1.VPN技術(shù)概況

　　1.1.VPN的定義

　　虛擬專用網(wǎng)（VPN）是一種以公用網(wǎng)絡(luò)為基礎(chǔ)，綜合運(yùn)用隧道封裝、認(rèn)證、加密、訪問控制等多種網(wǎng)絡(luò)安全技術(shù)，為礦山企業(yè)總部、分支企業(yè)機(jī)構(gòu)、合作伙伴及遠(yuǎn)程和移動(dòng)辦公人員提供安全的網(wǎng)絡(luò)互通和資源共享的技術(shù)，并包括和該技術(shù)相關(guān)的多種安全管理機(jī)制。VPN的主要目標(biāo)是建立一種靈活、低成本、可擴(kuò)展的網(wǎng)絡(luò)互連手段，以替代傳統(tǒng)的長(zhǎng)途專線連接和遠(yuǎn)程撥號(hào)連接，同時(shí)VPN也是一種實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)安全隔離的有效方式。VPN技術(shù)解決的主要問題概括起來就是：實(shí)現(xiàn)低成本的互通和安全。

　　1.2.企業(yè)網(wǎng)絡(luò)互連的基本安全要素

　　網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息系統(tǒng)，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。虛擬專用網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的幾個(gè)基本安全要素 。

　　1、保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址假冒（IP Spoofing）的能力。

　　2、保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子篡改數(shù)據(jù)的能力。

　　3、保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。

　　4、提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。

　　提供安全防護(hù)措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問控制。

　　2.VPN技術(shù)基礎(chǔ) 

　　為企業(yè)實(shí)現(xiàn)一個(gè)完整的VPN的主要基礎(chǔ)技術(shù)包括隧道技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。隧道技術(shù)是將各種企業(yè)內(nèi)部數(shù)據(jù)包通過公網(wǎng)傳輸；密碼技術(shù)用于加密隱蔽企業(yè)內(nèi)部傳輸信息、認(rèn)證用戶身份、抗否認(rèn)等；網(wǎng)絡(luò)訪問控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來攻擊。

　　2.1.隧道技術(shù)

　　企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從企業(yè)內(nèi)部地址發(fā)出的數(shù)據(jù)包是不能直接通過Internet傳輸?shù)模�而必須以合法的公網(wǎng)IP地址代替。企業(yè)內(nèi)部數(shù)據(jù)包必須經(jīng)過地址轉(zhuǎn)換后才能傳輸，數(shù)據(jù)包封裝就是地址轉(zhuǎn)換方式中的一種。在VPN技術(shù)中，就采用了數(shù)據(jù)包封裝技術(shù)。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點(diǎn)，在發(fā)送節(jié)點(diǎn)將原數(shù)據(jù)包打包，添加合法的外層IP包頭，數(shù)據(jù)包通過公網(wǎng)被傳送到接收端的VPN節(jié)點(diǎn)，該節(jié)點(diǎn)接收后進(jìn)行拆包處理，還原出原報(bào)文后傳送給目標(biāo)主機(jī)。

　　2.2.密碼技術(shù)

　　數(shù)據(jù)加密作為一項(xiàng)實(shí)現(xiàn)網(wǎng)絡(luò)安全的技術(shù)，已經(jīng)成為所有通信數(shù)據(jù)安全的基石。加密的網(wǎng)絡(luò)不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，還可以有效防止惡意軟件的入侵。這使得加密網(wǎng)絡(luò)以較小的代價(jià)提供較強(qiáng)的安全保護(hù)。 數(shù)據(jù)加密過程是由加密算法來實(shí)現(xiàn)。

　　加密算法分為對(duì)稱密碼算法和非對(duì)稱密碼算法。對(duì)稱密碼算法的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度和較快的運(yùn)算速度，但其密鑰必須通過安全的途徑傳送。非對(duì)稱密鑰（公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同，而且無法從加密密鑰推導(dǎo)出解密密鑰。非對(duì)稱密碼算法加密速度慢，不適宜直接對(duì)實(shí)時(shí)的、大量的數(shù)據(jù)加密。在IPSec實(shí)現(xiàn)中，非對(duì)稱算法（證書）用于自動(dòng)協(xié)商隧道密鑰（對(duì)稱密鑰），從而可大大簡(jiǎn)化密鑰的管理工作。

　　2.3.網(wǎng)絡(luò)訪問控制技術(shù)

　　網(wǎng)絡(luò)訪問控制技術(shù)對(duì)跨地域企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行過濾，即傳統(tǒng)的防火墻功能。由于防火墻和VPN在網(wǎng)絡(luò)中的位置基本相同，其功能具有很強(qiáng)的互補(bǔ)性，因此一個(gè)完整的VPN網(wǎng)絡(luò)應(yīng)同時(shí)提供完善的網(wǎng)絡(luò)訪問控制功能，這可以在系統(tǒng)的安全性、性能及統(tǒng)一管理上帶來一系列的好處。

　　3.VPN技術(shù)實(shí)現(xiàn)礦山企業(yè)內(nèi)部互連互通的案例

　　某公司2008年組建成立，是以鐵礦石采選加工為主業(yè)，輔以有色金屬、礦建、礦機(jī)、火工品制造、現(xiàn)代物流等產(chǎn)業(yè)的國(guó)有大型冶金礦山企業(yè)。鐵礦石資源掌控量已達(dá)50億噸。該公司直屬子公司、礦山企業(yè)23個(gè)，分布在河北省的6個(gè)城市及內(nèi)蒙古自治區(qū)。

　　該公司在建立之初面臨的急需解決的問題是對(duì)分散在河北省及內(nèi)蒙古的分支機(jī)構(gòu)實(shí)現(xiàn)實(shí)時(shí)管控：實(shí)時(shí)了解各個(gè)分支機(jī)構(gòu)的主要設(shè)備運(yùn)行情況；公司領(lǐng)導(dǎo)每天召開全公司范圍內(nèi)的視頻會(huì)議，避免由于地理距離遠(yuǎn)而不能及時(shí)準(zhǔn)確了解各個(gè)分支機(jī)構(gòu)的生產(chǎn)情況；在分布零散的礦山企業(yè)中實(shí)現(xiàn)各種信息化管控手段；使生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)在分支機(jī)構(gòu)和總部之間能夠安全、可靠、準(zhǔn)確地傳輸。經(jīng)過研究分析，最終該公司引入了VPN技術(shù)實(shí)現(xiàn)了全公司范圍內(nèi)網(wǎng)絡(luò)的互連互通。

　　（該公司對(duì)分散在河北省及內(nèi)蒙古的分、子公司實(shí)現(xiàn)實(shí)時(shí)管控。實(shí)時(shí)了解各個(gè)分、子公司的主要設(shè)備運(yùn)行情況；由于距離較遠(yuǎn)，每天召開全公司范圍內(nèi)的會(huì)議，使公司領(lǐng)導(dǎo)能夠及時(shí)準(zhǔn)確了解各個(gè)分支公司的生產(chǎn)情況；各種信息化管控手段在分布零散的礦山企業(yè)中實(shí)現(xiàn)；生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)的在分支公司和總部之間的安全可靠準(zhǔn)確的傳輸，是該公司在建立之初急需解決的問題。最終該公司引入了VPN技術(shù)實(shí)現(xiàn)了全公司范圍內(nèi)網(wǎng)絡(luò)的互連互通。）

　　3.1.VPN技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的互連互通

　　該公司經(jīng)過慎重考慮，為公司總部以及各個(gè)分支結(jié)構(gòu)引入了VPN防火墻和固定IP的光纖出口，使用IPSec隧道技術(shù)建立了總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)通訊。

　　IPSec由IP認(rèn)證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security PaylOAd)和密鑰管理協(xié)議組成。通過對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄浴?/P>

　　IPSec協(xié)議提供對(duì)所有在網(wǎng)絡(luò)層上的數(shù)據(jù)的保護(hù)，提供透明的安全通信。IPSec協(xié)議在隧道模式下，把IPv4數(shù)據(jù)包封裝在安全的IP幀中，這樣保護(hù)數(shù)據(jù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性，同時(shí)不會(huì)隱藏路由信息來保護(hù)端到端的安全性。

圖1 公司總部與分支機(jī)構(gòu)之間網(wǎng)絡(luò)拓?fù)鋱D
 

　　1、企業(yè)IPSec隧道配置過程

　　登陸VPN防火墻，配置網(wǎng)絡(luò)接口的地址和NAT。對(duì)于建立隧道的NAT，在配置中設(shè)置為允許通過。配置遠(yuǎn)程VPN（即將分支機(jī)構(gòu)的ip配置在此處），配置參數(shù)如下：

　　遠(yuǎn)程VPN名稱和對(duì)方分支機(jī)構(gòu)的IP；

　　數(shù)據(jù)加密： 3DES-CBC 168-bit 加密；

　　數(shù)據(jù)完整性保護(hù)： MD5-HMAC 128-bit算法；

　　密鑰管理：手動(dòng)密鑰管理；

　　驗(yàn)證管理：共享密鑰，建立內(nèi)部的共享密鑰；

    類型：網(wǎng)關(guān)。

　　網(wǎng)關(guān)隧道配置參數(shù)如下：

    隧道名稱；

    本地保護(hù)子網(wǎng)和掩碼以及對(duì)端保護(hù)子網(wǎng)及掩碼；

　　數(shù)據(jù)包認(rèn)證模式：ESP；

　　其余參數(shù)配置和遠(yuǎn)程VPN配置相同。

　　2、隧道技術(shù)的實(shí)現(xiàn)過程

圖2 隧道示意圖

　　如果分支機(jī)構(gòu)終端B需要訪問公司總部的終端A，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端A的IP（內(nèi)部IP）；

　　公司總部的VPN 網(wǎng)關(guān)在接收到終端B發(fā)出的訪問數(shù)據(jù)包時(shí)對(duì)其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于公司總部的地址，則將該數(shù)據(jù)包進(jìn)行封裝，VPN網(wǎng)關(guān)會(huì)再構(gòu)造一個(gè)新的數(shù)據(jù)包（VPN數(shù)據(jù)包），并將封裝后的原數(shù)據(jù)包作VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為公司總部的VPN網(wǎng)關(guān)的外部地址；

　　分支機(jī)構(gòu)的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是公司總部的VPN網(wǎng)關(guān)外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)關(guān)；

　　公司總部的VPN網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是分支機(jī)構(gòu)的VPN網(wǎng)關(guān)發(fā)出的，即判斷該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將負(fù)載通過VPN技術(shù)反向處理還原成原始數(shù)據(jù)包；

　　公司總部的VPN網(wǎng)關(guān)將還原以后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端，由于原始數(shù)據(jù)包的目標(biāo)地址是終端A的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送端A。

　　從終端A返回終端B的數(shù)據(jù)包處理過程與上述過程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。

　　3.2.VPN技術(shù)實(shí)現(xiàn)異地接入公司內(nèi)網(wǎng)

　　上面講述了VPN技術(shù)實(shí)現(xiàn)公司總部和各個(gè)分支機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)互連的過程。而對(duì)于經(jīng)常出差的領(lǐng)導(dǎo)、員工想異地接入公司內(nèi)網(wǎng)，批閱、查看公司內(nèi)網(wǎng)文件的需求，卻是無法滿足。這就需要VPN技術(shù)中的PPTP協(xié)議。配置過程如下：登陸VPN防火墻，找到VPN連接中L2TP/PPTP參數(shù)配置。配置參數(shù)如下：

　　啟動(dòng)L2TP/PPTP，并設(shè)置撥入后獲取地址的范圍；

　　128-bit client and server；

　　PAP/CHAP/MS CHAPv2 驗(yàn)證；

　　MPPE (RC4) 加密；

　　為經(jīng)常出差的辦公人員設(shè)置撥號(hào)用戶和密碼；

　　為需要遠(yuǎn)程撥入的用戶設(shè)置終端的網(wǎng)絡(luò)連接。

　　辦公人員在外地出差需要接入公司內(nèi)部網(wǎng)絡(luò)時(shí)，只需要點(diǎn)擊建立的網(wǎng)絡(luò)連接快捷方式，輸入用戶名和密碼即可撥入公司內(nèi)網(wǎng)。

　　4.案例效果分析

　　使用VPN技術(shù)解決了跨地域礦山企業(yè)內(nèi)網(wǎng)互連問題，為企業(yè)員工實(shí)現(xiàn)了同網(wǎng)辦公的需求。本段將重點(diǎn)分析VPN技術(shù)帶來的實(shí)際效果。

　　1、使用VPN技術(shù)可降低成本。現(xiàn)代礦山企業(yè)對(duì)分散礦山的所有管控如遠(yuǎn)程生產(chǎn)視頻監(jiān)控、遠(yuǎn)程視頻會(huì)議、遠(yuǎn)程尾礦庫水位監(jiān)控、信息化項(xiàng)目系統(tǒng)、辦公自動(dòng)化系統(tǒng)等都需要穩(wěn)定可靠的網(wǎng)絡(luò)支撐，但租賃電信運(yùn)營(yíng)商的專線，帶寬要求較高，條數(shù)要求較多，價(jià)格十分昂貴。通過公用網(wǎng)來建立VPN，一條線路即可以滿足企業(yè)網(wǎng)絡(luò)的需要。既可以滿足礦山企業(yè)總部和分支機(jī)構(gòu)對(duì)互聯(lián)網(wǎng)的訪問，又可以節(jié)省大量的通信費(fèi)用，降低成本。

　　2、傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，數(shù)據(jù)經(jīng)過本地VPN網(wǎng)關(guān)時(shí)，發(fā)現(xiàn)目的地址是對(duì)端網(wǎng)絡(luò)的內(nèi)網(wǎng)IP時(shí)，數(shù)據(jù)經(jīng)過加密傳輸后經(jīng)過互聯(lián)網(wǎng)傳輸，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

　　3、連接方便靈活。新增加的分支機(jī)構(gòu)如果想與企業(yè)總部聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，就必須租賃電信運(yùn)營(yíng)商的專線連接，電信運(yùn)營(yíng)商布線連通十分不便。而使用虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)的互連互通。同時(shí)撥號(hào)接入公司內(nèi)網(wǎng)又為身處異地的領(lǐng)導(dǎo)和員工提供了方面靈活接入內(nèi)網(wǎng)的方式。

　　4、實(shí)現(xiàn)了企業(yè)對(duì)網(wǎng)絡(luò)的完全控制。虛擬專用網(wǎng)的用戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著企業(yè)網(wǎng)絡(luò)的控制權(quán)。企業(yè)只利用ISP提供的網(wǎng)絡(luò)資源，其它的安全設(shè)置、網(wǎng)絡(luò)管理變化均由企業(yè)內(nèi)部管理。

　　結(jié)論

　　VPN技術(shù)可以把礦山企業(yè)局域網(wǎng)和互聯(lián)網(wǎng)兩種不同的網(wǎng)絡(luò)結(jié)構(gòu)結(jié)合在一起，形成一個(gè)專用的、安全性高的企業(yè)內(nèi)部廣域網(wǎng)絡(luò)。VPN利用公網(wǎng)基礎(chǔ)設(shè)施為礦山企業(yè)及其分支結(jié)構(gòu)提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，同時(shí)能夠提供與互聯(lián)網(wǎng)專網(wǎng)類似的安全性、可靠性、優(yōu)先級(jí)別和可管理性。

　　使用VPN技術(shù)組建的企業(yè)內(nèi)部網(wǎng)絡(luò)連接方式和傳統(tǒng)的互聯(lián)網(wǎng)專用網(wǎng)絡(luò)形式相比，擁有連接快速、節(jié)省遠(yuǎn)程訪問的長(zhǎng)話費(fèi)、網(wǎng)絡(luò)設(shè)備運(yùn)行和維護(hù)費(fèi)的優(yōu)勢(shì)。VPN具有其獨(dú)特的優(yōu)勢(shì)得到越來越多企業(yè)的青睞，使企業(yè)可以較少的關(guān)注網(wǎng)絡(luò)的運(yùn)行和維護(hù)成本，而致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/

本文標(biāo)題：基于VPN技術(shù)礦山企業(yè)內(nèi)網(wǎng)的構(gòu)建

本文網(wǎng)址：http://www.vmgcyvh.cn/html/consultation/10839411530.html