基于公網(wǎng)的VPN技術(shù)及在大型企業(yè)集團(tuán)中的應(yīng)用

龍成梁，黃求根

基于公網(wǎng)的VPN技術(shù)及在大型企業(yè)集團(tuán)中的應(yīng)用

龍成梁1，黃求根2*

（1中國(guó)葛洲壩集團(tuán)股份有限公司 水泥分公司，湖北 荊門 448000；2 武漢紡織大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，湖北 武漢 430073）

虛似專用網(wǎng)（VPN）技術(shù)是當(dāng)今網(wǎng)絡(luò)技術(shù)領(lǐng)域中新的熱點(diǎn)。目前，企業(yè)之間以及企業(yè)的總部與分支機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)連接越來(lái)越頻繁，且經(jīng)?？缦到y(tǒng)跨地域，網(wǎng)內(nèi)網(wǎng)際情況都比較復(fù)雜，造成企業(yè)遠(yuǎn)程通信訪問(wèn)成本偏高，另外還帶來(lái)了網(wǎng)絡(luò)的管理和安全性問(wèn)題。VPN網(wǎng)絡(luò)技術(shù)的誕生較好地解決了企業(yè)總部與分支之間信息的交流和數(shù)據(jù)交換等問(wèn)題。以《葛洲壩水泥廠分布式銷售系統(tǒng)》為實(shí)例，說(shuō)明了基于公網(wǎng)的VPN技術(shù)及在大型企業(yè)集團(tuán)中的應(yīng)用。

虛似專用網(wǎng)；企業(yè)網(wǎng)絡(luò)建設(shè)；遠(yuǎn)程訪問(wèn)；銷售系統(tǒng)

1 基于公共網(wǎng)絡(luò)的VPN技術(shù)簡(jiǎn)述

1.1 VPN的技術(shù)原理

所謂VPN(Virtual Private Network，虛擬私有網(wǎng)絡(luò))[1]是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)，這里的公用網(wǎng)主要指Internet。為了保障信息在Internet上傳輸?shù)陌踩?，VPN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施，保證信息在傳輸中不被偷看、篡改、復(fù)制。由于使用Internet進(jìn)行傳輸相對(duì)于租用專線來(lái)說(shuō)，費(fèi)用低廉，所以 VPN的出現(xiàn)使企業(yè)通過(guò)Internet既安全又經(jīng)濟(jì)地傳輸私有的機(jī)密信息成為可能[2]。

1.2 IPSec中的三個(gè)主要協(xié)議

IPSec主要功能為加密和認(rèn)證，為了進(jìn)行加密和認(rèn)證，IPSec還需要有密鑰的管理和交換的功能[3]，以便為加密和認(rèn)證提供所需要的密鑰并對(duì)密鑰的使用進(jìn)行管理。以上三方面的工作分別由AH、SP和IKE三個(gè)協(xié)議規(guī)定。

1.2.1 ESP(Encapsulating Security Fayload)

ESP協(xié)議主要用來(lái)處理對(duì)IP數(shù)據(jù)包的加密，此外對(duì)認(rèn)證也提供某種程度的支持。ESP是與具體的加密算法相獨(dú)立的，幾乎可以支持各種對(duì)稱密鑰加密算法，例如DES、TripleDES、RC5等。

1.2.2 AH(Authentication Header)

AH只涉及到認(rèn)證，不涉及到加密。AH雖然在功能上和ESP有些重復(fù)，但AH除了以對(duì)IP的有效負(fù)載進(jìn)行認(rèn)證外，還可以對(duì)IP頭部實(shí)施認(rèn)證[4]。AH主要是處理數(shù)據(jù)對(duì)，可以對(duì) IP頭部進(jìn)行認(rèn)證，而ESP的認(rèn)證功能主要是面對(duì)IP的有效負(fù)載。為了提供最基本的功能并保證互操作性，AH必須包含對(duì)HMAC?/FONT＞SHA和 HMAC?/FONT＞MD5(HMAC是一種SHA和MD5都支持的對(duì)稱式認(rèn)證系統(tǒng))的支持。

1.2.3 IKE(Internet Key Exchange)

IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理，它主要包括三個(gè)功能[5]：

（1）對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商。

（2）方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行)。

（3）跟蹤對(duì)以上這些約定的實(shí)施。

1.3 VPN的優(yōu)勢(shì)

VPN網(wǎng)絡(luò)給企業(yè)所帶來(lái)的好處主要表現(xiàn)在以下幾個(gè)方面。

1.3.1 節(jié)約成本

這是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個(gè)優(yōu)勢(shì)，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報(bào)告顯示，擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠(yuǎn)程接入服務(wù)器或 Modem池和撥號(hào)線路的企業(yè)能夠節(jié)省 30%到 70%的開銷[6]。對(duì)于出差在外地的移動(dòng)用戶來(lái)說(shuō)只需要接入本地的 ISP就可以與公司內(nèi)部的網(wǎng)絡(luò)進(jìn)行互連，大大減少了長(zhǎng)途通信費(fèi)。企業(yè)可以從他們的移動(dòng)辦公用戶的電話費(fèi)用上看到立竿見影的好處。

1.3.2 增強(qiáng)的安全性

目前 VPN主要采用四項(xiàng)技術(shù)來(lái)保證數(shù)據(jù)通信安全[7]，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、身份認(rèn)證技術(shù)(Authentication)[8]。在用戶身份驗(yàn)證安全技術(shù)方面，VPN是通過(guò)使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法來(lái)進(jìn)行驗(yàn)證[9-13],增強(qiáng)了通道和數(shù)據(jù)流的安全性。

1.3.3 支持新興應(yīng)用

許多專用網(wǎng)對(duì)許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音、IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等，而且隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，新型的 VPN技術(shù)可以支持諸如 ADSL、Cable Modem之類的寬帶技術(shù)。

2 VPN技術(shù)在葛洲壩集團(tuán)水泥分公司的應(yīng)用

2.1 項(xiàng)目背景

為了貫徹集團(tuán)公司信息化的步伐，更好更快、好中求快的壯大水泥板塊，加快企業(yè)信息化發(fā)展，我們需要對(duì)VPN網(wǎng)絡(luò)建設(shè)進(jìn)行認(rèn)真的思考和分析，既要能保障企業(yè)集團(tuán)化網(wǎng)絡(luò)建設(shè)的順利進(jìn)行，又能更好的運(yùn)維集團(tuán)化網(wǎng)絡(luò)系統(tǒng)及業(yè)務(wù)應(yīng)用系統(tǒng)，保證企業(yè)信息化業(yè)務(wù)系統(tǒng)的正常運(yùn)作。采用了基于IPSec的VPN技術(shù)做為平臺(tái)而實(shí)施[14-16]。

原有網(wǎng)絡(luò)結(jié)構(gòu)存在的不足主要體現(xiàn)在：

（1）單核心：目前核心交換機(jī)只有一臺(tái) H3C S5600，核心交換機(jī)宕機(jī)時(shí)，只能手動(dòng)的切換到備用交換機(jī)，切換時(shí)間至少需要 15分鐘，之間會(huì)直接導(dǎo)致業(yè)務(wù)系統(tǒng)不能使用。

（2）平面二層結(jié)構(gòu)：目前接入交換機(jī)都是普通二層交換機(jī)（甚至還有很老的HUB），它們和核心交換機(jī)之間的連接沒(méi)有跨越路由，導(dǎo)致當(dāng)接入交換機(jī)出現(xiàn)病毒或其他故障時(shí)，可以方便的傳遞到核心，影響網(wǎng)絡(luò)的穩(wěn)定性和安全性。

（3）接入交換機(jī)老化。目前接入交換機(jī)都是以前的功能低下的交換機(jī)，不支持802.1x、CL等安全管理和控制的協(xié)議，無(wú)法保障接入用戶的安全訪問(wèn)[12]。部分接入交換機(jī)設(shè)備見表1。

表1 部分接入交換機(jī)設(shè)備表

（4）有新建的分子公司接入，但是沒(méi)有構(gòu)建安全的訪問(wèn)通道及統(tǒng)一的規(guī)劃。

（5）原有絡(luò)建設(shè)其實(shí)是處于無(wú)序進(jìn)行的階段。各部門機(jī)構(gòu)獨(dú)自建立網(wǎng)絡(luò)，在網(wǎng)絡(luò)建設(shè)時(shí)使用的設(shè)備、服務(wù)器性能不一致，所使用帶寬也不盡相同，技術(shù)參數(shù)也無(wú)法統(tǒng)計(jì)。一旦集團(tuán)公司統(tǒng)一使用管理軟件及業(yè)務(wù)應(yīng)用系統(tǒng)，將會(huì)導(dǎo)致部分網(wǎng)絡(luò)能夠支持、部分網(wǎng)絡(luò)不能支持系統(tǒng)要求的情況出現(xiàn)。

2.2 設(shè)計(jì)方案

由于原有網(wǎng)絡(luò)存在一定的問(wèn)題和企業(yè)快速的發(fā)展，綜合幾方面因素，我們選擇兩家網(wǎng)絡(luò)運(yùn)營(yíng)商（電信、聯(lián)通）來(lái)給我們提供專線光纖接入公網(wǎng)，以保障其中一個(gè)運(yùn)營(yíng)商的接入鏈路發(fā)生故障，廣域網(wǎng)不會(huì)全線中斷，從而保障各分子公司數(shù)據(jù)傳輸?shù)姆€(wěn)定。各下屬分公司選擇電信或聯(lián)通一家提供專線光纖的接入。在總部和分子公司分別接入防火墻+VPN的設(shè)備，就可以將總部與各分公司的局域網(wǎng)組建成一個(gè)廣域網(wǎng)了。組建方案見圖1。

圖1 廣域網(wǎng)建設(shè)—VPN安全系統(tǒng)構(gòu)成

基于公網(wǎng)的 VPN技術(shù)及在大型企業(yè)集團(tuán)中的應(yīng)用的IPSEC+VPN解決方案，主要由VPN接入網(wǎng)關(guān)子系統(tǒng)、企業(yè)總部及分子公司局域網(wǎng)子系統(tǒng)兩個(gè)部分組成。

2.2.1 VPN接入網(wǎng)關(guān)子系統(tǒng)

總公司以電信的一條30MB專線光纖互聯(lián)主鏈路為主干架設(shè)，而分子公司以電信的一條10MB至15MB專線光纖為主鏈路。VPN接入網(wǎng)關(guān)子系統(tǒng)設(shè)備是整個(gè)VPN系統(tǒng)的核心部分，其設(shè)備既可以采用H3C secpath系列來(lái)實(shí)現(xiàn)，也可以采用華為3COM高性能的AR系列路由器來(lái)承擔(dān)?？偣具x擇H3C的SecPath系列F1000-S防火墻做VPN互聯(lián)，分子公司則采用H3C的SecPath系列F100-S/E防火墻做VPN互聯(lián)。在外出差或想要連回總部或分子公司的使用者也可使用PPTP或IPSec方式連回企業(yè)網(wǎng)絡(luò)。

SecPath系列VPN安全網(wǎng)關(guān)是華為3Com公司面向企業(yè)用戶開發(fā)的新一代專業(yè)安全網(wǎng)關(guān)設(shè)備，具有非常高的性能以及豐富的功能特性。VPN安全網(wǎng)關(guān)支持防火墻、AAA、NAT、QoS等技術(shù)，可以確保在開放的Internet上實(shí)現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡(luò)，支持多種 VPN業(yè)務(wù)，如 L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN等，可以針對(duì)客戶需求通過(guò)撥號(hào)、租用線、VLAN或隧道等方式接入遠(yuǎn)端用戶，構(gòu)建Internet、Intranet、Access等多種形式的VPN。

2.2.2 企業(yè)總部及分子公司局域網(wǎng)子系統(tǒng)

對(duì)于企業(yè)總部?jī)?nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，主要關(guān)注了以下幾個(gè)問(wèn)題：

（1）構(gòu)建穩(wěn)健的雙核心。

采用二臺(tái)H3C公司的S5600核心交換機(jī)做雙機(jī)熱備的容錯(cuò)機(jī)制構(gòu)成穩(wěn)定的雙核心，以保證全網(wǎng)到核心的鏈路連接的安全、可靠。當(dāng)其中某一條鏈路發(fā)生故障時(shí)，避免全網(wǎng)癱瘓的極端故障發(fā)生。

（2）構(gòu)建三層結(jié)構(gòu)。

水泥分公司總部區(qū)域網(wǎng)絡(luò)設(shè)計(jì)遵照標(biāo)準(zhǔn)的“核心－匯聚－接入”三層設(shè)計(jì)理念，核心層交換機(jī)主要用于高效地執(zhí)行路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等功能；匯聚層交換機(jī)則主要用于匯聚各接入交換機(jī)，該交換機(jī)需要具有完善的三層功能，在提供高效數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)，能夠提供強(qiáng)大的安全控制功能，水泥分公司可在部分重要區(qū)域（例如服務(wù)器區(qū)、財(cái)務(wù)部等）部署匯聚交換機(jī)；接入層交換機(jī)則直接面向終端用戶，提供信息點(diǎn)接口。整個(gè)網(wǎng)絡(luò)分層次的結(jié)構(gòu)便于管理，有利于未來(lái)網(wǎng)絡(luò)規(guī)模的擴(kuò)展，同時(shí)也方便我們靈活地設(shè)計(jì)網(wǎng)絡(luò)帶寬。初期建設(shè)，骨干網(wǎng)傳輸帶寬為千兆，并且百兆直接至用戶。隨著未來(lái)應(yīng)用的增多，對(duì)帶寬要求的提升，可以逐級(jí)升級(jí)網(wǎng)絡(luò)帶寬，從而充分體現(xiàn)網(wǎng)絡(luò)的靈活擴(kuò)展性以及靈活地升級(jí)功能。

（3）安全，建設(shè)可信辦公網(wǎng)。

企業(yè)內(nèi)部門較多，而各個(gè)部門的安全級(jí)別不一樣，例如財(cái)務(wù)和技術(shù)部門的安全級(jí)別就高于后勤等，因此要求全網(wǎng)支持VLAN劃分，隔離用戶信息互通，從而提高網(wǎng)絡(luò)安全。同時(shí)，通過(guò)ACL的控制，限制員工對(duì)于受限資源的訪問(wèn)，例如公司重要信息、QQ、BT等，以確保部門安全，提高工作效率。

（4）強(qiáng)化網(wǎng)絡(luò)的科學(xué)管理。

以往我們的網(wǎng)絡(luò)架構(gòu)比較簡(jiǎn)單，沒(méi)有網(wǎng)絡(luò)管理的手段，只能靠人工管理。集團(tuán)網(wǎng)建設(shè)好后，日常的網(wǎng)絡(luò)僅憑人工管理是不能滿足需要的，需要強(qiáng)化網(wǎng)絡(luò)的科學(xué)管理。我們計(jì)劃部署一套網(wǎng)管軟件來(lái)加強(qiáng)網(wǎng)絡(luò)的科學(xué)管理，滿足系統(tǒng)長(zhǎng)期安全、穩(wěn)定、高效運(yùn)行的需要。

（5）系統(tǒng)平臺(tái)的可用性和擴(kuò)展性。

該平臺(tái)組建完成后，留有20個(gè)局域網(wǎng)的連接接口。各分子公司自己的局域網(wǎng)組建完成后，能很便利的與總部中心網(wǎng)絡(luò)進(jìn)行對(duì)接互聯(lián)，能滿足當(dāng)前至8～10年的集團(tuán)應(yīng)用系統(tǒng)需求。還留下將來(lái)的視屏?xí)h和IP電話的預(yù)留平臺(tái)，若有需要，只需添加視屏?xí)h和IP電話的相應(yīng)設(shè)備，網(wǎng)絡(luò)架構(gòu)上無(wú)需改動(dòng)。

2.3 應(yīng)用效果

在基于公網(wǎng)的VPN技術(shù)及在大型企業(yè)集團(tuán)中的應(yīng)用建成后，形成了以總部為核心，其他各分子公司為支點(diǎn)的，由點(diǎn)到面，由兩級(jí)到三級(jí)的網(wǎng)絡(luò)布局，做為企業(yè)業(yè)務(wù)系統(tǒng)的基本支撐平臺(tái)，并為以后的業(yè)務(wù)擴(kuò)展提供一定的空間。企業(yè)通過(guò)VPN建立高效的內(nèi)部或外部網(wǎng)絡(luò)，除了能提高企業(yè)的運(yùn)作效率、節(jié)省成本、增大企業(yè)競(jìng)爭(zhēng)力外，還可以節(jié)省各項(xiàng)費(fèi)用。然而，成本的節(jié)省并不是VPN的唯一優(yōu)點(diǎn)，嚴(yán)格的安全控制及簡(jiǎn)便的安裝更為企業(yè)帶來(lái)便捷。VPN 網(wǎng)關(guān)支持多種安全技術(shù)，從而能保障存取控制和數(shù)據(jù)統(tǒng)一，所有敏感數(shù)據(jù)都將被保護(hù)在專用通道中并以標(biāo)準(zhǔn)或三重DES加密。同時(shí)，VPN網(wǎng)關(guān)的客戶端設(shè)備易于安裝，所有安全功能對(duì)最終用戶都是透明的。

通過(guò) VPN服務(wù)還能幫助企業(yè)用戶拓展一系列基于Web的新商機(jī)。VPN不僅降低了遠(yuǎn)程訪問(wèn)的成本，更具戰(zhàn)略意義。首先，VPN提供了可以對(duì)互聯(lián)網(wǎng)延伸到的各個(gè)地方進(jìn)行的訪問(wèn)的能力；其次，VPN支持豐富而靈活的下一代通訊。VPN最大的價(jià)值還體現(xiàn)在安全性上，它可以使任何被授權(quán)的用戶在空閑的帶寬中建立自己的安全鏈路。

當(dāng)總部與分子公司的網(wǎng)絡(luò)建成后，《葛洲壩水泥廠分布式銷售系統(tǒng)》這一項(xiàng)目總部的應(yīng)用及數(shù)據(jù)服務(wù)器與網(wǎng)絡(luò)的結(jié)構(gòu)見圖2。

圖2 總部銷售系統(tǒng)服務(wù)器與網(wǎng)絡(luò)拓?fù)鋱D

3 總結(jié)

總之，VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)，即使在網(wǎng)絡(luò)高度發(fā)達(dá)的美國(guó)也才推出不久，但是已顯示出強(qiáng)大的生命力，Cisco、3Com、Ascend等公司已推出了各自的產(chǎn)品。但是 VPN產(chǎn)品能否被廣泛接受主要取決于以下兩點(diǎn)：一是 VPN方案能否以線路速度進(jìn)行加密，否則將會(huì)產(chǎn)生瓶頸；二是能否調(diào)度和引導(dǎo)VPN的數(shù)據(jù)流到網(wǎng)絡(luò)上的不同管理域。

結(jié)合集團(tuán)化方向發(fā)展的葛洲壩水泥分公司的實(shí)際情況而應(yīng)運(yùn)而生的基于公網(wǎng)的 VPN技術(shù)及在大型企業(yè)集團(tuán)中的應(yīng)用，平臺(tái)的建設(shè)肯定還存在一些不足之處，在以后的信息化發(fā)展中將結(jié)合暴露出來(lái)的問(wèn)題逐步完善，以求最終建成一個(gè)能滿足實(shí)際應(yīng)用需求的VPN應(yīng)用平臺(tái)。

[1] 王達(dá). 虛擬專用網(wǎng)(VPN)精解[M]. 北京: 清華大學(xué)出版社, 2004.

[2] 張引明. SSL VPN 服務(wù)器的研究與設(shè)計(jì)[D]. 武漢: 華中科技大學(xué), 2004.

[3] Snader J C. VPNs ILLUSTRATED: Tunnels, VPNs, and IPSec[M]. Addison-Wesley, 2006.

[4] Khanvilkar Shashank,Khokhar Ashfaq. Experimental evaluat- ions of open-source linux-based VPNs of solutions[C]. Proceedings-13thInternational Conference on Computer Communications and Networks, ICCCN2004, 2004:181-186.

[5] Fisli R. Secure Corporate Communications over VPN-BasedWANs, Masters Thesis in Computer Science at the School of Computer Science and engineering, Royal Institute of Technology, Sweden, 2005.

[6] Khanvilkar S, Khokhar A. Virtual Private Networks: An Overview with Performance Evaluation[J], IEEE Communications Magazine, 2004(10): 146-154.

[7] Berger T, Analysis of current VPN technologies[C], in The First International Conference on Availability, Reliability and Security, 2006. ARES 2006, 2006: 8-13.

[8] Khanvilkar S, Khokhar A. Experimental Evaluations of Open-Source Linux-bases VPN Solutions[M]. 2004: 181-186.

[9] DONG Lijun, YU Shengsheng, OUYANG Kai. The Dynamic Endpoint-Based Access Control Model on VPN[C]. International Conference on Networking, Architecture, and Storage, 2007. NAS 2007, 2007: 44-54.

[10] OUYANG Kai, ZHOU Jing-li, XIA Tao, YU Sheng-sheng, An application-layer based centralized information access control for VPN[J]. Journal of Zhejiang University Science A,2006,7(2): 44-48.

[11] 陶國(guó)芳, 張量.幀中繼環(huán)境下 IPSecVPN 的配置實(shí)現(xiàn)[J]. 微計(jì)算機(jī)信息, 2006(22): 134-136.

[12] 孟艷紅, 秦維佳, 辛義忠. 基于數(shù)據(jù)加密的網(wǎng)絡(luò)通信系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[ J]. 沈陽(yáng)工業(yè)大學(xué)學(xué)報(bào), 2004(1): 83-87.

[13] 王鳳英. 基于高維混沌離散系統(tǒng)的動(dòng)態(tài)密鑰3DES 算法[ J] . 微電子學(xué)與計(jì)算機(jī), 2005(7): 25-28.

[14] Richard Deal. Cisco VPN完全配置指南[M]. 姚軍玲, 郭稚暉. 譯. 北京: 人民郵電出版社, 2007.

[15] 高海英, 薛元星, 辛陽(yáng), 等. VPN 技術(shù)[M]. 北京:機(jī)械工業(yè)出版社, 2004.

[16] 高國(guó)祥, 周巖松. VPN 技術(shù)在沈陽(yáng)水利信息網(wǎng)中的應(yīng)用[J]. 東北水利水電, 2008(6): 68-69.

VPN Technology Based on Public Network and Its Applications in Large Enterprise Groups

LONG Cheng-liang1, HUANG Qiu-gen2
( 1. Cement Branch of China Gezhouba Group Co., Ltd., Jingmen Hubei 448000, China; 2. College of Computer Science, WUSE, Wuhan Hubei 430073, China)

Virtual Private Network(VPN) technology is a novelty hot spot in the field of today’s network technology. Presently, network connections between enterprises as well as those between their corporate headquarters and branch offices have become more and more frequent, which often go across boundaries of systems and regions with complexities within and between the networks, at the consequence of high costs in business telecommunications access with problems in management and security. The birth of VPN network technology has properly solved the matter of information exchange and data exchange between corporate headquarters and their branches. In the paper, Distributed Sales System in Gezhouba Cement Plant has been exemplified to illustrate public network-based VPN technology and its applications in large enterprise groups.

VPN; enterprise network construction; remote access; sales system

O241.6

A

1009－5160(2010)02－0044－04

*通訊作者：黃求根（1945-），男，教授，研究方向：計(jì)算機(jī)應(yīng)用.基金項(xiàng)目：中國(guó)葛洲壩集團(tuán)水泥公司分布式銷售系統(tǒng).