王 曉,孫丕波

(1.青島遠(yuǎn)洋船員職業(yè)學(xué)院,山東青島266071;2.青島酒店管理學(xué)院信息工程技術(shù)學(xué)院,山東青島266100)

VPN安全性與地址沖突研究*

王 曉1,孫丕波2

(1.青島遠(yuǎn)洋船員職業(yè)學(xué)院,山東青島266071;2.青島酒店管理學(xué)院信息工程技術(shù)學(xué)院,山東青島266100)

為了解決校園網(wǎng)絡(luò)升級改造過程中引入DMZ與VPN技術(shù)后,導(dǎo)致的內(nèi)網(wǎng)資源安全性降低與虛擬IP地址碰撞的難題,在傳統(tǒng)VPN解決方案基礎(chǔ)上,提出虛擬IP地址生成算法與IP地址連接池的思想。異地用戶通過VPN訪問內(nèi)網(wǎng)資源時(shí),必需使用IP地址連接池來獲取虛擬IP地址,實(shí)現(xiàn)虛擬IP地址分配的動(dòng)態(tài)管束,有效控制虛擬IP地址的隨意分配,避免因爭奪虛擬IP地址資源而產(chǎn)生的碰撞問題。這種方法對于提高VPN網(wǎng)絡(luò)的安全性和訪問效率,遏制黑客通過匹配IP地址的方式入侵內(nèi)網(wǎng)、保護(hù)內(nèi)網(wǎng)資源安全與解決地址沖突問題非常有效。

DMZ專區(qū);虛擬專用網(wǎng)絡(luò);IP地址連接池;動(dòng)態(tài)管束

為了解決既能在校外使用內(nèi)網(wǎng)資源,又能充分保證內(nèi)網(wǎng)資源的高度安全,通常的做法是將DMZ和VPN技術(shù)結(jié)合建設(shè)校園網(wǎng)絡(luò)。通過DMZ技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)資源與公開信息的分離,為內(nèi)網(wǎng)資源提供安全保障;通過VPN技術(shù)實(shí)現(xiàn)異地用戶對內(nèi)網(wǎng)資源的共享訪問,為外網(wǎng)用戶提供異地訪問內(nèi)網(wǎng)資源的VPN通道。這種做法,雖然兼顧了內(nèi)網(wǎng)資源的安全與異地訪問的便利,但是從國內(nèi)外已有的案例分析,還主要存在如下兩方面的缺陷:一是隨機(jī)生成的虛擬IP地址,只要符合DMZ與VPN的要求,就可以通過VPN實(shí)現(xiàn)內(nèi)網(wǎng)資源的訪問,為黑客通過匹配IP地址方式入侵內(nèi)網(wǎng)提供了方便,從而降低了內(nèi)網(wǎng)資源的安全性;二是當(dāng)使用VPN的異地用戶數(shù)量過多時(shí),容易造成虛擬IP地址的碰撞(沖突),反復(fù)查詢空閑虛擬IP地址的操作增加了訪問的時(shí)間復(fù)雜度。本文在對DMZ與VPN技術(shù)分析研究基礎(chǔ)上,對VPN虛擬IP地址分配函數(shù)加以改進(jìn),提出了IP地址連接池的思想,將其應(yīng)用于數(shù)字化校園的升級改造。

1 構(gòu)建DMZ專區(qū)保護(hù)內(nèi)網(wǎng)資源安全

DMZ是非軍事區(qū)(Demilitarized Zone)的簡稱,與軍事區(qū)(信任區(qū))相對應(yīng)。它是1個(gè)既不同于外網(wǎng),又不同于內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域。其作用是通過DMZ網(wǎng)絡(luò)把校園網(wǎng)分為開放區(qū)與保護(hù)區(qū)2個(gè)區(qū)域,把WEB、E-mail、考試系統(tǒng)等允許外部訪問的服務(wù)器連接在DMZ服務(wù)器的DMZ(開放)端口上,構(gòu)成開放區(qū)網(wǎng)絡(luò);把不允許外部訪問的內(nèi)網(wǎng)服務(wù)器連接在DMZ服務(wù)器的MZ(信任)端口上,構(gòu)成保護(hù)區(qū)網(wǎng)絡(luò)。根據(jù)資源的開放程度,實(shí)現(xiàn)開放信息與私有信息的分離。DMZ專區(qū)設(shè)置后,可以將一些公開信息放到DMZ專區(qū)的公用服務(wù)器上,將機(jī)密信息或僅對師生開放的信息放到內(nèi)網(wǎng)中,從而根據(jù)不同的需要,有針對性地采取隔離措施,在對外提供信息服務(wù)的同時(shí),最大限度地保護(hù)內(nèi)部網(wǎng)絡(luò)安全。

DMZ區(qū)與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)原理[1]實(shí)現(xiàn)的。這里主要用到了靜態(tài)地址轉(zhuǎn)換與重載2種地址轉(zhuǎn)換模式(見圖1)。在進(jìn)行網(wǎng)絡(luò)配置時(shí),需要在DMZ服務(wù)器上,按照這兩種模式對內(nèi)網(wǎng)IP地址分區(qū)間段,將1個(gè)內(nèi)網(wǎng)IP地址映射到1個(gè)已注冊的外網(wǎng)IP地址,從而達(dá)到從外網(wǎng)訪問校內(nèi)資源時(shí),隱藏內(nèi)部網(wǎng)絡(luò)IP地址的目的。

圖1 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)與請求轉(zhuǎn)發(fā)關(guān)系Fig.1 Network address translation and the relationship between the request forwarding

由于DMZ專區(qū)的存在,極大地提高了內(nèi)網(wǎng)資源的安全級別,同時(shí)也設(shè)置了外網(wǎng)用戶自由訪問內(nèi)網(wǎng)資源的限制。如果異地用戶想通過外網(wǎng)訪問內(nèi)網(wǎng)資源,則必須在授權(quán)的情況下,通過VPN虛擬通道,實(shí)現(xiàn)異地用戶對內(nèi)網(wǎng)資源的訪問。

2 構(gòu)建VPN網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)網(wǎng)資源異地共享

2.1 VPN原理

VPN虛擬網(wǎng)絡(luò)[2]是通過源、宿(內(nèi)、外網(wǎng))IP地址轉(zhuǎn)換,利用公用網(wǎng)絡(luò)(通常是因特網(wǎng)Internet)構(gòu)建虛擬局域網(wǎng)[3]實(shí)現(xiàn)的。通過這條連接為外網(wǎng)用戶虛擬出1條內(nèi)部專線,從而將內(nèi)部網(wǎng)絡(luò)擴(kuò)展到整個(gè)Internet互聯(lián)網(wǎng)絡(luò),實(shí)現(xiàn)異地用戶對于內(nèi)網(wǎng)信息的自由訪問。VPN的核心就是利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)絡(luò),其關(guān)鍵是將來自外部網(wǎng)絡(luò)請求的IP地址映射為1個(gè)虛擬內(nèi)網(wǎng)IP地址,將外部請求映射為內(nèi)部請求,從而做到異地用戶像校內(nèi)用戶一樣自由地訪問內(nèi)網(wǎng)資源。異地用戶訪問內(nèi)網(wǎng)時(shí),會利用瀏覽器內(nèi)建的VPN技術(shù),將用戶請求封包處理,通過瀏覽器連接到學(xué)校內(nèi)部的VPN服務(wù)器,VPN服務(wù)器會對合法請求的IP地址,按照(1)式映射關(guān)系[4],將異地請求轉(zhuǎn)變?yōu)?個(gè)虛擬的內(nèi)網(wǎng)請求,讓異地用戶也能像校內(nèi)用戶一樣,方便地使用內(nèi)網(wǎng)資源。VPN虛擬專網(wǎng)構(gòu)建原理見圖2。

其中:A是內(nèi)網(wǎng)未注冊的IP地址集合,C是公網(wǎng)注冊的IP地址集合,公式中反應(yīng)的映射關(guān)系見圖2。

圖2 VPN實(shí)現(xiàn)內(nèi)網(wǎng)的訪問Fig.2 VPN access to campus network

2.2 VPN解決方案

定義虛擬內(nèi)網(wǎng)IP地址時(shí),一般根據(jù)整個(gè)校園網(wǎng)絡(luò)的IP地址規(guī)劃分為不同區(qū)間段,將某1個(gè)區(qū)間段或者某幾個(gè)區(qū)間段的IP地址留作VPN使用。以IPv4為例,通常做法是將IP地址的前3個(gè)整數(shù)固定,第4個(gè)整數(shù)由程序隨機(jī)生成1個(gè)0～255范圍內(nèi)的整數(shù)填充。虛擬IP地址形式如下

10.168.172.XX

其中,XX的取值為0～255之間的整數(shù),10.168.172表示內(nèi)網(wǎng)的1個(gè)區(qū)間段,在圖5鏈表圖示中用172表示。

如果以上256個(gè)IP地址不夠分配,則按照如下形式繼續(xù)分配

10.168.173.XX

其中,XX取值同上,10.168.173表示另一個(gè)區(qū)間段,在圖5鏈表圖示中用173表示。

依此類推,當(dāng)異地用戶通過VPN通道訪問內(nèi)網(wǎng)時(shí),運(yùn)行在VPN服務(wù)器上的程序,會根據(jù)合法外部請求的定義以及合法請求的提取流程找出合法請求,并為合法請求生成1個(gè)形如10.168.172.XX的IP地址(此時(shí)的XX值已經(jīng)確定),將外部請求轉(zhuǎn)變?yōu)?個(gè)虛擬的內(nèi)部請求,從而實(shí)現(xiàn)異地用戶對內(nèi)網(wǎng)資源的訪問。

2.2.1 合法外部請求的定義 1個(gè)能夠通過VPN驗(yàn)證的合法外部請求需要滿足以下2個(gè)條件:

Ⅰ該請求是對校內(nèi)某一特定VPN服務(wù)器發(fā)出的請求,這一VPN服務(wù)器的IP地址通過網(wǎng)絡(luò)地址轉(zhuǎn)化后,與1個(gè)公網(wǎng)注冊的IP地址唯一對應(yīng)。

Ⅱ?qū)PN服務(wù)器發(fā)出的請求必須是合法用戶發(fā)出的。即通過VPN建立虛擬專線時(shí),客戶端輸入的用戶名和密碼必須通過VPN驗(yàn)證。

2.2.2 合法請求的提取過程 對于合法請求的提取,采用端口監(jiān)聽方式實(shí)現(xiàn):首先、建立用戶信息資料庫,為用戶訪問內(nèi)網(wǎng)資源創(chuàng)建認(rèn)證信息——包括用戶名和密碼等;其次、設(shè)置異地主機(jī)VPN網(wǎng)絡(luò)[5],輸入需要訪問VPN服務(wù)器的IP地址以及驗(yàn)證需要的用戶名、密碼等信息;第三、按照流程圖(3)編寫監(jiān)聽程序,并在VPN服務(wù)器上部署端口監(jiān)聽程序。

采用VPN技術(shù)改造校園網(wǎng)絡(luò),對于異地用戶共享內(nèi)網(wǎng)資源提供了方便,使遠(yuǎn)程辦公與內(nèi)網(wǎng)的異地維護(hù)工作成為可能。同時(shí),這也給校園網(wǎng)絡(luò)正常運(yùn)行帶來了兩方面的隱患:一是程序隨機(jī)生成的虛擬IP地址,只要符合10.168.172.XX這種形式,整數(shù)XX的取值范圍在0～255之間,就能符合DMZ與VPN的要求,就可以順利地通過VPN實(shí)現(xiàn)內(nèi)網(wǎng)資源的訪問,從而使內(nèi)網(wǎng)資源的安全性降低,容易遭受黑客的攻擊;二是當(dāng)使用VPN的異地用戶數(shù)量增加時(shí),容易造成虛擬IP地址的碰撞(沖突),這種碰撞不一定是由于預(yù)設(shè)的虛擬IP地址被分配完畢,而主要是由于查詢VPN隨機(jī)分配的虛擬IP地址是否已經(jīng)被使用造成的,這種反復(fù)查詢空閑虛擬IP地址的操作增加了訪問的時(shí)間復(fù)雜度,容易引發(fā)VPN服務(wù)器的局部繁忙與網(wǎng)絡(luò)擁塞。

圖3 VPN服務(wù)器端口監(jiān)聽程序流程圖Fig.3 VPN Server port monitoring program flow chart

3 VPN技術(shù)的改進(jìn)

3.1 虛擬IP地址生成函數(shù)

多數(shù)程序一般采用隨機(jī)函數(shù)rand()生成虛擬IP地址。rand()函數(shù)生成“隨機(jī)數(shù)”的算法有很多,但無論如何,都不可能產(chǎn)生真正的隨機(jī)數(shù),因?yàn)殡娔X程序是個(gè)確定狀態(tài)轉(zhuǎn)換機(jī),一種輸入必定產(chǎn)生一種確定的輸出。試驗(yàn)發(fā)現(xiàn),當(dāng)循環(huán)次數(shù)增多后rand()函數(shù)產(chǎn)生的結(jié)果就會有很多相同,并且還有一定規(guī)律可循。因此,尋找1個(gè)合理的IP地址產(chǎn)生函數(shù)對于維護(hù)內(nèi)網(wǎng)的安全性、克服IP地址發(fā)生沖突、降低算法的復(fù)雜度至關(guān)重要。本文采用(2)式作為虛擬IP地址生成函數(shù)

其中,x是自變量;e是歐拉數(shù),e≈2.718 281 828 4;λ是調(diào)整系數(shù),取值為0～1之間的小數(shù)。

從(2)式可以看出,當(dāng)x=0時(shí),f(x)=255;當(dāng)x→∞時(shí),f(x)→0,也即當(dāng)x在整個(gè)實(shí)數(shù)集上取值,則f(x)的值域空間為[0,255]。因此,在實(shí)數(shù)空間中,對f(x)取整運(yùn)算所得結(jié)果完全符合IPv4協(xié)議需要的IP地址。采用(2)式作為虛擬IP地址生成函數(shù)的最大好處是,自變量x的取值可以變得更加自由,程序員可以采用多種方式來控制x的取值,從而達(dá)到所獲IP地址的隨機(jī)性。

3.2 IP地址連接池技術(shù)

連接池是眾多連接對象的“緩沖存儲池”,是連接對象的集合體[6]。在連接池內(nèi)部提供1種管理機(jī)制,能夠控制連接池內(nèi)部連接對象的數(shù)目,對應(yīng)用程序提供獲取、釋放連接的接口以及控制連接對象的生存周期。本文提出的IP地址連接池是1個(gè)專門用于為VPN連接分配虛擬IP地址的“產(chǎn)生器”,它提前將n(n>0)個(gè)空閑虛擬IP地址放在連接池中,當(dāng)外網(wǎng)請求需要分配虛擬IP地址時(shí),系統(tǒng)會從連接池中獲取1個(gè)IP地址,通過這個(gè)IP地址為異地用戶建立起1條VPN虛擬連接。工作原理見圖4。

圖4 虛擬IP地址連接池工作原理圖Fig.4 the connection pool works of virtual IP address diagram

3.2.1 連接池的構(gòu)成 虛擬IP地址連接池內(nèi)部包含2個(gè)彼此獨(dú)立且相互依存的鏈表:一個(gè)是空閑鏈表,用于存放由(2)式產(chǎn)生的空閑IP地址,供系統(tǒng)建立VPN連接使用;另一個(gè)是使用鏈表,用于存放正在被VPN連接占用的虛擬IP地址,標(biāo)記虛擬IP地址的使用情況。連接池與外部的信息交換是通過地址獲取接口getIP()和地址釋放接口freeIP()實(shí)現(xiàn)的,通過調(diào)用getIP()接口,獲取連接池中1個(gè)空閑虛擬IP地址;通過調(diào)用freeIP()接口,回收斷開連接的虛擬IP,交予連接池管理進(jìn)程釋放。虛擬IP地址連接池內(nèi)部結(jié)構(gòu)如圖5。

圖5 虛擬IP地址連接池內(nèi)部結(jié)構(gòu)圖Fig.5 the connection pool within the structure of virtual IP address chart

3.2.2 地址連接池的操作

創(chuàng)建結(jié)點(diǎn)creatNode() 調(diào)用(2)式生成1個(gè)空閑IP地址,并將這個(gè)IP地址作為結(jié)點(diǎn)插入到空閑鏈表中。插入結(jié)點(diǎn)InsertNode() 從空閑鏈表中取出第一個(gè)結(jié)點(diǎn),插入到按照IP地址排好序的使用鏈表中,從而得到1個(gè)新的、結(jié)點(diǎn)數(shù)增1的有序使用鏈表。

釋放結(jié)點(diǎn)freeNode() 將超期或者斷開連接的IP地址從使用鏈表中刪除,從而得到一個(gè)新的、結(jié)點(diǎn)數(shù)減1的有序使用鏈表。

查找結(jié)點(diǎn)seekNode() 根據(jù)(2)式生成的IP地址,在使用鏈表中查找是否存在其值等于該IP地址的結(jié)點(diǎn)。若存在則查找成功,返回該結(jié)點(diǎn);若不存在,則查找不成功,返回“空”指針。

取結(jié)點(diǎn)值GetNodeIP() 返回連接池中空閑鏈表第一個(gè)結(jié)點(diǎn)的IP值,交給地址獲取接口getIP(),建立連接后,調(diào)用插入結(jié)點(diǎn)InsertNode()操作,把該結(jié)點(diǎn)插入到使用鏈表中,并從空閑鏈表刪除該結(jié)點(diǎn)。

創(chuàng)建連接池CreatPool() 在連接池中生成2個(gè)鏈表─空閑鏈表和使用鏈表。調(diào)用創(chuàng)建結(jié)點(diǎn)creatNode()操作,在空閑連表中插入n(一次生成空閑結(jié)點(diǎn)的最大值)個(gè)IP結(jié)點(diǎn),生成長度為n的空閑鏈表;生成使用鏈表,設(shè)置使用鏈表初值為空。創(chuàng)建后連接池的初始狀態(tài)如下圖6。

圖6 虛擬IP地址連接池初始狀態(tài)圖Fig.6 The connection pool initial state of virtual IP address diagram

管理連接池managePool() 主要完成兩方面的工作,一是維護(hù)使用鏈表,通過地址釋放接口freeIP()獲得斷開連接的IP和連接超時(shí)的IP,調(diào)用釋放結(jié)點(diǎn)free-Node()操作,把結(jié)點(diǎn)從使用鏈表中釋放;二是創(chuàng)建空閑鏈表,當(dāng)空閑鏈表中的結(jié)點(diǎn)被分配完畢,即n=0時(shí),調(diào)用查找結(jié)點(diǎn)seekNode()操作和創(chuàng)建結(jié)點(diǎn)creatNode()操作,生成n個(gè)空閑IP結(jié)點(diǎn),創(chuàng)建1個(gè)新的空閑鏈表。關(guān)閉連接池closePool() VPN連接斷開后,由系統(tǒng)把斷開連接的虛擬IP通過地址釋放接口freeIP()返還給連接池,由連接池調(diào)用釋放結(jié)點(diǎn)freeNode()操作釋放。

3.2.3 地址連接池工作流程 由于連接池內(nèi)的IP地址是虛擬內(nèi)網(wǎng)段上的空閑IP地址,只要從連接池內(nèi)獲得了虛擬IP地址,也就獲得了訪問內(nèi)部資源的權(quán)限,通過這個(gè)IP就可以自由訪問內(nèi)部信息。因此,虛擬IP地址連接池的創(chuàng)建并不需要像“數(shù)據(jù)庫連接池”那樣,預(yù)先建立好多條訪問數(shù)據(jù)庫的連接。IP地址連接池的主要任務(wù)是對虛擬IP地址進(jìn)行有效地使用和管理,主要包括2個(gè)方面:空閑虛擬IP地址在連接池中的儲備和正被使用IP地址的管理。因此,合理設(shè)計(jì)連接池的工作流程,做好空閑IP地址的儲備與使用IP地址的管理是建立VPN通道的關(guān)鍵。虛擬IP地址連接池的工作流程見圖7。

圖7 虛擬IP地址連接池工作流程圖Fig.7 The connection pool work flow of virtual IP address chart

采用IP地址連接池技術(shù)后,用于建立VPN連接的虛擬IP地址必須來自連接池,對于連接池中不存在的IP地址,即使合法、空閑、滿足條件也不能用于建立VPN連接。這就為建立VPN連接需要的虛擬IP地址增加了更為嚴(yán)格的限制條件,減少了惡意匹配IP的概率,從而提高了內(nèi)網(wǎng)的安全性;同時(shí),連接池中的虛擬IP地址是由系統(tǒng)根據(jù)資源使用情況合理產(chǎn)生的空閑IP地址,它有自身的沖突管理機(jī)制,當(dāng)有外來請求時(shí),只需從池中獲取IP地址即可建立起訪問內(nèi)部資源的連接,而不必再去判斷IP地址的使用情況,避免了IP地址碰撞的產(chǎn)生,提高了VPN連接建立的效率。

4 結(jié)語

采用IP地址連接池技術(shù)后,異地用戶通過VPN訪問內(nèi)網(wǎng)資源時(shí),必需使用IP地址連接池來獲取虛擬IP地址,實(shí)現(xiàn)了虛擬IP地址的隨機(jī)產(chǎn)生與分配的動(dòng)態(tài)管束。對于隨意獲得虛擬IP地址的行為進(jìn)行有效管制,極大地提高了內(nèi)網(wǎng)資源的安全級別;同時(shí)解決了過多異地用戶同時(shí)訪問內(nèi)部資源時(shí)產(chǎn)生的虛擬IP地址碰撞問題,提高了內(nèi)網(wǎng)資源的訪問效率。但是,在應(yīng)用系統(tǒng)主導(dǎo)的獨(dú)立管理信息模式[7]下,內(nèi)網(wǎng)是1個(gè)地理空間概念,是將用戶使用內(nèi)網(wǎng)資源的權(quán)限與用戶主機(jī)的IP地址進(jìn)行綁定,通過對校園網(wǎng)內(nèi)不同IP主機(jī)的權(quán)限設(shè)置來達(dá)到是否允許用戶使用與管理內(nèi)網(wǎng)資源的目的。其實(shí)質(zhì)是通過約束機(jī)器的方法來約束人,這無疑給用戶使用與網(wǎng)絡(luò)管理增添了深層次難度。要想徹底解決這一問題,就必須做到內(nèi)網(wǎng)資源與IP地址脫鉤,使資源訪問權(quán)限,僅與訪問網(wǎng)絡(luò)的具體用戶綁定,從而達(dá)到用戶所獲信息與其對應(yīng)的權(quán)限相匹配。通過對用戶訪問權(quán)限設(shè)定,決定用戶獲取信息的權(quán)限,從而達(dá)到最終消除內(nèi)網(wǎng)的地理空間概念。

[1] 陳曉蘇,吳悠.路由器中網(wǎng)絡(luò)地址轉(zhuǎn)換的一種實(shí)現(xiàn)方法[J].計(jì)算機(jī)工程與應(yīng)用,2004,40(1):157-159.

[2] 肖圳莎,林闖,楊冉.P2P-VPN虛擬網(wǎng)絡(luò)架構(gòu)模型分析[J].計(jì)算機(jī)科學(xué)與探索,2009,3(3):257-266.

[3] 束坤,吳國新.基于Internet的VPN技術(shù)[J].計(jì)算機(jī)應(yīng)用,1999,19(11):28-31.

[4] 左孝陵,李為監(jiān),劉永才.離算數(shù)學(xué)[M].上海:上?？茖W(xué)技術(shù)文獻(xiàn)出版社,2000:81-170.

[5] 李萬紅,胡辰浩.Windows XP系統(tǒng)管理指南[M].清華大學(xué)出版社,2002:421-430.

[6] 羅榮,唐學(xué)兵.基于JDBC的數(shù)據(jù)庫連接池的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2004,30(9):92-93.

[7] 勞東.管理信息系統(tǒng)[M].北京:中國人民大學(xué)出版社,2009:264-320.

VPN Security and IP Address Conflict Research

WANG Xiao1,SUN Pi-Bo2
(1.Qingdao Ocean Shipping Mariners College,Qingdao 266071,China;2.School of Information Engineering Technology,Qingdao Hismile College,Qingdao 266100,China)

In order to solve the security of the internal network and the collision of the virtual IP address,the methods of the virtual IP address connection pool and the IP address generation algorithm are proposed in the process of upgrading the campus network.When accessing the internal network resources,remote users need access to the virtual IP address from the connection pool,which implements the virtual IP address assignment dynamic bundle,effectively controls the random allocation of the virtual IP address,avoids the problem of collisions of the virtual IP address and improves the security of internal resources and efficiency.It has been proved in practice that the technology of virtual IP address connection pool and IP address generation algorithm are very effective to enhance the security of VPN network,curb hacker intrusion by matching the IP address of the internal network and resolve the IP address conflicts.

demilitarized zone;virtual private network;the connection pool of IP address;dynamic bundle

TP391

A

1672-5174(2011)03-088-05

中國遠(yuǎn)洋集團(tuán)公司項(xiàng)目(2009-1-H-002)資助

2009-11-20;

2010-04-25

王 曉(1971-),男,工學(xué)碩士。E-mail:wangxiao@126.com

責(zé)任編輯 陳呈超