文的源地址為PE用來(lái)建立BGP連接所使用的接口IP地址，目的地址為Share-Group。

2民航數(shù)據(jù)通信網(wǎng)中組播VPN的實(shí)現(xiàn)

在民航數(shù)據(jù)通信網(wǎng)中實(shí)現(xiàn)組播VPN主要需完成骨干網(wǎng)絡(luò)的準(zhǔn)備工作以及組播VPN設(shè)計(jì)與實(shí)施等工作。

2.1組播VPN的規(guī)劃設(shè)計(jì)民航ATM數(shù)據(jù)網(wǎng)華東地區(qū)ATM交換機(jī)上的RPM-PR板卡提供了MPLSVPN業(yè)務(wù)，目前部署的MPLSVPN業(yè)務(wù)網(wǎng)絡(luò)拓?fù)錇樾切谓Y(jié)構(gòu)，即由區(qū)域一級(jí)節(jié)點(diǎn)9槽RPM板卡作為P設(shè)備和路由反射器，而其他節(jié)點(diǎn)均為PE設(shè)備。華東地區(qū)ATM網(wǎng)絡(luò)中同時(shí)承載著兩個(gè)相互獨(dú)立的組播業(yè)務(wù)：ATM數(shù)據(jù)網(wǎng)公網(wǎng)組播實(shí)例和名為YJCJ2的用戶私網(wǎng)組播實(shí)例。VPN組播實(shí)例是通過在P和PE設(shè)備上部署實(shí)現(xiàn)的，網(wǎng)絡(luò)中，作為P和PE的RPM板卡上運(yùn)行著公網(wǎng)組播實(shí)例，而作為PE的RPM板卡同時(shí)又運(yùn)行著用戶私網(wǎng)組播實(shí)例。公網(wǎng)的組播實(shí)例是在所有RPM板卡上開啟組播應(yīng)用。上海虹橋和浦東機(jī)場(chǎng)兩個(gè)節(jié)點(diǎn)的10槽RPM板卡負(fù)責(zé)接入用戶的VPN組播業(yè)務(wù)，所以需在這兩臺(tái)設(shè)備上部署MPLSVPN應(yīng)用，并在這兩個(gè)用戶站點(diǎn)相應(yīng)的VRF實(shí)例中開啟組播應(yīng)用。在本案例中，VPN用戶接入側(cè)要求使用的是PIM密集模式，而民航數(shù)據(jù)網(wǎng)MPLSVPN公網(wǎng)則使用的是PIM稀松模式。在MPLSVPN網(wǎng)絡(luò)中不同用戶的VPN站點(diǎn)都是彼此邏輯獨(dú)立的，并且VPN用戶數(shù)據(jù)封裝MPLS標(biāo)簽后通過公網(wǎng)的PE和P設(shè)備進(jìn)行傳輸。對(duì)于VPN組播來(lái)說，數(shù)據(jù)的傳輸模式也是類似的。PE設(shè)備通過將該VPN實(shí)例中的用戶VPN組播數(shù)據(jù)報(bào)文封裝成公網(wǎng)所能“識(shí)別”的公網(wǎng)組播數(shù)據(jù)報(bào)文進(jìn)行組播轉(zhuǎn)發(fā)。這種將私網(wǎng)組播報(bào)文封裝成公網(wǎng)組播報(bào)文的過程就叫做構(gòu)造組播隧道（MT）。在PE上，每個(gè)VPN用戶的組播數(shù)據(jù)是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網(wǎng)構(gòu)造組播隧道，參見圖2。由于公網(wǎng)、VPN網(wǎng)以及用戶接入側(cè)各組播部署中都采用PIM協(xié)議啟用了組播應(yīng)用，MPLSVPN中組播應(yīng)用包含如下的PIM鄰居關(guān)系：（1）PE-P鄰居關(guān)系：指PE上公網(wǎng)實(shí)例接口與鏈路對(duì)端P上的接口之間所建立的PIM鄰居關(guān)系。（2）PE-PE鄰居關(guān)系：指PE上的VPN實(shí)力通過MTI收到遠(yuǎn)端PE上的VPN實(shí)例發(fā)來(lái)的PIMHello報(bào)文后建立的鄰居關(guān)系。（3）PE-CE鄰居關(guān)系：指PE上綁定VPN實(shí)例的接口與鏈路對(duì)端CE上的接口之間建立的PIM鄰居關(guān)系。部署公網(wǎng)組播實(shí)例需在華東地區(qū)所有相關(guān)RPM板卡開啟組播服務(wù)，考慮到密集模式對(duì)RPM設(shè)備和骨干網(wǎng)資源的開銷，在民航ATM數(shù)據(jù)網(wǎng)中使用了PIM稀松模式。根據(jù)網(wǎng)絡(luò)的物理網(wǎng)絡(luò)拓?fù)淠Ｐ停x取上海虹橋9槽RPM板卡作為RP。

2.2組播VPN的實(shí)施運(yùn)行在MPLSVPN網(wǎng)絡(luò)中的P和PE設(shè)備上部署PIM協(xié)議，這些設(shè)備之間會(huì)形成PE-P鄰居關(guān)系，從而使得公網(wǎng)支持組播功能，并形成公網(wǎng)的組播分發(fā)樹。本案例中使用PIM稀松模式，即在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的9、10槽RPM板卡的配置底層IGP路由協(xié)議的接口上部署PIM稀松模式，這樣就構(gòu)造了公網(wǎng)的PIM共享樹。在傳輸用戶私網(wǎng)組播報(bào)文的PE上部署基于VRF實(shí)例的組播，一個(gè)VPN實(shí)例唯一制定一個(gè)Share-Group地址。同一個(gè)VPN組播域內(nèi)的PE之間形成PE-PE鄰居，并形成該組播域的共享組播分發(fā)樹（Share-MDT）。在本例中就是在虹橋和浦東機(jī)場(chǎng)的10槽YJCJ2VRF實(shí)例中部署相應(yīng)的defaultMDT地址239.255.0.5。用戶CE設(shè)備和PE連接CE的相應(yīng)接口啟用組播，本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關(guān)系。本例中是在虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)的相應(yīng)VPN業(yè)務(wù)端口配置PIM密集模式。當(dāng)用戶有組播報(bào)文需要傳輸?shù)臅r(shí)候，就將組播報(bào)文發(fā)送給PE的VRF實(shí)例，PE設(shè)備收到報(bào)文后識(shí)別組播數(shù)據(jù)所屬的VRF實(shí)例。用戶私網(wǎng)的數(shù)據(jù)報(bào)文對(duì)于公網(wǎng)是透明的，不論數(shù)據(jù)歸屬或類別，PE都統(tǒng)一將其封裝為公網(wǎng)組播數(shù)據(jù)報(bào)文，并以Share-Group作為其所屬的公網(wǎng)組播組。一個(gè)Share-Group唯一對(duì)應(yīng)一個(gè)MD，并利用公網(wǎng)資源唯一創(chuàng)建一棵Share-MDT進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在該VPN中所有私網(wǎng)組播報(bào)文，都通過此Share-MDT進(jìn)行轉(zhuǎn)發(fā)。如圖3所示，可以看到華東地區(qū)公網(wǎng)上的Share-MDT創(chuàng)建的過程。虹橋節(jié)點(diǎn)10槽RPM向9槽RPM(RP節(jié)點(diǎn))發(fā)起加入消息，以Share-Group地址作為組播組地址，在公網(wǎng)沿途的設(shè)備上分別創(chuàng)建（*，239.255.0.5）表項(xiàng)。同時(shí)虹橋浦東機(jī)場(chǎng)節(jié)點(diǎn)也發(fā)起類似的加入過程，最終在MD中形成一棵以虹橋節(jié)點(diǎn)9槽RPM為根，以虹橋、浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM為葉的共享樹（RPT）。隨后，虹橋和浦東機(jī)場(chǎng)節(jié)點(diǎn)10槽RPM的公網(wǎng)實(shí)例向公網(wǎng)RP發(fā)起注冊(cè)，并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址，在公網(wǎng)的沿途設(shè)備上分別創(chuàng)建（20.51.5.6，239.255.0.5）和（20.51.5.3，239.255.0.5）表項(xiàng)，形成連接PE和RP的最短路徑樹（SPT）。在PIM-SM網(wǎng)絡(luò)中，由（*，239.255.0.5）和這兩棵相互獨(dú)立的SPT共同組成了Share-MDT。虹橋節(jié)點(diǎn)PE的私網(wǎng)組播報(bào)文在進(jìn)入公網(wǎng)后，均沿該Share-MDT向浦東機(jī)場(chǎng)節(jié)點(diǎn)PE轉(zhuǎn)發(fā)。圖4是私網(wǎng)組播報(bào)文在公網(wǎng)中轉(zhuǎn)發(fā)的過程。當(dāng)浦東機(jī)場(chǎng)節(jié)點(diǎn)的YJCJ2VPN用戶CE設(shè)備加入到虹橋節(jié)點(diǎn)數(shù)據(jù)源所在的組播組，此時(shí)由于這兩個(gè)站點(diǎn)部署為PIM-DM模式，虹橋節(jié)點(diǎn)組播設(shè)備會(huì)立刻將數(shù)據(jù)推送到虹橋節(jié)點(diǎn)10槽RPM的YJCJ2VRF實(shí)例中，并通過該VPN構(gòu)建的Share-MDT在公網(wǎng)上以（20.51.5.6，239.255.0.5）構(gòu)建的SPT進(jìn)行公網(wǎng)組播報(bào)文傳輸。當(dāng)公網(wǎng)組播報(bào)文被浦東機(jī)場(chǎng)10槽PE設(shè)備收到后會(huì)將其解封裝成原始的私網(wǎng)組播報(bào)文，并轉(zhuǎn)發(fā)給相應(yīng)的接收CE，最終完成用戶私網(wǎng)組播數(shù)據(jù)在MPLSVPN網(wǎng)絡(luò)中的傳輸。

3總結(jié)

vpn技術(shù)論文范文2

山東聯(lián)通在2012年開始分組承載傳送網(wǎng)的建設(shè)，2013年基本完成核心匯聚層面和市區(qū)接入層面的全覆蓋，分組傳送網(wǎng)設(shè)備集采中標(biāo)廠家包括華為、中興和貝爾，三個(gè)廠家在各地市分別進(jìn)行了綜合承載傳送網(wǎng)的建設(shè)。其中組網(wǎng)結(jié)構(gòu)、業(yè)務(wù)承載方案，與RNC對(duì)接方案等關(guān)鍵點(diǎn)成為時(shí)下討論研究的重點(diǎn)。

2 綜合承載傳送網(wǎng)的組網(wǎng)結(jié)構(gòu)

綜合承載傳送網(wǎng)采用分層結(jié)構(gòu)組網(wǎng)，分為核心匯聚層和邊緣接入層。核心匯聚層組網(wǎng)結(jié)構(gòu)主要分為三種：環(huán)形組網(wǎng)、口字型組網(wǎng)和雙上聯(lián)組網(wǎng)。

山東聯(lián)通各地市組網(wǎng)主要采用環(huán)形和口字型組網(wǎng)方式。雙上聯(lián)組網(wǎng)和口字型組網(wǎng)結(jié)構(gòu)類似，但由于需要耗費(fèi)大量的光纖資源或者波分波道資源，因此在實(shí)際組網(wǎng)時(shí)主要還是采用折中的口字型組網(wǎng)方式。

邊緣專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net接入層主要根據(jù)光纖資源情況，分為雙掛環(huán)形組網(wǎng)和單掛環(huán)形組網(wǎng)方式，一般光纖資源能保證的區(qū)域優(yōu)先選用雙掛方式，因?yàn)殡p掛方式除了能實(shí)現(xiàn)傳統(tǒng)的路徑保護(hù)（1：1 LSP）外，還能實(shí)現(xiàn)雙歸保護(hù)，從而避免匯聚設(shè)備單點(diǎn)故障引起的大面積掉站。

3 業(yè)務(wù)承載方案

3.1 業(yè)務(wù)承載需求

山東聯(lián)通綜合承載傳送網(wǎng)主要有兩大類業(yè)務(wù)承載需求：

⑴基站回傳等自營(yíng)業(yè)務(wù)或者系統(tǒng)的承載需求：

具備IP化、以太化基站的接入能力，提供高可靠、大容量的基站回傳流量的承載；

滿足LTE網(wǎng)絡(luò)的承載需求，實(shí)現(xiàn)基站間靈活互訪、基站多歸屬、基站組播等承載能力；

能夠滿足動(dòng)力監(jiān)控、綜合業(yè)務(wù)接入網(wǎng)網(wǎng)管等各類系統(tǒng)的承載需求。

⑵政企業(yè)務(wù)或者大客戶的承載需求：

⑶提供高可靠、大容量的二、三層VPN接入能力，能夠滿足點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)、多點(diǎn)到多點(diǎn)等二、三層VPN的組網(wǎng)需求；

⑷具備電路仿真能力，提供ATM/FR/DDN等電路的接入能力。

3.2 承載方案分析

山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案可歸結(jié)為三點(diǎn)：

⑴對(duì)于2G和3G基站的TDM業(yè)務(wù)，可以采用偽線方式一PWE3實(shí)現(xiàn)。并在核心節(jié)點(diǎn)采用CSTM1端口進(jìn)行匯聚。El業(yè)務(wù)一般采用SAToP方式，封裝幀數(shù)和抖動(dòng)緩存暫按設(shè)備缺省值取定。

⑵對(duì)于TDM、以太網(wǎng)、ATM等大客戶專線，應(yīng)采用相應(yīng)的偽線方式實(shí)現(xiàn)。對(duì)于L3VPN的大客戶專線，可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實(shí)現(xiàn)。

⑶對(duì)于未來(lái)的LTE業(yè)務(wù)，分組傳送網(wǎng)絡(luò)需要承載s1和X2接口的流量。業(yè)務(wù)對(duì)IP轉(zhuǎn)發(fā)的層面要求將進(jìn)一步下移。可采用核心匯聚層L3VPN或?qū)哟位疞3VPN到邊緣的方式。

不同廠家對(duì)于3G IP業(yè)務(wù)承載方案的推薦會(huì)有所不同，就山東聯(lián)通而言，基站數(shù)據(jù)域業(yè)務(wù)承載方式主要存在兩種，（1）L3VPN部署到邊緣-華為主推；（2）L3VPN部署到匯聚-中興和貝爾主推。兩者各有優(yōu)勢(shì)，L3VPN部署到邊緣需要為基站互聯(lián)端口分配IP地址，根據(jù)目前3G基站的IP地址分配規(guī)則，會(huì)涉及大量基站的IP地址調(diào)整，但符合中遠(yuǎn)期網(wǎng)絡(luò)的演進(jìn)思路；L3VPN部署到匯聚，基站IP地址的調(diào)整量將大大減少，與現(xiàn)有MSTP提供3G移動(dòng)回傳FE的業(yè)務(wù)提供方式、維護(hù)方式相似度高，利于分組傳送技術(shù)引入后網(wǎng)絡(luò)運(yùn)行維護(hù)的逐步過渡。

山東聯(lián)通綜合承載傳送網(wǎng)的業(yè)務(wù)承載方案如圖3和圖4：

4 綜合承載傳送網(wǎng)與RNC的互聯(lián)方案

目前，山東聯(lián)通2G/3G基站的電路域業(yè)務(wù)在核心機(jī)房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net域業(yè)務(wù)與RNC對(duì)接現(xiàn)網(wǎng)有兩種方式，一種是RNC直接與分組承載傳送網(wǎng)業(yè)務(wù)匯聚設(shè)備互連，另一種是RNC通過CE與分組承載傳送網(wǎng)互連。

在RNC直接與分組承載傳送網(wǎng)互聯(lián)情況下，若RNC的GE或STM-1接口不足，可采用以下方式：

4.1 RNC接入端口擴(kuò)容

通過對(duì)RNC的GE和STM-1端口成對(duì)擴(kuò)容，滿足與分組承載傳送網(wǎng)業(yè)務(wù)互聯(lián)的需求，同時(shí)可以減少對(duì)已有3G業(yè)務(wù)的影響。通過逐步割接，可將現(xiàn)有以MSTP網(wǎng)絡(luò)承載的3G分組業(yè)務(wù)割接到分組承載傳送網(wǎng)上。

4.2 RNC接入端口不方便擴(kuò)容

應(yīng)將MSTP上的分組業(yè)務(wù)在匯聚層或核心層直接割接到分組承載傳送網(wǎng)上。通過分組承載傳送網(wǎng)設(shè)備與RNC相連。

就山東聯(lián)通目前的組網(wǎng)而言，由于還存在著大規(guī)模的2G/3G基站采用MSTP傳輸接入，在一定的時(shí)間段內(nèi)無(wú)法保證IP化，因此還存在著核心設(shè)備與RNC有大量的CSTM-1口對(duì)接，RNC的擴(kuò)容在未來(lái)2-3年內(nèi)也將繼續(xù)進(jìn)行，也會(huì)帶來(lái)一定規(guī)模的GE口擴(kuò)容，因此中大型地市的綜合承載網(wǎng)與RNC互聯(lián)通過分組業(yè)務(wù)匯聚設(shè)備顯得更為合理。

5 傳輸背景人員快速融入IP RAN維護(hù)

引入分組傳送技術(shù)后，整個(gè)綜合承載傳送網(wǎng)解決方案都是以數(shù)通技術(shù)作為基礎(chǔ)，如何使傳輸背景人員快速融入IPRAN的建設(shè)維護(hù)顯得尤為重要，結(jié)合實(shí)際工作，建議從以下幾個(gè)方面入手：

5.1 比較傳統(tǒng)傳輸理念和IP化理念的異同

傳統(tǒng)的MSTP網(wǎng)絡(luò)屬于硬管道交換，所有業(yè)務(wù)都是建立端到端的連接通道占用固定帶寬，

但是綜合承載傳送不一樣，它既繼承了傳輸端到端OAM的特性，又有數(shù)據(jù)網(wǎng)絡(luò)逐跳建立連接的特性，整個(gè)網(wǎng)絡(luò)是一張彈性的網(wǎng)。我們可以借助傳統(tǒng)IP城域網(wǎng)的理念去類比IPRAN技術(shù)的相關(guān)概念，深入理解數(shù)通相關(guān)知識(shí)。

5.2 深刻認(rèn)識(shí)全程全網(wǎng)和端到端業(yè)務(wù)理念

與傳統(tǒng)的MSTP一樣，綜合承載傳送網(wǎng)也需要建立端到端業(yè)務(wù)的概念，我們不僅僅需要理解分組網(wǎng)絡(luò)是如何進(jìn)行信息傳遞的，而且還需要把無(wú)線接入和核心網(wǎng)納入到我們關(guān)注的范圍，從NODEB和UTN如何連接，RNC與UTN如何對(duì)接，整個(gè)數(shù)據(jù)流進(jìn)入U(xiǎn)TN以后如何進(jìn)行封裝傳送等等，理解整個(gè)UTN、在配置數(shù)據(jù)排除故專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net障時(shí)才能得心應(yīng)手。

5.3 認(rèn)真學(xué)習(xí)實(shí)施方案

建議在工程建設(shè)期間認(rèn)真學(xué)習(xí)具體的實(shí)施方案，一般而言，廠家會(huì)根據(jù)設(shè)計(jì)文件完成具體的實(shí)施方案，從組網(wǎng)方案、拓?fù)湓O(shè)計(jì)及設(shè)備選型、IP地址規(guī)劃、路由部署設(shè)計(jì)、MPLS隧道設(shè)計(jì)、業(yè)務(wù)部署設(shè)計(jì)、可靠性設(shè)計(jì)、時(shí)鐘/網(wǎng)管同步設(shè)計(jì)、QOS部署設(shè)計(jì)等等。這個(gè)過程可以幫助你學(xué)習(xí)完成一張網(wǎng)搭建所需的所有知識(shí)。

5.4 熟練掌握網(wǎng)管

網(wǎng)管需要掌握相關(guān)的數(shù)通知識(shí)，如I-SIS/BGP/MPLS/VPN/RSVP TE等等，需要對(duì)解決方案中用到的知識(shí)點(diǎn)有個(gè)較深入的理解，另外一方 面我們又要熟練掌握網(wǎng)管的相關(guān)操作，在IPRAN的維護(hù)習(xí)慣上，我們更偏向于網(wǎng)管操作，不會(huì)像傳統(tǒng)數(shù)通設(shè)備維護(hù)那樣通過命令行進(jìn)行操作，但是網(wǎng)管操作的基礎(chǔ)又是數(shù)通知識(shí)，因?yàn)榫W(wǎng)管只是提供一個(gè)界面，提升效率，真正要配置的還是數(shù)通協(xié)議。理論和網(wǎng)管是IPRAN的兩個(gè)關(guān)鍵點(diǎn)，兩者相輔相成缺一不可，所以我們要同時(shí)加強(qiáng)這兩方面的技能。

5.5 工程隨工學(xué)習(xí)

更多的現(xiàn)場(chǎng)隨工學(xué)習(xí)可以幫助你快速提升，深入現(xiàn)場(chǎng)多操作設(shè)備，通過實(shí)際對(duì)比分IPRAN技術(shù)與MSTP傳統(tǒng)傳輸?shù)膮^(qū)別。工程建設(shè)期的隨工是一個(gè)很好的機(jī)會(huì)，因?yàn)楣こ探ㄔO(shè)期不用擔(dān)心業(yè)務(wù)是否受影響，操練起來(lái)能更充分。

6 結(jié)束語(yǔ)

綜合承載傳送網(wǎng)已經(jīng)是一張成熟的網(wǎng)絡(luò)，但隨著技術(shù)的進(jìn)一步發(fā)展，還有很多方面可以繼續(xù)深入探討并且完善，例如北方省分的二級(jí)匯聚（縣鄉(xiāng)層面）如何拓展，綜合業(yè)務(wù)區(qū)規(guī)劃帶來(lái)的網(wǎng)絡(luò)調(diào)整等等，隨著LTE的引入，綜合承載傳送網(wǎng)將發(fā)揮更大的作用，成為目標(biāo)網(wǎng)絡(luò)架構(gòu)的一張精品網(wǎng)。

vpn技術(shù)論文范文3

關(guān)鍵詞：SSL VPN； IPsec VPN； 數(shù)字化校園； 遠(yuǎn)程訪問

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2013）02-0032-03

0引言

隨著信息化進(jìn)程的加快，各個(gè)高校對(duì)校園信息化投入不斷增加，致力于建成數(shù)據(jù)交換與共享的數(shù)字化校園平臺(tái)。雖然目前很多學(xué)校已經(jīng)擁有了應(yīng)用管理系統(tǒng)、數(shù)據(jù)資源庫(kù)系統(tǒng)、公共通訊平臺(tái)，但這些網(wǎng)絡(luò)資源和辦公平臺(tái)常常受到網(wǎng)絡(luò)的限制，只能在校園內(nèi)部使用。本校2012年師生問卷調(diào)查顯示：居住在外的教師、經(jīng)常出差的行政辦公人員以及在外實(shí)習(xí)的大四畢業(yè)生對(duì)于校外不能訪問校內(nèi)數(shù)字化資源，均已感到極為不便。具體來(lái)說，教師在外網(wǎng)不能登錄學(xué)習(xí)平臺(tái)批改作業(yè)；行政人員出差時(shí)，不能獲取部門統(tǒng)計(jì)數(shù)據(jù)；大四未在校的學(xué)生不能通過畢業(yè)設(shè)計(jì)系統(tǒng)提交論文。這些狀況即已表明目前校園的基礎(chǔ)網(wǎng)絡(luò)及其實(shí)現(xiàn)方案存在一定的不足，亟需新技術(shù)的應(yīng)用以解決校園外部訪問校內(nèi)數(shù)字化資源的問題。經(jīng)過廣泛，深入的調(diào)研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術(shù)方案。

1VPN 的原理及SSL VPN方案的優(yōu)勢(shì)

11VPN原理

VPN，即虛擬專用網(wǎng)絡(luò)，其含義指通過使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，利用“隧道”技術(shù)、認(rèn)證技術(shù)、加密技術(shù)以及控制訪問等相應(yīng)技術(shù)向單位內(nèi)部專用網(wǎng)絡(luò)提供遠(yuǎn)程訪問的連接方式[1]。VPN利用公用網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的專有連接，適用于移動(dòng)用戶、分支機(jī)構(gòu)以及遠(yuǎn)程用戶安全、穩(wěn)定地接入到內(nèi)部網(wǎng)絡(luò)。同時(shí)，VPN還向用戶提供了專用網(wǎng)絡(luò)所獨(dú)具的功能，但其本身卻不是一種真正意義上的獨(dú)立物理網(wǎng)絡(luò)，沒有固定物理線路連接。近年來(lái)，VPN技術(shù)已經(jīng)大量應(yīng)用于高校的移動(dòng)辦公，并且在數(shù)字化資源的多校區(qū)數(shù)據(jù)訪問方面也有著廣泛應(yīng)用。VPN遠(yuǎn)程訪問的思路是，用戶在網(wǎng)絡(luò)覆蓋的任意地點(diǎn)，首先，通過ADSL或者LAN方式接入互聯(lián)網(wǎng)；其后，通過撥號(hào)校園網(wǎng)的VPN網(wǎng)關(guān)，構(gòu)建一條從用戶所在網(wǎng)絡(luò)地址到校園網(wǎng)的二層隧道；而后是VPN服務(wù)器給用戶分配相應(yīng)的校園網(wǎng)地址，從而實(shí)現(xiàn)校園網(wǎng)數(shù)字化資源的遠(yuǎn)程訪問[2]。

12兩種VPN方案的對(duì)比

按照協(xié)議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術(shù)是由IP安全體系架構(gòu)協(xié)議來(lái)提供隧道的安全保障，IPsec協(xié)議是一組協(xié)議套件，包括安全協(xié)議、加密算法、認(rèn)證算法、密鑰管理協(xié)議等[3]。IPsec VPN構(gòu)建于網(wǎng)絡(luò)層，通過對(duì)數(shù)據(jù)的加密和認(rèn)證來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⒈Ｃ苄院退接行裕钸m合Site to Site之間的虛擬專用網(wǎng)。相比之下，SSL VPN采用的是SSL安全套接層協(xié)議，構(gòu)建于網(wǎng)絡(luò)的應(yīng)用層。SSL VPN方案無(wú)需安裝客戶端軟件，經(jīng)過認(rèn)證的用戶是通過Web瀏覽器而接入網(wǎng)絡(luò)，適用于Point to Site的連接方式。總體來(lái)看，相比于IPsec VPN方案，SSL VPN方案有三點(diǎn)優(yōu)勢(shì)，具體如下。

（1）兼容性較好。SSL VPN適用于現(xiàn)存的各款操作系統(tǒng)和使用終端，對(duì)用戶也無(wú)任何特殊的操作要求。用戶不需要下載客戶端，由此免去了對(duì)客戶端軟件的更新升級(jí)、配置維護(hù)，否則，在進(jìn)行VPN策略調(diào)整的時(shí)候，其管理難度將呈幾何級(jí)數(shù)的增長(zhǎng)。SSL VPN方案只需在普通的瀏覽器中內(nèi)嵌入SSL協(xié)議，就可以使客戶端簡(jiǎn)便、安全地訪問內(nèi)網(wǎng)信息，維護(hù)成本較低。

（2）提供更為精細(xì)的訪問控制。由于校園網(wǎng)內(nèi)、外部流量均經(jīng)過VPN硬件設(shè)備，由此在服務(wù)器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能，可提供用戶級(jí)別鑒定，確證只有一定權(quán)限之上的用戶才能訪問校園網(wǎng)內(nèi)的特定網(wǎng)絡(luò)資源。比如大四在外的實(shí)習(xí)學(xué)生只具有期刊檢索的訪問功能，而在外的辦公行政人員還可以訪問某個(gè)特定部門的相關(guān)數(shù)據(jù)。

（3）具備更強(qiáng)的安全性。IPsec是基于網(wǎng)絡(luò)層的VPN方案，對(duì)IP應(yīng)用均是高度透明的。而SSL VPN是基于應(yīng)用層的，在Web的應(yīng)用防護(hù)方面更具一定優(yōu)勢(shì)。某些高端的SSL VPN產(chǎn)品同樣支持文件共享、網(wǎng)絡(luò)鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應(yīng)用。2SSL-VPN的關(guān)鍵技術(shù)及性能分析

21訪問控制技術(shù)

訪問控制技術(shù)是由VPN服務(wù)的提供者根據(jù)用戶的身份標(biāo)志對(duì)訪問某些信息項(xiàng)進(jìn)行相應(yīng)操控的作用機(jī)制。目前，通用的VPN方案中，常常是由系統(tǒng)管理員來(lái)控制相關(guān)用戶的訪問權(quán)限。作為安全的VPN設(shè)備，SSL VPN可通過“組”策略對(duì)應(yīng)用進(jìn)行訪問控制[4]。有些SSL VPN產(chǎn)品可以將Web應(yīng)用定義為一系列的URL，而組和用戶則可允許和禁止訪問相應(yīng)的應(yīng)用。其它一些SSL VPN產(chǎn)品可以提供更為精細(xì)的高級(jí)控制，控制策略不僅含有“允許”和“禁止”，還包括用戶能訪問的資源列表以及對(duì)這些資源的操作權(quán)限控制。由于SSL VPN工作在網(wǎng)絡(luò)的應(yīng)用層，管理員可以基于應(yīng)用需求、用戶特征以及TCP/IP端口進(jìn)行嚴(yán)密的訪問控制策略設(shè)置。SSL VPN還能通過瀏覽器中的參數(shù)支持動(dòng)態(tài)訪問部署策略，管理員可以依據(jù)用戶身份、設(shè)備類型、網(wǎng)絡(luò)信任級(jí)別、會(huì)話參數(shù)等各型因子，定義不同的會(huì)話角色，并給與不同的訪問權(quán)限。另外，基于用戶的訪問控制需要維護(hù)大量的用戶信息，當(dāng)前最流行的控制策略則是基于角色的訪問控制，在握手協(xié)議的過程中統(tǒng)一集成訪問控制的基礎(chǔ)功能，再將資源的控制權(quán)交托于可信的授權(quán)管理模型。

22性能分析

VPN的性能指標(biāo)值對(duì)校園網(wǎng)中關(guān)鍵業(yè)務(wù)的應(yīng)用實(shí)現(xiàn)具有直接影響，在設(shè)計(jì)數(shù)字化校園的VPN詳盡方案之前，有必要了解其性能指標(biāo)。SSL VPN中，常見的性能指標(biāo)有連接速率、網(wǎng)絡(luò)延遲、加密吞吐量、并發(fā)用戶數(shù)，等。其中，連接速率表示了SSL VPN系統(tǒng)每秒鐘可建立或終止的最大會(huì)話連接數(shù)目，用以度量被測(cè)VPN設(shè)備在單位時(shí)間內(nèi)交易事務(wù)的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來(lái)改善其性能。另外，SSL VPN使用的是非對(duì)稱加密算法，這就導(dǎo)致VPN服務(wù)器的CPU將在高負(fù)荷狀況下處理SSL的加解密。而對(duì)于這種計(jì)算密集型的加解密操作，為了保障服務(wù)器能夠正常工作，既可以限制SSL會(huì)話的數(shù)量，也可以添加服務(wù)器的數(shù)目。只是這兩種方式各有利弊，若限制會(huì)話數(shù)目，就會(huì)出現(xiàn)高峰期間的部分用戶無(wú)法連接服務(wù)器，而添加服務(wù)器數(shù)目又會(huì)大幅增加VPN系統(tǒng)的財(cái)務(wù)用度。因而，通常情況下，使用SSL加速器來(lái)提升加解密速度，進(jìn)入SSL的數(shù)據(jù)流由加速器解密并傳給服務(wù)器，而外流的數(shù)據(jù)又經(jīng)過加速器加密再回傳給客戶。服務(wù)器方面，只需要處理簡(jiǎn)單的SSL請(qǐng)求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數(shù)字化校園解決方案

31需求分析與設(shè)計(jì)目標(biāo)

校園數(shù)字化資源中集結(jié)了多種重要的數(shù)據(jù)庫(kù)以及多款辦公軟件。大四年級(jí)的學(xué)生會(huì)經(jīng)常需要登錄畢業(yè)設(shè)計(jì)系統(tǒng)上傳學(xué)科論文；校外居住的教師也需要登錄圖書館期刊檢索系統(tǒng)，下載專業(yè)文獻(xiàn)；另外，因公在外的招生、財(cái)務(wù)人員又需要及時(shí)獲取部門的數(shù)字化信息，并借助辦公自動(dòng)化的高端平臺(tái)與其它部門順暢溝通。上述校園網(wǎng)的這些外部訪問通常都是不確定的動(dòng)態(tài)IP地址，在數(shù)據(jù)庫(kù)服務(wù)器的安全策略中多會(huì)將之認(rèn)定為是非法用戶而遭到拒絕。因此，在外部訪問校園網(wǎng)之?dāng)?shù)字化校園時(shí)，就需要研發(fā)一個(gè)遠(yuǎn)程訪問方案，該方案可將合法的非授權(quán)校外地址轉(zhuǎn)化為授權(quán)的校園網(wǎng)內(nèi)地址。此方案需要考慮的用戶有三種，分別是：在外居住的教師、大四實(shí)習(xí)生以及在外辦公的行政人員。

32系統(tǒng)體系結(jié)構(gòu)

經(jīng)過實(shí)地調(diào)研和深入分析，采用了SSL VPN架構(gòu)，具體框架如圖1所示。

由圖1可知，這是一個(gè)基于Web模式的SSL VPN系統(tǒng)，在用戶和應(yīng)用服務(wù)器之間構(gòu)建了一個(gè)安全的信息傳遞通道。其中，SSL VPN服務(wù)器相當(dāng)于一個(gè)網(wǎng)關(guān)，且具備雙重身份。對(duì)用戶而言，這是服務(wù)器，負(fù)責(zé)提供基于證書的身份鑒別；對(duì)應(yīng)用服務(wù)器而言，則屬于客戶端的身份，并向服務(wù)器遞交訪問申請(qǐng)。由此，通過在防火墻后安裝VPN設(shè)備，校外用戶只需要打開IE瀏覽器，就可以訪問到校園數(shù)字化資源的URL。其后，SSL VPN 設(shè)備將取得連接并驗(yàn)證用戶的身份，此時(shí)SSL服務(wù)器就會(huì)將連接映射到不同應(yīng)用的服務(wù)器上。而且方案中又采用了技術(shù)，所有成功接入SSL VPN系統(tǒng)的校外用戶都可以全面訪問LAN口所能獲得的數(shù)字化資源。本系統(tǒng)還具備較高的傳輸性能，優(yōu)先考慮SSL VPN服務(wù)器的性能，將需要消耗大量資源的加解密工作交給加速器。實(shí)現(xiàn)過程中，采用的設(shè)備是由Cisco ASA建立Web VPN服務(wù)器，而將Radius Server作為驗(yàn)證用戶身份的服務(wù)器。

33改進(jìn)型安全策略——基于角色的控制

本校SSL VPN系統(tǒng)采用的是基于角色的訪問控制策略，既包括用戶安全認(rèn)證的接口也包括用戶訪問的資源列表。實(shí)際上，校園網(wǎng)系統(tǒng)的用戶認(rèn)證和訪問控制均在控制協(xié)議部分獲得實(shí)現(xiàn)，可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性，系統(tǒng)在進(jìn)行安全認(rèn)證時(shí)，就可以同步實(shí)現(xiàn)角色驗(yàn)證。VPN系統(tǒng)在明確用戶角色屬性的基礎(chǔ)上確定其訪問權(quán)限，而后給出該用戶可以訪問的資源列表信息。另外，用戶在登錄VPN系統(tǒng)時(shí)，還需要在登錄界面輸入身份信息。

4結(jié)束語(yǔ)

隨著校外用戶對(duì)數(shù)字化校園資源訪問需求的日益迫切增長(zhǎng)，使得VPN技術(shù)也隨之廣受關(guān)注[6]。為了給予校外訪問、使用校園數(shù)字化資源提供更大便利，因而在綜合考慮本校實(shí)際用戶數(shù)量和主要用戶角色的基礎(chǔ)上，由網(wǎng)絡(luò)中心主持設(shè)計(jì)并全面實(shí)現(xiàn)了SSL VPN系統(tǒng)。目前，本校SSL VPN系統(tǒng)運(yùn)轉(zhuǎn)良好，能夠滿足現(xiàn)有的使用需求，并且也具備了一定的擴(kuò)展能力。當(dāng)然，該實(shí)施方案并不是唯一可選，當(dāng)校園網(wǎng)的VPN用戶數(shù)量并不多、要求也不高時(shí)，就可以考慮軟件型VPN方案。不然，還可通過購(gòu)買專業(yè)的VPN設(shè)備打造高水準(zhǔn)、高級(jí)別的SSL VPN系統(tǒng)。

參考文獻(xiàn)：

[1]王達(dá). 虛擬專用網(wǎng)（VPN）精解[M]. 北京：清華大學(xué)出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術(shù)實(shí)現(xiàn)高校圖書館資源共享[J]. 情報(bào)科學(xué)，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2004，25（4）：186-188.

[4]沈海波，洪帆. 訪問控制模型研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2005，32（5）：9-11.

vpn技術(shù)論文范文4

【關(guān)鍵詞】虛擬專用網(wǎng) 數(shù)字證書 身份認(rèn)證 校園網(wǎng)

虛擬專用網(wǎng)（VPN）是信息安全基礎(chǔ)設(shè)施的一個(gè)重要組成部分，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。目前，一些企業(yè)在架構(gòu)VPN時(shí)都會(huì)利用防火墻和訪問控制技術(shù)來(lái)提高VPN的安全性，但存在不少的安全隱患。因此針對(duì)現(xiàn)有VPN系統(tǒng)無(wú)法滿足校園網(wǎng)安全使用的問題，深入分析、研究了VPN系統(tǒng)中的關(guān)鍵技術(shù)和主要功能，構(gòu)建了一種基于PKI的校園網(wǎng)VPN系統(tǒng)的體系架構(gòu)。

1 系統(tǒng)框架設(shè)計(jì)及系統(tǒng)功能模塊描述

1.1 系統(tǒng)框架設(shè)計(jì)

VPN系統(tǒng)需要解決的首要問題是網(wǎng)絡(luò)上的用戶與設(shè)備都需要確定性的身份認(rèn)證。錯(cuò)誤的身份認(rèn)證。不管其他安全設(shè)施有多嚴(yán)密。將導(dǎo)致整個(gè)VPN的失效， IPSec本身的因?yàn)樗纳矸菡J(rèn)證規(guī)模較小、比較固定的VPN上是可行的，把PKI技術(shù)引進(jìn)VPN中是為了網(wǎng)絡(luò)的可擴(kuò)展性和保證最大限度的安全，CA為每個(gè)新用戶或設(shè)備核發(fā)一張身份數(shù)字證書，利用CA強(qiáng)大的管理功能，證書的發(fā)放、維護(hù)和撤銷等管理極其容易，借助CA，VPN的安全擴(kuò)展得到了很大的加強(qiáng)。傳統(tǒng)的VPN系統(tǒng)中，設(shè)備的身份是由其IP地址來(lái)標(biāo)識(shí)的。IP地址也可能隨著服務(wù)商或地點(diǎn)的改變而改變，借助CA提供的交叉認(rèn)證，無(wú)論用戶走到哪兒，該用戶的數(shù)字證書卻不會(huì)改變可以隨時(shí)跟蹤該數(shù)字證書的有效性。本人提出將PKI證書身份認(rèn)證技術(shù)應(yīng)用在校園網(wǎng)IPSec-VPN網(wǎng)關(guān)中，以此來(lái)解決VPN的身份認(rèn)證。

1.2 系統(tǒng)功能模塊描述

從軟件結(jié)構(gòu)上分VPN網(wǎng)關(guān)系統(tǒng)分為應(yīng)用層模塊和內(nèi)核層模塊，SAD手工注入接口模塊和密鑰管理程序模塊為運(yùn)行在應(yīng)用層的軟件模塊。IPSEC處理模塊、CA模塊和防火墻模塊為運(yùn)行在內(nèi)核層的軟件模塊。

2 VPN系統(tǒng)分析

2.1 系統(tǒng)的需求分析

師生們?cè)絹?lái)越多地走出校園。他們也可能需要用到校園內(nèi)部專用網(wǎng)絡(luò)資源。這是因?yàn)殡S著我校的發(fā)展、項(xiàng)目的合作以及文化的交流越來(lái)越頻繁，通過校園網(wǎng)VPN網(wǎng)統(tǒng)在公共網(wǎng)絡(luò)中建立的可保密、控制授權(quán)、鑒別的臨時(shí)安全虛擬連接，它是一條穿越相當(dāng)混亂的公用網(wǎng)絡(luò)的安全隧道，是高校內(nèi)部網(wǎng)的擴(kuò)展，采用通道加密技術(shù)的VPN系統(tǒng)，通過基礎(chǔ)公網(wǎng)為使用高校提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)。這樣師生們很方便的訪問我校內(nèi)網(wǎng)的網(wǎng)絡(luò)資源，而且相對(duì)專用網(wǎng)、校園網(wǎng)VPN系統(tǒng)大大降低成本；相對(duì)Internet通信，VPN系統(tǒng)又具有相當(dāng)高的安全性。密鑰基礎(chǔ)設(shè)施PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)以及所必須的密鑰和證書管理體系，這正好能彌補(bǔ)VPN的IPSec在身份認(rèn)證方面的缺點(diǎn)。

2.2 流程分析設(shè)計(jì)

（1）將PKI的認(rèn)證、機(jī)密性和完整性協(xié)議定義為PKI專用數(shù)據(jù)，并把它們置于DOI字段中，同時(shí)加載證書字段，生成帶PKI性能的IKE載荷。

（2）IKE進(jìn)行野蠻模式或者主模式交換，互換證書，建立IKE SA。

（3）雙方用公鑰檢查CA和證書中的身份信息在證書上的數(shù)字簽名。

（4）用公開密鑰加密算法驗(yàn)證機(jī)密性。

（5）用數(shù)字簽名算法驗(yàn)證完整性。

（6）協(xié)商一致后，生成具體的SA。

IPSec與PKI結(jié)合后，在密鑰交換過程中，通過交換證書的方式交換了公鑰和身份信息，驗(yàn)證數(shù)字簽名、機(jī)密性和完整性，從而充分的保證了信息來(lái)源的可信度、完整性等，同時(shí)，IPSec配置文件中實(shí)現(xiàn)與多數(shù)用戶的通信，只需少數(shù)的CA證書即可。

3 VPN系統(tǒng)的實(shí)現(xiàn)

3.1 IPSec內(nèi)核處理模塊實(shí)現(xiàn)

（1）為每種網(wǎng)絡(luò)協(xié)議（IPv4，IPv6等）定義一套鉤子函數(shù)（IPv4定義了5個(gè)鉤子函數(shù)）。在數(shù)據(jù)涉及流過協(xié)議棧的幾個(gè)關(guān)鍵點(diǎn)這些鉤子函數(shù)被調(diào)用。在這幾個(gè)點(diǎn)中，協(xié)議棧將把數(shù)據(jù)報(bào)及鉤子函數(shù)標(biāo)號(hào)作為參數(shù)調(diào)用Netfilter框架。

（2）內(nèi)核的任何模塊注冊(cè)每種協(xié)議的一個(gè)或多個(gè)鉤子，實(shí)現(xiàn)掛接，這樣當(dāng)傳遞給Netfilter框架某個(gè)數(shù)據(jù)包時(shí)，內(nèi)核能檢測(cè)是否有任何模塊對(duì)該協(xié)議和鉤子函數(shù)進(jìn)行了注冊(cè)。如果注冊(cè)了，則調(diào)用該模塊的注冊(cè)時(shí)使用的回調(diào)函數(shù)，這樣這些模塊就有機(jī)會(huì)檢查（可能還會(huì)修改）該數(shù)據(jù)包、丟棄該數(shù)據(jù)包及指示Netfzlter將該數(shù)據(jù)包傳入用戶空間的隊(duì)列。

（3）那些排隊(duì)的數(shù)據(jù)包是被傳遞給用戶空間的異步地進(jìn)行處理。一個(gè)用戶進(jìn)程能檢查數(shù)據(jù)包，修改數(shù)據(jù)包，甚至可以重新將該數(shù)據(jù)包通過離開內(nèi)核的同一個(gè)鉤子函數(shù)中注入到內(nèi)核中。

3.2 CA系統(tǒng)功能模塊實(shí)現(xiàn)

根據(jù)我校校區(qū)的分布，在這里PKI系統(tǒng)采用單CA多RA的系統(tǒng)結(jié)構(gòu)，這種結(jié)構(gòu)是單CA的改進(jìn)，其中RA承擔(dān)了CA的部分任務(wù)，減輕了CA的負(fù)擔(dān)，隨著校園規(guī)模和校園網(wǎng)的進(jìn)一步擴(kuò)大，如果經(jīng)費(fèi)允許，我們將建立層次CA，學(xué)校一個(gè)根CA，考慮到系統(tǒng)的安全性，CA服務(wù)器、RA服務(wù)器、Ldap服務(wù)器放置在北校區(qū)的防火墻后面，由于我校已購(gòu)置日立的磁盤陣列，實(shí)際的數(shù)據(jù)庫(kù)系統(tǒng)采用磁盤陣列實(shí)現(xiàn)。

CA服務(wù)器負(fù)責(zé)制作證書，簽發(fā)證書作廢表，審核證書申請(qǐng)，管理和維護(hù)中心CA系統(tǒng)，提供加密服務(wù)，保護(hù)存儲(chǔ)密鑰和密鑰管理等等功能，整個(gè)系統(tǒng)基于windows系統(tǒng)，采用Java平臺(tái)，并利用OpenSSL函數(shù)庫(kù)和命令行工具而本論文并不討論與之相關(guān)的加密、解密和密鑰存儲(chǔ)，證書策略等。

4 結(jié)語(yǔ)

本文從互聯(lián)網(wǎng)的發(fā)展說明VPN技術(shù)產(chǎn)生的背景和意義，再對(duì)VPN的相關(guān)技術(shù)、協(xié)議進(jìn)行研究與分析。在此基礎(chǔ)上，結(jié)合校園網(wǎng)絡(luò)的實(shí)際情況，提出了一個(gè)基于PKI校園網(wǎng)VPN系統(tǒng)的實(shí)現(xiàn)方案以利用VPN安全技術(shù)突破校園專用網(wǎng)的區(qū)域性限制來(lái)解決校園網(wǎng)存在的一些問題。同時(shí)根據(jù)提出的方案給出了一個(gè)校園網(wǎng)VPN實(shí)現(xiàn)的實(shí)例，并對(duì)該實(shí)現(xiàn)過程進(jìn)行了檢驗(yàn)和分析，在一定程度上驗(yàn)證了所提方案的有效性。

參考文獻(xiàn)

[1]錢愛增.PKI與VPN技術(shù)在校園網(wǎng)內(nèi)部資源安全問題中的應(yīng)用研究[J].中國(guó)教育信息，2008（9）：77-80.

[2]馮登國(guó)，李丹.當(dāng)前我國(guó)PKI/PMI標(biāo)準(zhǔn)的制訂與應(yīng)用[J].信息網(wǎng)絡(luò)安全，2005：16-17.

vpn技術(shù)論文范文5

論文摘要：本文通過對(duì)網(wǎng)絡(luò)存儲(chǔ)技術(shù)、虛擬專網(wǎng)vpn技術(shù)的設(shè)計(jì)原則和關(guān)健技術(shù)的詳細(xì)介紹，全面分析了這兩項(xiàng)技術(shù)的性能特點(diǎn)，以及在“共享工程”天津分中心和18家區(qū)縣支中心的具體實(shí)現(xiàn)方案與發(fā)展設(shè)計(jì)構(gòu)想，闡述了這兩項(xiàng)技術(shù)的發(fā)展前景，及其在全國(guó)文化信息資源共享工程得到廣泛應(yīng)用的必然性。

全國(guó)文化信息資源共享工程(以下簡(jiǎn)稱文化共享工程)是由文化部、財(cái)政部共同組織實(shí)施的一項(xiàng)社會(huì)主義文化建設(shè)標(biāo)志性工程，是新形勢(shì)下構(gòu)建我國(guó)公共文化服務(wù)體系、惠及千家萬(wàn)戶的一項(xiàng)重要文化基礎(chǔ)工程。“共享工程”將充分利用現(xiàn)代高新技術(shù)手段，將中華民族幾千年來(lái)積淀的各種類型的文化信息資源精華以及貼近大眾生活的現(xiàn)代社會(huì)文化信息資源，進(jìn)行數(shù)字化加工處理與整合;建成互聯(lián)網(wǎng)上的中華文化信息中心和網(wǎng)絡(luò)中心，并通過覆蓋全國(guó)所有省、自治區(qū)、直轄市和大部分地(市)、縣(區(qū))以及部分鄉(xiāng)鎮(zhèn)、街道(社區(qū))的文化信息資源網(wǎng)絡(luò)傳輸系統(tǒng)，實(shí)現(xiàn)優(yōu)秀文化信息在全國(guó)范圍內(nèi)的共建共享。該工程于2004年4月正式啟動(dòng)實(shí)施。

在中央和地方各級(jí)財(cái)政的大力支持下經(jīng)過不斷努力，文化共享工程技術(shù)體系已經(jīng)初步形成:在資源數(shù)字化方面，以數(shù)字圖書館技術(shù)為依托，建成了國(guó)家中心和各省級(jí)分中心的資源加工管理系統(tǒng);在傳輸建設(shè)方面，形成了以互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)、有線電視及數(shù)字電視網(wǎng)為主要傳輸渠道，光盤、移動(dòng)存儲(chǔ)設(shè)備為輔助傳輸手段的網(wǎng)絡(luò)傳輸體系，實(shí)現(xiàn)了文化信息資源的有效傳遞;在終端服務(wù)上，提供了國(guó)家中心網(wǎng)站、省分中心網(wǎng)站、省分中心鏡像站、衛(wèi)星終端服務(wù)系統(tǒng)、文化共享工程基層服務(wù)系統(tǒng)、有線電視、數(shù)字電視、光盤、移動(dòng)硬盤等手段，方便廣大群眾以多種方式從不同渠道獲取和使用文化信息資源。wWw.lw881.com

本文從動(dòng)態(tài)發(fā)展的角度，以現(xiàn)有的技術(shù)體系為基礎(chǔ)，簡(jiǎn)要對(duì)網(wǎng)絡(luò)存儲(chǔ)技術(shù)與虛擬專網(wǎng)vpn技術(shù)在“文化共享工程”中應(yīng)用加以論述。

1網(wǎng)絡(luò)存儲(chǔ)技術(shù)

文化共享工程以加工整合各類優(yōu)秀文獻(xiàn)信息資源為重點(diǎn)，建成了具有一定規(guī)模的文獻(xiàn)信息資源庫(kù)群。截至2007年6月，數(shù)字資源的總量己達(dá)到60tb。資源的存儲(chǔ)成為了各級(jí)分中心核心建設(shè)的重中之重。

1.1存儲(chǔ)系統(tǒng)設(shè)計(jì)原則

存儲(chǔ)系統(tǒng)的設(shè)計(jì)要遵循以下原則:

先進(jìn)性和實(shí)用性:在方案總體設(shè)計(jì)規(guī)劃時(shí)不僅要滿足當(dāng)時(shí)業(yè)務(wù)需求，而且充分考慮未來(lái)的需求可能。保證硬件環(huán)境的先進(jìn)性，盡可能采用業(yè)界領(lǐng)先的技術(shù)。軟件環(huán)境的先進(jìn)性，要從軟件平臺(tái)，設(shè)計(jì)思想、系統(tǒng)結(jié)構(gòu)等方面考慮，選擇先進(jìn)、可靠的應(yīng)用平臺(tái)。

安全可靠性:存儲(chǔ)系統(tǒng)要保證365x24小時(shí)的不間斷穩(wěn)定運(yùn)行，具有災(zāi)難恢復(fù)能力。

靈活性與可擴(kuò)展性:網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng)，所以它具有良好的擴(kuò)展性，方便的擴(kuò)大容量和提高層次的功能，支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級(jí)、設(shè)備更新的靈活性。

開放性/互聯(lián)性:具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互聯(lián)互通的特性，確保網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)基礎(chǔ)設(shè)施的作用可以充分發(fā)揮。

經(jīng)濟(jì)性/投資保護(hù):以較高的性能價(jià)格構(gòu)建網(wǎng)絡(luò)系統(tǒng)，充分利用以往在資金與技術(shù)方面的投人。

可管理性:采用智能化，可管理的設(shè)備，先進(jìn)的管理軟件，實(shí)現(xiàn)先進(jìn)的分布式管理。實(shí)現(xiàn)監(jiān)控、監(jiān)測(cè)整個(gè)系統(tǒng)的運(yùn)行狀況，合理分配資源、動(dòng)態(tài)配置負(fù)載等等。

綜上所述，存儲(chǔ)設(shè)備的選擇可按需定制，根據(jù)不同預(yù)算情況，不僅滿足當(dāng)前需求，還要兼顧將來(lái)的升級(jí)維護(hù)。

1.2存儲(chǔ)系統(tǒng)解決方案

1.2.1省級(jí)分中心的存儲(chǔ)解決方案

天津圖書館作為“共享工程”的省級(jí)分中心，以其存儲(chǔ)系統(tǒng)為例:存儲(chǔ)設(shè)備采用的是emcclari-ioncx500存儲(chǔ)系統(tǒng)。cx500提供了一種沒有任何單點(diǎn)故障的可擴(kuò)展、高可用性體系結(jié)構(gòu)，采用了通用的硬件體系結(jié)構(gòu)和軟件應(yīng)用程序套件，通過emcnavisphere進(jìn)行集中管理并支持基于存儲(chǔ)的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)功能，保證了數(shù)據(jù)的完整性和高可用性。具有了全局熱備功能，冗余電源和冷卻，通向光纖通道和ata磁盤驅(qū)動(dòng)器的四條通路，雙活動(dòng)存儲(chǔ)處理器，整個(gè)陣列內(nèi)的數(shù)據(jù)通路奇偶校驗(yàn)等許多特性。

在性能方面，cx500配有4個(gè)用于san連接的2gb前端光纖通道端口和4個(gè)光纖通道和ata磁盤驅(qū)動(dòng)器的2gb后端光纖通道通路，可以有效地支持多達(dá)120個(gè)驅(qū)動(dòng)器而不會(huì)出現(xiàn)性能降級(jí)。cx500同時(shí)支持高性能光纖通道驅(qū)動(dòng)器和高容量ata驅(qū)動(dòng)器，所以提供了最好的部署靈活性。鑒于共享工程資源存儲(chǔ)的需求，天津圖書館的cx500共配置了3個(gè)光纖磁盤柜共15tb的存儲(chǔ)空間，其中包括7.5tb的光纖硬盤和7.5tb的sata硬盤。

在軟件支持方面，cx500在設(shè)計(jì)上可同時(shí)支持多達(dá)128部服務(wù)器，大大簡(jiǎn)化存儲(chǔ)設(shè)施的整合過程。它符合絕大多數(shù)常用服務(wù)器操作環(huán)境的要求，其中包括microsoftwindows,sunsolaris,unix,linux和netware平臺(tái)等，而且在san,nas和das環(huán)境中運(yùn)行時(shí)具有高度的靈活性。采用navisphere管理框架，該系統(tǒng)是一套簡(jiǎn)單易用的基于圖形用戶界面<glti)的存儲(chǔ)管理工具。cx500能實(shí)現(xiàn)高數(shù)據(jù)的可用性、無(wú)中斷在線備份、高速數(shù)據(jù)移動(dòng)、應(yīng)用程序測(cè)試和災(zāi)難恢復(fù)等要求。客戶可在不停止cx500陣列前提下，升級(jí)以下各項(xiàng)內(nèi)容:添加新軟件，如snap-view,mirrorview,sancopy,navisphereagent,bi-os、核心軟件;在san中添加或刪除服務(wù)器;調(diào)整raid重建設(shè)置;重新分配讀/寫緩存等等。

1.2.2區(qū)縣支中心的存儲(chǔ)解決方案

以天津市的十八家區(qū)縣支中心為例:

存儲(chǔ)設(shè)備統(tǒng)一采用h3c的ex1000存儲(chǔ)磁盤陣列柜。該設(shè)備為基于成熟的ip協(xié)議傳輸?shù)拇鎯?chǔ)設(shè)備，使用更靈活，配置更方便。可以在簡(jiǎn)單配置后為網(wǎng)絡(luò)中的各種服務(wù)器提供海量存儲(chǔ)空間，同時(shí)也具備極大的擴(kuò)展性和靈活的升級(jí)。此存儲(chǔ)配置了4.5t的存儲(chǔ)空間(共9塊5006盤)，其中一塊硬盤做為全局熱備盤，在最大程度上保證了磁盤的冗余，確保數(shù)據(jù)的安全。在數(shù)據(jù)傳輸上將4個(gè)1000m數(shù)據(jù)端口進(jìn)行連路聚合，既保證了高帶寬的可用還保證了鏈路的冗余。高帶寬的使用除可以保證訪問瓶頸的解除，同時(shí)也對(duì)數(shù)據(jù)的鏈路提供了必要的保護(hù)，同時(shí)4條鏈路的存在即意味著可以承受75%的故障率，所以，這樣的技術(shù)保證是完善的安全運(yùn)行應(yīng)用的保證。

2vpn技術(shù)

互聯(lián)網(wǎng)作為“共享工程”的文化信息資源的主要傳輸渠道，所有信息服務(wù)都暴露在internet上，很容易被入侵者竊取和篡改，安全性不夠。如果改用專線方式，一方面造價(jià)較高，維護(hù)也較困難;另一方面升級(jí)和擴(kuò)展也受限制。因此尋找一種比較經(jīng)濟(jì)，對(duì)數(shù)據(jù)的安全又較有保障，而且又有利用網(wǎng)絡(luò)的升級(jí)和擴(kuò)展的組網(wǎng)方式顯得異常的重要，而vpn技術(shù)恰恰能滿足這方面的需要。

vpn(virtualprivatenetwork)中文譯為虛擬專用網(wǎng)，它是一種通過isp和其它nsp，在公網(wǎng)中建立用戶私有專用網(wǎng)的數(shù)據(jù)通信技術(shù)，是一種通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。是對(duì)專用網(wǎng)絡(luò)的擴(kuò)展，它是指共享或公共網(wǎng)絡(luò)上經(jīng)封裝，加密和身份驗(yàn)證的鏈路。vpn模仿專用網(wǎng)的一些屬性;它允許數(shù)據(jù)通過諸如internet的網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)間傳遞;通過隧道技術(shù)模仿點(diǎn)對(duì)點(diǎn)的連接。

2.1核心技術(shù)

①隧道技術(shù):隧道技術(shù)是vpn的基本技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到ppp中，再把整個(gè)數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有l(wèi)2f,pptp,l2tp等。l2tp協(xié)議是目前ietf的標(biāo)準(zhǔn)，由ietf融合pptp與l2f而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝人隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有vtp,ipsec等。ipsec(ipsecuri-ty)是由一組rfc文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在ip層提供安全保障。

②加解密技術(shù):加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，vpn可直接利用現(xiàn)有技術(shù)。

③密鑰管理技術(shù):密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為skip與isakmp/oak-ley兩種。skip主要是利用diffie-hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰;在isakmi〕中，雙方都有兩把密鑰，分別用于公用、私用。

④使用者與設(shè)備身份認(rèn)證技術(shù):使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

2.2vpn技術(shù)在“共享工程”中應(yīng)用的必要性與實(shí)現(xiàn)方法

“共享工程”在資源數(shù)字化方面，以數(shù)字圖書館技術(shù)為依托，建成了國(guó)家中心和各省級(jí)分中心的資源加工管理系統(tǒng)。

天津圖書館作為天津市“共享工程”的省分中心，數(shù)字資源經(jīng)過多年建設(shè)已初具規(guī)模，數(shù)字資源近5t。內(nèi)容涉及電子圖書、數(shù)字化期刊、津門曲藝庫(kù)、津門群星庫(kù)，以及與本地經(jīng)濟(jì)、文化發(fā)展息息相關(guān)的各種特色資源庫(kù)。如何使天津圖書館這些豐富公共資源得到更加廣泛的利用，能夠在合理范圍內(nèi)為各區(qū)縣支中心、共享工程基層服務(wù)中心進(jìn)行有效共享。可以利用vpn技術(shù)來(lái)實(shí)現(xiàn)，首先建立vpn數(shù)字資源中心，向各區(qū)縣支中心、共享工程基層服務(wù)中心等基層單位提供vpn接人和數(shù)據(jù)資源內(nèi)容的提供服務(wù)。

2.2.1vpn技術(shù)的實(shí)現(xiàn)方式

構(gòu)建vpn網(wǎng)絡(luò)可分為硬件、tpn和軟件、’pn兩種形式:軟件、’pn的建立成本低，硬件vpn在系統(tǒng)防御上要穩(wěn)定，軟件vpn維護(hù)起來(lái)相當(dāng)麻煩，網(wǎng)絡(luò)管理員不但要維護(hù)vpn軟件，還需要考慮病毒、惡意攻擊及相關(guān)設(shè)備的軟、硬件沖突導(dǎo)致系統(tǒng)平臺(tái)運(yùn)行不穩(wěn)定的因素出現(xiàn)，而硬件vpn一般采用專用硬件，維護(hù)量相對(duì)減少很多。

2.2.2實(shí)現(xiàn)vpn技術(shù)的方案

主要有三種:硬件平臺(tái)vpn、軟件平臺(tái)vpn和輔助硬件平臺(tái)vpna

(1)軟件平臺(tái)vpn

利用一些軟件公司所提供的完全基于軟件的vpn產(chǎn)品來(lái)實(shí)現(xiàn)簡(jiǎn)單vpn的功能，甚至可以不需要另外購(gòu)置軟件，僅依靠微軟的windows操作系統(tǒng)就可實(shí)現(xiàn)純軟件平臺(tái)的vpn。特別從windows2000系統(tǒng)開始對(duì)傳統(tǒng)的ipsecvpn方案提供了全面支持，不僅可以提供原來(lái)pptp隧道協(xié)議vpn的方案支持，而且還提出了新的l2tp隧道協(xié)議vpn方案，使vpn的應(yīng)用得到前所未有的推進(jìn)。

(2)硬件平臺(tái)vpn

使用硬件平臺(tái)的vpn設(shè)備可以滿足不同用戶對(duì)高數(shù)據(jù)安全及通信性能的需求，特別是加密及數(shù)據(jù)亂碼等對(duì)cpu處理能力需求很高的功能。能提供這些平臺(tái)的硬件廠商較多，如cisco,3com、華為、聯(lián)想等，這類vpn平臺(tái)投資了大量的硬件設(shè)備，投資成本較高。

(3)輔助硬件平臺(tái)vpn

輔助硬件平臺(tái)vpn作為最常見的vpn平臺(tái)，介于軟件平臺(tái)和硬件平臺(tái)之間，主要是以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)膙pn軟件以實(shí)現(xiàn)vpn的功能。但通常這種平臺(tái)中的硬件也不能完全由原來(lái)的網(wǎng)絡(luò)硬件來(lái)完成，必要時(shí)還要添加專業(yè)的vpn設(shè)備，如vpn交換機(jī)、vpn網(wǎng)關(guān)或路由器等。

2.2.3構(gòu)建vpn專網(wǎng)的關(guān)鍵問題

由于“共享工程”天津分中心與各區(qū)縣支中心都已建成了自己的局域網(wǎng)，那么vpn設(shè)備與防火墻的安裝方式，成為構(gòu)建vpn專網(wǎng)的關(guān)鍵問題。

現(xiàn)在最普遍采用的方式:是將、’pn設(shè)備與防火墻平行安裝，它不需要改變防火墻目前的結(jié)構(gòu)體系，但也意味著進(jìn)人內(nèi)部網(wǎng)絡(luò)將有兩個(gè)人口。在大部分vpn設(shè)備上，檢查進(jìn)人的數(shù)據(jù)，并阻擋非vpn流量進(jìn)人內(nèi)部網(wǎng)絡(luò)，以減小額外的安全風(fēng)險(xiǎn)。依賴網(wǎng)絡(luò)建設(shè)的方式，也需要vpn設(shè)備做一些地址翻譯的工作，或者將流量重定向到防火墻。

還有一種方式:是將vpn設(shè)備安裝在防火墻后，對(duì)防火墻做出一些改變。需要防火墻配置一個(gè)足夠“聰明”的過濾器以允許vpn流量通過。另外，一些防火墻不能處理碎片，而碎片對(duì)于vpn來(lái)說是非常普遍的。因此，如果不在客戶軟件中人為減小mtu(最大傳輸單元)，就不可能將vpn安裝在防火墻之后。

信息資源廣域vpn網(wǎng)建成后，邏輯上把物理位置省級(jí)分中心與不同的區(qū)縣支中心、共享工程基層中心連接成統(tǒng)一的內(nèi)部網(wǎng)，從而提升了文化信息資源共享工程的實(shí)在意義。

vpn技術(shù)論文范文6

關(guān)鍵詞：多協(xié)議標(biāo)簽交換；虛擬專用網(wǎng)；網(wǎng)絡(luò)改造；安全隔離

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)27-6643-02

隨著公司的不斷發(fā)展，DCN網(wǎng)上承載的業(yè)務(wù)系統(tǒng)不斷增多，除“97”系統(tǒng)外，還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)、客服系統(tǒng)、OA等及融合后3G網(wǎng)管系統(tǒng)等，有些應(yīng)用系統(tǒng)對(duì)安全性要求較高比如OA和財(cái)務(wù)，有些系統(tǒng)對(duì)帶寬和網(wǎng)絡(luò)質(zhì)量（QoS）要求較高。現(xiàn)有的網(wǎng)絡(luò)不能滿足“分而治之”的企業(yè)運(yùn)作管理需要。由于信息系統(tǒng)集中整合的需要，實(shí)施此次MPLS升級(jí)改造。通過本次改造工程的實(shí)施，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)的安全性、可靠性及整個(gè)DCN網(wǎng)的服務(wù)質(zhì)量。由一張實(shí)體物理網(wǎng)實(shí)現(xiàn)虛擬多業(yè)務(wù)網(wǎng)，采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng)，骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建，接入網(wǎng)采用靈活的方式到終端，滿足企業(yè)內(nèi)部應(yīng)用的承載和安全需求。最終，DCN網(wǎng)絡(luò)中的終端與主機(jī)須劃入至各自所屬的MPLS VPN域中，實(shí)現(xiàn)各個(gè)VPN域之間的通信隔離，同時(shí)在各個(gè)VPN間建立數(shù)據(jù)通道，部署防火墻對(duì)經(jīng)過數(shù)據(jù)通道的流量進(jìn)行訪問控制，實(shí)現(xiàn)對(duì)不同VPN域的通信數(shù)據(jù)的有效安全控制。

1 MPLS VPN技術(shù)簡(jiǎn)介

MPLS VPN是由若干不同的site組成的集合，一個(gè)site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實(shí)現(xiàn)互訪與隔離。

MPLS VPN網(wǎng)絡(luò)主要由CE、PE和P等3部分組成：CE(Custom Edge Router，用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)。設(shè)備與用戶的CE直接相連，負(fù)責(zé)VPN業(yè)務(wù)接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實(shí)現(xiàn)者：P(Provider Router，骨干網(wǎng)核心路由器)負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)，不與CE直接相連。在整個(gè)MPLS VPN中，P、PE設(shè)備需要支持MPLS的基本功能，CE設(shè)備不必支持MPLS。

PE是MPLS VPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備，根據(jù)PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標(biāo)準(zhǔn)，使用MBGP在PE路由器之間分發(fā)路由信息，使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)，因而又稱為BGP/MPLS VPN。在MPLS VPN網(wǎng)絡(luò)中，對(duì)VPN的所有處理都發(fā)生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴(kuò)展，使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對(duì)客戶端設(shè)備來(lái)說是不可見的，它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。RT使用了BGP中擴(kuò)展團(tuán)體屬性，用于路由信息的分發(fā)，具有全局惟一性，同一個(gè)RT只能被一個(gè)VPN使用，它分成Import RT和Export RT，分別用于路由信息的導(dǎo)入和導(dǎo)出策略。在PE路由器上針對(duì)每個(gè)site都創(chuàng)建了一個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding)，VRF為每個(gè)site維護(hù)邏輯上分離的路由表，每個(gè)VRF都有Import RT和Export RT屬性。通過對(duì)Import RT和Export RT的合理配置，運(yùn)營(yíng)商可以構(gòu)建不同拓?fù)漕愋偷腣PN，如重疊式VPN和Hub-and-spoke VPN。

整個(gè)MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面，控制面定義了LSP的建立和VPN路由信息的分發(fā)過程，數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔ⅰ３寺酚蓞f(xié)議外，在控制層面工作的還有LDP，它在整個(gè)MPLS網(wǎng)絡(luò)中進(jìn)行標(biāo)簽的分發(fā)，形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面，MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個(gè)VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后，PE路由器查找該子接口對(duì)應(yīng)的VRF表，從VRF表中得到VPN標(biāo)簽、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后，就通過PE輸出接口轉(zhuǎn)發(fā)出去，然后在MPLS骨干網(wǎng)中沿著LSP被逐級(jí)轉(zhuǎn)發(fā)。在出口PE之前的最后一個(gè)P路由器上，外層標(biāo)簽被彈出，P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對(duì)應(yīng)的輸出接口，在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器，從而實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程。

2 骨干遷移的三個(gè)關(guān)鍵問題

由于DCN網(wǎng)絡(luò)建設(shè)時(shí)間比較久，網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡(luò)升級(jí)改造的重點(diǎn)。網(wǎng)絡(luò)改造期間，網(wǎng)絡(luò)的平穩(wěn)運(yùn)行無(wú)論對(duì)于市場(chǎng)還是對(duì)于業(yè)務(wù)系統(tǒng)都是至關(guān)重要的，由于MPLS VPN技術(shù)是對(duì)全省DCN網(wǎng)絡(luò)傳輸技術(shù)的徹底改變，如何在改變網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)的同時(shí)讓網(wǎng)絡(luò)仍然健康地運(yùn)行成為實(shí)現(xiàn)MPLS VPN改造的首要問題。

過渡期間最應(yīng)該考慮的關(guān)鍵三個(gè)問題是：

1）在IP環(huán)境下，各域間路由的互通問題。實(shí)現(xiàn)方法是先將組成DCN的各個(gè)IP網(wǎng)絡(luò)單元以地市為單位逐個(gè)改造為MPLS VPN 網(wǎng)絡(luò)單元，然后逐個(gè)與省公司建立MP BGP鄰居實(shí)現(xiàn)全網(wǎng)MPLS VPN化。

2）受控互訪的實(shí)現(xiàn)，即做到市公司在同一VPN區(qū)域內(nèi)部互相之間不可見；市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司；市公司訪問處于不同VPN區(qū)域的省公司業(yè)務(wù)。方案設(shè)計(jì)中采用HUB-SPOKE方式和對(duì)PE、CE層面實(shí)施控制來(lái)實(shí)現(xiàn)。

3）VPN劃分與IP地址整理，DCN網(wǎng)絡(luò)建設(shè)前期并未考慮各個(gè)應(yīng)用系統(tǒng)的MPLS VPN劃分，因此大多系統(tǒng)混雜在一起，或者接在同一臺(tái)設(shè)備，或者干脆就在同一個(gè)網(wǎng)段中，同時(shí)還存在生產(chǎn)與管理地址段混用的問題。具體系統(tǒng)混接的問題可以分為三類，地址混用、設(shè)備支持能力不足以及第二地址問題。

3 DCN網(wǎng)絡(luò)改造升級(jí)的設(shè)計(jì)

DCN網(wǎng)絡(luò)改造解決方案是融合MPLS、VPN和QOS技術(shù)的統(tǒng)一解決方案。方案采用MPLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議，使用EIGRP作為主干IGP協(xié)議，MPLS VPN路由使用MP-IBGP以及路由反射器進(jìn)行域內(nèi)傳送，省公司采用背對(duì)背VRF方式與集團(tuán)對(duì)接。

MPLS需要建立在IGP路由的基礎(chǔ)上，IGP協(xié)議對(duì)MPLS的主要作用就是保證MPLS鄰居之間的可達(dá)性和MBGP鄰居之間的可達(dá)性，省骨干網(wǎng)使用的EIGRP協(xié)議，地市網(wǎng)絡(luò)根據(jù)自己網(wǎng)絡(luò)環(huán)境使用EIGRP或OSPF協(xié)議。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)。整個(gè)網(wǎng)絡(luò)IGP協(xié)議互通。根據(jù)整體方案，各PE-CE路由協(xié)議保持原OSPF動(dòng)態(tài)路由協(xié)議，在PE設(shè)備將OSPF路由重分發(fā)至MP-BGP。

各業(yè)務(wù)VPN互訪通過防火墻來(lái)實(shí)現(xiàn)。由于目前將DCN全網(wǎng)業(yè)務(wù)基本劃分為MS、BS、OS和OTHER這四個(gè)大的系統(tǒng)，跨系統(tǒng)流量如何導(dǎo)通成為一個(gè)較為重要的問題。如果全部使用重疊VPN的方式，一方面增加了維護(hù)的復(fù)雜度，另一方面違背了建設(shè)MPLS VPN的根本目標(biāo)，重新給各業(yè)務(wù)系統(tǒng)帶來(lái)了安全隱患。采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪，省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪，地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng)，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴(yán)格的安全策略，對(duì)各VPN之間流量進(jìn)行過濾，這樣隔離的各MPLS VPN之間可以安全的進(jìn)行數(shù)據(jù)通信，這樣即解決了各業(yè)務(wù)系統(tǒng)之間的互通問題，也保證了各業(yè)務(wù)系統(tǒng)的安全。

綜合前面所述，主要采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪，省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪，地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng)，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。

將各業(yè)務(wù)VPN為HUB－SPOKE模式，即各地市業(yè)務(wù)系統(tǒng)僅可與省中心進(jìn)行通信，相互之間不可見，不能進(jìn)行相互訪問。

在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據(jù)各VPN業(yè)務(wù)的訪問需求作相應(yīng)的訪問控制，各VPN業(yè)務(wù)之間通過防火墻進(jìn)行訪問。

4 MPLS VPN對(duì)DCN網(wǎng)絡(luò)的重要意義

由于應(yīng)用系統(tǒng)整合方向是集團(tuán)公司集中和省公司集中。集團(tuán)、省集中應(yīng)用系統(tǒng)通過DCN網(wǎng)絡(luò)進(jìn)行信息交互，而應(yīng)用系統(tǒng)整合除功能整合外，其物理整合和集中的形勢(shì)則表現(xiàn)為集中的企業(yè)數(shù)據(jù)中心，MPLS升級(jí)的重要意義體現(xiàn)在：

1）全網(wǎng)絡(luò)覆蓋：應(yīng)用系統(tǒng)整合后，系統(tǒng)集中統(tǒng)一部署服務(wù)器，滿足地市、縣客戶端遠(yuǎn)程訪問省級(jí)應(yīng)用系統(tǒng)服務(wù)器，集團(tuán)公司級(jí)應(yīng)用系統(tǒng)和省級(jí)應(yīng)用系統(tǒng)之間有信息交互的應(yīng)用需求。

2）系統(tǒng)受控安全互訪需求：企業(yè)運(yùn)作需要，不同應(yīng)用系統(tǒng)間又有互訪的要求。例如：營(yíng)帳綜合客戶端，處于辦公網(wǎng)，兼顧辦公和營(yíng)帳工作，需訪問營(yíng)帳系統(tǒng)；網(wǎng)管綜合客戶端，兼顧網(wǎng)管工作和辦公管理、資源管理、工單、故障單工作，經(jīng)常在兩網(wǎng)間切換；因此需要DCN網(wǎng)絡(luò)進(jìn)行安全隔離的同時(shí)，支持系統(tǒng)間受控互訪，通過用戶身份識(shí)別、訪問授權(quán)、隧道加密、安全策略部署等技術(shù)保證被訪系統(tǒng)的安全。

3）可用性要求：隨著信息化建設(shè)的深入，系統(tǒng)功能將逐步得到完善，傳送的信息內(nèi)容將日趨豐富，VPN顆粒將趨向細(xì)化，VPN拓?fù)鋵⑷找鎻?fù)雜，對(duì)現(xiàn)有企業(yè)網(wǎng)絡(luò)的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網(wǎng)絡(luò)規(guī)劃建設(shè)中必需著重考慮的問題。

4）可靠性要求：DCN網(wǎng)絡(luò)承載著企業(yè)運(yùn)作所需的重要應(yīng)用和數(shù)據(jù)，在整個(gè)信息化系統(tǒng)中起到中樞神經(jīng)的作用，網(wǎng)絡(luò)故障將影響企業(yè)正常運(yùn)作。信息系統(tǒng)整合將導(dǎo)致地域性和功能性集中化程度的提高，從而增加了對(duì)DCN網(wǎng)絡(luò)的依賴。必需充分考慮網(wǎng)絡(luò)高可靠性，避免網(wǎng)絡(luò)設(shè)備和鏈路的單點(diǎn)故障，保證關(guān)鍵應(yīng)用系統(tǒng)的訪問和接入，保證作為應(yīng)用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接。

5）服務(wù)質(zhì)量要求：DCN網(wǎng)絡(luò)是在同一物理網(wǎng)絡(luò)上承載多個(gè)相對(duì)獨(dú)立的業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)系統(tǒng)為不同的職能部門開展業(yè)務(wù)提供服務(wù)，其數(shù)據(jù)流程和管理方式都存在差異，不同業(yè)務(wù)系統(tǒng)，需要網(wǎng)絡(luò)平臺(tái)提供差別服務(wù)，如對(duì)帶寬、實(shí)時(shí)性有不同的要求，網(wǎng)絡(luò)必須具備帶寬管理、資源預(yù)留、服務(wù)等級(jí)設(shè)置的能力。

在保證DCN網(wǎng)絡(luò)安全運(yùn)行的前提下，有步驟、分階段實(shí)施MPLS改造，并按照規(guī)劃設(shè)計(jì)應(yīng)用RT策略實(shí)現(xiàn)各系統(tǒng)互訪受控與隔離。目前，改造后的DCN網(wǎng)絡(luò)運(yùn)行狀況良好。

在實(shí)現(xiàn)MPLS VPN后，受控互訪則變得相對(duì)輕松，僅僅需要在各個(gè)MPLS VPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對(duì)各VPN間也就是各應(yīng)用系統(tǒng)間的訪問進(jìn)行控制。隨著受控互訪的實(shí)現(xiàn)，全覆蓋、可用、可靠、優(yōu)化傳輸以及可管理等周邊需求的實(shí)現(xiàn)也變得比較容易。一張實(shí)體物理網(wǎng)、虛擬多業(yè)務(wù)網(wǎng)，采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng)，骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建，接入網(wǎng)采用靈活的方式到終端。獨(dú)立統(tǒng)一的一張實(shí)體物理網(wǎng)，滿足企業(yè)內(nèi)部應(yīng)用的承載需求。虛擬多業(yè)務(wù)網(wǎng)，統(tǒng)一的業(yè)務(wù)隔離、受控互訪機(jī)制和統(tǒng)一的VPN業(yè)務(wù)接入機(jī)制。

5 結(jié)束語(yǔ)

MPLS VPN網(wǎng)絡(luò)改造的實(shí)現(xiàn)，極大的提高的DCN網(wǎng)絡(luò)的安全性，為前臺(tái)營(yíng)業(yè)、辦公OA、運(yùn)維網(wǎng)絡(luò)監(jiān)控等各項(xiàng)不同的業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用提供可靠地保證。

參考文獻(xiàn)：

[1] 范亞芹,張麗翠,宋維剛.可提供MPLS VPN網(wǎng)絡(luò)安全性保障的解決方案[J].吉林大學(xué)學(xué)報(bào):信息科學(xué)版,2005(03).