基于VPN技术的内部网络构建分析.docVIP

基于VPN技术的内部网络构建分析 [摘 要]当今社会是一个信息技术高度发达的时代，以网络技术为代表的信息技术也已成为主导社会生产力发展的关键因素。而在企业的经营发展中，如何利用网络信息技术，为企业的长效发展壮大服务，也成为目前企业所面临的重点问题。文章介绍了利用VPN技术构建企业内部网络的技术基础与安全要素，并结合几种VPN技术设计了一种内部网络的构建方案，以供相关人员参考。 [关键词]VPN技术；MPLS VPN技术；内部网络；构建策略 中图分类号：TP393.1 文献标识码：A 文章编号：1009-914X（2015）06-0089-02 引言 VPN技术又称远程访问技术或虚拟专用网络技术，主要是指利用公用网络架设专用网络，进行加密通讯的一种技术。VPN技术按照协议可分类为多种方式，并通过服务器、硬件、软件等来实现。由于VPN技术具有的经济性、实用性、简单性等特点，使其在企业网络中的应用十分广泛。 1.VPN技术的概述 VPN技术被定义为通过一个公用网络，建立起一个安全、临时的连接，该技术是对企业内部网的扩展，其可以帮助异地用户、商业伙伴、供应商、公司分支机构同公司的内部网建立起可信的安全连接，保证数据的安全传输。VPN技术主要的优点体现在三方面：一，VPN技术可以省去专线租用费用或长距离电话费用，进而有效地降低了成本；二，VPN技术可以充分地利用internet公网资源，快速地建立起公司的广域连接；三，VPN技术可以对所有数据进行加密，以此确保数据信息的安全性与保密性，使没有访问权利的用户无法看到企业的局域网络。 2.VPN技术构建企业内部网络的技术基础与安全要素 2.1 VPN技术基础 实现一个完整、系统的VPN技术，主要基础技术包括密码技术、隧道技术、网络访问控制技术等。⑴密码技术。密码技术作为VPN技术中的一项基本技术，也是所有通信数据安全的基石，是保证信息机密性的唯一方法。通过对网络的加密，防止非授权用户的搭线窃听以及入网行为，有效对抗恶意软件，最终起到以最小代价提供最强安全保护的效果。密码技术又可根据算法分为非对称密钥密码算法与对称密钥密码算法两种，在应用中根据实际情况选择最适宜的一种。 ⑵隧道技术。受到Internet网络中IP地址资源短缺的影响，企业内部网络使用多属于私有IP地址，但是从这些地址发出的数据包却不能直接通过Internet传输，必须代之合法的IP地址。而隧道技术便是将这种私有IP地址转换成为合法IP地址的技术。隧道技术又称之为数据包封装技术，发生在VPN的发送节点，通过将原数据包打包，添加合法的外层IP包头，然后这个包再通过公网被传送到接收端的VPN节点，该节点在接收后通过拆包处理，还原出原报文中传输给目标主机。从现状来看，几乎所有的VPN技术采用了隧道技术[1]。 ⑶网络访问控制技术。网络访问控制技术主要起到对出入广域网的数据包进行过滤的作用，一个系统的VPN产品，应该同时提供完整的网络访问控制功能，才能保证系统的性能、安全性以及统一管理。 2.2 VPN技术的安全要素 采用VPN技术构建企业内部网络时，应该具备如下几点安全要素：一，使用偷听者无法破解拦截的通道数据，提供有效的加密手段，保证系统通道的安全性与机密性；二，VPN技术要有抵抗不法分子篡改数据的功能，接收到的数据必须要与发送时的数据一致，必须保证数据的完整性与有效性；三，通信主机必须经过授权，要有抵抗地址假冒的功能，确保数据的真实性；四，可提供安全、有效的访问控制与防护措施，可以对VPN通道进行访问控制，同时也起到抵抗黑客通过VPN通道攻击网络的能力。 3.基于VPN技术的内部网络构建 文章以西北空管局为例，分析在H3C路由器应用下，基于VPN技术的内部网络构建对策。 3.1 VPN基本组网应用 就以某企业为例，基于VPN建立的企业内部网见图1所示： 上述可见，企业内部资源享用者利用PSTN/ISDN网或局域网连入本地ISP的POP服务器，以此来访问到公司内部资源。 3.2 L2TP协议配置 ⑴VPDN指通过PSTN、ISDN等公共网络的拨号功能及接入网，实现虚拟专用网，为企业提供接入服务。VPDN主要有两种实现方式，包括：NAS通过隧道协议与VPDN网关建立通道的方式、客户机与VPDN网关建立隧道的方式。而VPDN隧道协议又分为L2F、L2TP、PPTP三种，由于L2TP协义所具有的多协议传输、高度的安全性与可靠性、灵活的身份验证、支持内部地址分配、网络计费的灵活性等特点，使得该协议的应用最为普遍。L2TP隧道模式有两种最为典型：1.由远程拨号用户发起。远程系统和PSTN/ISDN拨入LAC，LAC通过Internet向LNS发起建立通道连接的请求；2.由LAC客户发起。LAC客户也可直接向LNS发起通道连接请求，由LNS来完成