淺析VPN技術在晉煤集團廣域網中的實現及應用

陳麗君

（山西省晉煤集團通信分公司運維中心，晉城 048006）

1 VPN技術實現背景

傳統的訪問企業(yè)內網網絡的方法費用高安全性差，無法滿足公司關于“建立高效率、低成本、高安全性網絡”的要求，公司決定采用虛擬專用網絡（VPN）。VPN技術，是利用公用網絡架設專用網絡，通過對數據包加密和數據包目標地址轉換，實現遠程訪問。VPN是對企業(yè)內部網延伸，是通過公用網絡建立一個臨時安全的連接，是一條穿過Internet的安全的、穩(wěn)定隧道。VPN技術解決了集團公司總部、駐外公司和外地出差辦公人員之間信息資源共享的安全性和保密性問題。

VPN技術與傳統技術相比，更具有安全性優(yōu)勢和維護費用方面的優(yōu)勢，故此，該技術在集團公司得到廣泛應用。目前，晉煤集團通過IPSec VPN和SSL VPN兩種方式實現遠程訪問。

2 VPN技術簡介

IPSec定義了一套用于保護私有性和完整性的標準協議，支持相關系列加密算法如DES、3DES。它檢查傳輸的數據包完整性，以確保數據沒有被修改，具有數據源認證功能。

IPSec VPN基于傳輸層，采用IPSec協議實現遠程接入，是在兩個局域網之間通過Internet 建立安全連接，保護點對點之間通信，在源 IP 和目標 IP 地址之間建立信任和安全性，不局限于Web應用，而是構建了局域網之間的VPN。

SSL是為網絡通信提供安全及數據完整性的一種安全協議。用以保障在Internet上數據傳輸之安全，利用數據加密技術，可確保數據在網絡傳輸過程中不被截取及竊聽。SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。

SSL VPN是基于應用層的，用SSL協議實現遠程接入。SSL內嵌在瀏覽器中，可以通過簡單易用的方法實現遠程訪問。

3 IPSec VPN在集團公司的部署和應用

IPSec VPN技術在IP傳輸上經過加密隧道，用公網傳送內部專網的內容，并且保證內部數據的安全性，從而實現集團總部與各駐外單位之間的數據、語音、視頻業(yè)務互通。

IPSec VPN網絡接入示意圖

圖為集團公司總部與駐外單位VPN接入示意圖。通過在總部的MSR5040路由器和駐外單位的MSR3040路由器中進行配置，從而建立VPN隧道。

駐外單位A和B除了需要單獨和集團公司總部通信外，兩個駐外單位因業(yè)務需求也需建立一條隧道，實現內網通信。IPsec VPN隧道的兩端一端為公網地址，另一端為私網地址，因此需要在隧道的兩端上配置NAT功能，從而實現公網地址和私網地址的相互轉換。以駐外單位A和B兩地為例，私網地址都為10.x.x.x，公網地址A地為218.x.x.x，B地為221.x.x.x，A地要想向B地發(fā)送數據，需要將自己的私網地址轉換為公網地址218.x.x.x，路由器MSR3040將需要發(fā)送的數據進行加密，并封裝成為外部數據報，發(fā)送至B地的MSR3040，路由器接收到數據報后將其數據解密恢復，轉發(fā)至本地目的服務器10.x.x.x，完成通信，主要配置命令如下，以駐外單位A為例：

ike local-name A #nat address-group 1 218.x.x.x218.x.x.x/將私網地址轉換為公網地址/#acl number 3000/定義從駐外單位A到駐外單位B的內網數據流/rule 0 permit ip source 10.x.x.x 0.0.0.255 destination 10.x.x.x 0.0.0.255#ike peer A1/創(chuàng)建IKE對等體/exchange-mode aggressive/配置協商模式為野蠻模式/pre-sharedkey cipher PUaW5WFYEkI=/配置認證參數，此處選擇的是公鑰秘鑰認證/id-type name/選擇名字作為ike協商過程中使用的ID/remote-name B/對端的名字/remote-address 221.x.x.x/對端的地址/nat traversal/NAT穿越/#ipsec proposal 1/創(chuàng)建安全提議/#ipsec policy 1 1 isakmp/創(chuàng)建安全策略，序號越小，越優(yōu)先security acl 3000/引用已創(chuàng)建的ACL訪問控制列表/ike-peer A1/在安全策略中引用IKE Peer/proposal 1/在安全策略中引用已創(chuàng)建的安全提議/在集團公司總部和駐外單位B路由器中做相應配置，修改相關參數即可建立相應IPSec隧道。

IKE協商模式分為主模式和野蠻模式，野蠻模式和主模式區(qū)別在于協商IKE時方式不同。IKE主模式適于兩設備公網IP固定、且要實現設備之間點對點環(huán)境。對公網IP不是固定，且可能存在NAT設備情況下，采用野蠻模式作NAT穿越，同時，由于IP不是固定，用name作為id-type。因以上特點，集團采用野蠻模式且選用名字作為IKE協商過程中使用的ID。

4 SSL VPN在集團公司部署和應用

SSL VPN利用TCP傳輸作用以及SSL對TCP會話保護，實現VPN業(yè)務，被保護的VPN業(yè)務可是TCP、UDP或純IP 應用。SSL VPN安全性以SSL協議為基礎，利用PKI證書體系完成秘密傳輸。目前主流瀏覽器都內嵌有SSL功能，安全靈活又實用。具備接入控制功能，將不同訪問權限賦予不同用戶，實現伸縮性訪問。

選用H3C SecPath F1000作為實現SSL VPN的設備。此設備將強大的安全抵御功能、VPN服務和智能網絡特性無縫集成，增強網絡安全性，且可為用戶提供VPN功能，降低了成本和網絡部署復雜性。

在SecPath 中做簡單配置，開啟SSL VPN服務和WEB服務器。在瀏覽器中輸入VPN管理地址，默認域管理員賬戶和密碼，類別選擇LOCAL方式，登錄即可。導航欄中主要有設備管理、用戶管理、資源管理和域管理四個功能設置。在域管理設置中，認證策略我們采取的是密碼認證的方式，配置管理中的配置文件必須先保存，否則重啟后，配置容易丟失。

（1）基于Web的訪問。資源管理中的Web代理服務器為用戶訪問Web服務器提供了一種安全的鏈接方式，而且可以阻止非法用戶訪問受保護的Web服務器。在創(chuàng)建新的Web資源時，站點名稱可以是IP地址，也可以是域名。

（2）針對TCP的應用。選擇資源管理中的TCP應用，主要分為遠程訪問服務、桌面共享、Web接入遠程桌面、電子郵件、notes服務和TCP服務。根據公司的業(yè)務需求可以進行相應的配置。

（3）IP業(yè)務的配置。SSL VPN網絡服務可以訪問提供給IP層以上的所有應用支持，用戶登錄SSL VPN后即可自動下載并啟動ActiveX SSL VPN客戶端程序，安全訪問特定主機的所有服務。主要有全局配置、主機配置等。全局配置中的起始“IP”和結束“IP”為當客戶端登陸后設備分配給客戶端的虛地址網段，便于網絡管理。

（4）資源管理配置。SSL VPN支持網絡資源分組，不同用戶可對應不同的分組，訪問不同的內網資源。在資源管理中的資源組中可以對之前所配置的資源進行管理。創(chuàng)建一個資源組，可以將之前配置的資源添加到相應的資源組。

（5）管理用戶?？梢詣?chuàng)建用戶組、用戶，并且把用戶加入到相應的用戶組，同時把用戶組和資源組關聯起來，從而不同用戶的訪問可控。

（6）在設備管理中，可以方便的查看在線用戶的具體情況。

5 結束語

IPSec VPN通過在兩個站點之間創(chuàng)建一條安全隧道從而提供入內網方式，實現對整個網絡的透明訪問，主要用于主體局域網的互聯，針對駐外單位、子分公司等集中辦公的地方。

SSL VPN基本不受接入位置限制，能讓集團公司實現更多遠程用戶在不同地點接入網絡。主要用于分布零散的網絡接入，針對出差員工。

集團公司目前根據業(yè)務特點采用這兩種VPN結合方式，大大提升了集團公司網絡安全性、可靠性、可管理性、擴展性和靈活性。

（1）VPN技術在廣域網中搭建一個安全的局域網，建立一套信息交互的網絡體系，采用加密和認證等安全技術，保證連接用戶的可靠性和傳輸數據的安全和保密性，保證網絡內部安全性。

（2）連接方便靈活，可以支持駐外VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務需求。建設網絡連接企業(yè)總部和分支機構，移動辦公人員能在企業(yè)以外的地方很方便的訪問企業(yè)內部網絡。

（3）集團可以利用公共網絡進行信息通信，無需專門租用專網，可以以更低的成本鏈接遠程辦事機構、出差人員和業(yè)務伙伴。

（4）可以靈活的與企業(yè)的合作伙伴聯網，實現了靈活自如的擴展和延伸，為企業(yè)的發(fā)展提供了安全可靠的網絡支持。

IPSEC VPN和SSL-VPN技術在晉煤集團已經廣泛應用了多年，為集團公司的日常數據傳輸、OA辦公等作出了非常的大的貢獻，但是同時也暴露出了受公網影響數據傳輸的穩(wěn)定性一般、SSL-VPN技術受操作系統的限制等不利因素，在今后的工作中，要建立起傳輸更穩(wěn)定且可以在其它操作系統（MAC OS、Android、MAC IOS等）上運行的VPN，為集團公司的信息化作出更大貢獻。