基于VPN技术的内部网络构建

    随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。

    近年来，宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展，反过来，VPN的应用又促进宽带内容的不断丰富。

    在国外网络通信发达的围家，VPN应用已经非常普及。国外的VPN技术发展较快，基于标准的虚拟专用网技术近年来己成为网络界的新热点，这是因为它有着无可比拟的优势：通过整合几种数据保护的方式，使用户可以在开放的Internet上轻松地交换私有数据，而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低，更重要的是将服务质量也带给了用户。

    我国的IP网络安全研究起步晚、投入少、研究力量分散，与技术先进国家有较大的差距，特别是在系统安全和安全协议方面。目前，国内市场对信息安全的需求日益强烈，尤其是颇具规模的客户对网络安全的需求越来越紧迫，因此，需要加大力度，研发方便、安全和适合自己的VPN解决方案。近两年来，一些大中型企业已建立VPN网络，一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术，开发实用的VPN软件产品，提高全方位的VPN技术服务。

1 VPN技术简介

    1．1 IPSec VPN IPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准，用于保护lP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理，提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务，具有较好的安全一致性、共享性及应用范围。这是因为，口层可为上层协议无缝地提供安全保障，各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

    1．1．1 IPSec VPN的优点

    ①通用性好。IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议，这使得客户端至站点(client—to—site)、站点对站点(site—to—site)、客户端至客户端(client—to—client)连接所使用的技术是完全相同的。

    而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性，以确保数据没有被篡改；

    ②整合性好。IPSec VPN网关整合了网络防火墙的功能，还可与个人防火墙等其他安全功能一起销售。因此，可保证配置、预防病毒，并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性，确保运行在TCP／IP协议上的VPN之间的互操作性：

    ③透明性。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置，即使在终端系统中执行IPSec，应用程序一类的上层软件也不会受到影响。

    1．1．2 IPSec VPN的缺点

    ①IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序：

    ②IPSec VPN的连接性会受到网络地址转换的影响，或受网关代理设备的影响；

    ③IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置比较复杂。

    1．2 SSL VPN SSL协议的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议，它指定了在应用程序协议(如HTTP，Telnet和FIP等)和TCP／IP协议之间进行数据交换的安全机制，为TCP／IP连

    接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议，SSL使用公开密钥体制和数宇证书技术保护信息传输的机密性和完整性，但它不能保证信息的不可抵赖性。

    SSL VPN作为一种新的VPN技术，相对于传统的IPSec VPN等有其自身的技术特点。

    1．2．1 SSL VPN的主要优点：①客户端支撑维护简单；②良好的安全性；③提供更细粒度的访问控制；④能够穿越NAT和防火墙设备；⑤能够较好地抵御外部系统和病毒攻击；⑥网络部署灵活方便i⑦适用大多数设备。

    1．2．2 SSLVPN的主要缺点：①安全认证方式比较单一，只能够使用证书方式，而且一般是单向认证；②SSL VPN应用受到限制。一般都用于B／S模式，用户只能访问基于Web服务器的应用：③SSL VPN是应用层加密，性能相对来说可能会受到较大影响。

    1．3 MPLS VPN MPLS(multiprotocollabelswitch）是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起，加快了转发速度，而且，MPLS可以运行在任何链接层技术之上。

    MPLS VPN网络主要由CE(CustomEdgeRouter，用户网络边缘路由器)、PE(Provider Edge Router，骨干网边缘路由器)和P(Provider Router，骨干网核心路由器)等3部分组成：CE设备直接与服务提供商网络相连，它“感知”不到VPN的存在；PE设备与用户的CE直接相连，负责VPN业务接入，处理VPN—Ipv6路由，是MPLS三层VPN的主要实现者；P负责快速转发数据，不与CE直接相连。在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

    MPLS VPN构建在专用网络上，能够保证很好的服务质量，而且价格与传统专线在同一水平。IPSec／SSL VPN承载在公众互联网上，成本相对比较低，但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务，但是，如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。

    1．4内部网VPN构建方案,VPN系统的首要职责是保障安全，保障互联网数据传输安全的基本机制包括：身份认证、信息保密和信息完整。

    内部网VPN的设计须遵循以下原则：①保障安全；②参保证多平台兼容；③提供有效的访问控制；④有效的管理平台。

    MPLS VPN主要解决的是固定站点间的互联问题，一般不借助Internet来实现，服务质量和安全性的保障比较方便，适用于中大型客户的组网：而IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联，虽然在技术上来说，它们也可以部署在其它的网络上(如专线)，但那样就失去了其应用的灵活性，它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术，我们发现，作为SSL VPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问，使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护，因此应该提供一定的访问控制策略，让不同的用户有不同的访问权限。而SSL VPN较之于IPSec VPN的一个优势就在于，SSL VPN能够提供更细粒度的访问控制管理，即针对具体应用程序实施访问控制策略。SSL VPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面，方便用户的使用。

    虽然目前企业应用最广泛的是IPsec VPN，然而研究表明，在未来的几年中IPSec的市场份额将下降，而SSL VPN将逐渐上升。由于技术进步，用户更愿将应用外包给运营商来提供，或是自己选择部署成本低且应用方便的VPN。

    综上所述，内部网的构建方案如下：

    ①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPSec解决方案，而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。

    ②对于内部网络中，安全要求较高的局域网选择部署MPLSVPN来支持Sites to Sites间且具有Qos等级的VPN连接：而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。

    ③对于语音业务，可以利用VoIP技术使企业利用IP VPN来传送语音业务，允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器，通过使用服务类型宇段对语音和视频流量作标记，将其显示为IPSec报头的一部分发向网络，使其享有更高的优先级，这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIP VPN使企业不必为语音和数据分别建立网络，大大节省了开销。

    ④为更好得实现与IPSec协议的兼容，可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成，充分利用现有的基于IPsec协议的VPN系统的体系结构，来实现多播数据的安全传输，实现简单，结构灵活。

    基于VPN安全多播系统的安全多播网关中有一个网关充当多播组的控制器，一个网关充当多播组的备份控制器。组控制器对整个多播组的安全策略进行管理，备份控制器在主控制器失效时充当多播组的主控制器。多播报文在安全多播网关之间采用隧道进行传输。在多播安全网关和多播安全主机之间采用多播传输。基于VPN的安全多播系统提高了多播数据传输时的安全性和可靠性。

2小结

    本文讨论了IPSec VPN、SSL VPN以及MPLS VPN三者的优缺点，并设计了一种内部VPN网络的构建方案，既保证服务质量，又提高了性价比。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：基于VPN技术的内部网络构建

本文网址：http://www.toberp.com/html/consultation/1083945350.html