第7期總第185期內(nèi)蒙古科技與經(jīng)濟No.7. the 185th issue2009年4月Inner Mongolia Science Technology & EconomyApr.2009VPN技術(shù)及應(yīng)用分析劉永庭(鐵通內(nèi)蒙古公司包頭分公司,內(nèi)蒙古包頭014010)商要:文章介紹了VPN技術(shù)的基本概念、關(guān)鍵技術(shù)、各種隧道協(xié)議及其應(yīng)用領(lǐng)域,最后分析了VPN的新應(yīng)用技術(shù)VoIPVPN和基于VPN的多播技術(shù)。關(guān)鍵詞:VPN;隧道協(xié)議;Internet;VoIP VPN;多播中圖分類號:TP393.18文獻標(biāo)識碼:A文章編號:1007- -6921 (2009)07- -0196- -01近年來,隨著Internet的廣泛應(yīng)用.如何利用In-DDN、F.R等專線方式相比,可以節(jié)省大量的費用ternet的資源來組建企業(yè)的虛擬專用網(wǎng)絡(luò)(VPN)已成為IT業(yè)界的一個新熱點。VPN是通過一個公共1.2.2伸縮性高 :用戶需要與合作伙伴聯(lián)網(wǎng)，如果網(wǎng)絡(luò)建立起來的一一個臨時的、安全的連接,它是對企沒有VPN,雙方的信息技術(shù)部門就必須協(xié)商如何在業(yè)內(nèi)部網(wǎng)的擴展。VPN可以幫助遠(yuǎn)程用戶、公司分雙方之間建立租用線路或幀中繼線路,有了VPN之支機構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可后，只需雙方配置安全連接信息即可。當(dāng)不再需要聯(lián)信的安全連接,并保證數(shù)據(jù)的安全可靠傳輸,它從根網(wǎng)時，也很容易拆除連接。本上解決了網(wǎng)絡(luò)面臨的不安全因素的威脅,大大提1.2.3 容易擴展:如果用戶想擴大VPN的容量和高了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃院捅Ｃ苄愿采w范園，只需改變一些配置或增加幾臺設(shè)備從而VPN還可以使企業(yè)能在價格低廉的共享基礎(chǔ)擴大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN也很簡單，設(shè)施上以與專用網(wǎng)絡(luò)提供的相同策略建立一種安全只需進適當(dāng)?shù)脑O(shè)備配置即可.的WAN (廣城網(wǎng))業(yè)務(wù)。實現(xiàn)與移動工作人員、分1.2.4全控制主動權(quán):企業(yè)可以利用公網(wǎng)或在公司、合作伙伴、產(chǎn)品供應(yīng)商、客戶間的連接,提高與.局域網(wǎng)內(nèi)部自已組建管理VPN.由自己負(fù)責(zé)用戶的.分公司、客戶、供應(yīng)商和合作伙伴開展業(yè)務(wù)的能力，查驗.訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等提高運作效率。重要工作。1VPN的基本概念1.2.5全方 位的安全保護: VPN不僅能在網(wǎng)絡(luò)與在VPN(Virtual Private Network)即虛擬專用網(wǎng)絡(luò)之間建立專用通道,保護網(wǎng)關(guān)與網(wǎng)關(guān)之間信息網(wǎng)中，(虛擬專用網(wǎng)絡(luò)是指通過;一個私有的通道在公傳輸?shù)陌踩?而且能在企業(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò))任意兩個節(jié)點之間的移動辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而全通道,建立全方位的安全保護,保證網(wǎng)絡(luò)的安全。是利用某種公眾網(wǎng)的資源動態(tài)組成的。虛擬專用網(wǎng)2 VPN 的關(guān)鍵技術(shù)對用戶端透明，用戶好像使用一條專用線路進行通目前VPN主要采用四項技術(shù)來保證安全,這四信。此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及項技術(shù)分別是隧道技術(shù)(Tunneling).加解密技術(shù)功能等特點,它替代了傳統(tǒng)的撥號訪問,利用Inter-(Encryption & Decryption).密鑰管理技術(shù)(Keynet公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)，節(jié)省昂貴的長Management).使用者與設(shè)備身份認(rèn)證技術(shù)(Au-途費用VPN是原有專線式企業(yè)專用廣域網(wǎng)絡(luò)的替thentication)。代方案,VPN并非改變原有廣域網(wǎng)絡(luò)的一些特性，2.1 隧道技術(shù)是在更為符合成本效益的基礎(chǔ)上來達(dá)到這些特性.VPN是在公網(wǎng)中形成企業(yè)專用的鏈路.為了形VPN通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機成這樣的鏈路,采用了所謂的“隧道”,隧道技術(shù).構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成是VPN的基本技術(shù),它是分組封裝(Capsule)的技一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺術(shù),可以模仿點對點連接技術(shù)，依靠Internet服務(wù)提察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于-供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨占使用,網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧而事實上并非如此,所以稱之為虛擬專用網(wǎng)?？傊?，道傳輸。隧道是一種利用公網(wǎng)設(shè)施,在一個網(wǎng)絡(luò)之上VPN就是要實現(xiàn):低成本的安全穩(wěn)定互通。的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另1.1發(fā)展VPN 的原因一協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀.附加的主要有兩個原因:①Ip地址匱乏,成本昂貴。②報頭提供了路由信息,因此封裝后的包能夠通過中企業(yè)通過公網(wǎng)實現(xiàn)跨地域的系統(tǒng)互聯(lián)必然面臨安全間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱問題。使用公用網(wǎng)絡(luò)會導(dǎo)致機構(gòu)間的傳輸信息容易為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地，幀就被竊取，同時攻擊者有可能通過公網(wǎng)對機構(gòu)的內(nèi)部會被解除封裝并被繼續(xù)送到最終目的地●網(wǎng)絡(luò)實施攻擊，因此，我們不能擔(dān)保收到的IP數(shù)據(jù)隧道封裝示意:報:來自原先要求的發(fā)送方( IP 頭內(nèi)的源地址);包含的是發(fā)送方當(dāng)初放在其中的原始數(shù)據(jù);原始數(shù)據(jù)原始IP包格式:| IP 頭Data在傳輸中途未被其他人看過。因此需要在企業(yè)間建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的基本安全隧道封裝后的數(shù)據(jù)包:新IP 頭| AH ESP |IP頭|Data要素;提供數(shù)據(jù)起源地驗證;完整性驗證;數(shù)據(jù)內(nèi)容的機密性;抗重播保護。而VPN就能有效解決這些安全問題。中國煤化工據(jù)提供了標(biāo)準(zhǔn)格1.2 VPN的優(yōu)勢式。'信的源主機發(fā)出，1.2.1 降低成本:通過公用網(wǎng)來建立VPN與建立.YHCNMHG(下轉(zhuǎn)第198頁)收稿日期:2008-12-12●196●總第185期內(nèi)蒙古科技與經(jīng)濟預(yù)留軌縫上限:伸縮區(qū)一般不得設(shè)在寬道口.無碴橋、圓曲線、緩和X上= Xg- CXL(to- Tmin) - -C]曲線上.③在小半徑曲線制動地段,可以單獨布置長.預(yù)留軌縫下限:X下= XL(Tmax-tg)-C軌節(jié).④左右兩膠長軌節(jié)長度應(yīng)保持對接，相錯量超根據(jù)《鐵路維修規(guī)則》,結(jié)合本地實際情況,建議過40mm,而且最好為焊接長軌的整數(shù)倍。⑤鋁熱預(yù)留軌縫ao焊,小型氣壓焊縫不得設(shè)在道口、橋面、橋墩上,一般.a。=°上|a下=aL+cTmax|Tmin -to)+警距橋臺邊墻不少于2m.22.4 根據(jù)我國大修規(guī)則要求,結(jié)合通遼市及赤峰市=aL(t,-to)+畢氣候條件和地理環(huán)境筆者建議修建該區(qū)段的無縫線路要求達(dá)到以下式中:tz= 1/2(Tmax +Tmin)條件:①允許有最小半徑的曲線,但要根據(jù)運量,鋼2.3.3 防爬設(shè)備a的設(shè)置。為使無縫線路伸縮區(qū)的軌使用壽命大修周期等條件，綜合經(jīng)濟效果來確定。扣件阻力大于道訂縱向阻力,則:②允許鋪設(shè)線路的坡度不受限制，但軌節(jié)全長在連P防十nP扣>nP枕續(xù)大坡道及制動區(qū)段,重載線路上，應(yīng)加強防爬鎖式中:P防一--對穿銷式防爬器的阻力(N);定。P扣一要軌枕且中間扣件的阻力(N);2.5對鋪設(shè)的軌道結(jié)構(gòu)要求N-用防爬器組成一級防爬設(shè)備用的2.5.1道床應(yīng) 采用硬質(zhì)道碴,飽滿、密實,一般情況軌枕根數(shù)s下肩寬不<40cm,遇到下列情況,還應(yīng)加寬5em,并P枕一根軌枕下的邊床下的縱向阻力堆高碴肩15em;曲線半徑R≤800m的曲線外側(cè).大(N).橋及特大橋路塹在75em范圍內(nèi);連續(xù)長大下坡道及注意:①如用彈條工型扣件的扣件組力大于道制動區(qū)段;年最大軌溫度差值△T>90C的地區(qū)。床縱向阻力,不必設(shè)防爬設(shè)備.②固定鋼軌不隨軌溫2.5.2盡量采用J一2,S- 2型混凝土枕,混凝土枕變化而伸縮,從理論，上可以不必增加防爬設(shè)備，但為最多每km1840 根,木枕為1 920根。了防止鋼軌折斷,斷縫過大,所以木枕無縫線路也按2.5.3混凝土枕地段應(yīng)采用彈條工型或調(diào)高彈條普通線路,每12. 5m安裝三組防爬設(shè)備,混凝土軌扣件,木枕地段采用“K"式扣件。枕線路可適當(dāng)減少或取消。2.5.4使用鋼軌類型應(yīng)符合有關(guān)標(biāo)準(zhǔn).焊接用鋼軌2.3.4無縫線路長軌的長度及布置.無繼線路長軌節(jié)長長度,原則上按一個自動塞區(qū)間1 000m~無縫線路是我國鐵路軌道的一項重大發(fā)展方2 000m來布置,最少不得小于兩個伸縮區(qū)長度150向，是新建鐵路首先考慮的內(nèi)容,與普通線路相比，~200m。隨著膠結(jié)技術(shù)的發(fā)展,在兩個閉塞區(qū)間之可以使線路上的鋼軌接頭大大減少.從而可以使行間采用膠結(jié)絕緣接頭,使多個塞區(qū)間鋼軌聯(lián)成-根車平穩(wěn),延長設(shè)備使用壽命,降低設(shè)備維修費用,能長軌節(jié),無縫線路長度大大增加,可以成為跨區(qū)間的較好完成集通線路高速.重載的運輸需要●超長無縫線路。[參考文獻]一般無縫線路長度應(yīng)遵循以下原則:①兩無縫[1]陳岳源.鐵路軌道[M].北京:中國鐵道出版線路長軌節(jié)之間,應(yīng)設(shè)置2~4根標(biāo)準(zhǔn)做緩沖區(qū)。此外,在道岔與長度軌節(jié)、絕緣接頭與長軌節(jié)，長大坡[2]鐵路線路設(shè)備大修 規(guī)則[S].道凹形縱斷面連接處,都應(yīng)設(shè)置緩沖區(qū)。②緩沖區(qū),(.上接第196頁)ESP支持IP報文的保密性和數(shù)VPN主要應(yīng)用在企業(yè)內(nèi)部網(wǎng)Intranet.遠(yuǎn)程訪據(jù)的完整性。根據(jù)用戶的要求,該機制可以只對IP問以企業(yè)外部網(wǎng)Extranet,根據(jù)應(yīng)用領(lǐng)城，VPN大報文的傳輸層數(shù)據(jù)段進行加密(如TCP. UCP、致可分為3類:Intranet VPN、Access VPN與Ex-ICMP等),也可以對整個IP報文進行加密。前者稱tranet VPN.為傳輸模式ESP,后者稱為隧道模式ESP.Intranet VPN:即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，AccessVPN:是指企業(yè)員工或企業(yè)的小分支機VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)●術(shù)由IPSec的ESP (Encapsulationg Security Pay-ExtranetVPN:即企業(yè)間發(fā)生收購、兼并或企load)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)密,當(dāng)數(shù)據(jù)到達(dá)接收者時由接收者對數(shù)據(jù)進行解密筑的虛擬網(wǎng).的處理過程,算法主要種類包括:對稱加密(單鑰加現(xiàn)在各公司總部都需要實現(xiàn)和分支機構(gòu)的互密)算法、不對稱加密(公鑰加密)算法等。如DES聯(lián),使OA系統(tǒng)中的個人辦公、公文系統(tǒng)、綜合業(yè)務(wù)、(Data Encryption Standard)、 IDEA (International行政管理、綜合信息等資源共享,讓公司管理更加統(tǒng)Data Encryption Algorithm). RSA (發(fā)明者Rivest.一.規(guī)范，保證物流、信息流的實時更新，確保公司市Shamir和Adleman名字的首字符)。場信息的及時傳遞，營銷方案的及時執(zhí)行,提高工作對于對稱加密算法,通信雙方共享一個密鑰,發(fā)效率;對于政府機構(gòu)來講,需要實現(xiàn)和分局的實時聯(lián)送方使用該密鑰將明文加密成密文,接收方使用相絡(luò)，保證公文流轉(zhuǎn)的時效性和安全性等等。所以只需同的密鑰將密文還原成明文。對稱加密算法運算速在客戶的總部以及各分支機構(gòu)分別放一臺專業(yè)度快。不對稱加密算法是通信雙方各使用兩個不同VPN路由器.各點通過ADSL或其他方式接人公網(wǎng)的密鑰,一個是只有發(fā)送方知道的密鑰,另一個則是INTERNET ,就可以為客戶構(gòu)建廉價，穩(wěn)定的VPN與之對應(yīng)的公開密鑰,公開密鑰不需保密。在通信過網(wǎng)絡(luò)程中,發(fā)送方用接收方的公開密鑰加密消息,并且可中國煤化工以用發(fā)送方的秘密密鑰對消息的某--部分或全部加I網(wǎng)絡(luò)的安全保密密，進行數(shù)字簽名。接收方收到消息后,用自己的秘向題CNMHG于解決當(dāng)前網(wǎng)絡(luò)密密鑰解密消息,并使用發(fā)送方的公開密鑰解密數(shù)通信、資源共享所面臨的威脅和提高網(wǎng)絡(luò)通信的保字簽名,驗證發(fā)送方身份。密性、安全性具有重要的現(xiàn)實意義。3 VPN的應(yīng)用●198●