时间:2022-05-17 20:37:51
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇vpn技术论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
2MPLSvpn互访策略
在南水北调自动化业务系统中的应用按照MPLSVPN划分的原则,不同MPLSVPN之间不能互相访问,这确保了VPN的安全可靠性。但是,南水北调中线干线工程自动化应用系统之间存在MPLSVPN子系统之间、用户至不同业务系统服务器之间的受控互访的需求。也就是说,网络需要方便地控制不同MPLSVPN之间的互访,而且要实现严格控制互访;同时,为保障各业务系统安全,需要对用户访问采取控制措施。
2.1MPLSVPN子系统之间互访
通过BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通过MP-BGP协议配置建立路由信息,来达到不同VPN之间的路由扩散;通过VPN内部的路由器(或防火墙)做地址过滤、报文过滤等方式控制访问的用户。上述两种方式结合使用,实现了子系统的灵活受控互访。
2.2应用终端交互访问不同MPLSVPN
2.2.1方案一
NAT方案此种方案是将多用途终端主机的业务流在CE进行分类,不同的业务流进行不同的静态NAT(映射不同的IP地址)。对每个业务系统的主机/服务器可以分配连续的地址空间,PE设备只需要维护较为简单的路由表,CE配置确定后一般不需要修改。
2.2.2方案二
PE节点作访问控制在PE设备上,通过多角色主机技术,将某个VRF中指定的路由(特殊终端的路由),引入到另外一个VRF中,在PE的CE侧接口上配置策略路由,当流量匹配ACL,则重定向到VPN组,查找并转发,从而实现不同的MPLSVPN可以同时访问该特殊终端。
2.2.3方案三
802.1X强制认证+Windows域管理802.1X协议在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,与VRF路由表的导入导出机制结合使用,从而达到接受合法用户接入、保护网络安全的目的。用户访问其他MPLSVPN,需要禁用、再启用网卡,重新输入不同MPLSVPN的不同身份信息实现。显然,基于PE节点作访问控制的方案配置简单,传输效率高,互通网络可靠性强,无论从网络实现、网络性能、网络安全以及网络管理各方面分析,更适用于南水北调中线干线工程自动化各系统应用终端交互访问不同的MPLSVPN。
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
0 引言
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
1 农产品电子商务的安全需求
根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。
1) 系统实体安全
系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。
2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。
3) 信息安全
系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认。
2 农产品电子商和安全策略
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
1 引言网络技术,特别是Internet的兴起,正在从根本上改变传统的信息技术(IT)产业,随着网络技术和Internet的普及,信息交流变得更加快捷和便利,然而这也给信息保密和安全提出了更高的要求。近年来,研究人员在信息加密,如公开密钥、对称加密算法,网络访问控制,如防火墙,以及计算机系统安全管理、网络安全管理等方面做了许多研究工作,并取得了很多究成果。
本论文主要针对网络安全,从实现网络信息安全的技术角度展开探讨,以期找到能够实现网络信息安全的构建方案或者技术应用,并和广大同行分享。
2 网络安全风险分析影响局域网网络安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,主要有六个方面构成对网络的威胁:
(1) 人为失误:一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等,都会对网络系统造成极大的破坏。
(2) 病毒感染:从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接的威胁,网络更是为病毒提供了迅速传播的途径,病毒很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击,造成很大的损失。
(3) 来自网络外部的攻击:这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(4) 来自网络内部的攻击:在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后,查看机密信息,修改信息内容及破坏应用系统的运行。
(5) 系统的漏洞及“后门”:操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。科技论文。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
3 网络安全技术管理探讨3.1 传统网络安全技术目前国内外维护网络安全的机制主要有以下几类:
Ø访问控制机制;
Ø身份鉴别;
Ø加密机制;
Ø病毒防护。
针对以上机制的网络安全技术措施主要有:
(1) 防火墙技术
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它用来控制内部网和外部网的访问。
(2) 基于主机的安全措施
通常利用主机操作系统提供的访问权限,对主机资源进行保护,这种安全措施往往只局限于主机本身的安全,而不能对整个网络提供安全保证。
(3) 加密技术
面向网络的加密技术是指通信协议加密,它是在通信过程中对包中的数据进行加密,包括完整性检测、数字签名等,这些安全协议大多采用了诸如RAS公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能,用于防止黑客对信息进行伪造、冒充和篡改,从而保证网络的连通性和可用性不受损害。
(4) 其它安全措施
包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动,记录用户对敏感的数据资源的访问,以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。
3.2 构建多级网络安全管理多级安全作为一项计算机安全技术,在军事和商业上有广泛的需求。科技论文。“多级”包括数据、进程和人员的安全等级和分类,在用户访问数据时依据这些等级和分类进行不同的处理。人员和信息的安全标识一般由两部分组成,一部分是用“密级”表示数据分类具有等级性,例如绝密、秘密、机密和无密级;另一部分是用“类别”表示信息类别的不同,“类别”并不需要等级关系。在具体的网络安全实现上,可以从以下几个方面来构建多级网络安全管理:
(1) 可信终端
可信终端是指经过系统软硬件认证通过、被系统允许接入到系统的终端设备。网络安全架构中的终端具有一个最高安全等级和一个当前安全等级,最高安全等级表示可以使用该终端的用户的最高安全等级,当前安全等级表示当前使用该终端用户的安全等级。
(2) 多级安全服务器
多级安全服务器上需要部署具有强制访问控制能力的操作系统,该操作系统能够为不同安全等级的用户提供访问控制功能。该操作系统必须具备很高的可信性,一般而言要具备TCSEC标准下B1以上的评级。
(3) 单安全等级服务器和访问控制网关
单安全等级服务器本身并不能为多个安全等级的用户提供访问,但结合访问控制网关就可以为多安全等级用户提供访问服务。对于本网的用户,访问控制网关旁路许可访问,而对于外网的用户则必须经过访问控制网关的裁决。访问控制网关的作用主要是识别用户安全等级,控制用户和服务器之间的信息流。科技论文。如果用户的安全等级高于单级服务器安全等级,则只允许信息从服务器流向用户;如果用户的安全等级等于服务器安全等级,则允许用户和服务器间信息的双向流动;如果用户的安全等级低于服务器安全等级,则只允许信息从用户流向服务器。
(4) VPN网关
VPN网关主要用来保护跨网传输数据的保密安全,用来抵御来自外部的攻击。VPN网关还被用来扩展网络。应用外接硬件加密设备连接网络的方式,如果有n个网络相互连接,那么就必须使用n×(n-1)个硬件加密设备,而每增加一个网络,就需要增加2n个设备,这对于网络的扩展很不利。引入VPN网关后,n个网络只需要n个VPN网关,每增加一个网络,也只需要增加一个VPN网关。
4 结语在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天,网络由于信息传输应用范围的不断扩大,其信息安全性日益凸显,本论文正是在这样的背景下,重点对网络的信息安全管理系统展开了分析讨论,相信通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,计算机网络的信息安全是完全可以实现的。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 黄国言.WEB方式下基于SNMP的网络管理软件的设计和实现[J].计算机应用与软件,2003,20(9):92-94.
中图分类号:G250.7 文献标识码: A 文章编号:1672-1578(2013)03-0081-02
1 引言
信息技术的迅速发展和广泛应用,不仅改变着人们的工作和生活方式,也改变着教育和学习方式,也促进了国内外数字资源的突飞猛进发展,高校图书馆购买的数字资源也越来越多,可供师生访问的资源日渐增多,但是数据库资源的知识产权和版权等因素使得相当部分数字资源使用范围有限,只能在校园网内部访问,不能对外网开放。电大开放教育以学生为中心,具有开放性、灵活性、针对性和适应性等特点,主要运用卫星、电视、互联网、移动终端等信息化手段和多种教学媒介,构建全民多样化终身学习型社会。国家开放大学数字图书馆的服务对象是开放大学及电大系统的师生,但他们多数是在职在岗的成人,学习的地方相对分散,到校园图书馆利用数字资源极为不便,也因此形成了开放大学图书馆服务方式的特殊性。为了满足电大系统教师和学生随时随地便捷地使用图书馆数字资源,国家开放大学数字图书馆提供远程访问服务。
2 远程访问数字图书馆
本文所讨论的远程访问是校外访问,就是指非校园网用户突破校内IP地址的物理限制使用学校购买的数字化数据库资源。目前远程访问图书馆数字资源有传统服务器技术、VPN技术、Athens项目、PKI技术、Shibbloeth项目、EZproxy技术等[1]。VPN技术实现远程访问已经普遍应用并逐步完善,尤其在远程访问图书馆数字资源中应用更为广泛。新兴的 SSL VPN 技术非常适合移动用户的远程接入访问,该技术集传统数据网络的安全、快速及共享数据库的低成本且简单易行等优点特点,可以为外部网提供虚拟连接,从而成为高校图书馆为所有非校园网的师生提供资源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虚拟专用网络,是一种网络新技术,在公用网络上通过加密、认证、封装以及密钥交换技术,建立单位内部专用网络进行远程虚拟访问的连接方式。VPN具有传输数据安全可靠,连接方便灵活,可完全控制,成本低等特点[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接层)协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB的安全协议,使用SSL 协议进行认证和数据加密的VPN就可以免于安装客户端。相对于传统的VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点[4]。
4 应用VPN技术访问数字图书馆的方法
笔者在教育教学过程中发现绝大多数学生不会远程访问数字图书馆,甚至很多教师都不会合理利用网上数字资源。开放大学图书馆由于涉及数据库资源的知识产权问题,使用范围有限,在校园网内使用没有限制,但校外只允许属于电大的教师和学生作为合法的用户,提供VPN技术,用户在登录后,需要安装VPN控件,才能正常的打开文献资源列表。一般情况下,VPN系统会自动检测电脑系统,并引导安装VPN插件,也可以在网站下载插件安装包进行安装。因此要求我们提供用户名和密码来进行身份的确认。笔者在教学工作中发现,很多学生写毕业论文或教师做课题研究的时候,抱怨找不到资源,找到的资源不完整或者下载需付费,下面简单介绍校外如何访问开放大学数字图书馆(中央广播电视大学图书馆)。
4.1 开放大学数字图书馆介绍
国家开放大学数字图书馆为开放大学及全国电大系统提供一站式、扁平化服务,其中电子图书书目数据达340多万种、电子图书全文达234万种、学术文献7000多万篇、社科数字期刊2800多种,名师讲座88624集,基本实现数字文献资源全学科覆盖[5]。主要涵盖:(1)开放文献资源列表,提供中央电大图书馆提供的常用电子文献资源列表;(2)读者论坛帮助BBS(beta),是开放数图论坛读者帮助模块,在此可以反馈在使用中存在的问题,提出数字图书改进建议;(3)数字图书馆学习空间,以图书馆培训、教育为主要内容,同时提供教师自建课程的Moodle教学平台;(4)电大在线・我的工作室,提供在线教学辅导的全部信息;(5)开放大学讲坛,由中央电大图书馆主办的学术讲座平台,汇集名师名家,深入讲解近期发生的热点问题,提供最全的视频资料信息;(6)全国电大图书馆通讯,是图书馆服务与交流电子期刊,提供了最新的电大图书馆工作动态,介绍电大图书馆新引进的和推荐的文献信息资源等;(7)社会化应用及交流网站等服务。
4.2 安装VPN控件
开放大学数字图书馆(http://)通过VPN的方式对开放教育学生以及电大系统教职工提供授权访问服务。打开页面“插件”(如上图),下载“国家开放大学数字图书馆远程访问控件”,即VPN控件,在安装过程中关闭防火墙和IE安全控(上接81页)
件软件,并将图书馆网站的链接地址添加到IE信任列表,Windows Vista用户在安装控件时请关闭UAC,Windows 7用户在安装控件时请对IE点击右键选择“以管理员身份运行”,再打开安装页面。安装VPN控件后,这个插件要求必须使用IE浏览器进行访问,IE浏览器的版本最低为6.0。
4.3 登陆访问资源列表
点击“开放数图”,学生用电大在线学生证号进行登录,教师用电大在线用户名进行登录,通过点击开放文献资源列表标签,在进入过程中检查身份的合法性及访问资源的安全性,检查完毕进入应用列表,包括CNKI、维普、万方、超星、龙源、读秀等数据库,涵盖了最新期刊、会议论文、学位论文等。
4.4 文献检索
以中国知网(CNKI)为例,打开CNKI(国开镜像版),期刊包括博硕士学位论文、会议、报纸、外文文献、年鉴、百科、词典、统计数据、专利、标准等内容,通过全文、主题、篇名、关键字、摘要、文献来源等方式输入关键字进行检索,在检索结果中打开自己感兴趣的文献进行阅读、下载。
日新月异的信息技术,促进了教育信息化的迅猛发展,电大教师的信息技术应用能力、文献检索的方法和途径直接决定了远程教育教学资源的使用效率和科研水平,因此笔者认为提升师生信息素养,加强信息技术应用能力,通过系统内数字资源应用培训,从数字图书馆平台访问、国内主要文献数据库的使用、移动数字图书馆的使用等方面进行培训,使教职工掌握数字文献资源的使用,提高数字资源的使用率,充分发挥资源共享的优势和效益,为教学和科研提供支持。
参考文献:
[1]张文丰,黄淑敏.开放大学数字图书馆资源校外访问方式的研究[J].黑龙江科技信息,2007,(20):146.
[2]付凯东.SSL VPN技术在高校图书馆数字资源中的应用[J].微计算机信息,2010,26(7-3):107.
[3]百度百科:虚拟专用网络[EB/OL].http:///view/480950.htm?fromId=19735.
论文摘要:本文讨论了在远程安全接入领域的ssl vpn技术,通过对ssl协议的分析,全面衡量了ssl vpn远程接入方案在军队院校网络应用中的综合优势。
1引言
打造远程安全接入平台,一直是网络远程访问的迫切需求。当前,众多的安全协议(如pptp.l2tp.ipsec和mpls)各具特色并侧重于不同的方面,但能同时结合简易、安全两项特性的则非ssl莫属,ssl vpn是平衡访问自由度和安全性的出色解决方案。
2 ssl
安全套接层(secure sockets layer, ssl)是netscape于1994年提出的基于web应用的安全协议,它介于http及tcp之间,高层协议可以透明地运行在该协议之上,它指定了一种在应用程序协议和丁cp/ip协议之间提供数据安全性分层的机制,能为丁cp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。
3 ssl vpn主要特点
(1)高安全性:ssl安全通道可确保端到端真正安全可靠的连接,能有效保证信息的真实性、完整性和保密性。
(2)高易用性:无需客户端的安装和配置,对终端系统具有良好的兼容性。
(3)高性价比:不需要配置,易于部署及管理,可有效降低网络配置成本。
(4)高可扩展性和兼容性:可随时添加需要vpn保护的服务器,并适用于大多数设备。
(5)高效的资源控制能力:可区分用户设置访问权限,实现区分对待的资源控制策略。
4 ssl vpn应用优势
随着军队院校网络信息化建设的推进,实际应用中面临着越来越多的跨地域、跨部门的数据传递,以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况,下面主要从ssl vpn和ipsec vpn对比出发,全面衡量ssl vpn的优势。
(1)谨慎灵活的接入认证策略。在远程接入过程中,用户身份验证是整个过程的第一环,也是最重要的一环,如果不能有效识别用户的身份,使得非法用户接入,将给内部网络带来极大的安全隐患。ssl vpn提供对所传送数据的加密、认证和发送源的身份认证,支持将多种身份识别方式进行组合,一般包括usb-key、硬件特征码、数字证书、动态令牌、短信认证等,而且可以对访问权限进行严格的等级划分,实现不同用户对于不同应用程序的控制。
随着信息化时代的到来,以网络技术为代表的信息技术已经成为社会发展的重要推动力。网络技术以其信息海量性、交互性、便捷性等优势,正在日益深人人们的生活。同样,由于信息技术的巨大作用,它也被广泛应用于学校的各种活动之中。当然,网络技术同时也存在很多缺点,比如网络安全问题,就成为影响学校信息安全的潜在威胁。因此,学校在利用网络技术的同时,
一定要注意研究和防范其缺点和不足。
i、我国学校网络建设的基本情况和特点
应该说,我国学校网络建设起步时间较晚,但是发展速度十分迅速,笔者总结出我国学校网络建设的基本情况和特点如下:
1.1建设的普遍性
据一项不完全调查显示,目前我国具备独立的学校网络系统的学校约占全体注册学校数量的90%以上。这里所说的学校网络建设,不仅仅指学校的门户网站或者学校主页,而是涵盖学校内部行政办公网、教学网络以及学生网络等网络系统。可以说,随着网络技术的进一步普及,学校已经意识到建立自身独立的网络系统的巨大意义,能够主动投人人力物力,聘请专业机构针对本学校特点研发、部署网络系统。
1.2应用的广泛性
目前我国学校在创建独立网络体系的同时,非常注意对于网络功能的再开发。目前国内学校利用网络系统可以进行内部管理、办公自动化处理、视频会议、网络教学、ip电话、学校推广等等,极大地丰富了校园网络的应用手段,拓展了应用领域。
1.3安全意识提高
从国内市场主流网络安全技术销售情况可以看出,全社会网络安全意识正在逐步提高,一些造价不菲的学校版专业软件销售情况也十分可观。学校加强对网络安全的防范,一方面体现出学校的观念正在逐步改进,另一方面可以看出,我国国内的网络安全市场仍然具备较大的拓展空间。
1.4交流的多样性
学校网络大都由外部网络和内部网络构成。外部网络就是通常意义上的互联网,而内部网络是学校独立的网络系统,俗称内网。随着交流的不断增多和办公形式的多样化,越来越多的用户希望能随时通过互联网接人校园网,实现远程办公。而在当今日益繁多的网络技术中,vpn技术由于具备自身独特的优势,可以很好地满足建立学校网络安全通道的需求。
2,vpn技术
2.1基本情况
vpn仅irtualprivatenetwork),即虚拟专用网,被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。vpn主要技术包括隧道技术与安全技术。简言之,通过利用vpn技术,可以在学校内部网络与外网之间建立一个虚拟的安全通道,实现学校充分利用校内网络系统的要求。
2.2独特优势
vpn技术是比较新的网络技术,具有许多以往网络虚拟技术所不具备的优势,具体说来,主要体现如下:
第一,可以最大限度地保证学校网络系统的安全运行。在前文中,笔者谈到学校关心网络安全问题,能否保证学校网络系统运行的稳定和安全,将是这项技术能否被大范围推广和使用的关键。在vpn技术中,学校可以在内部服务器上实现对用户资格的认证,同时,在网络运作过程中。 vpn技术还可以支持点对点加密及各种网络安全加密协议,如ipsecarity,这可以最大程度上保证学校网络系统的安全运行。
第二,可以降低学校网络运行维护的成本。由于vpn设备本身带有路由功能,可以有效地减少学校内部网络与互联网连接时需要的网络配置设备,对一些传统设备,vpn技术也可以很好地实现兼容。在虚拟网络运行过程中,由于其稳定性良好,不需要学校付出大量成本进行维护,因此可以极大地降低学校网络成本。
第三,可以实现学校网络系统功能的提升。学校网络系统应用vpn技术,可以将学校内部的网络设备与外网实现安全互联,同时也可以将学校分支机构的网络设备进行有效连接,主要部门通过对于vpn权限的控制,可以有效地掌控学校网络系统的运行情况,并依托学校网络进行各项活动,从而实现对学校网络功能的进一步扩展。
3、学校如何利用vpn技术
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0101-01
一、引言
随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。
二、IPSec VPN
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。
(一)认证头(AH)协议
IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。
(二)封装安全载荷(ESP)协议
封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。
(三)IKE
IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。
三、MPLS VPN
MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。
(一)MPLS VPN的基本原理
每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。
(二)MPLS VPN的优点
1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。
2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。
3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
四、SSL VPN
SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:
五、总结
由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。
(试 行)
一、 网络类题目的特点
学生络类题目的特点主要以校园网、小型企业网、大型企业网(多地互联)为应用场合,进行网络工程设计类或网络安全类论文的写作。
二、 网络工程设计类论文的写作
1.论文写作要求
类似于投标书,但有不同于投标书,不要有商务性质的内容(项目培训、售后服务、产品说明书、产品报价……),也一般不考虑具体综合布线(职院学校的要求),主要倾向于其技术实现。
2.论文写作基本环节
采用工程业务流程,类似于软件工程:
1)需求分析
2)功能要求
3)逻辑网络设计(设计原则、拓扑结构图、背景技术简介、IP地址规划表),也称为总体设计
4)物理网络设计(实现原则、技术方案对比,一般考虑结构化布线),也称为详细设计
5)网络实现(设备选型和综合布线属于这个阶段,但我们主要强调各种设备的配置与动态联调以实现具体目标)
6)网络测试(比较测试预期结果与实际结果)
具体实现通过采用Dynamips 模拟平台和Cisco Packet Tracer(PT)模拟平台。
3.注意事项
1)抓住题目主旨和侧重点(类似题目的需求不同,取材角度不同、参考资料的取舍也不同。不同的应用场合会采用不同的拓扑结构、路由技术(BGP、RIP、单区域和多区域的OSPF)、交换技术(Vlan、生成树、链路聚合、堆叠)、访问(接入)技术、安全技术等,只有这样题目才能各有千秋,否则就都变成了XX公司(校园)网络设计。)
2)不要有商务性质的内容(项目培训、售后服务……)
3)不要产品使用说明书和安装调试说明书
4)不建议包含综合布线的整个过程。
4.存在的问题与案例分析
1)结构不太清楚,有些环节没有
2)不应有产品说明书,具体实现要更清楚
三、 网络安全类论文的写作
1.论文写作基本环节与要求
从技术上讲主要有:
1)Internet安全接入防火墙访问控制;
2)用户认证系统;
3)入侵检测系统;
4)网络防病毒系统;
5)VPN加密系统;
6)网络设备及服务器加固;
7)数据备份系统;
从模型层次上讲主要有:
1)物理层安全风险
2)网络层安全风险
3)系统层安全风险
不同的应用需求采用不同的技术。
2. 存在的问题与案例分析
1)选题有些过于复杂而有些过于简单
2)只是简单叙述各种安全技术,没有具体实现
四、 论文答辩要求
1)论文格式:从总体上,论文的格式是否满足《韶关学院本科毕业设计规范》的要求?
记者:今年以来,Unihub公司在业界频频出动,大有推动证券互联之势。请您给我们介绍一下Unihub公司作为一家专业的网络服务提供商的优势是什么?
邓航:首先是我们已有的成功案例和客户群,如长城证券,大鹏证券、PA18。我们在为客户服务的过程中不但努力追求客户最大的满意度,而且不断的改造和完善我们的服务体系和服务水准。这种服务市场经验值的产生和积累很重要。它需要时间,不象通常卖产品,想做马上就能做到
二是我们与国内许多企业有良好的业务合作关系,如中国电信等骨干网络公司,还拥有金融、证券、保险、物流等各行业的优良资源,随着Unihub公司的市场拓展,这些合作贸易与资源不断地在超越与发展着
三是我们有完备的网络管理体系,通过北京的中心机房辐射到分布在华东、华中、华南、西南等区域各层次的网络,实行统一管理
四是人才优势,Unihub公司网罗了一批IT业优秀的人才,他们有的原本就是.com公司的技术骨干。可以为客户提供及时、细致、到位的技术支持,帮客户解决网络营运中的各种问题。如我们的主要机房24小时对客户的数据流量进行监控,一旦发现异常,即时报警和提醒,并帮客户作出分析处理方案
五是我们有雄厚的资金投入。计划三年内投入20亿元资金,在2002年中建成由数据中心为基础的全国性基础运营设施,并通过战略合作伙伴在国外提供基础运营设施和相关服务。有效地利用其资金优势,实现自己的目标。
记者:现在为金融证券业提供IDC以及网络服务的公司很多,Unihub的独到之处在哪里?
Unihub的增值服务包括CDN(内容分发服务),如全局负载均衡、全局高速缓存、流媒体分发等。还通过高效廉价的互联服务提供真正的7*24*365监控维护,系统的设计优化,进行数据容灾和备份以及网络安全管理
与高速公路塞车一样,互联网上的瓶颈永远无法完全解决。Unihub在基于电信资源的基础上建立了自己的专有宽带网络,将CDN技术成功地应用于金融证券业的客户服务中,较好地解决了接入、骨干网、互联互动和最后一公里等各种瓶颈问题,从而有效地优化客户网络的工作状态指标
VPN(虚拟专用网)服务市场需求目前在全球具有明显的上升趋势,它可以使客户克服传统连接Extrannet和Intranet价格高和缺乏灵活性等问题。如当用户的专线、FR、卫星等方式连接分公司时,就会产生昂贵的接入费用,而且线路不支持突发大数据量,一旦超负荷工作,没有可扩展性,维护困难,数据易丢失。VPN的应用可使上述问题迎刃而解。UnihubMPLSVPN具有四大优点:VPN连接配置简单,对现有骨干网没有压力;对现有用户的技术要求为零,不需作任何改动。用户加入VPN的配置也很简单,可以延伸原有的路由地址,在骨干网络采用VPN-ID,可以保持全网的唯一性,网络可扩展性很强
由于Unihub对市场的信心和定位准确,投入决心大,拥有众多国外知名公司的合作伙伴,如CA、Cisco、NETSREEN等,采用高质量设备构建了强大的安生设施,能为用户提供有效的安全手段
总而言之,Unihub通过提供专业的网络技术服务,可以使企业级用户在节省投入,提高效益的情况享受电信级的技术服务,从而克服本身IT人才短缺的矛盾,专注于自身的核心业务,赢得快速进入市场的宝贵时间
记者:Unihub为何首先选择金融证券行业,这个行业的需求特点如何?Unihub做金融证券行业过程中感触最深的地方是什么?
邓航:当初我们也做过.com梦,由于在进入市场前对.com公司的状况作了透彻的分析,得出结论;我们并非互联网业界先进技术设备的制造商,而只是此类技术设备的应用服务商。金融证券业对先进技术的应用是最有需求和承接力的行业,所以我们就定位做金融证券业。现在回过头来看,当初不做.com的决策是正确的。在条件成熟的情况下,我们也会定时的介入如保险,物流等行业,PA18就是一例。
我们在做金融证券业服务中感触最深的地方是Unihub的技术人员与用户的技术人员在工作的配合非常融洽,就象原来就是一个整体
记者:请谈谈Unihub在金融证券业的发展战略和金融证券行业在线业务市场发展的观点
1.引言
网络流量的指数级增长,导致网络数据的处理越加复杂,特别是在跨区域大型企业,政府等部门对新业务的需求越来越大的情况下,现有城域网络各方面的瓶颈越来越突出,而且随着NGN、IPTV等基于IP的话音与视频业务的发展,对城域网与接入网的功能与性能又提出了许多更高更新的要求:高带宽、高可靠性、高QoS、低延时和灵活的扩展性。网络处理器,作为新一代的高性能路由器的核心设备,在数据传输处理方面有许多特别的优势,它不但拥有ASIC处理器的高速高带宽,而且具有非常强的灵活性高端路由器,同时在流量管理、QoS、OAM等技术也有独特的优势。
2.城域网技术概述
从横向划分,承载网通常可以分为骨干网、城域网与接入网,城域网位于骨干网与接入网的交汇处,是通信网中最复杂的应用环境,各种业务和各种协议都在此汇聚、分流和进出骨干网。多种交换技术和业务网络并存的局面是城域网建设所面对的最主要问题。而基于IP/MPLS技术建设多业务综合承载网络已经被全球运营商认同。
在城域网络中,骨干层通过出口路由器实现与两张骨干网的连接完成高速的数据转发,并充当IP 城域网出口设备。汇聚层作为IP城域网骨干区域向下的延伸,与骨干层构成了核心路由区域,并充当三层MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network) 的P 设备论文参考文献格式。汇聚层BAS (宽带接入服务器)和路由器以上运行三层网络,以下视具体的情况运行三层或二层网络。接入层负责用户接入,采用二层网络。
3. NP-3网络处理器概述
Ezchip公司的NP-3处理器,是一款高灵活性的网络处理器,它提供10G线速的包处理能力及良好的带宽控制能力。通过编程能实现如二层交换,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多种功能。同时该芯片集成的一个流量控制器,能提供较强的流量管理功能。
NP-3的数据处理流图如图3.1:
图3.1:NP-3数据处理流图
TOPparse解析和提取各种数据帧的帧头、地址、端口、协议等作为查表的关键字。同时也可利用硬件或软件解析报文,过滤非法的畸形报文、攻击报文。
TOPsearch使用TOPparse提取出的关键字查找相关的路由表、会话表、策略表、统计计数表等。
TOPresolve根据TOPsearchI查找表所得的结果进行判断和决策。同时可以通过高学更新会话状态信息等。
TOPserach II可选,在TOPresolve完成后,进行比较简单的额外的数据表查找。
TOPmodify对报文的内容进行修改并发送到不同的路径上。
4.城域网关键技术分析及NP-3平台下的数据转发面实现
4.1网络结构及关键技术分析
典型的城域网由服务商骨干网络(serviceprovider backbone network, SP-BN)和多个服务商网络(serviceprovider network, SP-N)构成高端路由器,服务商网络之间通过骨干网连接,用户之间则通过服务商网络连接到骨干网,如图1所示,图中SP-BN通过MPLS协议连接,而SP-N通过Q-in-Q(IEEE802.1ad)协议连接。本文将基于该网络实例进行研究讨论。
图4.1:城域网络基本结构
在城域网网络中涉及的三类关键服务:
?点到点二层VPN服务(VPWS)
两个单独的用户站点之间可通过本服务实现二层连接,预先配置好一个统一的服务ID(service ID),建立一条通过SP-N和SP-BN的链路论文参考文献格式。数据帧只需通过预先配置好的service ID进行转发。如图4.1中的Client A与Client B之间的二层服务。
?点到多点二层VPN服务(VPLS)
本服务提供了多个站点之间的二层连接,相当于构建了一个虚拟的局域网,数据帧的转发基于service ID和报文的目的MAC地址(destination MAC address, DA)。如图4.1中的Client A、Client B、Client C之间的二层服务。
?点到多点路由服务(L3VPN)
本服务提供了多个站点之间的三层连接,同时也能够实现本城域网络与外网的连接。在各个用户站点看来,SP-N就是一个虚拟的私有IP网络。数据帧的转发基于service ID和目的IP地址(destination IP address, DIP)。如图4.1中的Client A、Client B、Client C之间的三层服务
?NP-3硬件支持
NP-3的TOPparse模块能实现硬件快速分析和提取数据报文对应OSI七层网络模型的关键字段,包括MAC地址信息,VLAN标记,以太帧类型,MPLS标签,IP地址,端口,HTTP,UTL等等。在本设计中,重点是对含有多个VLAN标记和MPLS标签的复杂城域网服务的快速处理,NP-3能实现至少4级标签栈的解析,对跨越多重网络结构的复杂服务有强大的支持能力。
4.2NP-3处理器上的关键数据转发面处理流程分析
NP-3处理器的数据转发处理能力强,而对于控制协议的处理能力就较弱。在NP-3上高端路由器,对数据帧的处理依赖于以下三个因素:端口的配置,数据帧的格式以及网络所提供的服务。根据设备的位置,端口的配置又分为四种模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先确定有几下几类数据帧:标准以太网帧,Q-in-Q帧,MPLS封装的IP帧,各帧的结构如下。
?标准以太网帧,有三种类型:
DA
SA
0X800
IF
DATA
DA
SA
0X8100
C_TAG
0X800
IF
DATA
DA
SA
0X8100
C_TAG1
0X8100
C_TAG2
0X800
