基于VPN技術構建施工企業辦公自動化網絡

摘要:本文針對施工單位業務組織結構比較分散的實際情況，提出了基于VPN技術建立辦公自動化網絡的一種技術方案，重點介紹了企業VPN的網絡結構和關鍵技術，提出了系統安全性策略，對于施工企業建立分散分布型的辦公自動化網絡具有一定的借鑒和指導意義。

關鍵詞:辦公自動化 VPN 路由器 隧道技術

0 引言

施工企業的業務組織結構大多圍繞工程項目建立，即以總部為基地，在全國各地設有多個分公司或項目部等分支機構。這種一個總部與多個分支機構的分散分布式結構，給公司的溝通、辦公、管理帶來了一定的困難，通過組建辦公自動化網絡則能很好地解決這一難題。但分支機構的分散，卻也給辦公自動化網絡的建立帶來極大困難。傳統的撥號網絡，可靠性、穩定性、安全性差，網絡性能無法滿足現代化辦公的需求;建立企業級專用廣域網，周期長、施工難度大，投資巨大，則是不切實際的技術方案;采用最新的VPN技術，基于廣泛分布的Internet構建企業虛擬專用廣域網絡，是一種經濟可行的解決方案。

1 VPN技術簡介

VPN，Virtual Private Network，虛擬專用網，指的是以公用開放網絡，如Internet網、廣電城域網等作為基本傳輸媒介，通過上層協議附加的多種技術，向最終用戶提供類似于專用網絡(Private Network)性能的網絡服務。VPN利用開放的公眾網絡建立專用數據傳輸通道，將遠程用戶甚至移動用戶連接起來，提供一種安全的端到端的數據通信。

VPN的主要功能特性有:

1.1 虛擬性 與傳統的專用網不同，VPN不是在2個站點之間建立永久的連接，而是經過Internet等公用網建立臨時性的鏈接，用戶數據在邏輯鏈路中傳輸;當端與端之間的連接斷開后，所釋放的物理資源又可被挪為他用。

1.2 增強的安全性 目前VPN網絡連接主要采用四項技術來保證數據通信安全，這四項技術分別是隧道技術、加解密技術、密鑰管理技術、身份認證技術。

1.3 低成本 VPN用戶不必租用長途專線建設專網，而是利用Internet等公眾網絡來建立，連接也是臨時性的，因此可以節省巨大的建設費用和專線租賃費用，也不必配置專門的網絡維護人員。

1.4 易于實現及擴展 企業構建VPN可以采用路由器等常見網絡設備。路由器成本低，配置簡單，無需其他更多設備，節省了人力和物力，實現及擴展性能良好，適合企業應用。

2 基于路由器的企業VPN網絡結構

以電務公司為例，公司總部設在天津，分支機構或項目部分別設在在齊齊哈爾、滿洲里、大連等地，理想的VPN方案網絡結構如圖1所示。

2.1 設在天津總部的路由器可選擇支持3個或更多的WAN口，多個LAN口;WAN口通過10Mbps或100Mbps寬帶DDN方式接入Internet，必要時可以采用兩條或多條ADSL電話線作為冗余、備份接入線路。

2.2 各地分支機構路由器至少具有兩個網絡接口，一個用于內網，一個用于外網;外網通過2M DDN專線或光纖方式接入Internet。

分支機構可以選擇不同的網絡營運商的線路，VPN聯機建議采用IPSec協議，以保證聯機的安全性。

2.3 公司重要領導或關鍵業務人員，因為經常出差在外，可以通過移動寬帶方式如3G卡接入移動網絡，然后再連接至Internet。

本方案中，公司總部具有動態的IP地址，各地分支機構采用固定或虛擬IP地址、以多種接入方式接入Internet，通過VPN網關在Internet 上構建起企業內部VPN。

3 關鍵技術

VPN的關鍵是采用隧道技術(Tunnel)，即將企業網的數據封裝在隧道中進行傳輸。

3.1 隧道原理 隧道技術是一種利用公共網絡在網絡之間傳遞數據的方式，從而無需建設專用網絡卻能實現專用網絡的功能。其核心是隧道協議，隧道協議是將需要傳遞的數據包重新加密并封裝在新的包頭中發送的專用協議，新的包頭還提供路由信息，從而使新封裝的數據包能夠在隧道的兩個端點之間通過公共網絡進行路由傳輸。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑就稱為隧道。當數據包到達網絡終點時，數據將被解包并轉發到最終目的地。

3.2 隧道協議 隧道協議有兩種類型，一種是二層隧道協議，和數據鏈路層對應，用于傳輸二層網絡協議，并用幀作為它們交換的基礎，PPTP、L2F和L2TP是二層隧道協議;另一種是三層隧道協議，用于傳輸三層網絡協議，主要用于構建企業內部虛擬專網VPN，IPSec是最常用的三層隧道協議。

3.2.1 二層隧道協議 二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中，形成的數據包靠第二層協議進行傳輸。

第二層隧道協議主要有以下三種:一是由微軟、Ascend、3COM 等公司支持的 PPTP(Point to Point Tunneling Protocol，點對點隧道協議);二是Cisco、北方電信等公司支持的L2F(Layer 2 Forwarding，二層轉發協議)，一般用于Cisco 或兼容的路由器;第三種由IETF起草，微軟、Ascend、Cisco、3COM 等公司參與的L2TP(Layer 2 Tunneling Protocol，二層隧道協議)，該協議結合了上述兩個協議的優點，因此應用最為廣泛。

3.2.2 三層隧道協議IPSec PPTP、L2F和L2TP，都沒有很好地解決隧道加密和數據加密的問題，而三層隧道協議IPSec把多種安全技術集合在一起，能夠建立一個安全、可靠的隧道。

IPSec是保障IP層安全的網絡技術，-它實際上不是一個而是一族協議。IPSec封裝的是IP層或IP上層數據，其最大的特點是為數據傳輸過程提供了機密性、完整性保護和數據源驗證，從而確保數據在公共網絡傳輸的安全性和可靠性;同時由于添加的協議頭并不多，并且可以利用硬件加速報文的處理，因而效率非常高;此外，其協商過程能提供比較完備的用戶身份認證，從而進一步保證了網絡的安全。

因此，就一般企業用戶構建安全的VPN而言，應該使用IPSec技術。

4 系統安全性策略

由于企業VPN主要用于辦公文件、經營資料、財務數據等重要信息的傳輸，且是利用公網進行數據傳輸，因此系統的安全性必須高度重視。

VPN系統常用的安全性策略有以下幾種:

4.1 防火墻 防火墻是網絡安全的重要組成部分。它在企業內部網和外部網之間、專用網與公共網之間的界面上構造保護屏障，從而保護內部網免受非法用戶的侵入。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，具體應用可以由公司根據實際情況統一部署。此方案中天津總部選擇了具有高級別防火墻的路由器。

4.2 訪問權限控制 對系統管理員、企業領導、中層管理人員、分支機構負責人、財務人員、一般業務人員等按照職責、級別、時間設置操作權限，不同的權限擁有不同的系統資源訪問范圍，以保證系統的使用安全。而針對辦公管理來說，就實現了不同級別的人員只能看到并處理自己權限范圍內的文件及工作，從而保證了辦公的保密功能。

4.3 數據庫備份 為了避免數據意外丟失，保證數據安全，系統應提供重要數據的備份機制。

5 結束語

利用VPN技術實現了施工企業總部與各分支機構及項目部的連接，不僅在成本增加不大的前提下提高了數據傳輸速度，解決了隨時隨地跨區域辦公的問題，同時實現了總部與各地分支機構跨區域的信息共享，而且支持移動辦公功能，并具有良好的安全性和穩定性，為更加有效地實現工程項目管理提供了保障，具有良好的經濟效益與社會效益。

參考文獻:

[1]周耀林等.辦公自動化實務，武漢大學出版社.2008.

[2]Richard Deal，Cisco VPN完全配置指南，人民雨點出版社.2007.

[3]Ivan Peplenjak Jim Guichard，MPLS和VPN體系結構，人民郵電出版社.2001.