吉通：VPN解決方案

2019-11-04 21:21:34

字體：大中小

供稿：網(wǎng)友

　　傳統(tǒng)的企業(yè)專網(wǎng)是通過租用點(diǎn)到點(diǎn)的長途DDN鏈路組建而成的。不僅建設(shè)周期長，投資大，費(fèi)用高，而且一旦長途鏈路發(fā)生故障，維護(hù)起來也很困難，可能會影響整個(gè)網(wǎng)絡(luò)的正常通訊。
　　
　　　　虛擬專網(wǎng)VPN（Virtual PRivate Network）則很好的解決了上述問題。VPN是指在共用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)結(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)建設(shè)所需的點(diǎn)到點(diǎn)的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商ISP所提供的網(wǎng)絡(luò)平臺之上的邏輯網(wǎng)絡(luò)。用戶的數(shù)據(jù)是通過ISP在公共網(wǎng)絡(luò)（Internet）中建立的邏輯隧道（Tunnel），即點(diǎn)到點(diǎn)的虛擬專線進(jìn)行傳輸?shù)摹Ｍㄟ^相應(yīng)的加密和認(rèn)證技術(shù)來保證用戶內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)在公網(wǎng)上安全傳輸，從而真正實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。
　　
　　　　吉通VPN接入方案
　　
　　　　當(dāng)今可以用于實(shí)現(xiàn)VPN的技術(shù)很多，其中ipsec是主要用于在網(wǎng)絡(luò)層實(shí)現(xiàn)VPN的技術(shù)。根據(jù)用戶對在內(nèi)部網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性和處理速度要求的情況，可采用Ipsec技術(shù)組建企業(yè)Intranet VPN。此項(xiàng)技術(shù)適用于對網(wǎng)絡(luò)數(shù)據(jù)保密要求高的用戶.
　　
　　　　Ipsec技術(shù)方案解析
　　
　　　　IPSec是由IETF開發(fā)的一個(gè)國際標(biāo)準(zhǔn)，是一個(gè)開放的安全性的體系結(jié)構(gòu)。
　　
　　　　IPSec提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)（如Internet）中傳輸?shù)陌踩珯C(jī)制。IPSec工作在網(wǎng)絡(luò)層，在參加IPSec的設(shè)備間（如路由器）為數(shù)據(jù)的傳輸提供保護(hù)，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認(rèn)證。
　　
　　　　IPSec不是某種非凡的加密算法或認(rèn)證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種非凡的加密算法或認(rèn)證算法，它只是一個(gè)開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密或認(rèn)證的實(shí)現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實(shí)現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)。這有利于數(shù)據(jù)安全方面的措施進(jìn)一步發(fā)展和標(biāo)準(zhǔn)化。同時(shí)，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實(shí)施。
　　
　　　　隨著IPSec在網(wǎng)絡(luò)中的實(shí)施，數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸可以免受Observation觀察、Modification修改或Spoofing欺騙。這使得網(wǎng)絡(luò)層的VPN實(shí)現(xiàn)成為可能，包括Intranet、Extranet和遠(yuǎn)程用戶訪問。
　　
　　　　簡單地說，IPSec在實(shí)現(xiàn)數(shù)據(jù)通信的兩端（Peers）提供安全的數(shù)據(jù)傳輸隧道（tunnels）。由我們定義哪些數(shù)據(jù)包應(yīng)該受到保護(hù)，應(yīng)該被放在安全隧道中傳輸。通過標(biāo)識隧道的安全屬性，我們可以定義用于保護(hù)這些敏感數(shù)據(jù)的安全參數(shù)。
　　
　　　　更精確地說，這些安全的數(shù)據(jù)傳輸隧道（tunnels）是建立在兩個(gè)IPSec對端的一系列安全關(guān)聯(lián)參數(shù)（Security Associations，也即SA，這是一個(gè)很重要的概念），這些安全關(guān)聯(lián)參數(shù)定義了哪些協(xié)議和算法可以被應(yīng)用到敏感數(shù)據(jù)，IPSec對端應(yīng)用的密鑰等。SA在傳輸過程中是雙向的。
　　
　　　　IPSec的實(shí)現(xiàn)是靠兩個(gè)IPSec的對端維系的，因此它實(shí)際上是一種端到端的安全實(shí)現(xiàn)，從技術(shù)的角度上說，在端到端客戶的路由器上實(shí)現(xiàn)是最安全合理的方式，中間任何一個(gè)路由器都不需要做相應(yīng)設(shè)置。因此，它的實(shí)現(xiàn)是一種與接入網(wǎng)絡(luò)無關(guān)的VPN技術(shù)。但這并不等于說它就是與網(wǎng)絡(luò)服務(wù)提供商無關(guān)的，我們可以作為網(wǎng)絡(luò)服務(wù)維護(hù)者的角度，幫助客戶建立并維護(hù)VPN網(wǎng)絡(luò)，使得用戶不必投入人力資源去維護(hù)一個(gè)VPN網(wǎng)絡(luò)。
　　
　　　　IPSec服務(wù)的數(shù)據(jù)選擇對象可通過源/目的地址，或第四層協(xié)議端口來決定。相同目的地的數(shù)據(jù)發(fā)送可通過第四層的信息來區(qū)分，用不同的安全措施進(jìn)行保護(hù)。換言之，我們可以這么認(rèn)為，流出同一物理端口（多指微波端口）的數(shù)據(jù)，有的可以受保護(hù)，有的可以不受保護(hù)而直接訪問Internet；而到相同目的地的不同業(yè)務(wù)，保護(hù)方式也可以不同。
　　
　　　　IPSec目前只支持單一目的地的（Unicast）IP數(shù)據(jù)包，不支持Multicast和Broadcast IP數(shù)據(jù)包。不過這項(xiàng)限制將來會有解決辦法，而且對我們的用戶應(yīng)用基本不會造成影響。
　　
　　　　接入范圍
　　
　　　　VPN組網(wǎng)主要針對于在國內(nèi)不同地域設(shè)有分支機(jī)構(gòu)的企業(yè)級用戶，通過本地接入ChinaGBN進(jìn)行相互通信。由此，ChinaGBN－VPN的接入范圍為現(xiàn)有的112個(gè)分公司所在地.
　　
　　　　接入方式
　　
　　　　根據(jù)用戶的需求以及吉通ChinaGBN的接入情況，主要接入方式為:
　　
　　　　深圳，上海用戶可選用以下兩種方式之一：
　　
　　　　●采用無線微波接入方式，本地接入ChinaGBN。
　　　　●采用DDN方式本地接入ChinaGBN。
　　
　　　　其它地區(qū)：采用無線微波接入方式，分別在本地接入ChinaGBN。
　　
　　　　接入速率
　　
　　　　總部: 64K-2M
　　
　　　　公司分部：64K-2M
　　
　　　　接入設(shè)備
　　
　　　　微波設(shè)備
　　
　　　　采用Breezelink無線Moderm或Cylink無線Moderm。
　　
　　　　路由器
　　
　　　　大型用戶：
　　
　　　　總部: 選用Cisco7200系列路由器。其性能和端口密度滿足業(yè)務(wù)量較大的用戶進(jìn)行企業(yè)內(nèi)部網(wǎng)互聯(lián)和接入公共Internet的需求。
　　
　　　　分部：可選用VPN接入路由器。
Cisco 1720是專為企業(yè)用戶安全接入內(nèi)部網(wǎng)及VPN設(shè)計(jì)的。適用于分支機(jī)構(gòu)的VPN接入。
　　
　　　　中型用戶：
　　
　　　　總部: 選用Cisco 3600系列路由器。其性能和端口密度滿足業(yè)務(wù)量適中的用戶進(jìn)行企業(yè)內(nèi)部網(wǎng)互聯(lián)和接入公共Internet的需求。
　　
　　　　分部：可選用VPN接入路由器。Cisco 1720是專為企業(yè)用戶安全接入內(nèi)部網(wǎng)及VPN設(shè)計(jì)的。適用于分支機(jī)構(gòu)的VPN接入。
　　
　　　　小型用戶：
　　
　　　　總部及分部: 選用Cisco 1720路由器。其性能和端口密度滿足小型用戶進(jìn)行企業(yè)內(nèi)部網(wǎng)互聯(lián)和接入公共Internet的需求。

上一篇：系統(tǒng)集成策略及運(yùn)作方案

下一篇：利用Cisco Catalyst 4500系列交換機(jī)實(shí)現(xiàn)IP電話解決方案（圖）