VPN網(wǎng)絡(luò)的設(shè)計(jì)與分析

王一竹

摘 要

分析了VPN技術(shù)的主要設(shè)計(jì)要求，包括原則性要求和功能性要求，并分析了IPSEC VPN與SSL VPN兩種組網(wǎng)方式的區(qū)別。

【關(guān)鍵詞】虛擬專(zhuān)用網(wǎng) VPN 設(shè)計(jì)原則

簡(jiǎn)單地說(shuō)，VPN即虛擬專(zhuān)用網(wǎng)絡(luò)，是通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。為了保證VPN網(wǎng)絡(luò)建設(shè)能夠滿(mǎn)足業(yè)務(wù)拓展需要，同時(shí)保證網(wǎng)絡(luò)的先進(jìn)性、實(shí)用性和未來(lái)可擴(kuò)展性，必須結(jié)合現(xiàn)有網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一規(guī)劃，并達(dá)到最好的投資保護(hù)，在VPN網(wǎng)絡(luò)設(shè)計(jì)原則中，應(yīng)堅(jiān)持原則性和功能性的建網(wǎng)原則。

1 VPN網(wǎng)絡(luò)的設(shè)計(jì)的原則性要求

1.1 總體規(guī)劃，分步實(shí)施的原則

VPN系統(tǒng)的設(shè)計(jì)需要統(tǒng)一的規(guī)劃，整個(gè)系統(tǒng)可以根據(jù)需要和可能分步實(shí)施。

1.2 安全性原則

VPN系統(tǒng)的設(shè)計(jì)首先必須確保自身的安全可信。

1.3 實(shí)用性原則

VPN系統(tǒng)的建設(shè)應(yīng)從透明性、友善性、有效性等幾個(gè)方面考慮實(shí)用性的設(shè)計(jì)，透明性是指安全機(jī)制的設(shè)置和運(yùn)行對(duì)于普通用戶(hù)應(yīng)盡量透明，使他感覺(jué)不到其存在。友善性是指對(duì)于包括安全管理中心在內(nèi)的所有需要進(jìn)行操作的人機(jī)界面應(yīng)做到安全、簡(jiǎn)捷、方便。有效性一方面是指安全機(jī)制的設(shè)置確實(shí)達(dá)到設(shè)計(jì)要求，另一方面是指增加安全機(jī)制以后新增加的系統(tǒng)開(kāi)銷(xiāo)所帶來(lái)的性能下降要在應(yīng)用系統(tǒng)運(yùn)行所能承受的范圍之內(nèi)。

1.4 接入透明性原則

VPN系統(tǒng)的設(shè)計(jì)應(yīng)該充分考慮已有的網(wǎng)絡(luò)結(jié)構(gòu)不應(yīng)該有大的變動(dòng)，充分利用現(xiàn)有的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備等各類(lèi)資源，并保持安全網(wǎng)絡(luò)環(huán)境與現(xiàn)有應(yīng)用信息系統(tǒng)的兼容性。

1.5 技術(shù)與管理密切結(jié)合的原則

任何安全系統(tǒng)的可靠運(yùn)行，必須有嚴(yán)格的管理，并把兩者密切結(jié)合起來(lái)。管理首先是管理人員，然后再通過(guò)被管理的人實(shí)現(xiàn)對(duì)VPN系統(tǒng)運(yùn)行的控制和管理。要有完備的規(guī)章制度和切實(shí)可行的操作規(guī)程來(lái)規(guī)范各類(lèi)人員的操作。

2 功能性要求

在VPN系統(tǒng)架設(shè)中，需要完善的身份認(rèn)證體系和可以對(duì)設(shè)備進(jìn)行集中管理的安全管理工具。為了加大VPN系統(tǒng)的安全性和可控性，客戶(hù)端軟件必須支持?jǐn)?shù)字證書(shū)與PC綁定功能。

2.1 組網(wǎng)方式的要求

在VPN系統(tǒng)應(yīng)用中，VPN系統(tǒng)應(yīng)該支持兩種組網(wǎng)方式：IPSEC VPN與SSL VPN。

IPSEC VPN主要應(yīng)用在各個(gè)接入口的內(nèi)部網(wǎng)時(shí)使用，因分支機(jī)構(gòu)通常比較固定，Site To Site VPN建議使用此種方式。

Remote To Site即移動(dòng)用戶(hù)與接入口建立VPN連接，主要用于大量移動(dòng)用戶(hù)及小的分支部門(mén)等用戶(hù)連接接入口的內(nèi)部網(wǎng)使用，建議采用SSL VPN方式連接。

2.2 組網(wǎng)靈活性要求

2.2.1 網(wǎng)絡(luò)接入方式的靈活性

VPN系統(tǒng)的邊緣硬件網(wǎng)關(guān)應(yīng)該支持：寬帶接入（ADSL/Cable Modem/Ethernet）和窄帶接入（PSTN Modem/ISDN Modem）。

VPN系統(tǒng)的邊緣客戶(hù)端軟件的接入支持：無(wú)線接入（GPRS/CDMA）、寬帶以及窄帶接入。

2.2.2 網(wǎng)絡(luò)部署模式的靈活性

支持多種路由協(xié)議：靜態(tài)路由、RIP、OSPF、BGP等路由協(xié)議，同時(shí)提供全面的NAT功能，滿(mǎn)足用戶(hù)Internet連接訪問(wèn)的需求。方便用戶(hù)在組建VPN系統(tǒng)的時(shí)候可以根據(jù)已有的網(wǎng)絡(luò)情況來(lái)選擇中心VPN系統(tǒng)的網(wǎng)絡(luò)部署。

2.2.3 VPN部署模式的靈活性

除了支持靜態(tài)的VPN隧道的部署模式，還必須支持動(dòng)態(tài)IP地址VPN網(wǎng)絡(luò)的組建，支持VPN隧道的NAT穿越，支持設(shè)備間動(dòng)態(tài)的建立和撤銷(xiāo)VPN隧道，以滿(mǎn)足VPN網(wǎng)絡(luò)不斷復(fù)雜的數(shù)據(jù)流通的需求。

2.3 協(xié)議標(biāo)準(zhǔn)要求

VPN系統(tǒng)的認(rèn)證必須支持PKI的各種標(biāo)準(zhǔn)規(guī)范，遵循X509V3，RSA PKCS系列，SSL等，提供了良好的開(kāi)放性和互操作性；支持標(biāo)準(zhǔn)的IPSec協(xié)議，支持網(wǎng)絡(luò)層的加密以及采用口令保護(hù)、身份認(rèn)證、權(quán)限設(shè)置、防火墻等措施，保證數(shù)據(jù)的保密性、完整性、真實(shí)性、抗重放性。

VPN設(shè)備必須全面支持L2TP、GRE、IPSec等多種模式的VPN協(xié)議，滿(mǎn)足多種模式VPN組網(wǎng)的需求，為VPN網(wǎng)絡(luò)提供足夠強(qiáng)的擴(kuò)展能力。

2.4 穩(wěn)定性要求

2.4.1 設(shè)備級(jí)的穩(wěn)定性

（1）設(shè)備的穩(wěn)定必須保證硬件平臺(tái)的穩(wěn)定性，VPN設(shè)備必須采用專(zhuān)用的網(wǎng)路設(shè)備硬件平臺(tái)，非通用工控機(jī)架構(gòu)，必須能夠提供模塊熱插拔、電源冗余、機(jī)箱溫度監(jiān)控等特性；

（2）設(shè)備的穩(wěn)定必須保證軟件平臺(tái)的穩(wěn)定性，必須采用完全自主研發(fā)的操作系統(tǒng)平臺(tái)，以保證整個(gè)軟件平臺(tái)的穩(wěn)定性和私密性；

2.4.2 系統(tǒng)級(jí)的穩(wěn)定性

為了保證整個(gè)系統(tǒng)的可靠性，必須提供完善的線路檢測(cè)功能，下級(jí)設(shè)備能夠自動(dòng)探測(cè)上級(jí)VPN設(shè)備以及連接線路的狀態(tài)，并且根據(jù)狀態(tài)自動(dòng)切換線路和設(shè)備，保證整個(gè)VPN網(wǎng)絡(luò)的可用性。

2.5 管理功能要求

集中管理服務(wù)器能夠提供完善的管理功能，它應(yīng)該能對(duì)多級(jí)VPN設(shè)備進(jìn)行統(tǒng)一的管理。發(fā)行管理員可以對(duì)VPN設(shè)備實(shí)現(xiàn)零配置的功能，在邊緣VPN設(shè)備啟動(dòng)時(shí)把集中管理服務(wù)器上登記的信息下載到密碼機(jī)上，實(shí)現(xiàn)了邊緣端VPN設(shè)備的無(wú)人管理。

VPN網(wǎng)絡(luò)必須具備完善管理解決方案，滿(mǎn)足用戶(hù)對(duì)VPN管理的特殊需求。

（1）管理解決方案必須能夠提供足夠靈活的部署能力，VPN網(wǎng)絡(luò)節(jié)點(diǎn)非常多，而且非常分散，尤其是很多小規(guī)模節(jié)點(diǎn)缺少具備足夠技術(shù)能力的技術(shù)人員，這種現(xiàn)狀決定了VPN網(wǎng)絡(luò)必須具備自動(dòng)部署能力，下級(jí)節(jié)點(diǎn)的VPN設(shè)備能夠自動(dòng)的從上級(jí)服務(wù)器上下載配置信息，并且完成設(shè)備的自動(dòng)配置，通過(guò)這種方式，可以實(shí)現(xiàn)VPN設(shè)備的遠(yuǎn)程自動(dòng)初始化配置，并且可以實(shí)現(xiàn)VPN設(shè)備遠(yuǎn)程配置的自動(dòng)更改，簡(jiǎn)化管理的復(fù)雜度。

（2）管理解決方案應(yīng)該是一種集成的解決方案，應(yīng)該能夠支持統(tǒng)一網(wǎng)絡(luò)管理平臺(tái)的管理，同時(shí)提供精細(xì)的業(yè)務(wù)管理能力，可以實(shí)現(xiàn)整個(gè)VPN網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)發(fā)現(xiàn)，遠(yuǎn)端設(shè)備的性能、流量等詳細(xì)監(jiān)控，保證對(duì)整個(gè)網(wǎng)絡(luò)有效管理。

2.6 操作簡(jiǎn)便性要求

VPN系統(tǒng)應(yīng)該提供良好的用戶(hù)操作界面，VPN設(shè)備的所有配置都可以通過(guò)web界面來(lái)完成。

邊緣端的VPN設(shè)備能夠自動(dòng)發(fā)起連接并建立安全通道。邊緣VPN設(shè)備后面的業(yè)務(wù)機(jī)能夠自動(dòng)獲取內(nèi)網(wǎng)IP地址。

客戶(hù)端軟件的撥號(hào)參數(shù)只需要配置一次，移動(dòng)用戶(hù)在每次撥號(hào)的時(shí)候沒(méi)有多余的設(shè)置步驟。

參考文獻(xiàn)

[1]韓希.VPN網(wǎng)絡(luò)技術(shù)分析與應(yīng)用設(shè)計(jì)[J].黑龍江冶金，2006（03）.

[2]呂承民.VPN網(wǎng)絡(luò)設(shè)計(jì)及性能分析[J].貴州師范大學(xué)學(xué)報(bào)，2014，32（01）：81-85.

[3]陳迎春.遠(yuǎn)程教學(xué)VPN網(wǎng)絡(luò)平臺(tái)餓安全分析和設(shè)計(jì)[B].中國(guó)教育信息化，2007（11）：72-73.

作者單位

四平市衛(wèi)生和計(jì)劃生育委員會(huì) 吉林省四平市 136000