VPN在企业中应用

VPN在企业中应用（共10篇）

VPN在企业中应用 篇1

(一) VPN的概念

VPN的英文Virtual Private Network的缩写, 即虚拟专用网。VPN是利用公共网络基础设施, 通过“隧道加密”技术等手段达到类似私有专网的数据安全传输。VPN可以说是一种网络外包, 企业不再追求拥有自己的专有网络, 而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路, 但同时VPN又具有专线的数据传输功能, 因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN具有以下优点:

1. 降低成本。

不必租用数据专线建设专网, 也不必大量的网络维护人员和设备投资。利用现有的互联网, 要比租用专线或铺设专线要节省开支, 而且当距离越远时节省的越多。

2. 完全控制主动权。

企业自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

3. 容易扩展。

对新加入的网络终端在逻辑上进行设置, 也不需要考虑公用网的容量问题、设备问题, 网络路由设备配置简单, 无需增加太多的设备, 省时省钱, 只需连接到公用网上。

VPN通过采用“隧道加密”技术, 并在Internet或国际互联网工程工作组 (IETF) 制定的Ipsec标准统一下, 在公众网可形成企业的安全、机密、顺畅的专用链路。

(二) VPN的工作原理

在VPN中, 利用PPP (点对点协议) 数据包流是由一个LAN上的路由器发出, 通过共享IP网络上的隧道加密进行传输, 再到达另一个LAN上的路由器, 这样形成的隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。

基于IP的VPN基本上归结为两类:拨号VPN和专线VPN, 完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。拨号VPN为移动用户和远程办公用户提供了对公司企业网的远程访问。这是最常见的一种VPN形式, 主要是基于L2F协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。

专线VPN提供了公司总部与分公司、远程分支办事处以及Extranet用户的虚拟点对点连接, 有许多类型的专线VPN业务, 但最常见的是在IP网上建立的IP VPN业务。专线VPN和拨号VPN本质上都是通过在公共IP网络中建立隧道来提供服务的。

(三) VPN主流技术

目前, VPN领域并存着两种主流技术, 即IPSec VPN和SSL VPN。由于企业员工远程访问的机会愈来愈多, SSL VPN的重要性日益提升, 也必将成为远程访问的主流方式。不过, SSL VPN不会取代现有的IPSec VPN, IPSec仍适用于办公室等固定网络之间的联机, IPSec和SSL二者会长期共存。多数的远程访问使用了IPSec安全协议, 而最新的调查表明, 接近90%的企业通过VPN进行的内外网连接都只是用来进行因特网访问和电子邮件通信, 另外10%的用户是使用Notes客户端、通信工具和其它私有客户端应用, 属非因特网应用。而这些应用都可以利用一种更加简单的VPN技术--SSL VPN来提供。基于SSL协议的VPN远程访问方案更加容易配置和管理, 网络配置成本比起目前主流的IPSec VPN还要低许多, 所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。

SSL VPN的主要优点:

1. 对网络的支持更加广泛。

早期的SSL VPN无法支持服务器和客户端间的双向访问以及UDP应用, 更不支持给移动接入用户分配虚拟IP, 无法实现按IP区分的安全审计功能。但现在优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP, 并通过SSL隧道建立层三 (Level 3) 隧道, 实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。

2. 对应用的支持更广泛。

最早期的SSL VPN仅仅支持WEB应用, 但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL隧道中, 从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求, 从而自动安装不同的插件。

3. 对终端的安全性要求更严格。

原来的SSL VPN设计初衷是只要有浏览器就能接入, 但随着间谍软件和钓鱼软件的威胁加大, 在不安全的终端上接入内部网络, 将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能:通过插件对终端操作系统版、安全软件的安装情况进行检查, 来分配其接入的权限。

(四) VPN在企业的应用

我们应用的是深信服 (SINFOR) 公司的VPN放火墙产品, 它采用“瞬间虚拟外部网”的技术, 是将SSL (安全插接层) 技术与标准的VPN结合起来, 大大方便了使用者通过浏览器访问支持Web的数据。SSL VPN作为一种服务对外提供, 用户公司既不要服务器上装SSL安全装置, 也不用买SSL软件, 就能享用SSL VPN。采用SSL VPN的好处就是降低成本。虽然购买软件或硬件的费用不一定便宜, 但部署SSL VPN很便宜。安装了这类软件或硬件, 使用者基本上只要从其PC机上的浏览器向公司网注册即可, 而且SSL连接也更稳定。

我们的典型应用就是企业营销平台系统, 软件系统采用b/s结构, 市场营销部的十九个办事处分布于各省市, 各办事处终端采用VPN这种方式联入我们数据库服务器, 在深信服 (SINFOR) VPN放火墙上设置十九个VPN用户, 给每个VPN用户分配相应的资源, 使各办事处终端笔记本电脑通过互联网登陆公司内部网络, 从而象公司内部网络用户一样使用中钢邢机营销平台系统, 保证网络连接速度和质量。

首先, 登陆SINFOR DLANSSL GATWAY CLIENT控制台, 建立系统HOSTS主机, 配置各个HOSTS主机名、HOSTS主机地址。

其次, 选择资源管理子系统, 进入APP应用资源模块, 选择新建资源按纽, 按照提示信息输入应用资源名称、主机地址、应用资源类型、端口号等信息。对公司网络应用资源划分为内网企业网站、企业FTP文件服务、企业邮箱SMTP服务、企业邮箱POP3服务、ORACLE数据库服务、企业内部邮箱、企业营销平台系统、交换机、监控服务器、视频监控等应用资源。

第三, 从SINFOR DLANSSL GATWAY CLIENT控制台进入SSLVPN子系统, 选择用户管理模块, 新建用户, 按照提示信息输入VPN用户名、密码、启用日志;注意务必点击设置生效, 否则新建用户不能马上生效, 影响后续设置。从SSLVPN子系统, 选择用户管理模块, 点击角色管理, 为角色分配响应的网络应用资源, 在角色中添加已经建立的VPN用户名, 然后务必点击设置生效。

通过以上设置过程可以为企业营销平台系统在深信服 (SINFOR) VPN放火墙上设置多个VPN用户, 同样方法也可以为我们企业员工外出移动办公通过国际互联网搭建采用“隧道加密”技术的VPN虚拟专用网, 提供安全、高效的网络服务, 同时在公司总部与远程分支办事处之间不必租用数据专线而节省了大量的资金。

摘要：文章在介绍VPN技术的概念、工作原理的基础上, 对VPN主流技术做一些分析, 阐述在企业中VPN技术的应用, 为企业员工外出移动办公通过国际互联网搭建VPN虚拟专用网, 提供安全、高效的网络服务, 同时不必租用数据专线而节省了大量的资金。

关键词：VPN,隧道加密技术,虚拟

参考文献

[1]高海英.VPN技术[M].机械工业出版社, 2004.

[2] (美) 卢卡斯, 等.放火墙策略与VPN配置[M].谢琳, 等译.水利水电出版社, 2008.

VPN在企业中应用 篇2

关键词：虚拟专网交换机 网络安全 拓扑结构 拓扑图

一、虚拟专网VLAN

1.1 VLAN简介及实现方法

1、控制网络的广播风暴 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

2、确保网络安全 VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3、简化网络管理 网络管理员能借助于VLAN技术轻松管理整个网络。网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

1.2在CISCO （思科）Catalyst 4006上配置VLAN

1、设置VTP DOMAIN。VTP DOMAIN称为管理域。这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。

2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL（Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。

3、创建VLAN一旦建立了管理域，就可以创建VLAN了。注意，这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP 属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。

4、将交换机端口划入VLAN 例如，要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN，端口2划入MARKET VLAN，端口3划入MANAGING VLAN……

5、给VLAN所有的节点分配静态IP地址，保证第三层互相访问。

二、虚拟专用网络VPN

2.1 VPN的简介及应用

当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

2.2 VPN使用的协议

VPN使用两种隧道协议：点到点隧道协议（PPTP）和第二层隧道协议（L2TP）。

1. PPTP PPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。PPTP可以建立隧道或将 IP、IPX或NetBEUI协议封装在PPP数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。PPTP在基于TCP/IP协议的数据网络上创建VPN连接，实现从远程计算机到专用服务器的安全数据传输。VPN服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。

2. L2TP L2TP是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。与PPTP不同的是，L2TP使用新的网际协议安全 (IPSec) 机制来进行身份验证和数据加密。目前L2TP只支持通过IP网络建立隧道，不支持通过X.25、帧中继或ATM网络的本地隧道。

2.3VPN的身份验证方法

1.CHAP

CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

2.MS-CHAP

同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。

3.MS-CHAP v2

MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

4.EAP

通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。

2.4VPN的加密技术

对于PPTP服务器，将采用MPPE加密技术MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2或EAP/TLS身份验证被协商之后，数据才由MPPE进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。

对于L2TP服务器，将使用IPSec机制对数据进行加密IPSec是基于密码学的保护服务和安全协议的套件。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程VPN服务器之間进行协商。IPSec可用的加密包括56位密钥的数据加密标准DES和56位密钥的三倍DES(3DES)。

参考文献

1.程光.Internet基础与应用.清华大学出版社,2006.

2.陈少红.计算机网络基础.清华大学出版社，2006.

3.余青松.网络实用技术.清华大学出版社，2006.

4.马秀麟.计算机应用基础.清华大学出版社，2005.

5.黄永峰等.计算机网络教程.清华大学出版社，2006.

VPN技术在港口企业中的应用 篇3

关键词：VPN技术,港口,远程访问,虚拟专用网络

随着Internet在企业领域应用的不断深化, VPN作为一种廉价安全的组网方案越来越受到人们的青睐。在全球范围内, VPN已经得到快速发展。目前, VPN产品和技术已相当成熟, 如何将VPN技术引入错综复杂的港口生产业务中成为了港口信息部门的研究课题。

1 VPN技术介绍

1.1 什么是VPN

VPN (Virtual Private Network) 是指采用隧道技术以及加密、身份认证等方法, 在公用网络上构建专用网络, 数据通过安全的“加密管道”在公用网络中传播。VPN又称虚拟专网, 指的是依靠ISP (Internet服务提供商) 和其它NSP (网络服务提供商) 在公用网络中建立专用的数据通信网络的技术。IETF草案理解基于IP的VPN为:使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟, 是指用户不再需要拥有实际的长途数据线路, 而是使用Internet公众数据网络的长途数据线路。所谓专用网络, 是指用户可以为自己制定一个最符合自己需求的网络。目前VPN主要采用4项技术保证安全, 即:隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。

1.2 VPN是怎样工作的

VPN实现的关键技术是隧道, 而隧道又是靠隧道协议来实现数据封装的。VPN将企业网的数据封装在隧道中, 通过公网Internet进行传输。因此, VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议, L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息, 使敏感的数据不会被窃听。

1.3 怎样实现VPN联网

VPN的联网方式大致有三种:固定IP与固定IP;固定IP与动态IP;动态IP与动态IP。第一种的联网方式是比较传统的方式, 技术上实现最容易实现, 目前的防火墙等设备就可以实现这种功能;第二种的VPN联网方式, 对于目前大多数专业的VPN厂商也基本能解决;而第三种方式即动态IP与动态IP之间的VPN通讯却成了很多厂商和科研机构望而却步的技术难题, 实现起来并解决大规模的实际应用就更加困难。VPN通过IPSEC隧道协议对IP数据报进行封装, 使之在INTERNET上传输, 就好像一条通道一样;VPN使用DES加密算法保证机密性, MD5信息摘要算法保证完整性, 充分保证了数据的安全。现在VPN已成为非常流行的远程连接技术。

2 港口生产需求分析

2.1 企业现状

国内某港口是我国北方重要的客货运输港, 承载着我国北方内陆贸易的重要任务。该港口在内陆地区建立了多个无水港, 使得内陆地区的客户不必亲临港口就可以办理相关业务, 以便促进内陆地区进出口贸易的发展, 从而进一步提升港口的生产服务水平。

目前, 该港口业务主要存在以下问题:

2.1.1各个无水港与总部间的数据交换不畅、总部和各无水港的数据交流途径简单, 而且在数据交换过程中存在安全隐患。拨号连接的方式速度慢、稳定性差, 严重堵塞了现有的交流渠道。2.1.2各个无水港与总部间的数据交换时间固定, 不能实现信息的实时获取。总部对各无水港的数据不能实时获取, 各无水港也得不到总部的及时指导。2.1.3没有足够的财力构建DDN/SDH专网。如果总部与各个无水港之间为了业务需要采用DDN/SDH专线, 则要面临昂贵的运营及维护费用, 这对于该港口来说是无法承受的。

2.2 企业需求

虚拟专用网是对企业内部网的扩展, 可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输, 一个企业的虚拟专用网解决方案将大幅度地减少用户花费在网络连接上的费用。同时, 这将简化网络的设计和管理, 加速连接新的用户和网络。另外, 虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展, 企业的虚拟专用网解决方案可以使用户将精力集中到自己的业务上, 而不是网络上。

3 VPN解决方案

3.1 VPN技术比较

目前企业实现VPN联网方案主要有SSL VPN和IPSec VPN两种技术。后者出现较早, 技术较成熟, 但成本较高、维护复杂;前者则因为无需安全VPN客户端的便利性及低成本, 迅速得到了广泛应用。因此, SSL VPN能否完全替代IPSec VPN成为业界近年多有讨论的话题。目前, 随着SSL VPN实用主义特征不断加强, 今后整个VPN市场的一个显著趋势就是SSL VPN替代IPSec VPN, 只是在某些高端市场的特定领域除外。

3.2 VPN的四种场景

应该说, VPN技术的广泛应用与当前企业的发展现状直接相关, 有四种场景是VPN的典型适用对象。第一种是员工的外出办公。越来越多员工会通过随身携带的笔记本、PDA, 甚至包括使用手机进行远程移动办公, 但是, 企业的信息系统往往不能够提供足够的安全性。第二种是远程办事处接入。远程办事处涉及到很多场景, 有的办事处只有一、两个人, 属于业务单一型机构;有的办事处有七、八个人, 是一个完全独立的小型局域网, 业务范围涉及财务、销售等多种类型。第三种是远程局域网接入。这种场景其实也是IPSEC VPN的主要应用, 即把两个远程局域网组合成一个虚拟的子网, 实现网络之间的互通。此应用多在总部与下级单位, 或者总部与分、子公司之间。第四种则是网络接入方式多种多样, 用户群体存在多种类型, 由于用户的权限各有差异, 所能登录的应用系统也就各有不同。这时, 通过应用系统本身的访问控制或防火墙的网络访问控制是无法应付这种场景的, 因为用户群体不一定, 分布的范围也无法确定。应该说, 无论哪一种场景, 都可对应不同规模的企业, 同时, 不同规模企业对于安全需求的程度也有所差异, 这就导致了SSL VPN和IPSec VPN目前各有其应用的现状。

3.3 方案规划

与IPSEC VPN相比, SSL VPN更加适用于单机接入总部网络的应用需求, 其使用标准的浏览器, 无需安装客户端程序, 即可通过SSL VPN隧道接入总部网络访问应用。而IPSEC VPN则适用于两个固定的局域网之间构建安全通道, 同时SSL VPN的算法在某些层面的安全性没有IPSec VPN那么高。虽说IPSec VPN的强项在于远程局域网的接入, 把各个不同虚拟的子网结合在一块。但随着SSL VPN技术的发展, SSL VPN在这一层面已经完全能够替代IPSEC VPN了, 也就是说现在的SSL VPN产品都能够实现Site to Site (子网之间的组网) 。因此, 选择带有SSL VPN功能的防火墙产品部署在港口总部, 各无水港通过互联网采用专用机登陆的方式联入总部, 这样既发挥了SSL VPN的灵活性和易维护性, 又保证了港口总部网络的安全性, 同时控制了投资成本。

4 结束语

运用了成熟的技术、低成本的投入、安全的数据通道等特点, 使得VPN技术在港口企业得到了全面地应用, VPN技术也一定会成功地被其

参考文献

VPN在企业中应用 篇4

关键词：图书馆网络互联vpn技术

0引言

随着Internet和信息技术的快速发展，人们越来越依赖Inter-net进行各种数据交换和信息存取，高校信息化建设也进一步完善，应用系统逐渐丰富。图书馆信息资源得到飞速的发展，现在教师的教学、科研都离不开图书馆信息资源。

然而对于图书馆来说，基于安全和知识产权的考虑，文献信息资源并不是无限制地对外开放，图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源，大部分只允许拥有校内IP地址的授权用户访问。这样，对于某些在校外通过拨号等方式上网却没有固定IP地址的用户，以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。

此外，许多高校图书馆为了规范化管理，均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务，势必存在许多安全隐患，为了安全起见一般采用独立成网，但是这种做法费用高而且不灵活。若能在校园网的基础上架构一个安全、可靠的专用虚拟网络，专供图书馆管理系统使用，既廉价又方便。

本文介绍了运用VPN技术来解决以上问题的方案。

1VPN描述

1.1 VPN的定义VPN(V；rtual private Network，虚拟专用网)是一种通过对网络数据进行封包和加密，在公网如因特网上传输私有数据，同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道，尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。

1.2 VPN的主要特点

1.2.1网际互联安全性高VPN技术继承了现有网络的安全技术，并结合了下一代lPv6的安全特性，通过隧道、认证、接入控制、数据加密技术，利用公网建立互联的虚拟专用通道。实现网络互联的安全。

1_2.2经济实用、管理简化“由于VPN独立于初始协议，用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。

1.2.3可扩展性好如果想扩大VPN的容量和覆盖范围，管理者只需与新加入的分馆签约，建立账户；或者与原有的下级组织重签合约，扩大服务范围。在远程地点增加VPN能力也很简单，几条命令就可以使Extranet路由器拥有因特网和VPN能力，路由器还能对工作站自动进行配置。

1.2.4支持多种应用由于VPN给我们提供了安全的通道，可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用，如IP语音，IP传真等。

1.2.5有效实现网络资源共建共享在网络安全的保证下和认证技术的支持下，可以实现整个VPN体系中互联单位的资源共建共享，避免资源重复开发带来的巨大浪费，甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。

2利用VPN实现图书馆网络互联

要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理，并有效地利用各总馆与分馆的资源，进行内部业务交流和开展读者服务工作，必须解决两个问题：第一，要建立图书馆网络间的安全通道，保护链路的通讯安全。第二，要根据身份认证实现图书馆网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。

2.1采用自建方式构建VPN网络虽然可以通过ISP(Intemet Servlce Provider，網络服务提供商)的中心交换设备来构建专用通道，但公共图书馆内部局域网互联速度相对较快，所以图书馆VPN网络互联宜采用自建的方式。其优势如下：①多数公共图书馆都具备良好的计算机基础设施和内联局域网，接入因特网带宽有百兆、甚至千兆，而总馆在这方面的优势更加突出。在此基础上自建VPN，既便捷又经济o②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略，满足不同级别的安全需要。

2.2 VPN类型的选择目前国内高校大多采用IPSec(IP Se-curlty)VPN技术来解决校外用户访问校图书馆问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接八方案面对越来越多终端站点时，已日渐显得力不从心。

在此情况下，SSL(Secrulty Socket Layer)VPN技术应运而生。SSL VPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处：一是它不需要配置，可以立即安装立即生效和使用；二是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；三是兼容性好，可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的Internet IP即可成功接入图书馆。

但SSL VPN并不能取代IPSec VPN，因为这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面：而IPSec VPN是在两个局域网之间通过Intemet建立安全连接，是实现点对点之间的通信。并且，IPSec工作于网络层，不局限于Web应用。从高校应用来看，由于SSL接人方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说，集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时，就极易造成该IP被禁用，从而导致所有SSL用户无法继续访问图书馆。

为解决这个问题，可以将图书馆大量的校外用户分为两类，一类是使用图书馆资源较为频繁、访问数据量较大的用户(比如教师，但用户数量少)；另一类则是使用次数较少、访问数据不多的用户(比如学生，但用户将数量多)。通过用户划分，我们给教师用户分配IPSec接入方式，这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题；而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSL VPN无需部署客户端的特性来降低客户端的维护工作量，从而实现VPN在图书馆应用的快

速部署。

目前，许多VPN产品都能提供多种VPN接入形式，如：Cis-coASA5500系列可以在单一平台上提供IPSec和基于SSL(Se-cureSocketsLayer，安全套协议)的VPN服务，避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。

2.3 VPN支持的认证技术一个VPN系统应支持标准的认证方式，如基于机器特征码、数字证书技术、远程用户拨号认证系统(RA-DIUS，Remote Authentication Dial In User Service)认证、基于公开密钥基础设施(PKl，Public Key Infrastructure)的證书认证以及逐渐兴起的生物识别技术等等。另外，还要提供基于用户组策略的认证。

2.4 VPN接入控制的选择机制为了方便网络使用者(包括馆员、读者、管理部门等等)互联，所有局域网内部的用户都必须有使用VPN服务器代理的权限。因此，接入控制显得比其他两种隧道形式更为重要。可以采用两级的控制机制，粗度的接入控制交给VPN服务器来完成，VPN服务器上的安全策略数据库(SPD,Safety PolicyDatabase)可以实现基于类似于用户组级别的控制，既把所有用户划分为不同等级的组来配置接入控制策略。细度的接入控制将由独立的认证服务器来完成，可以使局域网共享一个证书机构CA(Cer-tificate Authority，数字证书认证中心)和安全策略服务器，由它来管理和发放数字证书，实现对控制资源的访问。

2.5 VPN数据安全采用分级处理方式数据安全包括数据加密、完整性检测和抗篡改。VPN技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上，采用分级处理方式，对不同的等级的用户配置不同的数据安全策略，把用户分为普通级、普通加密级、高级加密级。对在普通级的用户通讯数据(例如：读者访问图书馆电子资源)配置为不使用任何加密的安全策略：普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略；高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。

2.6 VPN的设备选择对于设备的选择，可以根据自己的实际情况，结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。最好选择集成防火墙功能的VPN产品，以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS(DenialofService，拒绝服务)攻击和入侵威胁，提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。

3总结

VPN在企业中应用 篇5

某集团公司下设单位约有30个左右, 并且均为非企业注册地办事机构, 遍布全国各地方省市。每个驻外办事机构均需同企业集团公司进行沟通联络, 如果采用专线联系的方法, 成本较高, 难以实施。因此企业决定采用目前较为流行的VPN网络形式进行联结, 这被认为是较为高效且可行的方案。

为了提高企业的生产效率的同时并且提高企业的管理效率, 加强信息化管理的程度, 该企业集团需要建立起稳定、高速、可靠的网络信息管理系统。新的网络信息管理系统是一个集协作办公、生产管理和视频会议为一体的多功能企业网络, 这个网络包括各个驻外机构与本企业集团公司直接联系用的VPN网络系统。

由于该企业集团公司在全国范围内拥有许多分支、下设机构, 这就要求该网络具有多种应用途径, 包括:生产管理、OA、财务管理、销售管理等等, 并且这些应用模式并不仅仅基于Web形式。IPSec VPN网络是一种完美的解决方案, 它可以为几乎所有的应用提供访问页面;并且, VPN也不仅仅是用于外部用户方问和出差人员对内部网络的方问需要而设计的——即便是办公人员和生产管理人员不在办公室内, 员工需要对集团公司内部网络中的一些资源进行方问使用, VPN可以满足员工对内部某些特定资源的访问和使用。

该网络的设计原则本着先进性、实用性、经济性、可靠性, “四性合一”的原则进行VPN网络的设计运行, 使得该网络具有可靠性好、实用性高、扩展性强以及标准统一的特点, 可以灵活地同用户的各种需求相接合, 为不同的网络方问业务提供基础保证。

二、VPN的核心层面

VPN (Virtual Private Network) 是一种对网络数据进行封包后再加密传输的技术, 可以在互联网上建立起临时、安全的连接, 并传递私有数据, 能够达到私人网络的安全用户级别, 从而利用互联网构筑起企业专有网络, 是企业内部网络的向外延伸, 可以给用户提供到专用网络所必须具备的网络功能, 但是其本身又不是一个独立自由的物理网络系统。

VPN的核心技术是“隧道” (Tunneling) 技术, 它的核心过程是在源局域网和公网的对接口位置, 将数据作为负载封装在公网上传输的数据格式里, 在目的局域网和公网的对接口部分将已经封装的数据再解封, 取出负载。封装后的数据包在互联网上传递过程中经过的逻辑路径被称为“隧道”。隧道技术允许VPN的数据流经由路由, 再通过网络, 而且不论生成该数据流的是哪一种类型的网络或者是设备。某种意义上讲, VPN的操作可以独立于其它网络操作协议, 隧道内的数据流或者数据包可以是IP、甚至是IPX以及Apple Talk等不同类型的网络数据包。所以VPN必须通过跨越于IP协的公用网络共同构建起安全专用通道实现公用网络的私用传递。

三、VPN网络的硬件解决方案和设备选择方案

依据集团内部的需要, 考虑经济、质量等各方面不同因素, VPN网络的核心VPN设备网御神州G10, 各省市分支机构选取设备为网御神州G7, 移动终端用户选取了网御神州Client软件。

网御神州G10的构建基于网御神州 (北京) 科技公司的安全路由设计技术 (SRT) , 并集合了管理、路由、接入、安全策略等功能, 在单一的硬件设计基础之上, 提供了IP路由接入、虚拟专用网络、加密、认证等安全设计功能。网御神州G10采用了处理能理较强的双核2.6HZ处理器, 支持了8000个隧道同时发出, 能够为该企业集团的VPN网络提共超强的服务和传输性能, 并且能够满足企业集团对于安全生产、办公的能力

网御神州G7是建构于路由技术 (SRT) 之上的产品, 并且使用了900HZ的处理器, 拥有3个16/160-T以太终端网口, 可以提供600个隧道的同时运行。

四、VPN核心设备的布置与安装

网御神州G10与天防火墙G60并列排布, 如图1中所示:

网御神州G10 VPN设备和防火墙G60并列布属, 上连到Cisco PIX防火墙, G10 VPN设备和PIX相连接的端口IP设为私有地址。在PIX上建立起VPN隧道连接所需的四个端口:50 (ESP) 、600、68 (AN) , 增设一条静态的NAT:从公有网络的地址到G10 VPN的私有地址之间, G60的配置不改变。

五、各地分支机构的节点解决方案及硬件配置

由于该集团公司外设机构有30多个, 遍布全国各省市自治区。每个驻外机构与集团公司内部的VPN联接, 均需要通过公用网络, 当然这个公用网络是经过VPN加密的。集团公司内部的服务器可以同驻外机构的服务器相互访问, 驻外机构之间的服务器不需要直接进行相互访问。每个驻外机构的员工大致控制在60人之内, 主要的服务系统包括:办公自动化系统、邮件系统和视频会议系统等。集团公司使用10.X.X.X的私用网络地址, 经过信息港NAT映射为公网地址再进行互相访问;驻外机构的内部网络要使用集团公司统一分配的私有地址。VPN设备还支持移动办公用户通过互联网连接集团公司内网。

根据集团公司的要求, 将驻外的机构用户分成两类:一类是移动类型的用户, 这主要针对通过互联网及接入到集团公司内部单机或者比较小的驻外机构 (仅有数台计算机) 。对于这类用户, 安装网御神州Client软件。通过用户名和密码, 用户将VPN软件的使用与Internet联接起来 (通过VPN联接集团公司内部网络) , 如图2所示。

为保证核心网络安全, 使用网御神州的S p l i t Tunneling安全机制, 该机制能够令到远程办公室的网点既可以通过IPSec隧道访问集团公司的内部网站, 也可以访问集团公司的外部网站, 为了排除相应的安全隐患, 可以对其进行防火墙软件的安装。如下图3中所示。

另一种用户的情况如下描述中所示:

1. 用户没有相应的防火墙和地址转换器的功能, 并且使用着公用地址的分支机构。对于这些大型分支机构来说, 因为使用公共地址, 所以这些分支机构不需要址址转换器, 因此, 可以通过网御神州G7经由以太网分别接入路由器和局域网交换机等内容, 网御神州G7可以再次充当起VPN的网关以及防火墙的功能, 另外也可以将VPN和防火墙一起考虑。

2. 用户有防火墙, 但是使用公用地址的分支机构和用户也有防火墙, 使用私有地址的分支机构。

以上两种形式的结构图由于较为复杂, 就不在文中再列示。

六、项目的整体评价

一是, VPN在企业公司集团中的应用简化了企业集团的网络设计, 使得长途线路进行安装、配置的任务量急剧地减少, 可以简化Internet的设计特征;二是, 降低了公司的设计成本, VPN的建立, 使得企业的生产销售及办公活动全部都置于网络可监控的情况之下, 使得网络维护和使用的成本极大地降低, 借助于Internet网络来建立ISP联接的VPN, 能够节省大量通信费用;三是, VPN网络的安全性较高, 网络的安全性是企业集团公司考虑的最重要的方面, VPN能够以多种方式来保证用户网络的安全性能, 首先是VPN对数据封包的加密, 另外也对VPN设备的防火墙功能的使用也可以加大企业内、外部网络的安全性;四是扩展VPN软件更为容易, 如果分支机构增加也只需要增加相应的网御神州设备即可建立起VPN联接, 访问到企业的内部网络。

七、总结

该企业集团公司利用VPN技术与企业各驻外机构进行联接和沟通, 形成相应的VPN网络, 使用维护和建设费率都较低, 在能够提供足够安全保障的前提下, 才实现信息资源的远程访问, 能够进行异地协作办公, 生产管理控制以及视频会议等等多种功能, 使整个企业的管理信息化, 系统化。VPN网络不仅能够给下属机构提供网络联接服务, 满足了各个分支机构对于网络互联网和企业内部网络的访问需求。

参考文献

[1]闫晓弟, 耶健.基于VPN的电子资源远程访问系统的研究与实现[J].情报杂志, 2009.

[2]戴刚, 文信翔, 公丕强.VPN在企业中应用的研究[J].网络安全技术与应用, 2010.

[3]戴宗坤, 唐三平.VPN与网络安全[M].第一版.北京.电子工业出版社, 2002.

[4]Carlton R.Davis著.IPSEC:VPN的安全实施[M].周永彬, 冯登国, 等译.北京:清华大学出版社, 2001.

VPN在企业中应用 篇6

1.1 VPN的概念。

VPN全称为虚拟私有网络 (Virtual Private Network) , VPN并非真正的专用网络, 而是一种虚拟的网络, 其虽然不具备真正的专用网络的属性, 但是其能够实现专用网络所具有的基本功能。所谓“虚拟专用网”, 就是指依靠ISP和其它NSP, 在公用网络中建立为各种不同的用户所专用的数据通信网络的技术, 虚拟专用网由企业内部网延伸而来, 其是企业内部网的扩展[1]。 (图1)

1.2 VPN的特点。

1.2.1安全系数高。目前, 实现VPN的技术有许多种, 当然实现VPN的方式也有许多种, 但所有的VPN一律要在确保其专用性与安全性的前提下, 才能通过公用网络平台传输数据。其必须要在没有面向连接的公共IP网络的基础上构建一个隧道, 该隧道必须满足两个条件:一个条件是具有逻辑性, 另一个条件是要点对点。通过这种方式可将通过隧道传输的各种不同数据借助一种特殊的加密技术进行加密, 能够保障传输的数据不被泄露, 因而具有较高的安全系数[2]。。1.2.2保障服务质量。不同的用户对VPN网有不同的要求, 一般而言, 企业对VPN网会提出较高的要求, 企业会要求其为传输的相关数据提供等级各不相同的服务, 虽然这些等级各不相同, 但VPN网能够保障服务质量。举例来说, 就移动办公用户而言, 构建VPN应当具备广泛而便捷的连接和广泛而便捷的覆盖性, 因为其是确保VPN服务的其中一个比较主要的因素。再如, 就拥有遍布各地的分支机构的专线VPN网络而言, 构建VPN则应当具备非常良好的稳定性, 因为具备良好的稳定性是其正常运行的前提和基础。。1.2.3可扩充性与灵活性。可扩充性与灵活性这一点是相对于VPN的所具有兼容性而言的, 一般来说, 企业网用户需要传输的数据种类各不相同, 因而, 要求VPN需要具有较强的兼容性, 可以兼容通过Intranet和Extranet的各种不同类型的数据流, 此外, 还要求其可以随意增添新的节点, 能够不同用户的不同需求。举例来说, 就企业网用户而言, 在运用VPN传输多媒体数据时, 其对于VPN的要求就是要能够满足传输这类数据对质量传输的高要求以及增加带宽的需求。

2 多层VPN技术在企业网中的应用

2.1 VPN系统的构建。

无论哪一种VPN模式, 都必须要能够满足所有用户的需求, 对于企业网用户而言也是如此。其中, 满足用户需求还包括具有支持用户需求的不同等级的安全机制, 在该安全机制中加密技术必不可少。IP Sec能够满足这一要求, 而其它的则均需依赖IP骨干网。举例来说, MPLS BGP/VPN需要借助LSP的呈现标签以确保数据包准确无误。确保其安全并非只是隧道所应完成的工作, 在相关路由器上分流的路由和转发表的应用确保了各个VPN业务的分流, 其原理就是从VPN1的转发表看不到VPN2的隧道, 因而VPN1的数据包不会被错误分流到VPN2的隧道上去, 因而两者不会被混淆。

2.2 MPLS BGP/VPN网络的构建。

目前, 我国企业网用户大都采用专线接入的VPN模式。随着公司业务数量的增加, 业务种类的增加, 以及办公自动化的普及和相关技术的应用, 公司原有的网络及应用模式已经无法满足用户的需求了。为了满足不同用户对于网络结构的特殊需求, 多层VPN组网模式应运而生, 其可以发挥向以前的运营商提供相关模式的转化的过渡作用, 换言之, 就是在原来已有的双层虚拟专用网络的基础上构建MPLS数据传输, 支持MPLS BGP/VPN功能, 以满足不同用户的不同需求。

一般而言, 企业网用户的网络结构主要以树形结构为主, 总路由器和分路由器构成其不同的节点, 总路由器向各个子系统VPN提供不同范围内的接入点。基层骨干网位于子系统底层传输各种不同的数据[3]。

此外, 在企业网用户中, 两网隔离技术也应用较广泛。这种技术是经由专用的路由器, 采取虚电路将使用同一种物理链路的两种不同的数据予以分隔, 以实现两种不同的数据在同一链路从不同的虚拟路径传输数据的功能, 或者采取隧道技术进行相同方式的数据传输。

2.3 IP Sec技术的应用。

IPv4包安全系数较低, 其本身不提供安全保护。正是因为它的安全系数较低, 所以给电脑黑客提供了攻击的机会, 其能够通过相关信息包探测、IP电子欺诈骗取用户信息以及REPLAY攻击等方式进行恶意攻击, 威胁用户的安全。在企业网中, 常见的有以下几种:首先, 企业网用户在使用VPN传输数据时, 相关数据在其传输进行过程中被黑客恶意修改。其次, 企业网用户在使用VPN传输数据时, 相关数据内容被黑客窃取。IP Sec主要是为用户提供安全可靠的网络环境, 以确保用传输数据的完整性和安全性, 当然还包括用户最重视的机密性。此外, IP Sec还能够为上层协议提供安全保障。其将各种不同的安全技术融合起来, 通过对相关数据进行安全加密、安全认证和用户信息完整输入等方式, 来确保用户相关数据传输的安全性和私密性, 其为用户相关数据的传输构建了一个相对安全和稳定的传输隧道。与此同时, 其还对传输的IP数据包予以加密, 确保信息不被泄露。

在数据传输过程中, 一般采用两种传输模式:一种是传输模式, 另外一种是通道模式。在前一种模式中, IP数据包的包头和相关协议包头加入新的IP Sec包头, 通过这种方式进行数据传输。由于其只对相关数据进行加密, 而对相关包头没有进行加密, 因而原地址及目的地址容易暴露, 而相关信息也可能被他人窃听。而在后面一种模式当中, 需要将整个IP数据包完整封装, 然后将完整封装好的IP数据包添加到另外一个能够容纳其的IP数据包里, 与此同时, 在其外面和里面的IP包头加入新的IP Sec包头。这种模式对所有数据, 包括IP包及包头进行加密, 能够确保数据在公网传输的安全性和可靠性。上述两种均能同时用传输或者通道模式进行数据传输工作。一般而言, IP Sec技术比较适用于企业广域网。

2.4 SSL VPN技术的应用。

SSL全称为安全套接层 (Secure Sockets Layer) , 是一种应用与Web的安全协议, 能够为网络数据传输提供加密、认证等服务。SSL VPN技术主要应用于应用层与传输层之间, 目的是为了连接和保护通过网络传输的数据流, 比较适宜为不同的网络提供传输信息与数据的安全保障。

结束语

综上所述, 多层VPN技术在企业网应用较广泛, 究其原因主要是因为VPN技术具有以下特点:首先, 安全系数高。其次, 保障服务质量。再次, 可扩充性与灵活性。不同的企业网用户有不同的需求, 因而在实际应用过程中, 要根据企业自身的需求, 选择不同的VPN模式。笔者希望有更多的有志之士, 能够投身到多层VPN技术在企业网中的应用这个课题的研究之中, 指出笔者在文中的不足之处, 同时也可以为这一课题的研究做出自己应有的一份贡献。

参考文献

[1]陈延东.基于VLAN与VPN技术的企业网安全架构设计[J].煤炭技术, 2012, (9) :138-139.

[2]何瑛.中小型企业的Intranet设计及VPN技术的应用[J].数字技术与应用, 2015, (4) :30, 32.

VPN在企业中应用 篇7

随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部的职能部门,还是企业外部的供应商、分支机构和出差人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。

怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。

1. VPN技术

VPN即虚拟专用网(Virtual Private Network,VPN),是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。

在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

在VPN架构中采用了多种安全机制,例如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。

2. IPsec VPN和SSL VPN的区别

目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。如在企业分部与企业总部之间,及企业员工与企业核心数据之间,在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要。自20世纪90年代末以来,基于IPSec协议的VPN模式成为企业VPN的主流,IPSec VPN甚至成为了企业VPN事实上的代名词。然而IPSec VPN并不能完全代表VPN,近年来,一种新的VPN方式开始进入人们视野——SSL VPN,而且,这种技术正受到越来越多企业的关注。

2.1 IPSec VPN特点和不足

VPN技术应用的开始,大多数远程安全访问解决方案是采用IPSec VPN方式,应用最广泛的组网结构是在站点到站点的VPN组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。

在设计上,IPSec VPN是一种基础设施性质的安全技术,这类VPN的真正价值在于,它们尽量提高IP环境的安全性。IPSec VPN的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。但问题在于部署IPSec需要对基础设施进行重大改造,以便远程访问,管理成本很高。IPSec VPN在解决远程安全访问时具有几个比较大的缺点。

需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序,由于在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。

IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响。IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。

采用隧道方式,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用。

IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。

2.2 SSL VPN特点和优势

SSL VPN指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序。SSL VPN经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器,所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。

目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。加密并提供完整性检查。

同IPSec VPN相比,SSL VPN具有多种优点。SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator等已经预装在了终端设备中,因此不需要再次安装;SSL VPN可在NAT代理装置上以透明模式工作;SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准,下面列举了其中的一些理由。

SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。

SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN比较),SSL VPN更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。

3. SSL VPN在企业远程办公中的实际应用及技术特点

3.1 远程接入方案实例

使用SSL VPN设备安装在企业的DMZ区上,IP地址是10.*.*.*,在防火墙上转换成互联网的IP地址:203.*.*.*,并开放443号端口。远程用户可以使用https://203.*.*.*来访问企业内部信息系统。针对企业的网络特点,在实施时可以将企业的一些应用,如邮件系统、OA系统、文件共享系统等安装到SSL VPN上,同时可以通过Active Directory进行用户身份的统一管理。实施远程接入后的网络拓扑示意图。

3.2 接入方案的技术特点

3.2.1 安全接入

SSL VPN设备能够检测或评估客户设备以确保它们遵从公司的安全策略,包括防火墙和防病毒软件、操作系统和补丁、间谍软件检查、设备类型以及网络配置等,违规设备将被拒绝访问网络,或被定向到软件更新网站。

3.2.2 松实现内部网到外部网的扩展

-无需客户端专用软件、通过普通浏览器接入。

-接入企业内部应用,而不用更换内部应用系统或暴露内部域名。

-支持企业固定TCP端口的非Web应用。

-支持IP层VPN实现企业特殊应用。

3.2.3 SSL VPN用户认证、授权

SSL VPN认证对用户来说是一个简单的过程。所有的用户申请都流经一个专门的服务器:接入点、策略服务点和认证服务点,然后返回用户。但对于用户来说,Web浏览器是他们访问资源的唯一接入点。

多种认证方式。对于多个系统可实现单点登录(SSO),支持身份联盟:您可使用一个数字身份来访问多个部门甚至是整个企业的信息。

访问规则旨在允许用户访问资源。所有资产至少都与一个访问规则相对应,包括认证方法、日期或时间限制以及用户群成员关系等内容。SSL VPN还在内部系统中与防火墙和访问控制机制一起实施访问控制。防火墙在用户与系统互动时使用,访问控制与防火墙提供相同的安全性,应用在IP和端口级别。

3.2.4 单点登录(Single Sign-On)

当使用公司内部不同的应用系统时,需要输入不同的“用户名+口令”,很麻烦。因为需要在不同的Web服务器上进行不同的授权管理,管理员也倍感疲惫。SSL VPN支持单点登陆,可以让用户访问不同的网站只需要一次登录,一次认证,可以有效降低管理负担和方便使用。

3.2.5 对应用的全面支持

支持所有应用,包括基于Web的应用、客户端/服务器、主机、终接服务器和双向应用(Vo IP、在线协作工具)和文件服务器等。作为软件解决方案,现有SSL VPN设备可定制用于支持任何类型的应用。

3.2.6 强安全认证

移动双因素认证(Mobile ID)——使用现有的个人设备,如手机、PDA或Black Berry等,用户可快速轻松地生成部署了双因素认证机制的独一无二的一次性密码(OTP),并结合原有的域认证做双重认证。键盘的单因素认证机制可保护用户和企业免遭特洛伊木马和间谍软件的攻击。

4. SSL VPN安全接入对于企业的益处

通过SSL VPN实现安全接入,可以“帮助企业提高生产力,改善用户使用体验”。安全接入解决方案具有多种优点。

4.1 提高信息安全性

4.1.1 防止信息泄漏

由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务账号等被保护起来,杜绝了有效信息的泄露。

4.1.2 杜绝非法访问

SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则SSL VPN将拒绝其连接请求,从而限制了非法用户对内网的访问。

4.1.3 保护信息的完整性

SSL VPN使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,SSL VPN是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。

4.1.4 防止用户假冒

提供多种认证和授权方式,包括本地本地用户数据库,并且可以和其他更加强大的认证系统结合起来,如ad、radius等以及自带的双因素身份认证系统。

4.1.5 保证系统的可用性

SSL VPN使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。

4.2 灵活的用户管理和访问控制

提供多种多样的认证机制和授权访问机制,存在本地用户数据库,可以配置在SSL VPN网关设备上。SSL VPN组网方案是面向应用的VPN方案,可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。

4.3 降低管理和维护成本

SSL VPN方案是无客户端的方案,由于客户端采用标准浏览器,SSL VPN的网关只需要在企业的数据中心部署,其他的维护操作都是在SP上面进行的,包括用户的授权,访问应用的各种配置等操作。它的管理工作属于集中管理和集中维护模式,可以极大地降低管理和维护成本。

5. 结束语

VPN在企业中应用 篇8

利用公用网络构建VPN是新型的网络概念,它将为服务提供商(ISP)和VPN用户(企业)带来很大的益处。服务提供商通过向企业提供VPN服务,可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,增加业务量。而对于企业则利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用,节省了开支,提高了经济效益。从用户的角度来讲,VPN是一种在计算机(VPN客户端)与团体服务器(VPN服务器)之间的点对点连接,与共享或公用网络的具体基础结构无关。单位通过使用VPN连接来为地理位置分开的办公室建立路由连接。或者在保持安全通信的同时,通过公共网络(例如Internet)连接到其他单位。

VPN的设计包括以下原则:安全性、网络优化和VPN管理。VPN直接构建在公用网上,简单、方便、灵活,但安全问题也更为突出。企业用户必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。

连接VPN的形式有两种:直接拨号连接与虚拟专网连接。直接拨号连接,PPP(点对点协议)数据包流是通过专用线路传输的;而用VPN连接,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。建立隧道的两种主要方式为客户启动(Client-Initiated)和客户透明(Client-Transparent)。

1 VPN的选型

目前,用于企业内部自建VPN的主要技术有两种———IP Sec VPN和SSL VPN,它们主要解决的是基于互联网的远程接入和互联。IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现专用网安全连接的最佳选项;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。而SSL VPN的“零客户端”结构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网的Web应用;但SSL VPN存在一定的安全风险,因为用户可运用公众Internet站点接入。

由于天脊集团原有主干网络设备均为Cisco的产品,根据业务需要和现有的网络情况,天脊集团选择了Cisco的IPSec VPN方案。

2 VPN实施

2.1 硬件

1)原有路由器和PIX均具有实现VPN的功能。

2)经综合评比,在PIX上实现VPN功能更适合,且不改变网络结构、不增加任何硬件投资就能实现VPN功能。

2.2 软件

1)VPN客户端使用Cisco VPN Client v4.8远程连接控制工具。

2)分公司的网络环境要求必须使用中国网通公司的宽带接入服务,使用Microsoft Windows2000以上操作系统。

2.3 实施要求

1)支持Console口的笔记本电脑一台以上。

2)配置前保存原始配置信息,以备配置出现意外时及时恢复。配置过程中遇到短时间内无法处理的问题时考虑暂停配置实施。

3)每个步骤完成后进行相应测试,通过后再执行下一步配置。

4)配置过程中建立中间文档,配置结束时建立配置备份电子档案。

2.4 网络拓扑图

网络拓扑见图1。

2.5 实施步骤

2.5.1 路由器配置

在路由器上增加VPN相应公网地址映射。

ip nat inside source static(VPN内网地址)(VPN公网地址)

2.5.2 PIX配置

aaa-server imc-gxfx(inside)host(3A服务器IP地址)timeout 10

2.6 安全管理

由于VPN传输的是私有信息,VPN用户对数据的安全性非常重视。目前,VPN主要采用4项技术来保证安全,分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

2.6.1 隧道技术

隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、第三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输,第二层隧道协议有L2F,PPTP,L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP,IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择和安全算法,从而在IP层提供安全保障。

2.6.2 加解密技术

加解密技术是数据通信中一项较为成熟的技术,VPN可直接利用。

2.6.3 密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全传递密钥而不被窃取。现行密钥管理技术分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公和私。

2.6.4 使用者与设备身份认证技术

使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术和路由器,配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。但是,一个企业的VPN需要扩展到远程访问时,这些对公司网直接连接或始终在线的连接将会是黑客攻击的主要目标。因为远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然员工可以双倍提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。所以,所有远程工作人员必须被批准使用VPN,IT人员需要对这些系统进行预定检查,安装要求输入密码的访问控制程序。如果输入密码错误,则向系统管理员发出警报。

3 实施效果

1)天脊集团IPSec VPN网络服务实现了分支机构信息交流和数据传输不受任何限制,可以利用互联网作为主要承载网络。采用IPSec VPN技术实现端到端数据的安全高速互联,企业关键业务能够得到保障。

2)方便今后在现有网络上运行多套内部系统,当中远距离有联网需求时,避免了对环境复杂、铺设线路困难的网络进行改造。

3)VPN网络由集团公司信息中心提供集成建设和运行维护,天脊集团不需要投资购买任何网络设备及聘请技术人员,为企业节省了大量的资金。

4 结束语

综上所述,天脊集团VPN实现了企业内部、企业与Internet以及企业与合作伙伴之间的安全性、高速率、低成本的互联互通,新建成的IPSec VPN运行良好,使得企业运转效率得到很大提高,大大提升了天脊集团的快速反应能力,为今后网络构建提供了丰富的工作经验,且培养、提高了员工独立开发的信心与能力。

摘要：以信息网络构建中的相关理论知识为基础,通过分析VPN技术在天脊集团信息化建设中的作用,阐述了新建成的IPSec VPN使企业反应能力快速提升,运转效率大大提高。

VPN如何应用于大型企业网 篇9

何谓VPN

VPN（virtual private network,虚拟专用网络）即是指在公众网络（例如Internet）上所建立的企业网络，并且此企业网络拥有与专业网络相同的安全、管理及功能等特点，它代替了传统的拨号访问，利用Internet公网资源作为企业专网的延续，节省昂贵的长途费用。VPN乃是原有专线式企业专用广域网络的替代方案，VPN并非改变原有广域网络的一些特性，如多重协议的支持、高可靠性及高扩充度，而是在更为符合成本效益的基础上来达到这些特性。VPN这种新技术有很多优点，给企业带来了无限的商机和发展机遇。

良好的安全性——端到端的安全保障：VPN架构中采用了多种安全机制，在VPN中传输的数据本身已是加密数据，再经过网络加密，提供了双重的安全保证。

覆盖范围广泛，不受地理位置的限制：Internet几乎无处不在，企业各个分支机构无论在何处，只要接在Internet网上，就可以利用VPN实现对关键性的数据进行安全的传输。

可扩展性强：VPN方式的企业网络与专线方式的相比，在网络架构上有较大的弹性，当有必要将网络扩充或是变更网络架构时，VPN可以轻易地达到目的。

VPN在石油系统的应用

中国石油集团的油库营业点遍布全国各地，分布区域广泛，营业点偏离市中心。业务需要进行购销存等数据业务交换，此外，部分营业点对语音、监控、视频业务也有需要。

售油系统网络要安全稳定地工作，需要满足以下条件：数据传输的安全性、可靠性；覆盖区域的广泛性；网络的可扩展性、灵活性和可维护性；增值业务的可扩展性；系统的经济性。

以往多采用租用电信服务商的长途DDN线路方式来组建网络，此方式可以满足其中的安全性和可靠性。如果每个营业点都与省公司通过长途DDN来进行通信的话，覆盖区域、增值业务的扩展、网络的扩展和经济性方面都存在明显的问题，尤其是以后的相应长途月租费相当可观。

而现在可以采用租用电信服务商的本地DDN、ADSL、无线等接入方式，利用VPN技术来实现网络；使用VPN技术在保证同样的传输质量下只需要支付本地月租费，大大降低了费用，而且以上所有的条件都可以满足。

VPN的结构

可以将中国石油集团的销售系统分为三级系统，以总部为中心，作为第一级节点，各个省公司作为二级节点，各个油库营业点作为三级节点。所有节点通过租用当地电信服务商的宽带上网线路连接到Internet网络上，在每个节点添加VPN设备，通过VPN设备建立虚拟的安全通道。

总部（一级节点）只和各省公司（二级节点）之间建立一级VPN通道。省公司（二级节点）与下属油库营业点（三级节点）之间建立二级VPN通道，组成一个树形结构的虚拟网络，同级节点没有直接的VPN通道，通信时需要经过上级节点中转。

VPN支持的业务

石油购销存系统在虚拟网中的运行

在VPN虚拟网中，总部、省公司、下属油库营业点就像在一个大的企业专网中，数据的安全性可以得到很好的保证，购销存系统作为内部数据交换的应用，能够很好地运行。利用VPN可实现企业系统资源的整合，如材料、机械、设备管理等就可以实现统一管理。

系统资源的整合、远程管理和远程办公

利用VPN技术，技术人员还可实现设备的远程维护，而公司领导及出差人员无论在任何地方、任何时候，均可以通过网络手段阅读公司文件、处理相关问题，提高了工作效率，节约了办公成本。

远程视频会议、远程监控

大型企业如何有效管理这些遍布全国各地、分布区域广泛的分支机构，传达总部精神，开会无疑是一个很好的办法，但是空间上的阻隔使面对面的会议无法实现。而通过在VPN网络上增加摄像头、视频电话、视频服务器等设备搭建远程视频会议系统，就可以很好地解决这个问题。

在VPN网络上，还可根据工作需要，增加视频监控设备对部分工作地点进行远程监控管理。

VPN的接入方式

支持VPN功能的接入方式很多，利用G.SHDSL实现的本地DDN接入方式、ADSL方式、无线网桥方式、GPRS、WCDMA 1X等方式接入到Internet网络之后建立相应的VPN通道。

由于中国石油集团公司油库营业室分布区域的多样性，兼顾经济性，根据当地服务商可以提供的接入服务，采用相应的接入方式。

VPN在企业中应用 篇10

随着企业的业务和规模的不断发展,分布各地的分支机构逐渐增多,各分支机构间的数据交换更加紧密,ERP、CRM等应用系统随应用需求而构建,面临针对企业信息化构架的重新规划、扩展和实现,以适应信息化时代的在线业务处理[1]。多协议标记交换虚拟私网MPLS-VPN技术能有效支持跨国企业国内外分支机构的网络安全互联,满足ERP和CRM等应用系统的应用及异地交换数据信息,有效提高企业的协同工作流程和更快地响应市场。如何设计实现符合企业ERP等应用系统要求的MPLS-VPN和部署相关应用系统[2,3,4]是本文研究和实践的重点。

1 MPLS-VPN技术原理及组网优势

1.1 MPLS-VPN技术原理

MPLS-VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用多协议标记交换的技术。MPLS-VPN的原理及其主要技术特点是:①简化核心路由器的路由选择方式;②利用并结合传统路由技术的标记交换实现的IP虚拟专用网络;③可用来构造宽带的企业内网Intranet和企业拓展网Extranet,构建企业内部专网;④实现企业国内外分支机构间的数据、语音、视频等多业务宽带连接;⑤提供多种增值服务,满足多种灵活的业务需求。图1是MPLS-VPN网络拓扑结构的示意图。

图1中所示为基于MPLS-VPN网络实现集团总部与两个分公司的远程网络连接结构。各分支节点分别通过一个路由器接入运营商网络,该路由器为CE(用户侧路由器)。运营商网络中与CE直接相连的路由器称为PE(运营商侧接入路由器)。运营商网络中的P(核心路由器)实现各个PE之间的路由和数据交换。为了实现企业VPN,运营商网络为VPN的每个分支节点提供透明的通路,各个分支节点就好像直接相连一样,拥有自己的IP地址段和独立的路由协议。为此,PE路由器要为每个VPN分配唯一的VPN编号,并建立独立的VPN路由表。

1.2 MPLS-VPN组网优势

MPLS-VPN兼顾了第二层交换技术和第三层路由及交换技术的优点,是融合覆盖VPN的优点(安全性以及客户间的隔离性)和对等VPN的优点(简化路由工作)而产生的一种基于电信网构建企业内网的技术。多协议标签交换技术将第二层交换的高性能和第三层转发的高扩展性融为一体。

MPLS-VPN是基于电信运营商网络且非面向连接的技术,具有下述组网的技术优势:

1) MPLS-VPN在增加节点和客户数量方面有较强的可扩展性,可以在节点间创建星形、全网状或其它的逻辑拓扑,拓扑结构的改变十分灵活。其灵活的扩展性可为企业在组网时节省大量的运营成本,包括线路成本、设备一次性投资、日常通信费用和维护管理成本等。

2) 组网及维护简单并可保持企业原有网络规划。客户端路由器只与网络运营商本地POP点的路由器相连,无需企业局域网中络每一个节点相连。VPN的路由信息保存在运营商的路由器中,由运营商进行管理,客户不必进行特别的维护和管理。因此,对于客户端接入设备没有特殊要求,一般路由器都适用。

3) MPLS-VPN支持使用私有地址。客户不必改变地址规划方案,可以有效保护用户投资。

4) 支持集中式的Internet访问模型,客户端通过总部的Internet接入,企业只需要一台防火墙即可阻止来自于外部的攻击,保护内部网。

5) 支持多种业务的融合并提供服务质量保证。MPLS-VPN可以实现数据、语音、视频等多种应用,并可以通过提高数据包的优先级,保证服务质量。依靠路由器提供的强大的QoS能力,通过提供不同的服务级别来保证关键通信的质量。

6) 安全可靠。采用先进的MPLS作为通道机制,实现透明报文传输,与ATM、FR等传统类型VPN具有相类似的安全级别。承载在IP网络之上,故障发生时自动将流量迂回故障点,具备较高通信传输可靠性。

2 MPLS-VPN在ERP实施中的应用

2.1 企业ERP系统对网络的需求

某冶金矿产跨国集团在中国设有全资子公司,负责该集团在中国的锰矿和锰系铁合金业务。公司管理总部设在上海,并在天津、广西和江苏等地设有工厂和销售处等分支机构。为适应近年来公司业务的飞速增长,提高集团整体管理水平并改善业务流程,该集团决定在全集团范围内实施部署OracleERP系统。但由于公司的业务规模快速扩张,现有企业网络的问题突出,随着ERP系统的上线,公司管理层也对集团原有的网络提出了更高的要求,急需一套更加快速、稳定的网络互联解决方案,为企业业务系统提供强有力的基础支撑平台。如何建设高速、安全、稳定和性能卓越的企业网络就成为了集团ERP项目成败的关键因素之一。

该集团的网络需求大致可以归纳为以下几个方面:

1) 构建全网状网络结构,各站点间彼此对等,任意站点间在任何时间都能对等通信,实现快速、安全、稳定的网络系统。

2) 实现全网数据、视频和语音共享的网络平台。

3) 全网实现QoS、CoS设定,保障ERP等关键企业业务应用系统,关键站点的网络连接实现备份线路,排除单点引起的网络故障。

4) 网络结构可以灵活调整,做到扩容、升级方便,新的分支机构接入只需使用低端的接入设备完成企业网络接入以有效降低网络互联成本。

5) 简化全网结构并具有高可管理性,可以快速定位故障。

2.2 在ERP系统中的实施与应用

根据ERP等企业应用系统对网络品质的要求情况,设计使用基于MPLS-VPN技术的网络互联方案,通过中国电信MPLS-VPN网络平台构建企业自己的内联网络,来改善内部网络结构,以达到控制网络流量、改善网络品质的目的,满足公司当前和不断增长变化的业务需求。

为满足设计需求,该集团在网络系统设计中采用了MPLS-VPN网络架构,整网解决方案实施完成后的拓扑结构如图2所示。该集团在华各分支机构通过路由器直接接入中国电信的MPLS-VPN网络平台,实现各分支机构间的互联互通。中国电信通过接入路由器连接法国电信运营商Orange公司为该集团组建MPLS-VPN网络,实现与集团海外各分支机构的网络连接。将包括ERP在内的企业关键应用系统安装在IDC数据中心,IDC数据中心通过路由器接入MPLS-VPN网络。另外,数据中心再使用另一相同带宽的MPLS接入电路作为线路备份,以保证关键应用系统的高稳定性和可靠性。各分支站点的ERP用户通过VPN网络可以在集团任何站点快速访问系统。

利用MPLS-VPN搭建的企业专网可以采用非常灵活的接入方式,接入站点的接入设备可以是任何厂商、任何档次的路由器或具有路由能力的交换机[5]。基于此MPLS-VPN网络平台,可以实现企业内部ERP等关键应用系统的数据传输。同时也可以提供数据传输的QoS[6]及CoS的保证,即当有ERP、OA、语音、视频等数据需要同时传输时,ERP系统比其它的数据具有较高的优先级,首先确保ERP系统数据传输的带宽,在保证ERP系统应用带宽质量的前提下,再把剩余的带宽供其它数据传输使用。在没有ERP系统数据传输时,所有的带宽可以提供给其它数据使用,并且可以根据要求对这些数据进行分类,对不同类别设定不同的优先级别,提供不同的QoS及CoS服务。图3显示了集团MPLS-VPN网络不同应用系统传输优先级CoS的设置,可以看出ERP系统的数据传输处于最高优先级,以此获得最可靠的高性能数据传输。

3 结 语

MPLS-VPN采用先进的多协议标签交换技术构建企业虚拟专用网络,实现企业分支机构与总部间的互联互通,基此构造完善、高效的企业内部通信网络。通过实现高质量的服务水平保证,将数据、语音及视频等应用进行整合,通过提供服务等级协议,确保企业业务高品质的通信服务。

MPLS-VPN网络解决方案的成功应用,为该集团ERP系统的顺利实施起到了强有力的推动作用。企业基于ERP系统的各项核心业务与日常经营管理都得到了巨大的收益,同时由于网络的扩展性与稳定性,保障了企业信息系统可以跟随着公司业务持续发展不断扩容升级。快速、安全、稳定的网络基础平台为企业信息化建设奠定了扎实的基础。

参考文献

[1]Rajeev T Shand ilya.电子商务与技术[M].陈充明,等译.科学出版社,2004.

[2]陈明.计算机广域网络教程[M].2版.清华大学出版社,2008.

[3]Jim Guichard.DefinitiveMPLS Network Designs[M].C isco Press,2005.

[4]罗鸿.ERP实施全程指南[M].电子工业出版社,2003.

[5]徐荣.电信级以太网[M].人民邮电出版社,2009.