[摘 要] 本文中主要通過路由器端以及PC機(jī)中服務(wù)器端和客戶端的相關(guān)配置，采用IPSec協(xié)議構(gòu)建中小型企業(yè)VPN虛擬專用網(wǎng)。該VPN虛擬專用網(wǎng)建成后大幅度提升了網(wǎng)絡(luò)潛力，消除以前企業(yè)內(nèi)網(wǎng)用戶與其它Internet用戶共用同一通訊網(wǎng)絡(luò)所帶來的安全方面的顧慮，從而為企業(yè)提供了一個高安全性、高性能、高可用性和多協(xié)議穩(wěn)定共存的網(wǎng)絡(luò)通信環(huán)境。

[關(guān)鍵詞] VPN技術(shù) 路由器 IPSec協(xié)議 虛擬專用網(wǎng) 構(gòu)建

對于21世紀(jì)的企業(yè)來說，為強(qiáng)化管理和降低運(yùn)作成本，保證信息流通及時(shí)快捷，提高競爭力，實(shí)現(xiàn)企業(yè)利潤最大化的目標(biāo)，無疑需要構(gòu)建高效便捷的企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)。企業(yè)中各業(yè)務(wù)單元和員工通過內(nèi)部網(wǎng)絡(luò)能夠迅速共享并交互信息知識，從而將分散的能力轉(zhuǎn)化為團(tuán)隊(duì)和集體力量，增強(qiáng)企業(yè)的競爭力。

VPN是一種相當(dāng)實(shí)用的企業(yè)網(wǎng)絡(luò)優(yōu)化運(yùn)用技術(shù)。基于這種技術(shù)的產(chǎn)品已經(jīng)廣受青睞，不少企業(yè)用戶也開始籌劃組建自己的VPN網(wǎng)絡(luò)?，F(xiàn)VPN技術(shù)的應(yīng)用已經(jīng)非常普遍，已成為企業(yè)組建本企業(yè)廣域網(wǎng)、建立移動辦公機(jī)制的主流網(wǎng)絡(luò)技術(shù)。

一、意義、目標(biāo)和總體方案

1.設(shè)計(jì)意義

通過功能模塊的設(shè)計(jì)，企業(yè)使用VPN技術(shù)組建網(wǎng)絡(luò)可以帶來以下好處:

（1)降低費(fèi)用:首先遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請賬戶登錄到Internet，以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低;其次企業(yè)可以節(jié)省購買和維護(hù)通訊設(shè)備的費(fèi)用。

（2)增強(qiáng)的安全性:VPN 使用三個方面的技術(shù)保證了通信的安全性:通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。

（3)網(wǎng)絡(luò)協(xié)議支持：VPN支持最常用的網(wǎng)絡(luò)協(xié)議，基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN。這意味著通過VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。

（4)IP地址安全:因?yàn)閂PN是加密的，VPN數(shù)據(jù)包在Internet中傳輸時(shí)，Internet上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。

2.設(shè)計(jì)目標(biāo)

VPN相對于專線而言，在價(jià)格上有著絕對的優(yōu)勢；相對于普通PSTN撥號連接，VPN在安全性、保密性上更勝一籌。企業(yè)通過使用VPN技術(shù)組建網(wǎng)絡(luò)，可以保證數(shù)據(jù)在傳輸過程中的安全性和QOS（服務(wù)質(zhì)量保證）。VPN具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)擴(kuò)充與遠(yuǎn)程辦公室、國際區(qū)域、遠(yuǎn)程計(jì)算機(jī)、漫游的移動用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時(shí)擴(kuò)大VPN的容量和覆蓋范圍，因此可以大幅度降低數(shù)據(jù)通信的費(fèi)用。

3.總體方案

使用基于IPSEC協(xié)議的VPN技術(shù)組建企業(yè)網(wǎng)，通過雙方路由器端的設(shè)置，Windows 2000 Server 服務(wù)器的配置和客戶端端撥號軟件的設(shè)置。使得一個企業(yè)總部與分公司或者是合作伙伴能夠使用現(xiàn)有網(wǎng)絡(luò)連接建立虛擬隧道連接。通過設(shè)置賬號，密碼以及權(quán)限，移動辦公人員可以隨時(shí)隨地通過接入Internet，查看企業(yè)內(nèi)部資料。

二、具體設(shè)計(jì)方案

1.需求分析

在本文設(shè)計(jì)的企業(yè)模型中，企業(yè)內(nèi)部以及各分支機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)行有多種企業(yè)應(yīng)用，如總部內(nèi)建設(shè)WWW、文檔共用服務(wù)、視頻會議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動化系統(tǒng)、公司ERP系統(tǒng)等。公司在未來可能開發(fā)更多的內(nèi)部應(yīng)用，如Client/Server模式的應(yīng)用(TCP、UDP或TCP/UDP協(xié)議的應(yīng)用)，公司通過防火墻接入Internet。而目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問。

隨著企業(yè)規(guī)模的擴(kuò)大，業(yè)務(wù)量也隨之逐漸增加，各地分公司、辦事處的業(yè)務(wù)部門之間的信息交互也日漸頻繁，部門間經(jīng)常需要傳遞一些重要的數(shù)據(jù)和信息，對于數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程中的安全性要求顯得越來越重要。目前僅僅依靠Modem撥號、ADSL以及專線的組網(wǎng)模式已經(jīng)越來越不適應(yīng)本企業(yè)對信息傳輸平臺的要求了。為了實(shí)現(xiàn)在整個企業(yè)范圍內(nèi)，能實(shí)時(shí)地與各異地分支機(jī)構(gòu)互聯(lián)。能夠很好地為各分支機(jī)構(gòu)提供各類現(xiàn)存服務(wù)，急需建設(shè)覆蓋各個異地分支機(jī)構(gòu)的信息服務(wù)網(wǎng)絡(luò)。

根據(jù)企業(yè)情況，可以從經(jīng)濟(jì)、安全、經(jīng)營方面考慮該企業(yè)的建網(wǎng)需求。

(1)從經(jīng)濟(jì)角度考慮，電信提供的專線組網(wǎng)方式費(fèi)用比較昂貴。企業(yè)在其他城市設(shè)立了許多家分支機(jī)構(gòu)，同時(shí)擁有緊密型的合作伙伴，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點(diǎn)數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費(fèi)用和專線租用費(fèi)會給該企業(yè)帶來很大的壓力。

(2)從安全方面考慮，電信提供的DDN、ADSL等傳輸平臺沒有經(jīng)過加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，將給企業(yè)造成不可估量的損失。

(3)從經(jīng)營角度考慮，該企業(yè)需要一個實(shí)時(shí)的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺，來滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)，適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。

根據(jù)對該企業(yè)網(wǎng)絡(luò)需求進(jìn)行的深入了解和分析，此次VPN網(wǎng)絡(luò)方案實(shí)施將在保留原有網(wǎng)絡(luò)環(huán)境的情況下，將需要提供以下的一些具體的設(shè)置以滿足該企業(yè)需求：

①實(shí)現(xiàn)總公司內(nèi)部區(qū)域網(wǎng)絡(luò)互聯(lián)，以及分公司、各分支機(jī)構(gòu)和辦事處的內(nèi)部區(qū)域網(wǎng)絡(luò)互聯(lián)；

②客戶、合作伙伴或分公司可以安全訪問公司授權(quán)訪問的企業(yè)內(nèi)部網(wǎng)絡(luò)資源；

③出差員工利用筆記本或公共電腦（如機(jī)場候機(jī)廳的電腦）也能夠較安全地訪問公司內(nèi)部網(wǎng)絡(luò)資源；

(4)總部內(nèi)網(wǎng)保證至少100臺電腦接入Internet，還要考慮到公司以后的發(fā)展接入點(diǎn)的增加，同時(shí)實(shí)現(xiàn)一級分部通過相關(guān)設(shè)備在連到總部網(wǎng)絡(luò)的同時(shí)還提供訪問公司FTP服務(wù)器，連接公司ERP系統(tǒng)提交與查詢相關(guān)資訊等要求；

(5)可以提供公司出差人員在各地通過互聯(lián)網(wǎng)和公司網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，還提供訪問公司FTP服務(wù)器，連接公司ERP系統(tǒng)提交與查詢相關(guān)資訊等需求；

(6)在各分支機(jī)構(gòu)和總公司之間創(chuàng)造一個集成化的辦公環(huán)境，為工作人員提供多功能的桌面辦公環(huán)境，解決辦公人員處理不同事務(wù)需要使用不同工作環(huán)境的問題；

(7)支持不同機(jī)構(gòu)間資訊傳遞，解決由人工傳送紙介質(zhì)或磁介質(zhì)資訊的問題，實(shí)現(xiàn)工作效率和可靠性的有效提高；

綜上所述，如何快捷地解決該企業(yè)的企業(yè)聯(lián)網(wǎng)問題，如何有效地降低企業(yè)的巨額通訊費(fèi)用，如何很好地解決信息的共享和信息的安全問題是本方案重點(diǎn)討論要解決的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達(dá)到一個全面加強(qiáng)。通過綜合比較，采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴(kuò)展性的優(yōu)點(diǎn)，因此，采用VPN方式組網(wǎng)對該企業(yè)來說是現(xiàn)實(shí)可行的，完全可以滿足企業(yè)的業(yè)務(wù)需要。本次設(shè)計(jì)中采用IPSec VPN方式構(gòu)架虛擬網(wǎng)絡(luò)，從而實(shí)現(xiàn)安全高效的連接。

2.企業(yè)網(wǎng)絡(luò)總體規(guī)劃

在該設(shè)計(jì)模型中，總部和各地分支機(jī)構(gòu)以及相關(guān)的合作伙伴的邊界路由器上均具有一個固定的真實(shí)IP，各地分支機(jī)構(gòu)及移動用戶采用多種接入方式:ADSL， Modem等接入Internet。通過安全網(wǎng)關(guān)在internet上構(gòu)建企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)，并解決企業(yè)內(nèi)部移動用戶的遠(yuǎn)程接入問題。

(1)企業(yè)總部接入方案設(shè)計(jì)。企業(yè)總部是整個企業(yè)的核心部分，重要信息的交互、共享，重要數(shù)據(jù)的頻繁傳輸，組成了該企業(yè)的業(yè)務(wù)流。隨著企業(yè)信息化程度的不斷加深，各種應(yīng)用系統(tǒng)會逐步得到應(yīng)用。E-mail郵件系統(tǒng)，業(yè)務(wù)數(shù)據(jù)傳輸系統(tǒng)、視頻會議系統(tǒng)、隨之而來，信息安全問題也會成為企業(yè)關(guān)注的焦點(diǎn)。目前，該企業(yè)總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)直接接入Internet?？紤]以后總部業(yè)務(wù)需求的發(fā)展和承擔(dān)的重要任務(wù)，在總部要安裝VPN服務(wù)器，在網(wǎng)絡(luò)出口處配置VPN功能路由器。

(2)分支機(jī)構(gòu)及合作伙伴接入方案設(shè)計(jì)。由于各地分支機(jī)構(gòu)需要與該企業(yè)總部進(jìn)行大量的信息交換，并且隨著辦公自動化系統(tǒng)的應(yīng)用加深，物流、資金流在企業(yè)Intranet網(wǎng)上的頻繁傳輸，為了保證總部與分支機(jī)構(gòu)、總部與合作伙伴之間進(jìn)行安全的信息傳輸，我們可以根據(jù)各機(jī)構(gòu)的不同情況，分別對路由器進(jìn)行配置。通過配置，分支機(jī)構(gòu)可以擁有對總部訪問的全部權(quán)限，而合作伙伴只能查看部分資源。

(3)移動用戶的遠(yuǎn)程安全接入方案設(shè)計(jì)。在外出差的移動用戶可以通過安裝在筆計(jì)本上的客戶端撥號軟件，隨時(shí)通過接入當(dāng)?shù)氐腎SP。接入Internet后，使用該軟件和遠(yuǎn)端的安全網(wǎng)關(guān)建立加密隧道，安全接入公司總部和各個分公司，在任何地方使用公司內(nèi)部的OA系統(tǒng)。

3.企業(yè)網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)

本設(shè)計(jì)中，由于企業(yè)下屬的分支機(jī)構(gòu)和合作伙伴數(shù)量較多，在拓?fù)鋱D中只選擇了部分的公司作為說明的對象。通過需求分析以及企業(yè)網(wǎng)絡(luò)的整體規(guī)劃，得出VPN網(wǎng)絡(luò)拓?fù)鋱D如圖1所示：

4.路由器端口及地址規(guī)劃

本設(shè)計(jì)中實(shí)現(xiàn)了公司總部Router A與兩個分公司的 Router B、 Router C以及合作伙伴Router D的VPN互連；通過服務(wù)器和客戶端的相關(guān)設(shè)置，實(shí)現(xiàn)移動辦公用戶與總部服務(wù)器的VPN連接。

下表為相關(guān)的端口和IP設(shè)置。

5.路由器端Ipsec VPN配置的實(shí)現(xiàn)

路由器端Ipsec VPN配置中采用IPSEC方式連接，需要配置一條虛擬隧道，通過隧道虛地址以及訪問控制列表的建立，形成一條安全可靠的數(shù)據(jù)通道，數(shù)據(jù)在其中傳送。

6.Windows 2000下VPN的實(shí)現(xiàn)

為了實(shí)現(xiàn)移動辦公用戶能夠隨時(shí)隨地接入企業(yè)內(nèi)部局域網(wǎng)，查看公司內(nèi)部最新資源，在本次設(shè)計(jì)中采用了自愿隧道技術(shù)建立臨時(shí)的VPN隧道，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須有一臺基于Windows 2000 Server的VPN服務(wù)器。VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，這就要求VPN服務(wù)器必須擁有一個公共的IP地址。當(dāng)客戶機(jī)通過VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由ISP（Internet Service Provider，服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。

主要有三個步驟:

(1)配置VPN服務(wù)器，使之能夠接受VPN接入。

(2)VPN客戶端（Win2000）的配置。

(3)建立客戶端與服務(wù)器間的VPN連接。

當(dāng)VPN客戶機(jī)通過虛擬撥號和VPN服務(wù)器連接成功，VPN客戶機(jī)就成了VPN服務(wù)器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi)，任意一臺計(jì)算機(jī)均可以根據(jù)權(quán)限訪問其他計(jì)算機(jī)上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。

三、關(guān)鍵技術(shù)

1.IKE的配置

用于在兩個通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。安全相關(guān)是IPSec中的一個重要概念。一個安全相關(guān)表示兩個或多個通信實(shí)體之間經(jīng)過了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用 IPSec 進(jìn)行安全通信。IPSec協(xié)議本身沒有提供在通信實(shí)體間建立安全相關(guān)的方法，利用 IKE建立安全相關(guān)。IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式。

2.預(yù)共享密鑰

這個參數(shù)在路由器的VPN基本設(shè)置。對應(yīng)在計(jì)算機(jī)的IP安全策略里的身份認(rèn)證中的預(yù)共享密鑰設(shè)置。

3.ACL的配置:(Access Control List，訪問控制表)

用戶和設(shè)備可以訪問的那些現(xiàn)有服務(wù)和信息的列表。用戶必須具有相應(yīng)的授權(quán)才能修改目標(biāo)的ACL。通常要求用戶提供注冊姓名和口令，它是用來保證系統(tǒng)安全性的一種手段。在本設(shè)計(jì)中，使用該技術(shù)實(shí)現(xiàn)了通過訪問控制列表允許或控制特定IP的訪問規(guī)則，保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

四、設(shè)計(jì)結(jié)果及作用

VPN網(wǎng)絡(luò)建成以后，大大降低了網(wǎng)絡(luò)復(fù)雜度、VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配、VPN組網(wǎng)的靈活方便等特性簡化了企業(yè)的網(wǎng)絡(luò)管理，另一方面，企業(yè)甚至可以不必建立自己的廣域網(wǎng)和接入網(wǎng)維護(hù)系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的ISP來完成；VPN提高了整個企業(yè)網(wǎng)的互聯(lián)性，良好的擴(kuò)展性使得企業(yè)更好、更快地適應(yīng)Internet經(jīng)濟(jì)的發(fā)展，把握商機(jī)；另外，在VPN應(yīng)用中，通過遠(yuǎn)端用戶驗(yàn)證以及隧道數(shù)據(jù)加密等技術(shù)保證了通過公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性。

參考文獻(xiàn):

[1]呂曉波:VPN技術(shù)詳解[EB／OL]．www.1inkwan.com

[2]王 達(dá):虛擬專用網(wǎng)(VPN)精解[M]．北京：清華大學(xué)出版社，2004：5～8

[3]王 群 李馥娟:局域網(wǎng)一點(diǎn)通[M]. 北京:海洋出版社，2001：47～48

[4]黃芙菊 趙 鑫:局域網(wǎng)組建、管理與維護(hù)[M].北京:電子工業(yè)出版社，2004：66～67

[5]劉 瀏 李平均 薛 可:無線局域網(wǎng)環(huán)境下的安全體系結(jié)構(gòu)研究.計(jì)算機(jī)工程，2004:73～75

[6]吳麗華 史烈:基于VPN 技術(shù)的安全無線局域網(wǎng)的構(gòu)建. 計(jì)算機(jī)工程，2005:14～15

[7]張 勇:運(yùn)用VPN技術(shù)構(gòu)建企業(yè)專用網(wǎng)絡(luò)[J]．煤炭工程，2003:75～77

[8]戴蘆生:虛擬專用網(wǎng)技術(shù)及其實(shí)現(xiàn)[J]．安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2004，：267～269

[9]劉繁華:VPN技術(shù)在“校校通”中的應(yīng)用研究[J]．廣西教育，2003：36～38

[10]任小軍:IPSec關(guān)鍵技術(shù)的研究．虛擬專網(wǎng)和IPSec協(xié)議．通信技術(shù)，2002:41～47

[11]李 別:構(gòu)建虛擬專用網(wǎng)(VPN)的技術(shù)策略.中國西部科技，2004:4～7

[12]王 朗：利用VPN 技術(shù)實(shí)現(xiàn)合并圖書館分館互聯(lián).現(xiàn)代圖書情報(bào)技術(shù)，2004:35～38

[13]楚艷萍 季 超:VPN連接的建立和配置.河南大學(xué)學(xué)報(bào)(自然科學(xué)版)，2003:80～81