- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
铁通VPN业务在企业组网中的解决方案
摘要 对铁通VPN业务做以简要介绍,并针对企业VPN组网的需求,提出企业VPN网络的组网规划及解决方案,同时对两种VPN组网方案的技术特点进行比较和分析,帮助企业从中选择适合自己企业特点的VPN网络。
随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。
铁通VPN依托于中国铁通宽带互联网CRNET,采用MPLS协议,结合服务等级、流量控制等技术,为用户在公共IP网络上构建企业的虚拟专网,满足企业在不同城市分支机构间安全、快速、可靠的通信需求,并能够支持数据、语音、图像等高质量、高可靠性的多媒体业务,铁通公司开展VPN业务以来取得了较好的经济效益和社会效益。
下面就某企业VPN网络的规划及解决方案进行比较和分析。
1、某企业网络环境
某企业在鸡西设有总公司,在密山、虎林设有分公司。总公司有个MIS系统数据库,其局域网内有10多台客户端连接到这个数据库。
现在分公司也希望能使用总公司内部的MIS系统数据库,每个分公司有若干台机器组成一个分公司的局域网,并通过互联网访问总公司。总公司需要一个VPN的解决方案,以帮助分公司安全并且方便的访问总公司的MIS系统的数据库。
图1是该公司的物理网络结构拓扑图。总公司有一个由数据库服务器、接入网关和一些终端机器组成的局域网,数据库服务器上运行着MIS系统的数据库,接入网关可以接受从互联网其他机器的连接使其可以访问数据库服务器,比如从分公司来的客户端。两个分公司的局域网物理结构基本类似,都有一台局域网网关和一些终端机器组成,终端机器可以通过局域网网关访问总公司的接入网关,并进而访问数据库服务器。
图1 该公司物理网络结构拓扑图
由于互联网的不安全,分公司终端访问数据库服务器有可能造成数据的泄密并进而危害整个MIS系统的安全以及公司的网络环境的安全。通过VPN可以建立互联网上的安全连接,从而可以保护MIS系统以及其数据库的安全,并保护公司的整个网络环境的安全。
根据该公司的物理网络环境以及VPN需求,我们给出了两个VPN组网方案,并对它们进行了详细的比较,以方便客户选择适合自己的最优方案。下面对这两个VPN组网方案分别介绍如下。
2、VPN组网方案一
第一个VPN组网方案是对最有可能不安全的互联网连接使用VPN安全连接来进行保护,而对相对安全的局域网内的连接则不进行保护。图2详细描述了该方案。
图2 VPN组网方案一
方案一在总公司的接入网关处设立VPN服务器,而在两个分公司的局域网网关处设立VPN客户端,两个分公司的局域网网关与总公司的接入网关分别建立VPN安全连接,从而把不安全的互联网连接变成了安全的VPN连接,分公司各自的终端机器通过自己的局域网网关以及局域网网关和总公司的接入网关之间的VPN安全连接访问位于总公司局域网内的数据库服务器,从而保证了所访问的数据不会被泄密。
该方案主要是通过VPN服务器和VPN客户端将本来分布在互联网上的总公司接入网关和分公司的局域网网关形成了一个虚拟的安全的局域网。
该方案要求总公司的局域网IP地址不能和分公司的局域网IP地址相同,图2描述了一种可能的IP地址分布。
3、VPN组网方案二
第二个VPN组网方案是对不安全的互联网连接和相对安全的局域网连接都使用VPN安全连接来进行保护。图3详细描述了该方案。
图3 VPN组网方案二
方案二同样在总公司的接入网关处设立VPN服务器,但不再在两个分公司的局域网网关处设立VPN客户端,而是在数据库服务器和所有访问该数据库服务器的终端机器都设立VPN客户端,这样所有的终端机器和数据库服务器都处在同一个虚拟的安全的局域网内,总公司和分公司的终端机器都是通过VPN安全连接访问位于总公司局域网内的数据库服务器,从而保证了所有访问的数据不会被泄密。
该方案主要是通过VPN服务器和VPN客户端将本来分布在不同局域网内的终端机器和数据库服务器通过总公司接入网关和分公司的局域网网关形成了一个虚拟的安全的局域网。
该方案同样要求总公司的局域网IP地址不能和分公司的局域网IP地址相同,图三描述了一种可能的IP地址分布。
4、两种VPN组网方案比较
VPN组网方案一在总公司的接入网关处设立VPN服务器,在分公司的局域网网关处设立VPN客户端,从而对在互联网之上的数据传输进行了保护,其优势在于只需要在网关级进行设置和建立VPN连接,对终端机器完全透明,不管位于总公司局域网内的终端机器还是位于分公司局域网内的终端机器都不需要进行任何的系统设置以及安装任何的软件,从而可以简化整个VPN系统的复杂性,并减轻了VPN系统的安装和维护工作;只要网关级工作正常,则任何终端机器都可以连接数据库服务器。而且相对于互联网而言,局域网是相对安全的,可以不必要再进行很强的VPN保护。其不足在于要求能够在总公司和分公司的网关级进行有关VPN虚拟网络的路由设置,对公司的网关级设备要求比较高;同时局域网内的数据传输没有得到VPN的安全保护,存在安全隐患;另外一点就是VPN安全连接需要对数据进行加密和解密的工作,对总公司的VPN服务器和分公司的VPN客户端的机器性能要求会比较高。
VPN组网方案二在总公司的接入网关处设立VPN服务器,在数据库服务器和所有能够访问数据库服务器的终端机器设立VPN客户端,将所有终端机器和数据库服务器组成了一个虚拟的安全的局域网,从而对在互联网之上的数据传输和局域网内的数据传输都进行了保护,其优势在于提供了更安全的数据保护,而且VPN服务器可以安装在总公司局域网内的任何一台机器上,从而不需要在总公司和分公司的网关级进行任何的路由设置,对网关级设备是透明的。其不足在于需要在所有的终端机器上安装VPN客户端并设置有关VPN网络的路由,提高了VPN系统的复杂性,增大了VPN系统的安装和维护工作。
5、总结
随着网络安全的问题日益突出,通过VPN组建虚拟的安全的局域网已经被越来越多的单位和公司所接受。同时,VPN还能把分布在不同网络环境下的终端机器组成一个局域网,方便了网络系统的访问和管理。我们提出的两种VPN解决方案都利用了VPN技术的这两个优势,同时每个方案各有自己的优势和侧重点,用户可以从中选择最适合自己的方案来进行实施。
上一篇:IEEE802.11a接收机符号定时算法研究
下一篇:全光交叉multi-haul
DWDM系统给欧洲骨干光网络所带来的好处