虚拟专用网(VirtualPrivateNetwork,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(GenericRoutingEncapsulation,GRE)L2TP和PPTP。
2.3VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3VPN应用实例
利用VPN较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSECVPN网络的功能,并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路,通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求.各分院能够直接访问到母校的数据共享服务器资源,同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4结语
参考文献
[1]石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
关键词:有效利用数字图书馆方法
2远程访问数字图书馆
本文所讨论的远程访问是校外访问,就是指非校园网用户突破校内IP地址的物理限制使用学校购买的数字化数据库资源。目前远程访问图书馆数字资源有传统服务器技术、VPN技术、Athens项目、PKI技术、Shibbloeth项目、EZproxy技术等[1]。VPN技术实现远程访问已经普遍应用并逐步完善,尤其在远程访问图书馆数字资源中应用更为广泛。新兴的SSLVPN技术非常适合移动用户的远程接入访问,该技术集传统数据网络的安全、快速及共享数据库的低成本且简单易行等优点特点,可以为外部网提供虚拟连接,从而成为高校图书馆为所有非校园网的师生提供资源共享的最理想的方案[2]。
3VPN概述
VPN(VirtualPrivateNetwork)即虚拟专用网络,是一种网络新技术,在公用网络上通过加密、认证、封装以及密钥交换技术,建立单位内部专用网络进行远程虚拟访问的连接方式。VPN具有传输数据安全可靠,连接方便灵活,可完全控制,成本低等特点[3]。
SSLVPN是采用SSL(SecureSocketsLayer,安全套接层)协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB的安全协议,使用SSL协议进行认证和数据加密的VPN就可以免于安装客户端。相对于传统的VPN而言,SSLVPN具有部署简单,无客户端,维护成本低,网络适应强等特点[4]。
4应用VPN技术访问数字图书馆的方法
4.1开放大学数字图书馆介绍
国家开放大学数字图书馆为开放大学及全国电大系统提供一站式、扁平化服务,其中电子图书书目数据达340多万种、电子图书全文达234万种、学术文献7000多万篇、社科数字期刊2800多种,名师讲座88624集,基本实现数字文献资源全学科覆盖[5]。主要涵盖:(1)开放文献资源列表,提供中央电大图书馆提供的常用电子文献资源列表;(2)读者论坛帮助BBS(beta),是开放数图论坛读者帮助模块,在此可以反馈在使用中存在的问题,提出数字图书改进建议;(3)数字图书馆学习空间,以图书馆培训、教育为主要内容,同时提供教师自建课程的Moodle教学平台;(4)电大在线我的工作室,提供在线教学辅导的全部信息;(5)开放大学讲坛,由中央电大图书馆主办的学术讲座平台,汇集名师名家,深入讲解近期发生的热点问题,提供最全的视频资料信息;(6)全国电大图书馆通讯,是图书馆服务与交流电子期刊,提供了最新的电大图书馆工作动态,介绍电大图书馆新引进的和推荐的文献信息资源等;(7)社会化应用及交流网站等服务。
4.2安装VPN控件
件软件,并将图书馆网站的链接地址添加到IE信任列表,WindowsVista用户在安装控件时请关闭UAC,Windows7用户在安装控件时请对IE点击右键选择“以管理员身份运行”,再打开安装页面。安装VPN控件后,这个插件要求必须使用IE浏览器进行访问,IE浏览器的版本最低为6.0。
4.3登陆访问资源列表
4.4文献检索
日新月异的信息技术,促进了教育信息化的迅猛发展,电大教师的信息技术应用能力、文献检索的方法和途径直接决定了远程教育教学资源的使用效率和科研水平,因此笔者认为提升师生信息素养,加强信息技术应用能力,通过系统内数字资源应用培训,从数字图书馆平台访问、国内主要文献数据库的使用、移动数字图书馆的使用等方面进行培训,使教职工掌握数字文献资源的使用,提高数字资源的使用率,充分发挥资源共享的优势和效益,为教学和科研提供支持。
参考文献:
[1]张文丰,黄淑敏.开放大学数字图书馆资源校外访问方式的研究[J].黑龙江科技信息,2007,(20):146.
[2]付凯东.SSLVPN技术在高校图书馆数字资源中的应用[J].微计算机信息,2010,26(7-3):107.
关键词:IPSecVPN;MPLSVPN;SSLVPN;对比
一、引言
随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSecVPN、MPLSVPN、SSLVPN这几个比较主流的VPN技术。
二、IPSecVPN
IPSecVPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。
(一)认证头(AH)协议
IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。
(二)封装安全载荷(ESP)协议
封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsecESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。
(三)IKE
IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。
三、MPLSVPN
MPLSVPN与传统的IPSecVPN不同,MPLSVPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLSVPN的所有技术产生于Internet。MPLSVPN是一种以MPLS技术为基础的IPVPN,是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)。
(一)MPLSVPN的基本原理
每个MPLSVPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLSVPN网络发挥VPN的作用。在MPLSVPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。
(二)MPLSVPN的优点
1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLSVPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。
2.配置MPLSVPN网络的设备比较容易。配置MPLSVPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。
3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATMVCC(VirtualChannelConnection,虚通道连接)类似的高可靠安全性。
四、SSLVPN
SSLVPN的出现是为了解决IPSecVPN的固有的缺点,SSLVPN继承了IPSecVPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSecVPN与SSLVPN的对比。传统的IPSecVPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSLVPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:
五、总结
由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSecVPN、MPLSVPN、SSLVPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。
参考文献:
论文关键词:高端路由器,网络处理器,城域以太网
1.引言
网络流量的指数级增长,导致网络数据的处理越加复杂,特别是在跨区域大型企业,政府等部门对新业务的需求越来越大的情况下,现有城域网络各方面的瓶颈越来越突出,而且随着NGN、IPTV等基于IP的话音与视频业务的发展,对城域网与接入网的功能与性能又提出了许多更高更新的要求:高带宽、高可靠性、高QoS、低延时和灵活的扩展性。网络处理器,作为新一代的高性能路由器的核心设备,在数据传输处理方面有许多特别的优势,它不但拥有ASIC处理器的高速高带宽,而且具有非常强的灵活性高端路由器,同时在流量管理、QoS、OAM等技术也有独特的优势。
2.城域网技术概述
从横向划分,承载网通常可以分为骨干网、城域网与接入网,城域网位于骨干网与接入网的交汇处,是通信网中最复杂的应用环境,各种业务和各种协议都在此汇聚、分流和进出骨干网。多种交换技术和业务网络并存的局面是城域网建设所面对的最主要问题。而基于IP/MPLS技术建设多业务综合承载网络已经被全球运营商认同。
在城域网络中,骨干层通过出口路由器实现与两张骨干网的连接完成高速的数据转发,并充当IP城域网出口设备。汇聚层作为IP城域网骨干区域向下的延伸,与骨干层构成了核心路由区域,并充当三层MPLSVPN(Multi-PropocolLabelSwitchingVirtualPrivateNetwork)的P设备论文参考文献格式。汇聚层BAS(宽带接入服务器)和路由器以上运行三层网络,以下视具体的情况运行三层或二层网络。接入层负责用户接入,采用二层网络。
3.NP-3网络处理器概述
Ezchip公司的NP-3处理器,是一款高灵活性的网络处理器,它提供10G线速的包处理能力及良好的带宽控制能力。通过编程能实现如二层交换,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多种功能。同时该芯片集成的一个流量控制器,能提供较强的流量管理功能。
NP-3的数据处理流图如图3.1:
图3.1:NP-3数据处理流图
TOPparse解析和提取各种数据帧的帧头、地址、端口、协议等作为查表的关键字。同时也可利用硬件或软件解析报文,过滤非法的畸形报文、攻击报文。
TOPresolve根据TOPsearchI查找表所得的结果进行判断和决策。同时可以通过高学更新会话状态信息等。
TOPserachII可选,在TOPresolve完成后,进行比较简单的额外的数据表查找。
TOPmodify对报文的内容进行修改并发送到不同的路径上。
4.城域网关键技术分析及NP-3平台下的数据转发面实现
4.1网络结构及关键技术分析
典型的城域网由服务商骨干网络(serviceproviderbackbonenetwork,SP-BN)和多个服务商网络(serviceprovidernetwork,SP-N)构成高端路由器,服务商网络之间通过骨干网连接,用户之间则通过服务商网络连接到骨干网,如图1所示,图中SP-BN通过MPLS协议连接,而SP-N通过Q-in-Q(IEEE802.1ad)协议连接。本文将基于该网络实例进行研究讨论。
图4.1:城域网络基本结构
在城域网网络中涉及的三类关键服务:
点到点二层VPN服务(VPWS)
两个单独的用户站点之间可通过本服务实现二层连接,预先配置好一个统一的服务ID(serviceID),建立一条通过SP-N和SP-BN的链路论文参考文献格式。数据帧只需通过预先配置好的serviceID进行转发。如图4.1中的ClientA与ClientB之间的二层服务。
点到多点二层VPN服务(VPLS)
本服务提供了多个站点之间的二层连接,相当于构建了一个虚拟的局域网,数据帧的转发基于serviceID和报文的目的MAC地址(destinationMACaddress,DA)。如图4.1中的ClientA、ClientB、ClientC之间的二层服务。
点到多点路由服务(L3VPN)
本服务提供了多个站点之间的三层连接,同时也能够实现本城域网络与外网的连接。在各个用户站点看来,SP-N就是一个虚拟的私有IP网络。数据帧的转发基于serviceID和目的IP地址(destinationIPaddress,DIP)。如图4.1中的ClientA、ClientB、ClientC之间的三层服务
NP-3硬件支持
NP-3的TOPparse模块能实现硬件快速分析和提取数据报文对应OSI七层网络模型的关键字段,包括MAC地址信息,VLAN标记,以太帧类型,MPLS标签,IP地址,端口,HTTP,UTL等等。在本设计中,重点是对含有多个VLAN标记和MPLS标签的复杂城域网服务的快速处理,NP-3能实现至少4级标签栈的解析,对跨越多重网络结构的复杂服务有强大的支持能力。
4.2NP-3处理器上的关键数据转发面处理流程分析
NP-3处理器的数据转发处理能力强,而对于控制协议的处理能力就较弱。在NP-3上高端路由器,对数据帧的处理依赖于以下三个因素:端口的配置,数据帧的格式以及网络所提供的服务。根据设备的位置,端口的配置又分为四种模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先确定有几下几类数据帧:标准以太网帧,Q-in-Q帧,MPLS封装的IP帧,各帧的结构如下。
标准以太网帧,有三种类型:
DA
SA
0X800
IF
DATA
0X8100
C_TAG
C_TAG1
C_TAG2
论文摘要:本文通过对网络存储技术、虚拟专网VPN技术的设计原则和关健技术的详细介绍,全面分析了这两项技术的性能特点,以及在“共享工程”天津分中心和18家区县支中心的具体实现方案与发展设计构想,阐述了这两项技术的发展前景,及其在全国文化信息资源共享工程得到广泛应用的必然性。
全国文化信息资源共享工程(以下简称文化共享工程)是由文化部、财政部共同组织实施的一项社会主义文化建设标志性工程,是新形势下构建我国公共文化服务体系、惠及千家万户的一项重要文化基础工程。“共享工程”将充分利用现代高新技术手段,将中华民族几千年来积淀的各种类型的文化信息资源精华以及贴近大众生活的现代社会文化信息资源,进行数字化加工处理与整合;建成互联网上的中华文化信息中心和网络中心,并通过覆盖全国所有省、自治区、直辖市和大部分地(市)、县(区)以及部分乡镇、街道(社区)的文化信息资源网络传输系统,实现优秀文化信息在全国范围内的共建共享。该工程于2004年4月正式启动实施。
在中央和地方各级财政的大力支持下经过不断努力,文化共享工程技术体系已经初步形成:在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统;在传输建设方面,形成了以互联网、卫星网、有线电视及数字电视网为主要传输渠道,光盘、移动存储设备为辅助传输手段的网络传输体系,实现了文化信息资源的有效传递;在终端服务上,提供了国家中心网站、省分中心网站、省分中心镜像站、卫星终端服务系统、文化共享工程基层服务系统、有线电视、数字电视、光盘、移动硬盘等手段,方便广大群众以多种方式从不同渠道获取和使用文化信息资源。
本文从动态发展的角度,以现有的技术体系为基础,简要对网络存储技术与虚拟专网VPN技术在“文化共享工程”中应用加以论述。
1网络存储技术
文化共享工程以加工整合各类优秀文献信息资源为重点,建成了具有一定规模的文献信息资源库群。截至2007年6月,数字资源的总量己达到60TB。资源的存储成为了各级分中心核心建设的重中之重。
1.1存储系统设计原则
存储系统的设计要遵循以下原则:
先进性和实用性:在方案总体设计规划时不仅要满足当时业务需求,而且充分考虑未来的需求可能。保证硬件环境的先进性,尽可能采用业界领先的技术。软件环境的先进性,要从软件平台,设计思想、系统结构等方面考虑,选择先进、可靠的应用平台。
安全可靠性:存储系统要保证365X24小时的不间断稳定运行,具有灾难恢复能力。
灵活性与可扩展性:网络存储系统是一个不断发展的系统,所以它具有良好的扩展性,方便的扩大容量和提高层次的功能,支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
开放性/互联性:具备与多种协议计算机通信网络互联互通的特性,确保网络存储系统基础设施的作用可以充分发挥。
经济性/投资保护:以较高的性能价格构建网络系统,充分利用以往在资金与技术方面的投人。
可管理性:采用智能化,可管理的设备,先进的管理软件,实现先进的分布式管理。实现监控、监测整个系统的运行状况,合理分配资源、动态配置负载等等。
综上所述,存储设备的选择可按需定制,根据不同预算情况,不仅满足当前需求,还要兼顾将来的升级维护。
1.2存储系统解决方案
1.2.1省级分中心的存储解决方案
天津图书馆作为“共享工程”的省级分中心,以其存储系统为例:存储设备采用的是EMCCLARi-iONCX500存储系统。CX500提供了一种没有任何单点故障的可扩展、高可用性体系结构,采用了通用的硬件体系结构和软件应用程序套件,通过EMCNavisphere进行集中管理并支持基于存储的业务连续性和灾难恢复功能,保证了数据的完整性和高可用性。具有了全局热备功能,冗余电源和冷却,通向光纤通道和ATA磁盘驱动器的四条通路,双活动存储处理器,整个阵列内的数据通路奇偶校验等许多特性。
在性能方面,CX500配有4个用于SAN连接的2Gb前端光纤通道端口和4个光纤通道和ATA磁盘驱动器的2Gb后端光纤通道通路,可以有效地支持多达120个驱动器而不会出现性能降级。CX500同时支持高性能光纤通道驱动器和高容量ATA驱动器,所以提供了最好的部署灵活性。鉴于共享工程资源存储的需求,天津图书馆的CX500共配置了3个光纤磁盘柜共15TB的存储空间,其中包括7.5TB的光纤硬盘和7.5TB的SATA硬盘。
在软件支持方面,CX500在设计上可同时支持多达128部服务器,大大简化存储设施的整合过程。它符合绝大多数常用服务器操作环境的要求,其中包括MicrosoftWindows,SunSolaris,UNIX,Linux和NetWare平台等,而且在SAN,NAS和DAS环境中运行时具有高度的灵活性。采用Navisphere管理框架,该系统是一套简单易用的基于图形用户界面
1.2.2区县支中心的存储解决方案
以天津市的十八家区县支中心为例:
存储设备统一采用H3C的EX1000存储磁盘阵列柜。该设备为基于成熟的IP协议传输的存储设备,使用更灵活,配置更方便。可以在简单配置后为网络中的各种服务器提供海量存储空间,同时也具备极大的扩展性和灵活的升级。此存储配置了4.5T的存储空间(共9块5006盘),其中一块硬盘做为全局热备盘,在最大程度上保证了磁盘的冗余,确保数据的安全。在数据传输上将4个1000M数据端口进行连路聚合,既保证了高带宽的可用还保证了链路的冗余。高带宽的使用除可以保证访问瓶颈的解除,同时也对数据的链路提供了必要的保护,同时4条链路的存在即意味着可以承受75%的故障率,所以,这样的技术保证是完善的安全运行应用的保证。
2VPN技术
互联网作为“共享工程”的文化信息资源的主要传输渠道,所有信息服务都暴露在Internet上,很容易被入侵者窃取和篡改,安全性不够。如果改用专线方式,一方面造价较高,维护也较困难;另一方面升级和扩展也受限制。因此寻找一种比较经济,对数据的安全又较有保障,而且又有利用网络的升级和扩展的组网方式显得异常的重要,而VPN技术恰恰能满足这方面的需要。
VPN(VirtualPrivateNetwork)中文译为虚拟专用网,它是一种通过ISP和其它NSP,在公网中建立用户私有专用网的数据通信技术,是一种通过私有隧道在公共数据网上仿真一条点到点的专线技术。是对专用网络的扩展,它是指共享或公共网络上经封装,加密和身份验证的链路。VPN模仿专用网的一些属性;它允许数据通过诸如Internet的网络在两台计算机间传递;通过隧道技术模仿点对点的连接。
2.1核心技术
①隧道技术:隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F,PPTP,L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装人隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP,IPSec等。IPSec(IPSecuri-ty)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。②加解密技术:加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
③密钥管理技术:密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAK-LEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMI〕中,双方都有两把密钥,分别用于公用、私用。
④使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
2.2VPN技术在“共享工程”中应用的必要性与实现方法
“共享工程”在资源数字化方面,以数字图书馆技术为依托,建成了国家中心和各省级分中心的资源加工管理系统。
2.2.1VPN技术的实现方式
2.2.2实现VPN技术的方案
主要有三种:硬件平台VPN、软件平台VPN和辅助硬件平台VPNa
(1)软件平台VPN
利用一些软件公司所提供的完全基于软件的VPN产品来实现简单VPN的功能,甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统就可实现纯软件平台的VPN。特别从Windows2000系统开始对传统的IpsecVPN方案提供了全面支持,不仅可以提供原来PPTP隧道协议VPN的方案支持,而且还提出了新的L2TP隧道协议VPN方案,使VPN的应用得到前所未有的推进。
(2)硬件平台VPN
使用硬件平台的VPN设备可以满足不同用户对高数据安全及通信性能的需求,特别是加密及数据乱码等对CPU处理能力需求很高的功能。能提供这些平台的硬件厂商较多,如Cisco,3Com、华为、联想等,这类VPN平台投资了大量的硬件设备,投资成本较高。
(3)辅助硬件平台VPN
辅助硬件平台VPN作为最常见的VPN平台,介于软件平台和硬件平台之间,主要是以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。但通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还要添加专业的VPN设备,如VPN交换机、VPN网关或路由器等。
2.2.3构建VPN专网的关键问题
由于“共享工程”天津分中心与各区县支中心都已建成了自己的局域网,那么VPN设备与防火墙的安装方式,成为构建VPN专网的关键问题。
现在最普遍采用的方式:是将、’PN设备与防火墙平行安装,它不需要改变防火墙目前的结构体系,但也意味着进人内部网络将有两个人口。在大部分VPN设备上,检查进人的数据,并阻挡非VPN流量进人内部网络,以减小额外的安全风险。依赖网络建设的方式,也需要VPN设备做一些地址翻译的工作,或者将流量重定向到防火墙。
还有一种方式:是将VPN设备安装在防火墙后,对防火墙做出一些改变。需要防火墙配置一个足够“聪明”的过滤器以允许VPN流量通过。另外,一些防火墙不能处理碎片,而碎片对于VPN来说是非常普遍的。因此,如果不在客户软件中人为减小MTU(最大传输单元),就不可能将VPN安装在防火墙之后。
信息资源广域VPN网建成后,逻辑上把物理位置省级分中心与不同的区县支中心、共享工程基层中心连接成统一的内部网,从而提升了文化信息资源共享工程的实在意义。