1. 引言

随着公司业务的拓展，企业需要在公司总部以外设置各种分支机构，网络成为了多数公司总部与分部之间数据传输的必备桥梁。为了提升公司自身的数据的传输效率及数据的安全性，加强公司网络的安全建设必不可少，一个性能高效、安全稳定的网络能使得企业公司能够平稳运行，提高企业的工作效率 [1]。

VPN是一种能在公共网络中建立的一种专用数据通道，目前该技术在大型公司和企事业单位得到了广泛的使用，但由于网络安全设备的成本较高，一些技术诸如ACG及防火墙等较为复杂，使得该技术很难在中小公司应用 [2]。

本文提出一种基于VPN [3] 的公司总部与分部的互连网络，该网络设备少，通过简单的配置可以很方便的更改VPN连接，在公网上建立起如同专线一样的效果，产生了与NAT不同的效果，能够保证数据的安全。该网络使用SSL [4] 作为安全协议，可以为基于TCP技术的数据进行安全的传输。SSL VPN是以SSL的安全技术如认证加密等手段为基础开发出的VPN技术。SSL VPN主要是通过先连接到公司总部的网关然后再通过网关对内部资源访问 [5]，安全主要依靠它自身的加密等技术。具体为先在SSL VPN网关上创建接口，并配置能够发给客户端的路由表。用户使用客户端登录后，对网关进行连接，在经历了认证和授权后，网关会给虚拟网卡分配一个IP地址，再将可接入IP资源发给客户端。在客户端对资源进行访问时，报文会被SSL封装，在通过虚拟网卡发送到网关上，网关在解析后转发给服务器，服务器会产生报文再通过网关的帮助下发给客户端。该网络具有实现简单、成本低的特点，能够满足大部分中小公司的要求，对中小公司的VPN网络的普及具有重要的理论意义和实际价值。

2. 网络设计

2.1. 拓扑图

图1为运用虚拟机与模拟器实现的网络拓扑图，该网络将防火墙作为网关边缘设备，用到了核心交换机、接入交换机、POE交换机、AC控制器、无线AP等设备，模拟了公司本部和公司分部的VPN连接。公司总部网络采用由防火墙连接到核心交换机，再由核心交换机连接到接入交换机，最后由接入交换机连接到用户主机或无线AP的网络架构。公司分部网络采用由防火墙到接入交换机，接入交换机再连接到用户主机或无线AP的网络架构。虽然图中只有一个分部，但很容易据此推广到多分部的情形，下面不再累述。

2.2. 防火墙

防火墙采用H3C SecPath F1000-AK115，该设备吞吐量达到2 G，每秒新建连接数可以达到2万，并发连接也能达到50万，适用于中小公司的环境下使用。该防火墙支持IPSec、L2TP、SSL VPN满足了公司对于访问数据的需求，它能够基于地址等属性，配置入侵防御、防病毒、文件过滤、数据过滤、URL过滤、会话老化时间、日志记录等高级访问控制功能用来保护数据安全。同时防火墙还能实现对安全区域进行划分，对控制列表进行访问，配置策略保证数据的流向，动态的对无用的数据包进行过滤，创立黑名单禁止某些用户的访问，使MAC地址和IP地址绑定，基于MAC地址的对访问的IP地址进行限制创建列表等功能。

防火墙支持对DDoS攻击进行的防护，可以抵御多种多样的攻击，如SYN flood等攻击手段。它还拥有一些上网行为管理的功能，可以对一些常见的应用进行控制。也拥有一些行为审计的功能，可以对所作的事情进行记录。它支持的web页面管理也是一大亮点，因为这个我们可以不用特别对命令行深入了解，通过网页方式无疑大大降低了维护人员上手的难度。

2.3. 接入交换机

5130S-52P-EI这个型号作为接入交换机，他属于弱三层的交换机，支持OSPF等多数的三层协议，拥有48个千兆电口，减少了对核心交换机的端口数要求，与所选的核心交换机类似该设备也能使用智能管理平台利用图像化的界面方便管理。同时该设备支持对ARP攻击防御等安全技术来保护通信安全。

2.4. POE交换机

网络选择5130S-28P-PWR-EI作为POE交换机，它的供电要求只有185 W，供电功耗相对较低同时又能满足一般用户无线覆盖所需AP的供电要求。

2.5. 无线选型

网络选择AC控制器中性价比较高的WX2540H，该设备拥有1.6 G转发性能的同时还能够最大管理48个AP，此AC控制器还能对一些常见的如Dos攻击进行防御。这种AC支持专门对于CPU的保护机制，能够对发往CPU处理的报文进行控制，保证流量的正常，从而保证AC控制器能够在各种情况下能够正常工作。

3 设备的配置

3.1. 接口参数配置

将数据的接口打开然后输入对应的IP地址，如图1左侧的防火墙上面的g1/0/2接口Int g0/2

进入接口

Ip add 192.168.1.1255.255.255.0

将地址设为192.168.1.1，后面是掩码地址。

作为一个24网络位地址，当公司网络规模较大时，还可以通过借用主机位的方式增加我们可以使用的网段数量。

3.2. 路由配置

在输入各个接口后，将各个接口的地址宣告进OSPF协议 [6] 之中，具体如下：

OSPF 1

创建OSPF

Area 0

创建骨干区域0

Net 192.168.1.1 0.0.0.0

将地址信息录入OSPF路由表中

OSPF是常见的一种动态协议，通过有关于区域的定义对路由进行管理，必须使用area0才能够将不同区域连接起来，从而相互传输数据。

在防火墙处配置一个用来访问外网的静态路由

IP route-static 0.0.0.0 0.0.0.0 1.1.1.2

完成上述操作，公司的总部的网络之间和公司分部的网络之间可以分别连通了。

3.3. 进入WEB页面

使用自带的web界面对防火墙进行配置，这里需要先把地址改成与管理口同一网段的地址，因为只有当主机的地址与要接入的端口地址在一个网段时才能通信，本网络中这个的地址是192.168.0.1。

将防火墙管理口g1/0/1连接到主机的网口，然后再输入

security-zone name Trust

import interface g1/0/1

创建一个名为Trust的安全域并且将g1/0/1加入此安全域，防火墙拥有安全域的概念，只有不同的安全域才能进行访问，通过将各种接口划分进去，可以更加方便的对网络进行管理，增强安全性能

[H3C]object-policy ip ma

[H3C-object-policy-ip-ma]rule pass

创建策略并且使得流量可以得到顺利的通行

[H3C]zone-pair security source trust destination local

[H3C-zone-pair-security-Trust-Local]object-policy apply ipma

在trust安全域和local安全域之间使用刚刚写好的名为ma有利于流量的策略

[H3C]ip http en

[H3C]ip https en

local-user admin class ma

password simple admin

service-type http https

authorization-attribute user-role network-admin

创建一个管理员账号作为我们登录的依据，同样的要使用http协议，最下面那句是为了说明创建的是管理员用户。

接下来的图形化界面是为了建立IPSEC，是一种加密，但并没有建立起隧道。如图2所示，在出现的登录防火墙的界面上，用上面设置的用户账户登进去。

将接口手动输入IP地址，并划分到untrust安全域中，如果操作出了问题也可以在防火墙命令行输入下面内容：

Int g1/0/2

Ip add x.x.x.x

Int后面的内容要根据对应的链路接口修改，IPadd后面加上实际的地址和掩码。

最后再根据之前进入web界面的配置加入安全域，配置安全策略，使安全域间互通，因为默认安全域之间是不会互通的。

3.4. IPSEC的配置

为了协商算法和密钥的存在时间，首先需要配置一个IKE提议 [7]，配置IPSEC主要用来建立总部和分部的连接隧道。

使用OSPF将所有网络全部连接起来，在VPN-IPSEC监视视图中会出现如图3的效果。

3.5. GEE隧道

使用GRE的隧道技术使得网络能够互相通信 [8]。配置如下

interface tunnel 0 mode gre 配置一个隧道端口并将隧道模式设为GRE

ip address 10.5.1.2 255.255.255.0 对隧道地址进行配置

source 1.1.1.1 设置本端端口为源端口

destination 2.2.2.2 设置对端端口为目的地址

security-zone name Untrust

import interface Tunnel 0 将隧道配置到安全域中

3.6. L2tp配置

l2tp enable 允许l2tp协议

l2tp-group 1 mode lac 创建组1是lac模式

tunnel name LAC 配置隧道名称为tun

lns-ip 2.2.2.2 对端地址为2.2.2.2

tunnel authentication 打开隧道检验

tunnel password simple 123 设置隧道密码为123

interface virtual-ppp 1 建立虚拟接口

ip address ppp-negotiate 地址由对端发送

ppp pap local-user vpn password simple qwe 验证用户名为vpn，密码是qwe，使用pap验证

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 配置默认路由使得两个网关出口地址可以通信

interface virtual-ppp 1 进入虚拟口

l2tp-auto-client l2tp-group 1 使用组1建立连接，然后是右侧防火墙配置

local-user vpn class network 创建本地用户vpn

password simple qwe 密码是qwe

service-type ppp 使用ppp协议，创建接口Virtual-Template1，配置VT口IP地址，PPP认证方式为PAP，并指定为Client端分配IP地址为192.168.0.10。

interface virtual-template 1 创建虚拟口

ip address 10.10.10.10 24 地址为10.10.10.10

ppp authentication-mode pap 使用pap验证

remote address 10.10.10.1 对端地址发送10.10.10.1

security-zone name Untrust

import interface Virtual-Template 1 将虚拟口划分进安全域

acl basic 2100

rule permit source any 允许所有流量通过

zone-pair security source untrust destination local

packet-filter 2100 在从untrust到local中使用acl2000

domain system 配置system域

authentication ppp local 采用ppp本地认证

l2tp enable 打开l2tp功能

l2tp-group 1 mode lns 创建lns模式的组1

tunnel name tunnel 隧道名为tunnel

allow l2tp virtual-template 1 remote LAC 设置使用的虚拟口配置对端隧道名

tunnel authentication

tunnel password simple 123 将密码设为123

router id 1.1.1.1

3.7. 模拟器实现

通过虚拟机与模拟器，本文中所述的基于VPN的公司总部与分部的互连网络的模拟拓扑如图4所示，同时模拟结果较好的验证了该网络的有效性和安全性。

4. 结语

本文提出了一种于VPN的公司总部与分部的互连网络，并用虚拟机与模拟器实现了网络的拓扑设计。文中对网络的各种配置进行了详细说明。该网络可以在少设备、低成本的情况下，为中小公司的总部与分支机构的网络传输提供高效和安全的支持。

参考文献