鐵通VPN業(yè)務(wù)在企業(yè)組網(wǎng)中的解決方案

摘要　對鐵通VPN業(yè)務(wù)做以簡要介紹，并針對企業(yè)VPN組網(wǎng)的需求，提出企業(yè)VPN網(wǎng)絡(luò)的組網(wǎng)規(guī)劃及解決方案，同時對兩種VPN組網(wǎng)方案的技術(shù)特點進行比較和分析，幫助企業(yè)從中選擇適合自己企業(yè)特點的VPN網(wǎng)絡(luò)。

隨著企業(yè)規(guī)模逐漸擴大，遠程用戶、遠程辦公人員、分支機構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過公共網(wǎng)絡(luò)（如Internet）來建立自己的專用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專用網(wǎng)（簡稱VPN）。

鐵通VPN依托于中國鐵通寬帶互聯(lián)網(wǎng)CRNET，采用MPLS協(xié)議，結(jié)合服務(wù)等級、流量控制等技術(shù)，為用戶在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)的虛擬專網(wǎng)，滿足企業(yè)在不同城市分支機構(gòu)間安全、快速、可靠的通信需求，并能夠支持數(shù)據(jù)、語音、圖像等高質(zhì)量、高可靠性的多媒體業(yè)務(wù)，鐵通公司開展VPN業(yè)務(wù)以來取得了較好的經(jīng)濟效益和社會效益。

下面就某企業(yè)VPN網(wǎng)絡(luò)的規(guī)劃及解決方案進行比較和分析。

1、某企業(yè)網(wǎng)絡(luò)環(huán)境

某企業(yè)在雞西設(shè)有總公司，在密山、虎林設(shè)有分公司�？偣�司有個MIS系統(tǒng)數(shù)據(jù)庫，其局域網(wǎng)內(nèi)有10多臺客戶端連接到這個數(shù)據(jù)庫。

現(xiàn)在分公司也希望能使用總公司內(nèi)部的MIS系統(tǒng)數(shù)據(jù)庫，每個分公司有若干臺機器組成一個分公司的局域網(wǎng)，并通過互聯(lián)網(wǎng)訪問總公司�？偣�司需要一個VPN的解決方案，以幫助分公司安全并且方便的訪問總公司的MIS系統(tǒng)的數(shù)據(jù)庫。

圖1是該公司的物理網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖。總公司有一個由數(shù)據(jù)庫服務(wù)器、接入網(wǎng)關(guān)和一些終端機器組成的局域網(wǎng)，數(shù)據(jù)庫服務(wù)器上運行著MIS系統(tǒng)的數(shù)據(jù)庫，接入網(wǎng)關(guān)可以接受從互聯(lián)網(wǎng)其他機器的連接使其可以訪問數(shù)據(jù)庫服務(wù)器，比如從分公司來的客戶端。兩個分公司的局域網(wǎng)物理結(jié)構(gòu)基本類似，都有一臺局域網(wǎng)網(wǎng)關(guān)和一些終端機器組成，終端機器可以通過局域網(wǎng)網(wǎng)關(guān)訪問總公司的接入網(wǎng)關(guān)，并進而訪問數(shù)據(jù)庫服務(wù)器。

圖1　該公司物理網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖

由于互聯(lián)網(wǎng)的不安全，分公司終端訪問數(shù)據(jù)庫服務(wù)器有可能造成數(shù)據(jù)的泄密并進而危害整個MIS系統(tǒng)的安全以及公司的網(wǎng)絡(luò)環(huán)境的安全。通過VPN可以建立互聯(lián)網(wǎng)上的安全連接，從而可以保護MIS系統(tǒng)以及其數(shù)據(jù)庫的安全，并保護公司的整個網(wǎng)絡(luò)環(huán)境的安全。

根據(jù)該公司的物理網(wǎng)絡(luò)環(huán)境以及VPN需求，我們給出了兩個VPN組網(wǎng)方案，并對它們進行了詳細的比較，以方便客戶選擇適合自己的最優(yōu)方案。下面對這兩個VPN組網(wǎng)方案分別介紹如下。

2、VPN組網(wǎng)方案一

第一個VPN組網(wǎng)方案是對最有可能不安全的互聯(lián)網(wǎng)連接使用VPN安全連接來進行保護，而對相對安全的局域網(wǎng)內(nèi)的連接則不進行保護。圖2詳細描述了該方案。

圖2　VPN組網(wǎng)方案一

方案一在總公司的接入網(wǎng)關(guān)處設(shè)立VPN服務(wù)器，而在兩個分公司的局域網(wǎng)網(wǎng)關(guān)處設(shè)立VPN客戶端，兩個分公司的局域網(wǎng)網(wǎng)關(guān)與總公司的接入網(wǎng)關(guān)分別建立VPN安全連接，從而把不安全的互聯(lián)網(wǎng)連接變成了安全的VPN連接，分公司各自的終端機器通過自己的局域網(wǎng)網(wǎng)關(guān)以及局域網(wǎng)網(wǎng)關(guān)和總公司的接入網(wǎng)關(guān)之間的VPN安全連接訪問位于總公司局域網(wǎng)內(nèi)的數(shù)據(jù)庫服務(wù)器，從而保證了所訪問的數(shù)據(jù)不會被泄密。

該方案主要是通過VPN服務(wù)器和VPN客戶端將本來分布在互聯(lián)網(wǎng)上的總公司接入網(wǎng)關(guān)和分公司的局域網(wǎng)網(wǎng)關(guān)形成了一個虛擬的安全的局域網(wǎng)。

該方案要求總公司的局域網(wǎng)IP地址不能和分公司的局域網(wǎng)IP地址相同，圖2描述了一種可能的IP地址分布。

3、VPN組網(wǎng)方案二

第二個VPN組網(wǎng)方案是對不安全的互聯(lián)網(wǎng)連接和相對安全的局域網(wǎng)連接都使用VPN安全連接來進行保護。圖3詳細描述了該方案。

圖3　VPN組網(wǎng)方案二

方案二同樣在總公司的接入網(wǎng)關(guān)處設(shè)立VPN服務(wù)器，但不再在兩個分公司的局域網(wǎng)網(wǎng)關(guān)處設(shè)立VPN客戶端，而是在數(shù)據(jù)庫服務(wù)器和所有訪問該數(shù)據(jù)庫服務(wù)器的終端機器都設(shè)立VPN客戶端，這樣所有的終端機器和數(shù)據(jù)庫服務(wù)器都處在同一個虛擬的安全的局域網(wǎng)內(nèi)，總公司和分公司的終端機器都是通過VPN安全連接訪問位于總公司局域網(wǎng)內(nèi)的數(shù)據(jù)庫服務(wù)器，從而保證了所有訪問的數(shù)據(jù)不會被泄密。

該方案主要是通過VPN服務(wù)器和VPN客戶端將本來分布在不同局域網(wǎng)內(nèi)的終端機器和數(shù)據(jù)庫服務(wù)器通過總公司接入網(wǎng)關(guān)和分公司的局域網(wǎng)網(wǎng)關(guān)形成了一個虛擬的安全的局域網(wǎng)。

該方案同樣要求總公司的局域網(wǎng)IP地址不能和分公司的局域網(wǎng)IP地址相同，圖三描述了一種可能的IP地址分布。

4、兩種VPN組網(wǎng)方案比較

VPN組網(wǎng)方案一在總公司的接入網(wǎng)關(guān)處設(shè)立VPN服務(wù)器，在分公司的局域網(wǎng)網(wǎng)關(guān)處設(shè)立VPN客戶端，從而對在互聯(lián)網(wǎng)之上的數(shù)據(jù)傳輸進行了保護，其優(yōu)勢在于只需要在網(wǎng)關(guān)級進行設(shè)置和建立VPN連接，對終端機器完全透明，不管位于總公司局域網(wǎng)內(nèi)的終端機器還是位于分公司局域網(wǎng)內(nèi)的終端機器都不需要進行任何的系統(tǒng)設(shè)置以及安裝任何的軟件，從而可以簡化整個VPN系統(tǒng)的復雜性，并減輕了VPN系統(tǒng)的安裝和維護工作；只要網(wǎng)關(guān)級工作正常，則任何終端機器都可以連接數(shù)據(jù)庫服務(wù)器。而且相對于互聯(lián)網(wǎng)而言，局域網(wǎng)是相對安全的，可以不必要再進行很強的VPN保護。其不足在于要求能夠在總公司和分公司的網(wǎng)關(guān)級進行有關(guān)VPN虛擬網(wǎng)絡(luò)的路由設(shè)置，對公司的網(wǎng)關(guān)級設(shè)備要求比較高；同時局域網(wǎng)內(nèi)的數(shù)據(jù)傳輸沒有得到VPN的安全保護，存在安全隱患；另外一點就是VPN安全連接需要對數(shù)據(jù)進行加密和解密的工作，對總公司的VPN服務(wù)器和分公司的VPN客戶端的機器性能要求會比較高。

VPN組網(wǎng)方案二在總公司的接入網(wǎng)關(guān)處設(shè)立VPN服務(wù)器，在數(shù)據(jù)庫服務(wù)器和所有能夠訪問數(shù)據(jù)庫服務(wù)器的終端機器設(shè)立VPN客戶端，將所有終端機器和數(shù)據(jù)庫服務(wù)器組成了一個虛擬的安全的局域網(wǎng)，從而對在互聯(lián)網(wǎng)之上的數(shù)據(jù)傳輸和局域網(wǎng)內(nèi)的數(shù)據(jù)傳輸都進行了保護，其優(yōu)勢在于提供了更安全的數(shù)據(jù)保護，而且VPN服務(wù)器可以安裝在總公司局域網(wǎng)內(nèi)的任何一臺機器上，從而不需要在總公司和分公司的網(wǎng)關(guān)級進行任何的路由設(shè)置，對網(wǎng)關(guān)級設(shè)備是透明的。其不足在于需要在所有的終端機器上安裝VPN客戶端并設(shè)置有關(guān)VPN網(wǎng)絡(luò)的路由，提高了VPN系統(tǒng)的復雜性，增大了VPN系統(tǒng)的安裝和維護工作。

5、總結(jié)

隨著網(wǎng)絡(luò)安全的問題日益突出，通過VPN組建虛擬的安全的局域網(wǎng)已經(jīng)被越來越多的單位和公司所接受。同時，VPN還能把分布在不同網(wǎng)絡(luò)環(huán)境下的終端機器組成一個局域網(wǎng)，方便了網(wǎng)絡(luò)系統(tǒng)的訪問和管理。我們提出的兩種VPN解決方案都利用了VPN技術(shù)的這兩個優(yōu)勢，同時每個方案各有自己的優(yōu)勢和側(cè)重點，用戶可以從中選擇最適合自己的方案來進行實施。