【正文】 2目 錄一、 網(wǎng)絡(luò)數(shù)據(jù)傳輸需求分析 ................................................................................................................3二、 網(wǎng)絡(luò)構(gòu)建可行模式分析 ................................................................................................................4三、 VPN 相關(guān)技術(shù)背景介紹 ..............................................................................................................5四、 水利水電建設(shè)集團(tuán) VPN 解決方案 ...........................................................................................10五、 方案技術(shù)實(shí)現(xiàn) ..............................................................................................................................12六、 華為 3COM VPN 解決方案模塊 ...............................................................................................17. VPN 備份解決方案 .................................................................................................................17. 分支機(jī)構(gòu) VPN 連接解決方案 ................................................................................................18. 移動(dòng)用戶接入解決方案 ..........................................................................................................20七、 VPN 設(shè)備配置建議 ....................................................................................................................22八、 相關(guān)案例 ......................................................................................................................................23 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 3一、網(wǎng)絡(luò)數(shù)據(jù)傳輸需求分析水利水電集團(tuán)公司基本的網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示：以總公司局域網(wǎng)為核心，通過(guò)兩條 ISP 線路接入 Inter。缺點(diǎn)在于網(wǎng)絡(luò)連接性能低，不提供 QOS 保障，無(wú)法保證對(duì)實(shí)時(shí)業(yè)務(wù)的支持，無(wú)法滿足復(fù)雜業(yè)務(wù)處理的需求；網(wǎng)絡(luò)數(shù)據(jù)在 PSTN 傳輸，沒(méi)有任何安全措施，數(shù)據(jù)在傳輸過(guò)程中存在很大的安全風(fēng)險(xiǎn)；缺少足夠的訪問(wèn)控制能力以及日志記錄能力，不能滿足事后審計(jì)需求。VPN（Virtual Private Network，虛擬私有網(wǎng)）是近年來(lái)隨著 Inter 的廣泛應(yīng)用而迅速發(fā)展起來(lái)的一種新技術(shù)，實(shí)現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專(zhuān)用網(wǎng)絡(luò)。從 VPN 用戶角度看來(lái)，使用 VPN 與傳統(tǒng)專(zhuān)網(wǎng)沒(méi)有區(qū)別。易擴(kuò)展，如果用戶想擴(kuò)大 VPN 的容量和覆蓋范圍，企業(yè)可以與新的ISP 簽約，建立賬戶；或者與原有的 ISP 重簽合約，擴(kuò)大服務(wù)范圍。利用公共網(wǎng)絡(luò)進(jìn)行信息通訊，一方面使企業(yè)以明顯更低的成本連接遠(yuǎn)地辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴，另一方面極大的提高了網(wǎng)絡(luò)的資源利用率。L2TP VPN 技術(shù)： 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 6L2TP VPN 技術(shù)將整個(gè) PPP 幀封裝在二層隧道中進(jìn)行數(shù)據(jù)傳輸，屬于二層隧道技術(shù)。3. 能夠?qū)崿F(xiàn)網(wǎng)絡(luò)計(jì)費(fèi)的靈活性，可以在 LAC 和 LNS 兩處同時(shí)計(jì)費(fèi)，即 ISP 處（用于產(chǎn)生賬單）及企業(yè)處（用于付費(fèi)及審記）。它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持 GRE 隧道協(xié)議。 GRE 只提供了數(shù)據(jù)包的封裝，并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊，所以在實(shí)際環(huán)境中無(wú)法給用戶提供更好的安全性。當(dāng)運(yùn)營(yíng)商向多個(gè)用戶提供這種方式的 VPN業(yè)務(wù)時(shí)會(huì)存在地址沖突的可能性。IPSec VPN 技術(shù) ：IPSec VPN 技術(shù)屬于三層隧道 VPN 技術(shù)。與 AH 不同的是，ESP 認(rèn)證功能不對(duì) IP 數(shù)據(jù)報(bào)頭中的源和目的以及其它域認(rèn)證，這為 ESP 帶來(lái)了一定的靈活性。驗(yàn)證及加密的算法：認(rèn)證算法，HMACMDHMACSHA1；加密算法，DES、3DES。IPSec 提供了如何使敏感數(shù)據(jù)在開(kāi)放的網(wǎng)絡(luò)（如 Inter）中傳輸?shù)陌踩珯C(jī)制。它比較適用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)保密要求高的用戶。 IPSec 的特點(diǎn)是較為適用于各分支機(jī)構(gòu)之間的互聯(lián)，對(duì)于 IP 地址要求做較為完善的規(guī)劃，在一定程度上制約了 IPSec 的應(yīng)用范圍。L2TP 二層隧道技術(shù)對(duì)于遠(yuǎn)程接入的用戶認(rèn)證可以提供很好的保證，一旦用戶認(rèn)證通過(guò)就無(wú)法對(duì)傳輸數(shù)據(jù)的安全性保證了。在每個(gè)分公司部署 1 臺(tái) SecPath100FE，連接運(yùn)營(yíng)商的 Inter 專(zhuān)線，通過(guò)與總公司SecPath1000F 之間建立 IPsec VPN 隧道，實(shí)現(xiàn)分支機(jī)構(gòu)的廣域網(wǎng)接入，完成業(yè)務(wù)數(shù)據(jù)、語(yǔ)音 /.視頻，OA 等數(shù)據(jù)的 VPN 線路承載；SecPath100FE 還可兼做分公司出口防火墻，如果分公司內(nèi)部已經(jīng)有了防火墻，VPN 的部署位置可以放置在防火墻之后進(jìn)行雙臂串行部署，如果分配VPN 設(shè)備的 IP 地址為內(nèi)網(wǎng)地址，這個(gè)時(shí)候需要 VPN 設(shè)備使用 IPSec 協(xié)議通過(guò)防火墻做 NAT 穿越。 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 12五、方案技術(shù)實(shí)現(xiàn)VPN 接入網(wǎng)關(guān)子系統(tǒng)：VPN 接入網(wǎng)關(guān)子系統(tǒng)是整個(gè) VPN 接入的中心組件，由專(zhuān)用的 VPN 接入網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)IPSec VPN 接入，完成整個(gè)移動(dòng)用戶的匯接。配合防火墻、AAA 、 NAT、QoS 等技術(shù)，安全網(wǎng)關(guān)可以確保在開(kāi)放的 Inter 上實(shí)現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡(luò)。并提供缺省配置，以使用戶初次使用本管理軟件時(shí)，能快速配置 IPSec VPN 設(shè)備，而無(wú)需進(jìn)行過(guò)多配置及軟件使用學(xué)習(xí)。 水利水電建設(shè)集團(tuán) VPN 安全接入方案 華為 3Com 技術(shù)有限公司 13利用 QuidView 提供的解決方案可以輕易實(shí)現(xiàn)對(duì)于 VPN 網(wǎng)絡(luò)的信息監(jiān)視。BIMS 分支節(jié)點(diǎn)設(shè)備配置管理系統(tǒng)：實(shí)現(xiàn)從網(wǎng)絡(luò)管理中心來(lái)集中對(duì)網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級(jí)等。BIMS 采用一種被動(dòng)的方式對(duì)設(shè)備進(jìn)行管理，即網(wǎng)管作為 Server，設(shè)備作為 Client，依靠設(shè)備周期性的主動(dòng)訪問(wèn)網(wǎng)管來(lái)實(shí)現(xiàn)對(duì)設(shè)備的管理。同時(shí)，為了保證通訊安全，BIMS 對(duì)傳輸?shù)南?shù)據(jù)進(jìn)行加密處理。設(shè)備主動(dòng)訪問(wèn) BIMS 管理中心時(shí)，上報(bào)設(shè)備當(dāng)前的配置文件、設(shè)備軟件的特征信息，由 BIMS 管理中心來(lái)判斷是否需要對(duì)設(shè)備進(jìn)行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點(diǎn)