王曉紅

（中國飛機強度研究所，陜西 西安 710065）

基于ADSL的企業(yè)虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用

王曉紅

（中國飛機強度研究所，陜西 西安 710065）

本文介紹了以ADSL寬帶連接為基礎(chǔ)的虛擬專網(wǎng)技術(shù)。通過此技術(shù)，企業(yè)可以在公共網(wǎng)絡(luò)上建立虛擬的加密通道，構(gòu)筑屬于自己的安全虛擬專網(wǎng)，從而保證企業(yè)內(nèi)部的數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸?shù)陌踩院捅Ｃ苄浴２⒔Y(jié)合實際案例簡單說明通過硬件VPN防火墻設(shè)備實現(xiàn)加密通道的方法。

ADSL；VPN；加密通道

1 概述

隨著Internet的商業(yè)化，大量企業(yè)的內(nèi)部網(wǎng)絡(luò)與Internet互連，使現(xiàn)代的企業(yè)網(wǎng)的概念發(fā)生了根本性的變化。以往傳統(tǒng)的企業(yè)網(wǎng)絡(luò)互連方式是通過租用專線實現(xiàn)，隨著互聯(lián)網(wǎng)的發(fā)展，推動了采用基于公網(wǎng)的虛擬專網(wǎng)的發(fā)展，使企業(yè)之間、跨地區(qū)的企業(yè)不同部門之間、或者政府的不同部門之間通過公共網(wǎng)絡(luò)實現(xiàn)互連成為可能。但是，如何保證企業(yè)內(nèi)部的數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸?shù)陌踩院捅Ｃ苄裕约叭绾喂芾砥髽I(yè)網(wǎng)在公共網(wǎng)絡(luò)上的不同節(jié)點，成為企業(yè)非常關(guān)注的問題。

虛擬專網(wǎng)技術(shù)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立虛擬的加密通道，構(gòu)筑自己的安全的虛擬專網(wǎng)，通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)。本文主要介紹了以ADSL寬帶連接為基礎(chǔ)的虛擬VPN技術(shù)。

2 ADSL技術(shù)簡介

ADSL屬于DSL技術(shù)的一種，它是由網(wǎng)絡(luò)服務(wù)提供商(ISP)提供的，上行和下行帶寬不對稱的、可以讓家庭或小型企業(yè)利用現(xiàn)有電話網(wǎng)接入Internet的技術(shù)，因此被稱為非對稱數(shù)字用戶線路（Asymmetric Digital Subscriber Line）。

ADSL與傳統(tǒng)的調(diào)制解調(diào)器和ISDN一樣，是使用電話網(wǎng)作為傳輸?shù)拿浇?。當在一對電話線的兩端分別安置一個ADSL設(shè)備時，利用現(xiàn)代分頻和編碼調(diào)制技術(shù)，就能夠在這段電活線上產(chǎn)生三個信息通道：高速的下傳通道、中速的雙工通道和普通的電話通道，這三個通道可以同時工作。也就是說它能夠在現(xiàn)有的電話線上獲得最大的數(shù)據(jù)傳輸能力，這樣用戶在一條電話線上既可以快速上網(wǎng)，還可以打電話發(fā)送傳真，而不影響通話質(zhì)量或降低上網(wǎng)速度。

3 VPN技術(shù)簡介

VPN（Virtual Private Network）：虛擬專用網(wǎng)絡(luò)，是在公共網(wǎng)絡(luò)(Internet)或?qū)Ｓ镁W(wǎng)絡(luò)(Intranet)基礎(chǔ)之上，采用隧道技術(shù)以及加密、身份認證等方法，在公共網(wǎng)絡(luò)上構(gòu)建企業(yè)網(wǎng)絡(luò)的技術(shù)，為我們提供了—種通過公用網(wǎng)絡(luò)安全地對內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。VPN仿真點對點的專線行為，特別適合點對點、點對多點的連接結(jié)構(gòu)，以及那些在地域上非常分散需要依靠公網(wǎng)來建立自己通信網(wǎng)絡(luò)的企業(yè)。

隧道技術(shù)是VPN的核心，是由隧道協(xié)議形成的。VPN的隧道協(xié)議主要有三種：PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。

VPN的實現(xiàn)有很多種方法，常用的有以下四種：

（1）VPN服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法實現(xiàn)VPN；

（2）軟件VPN：可以通過專用的軟件實現(xiàn)VPN；

（3）硬件VPN：可以通過專用的硬件實現(xiàn)VPN；

（4）集成VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設(shè)備通常都比沒有這一功能的要貴。

4 案例應(yīng)用

為了實現(xiàn)本地客戶端對遠程局域網(wǎng)的安全訪問，解決所

面臨的傳輸保密、節(jié)點認證、網(wǎng)絡(luò)訪問控制等問題，我們采用以下解決方法：

(1)通過ADSL寬帶建立連接；

(2)在本地部署天融信VPN防火墻設(shè)備，通過虛擬專網(wǎng)配置，與遠程局域網(wǎng)組成虛擬的專有網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)本地客戶端對遠程局域網(wǎng)的輕松訪問。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

此處我們采用的VPN設(shè)備是天融信的NGFW4000-UF產(chǎn)品，它滿足各類用戶差異化的安全防護需求，是一款多業(yè)務(wù)高性能的VPN防火墻產(chǎn)品，具有高效、可靠、易擴展等特點。它自身除提供防火墻基本功能以外，還集成了身份認證、流量管理、上網(wǎng)行為管理、DoS/DDoS防護、反垃圾郵件及負載均衡等功能組件，支持SSL VPN、IPSEC VPN、入侵防御、病毒防御、URL分類過濾等安全功能模塊。

(3)主要設(shè)置

虛擬專網(wǎng)的主要設(shè)置是建立靜態(tài)隧道，分為“第一階段協(xié)商”和“第二階段協(xié)商”兩部分：

A）第一階段協(xié)商

圖2 第一階段協(xié)商

通過設(shè)置認證方式、預(yù)共享密鑰、本地標識、對方標識、對方地址或域名等，建立第一階段協(xié)商。

B）第二階段協(xié)商

圖3 第二階段協(xié)商

通過設(shè)置本地子網(wǎng)、本地掩碼、對方子網(wǎng)和對方掩碼等，建立第二階段協(xié)商。

C）完成各參數(shù)的設(shè)置后點擊“確定”按鈕，便創(chuàng)建了一條靜態(tài)隧道。當隧道狀態(tài)顯示為“第二階段協(xié)商成功”時，標識隧道成功建立，可以使用。

圖4 隧道建立成功

5 結(jié)束語

目前，通過ADSL寬帶接入互聯(lián)網(wǎng)的方式因為相對的高速和經(jīng)濟深受國內(nèi)廣大企業(yè)用戶所喜愛和采用，而基于ADSL寬帶接入VPN虛擬專網(wǎng)無疑是企業(yè)內(nèi)部數(shù)據(jù)通過公網(wǎng)傳輸?shù)淖罴堰x擇，它不但成本低、易維護，而且在安全性方面都得到保證，具有現(xiàn)實意義。

[1]慕東周，于本成．中小型企業(yè)VPN網(wǎng)絡(luò)的規(guī)劃與設(shè)計[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011(7)：72-73．

[2]王妍．基于IPSec的VPN系統(tǒng)設(shè)計與實現(xiàn)[D]．電子科技大學，2013．Application of Enterprise Virtual Private Network Technology Based onADSL

Wang Xiaohong
(Aircraft Strength Research Institute，Xi’an 710065，Shaanxi)

tract】This paper introduces virtual private network technology based ADSL connection.By this technology,the enterprise can establish virtual encryption tunnel in the public network to build their own secure virtual private network,so as to ensure the security and confidentiality of enterprise data transfering through the public network.It also describe the method to achieve the encryption tunnel with VPN firewall device combined with an actual case.

words】ADSL；VPN；encryption tunnel

TP393.1

A

1008-6609(2016)09-0041-02

王曉紅，女，甘肅靖遠人，本科，高級工程師。研究方向：計算機網(wǎng)絡(luò)技術(shù)。