VPN技術在企業專網建設中的應用研究

岳瑩，孫廣波，楊敏，王浩，楊瑾

（1.中國聯合網絡通信有限公司廣東省分公司，廣東 廣州 510630；2.廣州杰賽科技股份有限公司，廣東 廣州 510310）

1 引言

隨著辦公自動化、信息化的需求日益迫切，企業均著手建設自己的集中信息化平臺，通過網絡辦公、遠程辦公實現工作的無紙化、流程化、規范化、服務便捷化和成本低廉化。企業僅靠內部局域網已無法滿足靈活接入方式的需求，比如對于分支機構多或辦公地點分散的企業，可以通過互聯網、移動網等公眾網絡遠程接入公司集中信息平臺完成異地辦公、移動辦公的需求。由此，公司內部信息平臺將暴露在公網上，也帶來了網絡信息安全和網絡安全的問題。尤其是網絡安全，想要在互聯網上滿足用戶的類似專網性能需求，就需要通過在互聯網上開通不同的VPN隧道來實現。VPN隧道技術，按照隧道協議工作的OSI層級的不同，有不同的分類。本文從對比不同VPN技術入手，討論企業虛擬專網建設中如何選擇VPN技術的問題。

2 企業專網建設現狀

在企業內部各局域網互聯的建設中，由于專線自建和專線租用的高額成本限制，一般都是通過租用互聯網帶寬的方式實現。同時為保證企業內部信息安全，采用VPN 技術使各個孤立的局域網互通，實現大局域網的概念，實現集中設置一套數據庫、管理平臺、應用系統共享給企業各地局域網用戶和管理各局域網內用戶和業務。在建設虛擬專網時，企業網絡現狀一般都會存在如下的問題：

◆網絡接入方式簡單：為降低費用，多采用家庭寬帶方式，企業端網關多采用動態IP地址，沒有固定IP地址，VPN建立的條件不具備。

◆資金投入少：一般以實現網絡可達為主要目的進行設備選型，選擇的設備低端，在網絡無故障時，一般很少追加投資進行網絡改造建設。

◆缺乏維護手段：企業IT人員一般僅做局域網內IP地址分配、操作系統維護、殺毒等常規工作，對于互聯網、廣域網無法自主維護。

◆缺少建設部署經驗：企業的網絡一般作為正常運營的支撐，較少會主動跟蹤技術發展。在有建設改造需求時，無相關經驗進行選擇對比。

在這樣的背景下，本文基于互聯網VPN技術，對企業虛擬專網建設進行建設應用方案研究，為企業建立跨地域的大局域網。通過互聯網VPN技術來實現，既可以以網絡安全設置避免企業信息的泄露，同時減少了企業技術難題、建設難度和資金壓力。

3 VPN技術分類

按照不同VPN技術的協議在OSI七層模型中的層次，分為SSL VAN、Sock5、IPSec VPN、PPTP及L2TP等。VPN技術分類如表1所示。

按照VPN 的實現主體的不同，可分為由電信運營商負責提供的MPLS VPN、直接由用戶自己完成的PPTP/L2TP/IPSec VPN，以及基于瀏覽器方式的SSLVPN。

表1 VPN技術分類

考慮到PPTP及L2TP是基于鏈路層的協議，需要在隧道的兩端設置L2TP專用服務器，由于在公共互聯網上應用存在不足，本文不展開分析。對于常見的VPN技術，分析如下：

◆IPSec

IPSec是網絡側的VPN技術，在終端網絡節點之間建立直連隧道，并對傳送的數據進行加密和加密后封裝，同時支持ACL限制、數據校驗驗證、數據準確性和可靠性驗證等服務。IPSec加密后的數據包為IP數據包，獨立于應用層，因此安全服務對OSI上層協議是透明的。

IPSec VPN是在Internet上最常見的方法，主要是針對用戶不同局域網之間的互聯，對在安全上有加密需求的主要使用IPSec的協議。

◆SSL VPN

SSL協議工作在OSI的應用層，通過SSL連接進行數據傳輸，是一種在Internet上保證發送信息安全的通信協議。通過在各種應用層協議和TCP/IP協議之間建立可靠的傳輸協議，為應用層業務提供數據封裝和加密交換，為網絡連接提供安全認證機制，實現用戶使用遠程終端訪問公司內部服務區，對內部數據進行讀寫操作。

◆MPLS VPN

MPLS VPN綜合了router、switch在路由和交換上的特點，工作在網絡層和鏈路層，采用標簽進行數據轉發，當分組進入MPLS網絡時，在IP標上其分配固定長度的短標簽，將標記與分組封裝在一起，用標簽代替IP包頭的作用，在網絡上進行轉發。在MPLS網絡內部的轉發路徑上，數據包均通過交換標簽來實現轉發。在數據包離開MPLS網絡時，在MPLS邊緣節點對數據包解封，再按照IP包的路由方式到達目的地。

4 企業虛擬專網建設中VPN技術的對比 分析

盡管IPSec、SSL和MPLS這3類VPN技術都能實現提供VPN的能力，但這三者因為技術協議、周邊資源需求、服務質量等方面的許多不同而存在差異。

4.1 安全性方面

IPSec，通過在OSI的網絡層上的加密設置、認證提供、ACL設置等技術手段，增強TCP/IP的可靠性和安全性，使VPN通道很難被篡改。但主要考慮和解決的是網絡通道上的安全問題，對于用戶主機和局域網則容易遭受數據泄露和病毒攻擊，控制手段有限。

SSL VPN建立的是一條OSI的上層協議通道，是基于應用的。用戶訪問時，通過SSL VPN向SSL服務器發送請求，服務器發送一個提問給用戶，用戶則返回加密后的提問和其公開密鑰，從而實現對遠程資源訪問的用戶權限進行控制盒認證，即使在局域網內部訪問，也需對每個用戶的訪問權限進行控制。

MPLS VPN根據路由協議來傳播信息，完成標簽分發和通道隔離，利用IP隔離等手段提供防御，但缺點是傳輸數據是透明的，在VPN被破解后，數據即無安全保護。

4.2 網絡服務質量（QoS）方面

IPSec VPN是基于端到端的保護，保證端到端網絡通道的安全，在源IP地址和目的IP地址之間的安全特性需要集中服務器或軟件的處理能力。并且由于協議的定義，在報文前要添加IPSec數據包頭，當數據包的長度超過MTU的長度，該數據包將被分片成多個數據包，使每一片的長度都小于或等于MTU，額外增加了需要傳輸的數據包數量，而且拆包組包的過程也浪費了時間。另外，IPSec協議包中QoS的字段無法識別，QoS特性無法體現，對不同業務劃分服務等級也是無效的。

SSL VPN同IPSec類似，一方面，在傳輸中經過SSL加密隧道與身份認證會降低傳輸效率，另一方面由于SSL VPN也是承載在公眾互聯網上，因此QoS無法得到保證。

MPLS VPN在網絡服務質量方面特點突出，MPLS使用標簽替換IP地址，避免了網絡中逐跳進行路由而帶來的跳數過多及路由表更新頻繁的問題。標簽交換根據業務的不同定義不同的QoS等級，根據QoS分配不同的優先級和不同帶寬。

4.3 應用領域和便捷性方面

IPSec工作在OSI協議的第3層，可以使用所有基于IP協議的服務，因此中小企業在組建VPN網絡時采用該方式比較廣泛。由于該方式需要獨立安裝客戶端來實現，并且VPN連接受NAT的影響，VPN建立需要動態調整。在VPN建立規模較大時，安裝和動態調整工作量大，運維困難。

SSL VPN一般結合瀏覽器方式使用，以作為瀏覽器插件的方式，省去首先運行應用軟件的繁瑣，在用戶使用體驗和后臺運維上均較IPSec更好更方便。但SSL VPN也有很大的局限性，如只能應用軟件，如基于Web的應用系統、E-mail之類，使用的范圍受到影響和限制。

MPL SVPN 首先運行在MPLS 網絡上，通過對MPLS網中CE、PE、P設備的配置來實現，對用戶側網絡基本無特殊要求。MPLS VPN可以實現所有基于IP的應用，同時由于它具有很好的QoS，因此在企業網中有廣泛應用。例如在電子政務網中，不同系統之間的數據要求相互隔離，同時各業務系統之間又存在著互訪的需求。

4.4 擴展性方面

IPSec技術本身的特性決定了它主要在小型網絡中小規模應用，對于在復雜網絡中實現不具有優勢，在防止IP地址重復等問題上沒有有效的解決手段。IPSec在擴展性方面比較局限，當全網的拓撲結構發生變化時，在需要增加或刪除設備時，就要同步改變網絡結構中IPSec部署，工作繁瑣、可操作性差，所以IPSec在可擴展性方面缺點突出。

SSL VPN是為遠程接入而設計的，它基于Web進行訪問，使許多設備可以通過支持SSL協議的標準瀏覽器訪問企業內部網絡，一些非傳統設備也可以隨時隨地訪問接入，擴展性很好。

MPLS屬于電信級網絡，可根據網絡健壯性把網絡配置成網狀、環狀等結構，相應MPLS VPN的可靠性和靈活性也同理，用戶側路由器不需要必須支持MPLS協議，對用戶路由器的硬件性能和數據配置要求均不高。當網絡規模擴大或拓展時，通過平滑新增用戶路由器，在用戶路由器和MPLS PE設備之間進行靜態路由設置即可滿足。同時，由于標簽代替了地址，用戶可以繼續使用原來的IP地址，不需對IP地址重新規劃調整。

4.5 經濟性方面

采用IPSec VPN方式，當企業地域規模擴大時，每增加一個接入點，就需同步增加一臺IPSec設備。企業網絡規模隨著人員、業務的增大也會同步增大，就需新增設備來滿足需要。

采用SSL VPN方式，通過在企業的數據中心放置一臺SVN服務器，集中滿足所有用戶的VPN接入請求，一臺設備滿足多個網絡，所以經濟性較好。

MPLS VPN費用相對使用物理專線節省較多，但需要電信運營商提供服務，成本受多方因素影響。總體來看，MPLS VPN一次性建設成本低于IPSec VPN和SSL VPN，但每月額外會有租用成本。

綜上分析，IPSec適合于企業有業務網關的場景、有VPN連接需求的解決方案。SSL VPN主要針對區分用戶權限，根據不同用戶的職責提供不同的訪問權限，適合于通過不同網絡實現遠程接入方案。而MPLS VPN由運營商提供VPN通道，企業以使用為主，無需額外的配置，實現簡單，并支持QoS，因此適合于企業無維護人員且對提供差異化服務有要求的情況。

總之，在企業專網部署VPN時，主要根據以上5點考慮不同企業的實現方式。同時， IPSec、SSL和MPLS VPN也可根據需求結合使用，如采用MPLS提供網絡VPN方式，再疊加SSL的方式實現對應用層業務的安全保護，對用戶信息和數據信息加密。

5 企業虛擬專網接入方案

由上分析，SSL VPN主要是通過在公司總部設置專用設備即可實現，IPSec VPN則需要在企業總部和分支機構之間同時設置專用設備，以上2種方式主要在使用場景上有差別，在專網建設中方案基本類似，因此合并分析。對MPLS VPN在企業專網建設則進行單獨分析。

5.1 遠程接入SSL VPN/IPSec接入方案

在企業互聯網出口處部署安全接入網關SVN，承載遠程用戶安全接入。公網上的用戶通過Web瀏覽器或者客戶端軟件的方式對內部網絡進行訪問。在通過安全接入網關的身份認證、賬號檢查等策略檢查后，用戶登錄安全接入網關，實現在公網上的內部網絡之間加密隧道的建立。之后用戶信息和應用數據信息均通過加密隧道在公網上傳輸，避免了在網絡中數據被竊和被修改的風險。

安全接入網關部署在企業防火墻之后，采用旁掛的部署方式，基本不改變原有的網絡拓撲結構，實施也不影響改造前業務的正常運行。如有高可靠性要求，也采用雙機熱備組網，雙機之間配置VRRP協議，2臺設備對外提供一個公網IP地址供用戶訪問，當一臺設備故障時，VPN業務能夠快速切換到另一臺安全接入網關，保證了業務的平穩正常運行。

安全接入網關同時支持移動用戶通過移動網絡使用SSL方式、IPSec方式訪問，當采用IPSec方式時，相對于SSL方式僅需在遠程接入節點補充增加一臺安全網關。SSL VPN/IPSec接入方案如圖1所示。

5.2 MPLS VPN接入方案

企業虛擬專用網采用MPLS方式一般都是基于互聯網。該方式相對SSL VPN，減少了企業的自建內容，充分利用運營商提供的互聯網資源，由運營商的互聯網設備提供可配置的MPLS VPN，實現遠程接入和接入安全。

圖1 SSL VPN/IPSec接入方案

運營商根據企業需求，在業務部署方面，通過互聯網接入VPN承載網內用戶的訪問流量。互聯網接入VPN包括3類：

（1）分支機構接入總部的接入VPN

該VPN傳送的互聯網業務的統一出口在企業總部的互聯網出口處。在企業總部所在地的核心路由器上進行MPLS VPN的建立，再與互聯網連接，安全網關實施NAT轉換和安全防護。

（2）分支機構之間互聯的接入VPN

該VPN傳送的互聯業務的統一出口在各分支機構的互聯網出口處，在分支機構所在地的匯聚路由器上進行MPLS VPN的建立后與互聯網連接，安全網關實施NAT轉換和安全防護。

（3）內部正常訪問互聯網的接入VPN

網內用戶有訪問Interent業務的需求，為滿足用戶需求且保證網絡安全，需要加強互聯網出口安全管理，逐步減少用戶自建出口數量，集中在總部統一接入互聯網或個別分支機構。

MPLS方式接入方案如圖2所示。

6 結束語

VPN作為一項成熟的技術，被廣泛應用于企業總部和分支機構之間的組網互聯。充分利用企業已經開通的互聯網帶寬，虛擬出多條專線，將企業的各分支機構和總部連接起來，組成一個大的局域網，從而安全、高效、經濟地滿足企業眾多分支機構對企業內部應用系統的訪問和使用需求。

圖2 MPLS方式接入方案

對于中小企業，一般采用SSL VPN的接入方式；對于稍大企業，考慮企業內部局域網的集中管理因素，一般采用MPLS VPN方式。

[1] 王文娟,李緒凱,張天輝,等. MPLS/BGP-VPN技術應用[J]. 計算機與網絡, 2015(1): 60-63.

[2] 夏哲學,李東升. 基于MPLS-VPN技術的信息網絡融合研究[J]. 中國科技博覽, 2015(23): 194-196.

[3] 張凱霞. 基于VPN技術的校園移動OA設計與實現[D]. 南京: 南京郵電大學, 2013.

[4] 劉陽. 基于USBkey認證的SSL VPN網絡的設計與實現[D]. 長春: 吉林大學, 2014.

[5] 王妍. 基于IPSec的VPN系統設計與實現[D]. 成都: 電子科技大學, 2013.

[6] 王海萍,鄧文雯. VPN技術在電子政務異地協同辦公中的應用[J]. 江蘇科技信息, 2015(2): 55-56.

[7] 張揚. 基于IPsec的VPN研究[J]. 重慶工學院學報：自然科學版, 2008(1): 115-117.

[8] 呂愛民. IP VPN關鍵技術的研究及其實現[D]. 成都: 電子科技大學, 2002.

[9] 左鑫. 基于MPLS的VPN技術在校園網中的應用與研究[J]. 電子技術與軟件工程, 2015(12): 33-33.

[10] 陳勇. 主流VPN技術的比較及應用分析[J]. 信息系統工程, 2010(7): 74-75.

[11] 余勝生,歐陽長春,周敬利,等. 訪問控制技術在SSL VPN系統中的應用[J]. 華中科技大學學報: 自然科學 版, 2006(7): 49-52. ★