VPN技術在站段網絡建設中的應用

張 輝，李菊萍

（西安鐵路局寶雞工務段網絡室，寶雞721000 ）

寶雞工務段是西安鐵路局工務系統內最大的站段之一，管轄西寶線、寶中線、寶成線及寶天線。除機關辦公使用的計算機外，其余計算機安裝在沿線各車間和班組，分布范圍較散，且相隔距離較遠。

目前段機關通過網橋接入方式接入車站機房。車間班組通過鐵通的綜合信息平臺與段機關聯通，車間班組需要實時將信息傳送到段機關及鐵路局，段機關及鐵路局也需要將反饋的信息實時向車間班組下發。但段機關作為連接的中心點，所有的數據都經過段服務器進行分發。

1 VPN需求分析

隨著鐵路的迅速發展，工務段管轄的車間班組相繼多了起來，信息交互也越來越頻繁，隨著各種業務應用系統的實施，重要的數據和信息在網絡中傳輸也越來越多，安全性要求也越來越高，目前僅僅依靠綜合信息平臺接入，段服務器轉發的組網模式已經越來越不適應工務段對信息傳輸平臺的要求了。

從安全方面考慮，鐵通提供的綜合信息平臺沒有經過加密處理，重要數據和信息均是以明文在網上傳輸，如果別有用心的人利用Sniffer等網絡監聽分析工具，極易篡改、竊取甚至破壞企業數據，給企業造成不可估量的損失；由于傳輸平臺沒有認證功能，企業內部員工的越權訪問、誤操作、有意或無意的泄密、甚至是少數員工惡意的破壞，都會對企業的信息和數據造成很大的威脅；由于傳輸平臺沒有訪問控制和安全隔離的功能，給外部非法人員提供了入侵的機會，非法人員可以通過專用的黑客程序（此類工具在Internet上可以任意下載），或者盜取授權員工的訪問權限，很容易進入企業系統內部。由于工務段車間班組聯網網點數目眾多，相應的受攻擊的幾率較大，一旦通過計算機終端進入總部服務器，后果將不堪設想。

從管理方面考慮，工務段處于高速發展階段，擁有的聯網網點和計算機終端較多，最緊迫的問題就是信息的匯總、聯網網點的信息交互以及計算機終端的集中管理。現有組網方式由于本身的技術限制，不可能提供強大的管理平臺，也不可能解決大規模的應用和管理問題。

從經營角度考慮，工務段需要一個實時、安全、高速、快捷和穩定的信息交互平臺，以滿足信息頻繁傳輸的需要，以便增加工作效率，提高服務質量，加快信息化建設，適應快速發展，提升良好形象。

綜上所述，如何快捷地解決工務段的聯網問題，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論的問題，使整個網絡的互聯性得到極大提高，安全性達到全面加強，是本系統方案要實現的目標。

2 VPN技術特點

隨著互聯網技術的發展及Internet接入方式的多樣化，為VPN應用提供了條件，不同地區的遠程遙測點可通過ADSL、小區寬帶、GPRS、CDMA 1X或窄帶撥號等各種網絡連接方式連入Internet，無需固定公網IP地址，由中心的VPN網關為認證用戶分配一個內部私網地址，通過遠程認證，實現與監測內部網絡的互連，從而組成一個高效統一的虛擬專用網絡。

目前VPN技術相當成熟，應用相當廣泛，主要采用4種技術：隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

2.1 隧道技術

當VPN客戶機訪問VPN服務器時，并沒有傳統專網所需的端到端的物理鏈路，它們是通過一個虛擬的隧道進行訪問。一個隧道實際上就是在公網上建立一條數據通道，讓數據包通過這條隧道傳輸，完成數據封裝、傳輸和解包。為創建隧道，隧道的客戶機和服務器雙方必須使用相同的隧道協議，隧道技術主要有3種協議支持：PPTP，L2TP和IPsec。

（1）點對點隧道協議（PPTP）。

PPTP協議工作在OSI/RM開放模型中的第2層，允許對IP、IPX或NetBEUI數據流進行加密，然后封裝在IP包頭中通過企業IP網絡或互聯網發送。通過PPTP，遠程用戶首先撥號到本地因特網服務提供商ISP的網絡服務器NAS去訪問總部的內部網絡，并不需要直接撥號至總部的網絡，這樣大大減少了建立和維護專用遠程線路的費用。PPTP協議通過身份驗證后開始加密，身份驗證的過程沒有加密，安全性稍低，配置簡單，在實現上存在著重大安全隱患。

（2）第2層隧道協議（L2TP）。

L2TP協議是L2FP與PPTP的結合，專門用來進行第2層數據的通道傳送，允許對IP、IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳遞的任意網絡發送，如IP、X.25、楨中繼或ATM。遠程用戶通過本地PSTN、ISDN或PLMN撥號，利用ISP提供的VPDN特服號，接入ISP在當地的NAS，通過當地的VPDN認證系統對用戶身份進行認證，建立一個位于NAS和LNS（本地網絡服務器）之間的虛擬專網來訪問總部的內部網絡。L2TP需要證書服務來驗證計算機身份，身份驗證過程是加密的，安全性較高，配置稍微復雜，但也不能完全保證數據傳輸過程中的安全。

（3）安全IP（IPSec）隧道模式。

IPSEC協議工作在OSI/RM開放模型中的第3層，允許對IP負載數據進行加密，然后封裝在IP包頭中通過企業IP網絡或互聯網發送，具有認證包頭AH和數據加密格式ESP。IPSEC采取數據源驗證、無連接數據的完整性驗證、數據內容的機密性保護、抗重播保護等形式，有效保護IP數據報的安全。在傳輸數據包之前將其加密，接收端根據AH和ESP對所有受IPSec保護的數據包進行認證和解密，防止數據包被捕捉并重新投放到網上，安全性高，從而保證了數據包在Internet網上傳輸時的私有性、完整性和真實性。

2.2 加解密技術

加解密技術是數據通信中一項較成熟的技術，可直接利用。

2.3 密鑰管理技術

密鑰管理技術的主要任務是在公用數據網上安全地傳遞密鑰而不被竊取,密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。

2.4 身份認證技術

當VPN客戶端連接VPN服務器時，就涉及到身份驗證的問題，身份驗證可以采用Windows的身份驗證或者RADIUS（遠程撥號用戶確認服務）身份驗證。

Windows的身份驗證主要通過用戶名和密碼來提供認證，認證協議采用Microsoft質詢握手身份驗證協議MS－CHAP來加強對用戶身份的查驗。

RADIUS身份驗證是通過Windows安裝Internet驗證服務IAS來實現。這種撥號方式建立的VPN連接，可以實現雙重數據加密，使網絡數據傳輸更安全。

VPN的加密方式使得網絡信息傳輸安全性大大提高，數據驗證使得接收方可識別數據包是否被非法篡改，保證了數據的完整性。

3 關于VPN專網的安全管理

使用VPN傳輸私有數據，面臨潛在的安全風險，這需要提供安全保障。雖然VPN有單獨的網關，對IPSec數據包進行加密/解密處理和身份認證，但它沒有很強的訪問控制功能，如狀態包過濾、網絡內容過濾、防DoS攻擊等。要防止非法用戶對網絡資源或私有信息的訪問，網絡管理員必須對通過VPN連接到網絡的計算機和直接連接到LAN的計算機實行同樣的安全標準。

為保證VPN的安全性，必須將所有設備放在防火墻之后，防火墻必須封鎖任何沒有使用的端口，由防火墻打開允許的隧道信息包通過，才能與內部網絡進行數據傳輸。可以通過安全檢測設置來限制有權限的訪問者，如果不再符合安全法則時，根本不允許接入，從而為私有數據在公用網絡上的傳輸提供了安全和保密。

在監測網絡上建立防火墻，能夠保證內部網絡免受安全威脅及攻擊，強大的網絡地址轉換功能使服務器對外偽裝服務身份，保護局域網內部的服務器安全運行，同時支持對特殊網絡服務及ARP欺騙病毒的屏蔽功能。對于連接VPN的用戶也必須在個人計算機上安裝個人防火墻，它可以使非法侵入者不能進入局域網。

4 站段網絡平臺結構

綜合VPN技術特點，在段內辦公網上采用了IPSec隧道模式組建VPN專網，其網絡拓撲結構如圖1。

圖1 網絡拓撲結構

VPN專網的實現，需在內部網絡中配置一臺VPN服務器與內部網絡連接，在中心將VPN硬件網關、監測網絡設備及內部辦公設備放在防火墻后面，經過防火墻再由一條專用光纖連接到綜合信息平臺，VPN硬件網關的LAN（局域網）口連接到內網的交換機上，WAN（廣域網）口連接到與綜合信息平臺相連的光纖。

當遠程終端通過VPN連接與辦公網中的計算機進行通信時，先由綜合信息平臺將所有的數據傳送到VPN服務器，再由VPN服務器將所有的數據傳送到目標計算機。

網絡管理員通過配置VPN服務器，指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問內部信息的權利，沒有訪問權利的用戶無法獲得辦公網信息。

VPN服務器相當于執行路由和遠程訪問服務任務的一個增強的Windows Server服務器，一旦一個進入VPN網絡的請求被批準，這個VPN服務器就簡單地充當一臺路由器向這個VPN客戶機提供專用網絡的接入。

當遠程終端訪問辦公網網內部資源時，有可能將間諜軟件，病毒隨著客戶端對辦公網的訪問而進入內網，導致服務器遭受間諜軟件、病毒的風險。利用域管理模式和架設CA服務器來創建網絡訪問準入規則，預先定制好遠程終端計算機的安全策略。當遠程終端計算機通過VPN服務器連接辦公網時，檢查用戶的計算機是否具備了相應的安全策略。

只有符合相應的安全策略的用戶才允許登陸，不具備相應安全條件的用戶，不允許登陸到VPN服務器，也連不通VPN通道。這樣從根本上提高了遠程終端計算機的安全性，減少了遠程終端遭受蠕蟲、病毒、木馬以及間諜軟件而導致服務器遭受破壞的風險。

這種方案充分利用了綜合信息平臺，遠程終端通過ADSL方式接入綜合信息平臺，再由和綜合信息平臺相連（段機關采用了一條10 M光纖）的VPN服務器，來訪問位于VPN服務器后面的內部網絡。一旦接入VPN服務器，就在遠程終端與VPN服務器之間建立一條專用隧道連接。這樣，遠程終端到綜合信息平臺的連接和VPN服務器到綜合信息平臺的連接都是本地網內通信，由于采用加密技術，遠程終端到VPN服務器之間的連接是安全的。

5 VPN技術實施的優勢

（1）迅速擁有高效穩定的VPN平臺，廣泛的兼容性使其可以很方便的部署于網絡的任何位置。而簡單明了又兼備完整邏輯思路的操作模式可以讓管理員迅速掌握，從而方便地配置出滿足自身需求的個性化配置方案。在客戶端不需要安裝任何應用軟件，不需做任何配置，同時也減輕了網絡管理員的工作。

（2）接入后的用戶受控于更細致的訪問控制粒度。根據組織的構架，用戶可以分組管理，而授權粒度則可以按照角色進行管理，為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配辦公收發文和財務查詢的雙重角色，這樣他即可以訪問辦公OA的進行收發文又可以訪問財務系統進行財務查詢。

（3）實現了整體的互聯，使分散的部門連到統一的VPN網絡。滿足整體網絡實時互聯互通的要求，實現各個點的VPN互聯，構建完整的基礎網絡平臺，并可根據權限的設定和網絡拓撲的需要分別設定接入節點和權限控制，增強內部基礎網絡的穩定性和可靠性。

（4）確保數據傳輸的安全可靠、接入用戶的嚴格認證。段機關與各個車間班組之間，無需更改原有的網絡結構、按照實際的運作流程，構建完善、穩定、高效的VPN網絡，保障信息化系統的日常運行。

（5）建成標準統一、功能完善、安全可靠的內部網絡與信息平臺，形成信息安全保障體系。建設的重點任務：加快建設內網平臺；整合信息資源；形成結構合理、功能完善、管理規范、安全可靠和靈活實用的網絡基礎支撐體系。

6 結束語

上述方案成功地解決了段辦公網與車間班組之間實時互聯問題，提供了遠程訪問的安全途徑，使車間班組能夠隨時方便地接入工務段內部網絡開展業務，共享網絡資源。最大限度地發揮各種應用系統的效率，使工務段網絡管理更加統一規范，共享數據信息。VPN提供了安全、可靠的訪問通道，為工務段信息化建設進一步發展提供了可靠的技術保障，達到科學高效的管理目標。

[1] 高海英，薛元星，辛陽，等. VPN技術[M] . 北京：機械工業出版社，2004.

[2] [美] Mark Lucas，等. 防火墻策略與VPN配置[M] . 北京：水利水電出版社，2008.

[3] 王達. 虛擬專用網（VPN）精解[M] . 北京：清華大學出版社，2004.

[4] [美] Mark Lewis. VPN故障診斷與排除[M] . 袁國忠. 北京：人民郵電出版社，2006.

[5] 吉榮廷，楊慧，趙建軍. 基于VPN技術與CDMAIX技術實現遠程視頻無線傳輸[J] . 鐵路計算機應用，2008，12（2）.

[6] 呂鴻杰，譚獻海，裴加富. UML&VP在VPN網絡系統中的應用[J] . 鐵路計算機應用，2008，12（3）.