VPN技术在企业专网建设中的应用研究
2015-04-13岳莹孙广波杨敏王浩杨瑾
岳莹,孙广波,杨敏,王浩,杨瑾
(1.中国联合网络通信有限公司广东省分公司,广东 广州 510630;2.广州杰赛科技股份有限公司,广东 广州 510310)
1 引言
随着办公自动化、信息化的需求日益迫切,企业均着手建设自己的集中信息化平台,通过网络办公、远程办公实现工作的无纸化、流程化、规范化、服务便捷化和成本低廉化。企业仅靠内部局域网已无法满足灵活接入方式的需求,比如对于分支机构多或办公地点分散的企业,可以通过互联网、移动网等公众网络远程接入公司集中信息平台完成异地办公、移动办公的需求。由此,公司内部信息平台将暴露在公网上,也带来了网络信息安全和网络安全的问题。尤其是网络安全,想要在互联网上满足用户的类似专网性能需求,就需要通过在互联网上开通不同的VPN隧道来实现。VPN隧道技术,按照隧道协议工作的OSI层级的不同,有不同的分类。本文从对比不同VPN技术入手,讨论企业虚拟专网建设中如何选择VPN技术的问题。
2 企业专网建设现状
在企业内部各局域网互联的建设中,由于专线自建和专线租用的高额成本限制,一般都是通过租用互联网带宽的方式实现。同时为保证企业内部信息安全,采用VPN 技术使各个孤立的局域网互通,实现大局域网的概念,实现集中设置一套数据库、管理平台、应用系统共享给企业各地局域网用户和管理各局域网内用户和业务。在建设虚拟专网时,企业网络现状一般都会存在如下的问题:
◆网络接入方式简单:为降低费用,多采用家庭宽带方式,企业端网关多采用动态IP地址,没有固定IP地址,VPN建立的条件不具备。
◆资金投入少:一般以实现网络可达为主要目的进行设备选型,选择的设备低端,在网络无故障时,一般很少追加投资进行网络改造建设。
◆缺乏维护手段:企业IT人员一般仅做局域网内IP地址分配、操作系统维护、杀毒等常规工作,对于互联网、广域网无法自主维护。
◆缺少建设部署经验:企业的网络一般作为正常运营的支撑,较少会主动跟踪技术发展。在有建设改造需求时,无相关经验进行选择对比。
在这样的背景下,本文基于互联网VPN技术,对企业虚拟专网建设进行建设应用方案研究,为企业建立跨地域的大局域网。通过互联网VPN技术来实现,既可以以网络安全设置避免企业信息的泄露,同时减少了企业技术难题、建设难度和资金压力。
3 VPN技术分类
按照不同VPN技术的协议在OSI七层模型中的层次,分为SSL VAN、Sock5、IPSec VPN、PPTP及L2TP等。VPN技术分类如表1所示。
按照VPN 的实现主体的不同,可分为由电信运营商负责提供的MPLS VPN、直接由用户自己完成的PPTP/L2TP/IPSec VPN,以及基于浏览器方式的SSLVPN。
表1 VPN技术分类
考虑到PPTP及L2TP是基于链路层的协议,需要在隧道的两端设置L2TP专用服务器,由于在公共互联网上应用存在不足,本文不展开分析。对于常见的VPN技术,分析如下:
◆IPSec
IPSec是网络侧的VPN技术,在终端网络节点之间建立直连隧道,并对传送的数据进行加密和加密后封装,同时支持ACL限制、数据校验验证、数据准确性和可靠性验证等服务。IPSec加密后的数据包为IP数据包,独立于应用层,因此安全服务对OSI上层协议是透明的。
IPSec VPN是在Internet上最常见的方法,主要是针对用户不同局域网之间的互联,对在安全上有加密需求的主要使用IPSec的协议。
◆SSL VPN
SSL协议工作在OSI的应用层,通过SSL连接进行数据传输,是一种在Internet上保证发送信息安全的通信协议。通过在各种应用层协议和TCP/IP协议之间建立可靠的传输协议,为应用层业务提供数据封装和加密交换,为网络连接提供安全认证机制,实现用户使用远程终端访问公司内部服务区,对内部数据进行读写操作。
◆MPLS VPN
MPLS VPN综合了router、switch在路由和交换上的特点,工作在网络层和链路层,采用标签进行数据转发,当分组进入MPLS网络时,在IP标上其分配固定长度的短标签,将标记与分组封装在一起,用标签代替IP包头的作用,在网络上进行转发。在MPLS网络内部的转发路径上,数据包均通过交换标签来实现转发。在数据包离开MPLS网络时,在MPLS边缘节点对数据包解封,再按照IP包的路由方式到达目的地。
4 企业虚拟专网建设中VPN技术的对比 分析
尽管IPSec、SSL和MPLS这3类VPN技术都能实现提供VPN的能力,但这三者因为技术协议、周边资源需求、服务质量等方面的许多不同而存在差异。
4.1 安全性方面
IPSec,通过在OSI的网络层上的加密设置、认证提供、ACL设置等技术手段,增强TCP/IP的可靠性和安全性,使VPN通道很难被篡改。但主要考虑和解决的是网络通道上的安全问题,对于用户主机和局域网则容易遭受数据泄露和病毒攻击,控制手段有限。
SSL VPN建立的是一条OSI的上层协议通道,是基于应用的。用户访问时,通过SSL VPN向SSL服务器发送请求,服务器发送一个提问给用户,用户则返回加密后的提问和其公开密钥,从而实现对远程资源访问的用户权限进行控制盒认证,即使在局域网内部访问,也需对每个用户的访问权限进行控制。
MPLS VPN根据路由协议来传播信息,完成标签分发和通道隔离,利用IP隔离等手段提供防御,但缺点是传输数据是透明的,在VPN被破解后,数据即无安全保护。
4.2 网络服务质量(QoS)方面
IPSec VPN是基于端到端的保护,保证端到端网络通道的安全,在源IP地址和目的IP地址之间的安全特性需要集中服务器或软件的处理能力。并且由于协议的定义,在报文前要添加IPSec数据包头,当数据包的长度超过MTU的长度,该数据包将被分片成多个数据包,使每一片的长度都小于或等于MTU,额外增加了需要传输的数据包数量,而且拆包组包的过程也浪费了时间。另外,IPSec协议包中QoS的字段无法识别,QoS特性无法体现,对不同业务划分服务等级也是无效的。
SSL VPN同IPSec类似,一方面,在传输中经过SSL加密隧道与身份认证会降低传输效率,另一方面由于SSL VPN也是承载在公众互联网上,因此QoS无法得到保证。
MPLS VPN在网络服务质量方面特点突出,MPLS使用标签替换IP地址,避免了网络中逐跳进行路由而带来的跳数过多及路由表更新频繁的问题。标签交换根据业务的不同定义不同的QoS等级,根据QoS分配不同的优先级和不同带宽。
4.3 应用领域和便捷性方面
IPSec工作在OSI协议的第3层,可以使用所有基于IP协议的服务,因此中小企业在组建VPN网络时采用该方式比较广泛。由于该方式需要独立安装客户端来实现,并且VPN连接受NAT的影响,VPN建立需要动态调整。在VPN建立规模较大时,安装和动态调整工作量大,运维困难。
SSL VPN一般结合浏览器方式使用,以作为浏览器插件的方式,省去首先运行应用软件的繁琐,在用户使用体验和后台运维上均较IPSec更好更方便。但SSL VPN也有很大的局限性,如只能应用软件,如基于Web的应用系统、E-mail之类,使用的范围受到影响和限制。
MPL SVPN 首先运行在MPLS 网络上,通过对MPLS网中CE、PE、P设备的配置来实现,对用户侧网络基本无特殊要求。MPLS VPN可以实现所有基于IP的应用,同时由于它具有很好的QoS,因此在企业网中有广泛应用。例如在电子政务网中,不同系统之间的数据要求相互隔离,同时各业务系统之间又存在着互访的需求。
4.4 扩展性方面
IPSec技术本身的特性决定了它主要在小型网络中小规模应用,对于在复杂网络中实现不具有优势,在防止IP地址重复等问题上没有有效的解决手段。IPSec在扩展性方面比较局限,当全网的拓扑结构发生变化时,在需要增加或删除设备时,就要同步改变网络结构中IPSec部署,工作繁琐、可操作性差,所以IPSec在可扩展性方面缺点突出。
SSL VPN是为远程接入而设计的,它基于Web进行访问,使许多设备可以通过支持SSL协议的标准浏览器访问企业内部网络,一些非传统设备也可以随时随地访问接入,扩展性很好。
MPLS属于电信级网络,可根据网络健壮性把网络配置成网状、环状等结构,相应MPLS VPN的可靠性和灵活性也同理,用户侧路由器不需要必须支持MPLS协议,对用户路由器的硬件性能和数据配置要求均不高。当网络规模扩大或拓展时,通过平滑新增用户路由器,在用户路由器和MPLS PE设备之间进行静态路由设置即可满足。同时,由于标签代替了地址,用户可以继续使用原来的IP地址,不需对IP地址重新规划调整。
4.5 经济性方面
采用IPSec VPN方式,当企业地域规模扩大时,每增加一个接入点,就需同步增加一台IPSec设备。企业网络规模随着人员、业务的增大也会同步增大,就需新增设备来满足需要。
采用SSL VPN方式,通过在企业的数据中心放置一台SVN服务器,集中满足所有用户的VPN接入请求,一台设备满足多个网络,所以经济性较好。
MPLS VPN费用相对使用物理专线节省较多,但需要电信运营商提供服务,成本受多方因素影响。总体来看,MPLS VPN一次性建设成本低于IPSec VPN和SSL VPN,但每月额外会有租用成本。
综上分析,IPSec适合于企业有业务网关的场景、有VPN连接需求的解决方案。SSL VPN主要针对区分用户权限,根据不同用户的职责提供不同的访问权限,适合于通过不同网络实现远程接入方案。而MPLS VPN由运营商提供VPN通道,企业以使用为主,无需额外的配置,实现简单,并支持QoS,因此适合于企业无维护人员且对提供差异化服务有要求的情况。
总之,在企业专网部署VPN时,主要根据以上5点考虑不同企业的实现方式。同时, IPSec、SSL和MPLS VPN也可根据需求结合使用,如采用MPLS提供网络VPN方式,再叠加SSL的方式实现对应用层业务的安全保护,对用户信息和数据信息加密。
5 企业虚拟专网接入方案
由上分析,SSL VPN主要是通过在公司总部设置专用设备即可实现,IPSec VPN则需要在企业总部和分支机构之间同时设置专用设备,以上2种方式主要在使用场景上有差别,在专网建设中方案基本类似,因此合并分析。对MPLS VPN在企业专网建设则进行单独分析。
5.1 远程接入SSL VPN/IPSec接入方案
在企业互联网出口处部署安全接入网关SVN,承载远程用户安全接入。公网上的用户通过Web浏览器或者客户端软件的方式对内部网络进行访问。在通过安全接入网关的身份认证、账号检查等策略检查后,用户登录安全接入网关,实现在公网上的内部网络之间加密隧道的建立。之后用户信息和应用数据信息均通过加密隧道在公网上传输,避免了在网络中数据被窃和被修改的风险。
安全接入网关部署在企业防火墙之后,采用旁挂的部署方式,基本不改变原有的网络拓扑结构,实施也不影响改造前业务的正常运行。如有高可靠性要求,也采用双机热备组网,双机之间配置VRRP协议,2台设备对外提供一个公网IP地址供用户访问,当一台设备故障时,VPN业务能够快速切换到另一台安全接入网关,保证了业务的平稳正常运行。
安全接入网关同时支持移动用户通过移动网络使用SSL方式、IPSec方式访问,当采用IPSec方式时,相对于SSL方式仅需在远程接入节点补充增加一台安全网关。SSL VPN/IPSec接入方案如图1所示。
5.2 MPLS VPN接入方案
企业虚拟专用网采用MPLS方式一般都是基于互联网。该方式相对SSL VPN,减少了企业的自建内容,充分利用运营商提供的互联网资源,由运营商的互联网设备提供可配置的MPLS VPN,实现远程接入和接入安全。
图1 SSL VPN/IPSec接入方案
运营商根据企业需求,在业务部署方面,通过互联网接入VPN承载网内用户的访问流量。互联网接入VPN包括3类:
(1)分支机构接入总部的接入VPN
该VPN传送的互联网业务的统一出口在企业总部的互联网出口处。在企业总部所在地的核心路由器上进行MPLS VPN的建立,再与互联网连接,安全网关实施NAT转换和安全防护。
(2)分支机构之间互联的接入VPN
该VPN传送的互联业务的统一出口在各分支机构的互联网出口处,在分支机构所在地的汇聚路由器上进行MPLS VPN的建立后与互联网连接,安全网关实施NAT转换和安全防护。
(3)内部正常访问互联网的接入VPN
网内用户有访问Interent业务的需求,为满足用户需求且保证网络安全,需要加强互联网出口安全管理,逐步减少用户自建出口数量,集中在总部统一接入互联网或个别分支机构。
MPLS方式接入方案如图2所示。
6 结束语
VPN作为一项成熟的技术,被广泛应用于企业总部和分支机构之间的组网互联。充分利用企业已经开通的互联网带宽,虚拟出多条专线,将企业的各分支机构和总部连接起来,组成一个大的局域网,从而安全、高效、经济地满足企业众多分支机构对企业内部应用系统的访问和使用需求。
图2 MPLS方式接入方案
对于中小企业,一般采用SSL VPN的接入方式;对于稍大企业,考虑企业内部局域网的集中管理因素,一般采用MPLS VPN方式。
[1] 王文娟,李绪凯,张天辉,等. MPLS/BGP-VPN技术应用[J]. 计算机与网络, 2015(1): 60-63.
[2] 夏哲学,李东升. 基于MPLS-VPN技术的信息网络融合研究[J]. 中国科技博览, 2015(23): 194-196.
[3] 张凯霞. 基于VPN技术的校园移动OA设计与实现[D]. 南京: 南京邮电大学, 2013.
[4] 刘阳. 基于USBkey认证的SSL VPN网络的设计与实现[D]. 长春: 吉林大学, 2014.
[5] 王妍. 基于IPSec的VPN系统设计与实现[D]. 成都: 电子科技大学, 2013.
[6] 王海萍,邓文雯. VPN技术在电子政务异地协同办公中的应用[J]. 江苏科技信息, 2015(2): 55-56.
[7] 张扬. 基于IPsec的VPN研究[J]. 重庆工学院学报:自然科学版, 2008(1): 115-117.
[8] 吕爱民. IP VPN关键技术的研究及其实现[D]. 成都: 电子科技大学, 2002.
[9] 左鑫. 基于MPLS的VPN技术在校园网中的应用与研究[J]. 电子技术与软件工程, 2015(12): 33-33.
[10] 陈勇. 主流VPN技术的比较及应用分析[J]. 信息系统工程, 2010(7): 74-75.
[11] 余胜生,欧阳长春,周敬利,等. 访问控制技术在SSL VPN系统中的应用[J]. 华中科技大学学报: 自然科学 版, 2006(7): 49-52. ★