VPN連接異地局域網

中鐵設計咨詢集團 李晨光

VPN網絡IP地址劃分

中國鐵路工程公司總部位于北京，下屬幾十家集團公司分布在全國各地。目前在網絡建設方面，總公司、集團公司、分公司之間尚無完善的分級廣域網絡構架，總公司與各集團公司之間的數據通信和信息共享渠道建設不很理想。如何整合企業的內部資源，讓數據同步化，決策更快速，困擾著我們的網管人員。

為了改變以往的管理機構分散、人員資源利用率低、管理效能不高或不到位的現象，決定使用VPN技術來實現整個城域網絡的互聯互通。

VPN技術具有網絡聯機成本低、網絡安全性高、網管方便等優點，下面就將我集團規劃和實施VPN的方案，與大家分享。

中鐵工程目前企業網IP地址分配方案采用的是私有網絡地址方案，為了使中鐵工程VPN網絡更加符合國際標準的規范，同時也為了更加便于網絡管理，重新對中鐵工程企業內部網絡的IP地址分配方案進行規劃。

網絡IP地址分配方案遵循以下原則：

（1）符合IETF的私有網絡地址分配方案，采用10.0.0.0/8的IP地址段。

（2）結合中鐵工程新的機構編碼方案，力爭IP地址能夠直觀反映主機所屬的機構。

（3）對各分公司的公用網絡設備（包括路由器、服務器等）進行統一編址，便于網絡管理。

IP地址分配原則

根據分配原則，為中鐵工程每個集團分公司分配一個B類網段，分配方案為：

X=信息編碼高兩位

Y=信息編碼低兩位

在新的編址方案中每個區域中心內部所能夠配置的最大主機數為65535（包括下屬分公司主機和網絡設備所占用的地址），如圖1所示。

總部地址分配原則

根據中鐵工程的建議，把總部IP劃分為不同的C類網段。

（1）10.22.0.0網段為網絡設備及服務器網段。

（2）10.22.1.0網段為工作站網段。

集團公司內部地址分配方案

為了便于配置和內部網絡安全方案的實施，對每個集團分公司內部IP地址分配方案定義如下：

（1）集團分公司的公共網絡資源包括路由器、VPN網關、各種服務器、PC等，其確定的地址分配方案見表1 所示的地址規劃表。

（2）由于集團分公司下屬二級分公司的數量有很大的不同，而且每個二級分公司所擁有的主機數也不同，所以各分公司網管員需要根據本公司的實際情況為各個二級分公司主機劃分更細致的子網地址和網絡掩碼。

VPN技術實現方案

全公司VPN設備的部署如圖2所示。

證書管理

在北京集團公司總部中心放置一臺證書管理服務器CMS，如果要求所有的VPN設備能夠在線升級，CMS需要固定的公網IP地址。CMS的主要作用是對全網的安全設備（包括總部中心VPN網關、集團公司及分公司VPN網關、移動辦公用戶USBKey等）頒發數字證書，進行合法的身份認證，并配合中心VPN網關對全網安全設備進行證書的撤銷、在線升級等。

備份方案

在北京總部中心放置兩臺VPN 3020B，一臺通過中國電信接入Internet，另一臺通過中國網通接入Internet，均需要固定的公網IP地址。這樣中心兩臺VPN 3020B就可以實現線路備份、雙機熱備份和負載均衡。同時，可以根據客戶需要，在中心VPN網關上實現電源冗余備份、隧道備份及配置文件備份等多種備份方式。這樣，如果某臺VPN 3020B出了問題，或運營商線路出了問題，都可以迅速切換到另一臺VPN網關，從而保證了整個網絡的正常運行，也提高了網絡效率。

網絡認證管理

在集團公司部署一個認證服務器的注冊客戶端，在總公司的CMS上保存了自己那部分的證書，通過自己的客戶端可以對自己集團內部的證書進行管理和維護。

網絡安全監控

在北京總部放置一臺裝有MasterPlan的網管服務器，配合PolicyMaster對全網安全設備進行統一的監控、配置和管理。中文化的網管界面形象直觀。

Internet連接

在每個集團公司放置一臺VPN 3010E網關，需要固定的公網IP地址，通過一個以太口接入Internet上連總部，通過另一個以太口接入Internet下連各分公司。

分部與總部連接

在每個分公司放置一臺VPN 3010網關，通過ADSL接入Internet上連集團公司。對于分公司，由于網點的結點計算機數量比較少，如果分公司原來沒有部署防火墻，建議打開VPN 3010上的基于包過濾的防火墻。VPN 3010內置防火墻軟件模塊，該模塊能夠防御基本的網絡攻擊，支持一定的URL過濾能力。由于分公司的網絡規模小，需要的防火墻特性相對比較少。

移動辦公用戶管理

移動辦公用戶可以通過任何方式接入Internet，在PC上安裝VRC客戶端軟件，并配套USBKey加密鑰匙，與總部之間建立VPN隧道通信。USBKey是一種硬件令牌（如圖3所示），它在面板上顯示一個6～8位的密碼，并且定期變化，用戶需要同時輸入口令和SecurID上顯示的密碼，通過認證服務器進行認證。

防火墻設置

如果集團公司和總公司原有網絡中已經部署了防火墻，那么我們把VPN網關設備部署在防火墻之外，并把NAT遷移到VPN設備上，保證數據經過防火墻時被完全保護，也不會在防火墻開放更多的非法端口。如果網絡沒有部署防火墻，建議部署一個專用的防火墻，如FW520。如果考慮到部署的成本，可以利用VPN網關上自身的有限防火墻功能，完成一些基本的包過濾。

網絡接入分析

接入網關訪問服務器

VPN網關之間首先通過自動協商建立隧道。集團公司OA、財務系統、檔案系統等PC向接入網關VPN 3010E發送數據，到達VPN 3010E后進行128位強加密，數據傳到中心VPN 3010EB進行解密，從而訪問內部Server。

分公司OA、財務系統、檔案系統等PC向接入網關VPN 3010發送數據，到達VPN 3010后進行128位強加密，數據傳到集團公司VPN 3010E，再由VPN 3010E解密、加密后路由至總部VPN 3020B解密，訪問相應內部服務器。逆過程相反。

移動用戶訪問服務器

移動用戶PC上安裝VRC客戶端軟件，通過USBKey雙因子認證后與集團公司中心VPN 3010E或者總部中心VPN 3020B建立隧道。移動用戶發送數據，經PC隧道進行128位強加密后，傳到VPN 3010E或VPN 3020B進行解密，從而訪問內部服務器。逆過程相反。

業務安全性分析

IPSec VPN技術提供的多種安全特性中有兩個特點：

（1）通過身份認證，保證只有合法的用戶（或設備）可完成IPSec協商，接入VPN網絡，并且應該可以控制用戶的訪問權限，使不同的用戶具有訪問不同資源的能力（如圖4所示）。

（2）隧道建立后，在VPN數據傳輸過程中，通過密碼技術，保證數據的機密性和完整性（如圖5所示）。

可以看出，在這兩個IPSec特點中，前者，即在VPN用戶（或設備）之間的身份認證和權限管理是最基本和最重要的要求，它對企業整個VPN網絡的安全性、擴展性、后期易管理性、易維護性起到決定性的作用。所以，我們采用了IPSec VPN的方案。

對于內網管理方面，我們在不同交換機或同一臺交換機上，按業務的不同劃為不同的VLAN組。比如，訪問OA服務器的PC在一個交換機上或一個VLAN里。接入到VPN網關后，在VPN上通過配置不同的訪問列表控制這些數據的流向，安全網關采用網段、IP地址、協議、端口號、時間等多種方式來選擇數據流。這樣通過配置，就可以把不同的業務系統隔離開來，某些PC可以訪問OA服務器，某些PC可以訪問檔案系統服務器，某些PC則可以訪問財務系統服務器等。它們之間都不能互相訪問，這樣進一步確保了公司內、外系統之間的安全性。

另外，這次實施過程中使用的安全網關，還支持多種不同強度的加密算法，用戶可以根據需要對數據流進行指定強度的保護。例如，采用國密辦指定的算法，保護重要數據采用3DES算法來保護普通數據等。

采用隔離方案對財務部門進行特殊處理

需要說明的是，總公司財務系統需要與其他系統進行網絡隔離，充分保證各級財務部門的數據安全（如圖6所示）。

VPN 3010和VPN 3010E、VPN 3020B都超過4個以太口，其中用一個以太口用來獨立地接各級財務部門的網絡。這樣，通過在VPN網絡設備上設置訪問控制策略，就可以在本地把財務部和其他部門邏輯上做到完全隔離。如果整個集團公司或者總公司需要把所有的財務部門進行互聯互通，但與其他業務系統又要進行隔離，那么，可以在分公司與集團公司、集團公司與總公司之間多建立一套隧道，這些隧道通過VPN的虛擬安全域技術隔離在一起，這樣就在現有網絡的基礎上又為財務系統搭建了一個相對獨立的業務子網，保證了關鍵業務的充分安全，并能夠為財務網絡劃分固定的網絡帶寬，從而保證財務數據的可靠傳輸。

VPN技術

VPN即虛擬專用網，是通過一個公用網絡（通常是Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。

VPN可用于不斷增長的移動用戶的Internet接入，可用于實現企業網站之間安全通信的虛擬專用線路。

方案實施效果

VPN方案實施后，我們將以集團公司為基本單位，提供全方位的技術培訓、安裝調試和安全服務。在總公司統一部署和協調的前提下，各集團公司網絡管理員具有獨立維護本集團VPN網絡的能力，在提高VPN維護效率的同時，減少對總公司信息中心的依賴。

本套VPN還使企業不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備，實現公司總部和全國各分公司安全聯入，實時錄入和查詢，整合了在線業務系統。各子公司員工通過VPN可以隨時調取總部CRM系統客戶信息，不受地域的限制，拓展更多客戶資源，也可以及時錄入CRM系統中。簡單迅速實現部署，不對原有網絡造成任何影響，也更易于維護和管理，降低了網絡管理員的維護量。

通過應用本VPN方案，集團總部與各分公司網點間的網絡可以互通，形成一個局域網。總部與分部之間數據共享，實現實時傳輸。加強了數據管理的即時可靠性，同時提高了工作效率，減少了人工成本，有效確保了傳輸數據的實時與安全，效果尤為突出。