网学网为需要工科论文的朋友们搜集整理了 VPN技术在企业信息化建设中的应用 相关资料,希望对各位网友有所帮助!
1 VPN技术特点 1.1 VPN技术涵义 VPN即虚拟专用网络。VPN可以通过特殊的加密通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN主要采用隧道技术、加密技术、身份认证技术和网络访问控制技术。
1.2 VPN网络的基本用途 VPN网络的基本用途主要有以下3种: (1)通过Internet实现远程用户访问。虚拟专用网支持以安全的方式通过公共互联网络远程访问企业资源。 (2)通过Internet实现网络互连。可以采用专线连接分支机构和企业局域网两种方式,使用VPN连接远程局域网络。 (3)连接企业内部网络计算机。采用VPN方案, 通过使用一台VPN服务器既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。
1.3 VPN网络的特点 VPN网络主要有以下几个特点: (1)拥有一个公共的基础网络结构(如Internet 网络)。单位服务器、单位网络、出差用户、远程用户都可以连接到Internet,并且可以互相通信。 (2)使用VPN可以节省联网费用。因为VPN连接使用了公共网络(即Internet网络),用户负担的费用也就随之减少。 (3)使用VPN十分安全。VPN通信的双方通过封装、加密等方式,可以保证数据传输的安全。 (4)VPN联网后的用户相当于处在同一个局域网中。如果是通过VPN拨号方式连接到VPN服务器,则VPN客户端可以访问VPN服务器和VPN服务器所属的局域网。 (5)使用VPN联网后,实际的数据传输要比不采用VPN慢,这是因为VPN的封装、加密占用了带宽,导致有效数据在所传输的数据中占有的比率减小。
2 VPN协议为了满足不同企业的各种需求,随着科学技术的发展,VPN技术在企业应用中得到了不断的发展和优化,继而出现了各种网络层隧道协议。按实现的层次分为二层隧道VPN协议和三层隧道VPN协议,其中二层隧道VPN协议有:L2TP(Layer 2 Tunnel Protocol),PPTP(Point To Point Tunnel Protocol),L2F(Layer 2 Forwarding);三层隧道 VPN协议有:IPSEC (IP Security Protocol),GRE (Generic Routing Encapsulation)。本文主要介绍 PPTP协议简介 PPTP协议(Point To Point Tunnel Protocol, 点对点隧道协议)是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法 MPPE。其通过跨越基于TCP/IP的数据网络创建 VPN实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP是一个第2层的协议,将 PPP数据帧封装在IP数据包内通过IP网络,如 Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP支持通过公共网络(例如Internet)建立按需的、多协议的、虚拟专用网络。
2.2 L2TP协议简介 L2TP协议(Layer 2 Tunnel Protocol,第二层隧道协议)是由IETF起草,微软、Ascend、Cisco、 3COM等公司参予制定的二层隧道协议,它结合了 PPTP和L2F两种二层隧道协议的优点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准,基于微软的点对点隧道协议(PPTP)和思科2 层转发协议(L2F)之上的,被一个鲆蛱赝服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。
2.3 IPSec协议简介 IPSec协议(Internet Protocol Security,网际协议安全)是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。
3 VPN技术在大的应用 3.1 VPN设计 江苏大集团有限公司(以下简称“大公司”) 局域网内部电脑通过核心交换机和交换机相连,然后通过一台Dlink DL-602B+路由器经过一条10 M 电信光纤与Internet连接。因为公司主要从事冶金机械设备的设计和研发,工作中需要对CAD图纸进行共享,所以有一台文件服务器来存储和共享电子图纸等资料。同时还有一台服务器作为打印服务器来方便各部门进行图纸的打印。财务部门有两台服务器来进行财务软件的运行和财务信息资料的管理。2010年大公司在溧阳天目湖开发区建设了制造基地,这对公司今后的发展和项目是极大的促进, 与此同时,网络建设也要适应公司的发展需要。虽然集团总部和溧阳公司都是使用电信宽带,但是电信专线价格比较高,而且不灵活,所以采用VPN是建立网络连接比较合适的方案。集团总部的服务器都是通过路由器与外网连接,所以通过配置VPN路由器来建立连接。溧阳公司通过拨号连接到路由器,这时客户端相当于集团总部内部局域网的一员,然后就可以像局域网内其他客户端一样访问数据服务器如图1。
3.2 VPN服务端配置大公司与溧阳公司之间的VPN通过配置 VPN路由器来实现,采用的是Dlink 602LB+路由器如图2支持PPTP,L2TP,IPsec三种VPN协议。其中IPsec协议在VPN中安全性最好,应用也很广泛,但是本路由器支持的IPsec协议建立的VPN是静态IP隧道,这就对宽带的要求有所提高,同时也增加了成本。而且隧道VPN是点对点式的,两端是图1 大集团与溧阳公司VPN网络设计 64现 代 冶 金第40卷 图2 Dlink 602LB+路由器界面固定的,虽然隧道的建立是临时的,但是对客户端的网络条件要求比较高,不能自由灵活的来访问集团服务器。 PPTP与L2TP建立的VPN连接类似,本着简单实用的原则,最后选择PPTP协议来配置VPN路由器。路由器与外网连接之后就可以进行VPN的配置了,首先进入高级配置的VPDN选项,选择启用 VPDN然后点击应用。在类型中将路由器设为拨入服务端(NS),选择协议为PPTP,将VPDN组名设置为1,本地隧道名为mtp。然后打开高级设置模板,首先要设置NS端口号建立虚拟拨号模板,其次设置 NS的IP和子网掩码,因为是将路由器作为拨入服务器,所以上面配置的IP地址是虚拟的IP,并不是真实存在的IP。将NS的IP设为1.1.1.1,子网掩码为255.255.255.0。然后就是设定认证,这是关乎 VPN隧道安全的部分,路由器上支持的认证方式有 CHAP和PAP两种