【正文】 2目 錄一、 網絡數(shù)據傳輸需求分析 ................................................................................................................3二、 網絡構建可行模式分析 ................................................................................................................4三、 VPN 相關技術背景介紹 ..............................................................................................................5四、 水利水電建設集團 VPN 解決方案 ...........................................................................................10五、 方案技術實現(xiàn) ..............................................................................................................................12六、 華為 3COM VPN 解決方案模塊 ...............................................................................................17. VPN 備份解決方案 .................................................................................................................17. 分支機構 VPN 連接解決方案 ................................................................................................18. 移動用戶接入解決方案 ..........................................................................................................20七、 VPN 設備配置建議 ....................................................................................................................22八、 相關案例 ......................................................................................................................................23 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 3一、網絡數(shù)據傳輸需求分析水利水電集團公司基本的網絡結構如上圖所示：以總公司局域網為核心，通過兩條 ISP 線路接入 Inter。缺點在于網絡連接性能低，不提供 QOS 保障，無法保證對實時業(yè)務的支持，無法滿足復雜業(yè)務處理的需求；網絡數(shù)據在 PSTN 傳輸，沒有任何安全措施，數(shù)據在傳輸過程中存在很大的安全風險；缺少足夠的訪問控制能力以及日志記錄能力，不能滿足事后審計需求。VPN（Virtual Private Network，虛擬私有網）是近年來隨著 Inter 的廣泛應用而迅速發(fā)展起來的一種新技術，實現(xiàn)在公用網絡上構建私人專用網絡。從 VPN 用戶角度看來，使用 VPN 與傳統(tǒng)專網沒有區(qū)別。易擴展，如果用戶想擴大 VPN 的容量和覆蓋范圍，企業(yè)可以與新的ISP 簽約，建立賬戶；或者與原有的 ISP 重簽合約，擴大服務范圍。利用公共網絡進行信息通訊，一方面使企業(yè)以明顯更低的成本連接遠地辦事機構、出差人員和業(yè)務伙伴，另一方面極大的提高了網絡的資源利用率。L2TP VPN 技術： 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 6L2TP VPN 技術將整個 PPP 幀封裝在二層隧道中進行數(shù)據傳輸，屬于二層隧道技術。3. 能夠實現(xiàn)網絡計費的靈活性，可以在 LAC 和 LNS 兩處同時計費，即 ISP 處（用于產生賬單）及企業(yè)處（用于付費及審記）。它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。目前有多數(shù)廠商的網絡設備均支持 GRE 隧道協(xié)議。 GRE 只提供了數(shù)據包的封裝，并沒有加密功能來防止網絡偵聽和攻擊，所以在實際環(huán)境中無法給用戶提供更好的安全性。當運營商向多個用戶提供這種方式的 VPN業(yè)務時會存在地址沖突的可能性。IPSec VPN 技術 ：IPSec VPN 技術屬于三層隧道 VPN 技術。與 AH 不同的是，ESP 認證功能不對 IP 數(shù)據報頭中的源和目的以及其它域認證，這為 ESP 帶來了一定的靈活性。驗證及加密的算法：認證算法，HMACMDHMACSHA1；加密算法，DES、3DES。IPSec 提供了如何使敏感數(shù)據在開放的網絡（如 Inter）中傳輸?shù)陌踩珯C制。它比較適用于對網絡數(shù)據保密要求高的用戶。 IPSec 的特點是較為適用于各分支機構之間的互聯(lián)，對于 IP 地址要求做較為完善的規(guī)劃，在一定程度上制約了 IPSec 的應用范圍。L2TP 二層隧道技術對于遠程接入的用戶認證可以提供很好的保證，一旦用戶認證通過就無法對傳輸數(shù)據的安全性保證了。在每個分公司部署 1 臺 SecPath100FE，連接運營商的 Inter 專線，通過與總公司SecPath1000F 之間建立 IPsec VPN 隧道，實現(xiàn)分支機構的廣域網接入，完成業(yè)務數(shù)據、語音 /.視頻，OA 等數(shù)據的 VPN 線路承載；SecPath100FE 還可兼做分公司出口防火墻，如果分公司內部已經有了防火墻，VPN 的部署位置可以放置在防火墻之后進行雙臂串行部署，如果分配VPN 設備的 IP 地址為內網地址，這個時候需要 VPN 設備使用 IPSec 協(xié)議通過防火墻做 NAT 穿越。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 12五、方案技術實現(xiàn)VPN 接入網關子系統(tǒng)：VPN 接入網關子系統(tǒng)是整個 VPN 接入的中心組件，由專用的 VPN 接入網關設備實現(xiàn)IPSec VPN 接入，完成整個移動用戶的匯接。配合防火墻、AAA 、 NAT、QoS 等技術，安全網關可以確保在開放的 Inter 上實現(xiàn)安全的、滿足可靠質量要求的私有網絡。并提供缺省配置，以使用戶初次使用本管理軟件時，能快速配置 IPSec VPN 設備，而無需進行過多配置及軟件使用學習。 水利水電建設集團 VPN 安全接入方案 華為 3Com 技術有限公司 13利用 QuidView 提供的解決方案可以輕易實現(xiàn)對于 VPN 網絡的信息監(jiān)視。BIMS 分支節(jié)點設備配置管理系統(tǒng)：實現(xiàn)從網絡管理中心來集中對網絡設備的管理，如配置文件下發(fā)、設備軟件升級等。BIMS 采用一種被動的方式對設備進行管理，即網管作為 Server，設備作為 Client，依靠設備周期性的主動訪問網管來實現(xiàn)對設備的管理。同時，為了保證通訊安全，BIMS 對傳輸?shù)南?shù)據進行加密處理。設備主動訪問 BIMS 管理中心時，上報設備當前的配置文件、設備軟件的特征信息，由 BIMS 管理中心來判斷是否需要對設備進行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點