1.前言
隨著網絡,尤其是網絡經濟的發展,企業日益擴張,各種應用系統與企業的正常運行日益結合的日益緊密,尤其是ERP和MES系統的廣泛推廣,客戶分布日益廣泛,關鍵用戶頻繁出差,這種情況促使了企業的效益日益增長,另一方面也越來越凸現傳統企業網的功能缺陷:傳統企業網基于固定物理地點的專線連接方式已難以適應現代企業的需求。于是企業對于自身的網絡建設提出了更高的需求,即靈活性、安全性、經濟性、擴展性等。在這樣的背景下,VPN以其獨具特色的優勢贏得了越來越多的企業的青睞,令企業可以較少地關注網絡的運行與維護,而更多地致力于企業的商業目標的實現。
2.VPN技術探討
1.1 VPN定義
利用公共網絡來構建的私人專用網絡稱為虛擬私有網絡(VPN,Virtual Private Network),用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN象企業現有的私有網絡一樣提供安全性、可靠性和可管理性等。“虛擬”的概念是相對傳統私有網絡的構建方式而言的。對于廣域網連接,傳統的組網方式是通過遠程撥號連接來實現的,而VPN是利用服務提供商所提供的公共網絡來實現遠程的廣域連接。通過VPN,企業可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業務合作伙伴。
企業內部資源享用者只需連入本地ISP的POP(Point Of Presence,接入服務提供點),即可相互通信。虛擬網組成后,出差員工和外地客戶只需擁有本地ISP的上網權限就可以訪問企業內部資源; 如果接入服務器的用戶身份認證服務器支持漫游的話,甚至不必擁有本地ISP的上網權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業開設VPN服務所需的設備很少,只需在資源共享處放置一臺VPN服務器就可以了。
1.2 VPN的類型
VPN分為三種類型:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(ExtranetVPN)
這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet相對應。
1.3 隧道技術
對于構建VPN來說,網絡隧道(Tunneling)技術是個關鍵技術。網絡隧道技術指的是利用一種網絡協議來傳輸另一種網絡協議,它主要利用網絡隧道協議來實現這種功能。網絡隧道技術涉及了三種網絡協議,網絡隧道協議、支撐隧道協議的承載協議和隧道協議所承載的被承載協議。
現有兩種類型的隧道協議:一種是二層隧道協議,用于傳輸二層網絡協議,它主要應用于構建Access VPN和Extranet VPN;另一種是三層隧道協議,用于傳輸三層網絡協議,它主要應用于構建Intranet VPN和Extranet VPN。
1.3.1二層隧道協議
二層隧道協議主要有三種:PPTP(Point to Point Tunneling Protocol,點對點隧道協議)、L2F(Layer 2 Forwarding,二層轉發協議)和L2TP(Layer 2 Tunneling Protocol,二層隧道協議)。其中L2TP結合了前兩個協議的優點,具有更優越的特性,得到了越來越多的組織和公司的支持,將是使用最廣泛的VPN二層隧道協議。
1.3.2 三層隧道協議
用于傳輸三層網絡協議的隧道協議叫三層隧道協議,基于三層隧道協議構建的隧道內只攜帶第三層報文。現有的三層隧道協議主要包括:通用路由封裝協議GRE(Generic Routing Encapsulation)、IPSec(IP Security),其中IPSec不是一個單獨的協議,它給出了IP網絡上數據安全的一整套體系結構,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等協議。IPsec的主要特征在于它可以對所有IP級的通信進行加密和認證,正是這一點才使IPsec可以確保包括遠程登錄,電子郵件,文件傳輸及WEB訪同在內多種應用程序的安全。
2 基本建設思路
在VPN接入網的建設過程中,需要從以下幾個方面來考慮:
支持客戶端各種接入手段及動態IP地址;企業總部采用固定IP地址,分支機構可以選擇ADSL或者FE專線接入Internet。
網絡拓撲類型以Hub-Spoke為主,Partial-Mash方式下客戶端互訪流量通過Server轉發,此時流量不超過20%,否則會加重Server負擔,這種情況下,路由的設計是重點關注的問題。
IP SEC提供在IP層的加密認證等安全服務。
IKE協商可以采用預共享密鑰的方式,也可以采用CA認證的方式進行。
網絡的部署監控配置維護采用VPN MANAGER和BIMS配合進行。
2.1 組網方案
VPN接入網關子系統部署:在總部局域網Internet邊界防火墻后面配置一臺專用的高性能的VPN網關,在分支機構Internet邊界防火墻后面配置一臺專用VPN網關,由此兩端的VPN網關建立IPSec VPN隧道,進行數據封裝、加密和傳輸。VPN客戶端設備可以采用靜態或動態申請的IP地址和總部網關建立VPN鏈接。根據其業務的需求,有必要的話,可以在分支節點用設備進行冷備份。
H3C secpath系列VPN網關強大的VPN處理性能,高端專用VPN網關通過專業的硬件加密處理器可以提供標準加密算法下350Mbps以上的加密吞吐量,百兆VPN網關通過專業的硬件加密處理器可以提供標準加密算法下60Mbps以上的加密吞吐量;
2.2 IPSec VPN方式
(1)組網特點:
VPN客戶端設備相對來說比較簡單。
(2)部署要點
VPN客戶端可以使用動態地址接入服務器,但為了防止客戶端IPSec配置泄露造成的安全隱患,建議VPN客戶端口采用靜態地址。同時,這樣也便于使用VPN Manager的配置管理功能。
(3)方案特點
組網簡單,易于部署;
由于IPSec不能承載路由協議,需要在分支結構和園區網配置大量的靜態路由。
單純的IPSec封裝,對于帶寬資源消耗較小;
2.3 移動用戶IPSec VPN接入方式
(1)組網特點
移動用戶靈活接入,安全認證、數據保護。
(2)部署要點
通過客戶端軟件iNode多鏈路形式接入企業內部VPN
使用L2TP+IPSEC完成用戶身份認證和報文加密
認證方式可以采用Sec key
IKE協商使用預共享密鑰的方式進行
對于L2TP用戶認證計費采用遠端Radius(CAMS)進行
VPN服務器側可以考慮使用單臺設備,也可以考慮使用雙VPN服務器備份
(3)方案特點
靈活、安全
3.結論
IPSECVPN在企業局域網中的成功應用,充分發揮了VPN技術的優勢,在很大程度上提高了網絡的可擴展性和可用性,為我們企業的業務平臺,做了有力的保障。但是,擁有良好的硬件和軟件環境還遠遠不夠,高質量的日常運維保障仍然是必不可少的。只有將兩者有機的結合到一起,才能保證公司信息系統長期、可靠的運行。
轉載請注明出處:拓步ERP資訊網http://www.vmgcyvh.cn/
本文標題:VPN技術在企業組網中的應用研究
相關文章
