王東海 劉陳

摘要：分析了VPN技術(shù)的特點(diǎn)及應(yīng)用場(chǎng)合，然后實(shí)現(xiàn)了在企業(yè)中應(yīng)用的3種模式。同時(shí)，針對(duì)在其應(yīng)用中，隨著人數(shù)的增加和需求不斷增加，專(zhuān)線(xiàn)帶寬瓶頸越顯突出，導(dǎo)致分支用戶(hù)業(yè)務(wù)系統(tǒng)使用不便的問(wèn)題，設(shè)計(jì)了一種優(yōu)化的方案。

關(guān)鍵詞：VPN技術(shù)；隧道；優(yōu)化

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）06-0034-03

1概述

VPN（Virtual Private Network），即虛擬專(zhuān)用網(wǎng)，它是利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶(hù)創(chuàng)建隧道，并能提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。[1]由于通過(guò)VPN技術(shù)可以實(shí)現(xiàn)資源的傳輸和共享，并實(shí)現(xiàn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和安全。因此，它得到了積極的推廣和應(yīng)用。但其在應(yīng)用過(guò)程中，隨著分支機(jī)構(gòu)辦公人員數(shù)量以及需求不斷增加，多帶寬使用率的要求也越來(lái)越高，導(dǎo)致分支用戶(hù)業(yè)務(wù)使用不便，同時(shí)專(zhuān)線(xiàn)vpn對(duì)于移動(dòng)辦公人員和各辦事處人員訪(fǎng)問(wèn)公司的系統(tǒng)不能更好的支持。因此，對(duì)其進(jìn)行優(yōu)化也顯得十分必要。

2 VPN的應(yīng)用

2.1 VPN的實(shí)現(xiàn)原理

VPN技術(shù)并不依靠物理上的端到端的專(zhuān)用連接，即沒(méi)有固定的物理連接，它是利用Internet、ATM等公用網(wǎng)絡(luò)設(shè)施，在兩臺(tái)直接與公網(wǎng)連接的計(jì)算機(jī)之間建立一條專(zhuān)用通道，建立起虛擬的專(zhuān)用通路，并利用隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝，使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越，從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的安全連接。[2]通信過(guò)程的打包和解包工作則必須通過(guò)一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道將需要一個(gè)專(zhuān)門(mén)的過(guò)程，依賴(lài)于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備及協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括3個(gè)單元：VPN服務(wù)器端、VPN客戶(hù)端機(jī)和VPN數(shù)據(jù)通道。

2.2 VPN 的實(shí)現(xiàn)

要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必需配置一臺(tái)VPN內(nèi)網(wǎng)接入設(shè)備，該設(shè)備有雙網(wǎng)卡，它一方面連接企業(yè)內(nèi)部網(wǎng)絡(luò)，另一方面連接到Internet，即VPN服務(wù)器必須有一個(gè)公用的IP地址。VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程用戶(hù)使用時(shí)根本無(wú)需關(guān)心隧道的建立、數(shù)據(jù)加密、用戶(hù)認(rèn)證等過(guò)程。[3]遠(yuǎn)程用戶(hù)采用TCP/IP 協(xié)議，選擇建立虛擬隧道，并保持原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和應(yīng)用模式不變，以便實(shí)現(xiàn)快捷、廉價(jià)、保密的通信。

2.3 VPN的應(yīng)用場(chǎng)景

VPN的應(yīng)用場(chǎng)景分可分為3種：

1）站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)：在不同的地方分支，各使用一個(gè)網(wǎng)關(guān)相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)則通過(guò)這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。

2）端到端或者PC到PC：兩臺(tái)PC之間的通信由兩臺(tái)PC之間的IPSec進(jìn)行會(huì)話(huà)保護(hù)，而并不是網(wǎng)關(guān)。

3）端到站點(diǎn)或者PC到網(wǎng)關(guān)：兩臺(tái)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。VPN只是IPSec的一種應(yīng)用方式，它的目的是為IP提供高安全性特性，VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設(shè)計(jì)

本方案主要是在總部和分支各部署一臺(tái)深信服（SANGFOR）加速設(shè)備，對(duì)現(xiàn)有專(zhuān)線(xiàn)數(shù)據(jù)傳輸進(jìn)行優(yōu)化。SANGFOR VPN設(shè)備支持多種加密算法、硬件證書(shū)認(rèn)證、移動(dòng)客戶(hù)端專(zhuān)線(xiàn)功能，能保障用戶(hù)訪(fǎng)問(wèn)安全和數(shù)據(jù)傳輸安全。

具體方案如下：

1）通過(guò)SANGFOR設(shè)備對(duì)專(zhuān)線(xiàn)線(xiàn)路重復(fù)冗余的數(shù)據(jù)進(jìn)行刪減、壓縮，以減少數(shù)據(jù)傳輸量，提高分支機(jī)構(gòu)和總部之間響應(yīng)速度；

2）對(duì)在通信信道中傳輸?shù)臄?shù)據(jù)進(jìn)行加密傳輸，避免數(shù)據(jù)裸奔在互聯(lián)網(wǎng)上，遭受不法分子竊取和盜用；

3）對(duì)移動(dòng)辦公、出差或辦事處的人員不需要添加任何設(shè)備，只需在總部的vpn設(shè)備上為之建立賬號(hào)和設(shè)置權(quán)限，便可以進(jìn)行安全訪(fǎng)問(wèn)。