VPN连接异地局域网
中铁设计咨询集团 李晨光
VPN网络IP地址划分
中国铁路工程公司总部位于北京,下属几十家集团公司分布在全国各地。目前在网络建设方面,总公司、集团公司、分公司之间尚无完善的分级广域网络构架,总公司与各集团公司之间的数据通信和信息共享渠道建设不很理想。如何整合企业的内部资源,让数据同步化,决策更快速,困扰着我们的网管人员。
为了改变以往的管理机构分散、人员资源利用率低、管理效能不高或不到位的现象,决定使用VPN技术来实现整个城域网络的互联互通。
VPN技术具有网络联机成本低、网络安全性高、网管方便等优点,下面就将我集团规划和实施VPN的方案,与大家分享。
中铁工程目前企业网IP地址分配方案采用的是私有网络地址方案,为了使中铁工程VPN网络更加符合国际标准的规范,同时也为了更加便于网络管理,重新对中铁工程企业内部网络的IP地址分配方案进行规划。
网络IP地址分配方案遵循以下原则:
(1)符合IETF的私有网络地址分配方案,采用10.0.0.0/8的IP地址段。
(2)结合中铁工程新的机构编码方案,力争IP地址能够直观反映主机所属的机构。
(3)对各分公司的公用网络设备(包括路由器、服务器等)进行统一编址,便于网络管理。
IP地址分配原则
根据分配原则,为中铁工程每个集团分公司分配一个B类网段,分配方案为:
X=信息编码高两位
Y=信息编码低两位
在新的编址方案中每个区域中心内部所能够配置的最大主机数为65535(包括下属分公司主机和网络设备所占用的地址),如图1所示。
图1 地址分配原则
总部地址分配原则
根据中铁工程的建议,把总部IP划分为不同的C类网段。
(1)10.22.0.0网段为网络设备及服务器网段。
(2)10.22.1.0网段为工作站网段。
集团公司内部地址分配方案
为了便于配置和内部网络安全方案的实施,对每个集团分公司内部IP地址分配方案定义如下:
(1)集团分公司的公共网络资源包括路由器、VPN网关、各种服务器、PC等,其确定的地址分配方案见表1 所示的地址规划表。
表1 地址规划表
(2)由于集团分公司下属二级分公司的数量有很大的不同,而且每个二级分公司所拥有的主机数也不同,所以各分公司网管员需要根据本公司的实际情况为各个二级分公司主机划分更细致的子网地址和网络掩码。
VPN技术实现方案
全公司VPN设备的部署如图2所示。
图2 全公司VPN设备部署
证书管理
在北京集团公司总部中心放置一台证书管理服务器CMS,如果要求所有的VPN设备能够在线升级,CMS需要固定的公网IP地址。CMS的主要作用是对全网的安全设备(包括总部中心VPN网关、集团公司及分公司VPN网关、移动办公用户USBKey等)颁发数字证书,进行合法的身份认证,并配合中心VPN网关对全网安全设备进行证书的撤销、在线升级等。
备份方案
在北京总部中心放置两台VPN 3020B,一台通过中国电信接入Internet,另一台通过中国网通接入Internet,均需要固定的公网IP地址。这样中心两台VPN 3020B就可以实现线路备份、双机热备份和负载均衡。同时,可以根据客户需要,在中心VPN网关上实现电源冗余备份、隧道备份及配置文件备份等多种备份方式。这样,如果某台VPN 3020B出了问题,或运营商线路出了问题,都可以迅速切换到另一台VPN网关,从而保证了整个网络的正常运行,也提高了网络效率。
网络认证管理
在集团公司部署一个认证服务器的注册客户端,在总公司的CMS上保存了自己那部分的证书,通过自己的客户端可以对自己集团内部的证书进行管理和维护。
网络安全监控
在北京总部放置一台装有MasterPlan的网管服务器,配合PolicyMaster对全网安全设备进行统一的监控、配置和管理。中文化的网管界面形象直观。
Internet连接
在每个集团公司放置一台VPN 3010E网关,需要固定的公网IP地址,通过一个以太口接入Internet上连总部,通过另一个以太口接入Internet下连各分公司。
分部与总部连接
在每个分公司放置一台VPN 3010网关,通过ADSL接入Internet上连集团公司。对于分公司,由于网点的结点计算机数量比较少,如果分公司原来没有部署防火墙,建议打开VPN 3010上的基于包过滤的防火墙。VPN 3010内置防火墙软件模块,该模块能够防御基本的网络攻击,支持一定的URL过滤能力。由于分公司的网络规模小,需要的防火墙特性相对比较少。
移动办公用户管理
移动办公用户可以通过任何方式接入Internet,在PC上安装VRC客户端软件,并配套USBKey加密钥匙,与总部之间建立VPN隧道通信。USBKey是一种硬件令牌(如图3所示),它在面板上显示一个6~8位的密码,并且定期变化,用户需要同时输入口令和SecurID上显示的密码,通过认证服务器进行认证。
图3 USBKey外观
防火墙设置
如果集团公司和总公司原有网络中已经部署了防火墙,那么我们把VPN网关设备部署在防火墙之外,并把NAT迁移到VPN设备上,保证数据经过防火墙时被完全保护,也不会在防火墙开放更多的非法端口。如果网络没有部署防火墙,建议部署一个专用的防火墙,如FW520。如果考虑到部署的成本,可以利用VPN网关上自身的有限防火墙功能,完成一些基本的包过滤。
网络接入分析
接入网关访问服务器
VPN网关之间首先通过自动协商建立隧道。集团公司OA、财务系统、档案系统等PC向接入网关VPN 3010E发送数据,到达VPN 3010E后进行128位强加密,数据传到中心VPN 3010EB进行解密,从而访问内部Server。
分公司OA、财务系统、档案系统等PC向接入网关VPN 3010发送数据,到达VPN 3010后进行128位强加密,数据传到集团公司VPN 3010E,再由VPN 3010E解密、加密后路由至总部VPN 3020B解密,访问相应内部服务器。逆过程相反。
移动用户访问服务器
移动用户PC上安装VRC客户端软件,通过USBKey双因子认证后与集团公司中心VPN 3010E或者总部中心VPN 3020B建立隧道。移动用户发送数据,经PC隧道进行128位强加密后,传到VPN 3010E或VPN 3020B进行解密,从而访问内部服务器。逆过程相反。
业务安全性分析
IPSec VPN技术提供的多种安全特性中有两个特点:
(1)通过身份认证,保证只有合法的用户(或设备)可完成IPSec协商,接入VPN网络,并且应该可以控制用户的访问权限,使不同的用户具有访问不同资源的能力(如图4所示)。
图4 禁止非法用户接入
(2)隧道建立后,在VPN数据传输过程中,通过密码技术,保证数据的机密性和完整性(如图5所示)。
图5 防止VPN网外攻击者窃听和窜改数据
可以看出,在这两个IPSec特点中,前者,即在VPN用户(或设备)之间的身份认证和权限管理是最基本和最重要的要求,它对企业整个VPN网络的安全性、扩展性、后期易管理性、易维护性起到决定性的作用。所以,我们采用了IPSec VPN的方案。
对于内网管理方面,我们在不同交换机或同一台交换机上,按业务的不同划为不同的VLAN组。比如,访问OA服务器的PC在一个交换机上或一个VLAN里。接入到VPN网关后,在VPN上通过配置不同的访问列表控制这些数据的流向,安全网关采用网段、IP地址、协议、端口号、时间等多种方式来选择数据流。这样通过配置,就可以把不同的业务系统隔离开来,某些PC可以访问OA服务器,某些PC可以访问档案系统服务器,某些PC则可以访问财务系统服务器等。它们之间都不能互相访问,这样进一步确保了公司内、外系统之间的安全性。
另外,这次实施过程中使用的安全网关,还支持多种不同强度的加密算法,用户可以根据需要对数据流进行指定强度的保护。例如,采用国密办指定的算法,保护重要数据采用3DES算法来保护普通数据等。
采用隔离方案对财务部门进行特殊处理
需要说明的是,总公司财务系统需要与其他系统进行网络隔离,充分保证各级财务部门的数据安全(如图6所示)。
图6 财务系统隔离措施
VPN 3010和VPN 3010E、VPN 3020B都超过4个以太口,其中用一个以太口用来独立地接各级财务部门的网络。这样,通过在VPN网络设备上设置访问控制策略,就可以在本地把财务部和其他部门逻辑上做到完全隔离。如果整个集团公司或者总公司需要把所有的财务部门进行互联互通,但与其他业务系统又要进行隔离,那么,可以在分公司与集团公司、集团公司与总公司之间多建立一套隧道,这些隧道通过VPN的虚拟安全域技术隔离在一起,这样就在现有网络的基础上又为财务系统搭建了一个相对独立的业务子网,保证了关键业务的充分安全,并能够为财务网络划分固定的网络带宽,从而保证财务数据的可靠传输。
VPN技术
VPN即虚拟专用网,是通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN可用于不断增长的移动用户的Internet接入,可用于实现企业网站之间安全通信的虚拟专用线路。
方案实施效果
VPN方案实施后,我们将以集团公司为基本单位,提供全方位的技术培训、安装调试和安全服务。在总公司统一部署和协调的前提下,各集团公司网络管理员具有独立维护本集团VPN网络的能力,在提高VPN维护效率的同时,减少对总公司信息中心的依赖。
本套VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,实现公司总部和全国各分公司安全联入,实时录入和查询,整合了在线业务系统。各子公司员工通过VPN可以随时调取总部CRM系统客户信息,不受地域的限制,拓展更多客户资源,也可以及时录入CRM系统中。简单迅速实现部署,不对原有网络造成任何影响,也更易于维护和管理,降低了网络管理员的维护量。
通过应用本VPN方案,集团总部与各分公司网点间的网络可以互通,形成一个局域网。总部与分部之间数据共享,实现实时传输。加强了数据管理的即时可靠性,同时提高了工作效率,减少了人工成本,有效确保了传输数据的实时与安全,效果尤为突出。