吉通的VPN企業(yè)網(wǎng)絡(luò)解決方案

2019-11-04 21:56:05

字體：大中小

供稿：網(wǎng)友

　　傳統(tǒng)的企業(yè)專網(wǎng)是通過租用點到點的長途DDN鏈路組建而成的。不僅建設(shè)周期長，投資大，費(fèi)用高，而且一旦長途鏈路發(fā)生故障，維護(hù)起來也很困難，可能會影響整個網(wǎng)絡(luò)的正常通訊。

虛擬專網(wǎng)VPN（Virtual PRivate Network）則很好的解決了上述問題。VPN是指在共用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個結(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)建設(shè)所需的點到點的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商ISP所提供的網(wǎng)絡(luò)平臺之上的邏輯網(wǎng)絡(luò)。用戶的數(shù)據(jù)是通過ISP在公共網(wǎng)絡(luò)（Internet）中建立的邏輯隧道（Tunnel），即點到點的虛擬專線進(jìn)行傳輸?shù)摹Ｍㄟ^相應(yīng)的加密和認(rèn)證技術(shù)來保證用戶內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)在公網(wǎng)上安全傳輸，從而真正實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。

吉通VPN接入方案

當(dāng)今可以用于實現(xiàn)VPN的技術(shù)很多，其中ipsec是主要用于在網(wǎng)絡(luò)層實現(xiàn)VPN的技術(shù)。根據(jù)用戶對在內(nèi)部網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性和處理速度要求的情況，可采用Ipsec技術(shù)組建企業(yè)Intranet VPN。此項技術(shù)適用于對網(wǎng)絡(luò)數(shù)據(jù)保密要求高的用戶.

Ipsec技術(shù)方案解析

IPSec是由IETF開發(fā)的一個國際標(biāo)準(zhǔn)，是一個開放的安全性的體系結(jié)構(gòu)。

IPSec提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)（如Internet）中傳輸?shù)陌踩珯C(jī)制。IPSec工作在網(wǎng)絡(luò)層，在參加IPSec的設(shè)備間（如路由器）為數(shù)據(jù)的傳輸提供保護(hù)，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認(rèn)證。

IPSec不是某種非凡的加密算法或認(rèn)證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種非凡的加密算法或認(rèn)證算法，它只是一個開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密或認(rèn)證的實現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)。這有利于數(shù)據(jù)安全方面的措施進(jìn)一步發(fā)展和標(biāo)準(zhǔn)化。同時，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實施。

隨著IPSec在網(wǎng)絡(luò)中的實施，數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸可以免受Observation觀察、Modification修改或Spoofing欺騙。這使得網(wǎng)絡(luò)層的VPN實現(xiàn)成為可能，包括Intranet、Extranet和遠(yuǎn)程用戶訪問。

簡單地說，IPSec在實現(xiàn)數(shù)據(jù)通信的兩端（Peers）提供安全的數(shù)據(jù)傳輸隧道（tunnels）。由我們定義哪些數(shù)據(jù)包應(yīng)該受到保護(hù)，應(yīng)該被放在安全隧道中傳輸。通過標(biāo)識隧道的安全屬性，我們可以定義用于保護(hù)這些敏感數(shù)據(jù)的安全參數(shù)。

更精確地說，這些安全的數(shù)據(jù)傳輸隧道（tunnels）是建立在兩個IPSec對端的一系列安全關(guān)聯(lián)參數(shù)（Security Associations，也即SA，這是一個很重要的概念），這些安全關(guān)聯(lián)參數(shù)定義了哪些協(xié)議和算法可以被應(yīng)用到敏感數(shù)據(jù)，IPSec對端應(yīng)用的密鑰等。SA在傳輸過程中是雙向的。

IPSec的實現(xiàn)是靠兩個IPSec的對端維系的，因此它實際上是一種端到端的安全實現(xiàn)，從技術(shù)的角度上說，在端到端客戶的路由器上實現(xiàn)是最安全合理的方式，中間任何一個路由器都不需要做相應(yīng)設(shè)置。因此，它的實現(xiàn)是一種與接入網(wǎng)絡(luò)無關(guān)的VPN技術(shù)。但這并不等于說它就是與網(wǎng)絡(luò)服務(wù)提供商無關(guān)的，我們可以作為網(wǎng)絡(luò)服務(wù)維護(hù)者的角度，幫助客戶建立并維護(hù)VPN網(wǎng)絡(luò)，使得用戶不必投入人力資源去維護(hù)一個VPN網(wǎng)絡(luò)。

IPSec服務(wù)的數(shù)據(jù)選擇對象可通過源/目的地址，或第四層協(xié)議端口來決定。相同目的地的數(shù)據(jù)發(fā)送可通過第四層的信息來區(qū)分，用不同的安全措施進(jìn)行保護(hù)。換言之，我們可以這么認(rèn)為，流出同一物理端口（多指微波端口）的數(shù)據(jù)，有的可以受保護(hù)，有的可以不受保護(hù)而直接訪問Internet；而到相同目的地的不同業(yè)務(wù)，保護(hù)方式也可以不同。

IPSec目前只支持單一目的地的（Unicast）IP數(shù)據(jù)包，不支持Multicast和Broadcast IP數(shù)據(jù)包。不過這項限制將來會有解決辦法，而且對我們的用戶應(yīng)用基本不會造成影響。

接入范圍

VPN組網(wǎng)主要針對于在國內(nèi)不同地域設(shè)有分支機(jī)構(gòu)的企業(yè)級用戶，通過本地接入ChinaGBN進(jìn)行相互通信。由此，ChinaGBN－VPN的接入范圍為現(xiàn)有的112個分公司所在地.

接入方式

根據(jù)用戶的需求以及吉通ChinaGBN的接入情況，主要接入方式為:

深圳，上海用戶可選用以下兩種方式之一：

●采用無線微波接入方式，本地接入ChinaGBN。

●采用DDN方式本地接入ChinaGBN。

其它地區(qū)：采用無線微波接入方式，分別在本地接入ChinaGBN。

接入速率：總部: 64K-2M

公司分部：64K-2M

接入設(shè)備

微波設(shè)備：采用Breezelink無線Moderm或Cylink無線Moderm。

路由器

大型用戶：

總部: 選用Cisco7200系列路由器。其性能和端口密度滿足業(yè)務(wù)量較大的用戶進(jìn)行企業(yè)內(nèi)部網(wǎng)互聯(lián)和接入公共Internet的需求。

分部：可選用VPN接入路由器。Cisco 1720是專為企業(yè)用戶安全接入內(nèi)部網(wǎng)及VPN設(shè)計的。適用于分支機(jī)構(gòu)的VPN接入。

中型用戶：

總部: 選用Cisco 3600系列路由器。其性能和端口密度滿足業(yè)務(wù)量適中的用戶進(jìn)行企業(yè)內(nèi)部網(wǎng)互聯(lián)和接入公共Internet的需求。

分部：可選用VPN接入路由器。Cisco 1720是專為企業(yè)用戶安全接入內(nèi)部網(wǎng)及VPN設(shè)計的。適用于分支機(jī)構(gòu)的VPN接入。

小型用戶：

總部及分部: 選用Cisco 1720路由器。其性能和端口密度滿足小型用戶進(jìn)行企業(yè)內(nèi)部網(wǎng)互聯(lián)和接入公共Internet的需求。

網(wǎng)絡(luò)拓補(bǔ)圖

screen.width-333)this.width=screen.width-333" border=0>

上一篇：SINFOR金融業(yè)VPN方案(1)

下一篇：PalmSource移軟推出數(shù)據(jù)同步化解決方案