王 濤李 哲 魏金婷 賀亞美
(1、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廊坊市分公司,河北 廊坊 065000;2、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司邢臺(tái)市分公司,河北 邢臺(tái) 054000;3、中國(guó)人民解放軍第六九一六工廠(chǎng),河北 廊坊 065000)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)提升使企業(yè)內(nèi)部職能部門(mén),企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員等等,需要同企業(yè)總部之間建立快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣實(shí)現(xiàn)這個(gè)網(wǎng)絡(luò)通信環(huán)境,成為時(shí)下很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問(wèn)題。文章就此闡述了基于VPN網(wǎng)絡(luò)的技術(shù)及其應(yīng)用。
1.1VPN網(wǎng)絡(luò)技術(shù)定義。VPN的全稱(chēng)是Virtual Private Network,現(xiàn)在我們一般稱(chēng)為虛擬專(zhuān)用網(wǎng)絡(luò)。它的主要作用就是利用公用網(wǎng)絡(luò)將多個(gè)私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)。通過(guò)這個(gè)公用網(wǎng)絡(luò)進(jìn)行連接可以大大降低通信的成本。
目前,一般來(lái)說(shuō)兩臺(tái)連接上互聯(lián)網(wǎng)的計(jì)算機(jī)只要知道對(duì)方的IP地址,是可以直接通信的。不過(guò)位于這兩臺(tái)計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的,原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議。
1.2 VPN網(wǎng)絡(luò)技術(shù)工作原理。VPN通過(guò)公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái)。減輕了企業(yè)的遠(yuǎn)程訪(fǎng)問(wèn)費(fèi)用負(fù)擔(dān),節(jié)省電話(huà)費(fèi)用開(kāi)支,并且提供了安全的端到端的數(shù)據(jù)通訊。
位于這兩臺(tái)計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的,原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議,即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺(tái)直接和公用連接的計(jì)算機(jī)之間建立一個(gè)條專(zhuān)用通道。私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過(guò)這兩臺(tái)計(jì)算機(jī)或設(shè)備打包通過(guò)公用網(wǎng)絡(luò)的專(zhuān)用通道進(jìn)行傳輸,然后在對(duì)端解包,還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對(duì)于兩個(gè)私有網(wǎng)絡(luò)來(lái)說(shuō)公用網(wǎng)絡(luò)就像普通的通信電纜,而接在公用網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)或設(shè)備則相當(dāng)于兩個(gè)特殊的線(xiàn)路接頭。
1.3VPN網(wǎng)絡(luò)技術(shù)特點(diǎn)
1.31 特點(diǎn)一:成本低。VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上,都比專(zhuān)線(xiàn)式的架構(gòu)節(jié)省,所以它能使網(wǎng)絡(luò)的總成本降低。根據(jù)筆者的分析,在 LAN-to-LAN連接時(shí),用 VPN較使用專(zhuān)線(xiàn)的成本節(jié)省大約在 30%~50% 左右;而就遠(yuǎn)程訪(fǎng)問(wèn)而言,用 VPN更能比直接撥入到企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省60%~80% 的成本。
1.32 特點(diǎn)二:管理方便。VPN使用了較少的設(shè)備來(lái)建立網(wǎng)絡(luò),使網(wǎng)絡(luò)的管理較為輕松;不論連接的是什么用戶(hù),均需通過(guò)VPN隧道的路徑進(jìn)入內(nèi)部網(wǎng)絡(luò)。
1.33 特點(diǎn)三:網(wǎng)絡(luò)架構(gòu)彈性大。VPN較專(zhuān)線(xiàn)式的架構(gòu)有彈性,當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)時(shí),VPN可以輕易的達(dá)到目的,VPN(特別是硬件VPN)的平臺(tái)具備完整的擴(kuò)展性,大至企業(yè)總部的設(shè)備,小至各分公司,甚至個(gè)人撥號(hào)用戶(hù),均可被包含于整體的 VPN架構(gòu)中。
1.34 特點(diǎn)四:技術(shù)安全性高。VPN網(wǎng)絡(luò)技術(shù)主要由三部分組成:隧道技術(shù),數(shù)據(jù)加密、用戶(hù)認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式,并利用IP協(xié)議以安全方式在Internet上傳送;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜?。挥脩?hù)認(rèn)證則保證未獲認(rèn)證的用戶(hù)無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸,因此安全問(wèn)題是VPN技術(shù)的核心問(wèn)題。目前,在我國(guó)VPN的安全保證主要是通過(guò)防火墻和路由器,配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的,以此確保遠(yuǎn)程客戶(hù)端能夠安全地訪(fǎng)問(wèn)VPN服務(wù)器。
VPN網(wǎng)絡(luò)技術(shù)可以給企業(yè)提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境,是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。這項(xiàng)技術(shù)通過(guò)隧道加密技術(shù)達(dá)到類(lèi)似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能,具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪(fǎng)問(wèn),通過(guò)安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶(hù)、現(xiàn)場(chǎng)服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng),此外它還提供了對(duì)移動(dòng)用戶(hù)和漫游用戶(hù)的支持,使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。
2.1VPN網(wǎng)絡(luò)技術(shù)企業(yè)內(nèi)部應(yīng)用。目前,用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)--IP Sec VPN和SSL VPN,IPSecVPN和 SSL VPN主要解決的是基于互聯(lián)網(wǎng)的遠(yuǎn)程接入和互聯(lián),雖然在技術(shù)上來(lái)說(shuō),它們也可以部署在其它的網(wǎng)絡(luò)上,但那樣就失去了其應(yīng)用的靈活性,它們更適用于商業(yè)客戶(hù)等對(duì)價(jià)格特別敏感的客戶(hù)。
針對(duì)IPSec VPN和SSL VPN兩種技術(shù),目前業(yè)內(nèi)存在著較多爭(zhēng)議。在未來(lái),IPSec的市場(chǎng)份額將下降,而SSL VPN將逐漸上升。用戶(hù)在考慮采用哪種技術(shù)時(shí)經(jīng)常會(huì)遇到兩難的選擇,即安全性與使用便利的沖突。IPSec VPN比較適合中小企業(yè),其擁有較多的分支機(jī)構(gòu),并通過(guò)VPN隧道進(jìn)行站點(diǎn)之間的連接,交換大容量的數(shù)據(jù)。企業(yè)的數(shù)據(jù)比較敏感,要求安全級(jí)別較高。企業(yè)員工不能隨便通過(guò)任意一臺(tái)電腦就訪(fǎng)問(wèn)企業(yè)內(nèi)部信息,移動(dòng)辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。
2.2VPN廣域網(wǎng)解決方案的應(yīng)用。目前各行業(yè)網(wǎng)、專(zhuān)用網(wǎng)的應(yīng)用主要有兩個(gè)方面:一方面作為Internet或其他公用網(wǎng)絡(luò)的一部分,組織本行業(yè)是信息資源上網(wǎng);二方面作為一個(gè)內(nèi)部網(wǎng),為本行業(yè)、本系統(tǒng)的內(nèi)部辦公自動(dòng)化和業(yè)務(wù)處理系統(tǒng)服務(wù)。兩者都是采用Internet或其他公用網(wǎng)絡(luò)技術(shù)的IP數(shù)據(jù)通信。對(duì)于各專(zhuān)用網(wǎng)絡(luò)兩種應(yīng)用的第一種應(yīng)用,其解決方案可以根據(jù)網(wǎng)絡(luò)的性質(zhì)和信息資源的服務(wù)對(duì)象,各地就近接入當(dāng)?shù)氐闹袊?guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)或中國(guó)公眾多媒體通信網(wǎng),完全省去了用于連接跨省的DDN專(zhuān)線(xiàn),只需在域名規(guī)劃和信息主頁(yè)設(shè)計(jì)中統(tǒng)一規(guī)劃,統(tǒng)一形象,把有限的人力和物力用于專(zhuān)業(yè)的信息資源開(kāi)發(fā)和深加工。
2.3 基于Internet的VPN網(wǎng)絡(luò)的應(yīng)用。在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天, Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu) Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶(hù)端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端,用戶(hù)的私有數(shù)據(jù)經(jīng)過(guò)隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸,通過(guò)虛擬隧道到達(dá)接收端,接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地傳送給終端用戶(hù),最終形成數(shù)據(jù)交互。
VPN綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量,以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單和低成本,建立安全的數(shù)據(jù)通道。VPN在降低成本的同時(shí)滿(mǎn)足了用戶(hù)對(duì)網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求。
VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過(guò)加密處理的,這條安全通道的協(xié)議必須保證數(shù)據(jù)的真實(shí)性、數(shù)據(jù)的完整性、通道的機(jī)密性,提供動(dòng)態(tài)密匙交換功能,提供安全防護(hù)措施和訪(fǎng)問(wèn)控制,抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力,并且可以對(duì)VPN通道進(jìn)行訪(fǎng)問(wèn)控制。
用戶(hù)需求將成為VPN技術(shù)發(fā)展的動(dòng)力,多形式、多用途、靈活易用、功能強(qiáng)大、服務(wù)優(yōu)異的VPN產(chǎn)品將適用于不同的用戶(hù)群,部署在寬帶、窄帶、撥號(hào)或者移動(dòng)通信網(wǎng)絡(luò)上。
在目前的企業(yè)選擇VPN技術(shù)使用時(shí),我們一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶(hù)的目錄信息存放在一臺(tái)中央數(shù)據(jù)存儲(chǔ)設(shè)備中便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加,修改和查詢(xún)。每一臺(tái)接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù),存儲(chǔ)每一名用戶(hù)的信息,包括用戶(hù)名,口令,以及撥號(hào)接入的屬性等。
為有效的管理VPN系統(tǒng),網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時(shí)跟蹤和掌握以下情況:系統(tǒng)的使用者,連接數(shù)目,異?;顒?dòng),出錯(cuò)情況,以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)記費(fèi),審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。一臺(tái)隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的事件日志,報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。隨著市場(chǎng)應(yīng)用的擴(kuò)大,VPN的管理有待進(jìn)一步加強(qiáng)。
[1]閆曉弟.耶健.基于VPN的電子資源遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)的研究與實(shí)現(xiàn).情報(bào)雜志,2009(8).
[2]王達(dá)等.虛擬專(zhuān)用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2004.
[3]楊永斌.VPN技術(shù)應(yīng)用研究[J].計(jì)算機(jī)科學(xué),2004,(10).
[4]王達(dá)等.虛擬專(zhuān)用網(wǎng)(VPN)精解[M].北京:清華大學(xué)出版社,2004.