1.VPN技術概況

　　1.1.VPN的定義

　　虛擬專用網(wǎng)（VPN）是一種以公用網(wǎng)絡為基礎，綜合運用隧道封裝、認證、加密、訪問控制等多種網(wǎng)絡安全技術，為礦山企業(yè)總部、分支企業(yè)機構、合作伙伴及遠程和移動辦公人員提供安全的網(wǎng)絡互通和資源共享的技術，并包括和該技術相關的多種安全管理機制。VPN的主要目標是建立一種靈活、低成本、可擴展的網(wǎng)絡互連手段，以替代傳統(tǒng)的長途專線連接和遠程撥號連接，同時VPN也是一種實現(xiàn)企業(yè)內(nèi)部網(wǎng)安全隔離的有效方式。VPN技術解決的主要問題概括起來就是：實現(xiàn)低成本的互通和安全。

　　1.2.企業(yè)網(wǎng)絡互連的基本安全要素

　　網(wǎng)絡信息系統(tǒng)是由人參與的信息系統(tǒng)，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術手段得以有效發(fā)揮的基礎。虛擬專用網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，該通道應具備以下的幾個基本安全要素 。

　　1、保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權的，要有抵抗地址假冒（IP Spoofing）的能力。

　　2、保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子篡改數(shù)據(jù)的能力。

　　3、保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。

　　4、提供動態(tài)密鑰交換功能和集中安全管理服務。

　　提供安全防護措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡的能力，并且可以對VPN通道進行訪問控制。

　　2.VPN技術基礎 

　　為企業(yè)實現(xiàn)一個完整的VPN的主要基礎技術包括隧道技術、密碼技術和網(wǎng)絡訪問控制技術。隧道技術是將各種企業(yè)內(nèi)部數(shù)據(jù)包通過公網(wǎng)傳輸；密碼技術用于加密隱蔽企業(yè)內(nèi)部傳輸信息、認證用戶身份、抗否認等；網(wǎng)絡訪問控制技術用于對系統(tǒng)進行安全保護，抵抗各種外來攻擊。

　　2.1.隧道技術

　　企業(yè)內(nèi)部網(wǎng)絡使用的多為私有IP地址，從企業(yè)內(nèi)部地址發(fā)出的數(shù)據(jù)包是不能直接通過Internet傳輸?shù)�，而必須以合法的公網(wǎng)IP地址代替。企業(yè)內(nèi)部數(shù)據(jù)包必須經(jīng)過地址轉換后才能傳輸，數(shù)據(jù)包封裝就是地址轉換方式中的一種。在VPN技術中，就采用了數(shù)據(jù)包封裝技術。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點，在發(fā)送節(jié)點將原數(shù)據(jù)包打包，添加合法的外層IP包頭，數(shù)據(jù)包通過公網(wǎng)被傳送到接收端的VPN節(jié)點，該節(jié)點接收后進行拆包處理，還原出原報文后傳送給目標主機。

　　2.2.密碼技術

　　數(shù)據(jù)加密作為一項實現(xiàn)網(wǎng)絡安全的技術，已經(jīng)成為所有通信數(shù)據(jù)安全的基石。加密的網(wǎng)絡不但可以防止非授權用戶的搭線竊聽和入網(wǎng)，還可以有效防止惡意軟件的入侵。這使得加密網(wǎng)絡以較小的代價提供較強的安全保護。 數(shù)據(jù)加密過程是由加密算法來實現(xiàn)。

　　加密算法分為對稱密碼算法和非對稱密碼算法。對稱密碼算法的優(yōu)點是有很強的保密強度和較快的運算速度，但其密鑰必須通過安全的途徑傳送。非對稱密鑰（公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同，而且無法從加密密鑰推導出解密密鑰。非對稱密碼算法加密速度慢，不適宜直接對實時的、大量的數(shù)據(jù)加密。在IPSec實現(xiàn)中，非對稱算法（證書）用于自動協(xié)商隧道密鑰（對稱密鑰），從而可大大簡化密鑰的管理工作。

　　2.3.網(wǎng)絡訪問控制技術

　　網(wǎng)絡訪問控制技術對跨地域企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)包進行過濾，即傳統(tǒng)的防火墻功能。由于防火墻和VPN在網(wǎng)絡中的位置基本相同，其功能具有很強的互補性，因此一個完整的VPN網(wǎng)絡應同時提供完善的網(wǎng)絡訪問控制功能，這可以在系統(tǒng)的安全性、性能及統(tǒng)一管理上帶來一系列的好處。

　　3.VPN技術實現(xiàn)礦山企業(yè)內(nèi)部互連互通的案例

　　某公司2008年組建成立，是以鐵礦石采選加工為主業(yè)，輔以有色金屬、礦建、礦機、火工品制造、現(xiàn)代物流等產(chǎn)業(yè)的國有大型冶金礦山企業(yè)。鐵礦石資源掌控量已達50億噸。該公司直屬子公司、礦山企業(yè)23個，分布在河北省的6個城市及內(nèi)蒙古自治區(qū)。

　　該公司在建立之初面臨的急需解決的問題是對分散在河北省及內(nèi)蒙古的分支機構實現(xiàn)實時管控：實時了解各個分支機構的主要設備運行情況；公司領導每天召開全公司范圍內(nèi)的視頻會議，避免由于地理距離遠而不能及時準確了解各個分支機構的生產(chǎn)情況；在分布零散的礦山企業(yè)中實現(xiàn)各種信息化管控手段；使生產(chǎn)經(jīng)營數(shù)據(jù)在分支機構和總部之間能夠安全、可靠、準確地傳輸。經(jīng)過研究分析，最終該公司引入了VPN技術實現(xiàn)了全公司范圍內(nèi)網(wǎng)絡的互連互通。

　�。ㄔ摴�司對分散在河北省及內(nèi)蒙古的分、子公司實現(xiàn)實時管控。實時了解各個分、子公司的主要設備運行情況；由于距離較遠，每天召開全公司范圍內(nèi)的會議，使公司領導能夠及時準確了解各個分支公司的生產(chǎn)情況；各種信息化管控手段在分布零散的礦山企業(yè)中實現(xiàn)；生產(chǎn)經(jīng)營數(shù)據(jù)的在分支公司和總部之間的安全可靠準確的傳輸，是該公司在建立之初急需解決的問題。最終該公司引入了VPN技術實現(xiàn)了全公司范圍內(nèi)網(wǎng)絡的互連互通。）

　　3.1.VPN技術實現(xiàn)企業(yè)網(wǎng)絡的互連互通

　　該公司經(jīng)過慎重考慮，為公司總部以及各個分支結構引入了VPN防火墻和固定IP的光纖出口，使用IPSec隧道技術建立了總部和分支機構的網(wǎng)絡通訊。

　　IPSec由IP認證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security PaylOAd)和密鑰管理協(xié)議組成。通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃�、私有性和保密性�?/P>

　　IPSec協(xié)議提供對所有在網(wǎng)絡層上的數(shù)據(jù)的保護，提供透明的安全通信。IPSec協(xié)議在隧道模式下，把IPv4數(shù)據(jù)包封裝在安全的IP幀中，這樣保護數(shù)據(jù)從一個防火墻到另一個防火墻時的安全性，同時不會隱藏路由信息來保護端到端的安全性。

圖1 公司總部與分支機構之間網(wǎng)絡拓撲圖
 

　　1、企業(yè)IPSec隧道配置過程

　　登陸VPN防火墻，配置網(wǎng)絡接口的地址和NAT。對于建立隧道的NAT，在配置中設置為允許通過。配置遠程VPN（即將分支機構的ip配置在此處），配置參數(shù)如下：

　　遠程VPN名稱和對方分支機構的IP；

　　數(shù)據(jù)加密： 3DES-CBC 168-bit 加密；

　　數(shù)據(jù)完整性保護： MD5-HMAC 128-bit算法；

　　密鑰管理：手動密鑰管理；

　　驗證管理：共享密鑰，建立內(nèi)部的共享密鑰；

    類型：網(wǎng)關。

　　網(wǎng)關隧道配置參數(shù)如下：

    隧道名稱；

    本地保護子網(wǎng)和掩碼以及對端保護子網(wǎng)及掩碼；

　　數(shù)據(jù)包認證模式：ESP；

　　其余參數(shù)配置和遠程VPN配置相同。

　　2、隧道技術的實現(xiàn)過程

圖2 隧道示意圖

　　如果分支機構終端B需要訪問公司總部的終端A，其發(fā)出的訪問數(shù)據(jù)包的目標地址為終端A的IP（內(nèi)部IP）；

　　公司總部的VPN 網(wǎng)關在接收到終端B發(fā)出的訪問數(shù)據(jù)包時對其目標地址進行檢查，如果目標地址屬于公司總部的地址，則將該數(shù)據(jù)包進行封裝，VPN網(wǎng)關會再構造一個新的數(shù)據(jù)包（VPN數(shù)據(jù)包），并將封裝后的原數(shù)據(jù)包作VPN數(shù)據(jù)包的負載，VPN數(shù)據(jù)包的目標地址為公司總部的VPN網(wǎng)關的外部地址；

　　分支機構的VPN網(wǎng)關將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標地址是公司總部的VPN網(wǎng)關外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)關；

　　公司總部的VPN網(wǎng)關對接收到的數(shù)據(jù)包進行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是分支機構的VPN網(wǎng)關發(fā)出的，即判斷該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對數(shù)據(jù)包進行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將負載通過VPN技術反向處理還原成原始數(shù)據(jù)包；

　　公司總部的VPN網(wǎng)關將還原以后的原始數(shù)據(jù)包發(fā)送至目標終端，由于原始數(shù)據(jù)包的目標地址是終端A的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送端A。

　　從終端A返回終端B的數(shù)據(jù)包處理過程與上述過程一樣，這樣兩個網(wǎng)絡內(nèi)的終端就可以相互通訊了。

　　3.2.VPN技術實現(xiàn)異地接入公司內(nèi)網(wǎng)

　　上面講述了VPN技術實現(xiàn)公司總部和各個分支機構實現(xiàn)網(wǎng)絡互連的過程。而對于經(jīng)常出差的領導、員工想異地接入公司內(nèi)網(wǎng)，批閱、查看公司內(nèi)網(wǎng)文件的需求，卻是無法滿足。這就需要VPN技術中的PPTP協(xié)議。配置過程如下：登陸VPN防火墻，找到VPN連接中L2TP/PPTP參數(shù)配置。配置參數(shù)如下：

　　啟動L2TP/PPTP，并設置撥入后獲取地址的范圍；

　　128-bit client and server；

　　PAP/CHAP/MS CHAPv2 驗證；

　　MPPE (RC4) 加密；

　　為經(jīng)常出差的辦公人員設置撥號用戶和密碼；

　　為需要遠程撥入的用戶設置終端的網(wǎng)絡連接。

　　辦公人員在外地出差需要接入公司內(nèi)部網(wǎng)絡時，只需要點擊建立的網(wǎng)絡連接快捷方式，輸入用戶名和密碼即可撥入公司內(nèi)網(wǎng)。

　　4.案例效果分析

　　使用VPN技術解決了跨地域礦山企業(yè)內(nèi)網(wǎng)互連問題，為企業(yè)員工實現(xiàn)了同網(wǎng)辦公的需求。本段將重點分析VPN技術帶來的實際效果。

　　1、使用VPN技術可降低成本�，F(xiàn)代礦山企業(yè)對分散礦山的所有管控如遠程生產(chǎn)視頻監(jiān)控、遠程視頻會議、遠程尾礦庫水位監(jiān)控、信息化項目系統(tǒng)、辦公自動化系統(tǒng)等都需要穩(wěn)定可靠的網(wǎng)絡支撐，但租賃電信運營商的專線，帶寬要求較高，條數(shù)要求較多，價格十分昂貴。通過公用網(wǎng)來建立VPN，一條線路即可以滿足企業(yè)網(wǎng)絡的需要。既可以滿足礦山企業(yè)總部和分支機構對互聯(lián)網(wǎng)的訪問，又可以節(jié)省大量的通信費用，降低成本。

　　2、傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗證等安全技術，數(shù)據(jù)經(jīng)過本地VPN網(wǎng)關時，發(fā)現(xiàn)目的地址是對端網(wǎng)絡的內(nèi)網(wǎng)IP時，數(shù)據(jù)經(jīng)過加密傳輸后經(jīng)過互聯(lián)網(wǎng)傳輸，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

　　3、連接方便靈活。新增加的分支機構如果想與企業(yè)總部聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，就必須租賃電信運營商的專線連接，電信運營商布線連通十分不便。而使用虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡的互連互通。同時撥號接入公司內(nèi)網(wǎng)又為身處異地的領導和員工提供了方面靈活接入內(nèi)網(wǎng)的方式。

　　4、實現(xiàn)了企業(yè)對網(wǎng)絡的完全控制。虛擬專用網(wǎng)的用戶可以利用ISP的設施和服務，同時又完全掌握著企業(yè)網(wǎng)絡的控制權。企業(yè)只利用ISP提供的網(wǎng)絡資源，其它的安全設置、網(wǎng)絡管理變化均由企業(yè)內(nèi)部管理。

　　結論

　　VPN技術可以把礦山企業(yè)局域網(wǎng)和互聯(lián)網(wǎng)兩種不同的網(wǎng)絡結構結合在一起，形成一個專用的、安全性高的企業(yè)內(nèi)部廣域網(wǎng)絡。VPN利用公網(wǎng)基礎設施為礦山企業(yè)及其分支結構提供安全的網(wǎng)絡互聯(lián)服務，同時能夠提供與互聯(lián)網(wǎng)專網(wǎng)類似的安全性、可靠性、優(yōu)先級別和可管理性。

　　使用VPN技術組建的企業(yè)內(nèi)部網(wǎng)絡連接方式和傳統(tǒng)的互聯(lián)網(wǎng)專用網(wǎng)絡形式相比，擁有連接快速、節(jié)省遠程訪問的長話費、網(wǎng)絡設備運行和維護費的優(yōu)勢。VPN具有其獨特的優(yōu)勢得到越來越多企業(yè)的青睞，使企業(yè)可以較少的關注網(wǎng)絡的運行和維護成本，而致力于企業(yè)的商業(yè)目標的實現(xiàn)。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：基于VPN技術礦山企業(yè)內(nèi)網(wǎng)的構建

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839411530.html