路由VPN方案Word文档格式.docx
《路由VPN方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《路由VPN方案Word文档格式.docx(10页珍藏版)》请在冰点文库上搜索。
而且只能提供单个用户的接入,无法衔接两个独立的网络。
下面重点推荐的是非常成熟、经济、高效的VPN技术。
随着VPN技术的发展,VPN技术已经成为一种非常成熟的网络连接方式,VPN具有高性价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势,已经被广泛替代专线用来进行广域网络的衔接,下面我们将以VPN模式为核心,提供迪普科技全面的VPN解决方案。
三、VPN相关技术背景介绍
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。
VPN(VirtualPrivateNetwork,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。
“虚拟”主要指这种网络是一种逻辑上的网络。
VPN有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。
VPN只为特定的企业或用户群体所专用。
从VPN用户角度看来,使用VPN与传统专网没有区别。
VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用;
另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰。
VPN技术优势,低成本,通过公用网来建立VPN,就可以节省大量的通信费用。
此外,VPN还可使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,这些工作都可以由ISP负责完成。
易扩展,如果用户想扩大VPN的容量和覆盖范围,企业可以与新的ISP签约,建立账户;
或者与原有的ISP重签合约,扩大服务范围。
在远程办公室增加VPN能力也很简单,只需通过作适当的设备配置就可。
在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全性。
这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。
利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率。
只需要通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。
这使得VPN的应用具有很大灵活性。
支持驻外VPN用户在任何时间、任何地点的移动接入,这将满足不断增长的移动业务需求。
L2TPVPN技术:
L2TPVPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。
L2TPVPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(NetworkAccessServer),它通过PSTN/ISDN为用户提供网络接入服务;
LNS表示L2TP网络服务器(L2TPNetworkServer),是用于处理L2TP协议服务器端的软件。
L2TPVPN服务具有如下几个优点:
1.灵活的身份验证机制以及高度的安全性。
2.L2TP支持内部地址分配,LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用等方案。
3.能够实现网络计费的灵活性,可以在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业处(用于付费及审记)。
4.L2TP具有较高的可靠性,可以支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。
同任何一种技术一样,L2TPVPN也存在着一定的的缺点:
L2TP的缺点是封装层次多,在数据包上依次封装了PPP->
UDP->
IP三层,因而效率较低。
将不安全的IP包封装在安全的IP包内,它们用IP包在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的地身份就不再需要,这样可能带来问题。
它不对两个节点间的信息传输进行监视或控制。
端点用户需要在连接前手工建立加密信道。
认证和加密受到限制,没有强加密和认证支持。
GREVPN技术:
GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。
目前有多数厂商的网络设备均支持GRE隧道协议。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法,GREVPN技术属于三层隧道VPN技术。
GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。
通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。
GRE只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中无法给用户提供更好的安全性。
GRE协议的主要用途有两个:
企业内部协议封装和私有地址封装。
在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在中国建立隧道时没有对企业内部协议封装的市场需求。
企业使用GRE的唯一理由应该是对内部地址的封装。
当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。
基于GRE的VPN技术具有如下的优点:
1.多协议的本地网可以通过单一协议的骨干网实现传输;
2.将一些不能连续的子网连接起来,用于组建VPN;
3.扩大了网络的工作范围,包括那些路由网关有限的协议。
如IPX包最多可以转发16次(即经过16个路由器),而在一个隧道连接中看上去只经过一个路由器。
4.与其他厂家设备之间的互通性容易实现;
5.对现有IP网络骨干设备基本不做任何修改
基于GRE的VPN技术具有如下的缺点:
1.不提供数据的加密功能,安全性较差;
2.不提供QOS功能,需另外协议支持;
3.对于组建大型VPN较复杂。
IPSecVPN技术:
IPSecVPN技术属于三层隧道VPN技术。
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括:
网络安全协议:
AuthenticationHeader(AH)协议,提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。
AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
EncapsulatingSecurityPayload(ESP)协议,通过对数据包的全部数据和加载内容进行全加密,进而提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。
与AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
在IPsec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。
大部分的应用案例都采用了ESP或同时使用ESP和AH。
密钥管理协议:
InternetKeyExchange(IKE)协议,实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等,这些安全参数的总体称之为安全联盟(SA)。
验证及加密的算法:
认证算法,HMAC-MD5、HMAC-SHA-1;
加密算法,DES、3DES。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
IPSec协议是一个应用广泛、开放的VPN安全协议。
IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。
IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。
IPSec工作在网络层,在参加IPSec的设备(如路由器)之间为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。
IPsec是主要用于在网络层实现VPN的技术。
根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,可采用IPsec技术组建企业VPN。
它比较适用于对网络数据保密要求高的用户。
IPSec的实现是靠两个IPSec的对端维系的,因此它实际上是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。
因此,它的实现是一种与接入网络无关的VPN技术。
但这并不等于说它就是与网络服务提供商无关的,我们可以作为网络服务维护者的角度,帮助客户建立并维护VPN网络,使得用户不必投入人力资源去维护一个VPN网络。
IPSec的特点是较为适用于各分支机构之间的互联,对于IP地址要求做较为完善的规划,在一定程度上制约了IPSec的应用范围。
针对这个问题,目前迪普科技已经支持野蛮模式,所谓野蛮模式就是通过实现注册的用户名来进行IKE协商,优点避免了解决方案中必须是固定IP地址的困惑,可以是分支上网自动获取IP地址,然后与总部进行协商,极大的增强了IPsec的功能。
总之,IPsec三层隧道技术与L2TP二层隧道技术相比,优势在于它的安全性、可扩展性与可靠性。
从安全性的角度看,由于L2TP一般终止在用户侧设备上,对用户网的安全及防火墙技术提出十分严峻的挑战;
而IPsec技术一般终止在网关上,因此不会对用户网的安全构成威胁。
L2TP二层隧道技术对于远程接入的用户认证可以提供很好的保证,一旦用户认证通过就无法对传输数据的安全性保证了。
一般地,二层隧道协议和三层隧道协议都是独立使用的,如果合理地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP和IPSec协议配合使用)和更佳的性能。
四、
淮安二手汽车交易客户远程安全接入解决方案
作为一种成熟有效的低成本广域网互联解决方案,通过VPN技术实现远程安全接入已经得到了普遍的接受和广泛的应用。
通过VPN,可以让远程的分支机构、移动办公用户乃至于合作伙伴在一个类似于局域网的环境下协同工作。
在所有VPN技术中,IPSecVPN是公认的最佳的网络到网络VPN解决方案,广泛应用于总部和分支机构之间的互联。
IPSec是标准的网络安全协议,它可以提供透明的IP层加密通讯服务,加密强度根据选择的加密算法不同而有所区别。
由于是基于IP层进行加密,所以与上层协议与应用无关,对各种应用的支持较好。
但是IPSecVPN不支持路由协议的透传,因此在进行需要透传路由协议的相对复杂组网的时候会遇到困难。
为了解决这一难题,业内也开发了很多解决方案,其中最佳的就是利用GRE隧道技术与IPSec技术相结合的组网方式。
在移动用户接入时,相对于IPSecVPN需要额外安装客户端以及需要对客户端进行比较复杂的配置的缺点,SSLVPN提供了更加简便的无客户端的移动用户接入解决方案。
SSLVPN使用了面向HTTP应用的SSL协议对TCP协议进行加密。
由于SSL协议得到了浏览器的广泛支持,因此在使用SSLVPN的时候不需要安装客户端和进行复杂的配置,只需要使用浏览器即可。
同时结合ActiveX控件,SSLVPN可以实现对非HTTP应用的支持,以及VPN客户端接入时的安全校验等功能。
在进行VPN设计时应当考虑以下问题:
■分析业务的实际需求,综合采用多种VPN技术,灵活网络设计。
一般说来,网络到网络比较适合接入采用IPSecVPN,远程办公用户接入比较适合采用SSLVPN,而在需要透传路由协议的情况下,则需要使用GREVPN承载IPSecVPN的方法。
■考虑到不同的远程接入网络/远程接入用户的业务需求不同,应用采用分域的方法进行VPN设计。
比如分支机构与合作伙伴通过VPN接入的时候就应该接入不同的域。
■与通过专线进行广域网设计类似,在设计时要考虑对蠕虫病毒等恶意流量的防护问题。
■在多数情况下,用于VPN连接的互联网链路往往同时也是访问互联网的链路,因此在进行设计时,要考虑与边界防护设计的融合问题。
■充分考虑统一安全策略部署,与统一配置管理问题。
典型组网
DPtech远程安全接入解决方案综合应用IPSecVPN、SSLVPN、GREVPN、L2TPVPN等多种VPN技术,为用户提供多样的、高可靠性的远程安全接入解决方案,实现分支机构、合作伙伴、移动用户的一体化远程安全接入。
同时根据实际情况,应用杭州迪普科技有限公司的防火墙、UTM和IPS产品,提供了全面的L2~7层安全防护,统一的安全策略部署与配置管理能力,以及与边界防护解决方案的融合能力。
功能与优势
■网络级的性能
迪普相关产品基于APP-X硬件平台,可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。
不会因为增加了新的设备而使得应用的性能出现下降。
■网络适应性
迪普相关产品基于Conplat软件平台,提供了丰富的网络适应性,可以在IPv6、MPLS等复杂网络环境下良好的工作。
设备部署的时候,可不受网络环境的限制,也不需要大面积调整网络结构。
■丰富的VPN组网能力
综合应用IPSecVPN、SSLVPN、GREVPN、L2TPVPN等多种VPN技术,提供了丰富的VPN接入手段和组网方法。
■完善的L2~7安全保护
通过DPtech防火墙、UTM和IPS产批为核心,提供了完善的L2~7层安全保护能力。
可有效抵御VPN内的病毒传播,以及抵御来自于互联网的攻击。
■虚拟化安全服务
所有产品都支持虚拟化功能,可以虚拟成为多个独立设备使用。
这在分域设计以及多种安全策略并存的环境下,可以有效的降低安全策略设计的复杂性。
■快速部署及排错
所有设备都支持统一管理,能对所有设备进行统一系统软件升级、策略集中下发,提供了快速部署及排错能力。
■完善的高可靠性保障
根据组网方式的不同,可支持链路备份、VRRP、路由备份等多种高可靠性设计,提供微秒级的故障切换能力。
五、产品选型及报价
1.根据实际需求情况及未来三五年内的网络和应用发展情况,我们建议使用迪普科技公司的防火墙设备分别作为核心VPN设备以及分支VPN设备,采用H3CS3600交换机作为局域网关,。
型号
描述
数量
单位
单价
总价
备注
VPN分支设备
FW1000-MS-N
DPtechFW1000-MS-N交换主机
4
台
¥
13,700.00
54,800.00
VPN核心设备
FW1000-MA-N
DPtechFW1000-MA-N交换主机
1
34,628.00
管理软件
SW-UMC-PLAT
DptechUMC统一管理中心管理软件
套
16,800.00
可选配
LTS-UMC-FWM
DptechUMCFireWallManager授权函
49,700.00
交换机
LS-3600-28TP-SI
LS-3600-28TP-SI以太网交换机主机24口
5
7,290.00
36,450.00
小计:
192,378.00
服务费
年
22,500.00
安装调试以及一年维护费
合计:
214,878.00
我们为贵公司推荐DELL的服务器,型号为R310,开票价为:
13500.00元