水利水电建设集团VPN安全接入方案
墙技术提出十分严峻的挑战;而IPsec技术一般终止在网关上,因此不会对用户网的安全构成威胁。
L2TP二层隧道技术对于远程接入的用户认证可以提供很好的保证,一旦用户认证通过就无法对传输数据的安全性保证了。一般地,二层隧道协议和三层隧道协议都是独立使用的,如果合理地将这两层协议结合起来使用,将可能为用户提供更好的安全性(如将L2TP和IPSec协议配合使用)和更佳的性能。
华为3Com技术有限公司 -9-
水利水电建设集团VPN安全接入方案
四、 水利水电建设集团VPN解决方案
华为3Com VPN解决方案通过组合采用L2TP VPN、IPSec VPN以及SSL VPN等多种方式,实现了用低成本,高安全性的VPN连接,可以灵活的构建多种模式的VPN网络,全面适应不同网络数据流动的需求。
水利水电集团总公司BIMS系统VPN管理平台网管系统SecPath1000FVPNVPNSecPoint+SecKey省分公司SecPath100F-ESecPath100F-EVPN移动办公SecPath100F-ESecPath100F-E省分公司省分公司 在总公司部署2台SecPath1000F,分别连接不同运营商的Internet专线,实现总公司接入网关的互备和负载分担,同时还可以实现对通过不同运营商线路上联的分支机构的最优接入;SecPath1000F还兼做总公司的出口防火墙。
在每个分公司部署1台SecPath100F-E,连接运营商的Internet专线,通过与总公司SecPath1000F之间建立IPsec VPN隧道,实现分支机构的广域网接入,完成业务数据、语音/.视频,OA等数据的VPN线路承载;SecPath100F-E还可兼做分公司出口防火墙,如果分公司内部已经有了防火墙,VPN的部署位置可以放置在防火墙之后进行双臂串行部署,如果分配VPN设备的IP地址为内网地址,这个时候需要VPN设备使用IPSec协议通过防火墙做NAT穿越。
华为3Com技术有限公司 -10-
水利水电建设集团VPN安全接入方案
对于移动办公用户,采用SecPoint VPN客户端软件和SecKey硬件认证方式,实现对内部网络的访问。
作为VPN互联方案非常重要的一部分,还需要在总公司部署VPN Manager管理系统和BIMS(分支节点设备配置管理系统)。VPN Manager实现设备管理、拓扑管理、VPN监控、VPN引导部署、连接监控以及网络管理等功能,BIMS完成设备配置文件管理、配置文件自动更新以及VRP版本管理等功能。
华为3Com技术有限公司 -11-
水利水电建设集团VPN安全接入方案
五、 方案技术实现
VPN接入网关子系统:
VPN接入网关子系统是整个VPN接入的中心组件,由专用的VPN接入网关设备实现IPSec VPN接入,完成整个移动用户的汇接。
华为3Com推出了全系列的专用VPN网关设备,具有非常高的性能特性以及丰富的功能特性。Quidway? SecPath系列VPN安全网关是华为3Com公司面向企业用户开发的新一代专业安全网关设备;支持防火墙、AAA、NAT、QoS等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、MPLS VPN、SSL VPN等,可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术,安全网关可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。
VPN管理子系统:
VPN管理子系统由两个组件组成:华为3Com VPN Manager系统以及华为3Com BIMS分支智能管理系统。
华为3Com VPN Manager系统:以用户实际配置任务为驱动,提供IPSec VPN业务配置向导,指导用户进行IPSec VPN设备配置,构建VPN网络。在配置业务中,提供预定义配置参数功能,以方便高级用户预定义、重用配置信息。并提供缺省配置,以使用户初次使用本管理软件时,能快速配置IPSec VPN设备,而无需进行过多配置及软件使用学习。
为了避免在设备上留下冗余的配置信息,支持“清除”功能,能够在重新配置以及配置命令下发过程中出现失败的情况下,清除设备已配置的信息。为了管理方便,以网络域为配置单位,减少配置操作,对网络域的配置会自动赋予网络域内的全部设备,用户可一次性对网络域内所有设备进行相同配置部署。同时,用户也可指定某个设备的特殊配置。
华为3Com技术有限公司 -12-