4 VPN 技术在教育城域网中的应用近几年,各级教育部门为落实教育部有关加快教育信息化建设的精神, 许多学校先后建成了规模不一的校园网或网络教室。教育信息化建设硬件环境已初具规模,为了充分利用这些校园网或网络教室, 避免“信息孤岛”的现象,现在教育信息化建设开始转向教育城域网建设。目前,许多发达地区的教育城域网已建成并投入使用,为促进我国教育教育信息化建设和摸索教育信息化之路做出了许多贡献。从近几年教育城域网的建设热潮中,可以看到虚拟专用网(VPN)已逐步成为教育城域网中主要组网技术。4.1 教育城域网中VPN协议的选择可以实现VPN的协议和方案有许多,各企业在规划VPN时会按自己的需要和IS P所能提供的VPN服务来选择不同的方案。由于ISP普遍都提供基于L2TP和IPSec 协议的服务,而且支持L2TP和IPSec 协议的网络设备比较多。在规划教育城域网中,可考虑将第二层隧道协议L2TP和IPSec 协议结合起来, L2TP作为隧道协议,IPSec 协议作为数据加密来实现VPN。a)第二层隧道协议L2TPL2TP是国际标准隧道协议,是L2F(Layer2 Forwarding) 协议和PPTP协议的结合,它允许对IP、IPX 、或NetB EUI 数据流进行加密, 然后通过支持点对点数据传递的任意网络发送, 如IP、X. 25 、帧中继或ATM。VPN创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。隧道一旦建立, 数据就可以通过隧道发送。隧道两端使用隧道数据传输协议准备传输数据,如当隧道A端向B端发送数据时, A端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过公网发送,并由公网将数据路由到隧道的B端。隧道B端收到数据包之后,去除隧道数据传输协议包头,就得到A端所发送的数据。b)IPSec协议IPSec协议(即IP Security协议)又称Internet 协议安全,它基本上是为基于IP的VPN提供安全特性的一组协议。IPsec提供了确保IP包机密性和真实性的一种手段。该协议兼容一系列标准加密方案和加密协商过程,并且兼容不同的安全系统,包括数字签名、数字证书、公钥基础设施和认证授权。IPSec协议工作原理类似于包过滤防火墙, 当接收到一个IP包时, IPSec通过查询SPD(security PolicyDatabase 安全策略数据库)决定对接收到的IP数据包的处理。IPsec 的工作方式就是将原始的IP数据包封装成新的IP包, IP包添加了验证和安全报头。报头含有远程端所需的信息,远程端会参与安全协商过程,对包内所含数据进行验证和解密。IPSec由IPSec框架, AH和ESP、IKE、ISAKMP、Oak1 ey 及其他加密算法等几部分组成。IPSec使用AH( Authentication Header)和ESP(Encapsulating Security Payload) 两个协议来提供数据流量的安全性。AH提供数据完整性、数据源认证以及可选的反重放服务;ESP可提供数据的保密性,它同时也可提供类似AH的服务(如数据完整性、数据源认证等)。AH和ESP可单独使用,也可以共同使用。c)L2TP与IPSec协议在VPN中结合应用由于L2TP协议不包括加密认证特性,所以在VPN应用中经常将L2TP与IPSec 协议结合应用。虽然L2TP支持任何路由协议如IP、IPX 、X.25以及ATM等,但IPSec 协议仅支持IP数据流。所以L2TP与IPSec协议结合应用仅限于基于IP的公网如Internet。在VPN应用中,IPSec协议用于在隧道创建前加密认证,通过认证后由L2TP建立隧道并进行数据传递。目前, Windows 2000Server 新增加了带IPSec 的L2TP协议, L2TP负责为任何类型的网络通讯提供封装和隧道管理,IPSec提供L2TP隧道数据包的安全。无论是路由器到路由器的VPN隧道还是远程拨号访问VPN , L2TP和IPSec结合都是最方便、最灵活、互通性最好且较为安全的VPN技术方案。4.2 VPN 在教育城域网中具体应用在教育城域网建设时,最主要的就是教育城域网中心规划建设。只要教育城域网中心的网络设备支持VPN的相关协议,就能通过ISP建立起与各学校校园网或网络教室的VPN连接。在此以某市教育城域网的建设为例,描述VPN在教育城域网的应用情况。4.2.1 教育城域网网络中心教育城域网中心由服务器集群、磁盘阵列存储系统、核心交换机和支持L2TP和IPSec协议的千兆防火墙、路由器组成。服务器集群承担中心为各学校用户提供的服务如应用平台、发布平台。路由器提供与ISP连接,路由器选择支持L2TP、IPSec协议和认证的中高档路由器。4.2.2学校与市教育城域网连接方式学校与市教育城域网的接连分两类形式。一是城区学校和有条件的学校和区县教育局(以下简称A类学校)通过1000M光纤与市教育城域网相连。这些学校的校园网通过支持L2TP的静态路由器,规划好其IP地址和市教育城域网中心的IP地址以便能相互访问。目前,中国电信和中国网通等ISP都提供MPLS VPN 服务,MPLS VPN 是一种基于MPLS技术的IP-VPN [...]
Tuesday, May 24, 2011
基于MPLS VPN城域网设计
4 VPN 技术在教育城域网中的应用近几年,各级教育部门为落实教育部有关加快教育信息化建设的精神, 许多学校先后建成了规模不一的校园网或网络教室。教育信息化建设硬件环境已初具规模,为了充分利用这些校园网或网络教室, 避免“信息孤岛”的现象,现在教育信息化建设开始转向教育城域网建设。目前,许多发达地区的教育城域网已建成并投入使用,为促进我国教育教育信息化建设和摸索教育信息化之路做出了许多贡献。从近几年教育城域网的建设热潮中,可以看到虚拟专用网(VPN)已逐步成为教育城域网中主要组网技术。4.1 教育城域网中VPN协议的选择可以实现VPN的协议和方案有许多,各企业在规划VPN时会按自己的需要和IS P所能提供的VPN服务来选择不同的方案。由于ISP普遍都提供基于L2TP和IPSec 协议的服务,而且支持L2TP和IPSec 协议的网络设备比较多。在规划教育城域网中,可考虑将第二层隧道协议L2TP和IPSec 协议结合起来, L2TP作为隧道协议,IPSec 协议作为数据加密来实现VPN。a)第二层隧道协议L2TPL2TP是国际标准隧道协议,是L2F(Layer2 Forwarding) 协议和PPTP协议的结合,它允许对IP、IPX 、或NetB EUI 数据流进行加密, 然后通过支持点对点数据传递的任意网络发送, 如IP、X. 25 、帧中继或ATM。VPN创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。隧道一旦建立, 数据就可以通过隧道发送。隧道两端使用隧道数据传输协议准备传输数据,如当隧道A端向B端发送数据时, A端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过公网发送,并由公网将数据路由到隧道的B端。隧道B端收到数据包之后,去除隧道数据传输协议包头,就得到A端所发送的数据。b)IPSec协议IPSec协议(即IP Security协议)又称Internet 协议安全,它基本上是为基于IP的VPN提供安全特性的一组协议。IPsec提供了确保IP包机密性和真实性的一种手段。该协议兼容一系列标准加密方案和加密协商过程,并且兼容不同的安全系统,包括数字签名、数字证书、公钥基础设施和认证授权。IPSec协议工作原理类似于包过滤防火墙, 当接收到一个IP包时, IPSec通过查询SPD(security PolicyDatabase 安全策略数据库)决定对接收到的IP数据包的处理。IPsec 的工作方式就是将原始的IP数据包封装成新的IP包, IP包添加了验证和安全报头。报头含有远程端所需的信息,远程端会参与安全协商过程,对包内所含数据进行验证和解密。IPSec由IPSec框架, AH和ESP、IKE、ISAKMP、Oak1 ey 及其他加密算法等几部分组成。IPSec使用AH( Authentication Header)和ESP(Encapsulating Security Payload) 两个协议来提供数据流量的安全性。AH提供数据完整性、数据源认证以及可选的反重放服务;ESP可提供数据的保密性,它同时也可提供类似AH的服务(如数据完整性、数据源认证等)。AH和ESP可单独使用,也可以共同使用。c)L2TP与IPSec协议在VPN中结合应用由于L2TP协议不包括加密认证特性,所以在VPN应用中经常将L2TP与IPSec 协议结合应用。虽然L2TP支持任何路由协议如IP、IPX 、X.25以及ATM等,但IPSec 协议仅支持IP数据流。所以L2TP与IPSec协议结合应用仅限于基于IP的公网如Internet。在VPN应用中,IPSec协议用于在隧道创建前加密认证,通过认证后由L2TP建立隧道并进行数据传递。目前, Windows 2000Server 新增加了带IPSec 的L2TP协议, L2TP负责为任何类型的网络通讯提供封装和隧道管理,IPSec提供L2TP隧道数据包的安全。无论是路由器到路由器的VPN隧道还是远程拨号访问VPN , L2TP和IPSec结合都是最方便、最灵活、互通性最好且较为安全的VPN技术方案。4.2 VPN 在教育城域网中具体应用在教育城域网建设时,最主要的就是教育城域网中心规划建设。只要教育城域网中心的网络设备支持VPN的相关协议,就能通过ISP建立起与各学校校园网或网络教室的VPN连接。在此以某市教育城域网的建设为例,描述VPN在教育城域网的应用情况。4.2.1 教育城域网网络中心教育城域网中心由服务器集群、磁盘阵列存储系统、核心交换机和支持L2TP和IPSec协议的千兆防火墙、路由器组成。服务器集群承担中心为各学校用户提供的服务如应用平台、发布平台。路由器提供与ISP连接,路由器选择支持L2TP、IPSec协议和认证的中高档路由器。4.2.2学校与市教育城域网连接方式学校与市教育城域网的接连分两类形式。一是城区学校和有条件的学校和区县教育局(以下简称A类学校)通过1000M光纤与市教育城域网相连。这些学校的校园网通过支持L2TP的静态路由器,规划好其IP地址和市教育城域网中心的IP地址以便能相互访问。目前,中国电信和中国网通等ISP都提供MPLS VPN 服务,MPLS VPN 是一种基于MPLS技术的IP-VPN [...]
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment