1.前言
隨著網(wǎng)絡,尤其是網(wǎng)絡經(jīng)濟的發(fā)展,企業(yè)日益擴張,各種應用系統(tǒng)與企業(yè)的正常運行日益結合的日益緊密,尤其是ERP和MES系統(tǒng)的廣泛推廣,客戶分布日益廣泛,關鍵用戶頻繁出差,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷:傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡建設提出了更高的需求,即靈活性、安全性、經(jīng)濟性、擴展性等。在這樣的背景下,VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞,令企業(yè)可以較少地關注網(wǎng)絡的運行與維護,而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。
2.VPN技術探討
1.1 VPN定義
利用公共網(wǎng)絡來構建的私人專用網(wǎng)絡稱為虛擬私有網(wǎng)絡(VPN,Virtual Private Network),用于構建VPN的公共網(wǎng)絡包括Internet、幀中繼、ATM等。在公共網(wǎng)絡上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡一樣提供安全性、可靠性和可管理性等。“虛擬”的概念是相對傳統(tǒng)私有網(wǎng)絡的構建方式而言的。對于廣域網(wǎng)連接,傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的,而VPN是利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)遠程的廣域連接。通過VPN,企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴。
企業(yè)內部資源享用者只需連入本地ISP的POP(Point Of Presence,接入服務提供點),即可相互通信。虛擬網(wǎng)組成后,出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權限就可以訪問企業(yè)內部資源; 如果接入服務器的用戶身份認證服務器支持漫游的話,甚至不必擁有本地ISP的上網(wǎng)權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPN服務所需的設備很少,只需在資源共享處放置一臺VPN服務器就可以了。
1.2 VPN的類型
VPN分為三種類型:遠程訪問虛擬網(wǎng)(Access VPN)、企業(yè)內部虛擬網(wǎng)(Intranet VPN)和企業(yè)擴展虛擬網(wǎng)(ExtranetVPN)
這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內部的Intranet以及企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的Extranet相對應。
1.3 隧道技術
對于構建VPN來說,網(wǎng)絡隧道(Tunneling)技術是個關鍵技術。網(wǎng)絡隧道技術指的是利用一種網(wǎng)絡協(xié)議來傳輸另一種網(wǎng)絡協(xié)議,它主要利用網(wǎng)絡隧道協(xié)議來實現(xiàn)這種功能。網(wǎng)絡隧道技術涉及了三種網(wǎng)絡協(xié)議,網(wǎng)絡隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。
現(xiàn)有兩種類型的隧道協(xié)議:一種是二層隧道協(xié)議,用于傳輸二層網(wǎng)絡協(xié)議,它主要應用于構建Access VPN和Extranet VPN;另一種是三層隧道協(xié)議,用于傳輸三層網(wǎng)絡協(xié)議,它主要應用于構建Intranet VPN和Extranet VPN。
1.3.1二層隧道協(xié)議
二層隧道協(xié)議主要有三種:PPTP(Point to Point Tunneling Protocol,點對點隧道協(xié)議)、L2F(Layer 2 Forwarding,二層轉發(fā)協(xié)議)和L2TP(Layer 2 Tunneling Protocol,二層隧道協(xié)議)。其中L2TP結合了前兩個協(xié)議的優(yōu)點,具有更優(yōu)越的特性,得到了越來越多的組織和公司的支持,將是使用最廣泛的VPN二層隧道協(xié)議。
1.3.2 三層隧道協(xié)議
用于傳輸三層網(wǎng)絡協(xié)議的隧道協(xié)議叫三層隧道協(xié)議,基于三層隧道協(xié)議構建的隧道內只攜帶第三層報文。現(xiàn)有的三層隧道協(xié)議主要包括:通用路由封裝協(xié)議GRE(Generic Routing Encapsulation)、IPSec(IP Security),其中IPSec不是一個單獨的協(xié)議,它給出了IP網(wǎng)絡上數(shù)據(jù)安全的一整套體系結構,包括AH(Authentication Header)、ESP(Encapsulating Security Payload)、IKE(Internet Key Exchange)等協(xié)議。IPsec的主要特征在于它可以對所有IP級的通信進行加密和認證,正是這一點才使IPsec可以確保包括遠程登錄,電子郵件,文件傳輸及WEB訪同在內多種應用程序的安全。
2 基本建設思路
在VPN接入網(wǎng)的建設過程中,需要從以下幾個方面來考慮:
支持客戶端各種接入手段及動態(tài)IP地址;企業(yè)總部采用固定IP地址,分支機構可以選擇ADSL或者FE專線接入Internet。
網(wǎng)絡拓撲類型以Hub-Spoke為主,Partial-Mash方式下客戶端互訪流量通過Server轉發(fā),此時流量不超過20%,否則會加重Server負擔,這種情況下,路由的設計是重點關注的問題。
IP SEC提供在IP層的加密認證等安全服務。
IKE協(xié)商可以采用預共享密鑰的方式,也可以采用CA認證的方式進行。
網(wǎng)絡的部署監(jiān)控配置維護采用VPN MANAGER和BIMS配合進行。
2.1 組網(wǎng)方案
VPN接入網(wǎng)關子系統(tǒng)部署:在總部局域網(wǎng)Internet邊界防火墻后面配置一臺專用的高性能的VPN網(wǎng)關,在分支機構Internet邊界防火墻后面配置一臺專用VPN網(wǎng)關,由此兩端的VPN網(wǎng)關建立IPSec VPN隧道,進行數(shù)據(jù)封裝、加密和傳輸。VPN客戶端設備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網(wǎng)關建立VPN鏈接。根據(jù)其業(yè)務的需求,有必要的話,可以在分支節(jié)點用設備進行冷備份。
H3C secpath系列VPN網(wǎng)關強大的VPN處理性能,高端專用VPN網(wǎng)關通過專業(yè)的硬件加密處理器可以提供標準加密算法下350Mbps以上的加密吞吐量,百兆VPN網(wǎng)關通過專業(yè)的硬件加密處理器可以提供標準加密算法下60Mbps以上的加密吞吐量;
2.2 IPSec VPN方式
(1)組網(wǎng)特點:
VPN客戶端設備相對來說比較簡單。
(2)部署要點
VPN客戶端可以使用動態(tài)地址接入服務器,但為了防止客戶端IPSec配置泄露造成的安全隱患,建議VPN客戶端口采用靜態(tài)地址。同時,這樣也便于使用VPN Manager的配置管理功能。
(3)方案特點
組網(wǎng)簡單,易于部署;
由于IPSec不能承載路由協(xié)議,需要在分支結構和園區(qū)網(wǎng)配置大量的靜態(tài)路由。
單純的IPSec封裝,對于帶寬資源消耗較小;
2.3 移動用戶IPSec VPN接入方式
(1)組網(wǎng)特點
移動用戶靈活接入,安全認證、數(shù)據(jù)保護。
(2)部署要點
通過客戶端軟件iNode多鏈路形式接入企業(yè)內部VPN
使用L2TP+IPSEC完成用戶身份認證和報文加密
認證方式可以采用Sec key
IKE協(xié)商使用預共享密鑰的方式進行
對于L2TP用戶認證計費采用遠端Radius(CAMS)進行
VPN服務器側可以考慮使用單臺設備,也可以考慮使用雙VPN服務器備份
(3)方案特點
靈活、安全
3.結論
IPSECVPN在企業(yè)局域網(wǎng)中的成功應用,充分發(fā)揮了VPN技術的優(yōu)勢,在很大程度上提高了網(wǎng)絡的可擴展性和可用性,為我們企業(yè)的業(yè)務平臺,做了有力的保障。但是,擁有良好的硬件和軟件環(huán)境還遠遠不夠,高質量的日常運維保障仍然是必不可少的。只有將兩者有機的結合到一起,才能保證公司信息系統(tǒng)長期、可靠的運行。
轉載請注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文標題:VPN技術在企業(yè)組網(wǎng)中的應用研究
本文網(wǎng)址:http://m.lukmueng.com/html/support/1112154269.html
相關文章
