王東海 劉陳

摘要：分析了VPN技術(shù)的特點(diǎn)及應(yīng)用場(chǎng)合，然后實(shí)現(xiàn)了在企業(yè)中應(yīng)用的3種模式。同時(shí)，針對(duì)在其應(yīng)用中，隨著人數(shù)的增加和需求不斷增加，專線帶寬瓶頸越顯突出，導(dǎo)致分支用戶業(yè)務(wù)系統(tǒng)使用不便的問題，設(shè)計(jì)了一種優(yōu)化的方案。

關(guān)鍵詞：VPN技術(shù)；隧道；優(yōu)化

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）06-0034-03

1概述

VPN（Virtual Private Network），即虛擬專用網(wǎng)，它是利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并能提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。[1]由于通過VPN技術(shù)可以實(shí)現(xiàn)資源的傳輸和共享，并實(shí)現(xiàn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和安全。因此，它得到了積極的推廣和應(yīng)用。但其在應(yīng)用過程中，隨著分支機(jī)構(gòu)辦公人員數(shù)量以及需求不斷增加，多帶寬使用率的要求也越來越高，導(dǎo)致分支用戶業(yè)務(wù)使用不便，同時(shí)專線vpn對(duì)于移動(dòng)辦公人員和各辦事處人員訪問公司的系統(tǒng)不能更好的支持。因此，對(duì)其進(jìn)行優(yōu)化也顯得十分必要。

2 VPN的應(yīng)用

2.1 VPN的實(shí)現(xiàn)原理

VPN技術(shù)并不依靠物理上的端到端的專用連接，即沒有固定的物理連接，它是利用Internet、ATM等公用網(wǎng)絡(luò)設(shè)施，在兩臺(tái)直接與公網(wǎng)連接的計(jì)算機(jī)之間建立一條專用通道，建立起虛擬的專用通路，并利用隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝，使數(shù)據(jù)在具有認(rèn)證和加密機(jī)制的隧道中穿越，從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的安全連接。[2]通信過程的打包和解包工作則必須通過一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道將需要一個(gè)專門的過程，依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備及協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括3個(gè)單元：VPN服務(wù)器端、VPN客戶端機(jī)和VPN數(shù)據(jù)通道。

2.2 VPN 的實(shí)現(xiàn)

要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必需配置一臺(tái)VPN內(nèi)網(wǎng)接入設(shè)備，該設(shè)備有雙網(wǎng)卡，它一方面連接企業(yè)內(nèi)部網(wǎng)絡(luò)，另一方面連接到Internet，即VPN服務(wù)器必須有一個(gè)公用的IP地址。VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程用戶使用時(shí)根本無需關(guān)心隧道的建立、數(shù)據(jù)加密、用戶認(rèn)證等過程。[3]遠(yuǎn)程用戶采用TCP/IP 協(xié)議，選擇建立虛擬隧道，并保持原有的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和應(yīng)用模式不變，以便實(shí)現(xiàn)快捷、廉價(jià)、保密的通信。

2.3 VPN的應(yīng)用場(chǎng)景

VPN的應(yīng)用場(chǎng)景分可分為3種：

1）站點(diǎn)到站點(diǎn)或者網(wǎng)關(guān)到網(wǎng)關(guān)：在不同的地方分支，各使用一個(gè)網(wǎng)關(guān)相互建立VPN隧道，企業(yè)內(nèi)網(wǎng)（若干PC）之間的數(shù)據(jù)則通過這些網(wǎng)關(guān)建立的IPSec隧道實(shí)現(xiàn)安全互聯(lián)。

2）端到端或者PC到PC：兩臺(tái)PC之間的通信由兩臺(tái)PC之間的IPSec進(jìn)行會(huì)話保護(hù)，而并不是網(wǎng)關(guān)。

3）端到站點(diǎn)或者PC到網(wǎng)關(guān)：兩臺(tái)PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進(jìn)行保護(hù)。VPN只是IPSec的一種應(yīng)用方式，它的目的是為IP提供高安全性特性，VPN則是在實(shí)現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。[4]

3 VPN的優(yōu)化

3.1 優(yōu)化方案設(shè)計(jì)

本方案主要是在總部和分支各部署一臺(tái)深信服（SANGFOR）加速設(shè)備，對(duì)現(xiàn)有專線數(shù)據(jù)傳輸進(jìn)行優(yōu)化。SANGFOR VPN設(shè)備支持多種加密算法、硬件證書認(rèn)證、移動(dòng)客戶端專線功能，能保障用戶訪問安全和數(shù)據(jù)傳輸安全。

具體方案如下：

1）通過SANGFOR設(shè)備對(duì)專線線路重復(fù)冗余的數(shù)據(jù)進(jìn)行刪減、壓縮，以減少數(shù)據(jù)傳輸量，提高分支機(jī)構(gòu)和總部之間響應(yīng)速度；

2）對(duì)在通信信道中傳輸?shù)臄?shù)據(jù)進(jìn)行加密傳輸，避免數(shù)據(jù)裸奔在互聯(lián)網(wǎng)上，遭受不法分子竊取和盜用；

3）對(duì)移動(dòng)辦公、出差或辦事處的人員不需要添加任何設(shè)備，只需在總部的vpn設(shè)備上為之建立賬號(hào)和設(shè)置權(quán)限，便可以進(jìn)行安全訪問。