淺談中小型企業網絡VPN接入解決方案

陳林

【摘 要】隨著企業規模的擴大與網絡技術的普及，越來越多的企業開始構建自己的分支機構，并且有更多的移動辦公人員需要進行遠程訪問企業內部的網絡，故這一需求促進了VPN技術的發展。隨著VPN技術應用的日益廣泛，IPSec已經成為實現VPN的主要技術。結合IPSec VPN技術的特點，將此技術應用企業網的擴張與建設中，用于提供低成本、高效、可靠、安全的網絡數據傳輸。在本次企業接入方案中，將實現總部網絡的規劃及設計，分部及移動辦公人員的設計，最后利用GRE、NAT、IPSec三項技術實現分部對總部的VPN接入。在移動辦公人員接入方面，使用L2PT隧道技術保證移動辦公人員靈活地接入企業總部網絡。

【關鍵詞】企業網；VPN；IPSEC；L2TP；GRE

一、課題來源

Internet本質上是一個開放的網絡，沒有任何安全措施可言。隨著Internet應用的擴展，很多要求和保密的業務需要通過Internet實現。VPN（Virtual Private Network）的概念最早是從專線引發的。先舉一個例子說明為什么需要VPN，例如一個公司在全國各地都有分公司，那么通常它必須租用專線實現企業內部的互聯網絡，這種方式需要在兩地或多個地點之間租用長途線路，不論是否有數據傳輸這條長途線路都固定分配，用戶付出的代價很高。故這一需求促進了VPN技術的發展。VPN可以給企業帶來更大的靈活性和更高的生產力，用戶幾乎可以從任何地方的遠程站點和遠程辦公室安全地連接到企業的網絡。VPN對數據加密阻止非法用戶破譯。VPN也允許遠程主機訪問防火前的內部，遠程用戶就像在公司內一樣使用網絡設備。因此，研究VPN在企業中的接入顯示出迫切性和現實性。

目前很多企業都面臨著這樣的挑戰：企業分公司、經銷商、合作伙伴、客戶和移動出差人員要求隨時經過公用網訪問公司的資源，這些資源包括：公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。為了解決這些問題，目前很多企業通過使用IPSec VPN和L2TP VPN技術來保證公司總部和分支機構以及移動工作人員之間的安全連接。

二、企業與應用接入需求分析及方案選擇

（一）需求分析

某企業為一家中大型企業，總部設在北京，是整個企業的中心點。隨著企業規模的擴大與業務的需要，在長沙建立了一個分部站點，該站點在工作中必須和總部保持順暢的通信。除此之外，還有大量的移動辦公人員需要適時地接入到總部進行辦公。同時企業對公司網絡接入的需求為：價格低廉、接入方式多又容易、對寬帶要求高、對數據傳輸的安全性越來越高、可靠性要求高等。

（二）企業接入方案選擇

雖然專線網絡在帶寬上有明顯的優勢，但由于專線網絡具有的一些固有缺陷，比如在費用上的開銷很大，一般企業難以接受太高的價格。然而VPN的目的就是通過公用網絡將異地的網點互聯，實現一個私有網就像用專線聯接起來的一樣，其實現的方式就是在公網上建立某種形式的鏈路作為IP的隧道進行異地網點互聯。在公網上實現 VPN ，用戶只需要付出到網絡服務提供商的本地線路費用，并且在沒有數據傳輸時可以斷開連接進一步節省了開銷。通過對上述接入接入方案的對比以及考慮到企業對網絡的需求，最終選用虛擬專用網（VPN）的解決方案。此外VPN還能夠對數據流進行加密保護，實現了對重要數據的保密。所以，VPN接入是個不錯的選擇。

三、整個企業VPN接入介紹

（一）企業總部模塊：由多臺交換機與路由器搭建成，核心交換機與路由器運行OSPF路由協議，加快鏈路的快速收斂；2臺總部核心交換機與邊界路由器使用靜態浮動路由對接；總部模塊的核心交換機做DCHP，為總部用戶分配IP地址；邊界路由器接入Internet；總部模塊使用GRE協議實現和企業分部模塊的連接，共同運行OSPF路由協議等。

（二）企業分部模塊：分部申請一個固定的公網IP地址，使用GRE協議實現和企業總部模塊進行連接，和總部共同運行OSPF路由協議協議；分部要求通過總部邊界路由器訪問Internet，不允許單獨上網等。

（三）移動辦公用戶接入模塊：移動用戶接入模塊通過L2TP隧道可以訪問總部及分部的資源；L2TP撥入采用PPP Chap認證等。

（四）企業設備選擇：

匯聚層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。

四、結論與展望

通過本次設計，主要實現了利用VPN技術來解決企業網內的互聯，即通過不安全的Internet來傳輸數據信息。企業網的總部和分部之間，通過IPSEC技術和GRE隧道技術的結合，即GRE OVER IPSEC與IPSEC OVER GRE技術，可以實現總部與分部的連通性，并且解決了數據在Internet傳輸的不安全性。企業網的總部與移動辦公人員之間，通過建立L2TP隧道的方法，可以實現出門在外的移動辦公人員可以隨時地通過Internet連接到企業，訪問企業的內網資源，有效的提高了辦公效率。

此企業的VPN接入只是一個普遍案例，適用于大多數需要VPN的企業。然而VPN接入方面還有許多技術，比如在L2TP的隧道上再結合IPSEC的加密，實現L2TP OVER IPSEC，這樣就保證了移動辦公的數據可以被加密。還比如分部是通過撥號上網，公網IP地址是活動的，那么又是一種和本次設計不一樣的情況。VPN技術不僅僅只有IPSE、GRE、L2TP等技術，諸如MPLS VPN技術也可以實現企業的接入。

通過對此案例的設計，讓我學習到了新專業技能，對VPN有了更深一步的了解，也加強了自己的動手實踐能力。在此次VPN的設計中，由于本人對知識的掌握程度和技能的不足，在理論和實現上難免會有許多的錯誤，真誠地希望能得到老師們的指導，這樣才更能夠加快提升自己的能力。