【正文】 多，但 這些技術(shù)都遵循一條原則，即必須 保證 VPN 均 能 通過(guò)公網(wǎng)平臺(tái) 對(duì) 數(shù)據(jù)傳輸 且保證其 安全性。這就要求我們的 VPN 隧道 必須能夠支持 同時(shí) 滿足 2 以上這些信息的傳輸需求。 管理 柔性大 ： VPN 是一個(gè)使用方便，維護(hù)更加方便的網(wǎng)絡(luò)連接平臺(tái)， 由于其安全的網(wǎng)絡(luò)隧道通信技術(shù)，使其 在管理方面 容易適用總體設(shè)備的搭配。由于其管理上的柔和性，使其成為各行企業(yè)進(jìn)行網(wǎng)絡(luò)連接的不二之選。 對(duì)于一般用戶來(lái)說(shuō)， VPN 的商業(yè)價(jià)值有如下幾點(diǎn)： 1. 為用戶降低投資成本 企業(yè)分部要實(shí)現(xiàn)對(duì)總部的信息資源訪問(wèn)， 只需 先 向當(dāng)?shù)氐?服務(wù)供應(yīng)商（ ISP）申請(qǐng) 一個(gè)符合企業(yè)內(nèi)部 需求的 VPN 訪問(wèn) IP 地址 （ ISP 是通過(guò)向國(guó)際網(wǎng)絡(luò)組織先預(yù)先申請(qǐng)有相關(guān)條件的 IP 地址企業(yè)申請(qǐng)的是符合公司規(guī)格相對(duì)應(yīng)的）， 然后企業(yè)通過(guò) Inter 搭建網(wǎng)絡(luò)訪問(wèn)隧道，來(lái)實(shí)現(xiàn)其內(nèi)部網(wǎng)絡(luò)之間的互聯(lián)。這樣方便而便捷的連接方式，是企業(yè)節(jié)約了購(gòu)買大批設(shè)備的投資費(fèi)用。 VPN 在傳輸過(guò)程中 采用 了隧道加密技術(shù) ， 使通過(guò) Inter 隧道上傳輸 的用戶只 能夠粗略的觀察到企業(yè)外部網(wǎng)上的 虛擬 IP 地址， 而且還防止了 VPN 中傳輸?shù)?數(shù)據(jù)包 不被其他非授權(quán)用戶非法探測(cè)，然而真正的 IP 地址在密鑰的保護(hù)下，成功的、完整的實(shí)現(xiàn)了數(shù)據(jù)的安全傳輸。 在進(jìn)行用戶訪問(wèn)的時(shí)候， 用戶 會(huì)有不同的訪問(wèn)需求，這時(shí)用戶 可以 根據(jù)自己對(duì)帶寬的不同需求， 選擇本地服務(wù)供應(yīng) 商所提供的任何寬帶接入技術(shù)， 不論 在信息化 覆蓋面比較窄的小區(qū) 或 是專業(yè)的網(wǎng)絡(luò)辦公地區(qū)，只要 Inter 能夠 接入 ， VPN 3 都 支持 這些 網(wǎng)絡(luò)協(xié)議 訪問(wèn)。 VPN 可以說(shuō)是 現(xiàn)代 通信技術(shù)上的一個(gè)重大的 突破， 它 使得 信息資源 在 裸露 而又不安全的網(wǎng)絡(luò)中 ，通過(guò)搭建隔離虛化的隧道來(lái)保證其安全、完整的 。 從而使得 虛擬專用網(wǎng)（ VPN） 的商業(yè)價(jià)值 到了前所未有 的發(fā)展。 因此，為了其 在 公網(wǎng)上的 IP 被路由 能實(shí)現(xiàn) ，我們 一般 要用到 VPN 中的隧道技術(shù)。 其中 第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中， 然后 再把整個(gè)數(shù)據(jù)包封裝到隧道協(xié)議中。第二層隧道協(xié)議分別有L2F、 PPTP、 L2TP。第三層 主要是用來(lái)作為從網(wǎng)絡(luò)協(xié)議中 形成的數(shù)據(jù)包 傳輸 隧道。 1） PPTP 協(xié)議 ： PPTP 協(xié)議又稱 點(diǎn)對(duì)點(diǎn)隧道協(xié)議 ， 是 一種網(wǎng)絡(luò)協(xié)議 ，也 是VPN 的基礎(chǔ)， PPTP 支持通過(guò)公網(wǎng) 平臺(tái)搭建 多協(xié)議的 、需求 的虛擬專用網(wǎng)絡(luò)（ VPN） 。 PPTP 最大的作用是，在 連接 的時(shí)候 只需要 對(duì)之前設(shè)置的 PPTP 的身份驗(yàn)證協(xié)議進(jìn)行身份驗(yàn)證 登陸 就可以了 。 4 3） L2TP 協(xié)議 ：目前 L2TP 協(xié)議是 IETE 協(xié)議唯一 的標(biāo)準(zhǔn)， 是 IETE 協(xié)議通過(guò) 融合 PPTP 協(xié)議 與 L2F 協(xié)議而形成 的 ，它結(jié)合 了 L2F 協(xié)議 與 PPTP 協(xié)議在運(yùn)用上的一些 優(yōu)點(diǎn)， 基本上 能實(shí)現(xiàn) L2F 協(xié)議 與 PPTP 協(xié)議在運(yùn)用上 能實(shí)現(xiàn)的 和可以實(shí)現(xiàn)的 所有功能，并且 使用起來(lái)比之 更加 的 靈活 多變和 強(qiáng)大 可靠。 AH 是 用于 在 通信雙方驗(yàn)證數(shù)據(jù)傳輸 的 過(guò)程中是否被更改 以及 驗(yàn)證發(fā)送方的身份。 ISAKMP 則是 用于通信雙方協(xié)商加密的 密鑰和加密算法，并且用戶的公鑰和私鑰 都 是由 共同 信任的第三方產(chǎn)生， IP Sec協(xié)議 上的 L2TP 連接不僅需要相同用戶級(jí)別身份驗(yàn)證，而且還 必須 需要使用計(jì)算機(jī)憑據(jù)進(jìn)行計(jì)算機(jī)級(jí)別身份驗(yàn)證 [8]。 與 PPTP 相比， L2TP 能夠提供差錯(cuò)和流量 的 監(jiān)控，兩者共 同 的缺點(diǎn)：認(rèn)證的 都 只是終端的實(shí)體， 采取 密鑰對(duì)信息流進(jìn)行認(rèn)證， 而 對(duì)于地址欺騙和非法復(fù)制包 卻 難以防范； 又 由于缺乏認(rèn)證信息，如果向通道發(fā)送 了 一些錯(cuò)誤 的 信息，則 有可能導(dǎo)致服務(wù)的關(guān)閉，這也 是成為 常用的攻擊手段 [9]。 如果 IP Sec 結(jié)合多種安全技術(shù)， 就可以 建立了一個(gè)可靠的隧道，這些 隧道 技術(shù)包括 DiffieHellman 密鑰交換技術(shù)， DES、 RC IDEA 等 數(shù)據(jù)加密技術(shù)。 IP Sec 還可以和 L2TP、 GRE 等其他隧道一起使用，提供 更大的靈活性和 可用性 。 5 3 VPN 的方案分類 VPN 共有三個(gè) 方案分類 ，用戶在運(yùn)用的時(shí)候可以根據(jù)自己的實(shí)際情況進(jìn)行不同的選擇。 企業(yè)內(nèi)部虛擬網(wǎng)（ Inter VPN） 由于 Inter VPN 的特殊性， Inter VPN 是解決 企業(yè) 在外出差人員對(duì)總部的訪問(wèn)以及各 部對(duì)總部 的 信息訪問(wèn)最 好的 方法 。 其主要的運(yùn)行功能是 利用Inter 上 的 專用 線路 來(lái) 保證網(wǎng)絡(luò) 之間 的互聯(lián)性， 又 利用 VPN 中的一些 隧道 協(xié)議和 加密特性 來(lái) 保證信息在整個(gè) Inter VPN 上 的 安全傳輸。如圖 1 所示 ： 圖 1 Inter VPN 結(jié)構(gòu)圖 企業(yè)擴(kuò)展虛擬網(wǎng)（ Extra VPN） 在這個(gè) 經(jīng)濟(jì)日益發(fā)展，科技日益創(chuàng)新的通信 時(shí)代， 對(duì)傳輸中 信息的 安全、完整 越來(lái)越 受 各個(gè)企業(yè) 的 關(guān)注與重視 。 因?yàn)?Extra VPN 運(yùn)用 各種方式 去 了解客戶 的不同需求 ，從而能判斷出 客戶 需要實(shí)現(xiàn)的是那些功能。但是 如何利用 Inter 進(jìn)行有效的信息管理， 則 是企業(yè)發(fā)展中一個(gè)不可避免的關(guān)鍵 性 問(wèn)題。如圖 2 所示： 圖 2 Extra VPN 結(jié)構(gòu)圖 遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（ Access VPN） Access VPN 是 指遠(yuǎn)程辦公 用戶 可以 隨時(shí)隨地以其所 需要 的方式訪問(wèn)企業(yè) 的內(nèi)部 資源， 并且總部也 能夠安全的連接 到 移動(dòng)用戶，遠(yuǎn)程工作者或分支機(jī)構(gòu)。 Access VPN 是用戶可以不受地域、時(shí)間、空間的限制而自由的進(jìn)行企業(yè)內(nèi)部信息資源的訪問(wèn)。如圖 3 所示 7 圖三 Access VPN 結(jié)構(gòu)圖 4 VPN 技術(shù)在實(shí)際 企業(yè) 中的運(yùn)用 VPN 在實(shí)際企業(yè)中的 實(shí) 現(xiàn)方案設(shè)計(jì) 有 很多種， 企業(yè)可以根據(jù) 實(shí)際 的應(yīng)用 需求， 使 用戶資源 能在安全、快捷的 現(xiàn)狀下進(jìn)行 訪問(wèn)和共享 ， 能 最大程度滿足用戶的實(shí)際 需求 。 應(yīng)用需求分析 在經(jīng)濟(jì)不斷發(fā)展的今天， 人們的經(jīng)濟(jì)來(lái)源越來(lái)越多樣化。企業(yè)關(guān)注的是，依托互聯(lián)網(wǎng)，能實(shí)現(xiàn)企業(yè)總部。企業(yè)的具體需求如下： 要 實(shí)現(xiàn)企業(yè)總部與各分部的訪問(wèn) 設(shè)備環(huán)境 ， VPN 通過(guò) 聯(lián)機(jī) 搭建 基于路由器的 Inter VPN 連接協(xié)定， 來(lái)解決 用戶在網(wǎng)絡(luò)連接過(guò)程中 網(wǎng)速因被 病毒入侵、黑客攻擊而受影響 ， 確保數(shù)據(jù) 的 快捷、 安全 的 傳輸 。 網(wǎng)絡(luò)結(jié)構(gòu)與功能描述 網(wǎng)絡(luò)結(jié)構(gòu)：為了使企業(yè)各個(gè)分部與總部的安全互連 ,需要在總部及各分部出口處部署專業(yè) VPN 網(wǎng)關(guān)?？偛?VPN 網(wǎng)關(guān)需要匯聚企業(yè)下的所有分部 ,所以在實(shí)際部署時(shí)要考慮網(wǎng)絡(luò)帶寬方面的資源足夠。 8 不同的網(wǎng)絡(luò)安全邊界應(yīng)該通過(guò)部署安全網(wǎng)關(guān)設(shè)備來(lái)實(shí)現(xiàn)各安全域之間的邏輯隔離和訪問(wèn)控制。同時(shí) ,要求該系統(tǒng)能提供硬件防毒墻的功能 ,對(duì)通 Interne 和VPN 的進(jìn)入企業(yè)內(nèi)部的郵件、信息等進(jìn)行掃描和殺毒 ,防止病毒感染。 可以滿足公司的出差人員與總部、分公司之間的信息交流需求。 VPN 網(wǎng)絡(luò)通過(guò)設(shè)備技術(shù)策略對(duì)訪問(wèn)的 PC 進(jìn)行嚴(yán)格的訪問(wèn)監(jiān)控機(jī)制。虛擬專用網(wǎng)（ VPN）還具有控制和限制安全機(jī)制和措施，具備防火墻和抗攻擊等功能。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 使用路由器作為 VPN 接入設(shè)備的網(wǎng)絡(luò)連接，目前，使用安全設(shè)備作為局域網(wǎng) Inter 接入設(shè)備已經(jīng)成為企業(yè)網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展中最常用的連接方式之一，路由器能提供接入設(shè)備功能，但是路由器不能同時(shí)接入 VPN 防護(hù) 設(shè)備和 Inter 連接 設(shè)備，所以需要在網(wǎng)絡(luò) 出口的 邊緣 處 部署分別用于 Inter 接入的 安全設(shè)備服務(wù)器 ，或者 只 使用路由器作為 VPN 防護(hù)接 入和 Inter 連接 接入 其中之一的 設(shè)備。 Inter VPN 為 企業(yè) 提供總部 與 各分部和 外地出差 員工 訪問(wèn) 連接的機(jī)會(huì)。 ISA 服務(wù)器 為企業(yè) 提供了多 層次的 企業(yè) 安全防護(hù)功能 ，來(lái)幫助 企業(yè)內(nèi)部 網(wǎng)絡(luò) 信息 資源在共享時(shí)受到病毒 的入侵 、黑客的攻擊以及未經(jīng)授權(quán)用戶的 非法 訪問(wèn)。 用做總部訪問(wèn) 的 VPN 服務(wù)器的外部接口 IP 地址為 ，內(nèi)部接口的 IP 地址為 ，分部 VPN 服務(wù)器的外部接口 IP 地址為， 內(nèi)部接口的 IP 地址為 。其主要設(shè)計(jì)圖形如下圖 4 所示： 圖 4 vpn 組建 方案網(wǎng)絡(luò)拓?fù)鋱D IP 地址規(guī)劃與劃分 要實(shí)現(xiàn)網(wǎng)絡(luò)信息的 安全、快捷 訪問(wèn)， IP 地址的合理規(guī)劃很 必要。所以， IP 地址規(guī)劃必須遵循以下原則： 唯一性原則：一個(gè) IP 地址 網(wǎng)絡(luò)中不 允許 有兩個(gè)主機(jī) 同時(shí) 采用 兩個(gè) 相同的IP 地址 ，這樣會(huì)使其地址在跳轉(zhuǎn)過(guò)程中出現(xiàn)差錯(cuò) ； 連續(xù)性原則：連續(xù)的地址可以縮減路由表，提高路由算法的效率； 擴(kuò)展性原則： 在進(jìn)行網(wǎng)絡(luò)互連的時(shí)候 要有足夠的空間來(lái)保證在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)地址疊合 之后所占用的大量空間地址 ； 實(shí)意性原則：使其能 達(dá)到舉一反三 的效果，當(dāng) 看到 其中 一個(gè)地址 時(shí)，可以根據(jù)這個(gè)地址的一些特性 大致判斷出該地址所屬的設(shè)備 類型 及其實(shí)際 的 含義。內(nèi)部網(wǎng)絡(luò)均設(shè)置為私有 IP 地址，具體的 IP 地址劃分如下： 10 企業(yè) 總部 外部網(wǎng)絡(luò) IP： IP： 內(nèi)部網(wǎng)絡(luò) IP ： 分部 外部網(wǎng)絡(luò)： IP： 內(nèi)部網(wǎng)絡(luò) IP： 遠(yuǎn)程 PPTP VPN 用戶地址范圍 IP： 利用 Inter VPN 實(shí)現(xiàn)分部對(duì)總部的訪問(wèn) Inter VPN 技術(shù)的規(guī)劃與設(shè)計(jì) 利用 VPN 特性可以在 Inter 上 組建世界范圍內(nèi)的 Inter VPN。 邊界網(wǎng)關(guān)路由器主要有三個(gè)方面的作用： 通過(guò)在總部和分部路由器上配置 VPN，在互聯(lián)網(wǎng)上建立一條邏輯專線，連接總部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)，使得分部網(wǎng)絡(luò)邏輯上成為總部網(wǎng)絡(luò)的一個(gè)內(nèi)部子網(wǎng)，從而實(shí)現(xiàn)分部網(wǎng)絡(luò)快速、安全訪問(wèn)總部網(wǎng)絡(luò)資源。 實(shí)施帶寬管理策略，即充分保障各分部和外地出差人員對(duì)總部公網(wǎng)訪問(wèn)的公平性。 所以 在實(shí)施的過(guò)程 中，采用在 總部和 各 分部之間 搭建 一個(gè)基于 路由器 的 11 Inter VPN 連接。 VPN 主要規(guī)劃 如下圖 5 所示 ： 圖 5 VPN 規(guī)劃圖 實(shí)現(xiàn)配置與調(diào)試 企業(yè)總部網(wǎng)絡(luò)和分部網(wǎng)絡(luò)分別通過(guò)邊界網(wǎng)關(guān) 路由器 與 Inter 相連 ， 通過(guò)在這 兩臺(tái)路由器之間使用 GRE VPN 建立隧道實(shí)現(xiàn)互聯(lián)。 總部端路由器的配置 結(jié)合實(shí)際網(wǎng)絡(luò)環(huán)境，主要配置如下： interface GigabitEther 0/1 //進(jìn)入路由器的外網(wǎng)接口 ip nat outside //設(shè)置接口為共享連接 Inter 接入口 ip accessgroup 100 in ip address //配置接口 IP 地址和子 網(wǎng) 掩碼 flowpolicy Gi0/1 duplex auto speed auto description to_Inter Tunnel checksum //設(shè)置 Tunnel 校驗(yàn) Tunnel key ZJC //設(shè)置 Tunnel 接口的密鑰 12 interface GigabitEther 0/2 //進(jìn)入路由器的內(nèi)網(wǎng)接口 ip address //配置接口 IP 地址和 子 網(wǎng) 掩碼 duplex auto speed auto interface Tunnel 1 ip nat outside //設(shè)置接口為共享連接 Inter 接入口 ip accessgroup 110 in ip address //隧道接口地址 tunnel source //隧道本地接口 IP 地址（公網(wǎng)） tunnel destination //隧道遠(yuǎn)端接口 IP 地址（公網(wǎng)） ip route //缺省路由 ip route //指向內(nèi)網(wǎng)的靜態(tài)路由 ip route Tunnel 1 //指向分部?jī)?nèi)網(wǎng)的靜態(tài)路由 分部端路由器的配置 由于分部與總部的邊界網(wǎng)關(guān)路由器的作用基本一樣，配置也基本相似 。 根據(jù)該公司的運(yùn)營(yíng)模式和發(fā)展情況，遵循著方便實(shí)惠、安全可靠、高效率低成本、網(wǎng)絡(luò)架構(gòu)彈性大等原則決定采用虛擬專用網(wǎng)（ VPN）安全實(shí)施方案，以Windows ISA Server 作為 Access VPN 技術(shù)平臺(tái) ， Windows ISA Server 集成了 14 Access VPN ,提供一個(gè)