徐 華

[摘要]根據(jù)蘇州市工業(yè)園區(qū)社區(qū)衛(wèi)生服務(wù)系統(tǒng)對網(wǎng)絡(luò)功能的需求,通過現(xiàn)狀分析結(jié)合目前主流技術(shù),確定采用VPN技術(shù)組建虛擬專用網(wǎng)的建設(shè)方案,分別從VPN組網(wǎng)模式、隧道技術(shù)、QOS機(jī)制等方面進(jìn)行深入研究,并在該方案中進(jìn)行具體應(yīng)用。

[關(guān)鍵詞]VPN隧道技術(shù)QOS機(jī)制

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)1210096-02

一、引言

虛擬專用網(wǎng)[1](Virtual Private Network,VPN)是指在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù),用戶可以憑借公用網(wǎng)的環(huán)境,把屬于自己的網(wǎng)絡(luò)用戶終端模擬成自己的專用網(wǎng),并通過VPN管理站對所屬網(wǎng)絡(luò)各部分的端口進(jìn)行狀態(tài)監(jiān)控、管理等操作。VPN將企業(yè)的遠(yuǎn)程用戶、分支機(jī)構(gòu)、業(yè)務(wù)伙伴及出差的辦公人員等通過特定的加密隧道連接起來,構(gòu)成擴(kuò)展的企業(yè)網(wǎng),而不需要特別的專線租用。VPN架構(gòu)中采用了多種安全機(jī)制,如加解密技術(shù)(Encryption)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)(Authentication)等,通過上述的各項(xiàng)網(wǎng)絡(luò)安全技術(shù),確保數(shù)據(jù)在公網(wǎng)絡(luò)中傳輸時(shí)不被竊取,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。

二、蘇州市工業(yè)園區(qū)社區(qū)衛(wèi)生服務(wù)系統(tǒng)網(wǎng)絡(luò)解決方案分析

蘇州市工業(yè)園區(qū)社區(qū)衛(wèi)生服務(wù)系統(tǒng)包括園區(qū)計(jì)算機(jī)信息中心、園區(qū)社會事業(yè)局,3個(gè)大社區(qū)衛(wèi)生服務(wù)中心(鄉(xiāng)鎮(zhèn)衛(wèi)生院),5個(gè)小的社區(qū)衛(wèi)生服務(wù)中心(含衛(wèi)生院分院),35個(gè)社區(qū)衛(wèi)生服務(wù)站。由于地域上的距離和網(wǎng)絡(luò)發(fā)展的不平衡性,園區(qū)計(jì)算機(jī)信息中心、園區(qū)社會事業(yè)局與各醫(yī)療衛(wèi)生單位間以及各中心衛(wèi)生院與社區(qū)衛(wèi)生服務(wù)站之間缺少互聯(lián)互通,各網(wǎng)絡(luò)的信息資源不能共享,造成網(wǎng)絡(luò)的割裂和信息的孤島。如何將位于不同地點(diǎn)的衛(wèi)生服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)互通,就成了必須解決的問題。同時(shí),社區(qū)衛(wèi)生服務(wù)信息化項(xiàng)目不斷增加,數(shù)據(jù)流量和傳輸?shù)囊笤絹碓蕉?對網(wǎng)絡(luò)的要求也不斷的提高。要求通過網(wǎng)絡(luò)能實(shí)現(xiàn)衛(wèi)生數(shù)據(jù)采集,社區(qū)公共衛(wèi)生,健康檔案,從業(yè)人員體檢、視頻監(jiān)控等應(yīng)用,以及以后要運(yùn)行的一卡通系統(tǒng)。

為了實(shí)現(xiàn)蘇州市工業(yè)園區(qū)范圍內(nèi)的社區(qū)衛(wèi)生服務(wù)系統(tǒng)位于不同地點(diǎn)的衛(wèi)生服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)互通,利用VPN技術(shù)可以在蘇州市工業(yè)園區(qū)政務(wù)網(wǎng)上額外組建社區(qū)衛(wèi)生服務(wù)Intranet VPN,連接園區(qū)社會事業(yè)局、社區(qū)衛(wèi)生服務(wù)中心和社區(qū)衛(wèi)生服務(wù)站,可以保證社區(qū)衛(wèi)生服務(wù)信息在整個(gè)Intranet VPN上安全高效傳輸。

三、VPN組網(wǎng)

(一)VPN實(shí)現(xiàn)模式選擇

VPN實(shí)現(xiàn)模式可以分為利用軟件實(shí)現(xiàn)和利用硬件實(shí)現(xiàn)兩種,這兩種模式目前市場都有應(yīng)用。若采用軟件實(shí)現(xiàn)VPN,組網(wǎng)相對較簡單,現(xiàn)在的Windows操作系統(tǒng)和Linux操作系統(tǒng)都支持VPN技術(shù),在服務(wù)器系統(tǒng)中安裝第三方VPN軟件,在客戶機(jī)系統(tǒng)中作相應(yīng)的設(shè)置即可投入使用,但通過從市場調(diào)研了解到,軟件VPN動態(tài)域名解析技術(shù)不穩(wěn)定,實(shí)時(shí)性不高,由于服務(wù)器不是專業(yè)的工控設(shè)備,服務(wù)器系統(tǒng)會存在較大的不穩(wěn)定性,整個(gè)VPN網(wǎng)絡(luò)的穩(wěn)定性無法保證,后期維護(hù)較復(fù)雜,也有部分用戶反映數(shù)據(jù)傳輸速度很慢,因此不適合企業(yè)級使用。硬件VPN集成了企業(yè)級防火墻、上網(wǎng)控制和路由功能,支持全動態(tài)IP尋址,網(wǎng)絡(luò)平臺的適應(yīng)性強(qiáng),擴(kuò)展性好,網(wǎng)絡(luò)運(yùn)行穩(wěn)定也無須專業(yè)人員維護(hù);可以輕松遠(yuǎn)程管理與維護(hù)。根據(jù)社區(qū)的具體情況員工普遍計(jì)算機(jī)水平不高,各分支機(jī)構(gòu)較無專業(yè)人員維護(hù),選擇通過硬件實(shí)現(xiàn)VPN比較合適。

(二)選用隧道技術(shù)

要構(gòu)建VPN,選擇隧道技術(shù)是關(guān)鍵。隧道技術(shù)是負(fù)責(zé)將待傳輸?shù)脑夹畔⒔?jīng)過加密、協(xié)議封裝和壓縮處理后,再嵌套裝入另一種協(xié)議的數(shù)據(jù)包送入網(wǎng)絡(luò)中,像普通數(shù)據(jù)包一樣進(jìn)行傳送。只有該虛擬專用網(wǎng)絡(luò)授權(quán)的用戶才能對隧道中的數(shù)據(jù)包進(jìn)行解釋和處理,而其他用戶則無法處理這些信息,從而保證VPN的遠(yuǎn)程用戶或主機(jī)和專用網(wǎng)絡(luò)的安全連接。當(dāng)前主流技術(shù)有基于IPSec VPN和SSL VPN,現(xiàn)對這兩種技術(shù)進(jìn)行分析比較。

1.IPSec協(xié)議[2]。IPSec協(xié)議是指IETF(因特網(wǎng)工程任務(wù)組)以RFC形式公布的一組安全I(xiàn)P協(xié)議集,是為IP及以上協(xié)議(TCP和UDP等)提供安全保護(hù)的安全協(xié)議標(biāo)準(zhǔn)。IPSec提供了兩種安全機(jī)制:認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機(jī)制通過對數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性,以防數(shù)據(jù)在傳輸過程中被竊聽。IPSec協(xié)議組包含Authentication Header(AH)協(xié)議、Encapsulating Security Payload(ESP)協(xié)議和Internet Key Exchange(IKE)協(xié)議。其中AH協(xié)議定義了認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)源認(rèn)證和完整性保證;ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法,提供可靠性保證。在實(shí)際進(jìn)行IP通信時(shí),可以根據(jù)實(shí)際安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù),不過,AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。IKE用于密鑰交換。IPSec協(xié)議結(jié)構(gòu)如下圖1所示。

圖1IPSec協(xié)議結(jié)構(gòu)

其通信過程是首先用戶在應(yīng)用層發(fā)出服務(wù)請求,發(fā)送的信息將交IPSec模塊處理,IPSec模塊將請求的服務(wù)數(shù)據(jù)封裝為IPSec數(shù)據(jù)包(遵循AH協(xié)議、ESP協(xié)議、IKE協(xié)議),并添加新的IP報(bào)頭;封裝的數(shù)據(jù)通過物理網(wǎng)卡發(fā)送到公網(wǎng);IPSec網(wǎng)關(guān)接收到IPSec數(shù)據(jù)包并解密論證,若成功則還原IP數(shù)據(jù)包,服務(wù)器提供服務(wù),否則丟棄該數(shù)據(jù)包。

2.SSL協(xié)議[3]。SSL是由Netscape開發(fā)出來的一種在讓可持有證書的瀏覽器軟件(比如Internet Explorer、Netacpe Navigator)和WWW服務(wù)器之間構(gòu)造的安全通道中傳輸數(shù)據(jù)的協(xié)議,它運(yùn)行在TCP/IP層之上、應(yīng)用層之下。它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器論證、消息完整性以及可選的客戶端認(rèn)證。它不是一個(gè)單一的協(xié)議,而是由多個(gè)協(xié)議組成,包括SSL記錄協(xié)議、SSL握手協(xié)議、SSL修改密文規(guī)約協(xié)議,警告協(xié)議。其體系結(jié)構(gòu)如下圖2所示。

圖2SSL協(xié)議體系結(jié)構(gòu)

記錄協(xié)議主要完成分組和組合、壓縮和解壓縮以及消息認(rèn)證和加密等功能。SSL握手協(xié)議是用來在客戶端和服務(wù)器端傳輸應(yīng)用數(shù)據(jù)而建立的安全通信機(jī)制。修改密文規(guī)約協(xié)議用于使用新協(xié)商的加密方法和完全性方法。警告協(xié)議是指對消息傳達(dá)嚴(yán)重性進(jìn)行描述警告。

其基本通訊過程是:客戶端連接至服務(wù)器,要求進(jìn)行身份驗(yàn)證;服務(wù)器通過發(fā)送數(shù)字證書證明其身份;協(xié)商加密算法及用于完整性檢查的哈希函數(shù),通常由客戶端提供它支持的所有算法列表,然后由服務(wù)器選擇最強(qiáng)大的加密算法;服務(wù)器和客戶端協(xié)商會話密鑰;服務(wù)器和客戶端分別使用協(xié)商好的加密算法及密鑰,對發(fā)送數(shù)據(jù)進(jìn)行加密,對接受數(shù)據(jù)進(jìn)行解密,實(shí)現(xiàn)了在服務(wù)器和客戶端之間利用加密信道進(jìn)行通信的目的。

3.兩種協(xié)議的比較

IPSec VPN應(yīng)用比SSL vpn更廣泛,由于SSL vpn僅限于web瀏覽器的應(yīng)用,對于非web應(yīng)用的訪問不能實(shí)現(xiàn),例如文件共享、自動文件傳輸、VOIP等,這使得網(wǎng)絡(luò)資源的共享受限。而IPSec則可以不通過web接入就實(shí)現(xiàn)企業(yè)資源的訪問。

IPSec VPN不管在客戶端還是服務(wù)器段都需要接入設(shè)備,硬件投入較大,在部署安全網(wǎng)關(guān)時(shí)要考慮拓?fù)渑判?一旦添加新設(shè)備就要改變網(wǎng)絡(luò)結(jié)構(gòu),那就需要重新部署,維護(hù)不方便。而SSL VPN在客戶端不需要特殊設(shè)備,因?yàn)闉g覽器中內(nèi)嵌了SSL協(xié)議應(yīng)用簡單,可以根據(jù)需要添加接入點(diǎn)無需改變網(wǎng)絡(luò)結(jié)構(gòu),維護(hù)較方便。

由于IPSec VPN是基于網(wǎng)絡(luò)層的,標(biāo)準(zhǔn)的IKE協(xié)商,密鑰動態(tài)生成,但一旦過了IPSec vpn網(wǎng)關(guān),內(nèi)部就處于無保護(hù)狀態(tài),內(nèi)部數(shù)據(jù)就有失真的可能。而SSL vpn則采用用戶名密碼認(rèn)證,雖說不如認(rèn)證證書安全,但它是點(diǎn)對點(diǎn)全程保護(hù),對于不同的用戶名可以給予不同的操作權(quán)限。

該方案建設(shè)原則是即要滿足網(wǎng)絡(luò)應(yīng)用的需要,又要降低建網(wǎng)成本管理維護(hù)方便。通過這兩種協(xié)議比較,結(jié)合實(shí)際情況在組網(wǎng)時(shí)選擇IPSec VPN與SSL VPN相結(jié)合,也就是在一套網(wǎng)關(guān)設(shè)備上部署兩套VPN,在計(jì)算機(jī)信息中心、社會事業(yè)局、社區(qū)服務(wù)中心部署VPN設(shè)備配置兩種協(xié)議,而在各衛(wèi)生服務(wù)站部署SSL VPN。兩者優(yōu)勢互補(bǔ),組網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3組網(wǎng)拓?fù)浣Y(jié)構(gòu)

(三)QOS機(jī)制

QoS(Quality of Service)即服務(wù)質(zhì)量指網(wǎng)絡(luò)提供更高優(yōu)先服務(wù)的一種能力,包括傳輸?shù)膸挕魉偷臅r(shí)延、數(shù)據(jù)的丟包率等。網(wǎng)絡(luò)資源總是有限的,只要存在搶奪網(wǎng)絡(luò)資源的情況,就會出現(xiàn)服務(wù)質(zhì)量的要求。服務(wù)質(zhì)量是相對網(wǎng)絡(luò)業(yè)務(wù)而言的,在保證某類業(yè)務(wù)的服務(wù)質(zhì)量的同時(shí),可能就是在損害其它業(yè)務(wù)的服務(wù)質(zhì)量。例如,在網(wǎng)絡(luò)總帶寬固定的情況下,如果某類業(yè)務(wù)占用的帶寬越多,那么其他業(yè)務(wù)能使用的帶寬就越少,可能會影響其他業(yè)務(wù)的使用。因此,在網(wǎng)絡(luò)建設(shè)中需要考慮怎樣對網(wǎng)絡(luò)資源進(jìn)行合理的規(guī)劃和分配,從而使網(wǎng)絡(luò)資源得到高效利用。

若網(wǎng)絡(luò)應(yīng)用中僅有web或email等普通無時(shí)間限制的應(yīng)用系統(tǒng),當(dāng)然不必考慮網(wǎng)絡(luò)服務(wù)質(zhì)量,但在該方案中存在文件備份、語音、多媒體等數(shù)據(jù)的傳輸,對數(shù)據(jù)的及時(shí)性、時(shí)延等有較高的要求,因此需要引入QOS機(jī)制。

QoS的配置方式分為QoS策略配置方式和非QoS策略配置方式兩種,該方案采用QoS策略配置。

對VPN設(shè)備接口的入站方向的流量,實(shí)施以下qos處理[4]:

1.分類(Classifying),為每一類流量(符合某類特征的報(bào)文)產(chǎn)生一個(gè)報(bào)文攜帶優(yōu)先級(如IP優(yōu)先級、 DSCP優(yōu)先級)。

2.策略(Policing),對于每一類流量進(jìn)行帶寬和速率限制。

3.標(biāo)識(Marking),對于每一類流量進(jìn)行按條件的標(biāo)識處理。

對VPN設(shè)備接口的出站方向的流量,實(shí)施以下qos處理:

4.排隊(duì)(Queueing):對每一類流量選擇一個(gè)合適的接口出站隊(duì)列(每接口自動有四個(gè)出站隊(duì)列)

5.調(diào)度服務(wù)(Scheduling services):根據(jù)隊(duì)列的權(quán)值(如:基于WRR隊(duì)列設(shè)定的weights值)進(jìn)行優(yōu)先轉(zhuǎn)發(fā)。

四、采用該方案的優(yōu)勢

1.降低成本簡化網(wǎng)絡(luò)設(shè)計(jì)。借助ISP,可以使用VPN替代租用專線來實(shí)現(xiàn)分支機(jī)構(gòu)的連接,降低通信費(fèi)用;同時(shí)只要對遠(yuǎn)程鏈路進(jìn)行少量的安裝、配置和管理,可以極大地簡化網(wǎng)絡(luò)的設(shè)計(jì)。

2.可擴(kuò)充性和靈活性。VPN可以支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

3.可管理性。在VPN管理方面,VPN可以將網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),很容易實(shí)現(xiàn)VPN安全管理。借助目錄服務(wù)管理方式[5],能更有效管理VPN系統(tǒng),網(wǎng)絡(luò)管理人員能隨時(shí)跟蹤和掌握:系統(tǒng)的使用者、連接數(shù)目、異?；顒?、出錯情況,以及其他可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊等現(xiàn)象。

五、結(jié)束語

隨著網(wǎng)絡(luò)應(yīng)用不斷深入,VPN技術(shù)在快速發(fā)展,從2000第一代需要固定的公網(wǎng)IP,第二代需要動態(tài)公網(wǎng)IP,發(fā)展到第三代任何上網(wǎng)方式都可實(shí)現(xiàn)VPN。這項(xiàng)技術(shù)雖說還有很多要改進(jìn)的地方(如對數(shù)據(jù)的不可否認(rèn)性不能保障等),但基于公網(wǎng)的VPN通過隧道技術(shù)以及QOS機(jī)制使得企業(yè)在網(wǎng)絡(luò)建設(shè)中能有效地降低成本,高效安全建設(shè)自己的企業(yè)網(wǎng),深受企業(yè)的歡迎,因而將有其廣闊的發(fā)展前景。

參考文獻(xiàn):

[1]VPN教程,http://cisco.ccxx.net/cisco.

[2]曾章勇、王玲,IPSec VPN與防火墻協(xié)同工作的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].通信技術(shù),2008第9期41卷.

[3]史春光,淺析基于SSL協(xié)議的VPN技術(shù)[J].信息技術(shù),2009第3期.

[4]QOS技術(shù)介紹,http://www.h3c.com.cn/Products_Technology/Techno

logy/QoS.

[5]VPN管理未來發(fā)展方向:目錄管理,http://www.enet.com.cn/article/.