摘要 对铁通VPN业务做以简要介绍,并针对企业VPN组网的需求,提出企业VPN网络的组网规划及解决方案,同时对两种VPN组网方案的技术特点进行比较和分析,帮助企业从中选择适合自己企业特点的VPN网络。
随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。
铁通VPN依托于中国铁通宽带互联网CRNET,采用MPLS协议,结合服务等级、流量控制等技术,为用户在公共IP网络上构建企业的虚拟专网,满足企业在不同城市分支机构间安全、快速、可靠的通信需求,并能够支持数据、语音、图像等高质量、高可靠性的多媒体业务,铁通公司开展VPN业务以来取得了较好的经济效益和社会效益。
下面就某企业VPN网络的规划及解决方案进行比较和分析。
1、某企业网络环境
某企业在鸡西设有总公司,在密山、虎林设有分公司。总公司有个MIS系统数据库,其局域网内有10多台客户端连接到这个数据库。
现在分公司也希望能使用总公司内部的MIS系统数据库,每个分公司有若干台机器组成一个分公司的局域网,并通过互联网访问总公司。总公司需要一个VPN的解决方案,以帮助分公司安全并且方便的访问总公司的MIS系统的数据库。
图1是该公司的物理网络结构拓扑图。总公司有一个由数据库服务器、接入网关和一些终端机器组成的局域网,数据库服务器上运行着MIS系统的数据库,接入网关可以接受从互联网其他机器的连接使其可以访问数据库服务器,比如从分公司来的客户端。两个分公司的局域网物理结构基本类似,都有一台局域网网关和一些终端机器组成,终端机器可以通过局域网网关访问总公司的接入网关,并进而访问数据库服务器。
由于互联网的不安全,分公司终端访问数据库服务器有可能造成数据的泄密并进而危害整个MIS系统的安全以及公司的网络环境的安全。通过VPN可以建立互联网上的安全连接,从而可以保护MIS系统以及其数据库的安全,并保护公司的整个网络环境的安全。
根据该公司的物理网络环境以及VPN需求,我们给出了两个VPN组网方案,并对它们进行了详细的比较,以方便客户选择适合自己的最优方案。下面对这两个VPN组网方案分别介绍如下。
2、VPN组网方案一
第一个VPN组网方案是对最有可能不安全的互联网连接使用VPN安全连接来进行保护,而对相对安全的局域网内的连接则不进行保护。图2详细描述了该方案。
方案一在总公司的接入网关处设立VPN服务器,而在两个分公司的局域网网关处设立VPN客户端,两个分公司的局域网网关与总公司的接入网关分别建立VPN安全连接,从而把不安全的互联网连接变成了安全的VPN连接,分公司各自的终端机器通过自己的局域网网关以及局域网网关和总公司的接入网关之间的VPN安全连接访问位于总公司局域网内的数据库服务器,从而保证了所访问的数据不会被泄密。
该方案主要是通过VPN服务器和VPN客户端将本来分布在互联网上的总公司接入网关和分公司的局域网网关形成了一个虚拟的安全的局域网。
该方案要求总公司的局域网IP地址不能和分公司的局域网IP地址相同,图2描述了一种可能的IP地址分布。