隨著Internet和信息化技術的發展,企業和個人在Internet上的交易日益頻繁,隨之而來的安全問題也日益突出。虛擬專用網就是利用不可靠的公用互聯網絡作為信息傳輸媒介,通過附加的安全隧道、用戶認證和訪問控制等技術,實現與專用網絡相類似的安全性能的一種專用網絡。

    近年來，寬帶接入的蓬勃發展帶動了VPN在寬帶網絡平臺上的各種應用飛速發展，反過來，VPN的應用又促進寬帶內容的不斷豐富。

    在國外網絡通信發達的圍家，VPN應用已經非常普及。國外的VPN技術發展較快，基于標準的虛擬專用網技術近年來己成為網絡界的新熱點，這是因為它有著無可比擬的優勢：通過整合幾種數據保護的方式，使用戶可以在開放的Internet上輕松地交換私有數據，而無需高昂的專用網絡及設備。它帶來的好處不僅是成本的降低，更重要的是將服務質量也帶給了用戶。

    我國的IP網絡安全研究起步晚、投入少、研究力量分散，與技術先進國家有較大的差距，特別是在系統安全和安全協議方面。目前，國內市場對信息安全的需求日益強烈，尤其是頗具規模的客戶對網絡安全的需求越來越緊迫，因此，需要加大力度，研發方便、安全和適合自己的VPN解決方案。近兩年來，一些大中型企業已建立VPN網絡，一些學校的校園網也正在嘗試使用VPN技術提供遠程連接服務。一些高校和公司也正在研究VPN技術，開發實用的VPN軟件產品，提高全方位的VPN技術服務。

1 VPN技術簡介

    1．1 IPSec VPN IPSec是由IETF(因特網工程任務組)于1998年11月公布的開放性IP安全標準，用于保護lP數據包或上層數據。IPSec在IP層上對數據包進行高強度的安全處理，提供訪問控制、數據源驗證、無連接數據完整性、數據機密性、抗重播和有限的通信流機密性等安全服務，具有較好的安全一致性、共享性及應用范圍。這是因為，口層可為上層協議無縫地提供安全保障，各種應用程序可以享用IP層提供的安全服務和密鑰管理，而不必設計和實現自己的安全機制，因此減少了密鑰協商的開銷，也降低了產生安全漏洞的可能性。

    1．1．1 IPSec VPN的優點

    ①通用性好。IPSec是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協議，并且IPSec定義了一套用于認證、保護私有性和完整性的標準協議，這使得客戶端至站點(client—to—site)、站點對站點(site—to—site)、客戶端至客戶端(client—to—client)連接所使用的技術是完全相同的。

    而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它檢查傳輸的數據包的完整性，以確保數據沒有被篡改；

    ②整合性好。IPSec VPN網關整合了網絡防火墻的功能，還可與個人防火墻等其他安全功能一起銷售。因此，可保證配置、預防病毒，并進行入侵檢測。并且IPSec可在多個防火墻和服務器之間提供安全性，確保運行在TCP／IP協議上的VPN之間的互操作性：

    ③透明性。IPSec在傳輸層之下，對于應用程序來說是透明的。當在路由器或防火墻上安裝IPSec時，無需更改用戶或服務器系統中的軟件設置，即使在終端系統中執行IPSec，應用程序一類的上層軟件也不會受到影響。

    1．1．2 IPSec VPN的缺點

    ①IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統均支持IPSec VPN的客戶端程序：

    ②IPSec VPN的連接性會受到網絡地址轉換的影響，或受網關代理設備的影響；

    ③IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置比較復雜。

    1．2 SSL VPN SSL協議的英文全稱是“Secure Sockets Layer”，中文名為“安全套接層協議層”。SSL協議是網景公司設計的基于Web應用的安全協議，它指定了在應用程序協議(如HTTP，Telnet和FIP等)和TCP／IP協議之間進行數據交換的安全機制，為TCP／IP連

    接提供數據加密、服務器認證以及可選的客戶機認證。作為應用層之下的協議，SSL使用公開密鑰體制和數宇證書技術保護信息傳輸的機密性和完整性，但它不能保證信息的不可抵賴性。

    SSL VPN作為一種新的VPN技術，相對于傳統的IPSec VPN等有其自身的技術特點。

    1．2．1 SSL VPN的主要優點：①客戶端支撐維護簡單；②良好的安全性；③提供更細粒度的訪問控制；④能夠穿越NAT和防火墻設備；⑤能夠較好地抵御外部系統和病毒攻擊；⑥網絡部署靈活方便i⑦適用大多數設備。

    1．2．2 SSLVPN的主要缺點：①安全認證方式比較單一，只能夠使用證書方式，而且一般是單向認證；②SSL VPN應用受到限制。一般都用于B／S模式，用戶只能訪問基于Web服務器的應用：③SSL VPN是應用層加密，性能相對來說可能會受到較大影響。

    1．3 MPLS VPN MPLS(multiprotocollabelswitch）是Internet核心多層交換計算的最新發展。MPLS將轉發部分的標記交換和控制部分的IP路由組合在一起，加快了轉發速度，而且，MPLS可以運行在任何鏈接層技術之上。

    MPLS VPN網絡主要由CE(CustomEdgeRouter，用戶網絡邊緣路由器)、PE(Provider Edge Router，骨干網邊緣路由器)和P(Provider Router，骨干網核心路由器)等3部分組成：CE設備直接與服務提供商網絡相連，它“感知”不到VPN的存在；PE設備與用戶的CE直接相連，負責VPN業務接入，處理VPN—Ipv6路由，是MPLS三層VPN的主要實現者；P負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。

    MPLS VPN構建在專用網絡上，能夠保證很好的服務質量，而且價格與傳統專線在同一水平。IPSec／SSL VPN承載在公眾互聯網上，成本相對比較低，但服務質量基本無法保證。服務供應商當然可以部署一種或者同時部署多種VPN架構來支持其新型增值服務，但是，如果能夠把各類VPN融合起來更可以獲得優勢互補所帶來的巨大利益。提供設計優良、運行正常和綜合性的VPN服務可以同時提升IPsec和MPLS的應用層次。

    1．4內部網VPN構建方案,VPN系統的首要職責是保障安全，保障互聯網數據傳輸安全的基本機制包括：身份認證、信息保密和信息完整。

    內部網VPN的設計須遵循以下原則：①保障安全；②參保證多平臺兼容；③提供有效的訪問控制；④有效的管理平臺。

    MPLS VPN主要解決的是固定站點間的互聯問題，一般不借助Internet來實現，服務質量和安全性的保障比較方便，適用于中大型客戶的組網：而IPSecVPN和SSL VPN主要解決的是基于互聯網的遠程接入和互聯，雖然在技術上來說，它們也可以部署在其它的網絡上(如專線)，但那樣就失去了其應用的靈活性，它們更適用于商業客戶等對價格特別敏感的客戶。比較前面的幾種VPN技術，我們發現，作為SSL VPN產品的一個重要指標就是要能夠作到在任何時間及任何地點進行訪問，使得移動辦公用戶能夠隨時隨地地保持聯網以及保證安全的網絡連接。內部網VPN系統為多種應用服務提供保護，因此應該提供一定的訪問控制策略，讓不同的用戶有不同的訪問權限。而SSL VPN較之于IPSec VPN的一個優勢就在于，SSL VPN能夠提供更細粒度的訪問控制管理，即針對具體應用程序實施訪問控制策略。SSL VPN服務器同時可以提供客戶方和服務器方友好而有效的管理配置界面，方便用戶的使用。

    雖然目前企業應用最廣泛的是IPsec VPN，然而研究表明，在未來的幾年中IPSec的市場份額將下降，而SSL VPN將逐漸上升。由于技術進步，用戶更愿將應用外包給運營商來提供，或是自己選擇部署成本低且應用方便的VPN。

    綜上所述，內部網的構建方案如下：

    ①對于那些需要較高認證和私密性、而對服務質量要求不高的數據流采用IPSec解決方案，而對網絡的帶寬和服務質量(QoS)要求較高的需求則采用MPLS解決方案。

    ②對于內部網絡中，安全要求較高的局域網選擇部署MPLSVPN來支持Sites to Sites間且具有Qos等級的VPN連接：而對于內部網絡中涉密級別較低的可以選擇SSL這類部署簡單、維護成本低、使用方便的VPN。

    ③對于語音業務，可以利用VoIP技術使企業利用IP VPN來傳送語音業務，允許語音傳送就像一種數據業務一樣通過IP網絡。基于VPN路由器，通過使用服務類型宇段對語音和視頻流量作標記，將其顯示為IPSec報頭的一部分發向網絡，使其享有更高的優先級，這樣企業可利用IP電話建立起自己的遠程家庭辦公網絡系統。VoIP VPN使企業不必為語音和數據分別建立網絡，大大節省了開銷。

    ④為更好得實現與IPSec協議的兼容，可以采用基于VPN的安全多播技術。它由安全多播網關和安全多播主機組成，充分利用現有的基于IPsec協議的VPN系統的體系結構，來實現多播數據的安全傳輸，實現簡單，結構靈活。

    基于VPN安全多播系統的安全多播網關中有一個網關充當多播組的控制器，一個網關充當多播組的備份控制器。組控制器對整個多播組的安全策略進行管理，備份控制器在主控制器失效時充當多播組的主控制器。多播報文在安全多播網關之間采用隧道進行傳輸。在多播安全網關和多播安全主機之間采用多播傳輸。基于VPN的安全多播系統提高了多播數據傳輸時的安全性和可靠性。

2小結

    本文討論了IPSec VPN、SSL VPN以及MPLS VPN三者的優缺點，并設計了一種內部VPN網絡的構建方案，既保證服務質量，又提高了性價比。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于VPN技術的內部網絡構建

本文網址：http://www.guhuozai8.cn/html/consultation/1083945350.html