在广播电视监测网上组建VPN专网.docx
《在广播电视监测网上组建VPN专网.docx》由会员分享,可在线阅读,更多相关《在广播电视监测网上组建VPN专网.docx(10页珍藏版)》请在冰豆网上搜索。
在广播电视监测网上组建VPN专网
在广播电视监测网上组建VPN专网
摘要:
随着广播电视监测业务的拓展,监测范围扩大到偏远的高山发射台和乡村广播站,但在信号接收点没有铺设光缆,为了及时把握这些地域的广播电视播出情形,实时回传广播电视图像和声音信号,在广播电视监测网引进了VPN技术。
通过Internet组建的VPN专网既能实现广播电视监测调度指挥中心与远程遥测点进行平安的数据传输,也能知足移动办公的需求。
该方案采纳IPSec隧道模式组建VPN专网,对VPN关键技术与方案的具体实施及应用进行了论述。
关键词:
VPN技术;平安防护;监测网应用
1引言
目前Internet的覆盖面相当广,关于光缆铺设不到的地址,可用VPN来扩大监测网覆盖范围。
VPN(VirtualPrivateNetwork)即虚拟专用网络,确实是两个具有VPN发起连接能力的设备(运算机或防火墙)通过Internet形成的一条平安隧道。
在隧道发起端(即效劳端),用户的私有数据通过封装和加密以后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据通过拆封和解密以后平安地抵达用户端。
此种方式让远程遥测点和移动用户接入网络,能够远程利用内部效劳器的应用系统,在非平安的互联网上平安地传送私有数据。
与数据专线相较,VPN无需铺设线路,能够利用Internet资源成立平安、靠得住、经济、高效的移动监测专网,大大地减少了花费在城域网和远程网络连接上的费用,易于增加新的远程遥测站点,也简化了网络的设计和治理,进一步扩大了广播电视监测在广电中的监督和治理范围。
2VPN技术特点
随着互联网技术的进展及Internet接入方式的多样化,为VPN应用提供了条件,不同地域的远程遥测点可通过ADSL、小区宽带、GPRS、CDMA1X或窄带拨号等各类网络连接方式连入Internet,无需固定公网IP地址,由中心的VPN网关为认证用户分派一个内部私网地址,通过远程认证,实现与监测内部网络的互连,从而组成一个高效统一的虚拟专用网络。
目前VPN技术相当做熟,应用相当普遍,要紧采纳四种技术:
隧道技术、加解密技术、密钥治理技术和利用者与设备身份认证技术。
隧道技术(Tunneling)
当VPN客户机访问VPN效劳器时,并无传统专网所需的端到端的物理链路,它们是通过一个虚拟的隧道进行访问。
一个隧道事实上确实是在公网上成立一条数据通道,让数据包通过这条隧道传输,完成数据封装、传输和解包。
为创建隧道,隧道的客户机和效劳器两边必需利用相同的隧道协议,隧道技术要紧有三种协议支持:
PPTP,L2TP和IPsec。
(1)点对点隧道协议(PPTP:
Point-to-PointTunnelingProtocol)。
PPTP协议工作在OSI/RM开放模型中的第二层,许诺对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或互联网发送。
通过PPTP,远程用户第一拨号到本地因特网效劳提供商ISP(InternetServiceProvider)的网络效劳器NAS去访问总部的内部网络,并非需要直接拨号至总部的网络,如此大大减少了成立和保护专用远程线路的费用。
PPTP协议通过身份验证后开始加密,身份验证的进程没有加密,平安性稍低,配置简单,在实现上存在着重大平安隐患。
(2)第2层隧道协议(L2TP:
Layer2TunnelingProtocol)。
L2TP协议是L2FP(Layer2ForwardingProtocol)与PPTP的结合,专门用来进行第二层数据的通道传送,许诺对IP、IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP、、桢中继或ATM。
远程用户通过本地PSTN、ISDN或PLMN拨号,利用ISP提供的VPDN(VirtualPrivateDial-Network)特服号,接入ISP在本地的NAS,通过本地的VPDN认证系统对用户身份进行认证,成立一个位于NAS和LNS(本地网络效劳器)之间的虚拟专网来访问总部的内部网络。
L2TP需要证书效劳来验证运算机身份,身份验证进程是加密的,平安性较高,配置略微复杂,但也不能完全保证数据传输进程中的平安。
(3)平安IP(IPSec:
IPSecurity)隧道模式。
IPSEC协议工作在OSI/RM开放模型中的第三层,许诺对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或互联网发送,具有认证包头AH(AuthenticationHeader)和数据加密格式ESP(EncapsulatingSecurityPayload)。
IPSEC采取数据源验证、无连接数据的完整性验证、数据内容的机密性爱惜、抗重播爱惜等形式,有效爱惜IP数据报的平安。
在传输数据包之前将其加密,接收端依照AH和ESP对所有受IPSec爱惜的数据包进行认证和解密,避免数据包被捕捉并从头投放到网上,平安性高,从而保证了数据包在Internet网上传输时的私有性、完整性和真实性。
2.3加解密技术(Encryption&Decryption)
加解密技术是数据通信中一项较成熟的技术,可直接利用。
2.4密钥治理技术(KeyManagement)
密钥治理技术的要紧任务是在公用数据网上平安地传递密钥而不被窃取,密钥治理技术又分为SKIP与ISAKMP/OAKLEY两种。
SKIP(互联网简单密钥治理)主若是利用Diffie-Hellman的演算法那么,在网络上传输密钥;在ISAKMP(Internet平安连接和密钥治理协议)中,两边都有两把密钥,别离用于公用、私用。
利用者与设备身份认证技术(Authentication)
当VPN客户端连接VPN效劳器时,就涉及到身份验证的问题,身份验证能够采纳Windows的身份验证或RADIUS(远程拨号用户确认效劳)身份验证。
Windows的身份验证要紧通过用户名和密码来提供认证,认证协议采纳Microsoft质询握手身份验证协议MS-CHAP(MicrosoftHandshakeAuthenticationProtocol)来增强对用户身份的查验。
数据包的加密采纳点对点加密算法MPPE(MicrosoftPoint-to-PointEncrypytion)协议,MPPE先在客户端工作站上对PPP数据包进行加密,然后才把它们送入PPTP隧道。
传输途中的隧道互换机无法对这些PPP数据包进行解密,这就提高了数据的保密性。
RADIUS身份验证是通过Windows安装Internet验证效劳IAS(InternetAuthenticationService)来实现。
RADIUS隐藏机制利用了共享秘文的RADIUS、RequestAuthenticator和MD5散列算法来给用户的口令和其它属性加密。
通过ESP(EncapsulatingSecurityPayload)和一种加密算法(例如3DES)的IPSec为隐藏属性提供更多的爱惜,同时为所有RADIUS消息提供数据机密性。
这种拨号方式成立的VPN连接,能够实现双重数据加密,使网络数据传输更平安。
VPN的加密方式使得网络信息传输平安性大大提高,数据验证使得接收方可识别数据包是不是被非法窜改,保证了数据的完整性。
3VPN专网的平安防护
在公网上利用VPN传输私有数据,面临潜在的平安风险,这需要提供平安保障。
尽管VPN有单独的网关,对IPSec数据包进行加密/解密处置和身份认证,但它没有很强的访问操纵功能,如状态包过滤、网络内容过滤、防DoS解决等。
要避免非法用户对网络资源或私有信息的访问,网络治理员必需对通过VPN连接到网络的运算机和直接连接到LAN的运算机实行一样的平安标准。
为保证VPN的平安性,咱们必需将所有设备放在防火墙以后,防火墙必需封锁任何没有利用的端口,由防火墙打开许诺的隧道信息包通过,才能与内部网络进行数据传输。
能够通过平安检测设置来限制有权限的访问者,若是再也不符合平安法那么时,全然不许诺接入。
也能够限制内网中的部份用户上Internet,从而为私有数据在公用网络上的传输提供了平安和保密。
在监测网络上成立防火墙,能够保证内部网络免受平安要挟及解决,壮大的网络地址转换功能使效劳器对外假装效劳身份,爱惜局域网内部的效劳器平安运行,同时支持对特殊网络效劳如QQ、MSN、BT、电驴和ARP欺骗病毒的屏蔽功能。
关于连接VPN的用户也必需在个人运算机上安装个人防火墙,它能够使非法侵入者不能进入局域网。
4VPN技术在广播电视监测网中的应用
综合VPN技术优势,在广播电视监测网上采纳了IPSec隧道模式组建VPN专网,其网络拓扑结构如下:
VPN专网的网路连接和作用
VPN专网的实现,需在监测内部网络中配置一台VPN效劳器与内部网络连接,在中心将VPN硬件网关、监测网络设备及内部办公设备放在防火墙后面,通过防火墙再由一条专用远程线路连接到因特网,VPN硬件网关的LAN(局域网)口连接到内网的互换机上,WAN(广域网)口连接到与外网相连的路由器。
当客户机通过VPN连接与专用网络中的运算机进行通信时,先由NSP(网络效劳提供商)将所有的数据传送到VPN效劳器,再由VPN效劳器将所有的数据传送到目标运算机。
网络治理员通过配置VPN效劳器,指定只有符合特定身份要求的用户才能连接VPN效劳器取得访问内部信息的权利,没有访问权利的用户无法取得局域网信息。
VPN效劳器相当于执行路由和远程访问效劳任务的一个增强的‘Windows2003Server’效劳器,一旦一个进入VPN网络的请求被批准,那个VPN效劳器就简单地充当一台路由器向那个VPN客户机提供专用网络的接入。
VPN硬件网关的要紧配置方式及平安设置
(1)VPN硬件网关上的配置(以OLYM产品为例):
①配置VPN硬件网关IP地址(该地址段为监测局域网未被利用的IP地址,可与监测局域网同网段或不同网段,设置时不能包括已经被利用的IP),使得通过VPN接入到监测局域网的远程用户能够从那个IP地址中取得与内网相同网段的局域网IP地址。
比如将VPN硬件网关IP设为,局域网中的任意一台应用效劳器的IP设成。
关于需要被各遥测站点、远程用户访问的应用效劳器(如广播监测主效劳器、电视监测主效劳器、WEB效劳器等)的网关那么指向VPN硬件网关。
②在VPN广域联网中设置相应的上网方式(拔号上网、一线通ISDN、网络快车ADSL、有固定IP的线路、DHCP客户端/SSO等),在本方案中利用专线连到Internet,那么选择有固定IP线路的上网方式,输入固定的IP及网关。
③配置“虚拟专网”下的“许可证”,输入VPN公司分派的APN组域(VDOMAIN)、节点名(VHOST)和许可证号。
④配置专网属性:
隧道类型选择IPSEC协议,数据加密算法设置为AES/128,传输认证算法设置为MD5-96,在本端地址中输入VPN硬件网关IP地址,并选择“启用交叉巡检”、“启用突发巡检”,使遂道具有自检与自动恢复功能。
⑤配置Winapn效劳治理:
“虚拟专网”的“APN移动用户”设置:
将“启动Winapn启动效劳”提交,在Winapn效劳器中设置静态IP地址池、子网掩码、效劳器端口等,也确实是为移动用户设置虚拟IP段,作为CLIENT(winapn)和SERVER(apn)之间成立隧道后通信来利用。
那个虚拟IP段不能跟任何一个实际的IP段冲突(包括SERVER端和CLIENT端),若是有冲突,那么无法进行通信。
远程用户治理设置:
为各遥测站点、远程用户分派合法用户名、密码等账号信息,其中IP地址要符合“Winapn效劳器”中的“静态IP地址池”的网段设置。
注意远程用户端的IP最后一个网段不能设置为1,如如此的IP就不能设定。
(2)VPN硬件网关的平安设置:
依照监测业务需求在VPN设备上设定相应的内网效劳,通过设置用户分组、访问操纵和行为审计等方法来增强内网平安;为避免外网的解决设置防火墙的过滤规那么(利用自检测功能进行检测);为内网用户设定访问Internet的权限,设置用户组,不同用户组可独立分派不同的上网权限。
防火墙规那么是依照操纵列表顺序从上到下执行的,在设置防火墙规那么时必需考虑规那么间的相互关联及限制。
①在“防火墙”的“网络对象治理”中设置节点对象(网络中的主机),输入节点名称(任意设定)、IP地址(受访问操纵规那么操纵的PC机)、MAC地址(可选项),所属网络依如实际选择内网internal、外网external、APN网。
比如要治理局域网中WEB效劳器,在节点对象中可添加如此的信息,节点名称选WEB效劳器、IP设为XXX、MAC地址为WEB效劳器网卡地址、所属网络选择内网。
②在节点对象组中添加不同的用户组,每一个用户组能够包括多个主机,对应不同的操纵规那么,以分派不同的权限。
③在访问操纵治理中设置访问操纵规那么,输入源地址、目的地址、效劳端口、时刻打算、访问操纵治理等项。
其中“源地址”为数据报发送端,“目的地址”为数据报同意端,这两项的可控端包括ANY(任何网络)、WAN(外网)、LAN(内网)、APNNET(APN网)、节点对象(网络中的主机)等内容,“效劳端口”包括PING、SMTP、POP3、HTTP、FTP、QQ、MSN、BT等效劳对象,“操纵”项分为“同意(ACCEPT)数据报通过”、“拒绝(DROP)数据报通过”两种。
比如设置局域网中WEB效劳器的权限为许诺访问内网和外网资源,许诺同意任何操纵,而局域网中其他PC机均不能访问外网,那么可如此设置两条操纵规那么。
第1条规那么为“源”选WEB效劳器、“目的”选ANY、“效劳”选ANY、“时刻”选ANY、“操纵”选同意(ACCEPT),第2条规那么为“源”选LAN、“目的”选WAN、“效劳”选ANY、“时刻”选ANY、“操纵”选拒绝(DROP)。
假设局域网所有PC机都不许诺访问外网,只需设置一条规那么,“源”选ANY、“目的”选ANY、“效劳”选ANY、“时刻”选ANY、“操纵”选拒绝(DROP)。
(3)关于移动用户,治理员可选择是不是为该移动用户启用DKEY,假设启用,需将对应DKEY插入总部模块所在运算机的USB口上,VPN设备将会把此移动用户接入VPN所需的配置信息导入DKEY,并将DKEY作为用户接入时的身份认证依据。
VPN客户端设置
(1)客户端要安装隧道软件,安装进程中需要安装虚拟网卡,安装完成后进行软件设置。
(2)添加一个隧道名称(任意设定),输入用户名和密码(硬件VPN中设置的远程用户名和密码)。
假设选择VDN查询方式那么输入Vdomain(硬件VPN中的域名)和Vhost(硬件VPN中节点名)。
假设选择直接利用IP方式那么输入APN地址(VPN设备固定IP)来成立平安隧道。
(3)输入完成后选择成立的隧道名称进行连接。
启动客户端后虚拟网卡的状态由断开转为正常,在初始化隧道进程中,利用用户ID和口令或用数字许可证鉴权。
隧道成立成功后在电脑右小角会提示“隧道启用”,VPN会依照配置文件分派对应IP给虚拟网卡。
(4)关于无人值守的远程遥测站点还需进行相关设置,如断线重连次数(填入100次就能够无穷制断线重连)、选择开机启动隧道、客户端运算机是不是利用无线上网(电话上网方式选择此项),这些设置都为VPN网络的自动连接提供保障。
(5)在客户端还须安装相应的杀毒软件及防火墙,以保证网络平安。
客户和隧道效劳器成立隧道后,就能够够进行通信了,犹如ISP没有参与连接一样。
在此基础上,简单的配置一下路由信息,就能够够让VPN客户端访问VPN效劳端所在网段的全数资源。
VPN技术在广播电视监测网实施的优势
(1)采纳廉价的接入方式,实现各远程遥测点、移动用户与整个广播电视监测网络的无缝连接和平安连接,在任何地址、任何上网方式都能够接入监测局域网,减少在设备、人员和治理上的投资,爱惜了现有硬件和软件系统上的投资,有效地降低了运营本钱。
(2)通过防火墙内部策略操纵体系,VPN能够许诺授权移动用户或已授权的用户在任何时刻任何地址访问监测局域网,对VPN数据能够进行有效的操纵和治理,使VPN专网的数据通信具有良好的平安性和治理性。
(3)VPN自带断线重拨技术,内置自动拨号软件和VPN隧道监控线程,在断线情形下10秒内自动拨号,隧道自动成立,使远程遥测点与中心网络维持连接。
VPN提供信息日记、错误日记和调试日记等多种类型的日记,让网络治理员随时了解设备运行情形,帮忙网络治理员准确信位网络故障点,降低了保护本钱,减少了保护工作量。
(4)VPN采纳了目前先进的紧缩算法,带宽利用率达130%,大大提高系统数据的访问传输速度,为监测调度指挥系统提供高效快速的VPN虚拟网络平台。
5结语
利用VPN技术上的优势,把广播电视监测网远程拓展到了偏远的县、乡、镇,成立了一个规模大,覆盖省、市、县、乡、镇的自动化无人值守、实时监测、实时预警发布、实时调度指挥功能于一体的科学高效的广播电视监管系统,实现了把监测告警信息实时动态反馈给各级播出单位,达到科学高效的治理目标。
解决了全区各级广电治理部门长期以来无法及时把握和了解各县、乡、镇广播电视播出质量和覆盖成效的难题,从而确保了党和政府的政令畅通,为保障人民群众收听好广播、看好电视节目,发挥极为重要的作用。
参考文献
[1][美]RichardDeal著.CiscoVPN完全配置指南[M].北京:
人民邮电出版社,2007,(4).
[2][美]MarkLucas等著.防火墙策略与VPN配置[M].北京:
水利水电出版社,2020,
(1).
[3]高海英,薛元星,辛阳等著.VPN技术[M].北京:
机械工业出版社,2004,(4).
[4]王达等著。
虚拟专用网(VPN)精解[M].北京:
清华大学出版社,2005,(4).
[5][美]MarkLewis著.VPN故障诊断与排除[M].袁国忠等译.北京:
人民邮电出版社,2006,
(2).
升级会员 