瞭解VPN技術(三) 時間:2007-09-15 14:50:54作者:中國IT實驗室
本文關鍵詞:無
3.加密技術
數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能瞭解被保護信息的內容。加密算法有用於Windows95的RC4、用於IPSec的DES和三次DES。RC4雖然強度比較弱,但是保護免於非專業人士的攻擊已經足夠瞭;DES和三次DES強度比較高,可用於敏感的商業信息。
加密技術可以在協議棧的任意層進行;可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密隻在路由器中進行,而終端與第一跳路由之間不加密。這種方法不太安全,因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中,VPN安全粒度達到個人終端系統的標準;而“隧道模式”方案,VPN安全粒度隻達到子網標準。在鏈路層中,目前還沒有統一的加密標準,因此所有鏈路層加密方案基本上是生產廠傢自己設計的,需要特別的加密硬件。
4.QoS技術
通過隧道技術和加密技術,已經能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩定,管理上不能滿足企業的要求,這就要加入QoS技術。實行QoS應該在主機網絡中,即VPN所建立的隧道這一段,這樣才能建立一條性能符合用戶要求的隧道。
不同的應用對網絡通信有不同的要求,這些台灣註冊商標查詢要求可用如下參數給予體現:
·帶寬:網絡提供給用戶的傳輸率;
·反應時間:用戶所能容忍的數據報傳遞延時;
·抖動:延時的變化;
·丟失率:數據包丟失的比率。
網絡資源是有限的,有時用戶要求的網絡資源得不到滿足、通過QoS機制對用戶的網絡資源分配進行控制以滿足應用的需求。QoS機制具有通信處理機制以及供應(Provisioning)和配置(Configuration)機制。通信處理機制包括802.1p、區分服務(differentiated service per-hop-behaviors,DiffServ)、綜合服務(integrated services,IntServ)等等。現在大多數局域網是基於IEEE802技術的,如以太網、令牌環、FDDI等,802.1p為這些局域網提供瞭一種支持QoS的機制。802.1p對鏈路層的802報文定義瞭一個可表達8種優先級的字段。802.1p優先級隻在局域網中有效,一旦出瞭局域網,通過第三層設備時就被移走。DiffServ則是第三層的QoS機制,它在IP報文中定義瞭一個字段稱DSCP(DiffServ codepoint)。DSCP有六位,用作服務類型和優先級,路由器通過它對報文進行排隊和調度。與802.1p、DiffServ不同的是,IntServ是一種服務框架,目前有兩種:保證服務和控制負載服務。保證服務許諾在保證的延時下傳輸一定的通信量;控制負載服務則同意在網絡輕負載的情況下傳輸一定的通信量。典型地,IntServ與資源預留協議(Resource reservation Protocol,RSVP)相關。IntServ服務定義瞭允許進入的控制算法,決定多少通信量被允許進入網絡中。
供應和配置機制包括RSVP、子網帶寬管理(subnet bandwidth manager,SBM)、政策機制和協議以及管理工具和協議。這裡供應機制指的是比較靜態的、比較長期的管理任務,如:網絡設備的選擇、網絡設備的更新、接口添加刪除、拓撲結構的改變等等。而配置機制指的是比較動態、比較短期的管理任務,如:流量處理的參數。 RSVP是第三層協議,它獨立於各種的網絡媒介。因此,RSVP往往被認為介於應用層(或操作系統)與特定網絡媒介QoS機制之間的一個抽象層。RSVP有兩個重要的消息:PATH消息,從發送者到接收者;RESV消息,從接收者到始發者。 RSVP消息包含如下信息:①網絡如何識別一個會話流(分類信息);②描述會話流的定量參數(如數據率);③要求網絡為會話流提供的服務類型;④政策信息(如用戶標識)。RSVP的工作流程如下:
·會話發送者首先發送PATH消息,沿途的設備若支持RSVP則進行處理,否則繼續發送; ·設備若能滿足資源要求,並且符合本地管理政策的話,則進行資源分配,PATH消息繼續發送,否則向發送者發送拒絕消息;
·會話接收者若對發送者要求的會話流認同,則發送RESV消息,否則發送拒絕消息;
·當發送者收到RESV消息時,表示可以進行會話,否則表示失敗。
SBM是對RSVP功能的加強,擴大瞭對共享網絡的利用。在共享子網或LAN中包含大量交換機和網絡集線器,因此標準的RSVP對資源不能充分利用。支持RSVP的主機和路由器同意或拒絕會話流,是基於它們個人有效的資源而不是基於全局有效的共享資源。結果,共享子網的RSVP請求導致局部資源的負載過重。SBM可以解決這個問題:協調智能設備。包括:具有SBM能力的主機、路由器以及交換機。這些設備自動運行一選舉協議,選出最合適的設備作為DSBM(designated SBM)。當交換機參與選舉時,它們會根據第二層的拓撲結構對子網進行分割。主機和路由器發現最近的DSBM並把RSVP消息發送給它。然後,DSBM查看所有消息來影響資源的分配並提供允許進入控制機制。
網絡管理員基於一定的政策進行QoS機制配置。政策組成部分包括:政策數據,如用戶名;有權使用的網絡資源;政策決定點(policy decsion point,PDP);政策加強點(policy enforcement point,PEP)以及它們之間的協議。傳統的由上而下(TopDown)的政策協議包括簡單網絡管理協議(Simple Network Management Protocol,SNMP)、命令行接口(Command Line Interface,CLI)、命令開放協議服務(Command Open Protocol Services,COPS)等。這些QoS機制相互作用使網絡資源得到最大化利用,同時又向用戶提供瞭一個性能良好的網絡服務。
四、結束語
基於公共網的VPN通過隧道技術、數據加密技術以及QoS機制,使得企業能夠降低成本、提高效率、增強安全性。VPN產品從第一代:VPN路由器、交換機,發展到第二代的VPN集中器,性能不斷得到提高。在網絡時代,企業發展取決於是否最大限度地利用網絡。VPN將是企業的最終選擇。
台中商標註冊類別
上一篇:McAfee新任CEO首次訪華 中國市場新戰略加速(圖)下一篇:"薄客"技壓群芳 A.O史密斯上網本夢幻登場
台灣註冊商標
文章標籤
全站熱搜
留言列表
