华为vpn解决方案.docx
《华为vpn解决方案.docx》由会员分享,可在线阅读,更多相关《华为vpn解决方案.docx(11页珍藏版)》请在冰点文库上搜索。
华为vpn解决方案
华为vpn解决方案
篇一:
华为:
VPN
实现企业VPN部署
回顾网1中的操作系统VPN实现
关于VPN
(1)虚拟专用网络(VirtualPrivateNetwork,VPN)是专用网络的延伸,它包含了类似Internet的共享或公共网络链接。
通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。
(2)如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。
不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。
(3)本节的VPN服务器端使用Win2K;客户机端使用Win98。
2.配置VPN服务器
(1)尚未配置:
Win2K中的VPN包含在"路由和远程访问服务"中。
当你的Win2K服务器安装好之后,它也就随之自动存在了!
不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后,在左边的"树"栏中选中"服务器准状态",即可从右边看到其"状态"正处于"已停止(未配置)"的情况下。
(2)开始配置:
要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。
在左边窗口中选中"SERVER"(服务器名),在其上单击右键,选"配置并启用路由和远程访问"。
(3)如果以前已经配置过这台服务器,现在需要重新开始,则在"SERVER"(服务器名)上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置!
(4)当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络(VPN)服务器",以便让用户能通过公共网络(比如Internet)来访问此服务器。
(5)在"远程客户协议"的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选"是,所有可用的协议都在列表上"再"下一步"即可。
(6)之后系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)再"下一步"。
(7)接着在回答"您想如何对远程客户机分配IP地址"的询问时,除非你已在服务器端安装好了DHCP服务器,否则请在此处选"来自一个指定的IP地址范围"(推荐)。
(8)然后再根据提示输入你要分配给客户端使用的起始IP地址,"添加"进列表中,比如此处为"~"。
(请注意,此IP地址范围要同服务器本身的IP地址处在同一个网段中,即前面的""部分一定要相同!
)
(9)最后再选"不,我现在不想设置此服务器使用RADIUS"即可完成最后的设置。
此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口,当它消失之后,打开"管理工具"中的"服务",即可以看到"RoutingandRemoteAccess"(路由和远程访问)项"自动"处于"已启动"状态了!
3.赋予用户拨入的权限
(1)默认的,任何用户均被拒绝拨入到服务器上。
(2)欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器(在"计算机管理"项或"ActiveDirectory用户和计算机"中),选中所需要的用户,在其上单击右键,?
quot;粜?
quot;。
(3)在该用户属性窗口中选"拨入"项,然后点击"允许访问"项,再"确定"即可完成赋予此用户拨入权限的工作。
4.通过局域网来进行的VPN连接
(1)进入Win98的计算机,它要想连接到VPN服务器,则需要先安装"虚拟专用网络"服务。
在控制面板的"网络"下,进入"通讯"即可找到此项并添加上去;安装完成之后再根据提示重启动计算机。
(2)重新启动之后,在控制面板的"网络"中就有了"Microsoft虚拟私人网络适配器",即说明VPN服务已安装成功!
(3)还需要建立到VPN服务器的连接。
首先进入我的电脑?
quot;拨号网络"中,双击"建立新连接",然后在"请键入对方计算机的名称"输入连接名,比如为"局域网内的VPN连接",在"选择设备"下一定不要忘了选中"MicrosoftVPNAdapter"项!
再"下一步"。
(4)接着出现"请输入VPN服务器的名称或IP地址",在其下的文字框中输入Win2K服务器的名字或IP地址,比如此处为"",再根据提示操作即可建立成功!
(5)然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标,再输入相应的用户名(需具有拨入服务器的权限)和密码,再按"连接"按钮。
(6)如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口。
5.通过Internet来进行的VPN连接
(1)首先得确保服务器已经连入了Internet,用ipconfg测出其在Internet上合法的IP地址。
(2)在Win98客户机端参照本节上文相关内容建立一个新的VPN连接,在相应处输入服务器在Internet上的合法的IP地址;然后将客户机端也拨入Internet,再双击所建立的VPN连接,输入相应用用户名和密码再点"连接"按钮。
(3)连接成功之后可以看到,双方的任务栏右侧均会出现两个拨号网络成功运行的图标,其中一个是到Intenet的连接,另一个则是VPN的连接了!
(4)当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络!
这个网络是双方专用的,而且具体良好的保密性能。
6.VPN建立成功之后,双方便可以通过IP地址或"网上邻居"来达到互访的目的,当然也就可以使用对方所共享出来的软硬件资源了
在路由器中实现VPN技术
随着互联网的广泛应用,企业分支机构的联网应用也越来越多。
但是,租用专线的费用是很多中小企业无法承受的。
通过使用本文中介绍的VPN技术,可以轻易构建企业之间的联网应用。
VPN,全称“虚拟专用网”。
这是相对于实际的专有网络而言的。
实际的专有网络比如银行,政府机构,大型企业等等。
通过租用专有的线路进行互联。
而VPN是通过公共互联网传播私有数据的一种技术。
这种技术通常使用在如下的网络:
VPN定义为“采用加密和认证技术,在公共网络上建立安全专用隧道的网络”。
随着
篇二:
华为解决方案大全
小型机构VPN安全互联
简介
BR304具备BR204的所有功能,可以替代BR204,在此基础上增加了安全VPN互联功能,定位于解决异地中小机构上网后的内部局域网安全互联。
BR304可同时支持8个VPN隧道,可用于8个以下中小机构的VPN互联。
BR315具备BR304的所有功能,但支持100个VPN互联,主要用于中型企业总部VPN接入网关,并且转发性能上有所增强。
BR304与BR315形成互补之势。
该方案主要用于异地中小机构之间的局域网安全互联,在此基础上各种群组办公软件可运行无阻,并且安全性可得到保障。
组网需求
BR304作为小型驻外分支机构局域网的网关,通过ADSLModem或
其它宽带接入方式接入到Internet。
BR315做为总部机构局域网网关,也通过ADSLModem或其它宽带接入方式接入到Internet,但是它支持多达100个驻外分支机构的VPN互联(当驻外分支机构小于8个时可用BR304替代),要求:
WAN接入类型为PPPoE;
自动为局域网内LAN口主机分配IP地址;
支持局域网内用户共享一个上网帐号同时上网;
站点过滤:
如禁止LAN内主机访问;
时间段过滤:
如周一到周五8:
00-12:
00不能上网;
设置WWW、E-mail服务器各一台,对外使用一个地址;
根据配置进行域名及IP地址注册(DDNS功能),重新拨号后确保VPN自动重连成功;
允许指定域名的网关建立基于IPsec的VPN;
各分支机构访问VPN以外网络不经过总部中转;
中小企业无线网络
简介
中小企业的无线组网,首先摒弃了繁杂的网络布线。
并且采用了标准,提供54M的带宽,保证了公司内部财务、RTX以及办公自动化软件的应用。
无线网络中提供了多种加密机制,保证了公司网络的安全。
打印服务器则解放出专门用于和打印机连接的PC。
通过建立公司内部的无线网络,给移动办公带来了很大的方便。
组网需求
所有无线环境均为,速率可达54M。
所有的PC通过各自的无线网卡通过接入到WAP300g,连接接入Internet。
打印机通过打印服务器连接,打印服务器永久在线,任何PC均可以随时
篇三:
华为解决方案大全
小型机构VPN安全互联
简介
BR304具备BR204的所有功能,可以替代BR204,在此基础上增加了安全VPN互联功能,定位于解决异地中小机构上网后的内部局域网安全互联。
BR304可同时支持8个VPN隧道,可用于8个以下中小机构的VPN互联。
BR315具备BR304的所有功能,但支持100个VPN互联,主要用于中型企业总部VPN接入网关,并且转发性能上有所增强。
BR304与BR315形成互补之势。
该方案主要用于异地中小机构之间的局域网安全互联,在此基础上各种群组办公软件可运行无阻,并且安全性可得到保障。
组网需求
BR304作为小型驻外分支机构局域网的网关,通过ADSLModem或其它宽带接入方式接入到Internet。
BR315做为总部机构局域网网关,也通过ADSLModem或其它宽带接入方式接入到Internet,但是它支持多达100个驻外分支机构的VPN互联(当驻外分支机构小于8个时可用BR304替代),要求:
WAN接入类型为PPPoE;
自动为局域网内LAN口主机分配IP地址;
支持局域网内用户共享一个上网帐号同时上网;
站点过滤:
如禁止LAN内主机访问;
时间段过滤:
如周一到周五8:
00-12:
00不能上网;
设置WWW、E-mail服务器各一台,对外使用一个地址;
根据配置进行域名及IP地址注册(DDNS功能),重新拨号后确保VPN自动重连成功;
允许指定域名的网关建立基于IPsec的VPN;
各分支机构访问VPN以外网络不经过总部中转;
中小企业无线网络
简介
中小企业的无线组网,首先摒弃了繁杂的网络布线。
并且采用了标准,提供54M的带宽,保证了公司内部财务、RTX以及办公自动化软件的应用。
无线网络中提供了多种加密机制,保证了公司网络的安全。
打印服务器则解放出专门用于和打印机连接的PC。
通过建立公司内部的无线网络,给移动办公带来了很大的方便。
组网需求
所有无线环境均为,速率可达54M。
所有的PC通过各自的无线网卡通过接入到WAP300g,连接接入Internet。
打印机通过打印服务器连接,打印服务器永久在线,任何PC均可以随时进行打印操作。
整个无线网络环境提供SSID、WEP和WPA方式加密和认证,保证了整个无线网络的安全。
可以对特定的PC进行网站地址的限制,可以对特定的PC限制只能在指定的时间对Internet访问。
有效的对公司内部的上网进行控制。
宽带路由器支持防火墙,有效的防止了来自Internet的攻击。
可以基于IP地址、MAC地址过滤,能控制到每台PC机对Internet的访问。
整个网络可扩展性强,无需进行线缆的增加,直接可以增加无线网络设备。
50台以下用户迷你型网吧解决方案
【方案描述与分析】
根据目前许多地区的公安部门对网吧营业规模提出了要求,如场地和电脑的台数都有所规定,不同地区规定营业网吧电脑台数的要求不同,50台用户以下的小型网吧的也有很大的需求。
针对此类网吧网络,其网吧营业面积相对较小(约200平方米以内),计算机数量相对较少,电脑摆设比较集中。
虽然电脑台数不多,但对整个网络的应用环境以及网络的性能需求却一点也不会少。
华为3Com对小于50台电脑的小型网吧网络做如下设计:
网吧连接到Internet的宽带路由器:
推荐采用AolynkBR204智能宽带路由器。
BR204内置SPI防火墙、网络地址转换(NAT)、DHCP服务器、PPPoE拨号器、动态DNS、防病毒、基于IP地址过滤、基于域名过滤、基于MAC地址过滤和基于时间过滤,完全支持网络游戏,网络聊天工具,网上视频等常见应用,是网吧网络的最佳选择。
BR204具有1个10/100M全双工线速WAN端口,4个10/100M全双工线速交换LAN端口。
BR204的10/100MWAN接口能支持各种宽带方式的接入(xDSL,CableModem,以太网接入);10/100MLAN接口用于内部网络的连接。
BR204智能宽带宽带防火墙具有高达80M的Lan-Wan吞吐量性能。
内置SPI(状态连接包检测)防火墙,可以避免内部网络免受从互联网过来的攻击。
同时内置的策略规则,提供了管理员各种手段的策略定义。
比如,限制内部主机是否有权或哪个时间段可以使用互联网,对互联网上敏感的网站进行过滤。
BR204性能高,软件特性丰富,是小型网吧方案最佳的购买选择。
同时强大的稳定性是网吧网络的关键的环节。
在50人以下的网吧中使用2个QuidwayS1024非网管10/100M交换机即可。
QuidwayS1024非网管交换机具有的背板交换能力。
提供24个10/100M全双工线速端口,多达8K的MAC地址表,每端口工作在10M或100M时,包转发速率为/秒;最大延迟仅为10u/秒;真正达到快速以太网所需的性能,为网吧内部游戏提供了良好的稳定的运行带宽。
另外QuidwayS1024还支持自动适应交叉网线或直连网线,方便了电脑网卡的连接;简明的LED状态显示,方便网管直观的查看交换机运行状况。
PS201p/u智能打印服务器能够支持大多数品牌的打印机的连接,方便提供网吧用户急需要打印的服务。
【方案特点】
价格便宜,维护管理不需要太多专业技术。
环境适应性强,长期运行性能稳定可靠。
【网络设备清单】
AolynkBR204智能宽带路由器路由器
QuidwayS102424个10/100Base-TX自适应端口无管理桌面2层交换机
AolynkPS201p/u智能打印服务器可选
50~100台用户中小型网吧解决方案
【方案描述与分析】
该中小型网吧解决方案,采用华为3Com性价比较高的AR18-20以太网宽带路由器,或AR
18-30ADSL宽带路由器,配以华为3Com型号丰富的全系列自适应以太网交换机组建网络设备硬件环境。
针对网吧应用,华为3Com推出的AR18-20/AR18-30宽带接入路由器,特性丰富,运行稳定,采用高速PowerPC微处理器、使用华为3Com公司的网络操作系统平台--VRP(VersatileRoutingPlatform,通用路由平台),VRP提供了中文帮助界面,配置简单。
其中AR18-20上行WAN口为10M宽带以太网,可通过光电转换器连接INTERNET,下行4个10/100M自适应LAN口,通过以太网双绞线连接网吧汇聚交换机,AR18-30的不同之处在于其上行口是ADSL,上行速率800K,下行速率8M。
网吧应用有其特殊性,针对网吧应用AR18-20/AR18-30的主要特性如下:
NAT特性功能全面丰富,不仅能解决IP公网地址紧缺的问题,还可以设置网吧的内部服务器对外开放。
支持4万条natsession,最大可以满足200台带机数量。
DHCP服务器功能可免去用户对每台PC的IP地址的逐一配置,并且可配置服务器等特殊用户的
IP地址固定,禁止被自动分配。
支持AAA/Radius协议满足网吧根据流量或时间进行精确的计费或身份验证。
强大的QoS技术对视频、音频应用如游戏、网上电影、QQ视频聊天等能给予高品质的保证,通过对各种业务分配合理的带宽,保证上述应用对带宽特殊需求得到满足。
支持丰富多样的QoS技术,如PQ/CQ/WFQ/CBQ/RED/WRED/CAR以及GTS等,并且全面支持DSCP/TOS定义。
灵活强大的内置防火墙技术,基于访问控制列表的ACL/包过滤既可以防止外部的恶意攻击又可以用来限制内部用户对某些站点的访问,还可以控制某些站点在某一时间段开放;基于应用层的ASPF能够检测应用层协议的信息,并对应用的流量进行监控,以对所有的连接进行记录,包括:
记录连接的时间、源地址、目的地址、使用的端口和传输的字节数,还支持JAVA阻断,防DOS
攻击。
支持SNMP、日志主机等常见的维护和管理的功能。
还支持特别适合连锁网吧的分支网点智能管理解决方案(BIMS)和动态DVPN功能,很好地解决了目前网吧遇到的新型的管理问题。
电信运营商分配给网吧宽带路由器的IP地址有可能是固定公网IP地址,但也有可能是动态的公网IP地址,还有部分地方是私网地址,就是说该设备隐藏在NAT网关后面,显然网管对这些设备进行集中管理和维护无能为力。
华为3Com公司特有的分支网点智能管理解决方案(BIMS)和动态DVPN两个功能特性很好地解决了对这类设备的集中管理问题,提高了用户的管理效率并节省管理成本。
分支网点智能管理解决方案(BIMS)是通过被管理的设备按照预设的时间间隔或指定的时间等规则主动向管理中心发出请求,管理中心的管理员也按照预定的策略对被管理设备进行配置信息查询、命令配置和版本升级等管理工作,这样管理员就可对下属的网吧设备进行集中管理,管理员不需要到每一个网吧去进行维护和监控。
动态VPN技术很好地解决了两个动态IP地址和一端是动态IP地址和一端是固定IP地址的两个设备之间的通信,这样管理员就可从管理中心或任一个网吧管理所有的设备。
核心层交换机采用无管理10/100/1000M自适应的千兆以太网交换机QuidwayS1205D/S1208/S1216/S1224,实现千兆骨干交换,根据不同区域的网络需求配置不同的接入交换机。
网吧的服务器(如游戏服务器、电影服务器等)的访问量相对较大,加之服务器提供的很多都是视频、音频等对带宽要求较高的数据,所以服务器直接连接核心交换机,增加带宽,可以有效避免网络中存在的瓶颈。
升级会员 