VPN技术在企业专网建设中应用研究.docVIP

VPN技术在企业专网建设中应用研究 　　【摘 要】考虑企业专网建设中接入互联网需求和安全顾虑因素，对比SSL VPN、IPSEC、MPLS VPN的技术特点，从网络安全、服务质量、使用便捷性、应用扩展及经济型等方面分析各自特点。最后根据企业通常通过互联网接入的场景，按照企业自建和企业租赁的方式，提供2种不同的VPN接入方案，以适应企业的不同接入需求。 　　【关键词】虚拟专网 隧道加密 标签交换 安全套接层协议 　　1 引言 　　随着办公自动化、信息化的需求日益迫切，企业均着手建设自己的集中信息化平台，通过网络办公、远程办公实现工作的无纸化、流程化、规范化、服务便捷化和成本低廉化。企业仅靠内部局域网已无法满足灵活接入方式的需求，比如对于分支机构多或办公地点分散的企业，可以通过互联网、移动网等公众网络远程接入公司集中信息平台完成异地办公、移动办公的需求。由此，公司内部信息平台将暴露在公网上，也带来了网络信息安全和网络安全的问题。尤其是网络安全，想要在互联网上满足用户的类似专网性能需求，就需要通过在互联网上开通不同的VPN隧道来实现。VPN隧道技术，按照隧道协议工作的OSI层级的不同，有不同的分类。本文从对比不同VPN技术入手，讨论企业虚拟专网建设中如何选择VPN技术的问题。 　　2 企业专网建设现状 　　在企业内部各局域网互联的建设中，由于专线自建和专线租用的高额成本限制，一般都是通过租用互联网带宽的方式实现。同时为保证企业内部信息安全，采用VPN技术使各个孤立的局域网互通，实现大局域网的概念，实现集中设置一套数据库、管理平台、应用系统共享给企业各地局域网用户和管理各局域网内用户和业务。在建设虚拟专网时，企业网络现状一般都会存在如下的问题： 　　◆网络接入方式简单：为降低费用，多采用家庭宽带方式，企业端网关多采用动态IP地址，没有固定IP地址，VPN建立的条件不具备。 　　◆资金投入少：一般以实现网络可达为主要目的进行设备选型，选择的设备低端，在网络无故障时，一般很少追加投资进行网络改造建设。 　　◆缺乏维护手段：企业IT人员一般仅做局域网内IP地址分配、操作系统维护、杀毒等常规工作，对于互联网、广域网无法自主维护。 　　◆缺少建设部署经验：企业的网络一般作为正常运营的支撑，较少会主动跟踪技术发展。在有建设改造需求时，无相关经验进行选择对比。 　　在这样的背景下，本文基于互联网VPN技术，对企业虚拟专网建设进行建设应用方案研究，为企业建立跨地域的大局域网。通过互联网VPN技术来实现，既可以以网络安全设置避免企业信息的泄露，同时减少了企业技术难题、建设难度和资金压力。 　　3 VPN技术分类 　　按照不同VPN技术的协议在OSI七层模型中的层次，分为SSL VAN、Sock5、IPSec VPN、PPTP及L2TP等。VPN技术分类如表1所示。 　　按照VPN的实现主体的不同，可分为由电信运营商负责提供的MPLS VPN、直接由用户自己完成的PPTP/L2TP/IPSec VPN，以及基于浏览器方式的SSL VPN。 　　考虑到PPTP及L2TP是基于链路层的协议，需要在隧道的两端设置L2TP专用服务器，由于在公共互联网上应用存在不足，本文不展开分析。对于常见的VPN技术，分析如下： 　　◆IPSec 　　IPSec是网络侧的VPN技术，在终端网络节点之间建立直连隧道，并对传送的数据进行加密和加密后封装，同时支持ACL限制、数据校验验证、数据准确性和可靠性验证等服务。IPSec加密后的数据包为IP数据包，独立于应用层，因此安全服务对OSI上层协议是透明的。 　　IPSec VPN是在Internet上最常见的方法，主要是针对用户不同局域网之间的互联，对在安全上有加密需求的主要使用IPSec的协议。 　　◆SSL VPN 　　SSL协议工作在OSI的应用层，通过SSL连接进行数据传输，是一种在Internet上保证发送信息安全的通信协议。通过在各种应用层协议和TCP/IP协议之间建立可靠的传输协议，为应用层业务提供数据封装和加密交换，为网络连接提供安全认证机制，实现用户使用远程终端访问公司内部服务区，对内部数据进行读写操作。 　　◆MPLS VPN 　　MPLS VPN综合了router、switch在路由和交换上的特点，工作在网络层和链路层，采用标签进行数据转发，当分组进入MPLS网络时，在IP标上其分配固定长度的短标签，将标记与分组封装在一起，用标签代替IP包头的作用，在网络上进行转发。在MPLS网络内部的转发路径上，数据包均通过交换标签来实现转发。在数据包离开MPLS网络时，在MPLS边缘节点对数据包解封，再按照IP包的路由方式到达目的地。 　　4 企业虚拟专网建设中VPN技术的对