陈林

【摘 要】随着企业规模的扩大与网络技术的普及，越来越多的企业开始构建自己的分支机构，并且有更多的移动办公人员需要进行远程访问企业内部的网络，故这一需求促进了VPN技术的发展。随着VPN技术应用的日益广泛，IPSec已经成为实现VPN的主要技术。结合IPSec VPN技术的特点，将此技术应用企业网的扩张与建设中，用于提供低成本、高效、可靠、安全的网络数据传输。在本次企业接入方案中，将实现总部网络的规划及设计，分部及移动办公人员的设计，最后利用GRE、NAT、IPSec三项技术实现分部对总部的VPN接入。在移动办公人员接入方面，使用L2PT隧道技术保证移动办公人员灵活地接入企业总部网络。

【关键词】企业网；VPN；IPSEC；L2TP；GRE

一、课题来源

Internet本质上是一个开放的网络，没有任何安全措施可言。隨着Internet应用的扩展，很多要求和保密的业务需要通过Internet实现。VPN（Virtual Private Network）的概念最早是从专线引发的。先举一个例子说明为什么需要VPN，例如一个公司在全国各地都有分公司，那么通常它必须租用专线实现企业内部的互联网络，这种方式需要在两地或多个地点之间租用长途线路，不论是否有数据传输这条长途线路都固定分配，用户付出的代价很高。故这一需求促进了VPN技术的发展。VPN可以给企业带来更大的灵活性和更高的生产力，用户几乎可以从任何地方的远程站点和远程办公室安全地连接到企业的网络。VPN对数据加密阻止非法用户破译。VPN也允许远程主机访问防火前的内部，远程用户就像在公司内一样使用网络设备。因此，研究VPN在企业中的接入显示出迫切性和现实性。

目前很多企业都面临着这样的挑战：企业分公司、经销商、合作伙伴、客户和移动出差人员要求随时经过公用网访问公司的资源，这些资源包括：公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。为了解决这些问题，目前很多企业通过使用IPSec VPN和L2TP VPN技术来保证公司总部和分支机构以及移动工作人员之间的安全连接。

二、企业与应用接入需求分析及方案选择

（一）需求分析

某企业为一家中大型企业，总部设在北京，是整个企业的中心点。随着企业规模的扩大与业务的需要，在长沙建立了一个分部站点，该站点在工作中必须和总部保持顺畅的通信。除此之外，还有大量的移动办公人员需要适时地接入到总部进行办公。同时企业对公司网络接入的需求为：价格低廉、接入方式多又容易、对宽带要求高、对数据传输的安全性越来越高、可靠性要求高等。

（二）企业接入方案选择

虽然专线网络在带宽上有明显的优势，但由于专线网络具有的一些固有缺陷，比如在费用上的开销很大，一般企业难以接受太高的价格。然而VPN的目的就是通过公用网络将异地的网点互联，实现一个私有网就像用专线联接起来的一样，其实现的方式就是在公网上建立某种形式的链路作为IP的隧道进行异地网点互联。在公网上实现 VPN ，用户只需要付出到网络服务提供商的本地线路费用，并且在没有数据传输时可以断开连接进一步节省了开销。通过对上述接入接入方案的对比以及考虑到企业对网络的需求，最终选用虚拟专用网（VPN）的解决方案。此外VPN还能够对数据流进行加密保护，实现了对重要数据的保密。所以，VPN接入是个不错的选择。

三、整个企业VPN接入介绍

（一）企业总部模块：由多台交换机与路由器搭建成，核心交换机与路由器运行OSPF路由协议，加快链路的快速收敛；2台总部核心交换机与边界路由器使用静态浮动路由对接；总部模块的核心交换机做DCHP，为总部用户分配IP地址；边界路由器接入Internet；总部模块使用GRE协议实现和企业分部模块的连接，共同运行OSPF路由协议等。

（二）企业分部模块：分部申请一个固定的公网IP地址，使用GRE协议实现和企业总部模块进行连接，和总部共同运行OSPF路由协议协议；分部要求通过总部边界路由器访问Internet，不允许单独上网等。

（三）移动办公用户接入模块：移动用户接入模块通过L2TP隧道可以访问总部及分部的资源；L2TP拨入采用PPP Chap认证等。

（四）企业设备选择：

汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

四、结论与展望

通过本次设计，主要实现了利用VPN技术来解决企业网内的互联，即通过不安全的Internet来传输数据信息。企业网的总部和分部之间，通过IPSEC技术和GRE隧道技术的结合，即GRE OVER IPSEC与IPSEC OVER GRE技术，可以实现总部与分部的连通性，并且解决了数据在Internet传输的不安全性。企业网的总部与移动办公人员之间，通过建立L2TP隧道的方法，可以实现出门在外的移动办公人员可以随时地通过Internet连接到企业，访问企业的内网资源，有效的提高了办公效率。

此企业的VPN接入只是一个普遍案例，适用于大多数需要VPN的企业。然而VPN接入方面还有许多技术，比如在L2TP的隧道上再结合IPSEC的加密，实现L2TP OVER IPSEC，这样就保证了移动办公的数据可以被加密。还比如分部是通过拨号上网，公网IP地址是活动的，那么又是一种和本次设计不一样的情况。VPN技术不仅仅只有IPSE、GRE、L2TP等技术，诸如MPLS VPN技术也可以实现企业的接入。

通过对此案例的设计，让我学习到了新专业技能，对VPN有了更深一步的了解，也加强了自己的动手实践能力。在此次VPN的设计中，由于本人对知识的掌握程度和技能的不足，在理论和实现上难免会有许多的错误，真诚地希望能得到老师们的指导，这样才更能够加快提升自己的能力。