構建中型企業(yè)的分布式VPN

袁向英

南京森林警察學院教育技術科 江蘇 210046

0 前言

本文以南京某集團公司為例，該集團公司總部設在南京，同時在上海、北京、成都、廣州設有分公司，各分公司每天都有財務的數(shù)據(jù)和南京總部溝通，公司還有很多項目組工作在全國各地，他們也需要和公司進行一些技術方面的溝通。公司一直在尋找一種有效的性能價格比高而且實用的方案。最初準備使用長途專線連接到總部，這種方案的成本和使用費用都很高，對于企業(yè)來說無疑是很大的負擔。如今，各種寬帶上網(wǎng)方式迅速發(fā)展，基于Internet構建集團的VPN網(wǎng)絡無疑是一種高性價比的方案。

公司總部及各分公司都具備連接 Internet的能力，接入方式多種多樣。另外公司在上海一IDC機房托管一臺服務器提供公司的電子郵件及OA辦公服務。因為南北電信網(wǎng)通互聯(lián)互通的原因，此服務器使用兩條100M共享以太網(wǎng)接入互聯(lián)網(wǎng)，電信，網(wǎng)通接口各提供獨立的靜態(tài)IP地址及獨立的網(wǎng)關設置。

1 VPN網(wǎng)絡的要求

(1) 各分公司、項目組彼此分布在不同地點，而且是不同的ISP，VPN網(wǎng)絡需要將分散在不同地點的局域網(wǎng)全部互聯(lián)互通，組成一個更大的局域網(wǎng)，同時必須要解決南北網(wǎng)絡(即電信和網(wǎng)通)之間通訊瓶頸的問題；

(2) 需要共享大量的資料及信息資源，必須保證資料在傳輸過程中的安全性；

(3) 解決方案要盡可能減少成本投入，并且將來易于擴展；

(4) 公司有大量的項目組常年在全國各地，過去，企業(yè)員工一旦離開了公司就無法使用本地的局域網(wǎng)，VPN系統(tǒng)需要支持公司外部移動辦公的員工也能使用本公司局域網(wǎng)資源。

2 傳統(tǒng)星型架構vpn的不足

傳統(tǒng) VPN網(wǎng)絡架構為星型架構，組成方式為各分支機構運行VPN客戶端通過VPN網(wǎng)絡連接到公司總部運行VPN server 端的網(wǎng)絡上如圖1所示。

圖1 星型網(wǎng)絡拓撲圖

這種架構的優(yōu)點是結構及維護簡單，所有的配置與維護工作量都在公司總部，但在實際使用過程中的不足的也是顯而易見的。

3 分布式vpn的設計

3.1 分布式vpn架構的描述

相對傳統(tǒng)方法組建的星型VPN網(wǎng)絡中VPN網(wǎng)絡的可靠性差、帶寬的高要求、網(wǎng)絡延時在很多應用場景下過長，本文提出了一個完全分布式 VPN 網(wǎng)絡系統(tǒng)架構，網(wǎng)絡拓撲結構如圖2如示。

圖2 分布式網(wǎng)絡拓撲圖

在此結構中充分利用了該企業(yè)原有的一臺托管在上海IDC機房的雙線路接入服務器，由此服務器解決因南北電信網(wǎng)通互聯(lián)互通導致的網(wǎng)絡延時過長的問題，此服務器所在的機房有中國電信與中國網(wǎng)通兩條不同的物理聯(lián)接，并且為服務器分別提供兩家運營商的100M以太網(wǎng)線路，中國電信網(wǎng)內(nèi)用戶與中國網(wǎng)通網(wǎng)內(nèi)用戶可以分別訪問服務器相應網(wǎng)絡端口的地址，由于是網(wǎng)內(nèi)通訊其最大網(wǎng)絡延時基本可以控制在最大50ms 以內(nèi)，各分支機構與公司總部根據(jù)其自身的網(wǎng)絡接入供應商的不同，將 VPN連接至此服務器的相應網(wǎng)絡端口，并且由此服務器充當 VPN網(wǎng)橋的作用，從而保證跨網(wǎng)絡服務商的節(jié)點間的通信最大網(wǎng)絡延時低于100ms。移動用戶與分支機構節(jié)點相同，也可以根據(jù)當前所使用的網(wǎng)絡供應商的類型不同將選擇不同的 VPN 服務器進行登錄，從而減小訪問不同網(wǎng)絡的延時。

由于此服務器在整個 VPN網(wǎng)絡結構中承擔了南北電信網(wǎng)通的橋接功能，在此將此服務器命名為橋接服務器一，IDC機房的接入等級較用戶接入網(wǎng)高很多，而且在交換，路由及鏈路等方面都具備冗余及備份系統(tǒng)，電力供應也保障 24小時不間短供應，其本可以滿足該公司網(wǎng)絡可靠性高及低線路延時的要求，IDC的雙100M以太網(wǎng)線路也完全可以滿足全分支節(jié)點間的通信流量的總和，并且IDC機房的托管費用遠低于ISP供應商的本地接入光纖帶寬的擴容費用，將本地接入網(wǎng)帶寬的擴容成本轉換為IDC的托管費用換來的是更可靠的網(wǎng)絡接入及低線路的延時。

為了防止因橋接服務器單點故障造成整個公司范圍內(nèi)的VPN網(wǎng)絡全面斷開，本方案中將在北京異地IDC中建立另一個橋接服務器二，同樣使用電信網(wǎng)通雙線路接入，各分公司及總部同時與兩臺橋接服務器建立 VPN連接。從而使整個公司的主要VPN鏈路具備多鏈路及冗余鏈路保證24小時不間斷服務。

此分布式 VPN網(wǎng)絡結構的另一個顯著特點是為了減少同一互聯(lián)網(wǎng)供應商內(nèi)兩分支機構節(jié)點間的網(wǎng)絡通訊流經(jīng)第三方服務器(橋接服務器)，在同一互聯(lián)網(wǎng)供應商接入范圍兩分支機構節(jié)點間進行了 VPN網(wǎng)絡節(jié)點的直接鏈路連接，對于南京總部與上海分公司間同為中國電信接入的網(wǎng)間 VPN通信可以根據(jù)網(wǎng)絡路由策略優(yōu)先走南京與上海間的 VPN鏈路，從而減少橋接服務器的負擔，并且能有效減少因走橋接服務器帶來的網(wǎng)絡延時的增加。

在分布式VPN網(wǎng)絡中不存在VPN Client(VPN客戶端)的概念，所有的 VPN 網(wǎng)關即可以作為傳統(tǒng)意義上的 VPN Client 連接到遠端的 VPN 橋接服務器，也作為傳統(tǒng)意義上的VPN Server接受同網(wǎng)絡運營商其它分支節(jié)點VPN網(wǎng)關客戶端的連接請求。

任意兩個 VPN 網(wǎng)關之間動態(tài)建立安全隧道直接通信，不需要第三方VPN Server的轉發(fā)，是一種完全分布式的VPN網(wǎng)絡。實現(xiàn)了VPN Server之間負載平衡，提高了VPN網(wǎng)絡吞吐率，同時在某個VPN Server需要維護、升級或是出現(xiàn)故障無法工作的時候，其它VPN Server之間可以正常通信，從而解決了基于用戶傳統(tǒng) VPN Server單點故障，提高了整個VPN網(wǎng)絡的健壯性和可靠性。所以整個VPN具有高的靈活性和好的擴展性。

3.2 網(wǎng)關平臺子網(wǎng)地址規(guī)劃及路由策略

當公司總部與各分公司網(wǎng)絡通過 VPN連為一個跨區(qū)域的大的網(wǎng)絡時，為了實現(xiàn)不同區(qū)域間的計算機及網(wǎng)絡設備的互相訪問就需要對所有的公司及子公司網(wǎng)絡地址分配情況進行統(tǒng)一規(guī)劃設計。公司總部根據(jù)長遠發(fā)展的需要規(guī)劃 32個C類段IP地址，VPN網(wǎng)關地址為子網(wǎng)第一個可供使用IP地址。其它各分公司規(guī)劃4個C類段IP地址，預留4個C類段IP地址，VPN網(wǎng)關地址為各子網(wǎng)每一個可供使用IP地址。兩個網(wǎng)橋提供公司總部及各分公司 VPN網(wǎng)關接入服務各使用一個C類段地址，每個VPN鏈路使用4個IP地址。同一網(wǎng)絡服務商分支節(jié)點網(wǎng)關間建立的直接 VPN鏈路使用一個C類段IP。每個網(wǎng)橋提供移動用戶VPN接入各需要一個C類段使用DHCP方式分配IP地址。

公司總部及各分公司將提供訪問的應用服務器及網(wǎng)絡設備地址使用靜態(tài)地址分配方式集中在一個或數(shù)個C類子網(wǎng)段，對于其它設備如計算機等根據(jù)需要可以使用DHCP方式進行動態(tài)地址分配。

3.3 防火墻策略及身份認證

集團公司的 VPN內(nèi)部網(wǎng)絡是構建在互聯(lián)網(wǎng)上的，網(wǎng)絡的安全是至關重要的，任何安全設置不當都可能導致網(wǎng)絡應用中斷機密數(shù)據(jù)泄露，產(chǎn)生巨大的損失，設計完善的安全策略可以將安全風險降到最低。

在 VPN網(wǎng)絡構建完成后，本例中安全風險主要來自兩部分：

從互聯(lián)網(wǎng)通過各地網(wǎng)關及橋接服務器鏈路的非法入侵，由于集團分公司之間啟用了 VPN系統(tǒng)，所有的應用服務都架構在內(nèi)部網(wǎng)絡，不再需要在互聯(lián)網(wǎng)提供地址映射或端口映射，這就保證了非法入侵不能訪問此類應用并且通過此類應用系統(tǒng)的不斷被發(fā)現(xiàn)的技術漏洞進入內(nèi)部網(wǎng)絡，在各地的防火墻安全策略設計時只需要將所有網(wǎng)關通過 NAT轉換后設計成單向對外部互聯(lián)網(wǎng)訪問，并且使用嚴格的先關閉所有外向訪問應用，然后根據(jù)需要開啟必需的控制策略即可以實現(xiàn)對來自互聯(lián)網(wǎng)的安全訪問控制。

來自內(nèi)部網(wǎng)絡的安全風險，在所有已知的網(wǎng)絡入侵及機密數(shù)據(jù)泄密的事件中絕大部分是由于內(nèi)部網(wǎng)絡的絕對信任與不設防，基本沒有安全措施保障存放重要數(shù)據(jù)的應用服務器與數(shù)據(jù)庫服務器。本例中由于移動用戶可以在任意時間及地點通過 VPN網(wǎng)絡接入公司內(nèi)網(wǎng)從而帶來了更加嚴峻的安全風險，VPN系統(tǒng)的被非法入侵及非授權條件下的非法訪問都是需要考慮的重要因素。

非授權條件下的非法訪問控制的實現(xiàn)是通過各分公司的網(wǎng)關防火墻的安全策略來實現(xiàn)的，將所有提供應用服務的關鍵服務器放置在各總部與分公司的網(wǎng)關的DMZ區(qū)，通過訪問地址策略、端口策略及訪問時間策略來控制本地局域網(wǎng)及VPN網(wǎng)內(nèi)其它地址對DMZ區(qū)的授權訪問。

4 總結

本文根據(jù)南京某公司面臨的現(xiàn)狀，公司總部和各分公司及公司駐外項目組網(wǎng)絡不能互聯(lián)，無法使用公司的網(wǎng)絡資源，進行詳細的需求分析，制定出一套符合公司需求的解決方案。

性能上的不足是 VPN系統(tǒng)的一個重要問題，目前的一些解決方案都是從加解密機制入手，用減緩 VPN服務器加解密運算負荷的方式改善系統(tǒng)性能，但未能從根本上將服務器從“中轉路由"的職責中解脫出來，因此性能的提高很有限。本文針對傳統(tǒng)星型VPN網(wǎng)絡中VPN Server負載過重和單點故障問題展開，從網(wǎng)絡拓撲結構入手，提出了一個完全分布式的VPN Server 系統(tǒng)架構。該模型借鑒P2P(peer-to-peer)技術的分布式思想(P2P技術又稱對等互聯(lián)網(wǎng)絡技術，是一種網(wǎng)絡新技術，依賴網(wǎng)絡中參與者的計算能力和帶寬，而不是把依賴都聚集在較少的幾臺服務器上)，利用邊緣計算資源分擔服務器的傳輸負載，提高了VPN網(wǎng)絡的整體吞吐率。

[1] C.Martin.網(wǎng)絡革命P2P.上海遠東出版社.2000.