企业VPN解决专业方案.docx

1、第一章 XXXXX VPN网络建设需求 XXXXXX因为业务发展需要,拟建立跨省范围内VPN业务专网。VPN网络建立在互联网之上，使XXXXXX总部和各个分支机构用户依据不一样业务需要可灵活接入到VPN内部专网，全部用户依靠该网络还可按策略访问互联网。该方案目标为实现每个分企业局域网到总部局域网互通和每个分企业局域网互通VPN优点VPN是计算机网络新技术，它将使Internet成为一个商业工具，并为Internet和Extranet应用带来良好前景。VPN技术关键目标是节省企业通信费用，尤其是替换企业已经有专线，而且提升企业网络可管理性，降低企业通信成本。具体而言，VPN含有以下显著优点：1、

2、降低成本当使用Internet时，实际上只需要付短途电话费，却收到了长途通信效果。所以，借助ISP来建立VPN，就能够节省大量通信费，另外，VPN还能够使企业无须投入大量人力和物力去安装和维护WAN设备和远程访问设备。2、轻易扩展支持多个隧道实现方法，而且网络是动态，能够随时增减用户，便于集中控制访问权限。假如企业想扩大VPN容量和覆盖范围，企业做事情极少，而且能立时实现；企业只需和新ISP签约，建立帐户；或和原有ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单：几条命令就能够使Extranet路由器含有Internet和VPN能力，路由器还能对工作站自动进行配置。3、可随意和

3、合作伙伴联网在过去企业如想和合作伙伴联网，双方信息技术部门就必需协商怎样在双方之间建自助用线路或帧中继线路，有了VPN以后，这种协商毫无必需，真正达成了要连就连、要断就断。4、完全控制主动权VPN使企业能够使用NSP设施和服务，同时又完全掌握着自己网络控制权。比方说，企业能够把拨号访问交给NSP去做，由自己负责用户查验、访问权、网络地址、安全性和网络改变管理等关键工作。5、便于兼容传统远程拨号网络服务只支持注册IP地址，限定了用户企业网络访问。而VPN实现支持多个网络层协议和没有注册专用IP地址，很好处理了Internet公网和专网兼容性问题。VPN应用方案 内部专网采取安全成熟 IPsec

4、VPN技术来建立VPN网络，VPN采取企业内联网方案第二章 VPN网络方案提议依据XXXXXX多层接入，并按需分配权限特点，我们提议网络方案以下:l 系统组成依据需求，含有IPsec VPN和防火墙功效(设备)千兆安全网关架设在XXXXXX总部，连接到互联网，提供VPN 主站点服务，许可各分支拨入。分支机构选择(设备)千兆安全网关接入互联网，和总部建立IPsec VPN通道，依据权限访问专网资源。l 集团中心VPN方案做为XXXXXX总部，选择百兆(设备)安全网关做为出口，出口经过运行商接入互联网，支持来自互联网VPN拨入。安全网关提供VPN和防火墙功效，可灵活控制内网用户访问互联网及VPN访

5、问。建立动态域名（DDNS）服务器，直接连接到安全网关设备上。l 各远程接入用户连接VPN方案分支机构采取ADSL拨入接入互联网，安全网关使用动态IP地址，全部用户经过(设备)千兆安全网关接入互联网，利用安全网关防火墙功效控制互联网访问权限，并经过安全网关和集团总部或其它地域建立VPN，访问专用资源。IPsec VPN 是建立一条双方信任数据加密通道，通信双方必需知道对端IP信息，分支机构使用(设备)安全网关能够在总部IP固定情况下，单项建立VPN连接请求，总部安全网关接收到该请求后得到分支VPN拨入设备IP信息，从而建立双向完整VPN通道。(设备)VPN设备之间或VPN设备和用户端设备之间在

6、建立隧道时候支持明密结合隧道方法，也就是说：设在不一样地理位置分企业和总企业职员经过VPN设备能够象在同一局域网内部进行相互访问，资源共享，方便用户使用，经过VPN设备对穿越Internet数据进行加密，确保数据机密性。同时总部和分部全部能够经过(设备)VPN设备做NAT访问Internet，确保了日常办公正常进行，从而建立起明密结合VPN隧道，安全、便捷进行网络应用和办公自动化顺利、安全进行。(设备)VPN是和防火墙集成在一起，所以在VPN建立隧道以后能够经过防火墙对建立VPN隧道双方进行访问控制，能够依据VPN访问源和目标地址、源和目标端口、IP协议号、VLAN信息等进行控制，确保了VPN

7、互连以后企业网络安全性。l 安全网关设备管理全部安全网关设备采取集中管理方法，总部安装集中管理软件后经过和安全网关设备唯一匹配密钥验证来和设备通信，实现远程集中管理。管理中心能够授权新增、更改、删除安全网关包含路由、策略等全部配置。安全网关本身包含了防火墙模块，对包含DDoS等各类网络攻击有很强有力防范抵御功效。集中管理器和安全网关通信也是cast128位加密通信，保障管理安全性。l 安全网关稳定可靠千兆安全网关选择NP架构平台，精简硬件架构，平均无故障时间超出40000小时，千兆安全网关含有4个对称设计接口并集成了一个6个端口交换机可满足以后网络扩展需要。l 功效实现远程接入点采取专线或AD

8、SL拨号接入，有固定IP地址或浮动IP地址。远程接入点能够和在平台内，含有接入功效全部VPN网关建立连接，而且平台实现单点接入，全网访问。异地机构采取浮动IP地址，能够直接进行数据交换，并能立即更新VPN路由表。中心采取固定IP地址，全部异地机构采取浮动IP地址，异地机构之间数据交换经过在总部注册动态地址，异地安全网关设备间经过动态域名方法建立VPN连接数据交换能够不经过中心。第三章 (设备) VPN功效(设备)VPN支持多个接入模式，能够在不一样网络环境很方便、灵活建立VPN隧道；同时含有强大加密和认证功效，确保数据在Internet上传输安全性。3.1明密结合VPN接入(设备)VPN设备之

9、间或VPN设备和用户端设备之间在建立隧道时候支持明密结合隧道方法，也就是说：设在不一样地理位置分企业和总企业职员经过VPN设备能够象在同一局域网内部进行相互访问，资源共享，方便用户使用，经过VPN设备对穿越Internet数据进行加密，确保数据机密性。同时总部和分部全部能够经过(设备)VPN设备做NAT访问Internet，确保了日常办公正常进行，从而建立起明密结合VPN隧道，安全、便捷进行网络应用和办公自动化顺利、安全进行。3.2 动态IPVPN接入(设备)VPN支持动态IPVPN接入，能够依据指定对方VPN设备IP地址或域名建立VPN隧道。所以只需为动态IP地址申请一个无偿动态域名，(设备

10、)VPN依据申请到域名建立隧道，从而实现了动态IP地址VPN接入。3.3 DHCP OVER IPSEC很多网络经过DHCP方法管理网络中IP地址，从而有效避免了网络中IP地址冲突而且简化了IP地址管理。假如一个集团全部用这中方法进行IP地址管理，就需要有多少个分企业配置多少台DHCP服务器。(设备)VPN设备建立VPN隧道以后，只需要在总部设置一台VPN设备，经过DHCP OVER IPSEC功效就能够经过总部DHCP服务器为各个分企业分配动态IP地址，节省了网络建设投资。3.4 NAT穿越IPSec封装协议封装后数据包，假如经过NAT网关设备，封装包头地址被替换，封装包完整性就会遭到破坏，

11、造成认证失败，VPN隧道无法建立。所以假如VPN隧道之间有NAT网关设备存在，VPN隧道将无法建立。(设备)VPN经过独特IPSec代理技术，处理了这一技术难题，使VPN隧道能够在NAT环境中自由穿越所以能够经过NAT设备以后建立VPN隧道。NAT穿越包含用户端穿越和VPN设备之间穿越。3.5 VPN接入访问控制(设备)VPN是和防火墙集成在一起，所以在VPN建立隧道以后能够经过防火墙对建立VPN隧道双方进行访问控制，能够依据VPN访问源和目标地址、源和目标端口、IP协议号、VLAN信息等进行控制，确保了VPN互连以后企业网络安全性。3.6 VPN带宽QOS确保VPN隧道建立以后会和网络中其它

12、应用（比如：企业用户从Internet下载东西、看网络电影等）共同占据企业线路租用带宽，此时留给VPN带宽就很有限了。为了确保企业之间VPN访问顺利进行，能够对VPN带宽进行确保，从而确保企业之间能够顺利相互访问。3.7 VPN内QOS确保很多用户建立VPN隧道以后经过VOIP设备能够实现企业之间无偿打IP电话或视频电话,同时进行企业之间数据相互传输，实现了语音、图像、数据同时传输，而语音信息要求时时性比较强，不然对方就听不清讲话内容，而数据信息就不存在这么问题，所以需要对语音信息作带宽确保。(设备)防火墙含有CoS/QoS功效，使网络能够支持关键任务或实时数据流和较低优先等级数据优先传输。(

13、设备)防火墙经过定义管道方法提供COS/QOS功效，而且管道没有数量限制，能够基于IP、基于协议、基于接口、VLAN等信息进行带宽管理。而且在管道内部能够实现数据包负载均衡，从而确保关键数据服务质量。总体来说，含有以下特点： 带宽限制 带宽确保 优先级控制 动态流量均衡3.8 数据机密性保护要想保护用户信息在公用数据链路上传输过程中不被泄漏出去，确保用户数据机密性，必需对数据进行加密。VPN设备之间和VPN设备和VPN用户端软件支持AES、3DES、DES、Twofish等多个加密算法，经过加密确保数据机密性。3.9数据完整性保护除了能够确保数据机密性外，VPN设备之间还提供了IP数据包完整性

14、和认证机制。完整性确保数据报不被无意或恶意方法被篡改，而认证则提供验证数据起源（主机、用户、网络等）。在实际过程中，VPN设备经过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务，一个消息文摘就是一个特定单向数据函数。它能够创建数据报唯一数字指纹。(设备)VPN支持MD5和SHA两种HASH运算。3.10确保数据不可否认性数据不可否认性用来预防有些人发送数据包后因某种原因反悔，否认自己曾发过此数据。VPN设备经过在整个IP数据报中实施一个消息摘要后，用自己私钥对摘要进行加密。等到数据抵达对方后，再用对应公钥对摘要进行解密，然后再和重新对数据做摘要进行对比。二者相同，则可认定此数据包肯定是对方发出。因为加密私钥只有对应人员知道，所以经过此种方法能够确保数据不可否认性。3.11 VPN集中管理(设备)VPN管理器能够对多台VPN设备进行统一、集中管理，方便用户在一台管理器上对多个VPN设备远程管理。而且能够定义全局服务、对象名称，提供对全部VPN设备策略修改、上传、下载功效。从而实现统一集中管理。