VPN網絡的設計與分析

王一竹

摘 要

分析了VPN技術的主要設計要求，包括原則性要求和功能性要求，并分析了IPSEC VPN與SSL VPN兩種組網方式的區(qū)別。

【關鍵詞】虛擬專用網 VPN 設計原則

簡單地說，VPN即虛擬專用網絡，是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。為了保證VPN網絡建設能夠滿足業(yè)務拓展需要，同時保證網絡的先進性、實用性和未來可擴展性，必須結合現(xiàn)有網絡資源進行統(tǒng)一規(guī)劃，并達到最好的投資保護，在VPN網絡設計原則中，應堅持原則性和功能性的建網原則。

1 VPN網絡的設計的原則性要求

1.1 總體規(guī)劃，分步實施的原則

VPN系統(tǒng)的設計需要統(tǒng)一的規(guī)劃，整個系統(tǒng)可以根據需要和可能分步實施。

1.2 安全性原則

VPN系統(tǒng)的設計首先必須確保自身的安全可信。

1.3 實用性原則

VPN系統(tǒng)的建設應從透明性、友善性、有效性等幾個方面考慮實用性的設計，透明性是指安全機制的設置和運行對于普通用戶應盡量透明，使他感覺不到其存在。友善性是指對于包括安全管理中心在內的所有需要進行操作的人機界面應做到安全、簡捷、方便。有效性一方面是指安全機制的設置確實達到設計要求，另一方面是指增加安全機制以后新增加的系統(tǒng)開銷所帶來的性能下降要在應用系統(tǒng)運行所能承受的范圍之內。

1.4 接入透明性原則

VPN系統(tǒng)的設計應該充分考慮已有的網絡結構不應該有大的變動，充分利用現(xiàn)有的計算機系統(tǒng)和網絡設備等各類資源，并保持安全網絡環(huán)境與現(xiàn)有應用信息系統(tǒng)的兼容性。

1.5 技術與管理密切結合的原則

任何安全系統(tǒng)的可靠運行，必須有嚴格的管理，并把兩者密切結合起來。管理首先是管理人員，然后再通過被管理的人實現(xiàn)對VPN系統(tǒng)運行的控制和管理。要有完備的規(guī)章制度和切實可行的操作規(guī)程來規(guī)范各類人員的操作。

2 功能性要求

在VPN系統(tǒng)架設中，需要完善的身份認證體系和可以對設備進行集中管理的安全管理工具。為了加大VPN系統(tǒng)的安全性和可控性，客戶端軟件必須支持數字證書與PC綁定功能。

2.1 組網方式的要求

在VPN系統(tǒng)應用中，VPN系統(tǒng)應該支持兩種組網方式：IPSEC VPN與SSL VPN。

IPSEC VPN主要應用在各個接入口的內部網時使用，因分支機構通常比較固定，Site To Site VPN建議使用此種方式。

Remote To Site即移動用戶與接入口建立VPN連接，主要用于大量移動用戶及小的分支部門等用戶連接接入口的內部網使用，建議采用SSL VPN方式連接。

2.2 組網靈活性要求

2.2.1 網絡接入方式的靈活性

VPN系統(tǒng)的邊緣硬件網關應該支持：寬帶接入（ADSL/Cable Modem/Ethernet）和窄帶接入（PSTN Modem/ISDN Modem）。

VPN系統(tǒng)的邊緣客戶端軟件的接入支持：無線接入（GPRS/CDMA）、寬帶以及窄帶接入。

2.2.2 網絡部署模式的靈活性

支持多種路由協(xié)議：靜態(tài)路由、RIP、OSPF、BGP等路由協(xié)議，同時提供全面的NAT功能，滿足用戶Internet連接訪問的需求。方便用戶在組建VPN系統(tǒng)的時候可以根據已有的網絡情況來選擇中心VPN系統(tǒng)的網絡部署。

2.2.3 VPN部署模式的靈活性

除了支持靜態(tài)的VPN隧道的部署模式，還必須支持動態(tài)IP地址VPN網絡的組建，支持VPN隧道的NAT穿越，支持設備間動態(tài)的建立和撤銷VPN隧道，以滿足VPN網絡不斷復雜的數據流通的需求。

2.3 協(xié)議標準要求

VPN系統(tǒng)的認證必須支持PKI的各種標準規(guī)范，遵循X509V3，RSA PKCS系列，SSL等，提供了良好的開放性和互操作性；支持標準的IPSec協(xié)議，支持網絡層的加密以及采用口令保護、身份認證、權限設置、防火墻等措施，保證數據的保密性、完整性、真實性、抗重放性。

VPN設備必須全面支持L2TP、GRE、IPSec等多種模式的VPN協(xié)議，滿足多種模式VPN組網的需求，為VPN網絡提供足夠強的擴展能力。

2.4 穩(wěn)定性要求

2.4.1 設備級的穩(wěn)定性

（1）設備的穩(wěn)定必須保證硬件平臺的穩(wěn)定性，VPN設備必須采用專用的網路設備硬件平臺，非通用工控機架構，必須能夠提供模塊熱插拔、電源冗余、機箱溫度監(jiān)控等特性；

（2）設備的穩(wěn)定必須保證軟件平臺的穩(wěn)定性，必須采用完全自主研發(fā)的操作系統(tǒng)平臺，以保證整個軟件平臺的穩(wěn)定性和私密性；

2.4.2 系統(tǒng)級的穩(wěn)定性

為了保證整個系統(tǒng)的可靠性，必須提供完善的線路檢測功能，下級設備能夠自動探測上級VPN設備以及連接線路的狀態(tài)，并且根據狀態(tài)自動切換線路和設備，保證整個VPN網絡的可用性。

2.5 管理功能要求

集中管理服務器能夠提供完善的管理功能，它應該能對多級VPN設備進行統(tǒng)一的管理。發(fā)行管理員可以對VPN設備實現(xiàn)零配置的功能，在邊緣VPN設備啟動時把集中管理服務器上登記的信息下載到密碼機上，實現(xiàn)了邊緣端VPN設備的無人管理。

VPN網絡必須具備完善管理解決方案，滿足用戶對VPN管理的特殊需求。

（1）管理解決方案必須能夠提供足夠靈活的部署能力，VPN網絡節(jié)點非常多，而且非常分散，尤其是很多小規(guī)模節(jié)點缺少具備足夠技術能力的技術人員，這種現(xiàn)狀決定了VPN網絡必須具備自動部署能力，下級節(jié)點的VPN設備能夠自動的從上級服務器上下載配置信息，并且完成設備的自動配置，通過這種方式，可以實現(xiàn)VPN設備的遠程自動初始化配置，并且可以實現(xiàn)VPN設備遠程配置的自動更改，簡化管理的復雜度。

（2）管理解決方案應該是一種集成的解決方案，應該能夠支持統(tǒng)一網絡管理平臺的管理，同時提供精細的業(yè)務管理能力，可以實現(xiàn)整個VPN網絡拓撲的自動發(fā)現(xiàn)，遠端設備的性能、流量等詳細監(jiān)控，保證對整個網絡有效管理。

2.6 操作簡便性要求

VPN系統(tǒng)應該提供良好的用戶操作界面，VPN設備的所有配置都可以通過web界面來完成。

邊緣端的VPN設備能夠自動發(fā)起連接并建立安全通道。邊緣VPN設備后面的業(yè)務機能夠自動獲取內網IP地址。

客戶端軟件的撥號參數只需要配置一次，移動用戶在每次撥號的時候沒有多余的設置步驟。

參考文獻

[1]韓希.VPN網絡技術分析與應用設計[J].黑龍江冶金，2006（03）.

[2]呂承民.VPN網絡設計及性能分析[J].貴州師范大學學報，2014，32（01）：81-85.

[3]陳迎春.遠程教學VPN網絡平臺餓安全分析和設計[B].中國教育信息化，2007（11）：72-73.

作者單位

四平市衛(wèi)生和計劃生育委員會 吉林省四平市 136000