1.VPN技術概況

　　1.1.VPN的定義

　　虛擬專用網（VPN）是一種以公用網絡為基礎，綜合運用隧道封裝、認證、加密、訪問控制等多種網絡安全技術，為礦山企業總部、分支企業機構、合作伙伴及遠程和移動辦公人員提供安全的網絡互通和資源共享的技術，并包括和該技術相關的多種安全管理機制。VPN的主要目標是建立一種靈活、低成本、可擴展的網絡互連手段，以替代傳統的長途專線連接和遠程撥號連接，同時VPN也是一種實現企業內部網安全隔離的有效方式。VPN技術解決的主要問題概括起來就是：實現低成本的互通和安全。

　　1.2.企業網絡互連的基本安全要素

　　網絡信息系統是由人參與的信息系統，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術手段得以有效發揮的基礎。虛擬專用網的重點在于建立安全的數據通道，該通道應具備以下的幾個基本安全要素 。

　　1、保證數據的真實性，通信主機必須是經過授權的，要有抵抗地址假冒（IP Spoofing）的能力。

　　2、保證數據的完整性，接收到的數據必須與發送時的一致，要有抵抗不法分子篡改數據的能力。

　　3、保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數據。

　　4、提供動態密鑰交換功能和集中安全管理服務。

　　提供安全防護措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業網絡的能力，并且可以對VPN通道進行訪問控制。

　　2.VPN技術基礎 

　　為企業實現一個完整的VPN的主要基礎技術包括隧道技術、密碼技術和網絡訪問控制技術。隧道技術是將各種企業內部數據包通過公網傳輸；密碼技術用于加密隱蔽企業內部傳輸信息、認證用戶身份、抗否認等；網絡訪問控制技術用于對系統進行安全保護，抵抗各種外來攻擊。

　　2.1.隧道技術

　　企業內部網絡使用的多為私有IP地址，從企業內部地址發出的數據包是不能直接通過Internet傳輸的，而必須以合法的公網IP地址代替。企業內部數據包必須經過地址轉換后才能傳輸，數據包封裝就是地址轉換方式中的一種。在VPN技術中，就采用了數據包封裝技術。數據包封裝發生在VPN的發送節點，在發送節點將原數據包打包，添加合法的外層IP包頭，數據包通過公網被傳送到接收端的VPN節點，該節點接收后進行拆包處理，還原出原報文后傳送給目標主機。

　　2.2.密碼技術

　　數據加密作為一項實現網絡安全的技術，已經成為所有通信數據安全的基石。加密的網絡不但可以防止非授權用戶的搭線竊聽和入網，還可以有效防止惡意軟件的入侵。這使得加密網絡以較小的代價提供較強的安全保護。 數據加密過程是由加密算法來實現。

　　加密算法分為對稱密碼算法和非對稱密碼算法。對稱密碼算法的優點是有很強的保密強度和較快的運算速度，但其密鑰必須通過安全的途徑傳送。非對稱密鑰（公鑰）密碼算法的收信方和發信方使用的密鑰互不相同，而且無法從加密密鑰推導出解密密鑰。非對稱密碼算法加密速度慢，不適宜直接對實時的、大量的數據加密。在IPSec實現中，非對稱算法（證書）用于自動協商隧道密鑰（對稱密鑰），從而可大大簡化密鑰的管理工作。

　　2.3.網絡訪問控制技術

　　網絡訪問控制技術對跨地域企業內網的數據包進行過濾，即傳統的防火墻功能。由于防火墻和VPN在網絡中的位置基本相同，其功能具有很強的互補性，因此一個完整的VPN網絡應同時提供完善的網絡訪問控制功能，這可以在系統的安全性、性能及統一管理上帶來一系列的好處。

　　3.VPN技術實現礦山企業內部互連互通的案例

　　某公司2008年組建成立，是以鐵礦石采選加工為主業，輔以有色金屬、礦建、礦機、火工品制造、現代物流等產業的國有大型冶金礦山企業。鐵礦石資源掌控量已達50億噸。該公司直屬子公司、礦山企業23個，分布在河北省的6個城市及內蒙古自治區。

　　該公司在建立之初面臨的急需解決的問題是對分散在河北省及內蒙古的分支機構實現實時管控：實時了解各個分支機構的主要設備運行情況；公司領導每天召開全公司范圍內的視頻會議，避免由于地理距離遠而不能及時準確了解各個分支機構的生產情況；在分布零散的礦山企業中實現各種信息化管控手段；使生產經營數據在分支機構和總部之間能夠安全、可靠、準確地傳輸。經過研究分析，最終該公司引入了VPN技術實現了全公司范圍內網絡的互連互通。

　�。ㄔ摴�司對分散在河北省及內蒙古的分、子公司實現實時管控。實時了解各個分、子公司的主要設備運行情況；由于距離較遠，每天召開全公司范圍內的會議，使公司領導能夠及時準確了解各個分支公司的生產情況；各種信息化管控手段在分布零散的礦山企業中實現；生產經營數據的在分支公司和總部之間的安全可靠準確的傳輸，是該公司在建立之初急需解決的問題。最終該公司引入了VPN技術實現了全公司范圍內網絡的互連互通。）

　　3.1.VPN技術實現企業網絡的互連互通

　　該公司經過慎重考慮，為公司總部以及各個分支結構引入了VPN防火墻和固定IP的光纖出口，使用IPSec隧道技術建立了總部和分支機構的網絡通訊。

　　IPSec由IP認證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security PaylOAd)和密鑰管理協議組成。通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。

　　IPSec協議提供對所有在網絡層上的數據的保護，提供透明的安全通信。IPSec協議在隧道模式下，把IPv4數據包封裝在安全的IP幀中，這樣保護數據從一個防火墻到另一個防火墻時的安全性，同時不會隱藏路由信息來保護端到端的安全性。

圖1 公司總部與分支機構之間網絡拓撲圖
 

　　1、企業IPSec隧道配置過程

　　登陸VPN防火墻，配置網絡接口的地址和NAT。對于建立隧道的NAT，在配置中設置為允許通過。配置遠程VPN（即將分支機構的ip配置在此處），配置參數如下：

　　遠程VPN名稱和對方分支機構的IP；

　　數據加密： 3DES-CBC 168-bit 加密；

　　數據完整性保護： MD5-HMAC 128-bit算法；

　　密鑰管理：手動密鑰管理；

　　驗證管理：共享密鑰，建立內部的共享密鑰；

    類型：網關。

　　網關隧道配置參數如下：

    隧道名稱；

    本地保護子網和掩碼以及對端保護子網及掩碼；

　　數據包認證模式：ESP；

　　其余參數配置和遠程VPN配置相同。

　　2、隧道技術的實現過程

圖2 隧道示意圖

　　如果分支機構終端B需要訪問公司總部的終端A，其發出的訪問數據包的目標地址為終端A的IP（內部IP）；

　　公司總部的VPN 網關在接收到終端B發出的訪問數據包時對其目標地址進行檢查，如果目標地址屬于公司總部的地址，則將該數據包進行封裝，VPN網關會再構造一個新的數據包（VPN數據包），并將封裝后的原數據包作VPN數據包的負載，VPN數據包的目標地址為公司總部的VPN網關的外部地址；

　　分支機構的VPN網關將VPN數據包發送到Internet，由于VPN數據包的目標地址是公司總部的VPN網關外部地址，所以該數據包將被Internet中的路由正確地發送到網關；

　　公司總部的VPN網關對接收到的數據包進行檢查，如果發現該數據包是分支機構的VPN網關發出的，即判斷該數據包為VPN數據包，并對數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離，再將負載通過VPN技術反向處理還原成原始數據包；

　　公司總部的VPN網關將還原以后的原始數據包發送至目標終端，由于原始數據包的目標地址是終端A的IP，所以該數據包能夠被正確地發送端A。

　　從終端A返回終端B的數據包處理過程與上述過程一樣，這樣兩個網絡內的終端就可以相互通訊了。

　　3.2.VPN技術實現異地接入公司內網

　　上面講述了VPN技術實現公司總部和各個分支機構實現網絡互連的過程。而對于經常出差的領導、員工想異地接入公司內網，批閱、查看公司內網文件的需求，卻是無法滿足。這就需要VPN技術中的PPTP協議。配置過程如下：登陸VPN防火墻，找到VPN連接中L2TP/PPTP參數配置。配置參數如下：

　　啟動L2TP/PPTP，并設置撥入后獲取地址的范圍；

　　128-bit client and server；

　　PAP/CHAP/MS CHAPv2 驗證；

　　MPPE (RC4) 加密；

　　為經常出差的辦公人員設置撥號用戶和密碼；

　　為需要遠程撥入的用戶設置終端的網絡連接。

　　辦公人員在外地出差需要接入公司內部網絡時，只需要點擊建立的網絡連接快捷方式，輸入用戶名和密碼即可撥入公司內網。

　　4.案例效果分析

　　使用VPN技術解決了跨地域礦山企業內網互連問題，為企業員工實現了同網辦公的需求。本段將重點分析VPN技術帶來的實際效果。

　　1、使用VPN技術可降低成本。現代礦山企業對分散礦山的所有管控如遠程生產視頻監控、遠程視頻會議、遠程尾礦庫水位監控、信息化項目系統、辦公自動化系統等都需要穩定可靠的網絡支撐，但租賃電信運營商的專線，帶寬要求較高，條數要求較多，價格十分昂貴。通過公用網來建立VPN，一條線路即可以滿足企業網絡的需要。既可以滿足礦山企業總部和分支機構對互聯網的訪問，又可以節省大量的通信費用，降低成本。

　　2、傳輸數據安全可靠。虛擬專用網產品均采用加密及身份驗證等安全技術，數據經過本地VPN網關時，發現目的地址是對端網絡的內網IP時，數據經過加密傳輸后經過互聯網傳輸，保證連接用戶的可靠性及傳輸數據的安全和保密性。

　　3、連接方便靈活。新增加的分支機構如果想與企業總部聯網，如果沒有虛擬專用網，就必須租賃電信運營商的專線連接，電信運營商布線連通十分不便。而使用虛擬專用網之后，只需雙方配置安全連接信息即可實現企業內部網絡的互連互通。同時撥號接入公司內網又為身處異地的領導和員工提供了方面靈活接入內網的方式。

　　4、實現了企業對網絡的完全控制。虛擬專用網的用戶可以利用ISP的設施和服務，同時又完全掌握著企業網絡的控制權。企業只利用ISP提供的網絡資源，其它的安全設置、網絡管理變化均由企業內部管理。

　　結論

　　VPN技術可以把礦山企業局域網和互聯網兩種不同的網絡結構結合在一起，形成一個專用的、安全性高的企業內部廣域網絡。VPN利用公網基礎設施為礦山企業及其分支結構提供安全的網絡互聯服務，同時能夠提供與互聯網專網類似的安全性、可靠性、優先級別和可管理性。

　　使用VPN技術組建的企業內部網絡連接方式和傳統的互聯網專用網絡形式相比，擁有連接快速、節省遠程訪問的長話費、網絡設備運行和維護費的優勢。VPN具有其獨特的優勢得到越來越多企業的青睞，使企業可以較少的關注網絡的運行和維護成本，而致力于企業的商業目標的實現。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于VPN技術礦山企業內網的構建

本文網址：http://www.guhuozai8.cn/html/consultation/10839411530.html