浅谈VPN技术应用

摘要:随着计算机技术的飞速发展和计算机网络的大面积普及,企业信息化建设也在逐步深入,越来越多的企业都在逐步依靠计算机网络、应用系统来开展业务和更多的业务活动。本文详细阐述了VPN技术在天脊集团企业信息化建设中的实施。

关键词:VPN;信息化;防火墙

1 VPN技术应用背景

天脊煤化工集团有限公司从2003年进入了信息化建设的发展阶段,在浙江中控软件技术有限公司、山西省信息工程设计院等单位共同合作下建立起了“天脊集团综合信息管理自动化系统”。该自动化系统包括领导查询分系统、生产管理分系统、人力资源管理分系统、备品备件管理分系统、物资供应资源分系统、销售管理分系统等。随着信息化建设的不断深入,业务流程渐渐规范化,各种分系统也在不断完善,分布在全国各地的分公司和子公司相应业务也要纳入到“天脊集团综合信息管理自动化系统”中来。为此,集团公司决定由信息管理中心组织并实施VPN技术。

2 VPN技术在天脊集团企业信息化建设中的具体实施

(1) VPN的选型

用于企业内部自建VPN的主要有两种技术――IPSec VPN和SSL VPN。

IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。

目前,天脊集团主干网络设备为CISCO的产品,路由器和防火墙均提供实现VPN的功能。综合评比在防火墙上实现VPN功能更适合,且不改变网络结构、不增加任何硬件投资下实现VPN功能,而在路由器上实现VPN还需购买相关VPN模块。根据天脊集团具体的业务需要和现有的网络状况,天脊集团选择了CISCO的IPSec VPN方案。

(2) 网络架构

在项目的实施中,利用Cisco PIX 515防火墙提供的VPN功能来构建虚拟专用网。Cisco PIX 515 Firewall提供基于IPSec标准的VPN功能。借助IPSec,当数据在公共网上传输时,用户无需担心数据会被查看、篡改或欺诈。借助IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设备(对等物)之间的IP包。

(3) 详细配置信息

防火墙配置:

access-list 100 permit 172.16.5.0 255.

255.255.0 172.16.2.0 255.255.255.0

ip local pool vpnpool 192.168.1.1-192.

168.1.254

global(outside) 1 interface

nat(inside) 0 access-list 100

conduit permit tcp host 172.16.3.10 any

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-

des esp-md5-hmac

crypto dynamic-map dynmap 10 set tra

nsform-set myset

crypto map vpn 10 ipset-isakmp dynamic dynmap

crypto map vpn 20 ipsec-isakmp

crypto map vpn client configuration address initiate

crypto map vpn client configuration address respond

crypto map vpn interface outside

isakmp enable outside

isakmp key ******* address 0.0.0.0 netmask 0.0.0.0

isakmp identity address

isakmp policy 10 authentication pre-sha

re

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

vpngroup vpn3000 address-pool vpnpool

vpngroupvpn3000dns-server 172.16.

2.11

vpngroup vpn3000 split-tunnel 100

vpngroup vpn3000 idle-time 1800

vpngroup vpn3000 password ********

isakmp client configuration address-

poollocal vpnpool outside

路由器配置:

route inside 172.16.2.16 255.255.255.0 172.16.3.10 1

VPN客户端要求:

在集团公司分公司和子公司内要求使用和信息管理中心一致的宽带接入服务,使用Microsoft Windows2000以上操作系统;使用Cisco VPN Client v4.8远程连接控制工具;相关人员必须接受VPN客户端使用相关知识学习,达到独立解决VPN客户端问题的能力。

(4) VPN技术实施效果评价

降低费用。远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。

安全性得到了增强。VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,并对数据进行加密处理。对于企业内部的数据,可以通过VPN使企业Intranet上拥有适当权限的用户才能通过远程访问建立与服务器的连接,并且可以访问业务部门网络中受到保护的资源。

3 总结

VPN技术是一种高速、可靠、安全、廉价的远程网络互联方案,旨在公网上实现私有网络连接的技术,它充分利用了现有的网络资源,为企业提供一种经济、高效、灵活和安全的联网方式。VPN技术的应用降低了网络的运营成本,提高了资源利用效率,具有明显的应用价值。随着企业信息化进程的加快,VPN技术将会发挥更大的优势,具有更广阔的发展和应用前景。