4 VPN方案设计
4.1 行业背景
当前,世界贸易需求不断增加,全球化速度不断加快,更多的跨国企业和跨地区企业出现在人们视野当中,为了更方便的贸易来往,需要在保障数据安全性的同时实现各地域网络之间的互联,同时要节约成本。可将VPN的需求用户分为以下几类:
(1)在不同地域有多家分公司。
(2)需要同贸易伙伴安全交换贸易数据。在过去,企业之所以使用封闭式的专线,是因为贸易信息数据不能得到安全保障,需要确保企业利益不会遭到损失。 (3)需要保证实现成本低廉。
应用VPN的目的是为了在安全、可靠的情况下,保证方案的廉价,其应该帮助不同用户与企业安全可靠的传输数据。由于以上用户的需求,VPN成为了许多企业选择的网络技术,VPN在公共网络上建立专有网络,可以在保障数据安全性的同时,极大的降低组网成本,提高信息传输效率,实现方法简单,有较高的灵活性和可扩展性,相对于之前的封闭式专线,具有更高的开放性,得到了了多数企业的力捧。
河北永佳房产公司属于小型企业,主要为客户提供租房信息并代理办理租房售房业务,其总部设在石家庄,有两个分公司,一个在保定,一个在沧州,总部局域网内有八十多台PC,分支公司分别拥有大概10台左右的PC机。公司各点均采用ADSL方式接入Internet,总公司内部运行有数据库服务器系统、OA办公、邮件系统等应用系统,现需要将公司各点联成内部局域网,子公司每天都需要从总部的数据库服务器获取楼房信息并向总部反映实时的业务情况,由于这些数据涉及商业机密,因此为保障数据传输的安全性,需要组建企业内部专网才能达到其对安全性的要求。
4.2方案分析
按照隧道是如何建立和终止来划分,VPN有三种解决方案,用户可以根据自己的情况进行选择。这三种解决方案分别是:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。
(1)Access VPN
在某些情况下,公司人员出差需要在公司异地进行办公,这种情况下就可以使用远程访问局域网方案,该方案拥有同私有网络类似的共享设施,允许用户在异地实现对企业网络的访问。同时,远程访问虚拟网方案安全性高,灵活性强,保障用户可以在多数情况下安全的达到访问目的。
7
图4.1 Access VPN结构图
Access VPN的优点在于:
① 不需要繁杂的服务设备,于是成本得到了较大的降低,网络规划得到了简化; ② 采用本地拨号的方式,极大的降低了远程通信费用; ③ 新用户加入方便,更加容易的对其进行工作调度;
④ 工作重点可以转移到企业的重要业务上来,不必再花费过多精力去实现人员的调度以及信息的传输安全。
(2)Intranet VPN 当前,越来越多的大型企业在扩展自己的业务网络,于是在全国各地甚至是世界各地,分公司拔地而起,显然,使用专用线路实现企业内部网络的互联是不现实的,网络结构会十分复杂且价格高昂。因此使用VPN在公共网络上组建大范围的Intranet VPN便成了必要。Intranet在保障网络互联性的同时,利用VPN的相关技术如隧道协议,加密技术保证数据传输的安全性。它同样使用类似于专用网络的共享设施,从而达到不同地域分支机构对企业内部网络的访问。
图4.2 Intranet VPN结构图
8
Intranet VPN的优势在于:
①拥有更低廉的方案实现价格; ②灵活性较高; ③更稳定,更快捷;
④通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
(3)Extranet VPN
目前,信息时代已经到来,越来越多的企业更多的重视对数据信息的处理,企业客户希望得到更加快捷的信息服务,企业希望从客户的角度出发,尽量满足客户需要,同时,企业之间的需要比以往以来更多的合作交流去完成更为复杂的贸易任务。互联网的产生,为这种趋势的发展注入了一阵强心剂,历史上从来没有像现在这样迫切要求信息的有效传递,对于企业,通过互联网对信息进行有效的管理便成为重中之重。Extranet是在VPN技术支持下组建的安全网络,其可以向企业用户以及贸易伙伴之间提供可靠安全的信息服务。
Extranet VPN拥有一个专用连接的共享基础设施,企业客户、贸易伙伴可以通过此设施实现对企业内网的访问。当然,Extranet可以像专有网络一样,在保障用户数据安全的基础上,为用户提供可靠、高效的网络业务。如图4.3所示。
图4.3 Extranet VPN结构图
Extranet VPN优点在于:更加简捷地部署和管理企业外部网络,企业可以使用内部特有的VPN架构和协议来部署和管理与企业外部网络的连接。需要指出的是,非企业内部网的用户一般只有一次机会访问贸易伙伴的网络。
4.3解决方案
对石家庄永佳房产公司具体情况进行分析可知,公司各点均采用ADSL方式接入Internet,所以可采用VPN虚拟专用网络组建企业内部专网。企业内部可以共享IP,这样在建立VPN组网的过程中,企业可以花费更少的线路成本并使用更加简单的组网方案。它具有以下优点:
①它可以在保障企业移动用户和外地小型分支机构的网络安全的同时,减少在企业通讯上的话费;
9
② 此方案可以保障企业可以得到更有效的扩展,无论是新加分支机构还是新的合同用户都可以快捷的实现对企业VPN网络的访问;
③VPN可以最大限度地减少企业在传输数据和话音上的费用;
④VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,可以访问全球任何角落的电子通勤人员和移动用户。
另外,公司总部与分公司之间是属于企业内部各分支机构的互联,即Intranet VPN,根据前文所述我们选择IPSec隧道协议;对于移动用户和单机分支是属于远程访问虚拟网,可以考虑使用Access VPN ,所以可根据实际情况选择PPTP/SSL协议。
图4.4为方案组网拓扑图。
图4.4 VPN方案组网拓扑图
4.4具体实施
该方案使用基于IPSEC协议的VPN技术,它由包封装协议,安全协议(加密),安全协议(数据认证),安全协议(身份认证)等几方面构成。该方案实现依据它的组成设置相应参数即可。我们以总部NETGEARFVS328的VPN路由器为例:
步骤一:设置包封装协议所需的IP地址,即在VPN路由器配置总部IP地址,包含:由ISP提供的公网固定IP地址及网关和子网掩码;公司内部局域网地址。IPSEC能够利用Internet可路由的地址,封装内部网络的IP地址,来实现异地网络的互通。
步骤二:选择安全协议(加密)如:3DES、AES、TWOFISH、SERPENT、BLOWFISH、
10
