【文章內(nèi)容簡介】 華為 3Com 技術(shù)有限公司 10四、水利水電建設(shè)集團 VPN 解決方案華為 3Com VPN 解決方案通過組合采用 L2TP VPN、IPSec VPN 以及 SSL VPN 等多種方式，實現(xiàn)了用低成本，高安全性的 VPN 連接，可以靈活的構(gòu)建多種模式的 VPN 網(wǎng)絡(luò)，全面適應(yīng)不同網(wǎng)絡(luò)數(shù)據(jù)流動的需求。SecPath10FSecPath10FESecPath10FEVPNSecPath10FESecPoint＋ SecKy水 利 水 電 集團 總 公 司省 分 公 司 移 動 辦 公網(wǎng) 管 系 統(tǒng)VPN管 理 平 臺BIMS系 統(tǒng)SecPath10FEVN VPN省 分 公 司 省 分 公 司在總公司部署 2 臺 SecPath1000F，分別連接不同運營商的 Inter 專線，實現(xiàn)總公司接入網(wǎng)關(guān)的互備和負載分擔，同時還可以實現(xiàn)對通過不同運營商線路上聯(lián)的分支機構(gòu)的最優(yōu)接入；SecPath1000F 還兼做總公司的出口防火墻。在每個分公司部署 1 臺 SecPath100FE，連接運營商的 Inter 專線，通過與總公司SecPath1000F 之間建立 IPsec VPN 隧道，實現(xiàn)分支機構(gòu)的廣域網(wǎng)接入，完成業(yè)務(wù)數(shù)據(jù)、語音 /.視頻，OA 等數(shù)據(jù)的 VPN 線路承載；SecPath100FE 還可兼做分公司出口防火墻，如果分公司內(nèi)部已經(jīng)有了防火墻，VPN 的部署位置可以放置在防火墻之后進行雙臂串行部署，如果分配VPN 設(shè)備的 IP 地址為內(nèi)網(wǎng)地址，這個時候需要 VPN 設(shè)備使用 IPSec 協(xié)議通過防火墻做 NAT 穿越。 水利水電建設(shè)集團 VPN 安全接入方案 華為 3Com 技術(shù)有限公司 11對于移動辦公用戶，采用 SecPoint VPN 客戶端軟件和 SecKey 硬件認證方式，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的訪問。作為 VPN 互聯(lián)方案非常重要的一部分，還需要在總公司部署 VPN Manager 管理系統(tǒng)和BIMS（分支節(jié)點設(shè)備配置管理系統(tǒng)）。VPN Manager 實現(xiàn)設(shè)備管理、拓撲管理、VPN 監(jiān)控、VPN 引導(dǎo)部署、連接監(jiān)控以及網(wǎng)絡(luò)管理等功能，BIMS 完成設(shè)備配置文件管理、配置文件自動更新以及 VRP 版本管理等功能。 水利水電建設(shè)集團 VPN 安全接入方案 華為 3Com 技術(shù)有限公司 12五、方案技術(shù)實現(xiàn)VPN 接入網(wǎng)關(guān)子系統(tǒng)：VPN 接入網(wǎng)關(guān)子系統(tǒng)是整個 VPN 接入的中心組件，由專用的 VPN 接入網(wǎng)關(guān)設(shè)備實現(xiàn)IPSec VPN 接入，完成整個移動用戶的匯接。華為 3Com 推出了全系列的專用 VPN 網(wǎng)關(guān)設(shè)備，具有非常高的性能特性以及豐富的功能特性。Quidway174。 SecPath 系列 VPN 安全網(wǎng)關(guān)是華為 3Com 公司面向企業(yè)用戶開發(fā)的新一代專業(yè)安全網(wǎng)關(guān)設(shè)備；支持防火墻、AAA、NAT、QoS 等技術(shù)，可以確保在開放的 Inter 上實現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡(luò)；支持多種 VPN 業(yè)務(wù)，如 L2TP VPN、IPSec VPN、GRE VPN、華為動態(tài) VPN、MPLS VPN、SSL VPN 等，可以針對客戶需求通過撥號、租用線、VLAN 或隧道等方式接入遠端用戶，構(gòu)建 Inter、Intra 、Access 等多種形式的 VPN。配合防火墻、AAA 、 NAT、QoS 等技術(shù)，安全網(wǎng)關(guān)可以確保在開放的 Inter 上實現(xiàn)安全的、滿足可靠質(zhì)量要求的私有網(wǎng)絡(luò)。VPN 管理子系統(tǒng)：VPN 管理子系統(tǒng)由兩個組件組成：華為 3Com VPN Manager 系統(tǒng)以及華為 3Com BIMS 分支智能管理系統(tǒng)。華為 3Com VPN Manager 系統(tǒng)：以用戶實際配置任務(wù)為驅(qū)動，提供 IPSec VPN 業(yè)務(wù)配置向?qū)?，指?dǎo)用戶進行 IPSec VPN 設(shè)備配置，構(gòu)建 VPN 網(wǎng)絡(luò)。在配置業(yè)務(wù)中，提供預(yù)定義配置參數(shù)功能，以方便高級用戶預(yù)定義、重用配置信息。并提供缺省配置，以使用戶初次使用本管理軟件時，能快速配置 IPSec VPN 設(shè)備，而無需進行過多配置及軟件使用學習。為了避免在設(shè)備上留下冗余的配置信息，支持“清除” 功能，能夠在重新配置以及配置命令下發(fā)過程中出現(xiàn)失敗的情況下，清除設(shè)備已配置的信息。為了管理方便，以網(wǎng)絡(luò)域為配置單位，減少配置操作，對網(wǎng)絡(luò)域的配置會自動賦予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對網(wǎng)絡(luò)域內(nèi)所有設(shè)備進行相同配置部署。同時，用戶也可指定某個設(shè)備的特殊配置。 水利水電建設(shè)集團 VPN 安全接入方案 華為 3Com 技術(shù)有限公司 13利用 QuidView 提供的解決方案可以輕易實現(xiàn)對于 VPN 網(wǎng)絡(luò)的信息監(jiān)視。QuidView NMF框架可以打開 IPSec VPN 的全網(wǎng)拓撲圖，可以在 IPSec VPN 視圖中直觀顯示全網(wǎng)設(shè)備及設(shè)備的運行狀態(tài)。QuidView VMM 組件可以有效監(jiān)視 IPSec 設(shè)備的運行性能，提供豐富的性能管理功能。包括支持對 IPSec VPN 網(wǎng)關(guān) CPU 利用率等關(guān)鍵指標的監(jiān)視；支持對 IPSec、IKE 隧道的監(jiān)視； 支持對協(xié)商過程的監(jiān)視；并提供折線圖、直方圖、餅圖等多種顯示方式直觀的把 VPN 性能數(shù)據(jù)顯示給用戶；支持 At a Glance、TopN 功能，使用戶能夠?qū)?CPU 利用率、流量等關(guān)鍵指標一目了然；提供報表導(dǎo)出和基于歷史數(shù)據(jù)的分析，為用戶網(wǎng)絡(luò)擴容、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障；支持對用戶關(guān)心的性能參數(shù)設(shè)定閾值，當超過設(shè)定的閾值后，系統(tǒng)將會發(fā)送性能告警，使網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的隱患。BIMS 分支節(jié)點設(shè)備配置管理系統(tǒng)：實現(xiàn)從網(wǎng)絡(luò)管理中心來集中對網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級等。傳統(tǒng)網(wǎng)管主要通過 SNMP、Tel 等協(xié)議來實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管側(cè)知道被管設(shè)備的 IP 地址，并且可以主動向設(shè)備發(fā)起請求并建立連接。如果設(shè) 水利水電建設(shè)集團 VPN 安全接入方案 華為 3Com 技術(shù)有限公司 14備的 IP 地址不固定，就增加了主動管理的難度；如果設(shè)備位于 NAT 網(wǎng)關(guān)后面，基本上沒有什么有效的管理手段。BIMS（Branch Intelligent Management System）就是要解決上述問題，實現(xiàn)對動態(tài)獲取 IP 地址的設(shè)備或位于 NAT 網(wǎng)關(guān)后面的分支網(wǎng)點設(shè)備的集中、有效的監(jiān)控和管理，尤其在對業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備進行管理時，BIMS 會極大提高管理的效率，大大節(jié)約管理成本。BIMS 采用一種被動的方式對設(shè)備進行管理，即網(wǎng)管作為 Server，設(shè)備作為 Client，依靠設(shè)備周期性的主動訪問網(wǎng)管來實現(xiàn)對設(shè)備的管理。因為連接是由設(shè)備主動發(fā)起的，所以設(shè)備 IP 地址變化不會對連接的建立產(chǎn)生阻礙，即便設(shè)備位于私網(wǎng)內(nèi)，也可穿透 NAT 建立連接。網(wǎng)管通過一個固定的、全網(wǎng)唯一的 ID 來識別設(shè)備，而不再依賴于設(shè)備的 IP 地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng) IP 地址或 IP 地址經(jīng)常變化都不會影響網(wǎng)管對設(shè)備的識別。BIMS 網(wǎng)管側(cè)與設(shè)備側(cè)之間通過HTTP 協(xié)議進行通訊，采用 HTTP 進行通信的優(yōu)勢在于其可方便的穿透防火墻，而且協(xié)議簡單、易擴展。同時，為了保證通訊安全，BIMS 對傳輸?shù)南?shù)據(jù)進行加密處理。BIMS 管理解決方案分兩部分，分支網(wǎng)點設(shè)備側(cè)和管理中心側(cè)，分支網(wǎng)點設(shè)備包括華為SecPath10/100 系列安全網(wǎng)關(guān)、3Com AR 系列接入路由器等，管理中心側(cè)由 Quidview BIMS管理組件實現(xiàn)。設(shè)備側(cè)和管理中心側(cè)采用 協(xié)議進行通信，BIMS 管理中心側(cè)作為 Server，設(shè)備側(cè)作為 Client，設(shè)備通過定期訪問管理中心側(cè)來實現(xiàn)相互通信并完成設(shè)備的管理。設(shè)備和管理中心采用 協(xié)議進行通信的優(yōu)勢在于其可穿透絕大多數(shù)的