景秀;王建勇
电子导盲仪【摘 要】分析了VPN(virtual private network)安全策略管理系统的体系结构,提出了一个旨在提高系统可扩展性的基于名字解析的负载均衡方案--加权最少隧道调度和过载报警相结合的调度算法.通过仿真实验测试了调度算法的性能,实验结果表明,该文提出的负载均衡方案有效可行,降低了系统出现过载的可能性,提高了系统的性能.
【期刊名称】《实验技术与管理》
偏心轮机构
【年(卷),期】2010(027)008
【总页数】5页(P103-107)
【关键词】虚拟专用网;负载均衡;名字解析
【作 者】景秀;王建勇
【作者单位】华中农业大学理学院,湖北,武汉,430070;华中农业大学理学院,湖北,武汉,430070
空气雾化喷嘴【正文语种】中 文
【中图分类】TP312
随着Internet的迅速发展,世界经济网络化已经是必然的趋势,但这种趋势受到若干因素的阻碍,特别是安全性和经济性问题。目前,公共网络环境日益复杂,Internet传输的各种敏感信息很容易遭到拦截、偷窥和篡改,网络安全设备的功能和效率成为十分突出的问题。安全的做法是租用专线进行连接,但这样做成本太高。人们急需既安全又廉价的方法,虚拟专用网VPN(virtual private network)[1-2]应运而生。VPN利用服务提供商所提供的公共网络来实现远程的广域连接,通过VPN安全策略管理系统对所管辖的安全设备进行集中的配置,使网络安全的管理更加高效。 负载均衡(load balance)[3]建立在现有网络结构之上,提供了一种廉价、有效、透明的方法以扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络
的灵活性和可用性。目前常用的是集中式的负载均衡机制和分布式的多VPN网关设备的负载均衡机制。集中式的负载均衡机制可以提高系统的服务能力,但可扩展性十分有限;分布式的多VPN网关设备结构可解决系统因用户增多引起的可扩展性问题,由于用户接入的不确定性和网络流量的突发特征,多服务器结构容易导致系统出现负载失衡的现象,如有些VPN网关设备过载等。集(cluster)[4]是一组相互独立的、通过高速网络互联的计算机,它们构成了一个组,并以单一系统的模式加以管理。将多台VPN利用集技术并联起来,提供高效、安全的服务是目前解决VPN系统负载及安全性问题的唯一方案。通过负载均衡的连接,可以使多个VPN设备同时运行,从而提高VPN服务的整体性能。 对负载预测的研究是最近国际上的研究热点,目前已有的预测方法大都基于时间序列的历史信息来预测的,如线性时间序列模型[5],包括采用Box-Jenkins线性时间序列。另外一种就是使用处理机的负载变化率对处理机进行动态负载预测[6],也是线性预测的一种,优点是简单易行,但是处理机负载变化很快时,处理非常随机,没有平稳的连续性状态,预测的准确度会降低。
IPSec(IP Security)[7-9]即IP安全协议,是将多种安全技术集合到一起,从而建立一
个安全的隧道。IPSec协议集定义了终端系统或网络之间通过公共网络时如何实现安全通信,包括如何在IP数据包中增加字段来保证IP数据包的完整性、私有性和真实性以及如何加密数据包。IPSec为Internet业务提供最强的安全功能,适合于组建远程网络互联VPN。
本文研究的VPN安全策略管理系统基于IPSec技术,并针对VPN系统现有的不足,结合前面对负载均衡技术的研究,提出在系统中增加名字解析服务器,提出以隧道数目为负载指示的加权最少隧道调度结合过载报警的负载均衡调度算法。
本文主要基于VPN安全策略管理系统(security management system,SMS),将针对该系统进行负载均衡技术的研究与实现。该系统由服务器(SMS server)、管理器(SMS manager)和运行在网关/客户端软件系统上的代理(SMS agent)三大部分组成。其中SMS server是VPN系统的核心,主要负责整个虚拟专网系统的安全策略维护,状态监控等主要功能。用户通过SMS manager对设备和隧道进行管理操作。SMS agent主要应用在安全网关和客户端软件系统中,主要负责与VPN系统的通信和数据处理。
SMS通信协议处在应用层上,分为通信层和业务层。通信协议在业务层采用请求/应答的模式运行,整个协议报文封装在TCP(transmission control protocol)或者UDP(user dat
agram protocol)协议报文中通过网络传输,传输的报文使用RC4加密,并用HMACMD5算法作摘要。通信层向业务层提供安全、可靠的网络传输服务。这些服务包括如下的功能:身份验证、业务层数据的加密/脱密、通信层报文的封装/解封、不可靠连接的超时重传机制等功能。通信采用队列来管理,包括接收队列、命令队列、解释队列及保活队列。
本系统通过IKE(internet key exchange)技术进行安全策略协商,采用了Radius认证和PEM(privacy enhanced mail)格式的证书认证2种方式,还采用了DES、RSA、RC4加密算法保障通信的安全性。
2.1 负载均衡的应用
在VPN系统中,许多用户联入外网时没有固定的IP地址,是通过XDSL(ADSL)接入网络,IP地址随机分配,用户的IP地址是动态的、变化频繁的,管理员任务繁重,客户端软件的登录必须输入实时的IP地址,给用户使用带来不便。对于有多个VPN网关设备的网络来说,由于使用固定的IP登录,不能动态的进行负载的均衡。
按负责调度的通信实体类别来划分,有3种可选的负载均衡机制:分别由客户端,VPN网关设备或名字解析服务器对负载进行调度。
基于客户端调度的主要思想是由客户端程序从VPN网关设备管理者处获得一张VPN网关设备地址列表,用户随机选择某个VPN网关设备进行接入或由程序自动选择。这种方式的主要缺点是可扩展性不强[10]。随机方式在一定程度上能够起到均衡服务器负载的作用,但由于没有采用负载动态反馈机制,作用十分有限,在服务器性能存在差异的情况下效果更差,本文第3部分将通过仿真试验来说明。
另一种方案是由VPN网关设备负责调度,每个VPN网关设备周期性地向其他VPN网关设备发送消息报文,告知各自的负载状况,如果某个VPN网关设备负载过重而又收到新的用户请求,则转发给另一个负载相对较轻的VPN网关设备。这种方案存在诸多问题:第一,在系统负载较重的时候,增大了用户接入请求的响应延迟;第二,VPN网关设备对请求报文的重写、转发以及VPN网关设备之间的信息交互需要消耗大量资源;第三,研究表明[11],在网络流量的变化较为剧烈的情况下,负载均衡的效果将变得非常差,而实际的网络流量通常具有突发特征,波动十分明显。
采用名字解析服务器进行调度的机制和动态DNS(domain name system)负载均衡机制的思路是一致的,名字解析代理收到用户的接入请求后,根据各个VPN网关设备的负载状况选择一个“最优(目前或近期负载最轻)”的网关设备为客户端提供接入服务。动态DNS机制的不足在于:为避免网络中出现过多的DNS流量,将已经解析过的结果进行缓存,这样用户在下次访问时就不需要从动态DNS来获得服务器地址,也使得DNS失去了调度作用。然而,在名字解析系统中用户必须通过名字解析之后才能获得网关设备的地址。因此,名字解析服务器对用户具有完全的控制能力,解决了动态DNS方法中存在的问题。
另一方面,名字解析服务器对用户屏蔽了VPN网关设备的选择过程,在用户看来,多个VPN网关设备的存在相当于一个虚拟的VPN网关设备,网络中增加或减少VPN网关设备时,不需要对客户端软件进行升级。可以说,系统对用户来讲是透明的,这同基于VPN网关设备调度的机制相比,由名字解析代理进行调度在方便用户使用的同时提高了系统可扩展性。
因此,本系统采用基于名字解析服务器的负载均衡机制。
2.2 名字解析服务器系统结构设计
2.2.1 方案设计思想
(1)当安全网关使用动态地址(例如ADSL接入)时,其接口地址不是固定不变的,可以利用SMS Server对其集中管理。
(2)名字解析服务器是SMS Server的一个功能模块,利用登录到SMS server上的VPN网关设备信息发挥其解析功能。
(3)客户端登录时使用VPN网关设备的域名向名字解析服务器查询即将接入的网关设备的IP地址。
(4)名字解析服务器根据制定的负载均衡策略动态返回适合的VPN网关设备接口的地址。
(5)为了防止SMS Server失效带来整个系统的瘫痪,设立各服务器配置同步更新机制。这样在设备数次尝试登陆一个服务器不成功之后,可以通过登陆另一个从服务器的方式保障通信的稳定与健壮性。
防砸玻璃
2.2.2 方案设计原则
(1)结构简洁。模块划分清晰,模块间耦合度低,模块内内聚度高。在保证实现功能的前提下做到系统结构简洁,从而降低系统开销。
(2)容错性强。将错误限制在尽量小的范围内,能对错误采取相应的措施使之尽可能小的影响系统的正常运行。
(3)能够适应复杂的网络应用环境。在满足功能实现的前提下采用减少网络报文的大小,减少网络交互的次数,使用可靠网络协议等措施。
(4)功能扩充方便。随着用户需求的变化,能方便地进行代码的重写和系统的扩充。
ome 1032.2.3 系统整体结构
名字解析服务器(name resolution server,NRS)主要用于当安全网关使用动态地址时为客户端软件系统接入网关提供动态的地址解析功能,客户端软件系统只需要使用固定的安全网关设备名称就可以登录安全网关系统。客户端软件向名字解析服务器发送VPN服务器的接入请求,名字解析服务器根据负载均衡调度算法,选择一个当前负载最优的VPN服务器器,将其接口地址返回给客户端。客户端使用得到的接口地址与选定的VPN服务器通信。
这样客户端软件系统只需要使用固定的VPN服务器名称就可以登录安全网关系统。
>风力摆控制系统
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议