王伟聪

【摘要】随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信中小企业所建立的网络信息管理中心，大部分网络和信息资源只允许拥有企业内络IP地址的授权用户访问，对于某些在中小企业通过拨号等方式上网却没有固定IP地址的用户，无法访问中小企业总部资源，该文提出利用vpn技术在企业内网的基础上架构一个安全、可靠的专用虚拟网络 ，专供中小企业管理系统使用。

【关键词】中小企业 网络互联 vpn技术

【中图分类号】G633 【文献标识码】A 【文章编号】2095-3089（2017）20-0028-01

随着我国Internet和信息技术的快速发展 ，人们越来越依赖Internet进行各种数据交换和信息存取，中小企业网络化和信息化建设也进一步完善，应用信息系统逐渐丰富，中小企业信息资源得到飞速的发展，现在企业信息管理系统、企业总部和分公司都离不开信息资源共享。

然而对于中小企业来说，基于安全和公司信息资源保密并不是无限制地对外开放，中小企业许多信息资源仅限企业内访问。此外，许多中小企业为了规范化管理，均采用统一的企业管理系统在企业内网上支撑多分公司中小企业业务，势必存在许多安全隐患，为了安全起见一般采用独立成网，但是这种做法费用高而且不灵活。若能在企业内网的基础上架构一个安全、可靠的专用虚拟网络，专供中小企业管理系统使用，既廉价又方便。

本文介绍了目前电信公司运用VPN技术来解决以上问题的方案。

1.VPN描述

1.1 VPN的定义 VPN（Virtual Private Network，虚拟专用网）是一种通过对网络数据进行封包和加密，在公网如因特网上传输私有数据，同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道，尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。

1.2 VPN的主要特点

1.2.1 网际互联安全性高 VPN技术继承了现有网络的安全技术，并结合了下一代IPv6的安全特性，通过隧道、认证、接入控制、数据加密技术，利用公网建立互联的虚拟专用通道，实现网络互联的安全。

1.2.2 经济实用、管理简化 由于VPN独立于初始协议，用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。

1.2.3 可扩展性好 如果想扩大VPN的容量和覆盖范围，管理者只需与新加入的分馆签约，建立账户；或者与原有的下级组织重签合约，扩大服务范围。在远程地点增加VPN能力也很简单，几条命令就可以使Extranet路由器拥有因特网和VPN能力，路由器还能对工作站自动进行配置。

1.2.4 支持多種应用 由于VPN给我们提供了安全的通道，可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用，如IP语音，IP传真等。

1.2.5 有效实现网络资源共建共享 在网络安全的保证下和认证技术的支持下，可以实现整个VPN体系中互联单位的资源共建共享，避免资源重复开发带来的巨大浪费，甚至可以实现普通读者在家用ADSL来访问公共企业局域网络中的全文数据库。

2.利用VPN实现中小企业网络互联

要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理，并有效地利用各总公司与分公司的资源，进行内部业务交流和开展为企业员公司工作服务，必须解决两个问题：第一，要建立企业网络间的安全通道，保护链路的通讯安全。第二，要根据身份认证实现企业网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。

2.1 采用自建方式构建VPN网络 虽然可以通过ISP（Internet Service Provider，网络服务提供商）的中心交换设备来构建专用通道，但公共中小企业内部局域网互联速度相对较快，所以中小企业VPN网络互联宜采用自建的方式。其优势如下：①多数公共中小企业都具备良好的 计算机基础设施和内联局域网，接入因特网带宽有百兆、甚至千兆，而总馆在这方面的优势更加突出。在此基础上自建VPN，既便捷又经济。②能使中小企业互联网络对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。中小企业信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略，满足不同级别的安全需要。

2.2 VPN类型的选择 目前国内高校大多采用IPSec（IP Security）VPN技术来解决外部公司用户访问校中小企业问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接入方案面对越来越多终端站点时，已日渐显得力不从心。

在此情况下，SSL（Secruity Socket Layer）VPN技术应运而生。SSL VPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处：一是它不需要配置，可以立即安装立即生效和使用；二是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；三是兼容性好，可以适用于任何的终端及操作系统。所有的外部公司用户只需要打开IE浏览器访问中小企业的Internet IP即可成功接入中小企业。

但SSL VPN并不能取代IPSec VPN，因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSec VPN是在两个局域网之间通过Intemet建立安全连接，是实现点对点之间的通信。并且，IPSec工作于网络层，不局限于Web应用。从高校应用来看，由于SSL接人方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说，集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时，就极易造成该IP被禁用，从而导致所有SSL用户无法继续访问中小企业。

为解决这个问题，可以将中小企业大量的外部公司用户分为两类，一类是使用中小企业资源较为频繁、访问数据量较大的用户（比如业务员，但用户数量少）；另一类则是使用次数较少、访问数据不多的用户（比如客户，但用户将数量多）。通过用户划分，我们给企业管理人员用户分配IPSec接入方式，这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题；而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSL VPN无需部署客户端的特性来降低客户端的维护工作量，从而实现VPN在中小企业应用的快速部署。