服务部署模型(精选三篇)
服务部署模型 篇1
关键词:VPN,安全协议,关键技术,部署模型
0 前言
VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。
1 VPN概述
1.1 VPN的概念
VPN(Virtual Private Network)即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。V P N采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]
1.2 VPN的类型
根据V P N所起的作用,可以将V P N分为三类:[1,2,3]
1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。
2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过V P N互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。
3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。
1.3 VPN特点[2,4,5]
(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;
2 VPN关键技术
2.1 隧道技术
隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。
2.2 密码技术
V P N技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。
2.3 身份鉴别和认证技术
V P N基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用H A S H函数将一段较长的报文通过H A S H函数变换,映射为一段较短的报文摘要。
2.4 QoS技术
通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的V P N。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]
3 VPN解决方案[9]
3.1 VPN部署模型
部署V P N首先要选定一个V P N隧道终端设备,选择的这个设备主要由V P N隧道端点位置和用于隧道端点设备的功能来决定。
3.1.1 位于边界路由器的V P N终端
位于边界路由器的V P N终端所具有的优点是能够确保V P N流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出V P N隧道数据包的增加而增加。
如图1所示。
3.1.2 位于企业防火墙的V P N终端
位于企业防火墙的V P N终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。
如图2所示。
3.1.3 位于专用设备的VPN终端
位于专用设备的V P N终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个V P N需要加密数量的增加而增加。
如图3所示。
3.2 VPN拓扑模型
3.2.1 星状拓扑模型
在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。
如图4所示。
3.2.2 网状拓扑模型
在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。
如图5所示。
3.2.3 中心轮廓拓扑模型
中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。
如图6所示。
3.2.4 远程访问拓扑模型
远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。
如图7所示。
4 结语
VPN技术的发展,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的链接来传输私有数据。V P N通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本,同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。V P N将是企业现在乃至未来最佳的选择[10]。
参考文献
[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.
[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.
[3][美]C arlton R.D avis.IP Sec VPN的安全实施[M].清华大学出版社.2002.
[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47~49.
[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.
[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.
[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12~15.
[8]刘建伟,王育民等.网络安全——技术与实践[M].北京.清华大学出版社.2005.472.
[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136~170.
服务部署模型 篇2
为了帮助一些新手朋友更好的了解DNS服务器,本文和大家讨论一些部署DNS服务器的经验和常识,介绍DNS服务器可以胜任的角色,以及DNS服务器在网络中应该部署的位置,还有,对于你的网络来说,应该部署多少DNS服务器才是最佳选择。
你需要多少DNS服务器?
一般来说,对于一些大型网络,仅仅依靠一个DNS服务器来满足名称解析的需要,不是一个最佳的方式。那么到底多少个DNS服务器才能满足你的需要呢?涉及到的因素可能很多,让我们从DNS服务器的能力开始说起。
即时你的DNS服务器是一台中等配置的服务器,它能处理的名称解析请求也是惊人的。举个例子来说,以前在一篇老的微软文章中看到过,把安装在一台Pentium III 700MHz的计算机上Windows Server 2003作为一台专门的DNS服务器,它能够每秒处理一万多个名称解析。如果微软的这个数据正确的话,你可以根据你的网络中的名称解析的数量,来估算一下你需要的DNS服务器数量。
除非你工作在一个大型公司,当你看到这个数字的时候,可能会想你的DNS服务器可能永远不会达到这个负载,那么是不是部署一台DNS服务器就足够了呢?
有很多理由可以说明,部署一个单一的DNS服务器是一个很差的想法。我将在文章中介绍这些不同的理由。其中最具说服力的一个理由就是容错的问题。如果你的网络中只有一个DNS服务器,而一旦这个DNS服务器出了问题,那么你的网络将停止正常运行。因此,出于容错的目的,你将至少需要部署两台DNS服务器
DNS服务器角色
容错只是需要部署多DNS服务器的不同理由之一;一个DNS服务器可以完成多个不同的任务。公司通常根据这些DNS服务器所行使的角色,来决定是否要部署多台DNS服务器。或者,从性能上来说,一台DNS服务器可以完美的同时胜任多个角色,但是从安全角度来讲,让一个DNS服务器同时做很多其他事情显然不是一个好想法,尤其是这个DNS服务器要被曝露在外部的话,更加不安全。即使不考虑安全方面的问题,让一个DNS服务器干两样工作显然也会影响这个服务器的性能。
在下面的部分,我将介绍一个DNS服务器可以担任的不同角色,以及担任这些角色对DNS的影响。
提供互联网接入
从技术上来说,一个DNS服务器本身并不提供互联网接入服务。但是,它使你的网络中的用户可以访问互联网。我相信大家应该知道,每一个网站都对应一个相应的IP地址。为了访问一个网站,计算机必须知道这个站点的IP地址。因此,每一个访问网站的计算机都需要进行一个DNS查询来获得被请求网站的IP地址。
如果你只是想为你的网络中的用户提供互联网接入,那么从技术上来讲,你并不需要部署一个DNS服务器,通常情况下,你的网络服务提供商都有自己的DNS服务器,你可以使用它们。你只需要在网络属性中TCP/IP配置中,在首选DNS中输入你的网络提供商的DNS服务器地址就可以了。
尽管网络接入商提供了DNS服务器供用户使用,从而要想实现网络访问并不一定需要部署一个本地的DNS服务器,但是很多公司还是选择部署一个本地DNS服务器,好处是拥有一个本地DNS服务器可以节省带宽资源,因为它可以缓存已经解析过的地址。
举个例子来说,假若你的网络中的某个人需要访问Google的网址www.google.com。他在浏览器中输入这个网址后,浏览器到DNS服务器上去解析google.com的域名。你的DNS服务器然后将这个查询往上提交到你的网络接入商的DNS服务器。网络接入商的DNS服务器将解析后的信息发回给本地DNS服务器,再返回给最初发出请求的浏览器。
这个过程听起来似乎有些低效,但是你的DNS服务器现在知道了Google网站的IP地址。当另一个用户试图访问Google网站的时候,本地DNS服务器已经知道到了这个IP地址,因此它不再将请求转发给你网络接入商的DNS服务器。你可以部署一个缓存DNS,不用必须登记你的DNS服务器的IP地址。事实,从安全角度来看,这也是最佳选择,你可以使用一
印度部署第二个IPTV服务 篇3
部署第二个IPTV服务
政府所属的电话服务提供商Bharat Sanchar Nigam Ltd(BSNL)公司于2007年5月开始在海得拉巴和赛康德拉巴两个城市部署IPTV服务。从而,BSNL公司成为提供IPTV服务的第二个国营电话服务提供商。第一个IPTV服务提供商是Mahanagar Telephone Nigam Limited(MTNL)公司,它于2006年10月开始在孟买和新德里的两个大城市中心提供IPTV服务。
BSNL公司总经理AK Sinha说:“我们使用非对称数字用户线(ADSL),将宽带网络连接内容服务器,来提供IPTV设施。除提供一组电视频道之外,还通过其它来源提供其它视频内容,也经由服务提供商的内容传送网络中心通过视频点播(VOD)设施提供VOD内容”。
Sinha解释说,在这两个城市推出IPTV服务的决定是在浦那的试验项目取得成功之后做出的,Chennai和Kolkata可能是下两个开播IPTV的城市,倘若BSNL公司能为这次服务扩大进行良好合作。
对于目前的部署来说,三个播放服务的主服务器位于班加罗尔,据说它是印度南方通过宽带连接提供多重播放服务的第一个城市。位于海得拉巴的核心路由器使服务的提供变得容易,信号通过光缆到达交换局的数字用户线接入复用器(DSLAM)。信号通过两对铜缆到达BSNL公司用户的IPTV服务和电话连接。在用户端的分路器将信号分成三部分。
消费者的type-4调制解调器有4个输出端口,每个端口都用于电话、宽带和有线电视信号。机顶盒已经安装,连接用于IPTV的调制解调器。调制解调器中的电话线缆连接电话,而宽带电缆连接计箱机的LAN卡。
BSNL公司的IPTV服务是在2006年准备好基本的基础设施以后推出的。2006年7月,BSNL公司与电信设备制造商UTStarcom公司鉴定了在印度900个领域市部署130万宽带线的合同。包括宽带核心设备在内,合同总规模达55亿卢比(1.34亿美元)。UTStarcom公司高级副总裁David King说:“与BSNL公司的协议使我们成为印度最大的宽带设备供应商。我们估计,2007年在印度的销售额可达到2亿美元,到2008年早些时候,印度将成为我们的第二大市场,届时中国仍然是我们的最大市场”。
MTNL公司与基地在孟买的IOL Broodband公司达成了收入共享战略协议,通过IP向用户提供数字电视接入。MTNL公司提供基础设施和内容传输网络。MTNL公司总经理RSP Sinha说:“我们第一步提供25个频道,后逐步增加到200个频道。起初,向MTNL公司在孟买的现有220万宽带用户提供服务,后来扩展到德里”。
IPTV的优越性
IP视频网络解决方案提供商Cisco Systems公司高级副总裁Sudhir Narang说:“IPTV为运营商和客户提供双赢条件。娱乐产业在印度已经建立起来,电视、电影等在全同广泛接收”。
从消费者的观点看,IPTV使用户能体验数字质量的电视,并增加按次付费(PPV)的优越性。UT Starcom公司东南亚分公司总经理ViJay Yatav说:“通过宽带网络(IPTV)传送娱乐内容确实使用户能根据他们预设置次数控制接收的内容。实际上,IPTV被看作是将话音、数据和视频服务组合在一起的mantra,而价格却比单个服务低,因此,它称作三重播放服务”。Yadav指出,消费者能接收存储在服务提供商的远程服务器和其它派生设备上的VOD和交互电视内容。因为所有的内容都在IP上运行,其特性也使得能进行在线讨论。例如你正在看足球比赛,但你可以立即对一个特殊事项发表看法,你能与你的朋友交流思想,而又不中断观看比赛。电子投票是IPTV支持的另一个特性,这种交互性是不能被有线电视提供的。
消费者以什么形式接受IPTV将决定广播业务的三件事:接受将决定印度如何实现融合;接受将决定印度1250亿卢比(30亿美元)的付费电视市场如何在有线、DTH和IPTV运营商之间分割;接受将决定在全国已花费5100亿卢比的90万公里的有线是否将带来回报。
从服务提供商的观点看,有着有效利用的增加收入源的机会。Yadav说:“由于固定电话服务从每个用户获得的平均收入每年都在下降,因而电信公司想向其客户提供附加的增值服务。运营商和内容提供商正在联合提供增值服务”。
印度IPTV发展潜力巨大
Narang说:“所有的主要服务提供商都在投资先进的基于IP的下一代网络(IP-NGN),因而将有支持多种宽带服务(包括IPTV)的必要的基础设施”。Kagan Research公司所做的预测称,就接收IPTV服务的家庭用户数而言,到2005年印度将成为亚太地区第三个最大的IPTV市场仅次于中国和日本。该以司预计,亚太地区付费电视总收入将从2004年的131亿美元增加到2025年的约380亿美元。IPTV的收入所占份额将从2004年的0.7%上升到2015年的12.9%。这样,电信公司将捕捉到亚太地区付费电视总收入的相当的份额。
移动电视在印度也有发展前途,主要是因为印度有巨大的蜂窝电话用户基础。印度现在已经有1.17亿移动电话连接,到年底估计可达到2亿用户基础。政府的目标是,到年底达到2.5亿部电话,其中2亿是移动电话。
Juniper Networks APAC公司营销负责人Andrew Ma说:“印度IPTV的发展潜力是巨大的,因为印度有大量喜欢看电视的人口,印度也在以快速的步伐发展。在对宽带连接的需求和移动电话市场方面有显著的增长。无线宽带也在发展。IPTV市场将成为大市场,但只有少数几家角逐者能竞争下去。只有那些致力于增加新服务和特性的角逐者于生存下去”。
影响IPTV发展的问题
虽然IPTV在印度有着美好的发展前景,但问题仍然存在。费用可能是阻碍IPTV服务在印度迅速扩散的问题之一,但这一领域中的角逐者们相信,由于竞争,费用将会下降。光纤制造商Teracom公司经理Rajeev Venrat说:“最后一英里光纤连接在印度尚未大规模出现,但是一旦出现,将会有电信运营商提供的增值服务的重大发展。”电话、宽带互联网和电视的单一集成系统的费用已经有相当的下降,有线运营商把这看作是随直接到户电视之后的对他们生计的又一个威胁。虽然MTNL公司感到对各个角逐者有足够的空间,但有线运营商相信,他们必须要么提供比早期更好的成套节目和有利的价格,要么就必须冒失去业务的危险。Hinduja有线网负责人Aahok Mansukhani说:“IPTV的优越性在于,它提供双向交互过程和革新性服务,这是传统的有线系统做不到的。IPTV优胜于传统电视的另一点是VOD特性,这使观众能在特定的时间观看特定的视频;观众也能在膝上型电脑上和蜂窝电话上观看视频,能将视频片段发往全世界;而通过传统电视有些是不容易做到的”。
管制是另一个剌手的问题。越来越看得清楚,那些官僚们不懂得IPTV或融合的真正概念。广播法案也没涉及到IPTV和移动电视这样一些问题。一方面广播法案是信息广播部的脑力劳动者的产物,另一个方面IPTV和移动电视的规章属于通信信息技术部的范畴。正发信息广播部的一位官员所说:“与融合有关的广播不在我们的职权范围中”。
