VPN网络的设计与分析

王一竹

摘 要

分析了VPN技术的主要设计要求，包括原则性要求和功能性要求，并分析了IPSEC VPN与SSL VPN两种组网方式的区别。

【关键词】虚拟专用网 VPN 设计原则

简单地说，VPN即虚拟专用网络，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。为了保证VPN网络建设能够满足业务拓展需要，同时保证网络的先进性、实用性和未来可扩展性，必须结合现有网络资源进行统一规划，并达到最好的投资保护，在VPN网络设计原则中，应坚持原则性和功能性的建网原则。

1 VPN网络的设计的原则性要求

1.1 总体规划，分步实施的原则

VPN系统的设计需要统一的规划，整个系统可以根据需要和可能分步实施。

1.2 安全性原则

VPN系统的设计首先必须确保自身的安全可信。

1.3 实用性原则

VPN系统的建设应从透明性、友善性、有效性等几个方面考虑实用性的设计，透明性是指安全机制的设置和运行对于普通用户应尽量透明，使他感觉不到其存在。友善性是指对于包括安全管理中心在内的所有需要进行操作的人机界面应做到安全、简捷、方便。有效性一方面是指安全机制的设置确实达到设计要求，另一方面是指增加安全机制以后新增加的系统开销所带来的性能下降要在应用系统运行所能承受的范围之内。

1.4 接入透明性原则

VPN系统的设计应该充分考虑已有的网络结构不应该有大的变动，充分利用现有的计算机系统和网络设备等各类资源，并保持安全网络环境与现有应用信息系统的兼容性。

1.5 技术与管理密切结合的原则

任何安全系统的可靠运行，必须有严格的管理，并把两者密切结合起来。管理首先是管理人员，然后再通过被管理的人实现对VPN系统运行的控制和管理。要有完备的规章制度和切实可行的操作规程来规范各类人员的操作。

2 功能性要求

在VPN系统架设中，需要完善的身份认证体系和可以对设备进行集中管理的安全管理工具。为了加大VPN系统的安全性和可控性，客户端软件必须支持数字证书与PC绑定功能。

2.1 组网方式的要求

在VPN系统应用中，VPN系统应该支持两种组网方式：IPSEC VPN与SSL VPN。

IPSEC VPN主要应用在各个接入口的内部网时使用，因分支机构通常比较固定，Site To Site VPN建议使用此种方式。

Remote To Site即移动用户与接入口建立VPN连接，主要用于大量移动用户及小的分支部门等用户连接接入口的内部网使用，建议采用SSL VPN方式连接。

2.2 组网灵活性要求

2.2.1 网络接入方式的灵活性

VPN系统的边缘硬件网关应该支持：宽带接入（ADSL/Cable Modem/Ethernet）和窄带接入（PSTN Modem/ISDN Modem）。

VPN系统的边缘客户端软件的接入支持：无线接入（GPRS/CDMA）、宽带以及窄带接入。

2.2.2 网络部署模式的灵活性

支持多种路由协议：静态路由、RIP、OSPF、BGP等路由协议，同时提供全面的NAT功能，满足用户Internet连接访问的需求。方便用户在组建VPN系统的时候可以根据已有的网络情况来选择中心VPN系统的网络部署。

2.2.3 VPN部署模式的灵活性

除了支持静态的VPN隧道的部署模式，还必须支持动态IP地址VPN网络的组建，支持VPN隧道的NAT穿越，支持设备间动态的建立和撤销VPN隧道，以满足VPN网络不断复杂的数据流通的需求。

2.3 协议标准要求

VPN系统的认证必须支持PKI的各种标准规范，遵循X509V3，RSA PKCS系列，SSL等，提供了良好的开放性和互操作性；支持标准的IPSec协议，支持网络层的加密以及采用口令保护、身份认证、权限设置、防火墙等措施，保证数据的保密性、完整性、真实性、抗重放性。

VPN设备必须全面支持L2TP、GRE、IPSec等多种模式的VPN协议，满足多种模式VPN组网的需求，为VPN网络提供足够强的扩展能力。

2.4 稳定性要求

2.4.1 设备级的稳定性

（1）设备的稳定必须保证硬件平台的稳定性，VPN设备必须采用专用的网路设备硬件平台，非通用工控机架构，必须能够提供模块热插拔、电源冗余、机箱温度监控等特性；

（2）设备的稳定必须保证软件平台的稳定性，必须采用完全自主研发的操作系统平台，以保证整个软件平台的稳定性和私密性；

2.4.2 系统级的稳定性

为了保证整个系统的可靠性，必须提供完善的线路检测功能，下级设备能够自动探测上级VPN设备以及连接线路的状态，并且根据状态自动切换线路和设备，保证整个VPN网络的可用性。

2.5 管理功能要求

集中管理服务器能够提供完善的管理功能，它应该能对多级VPN设备进行统一的管理。发行管理员可以对VPN设备实现零配置的功能，在边缘VPN设备启动时把集中管理服务器上登记的信息下载到密码机上，实现了边缘端VPN设备的无人管理。

VPN网络必须具备完善管理解决方案，满足用户对VPN管理的特殊需求。

（1）管理解决方案必须能够提供足够灵活的部署能力，VPN网络节点非常多，而且非常分散，尤其是很多小规模节点缺少具备足够技术能力的技术人员，这种现状决定了VPN网络必须具备自动部署能力，下级节点的VPN设备能够自动的从上级服务器上下载配置信息，并且完成设备的自动配置，通过这种方式，可以实现VPN设备的远程自动初始化配置，并且可以实现VPN设备远程配置的自动更改，简化管理的复杂度。

（2）管理解决方案应该是一种集成的解决方案，应该能够支持统一网络管理平台的管理，同时提供精细的业务管理能力，可以实现整个VPN网络拓扑的自动发现，远端设备的性能、流量等详细监控，保证对整个网络有效管理。

2.6 操作简便性要求

VPN系统应该提供良好的用户操作界面，VPN设备的所有配置都可以通过web界面来完成。

边缘端的VPN设备能够自动发起连接并建立安全通道。边缘VPN设备后面的业务机能够自动获取内网IP地址。

客户端软件的拨号参数只需要配置一次，移动用户在每次拨号的时候没有多余的设置步骤。

參考文献

[1]韩希.VPN网络技术分析与应用设计[J].黑龙江冶金，2006（03）.

[2]吕承民.VPN网络设计及性能分析[J].贵州师范大学学报，2014，32（01）：81-85.

[3]陈迎春.远程教学VPN网络平台饿安全分析和设计[B].中国教育信息化，2007（11）：72-73.

作者单位

四平市卫生和计划生育委员会 吉林省四平市 136000