(1、电子科技大学通信与信息工程学院,四川成都6100542、四川省军区通信处,四川成都610041)
摘要:随着军队信息化进程的不断推进,军队专用信息化基础设施难于完全满足国防动员应用不断拓展的需求。对基于动态IP的VPN组网技术进行了分析,并对其有效整合地方网络资源优势,开展国防动员应用的可行性、实用性进行了研究。
关键词:动态VPN;组网技术;国防动员应用
近年来,随着国民经济和社会的发展,计算机网络技术在我国得到了广泛的应用,地方网络基础设施建设与军队相比已趋完善,其覆盖远大于军队网络基础设施范围。如何有效整合地方网络基础设施资源优势,拓展其国防应用空间,是军队特别是省军区系统信息化建设需要研究课题。
1传统VPN技术。作为一种网络接入技术,VPN技术凭借其安全、可管理、低成本等特性被越来越多的用户所采纳,通过采用GRE隧道、L2TP、IPSec以及MPLS等方式[1],VPN技术综合了传统数据网络的性能优点和共享数据网络结构的优点,能够提供远程访问,外部网和内部网的连接,在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。但是,在现有的VPN组网方案中都存在一个弊端,就是必须是按照事先的配置进行组网,并且要完成一个全联通的网络时,结构和配置就变得复杂。由于要建立一对一的连接,所以当有N个网络设备进行互联时,网络就必须建立N×(N-1)/2个连接,这样不仅造成了组网和配置的复杂,而且配置时必须知道对端设备的基本信息,试想如果其中有一个节点的设备修改了配置,那么其他所有节点都必须针对这台设备修改本地配置,这给维护造成了很大的成本。另外,GRE无法穿透NAT网关,GRE无法适用于动态IP设备建立VPN;L2TP和GRE没有提供对传输的数据的加密保护;IPSec对动态路由的支持存在一定的问题。
2动态VPN组网技术[2]。动态VPN技术不但结合了传统VPN的优点,而且解决了传统VPN的缺陷,可以实现非常灵活建立VPN的方式,能够在动态获得IP地址的设备之间自动创建、维护隧道,能够实现接入到VPN域的所有设备互相访问;同时提供身份认证、控制报文加密保护、数据报文的IPSec保护,实现VPN内部数据在公网上的安全传输。动态VPN技术采用Client/Server的方式,一台网关作为Server,其他的网关作为Client。每个Client都需要到Server进行注册,注册成功之后Client就可以互相通讯了。其关键技术有:2.1穿透NAT/防火墙技术。传统的GRE方式建立隧道,它的封装方式比较简单,如果需要通过NAT网关,那么就必须要一个公网地址对应一个私网地址来解决,就需要大量的公网IP地址,这是GRE不能够应用于防火墙内的主要原因。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生,当路由器作为Client并且使用了一个私网IP地址,那么路由器建立UDP隧道的时候就会使用一个指定的UDP端口号,当隧道通过防火墙的时候就会转换为对应的公网IP地址和相应的端口号,从外部来的数据通过隧道又会把公网IP地址和端口号转换为私网IP地址和UDP端口号,从而完成数据穿越NAT网关。2.2动态IP地址构建VPN技术。传统的GRE方式建立隧道必须知道对端设备的IP地址,这样的话建立N台设备的全连接就需要建立N×(N-1)/2个连接,并且这些连接建立都依赖于固定的IP地址,一旦有一个设备IP地址更换,那其他N-1台设备就全部都需要更改配置;同时由于传统的GRE隧道建立必须知道对方的IP地址,这样就使得动态IP地址的设备无法正常建链。动态VPN在同一个VPN内部构建隧道不需要知道其他Client网关的任何信息,只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次,不管其他Client设备怎么更改也都能够进行互相通讯,同时用户也不用关心自己当前使用的IP地址是多少,更加适应现在动态IP地址的使用方式。2.3自动建立隧道技术。隧道的自动建立特性依赖于动态VPNServer的重定向功能(Redirect),Client不会发送重定向报文。Server在进行数据转发时,如果转发的数据是从VPN域中的一个Client发送到另外一个Client,Server会判断在两个Client之间是否可以建立Session会话通道,如果可以建立则向报文的发起Client发送重定向报文。同时Server会记录已经发送重定向报文的两个Client的信息,保证在一定的时间内不会连续的发送相同的重定向报文。Client接收到Server发送的重定向报文,在报文中可以得到目的Client的信息,发起Session建立请求,最终自动的建立Session会话通道。2.4认证加密技术[3]。动态VPN使用了认证、加密等技术,最大程度地保证用户数据的安全,用户网络的安全。首先,动态VPN提供了注册认证机制,Client端设备要想加入到某个特定的动态VPN内,必须首先经过Server的认证,只有通过Server认证的Client设备才能够接入VPN网络,这样保证了非授权用户非法登录,同时也阻止了人为的破坏。其次,Client和Client之间建立隧道时也必须经过认证,就是说必须两个Client都经过同一个Server的认证才允许建立隧道,这样就可以防止公网上非法用户的入侵。另外,在使用动态VPN的接口上启用IPSec进行加密,保证用户在公网上传输数据的安全可靠。2.5支持多个VPN域。动态VPN允许用户在一台网关上支持多个VPN域。即一台网关不仅可以属于VPNA,也可以属于VPNB,并且可以在VPNA中作为Client设备,同时还可以在VPNB中作为Server设备使用。这样大大提高了组网的灵活性,也可以更加充分的使用网络设备资源,减少用户投资。
3动态VPN组网技术的国防动员应用。国防动员信息化建设是我军信息建设的重要组成部分,而大多数内陆省担负国防动员主要任务的军队基层单位缺乏军用线路,是各级国防动员信息化建设的瓶颈,解决好信息化建设的基础平台,将会有力地提高国防动员信息化建设的水平。目前,各级政府广泛开展的电子政务工程,已经全面建成了覆盖县(市、区)的光纤传输网络,政府各部门已经纳入政府网络之中,有的甚至提供到镇(乡)基层单位的ADSL(或拨号)接入。因此,以政府电子政务网络为基础,建成连接同级国防动员委员会各专业办公室和省、市、县各级的国防动员应用网络体系已经具备条件,能有效解决军用链路缺乏的瓶颈问题。同时从动态VPN技术的安全性能看,其提供的接入认证与IPSec隧道加密传输机制,为依托电子政务网络安全传输国防动员信息提供了支撑。以省国防动员专用网络为例,依托地方电子政务网络,采用动态VPN组网技术,形成三层结构的国防动员虚拟专用网络,不仅降低了系统建设、维护的费用,而且使得网络应用更加灵活。其拓扑结构如图1所示:
这样,利用动态VPN组网技术就能在基于政府电子政务网络基础设施上建立国防动员应用专用虚拟网络,可以不用投资进行专用网络基础设施建设,就能构建起覆盖范围广泛的省国防信息动员网络,同时也是对现有军队内部网络的一个有效备份。当然如果需要进一步扩大网络的应用覆盖范围,做到既要支持固定IP地址用户(电子政务网络直接接入的用户),也要支持动态IP地址用户(以ADSL拨号和用户普通拨号接入),动态VPN技术也是一个很好的选择。
4结论。动态VPN组网技术为充分利用地方网络通信基础设施开展国防动员应用提供了条件,其不但使动态IP地址之间建立VPN成为可能,而且建设、维护、使用方便,同时动态VPN组网技术提供的安全特性保证了传输数据的安全性。特别是在电子政务网上建立动态VPN国防动员应用虚拟专用网络,其不仅投资费用小,而且能有效提高国防动员委员会成员单位之间日常办公效率,起到军地共赢的良好效果。
参考文献
[1]RUIXIYUAN.W.TIMONTHYSYTAYER等.虚拟专网:技术与解决方案[M].北京:中国电力出版社.
[2]DVPN技术白皮书.深圳:华为技术有限公司,2003,12.
[3]刘方玲.VPN及其安全技术研究[J].计算机工程设计.
作者简介:王太军,男,博士生,研究方向:计算机网络通信安全、无线局域网。
李旭光,男,四川省军区通信处参谋,分管指挥自动化。
何华锋,男,四川省军区通信处处长。