油气行业办公管理网广域网VPN系统

摘 要中国石油的VPN业务是中国石油针对自身业务特点——下属分布地域较广、所涉及业务众多,从而导致各地区业务交互量庞大、业务人员流动较频繁等情况而设置,VPN怎么写作业务的主要目的是为出差在外、特殊业务需求用户,使用外部Inter网络安全的访问中国石油内部网络.了解VPN系统也是在工作的过程中,再通过慢慢摸索学习和实践,逐步掌握了整个VPN使用的情况和结构.

关 键 词VPN；SSL；负载均衡；DNS怎么写作器；网管；映射关系；移动终端

中图分类号：TN915文献标识码：A文章编号：1671-7597（2013）20-0106-01

中国石油VPN业务的主要的设备使用情况是VPN系统使用的华为厂商产品,北京数据中心有18台VPN网关设备,两台负载均衡设备,各个地区网络中心内分别部署了18台VPN网关设备.其中北京数据中心的18台VPN网关设备通过千兆以太网线分别双上联到交换机.其中9台SVN3000（电信、网通、铁通3家运营商各3台）以勘探院命名（例如：VPN-KTY-DX-1）,6台VPN网关设备（电信、网通2家运营商各3台）供国内使用,另外3台VPN网关设备作为中国石油海外用户使用.其中网通6台设备与海外VPN写作技巧3台设备通过两台交换机上联到北京区域网络中心（部署在北京数据中心内部）外网DMZ区域,剩余VPN系统的9台设备、1台负载均衡设备与两台核心交换机VPN-Switch-1、VPN-Switch-2上联至中国石油数据中心外网DMZ区域.

VPN业务的主要结构是VPN首页挂在北京数据中心电信的VPN设备上,用户访问VPN首页系统时,先连接到一个静态的首页,然后选择使用哪种方式登入VPN,包括证书用户和海外用户两种.选择后浏览器会向本地DNS请求域名解析,客户的本地DNS将请求发送到中国石油的DNS域名怎么写作器,然后中国石油DNS怎么写作器将域名地址解析委派给负载均衡设备,负载均衡设备基于客户端本地dns,为用户解析并指派地域上最接近用户的VPN设备的网关地址的IP地址,用户的DNS将VPN网关地址返回给用户,最后用户就可以成功的登录到指定的VPN网关,然后用户通过整个广域网的防火墙映射,及网络安全域（DMZ区出口）所属的防火墙、数据内容审计发现设备等安全设备,向内网的VPN设备寻求验证,VPN设备将验证信息发往中国石油内网的认证怎么写作器去认证,其中还要与身份认证的系统结合,得到授权以后,方能登陆VPN系统,即客户端会在登录后从内网的地址池中获得一个内网的IP地址,其报文中还有ssl加密协议,之后就可以进行对中国石油内网的访问.

其中还有些技术细节需要讨论.

1身份认证与LDAP的结合

现网的身份认证系统和LDAP系统是弱耦合的方式来进行认证,即本人的可以使用其他人的USB-KEY进行认证登录,而所有的VPN系统的授权的权限是由邮件组进行管理的.如果VPN出现安全攻击以及数据泄密,无法锁定责任人,所以要进行紧耦合的认证方式.主要思路是将身份认证的USB-key的序列号与AD的映射关系存放在本地搭建的LDAP怎么写作器中,然后由本地的LDAP数据库向邮件组的AD怎么写作器发起认证,即将用户名与发到AD怎么写作器上两项验证通过方可登录VPN系统.

2VPN在内网中的路由设计和规划

如图1所示.

图1内网VPN路由规划

安全域DMZ交换机之间COST值设计为200；安全域DMZ交换机与VPN系统中交换机之间COST值设计为`100；设计VPN系统中交换机VPN-SW-1、VPN-SW-2运行OSPF之间的COST值设计为100.VPN-SW-1与VPN-DX-1、VPN-DX-2、VPN-DX-3、VPN-DX-4（海外节点）、VPN-DX-5、VPN-DX-6（测试节点）、VPN-TT-1、VPN-TT-2、VPN-TT-3、这9台SVN3000设备之间的COST值设计相同为10,VPN-SW-2与VPN网关设备之间的COST值设计为20.

在广域网数据中心核心路由器上使用静态路由将VPN网关设备的管理地址、VPN网关业务地址指向安全域防火墙上,并在B侧BGP发布精细路由,保证访问通过广域网数据中心A侧下行,北京数据中心A侧路由备份.这样根据路由匹配的原则,下行流量就会主走A侧的路由到达VPN设备；在数据中心A＼B侧OSPF中引入路由,数据中心接入交换机通过B侧学习最优路由,保证访问数据中心B侧下行,数据中心A侧路由备份.VPN网关设备在OSPF中发布了VPN的管理地址和业务地址,DMZ-交换机-1通过OSPF学习到2条路由,通过COST计算经过VPN-交换机-1学习到此路由最优,这样根据路由匹配的原则,下行流量通过A侧的路由到达VPN网关设备.