基于公网的VPN技术及在大型企业集团中的应用
2010-09-06龙成梁黄求根
龙成梁,黄求根
基于公网的VPN技术及在大型企业集团中的应用
龙成梁1,黄求根2*
(1中国葛洲坝集团股份有限公司 水泥分公司,湖北 荆门 448000;2 武汉纺织大学 计算机科学学院,湖北 武汉 430073)
虚似专用网(VPN)技术是当今网络技术领域中新的热点。目前,企业之间以及企业的总部与分支机构通过网络连接越来越频繁,且经常跨系统跨地域,网内网际情况都比较复杂,造成企业远程通信访问成本偏高,另外还带来了网络的管理和安全性问题。VPN网络技术的诞生较好地解决了企业总部与分支之间信息的交流和数据交换等问题。以《葛洲坝水泥厂分布式销售系统》为实例,说明了基于公网的VPN技术及在大型企业集团中的应用。
虚似专用网;企业网络建设;远程访问;销售系统
1 基于公共网络的VPN技术简述
1.1 VPN的技术原理
所谓VPN(Virtual Private Network,虚拟私有网络)[1]是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,这里的公用网主要指Internet。为了保障信息在Internet上传输的安全性,VPN技术采用了认证、存取控制、机密性、数据完整性等措施,保证信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说,费用低廉,所以 VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能[2]。
1.2 IPSec中的三个主要协议
IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能[3],以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH、SP和IKE三个协议规定。
1.2.1 ESP(Encapsulating Security Fayload)
ESP协议主要用来处理对IP数据包的加密,此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的,几乎可以支持各种对称密钥加密算法,例如DES、TripleDES、RC5等。
1.2.2 AH(Authentication Header)
AH只涉及到认证,不涉及到加密。AH虽然在功能上和ESP有些重复,但AH除了以对IP的有效负载进行认证外,还可以对IP头部实施认证[4]。AH主要是处理数据对,可以对 IP头部进行认证,而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性,AH必须包含对HMAC?/FONT>SHA和 HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。
1.2.3 IKE(Internet Key Exchange)
IKE协议主要是对密钥交换进行管理,它主要包括三个功能[5]:
(1)对使用的协议、加密算法和密钥进行协商。
(2)方便的密钥交换机制(这可能需要周期性的进行)。
(3)跟踪对以上这些约定的实施。
1.3 VPN的优势
VPN网络给企业所带来的好处主要表现在以下几个方面。
1.3.1 节约成本
这是VPN网络技术的最为重要的一个优势,也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示,拥有VPN的企业相比起采用传统租用专线的远程接入服务器或 Modem池和拨号线路的企业能够节省 30%到 70%的开销[6]。对于出差在外地的移动用户来说只需要接入本地的 ISP就可以与公司内部的网络进行互连,大大减少了长途通信费。企业可以从他们的移动办公用户的电话费用上看到立竿见影的好处。
1.3.2 增强的安全性
目前 VPN主要采用四项技术来保证数据通信安全[7],这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)[8]。在用户身份验证安全技术方面,VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证[9-13],增强了通道和数据流的安全性。
1.3.3 支持新兴应用
许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音、IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等,而且随着网络接入技术的发展,新型的 VPN技术可以支持诸如 ADSL、Cable Modem之类的宽带技术。
2 VPN技术在葛洲坝集团水泥分公司的应用
2.1 项目背景
为了贯彻集团公司信息化的步伐,更好更快、好中求快的壮大水泥板块,加快企业信息化发展,我们需要对VPN网络建设进行认真的思考和分析,既要能保障企业集团化网络建设的顺利进行,又能更好的运维集团化网络系统及业务应用系统,保证企业信息化业务系统的正常运作。采用了基于IPSec的VPN技术做为平台而实施[14-16]。
原有网络结构存在的不足主要体现在:
(1)单核心:目前核心交换机只有一台 H3C S5600,核心交换机宕机时,只能手动的切换到备用交换机,切换时间至少需要 15分钟,之间会直接导致业务系统不能使用。
(2)平面二层结构:目前接入交换机都是普通二层交换机(甚至还有很老的HUB),它们和核心交换机之间的连接没有跨越路由,导致当接入交换机出现病毒或其他故障时,可以方便的传递到核心,影响网络的稳定性和安全性。
(3)接入交换机老化。目前接入交换机都是以前的功能低下的交换机,不支持802.1x、CL等安全管理和控制的协议,无法保障接入用户的安全访问[12]。部分接入交换机设备见表1。
表1 部分接入交换机设备表
(4)有新建的分子公司接入,但是没有构建安全的访问通道及统一的规划。
(5)原有络建设其实是处于无序进行的阶段。各部门机构独自建立网络,在网络建设时使用的设备、服务器性能不一致,所使用带宽也不尽相同,技术参数也无法统计。一旦集团公司统一使用管理软件及业务应用系统,将会导致部分网络能够支持、部分网络不能支持系统要求的情况出现。
2.2 设计方案
由于原有网络存在一定的问题和企业快速的发展,综合几方面因素,我们选择两家网络运营商(电信、联通)来给我们提供专线光纤接入公网,以保障其中一个运营商的接入链路发生故障,广域网不会全线中断,从而保障各分子公司数据传输的稳定。各下属分公司选择电信或联通一家提供专线光纤的接入。在总部和分子公司分别接入防火墙+VPN的设备,就可以将总部与各分公司的局域网组建成一个广域网了。组建方案见图1。
图1 广域网建设—VPN安全系统构成
基于公网的 VPN技术及在大型企业集团中的应用的IPSEC+VPN解决方案,主要由VPN接入网关子系统、企业总部及分子公司局域网子系统两个部分组成。
2.2.1 VPN接入网关子系统
总公司以电信的一条30MB专线光纤互联主链路为主干架设,而分子公司以电信的一条10MB至15MB专线光纤为主链路。VPN接入网关子系统设备是整个VPN系统的核心部分,其设备既可以采用H3C secpath系列来实现,也可以采用华为3COM高性能的AR系列路由器来承担。总公司选择H3C的SecPath系列F1000-S防火墙做VPN互联,分子公司则采用H3C的SecPath系列F100-S/E防火墙做VPN互联。在外出差或想要连回总部或分子公司的使用者也可使用PPTP或IPSec方式连回企业网络。
SecPath系列VPN安全网关是华为3Com公司面向企业用户开发的新一代专业安全网关设备,具有非常高的性能以及丰富的功能特性。VPN安全网关支持防火墙、AAA、NAT、QoS等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络,支持多种 VPN业务,如 L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN等,可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。
2.2.2 企业总部及分子公司局域网子系统
对于企业总部内部网络结构,主要关注了以下几个问题:
(1)构建稳健的双核心。
采用二台H3C公司的S5600核心交换机做双机热备的容错机制构成稳定的双核心,以保证全网到核心的链路连接的安全、可靠。当其中某一条链路发生故障时,避免全网瘫痪的极端故障发生。
(2)构建三层结构。
水泥分公司总部区域网络设计遵照标准的“核心-汇聚-接入”三层设计理念,核心层交换机主要用于高效地执行路由管理、网络管理、网络服务、核心数据处理等功能;汇聚层交换机则主要用于汇聚各接入交换机,该交换机需要具有完善的三层功能,在提供高效数据转发的同时,能够提供强大的安全控制功能,水泥分公司可在部分重要区域(例如服务器区、财务部等)部署汇聚交换机;接入层交换机则直接面向终端用户,提供信息点接口。整个网络分层次的结构便于管理,有利于未来网络规模的扩展,同时也方便我们灵活地设计网络带宽。初期建设,骨干网传输带宽为千兆,并且百兆直接至用户。随着未来应用的增多,对带宽要求的提升,可以逐级升级网络带宽,从而充分体现网络的灵活扩展性以及灵活地升级功能。
(3)安全,建设可信办公网。
企业内部门较多,而各个部门的安全级别不一样,例如财务和技术部门的安全级别就高于后勤等,因此要求全网支持VLAN划分,隔离用户信息互通,从而提高网络安全。同时,通过ACL的控制,限制员工对于受限资源的访问,例如公司重要信息、QQ、BT等,以确保部门安全,提高工作效率。
(4)强化网络的科学管理。
以往我们的网络架构比较简单,没有网络管理的手段,只能靠人工管理。集团网建设好后,日常的网络仅凭人工管理是不能满足需要的,需要强化网络的科学管理。我们计划部署一套网管软件来加强网络的科学管理,满足系统长期安全、稳定、高效运行的需要。
(5)系统平台的可用性和扩展性。
该平台组建完成后,留有20个局域网的连接接口。各分子公司自己的局域网组建完成后,能很便利的与总部中心网络进行对接互联,能满足当前至8~10年的集团应用系统需求。还留下将来的视屏会议和IP电话的预留平台,若有需要,只需添加视屏会议和IP电话的相应设备,网络架构上无需改动。
2.3 应用效果
在基于公网的VPN技术及在大型企业集团中的应用建成后,形成了以总部为核心,其他各分子公司为支点的,由点到面,由两级到三级的网络布局,做为企业业务系统的基本支撑平台,并为以后的业务扩展提供一定的空间。企业通过VPN建立高效的内部或外部网络,除了能提高企业的运作效率、节省成本、增大企业竞争力外,还可以节省各项费用。然而,成本的节省并不是VPN的唯一优点,严格的安全控制及简便的安装更为企业带来便捷。VPN 网关支持多种安全技术,从而能保障存取控制和数据统一,所有敏感数据都将被保护在专用通道中并以标准或三重DES加密。同时,VPN网关的客户端设备易于安装,所有安全功能对最终用户都是透明的。
通过 VPN服务还能帮助企业用户拓展一系列基于Web的新商机。VPN不仅降低了远程访问的成本,更具战略意义。首先,VPN提供了可以对互联网延伸到的各个地方进行的访问的能力;其次,VPN支持丰富而灵活的下一代通讯。VPN最大的价值还体现在安全性上,它可以使任何被授权的用户在空闲的带宽中建立自己的安全链路。
当总部与分子公司的网络建成后,《葛洲坝水泥厂分布式销售系统》这一项目总部的应用及数据服务器与网络的结构见图2。
图2 总部销售系统服务器与网络拓扑图
3 总结
总之,VPN是一项综合性的网络新技术,即使在网络高度发达的美国也才推出不久,但是已显示出强大的生命力,Cisco、3Com、Ascend等公司已推出了各自的产品。但是 VPN产品能否被广泛接受主要取决于以下两点:一是 VPN方案能否以线路速度进行加密,否则将会产生瓶颈;二是能否调度和引导VPN的数据流到网络上的不同管理域。
结合集团化方向发展的葛洲坝水泥分公司的实际情况而应运而生的基于公网的 VPN技术及在大型企业集团中的应用,平台的建设肯定还存在一些不足之处,在以后的信息化发展中将结合暴露出来的问题逐步完善,以求最终建成一个能满足实际应用需求的VPN应用平台。
[1] 王达. 虚拟专用网(VPN)精解[M]. 北京: 清华大学出版社, 2004.
[2] 张引明. SSL VPN 服务器的研究与设计[D]. 武汉: 华中科技大学, 2004.
[3] Snader J C. VPNs ILLUSTRATED: Tunnels, VPNs, and IPSec[M]. Addison-Wesley, 2006.
[4] Khanvilkar Shashank,Khokhar Ashfaq. Experimental evaluat- ions of open-source linux-based VPNs of solutions[C]. Proceedings-13thInternational Conference on Computer Communications and Networks, ICCCN2004, 2004:181-186.
[5] Fisli R. Secure Corporate Communications over VPN-BasedWANs, Masters Thesis in Computer Science at the School of Computer Science and engineering, Royal Institute of Technology, Sweden, 2005.
[6] Khanvilkar S, Khokhar A. Virtual Private Networks: An Overview with Performance Evaluation[J], IEEE Communications Magazine, 2004(10): 146-154.
[7] Berger T, Analysis of current VPN technologies[C], in The First International Conference on Availability, Reliability and Security, 2006. ARES 2006, 2006: 8-13.
[8] Khanvilkar S, Khokhar A. Experimental Evaluations of Open-Source Linux-bases VPN Solutions[M]. 2004: 181-186.
[9] DONG Lijun, YU Shengsheng, OUYANG Kai. The Dynamic Endpoint-Based Access Control Model on VPN[C]. International Conference on Networking, Architecture, and Storage, 2007. NAS 2007, 2007: 44-54.
[10] OUYANG Kai, ZHOU Jing-li, XIA Tao, YU Sheng-sheng, An application-layer based centralized information access control for VPN[J]. Journal of Zhejiang University Science A,2006,7(2): 44-48.
[11] 陶国芳, 张量.帧中继环境下 IPSecVPN 的配置实现[J]. 微计算机信息, 2006(22): 134-136.
[12] 孟艳红, 秦维佳, 辛义忠. 基于数据加密的网络通信系统的设计与实现[ J]. 沈阳工业大学学报, 2004(1): 83-87.
[13] 王凤英. 基于高维混沌离散系统的动态密钥3DES 算法[ J] . 微电子学与计算机, 2005(7): 25-28.
[14] Richard Deal. Cisco VPN完全配置指南[M]. 姚军玲, 郭稚晖. 译. 北京: 人民邮电出版社, 2007.
[15] 高海英, 薛元星, 辛阳, 等. VPN 技术[M]. 北京:机械工业出版社, 2004.
[16] 高国祥, 周岩松. VPN 技术在沈阳水利信息网中的应用[J]. 东北水利水电, 2008(6): 68-69.
VPN Technology Based on Public Network and Its Applications in Large Enterprise Groups
LONG Cheng-liang1, HUANG Qiu-gen2
( 1. Cement Branch of China Gezhouba Group Co., Ltd., Jingmen Hubei 448000, China; 2. College of Computer Science, WUSE, Wuhan Hubei 430073, China)
Virtual Private Network(VPN) technology is a novelty hot spot in the field of today’s network technology. Presently, network connections between enterprises as well as those between their corporate headquarters and branch offices have become more and more frequent, which often go across boundaries of systems and regions with complexities within and between the networks, at the consequence of high costs in business telecommunications access with problems in management and security. The birth of VPN network technology has properly solved the matter of information exchange and data exchange between corporate headquarters and their branches. In the paper, Distributed Sales System in Gezhouba Cement Plant has been exemplified to illustrate public network-based VPN technology and its applications in large enterprise groups.
VPN; enterprise network construction; remote access; sales system
O241.6
A
1009-5160(2010)02-0044-04
*通讯作者:黄求根(1945-),男,教授,研究方向:计算机应用.基金项目:中国葛洲坝集团水泥公司分布式销售系统.
