（计算机应用技术专业论文）基于corbajava的vpn网络管理系统的研究和实现.pdf

北方 ：业大学硕士学位论文 摘要 伴随着i n t e r n e t 的迅速发展和网络应用的日益深入，v p n 网络在企业中得到 广泛应用。同时网络的规模不断扩大，结构日益复杂，功能不断增强，这使得计 算机网络管理变得非常重要。面对不断增加的网络管理的需求，传统的基于管理 方代理的集中式网络管理模型面临着一系列难以克服的问题：系统缺乏可集成 性、系统缺乏可扩展性、复杂网管的应用编程比较困难、网管应用的高度集中， 严重限制了网络的可伸缩性。要克服以上问题，新一代网络管理系统必须具备开 放系统的可移植性、可互操作性、可伸缩性和易获得性等特征。 c o r b a 技术是一种分布式计算模式，它具有面向对象、跨平台、跨语言等 特性，它正在成为推动网络管理技术发展的核心技术，它具有其它技术无法单独 取代的优越性：便于创建易于扩展的网络管理应用框架、可以适应网络系统的可 伸缩性、可以提供开放和标准的接口界面、可以将用户界面和管理方代码分离、 可以结合各种编程语言各自的优越性、可以提供更好的容错性。同时c o r b a 技 术与s n m p 、w e b 技术、j a v a 技术的结合使得基于c o r b a 的网络管理如虎添 翼。本文针对v p n 网络的管理需求，结合网络新技术对开放的计算机网络的管 理进行了研究。 本论文首先对现存的计算机网络管理体系结构进行了研究，总结了网络管 理的一般模型结构与功能结构，对典型网络管理体系结构进行了分析，从中抽象 出网络管理体系结构的发展趋势。 然后对计算机网络管理协议进行了分析与比较，指出了o s i 管理和i n t e m e t 管理各自存在的问题。 接着介绍了计算机网络管理实现技术，如w e b 技术、c o r b a 技术与x m l 等技术，分析和探讨了w e b 技术、c o r b a 技术与x m l 等技术与网络管理的 关系。通过以上的分析提出了基于c o i 淝s n m p w e b 的网络管理系统模型， 并在该模型的基础上提出了基于c o r b s n m p w e b 的网络管理系统模型的分 层体系结构。该模型具有可扩展性、可伸缩性、界面统一、支持多种平台环境等 特点。在这些研究基础之上，完成了基于c o r b a s o w e b 的网络管理系统 的设计和j a v a 实现。 最后，本论文总结了工作尚存的不足，并分析了网络管理的研究方向、发展 前景。 关键词：公共对象请求代理结构，虚拟专用网，网络管理，简单网络管理协议 i i i ! ! 立工些丕堂塑主堂垡鲨塞 a b s t r a c t w i t ht h e r a p i dd e v e l o p m e n t o fi n t e r a c ta n d i n c r e a s i n g l ye x p a n d e d n e s s o f n e t w o r k a p p l i c a t i o n ，v p nn e t w o r k a r eu s e da b r o a d b yc o m p a n y a t t h es a m et i m e ，t h e i n c r e a s i n gs c a l e ，c o m p l e x i t y a n df u n c t i o no ft h en e t w o r ka r e m a k i n gn e t w o r k m a n a g e m e n t m o r ea n dm o r ei m p o r t a n t t om e e tt h ei n c r e a s i n gd e m a n d so nn e t w o r k m a n a g e m e n ts y s t e m ，t h et r a d i t i o n a ls y s t e mb a s e do nm a n a g e r a g e n tm o d e la d o p t i n g ac e n t r a l i z i n gm o d e lh a sb e e nf a c e dw i t has e r i e so fh a r d p r o b l e m s ：l a c k i n g i n t e g r a t i o na b i l i t y ；l a c k i n ge x p a n s i b i l i t y ；t h ed i f f i c u l t y o n c o m p l e x n e t w o r k m a n a g e m e n tp r o g r a m m i n g ；t h el i m i t e dr e t r a c t i l i t yc a u s e db y t h eh i g hc e n t r a l i z a t i o no f n e t w o r km a n a g e m e n ta p p l i c a t i o n i no r d e rt os o l v et h e s ep r o b l e m s ，t h en e w g e n e r a t i o n m o d e lo fn e t w o r km a n a g e m e n t s y s t e m s h o u l db et r a n s p l a n t a b l e 、 i n t e r - o p e r a t i n g 、s c a l a b l ea n d a v a i l a b l e a sa l ld i s t r i b u t e d c o m p u t i n gm o d e l c o r b ai sp r o v i d e d w i t hf e a t u r eo f o b j e c t o r i e n t i n t e r - p l a t f o r ma n di n t e r - l a n g u a g ee t c c o r b ai sb e c o m i n gt h ec o r e t e c h n o l o g yd r i v i n gt h ed e v e l o p m e n to f n e t w o r k m a n a g e m e n t i t h a st h eu n p a r a l l e l e d s u p e r i o r i t y ：e a s i l yc r e a t i n gt h ee x p a n s i b l en e t w o r km a n a g e m e n tm o d e l ；a d a p t i n gt o t h er e t r a c t i l i t yo fn e t w o r k m a n a g e m e n ts y s t e m ；o f f e r i n go p e na n ds t a n d a r di n t e r f a c e ； s e p a r a t i n g t h eu s e r s i n t e r f a c e sf r o m m a n a g e r sc o d e ；i n t e g r a t i n g w i t l lt h e p r o g r a m m i n gl a n g u a g e sa d v a n t a g e ；o f f e r i n gh i g hc o m p a t i b i l i t y a n d a v a i l a b i l i t y i n t e g r a t i n gc o r b a w i t l ls n m p 、v e ba n dj a v am a k e st h en e t w o r km a n a g e m e n t b a s e dc o r b am o r es t r o n g e r , i nt h i st h e s i s b a s e do nm em a n a g e m e n tr e q u i r e m e n to f v p nn e t w o r k ，t h ea u t h o rm a d ead e s c r i p t i o na b o u th e rs t u d yi nt h ef i e l do ft h eo p e n c o r e d u t c rn e t w o r ks y s t e mc o m b i n e d w i t hn e wn e t w o r k t e c h n o l o g y f i r s t l y , t h e t h e s i sd i s c u s s e st h ec u l t c n t c o m p u t e r n e t w o r k m a n a g e m e n t f r a m e w o r k ，s u m m a r i z e st h en e t w o r km a n a g e m e n tm o d e l ，a n a l y s e st h et y p i c a l n e t w o r km a n a g e m e n tf r a m e w o r k ，a n de d u c e st h e d e v e l o p i n g t r e n do fn e t w o r k m a n a g e m e n t f r a m e w o r k s e c o n d l y ，t h et h e s i sa n a l y s e sn e t w o r km a n a g e m e n tp r o t o c o l sa n dc o m p a r ec m i p w i t l ls n m p a n dd i s c u s sm e p r o b l e m si no s in e t w o r km a n a g e m e n ta n di ni n t e r a c t n e t w o r k m a n a g e m e n tr e s p e c t i v e l y t h e nw ea n a l y s en e t w o r km a n a g e m e n tp r o t o c o l s ，a n dd i s o u s st h ep r o b l e m si u o s in e t w o r km a n a g e m e n ta n di ni n t e m e tn e t w o r km a n a g e m e n tr e s p e c t i v e l y t h e n ，t h et h e s i si n t r o d u c et h ec o m p u t e r n e t w o r k m a n a g e m e n tt e c h n o l o g y ，s u c h a sw 髓c o r b aa n dx m l ，a n a l y s e sa n dd i s c u s s e st h e r e l a t i o n s h i p b e t w e e n w e b c o r b a x m la n dn e t w o r km a n a g e m e n t b yi n t e g r a t i n gt h eb e n e f i t so f t i l e s c t e c h n o l o g i e s ，w eb r i n g f o r w a r dt h en e t w o r km a n a g e m e n tf r a n l e w o r kb a s e do n c o r b a s n m p ，、v e b a n dp u tf o r w a r dl a y e rs y s t e ma r c h i t e c t u r eb yt h en e t w o r k m a n a g e m e n tm o d e lb a s e d o nc o r b a s n m p ，w e b t h i sa r c h i t e c t u r ei so fe x c e l l e n t c h a r a c t e r s ， s u c ha s h i g he x p a n s i b i l i t y , h i g hr e t r a c t i l i t y , s t a n d a r d i n t e r f a c e ， m u l t i p l a t f o i - i ns u s t a i n a b i l i t y b a s e do nt h e s er e s e a r c h e s w ef i i l i s ht h ed e s i g no ft h e n e t w o r km a n a g e m e n ts y s t e mb a s e do nc o r b a s n m p ，w e ba n di m p l e m e n t a t i o nb y j a v a f i n a l l yw es u m m a r i s e 血ed e f i c i e n c yo f o u rw e r k a n dp o i n to u tt h er da n d p e r s p e c t i v eo f n e t w o r km a n a g e m e n t k e yw o r d s ：c o r b a ，v p n ，n e t w o r km a n a g e m e n t ， s n m p i v 北方工业人学硕士学位论文 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得韭直工 些盍堂或其他教育机构的学位或证书而使用过的材料。与我一同工作的同 志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签镄字日期：细作g 月细日 学位论文版权使用授权书 本学位论文作者完全了解j e 友王些太堂有关保留、使用学位论文的规 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论 文被查阅和借阅。本人授权i e 友王些盍堂可以将学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：彳面点 签字日期加毕年f 月知日 学位论文作者毕业后去向； 工作单位： 通讯地址： 导师躲磐石 签字日期：。啦年6 月 妇 电话： 邮编： 北方工业大学硕士学位论文 1 1 课题背景 第一章引言 伴随着计算机网络的迅速发展，特别是随着国际互连网络i n t e m e t 的不断推 广应用，计算机网络越来越成为人们所关注的全球性的热点之一。计算机网络的 使用越来越广泛，用户对网络的依赖也越来越大。网络已经渗透到工业、银行、 学校等各个领域。未来社会时信息化的社会，而信息社会也是离不开网络的社会。 同时，伴随着企业的收购与合并的数量不断增加，再加上企业本身的发展壮 大和全球化发展战略，企业的分支机构越来越多，企业的信息技术部门需要这么 一种技术能够迅速地连接分布在各地的小型办公室。同时为了满足移动用户以及 远程办公用户访问企业网络的需要，也需要某种机制实现既能满足用户需要又符 合企业要求的网络技术。v p n 技术正是在这种背景下孕育而生的，并在电子商 务中的应用日益广泛，并已成为一种安全、灵活的电子商务网络平台。 该课题来源于金证网电子商务平台( w v c w f i s c h i n a t o m ) ，随着该电子商务 平台的不断发展，一方面，公司的分支机构需要接入总部企业内部资源来共享信 息和资源，出差员工和外地客户也需要访问企业内部资源；另一方面，越来越多 的客户的要求能够直接更新他们自己的信息平台。这就要求有一个便捷、安全、 廉价的方法来构建整个网络，选择了v p n 接入方法是最佳的方案。这也迫切需 要一个v p n 网络管理软件来维护该电子商务平台的安全性。同时，该研究可以 推广到其他应用v p n 接入技术的企业的v p n 网络的管理，具有较广的推广价值。 1 2 课题研究的目标和意义 该课题的研究目标就是要研究分布式、松耦合的v p n 网络管理的问题，并 解决如何在多分支机构的企业中有效管理v p n 网络这一问题。 为了实现这一目标，课题结合c o r b a 与j a 、，a 技术，由于c o r b a 技术综 合了分布式计算和面向对象技术的优点，课题将c o r b a 技术用于与网络管理系 统中，以o r b ( o b j e c t r e q u e s t b r o k e r ) 为中间件平台，并提出了一种基于c o r b a s n m p w e b 的四层网络管理系统模型，并在该模型的基础上提出了一种分层网 络管理体系结构。 北方工= 业大学硕士学位论文 1 3 课题研究的内容 该论文研究并分析了基于管理器，代理模型的网络管理系统，由于该网管系统 是集中式管理的，它不能满足具有分布式、松耦合特点的v p n 网络。在此基础 上，本文还对现有的网络管理协议以及网络管理实现技术进行了分析，特别是对 网络管理实现技术中的c o r b a 、w e b 、x m l 等技术的优劣势进行了比较，最 后根据以上的研究和分析，提出了基于c o r b a s n m p w e b 的四层网络管理系 统模型，并依据该模型做了设计和实现。其中，设计和实现的主要工作包括： c o r b a s n m p 网关设计与实现 基于c o r b a 服务的s n m p 管理设施设计与实现 1 4 论文结构 本文共分为八章。 第一章为引言，主要介绍v p n 网络管理系统的现状及课题的研究内容和目 标。 第二章对虚拟专用网及其协议进行综述，并介绍了虚拟专用网的网络管理的 内容。 第三章介绍了公共对象请求代理体系，主要包括它的体系结构和基本服务。 第四章系统地介绍了网络管理协议，主要包括s n m p 和c m i p 。 第五章介绍了网络管理结合了一些目前先进的技术，如：c o r b a 、w e b 、 x m l 等，并阐述这些技术与网络管理的关系与应用。 第六章提出了基于c o r b a s n m p w e b 的四层网络管理系统模型，并在该 模型的基础上提出了一种分层网络管理体系结构。 第七章根据上一章提出的模型，介绍了基于c o r b j a s m 旧腑，e b 的四层网 络管理系统的实现。 第八章为结论部分。 2 北方工业人学硕士学位论文 第二章虚拟专用网( v p n ) 概述 虚拟专用网( v p n ) 是在公用网( 如i n t e r n e t 、a t m 、f r a m er e l a y ) 之上构 筑安全可靠、方便快捷的企业专用网络，它可以大大节省建设专用网和通信的费 用。v p n 技术是广域网建设的最佳解决方案，它不仅大大节省了广域网的建设 和运行维护费用，而且增强了网络的可靠性和安全性；同时也加快了企业网的建 设步伐，使得大集团公司不仅只建设内部局域网，而且能够很快把全国各地的分 公司的局域网连起来，从而真正发挥整个网络的作用。 2 1 虚拟专用网技术 2 1 1v p n 概述 v p n 技术使用公用网的传输带宽仿真一个专用网络，并提供可靠性、安全性 以及服务质量( q o s ) 保证的功能。它利用加密、认证、封装以及密钥交换的技 术在公用网上开辟了一条隧道，使得合法的用户可以安全地访问企业的私有数 据。 v p n 技术受到广泛的关注是企业应用的大环境使之然。伴随着企业的收购与 合并的数量不断增加，再加上企业本身的发展壮大和全球化发展战略，企业的分 支机构越来越多，企业的信息技术部门需要这么一种技术能够迅速地连接分布在 各地的小型办公室。同时为了满足移动用户以及远程办公用户访问企业网络的需 要，也需要某种机制实现既能满足用户需要又符合企业要求的网络技术。v p n 技术证是在这种背景下孕育而生的。 2 1 2v p n 的优势 1 ) v p n 最大优势在于：降低成本，投资回报 v p n 可以立即而且显著地降低成本。当使用i n t e m e t 时，实际上只需付本 地电话费，却收到了长途通信的效果。因此，借助i s p 来建立v p n ，就可以节 省大量的通信费用。此外，v p n 还使企业不必投入大量的人力和物力去安装和 维护昂贵的w a n 设备和远程访问设备，这些工作都可以交给 s p 。v p n 使用 户降低以下的成本： 移动用户的通信成本。v p n 可以通过减少长途费或8 0 0 费用来节省移动 用户的花费。 3 北方工业大学硕士学位论文 租用线路成本。v p n 可以以每条连接的4 0 到6 0 的成本对租用线路 进行控制和管理。对于租用国际线路的企业来说，这种节约是更为显著。对于话 音数据，节约金额会进一步增加。对国内的用户来说，v p n 最大的吸引力在哪 里? 是价格。据估算，如果企业放弃租用专线而采用v p n ，其整个网络的成本 可节约2 1 一4 5 ，至于那些以电话拨号方式联网存取数据的公司，采用v p n 则 可以节约通讯成本5 0 一8 0 。 主要设备成本。v p n 通过支持拨号访问资源，使企业可以减少不断增长 的调制解调器费用。另外，用户可以在单一的w a n 接口中实现多种服务，从 分支机构网络互联、商业伙伴的外联网终端，本地提供高带宽的线路连接到访问 服务提供者，因此，只需要极少的w a n 接口和设备。由于v p n 可以实现完 全管理，并且能够从中央进行基于策略的控制，因此可以大幅度地减少在安装配 置远端网络接口所需设备上的开销。另外，由于v p n 独立于初始协议，这就使 得远程的接入用户可以继续使用原有设备，保护了用户在现有硬件和软件系统上 的投资。 2 ) 实现网络通信安全 具有高度的安全性，对于现在的网络是极其重要的。新的服务如在线银行、 在线交易都需要绝对的安全，而v p n 以多种方式增强了网络的智能和安全性。 首先，它在隧道的起点，在权威的认证服务器上，提供对分布用户的身份认证。 另外，v p n 支持安全和加密协议，如i p s e c 。 3 ) v p n 的其它优势 简化网络设计 企业用户可以使用v p n 替代租用线路来实现分支机构的连接。这样可以将 对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简 化企业广域网的设计。另外，v p n 远程用户通过拨号访问当地i s p 与企业总部 建立v p n ，减少了在企业总部m o d e mp o o l 的配置，简化了所需的接口，同时 简化了与远程用户认证、授权和记帐相关的设备和处理。 容易扩展 如果企业想扩大v p n 的容量和覆盖范围。企业需做的事情很少，而且能及 时实现。不需要为等待搭建专线耗费宝贵的时间。在远程办公室增加v p n 能力 也很简单：通过远程访问方式或通过性能价格比非常好的v p n 硬盒子即可与总 部实现v p n 通信。 可随意与合作伙伴实现e x t r a n e t 4 北方一t ：业大学硕士学位论文 在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何 在双方之问建立租用线路或帧中继线路。有了v p n 之后，这种协商变得非常简 单：在业务上授权对方进行资源共享，通过权威的认证机构实现双方严格的身份 认证即可。真正达到了要连就连，要断就断。 完全控制主动权 借助v p n ，企业可以利用i s p 的设施和服务，同时又完全掌握着自己网络 的控制权。例如，企业可以把拨号访问交给i s p 去做，由自己负责用户的身份 查验、访问权限、安全性和网络变化管理等重要工作。 支持更多新兴应用 许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交 互式应用。v p n 则可以支持各种高级的应用，如口语音，i p 传真，还有各种 协议，如i p v 6 、m p l s 、s n m p v 3 等。 2 1 3 实现v p n 的隧道技术 v p n 技术可分别在开放系统互连参考模型( o s i ) 的应用层、会话层、网络 层及数据链路层上实现，各种方式各有其特点。本文主要考虑了利用隧道技术在 基于i p 的网络环境中实现v p n 的网络管理系统的方法。尽管v p n 是一个新技 术，但其使用的隧道技术却早就存在。从概念上讲，隧道是指一个网络通过另一 个网络的连接传输数据分组，将一种协议的数据单元封装在另一个网络协议数据 单元中，只有建立隧道的端点彳+ 能理解数据的封装。当前广泛应用的隧道技术主 要包括第二层隧道协议和第三层隧道协议。 1 1第二层隧道协议 目前应用最多的第二层隧道协议是p p t p ( p o i n t - t o - p o i n tt u n n e l i n gp r o t o c 0 1 ) 与l 2 f ( 1 a y e rt w of o r w a r d i n g ) 。p p t p 是微软公司制定的隧道协议，它可以p c 到l a n 的v p n 连接。p p t p 最初主要用于在a s c e n d 公司的远程接入硬件和微软 n t 软件平台上的隧道p p p 帧，可以在用户p c 或远程接入服务器上运行。l 2 f 是山c i s c o 公司制定的隧道协议，通常在c i s c o 路由器以及提供远程接入服务的 设备上运行该协议软件。 另一个正在研究并得到广泛支持的隧道协议是l 2 t p 。l 2 t p 综合了l 2 f 和 p p t p 协议的优点，正成为下一代虚拟专用网的关键技术。 2 )第三层隧道协议 北方i ：业人学硕士学位论文 普遍考虑的第三层隧道协议是i p s e c ，它定义了一组安全机制，保证i p 数据 包在网络上传输是的安全性。本文从企业的网络通信的安全角度出发，主要考虑 利用l 2 t p 和i p s e c 建立一个支持多协议的安全的虚拟专用网络，并基于此构建 v p n 网络管理系统。 2 1 4v p n 的应用模式 目前，v p n 的应用模式主要包括以下三种： 1 1a c c e s sv p n ( 远程访问虚拟专网) 如图2 1 所示，在这种方式下远端用户不再是如传统的远程网络访问那样， 通过长途电话拨号到公司远程接入端口，而是拨号接入到用户本地的i s p ，利用 v p n 系统在公众网上建立一个从客户端到网关的安全传输通道。 图2 1a c c e s sv p n 这种方式最适用于公司内部经常有流动人员远程办公的情况。出差员工拨号 接入到用户本地的i s p ，就可以和公司的v p n 网关建立私有的隧道连接，不但 保证连接的安全，同时负担的电话费用大大降低。 2 1i n t r a n e tv p n ( 企业内部虚拟专网) 如图2 2 所示，利用v p n 特性可以在i n t e m e t 上组建世界范围内的 i n t r a n e t v p n 。利用i n t e m e t 的线路保证网络的互联性，而利用隧道、加密等v p n 特性，可以保证信息在整个i n t r a n o t v p n 上安全传输。i n t r a n c t v p n 通过一个使用 专用连接的共享基础设旌，连接企业总部、远程办事处和分支机构。企业拥有与 专用网络的相同政策，包括安全、服务质l ( o o s ) 、可管理性和可靠性。 6 北疗l ：业大学硕十学位论文 图2 2i n t r a n e tv p n 3 、e x t r a n e tv p n ( 扩展的企业内部虚拟专网) 如图2 3 所示，这种类型与上一种类型没有本质的区别，但由于是不同公司 的网络相互通信，所以要更多地考虑设备的互连、地址的协调、安全策略的协商 等问题。利用v p n 技术可以组建安全的e x t r a n e t ，既可以向客户、合作伙伴提 供有效的信息服务，又可以保证自身内部网络的安全。e x t r a n e t v p n 通过一个使 用专用连接的共享基础设旌，将客户、供应商、合作伙伴或兴趣群体连接到企业 内部网。企业拥有与专用网络的相同政策，包括安全、服务质量( q o s ) 、可管 理性和可靠性。 2 2 隧道协议 2 2 1p p t p 协议 图2 3e x t r a n e tv p n 点对点隧道协议( p p t p ，p o i n t t o p o i n tt u n n e l i n gp r o t o c 0 1 ) 是一种支持多协 议虚拟专用网( v p n ，v i r t u a lp r i v a t en e t w o r k s ) 的新型网络技术，它可以使远程 用户通过i n t e m e t 安全地访问公共网。通过点对点隧道协议，远程用户可以通过 m i c r o s o f tw i n d o w sn tw o r k s t a t i o n 、w i n d o w s9 5 操作系统以及其它支持点对点协 7 北方工业大学硕十学位论文 议( p p p ，p o i n t t o p o i n tp r o t o c 0 1 ) 的系统拨号连接到i n t e r n e t 服务提供者( i s p ) ， 然后再通过i n t e m e t 与他们的公共网连接。 微软公司在最初设计开发远程访问服务( r a s ，r e m o t e a c c e s ss e r v i c e ) 时， 基于远程访问的角度，开发者就有一个支持虚拟广域网( v i r t u a lw a n ) 的想法。 也就是说，开发者意识到：如果能把已存在的公共主干网、s n a 主干网、以及 i n t e m e t 主干网处理为虚拟广域网将是个非常好的想法，这一想法类似于p s t n ( 公用交换电话网) 、i s d n ( 综合业务数字网) 、x 2 5 的处理方式。广域网或虚 拟广域网仅仅是一种位管道。在p s t n i s d n x 2 5 的情况下，远程访问客户通过 分组网络建立一个与r a s 服务器的p o p 连接，一旦建立好连接，网络数据包就 可以从分组网络传输到r a s 服务器，再路由到目标局域网。在虚拟广域网情况 下，p p p 数据包利用传输级会话( t i ：p i p 或n e t b i o s ) ，通过虚拟广域网传输到 r a s 服务器，而不是使用分组连接在广域网上传输数据包。 点对点隧道协议可以从w i n d o w sn ts e r v e r4 0 以及w i n d o w s2 0 0 0 中得到， 而且不需要额外付费。微软公司在1 9 9 7 年年初就有在w i n d o w s9 5 中提供p p t p 的支持的打算，随后第三方就可以得到微软p p t p 的源代码，这样，w i n d o w s3 1 点对点协议( p p p ) 的销售者就可以根据自己的意愿决定是否包含对p p l 旧的支 持。鉴于支持p p r i p 的硬件系统近期就可以获得，所以用户不久就可以受益于 p 曙的低成本的安全特性。另外，因为许多i n t e r n e t 服务提供者( i s p ) 准备升 级p o p 以支持点对点隧道协议，所以用户将不必改变自己的客户机的设置，通 过i s p 就可以使用点对点隧道协议了。 点对点隧道协议利用p p p 提供的安全性。m s c h a p ( p p p 认证) 认证协议 用来使用户凭据生效，得到的会话密钥再用来加密用户数据。m i c r o s o f t 的压缩 控制协议( c c p ，c o m p r e s s i o nc o n t r o lp r o t o c 0 1 ) 中有一协商加密位。r a s 客户 机可以只请求加密允许的连接，r a s 服务器也可以设置成只允许加密的r a s 会 话，通常情况下，希望与i n t e m e t 连接的w i n d o w sn t r a s 服务器配景成只允许 加密连接。远程访问服务( r a s ) 支持r a s 客户机和r a s 服务器之间共享机密 寨通过客户机上用户提供的口令可以得到与服务器上w i n d o w sn t 安全数据库 中存储的口令一致的m d 4 散列。通过使用r a s 客户机和r a s 服务器之间的共 享机密就可以解决一重要的加密问题：密钥分配问题。如果要协商加密，就将使 用r s a r c 4 加密协议以及经过用户身份验证后得出的4 0 位会话密钥。微软还将 为美国的远程访问服务提供1 2 8 位加密，并且计划在1 9 9 6 年1 1 月底的服务包 ( s e r v i c ep a c k ) 和加密包中提供远程访问服务的1 2 8 位加密。 8 北方工业人学硕士学位论文 2 2 2l 2 t p 协议 由于l 2 t p 与l 2 f 隧道协议并不兼容，它们之间的竞争成为v p n 技术进一 步发展的障碍。为了解决该问题，l 2 t p 和l 2 f 都提交给i n t e r n e t 工程任务组 ( i e t f ) 进行标准化，形成了l 2 t p 协议。 在传统的远程拨号网络结构中，用户通过交换电路网络( 如公用交换电话网 p s t n ) 与i n t e r n e t 的网络服务器建立起了第二层的连接，然后在该连接之上运行 p p p 协议，运行实际的数据通信。此时，第二层的端点和p p p 会话的端点位于同 一物理设备上，如：网络接入服务器( n e t w o r ka c c e s ss e r v e r ，n a s ) 在这种传 统的远程接入情况下，用户必须长途拨号连接到企业的网络接入服务器上才能访 问企业的应用服务器，这需要承受较贵的长途通信费用。l 2 t p 将第二层的连接 的端点与p p p 会话的端点分开，分别驻留在不同的设备上( 如网络接入服务器 和企业的隧道服务器) ，通过分组网络( 如i n t e r n e t 、a t m 等) 互连。这种连接 方式与传统的远程接入方式相比在功能上没有差异。 l 2 t p 能够支持多种网络层协议如：i p 、i p x 、a p p l e t a l k 等，支持任意的广域 网络技术如：帧中继、a t m 、x 2 5 、s d h s o n e t 以及任意的以太网技术。l 2 t p 提供了流量控制的机制，能够完成输入、输出呼叫的功能，并且提供了一种加密 措施( 如m d 5 加密算法) ，保证关键数据( 如：用户名、口令等) 的安全性。 l 2 t p 是一个标准的协议，所有的客户、服务提供者以及企业网络管理者均能得 到l 2 t p 提供的多服务供应商业务的好处，可以利用这些供应商之间的互操作性 建立一个全球性的标准的接入v p n 业务。 l 2 t p 利用多种传输技术( 如：用户数据包协议u d p 、帧中继f r 、异步传输 网a t m 等) 完成数据的传送工作。l 2 t p 定义了两类报文：数据报文和控制报 文。数据报文用于在隧道端点之间承载p p p 帧，封装后的l 2 t p 数据报文在l 2 t p 的数据信道中传输。数据信道是不可靠的信道，并不能保证报文的可靠传输，仅 提供了一种序号的机制来排序和检测报文的丢失。而控制报文在l 2 t p 可靠的控 制信道中传输，用以建立、维护、释放隧道和会话。控制报文采用滑动窗口的机 制来保证报文的可靠传输，使用窗口的尺寸大小来控制流量，利用“捎带”技术 完成报文确认的工作。如图2 1 所示：为l 2 t p 的协议结构。 9 北方t 业大学硕十学位论文 图2 1 l 2 t p 的协议结构 2 2 3l p s e c 协议 i p s e c 协议是由i e t f 制定的一种基于i p 协议的安全标准，用于保证i p 数据 包在i n t e r n e t 公用网或专用网中传输时的安全性。i p s e c 提供以下几种安全服务： 访问控制：防止没有授权的用户使用网络的资源。 无连接的完整性：保证口数据包经过公网传输时没有被修改。 数据源的可认证性：指示接收方收到的数据报就是发送的数据报，并且报文 中表明的发送方就是实际的发送方。 保密性：保证只有正确的接收方才能接收并识别该数据报。 可用性：信息和通信服务在需要时允许被授权的人和实体使用。 防止重发：接收方能够拒绝过时的或复制的分组，以防止重发的攻击。 i p s e c 是一整套协议包而不只是一个单独的协议，i p s e c 协议把多种安全技术 集合到一起，从而建立起一个安全、可靠的隧道。在i p s e c 安全体系结构中包括 了3 个最基本的协议：a h ( a u t h e n t i c a t i o nh e a d e r ) 协议为口包提供信息源验证 和完整性保证；e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) 协议提供加密保证；i k e ( i n t e r n e tk e y e x c h a n g e ) 协议提供双方交流时的共享安全信息。e s p 和a h 协议都 有相关的一系列支持文件，规定了加密和认证的算法。 2 3 虚拟专用网的网络管理 v p n 网络管理方面，v p n 要求企业将其网络管理功能从局域网无缝地延伸到 公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务 北方工业大学硕士学位论文 提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的v p n 管理系统是必不可少的。v p n 网络管理主要包括安全管理、设备管理、配置管理、 q o s 管理等内容。v p n 网络管理的目标是使v p n 可以像专用网络一样对待。实现 这一目标的第一步是推出的v p n 网络管理工具能够像管理专用网络那样去管理 v p n ，比如：检测网络的容量利用率、服务质量。第二步是推出统一的管理工具， 这种工具必须能够管理常规网络和v p n 网络。 2 3 1 用户l p 地址管理 对于用户i p 地址管理，主要体现再用户网络和公共网络之间的i p 地址分 配办法。根据隧道协议的不同，可采用不同的用户i p 地址分配策略。对于用户 内部企业网的管理，可采用合法或保留i p 地址策略。企业内部的i p 地址对于公 网来说是透明的。v p n 将企业内部的数据进行重新封装之后再公网上传输。对于 远程用户来说，其分配的i p 地址策略根据v p n 连接所采用的隧道协议而变化。 如果采用l 2 f 或l 2 t p 隧道协议，用户只需一次拨号，并且只分配企业网内 部的i p 地址。如果才用p p t p 或i p s e c 隧道协议，用户需要二次拨号，即再拥有 公网i p 的基础之上，需要对企业网v p n 网关进行拨号，然后分配企业网内部i p 。 2 3 2 网络层地址管理 网络层地址管理( n l a m ) 是指拨号v p n 建立远端接点的网络层有关协议配置 ( 滤波器、路由协议、子网屏蔽等) 和域名登记的能力。具有适当容量的v p n 结构能够支持以下服务：远端授权拨号上网用户服务( r a d i u s ) 、动态主机控制 协议( 如d h c p 协议或功能相同的协议) 、域名服务( d n s ) 。r a d i u s 不仅用于用户 授权，还用于执行一部分或全部网络层配置信息。d h c p 能与r a d i u s 相连，并从 地址池中选择地址，然后分配给远程用户。显然，这种方法比起再在r a d i u s 数 据库用手工构造地址应用范围更广。有一点很重要，即管理第三层地址系统必须 很权威，这意味着一旦对话终止，地址必须返回与用户域名有关的地址池中。 网络层地址管理和i p 地址管理恰恰相反，许多公司网络依然使用i p x 和 a p p l e t a l k 协议，所以支持这些协议和i p 协议的地址管理服务依然存在。 2 3 3v p n 成员的管理 对于v p n 成员管理，主要包括用户的连接的认证、授权、计费管理以及内部 i p 地址分配、v p n 隧道建立、数据加密、用户访问权限管理等多个重要功能。 1 成员认证( a u t h e n t i c a t i o n ) 1 1 北方工业人学硕士学位论文 在远程用户接入企业内部之前必须对其进行用户身份认证。用户数据( 如用 户名称、口令等信息) 集中存储于外部的数据库中。对用户数据库的访问需要一 个中间协议来完成，如l d a p 或者r a d i u s 等认证协议。该用户数据库对用户是透 明的。v p n 机如服务器针对相应的成员组进行定义( 如数据加密格式、过虑定义、 服务属性定义等) 。 l d a p ( l i g b t w e i g h td i r e c t o r ya c c e s sp r o t o c o l ，轻型目录访问协议) 体现在 x 5 0 0 目录管理服务内容之中，l d a p 就像因特网的目录模式一样迅速被接受， m i c r o s o f t 、n e t s c a p e 、n o v e l