vpn技术范文第1篇
关键词:VPN 隧道协议 PPTP L2TP IPSec
VPN是Virtual Private Network的缩写,即虚拟专用网络。VPN在公共IP网络上建立用户私有的数据传输通道,将远程访问用户与相应企业的内部网络连接起来,并提供安全的端到端的数据通信,从而大大减轻了企业的远程访问费用,节省企业的运行成本。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
1、VPN的使用隧道协议
VPN的实现,最关键的是在公共网洛上建立用于数据传输的逻辑虚拟信道,而建立虚拟信道是通过使用隧道技术来实现的,隧道的建立可以是在数据链路层和网络层。第二层隧道技术主要是使用PPP连接,使用的隧道协议有PPTP和L2TP,其特点是协议简单,易于加密,适合于远程拨号用户使用;第三层隧道技术是IPinIP,使用的隧道协议是IPSec,其可靠性及扩展性优于第二层隧道协议,但没有前者简单直接。
1.1 PPTP(点对点隧道协议)
点到点隧道协议(PPTP,Point-to-Point Tunneling Protocol),是一种用于使远程用户通过拨号方式连接到本地的ISP,通过Internet安全的远程访问公司内部网络资源的工业标准隧道协议,它在WIN NT 4.0系统中首先得到支持。PPTP是对“PPP(点对点协议)”的扩展,它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输,它增强了PPP的身份验证、压缩和加密机制。PPTP使用TCP(传输控制协议)来创建、维护、终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据,被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP协议数据包通过使用从MS-SHAP(微软公司的盘问交握式协议)活EAP-TLS(EAP Transport LAN Service,可传输式身份验证协议)身份验证过程中生成的密钥进行加密。
1.2 第二层隧道协议(L2TP)
第二层隧道协议(L2TP)是思科公司开发的,具有RFC隧道协议的一种协议,是PPTP与L2F(第二层转发)的一种综合。它不同于PPTP,Windows系统中的L2TP不使用“MPPE(微软点对点加密)”来加密PPP数据包,它是依赖于加密服务的IPSec(网际协议安全)的协议。现在被广泛使用的是基于IPSec的L2TP。VPN客户机和VPN服务器必须同时支持IPSec和L2TP,L2TP将在IPSec身份验证的过程中生成一个密钥,而采用IPSec加密机制加密L2TP消息。
1.3 Internet协议安全性(IPSec)
IPSec是专门为了IP提供安全服务而设计的一种协议,它可以有效地保护IP数据报的安全,具体通过包括数据源验证、无连接数据的完整性验证、数据内容的机密性保护和抗重播保护等保护形式来实现。IPSec有两种运行模式:传输模式和隧道模式,有两种安全协议:AH(认证头协议)和ESP(封装安全载荷协议)。AH可以验证数据的起源,保障数据的完整性以及防止相同数据包的不断重播。ESP除具有AH的所有能力以外,还可以选择保障数据的机密性,以及为数据流提供有限的机密性保障。即AH提供认证,ESP提供认证和/或加密。通过使用这两种协议,可以对IP数据报或上层协议,如UDP和TCP,进行保护,而这种保护由IPSec的两种工作模式来提供。到目前为止,IPSec被业界认为是最安全的IP协议,但是其过于复杂的问题也是系统安全的一个主要威胁。
2、VPN网络服务的分类
从连接用途以及连接方式上,VPN网络服务可以分为基于Internet的VPN和基于Intranet的VPN。
2.1 基于Internet的VPN
远程访问客户首先要激活与本地ISP所建立的物理连接,然后远程访问客户通过Internet来访问企业的VPN服务器,同时初始化一条虚拟的专用隧道。VPN连接创建以后,远程访问用户就可以访问VPN服务器所在Intranet上的有权限访问的资源了。
2.2 基于Intranet的VPN
对于企业内部的敏感或需保密的部门,这些部门在逻辑上或者物理上与企业Intranet上的其他部门是断开的,即不能互访。如何使需要访问的用户访问这些部门呢?通过VPN链接,这些敏感部门的网络将被允许连接到企业的Intranet内,通过搭建VPN服务器将这些敏感部门和其他部门隔离开。VPN服务器不在企业的Intranet和部门网络之间提供直接的路由连接。那些企业Intranet内有访问敏感部门权限的用户可以与VPN服务器建立远程访问连接,进而访问敏感部门网络。为此,所有通过VPN的通信数据都会被加密。对于那些没有访问敏感部门权限的用户,在Intranet上,敏感部门的网络是隐藏的。
3、VPN的解决方案
3.1 Access VPN
这种方案最适合企业内部有大量的远程办公访问需求和提供B2C(Business-to-Customer商家对顾客)方式的企业。远程访问的企业员工或者客户可以利用当地ISP提供的VPN服务和企业的VPN网关建立专有隧道连接,这建立连接的过程中需对访问者的身份进行验证和授权,这样可以使远程访问用户获得相应的访问权限。
3.2 Intranet VPN
这种解决方案是企业内部各分支机构进行网络互联的最优解决方案。企业特别是大型的跨国企业可以利用VPN技术将分步在各地的分公司、办事处等分支机构通过Internet建立世界范围内的Intranet VPN。这个方案充分利用Internet廉价性和VPN的高安全性组建了安全的、专用的虚拟链路,使企业的数据和信息可以借助互联网安全的在企业的各个分支机构之间传递。
3.3 Extranet VPN
这种方案以Internet为数据链路基础,通过VPN技术,在充分保证企业内部网络的网络安全的基础上,使企业能够像其合作伙伴提供有效的、可靠的信息服务。该方案使得企业和企业之间的联系更加紧密,也保障了企业与企业之间的信息的方便、快捷的传递。
4、VPN的应用
VPN技术主要适用于哪些客户呢?归纳起来以下这些情况需要使用VPN技术。
(1)客户位置众多而且极其分散。
(2)企业的机构分布范围广,而且各个机构的距离远,需要通过长途通信,特别需要使用国际长途通信的企业。
(3)对带宽和时延没有特殊要求的用户。
vpn技术范文第2篇
【关键词】SSL VPN;IPSEC VPN;网络安全
【中图分类号】TN711
【文献标识码】A
【文章编号】1672-5158(2012)12-0004-01
一、SSL VPN的基本学术概念
1.1 什么是SSL VPN
SSL(Secure Sockets Layer)是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。VPN(Virtual Private Network虚拟专用网络),可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网,被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
SSL VPN就是指应用层的vpn,它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式:直路方式和旁路方式。直路方式中,当客户端需要访问一台应用服务器时:首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立ssl通道;然后,SSL VPN网关作为客户端的和应用服务器之间建立tcp连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是:为了减轻在进行ssl加解密时的运行负担,也可以独立出ssl加速设备,在SSL VPN server接收到https请求时,将ssl加密的过程交给ssl加速设备来处理,当ssl加速设备处理完之后再将数据转发给SSL VPN server。
1.2 SSL VPN的特性
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是Ssl协议,该协议是介于http层及tcp层的平安协议,传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲,需要开通443这样的端口到ssl vpn即可,而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。
可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。
二、SSL VPN的优势
2.1 零客户端
客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议,所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时,可以直接使用浏览器完成ssl的vpn建立;而IPSEC VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。
2.2 平安性
SSL VPN的平安性前面已经讨论过,和IPSEC VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
一般企业在Internet联机入口,都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机,对于人口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSEC VPN联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
2.3 访问控制
用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
2.4 经济性
使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。
三、结束语
vpn技术范文第3篇
VPN的英文VirtualPrivateNetwork的缩写,可文译为虚拟专用网。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点:
(1)降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的Intranet,用拔号访问时,花的是国际长途话费;而用VPN技术时,只需在纽约和北京分别连接到当地的Internet就实现了互联,双方花的都是市话费。
(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,VPN就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。
(3)完全控制主动权:VPN上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。
2VPN的工作原理
图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN可,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。
基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(DedicatedVPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。
拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。
提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器,访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接,当企业网关鉴别了用户之后,访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。
PPP协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。
拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。
专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务,但最常见的是在IP网上建立的IPVPN业务,如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。
虚拟专用网的体系结构有多种形式,分类示意图如图4。
模拟目前国内公众多媒体通信网的状况;在国内采用VPN组网一般分为三类:
(1)ATMPVC组建方式,即利用电信部分提供的ATMPVC来组建用户的专用网。这种专用网的通信速率快,安全性高,支持多媒体通信。
(2)IPTunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍及的地方均可提供。
(3)Dial-upAccess组网方式(VDPN)。这是一种拨号方式的专用网组建方式,可以利用已遍布全国的拨号公网来组建专用网,其接入地点在国内不限,上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的地理所在延伸到全国范围。
2.1拨号VPN(VDPN)
拨号VPN又可分为客户发起的(Client-Initiated)VPN和NAS发起的VPN。
2.1.1客户发起的VPN
在客户发起的VNP中,用户拨号到本地的POP远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行Ipsec软件,客户软件与公司内部网络防火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全性。这种形式的VPN优点是:
(1)远程用户能够同时与多个HomeGateway建立IPTunnel。
(2)远程用户不必重新拨号,就可以进入另一网络。
(3)VPN的建立和管理与ISP无关。
缺点是:因为这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件,而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此,大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式,如下面所讨论的那样。
2.1.2NAS发起的VPN
在NAS发起的VPN中,由服务提供商的POP中的NAS请求并创建到客户公司路由器(或者HomeGateway)的VPN隧道。NAS使用L2F(Layer2ForwardingProtocol)或者L2TP(Layer2TunnelingProtocol)协议来建立到客户HomeGateway的安全隧道。L2TP是不久前建立的标准,这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于HomeGateway来说,L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。
表现得似乎用户是直接拨号到公司内部网上。
在这种拨号VPN形式中,用户认证公两级处理。当用户拨入时,首先由服务提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司HomeGateway的隧道,由HomeGateway来执行用户级的认证功能。
这种VPN形式有若干优点:对拨号用户透明,用户PC上无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的拨号VPN服务,如通过预留Modem端口,优先的数据传送等手段保证拨号VPN用户得到所需的服务;NAS可以时支持Internet或其他公用网络和VPN服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署将更具有可扩充性和管理性。
这种VPN形式存在的缺点有:
(1)当远程用户进入其它网络时,需要重新拨号,并且只能以另一用户名登录。
(2)远程用户不能同时进入多个网络。
2.2专线VPN
2.2.1基于IPTunnel的专线VPN
VPN与常规的直接拨号网络不同,在VPN中,PPP数据包流不是通过专用线路,而是通过共享IP网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成VPN隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。隧道协议一般封装在IP协议中,但也可以是ATM或FrameRelay。由于隧道搭载的是PPP数据包(第二层),所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中(3Com公司的VTP就是这种隧道协议),由于隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。
2.2.2基于VitualCircuit(虚拟电路)的VPN
服务提供商可以提供虚拟电路来建立IPVPN服务。用PVC在帧中继(FrameRelay)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IPVPN服务。
在前面叙述的专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道(tunnel)来提供服务的。与之不同,基于虚拟电路的VPN通过在公共的帧或信元交换网络上的路由来传送IP服务,是使用PVC而不是tunnel来建立隐私性。因此,加密是不需要的。
这种形式的VPN具有如下优点:受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法;可充分利用FRCIR(CommittedInformationRate)和ATMQoS来确保QoS能力;虚拟电路拓扑的弹性;连接无须加密。
它的缺点是:不能灵活选择路由;比IPTunnel的相对费用高;缺少IP的多业务能力(如VoiceOverIPVideoOverIP等)。
3VPN技术的应用领域及典型应用
3.1VPN应用的四个领域
企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN。另外,在很多涉及公司重要信息的传输及对数据完整性安全性要求比较高的场合,也大多选择VPN技术。
3.2VPN广域网建设新的解决方案(即典型应用)
目前各行业网、专用网的应用主要有两个方面:一是作为Internet或其他公用网络的一部分,组织本行业是信息资源上网;二是作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。
对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的中国公用计算机互联网(简称163网)或中国公众多媒体通信网(简称169网),完全省去了用于连接跨省的DDN专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的信息资源开发和深加工。
对地第三种应用或两者都有的应用,则各地就近接入当地的169网或163网,采用VPN技术,实现跨地区的数据通信,充分利用169网高速(155MATM)的跨省通信主干道,建设自己的内部网。其网络结构如图5所示。
图中的VPN表示内部专用网段。由于内部网的敏感数据在公网传输进是加密传,因此可以实现安全廉价的跨地域数据通信。
同样,本解决方案也适用于企业的跨地域数据通信,实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。
4VPN技术的市场前景分析
Internet的飞速发展、用户数的迅猛增长以及Web通信量和个人域名注册都加速了其发展势头。美国商业部预测到2010年加入互联网的企业将会超过500尤。这清楚地描述了下世纪Intenet产生以及将会产生的影响。一些研究表明在下世纪将会有70%~80%的商务使用VPN设备。它们还指出,仅拥有200个远程用户美国某跨国公司弃专线而选用VPN后,仅仅4~5的时间就节省了150多万美金。
公司希望花费不高的代价来传输商务信息。VPN在这方面起了很重要的作用,它提供了减少开支、提高服务、维护客户基础的方法。许多公司选用VPN传输商务信息的原因是:
(1)VPN以Internet做支撑;
(2)无论对商业客户来说还是对私人客户来说,使用Internet都是一种经济可行的方式。
(3)Internet覆盖全球;
(4)现在Internet传输效率极高,大多ISP能承受进行连接所带来的负荷;
(5)VPN是灵活的、动态的、可升级的;
(6)VPN在可以利用公司硬件方面的现有投资。
vpn技术范文第4篇
【关键词】MPLS;VPN
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2012)09-0074-01
1、MPLS VPN简介
随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。利用公共网络来构建的私有专用网络称为虚拟私有网络(VPN,Virtual Private Network)。在公共网络上组建的VPN像企业现有的私有网络一样提供安全性和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。
MPLS即多协议标签交换属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF所提出,由Cisco、3Com等网络设备大厂所主导。从MPLS字面上来看,它是一个可以在多种第二层媒质上进行标签交换的网络技术。这一技术结合了第二层的交换和第三层路由的特点,将第二层的基础设施和第三层路由有机地结合起来。第三层的路由在网络的边缘实施,在MPLS的网络核心则采用第二层交换。
2、MPLS VPN工作原理
MPLS是一种特殊的转发机制,它把进入网中的IP数据包分配标签,并通过标签的交换来实现IP数据包的转发。标签作为替代品,在网络内部MPLS在数据包所经过的路径沿途通过交换标签,而不是看数据包的IP包头来实现转发,当数据包要退出MPLS网络时,去掉数据包上的标签,继续按IP包的路由方式到达目的地。MPLSVPN有三种类型的路由器,CE路由器、PE路由器和P路由器,主要工作流程如下:
(1)CE到PE间通过IGP路由或BGP将用户网络中的路由信息通知PE,在PE上有对应于每个VPN的虚拟路由表VRF,类似有一立的路由器与CE进行连接。
(2)PE之间采用MP-BGP传送VPN路由信息以及相应的标签(VPN的标签,以下简称为内层标签),而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息,采用LDP协议进行路由信息与标签(用于MPLS标签转发,以下称为外层标签)的绑定。到此时,CE、PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息VRF。
(3)当属于某一VPN的CE有数据进入时,在CE与PE连接的接口上可以识别出该CE属于哪一个VPN,进而到该VPN的VRF路由表中去读取下一跳的地址信息。同时,在前传的数据包中打上内层标签。下一跳地址为与该PE作对等的PE的地址,为了到达这个目的端的PE,在起始端PE中需读取MPLS骨干网络的路由信息,从而得到下一个P路由器的地址,同时采用LDP在用户前传数据包中打上用于MPLS标签交换的外层标签。
(4)在MPLS骨干网络中,初始PE之后的P均只读取外层标签的信息来决定下一跳,因此骨干网络中只是简单的标签交换。
(5)在达到目的端PE之前的最后一个P路由器时,将把外层标签去掉,读取内层标签,找到VPN,并送到相关的接口上,进而将数据传送到VPN的目的地址处。
(6)P路由器完全依据MPLS的标签来作出转发决定。由于P路由器完全不需要读取原始的数据包信息来作出转发决定,P路由器不需要拥有VPN的路由信息,因此P只需要参与骨干IGP的路由,不需要参加MP-BGP的路由。从MPLS VPN工作过程可见,MPLSVPN丝毫不改变CE和PE原有的配置,一旦有新的cE加入到网络时,只需在PE上简单配置,其余的改动信息由BGP自动通知到CE和P。
3、MPLS体系结构
(1)标签边界路由器LER是MPLS的入口/出口路由器,在MPLS域与其他网络边缘的标记交换路由器,主要功能是进行IP报文初始化处理、分类等第三层功能和标签绑定功能。在入口处将IP地址转换成标签,在出口处又将标堑恢复成IP地址。
(2)标签交换路由器LSR是支持标记交换协议的路由器,具有第三层转发分组和第二层交换分组的功能。它能运行传统的IP路由协议,并能执行一个特殊控制协议以与邻接的LSR协调标签的绑定信息。
(3)标签Label(如图3-1所示)
4、MPLS VPN在信息网络中的应用
基于MPLS技术平台实现的MPLS VPN,以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
MPLS是多协议标签交换协议的简称。MPLS VPN网络中,有三种设备:CE、PE和P路由器,CE是用户直接与服务提供商相连的边缘设备,可以是路由器、交换机或者终端;PE是骨干网中的边缘设备,它直接与用户的CE相连;P路由器是骨干网中不与CE直接相连的设备。P路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议,并使能该协议;PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便网络的扩展和变更。
5、总结
vpn技术范文第5篇
关键词 VPN;原理;特点;应用
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)35-0182-01
1 VPN的概念
所谓VPN(Virtual Private Network,虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Interet。为了保障信息在Internet上传输的安全性,VPN通过建立隧道机制实现,隧道机制可以提供一定的安全性,并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证信息在传输中不被偷看、篡改、复制。
2 IPSec是VPN最常用技术之一
IPSec VPN是基于IPSec(Internet Protocol Security)规范的VPN技术或网络的统称。IPSec即Intenet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec规范相当复杂,规范中包含大量的文档。IPSec在TCP/IP协议的核心层―IP层实现,可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。
3 IPSec VPN工作原理
设想甲、乙两个异地局域网需要进行通讯,因为是局域网内网IP地址不能通过INTERNET公网进行安全通讯。只有通过IPSec包封装技术,利用Internet公网IP地址,封装内部私网的IP数据,实现异地网络的互通:如果甲私网IP发信给乙私网IP地址,甲局域网IP数据经甲私网IP地址传至出口处甲地IPSec VPN网关进行加密封装,通过INTERNET公网传送至乙地IPSec VPN网关进行解密拆封装后,交给乙局域网私网IP地址。相反乙私网IP地址回信给甲私网IP也是一样过程,这样就实现异地局域网对局域网的通讯。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能,保证数据通信安全正确。IPSec安全协议对数据封装加密及身份认证使用同一密钥,既用于加密又用于解密。私钥加密算法非常快,特别适用于对较大的数据流执行加密转换。IPSEC通讯的数据认证使用md5算法计算包文特征,报文还原以后,检查这个特征码,看看是否匹配,证明数据传输过程是否被篡改。
4 IPSec VPN特点
1)经济:用户不再承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地租费很高,而Internet的接入费用则只承担本地的宽带费用,费用很低。此外VPN网关设备功能强劲但造价低廉;2)灵活: 接入灵活,不受互联网接入运营商的限制,支持动态IP地址和NAT穿越。连接Internet 的方式可以是10M 、100M 端口,也可以是2M 或更低速的端口,XDSL 或拨号都可以连接Internet。一个IPSec VPN网络可以连接任意地点的分支,即使跨越大洋也毫不受限制。支持多分支多端口,扩展性好;3)安全: IPSec VPN最显著特点就是它的安全性,这是它保证内部数据安全的根本。通过领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时,VPN 设备内置专业防火墙功能,对数据包采用多维策略过滤,最大可能地防止黑客攻击;4)可靠: VPN 设备可提供冗余机制,保证链路和设备的可靠性。在中心节点VPN 核心设备提供冗余CPU 、冗余电源的硬件设计。而在链路发生故障时,VPN交换机支持静态隧道故障恢复功能,隧道定时巡检机制,快速自动修复功能,确保互联数据的安全可靠;5)方便: 技术人员可以通过管理软件,实现远程配置节点设备,方便管理及故障处理;
6)多业务: 通过IPSec VPN网络可以传送IP话音、视频业务、数据业务,运行ERP软件,为现代化办公提供便利条件。
5 IPSec VPN应用
vpn技术范文第6篇
一般所说的虚拟专用网不是真的专用网络,虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame. Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
二、VPN的特点
在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等,所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。所以,VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
三、VPN安全技术
目前VPN主要采用四项技术来保证安全。
1.隧道技术是VPN的基本技术,类似于点对点连接技术。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议有VTP、IPSec等。
2.加解密技术是数据通信中一项较成熟的技术,第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。
3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。一般分为对称加密与非对称加密(专用密钥与公用密钥)。
4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
四、VPN的应用方案
随着互联网的兴起,企业开始寻求利用互联网来扩展他们的网络。按接入方式划分VPN,这是用户和运营商最关心的划分方式。建立在IP网上的VPN也就对应的有两种接入方式:专线接入方式和拨号接入方式。
一般来说,公司都会把搭建大型远程访问VPN的工作外包给企业服务提供商(ESP)。例如,3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN产品彼此兼容,还配备了TranscendWare软件,使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信,进而强制执行网络策略。这些设备通过监视VPN隧道,可以更好地管理拨号端口、带宽分配、网络负载等,对VPN环境进行有效的控制。
华为公司提供了各种有效的VPN解决方案,包括:Access VPN、Intranet VPN、Extranet VPN及结合防火墙的VPN解决方案。Quidway系列路由器支持各种VPN技术,包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等,并可继续发展,支持越来越多的先进技术,可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力。
五、结束语
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。
参考文献:
[1]何宝宏,田辉等编著.IP虚拟专用网技术.人民邮电,出版日期:2008年06月
[2]Richard Deal.Cisco VPN完全配置指南,人民邮电出版社.2007-4
[3]马春光,郭方方.防火墙、入侵检测与VPN.北京邮电大学出版社 2008-8
vpn技术范文第7篇
关键词:VPN;隧道;安全传输
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0042-03
随着网络技术的快速发展,越来越多的组织或单位的员工需要随时随地连接到总部的网络,很多跨国企业在全球建立多个分支机构,同时企业也要使用网络与合作伙伴或客户之间进行动态的联系,这些都会给企业带来了网络的管理和安全性问题[1]。VPN(visual Private Network)技术就是在这种形势下应运而生,它使企业能够在公共网络上创建自己的专用网络,使得企业员工,分支机构,以及合作伙伴之间可以进行安全保密的通信。VPN已经是当前网络中的一项重要的应用。
1 VPN的工作原理
VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。
1.1 网络风险
数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听; ISP查看用户的数据;Internet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。
数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。
信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法 [9]。
重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。
1.2 VPN协议介绍
采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。
常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能 ,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。
1.3 VPN隧道技术
隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。
经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。
PPP(Point to Point Protocol)协议隧道技术建立过程:
阶段1:创建PPP链路
PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。
阶段2:用户验证
这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
阶段3:PPP回叫控制
回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。
阶段4:调用网络层协议
在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。
阶段5:数据传输阶段
在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。
1.4 IPSec隧道数据传输过程
IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。
一个数据包经IPsecVPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。1HostA发送的数据由VPN网关1内口;2VPN网关1内口接收后发现需要经过隧道,则把数据交由VPN网关1加密;3加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2外口收到数据发现需要解密;5则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。
2 VPN技术应用
2.1 用VPN连接分支机构
随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。
2.2用VPN连接合作伙伴
当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。
2.3 用VPN连接远程用户
为保障单位内部网的安全,很多应用不会对公网 放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。
3 结论
本文从Internet的发展说明VPN技术产生的背景和意义,再对VNP的相关技术、协议进行研究与分析,对VPN中重要技术隧道的原量进行了详细的剖析。在此基础上,结合当前VPN的实际使用情况对三类使用方式结合示意进行了说明。当前对公共网络进行保密通信的技术还有很多新的技术的出现,本人会继续对相关内容进行关注。
参考文献:
[1] Gasey Wilson, Peter Doak. 虚拟专用网的创建与实现[M]. 钟鸣, 魏允韬,译. 北京: 机械工业出版社, 2000.
[2] 戴宗坤, 唐三平. VPN 与网络安全[M]. 北京: 电子工业出版社, 2002(8).
[3] 卿斯汉等. 密码学与计算机网络安全[M]. 清华大学出版社, 2001: 121-125.
vpn技术范文第8篇
摘要:VPN是一项迅速发展起来的新技术,本文阐述了VPN(虚拟局域网)的基本概念以及其特点和优势,重点介绍了虚拟专用网的工作原理和相关技术包括隧道技术,数据加密和用户认证。
关键词:VPN;隧道技术;数据加密;用户认证
VPN(Virtual Private Network)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
VPN的主要特点
(1) 网际互联安全性高。VPN技术继承了现有网络的安全技术,并结合了下一代IPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
(2)经济实用、管理简化。由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
(3) 可扩展性好。 如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
(4)支持多种应用。由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
(5)有效实现网络资源共建共享。在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
VPN技术分析
VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
(1) 隧道技术
1.隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,?现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议,L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听
2 .第二层隧道协议
L2TP是从Cisco主导的第二层向前传送和Microsoft主导的点到点隧道协议的基础上演变而来的,它定义了利用公网设施(如IP网络,ATM和帧中继网络)封装传输链路层点到点协议帧的方法。目前,Internet中的拨号网络只支持IP协议,而且必须注册IP地址;而L2TP可以让拨号用户支持多种协议,并且可以保留网络地址,包括保留IP地址。利用L2TP提供的拨号虚拟专用网服务对用户和服务提供商都很有意义,它能够让更多的用户共享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,用户在非IP网络和应用上的投资不至于浪费。
3.第三层隧道协议
IPSec是将几种安全技术结合在一起形成的一个较完整的体系,它可以保证IP数据包的私有性、完整性和真实性。IPSec使用了Diffie-Hellman密钥交换技术,用于数字签名的非对称加密算法、加密用户数据的大数据量加密算法、用于保证数据包的真实性和完整性的带密钥的安全哈希算法、以及身份认证和密钥发放的认证技术等安全手段。IPSec协议定义了如何在IP数据包中增加字段来保证其完整性、私有性和真实性,这些协议还规定了如何加密数据包:Internet密钥交换协议用于在两个通信实体之间建立安全联盟和交换密钥。IPSec定义了两个新的数据包头增加到IP包上,这些数据包头用于保证IP数据包的安全性。这两个数据包头是认证包头和安全荷载封装。其中IP数据包的完整性和认证由IPSec认证包头协议来完成,数据的加密性则由安全荷载封装协议来实现。
(2)用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。?
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(3)加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo?RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
vpn技术范文第9篇
关键词:VPN;信息化;防火墙
1 VPN技术应用背景
天脊煤化工集团有限公司从2003年进入了信息化建设的发展阶段,在浙江中控软件技术有限公司、山西省信息工程设计院等单位共同合作下建立起了“天脊集团综合信息管理自动化系统”。该自动化系统包括领导查询分系统、生产管理分系统、人力资源管理分系统、备品备件管理分系统、物资供应资源分系统、销售管理分系统等。随着信息化建设的不断深入,业务流程渐渐规范化,各种分系统也在不断完善,分布在全国各地的分公司和子公司相应业务也要纳入到“天脊集团综合信息管理自动化系统”中来。为此,集团公司决定由信息管理中心组织并实施VPN技术。
2 VPN技术在天脊集团企业信息化建设中的具体实施
(1) VPN的选型
用于企业内部自建VPN的主要有两种技术――IPSec VPN和SSL VPN。
IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。
目前,天脊集团主干网络设备为CISCO的产品,路由器和防火墙均提供实现VPN的功能。综合评比在防火墙上实现VPN功能更适合,且不改变网络结构、不增加任何硬件投资下实现VPN功能,而在路由器上实现VPN还需购买相关VPN模块。根据天脊集团具体的业务需要和现有的网络状况,天脊集团选择了CISCO的IPSec VPN方案。
(2) 网络架构
在项目的实施中,利用Cisco PIX 515防火墙提供的VPN功能来构建虚拟专用网。Cisco PIX 515 Firewall提供基于IPSec标准的VPN功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包。
(3) 详细配置信息
防火墙配置:
access-list 100 permit 172.16.5.0 255.
255.255.0 172.16.2.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.
168.1.254
global(outside) 1 interface
nat(inside) 0 access-list 100
conduit permit tcp host 172.16.3.10 any
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-
des esp-md5-hmac
crypto dynamic-map dynmap 10 set tra
nsform-set myset
crypto map vpn 10 ipset-isakmp dynamic dynmap
crypto map vpn 20 ipsec-isakmp
crypto map vpn client configuration address initiate
crypto map vpn client configuration address respond
crypto map vpn interface outside
isakmp enable outside
isakmp key ******* address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp policy 10 authentication pre-sha
re
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn3000 address-pool vpnpool
vpngroupvpn3000dns-server 172.16.
2.11
vpngroup vpn3000 split-tunnel 100
vpngroup vpn3000 idle-time 1800
vpngroup vpn3000 password ********
isakmp client configuration address-
poollocal vpnpool outside
路由器配置:
route inside 172.16.2.16 255.255.255.0 172.16.3.10 1
VPN客户端要求:
在集团公司分公司和子公司内要求使用和信息管理中心一致的宽带接入服务,使用Microsoft Windows2000以上操作系统;使用Cisco VPN Client v4.8远程连接控制工具;相关人员必须接受VPN客户端使用相关知识学习,达到独立解决VPN客户端问题的能力。
(4) VPN技术实施效果评价
降低费用。远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
安全性得到了增强。VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,并对数据进行加密处理。对于企业内部的数据,可以通过VPN使企业Intranet上拥有适当权限的用户才能通过远程访问建立与服务器的连接,并且可以访问业务部门网络中受到保护的资源。
3 总结
vpn技术范文第10篇
1 VPN的概念
VPN的英文Virtual Private Network的缩写,可文译为虚拟专用网。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。这类专业公司的典型代表是电信企业。VPN具有以下优点:
(1)降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的Intranet,用拔号访问时,花的是国际长途话费;而用VPN技术时,只需在纽约和北京分别连接到当地的Internet就实现了互联,双方花的都是市话费。
(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,VPN就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。
(3)完全控制主动权:VPN上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。
2 VPN的工作原理
图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN可,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。
基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(Dedicated VPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。
拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。
提供私有拨号网络服务的服务提供商可以用单个电话号码提供给所有的用户组织。访问者可以用拨号网络进入访问服务器,访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接,当企业网关鉴别了用户之后,访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。
PPP协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。
拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。
专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务,但最常见的是在IP网上建立的IP VPN业务,如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。
虚拟专用网的体系结构有多种形式,分类示意图如图4。
模拟目前国内公众多媒体通信网的状况;在国内采用VPN组网一般分为三类:
(1)ATM PVC组建方式,即利用电信部分提供的ATM PVC来组建用户的专用网。这种专用网的通信速率快,安全性高,支持多媒体通信。
(2)IP Tunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍及的地方均可提供。
(3)Dial-up Access组网方式(VDPN)。这是一种拨号方式的专用网组建方式,可以利用已遍布全国的拨号公网来组建专用网,其接入地点在国内不限,上网可节省长途拨号的费用。对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。它可以将用户内部网的界限,从单位的地理所在延伸到全国范围。
2.1 拨号VPN(VDPN)
拨号VPN又可分为客户发起的(Client-Initiated)VPN和NAS发起的VPN。
2.1.1 客户发起的VPN
在客户发起的VNP中,用户拨号到本地的POP远程,由客户来发出请求并建立到某企业内部网的加密隧道。为了建立一个安全的连接,客户端运行Ipsec软件,客户软件与公司内部网络防火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全性。这种形式的VPN优点是:
(1)远程用户能够同时与多个Home Gateway建立IP Tunnel。
(2)远程用户不必重新拨号,就可以进入另一网络。
(3)VPN的建立和管理与ISP无关。
缺点是:因为这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件,而且管理移动PC上的Ipsec客户端软件也是麻烦的事件。因此,大部分的服务提供曾几何时会选择VPN隧道作为其网络一部分的形式,如下面所讨论的那样。
2.1.2 NAS发起的VPN
在NAS发起的VPN中,由服务提供商的POP中的NAS请求并创建到客户公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)协议来建立到客户Home Gateway的安全隧道。L2TP是不久前建立的标准,这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。对于Home Gateway来说,L2F或L2TP隧道表现得似乎用户是直接拨号到公司内部网上。
表现得似乎用户是直接拨号到公司
内部网上。在这种拨号VPN形式中,用户认证公两级处理。当用户拨入时,首先由服务提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司Home Gateway的隧道,由Home Gateway来执行用户级的认证功能。
这种VPN形式有若干优点:对拨号用户透明,用户PC上无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的拨号VPN服务,如通过预留Modem端口,优先的数据传送等手段保证拨号VPN用户得到所需的服务;NAS可以时支持Internet或其他公用网络和VPN服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署将更具有可扩充性和管理性。
这种VPN形式存在的缺点有:
(1)当远程用户进入其它网络时,需要重新拨号,并且只能以另一用户名登录。
(2)远程用户不能同时进入多个网络。
2.2 专线VPN
2.2.1 基于IP Tunnel的专线VPN
VPN与常规的直接拨号网络不同,在VPN中,PPP数据包流不是通过专用线路,而是通过共享IP网络上的隧道进行传输。这两者的关键不同点是隧道代替了实际的专用线路。如何形成VPN隧道呢?
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。隧道协议一般封装在IP协议中,但也可以是ATM或Frame Relay。由于隧道搭载的是PPP数据包(第二层),所以这种封装方法称为“第2层隧道”。用得很少的另一种方法是把各种网络协议直接装入隧道协议中(3Com公司的VTP就是这种隧道协议),由于隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。
2.2.2 基于Vitual Circuit(虚拟电路)的VPN
服务提供商可以提供虚拟电路来建立IP VPN服务。用PVC在帧中继(Frame Relay)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IP VPN服务。
在前面叙述的专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道(tunnel)来提供服务的。与之不同,基于虚拟电路的VPN通过在公共的帧或信元交换网络上的路由来传送IP服务,是使用PVC而不是tunnel来建立隐私性。因此,加密是不需要的。
这种形式的VPN具有如下优点:受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法;可充分利用FR CIR(Committed Information Rate)和ATM QoS来确保QoS能力;虚拟电路拓扑的弹性;连接无须加密。
它的缺点是:不能灵活选择路由;比IP Tunnel的相对费用高;缺少IP的多业务能力(如Voice Over IP Video Over IP等)。
3 VPN技术的应用领域及典型应用
3.1 VPN应用的四个领域
企业内部网Itranet、远程访问、企业外部网Extranet、企业内VPN。另外,在很多涉及公司重要信息的传输及对数据完整性安全性要求比较高的场合,也大多选择VPN技术。
3.2 VPN广域网建设新的解决方案(即典型应用)
目前各行业网、专用网的应用主要有两个方面:一是作为Internet或其他公用网络的一部分,组织本行业是信息资源上网;二是作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。
对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的中国公用计算机互联网(简称163网)或中国公众多媒体通信网(简称169网),完全省去了用于连接跨省的DDN专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的信息资源开发和深加工。
对地第三种应用或两者都有的应用,则各地就近接入当地的169网或163网,采用VPN技术,实现跨地区的数据通信,充分利用169网高速(155MATM)的跨省通信主干道,建设自己的内部网。其网络结构如图5所示。
图中的VPN表示内部专用网段。由于内部网的敏感数据在公网传输进是加密传,因此可以实现安全廉价的跨地域数据通信。
同样,本解决方案也适用于企业的跨地域数据通信,实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。
4 VPN技术的市场前景分析
Internet的飞速发展、用户数的迅猛增长以及Web通信量和个人域名注册都加速了其发展势头。美国商业部预测到2010年加入互联网的企业将会超过500尤。这清楚地描述了下世纪Intenet产生以及将会产生的影响。一些研究表明在下世纪将会有70%~80%的商务使用VPN设备。它们还指出,仅拥有200个远程用户美国某跨国公司弃专线而选用VPN后,仅仅4~5的时间就节省了150多万美金。
公司希望花费不高的代价来传输商务信息。VPN在这方面起了很重要的作用,它提供了减少开支、提高服务、维护客户基础的方法。许多公司选用VPN传输商务信息的原因是:
(1)VPN以Internet做支撑;
(2)无论对商业客户来说还是对私人客户来说,使用Internet都是一种经济可行的方式。
(3)Internet覆盖全球;
(4)现在Internet传输效率极高,大多ISP能承受进行连接所带来的负荷;
(5)VPN是灵活的、动态的、可升级的;
(6)VPN在可以利用公司硬件方面的现有投资。
本文链接:http://www.vanbs.com/v-141-2670.htmlvpn技术范文10篇
相关文章:
祝医生医师节快乐话语08-16
工程投标邀请函07-20
描写天空的比喻句摘抄09-28
小学生冬日里的骄阳作文300字09-24
20年后回故乡作文07-23
《藤野先生》的课内阅读理解答案10-05