杨阳 罗清 江苏省广播电视总台广播传媒中心

1. 前言

广电办公网特别是涉及公网的业务，一直以来都谨慎地与互联网对接。随着融合媒体的迅速发展，江苏广播办公网台外业务依赖的智能手持终端趋于多样化，对自身网络需求越来越高。2017《年网络安全法》的颁布，网络安全加固也越来越受重视。由于网站已全部迁移至荔枝云，现有公网业务仅服务于台内人员的办公需求，如OA和文稿系统，因此，我部门拟关闭原有公网地址。依托现有的技术框架，VPN技术可经济安全地实现多终端方便安全使用内部系统的迫切需要。

2.VPN技术概述

VPN 即虚拟专用网，是指采用隧道技术以及加密、身份认证等方法通过公用网络建立一个临时、安全的连接。VPN 发展至今已经不再是一个单纯的经过加密的访问隧道，它融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，并在全球的信息安全体系中发挥着重要的作用。VPN具有两个含义：首先，它是“虚拟”的，不再使用长途专线建立私有数据网络，而是将其建立在分布广泛的公用网络；其次，它是一个专网，每个 VPN 的用户可以临时从公用网络中获得一部分资源供自己使用。

3. 江苏广播VPN方案

江苏广播台内办公网出口链路如图1所示，防火墙为启明星辰安全网关，出于经济可行和技术易实现的角度考虑，采用防火墙的VPN功能模块，通过L2TP+IPSec的方式，使得用户可以在互联网上构建一条访问台内资源的专用安全通道。L2TP 是国际标准隧道协议，能以隧道方式使 PPP 包通过各种网络协议，包括 ATM、SONET 和帧中继。

图1 江苏广播VPN方案拓扑

1）目前，中心网络的出口网关边界为防火墙，采用防火墙的VPN功能模块，建立一套既安全又经济可行的组网方案。配置流程如下：

（1）配置防火墙网络环境；

（2）配置VPN规则，确定本地子网为本端公网口地址；

（3）配置网关IKE；

（4）配置客户端隧道；

（5）启用隧道；

（6）添加L2TP账号信息；

（7）配置L2TP参数；

（8）添加防火墙安全策略；

（9）客户端设置。

2）安全性：VPN采用隧道加密技术，保证了互联网中数据通道的完整性、数据源认证和抗重放保护服务，并增加了数据保密和有限的数据流保密服务；对终端网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，通过使用有效的用户认证（用户名+密码+预共享密钥）技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限。具体规则如下：

（1）VPN的访问权限进行分组；

（2）VPN的用户及密码简历；

（3）访问文稿用户的策略配置；

（4）访问OA用户的策略配置。

4.推广应用与参数配置

经济安全的VPN建设方案，特别是采用L2TP+IPSec的方式，即不需要客户端直接在终端本地配置VPN，其实是以牺牲一定的终端兼容性为代价的。本文也重点阐述了在多终端平台上的实现，考虑到对台内员工推广VPN，我们技术开发运维团队服务到个人，在反复的技术服务过程中中，我们同时也整理了大量的多终端兼容性问题的解决办法。详细如下：

1）Windows平台：微软操作系统客户机针对连接互联网网关NAT-T功能关闭或对VPN支持性不好，主要是对GRE及PPTP协议的NAT-T不支持。可打开网关路由的NAT-T功能，如果还是出现错误，则需要更换网关设备，现在市面上大多数设备已经支持。通过更换路由器或使用L2TP协议的VPN连接,需要打L2TPVPN补丁。如有VPN连接报错可修改系统相关服务，为方便高效解决故障，可做成REG文件，执行完重启系统即可。Reg文件内容如下：（经测试win10、win7可通过此文件解决VPN连接问题）Windows Registry Editor Version 5.00

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetservicesRasManParameters]"ProhibitIpSec"=dword:00000001

[H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesPolicyAgent]

"AssumeUDPEncapsulationContextOnSendRule"=dwo rd:000000022）

图2 Win10操作系统VPN主要配置

移动端Mac、IOS平台：苹果系统对L2TP方式兼容性较好，按如下配置即可：3）移动端安卓平台：按图4配置：

图3 IOS操作系统VPN主要配置

图4 安卓操作系统VPN主要配置

5.总结

在经济性方面，基于防火墙的VPN功能模块，无需增加设备，只需前期开发运维人员配置好相关功能，后期做好多终端VPN的操作指南，如当前使用主流的win7、win10和mac等系统配置方式，极大降低了实施和维护成本。

在管理运维方面，VPN 支持多种类型的数据流，新增节点也只需要在逻辑上进行设置，对于任何地理位置的接入点都不需要建立物理直连线路，只需在VPN上配置安全连接信息即可。在授权允许下，广电维护人员或合作伙伴都可以随时随地办公，完全控制自己的专有虚拟网络的安全策略及网络管理设置，自主性与私密性同时具备，满足便捷安全办公需求。

随着企事业单位互联网业务不断扩大，对整体网络性能要求也越来越高，建设一个更加高效、安全、灵活、完善的企业网络也势在必行。针对多系统、多终端的互联网用户接入企业网络的需求，同时考虑到企业的技术实施运维成本和安全性，基于防火墙的VPN技术的引入，恰好解决了这些需要。本文旨在分析不同平台下的VPN接入方法，结合江苏广电的网络特点，提出了VPN在实际需求中的应用。新时期下对网络安全的重视程度越来越高，随着网络安全加固的持续投入与管理，VPN将在广电会有更广泛、更系统化的应用。