企業網絡設備管理解決方案ＶＰＮ應用

摘要:隨著Internet和電子商務的蓬勃發展，越來越多的企業認識到，基于Internet的商務應用將成為21世紀商務活動的重要形式。在VPN(虛擬專用網絡)出現以后，建立安全，高效，成本低廉的專用網絡不再是大型企業的專利。VPN以其先進的數據傳輸技術和數據加密技術，得到了越來越多的用戶的青睞。VPN技術已經成為當前最熱門的網絡技術之一。

關鍵詞:VPN技術;IPSEC協議;加密

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)15-4075-02

The Solution for the Network Device Management of Enterprises

WU Jun-xiong

(XingZhi academy，NanJing XiaoZhuang college，Nanjing 210012，China)

Abstract: With the Internet and e-commerce to flourish，more and more enterprises recognize that Internet-based business applications will become the 21st century an important form of business activities.In the VPN (Virtual Private Network) occurred，the establishment of safe，efficient，low-cost private networks of large enterprises is no longer patent.VPN for its advanced data transmission technology and data encryption technology，is gaining more and more customers. VPN technology has become the most popular one of network technology.

Key words:VPN;IPSEC Protocol;Data Encryption

隨著商務活動的日益頻繁，各企業開始允許其生意伙伴也能夠訪問本企業的局域網，從而大大簡化信息交流的途徑，增加信息交換速度，但是各企業發現，這樣的信息交流不但帶來了網絡的復雜性，還帶來了管理和安全性的問題，因為Internet是一個全球性和開放性的、基于TCP/IP 技術的、不可管理的國際互聯網絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。在一些大型企業構建自己內部網絡時，也發現隨著分支機構的大量增加，相互間的網絡基礎設施互不兼容也更為普遍。企業的信息技術部門在連接分支機構方面也感到日益棘手。

在這種背景下，VPN(Virtual Private Network，虛擬專用網)技術應運而生。

1 VPN技術簡介

VPN技術是指用于一系列關于通過公網建立基于TCP/IP技術的不同網段用戶間的虛擬的，安全的，保密的專有網絡的相關技術。

虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路，而在VPN的建立模式上最好選用硬件方案建立，可以在很大程度上提高實用性!在組建VPN時，布局上采用單向連接，需要一個VPN路由器建立VPN服務器，一個路由器建立VPN客戶端，VPN協議上要注意采用安全性、兼容性高的IPSec協議，并考慮內網IP地址的合理分配及路由表的正確配備，達到雙方局域網之間的正常訪問。

VPN技術的重點在于建立穿透內外網段的安全的隧道連接，因此接下來將重點介紹VPN隧道技術和加密技術。

2 VPN隧道技術

VPN技術區別于一般網絡互聯技術的關鍵在于隧道的建立，用戶發送的數據包經過加密后，按隧道協議進行封裝、傳輸以確保安全性。

VPN隧道技術主要是指隧道協議包括數據鏈路層數據封裝協議和網絡層數據封裝協議，在數據鏈路層實現數據封裝的協議叫第二層隧道協議，常用的有PPTP、L2TP等協議;在網絡層實現數據封裝的協議叫第三層隧道協議，如IPSec協議。

1)PPTP/ L2TP協議

PPTP協議(Point-to-Point Tunneling Protocol)是在PPP協議的基礎上發展起來的，主要用于WINDOWS操作系統用戶。因為PPP協議支持多種網絡協議，所以通過PPTP協議可封裝IP、IPX、AppleTalk或NetBEUI的數據包到PPP包中，再將整個報文封裝在PPTP隧道協議包中，最后，嵌入IP報文或幀中繼進行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由包丟棄而引發包重傳的數量。

L2TP協議(Layer 2 Tunneling Protocol)是在結合了PPTP協議和L2F協議兩者優點的基礎上發展的。L2F也支持多協議，但其主要用于Cisco的路由器和撥號訪問服務器。L2TP協議利用公共網絡封裝PPP幀，可以實現和企業原有非IP網的兼容。L2TP使用PPP可靠性發送(RFC1663)實現數據包的可靠發送。L2TP隧道在兩端的VPN服務器之間采用口令握手協議CHAP來驗證對方的身份，因其安全性好，L2TP受到了許多大公司的支持。

2)IPSEC協議

IPSec(IP Security)是一個范圍廣泛、開放的VPN安全協議，工作在OSI模型中的第三層—網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。目前使用的VPN方案使用最多的就是IPsec協議，在這次畢業設計中，就是使用IPSec協議在建立隧道連接的。如圖1所示。

IPSec是隨著下一代internet標準-IPv6的制定而產生的，鑒于當前IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持。IPsec的規范相當復雜，包含大量的文檔，在此主要介紹IPsec的運行模式、AH協議和IKE協議。

IPSec協議可以設置成在兩種模式下運行:一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數據包封裝在安全的IP幀中。通常情況下，只要IPSec雙方有一方是安全網關或路由器，就必須使用隧道模式。傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。通常情況下，傳輸模式只用于兩臺主機之間的安全通信。

AH協議(Authentication Header認證頭協議)是用來增加IP數據安全性的協議。AH協議提供無連接的完整性、數據源認證和抗重放保護服務，但是AH不提供任何保密性服務。AH用于提供IP數據報完整性、身份認證和可選的抗重傳攻擊的機制，但是不提供數據機密性保護。 認證報頭的認證算法有兩種:一種是基于對稱加密算法(如DES)，另一種是基于單向HASH算法。

3 VPN加密技術

VPN加密技術和上面介紹的隧道技術是密不可分的，在此介紹的加密技術主要是指VPN使用的加密算法和加密協議。

1)DES(Data Encryption Standard，數據加密標準)算法

DES是美國國家標準局于1977年開發的對稱密鑰算法。它是一種對稱密鑰算法，可以使用40~56位長的密鑰。另一種稱為3DES 的加密策略也使用同樣的DES算法，但它并不只是加密一次，而是先加密一次，再加密(解密)一次，最后做第三次加密，每一次加密都使用不同的密鑰。這一過程顯著地增加了解密數據的難度。

2)MD5(Message Digest 5)

MD5是一種符合工業標準的單向128位的Hash算法，由RSA Data Security Inc.開發，它可以從一段任意長的消息中產生一個128位的Hash值。例如，質詢握手身份驗證協議(CHAP)通過使用MD5來協商一種加密身份驗證的安全形式。CHAP在響應時使用質詢-響應機制和單向MD5散列。用這種方法，用戶可以向服務器證明自己知道密碼，但不必實際將密碼發送到網絡上，從而保證了密碼本身的安全性。

3)ISAKMP(Internet Security Association and Key Management Protocol)協議

ISAKMP是一個定義在主機之間交換密鑰和協商安全參數的框架。ISAKMP協議定義密鑰在非安全網絡上交換的一般機制，ISAKMP定義的信息包括報文中消息的位置和通信過程發生的機制，但它不指明使用的協議和算法。

4 VPN技術要解決的五個問題

VPN利用的承載網絡是Internet，而Internet的網絡環境是一個大而復雜的網絡，與普通專線網絡的組網有一定區別。如果要讓VPN成為可運營的解決方案，要解決下面五個問題:

1)解決的是動態地址分配問題，運營商可以利用DHCP Over IPSec的技術為企業客戶提供IP地址和網絡規劃的服務。

2)解決NAT穿越的問題，現在很多企業的MIS系統不能很好地拓展到全國或者全球，就是因為不能很好解決NAT之后本地地址與遠端地址不通的問題，所以，利用IPSec 虛擬專用網 就必須使用國家標準的NAT穿越技術，運營商才能幫助企業解決雙向NAT穿越的問題，而不會在運營過程中面臨兼容性問題。

3)解決隧道路由技術的支持，企業網絡的環境很可能不是單純的星形網絡，必須要有路由技術的支撐，才能適應不同用戶的需求。

4)提供對隧道QoS的支持，能夠提供基于隧道QoS的保證，能夠為企業關鍵數據提供保護，為運營商提供多樣性的業務保證。

5)動態IP地址情況下的隧道建立，企業用戶的IP地址很可能是ADSL動態分配的，所以使用普通IP地址為目標的隧道建立方法不能被運營，因此運營商可以提供DDNS來保證動態IP地址的隧道建立。

5 總結

以較低的成本獲得較高的安全性，VPN的組網方式在近幾年大面積地得到了用戶的青睞。目前，IPSec VPN產品是當然的主力軍，而SSL VPN 與MPLS VPN產品也各自擁有一批擁護者。通過研究VPN技術及其應用，我對網絡技術有了更深的了解，我感到，技術發展永無止境，VPN的發展完善正是不斷追求技術進步與完善的例子。

參考文獻:

[1] 張仕斌.VPN基礎知識[J].網絡安全技術，2004.

[2] Nash.公鑰基礎設施(PKI)實現和管理電子安全[J].2002.

[3] 京京工作室.IPSEC:新一代因特網安全標準[C].1999.

[4] Carlton.R.Davis.IPSec:VPN 的安全實施[C].IPSec原理，2002.

[5] 戴宗坤，等.VPN與網絡安全[M].電子工業出版社，2002-9-1.