王晓红
(中国飞机强度研究所,陕西 西安 710065)
基于ADSL的企业虚拟专用网络技术应用
王晓红
(中国飞机强度研究所,陕西 西安 710065)
本文介绍了以ADSL宽带连接为基础的虚拟专网技术。通过此技术,企业可以在公共网络上建立虚拟的加密通道,构筑属于自己的安全虚拟专网,从而保证企业内部的数据通过公共网络传输的安全性和保密性。并结合实际案例简单说明通过硬件VPN防火墙设备实现加密通道的方法。
ADSL;VPN;加密通道
随着Internet的商业化,大量企业的内部网络与Internet互连,使现代的企业网的概念发生了根本性的变化。以往传统的企业网络互连方式是通过租用专线实现,随着互联网的发展,推动了采用基于公网的虚拟专网的发展,使企业之间、跨地区的企业不同部门之间、或者政府的不同部门之间通过公共网络实现互连成为可能。但是,如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络上的不同节点,成为企业非常关注的问题。
虚拟专网技术采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。本文主要介绍了以ADSL宽带连接为基础的虚拟VPN技术。
ADSL属于DSL技术的一种,它是由网络服务提供商(ISP)提供的,上行和下行带宽不对称的、可以让家庭或小型企业利用现有电话网接入Internet的技术,因此被称为非对称数字用户线路(Asymmetric Digital Subscriber Line)。
ADSL与传统的调制解调器和ISDN一样,是使用电话网作为传输的媒介。当在一对电话线的两端分别安置一个ADSL设备时,利用现代分频和编码调制技术,就能够在这段电活线上产生三个信息通道:高速的下传通道、中速的双工通道和普通的电话通道,这三个通道可以同时工作。也就是说它能够在现有的电话线上获得最大的数据传输能力,这样用户在一条电话线上既可以快速上网,还可以打电话发送传真,而不影响通话质量或降低上网速度。
VPN(Virtual Private Network):虚拟专用网络,是在公共网络(Internet)或专用网络(Intranet)基础之上,采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术,为我们提供了—种通过公用网络安全地对内部专用网络进行远程访问的连接方式。VPN仿真点对点的专线行为,特别适合点对点、点对多点的连接结构,以及那些在地域上非常分散需要依靠公网来建立自己通信网络的企业。
隧道技术是VPN的核心,是由隧道协议形成的。VPN的隧道协议主要有三种:PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
VPN的实现有很多种方法,常用的有以下四种:
(1)VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN;
(2)软件VPN:可以通过专用的软件实现VPN;
(3)硬件VPN:可以通过专用的硬件实现VPN;
(4)集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
为了实现本地客户端对远程局域网的安全访问,解决所
面临的传输保密、节点认证、网络访问控制等问题,我们采用以下解决方法:
(1)通过ADSL宽带建立连接;
(2)在本地部署天融信VPN防火墙设备,通过虚拟专网配置,与远程局域网组成虚拟的专有网络系统,实现本地客户端对远程局域网的轻松访问。网络结构如图1所示。
图1 网络结构图
此处我们采用的VPN设备是天融信的NGFW4000-UF产品,它满足各类用户差异化的安全防护需求,是一款多业务高性能的VPN防火墙产品,具有高效、可靠、易扩展等特点。它自身除提供防火墙基本功能以外,还集成了身份认证、流量管理、上网行为管理、DoS/DDoS防护、反垃圾邮件及负载均衡等功能组件,支持SSL VPN、IPSEC VPN、入侵防御、病毒防御、URL分类过滤等安全功能模块。
(3)主要设置
虚拟专网的主要设置是建立静态隧道,分为“第一阶段协商”和“第二阶段协商”两部分:
A)第一阶段协商
图2 第一阶段协商
通过设置认证方式、预共享密钥、本地标识、对方标识、对方地址或域名等,建立第一阶段协商。
B)第二阶段协商
图3 第二阶段协商
通过设置本地子网、本地掩码、对方子网和对方掩码等,建立第二阶段协商。
C)完成各参数的设置后点击“确定”按钮,便创建了一条静态隧道。当隧道状态显示为“第二阶段协商成功”时,标识隧道成功建立,可以使用。
图4 隧道建立成功
目前,通过ADSL宽带接入互联网的方式因为相对的高速和经济深受国内广大企业用户所喜爱和采用,而基于ADSL宽带接入VPN虚拟专网无疑是企业内部数据通过公网传输的最佳选择,它不但成本低、易维护,而且在安全性方面都得到保证,具有现实意义。
[1]慕东周,于本成.中小型企业VPN网络的规划与设计[J].网络安全技术与应用,2011(7):72-73.
[2]王妍.基于IPSec的VPN系统设计与实现[D].电子科技大学,2013.Application of Enterprise Virtual Private Network Technology Based onADSL
Wang Xiaohong
(Aircraft Strength Research Institute,Xi’an 710065,Shaanxi)
tract】This paper introduces virtual private network technology based ADSL connection.By this technology,the enterprise can establish virtual encryption tunnel in the public network to build their own secure virtual private network,so as to ensure the security and confidentiality of enterprise data transfering through the public network.It also describe the method to achieve the encryption tunnel with VPN firewall device combined with an actual case.
words】ADSL;VPN;encryption tunnel
TP393.1
A
1008-6609(2016)09-0041-02
王晓红,女,甘肃靖远人,本科,高级工程师。研究方向:计算机网络技术。