1．前言

    隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴張，各種應(yīng)用系統(tǒng)與企業(yè)的正常運行日益結(jié)合的日益緊密，尤其是ERP和MES系統(tǒng)的廣泛推廣，客戶分布日益廣泛，關(guān)鍵用戶頻繁出差，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，即靈活性、安全性、經(jīng)濟性、擴展性等。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)。

2．VPN技術(shù)探討

    1.1 VPN定義

    利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。“虛擬”的概念是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴。

    企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務(wù)提供點），即可相互通信。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源； 如果接入服務(wù)器的用戶身份認證服務(wù)器支持漫游的話，甚至不必擁有本地ISP的上網(wǎng)權(quán)限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺VPN服務(wù)器就可以了。

    1.2 VPN的類型

    VPN分為三種類型：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）

    這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。

    1.3 隧道技術(shù)

    對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。

    現(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Access VPN和Extranet VPN；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Intranet VPN和Extranet VPN。

    1.3.1二層隧道協(xié)議

    二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。其中L2TP結(jié)合了前兩個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。

    1.3.2 三層隧道協(xié)議

    用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議，基于三層隧道協(xié)議構(gòu)建的隧道內(nèi)只攜帶第三層報文�，F(xiàn)有的三層隧道協(xié)議主要包括：通用路由封裝協(xié)議GRE(Generic Routing Encapsulation)、IPSec(IP Security)，其中IPSec不是一個單獨的協(xié)議，它給出了IP網(wǎng)絡(luò)上數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等協(xié)議。IPsec的主要特征在于它可以對所有IP級的通信進行加密和認證，正是這一點才使IPsec可以確保包括遠程登錄，電子郵件，文件傳輸及WEB訪同在內(nèi)多種應(yīng)用程序的安全。

2 基本建設(shè)思路

    在VPN接入網(wǎng)的建設(shè)過程中，需要從以下幾個方面來考慮：

    支持客戶端各種接入手段及動態(tài)IP地址；企業(yè)總部采用固定IP地址，分支機構(gòu)可以選擇ADSL或者FE專線接入Internet。

    網(wǎng)絡(luò)拓撲類型以Hub-Spoke為主，Partial-Mash方式下客戶端互訪流量通過Server轉(zhuǎn)發(fā)，此時流量不超過20％，否則會加重Server負擔(dān)，這種情況下，路由的設(shè)計是重點關(guān)注的問題。

    IP SEC提供在IP層的加密認證等安全服務(wù)。

    IKE協(xié)商可以采用預(yù)共享密鑰的方式，也可以采用CA認證的方式進行。

    網(wǎng)絡(luò)的部署監(jiān)控配置維護采用VPN MANAGER和BIMS配合進行。

    2.1 組網(wǎng)方案

    VPN接入網(wǎng)關(guān)子系統(tǒng)部署：在總部局域網(wǎng)Internet邊界防火墻后面配置一臺專用的高性能的VPN網(wǎng)關(guān)，在分支機構(gòu)Internet邊界防火墻后面配置一臺專用VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSec VPN隧道，進行數(shù)據(jù)封裝、加密和傳輸。VPN客戶端設(shè)備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網(wǎng)關(guān)建立VPN鏈接。根據(jù)其業(yè)務(wù)的需求，有必要的話，可以在分支節(jié)點用設(shè)備進行冷備份。

    H3C secpath系列VPN網(wǎng)關(guān)強大的VPN處理性能，高端專用VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可以提供標(biāo)準(zhǔn)加密算法下350Mbps以上的加密吞吐量，百兆VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可以提供標(biāo)準(zhǔn)加密算法下60Mbps以上的加密吞吐量；

    2.2 IPSec VPN方式

    （1）組網(wǎng)特點：

    VPN客戶端設(shè)備相對來說比較簡單。

    （2）部署要點

    VPN客戶端可以使用動態(tài)地址接入服務(wù)器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。同時，這樣也便于使用VPN Manager的配置管理功能。

    （3）方案特點

    組網(wǎng)簡單，易于部署；

    由于IPSec不能承載路由協(xié)議，需要在分支結(jié)構(gòu)和園區(qū)網(wǎng)配置大量的靜態(tài)路由。

    單純的IPSec封裝，對于帶寬資源消耗較��；

    2.3 移動用戶IPSec VPN接入方式

    （1）組網(wǎng)特點

    移動用戶靈活接入，安全認證、數(shù)據(jù)保護。

    （2）部署要點

    通過客戶端軟件iNode多鏈路形式接入企業(yè)內(nèi)部VPN

    使用L2TP+IPSEC完成用戶身份認證和報文加密

    認證方式可以采用Sec key

    IKE協(xié)商使用預(yù)共享密鑰的方式進行

    對于L2TP用戶認證計費采用遠端Radius（CAMS）進行

    VPN服務(wù)器側(cè)可以考慮使用單臺設(shè)備，也可以考慮使用雙VPN服務(wù)器備份

    （3）方案特點

    靈活、安全

3．結(jié)論

    IPSECVPN在企業(yè)局域網(wǎng)中的成功應(yīng)用，充分發(fā)揮了VPN技術(shù)的優(yōu)勢，在很大程度上提高了網(wǎng)絡(luò)的可擴展性和可用性，為我們企業(yè)的業(yè)務(wù)平臺，做了有力的保障。但是，擁有良好的硬件和軟件環(huán)境還遠遠不夠，高質(zhì)量的日常運維保障仍然是必不可少的。只有將兩者有機的結(jié)合到一起，才能保證公司信息系統(tǒng)長期、可靠的運行。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：VPN技術(shù)在企業(yè)組網(wǎng)中的應(yīng)用研究

本文網(wǎng)址：http://www.oesoe.com/html/support/1112154269.html