| 出版日期:2004-05-24 总期号:611 本年期号:18 |
|
 |
多模式下VPN互联
康浩 编者按 虚拟专用网(VPN,Virtual Private Network)是指通过综合利用访问控制技术和加密技术,并通过一定的密钥管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密管道”中进行安全传输的技术。 它和专线技术(如DDN、帧中继等)一样,都解决异地LAN间的互联问题。 采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活性强、可扩展性好,且可支持移动用户等特点,已经开始被越来越多的用户所采用。 在本期《高端导刊·网络》中,我们推荐几种关于VPN的网络解决方案。同时,希望读者把你们所关心的网络话题告诉我们,以便我们组织相关的内容报道,共同推进我国网络建设事业的发展。 电子信箱:tpj@ccu.com.cn 
VPN网络建设示意图 在一些大规模企业集团中,集团总部一般都具有固定真实的IP,而各地分支机构采用多种接入方式,如ADSL、Cable、Modem等接入Internet,并通过安全网关在Internet上构建企业内部虚拟专用网络,以解决企业集团内部移动用户的远程接入问题。 典型的VPN互联方案 在一般情况下,集团总部是整个企业集团的“心脏地带”,需要有很多重要信息进行交互、共享,同时有重要的数据进行传输,从而组成了企业集团的业务流。 考虑到企业集团总部的带宽和可靠性要求,在集团总部网络出口处部署两台安达通的SGW25C型VPN硬件安全网关(这种网关集VPN、Firewall和IDS引擎与一体),实现“双机热备系统”。一台工作网关,一台备份网关,两台网关通过串口2的心跳线相连进行通讯。一旦工作网关发生故障,备份网关就可以平滑地接替工作网关进行工作,保证中心系统业务的不中断。 同时,可以根据集团各分支机构的不同情况,分别部署硬件安全网关设备或软件网关到各驻外机构。在具有子网的各驻外机构采用ADSL或者宽带的方式接入Internet,并在网络出口处部署SGW25A硬件安全网关设备,SGW25A同时对分公司的局域网进行有效的防火墙保护。 以一家在各地设30个分支机构或办事处的企业集团为例。 企业集团总部通过100M宽带接入方式接入Internet,(下转A11页)(上接A10页)然后各地分支机构分别通过ADSL、宽带或拨号方式接入Internet。集团总部的一台高性能服务器,对分支机构提供E-mail、Web和办公自动化应用服务。 全动态IP接入VPN方案 在一般情况下,用户网络均采用拨号方式上网(ADSL或电话Modem),没有固定的IP地址(包括总部的通讯中心点)。这样,使用传统的VPN设备无法进行互联互通。而安达通所提供的全动态IP接入环境下VPN互联方案,就能解决这种问题。IP VPN的联网方式大致有三种:固定IP与固定IP、固定IP与动态IP、动态IP与动态IP。 第一种的联网方式是比较传统的方式,技术上最容易实现,目前的防火墙等设备就可以实现这种功能。 第二种VPN联网方式对于目前大多数专业VPN厂商基本上都能解决。 第三种方式,即动态IP与动态IP之间的VPN通讯,是很多厂商VPN设备不能解决的。 但是,安达通通过自有的“地址服务器”技术以及通用的DDNS技术解决了这个难题。地址服务器和DDNS技术都是解决同一个VPN网关间实时交换当前IP地址的问题。 以利用ADT地址服务器为例。安达通的“地址服务器”,不但解决了全动态VPN组网方案,还融入了PKI技术,采用基于数字证书的动态IKE进行协商和认证,解决了地址服务器本身以及和VPN网关之间通讯的安全问题。 由于整个系统没有固定IP,所以用户需要借用安达通托管在电信部门为全动态IP接入客户提供的公共地址交换服务。这些不需要用户维护,而由托管单位为用户提供注册账号和密码,以确保用户VPN专网的安全。地址服务器也可以由用户自建,放在用户的电信托管机房。 当每个拨号网关(硬/软件)在接入Internet时,首先在地址服务器相应的目录下注册自己的IP,并取得同组的各上线网关/客户端的IP地址。接下来,发起通讯的一方,就可以根据获得的对端网关IP地址,建立相应的VPN连接进行通讯。 透明模式下VPN方案 在一些行业专网(如银行、石化系统)中,由于系统庞大,业务系统不能因网络的改造而中断(哪怕是短时间的中断),但是在网络建设中又缺乏一定的安全性考虑。如何在保持网络原有设备,如路由器、用户PC、服务器的所有网络配置都不改变的情况下,实现网络通讯的安全性(构建VPN网络),就需要VPN设备能够在“透明”模式下工作。 在这种模式下,VPN设备的加入,就像加入一段网线,完全不用调整原有网络,包括终端设备的网络配置。对用户而言,VPN设备就像完全不存在一样,所以叫做“透明”模式。 这样,安达通安全网关可以工作在透明模式下,并建立VPN通道,实现网络通讯数据的“安全性、完整性和不可抵赖性”。 以某城市商业银行系统的VPN互联为例。商行总部与各支行采用DDN专线互联传输业务数据。虽然是专线,仍然需要对传输数据进行加密保护。 所有的安全网关,均工作在“透明”模式下。在安装这些安全网关设备的前后,原有网络设备(路由器)和PC、服务器等均没有调整过任何配置,但却实现了各分行和总行之间数据的加密传输。 NAT模式下VPN方案 在基于IPsec的VPN解决方案中,NAT穿透问题一直是很多厂商以及客户所棘手的问题。 然而,对于IPSec而言,IP层以上的协议是被加密的。所以,对于IPSec报文,NAT无法实现地址转换。在这方面,安达通解决了NAT穿透,尤其是双边的穿透问题,为企业构建跨城域网的VPN网络和实现视频、语音通讯的建立提供了解决措施。 VPN的NAT穿透通常分为两种,即单边穿透和双边穿透。 单边穿透指的是VPN通讯双方有一端有公有IP地址(通常是总部端),而另一方(分部或移动客户)位于NAT设备之后,使用私有地址。即企业集团总部有真实IP地址,并用10M光纤接入;而分公司没有真实IP,使用ISP分配给他们的保留地址。根据企业集团的网络情况,在集团总部采用SGW25B,在分公司采用SGW25A。 双边穿透是指VPN通讯双方都在NAT后,都使用私有地址。它是解决双向NAT环境下的VPN隧道构建问题,要在通讯的中间节点引进“VPN转发网关”。通过中转的方式,可以实现VPN通讯双方的双向NAT穿透。 这样假如企业员工出差在外,通过酒店的局域网接入Internet,他也能和企业的其他员工建立VPN通讯隧道。这时,通过部署在公网上的“VPN转发器”,即可实现加密数据包的转发,实现外出员工与企业内部员工的安全通讯。 |
||||||||||||||||||||||
