VPN技术在局域网中的应用

【摘要】在当前世界经济全球化的条件下，企业规模不断扩大，分支机构越来越多，客户也日益增多，在这种情况下，基于固定物理地点的传统企业网的那种专线连接方式已不能满足现代企业的需要。而VPN技术通过在公有网络上建立虚拟的专有通道，不但降低了企业成本，而且部署方便，管理简单，数据传输安全性能高，在现代企业中得到了广泛应用。本文通过对VPN关键技术和主要协议的研究，提出了在现代企业网络中如何组建及具体配置问题。

【关键词】VPN 隧道技术 L2TP IPsec

伴随着网络经济的不断发展和经济全球化的环境下，现代化企业越来越多的需要利用网络资源进行各种商务活动，VPN技术有着广泛的应用前景。研究VPN技术对营造安全的网络环境具有深刻意义。

一、VPN概述

（一）VPN的定义

VPN的英文全称是Virtual Private Network，中文翻译过来就是虚拟专用网。指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公有网络中建立专用的数据通信网络。所谓虚拟，是指用户不再需要真正的去铺设实际的物理线路，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所谓专用网络，是指用户可以按照自己的实际需求建立一条专有的通讯线路，就好比是架设了一条专线一样。在企业运行中，不用支付线路费用，也不用购买路由器等硬件设备。所付出的仅仅是购买VPN设备，向企业所在地的ISP支付一定的上网费用，这就是为什么VPN节省成本的原因。

（二）VPN的工作原理

虚拟专用网络的基本用途有两个，首先是保证通过Internet能够实现远程用户的相互连接。在企业中，公司内部员工可以和各分支办事处，商业合作伙伴，远程用户之间相互访问。其次是如何保证在通过公共互联网络远程访问企业资源的安全性。例如企业中的一些重要的商业机密信息是不能泄露的。VPN用户对数据的安全性都比较关心，目前VPN主要采用隧道技术来保证安全。类似于点对点的连接技术，它是在公共网络上建立一条数据通道称隧道，让数据包通过这条隧道传输。即首先对数据包进行加密，而不是公开的在网上传输，然后由VPN封装成IP包的形式，通过隧道在网上传输。

创建隧道的过程类似于在两个人之间建立会话的过程，首先隧道的两个端点必须同意创建隧道并对加密方案达成一致，协商隧道的各种配置，如地址分配或压缩等参数。然后发送端将数据包加密并封装成IP包，接收端收到后对数据包进行解密，发给远程接入服务器或本地路由器。

二、实现VPN的主要技术

目前VPN主要采用隧道技术（Tunneling）、加密解密技术（Encryption & Decryption）、密钥管理技术（Key Management）及使用者与设备身份认证技术（Authentication）这四项技术来保证安全。

（一）隧道技术

隧道技术主要解决了公用网与专用网的兼容问题，隐藏发送者、接受者的IP地址以及一些其它协议信息。向用户提供了端到端的、安全的连接服务。

隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议如IP封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层（数据链路层）协议进行传输。第二层隧道协议主要有L2F、PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层（网络层）协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）即IP安全协议定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

（二）加解密技术

加解密技术是数据通信中一项比较成熟的技术，即在数据传输之前，发送方利用算法对数据进行加密，加密后的数据我们称为密文，接收方收到密文后，利用同样的算法进行解密，以还原成相应的明文。以保证数据在传输过程中不会被其它非法用户窃取或篡改。VPN可直接利用现有的加解密技术。

（三）密钥管理技术

密钥管理的主要任务是如何保证在公用数据网上安全地传递密钥而不被窃取。现行密钥管理协议又分为ISAKMP和SKIP两种。在密钥管理协议ISAKMP中，双方都有两把密钥，即公有密钥和私有密钥。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥。

三、VPN网络安全

安全问题是VPN的核心问题。虽然隧道技术、加密协议和安全密钥可以实现企业员工安全地访问公司网络。但是，如果一个企业的VPN需要扩展到远程访问时，那些利用没有安装防火墙的个人计算机直接访问公司网络的连接就构成了公司安全防御系统中的弱点。移动工作的员工虽然提高了工作效率，但确是一种极大的安全威胁，因为公司使用的大多数安全软件并没有为个人计算机提供保护。一些员工所做的仅仅是进入一台私人用计算机，跟随它通过一条授权的连接进入公司网络系统。并经常接触到财务账目信息、工作计划以及工程项目等企业核心内容，这些都将会是黑客，竞争对手以及商业间谍提攻击的主要目标。

在家办公人员往往通过拨号连接连网，这种方式IP地址是固定分配的，黑客入侵相对容易，一旦入侵了，他便能够远程运行员工的VPN客户端软件。因此必须堵住远程访问VPN的安全漏洞。解决方案如下：

（1）在个人计算机上安装个人防火墙。

（2）所有远程工作人员必须被批准使用VPN；

（3）监控安装在远端系统中的软件，并将其限制只能在工作中使用；

（4）外出工作人员应对敏感文件进行加密；

（5）在总部上建立此远程站点的访问规则

（6）所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录；

参考文献：

[1]王春海.VPN网络组建案例实录[M]，科学出版社，2011.