3.加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
4.QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
不同的应用对网络通信有不同的要求,这些要求可用如下参数给予体现:
?带宽:网络提供给用户的传输率;
?反应时间:用户所能容忍的数据报传递延时;
?抖动:延时的变化;
?丢失率:数据包丢失的比率。
网络资源是有限的,有时用户要求的网络资源得不到满足、通过QoS机制对用户的网络资源分配进行控制以满足应用的需求。QoS机制具有通信处理机制以及供应(Provisioning)和配置(Configuration)机制。通信处理机制包括802.1p、区分服务(differentiated service per-hop-behaviors,DiffServ)、综合服务(integrated services,IntServ)等等。现在大多数局域网是基于IEEE802技术的,如以太网、令牌环、FDDI等,802.1p为这些局域网提供了一种支持QoS的机制。802.1p对链路层的802报文定义了一个可表达8种优先级的字段。802.1p优先级只在局域网中有效,一旦出了局域网,通过第三层设备时就被移走。DiffServ则是第三层的QoS机制,它在IP报文中定义了一个字段称DSCP(DiffServ codepoint)。DSCP有六位,用作服务类型和优先级,路由器通过它对报文进行排队和调度。与802.1p、DiffServ不同的是,IntServ是一种服务框架,目前有两种:保证服务和控制负载服务。保证服务许诺在保证的延时下传输一定的通信量;控制负载服务则同意在网络轻负载的情况下传输一定的通信量。典型地,IntServ与资源预留协议(Resource reservation Protocol,RSVP)相关。IntServ服务定义了允许进入的控制算法,决定多少通信量被允许进入网络中。
供应和配置机制包括RSVP、子网带宽管理(subnet bandwidth manager,SBM)、政策机制和协议以及管理工具和协议。这里供应机制指的是比较静态的、比较长期的管理任务,如:网络设备的选择、网络设备的更新、接口添加删除、拓扑结构的改变等等。而配置机制指的是比较动态、比较短期的管理任务,如:流量处理的参数。 RSVP是第三层协议,它独立于各种的网络媒介。因此,RSVP往往被认为介于应用层(或操作系统)与特定网络媒介QoS机制之间的一个抽象层。RSVP有两个重要的消息:PATH消息,从发送者到接收者;RESV消息,从接收者到始发者。 RSVP消息包含如下信息:①网络如何识别一个会话流(分类信息);②描述会话流的定量参数(如数据率);③要求网络为会话流提供的服务类型;④政策信息(如用户标识)。RSVP的工作流程如下:
?会话发送者首先发送PATH消息,沿途的设备若支持RSVP则进行处理,否则继续发送; ?设备若能满足资源要求,并且符合本地管理政策的话,则进行资源分配,PATH消息继续发送,否则向发送者发送拒绝消息;
?会话接收者若对发送者要求的会话流认同,则发送RESV消息,否则发送拒绝消息;
?当发送者收到RESV消息时,表示可以进行会话,否则表示失败。
SBM是对RSVP功能的加强,扩大了对共享网络的利用。在共享子网或LAN中包含大量交换机和网络集线器,因此标准的RSVP对资源不能充分利用。支持RSVP的主机和路由器同意或拒绝会话流,是基于它们个人有效的资源而不是基于全局有效的共享资源。结果,共享子网的RSVP请求导致局部资源的负载过重。SBM可以解决这个问题:协调智能设备。包括:具有SBM能力的主机、路由器以及交换机。这些设备自动运行一选举协议,选出最合适的设备作为DSBM(designated SBM)。当交换机参与选举时,它们会根据第二层的拓扑结构对子网进行分割。主机和路由器发现最近的DSBM并把RSVP消息发送给它。然后,DSBM查看所有消息来影响资源的分配并提供允许进入控制机制。
网络管理员基于一定的政策进行QoS机制配置。政策组成部分包括:政策数据,如用户名;有权使用的网络资源;政策决定点(policy decsion point,PDP);政策加强点(policy enforcement point,PEP)以及它们之间的协议。传统的由上而下(TopDown)的政策协议包括简单网络管理协议(Simple Network Management Protocol,SNMP)、命令行接口(Command Line Interface,CLI)、命令开放协议服务(Command Open Protocol Services,COPS)等。这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
四、结束语
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。
