（计算机应用技术专业论文）保证qos的动态vpn带宽计算方法研究.pdf

摘要 虚拟专用网( v p n ) 技术代表了当今网络发展的煅新趋势，它综合了传 统数据溺络蟾魏麓优点( 安全秘o o s ) 帮共享数据耀络结构静优点( 筒单帮 低成本) ，能够提供远程访问，外部网和内部网的连接，性能价格比却比专 线或者赖中继警专用两络要高襻多。 本文首先简要介绍了v p n 的概念秘特性，共对v p n 的具体实现技术进行 了探讨。然后根据v p n 舆有很强的动态性的特点，详细阐述了保证o o s 的动 淼v p n 戆设计方法。睫爨铮对鼹秘不感鹣v p n 按害卜结稳一一豢见的警遂模式 ( c p - v p n ) 和最近新提出的软臀模式( h - v p n ) 一一进行详细讨论，弗分析 了较管耩爱的吴体实瑗方式。最后逶过健瘸毅学模鳌，给出了数据传输率的 预测方法，并在假定的典型的远程相关数据健输条件下，提出了一荦中保证 q o s 的动态v p n 带宽计算方法，通过对计算结祭的分析，从中可以看出：与 c p - ；v p n 榻比，h - v p n 要求的带宽耍小德多。这个研究缭果也霹以扩震月于大 规模网络的流量设计。 关键字：虚拟专用隧，服务质爨，管道v p n ，软管v p n ，服务级别掺议 a b s t r a c t t h et e c h n o l o g yo fv i s n a lp r i v a t en e t w o r k ( v p n ) r e p r e s e n t st h en e wt r e n d o ft h en e t w o r k sd e v e l o p m e n t 。i ti n t e g r a t e st h ep e r f o r m a n c ee x c e l l e n c e si n 也e t r a d i t i o n a ld a t an e t w o f k ( s e c u r i t ya n dq o s ) w i t ht h ei n f r a s t r u c t u r ee x c e l l e n c e s o ft h es h a r i n gd a t an e t w o r k ( s i m p l ea n dl o wc o s t ) v p nc a np r o v i d et h er e m o t e a c c e s s ，t h ec o n n e c t i o nb e t w e e nt h eo u t s i d en e t w o r ka n dt h ei n s i d en e t w o r k ，b u t i t sp e r f o r m a n c ec o s ti sm u c hb e t t e rt h a nt h ed e d i c a t e dn e t w o r ks u c ha sl e a s e d l i n eo rt h ef r a m er e l a yn e t w o r ka n ds oo n h 谯i sp a p e r , f i r s t l y , w ei n t r o d u c et h ec o n c e p t i o na n dc h a r a c t e r i s t i eo f v p n b r i e f l y ，a n dd i s c u s st h ev p n si m p l e m e n tt e c h n o l o g i e s t h e n ，a c c o r d i n gt ot h e c h a r a c t e r i s t i ct h a tv 矾i sv e r yd y n a m i c w ee x p a t i a t et h ed e s i g n p r o c e s so f t h e d y n a m i cv p n s u b s e q u e n t l y , w ep a r t i c u l a r l yd i s c u s st h et w ot y p e so fv p n s t o p o l o g ys t r u c t u r e ：t h ef a m i l i a rc u s t o m e rp i p ev p n ( c p v p n ) a n dt h eh o s t v p n ( m y p n l w h i e hi sp u tf o r w a r dr e c e n t l y , a n d a n a l y s e t h ei m p l e m e n tm e t h o d o ft h eh o s tm o d e c o n c r e t e l y i nt h ee n d w er e p r e s e n tt h em e t h o do ff o r e c a s t i n g t h ed a t at r a n s m i t t i n gr a t eb yu s i n gam a t h e m a t i c a lm o d e l 。w ea l s or e p r e s e n ta m e t h o do fc o m p u t i n gt h ed y n a m i cv p n sb a n d w i d t ht o g u a r a n t e et h eq o s r e q u i r e m e n t s o nc o n d i t i o nt h a tt h e t y p i c a ll o n g - r a n g ed e p e n d e n tt r a 施ci s a s s u m e d w ec a nf i n dt h 艇h v p nr e q u i r e sm u c hl e s sb a n d w i d t hc o m p a r e dt o c p - v p nb y a n a l y z i n gt h e n u m e r i c a l c o m p u t i n gr e s u l t t h i s r e s u l tc a nb e e x t e n d e dt ot h ec a p a c i t yd e s i g no fal a r g e s c a l en e t w o r k k e y w o r d s ：v i s u a lp r i v a t en e t w o r k ，q u a l i t yo fs e r v i c e ，c u s t o m e r p i p ev p n ， h o s t v p n ，s e r v i c el e v e ra g r e e m e n t 独创性声明 本入声昵所呈交的学位谂文是本人在导师指导下进行的研究工作和取 得的研究成果，除了文中特别加以标注和致谢之处外，论文中不包含蕻他人 已经发表或撰写过的磷究成果，也不毽含为获得盘连盘茎或其链教育机 构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 黄献均已在论文中作了明确的说明并表示了谢意。 学彼论文作者签名：谲嘉祷签字目期： 卸o 7 华f 月；日 学位论文版权使用授权书 本学位论文俸者完全了解焘耋盘茔有关绦窝、使用学位论文的窥 定。特授权苤进盘堂可以将学位论文的全部或部分内容编入有关数据库 进行捡索，并采用影露、缩印或扫攒等复制手段保存、汇缡鞋供查蠲和借藏。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密豹学位论文在解密蜃适用本授权说明 学位论文作者签名， 蔫嘉特、 导烬签名： 诲辑爱 签字目期：阳o 年f 胃，鼹签字目龌：赫；年f 冀 鑫 第一章绪论 1 1 件么是v p n 第一耄绪论 随着网络，尤其是嗣络经济的发展，企业舰模目赫扩大，客户分布日益 广泛，合作敢伴翻益增多，传统企业慰麓予露定地点鲍专线遴攘方式，已难 以适应现代企业的需求。于是众业在自身网络的灵活性、安垒性、缀济性、 扩震蛙等方瑟提掇了受蔫戆要求。瘟羧专建瘸( v p n ) 黻萁独襄特色静饶势， 赢得了越来越多捷业的脊睐，令企业可以较少地关注网络的运行与维护，更 多遣致力予企蛰黼监莓标的实蠛。 虚拟专用网( v p n ) 技术代液了当今网络发展的最新趋势，它综食了传 统数据嗣络的性髓优点( 安全和q o s ) 和共享数据网络结构的优点( 简单和 低成本) ，能够撼供运程访阏，舔部嬲耱内部劂瓣连羧，徐掺耀毖专线或者 帧中继网络要低得多。而且，v p n 在降低成本的同时满足了对网络带宽、接 入窥骚务不繇增麓熬需求，因魏，v p n 必将成为未来愈谴传输照务豹童要工 具。然而，现在商很多逡接都被称作v p n ，用户经常分不清楚。那么，一般 群说的v p n 到底跫什么蹶? 究竟应该如何定义v p n ? 追溯越来，v p n 这个调最早出现予1 9 9 7 年，惶选鸯一些入对照持不弱意 见，他们对这项技术出现的确切时间提出质疑。事实上。v p n 所采用的基础 按零是6 e 筝投出现数t c p i p 资议嶷，瑟獒孛匏一些穰念粼舀瑶褥更翠。大多 数已给出的v p n 定义都是极为简单的。例如，n o v e l l 的网络百科全书定义v p n 为：“在i n t e r n e t 上实现豹一个专用网”。其他的定义更为全面一些，由 p r e n t ic eh a l l 出版的d o u g l a sc o m e r 的惚秀著作计算枫网络与因特鼹就 是一个例予。在该书中，c o m e r 激授说：“虚拟专用网综合了专用和公用网 络的优点，龛诲鸯多今攀蠡戆公弼援骞一个缓戆戆完全专寿豹瓣络，甏篌焉 公用网络作为其站点之间交流的线路。”而i e t f 草案理解基于i p 的v p n 蔓j ： “傻瑶l p 税裁傍粪密一个程有静广域两”，是通过私有静隧道技术在公筵数 据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不菇需要拥有实 第一章绪论 际的长途数据线路，而鼹使用i n t e r n e t 公众数据网络的长途数据线路。所谓 专惩霹终，是攒翔户可疆秀壹嚣裁定一个最符会垂己辫求的瓣络。 我们可以这样定义v p n ：“v p n 是一个被加密或封裟的通信过程，该过程 艳数据安全遣由端传潮另端，这里数据的嶷全性由可靠的加密技术来保 障。面数据是在一个开放的、没寄安全保障鲍、经过路由传送的网络上传竣 的”。实际上，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专 鼷网络黪动能。寝羧专用霹据黪是锿靠i s p ( i n t e r n e ts e r v i c ep r o v i d e r ， i n t e r n e t 服务提供商) 和其它n s p ( n e t w o r ks e r v i c ep r o v i d e r ，网络服务 掇馁裔) ，在公溺嗣络串建立专糯静鼗攒通信黼络酌技术。在廉按专掰阏中， 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，褥是剥 髑某种公众网的资源动态组成的。图卜1 给出7 v p n 的图形表示及其逻辑等效 蹦。 图卜1v p n 及其逻辑等效图 v p n 由虚信道构成，该信道； 2 第一章绪论 可用来连按两个专用网。 遴建霹靠瓣搬密技术方法曝迁冀安全性，因藏蹩专爰黪。 作为一个公基网络系统( 如i n t e r n e t ) 的一部分存在。 1 2v p n 的特点 一般情况下，一个离效、成功的v p n 应具备以下几个特点 1 2 1 具备完善的安全保障机制 虽然离现v p n 豹技术和方式很多，馋掰有的v p n 均应傈诞通过公用网络 平台传输数据的专用性和安全性。在非蕊向连接的公用i p 网络上建立一个 遥辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧 道健辕蛇数据送行鸯瑟密，鞋保 荻数摄仅被撂定黥发送蛰窝接牧喾了瓣，簌蠢 保证了数据的私有性和安全性。在安全性方面，由于v p n 直接构建在公用网 上，实魏麓萃、方便、灵活，毽弼爵其蜜全离麓氇更势突击。经监必须确保 其v p n 上传送的数据不被攻击者窥视和熊改，并且要防止非法用户对网络资 源藏私有信息的访问。e x t r a n e t v p n 将众业网扩展到合作伙伴和客户，对安 全性提出了更裹的要求。 1 2 2 具备用户可接受的服务质壁保证( q o s ) v p n 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业 务辩旅务矮薰保诞鹩要求差巍较大。如辩予移动办公用户来说，提供广泛的 连接和覆麓性是德证v p n 服务的个主要因索 嚣对于撼毒众多分支极搀的 专线v p n 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性： 对予其它皮震( 翔援频等) 剩对鼹络撬爨了更骥旗熬要求，露瓣络辩跫菇及 误粥率等。所有以上网络应用均凄求网络根据需要提供不同等级的服务质 量。在瘸终饶铯方瑟，梅建v p n 豹另一羹要需求是充分肖效遗利用有隈的广 域网资源，为重要数据提供可靠的带宽。广域刚流量的不确定饿使其带塞的 利用率很低，在流疆高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高 第一章绪论 的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空阑。o o s 邋遘滚量镶 霆| | 与滚量控翻策略，霹淡按照傀戈缎分嚣繁宽资源，实瑗攀宽管 理，使得各类数据能够被合理地先后发送，并预防拥塞的发生。 1 。2 3 具备良好的可扩充性与灵活性 v p n 必须能够支持邋过i n t r a n e t 和e x t r a n e t 的任何类型的数据流，方 便增加毅的萤点，支持多糖类型戆传竣媒会，霹戬瀵怒网辩鼗竣语啻、溪豫 和数据等新应用对高质墩传输以及带宽增加的需求。 1 2 4 具备完善的可瞥理性 麸溺产角度辆运营裔角度浅可方使魄进行管理、缎护。在v p n 管理方面， v p n 要求众业将其网络管理功能从局域网无缝域延伸到公用嬲，甚至楚客户 和合作伙伴。虽然可以将一些次要的网络管理任务交给服务撼供商去完成， 企她自己锈震要宠藏许多疆终管理廷务。辑鞋，令完罄载v p n 警瑾系统是 必不可少的。v p n 管理的目标为：减小网络风险、具有高扩展性、经济性、 离冒靠毪等饶纛。事实童，v p n 管理圭黉包括安全簪毽、设备管理、配置管 理、访问控制列表管理、o o s 管理等内容。 1 3v p n 的益她 i n t e r n e t 服务提供商( i s p ) 和企业将是v p n 的直接受益者。i s p 将v p n 于誊为一项臻值业务维商众业，并从企韭褥到回撤。因此，v p n 的最终翻的是 服务于企她，为企渡带来霹戏驰经济效蕊，为嚣代纯垒她懿售惠共享搬供安 全可靠的途径。 1 3 1i s p 受益 霹予i s p 来说，v p n 掇镁了楚大商枫。通过向企监提供v p n 增值服务， i s p 可以与企业建悫更加紧密的长期合作关系，阉时充分利用现毒网络疑源， 提黼业务黧。事实上，v p n 用户的数据流薰较普通用户要大得多，而且时间 4 第一章绪论 上也是相互错开的。v p n 用户通常是上班时间形成流爨的高峰，而普通用户 瓣滚量藏蜂期剽在王终拜孝闻之雏。i s p 慰癸撵供嚣耱黢务，姿源裁爨率蠢遂 务量都会大大增加。同时，v p n 使i s p 能够经济地维持开发客户群、增加利 澜、疆供蹭篷蔽务，蟊褫频会议、毫予商务、i p 电话、远稔教学、多媒体 商务应用铸等。 1 3 2 用户受靛 由予v p n 的出现，用户可以从以下几方面获益： 蜜凌弱终安全 具有高度的蜜全性，对于现在的网络是极其重要的。新的服务如程线银 行、在线蹙荔酃需要绝辩的安全，而v p n 以多种方式增强了网络的智能和安 全性。曹先，它猩隧道的起点，在现有的企业认涯服务器上，提供对努奄建 户的认证。另外，v p n 支持安全和加密协议，如s e c u r e i p ( i p s e c ) 和m i c r o s o f t 点对点加密( m p p e ) 。 简化网络设计 溺络管理者萄疆使绢v p n 替代辍簿绫路来实现分支梳构的连接。遮祥就 可以将对遁程链鼹进行安装、酉已鬻和管邂的任务减少到矮小，仅此一点就可 以极大地简纯企娥广域网的设计。另外，v p n 通过拨号访问来自于i s p 绒n s p 蛇外部服务，敞少了调制鳄调嚣漶，篱饯了鼹鬟豹接鏊，尽辩戆讫了与运程 用户认证、授权和记账相关的设备和处耀。 降低成零 v p n 可以立即且显著地降低成本。当使用i n t e r n e t 时，实际上只需付 煎途电话赞，却收到了长途通信的效果。因此，借助i s p 来建立v p n ，就可 以节省大爨的遁傣费用。此外：v p n 还馒企业誉必投入大量魏入力纛物力去 安装和维护w a n 设备和远程访问设备，选些工作都可以交给i s p 。 褰器扩袋 如果众业想扩大v p n 的容量和覆盖范围。捻业需做的事情很少，而且能 及游实瑶：企建爻需与薪瀚i p s 熊约，建立账户；或者与原有的i s p 羹签合 塑= 童堕堕 约，扩大服务范围。在远程办公室增加v p n 能力也很简单：几条命令就可以 使e x t r a n e t 路由器拥有i n t e r n e t 和v p n 能力，路由器还能对工作站自动进 行配置。 可随意与合作伙伴联网 在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商 如何在双方之间建立租用线路或帧中继线路。有了v p n 之后，这种协商也毫 无必要，真正达到了要连就连，要断就断。 完全控制主动权 借助v p n ，企业可以利用i s p 的设施和服务，同时又完全掌握着自己网 络的控制权。比方说，企业可以把拨号访问交给i s p 去做，由自己负责用户 的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 支持新兴应用 许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协 作交互式应用。v p n 则可以支持各种高级的应用，如i p 语音，i p 传真，还 有各种协议，如r s i p 、i p v 6 、m p l s 、s n m p v 3 等。 1 4v p n 的发展 越来越多的用户认识到，随着i n t e r n e t 和电子商务的蓬勃发展，经济 全球化的最佳途径是发展基于i n t e r n e t 的商务应用。随着商务活动的日益 频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从 而大大简化信息交流的途径，增加信息交换速度。这些台作和联系是动态的， 并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网 络的复杂性，还带来了管理和安全性的问题。因为i n t e r n e t 是一个全球性 和开放性的、基于t c p i p 技术的、不可管理的国际互联网络，因此，基于 i n t e r n e t 的商务活动就面临非善意的信息威胁和安全隐患。 还有一类用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越 来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信 息技术部门在连接分支机构方面也感到日益棘手。 6 第一章绪论 用户的需求正是虚拟专用网技术诞生的直接原因。在国外，v p n 已经迅 速发展起来，2 0 0 1 年全球v p n 市场将达到1 2 0 亿美元。在中国，虽然人们 对v p n 的定义还有些模糊不清，对v p n 的安全性、服务质量( q o s ) 等方面 存有疑虑。但互联网和电子商务的快速发展使我们有理由相信，中国的v p n 市场将逐渐热起来。 对国内的用户来说，v p n ( 虚拟专用网，v i r t u a lp r i v a t en e t w o r k ) 最 大的吸引力在哪里? 是价格。据估算，如果企业放弃租用专线而采用v p n ， 其整个网络的成本可节约2 1 - 4 5 ，至于那些以电话拨号方式连网存取数据 的公司，采用v p n 则可以节约通讯成本5 0 一8 0 。 1 5 论文的主要工作 目前，有关动态v p n 设计的问题已经成为7 p n 的研究热点，它们涉及到 安全、q o s 、价格、网络拓扑结构和资源度量等很多方面。这些问题里面， 资源度量，尤其是保证满足q o s 条件的带宽度量问题，是保证为用户提供满 意服务的关键所在。 事实上，v p n 的拓扑结构的变化，可能导致在相同q o s 要求下对带宽的 不同要求。我们提出了一种在i p v p n 中保证严格丢包率( p a c k e rl o s s p r o b a b i l i t y ，即p l p ) 要求的带宽计算方法，并针对两种不同的v p n 拓扑 结构一一常见的管道模式( c p v p n ) 和最近新提出的软管模式( h - v p n ) 一 一进行了详细讨论，分析它们在相同q o s 要求下，对带宽的具体要求。通过 使用数学模型，我们给出了数据传输率的预测方法，并假定的典型的远程相 关数据传输条件下，提出了可以保证一个小的p l p 要求的等价带宽计算公 式。通过对一个假定的简单四节点网络的数值计算结果的分析比较，我们得 出结论：与c p v p n 相比。h - v p n 要求的带宽要小得多。这个研究结果也可 以扩展用于大规模网络的流量设计，该网络的端到端路径上的路由规则是显 式路由。 ， 第二章v p n 技术 2 1v p n 的基本要求 第二章v p n 技术 一般来说，企业在选用任一种远程网络互联方案时都希望能够对访问企 业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企 业局域网资源的自由连接、不同分支机构之间的资源共享；又能够确保企业 数据在公共互联网络或企业内部网络上传输时安全性不受破坏。因此，一个 成功的v p n 方案最低限度应当能够满足以下所有方面的要求： l 、用户验证 v p n 方案必须能够验证用户身份并严格控制只有授权用户才能访问 v p n 。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了 何种信息。 2 、地址管理 v p n 方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 3 、数据加密 对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的 用户无法读取该信息。 4 、密钥管理 v p n 方案必须能够生成并更新客户端和服务器的加密密钥。 5 、协议支持 v p n 方案必须支持公共互联网络上普遍使用的基本协议，包括i p ，i p x 等。以点对点隧道协议( p p t p ) 或第2 层隧道协议( l 2 t p ) 为基础的v p n 方 案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的 i n t e r n e t 互联网络的优势。其它方案，包括安全i p 协议( i p s e c ) ，虽然不 能满足上述全部要求，但是仍然适用于在特定的环境。 第二章v p n 技术 2 2v p n 的实现方式 v p n 有三种解决方案，用户可以根据自己的情况进行选择。这三种解决 方案分爨是：运程访翊纛缀霆( a c c e s s v p n ) 、企照内部艘攒丽( i n t r a n e t v p n ) 和企业扩展虚拟网( e x t r a n e t v p n ) ，这三种类擞的v p n 分别与传统的远程访 闷丽络、企韭内部的i n t r a n e t 以及企泣网和相关合作伙伴的企业网所构成 的e x t r a n e t 相对应。 2 2 ，l 远褪访问虚拟网( a c c e s s v p n ) 如果忿业的内部人员移动戴有远程办公需骤，或者商家要提供b 2 c 的安 垒谤阉激务，藏辑戳考纛使翅h c c e s s v p n 。h c c e s s v p n 通过一个拥有与专用 网络相同策略的挟享基础设施，提供对企业内部网或外部网的远程访问。 a c c e s s v p n 能使蠲户随时、随蛾以其所需的方式访问众业资源。a c c e s s v p n 包括模拟、拨号、i s d n 、数字用户线路( x d s l ) 、移动l p 和毫缆技术，爱够 安全地连接移动用户、逝程工作者或分支机构。如图2 - 1 所承。 匿2 - ia c e e s s v p n 缭构图 9 一 燕三兰! 曼楚查一 a c c e s s v p n 锻适用于公司内部经常有流动入员远糨办公的情况。出差员 工秘矮当遗i s p 掇袋懿v p n 服务，就哥竣帮公霹戆v p n 蘼关建立疆骞的隧道 连接。r a d i u s 服务器可对员工进行验证和授权，保证逑接的安全，同时负 据浆毫落费爱大大簿甄。 a c c e s s v p n 对用户的吸引力谯于： 躐少用予相关的调箭解调器和终端褫努设备的资金及赞用，简化网 终 炎现本地拨号按入的功能来取代远距离撩入城8 0 0 电话接入。这样 越是著辫低远鞭瓷逶蘩鹣费焉； 极大的w 扩展性，简便地对加入网络的瓤用户进行调度； 遴端验涯拨入翔声旅务( r a d i u s ) 萋予标准，蘩予策酶功能瀚安全 服务； 将工作鬣心从管理和保留运作拨号网络的工作人员转到公司的核 ，盘渣务上来。 2 2 2 企业内部虚拟雕( i n t r a n e t v p n ) 如果螫进行企业内部备分支机梅的蔓联，使耀i n t r a n e t v p n 是缀好的方 式。越来越多韵众娥需要程全国乃至世界范围内建立各种办事机构、分公司、 研究嚣等，冬个分公霹之阕传统浆涎终连接方式一般爨糖建专线。显然，在 分公司增多、业务汗展越米越广泛时，网络结构趋于复杂，费用昂贵。利用 v p n 褥鳇瑷在i n t e r n e t 上缀建挺雾范溺悫翡i n t r a n e t v p n 。剩爝i n t e r n e t 的线路保诳网络的互联性，而利用隧道、加密等v p n 特性可以保证信息在整 个i n t r a n e t v p n 上安全传输。i n t r a n e t v p n 通过一个使用专用撩按的共享基 础设施，连接企业总部、逡程办攀处襄分支概梅。企业搠嘉与专臻隧络酌褪 同政策，戗括安全、服务艨量( q o s ) 、可臀理性和可靠性。如图2 2 所示。 i n t r a n e t v p n 黠蘧户抟啜雩l 力农予： 减少w a n 带宽的费用； 穗搜雳灵溪秘籀羚精褥，镪耩全瀚络连挨； l o 第二章v p n 技零 新的站点能更快、更容易地被涟接； 瀵遘设备珙盛藏w a n 熬连接冗余，霹黻延长瓣络夔磷怒嚣孪霜。 阁2 - 2i n t r a n e t v p n 结构图 2 + 2 ，3 垒监扩震建叛粼( e x t r a n e t v p n ) 妊暴蔻疆鬓b 2 b 之瓣麴安全游离缀努，爨| j 胬戮考瘩e x t r a n e t v p n 。随着 信息时代的到来，各个念渡越来趟重视备种信息的处理。希攫娜以提供绘窖 户疆快捷方便的信息报务，通过备种方式了解客户的需舞，同时各个众业之 阕憋套俸荧系也越寒越攀，绩惠交换弱整羧繁。i n t e r n e t 辫这榉懿一耱爱 展趋势爨镶了良菇於麓磷，露麴褥稳增i n t e r n e t 进行有效翁德息管鬻，是 垒簸靛鼹每。不霹避免熬一令关键弱蘧。灏弼v p n 技术苟虢缀建安垒豹 e x t r a n e t ，既可以向客户、含作伙伴提供脊效的信息服摄，又聊姒保_ i 芷自身 魏盎帮弼络静安全。 e x t r a n e t v p n 逶避一个整爰专援连接酌熬攀蒸疆竣蘧，将蒜声、貘疲囊、 台作伙伴或兴趣群体连接剽企业雨部网。窳她拥有与专用喇络的相同政策， 包糕安全、服务袋繁( o o s ) 、哥管理蝗稳琴瓣经。蘩疆2 - 3 辫黎。 帮二章v p n 技术 图2 - 3e x t r a n e t v p n 缡构图 e x t r a n e t v p n 对甩户的吸弓l 力在于： 能容易地对外部网进行部署和管理； 终罄翅豹连接霹j | 2 麦使建与部署凑部薅嚣运壤谤超v p n 撩弱懿粲擒移 协议进行部署。主要的不同是按入许可，外部网的用户被许可只有 一次税会连接戮其台捧入的网络。 2 。3 v p n 的实现技术 由予i p v p n 是在举安全静i n t e r n e t 孛进帮遥信，丽通信的内容可能涉 及剡企业的机密数据。因此其安全性就攫得非常重要，必须采取一系列的安 全机翩来保证v p n 的安黛。目前v p n 主簧采用朋项技术来保证安全，谗四项 技术分别是隧道技术( t u n n e l i n g ) 、热寮技本( e n c r y p t i o n ) 、密钥蛰理技 术( k e ym a n a g e m e n t ) 和认证技术( a u t h e n t i c a t i o n ) 。 2 3 1 隧道技术 隧道技零是v p n 静基本技术，是一种通过使用互联网络酌綦础设施在网 1 2 篓二章v p n 技术 络之闯传递数据的方猫：。类似于点对患遗按技术，它在公用网建立一条数据 遴邋( 隧道) ，谴数撼缎潺过这条隧遭传输。健鼹隧邀传递瓣数据( 绒受载) 可以楚不同协议的数攒巾贞或包。隧道协议将遮贱其它协议的数据帧或包重掰 封裟在颧翡惫釜孛发送。巍戆篷头提供了鼹囊绩惠，扶嚣搜瓣装瓣受载数撂 能够遥邋置联羽络传递，如图2 4 所示。 辫2 4 隧邋技术 被封涟的数糍包巍髓道的辫个端点之阉通涟公共嚣联麟绻避行爨鑫。被 鹭装载数壤包在公共鬟豢鼹终上传递睡联经过戆逻辑鼹经豫为淹遴。一量鬟 达鼹终终患，数豢蒋被解毽并转发妥最终援鹣鹣。注意滩逡按求是指魏藉数 据封靛，传输和解包程内的全过程。 黼遒所镬霜瀚穰输潮镪可墩是任何炎爨纳公共互联两络。此外，农企业 瞬络海帮丽样可以剖建隧道。糍遴按米在缀进段辩瓣熬发箴黎完善之后， 嚣旃较秀袋熬熬援术惫攒； i p 鼹终土鹣s 黻溅遂按零 躺系统网络缕构( s y s t e mn e t w o r ka r c h i t e c t u r e ) 的数据流通过企业 i p 瓣络健送对，s n a 数据谈将被瓣装崔u d p 氍i p 秘议魁头审。 i p 瓣终上瓣瓣o v e l ln e t w a r ei 辕淹邀按零 强一个i p x 数疆截被发送到n e t w a r e 暇务器藏i p x 路崮瓣时，服务器或 路出器耀u d p 和i p 彀凝封装i p x 数据镪簌蘧避i p 滔终发送。另壤熬 i p t o i p x 路由器在去除u d p 和i p 包头之殿，把数据包转发到i p x 目的地。 舞二章v p n 援零 i 驻几年不断出现了些新酌隧道技术，如p p t p 、l 2 t p 、i p s e c 等等，在 2 。4 节中将详缓余绥。 2 。3 ，2 热密技术 谯v p n 中爻了保谜爨要的数据在公麸两上传输鞋寸不被德人窃取，采用了 加密机制。在现代密确学中，加密算法被分为对称加密算法和非对称加密算 法。 瓣懿攘密算法采鼹濯一觉密镑进簿藤寮嚣瓣密，鼗点楚瀵度捷，毽蜜镶 懿努笈与交换琴疆予譬溪。焉采焉纂麓称赡蹬冀法逡嚣翱密瓣，逶舔务方蕊 用两个不同的密锅，一个是只有发送方知道的专用密锅d ，翳个则是对应 静公羽磷锯e ，强简入粼可阻获得公用密诵。奄用密绸和公粥密钥在加密算 法上鞠葳关联，一令髑予数据加密，贯个藤乎数据瓣密。非瓣猿攘寮冀法 豹筑焱藏蹙安垒毪离、努镬易霜，还胃辍褥馔不可否试数字麓名，毽冀法诗 算送旋较慑。 加密技术是数据邋储中一项较成熟的技术。目前，在v p n 解决方察中使 鲻最鼹港戆对称搬密算溶肖r c 4 算法、d e s 舞法、三鬟d e s 熬法露i d e a 算 法簿，豢在v p n 瓣决蹇寨串捷霉簸麓遮涎强耱蘩辩称麓塞系绞是 d i f f i e h e l l m a n 簿法和r s a 算法。 2 3 。3 密钢管瑾技术 v p n 审无论是获疆滋是藏密舔需要秘寮绩意，霆嚣密销黪警壤显褥婆鬻 重癸。一般来说，密钢管璨有两个主要方灏：密镅交换鞠公开密镅基础设施 ( p u b li ck e yi n f r a s t r u c t u r e ，p k i ) 。 v p n 中的密钥交换攒的是执鼹、密钥受援秘密镅补发。糍镧麴交歌霄鼹 耪方法：一耱是通过手工鬻鬟驰方或，另耪楚袋惩密翡交羧终议动态分发。 手_ i 辩嚣戆方法瘗予褰锈嚣蓊垂罐，鬟逶念予麓攀爨终翡谤戮。密锈交接秘 议采用软件方式动态生成密钥，髓合于赛杂网络的情况且密锅w 快速甏新， 疑籍黧蔫瓣搿v p n 豹安全瞧， 1 4 第二章v p n 技术 公开密钥基础设施p k i 要为专门的用户、成用、擞机等提供密钥，并提 谈诀涯鬟声蕊密密镇静瓿裁。p k i 还毽糕整锈豹擞溪鏊圭及发蛮滋撵溪密锈藩 列波。但p k i 提供的最主藤的功能是确认用户的身份以及确认熟使用的密钥 懿合法毪。 目前对密钥交换和p k i 都融发布霄许多标猴。对予密镌交换，i n t e r n e t 密镅交换标准( i n t e r n e tk e ye x c h a n g e ，i k e ，是在一个安全联合和密钥管 理姆议i s a k m p 中窑褒o a k l e y 密镐交换艟混会掇议) 耪 p 强议薛筵攀密锈 管理协议( s i m p l ek e ym a n a g e m e n tf o ri n t e r n e tp r o t o c o l 。s k i p ) 是两 个矮重要靛标壤。霭v e r i s i g n 、e n t r u s t 帮薹，5 0 9 是已存在魏p k i 系统标准。 2 + 3 + 4 试证技寒 认迸技拳以区分被传造、纂改避的数攥，送对手网终数据簧竣，特囊 是电子商务是极其重要的。认证协议一般都要泶用一种称为摘鞭的技术。摘 要技拳主婺是袋磺h a s h 灏数褥段长驹摄文遴道亟数变挟，浚射爻爱短 的报文即摘要。幽于h a s h 函数的特性，使得簧找到两个不同的报文具有相 蓠瀚蘩要麓蘧难静。该蒋往捷褥攘要技零在v p n 率有两个用途： 数据认证釉数据党整性验涯 发送方将数据报文和撤文摘爨一同发送，接收方通过计算撤文摘要与发 采数挺报文跑较，耀霹慰说臻数攒擐文来经修改。塞予农擐文攘要豹诗箨蓬 程中一般越将一个双方熬攀的秘密信息涟接上蜜际报定一同参与摘癸的计 算，苓鼙邀耧密穰蓐将缀难穗逡一令莲懿酌接要，获雨绦诞了羧牧方冒黻辨 认出伪造线篡改过的报义。 焉户认谣 该功髓实际上是骏谨数握黪完整牲凌躯戆廷捧。姿方素豢验诞辩方， 但又不希攘验证秘密在网络上传送。这时方可以发送段随机报文，嚣求 对方将整蜜燕惠连接主该壤文露攒要螽发露，接牧方爵默淫遥验涯攘要是秀 正确来确定对方是甭拥有罨鳇密信息，从而达到验证对方的目的。 嚣嚣鬻觅兹鬻户谈话诲议琶播拨号用户远程试证服务( r a d i u s ) ，s k e y 篇二章v p n 技术 摊法，终端访问控制器访问控制系统( t a c a c s ) 等。 2 。4v p n 酌隧道傍议 与一般的黼络互联朔沈，v p n 的关键就在于隧道的建立。随后，经加密 懿数据键接隧道协议进行封装、健送叛瀵保安全洼。般寒说，隧道汝议分 为第二屡和第三朦两种隧道协议。第二鼷隧道协议是兜把各种网络协议封装 捌p p p ( p o i n t - t o p o i n tp r o t o c o l ，点垂纛捺议) 孛，再怒藤个数据毽装 入隧道协议中。遮种双层封装方法形成的数据包靠第= 层协议进行传输。第 ：层蘧懑协谖寄l 2 f 、p p t p 、l 2 t p 等。l 2 t p 协议是霄前i e t f 驹标准，翻i e t f 融台p p t p 与l 2 f 两形成， 第三朦隧道协议是把各种潮络协议赢接袈入隧道协议中，雕成的数据包 依靠第三壤撩议避卷簧辏。第三鹰隧道褥议膏i po v e ri p 、i p s e c 等。i p s e o ( i ps e c u r i t y ) 是由一组r f c 文档组成，定义了一个系统来提供安全协议 选择、安余粪法，疆定濂势掰捷麓密餐等服务，默两在i p 层掇篌安全保障。 除此之外，在t c p 层实现数据安全的有s o c k sv 5 协议。 下谣辩常用的p p t p 、l 2 t p 、i p s e c 和s o c k sv 5 分别作筒凝介绍。 2 4 。lp p t p ( p o i n t - t o p o i n t t u n n e l i n gp r o t o c 0 1 ) 1 9 9 6 年；m i c r o s o f t 窝a s c e n d 等巍p p p 协议靛墓璃上舞发了p p t p ，富 支持多种网络协议，可把i p 、i p x 、a p p l e t a l k 戚n e t b e u i 的数据包封装在 p p p 毽孛，再将整个掖交瓣装在p p t p 麓遴协议德中，最后，蒋嵌入i p 报文 或帧中继蠛a t m 中进程捷输。p p t p 提供滚量控艇，疆少了援塞熬莓缝性， 避免由丢包而引发包重佬的数蛩，改善了网络性能。p p t p 的加密方法采用 m i c r o s o f t 熹露纛燕塞( m p p e ：m i c r o s o f tp o i n t - t o - p o i n te n c r y p t i o n ) 算 法，可以逸用相对辕弱的4 0 位密钥或较强的1 2 8 位密钥。 2 4 2l 2 t p ( l a y e r 2 t u n n e l i n gp r o t o c 0 1 ) 1 9 9 6 苹，c i s c o 提t t ll 2 f ( l a y e r 2f o r w a r d i n g ) 隧道协议，讼也支持瘳协 端二章v p n 技术 议，但其主要用予c i s e e 的路由器和拨母访问服务器。1 9 9 7 年底，m i c r o s o f t 露c i s c o 公司把p p t p 秘议移l 2 f 蛰议静优熹缝会在一起，形藏3 - l 2 t p 癸议。 l 2 t p 同p p t p 一样，支持多协议，利用公共网络( 如i p 网、f r 网、a t m 网) 封装p p p 帧，可戳实现觏企照藏霄菲i p 两酶兼容。还继承了p p t p 的流量控 制，支持m p ( m u l t i l i n kp r o t o c 0 1 ) ，把多个物理通道捆绑为零一逻辑信道。 l 2 t p 使用p p p 可靠性发送( r f c l 6 6 3 ) 实现数据包的可靠发送。l 2 t p 隧道的 建立在v p n 薅蟥的服务器之阀，采爝诲趣握手谈涯协议( c h a l l e n g e h a n d s h a k ea u t h e n t i c a t i o np r o t o c o l ，c h a p ) 来验证对方的舟份( 其后不 验涯) 。窀霹滚采溺i p s e c 对数豢毽翻密传送，簌焉保证安全。l 2 t p 褥到了 许多大公闭的支持。 2 4 3i p s e c ( i n t e r n e tp r o t o c o ls e c u r i t y ) i p s e c 是i e t f ( i n t e r n e te n g i n e e rt a s kf o r c e ) i e 在完善的安全标准， 它恕尼耱安全援零结合焱一起形蔽一令较麓竞麓戆傣蓉，受到了众多厂商豹 关注和支持。它通过对数据加密、认证、完整性检查来保证数据传输的可靠 注、程宥襁帮保密性。 i p s e c 由i p 认证头删( a u t h e n t i c a t i o nh e a d e r ) 、i p 安全栽蘅封装e s p ( e n c a p s u l a t e ds e c u r i t yp a y l o a d ) 和密钥管理协议组成。 a 协议爆涯了隧道孛掇文的完整搜，它踺镣缝i p 包进嚣诀涯，游监熏 客利用i p 欺骗进行政击。a h 协议可采用多种认证算法，已经被定义的认证 霎法有数列信感诀 蒌褥一消惫文捅5 ( 醚矗e m d 5 ：h a s h e dm e a s a g e a u t h e n t i c a t i o n c o d e m e s s a g ed i g e s t5 ) 和安全散刎算法i ( j m a c s h a l ：s e c u r i t yh a s ha l g o r i t h mv e r s i o n1 ) 。媳信双方中的一方用 密锅对整个i p 包进行消感文摘诗舞，另方足阏撵斡密锈秘算法遴露诗冀， 如果两者的结果相同，则说明数据包在传送过程中没有被改变，且可确认数 据氆是获撩寿密锈熬霹方发送翡，嚣踅，数器豹完整瞧酾谈涯安众褥疆保 歪。 a h 头支持i p v 6 协议，i p v 6 中的实现是强制性的，而在i p v 4 中的实现是可 选瀚，两者豹数据报格式稍有差辩。 第二章v p n 技术 e s p 协议保证数据的保密性。e s p 可在两种模式下运行：隧道 ( t u n n e l i n g ) 模式和传送( t r a n s p o r t ) 模式。在隧道模式下，e s p 对整个 i p 数据包封装和加密，这样可以隐藏源和目的i p 地址，从外部看不到数据 包的路由过程；在传送模式下，只对i p 有效数据载荷进行封装和加密，i p 源和目的地址不加密传送，因此，它的安全程度不如隧道模式来得好，但其 开销较小。i p s e c 未具体规定使用哪一种加密算法，但缺省建议使用密码分 组链方式的d e s 算法( c b c d e s ) ，这是一个密钥长度为5 6 位的加密算法， 对于一般的商业应用已经足够。其它加