Cisco VPN解決方案

2019-11-04 21:26:59

字體：大中小

供稿：網(wǎng)友

　　VPN具有非常出色的經(jīng)濟(jì)實(shí)用性，與其他WAN解決方案相比，VPN能夠幫助您更加快速經(jīng)濟(jì)地實(shí)現(xiàn)業(yè)務(wù)“全球化”，大大降低一般性成本并獲得快速的投資回報(bào)。通過(guò)VPN，用戶可將要害任務(wù)應(yīng)用擴(kuò)展到遠(yuǎn)程辦公室和外部網(wǎng)合作伙伴，使企業(yè)更具競(jìng)爭(zhēng)力，并提高客戶服務(wù)質(zhì)量。VPN可以說(shuō)是Intranet在公用網(wǎng)絡(luò)上的延伸，能提供和專用網(wǎng)一樣的安全性、可治理性和傳輸性能，而建設(shè)、運(yùn)轉(zhuǎn)和維護(hù)網(wǎng)絡(luò)的工作從企業(yè)的IT部門(mén)剝離出來(lái)，交由專門(mén)的VPN提供商負(fù)責(zé)。對(duì)于計(jì)劃迅速開(kāi)展全球電子商務(wù)的企業(yè)來(lái)說(shuō)，選擇VPN無(wú)疑是明智之舉。
　　
　　為了進(jìn)一步促進(jìn)VPN的全面發(fā)展，今年Cisco公司推出了完善的企業(yè)級(jí)虛擬專用網(wǎng)(EVPN)的全面解決方案，在可擴(kuò)展的平臺(tái)、安全性、服務(wù)、應(yīng)用和治理五大VPN實(shí)施要素方面，具有基于標(biāo)準(zhǔn)的開(kāi)放式體系結(jié)構(gòu)、可擴(kuò)充的和端到端的網(wǎng)絡(luò)互聯(lián)能力。
　　
　　這一案例是一個(gè)典型的簡(jiǎn)單VPN應(yīng)用。對(duì)于用戶所提出的要求，我們只需要在北京、上海、廣州三地分別安裝一臺(tái)Cisco 1720路由器，并對(duì)路由器進(jìn)行簡(jiǎn)單的軟件配置便可以實(shí)現(xiàn)VPN功能。而由于在北京、上海、廣州三地的用戶數(shù)目不盡相同，因此，在將不同地點(diǎn)用戶接入專網(wǎng)中時(shí)，應(yīng)通過(guò)交換機(jī)接入路由器。這里我們可以選用Cisco 1924、Cisco 2924及Cisco 1912交換機(jī)。對(duì)于出差到其他城市的總經(jīng)理或是銷售總監(jiān)假如要接入到虛擬專網(wǎng)當(dāng)中，則可以采取以下方式：用戶撥號(hào)到Internet上，通過(guò)Internet進(jìn)入到虛擬專網(wǎng)。這要求當(dāng)?shù)豂SP用有撥號(hào)訪問(wèn)服務(wù)器，并能提供該項(xiàng)服務(wù)。
　　
　　此方案中VPN的實(shí)現(xiàn)是通過(guò)隧道(Tunnel)技術(shù)進(jìn)行連接。隧道技術(shù)通過(guò)軟件“疊加”在物理網(wǎng)絡(luò)之上，是VPN“虛擬”特征的體現(xiàn)，它使VPN連接看起來(lái)象是線路上唯一的數(shù)據(jù)流。借助隧道VPN，還能夠使用內(nèi)部網(wǎng)絡(luò)中采用的安全和優(yōu)先級(jí)策略，使您能夠完全控制數(shù)據(jù)流。隧道提供了一層名副其實(shí)的安全保障。
　　
　　訪問(wèn)VPN的隧道技術(shù)包括點(diǎn)到點(diǎn)隧道技術(shù)(PPTP)、第二層轉(zhuǎn)發(fā)技術(shù)(L2F)或第二層隧道協(xié)議(L2TP)。專用的內(nèi)部網(wǎng)和外部網(wǎng)VPN可使用基于ipsec的技術(shù)或普通路徑封裝技術(shù)(GRE)來(lái)創(chuàng)建永久性的“虛擬”隧道。
　　
　　在該虛擬專網(wǎng)方案中和專用網(wǎng)絡(luò)一樣，為VPN提供了有保障的帶寬和差別控制的服務(wù)與應(yīng)用。在Cisco IOS軟件12.0版中，豐富了QoS功能和機(jī)制，包括承諾訪問(wèn)速率(CAR)、策略路由、加權(quán)公平隊(duì)列技術(shù)(WFQ)、通用流量整形技術(shù)(GTS)和資源保留協(xié)議(RSVP)，甚至支持IP QoS，使企業(yè)用戶能夠在不同應(yīng)用和用戶之間強(qiáng)制實(shí)現(xiàn)優(yōu)先級(jí)和帶寬分配，并內(nèi)置了一個(gè)專門(mén)用來(lái)檢測(cè)服務(wù)水平的響應(yīng)時(shí)間報(bào)告器(RTR)。
　　
　　在公用網(wǎng)絡(luò)上搭建專用網(wǎng)，安全是一個(gè)焦點(diǎn)問(wèn)題。這一方案當(dāng)中采用了Cisco的安全解決方案。Cisco為此提供了一系列的VPN安全功能來(lái)實(shí)現(xiàn)安全保障，包括隧道技術(shù)、加密、分組驗(yàn)證、防火墻、入侵檢測(cè)系統(tǒng)和用戶驗(yàn)證。基于硬件的集成式IPsec加密，把DES或3DES加密算法與IPPCP壓縮結(jié)合起來(lái)，在加密之前實(shí)現(xiàn)數(shù)據(jù)壓縮，不僅可以實(shí)現(xiàn)高速加密，還提高了WAN的可用帶寬。加密技術(shù)在方案中具有可選特性，也是VPN“專有”特征的體現(xiàn)。加密功能只應(yīng)用于非凡敏感的應(yīng)用數(shù)據(jù)流且只能在需要時(shí)使用，因?yàn)檫@種功能耗費(fèi)大量的處理器容量，并會(huì)對(duì)性能產(chǎn)生影響。基于IPsec標(biāo)準(zhǔn)的加密方案，能與其他廠商的IPsec設(shè)備實(shí)現(xiàn)全面的互操作。根據(jù)用戶對(duì)性能的不同要求，可通過(guò)Cisco IOS軟件或模塊與端口適配器中的硬件在Cisco路由器中部署加密服務(wù)。Cisco 1720路由器系列具有一個(gè)可選的硬件加密模塊，這是可以用于低端路由器的第一種硬件加密模塊。
　　
　　另外，PIX防火墻、NetRanger入侵檢測(cè)系統(tǒng)和NetSonar安全掃描程序三者配合，最大限度地保證了企業(yè)VPN的可靠性和安全性。而這些功能都是被集成進(jìn)Cisco IOS軟件中的，用戶可以通過(guò)簡(jiǎn)單的軟件升級(jí)，透明地保護(hù)網(wǎng)絡(luò)安全。
　　
　　在這一方案當(dāng)中，VPN用戶還必須通過(guò)鑒定，令網(wǎng)絡(luò)知道其身份，然后才能獲得授權(quán)，了解網(wǎng)絡(luò)答應(yīng)他們做什么。一個(gè)好的系統(tǒng)還應(yīng)該能夠執(zhí)行計(jì)費(fèi)功能，能跟蹤用戶的操作，用于計(jì)費(fèi)和保證安全性。鑒定、授權(quán)和計(jì)費(fèi)功能合稱AAA業(yè)務(wù)。CiscoSecure訪問(wèn)控制服務(wù)器(ACS)是一系列能夠提供AAA業(yè)務(wù)的強(qiáng)大服務(wù)器。
　　
　　VPN的治理是基于策略的，Cisco推出的Security Manager 1.0策略治理軟件集成了多種要害功能，擴(kuò)大了Cisco端到端的安全解決方案。CiscoWorks 2000則通過(guò)提供不同版本的IPM(Internet Performance Monitor)和ACL(access Control List)Manager軟件，增加了WAN檢測(cè)擴(kuò)展功能，降低了訪問(wèn)列表治理的復(fù)雜度。
　　
　　整個(gè)方案中共采用3臺(tái)Cisco 1720路由器，其每臺(tái)產(chǎn)品的報(bào)價(jià)為3593美金，其中包括一個(gè)機(jī)箱、一個(gè)廣域網(wǎng)模塊和一套Ipsec軟件。對(duì)于連接用戶的交換機(jī)可以有兩種方案，一種是采用Cisco 1900系列產(chǎn)品，一種是采用Cisco 2900系列產(chǎn)品，這兩種產(chǎn)品的最大差別在于傳輸速率的不同，Cisco 1900系列產(chǎn)品是一款10兆交換機(jī)，提供百兆上聯(lián)，而Cisco 2900系列產(chǎn)品則可以提供10/100兆自適應(yīng)，以及1000兆的上聯(lián)接口。
Cisco 1900和Cisco 2900系列產(chǎn)品相比從價(jià)格上來(lái)說(shuō)有較大差別，其中Cisco 1912公開(kāi)報(bào)價(jià)為1343美金，Cisco 1924公開(kāi)報(bào)價(jià)為1943美金，而Cisco 2924交換機(jī)的公開(kāi)報(bào)價(jià)為3743美金。在北京可以選擇4臺(tái)24口、1臺(tái)12口的Cisco 1900或是Cisco 2900系列產(chǎn)品進(jìn)行堆疊，上海50個(gè)用戶可以選用2臺(tái)24口、1臺(tái)12口Cisco 1900或是Cisco 2900系列交換機(jī)進(jìn)行連接。廣州則采用12口和24口交換機(jī)各1臺(tái)進(jìn)行連接。
　　
　　在這一方案當(dāng)中，我們選用的是Cisco 1720路由器。其實(shí)，目前所有的Cisco路由器平臺(tái)都可以方便地實(shí)現(xiàn)VPN。經(jīng)過(guò)優(yōu)化的Cisco路由器集成了VPN功能、高速加密、安全、帶寬治理和與WAN連接的能力，降低了VPN的復(fù)雜度和成本。該產(chǎn)品系列包括用于企業(yè)和地區(qū)辦公環(huán)境的Cisco 7500、7200VXR和7200高端路由器，以及用于小型地區(qū)、分支機(jī)構(gòu)及遠(yuǎn)程個(gè)人的Cisco 3600、2600、1720和800路由器。所有的Cisco VPN路由器都完全可以互操作，為從園區(qū)到廣域網(wǎng)ISP，以窄帶或?qū)拵俾蔬M(jìn)行多媒體通信提供了一條可擴(kuò)展的端到端鏈路。
　　
　　為了更廣泛的支持VPN，Cisco目前正在與Microsoft公司合作，以實(shí)現(xiàn)基于目錄的組件之間的協(xié)作，同時(shí)還在IPsec兼容性方面與VeriSign和Entrust公司展開(kāi)合作。Internet工程任務(wù)組(IETF)的多協(xié)議標(biāo)記交換(MPLS)正式出臺(tái)后，將大大簡(jiǎn)化VPN的應(yīng)用，而Cisco與Toshiba公司業(yè)已完成的標(biāo)記交換技術(shù)互用性測(cè)試將會(huì)加速M(fèi)PLS的標(biāo)準(zhǔn)化進(jìn)程。

上一篇：IS-IS 網(wǎng)絡(luò)設(shè)計(jì)方案

下一篇：Cisco LRE 解決方案