|
一、
缘起
InterNet改变数据传输的模式,原本依赖调制解调器拨接、数据专线或分封网络联系的网络系统,也渐渐被因特网取代,各种不同的VPN
(Virtual Private Network)技术竞相投入市场中,不论是IPSec、PPTP、SSL
VPN
等,百家争鸣。各自强调安全性、稳定度及方便性,但是因特网是一个共享频宽的网络系统,对于需要稳定传输速度的网络应用,如ERP、视讯会议等,却是一个不定时的炸弹,何时引爆断断续续传输的梦餍,是网络管理者最大的困扰,所以在现实的网络环境中,总部对分支机构重要的数据传输都还是仰赖数据专线、IP-VPN等专属联机方式,典型的网络应用架构如图一。
图一
传统的网络架构,由数据专线,IP-VPN及因特网组合
在两岸三地营运的公司也是利用此一架构运作,使用一条国际专线专门做为视讯会议、ERP、网络电话使用,其它的上网服务再用ADSL或FTTB上网,在企业、银行、证卷业甚至是政府单位,运用这样的网络架构非常普遍,一种用途,一条线路,在这样架构之下,所有的线路都是各自运作,互不能备援,管理起来也是相当麻烦。
二、问题
数据安全性
不论是数据专线或IP-VPN,有心人士可以利用侧录的方式,将所有通过的封包录下来,分析其中数据,这样所有的信息全部暴露在外面,对于讲求数据保密的单位而言,网络反而多了一层泄密的机会,为了数据安全,被迫采取昂贵的数据加密器,将数据流加密后再送到网络上传输。
病毒流窜
利用网络将所有的计算机连在一起,方便彼此的数据流通,一但其中有一部计算机中毒,势必会瘫痪内部网络的联系,所谓的【祸起萧墙】,一般连上因特网至少有IP分享器或防火墙的基本防卫功能,对于这种靠路由方式通讯的网络架构,一点自我防卫及处理能力都没有,更不用说恶意的病毒攻击行为。
备援线路付之阙如
速度决定竞争力,尤其是在竞争激烈的网络世界,万一依赖的数据专线或IP-VPN
断线,只能请负责线路的厂商处理,如果没有建置备援系统的话,所有活动都会停止,在数据拨接的年代,可以利用调制解调器或ISDN备援的方式建置另一套备援网络,在图一的网络架构中,只能眼睁睁的等待。
管理复杂
网络管理者同时面对数十个分支机构的网络联机要求,万一网络出问题,也只能请系统业者【救命】,不能有任何作为,越复杂的网络,越有可能出问题,总部或许有专门的网管人员可以处理这样的是,对分支机构而言,根本不知道从何管起。 如何善用因特网资源,并且利用它安全、方便地连接分布在世界各地的网络,运用VPN
(Virtual Private Network)
技术是最便宜及方便的方法。如何让透过因特网建置的VPN自动备援数据专线或是IP-VPN,是一个本文要解决的问题。
三、为何使用VPN备援
企业为了贴近市场的需求,就近建立分支机构服务当地的客户,这是现代竞争不得不做的决定,但是如何整合企业的内部资源,让数据同步化,决策更快速,困扰所有的网管人员,运用因特网的VPN通道备援,提供了下列的几项优点:
1、网络联机成本低:由于VPN的架设是建构在因特网的基础上,共享原本因特网的网络设备,除了额外投资的VPN设备外,几乎没有再添加其它设备,故能使企业网络的成本降低。
2、建置速度快:只要能上因特网的地方,都可以建置VPN联机,不论是调制解调器拨接、ADSL、Cable
Modem、专线,再加上VPN设备就可以快速建立企业所需要的VPN。
3、设备成本低:VPN的技术是成熟的技术,甚至在操作系统中都已内建
VPN所需要的PPTP、IPSec
协议,企业及分支机构仅需一台连上因特网设备(一般为路由器或ADSL
Modem)
与建立VPN通道所需要的设备。
4、网络架构弹性高:VPN的架构有弹性,如果需要将网络扩充或是变更网络架构,只要修改VPN通道的设定就可以轻易的达成。
5、网络安全性高:建立VPN信道后除了传输数据加密外(一般都会使用DES或3DES的加密技术),存取企业网络时不需要在原来的防火墙开特定Port号,降低被攻击的风险。
6、网管方便:VPN所使用的网络设备及实体线路均比传统数据专线少,使网络的管理较为轻松,不论分公司或是远程访问用户再多,都可以集中控管进入企业网络的路径。
四、VPN
备援数据专线的运作模式
做网络规划时,将数据专线或是IP-VPN想象成另外两组的因特网,只是无法跟别人数据交换的封闭型因特网,在这些线路上建立VPN通道,然后利用多路由的网络设备将他们合并起来,只要这个多路由的设备能够自动切换使用的VPN线路,VPN备援的架构基本已经完成,网络应用架构如图二。
图二
VPN 备援机制
建立
VPN 通道
不论是因特网、数据专线或是
IP-VPN都是网络的一种,所以在上面建立IPSec
的VPN
信道,这样数据在各种网络流动时就已经加密,一般而言至少会采用DES的加密技术,如果要求更高的安全性也可以采用Triple
DES
的加密技术,更确保数据万一被拦截时,变成一堆乱码,无法辨识,如图三。
图三
VPN 通道的建立及设定
来源地址(10.1.2.0
/24)及目的地址(10.1.1.0/24),均可以透过【TC_VPN_1】及【TC_VPN_2】两条VPN通道沟通,并将这两条VPN通道合并成一个VPN骨干通称为【TC_VPN_Trunk_1】,【TC_VPN_1】可以是由数据专线建置,【TC_VPN_2】可以是由IP-VPN建置,因为这2种联机的速度较快,所以把他归类成同一个联机骨干。
相同的方式再建立一条透过因特网建立的VPN通道【TC_VPN_3】,但是并没有归类到VPN骨干【TC_VPN】中,而是把它称作【TC_VPN_Trunk_2】。
建立备援规则
从上面的范例,从来源地址(10.1.2.0
/24)及目的地址(10.1.1.0/24)有2条VPN骨干可以使用,分别是【TC_VPN_Trunk_1】及【TC_VPN_Trunk_2】,再透过管制条例的设定,如图四:
图四
VPN 骨干的优先级
建立两条VPN骨干的通讯规则,第1条,走【TC_VPN_Trunk_1】的VPN骨干,因为这一条线路是正常时运作的主干,速度快,反应时间短。第2条,走【TC_VPN_Trunk_2】的VPN骨干,当【TC_VPN_Trunk_1】不通时,设备自动转入第2条由因特网建立的VPN骨干。
所有从来源地址(10.1.2.0
/24)要到目的地址(10.1.1.0/24)的网络封包,就会由设备自动判断走哪一条VPN骨干是,如果所有的网络速度都是一样,也可以将3条VPN通道绑成一个VPN骨干,由设备自己判断该如何将网络封包安全地送到目的地。
VPN频宽倍增法
一般情况,两个端点以上并不是由数据专线、IP_VPN组合而成,但是又希望拥有数据专线的方便性及大量的VPN频宽,可以使用【VPN频宽倍增法】,在两端各申请2条以上的因特网联机,不论是
ADSL:、Cable
Modem甚至FTTB都可以,示意图如图五。
图五
VPN频宽倍增
3条因特网的联机建立成3条VPN通道,透过多路由设备的整合,把它合并成一条VPN骨干,所有网络封包通过多路由设备时,会自动转入任何一条有空的VPN通道,传输到对方,就好像拉了一条无限长的网络线到另外一端。如果3条各是
512K/512K 的线路,3条就相当于拉一条1.544M
的数据专线到另外一端,它所代表的节省成本,线路稳定度,速度,竞争力…等,都超过单独一个线路所代表的意义,况且,任何一条线路断线,除了速度受影响外,对于双方的使用者而言,没有任何改变。
远程存取(Point
to Site VPN)
因特网快速发展及笔记型计算机取代桌上型计算机的趋势,让行动办公室不再是高不可攀的方式,为数众多在外打拼的人员,如何让他们跟公司的互动更加密切,更快速地了解生产进度、销货情形。除了传统的电子邮件及实时通讯软件外,是否还有其它方法,让这一些人能够实时地、安全地进入公司的ERP系统、进销存系统操作企业机密的数据。
一般的做法是将这些数据以WEB的方式或使用特定Port号直接进入系统中操作,但是这样等于撤守防火墙的防线,开大门请有心人士直接攻击主机,如何在安全、保密、方便及预算中取得最佳的平衡点,Point
to Site 形式的VPN联机是一个最好的答案,如图六。
图六
PPTP 拨接VPN
在外人员取得IP地址是总公司内部的一部份网段,所以PPTP建立的VPN就好像透过因特网拉了一条无线长的网络线给笔记型计算机,当然可以使用公司内部的资源,又因为所有数据在因特网上传递都有加密,所以安全性获得确保。
五、结论
VPN对企业的帮助相当大,它大幅地降低联机成本、加快反应速度、增加企业竞争力,虽然有一些负面的考虑,但是整体而言,利多于弊,就好像一把刀,可以用来杀人、也可以保护自己,对于信息主管或企业主而言,选择功能完整的防火墙及VPN设备,就让事情成功一半。
|
