VPN技术在企业网络中应用.docVIP

VPN技术在企业网络中应用摘 要:企业为了提升管理水平，加强信息沟通，提高运营效率，适应日益激烈的市场竞争和信息化发展，必须要建立一个高效稳定、覆盖面广、安全可靠的企业专用网络，使得企业内部、各子公司、分支机构及合作伙伴之间能实现信息的快速传递及数据的交换和共享。传统企业专用网络的组建一般是租用或自建专用传输线路，其建设及后期的维护、管理费用高昂。而VPN技术的出现，使得企业能根据自己的实际需求，以较低的成本和技术门槛，方便、快捷、灵活地组建属于自己的VPN虚拟专用网络。本文将对VPN技术的原理，其所具有的优势及在企业网络中的应用进行论述。 关键词:VPN技术；企业网络；VPN应用 中图分类号：TM711 文献标识码：A 1 VPN简介 VPN (Virtual Private Network，即虚拟专用网络)指的是在公用网络上建立专用网络的技术。它是以公用网络为基础建立的一个稳定、临时、安全的信息连接通道。其之所以“虚拟”，是因为整个VPN网络的任意两个节点之间的连接是动态的，是架构在公共网络平台上，并没有传统专网所需的端到端的物理链路，用户的数据只是在逻辑链路中进行传输。“专用”则是指VPN是通过加密与识别两个组件来实现连接。加密通过变换信息实体，达到隐藏原有信息含义、保证信息安全的目的；识别则是对节点或者节点进行标识的过程，它在通过公共网络平台进行传输前就已经完成。 2 VPN 技术原理 VPN主要采用了隧道技术、加解密技术和认证技术。 2.1 隧道技术 隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载，封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。隧道由隧道协议形成，可分为第二层和第三层协议。第二层隧道协议将数据包封装到PPP中，然后将整个数据包装入隧道协议中在隧道中传输，第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议将数据包直接封装到隧道协议中，形成的数据包通过第三层协议传输，第三层隧道协议有VTP、IPSec等。其中IPSec隧道协议得到了广泛的应用，IPSec有两种工作模式，运输模式和隧道模式。 运输模式(Transport):在该模式中，仅利用传输层数据来计算AH或ESP首部。AH或ESP首部以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间或一台主机和一个安全网关之间的通信。 隧道模式(Tunnel):在该模式中，利用整个IP数据包来计算AH或ESP首部，AH或ESP首部以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通信。 2.2　加解密技术 VPN是在不安全的公用网络中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要，为了保证数据通信的机密性，VPN必须采用成熟的加解密技术来实现数据的安全传输。IPSec的ESP协议采用56位的DES算法实现加密传输，并使用ISAKMP密钥交换协商机制来完成加密和解密密钥的交换。 2.3　认证技术 认证技术防止数据的伪造和被篡改，它采用一种被称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文，即摘要。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。IPSec定义了两个协议，鉴别首部(AH)协议和封装安全有效载荷(ESP)协议，这两个协议完成数据的完整性、消息源的鉴别和数据加密功能。①AH协议。AH协议被设计用来鉴别源主机，以确保IP分组所携带的有效载荷的完整性。AH采用散列算法和对称密钥来计算报文摘要，并根据IPSec的运输方式插入到相应位置，AH可以实现数据的完整性、数据源的真实性，但不提供数据的保密传输功能。②ESP协议。ESP(封装安全有效载荷)协议提供报文鉴别、完整性和加密功能，ESP增加首部和尾部，并根据IPSec的工作模式插入到相应的位置。③ESP协议是在AH协议的基础上而设计的，ESP协议能完成AH所做的所有功能，但增加了加密机制。因此ESP协议与AH协议相比，ESP协议具有优越性。 3　VPN在企业网络中的应用 VPN在企业网络中的应用主要有以下三种形式： 3.1　企业内部虚拟网络（即Intranet VPN） 企业内部虚拟网络主要适用于处于异地的企业总部及子公司、分支机构的网络互联，传统的互联方式主要是通过租用网络运营商的专线进行连接，但是如果企业的分支机构不断增多，地理位置越来越广，则网络的结构将会越来越复杂，相关联网的费用也会不断增加。企业在内部虚拟网络建设的过程中，可以使用VPN技术，采用网关到网关