1. 需求概况

各地的分公司日常运作需要从上海总部获取数据，同时还和上海总部交换大量的数据。因此我们计划构建一个整体的VPN网络，来连通上海和各地分部。

2. 技术分析

目前VPN技术主要包括OSI二层概念的SDH，ATM，Frame Relay等和基于三层概念的IPSEC VPN、非IPSEC VPN（如PPTP、L2TP等）、以及MPLS VPN和基于WEB的SSL VPN。 

基于第二层的VPN技术目前主要由ISP运营商提供，其他企业不太可能私自投资建立一张庞大的基于ATM或SDH的专用传输网络来构建MPLS。

PPTP和L2TP使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP和L2TP适合用于远程访问虚拟专用网。端点用户需要在连接前手工建立加密信道；认证和加密受到限制，没有强加密和认证支持。 

IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障，其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。它提供所有在网络层上的数据保护，提供透明的安全通信，可确保运行在TCP/IP协议上的VPN之间的互操作性。IPSec最适合LAN 到LAN之间(Site to Site)的虚拟专用网，即内部网虚拟专用网，并且IPSec同时支持以客户端的形式连接单台主机连接到VPN服务器的构架方式。目前IPSEC VPN是应用最为广泛的VPN技术。

SSL VPN采用当前广泛使用的工业级安全协议SSL，无需安装客户端软件，授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源，包括PC、笔记本电脑和移动设备，安全可靠获取信息。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。 

基于以上的技术分析，我们选用IPSec VPN网络安全技术及备用SSL VPN网络安全技术来构建远程接入网络。

 

3. VPN方案的实现

3.1 现状和问题观察

迪爱生分布全国各地的分公司最初构建网络平台由于没有经过统一规划设计，因此整合全国网络时面临两大需要问题：

IP地址段的重复  几乎所有的各地分公司在组建网络时，都选用了默认的IP地址段，如192.168.1.0/24或其他常用IP地址段，因此不可避免地造成现在不少分司和总公司使用相同的IP地址段或是各地分公司之间IP地址段冲突。而基于IPSec的LAN 到LAN之间(Site to Site)VPN认证和签别的一个重要技术因素就是基于LAN端地址的认证和识别，所以我们有必要对全国各地的分公司的IP地址段重新进行规划并整改以避免IP地址段的冲突。但是这无疑会带会非常大的工作量及部分系统停滞的风险。估计有相当一部分的分公司不能配合IP地址段的整改工作。基于此，我们必须在实施前期进行一次全国各公司的IP地址段的调查统计工作

接入设备的五花八门  粗略统计，从总部到各地分公司，Internet接入设备有CISCO、H3C、Juniper、TP-LINK、NETGARE、Linksys、D-Link、NUSOFT、AboCom等等不一而足，其中不支持VPN的普通路由器，也有支持VPN的安全设备。虽然IPSec协议簇早在上世纪九十年代就已经标准化，但不同时期各大设备厂商或为了排斥异已、挤压对手，或是在自家设备上应用自行开发的新特征，而把IPSec的实现做得各不相同。因此，不同厂商的VPN设备互通，是一件非常困难的事情，不仅体现在配置初期的实行，还是平稳运行期的维护，都是一件让人头疼的工作。

3.2  VPN方案的设计

IPSec Site-to-site VPN  基于上面的技术分析和现状和问题的观察，在结合基于全国各公司的IP地址段的调查统计结果，所有和上海总部的IP地址段不冲突及相互不冲突的以及能够配合上海总公司进行IP地址段不整改的分公司，先期实施IPSec Site-to-site VPN技术，在上海总部设立一台CISCO ASA5520作为VPN中心服务器，架构一系列的安全VPN隧道，这一部分分公司的相关员工利用这一VPN隧道，以达到和上海总部交换数据的目的。

IPSec Remote Access VPN   其余有地址冲突并且不能配合进行IP地址段整改的分公司，则统一在每一台用户机安装IPSec客户端，并对这些分公司的网管人员进行IPSec客户端安装、配置、维护等任务的专门培训。

（IPSec VPN系统设计方案拓扑图）

 

3.3  VPN设备的选型

          不同厂商的接入设备VPN互联互通给VPN的实施和维护带来极大的不确定性，所产生的不良影响也是显而易见的。因此，我们主张将实施IPSec Site-to-site VPN的分公司的接入设备统一更换成CISCO 的ASA5500系列。另外，基于Juniper和CISCO设备间VPN接接成功案例较多，可以考虑留下JUNIPER的防火墙作为IPSec Site-to-site VPN的接入设备（需要设备本身带有VPN的许可）。

3.4  VPN接入认证

        当有相当多的用户通过Remote Access客户端拨入VPN服务器时，对这些用户的验证成为不可忽视的安全需求。如果在VPN服务器进行Local本地认证，不仅会造成接入瓶颈，也缺少灵活的认证方式。此外，还会带来配置和维护的极大工作量。因此，本方案中计划在一台服务器上安装一套CISCO CSACS作为拨入用户的接入认证服务器，以加强接入用户的安全控制。

3.5． VPN实现技术详述

3.5.1  IPSec VPN通道

因特网上的攻击者们充分地利用了IP协议的脆弱性进行攻击和破坏，IP协议的安全脆弱性如下：

（1）基于IP地址的身份鉴别机制。用户通过简单的IP地址伪造便可冒充他人，即在IP网上传输的数据，其声称的发送者不是事实上的发送者。因此需要某种机制为IP层通信提供数据源的鉴别。

（2）IP协议没有为数据提供强的完整性机制。IP协议在IP层通过IP头校验和为分组头提供一定程度的完整性保护，但这一保护对一个蓄意攻击而言是微不足道的攻击者可以在修改分组头之后重新计算校验和。因此，应在IP层对分组提供一种强的完整保护机制。

（3）IP协议没有为数据提供任何形式的机密性保护，这成为了应用日益增多的电子商务的瓶颈。在网上传输的通信数据都可能被他人阅读，不加改进的IP网络将无任何机密可言。因此对IP网络的通信数据进行机密性保护势在必行。

除了以上三种攻击，还存在着针对IP协议和其他TCP/IP协议的各种攻击。如拒绝服务攻击（Denial Of Service attack）、重放攻击（Replay Attack）等。

鉴于现有的TCP/IP协议在设计在没有充分考虑到安全问题而存在的严重安全漏洞，IP安全协议IPSec(IP Security)技术应运而生。IPSec协议定义了一个IP层的安全框架，为IPv4、IPv6提供可互操作性、优质的基于加密系统的安全。IPSec提供了如何使敏感数据在开放的如Internet网络中传输的安全机制。

在本项目IPSec VPN中，数据头封装技术方面，我们设计得用封装安全净荷(ESP)来加密整个IP包，网络劫持者嗅探到的数据包都是经过高强度加密过的封包，一般条件下几乎是不可能解密打开的。而在Internet网络安全关联和密钥管理协议（ISAKMP）方面,我们设计利用3DES或AES高强度加密方式，对数据封包进行加密以及1024Byte GroupII D-H进行公钥交换，散列算法则利用MD5或SHA-1 HMAC，由于当前VPN规模较小并基于成本考虑，我们可以设计用预共享密钥方式进行认证。

VPN拓扑方面，我们设计利用公司上海总部做为一个轴Spoke，其他公司做为一个Client接入到中心点，因此，就没有必要在每一个分公司租用昂贵的公网IP地址，只在中心点上海公司占用一个固定的公网IP地址。

安全 IPSec VPN 的显著特点就是它的安全性，这是它保证内部数据安全的根本。在VPN 安全网关上，通过支持所有领先的通道协议、数据加密、过滤/防火墙、通过RADIUS、LDAP和 SecurID实现授权等多种方式保证安全。同时，VPN 设备提供内置防火墙功能，可以在VPN通道之外，监控、防护从公网到内网接口传输流量，并限制内部用户的数据从内网不经授权地流出到外部网络。

 

3.5.2  SSL VPN连接

 SSL协议是在Internet基础上提供的一种保证私密性的安全协议，主要采用公开密钥体制和X.509数字证书，其目标是保证两个应用间通信的保密性、完整性和可靠性。

SSL协议的优势在于它是与应用层协议独立无关。高层的应用层协议（如HTTP、FTP、Telnet等）能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成安全等级、加密算法、通信密钥的协商，以及执行对连接端身份的认证工作。在此之后，在SSL连接上的应用协议所传送的应用层协议所传送的数据都被加密，从而保证通信的私密性。

而本项目我们选用SSL做为移动用户VPN接入的协议最重要的考虑就是SSL不需要安装相对于最终用户来说显得十分复杂的客户端软件和设置一堆专业的参数，只要在系统自带的IE浏览器的地址栏输入一个简单的IP地址就可以了，剩下的事情就由VPN安全网关ASA5520在后台完成了。

示例：

用户在IE（或其它浏览器）的地址栏输入https://172.16.1.1的地址格式：

系统会提示输入用户的用户名和密码。在对话框中输入预先定义好的用户名、密码、VPN组名。

VPN系统服务器会下发一个ActiveX控件，这个由VPN系统自动进行，不需用户进行干预

然后VPN系统会提示用户SSL VPN连接正在进行中。

SSL VPN通道连接成功，在操作系统的通知区域，会有一个连接小图标表示VPN通道连接成功。

  如果系统管理员希望看到SSL VPN连接状态，则可以双击右下角通知区域的连接小图标，可以看到VPN连接状态信息。

 路由状态.

版权版本信息。