特定应用需求下VPN的隧道协议选择

为了实现安全通信,越来越多的机构使用VPN隧道这种相对廉价和便捷的方法来创建私有网络。VPN协议分为点到点和远程访问两种类型,在安全机制方面表现出不同的特性集。但是没有基于机构特定应用需求的VPN。文章分析了不同的VPN隧道协议,如GRE、IPSec、PPTP和L2TP with IPSec的吞吐量,往返时间,抖动和安全参数等方面的性能。结果表明,GRE更适合于对延时和带宽敏感的点到点VPN环境中,而L2TP比PPTP更适用于远程接入VPN。     

基于L2TP的VPN服务器程序设计

虚拟私有网络VPN（Virtual Private Network)是近年来兴起的网络热门技术。分析了VPN中的关键技术L2TP协议的工作原理，并在Linux上根据RFC2661实现了L2TP协议中关键的部分：LNS服务器。通过对这些问题的描述，使得Windows的客户端能够通过简单的拔号连接访问LNS服务器，用最简单廉价的方式，高效实用地部署企业的VPN。     

基于VPN的网络安全解决方案

为了解决端到端的数据安全,许多VPN(虚拟专网)方案被提出,比如PPTP、L2TP、L2F VPN以及MPLSVPN等。VPN是企业网在Internet上的拓展和延伸,VPN通过一个私有的通道来创建一个安全的私有连接。将远程用户、分支机构、业务伙伴等跟企业网连接起来,形成一个扩展的网络。基于目前的安全现状,国内的网络安全产品提供商东软推出了NetEye VPN。该产品采用了先进的IPSec     

虚拟专用网和IPSec协议分析

介绍了虚拟专用网络(VPN),分析了实现VPN的主要协议IPSec,并与其他两种常用协议SOCKSv5、PPTP/L2TP进行了比较。     

基于L2TP的VPN服务器程序设计

虚拟私有网络VPN(VirtualPrivateNetwork)是近年来兴起的网络热门技术。分析了VPN中的关键技术L2TP协议的工作原理,并在Linux上根据RFC2661实现了L2TP协议中关键的部分:LNS服务器。通过对这些问题的描述,使得Windows的客户端能够通过简单的拨号连接访问LNS服务器,用最简单廉价的方式,高效实用地部署企业的VPN。     

基于VMWare的IPSec综合实验设计

IPSec是互联网的基础安全协议。建立IPSec安全通道之前,对等体之间需要进行身份认证。IPSec身份认证的传统实验是通过"预共享密钥"的方式来进行的。设计了两个更通用的IPSec身份认证实验:"基于证书"和"基于Kerberos协议"。而基于虚拟机平台的实验具有更方便、更经济的优点。此外,本实验还涉及到了Windows平台上各种安全设置,如活动目录、DNS服务器、DHCP服务器,防火墙、证书颁发中心CA等,具有很强的综合性。     

虚拟专用网(VPN)的实现方法

虚拟专用网是利用Internet互联网实现企业内部低成本远程安全访问的一种。深入剖析了基于IPSec协议和L2TP协议的VPN实现方法及其安全性。着重比较IPSec和L2TP的不同模式各自的特点,为企事业单位选择VPN方案提供参考。     

利用L2TP构建安全的VPN

对于构建VPN 来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，也就是将现有的透明网络信息进行再次封装，从而保证网络信息传输的安全性。它主要利用网络隧道协议来实现这种功能，具体包括二层隧道协议（用于传输二层网络协议）和三层隧道协议（用于传输三层网络协议）。二层隧道协议L2TP（Layer 2Tunneling Protocol）是一种基于点对点协议PPP的二层隧道协议。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP 访问集中器LAC（L2TPAccess Concentrator ），它是附…     

城域网中MPLS VPN的实现

以往,国内的各种专网(如DDN网、分组交换网、帧中继、ATM等)为客户带来了安全、稳定、可靠的网络应用,也为运营商带来了丰厚的利润,例如银行、保险、证券、等行业都大规模应用上述各种专网。但是在如今的情况不同了,电信市场竞争日臻激烈,为了适应用户需求的不断变化,迫使网络运营商们必须让网络更灵活、可扩展性更好、带宽更宽。建立在公网上的VPN的市场需求脱颖而出,PPTP、L2TP、IP Sec等VPN技术曾在     

简述海外台站在RouterOS上配置L2TP VPN服务器的方法与步骤

本文通过利用路由器式VPN技术,逐步阐述了如何在RouterOS上配置海外台站L2TP VPN服务器的方法与步骤,这使海外台站在Internet网络上建立了一条以远程访问协议为基础的安全便捷可靠的私有的数据传输隧道,为涉外办公人员通过私有通道访问单位内网,实现资源共享,提供了安全、高效、便利的远程办公解决方案.     

基于PKI的IPSec-VPN的研究与设计

虽然将IPSec用在虚拟专用N（VPN）是一种很好的网络安全解决方案,极大地改进了传统IP协议缺乏安全机制的问题,但因其身份鉴别不完善而影响到在复杂环境下的网络安全。PKI是由公开密钥密码技术、数字证书、证书认证机构等基本成分组成的一套安全平台,可提供身份认证和角色控制服务。该文分析了IPsec和PKI在安全上的技术特点,提出了一种如何将PKI证书机制应用到IPsec-VPN中,实现强身份认证和访问控制机制,进而完善VPN安全的方案。     

企业VPN技术应用实施浅析

随着企业规模逐渐扩大,远程用户、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络（如Internet）来建立自己的专用网络的技术,这种技术就是虚拟专用网（简称VPN）。本文首先介绍了VPN的概念,对VPN的实现技术进行了分类和适用性分析,然后分析了各种类型的企业在信息安全方面的需求和限制,根据不同企业的特点提出了不同的VPN解决方案,最后,对VPN在集成电路企业中的应用做了简单的拓朴展示。     

Remote access virtual private network architecture for high‐speed wireless internet users

The new emerging broadband wireless network (BWN) technologies with high‐speed wireless internet access promotes corporations to provide their roaming employees with high‐speed wireless access to the computing resources on their corporate networks. Thus, a value added service to broadband wireless network is the remote access virtual private network (VPN), where the corporate legitimate users can connect to their offices wirelessly from different locations and get secure services as if they were connected to the corporate local area network (LAN). One of the most important challenges is to block out illegitimate user requests, which are wirelessly received, to protect corporate privacy. Registration (adding new users) and authentication (accepting current users) functions should be implemented with highly secured wireless connection. These functions are accomplished by encapsulating (i.e. tunneling) the user information in a secured form to the corporate authentication server through the internet traffic. The corporate authentication server then grants or denies the user access. In this paper, we propose a new operational design algorithm for remote access wireless VPN authentication and registration protocols that depends on modifying tunnel establishment as compared to existing dial‐in VPN mechanisms. The modifications proposed in this paper are made to support successful deployment of the remote access VPN services over high‐speed wireless network. The paper presents an overview of two tunneling approaches using Layer 3 and Layer 2 separately for implementing these functions. Then we propose how we establish the tunnel in both approaches, and compare it to similar operation steps previously reported for the dial‐in VPN protocols. The proposed algorithms are distinguished from previously developed dial‐in VPN protocols by using L2TP and IPSEC instead of mobile IP. It is also shown that the steps involved in the establishment of the tunnel are functionally different and more appropriate to our applications using communication environment of the BWN. Finally, a qualitative analysis of the added functions, and a comparison between L2TP‐based and IPSec‐based approaches are established. Copyright © 2004 John Wiley & Sons, Ltd.     

基于F2812的VPN管理服务器设计

为充分利用公共网络资源来提供优质信息安全服务,文中介绍了一种新型的高安全虚拟专用网安全通信解决方案,该方案将网络安全协议完全嵌入到网络设备之中,从而使网络设备具有身份认证、通信保密以及防止主动攻击的功能,给出了该方案的硬件平台组成及组网网络拓扑结构,详细介绍了方案中管理服务器的功能设计、硬件结构及软件结构,同时介绍了RSA算法的实现方式,经验证该方案达到了预期的目的。     

Design of versatile academic infrastructure for multilayer network services

This paper describes the network design and configurations of the new Japanese academic infrastructure, called SINET3, which provides a rich variety of network services to more than 700 universities and research institutions. Since the start of full-scale operations in June 2007, the network has expanded its services to include multi-layer transfer services (IP, Ethernet, and layer-1), enriched virtual private network services (L3VPN, L2VPN, VPLS, and L1VPN), enhanced QoS services (packet-based and circuit-based), and brand-new layer-1 bandwidth-on-demand (BoD) services. This paper explains how the network provides these various network services on a single network platform by effectively configuring leading-edge networking components, such as high-performance IP routers, layer- 1 switches, and a BoD server. Evaluations of the network design and configurations confirmed that the networking functions were effectively coordinated. The procedures and techniques related to the configuration validation that covered all phases of the network design and construction are also presented.     

VPN网络防御DOS攻击的探讨

虚拟专用网(VPN)通过加密提供安全信道,尽管VPN支持两个主机间的认证并认证后才提供VPN服务,但VPN并不拒绝试图建立连接的请求,因此,还是可以被拒绝服务(DOS)和分布式拒绝服务(DDOS)攻击,除非整个网络全部采用IPSec协议提供身份认证,否则就找不到攻击源头。针对已采用IPSec协议的VPN,文章补充了一个模块以增加其安全性并抵御中小型DOS攻击,尽量减少攻击造成的损害,并探讨了下一代网络采用IPSec必要性。     

Layer 2 and 3 virtual private networks: taxonomy, technology, and standardization efforts

Virtual private network services are often classified by the OSI layer at which the VPN service provider's systems interchange VPN reachability information with customer sites. Layer 2 and 3 VPN services are currently being designed and deployed, even as the related standards are being developed. This article describes the wide range of emerging L2 and L3 VPN architectures and technical solutions or approaches, and discusses the status of standards work. Some specific L2VPN and L3VPN technologies described here include virtual private LAN service, transparent LAN service, BGP/MPLS-based VPNs (RFC 2547bis), virtual router, and IPSec VPN approaches. We discuss recent and continuing standards efforts in the IETF 12vpn and 13vpn working groups, and related work in the pseudo-wire emulation edge-to-edge working group, as well as in some other standards fora, and describe some mechanisms that provide membership, reachability, topology, security, and management functions.     

对IPSec VPN进行运营管理的若干问题的研究

网络管理系统是IPSec(IP security,IP安全)VPN(virtual private network,虚拟专用网络)作为一种电信运营业务的关键组成部分.VPN节点设备部署在运营商网络的边缘,这种网络模式使得对节点的管理不同于对传统网络的管理,其中,VPN业务网络拓扑的自动发现和对私有网络中的设备进行管理是两个关键的问题.本文通过在网络管理系统中指定根节点,然后利用根节点中的SA(security association,安全联盟)信息来获得其他VPN节点的地址信息,从而实现VPN拓扑的自动发现;针对私有网络中的设备地址不可达的问题,本文提出了主动注册的技术,并利用主动注册同网络管理代理转发技术相结合的方法实现了对私有网络中设备的管理.