陈丽君

（山西省晋煤集团通信分公司运维中心，晋城 048006）

1 VPN技术实现背景

传统的访问企业内网网络的方法费用高安全性差，无法满足公司关于“建立高效率、低成本、高安全性网络”的要求，公司决定采用虚拟专用网络（VPN）。VPN技术，是利用公用网络架设专用网络，通过对数据包加密和数据包目标地址转换，实现远程访问。VPN是对企业内部网延伸，是通过公用网络建立一个临时安全的连接，是一条穿过Internet的安全的、稳定隧道。VPN技术解决了集团公司总部、驻外公司和外地出差办公人员之间信息资源共享的安全性和保密性问题。

VPN技术与传统技术相比，更具有安全性优势和维护费用方面的优势，故此，该技术在集团公司得到广泛应用。目前，晋煤集团通过IPSec VPN和SSL VPN两种方式实现远程访问。

2 VPN技术简介

IPSec定义了一套用于保护私有性和完整性的标准协议，支持相关系列加密算法如DES、3DES。它检查传输的数据包完整性，以确保数据没有被修改，具有数据源认证功能。

IPSec VPN基于传输层，采用IPSec协议实现远程接入，是在两个局域网之间通过Internet 建立安全连接，保护点对点之间通信，在源 IP 和目标 IP 地址之间建立信任和安全性，不局限于Web应用，而是构建了局域网之间的VPN。

SSL是为网络通信提供安全及数据完整性的一种安全协议。用以保障在Internet上数据传输之安全，利用数据加密技术，可确保数据在网络传输过程中不被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

SSL VPN是基于应用层的，用SSL协议实现远程接入。SSL内嵌在浏览器中，可以通过简单易用的方法实现远程访问。

3 IPSec VPN在集团公司的部署和应用

IPSec VPN技术在IP传输上经过加密隧道，用公网传送内部专网的内容，并且保证内部数据的安全性，从而实现集团总部与各驻外单位之间的数据、语音、视频业务互通。

IPSec VPN网络接入示意图

图为集团公司总部与驻外单位VPN接入示意图。通过在总部的MSR5040路由器和驻外单位的MSR3040路由器中进行配置，从而建立VPN隧道。

驻外单位A和B除了需要单独和集团公司总部通信外，两个驻外单位因业务需求也需建立一条隧道，实现内网通信。IPsec VPN隧道的两端一端为公网地址，另一端为私网地址，因此需要在隧道的两端上配置NAT功能，从而实现公网地址和私网地址的相互转换。以驻外单位A和B两地为例，私网地址都为10.x.x.x，公网地址A地为218.x.x.x，B地为221.x.x.x，A地要想向B地发送数据，需要将自己的私网地址转换为公网地址218.x.x.x，路由器MSR3040将需要发送的数据进行加密，并封装成为外部数据报，发送至B地的MSR3040，路由器接收到数据报后将其数据解密恢复，转发至本地目的服务器10.x.x.x，完成通信，主要配置命令如下，以驻外单位A为例：

ike local-name A #nat address-group 1 218.x.x.x218.x.x.x/将私网地址转换为公网地址/#acl number 3000/定义从驻外单位A到驻外单位B的内网数据流/rule 0 permit ip source 10.x.x.x 0.0.0.255 destination 10.x.x.x 0.0.0.255#ike peer A1/创建IKE对等体/exchange-mode aggressive/配置协商模式为野蛮模式/pre-sharedkey cipher PUaW5WFYEkI=/配置认证参数，此处选择的是公钥秘钥认证/id-type name/选择名字作为ike协商过程中使用的ID/remote-name B/对端的名字/remote-address 221.x.x.x/对端的地址/nat traversal/NAT穿越/#ipsec proposal 1/创建安全提议/#ipsec policy 1 1 isakmp/创建安全策略，序号越小，越优先security acl 3000/引用已创建的ACL访问控制列表/ike-peer A1/在安全策略中引用IKE Peer/proposal 1/在安全策略中引用已创建的安全提议/在集团公司总部和驻外单位B路由器中做相应配置，修改相关参数即可建立相应IPSec隧道。

IKE协商模式分为主模式和野蛮模式，野蛮模式和主模式区别在于协商IKE时方式不同。IKE主模式适于两设备公网IP固定、且要实现设备之间点对点环境。对公网IP不是固定，且可能存在NAT设备情况下，采用野蛮模式作NAT穿越，同时，由于IP不是固定，用name作为id-type。因以上特点，集团采用野蛮模式且选用名字作为IKE协商过程中使用的ID。

4 SSL VPN在集团公司部署和应用

SSL VPN利用TCP传输作用以及SSL对TCP会话保护，实现VPN业务，被保护的VPN业务可是TCP、UDP或纯IP 应用。SSL VPN安全性以SSL协议为基础，利用PKI证书体系完成秘密传输。目前主流浏览器都内嵌有SSL功能，安全灵活又实用。具备接入控制功能，将不同访问权限赋予不同用户，实现伸缩性访问。

选用H3C SecPath F1000作为实现SSL VPN的设备。此设备将强大的安全抵御功能、VPN服务和智能网络特性无缝集成，增强网络安全性，且可为用户提供VPN功能，降低了成本和网络部署复杂性。

在SecPath 中做简单配置，开启SSL VPN服务和WEB服务器。在浏览器中输入VPN管理地址，默认域管理员账户和密码，类别选择LOCAL方式，登录即可。导航栏中主要有设备管理、用户管理、资源管理和域管理四个功能设置。在域管理设置中，认证策略我们采取的是密码认证的方式，配置管理中的配置文件必须先保存，否则重启后，配置容易丢失。

（1）基于Web的访问。资源管理中的Web代理服务器为用户访问Web服务器提供了一种安全的链接方式，而且可以阻止非法用户访问受保护的Web服务器。在创建新的Web资源时，站点名称可以是IP地址，也可以是域名。

（2）针对TCP的应用。选择资源管理中的TCP应用，主要分为远程访问服务、桌面共享、Web接入远程桌面、电子邮件、notes服务和TCP服务。根据公司的业务需求可以进行相应的配置。

（3）IP业务的配置。SSL VPN网络服务可以访问提供给IP层以上的所有应用支持，用户登录SSL VPN后即可自动下载并启动ActiveX SSL VPN客户端程序，安全访问特定主机的所有服务。主要有全局配置、主机配置等。全局配置中的起始“IP”和结束“IP”为当客户端登陆后设备分配给客户端的虚地址网段，便于网络管理。

（4）资源管理配置。SSL VPN支持网络资源分组，不同用户可对应不同的分组，访问不同的内网资源。在资源管理中的资源组中可以对之前所配置的资源进行管理。创建一个资源组，可以将之前配置的资源添加到相应的资源组。

（5）管理用户。可以创建用户组、用户，并且把用户加入到相应的用户组，同时把用户组和资源组关联起来，从而不同用户的访问可控。

（6）在设备管理中，可以方便的查看在线用户的具体情况。

5 结束语

IPSec VPN通过在两个站点之间创建一条安全隧道从而提供入内网方式，实现对整个网络的透明访问，主要用于主体局域网的互联，针对驻外单位、子分公司等集中办公的地方。

SSL VPN基本不受接入位置限制，能让集团公司实现更多远程用户在不同地点接入网络。主要用于分布零散的网络接入，针对出差员工。

集团公司目前根据业务特点采用这两种VPN结合方式，大大提升了集团公司网络安全性、可靠性、可管理性、扩展性和灵活性。

（1）VPN技术在广域网中搭建一个安全的局域网，建立一套信息交互的网络体系，采用加密和认证等安全技术，保证连接用户的可靠性和传输数据的安全和保密性，保证网络内部安全性。

（2）连接方便灵活，可以支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。建设网络连接企业总部和分支机构，移动办公人员能在企业以外的地方很方便的访问企业内部网络。

（3）集团可以利用公共网络进行信息通信，无需专门租用专网，可以以更低的成本链接远程办事机构、出差人员和业务伙伴。

（4）可以灵活的与企业的合作伙伴联网，实现了灵活自如的扩展和延伸，为企业的发展提供了安全可靠的网络支持。

IPSEC VPN和SSL-VPN技术在晋煤集团已经广泛应用了多年，为集团公司的日常数据传输、OA办公等作出了非常的大的贡献，但是同时也暴露出了受公网影响数据传输的稳定性一般、SSL-VPN技术受操作系统的限制等不利因素，在今后的工作中，要建立起传输更稳定且可以在其它操作系统（MAC OS、Android、MAC IOS等）上运行的VPN，为集团公司的信息化作出更大贡献。