VPN技術(shù)在企業(yè)專網(wǎng)建設(shè)中的應用研究

岳瑩，孫廣波，楊敏，王浩，楊瑾

（1.中國聯(lián)合網(wǎng)絡通信有限公司廣東省分公司，廣東 廣州 510630；2.廣州杰賽科技股份有限公司，廣東 廣州 510310）

1 引言

隨著辦公自動化、信息化的需求日益迫切，企業(yè)均著手建設(shè)自己的集中信息化平臺，通過網(wǎng)絡辦公、遠程辦公實現(xiàn)工作的無紙化、流程化、規(guī)范化、服務便捷化和成本低廉化。企業(yè)僅靠內(nèi)部局域網(wǎng)已無法滿足靈活接入方式的需求，比如對于分支機構(gòu)多或辦公地點分散的企業(yè)，可以通過互聯(lián)網(wǎng)、移動網(wǎng)等公眾網(wǎng)絡遠程接入公司集中信息平臺完成異地辦公、移動辦公的需求。由此，公司內(nèi)部信息平臺將暴露在公網(wǎng)上，也帶來了網(wǎng)絡信息安全和網(wǎng)絡安全的問題。尤其是網(wǎng)絡安全，想要在互聯(lián)網(wǎng)上滿足用戶的類似專網(wǎng)性能需求，就需要通過在互聯(lián)網(wǎng)上開通不同的VPN隧道來實現(xiàn)。VPN隧道技術(shù)，按照隧道協(xié)議工作的OSI層級的不同，有不同的分類。本文從對比不同VPN技術(shù)入手，討論企業(yè)虛擬專網(wǎng)建設(shè)中如何選擇VPN技術(shù)的問題。

2 企業(yè)專網(wǎng)建設(shè)現(xiàn)狀

在企業(yè)內(nèi)部各局域網(wǎng)互聯(lián)的建設(shè)中，由于專線自建和專線租用的高額成本限制，一般都是通過租用互聯(lián)網(wǎng)帶寬的方式實現(xiàn)。同時為保證企業(yè)內(nèi)部信息安全，采用VPN 技術(shù)使各個孤立的局域網(wǎng)互通，實現(xiàn)大局域網(wǎng)的概念，實現(xiàn)集中設(shè)置一套數(shù)據(jù)庫、管理平臺、應用系統(tǒng)共享給企業(yè)各地局域網(wǎng)用戶和管理各局域網(wǎng)內(nèi)用戶和業(yè)務。在建設(shè)虛擬專網(wǎng)時，企業(yè)網(wǎng)絡現(xiàn)狀一般都會存在如下的問題：

◆網(wǎng)絡接入方式簡單：為降低費用，多采用家庭寬帶方式，企業(yè)端網(wǎng)關(guān)多采用動態(tài)IP地址，沒有固定IP地址，VPN建立的條件不具備。

◆資金投入少：一般以實現(xiàn)網(wǎng)絡可達為主要目的進行設(shè)備選型，選擇的設(shè)備低端，在網(wǎng)絡無故障時，一般很少追加投資進行網(wǎng)絡改造建設(shè)。

◆缺乏維護手段：企業(yè)IT人員一般僅做局域網(wǎng)內(nèi)IP地址分配、操作系統(tǒng)維護、殺毒等常規(guī)工作，對于互聯(lián)網(wǎng)、廣域網(wǎng)無法自主維護。

◆缺少建設(shè)部署經(jīng)驗：企業(yè)的網(wǎng)絡一般作為正常運營的支撐，較少會主動跟蹤技術(shù)發(fā)展。在有建設(shè)改造需求時，無相關(guān)經(jīng)驗進行選擇對比。

在這樣的背景下，本文基于互聯(lián)網(wǎng)VPN技術(shù)，對企業(yè)虛擬專網(wǎng)建設(shè)進行建設(shè)應用方案研究，為企業(yè)建立跨地域的大局域網(wǎng)。通過互聯(lián)網(wǎng)VPN技術(shù)來實現(xiàn)，既可以以網(wǎng)絡安全設(shè)置避免企業(yè)信息的泄露，同時減少了企業(yè)技術(shù)難題、建設(shè)難度和資金壓力。

3 VPN技術(shù)分類

按照不同VPN技術(shù)的協(xié)議在OSI七層模型中的層次，分為SSL VAN、Sock5、IPSec VPN、PPTP及L2TP等。VPN技術(shù)分類如表1所示。

按照VPN 的實現(xiàn)主體的不同，可分為由電信運營商負責提供的MPLS VPN、直接由用戶自己完成的PPTP/L2TP/IPSec VPN，以及基于瀏覽器方式的SSLVPN。

表1 VPN技術(shù)分類

考慮到PPTP及L2TP是基于鏈路層的協(xié)議，需要在隧道的兩端設(shè)置L2TP專用服務器，由于在公共互聯(lián)網(wǎng)上應用存在不足，本文不展開分析。對于常見的VPN技術(shù)，分析如下：

◆IPSec

IPSec是網(wǎng)絡側(cè)的VPN技術(shù)，在終端網(wǎng)絡節(jié)點之間建立直連隧道，并對傳送的數(shù)據(jù)進行加密和加密后封裝，同時支持ACL限制、數(shù)據(jù)校驗驗證、數(shù)據(jù)準確性和可靠性驗證等服務。IPSec加密后的數(shù)據(jù)包為IP數(shù)據(jù)包，獨立于應用層，因此安全服務對OSI上層協(xié)議是透明的。

IPSec VPN是在Internet上最常見的方法，主要是針對用戶不同局域網(wǎng)之間的互聯(lián)，對在安全上有加密需求的主要使用IPSec的協(xié)議。

◆SSL VPN

SSL協(xié)議工作在OSI的應用層，通過SSL連接進行數(shù)據(jù)傳輸，是一種在Internet上保證發(fā)送信息安全的通信協(xié)議。通過在各種應用層協(xié)議和TCP/IP協(xié)議之間建立可靠的傳輸協(xié)議，為應用層業(yè)務提供數(shù)據(jù)封裝和加密交換，為網(wǎng)絡連接提供安全認證機制，實現(xiàn)用戶使用遠程終端訪問公司內(nèi)部服務區(qū)，對內(nèi)部數(shù)據(jù)進行讀寫操作。

◆MPLS VPN

MPLS VPN綜合了router、switch在路由和交換上的特點，工作在網(wǎng)絡層和鏈路層，采用標簽進行數(shù)據(jù)轉(zhuǎn)發(fā)，當分組進入MPLS網(wǎng)絡時，在IP標上其分配固定長度的短標簽，將標記與分組封裝在一起，用標簽代替IP包頭的作用，在網(wǎng)絡上進行轉(zhuǎn)發(fā)。在MPLS網(wǎng)絡內(nèi)部的轉(zhuǎn)發(fā)路徑上，數(shù)據(jù)包均通過交換標簽來實現(xiàn)轉(zhuǎn)發(fā)。在數(shù)據(jù)包離開MPLS網(wǎng)絡時，在MPLS邊緣節(jié)點對數(shù)據(jù)包解封，再按照IP包的路由方式到達目的地。

4 企業(yè)虛擬專網(wǎng)建設(shè)中VPN技術(shù)的對比 分析

盡管IPSec、SSL和MPLS這3類VPN技術(shù)都能實現(xiàn)提供VPN的能力，但這三者因為技術(shù)協(xié)議、周邊資源需求、服務質(zhì)量等方面的許多不同而存在差異。

4.1 安全性方面

IPSec，通過在OSI的網(wǎng)絡層上的加密設(shè)置、認證提供、ACL設(shè)置等技術(shù)手段，增強TCP/IP的可靠性和安全性，使VPN通道很難被篡改。但主要考慮和解決的是網(wǎng)絡通道上的安全問題，對于用戶主機和局域網(wǎng)則容易遭受數(shù)據(jù)泄露和病毒攻擊，控制手段有限。

SSL VPN建立的是一條OSI的上層協(xié)議通道，是基于應用的。用戶訪問時，通過SSL VPN向SSL服務器發(fā)送請求，服務器發(fā)送一個提問給用戶，用戶則返回加密后的提問和其公開密鑰，從而實現(xiàn)對遠程資源訪問的用戶權(quán)限進行控制盒認證，即使在局域網(wǎng)內(nèi)部訪問，也需對每個用戶的訪問權(quán)限進行控制。

MPLS VPN根據(jù)路由協(xié)議來傳播信息，完成標簽分發(fā)和通道隔離，利用IP隔離等手段提供防御，但缺點是傳輸數(shù)據(jù)是透明的，在VPN被破解后，數(shù)據(jù)即無安全保護。

4.2 網(wǎng)絡服務質(zhì)量（QoS）方面

IPSec VPN是基于端到端的保護，保證端到端網(wǎng)絡通道的安全，在源IP地址和目的IP地址之間的安全特性需要集中服務器或軟件的處理能力。并且由于協(xié)議的定義，在報文前要添加IPSec數(shù)據(jù)包頭，當數(shù)據(jù)包的長度超過MTU的長度，該數(shù)據(jù)包將被分片成多個數(shù)據(jù)包，使每一片的長度都小于或等于MTU，額外增加了需要傳輸?shù)臄?shù)據(jù)包數(shù)量，而且拆包組包的過程也浪費了時間。另外，IPSec協(xié)議包中QoS的字段無法識別，QoS特性無法體現(xiàn)，對不同業(yè)務劃分服務等級也是無效的。

SSL VPN同IPSec類似，一方面，在傳輸中經(jīng)過SSL加密隧道與身份認證會降低傳輸效率，另一方面由于SSL VPN也是承載在公眾互聯(lián)網(wǎng)上，因此QoS無法得到保證。

MPLS VPN在網(wǎng)絡服務質(zhì)量方面特點突出，MPLS使用標簽替換IP地址，避免了網(wǎng)絡中逐跳進行路由而帶來的跳數(shù)過多及路由表更新頻繁的問題。標簽交換根據(jù)業(yè)務的不同定義不同的QoS等級，根據(jù)QoS分配不同的優(yōu)先級和不同帶寬。

4.3 應用領(lǐng)域和便捷性方面

IPSec工作在OSI協(xié)議的第3層，可以使用所有基于IP協(xié)議的服務，因此中小企業(yè)在組建VPN網(wǎng)絡時采用該方式比較廣泛。由于該方式需要獨立安裝客戶端來實現(xiàn)，并且VPN連接受NAT的影響，VPN建立需要動態(tài)調(diào)整。在VPN建立規(guī)模較大時，安裝和動態(tài)調(diào)整工作量大，運維困難。

SSL VPN一般結(jié)合瀏覽器方式使用，以作為瀏覽器插件的方式，省去首先運行應用軟件的繁瑣，在用戶使用體驗和后臺運維上均較IPSec更好更方便。但SSL VPN也有很大的局限性，如只能應用軟件，如基于Web的應用系統(tǒng)、E-mail之類，使用的范圍受到影響和限制。

MPL SVPN 首先運行在MPLS 網(wǎng)絡上，通過對MPLS網(wǎng)中CE、PE、P設(shè)備的配置來實現(xiàn)，對用戶側(cè)網(wǎng)絡基本無特殊要求。MPLS VPN可以實現(xiàn)所有基于IP的應用，同時由于它具有很好的QoS，因此在企業(yè)網(wǎng)中有廣泛應用。例如在電子政務網(wǎng)中，不同系統(tǒng)之間的數(shù)據(jù)要求相互隔離，同時各業(yè)務系統(tǒng)之間又存在著互訪的需求。

4.4 擴展性方面

IPSec技術(shù)本身的特性決定了它主要在小型網(wǎng)絡中小規(guī)模應用，對于在復雜網(wǎng)絡中實現(xiàn)不具有優(yōu)勢，在防止IP地址重復等問題上沒有有效的解決手段。IPSec在擴展性方面比較局限，當全網(wǎng)的拓撲結(jié)構(gòu)發(fā)生變化時，在需要增加或刪除設(shè)備時，就要同步改變網(wǎng)絡結(jié)構(gòu)中IPSec部署，工作繁瑣、可操作性差，所以IPSec在可擴展性方面缺點突出。

SSL VPN是為遠程接入而設(shè)計的，它基于Web進行訪問，使許多設(shè)備可以通過支持SSL協(xié)議的標準瀏覽器訪問企業(yè)內(nèi)部網(wǎng)絡，一些非傳統(tǒng)設(shè)備也可以隨時隨地訪問接入，擴展性很好。

MPLS屬于電信級網(wǎng)絡，可根據(jù)網(wǎng)絡健壯性把網(wǎng)絡配置成網(wǎng)狀、環(huán)狀等結(jié)構(gòu)，相應MPLS VPN的可靠性和靈活性也同理，用戶側(cè)路由器不需要必須支持MPLS協(xié)議，對用戶路由器的硬件性能和數(shù)據(jù)配置要求均不高。當網(wǎng)絡規(guī)模擴大或拓展時，通過平滑新增用戶路由器，在用戶路由器和MPLS PE設(shè)備之間進行靜態(tài)路由設(shè)置即可滿足。同時，由于標簽代替了地址，用戶可以繼續(xù)使用原來的IP地址，不需對IP地址重新規(guī)劃調(diào)整。

4.5 經(jīng)濟性方面

采用IPSec VPN方式，當企業(yè)地域規(guī)模擴大時，每增加一個接入點，就需同步增加一臺IPSec設(shè)備。企業(yè)網(wǎng)絡規(guī)模隨著人員、業(yè)務的增大也會同步增大，就需新增設(shè)備來滿足需要。

采用SSL VPN方式，通過在企業(yè)的數(shù)據(jù)中心放置一臺SVN服務器，集中滿足所有用戶的VPN接入請求，一臺設(shè)備滿足多個網(wǎng)絡，所以經(jīng)濟性較好。

MPLS VPN費用相對使用物理專線節(jié)省較多，但需要電信運營商提供服務，成本受多方因素影響。總體來看，MPLS VPN一次性建設(shè)成本低于IPSec VPN和SSL VPN，但每月額外會有租用成本。

綜上分析，IPSec適合于企業(yè)有業(yè)務網(wǎng)關(guān)的場景、有VPN連接需求的解決方案。SSL VPN主要針對區(qū)分用戶權(quán)限，根據(jù)不同用戶的職責提供不同的訪問權(quán)限，適合于通過不同網(wǎng)絡實現(xiàn)遠程接入方案。而MPLS VPN由運營商提供VPN通道，企業(yè)以使用為主，無需額外的配置，實現(xiàn)簡單，并支持QoS，因此適合于企業(yè)無維護人員且對提供差異化服務有要求的情況。

總之，在企業(yè)專網(wǎng)部署VPN時，主要根據(jù)以上5點考慮不同企業(yè)的實現(xiàn)方式。同時， IPSec、SSL和MPLS VPN也可根據(jù)需求結(jié)合使用，如采用MPLS提供網(wǎng)絡VPN方式，再疊加SSL的方式實現(xiàn)對應用層業(yè)務的安全保護，對用戶信息和數(shù)據(jù)信息加密。

5 企業(yè)虛擬專網(wǎng)接入方案

由上分析，SSL VPN主要是通過在公司總部設(shè)置專用設(shè)備即可實現(xiàn)，IPSec VPN則需要在企業(yè)總部和分支機構(gòu)之間同時設(shè)置專用設(shè)備，以上2種方式主要在使用場景上有差別，在專網(wǎng)建設(shè)中方案基本類似，因此合并分析。對MPLS VPN在企業(yè)專網(wǎng)建設(shè)則進行單獨分析。

5.1 遠程接入SSL VPN/IPSec接入方案

在企業(yè)互聯(lián)網(wǎng)出口處部署安全接入網(wǎng)關(guān)SVN，承載遠程用戶安全接入。公網(wǎng)上的用戶通過Web瀏覽器或者客戶端軟件的方式對內(nèi)部網(wǎng)絡進行訪問。在通過安全接入網(wǎng)關(guān)的身份認證、賬號檢查等策略檢查后，用戶登錄安全接入網(wǎng)關(guān)，實現(xiàn)在公網(wǎng)上的內(nèi)部網(wǎng)絡之間加密隧道的建立。之后用戶信息和應用數(shù)據(jù)信息均通過加密隧道在公網(wǎng)上傳輸，避免了在網(wǎng)絡中數(shù)據(jù)被竊和被修改的風險。

安全接入網(wǎng)關(guān)部署在企業(yè)防火墻之后，采用旁掛的部署方式，基本不改變原有的網(wǎng)絡拓撲結(jié)構(gòu)，實施也不影響改造前業(yè)務的正常運行。如有高可靠性要求，也采用雙機熱備組網(wǎng)，雙機之間配置VRRP協(xié)議，2臺設(shè)備對外提供一個公網(wǎng)IP地址供用戶訪問，當一臺設(shè)備故障時，VPN業(yè)務能夠快速切換到另一臺安全接入網(wǎng)關(guān)，保證了業(yè)務的平穩(wěn)正常運行。

安全接入網(wǎng)關(guān)同時支持移動用戶通過移動網(wǎng)絡使用SSL方式、IPSec方式訪問，當采用IPSec方式時，相對于SSL方式僅需在遠程接入節(jié)點補充增加一臺安全網(wǎng)關(guān)。SSL VPN/IPSec接入方案如圖1所示。

5.2 MPLS VPN接入方案

企業(yè)虛擬專用網(wǎng)采用MPLS方式一般都是基于互聯(lián)網(wǎng)。該方式相對SSL VPN，減少了企業(yè)的自建內(nèi)容，充分利用運營商提供的互聯(lián)網(wǎng)資源，由運營商的互聯(lián)網(wǎng)設(shè)備提供可配置的MPLS VPN，實現(xiàn)遠程接入和接入安全。

圖1 SSL VPN/IPSec接入方案

運營商根據(jù)企業(yè)需求，在業(yè)務部署方面，通過互聯(lián)網(wǎng)接入VPN承載網(wǎng)內(nèi)用戶的訪問流量。互聯(lián)網(wǎng)接入VPN包括3類：

（1）分支機構(gòu)接入總部的接入VPN

該VPN傳送的互聯(lián)網(wǎng)業(yè)務的統(tǒng)一出口在企業(yè)總部的互聯(lián)網(wǎng)出口處。在企業(yè)總部所在地的核心路由器上進行MPLS VPN的建立，再與互聯(lián)網(wǎng)連接，安全網(wǎng)關(guān)實施NAT轉(zhuǎn)換和安全防護。

（2）分支機構(gòu)之間互聯(lián)的接入VPN

該VPN傳送的互聯(lián)業(yè)務的統(tǒng)一出口在各分支機構(gòu)的互聯(lián)網(wǎng)出口處，在分支機構(gòu)所在地的匯聚路由器上進行MPLS VPN的建立后與互聯(lián)網(wǎng)連接，安全網(wǎng)關(guān)實施NAT轉(zhuǎn)換和安全防護。

（3）內(nèi)部正常訪問互聯(lián)網(wǎng)的接入VPN

網(wǎng)內(nèi)用戶有訪問Interent業(yè)務的需求，為滿足用戶需求且保證網(wǎng)絡安全，需要加強互聯(lián)網(wǎng)出口安全管理，逐步減少用戶自建出口數(shù)量，集中在總部統(tǒng)一接入互聯(lián)網(wǎng)或個別分支機構(gòu)。

MPLS方式接入方案如圖2所示。

6 結(jié)束語

VPN作為一項成熟的技術(shù)，被廣泛應用于企業(yè)總部和分支機構(gòu)之間的組網(wǎng)互聯(lián)。充分利用企業(yè)已經(jīng)開通的互聯(lián)網(wǎng)帶寬，虛擬出多條專線，將企業(yè)的各分支機構(gòu)和總部連接起來，組成一個大的局域網(wǎng)，從而安全、高效、經(jīng)濟地滿足企業(yè)眾多分支機構(gòu)對企業(yè)內(nèi)部應用系統(tǒng)的訪問和使用需求。

圖2 MPLS方式接入方案

對于中小企業(yè)，一般采用SSL VPN的接入方式；對于稍大企業(yè)，考慮企業(yè)內(nèi)部局域網(wǎng)的集中管理因素，一般采用MPLS VPN方式。

[1] 王文娟,李緒凱,張?zhí)燧x,等. MPLS/BGP-VPN技術(shù)應用[J]. 計算機與網(wǎng)絡, 2015(1): 60-63.

[2] 夏哲學,李東升. 基于MPLS-VPN技術(shù)的信息網(wǎng)絡融合研究[J]. 中國科技博覽, 2015(23): 194-196.

[3] 張凱霞. 基于VPN技術(shù)的校園移動OA設(shè)計與實現(xiàn)[D]. 南京: 南京郵電大學, 2013.

[4] 劉陽. 基于USBkey認證的SSL VPN網(wǎng)絡的設(shè)計與實現(xiàn)[D]. 長春: 吉林大學, 2014.

[5] 王妍. 基于IPSec的VPN系統(tǒng)設(shè)計與實現(xiàn)[D]. 成都: 電子科技大學, 2013.

[6] 王海萍,鄧文雯. VPN技術(shù)在電子政務異地協(xié)同辦公中的應用[J]. 江蘇科技信息, 2015(2): 55-56.

[7] 張揚. 基于IPsec的VPN研究[J]. 重慶工學院學報：自然科學版, 2008(1): 115-117.

[8] 呂愛民. IP VPN關(guān)鍵技術(shù)的研究及其實現(xiàn)[D]. 成都: 電子科技大學, 2002.

[9] 左鑫. 基于MPLS的VPN技術(shù)在校園網(wǎng)中的應用與研究[J]. 電子技術(shù)與軟件工程, 2015(12): 33-33.

[10] 陳勇. 主流VPN技術(shù)的比較及應用分析[J]. 信息系統(tǒng)工程, 2010(7): 74-75.

[11] 余勝生,歐陽長春,周敬利,等. 訪問控制技術(shù)在SSL VPN系統(tǒng)中的應用[J]. 華中科技大學學報: 自然科學 版, 2006(7): 49-52. ★