蘋果ec技術(shù)在導(dǎo)航中的應(yīng)用

0資源共建共享原則隨著互聯(lián)網(wǎng)的普及、移動(dòng)通信技術(shù)的進(jìn)步和互聯(lián)網(wǎng)信息的現(xiàn)代化，我們認(rèn)識(shí)到了信息建設(shè)的水平對(duì)大干部和提高干部素質(zhì)具有重要意義。隨著信息化建設(shè)的逐步推進(jìn),數(shù)字化資源的開發(fā)和建設(shè)也顯得越來越重要。當(dāng)前,各級(jí)黨校的信息化建設(shè)水平參差不齊,數(shù)字化資源建設(shè)主要集中在省市委黨校,縣區(qū)委黨校的數(shù)字化資源較少。目前,市委黨校通過多年的積累,現(xiàn)有大量的文本文獻(xiàn)、電子圖書、電子期刊、自建數(shù)據(jù)庫和特色資源,一方面,黨校直接為師生讀者提供大量的資源,具有高度的開放性;另一方面,黨校的網(wǎng)絡(luò)資源,如:電子文檔、期刊數(shù)據(jù)庫、電子圖書、學(xué)位論文數(shù)據(jù)庫、電子檢索工具等,已經(jīng)成為師生科研學(xué)習(xí)活動(dòng)中的重要信息來源。然而校園網(wǎng)具有專用性,同時(shí)數(shù)字圖書及電子資源都要遵循數(shù)字版權(quán)保護(hù)(DigitalRightManagement,DRM)的規(guī)定,使得市委黨校所積累的大量電子資源都有限制訪問的IP地址范圍,即只有是校園網(wǎng)IP地址的計(jì)算機(jī)才能利用這些資源。這就造成了大量不在校園網(wǎng)范圍內(nèi)的合法用戶無法利用黨校的電子資源。如:居住在校外的教師和學(xué)生,異地分校的師生以及外出講學(xué)和參加會(huì)議的專家和學(xué)者等,另外縣區(qū)黨校也無法共享這些資源,非常不方便。通過對(duì)廣大師生及市縣區(qū)委黨校信息化建設(shè)需求的調(diào)研,我們意識(shí)到當(dāng)前信息化工作的重要任務(wù)是把各級(jí)黨校系統(tǒng)的網(wǎng)絡(luò)互聯(lián)起來,實(shí)現(xiàn)黨校系統(tǒng)的資源共建共享。省委黨校已于2008年啟動(dòng)了全省黨校系統(tǒng)VPN虛擬專網(wǎng)的建設(shè)工程,市委黨校目前正在推進(jìn)二期工程縣區(qū)黨校的VPN聯(lián)網(wǎng)工作。VPN虛擬專網(wǎng)方案是利用公用網(wǎng),通過隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)等網(wǎng)絡(luò)技術(shù),以達(dá)到建立專用網(wǎng)的目的。1建立理想的隧道協(xié)議近幾年來VPN(VirtualPrivateNet虛擬專用網(wǎng))技術(shù)發(fā)展很快,一直是網(wǎng)絡(luò)領(lǐng)域中的熱點(diǎn)問題。概括的說,VPN不是一個(gè)物理的、明顯存在的網(wǎng)絡(luò),它是構(gòu)建在Internet上,利用公共的網(wǎng)絡(luò),建立一個(gè)對(duì)立的、專用的虛擬實(shí)體。VPN采用隧道技術(shù)來保障網(wǎng)絡(luò)安全。將所要傳送的信息,經(jīng)過封裝,在隧道中傳送,防止他人偷竊。隧道就是傳送封裝好的數(shù)據(jù)包的通道,使得不同的協(xié)議可以通過公用IP網(wǎng)絡(luò)。有關(guān)隧道的標(biāo)準(zhǔn)就是解決如何封裝數(shù)據(jù)包,并且保證它們?cè)趥鬏斶^程中的安全。隧道協(xié)議中最為典型的有VTP、GRE、IPSec、L2TP、PPTP、L2F等。本文對(duì)IPSec相關(guān)協(xié)議進(jìn)行分析的基礎(chǔ)上,針對(duì)IPSec協(xié)議族在安全策略方面的不足,提出在遠(yuǎn)程訪問模型中利用GRE和IPSEC配合使用,解決IPSEC無法傳播動(dòng)態(tài)路由協(xié)議等缺陷,并將其應(yīng)用在市委黨校VPN專網(wǎng)建設(shè)中。1.1ip視頻使用可成為虛擬專用網(wǎng)的主要接口IPSec是實(shí)現(xiàn)VPN的一種協(xié)議,正在得到越來越廣泛的應(yīng)用,將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。IPSec的主要作用是為了IP數(shù)據(jù)通信提供安全服務(wù)。IPSec不是一個(gè)單獨(dú)協(xié)議,它是一套完整的體系框架,IPSec安全結(jié)構(gòu)包括3個(gè)基本協(xié)議:1.1.1驗(yàn)證頭ah協(xié)議為ip包提供可靠的驗(yàn)證、一致性確保并為某些可選和有限的抗重復(fù)服務(wù)AH定義保護(hù)方法、頭的位置、身份驗(yàn)證的覆蓋范圍以及輸出和輸入處理規(guī)則。與ESP不同,AH不對(duì)受保護(hù)的數(shù)據(jù)包進(jìn)行加密。1.1.2加密和驗(yàn)證算法它用加密器提供機(jī)密性,由身份驗(yàn)證器提供數(shù)據(jù)完整性。加密和驗(yàn)證所采用的算法是由安全聯(lián)盟中相應(yīng)的組件決定。對(duì)于外出的包,首先進(jìn)行加密處理;對(duì)于進(jìn)入的包來說,首先進(jìn)行驗(yàn)證。1.1.3ip模式ah+ah它提供了對(duì)對(duì)方的身份進(jìn)行驗(yàn)證的方法,密鑰交換時(shí)交換信息的方法,以及對(duì)安全服務(wù)進(jìn)行協(xié)商的方法。IPSec有傳輸模式和隧道模式之分。傳輸模式是只封裝傳輸層協(xié)議數(shù)據(jù)單元,不封裝IP報(bào)頭。隧道模式是將IP報(bào)頭和傳輸層協(xié)議數(shù)據(jù)單元一起封裝,另外加上一個(gè)外層IP報(bào)頭。AH和ESP在兩個(gè)端點(diǎn)間建立起單向的安全通信路徑,稱為安全聯(lián)盟(SA)。在隧道模式,兩個(gè)安全聯(lián)盟在PE間構(gòu)成一條隧道。IKE協(xié)議用于建立IPSec隧道,實(shí)現(xiàn)安全通信。IPSec數(shù)據(jù)包的結(jié)構(gòu)如圖1所示。IPSec使用了多種加密算法、散列算法、密鑰交換方法等為IP數(shù)據(jù)流提供安全性,它可以提供數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證和反重放等安全服務(wù)。盡管IPSec已經(jīng)是一種包容極廣、功能極強(qiáng)的IP安全協(xié)議,但卻仍然不能算是適用于所有配置的一套極為完整的方案,其中仍然存在一些需要解決的問題。1.2采用3get-roet的封裝模式GRE協(xié)議是一個(gè)隧道封裝協(xié)議,規(guī)定了如何用一種網(wǎng)絡(luò)層協(xié)議去封裝另外一種有效載荷協(xié)議的方法。使用IP協(xié)議號(hào)47。特別地,它能在IP上封裝一個(gè)IP載荷數(shù)據(jù)包。一條GRE隧道是指利用GRE在兩個(gè)端點(diǎn)間建立起來的一條通信路徑。封裝格式如圖2所示。它最大的優(yōu)點(diǎn)是可以對(duì)多種協(xié)議、多種類型的報(bào)文進(jìn)行封裝,并在隧道中傳輸。但是GRE不提供對(duì)數(shù)據(jù)的保護(hù)(例如,加密),它只提供簡(jiǎn)單的隧道驗(yàn)證功能。由于IPSec不能夠?qū)W(wǎng)絡(luò)中組播報(bào)文進(jìn)行封裝,所以常用的路由協(xié)議報(bào)文無法在IPSec協(xié)議封裝隧道中傳輸。這時(shí)可以結(jié)合使用GRE與IPSec兩種技術(shù),利用GRE技術(shù)對(duì)用戶數(shù)據(jù)和路由協(xié)議報(bào)文進(jìn)行隧道封裝,然后使用IPSec技術(shù)來保護(hù)GRE隧道的安全,即構(gòu)成了GREoverIPSecVPN技術(shù)。2黨校之間信息共享場(chǎng)景如圖3所示的網(wǎng)絡(luò)拓?fù)鋱D,是某一縣區(qū)委黨校要遠(yuǎn)程訪問市委黨校的各種網(wǎng)絡(luò)資源,實(shí)現(xiàn)市委黨校和縣區(qū)委黨校之間信息共享的網(wǎng)絡(luò)場(chǎng)景。為解決下級(jí)黨校和市委黨校之間,通過Internet進(jìn)行數(shù)據(jù)傳輸?shù)陌踩珕栴},市委黨校嘗試通過GREVPN技術(shù),使用路由器構(gòu)建GREoverIPSecVPN功能,有效保證保密數(shù)據(jù)在Internet網(wǎng)絡(luò)上安全傳輸。2.1re隧道re2.1.1首先按圖3所示拓?fù)?連接試驗(yàn)中的網(wǎng)絡(luò)設(shè)備,注意接口上的地址信息;2.1.2配置Internet;路由器R3;2.1.3配置R1與R2的Internet連通性;2.1.4配置R1的GRE通道;2.1.5在R1上啟用RIPv2路由協(xié)議;2.1.6配置R2的GRE隧道;2.1.7在R2上啟用RIPv2路由協(xié)議;2.1.8配置R1的IKE參數(shù);2.1.9配置R1的IPSec參數(shù);2.1.10配置R2的IKE參數(shù);2.1.11配置R2的IPSec參數(shù);2.1.12配置PC1和PC2;2.1.13驗(yàn)證測(cè)試:1)在PC1上使用測(cè)試命令pingPC2,可以ping通對(duì)端設(shè)備,測(cè)試成功,表示構(gòu)建GREoverIPSecVPN隧道建立成功;2)在R1與R2上驗(yàn)證GRE隧道狀態(tài)及路由表信息,分別通過Tunnel接口學(xué)習(xí)到對(duì)端局域網(wǎng)的路由;3)分別查看R1和R2的IKESA,可以看到IKESA協(xié)商成功,狀態(tài)為QM_IDLE;4)分別查看R1和R2的IPSecSA,可以看到IPSecSA協(xié)商成功,一個(gè)用于入站報(bào)文,一個(gè)用于出站報(bào)文;通過以上狀態(tài)信息可以看出,R1與R2成功協(xié)商了一個(gè)IKESA和兩個(gè)IPSecSA(每個(gè)方向各一個(gè))。2.2tunel接口在使用路由器構(gòu)建GREoverIPSecVPN功能時(shí),需要注意以下問題:GRE隧道兩端的密鑰要一致;隧道兩端的源和目的相互對(duì)應(yīng),即R1的源地址為R2的目的地址,R2的源地址為R1的目的地址;需要在Tunnel接口啟用路由,而非連接Internet的接口;要確保IPSec隧道兩端之間的連通性正常;雙方的IKE策略和IPSec轉(zhuǎn)換集要一致,且雙方的預(yù)共享密鑰要一致;當(dāng)配置了多個(gè)IKE策略和IPSec轉(zhuǎn)換集時(shí),要確保雙方能夠協(xié)商出一個(gè)相同的策略和轉(zhuǎn)換集;雙方的加密訪問列表要互為鏡像。3采用其他技術(shù)通過寬帶網(wǎng)組建的GREVPN增值潛力大,除了用于數(shù)據(jù)業(yè)務(wù),還可用于語音、視頻通信業(yè)務(wù),從而實(shí)現(xiàn)三網(wǎng)合一的需求。但是,GREVPN也存在一定的問題,由于GRE隧道是一種點(diǎn)對(duì)點(diǎn)隧道,在隧道兩端建立的試點(diǎn)對(duì)點(diǎn)的