華 杰

(金陵圖書館分館部,江蘇 南京,210019)

0 前言

VPN作為一項(xiàng)成熟的技術(shù)，廣泛應(yīng)用于組織總部和分支機(jī)構(gòu)之間的組網(wǎng)互聯(lián)，其利用組織已有的互聯(lián)網(wǎng)出口，虛擬出一條“專線”，將組織的分支機(jī)構(gòu)和總部連接起來(lái)，組成一個(gè)大的局域網(wǎng)。VPN被用于軍事、銀行等高安全性的專用網(wǎng)絡(luò)，當(dāng)前，政府機(jī)關(guān)部門也逐漸采用VPN專用網(wǎng)絡(luò)來(lái)提高網(wǎng)絡(luò)的安全等級(jí)，安裝VPN后不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)造成任何影響，各種服務(wù)及應(yīng)用均可正常使用，與現(xiàn)今的電子政務(wù)結(jié)合良好，在很大程度上避免電子政務(wù)網(wǎng)絡(luò)遭受網(wǎng)絡(luò)攻擊，保證整個(gè)政務(wù)網(wǎng)站的穩(wěn)定運(yùn)行，采用3G和 IPSec VPN結(jié)合來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全互聯(lián)和數(shù)據(jù)的安全保護(hù)可以滿足客戶的需求。

1 常見IPSec VPN組網(wǎng)方式

IPSec VPN作為一種高安全性的組網(wǎng)方式，廣泛用于金融、軍事、政府機(jī)構(gòu)、企業(yè)等網(wǎng)絡(luò)組建中，可以方便在專網(wǎng)中劃分小專網(wǎng)，對(duì)重要信息進(jìn)行安全加固，保證核心數(shù)據(jù)的安全性，同時(shí)IPSec VPN可支持多種國(guó)際主流的加密算法，實(shí)現(xiàn)數(shù)據(jù)高強(qiáng)度加密，并內(nèi)置定制化的加密算法，提供更快的加密速度和加密效率。從IPSec VPN的組網(wǎng)方式來(lái)講，主要分為獨(dú)立IPSec VPN和模塊化的IPSec VPN。

2 IPSec VPN解決方案設(shè)計(jì)

VPN的應(yīng)用范圍較廣，本文將選取兩個(gè)典型的VPN解決方案以做分析，方案一著重于對(duì)大型公司的專線網(wǎng)絡(luò)的需求滿足，為公司業(yè)務(wù)網(wǎng)絡(luò)提高高安全保障，應(yīng)用產(chǎn)品占據(jù)大量的市場(chǎng)，方案二則是無(wú)線網(wǎng)絡(luò)與VPN的綜合應(yīng)用，是當(dāng)前VPN重點(diǎn)研究的對(duì)象，以滿足未來(lái)無(wú)線移動(dòng)市場(chǎng)的專線接入需要。

方案一組網(wǎng)應(yīng)滿足三個(gè)基本原則：安全的平臺(tái)，系統(tǒng)穩(wěn)定可靠；能夠滿足各級(jí)分支和人員的便捷接入；具有彈性，能夠滿足未來(lái)業(yè)務(wù)的發(fā)展。方案二組網(wǎng)應(yīng)具備的特點(diǎn)主要有以下4點(diǎn)：保障數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸?shù)陌踩?；?guó)內(nèi)跨運(yùn)營(yíng)商線路較多，保障數(shù)據(jù)在高延遲、高丟包3G線路上高效傳輸；方案根據(jù)客戶企業(yè)分支規(guī)模、應(yīng)用場(chǎng)景、可擴(kuò)展性實(shí)現(xiàn)固網(wǎng)與非固網(wǎng)的靈活經(jīng)濟(jì)性的組建；管理：實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的集中管理和維護(hù)，線路流量統(tǒng)計(jì)，實(shí)現(xiàn)合理規(guī)劃。

3 大型公司專線網(wǎng)絡(luò)解決方案設(shè)計(jì)

圖1 IPSec VPN組網(wǎng)方式

隨著我國(guó)文化事業(yè)的快速發(fā)展，學(xué)生、學(xué)者、研究人員及社會(huì)大眾希望能夠快速、便捷地接入到大型圖書館及其下屬分館系統(tǒng)，實(shí)現(xiàn)知識(shí)檢索。我國(guó)圖書館系統(tǒng)較為龐大，數(shù)據(jù)交換規(guī)模甚巨，需要快速構(gòu)建一個(gè)安全傳輸平臺(tái)來(lái)滿足業(yè)務(wù)的發(fā)展。

根據(jù)實(shí)際需求，VPN方案采用二級(jí)網(wǎng)絡(luò)架構(gòu)，在總部部署加速VPN進(jìn)行雙機(jī)熱備，所有的圖書館以及圖書館數(shù)據(jù)庫(kù)根據(jù)級(jí)別采用硬件VPN的接入形式，各用戶根據(jù)優(yōu)先級(jí)和權(quán)限通過(guò)瀏覽器登錄的接入方式進(jìn)行訪問(wèn)。

通過(guò)部署千臺(tái)級(jí)VPN設(shè)備構(gòu)建了覆蓋全國(guó)的安全傳輸網(wǎng)絡(luò)；運(yùn)用多種優(yōu)化技術(shù)，提高了系統(tǒng)訪問(wèn)速度，生產(chǎn)效率得到提升；前瞻性的規(guī)劃保證了后期升級(jí)的需要，為業(yè)務(wù)發(fā)展奠定了基礎(chǔ)，保護(hù)了IT 投資。

該方案的設(shè)計(jì)充分利用已有的互聯(lián)網(wǎng)線路資源的思想，為用戶提出了更高性價(jià)比的解決方案。通過(guò)在總部和兩個(gè)相對(duì)較大的分支部署廣域網(wǎng)優(yōu)化設(shè)備，在較小的分支機(jī)構(gòu)部署IPSec/SSL二合一VPN設(shè)備，通過(guò)該組網(wǎng)方式不僅可以有較快的訪問(wèn)速度，同時(shí)由于所有的數(shù)據(jù)都以加密方式傳輸，很好地保證了傳輸?shù)陌踩浴?/p>

4 無(wú)線3G的VPN網(wǎng)絡(luò)設(shè)計(jì)

3G技術(shù)依賴其高速率、覆蓋廣、移動(dòng)性強(qiáng)等特點(diǎn)，提供了傳統(tǒng)固網(wǎng)所無(wú)法比擬的便利性；數(shù)據(jù)大集中，企業(yè)業(yè)務(wù)和規(guī)模的進(jìn)一步發(fā)展，分支覆蓋全國(guó)乃至全球區(qū)域，其數(shù)據(jù)信息的共享傳輸凸顯重要；一些無(wú)固定地點(diǎn)或者有線帶寬無(wú)法達(dá)到的地方，通過(guò)3G實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)發(fā)揮了獨(dú)特的作用，成為企業(yè)組網(wǎng)的另外一種高效、經(jīng)濟(jì)型的選擇方案。同時(shí)伴隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，更加速了無(wú)線VPN網(wǎng)絡(luò)的盛行?；?G的VPN網(wǎng)絡(luò)的優(yōu)勢(shì)主要表現(xiàn)在以下5個(gè)方面：

(1)數(shù)據(jù)安全加密：Sangfor 作為國(guó)家IPsec VPN標(biāo)準(zhǔn)制定者，擁有業(yè)界最多的專利技術(shù)，支持AES,DES,3DES.MD5，SHA,DH,RSA等算法，并且支持?jǐn)U展國(guó)密辦、SCB2等其他加密算法；出了用戶名密碼認(rèn)證外，提供基于網(wǎng)關(guān)硬件特征的高安全身份驗(yàn)證技術(shù)；支持防火墻狀態(tài)檢測(cè)、多種攻擊等。

(2)快速靈活組網(wǎng)：企業(yè)可根據(jù)分支規(guī)模、區(qū)域運(yùn)營(yíng)商3G覆蓋程度，應(yīng)用場(chǎng)景靈活選擇不同制式不同型號(hào)的一體化網(wǎng)關(guān)設(shè)備，同時(shí)能夠?qū)崿F(xiàn)與第三方標(biāo)準(zhǔn)VPN廠家設(shè)備和具有IPsec VPN模塊設(shè)備實(shí)現(xiàn)靈活對(duì)接。

圖3 基于3G的VPN網(wǎng)絡(luò)應(yīng)用拓?fù)?/p>

(3)高性價(jià)比投資：企業(yè)可基于現(xiàn)有網(wǎng)絡(luò)平臺(tái)，針對(duì)新建分支以及需要改造分支，選擇不同設(shè)備形態(tài)，一次性投入，不但滿足現(xiàn)有有線帶寬的接入，同時(shí)適應(yīng)未來(lái)無(wú)線寬帶的3G接入，同時(shí)針對(duì)分支機(jī)構(gòu)實(shí)現(xiàn)WIFI信號(hào)覆蓋。

(4)快速可控網(wǎng)絡(luò)：對(duì)于跨運(yùn)營(yíng)商線路（如電信3G、聯(lián)通3G、國(guó)內(nèi)海外）等高丟線路優(yōu)化，顯著提升訪問(wèn)速度；全網(wǎng)設(shè)備的其中管控和維護(hù)，網(wǎng)絡(luò)設(shè)備監(jiān)控以及線路流量的統(tǒng)計(jì)，有效降低IT管理運(yùn)維成本。

(5)穩(wěn)定備份線路：支持多線路同時(shí)建立VPN實(shí)現(xiàn)備份線路，保障一條線路故時(shí)業(yè)務(wù)切換到備份線路。

為了更靈活更貼切的滿足客戶需求，可采用外置3G USB上網(wǎng)卡和自帶天線內(nèi)置SIM插槽2種3G VPN網(wǎng)關(guān)設(shè)備，同時(shí)為了給客戶帶來(lái)更多價(jià)值，還可以采用集成WIFI+3G的一體化VPN網(wǎng)關(guān)設(shè)備，幫助企業(yè)通過(guò)3G網(wǎng)路建立VPN互聯(lián)到總部，同時(shí)分支實(shí)現(xiàn)無(wú)線信號(hào)完美覆蓋。典型應(yīng)用場(chǎng)景拓?fù)淙鐖D3所示。

從圖3的網(wǎng)絡(luò)拓?fù)渲锌煽闯?，異地?cái)?shù)據(jù)中心或者重要分支機(jī)構(gòu)通過(guò)固網(wǎng)互聯(lián)到集團(tuán)，為了規(guī)避單一線路單點(diǎn)故障，可通過(guò)部署3G VPN實(shí)現(xiàn)建立備份線路，當(dāng)固網(wǎng)發(fā)生故障后將業(yè)務(wù)切換到備份VPN線路，確保業(yè)務(wù)穩(wěn)定交付。異地中小型分支機(jī)構(gòu)，可根據(jù)分支規(guī)模，網(wǎng)絡(luò)場(chǎng)景、靈活選擇3G設(shè)備形態(tài)，通過(guò)3G網(wǎng)絡(luò)建立互聯(lián)網(wǎng)線路，并建立VPN實(shí)現(xiàn)與總部的互聯(lián)。采用3GVPN形態(tài)分外置3G USB上網(wǎng)卡、內(nèi)置3G SIM卡及集成WIFI+3G一體化VPN網(wǎng)關(guān)（支持CDMA200、WCDMA），幫助企業(yè)實(shí)現(xiàn)便利、高效、靈活性的高性價(jià)比組網(wǎng)方案。對(duì)于固網(wǎng)方便搭建的環(huán)境，3G VPN依舊保留傳統(tǒng)有線VPN功能，實(shí)現(xiàn)在互聯(lián)網(wǎng)上快速建立VPN。對(duì)于高延遲、高丟包跨運(yùn)營(yíng)商線路，通過(guò)暢聯(lián)技術(shù)打造穩(wěn)定、高效鏈路，保障業(yè)務(wù)交付效率，提高客戶體驗(yàn)效果。

該組網(wǎng)方案可管理一體化網(wǎng)關(guān)安全網(wǎng)關(guān)設(shè)備，降低企業(yè)投資成本；多種認(rèn)證方式及高安全數(shù)據(jù)加密，具備防火墻和權(quán)限控制，有效預(yù)防網(wǎng)絡(luò)風(fēng)險(xiǎn)；暢聯(lián)技術(shù)有效優(yōu)化跨運(yùn)營(yíng)商線路所帶來(lái)業(yè)務(wù)交付慢問(wèn)題，提高企業(yè)效率及競(jìng)爭(zhēng)力；全網(wǎng)可管理性及多線路VPN優(yōu)先級(jí)備份技術(shù)，增強(qiáng)網(wǎng)絡(luò)穩(wěn)定性和易用性；多種3G VPN產(chǎn)品形態(tài)，幫助企業(yè)組網(wǎng)靈活、便利、高效的競(jìng)爭(zhēng)性方案。

5 結(jié)語(yǔ)

本文以IPSec VPN為研究對(duì)象，首先對(duì)兩種組網(wǎng)方式進(jìn)行了詳細(xì)說(shuō)明，接著對(duì)當(dāng)前主流的VPN應(yīng)用場(chǎng)景和未來(lái)無(wú)線的VPN應(yīng)用場(chǎng)景分別進(jìn)行了組網(wǎng)方案設(shè)計(jì)，將VPN技術(shù)應(yīng)用于大型企業(yè)網(wǎng)絡(luò)及無(wú)線3G網(wǎng)絡(luò)的組網(wǎng)中，提高了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

[1]閻琦,陳建.關(guān)于VPN技術(shù)的探討[J].渤海大學(xué)學(xué)報(bào)(自然科學(xué)版),2011,(02):101-103.

[2]李長(zhǎng)春.基于IPSec的VPN技術(shù)應(yīng)用與研究[J].通化師范學(xué)院學(xué)報(bào),2012,(10): 26-28.

[3]李淑梅.中小企業(yè)基于IPSec VPN的網(wǎng)絡(luò)構(gòu)建[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版),2011,(09): 99-101.

[4]陳紅軍,周青云,張有順.基于IPSec的虛擬專用網(wǎng)實(shí)現(xiàn)研究[J].制造業(yè)自動(dòng)化,2011,(04): 70-72.

[5]李曉英,侯群花.3G 應(yīng)用 VPN 與 VPDN 解決方案[J].數(shù)字技術(shù)與應(yīng)用,2013,(04):86-89.