vpn技术范文第1篇
VPN即虚拟专用网 (Virtual Private Network) , 处于不同地理位置的用户皆可通过VPN安全便捷地访问某一机构的本地网络。由于租用线路, 建立物理专线费时费力的弊端, 这一传统方法逐渐被淘汰。而隧道技术的兴起则是VPN普及的极大推动力, 使地理位置不同的计算机在逻辑上的建立互联。
二、隧道技术
(一) 隧道技术的引出
由于公用网络的复杂性, 公共性以及较低的安全性, 机构内部之间的数据传输会出现较多的不安全因素, 而通过建立虚拟专用网, 在公共网络中铺设一条“隧道”来封装数据, 便可保证数据的安全传输, 这便是隧道技术。
隧道技术如何封装数据, 这便引出了隧道协议。
(二) 隧道协议
对数据的封装中, 第二层隧道技术和第三层隧道技术起着至关重要的作用。二者的区别就在于通过不同的隧道技术对数据包的封装传输, 应用于协议栈的不同层。第二层隧道技术, 如PPTP, L2F, L2TP, 位于OSI模型中的数据链路层, 将数据封装进PPP帧中, 并以数据帧为传输单元。第三层隧道技术, 如IPSec, GRE位于OSI模型中的网络层, 将数据封装在IP数据报中。下文以IPSec协议为例, 介绍如何实现虚拟专用网对数据的封装及安全传输。
三、IPSec协议
(一) IPSec协议概述
IPSec协议 (Internet安全协议, 即Internet Protocol Security) 的核心特点是安全性, 所有性能均围绕这一特点展开的。IPSec是第三层隧道技术应用于网络层, 与其他协议不同的是IPSec并非单独独立的, 而是一系列用于保护数据在专用网中安全传输的协议族, 包括IKE, ESP, AH。在使用IPSec协议时, 首先对使用该协议的实体建立逻辑互联即安全关联SA (Security Association) 。两个实体根据IKE协议 (Internet密钥交换协议, 即Internet Key Exchange) 配置同一个安全策略, 并通过协商建立SA, 密钥交换, 定义感兴趣流。ESP (封装安全载荷, 即Encapsulate Security Payload) 与AH (验证头, 即Authentication Header) 为IPSec提供两个防范机制, ESP虚拟专用网中的数据提供加密服务, 在IP数据首部报首部与TCP首部增加ESP首部, 而在尾部增加ESP校验;AH实现数据完整性检测, 认证数据源身份, AH序列号可识别重复的数据包并将其丢弃。
(二) IPSec协议两种封装及工作模式
隧道模式与传输模式是IPSec协议两种主要的工作模式。二者区别在于两点, 一是封装方式不同, 二是其IP地址是否允许数据包从一个网络设备转发到另一个网络设备 (即是否可路由) 。当IP地址不可路由时使用隧道模式, 并将将原IP首部封装起来, 并添加新的IP首部和ESP首部;反之使用传输模式, 并在原IP首部与TCP首部之间插入ESP首部。若IP地址不可路由仍使用传输模式, 数据包则会被目的路由所丢弃。
四、IPSec协议配置校园网
IPSec协议由一整套具有完整性, 安全性的标准协议构成, 支持大多数IP层协议, 并整合网络防火墙功能, 因此作为校园网的基本协议较为合适。
R总校 (config) #crypto isakmp policy 01
R总校 (config) #encryption 3des//EPS加密算法3des
R总校 (config) #hash md5//AH加密算法md5
R总校 (config) #authentication pre-share
R总校 (config) #crypto isakmp key xxx address xxx.xxx.xxx.xxx//设置共享密钥名称及映射地址 (其中x可根据实际情况自定义)
总校区分校区均需对双方各自路由器完成上述配置。首先进行IPSec第一阶段协商, 配置同一IKE策略 (即SA) , 两校区根据对方IP地址协商密钥交换方式, 数据加密算法, 以上述代码为例, AH采取md5加密算法, EPS采取3des加密算法。随后进行第二阶段协商定义感兴趣流, 通过创建加密图, 并将第一阶段的配置关联到加密图中。此时VPN配置基本完成, 如需通过VPN访问公用网络, 则对各自路由器配置NAT便可实现对互联网资源的正常访问。
五、结语
IPSec协议可靠性, 私有性等特点保障了校园虚拟专用网数据的安全传输, 但IPSec需要完成路由器的配置, 并且用户使用前需安装相应客户端, 因此会带来一些不便。故产生了多个协议配合使用的方式如, L2TP与IPSec, GRE OVER IPSec, 弥补单一协议的缺点。
摘要:VPN作为一种便捷低廉的通讯方式逐渐进入人们的视野, 其中隧道技术的运用最为广泛。本文分析了根据IPSec协议建立VPN隧道, 并以校园网为例, 介绍该技术在实际生活领域的应用。
关键词:VPN,隧道技术,IPSec协议,数据传输,校园网络
参考文献
[1] 李睿.VPN隧道技术的研究及其实现[D].上海:同济大学, 2007.
[2] 过林吉, 沈浅.VPN隧道协议的研究与探讨[J].电脑知识与技术, 2010, 6 (3) :609-610.
[3] 孙光懿.基于GRE和IPSec协议的VPN仿真[J].陕西理工大学学报, 2018, 34 (1) :49-55.
[4] 梁泽海.基于IPSec的VPN在校园网中的研究与设计[J].信息与电脑, 2018 (4) :122-125.
vpn技术范文第2篇
1.1 VPN的概念
VPN (Virtual Private Network虚拟专用网络) 是利用隧道封装、认证、加密、访问控制等多种网络安全手段, 在公用网络上建立起专用链路的网络安全技术。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用互联网或其它公共互联网络等基础网络资源为用户创建专用的安全隧道[1]。
1.2 VPN的分类
按业务分类V P N共有三种类型, 它们分别是远程访问虚拟专网 (Access VPN) 、内部虚拟专网 (Intranet VPN) 和扩展的内部虚拟专网 (Extranet VPN) 。按实现技术分类, 工作在链路层的隧道协议:点到点隧道协议 (PPTP) 、第二层转发协议 (L2F) 、第二层隧道协议 (L2TP) 。工作在网络层的三层隧道协议:如通用路由封装协议 (GRE) 、IP安全协议 (IPSec) 。介于二层和三层之间的隧道协议:如MPLS隧道协议。工作在应用层的安全协议:如SSL协议。
2 VPN技术在军用网络中的应用研究
依据虚拟专网的实现方式, 结合部队的实际需要, V P N技术在军用网络中的运用可有以下几种方式。
2.1 构建点到点的安全通信链路
军网通信过程中, 用户间往往要构建端到端的安全传输通道。在构建端到端的安全链路中可选取应用于网络层的IPSec协议。构建对端安全链路过程中, 可将IPSec协议嵌入到安全链路两端的接口设备中, 通过该接口设备将计算机与军用网络连接, 通过AH和ESP等协议, 实现数据的身份认证、加密处理、解密处理。
保密设备由网卡芯片与IPSec芯片构成, 包含网络协议解析、身份认证、密钥随即生成、加解密编码四部分模块组成。在进行通信时, 首先要对双方进行身份认证, 若为非法用户则断开逻辑链接, 对于合法用户则为双方同步生成随机的工作密钥, 此后发送方用此密钥对通信数据进行加密, 而接收方亦用相同的密钥进行解密。
2.2 构建单用户到内部局域网的安全访问通道
当军网用户想要访问某军事单位内部资源时, 需要构建一条单用户到内部网络的安全访问通道。安全访问链路构建可用L2TP、IPSec双重安全协议[3]。基于IPSec的L2TP具有两种隧道类型, 自发型隧道和强制型隧道。强制隧道需要有服务提供商ISP提供认真服务器, 在这种环境下, 存在二个认证服务器, 即ISP内的认证服务器LAC和内部网内的认证服务器LNS。自愿隧道模式用户主机充当了LAC, 用户自主对L2TP进行配置和管理[4]。
军用网络中构建访问型V P N时, 在具有信息资源优势的军事单位内部网络中建立认真服务器L N S。考虑军用网络中操作的可行性, 将L2TP和IPSec均安装于远程用户主机上, 由远程访问用户充当LAC, 远程用户发送访问请求到LNS, 经验证后, 搭建立L2TP链路。
2.3 构建局域网间的安全通信链路
由于军事单位所处地域分散, 各机要单位或密级较高的军事单位内部局域网与局域网之间的安全通信, 依托军用网络构建一个安全、便捷、低成本的专用线路, 连接各单位内部局域网, 是解决这一问题的有效途径。
以IP安全协议体系IPSec为基础, 面向网关到网关的V P N应用环境, 设计了一种基于IPSec协议的VPN网关。安全网关的设计原理为, 将IPSec协议与IP层相结合, 形成IPSec+IP协议, 对流入网关的数据包, 进行身份验证和解密处理等处理。
3 结语
将V P N技术运用到军用网络中, 在军用网络与互联网物理隔离的基础上, 又增添了一道防御措施, 有效地保证军事信息的安全传输。但随着各类VPN技术的运用, 存在着需构建与军用网络相适应的管理机制和服务提供单位制的问题, 相信随着研究的继续深入, 将会得到解决, 进一步提升部队信息化建设程度。
摘要:随着军队信息化建设的深入开展, 军用网络在部队建设中发挥的作用也越来越明显, 因此保障军用网络的安全对于提高部队信息化建设水平、保障军事信息的安全传输具有十分重要的意义。本文通过研究不同种类的VPN并分析军用网络的安全需求, 将虚拟专网技术运用到军用网络的安全保障中去。
关键词:军用网络,VPN,网络安全
参考文献
[1] 戴宗坤, 唐三平.VPN与网络安全[M].北京:电子工业出版社, 2002.
[2] 焦秋光.军事装备管理学[M].北京:军事科学出版社, 2003.
[3] 王达.网络安全[M].北京:电子工业出版社, 2006.
vpn技术范文第3篇
(四) 修改chap-secrets文件
编辑/etc/chap-secrets配置文件, 添加如下内容:
上面第二行代码的四项内容分别对应第一行中的四项。“wb@ldz.cn”是Client端的VPN用户名;“server”对应的是VPN服务器的名字, 该名字必须和/etc/ppp/options.pptpd文件中指明的一样, 或者设置成“*”号来表示自动识别服务器;“secret”对应的是登录密码;“IP addresses”对应的是可以拨入的客户端IP地址, 如果不需要做特别限制, 可以将其设置为“*”号。
(五) 设置IP伪装转发
只有设置了IP伪装转发, 通过VPN连接上来的远程计算机才能互相ping通, 实现像局域网那样的共享。用下面的命令进行设置:
可以将这条命令放到文件/etc/rc.d/rc.local里面, 以实现每次开机时自动运行该命令。
(六) 打开防火墙端口
将Linux服务器的1723端口和47端口打开, 并打开GRE协议。
二、测试
下面以Windows Server xp为例来进行测试。
(一) 新建连接。单击“开始→设置→网络连接→新建连接向导”打开“新建连接向导”的窗口, 打开“新建连接向导”的窗口, 然后依次选择或填写“连接到我的工作场所网络→虚拟专用网络连接→公司名 (可以随便填写) →不拨初始连接→IP地址 (填入VPN服务器的IP地址) ”, 最后单击“确定”, 就建立了一个新的连接。
(二) 修改连接属性。右击刚才创建的连接, 再依次单击“属性→网络 (选择TCP/IP协议) →属性→高级”, 然后把“在远程网络上使用默认网关”前面的勾去掉后单击“确定”。