浅谈利用VPN网关实现与域外单位内网互连-辽宁铁法能源有限责任公司.DOCVIP

PAGE PAGE 5 浅谈利用VPN网关实现与域外单位内网互连 大数据公司 杨 光 摘 要 铁法能源公司在企业不断发展扩张的同时，总部与域外分支机构的联系也日趋紧密，内网业务不断增多，人事管理、财务管理、煤炭销售、视频会议，远程监控等都需要与总部有安全便捷的内部网络通讯。结合企业目前网络发展现状，改变现有远程访问VPN的连接方式，采用VPN网关至网关的连接方式，使总部网络与域外各单位网络耦合为一个完整的内部网络，域外各单位网络终端设备无需单独登录，通过VPN网关就可以安全的连接到总部内网，共享到总部的服务资源，开展内网业务，从而实现企业总部与域外各单位的内网互连，强化总部与域外的网络关系。 关键词 VPN 网关 虚拟专用网络 内网互连 1 VPN技术原理 VPN（Virtual Private Network）是指利用公共网络来构建的私有网络，一般称为虚拟专用网络。它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术，用于VPN的公共网络包括INTERNET、帧中继网、ATM等，从使用者来看，VPN提供一般专用网所具有的功能，保证同现有私有网络一样安全、可靠，并易于管理，但它不是一个独立的物理网络，是公用网的一部分，是一种逻辑上的专用网络。 实现VPN并保障VPN业务顺利实施的技术主要包括：隧道技术、安全技术、虚拟路由技术、管理配置等。 隧道技术指的是利用一种网络协议来传输另一种网络协议。网络隧道技术设计了三种网络协议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议，目前有两种类型的隧道协议： 二层隧道协议：用于传输二层网络协议（如PPP）.L2TP是一个典型的二层隧道协议，用于承载PPP协议，可以支持内部地址分配及身份验证等功能。 三层隧道协议：用于传输三层网络协议（如IP\IPX）.常用的三层隧道协议包括IPSEC\GRE.其中GRE是一个最简单的三层隧道协议，是一种基本的封装形式。IPSEC除了能对数据进行安全保护外，也可作为隧道使用。 应用层隧道协议：SSL VPN是用另外一种不同的方法在公用网络上传输私有数据。但不是依靠终端用户在公司笔记本上配置客户端，SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有，不用额外的软件实现。使用SSL VPN，在移动用户和内部资源之间的连接通过应用层的Web连接实现，而不是像IPSec VPN在网络层开放的“通道”。 根据网络设备连接方式，VPN主要有2种应用形式：一者远程访问；二者网关连接。 1.1 远程访问VPN（远程访问虚拟专网） 如图1所示，通过远程访问VPN，远端用户不再如传统的远程网络访问那样，通过长途电话拨号到公司远程接入端口，而是拨号接入用户本地的ISP，利用VPN系统在公众网上建立一个从客户端到网关的安全传输隧道，示例如下图。远程主机通过在本机上运行的VRC客户端软件，与公司内部网网关建立VPN隧道，实现安全通信。 图1 远程访问VPN 远程访问虚拟专网这种方式特别适用于公司内部经常有流动人员远程办公的情况，出差员工只需拨号接入本地ISP，就可以和公司的VPN网关建立私有的隧道连接，认证服务器将对接入员工进行验证和授权。这种方式在保证连接安全性的同时，可大大降低整体接入的成本负担。 1.2 VPN网关连接 网关(Gateway)又称网间连接器、协议转换器。VPN网关特指具有虚拟专用网络的网间连接设备。 对于存在多个分支机构的政府及企事业单位或组织，建立各机构之间安全通信的传统方法是租用一条专用的私有线路。这种传统方法在实际操作中并不能真正地保护网络通信的安全性和可用性。 图2 VPN网关连接 网关到网关VPN可以实现异地分支机构的局域网的安全互连。利用Internet的线路保证网络的互连，并利用VPN的安全隧道、加密等特性可以保证信息在公司各机构局域网的网关之间安全传输。网关到网关VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性，如图2所示。 2 采用VPN的好处 VPN的特性包括以下几方面： ? 可用性：安全系统必须能够满足用户正常的上网需求，同时对安全数据提供各种安全保障。得到授权的用户在需要时可以访问数据，而对非法用户和攻击者则无法访问。 ? 机密性：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。通过使用一定的密码算法，采用IPSEC的ESP协议对明文信息进行加密处理，可有效