VPN技术在纺织工业园部署及应用.docVIP

VPN技术在纺织工业园部署及应用 　　【摘要】天津高新纺织工业园是天津市政府重点工业改造项目，整体网络已覆盖全园区。为了支持移动办公的需求，并将外埠销售网点网络接入工业园网络，共享数据中心的生产监控、财务、办公软件等资源，必须利用VPN数据加密技术组网。主要讲述了VPN技术的概述、园区网拓扑结构和IPsec的基本配置和具体应用。 　　【关键词】VPN；网络安全；远程接入；加密技术 　　1项目实施背景 　　天津高新纺织工业园项目是国家发改委重点支持的项目，是天津市政府重点工业改造项目，工业园在天津港保税区空港经济区占地1.74平方公里、投资46.5亿元。天津高新纺织工业园整体信息化投资3800万元，已经完成纺织工业园整体的数据网络覆盖、建设纺织工业园数据中心及生产监控、财务、办公软件等平台。园区基础网络平台的建设遵循统一网络设计、统一网络施工、统一数据托管、统一对外连接、统一网络安全管理和统一网络维护的原则。园区在全国各地有若干销售网点，各个销售网点需要共享园区中心机房各软件平台的资源，达到统一管理的目的。根据园区的实际需求，利用现阶段较为成熟的VPN数据加密技术可以实现将不在同一地区的局域网与园区中心机房相连接，再利用一些边界设备的安全策略保证数据安全性。 　　2 VPN概述 　　2.1 VPN的基本概念和特点 　　虚拟专用网络（Virtual Private Network ，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM（异步传输模式）、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 　　VPN主要特点有：一是安全保障。VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。二是服务质量保证。VPN可以为不同要求提供不同等级的服务质量保证。 三是可扩充、灵活性。VPN支持通过Internet和Extranet的任何类型的数据流。 四是可管理性。VPN可以从用户和运营商角度方便进行管理。 　　2.2 VPN的相关技术及使用协议 　　（1）隧道技术。实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。 　　（2）认证技术。认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。 　　（3）加密技术。在企业之间的信息传递方面，数据的安全可靠的传输对于企业来说是一项非常重要的工作，因此采用VPN技术的网路构造不仅能够使得这个棘手的问题得到很好地解决，而且还能使得企业的数据加密更加的安全可靠。 　　（4）隧道协议。隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。 　　①PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE（通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。 　　②L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。 　　③IPSec协议：是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。 　　④Qos技术。将隧道技术和加密技术联合在一起就能建立起一个具备企业要求的VPN，并且这样建立的VPN还有以下几个优点：可操作性强、安全系数较高、数据传输速率快、费用成本较低等。然而这样构建的VPN在性能上不太稳定，很难满足企业在管理层面上的要求，针对这种方式构建的VPN的