機電與自動化露天采礦技術2008年增刊VPN實現(xiàn)技術的研究孫新虎，霍燕斌(神華北電勝利能源有限公司，內蒙古錫林浩特026015)摘要:研究了如何在公共數(shù)據網上為企業(yè)實現(xiàn)安全、可靠、高性能、可互操作、費用低的虛擬專用網(VPN)0。同時也研究了VPN相關的各種技術的實現(xiàn)機制以及它們的優(yōu)缺點。這些技術包括:隧道技術、加密技術以及服務質量(QoS)。關鍵詞: VPN;隧道;加密;QoS ;中圖分類號:TP 393文獻標識碼:B文章編號:1671 - 9816 (2008)增刊- 0061 - 041 VPN簡介VPN提供用戶一種私人專用(Private)的感覺，虛擬專用網( Virtual Prvate Network, VPN)是一因此建立在不安全、不可信任的公共數(shù)據網的首要種“基于公共數(shù)據網,給用戶-種直接連接到私人局任務是解決安全性問題。VPN的安全性可通過隧道域網感覺的服務"。VPN極大地降低了用戶的費用,技術、加密和認證技術得到解決。在Intranet VPN而且提供了比傳統(tǒng)方法更強的安全性和可靠性。中，要有高強度的加密技術來保護敏感信息;在遠程VPN可分為3大類:①企業(yè)各部門與遠程分支之間訪問VPN中要有對遠程用戶可靠的認證機制。的IntranetVPN;②企業(yè)網與遠程(移動)雇員之間的.3 性能遠程訪問(Remote Access )VPN;③企業(yè)與合作伙伴、VPN要發(fā)展其性能至少不應該低于傳統(tǒng)方法?？蛻?、供應商之間的Extranet VPN。盡管網絡速度不斷提高,但在Internet 時代,隨著電子商務活動的激增,網絡擁塞經常發(fā)生,這給VPN2 VPN 的要求性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應2.1行業(yè)分析能夠讓管理員進行通信控制來確保其性能。通過為克服我公司礦井數(shù)量多、地域分散的問題,又VPN平臺,管理員定義管理政策來激活基于重要性能充分發(fā)揮各種監(jiān)控設備的作用，讓煤炭安全管理的出入口帶寬分配。這樣既能確保對數(shù)據丟失有嚴部門能夠根據該系統(tǒng)實時上傳的報警信息和運行信格要求和高優(yōu)先級應用的性能,又不會“餓死",低優(yōu)息,確定各煤礦的施工情況或各種指標超標的地方，先級的應用。從而準確、快速地制定安全防范措施。國家安全監(jiān)督2.4管理問題部門做出了“加快建設聯(lián)網監(jiān)控系統(tǒng)”的決定。但采由于網絡設施、應用不斷增加,網絡用戶所需的用傳統(tǒng)的廣域網建立企業(yè)專網，往往需要租用昂貴IP地址數(shù)量持續(xù)增長，對越來越復雜的網絡管理,的跨地區(qū)數(shù)字專線。同時公眾信息網( Intermet與視網絡安全處理能力的大小是VPN解決方案好壞的聆通)的發(fā)展,已經遍布各地,在物理上,各地的公眾至關緊要的區(qū)分。VPN 是公司對外的延伸,因此信息網都是連通的。但公眾信息網是對社會開放的，VPN要有一個固定管理方案以減輕管理、報告等方如果企業(yè)的信息要通過公眾信息網進行傳輸,在安全面的負擔。管理平臺要有一個定義安全政策的簡單性上存在著很多問題。如何能夠利用現(xiàn)有的公眾信方法,將安全政策進行分布,并管理大量設備。息網,來安全地建立企業(yè)的專有網絡呢?虛擬專用網2.5互操作(Virual Privale Network ,VPN)可以達到這一目的。在Extranet VPN中，企業(yè)要與不同的客戶及供2.2安 全性應商中國煤化工:不同。因此,企業(yè)收稿日期:2008-06-02的viMYH.CNMHG的產品進行互操作者簡介:孫新虎(1963- ),男,高級工程師,1987年畢作。這就要求所選擇的VPN萬案應該是基于工業(yè)標業(yè)于原阜新礦業(yè)學院，現(xiàn)任神華北電勝利能源公司生產與準和協(xié)議的。這些協(xié)議有IPSec、點到點隧道協(xié)議安全部刷經理。(Point to Point Tunneling Protocol,PPTP)、第二層隧●62.露天采礦技術2008年增刊機電與自動化道協(xié)議(Layer 2 Tunneling Protocol,L2TP)等。一特點是對主機網絡環(huán)境和VPN路由環(huán)境進行隔離。對VPN而言主機網絡可看成點到點的電路集3 VPN 的實現(xiàn)技術合,VPN能夠用其路由協(xié)議穿過符合VPN管理要求VPN實現(xiàn)的2個關鍵技術是隧道技術和加密技的虛擬網。同樣,主機網絡用符合網絡要求的路由設術。同時QoS技術對VPN的實現(xiàn)也至關重要。計方案,而不必受VPN用戶網絡的路由協(xié)議限制。..1 VPN訪問點模型雖然GRE隧道技術有很多優(yōu)點,但用其技術作首先提供--個VPN訪問點功能組成模型圖作為VPN機制也有缺點,例如管理費用高、隧道的規(guī)為參考。其中IPSec集成了IP層隧道技術和加密技術。模數(shù)量大等。因為CRE是由手工配置的,所以配置3.2 隧道技術和維護隧道所需的費用和隧道的數(shù)量是直接相關隧道技術簡單的說就是:原始報文在A地進行的一每次隧道的終點改變,隧道要重新配置。隧道封裝，到達B地后把封裝去掉還原成原始報文，這也可自動配置，但有缺點，如不能考慮相關路由信樣就形成了-條由A到B的通信隧道。目前實現(xiàn)隧息、性能問題以及容易形成回路問題。一旦形成回道技術的有一般路由 封裝(Generic Routing Encap-路,會極大惡化路由的效率。除此之外,通信分類機sulation , GRE)L2TP和PPTP。制是通過一一個好的粒度級別來識別通信類型。如果(1 )GRE。GRE主要用于源路由和終路由之間通信分類過程是通過識別報文(進 人隧道前的)進所形成的隧道。例如,將通過隧道的報文用一個新的行的話,就會影響路由發(fā)送速率的能力及服務性能。報文頭(GRE報文頭)進行封裝然后帶著隧道終點CRE隧道技術是用在路由器中的，可以滿足地址放入隧道中。當報文到達隧道終點時,CRE報Extranet VPN以及Intranet VPN的需求。但是在遠程文頭被剝掉，繼續(xù)原始報文的目標地址進行尋址。訪問VPN中,多數(shù)用戶是采用撥號上網。這時可以GRE隧道通常是點到點的,即隧道只有一個源地址通過L2TP和PPTP來加以解決。和一個終地址。然而也有一-些實現(xiàn)允許點到多點,即(2)L2TP和PPTP。L2TP 是L2F(Layer 2 For-一個源地址對多個終地址。這時候就要和下一跳路warding)和PPTP的結合。但是由于PC機的桌面操由協(xié)議(Next-Hop Routing Protocol, NHRP)結合使作系統(tǒng)包含著PPTP,因此PPTP仍比較流行。隧道的用。NHRP主要是為了在路由之間建立捷徑。建立有2種方式,即:用戶初始化”隧道和“NAS初GRE隧道用來建立VPN有很大的吸引力。從體始化"(Network Access Server)隧道。前者一般指“主系結構的觀點來看, VPN就象是通過普通主機網絡動”隧道,后者指“強制”隧道。“主動”隧道是用戶為某的隧道集合。普通主機網絡的每個點都可利用其地種特定目的的請求建立的,而“強制”隧道則是在沒址以及路由所形成的物理連接,配置成-一個或多個有任何來自用戶的動作以及選擇的情況下建立的。隧道。在CRE隧道技術中人口地址用的是普通主機L2TP作為“強制"隧道模型是讓撥號用戶與網網絡的地址空間，而在隧道中流動的原始報文用的絡中的另一點建立連接的重要機制。建立過程如下:是VPN的地址空間，這樣反過來就要求隧道的終①用戶通過Modem與NAS建立連接;②用戶通過點應該配置成VPN與普通主機網絡之間的交界點。NAS的L2TP接人服務器身份認證;③在政策配置這種方法的好處是使VPN的路由信息從普通主機文件或NAS與政策服務器進行協(xié)商的基礎上,NAS網絡的路由信息中隔離出來，多個VPN可以重復和L2TP接人服務器動態(tài)地建立一條L2TP隧道;④利用同一個地址空間而沒有沖突,這使得VPN從主用戶與L2TP接人服務器之間建立一條點到點協(xié)議機網絡中獨立出來，從而滿足了VPN的關鍵要求:(Point to Point Protocol, PPP)訪問服務隧道;⑤用戶可以不使用全局唯一的地址空間。 隧道也能封裝數(shù)通過該隧道獲得VPN服務。量眾多的協(xié)議族，減少實現(xiàn)VPN功能函數(shù)的數(shù)量。與之相反的是,PPTP作為“主動”隧道模型允許還有,對許多VPN所支持的體系結構來說,用同一終端中國煤化工的PPTP服務器建種格式來支持多種協(xié)議同時又保留協(xié)議的功能，這立-并且,PPTP協(xié)商;MHCNMHG是非常重要的。IP 路由過濾的主機網絡不能提供這和隧造建業(yè)心任郵儀為T向妹川NAS的參與。NAS,種服務,而只有隧道技術才能把VPN私有協(xié)議從主.的作用只是提供網絡服務。PPTP建立過程如下:①機網絡中隔離開來?；谒淼兰夹g的VPN實現(xiàn)的另用戶通過串口以撥號IP訪問的方式與NAS建立連機電與自動化露天采礦技術2008年增刊63●接取得網絡服務;②用戶通過路由信息定位PPTP求可用如下參數(shù)給予體現(xiàn):接人服務器;③用戶形成一個PPTP虛擬接口;④用①帶寬:網絡提供給用戶的傳輸率;戶通過該接口與PPTP接人服務器協(xié)商、認證建立②反應時間:用戶所能容忍的數(shù)據報傳遞延時;一條PPTP訪問服務隧道;⑤用戶通過該隧道獲得③抖動:延時的變化;VPN服務。④丟失率:數(shù)據包丟失的比率。在L2TP中,用戶感覺不到NAS的存在,仿佛與網絡資源是有限的，有時用戶要求的網絡資源PPTP接人服務器直接建立連接。而在PPTP中，得不到滿足、通過QoS機制對用戶的網絡資源分配PPTP隧道對NAS是透明的;NAS不需要知道PPTP進行控制以滿足應用的需求。QoS 機制具有通信處接人服務器的存在，只是簡單地把PPTP流量作為理機制以及供應( Provisioning )和配置(Configuration)普通IP流量處理。機制。通信處理機制包括802.1p、區(qū)分服務(ffer-采用L2TP還是PPTP實現(xiàn)VPN取決于要把控entiated service per-hop-behaviors , DifTServ)、綜合服制權放在NAS還是用戶手中。L2TP 比PPTP更安務(inegrated services , IntServ)等等?，F(xiàn)在大多數(shù)局全，因為L2TP接人服務器能夠確定用戶從哪里來域網是基于IEEE802技術的，如以太網、令牌環(huán)、的。L2TP主要用于比較集中的、固定的VPN用戶，F(xiàn)DDI等, 802.1p為這些局域網提供了一種支持QoS而PPTP比較適合移動的用戶。的機制。802.1p 對鏈路層的802報文定義了一個可3.3 加密技術表達8種優(yōu)先級的字段。802.1p 優(yōu)先級只在局域數(shù)據加密的基本思想是通過變換信息的表示形網中有效,一旦出了局域網,通過第三層設備時就被式來偽裝需要保護的敏感信息，使非受權者不能了移走。DifTServ則是第三層的QoS機制,它在IP報文解被保護信息的內容。加密算法有用于Windows95中定義了一個字段稱DSCP (DifServ codepoint)。的RC4、用于IPSec的DES和三次DES.RC4雖然強DSCP有6位,用作服務類型和優(yōu)先級,路由器通過度比較弱,但是保護免于非專業(yè)人土的攻擊已經足它對報文進行排隊和調度。與802.1p、DiflServ不同夠了;DES和三次DES強度比較高,可用于敏感的的是，InServ 是一種服務框架,目前有2種:保證服商業(yè)信息。務和控制負載服務。保證服務許諾在保證的延時下加密技術可以在協(xié)議棧的任意層進行;可以對傳輸--定的通信量;控制負載服務則同意在網絡輕數(shù)據或報文頭進行加密。在網絡層中的加密標準是，負 載的情況下傳輸一定的通信量。典型的IntServIPSec.網絡層加密實現(xiàn)的最安全方法是在主機的端與資源預留協(xié)議(Resource reservation Protocol,到端進行。另一個選擇是“隧道模式”:加密只在路RSVP)相關。IntServ 服務定義了允許進人的控制算由器中進行,而終端與第-跳路由之間不加密。這種法,決定多少通信量被允許進人網絡中。方法不太安全，因為數(shù)據從終端系統(tǒng)到第一條路由供應和配置機制包括RSVP、子網帶寬管理.時可能被截取而危及數(shù)據安全。終端到終端的加密(subnet bandwidth manager ,SBM)、政策機制和協(xié)議方案中,VPN安全粒度達到個人終端系統(tǒng)的標準;以及管理工具和協(xié)議。這里供應機制指的是比較靜而“隧道模式”方案,VPN安全粒度只達到子網標態(tài)的、比較長期的管理任務,如:網絡設備的選擇、網準。在鏈路層中,目前還沒有統(tǒng)一的加密標準,因此絡設備的更新、接口添加刪除、拓撲結構的改變等所有鏈路層加密方案基本上是生產廠家自己設計等。而配置機制指的是比較動態(tài)、比較短期的管理任的,需要特別的加密硬件。務,如流量處理的參數(shù)。3.4 QoS技術RSVP是第三層協(xié)議，它獨立于各種網絡媒介。通過隧道技術和加密技術，已經能夠建立起一因此, RSVP往往被認為介于應用層(或操作系統(tǒng))個具有安全性、互操作性的VPN。但是該VPN的性與特定網絡媒介QoS機制之間的一個抽象層。能不穩(wěn)定,管理上不能滿足企業(yè)的要求.這就要加入RSVP有了↑幣西 的消自:PATH消息，從發(fā)送者到QoS技術。實行QoS應該在主機網絡中,即VPN所接收fYH中國煤化工發(fā)者。RSVP消建立的隧道這一-段,這樣才能建立一條性能符合用息包CNMH G_ -個會話流(分類戶要求的隧道。信息);②描述會話流的定量參數(shù)(如數(shù)據率);③要不同的應用對網絡通信有不同的要求，這些要求網絡為會話流提供的服務類型;④政策信息(如露天采礦技術2008年增刊機電與自動化I用戶標識)。RSVP的工作流程如下:使用的網絡資源;政策決定點( policy decsion point,①會話發(fā)送者首先發(fā)送PATH消息，沿途的設PDP);政策加強點( policy enforcement point, PEP)以備若支持RSVP則進行處理,否則繼續(xù)發(fā)送;及它們之間的協(xié)議。傳統(tǒng)的由上而下(TopDown)的②設備若能滿足資源要求，并且符合本地管理政策協(xié)議包括簡單網絡管理協(xié)議(SimpleNetwork政策的話，則進行資源分配,PATH消息繼續(xù)發(fā)送，Management Protocol , SNMP)、命令行接口(Command否則向發(fā)送者發(fā)送拒絕消息;Line Interface ,CLI)、命令開放協(xié)議服務(Command③會話接收者若對發(fā)送者要求的會話流認同,.Open Protocol Services ,COPS )等。這些QoS機制相互則發(fā)送RESV消息,否則發(fā)送拒絕消息;作用使網絡資源得到最大化利用，同時又向用戶提④當發(fā)送者收到RESV消息時，表示可以進行供了一個性能良好的網絡服務。會話,否則表示失敗。SBM是對RSVP功能的加強，擴大了對共享網4結語絡的利用。在共享子網或LAN中包含大量交換機和基于公共網的VPN通過隧道技術、數(shù)據加密技網絡集線器，因此標準的RSVP對資源不能充分利術以及QoS機制,使得企業(yè)能夠降低成本、提高效用。支持RSVP的主機和路由器同意或拒絕會話率、增強安全性。VPN產品從第一代:VPN路由器、流，是基于它們個人有效的資源而不是基于全局有交換機,發(fā)展到第二代的VPN集中器,性能不斷得效的共享資源。結果,共享子網的RSVP請求導致局到提高。在網絡時代,企業(yè)發(fā)展取決于是否最大限度部資源的負載過重。SBM可以解決這個問題:協(xié)調地利用網絡。VPN將是企業(yè)的最終選擇。智能設備。包括:具有SBM能力的主機、路由器以及參考文獻: .交換機。這些設備自動運行-選舉協(xié)議,選出最合適[1 ]S.Kent, R.Akinsn.SecuriyArchiecturefortheIntemelProlo-的設備作為DSBM( designated SBM)。當交換機參與col.RFC2401.1998.選舉時，它們會根據第二層的拓撲結構對子網進行[2]K Hamzeh,C.Pall ,W.Werthein,etc.Point-to -Point Tunnel-ingProtocol(PPTP).RFC2637.1999.分割。主機和路由器發(fā)現(xiàn)最近的DSBM并把RSVP消息發(fā)送給它，然后,DSBM查看所有消息來影響[3]WTownsley , A.Valencia , A.Rubens,elc. Layer Two Tun-nelingProtocol L2TP.RFC2661.1999.資源的分配并提供允許進人控制機制。[4 ]B.Patel, B.Aboba, W .Dixon, etec. Securing L2TP using IPSec.網絡管理員基于一定的政策進行QoS機制配RFC3193.2001.置。政策組成部分包括:政策數(shù)據,如用戶名;有權(上接第60頁)響,是我國煤礦的發(fā)展方向。鎧裝電纜,還有雙層護套,能有效產生金屬屏蔽,使(6)使用BT供電方式。即在牽引網中架設吸流護套內的通信信號電路減少互感電壓,使之免受外變壓器及回流線裝置。它能迫使軌道回流和大地返界的一切干擾?；貭恳冸娝臋C車電流大部分經回流線流回牽引(3)加強鐵道基礎工作，將鋼軌接頭螺栓上齊、變電所。這樣回流線中的電流與牽引電流大小幾乎緊固,同時配齊軌道聯(lián)接線,減少鋼軌電阻,達到減相等,方向相反,它們形成的電磁場相互抵消,而且少衰減的目的?；亓骶€與導線距離越小,抗干擾性能越好。(4)加強饋電回流工作。饋電回流線要盡量懸(7)采用AT供電方式。即在接觸網與正饋線間掛,才能使電流回流順暢,防止大地流失,不但可以并聯(lián)接入一臺自耦變壓器,其中性點與鋼軌連接,組減少電量消耗,而且可以使電機車增強牽引力,減少成供電回路。這樣當電機車在絕緣區(qū)段內運行時,牽無用功,同時也降低牽引電流對通信信號設備的沖擊。引電中國煤化工幾車，且與機車兩(5)采用光纜。光纖直徑只有100~1 150μm,比側鋼CN M H G相等,因此對通信頭發(fā)稍粗一點,光纖傳輸帶寬,完全可以傳輸PCM信號的影啊作用相互.抵用，所以對通信信號的干擾高次群;光纖的衰減少,中繼距離遠,可以不設中繼也就最小，是目前較優(yōu)的供電方式。站;光纖的重量輕,抗張性能好,不受電磁感應的影