1.前言
随着网络,尤其是网络经济的发展,企业日益扩张,各种应用系统与企业的正常运行日益结合的日益紧密,尤其是ERP和MES系统的广泛推广,客户分布日益广泛,关键用户频繁出差,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,即灵活性、安全性、经济性、扩展性等。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。
2.VPN技术探讨
1.1 VPN定义
利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。
企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点),即可相互通信。虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源; 如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
1.2 VPN的类型
VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(ExtranetVPN)
这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
1.3 隧道技术
对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。
现有两种类型的隧道协议:一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建Access VPN和Extranet VPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建Intranet VPN和Extranet VPN。
1.3.1二层隧道协议
二层隧道协议主要有三种:PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、L2F(Layer 2 Forwarding,二层转发协议)和L2TP(Layer 2 Tunneling Protocol,二层隧道协议)。其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN二层隧道协议。
1.3.2 三层隧道协议
用于传输三层网络协议的隧道协议叫三层隧道协议,基于三层隧道协议构建的隧道内只携带第三层报文。现有的三层隧道协议主要包括:通用路由封装协议GRE(Generic Routing Encapsulation)、IPSec(IP Security),其中IPSec不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等协议。IPsec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPsec可以确保包括远程登录,电子邮件,文件传输及WEB访同在内多种应用程序的安全。
2 基本建设思路
在VPN接入网的建设过程中,需要从以下几个方面来考虑:
支持客户端各种接入手段及动态IP地址;企业总部采用固定IP地址,分支机构可以选择ADSL或者FE专线接入Internet。
网络拓扑类型以Hub-Spoke为主,Partial-Mash方式下客户端互访流量通过Server转发,此时流量不超过20%,否则会加重Server负担,这种情况下,路由的设计是重点关注的问题。
IP SEC提供在IP层的加密认证等安全服务。
IKE协商可以采用预共享密钥的方式,也可以采用CA认证的方式进行。
网络的部署监控配置维护采用VPN MANAGER和BIMS配合进行。
2.1 组网方案
VPN接入网关子系统部署:在总部局域网Internet边界防火墙后面配置一台专用的高性能的VPN网关,在分支机构Internet边界防火墙后面配置一台专用VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输。VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。根据其业务的需求,有必要的话,可以在分支节点用设备进行冷备份。
H3C secpath系列VPN网关强大的VPN处理性能,高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量,百兆VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量;
2.2 IPSec VPN方式
(1)组网特点:
VPN客户端设备相对来说比较简单。
(2)部署要点
VPN客户端可以使用动态地址接入服务器,但为了防止客户端IPSec配置泄露造成的安全隐患,建议VPN客户端口采用静态地址。同时,这样也便于使用VPN Manager的配置管理功能。
(3)方案特点
组网简单,易于部署;
由于IPSec不能承载路由协议,需要在分支结构和园区网配置大量的静态路由。
单纯的IPSec封装,对于带宽资源消耗较小;
2.3 移动用户IPSec VPN接入方式
(1)组网特点
移动用户灵活接入,安全认证、数据保护。
(2)部署要点
通过客户端软件iNode多链路形式接入企业内部VPN
使用L2TP+IPSEC完成用户身份认证和报文加密
认证方式可以采用Sec key
IKE协商使用预共享密钥的方式进行
对于L2TP用户认证计费采用远端Radius(CAMS)进行
VPN服务器侧可以考虑使用单台设备,也可以考虑使用双VPN服务器备份
(3)方案特点
灵活、安全
3.结论
IPSECVPN在企业局域网中的成功应用,充分发挥了VPN技术的优势,在很大程度上提高了网络的可扩展性和可用性,为我们企业的业务平台,做了有力的保障。但是,拥有良好的硬件和软件环境还远远不够,高质量的日常运维保障仍然是必不可少的。只有将两者有机的结合到一起,才能保证公司信息系统长期、可靠的运行。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:VPN技术在企业组网中的应用研究