水利水电建设集团VPN安全接入方案

墙技术提出十分严峻的挑战；而IPsec技术一般终止在网关上，因此不会对用户网的安全构成威胁。

L2TP二层隧道技术对于远程接入的用户认证可以提供很好的保证，一旦用户认证通过就无法对传输数据的安全性保证了。一般地，二层隧道协议和三层隧道协议都是独立使用的，如果合理地将这两层协议结合起来使用，将可能为用户提供更好的安全性（如将L2TP和IPSec协议配合使用）和更佳的性能。

华为3Com技术有限公司 -9-

水利水电建设集团VPN安全接入方案

四、 水利水电建设集团VPN解决方案

华为3Com VPN解决方案通过组合采用L2TP VPN、IPSec VPN以及SSL VPN等多种方式，实现了用低成本，高安全性的VPN连接，可以灵活的构建多种模式的VPN网络，全面适应不同网络数据流动的需求。

水利水电集团总公司BIMS系统VPN管理平台网管系统SecPath1000FVPNVPNSecPoint＋SecKey省分公司SecPath100F-ESecPath100F-EVPN移动办公SecPath100F-ESecPath100F-E省分公司省分公司 在总公司部署2台SecPath1000F，分别连接不同运营商的Internet专线，实现总公司接入网关的互备和负载分担，同时还可以实现对通过不同运营商线路上联的分支机构的最优接入；SecPath1000F还兼做总公司的出口防火墙。

在每个分公司部署1台SecPath100F-E，连接运营商的Internet专线，通过与总公司SecPath1000F之间建立IPsec VPN隧道，实现分支机构的广域网接入，完成业务数据、语音/.视频，OA等数据的VPN线路承载；SecPath100F-E还可兼做分公司出口防火墙，如果分公司内部已经有了防火墙，VPN的部署位置可以放置在防火墙之后进行双臂串行部署，如果分配VPN设备的IP地址为内网地址，这个时候需要VPN设备使用IPSec协议通过防火墙做NAT穿越。

华为3Com技术有限公司 -10-

水利水电建设集团VPN安全接入方案

对于移动办公用户，采用SecPoint VPN客户端软件和SecKey硬件认证方式，实现对内部网络的访问。

作为VPN互联方案非常重要的一部分，还需要在总公司部署VPN Manager管理系统和BIMS（分支节点设备配置管理系统）。VPN Manager实现设备管理、拓扑管理、VPN监控、VPN引导部署、连接监控以及网络管理等功能，BIMS完成设备配置文件管理、配置文件自动更新以及VRP版本管理等功能。

华为3Com技术有限公司 -11-

水利水电建设集团VPN安全接入方案

五、 方案技术实现

VPN接入网关子系统：

VPN接入网关子系统是整个VPN接入的中心组件，由专用的VPN接入网关设备实现IPSec VPN接入，完成整个移动用户的汇接。

华为3Com推出了全系列的专用VPN网关设备，具有非常高的性能特性以及丰富的功能特性。Quidway? SecPath系列VPN安全网关是华为3Com公司面向企业用户开发的新一代专业安全网关设备；支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、MPLS VPN、SSL VPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。

VPN管理子系统：

VPN管理子系统由两个组件组成：华为3Com VPN Manager系统以及华为3Com BIMS分支智能管理系统。

华为3Com VPN Manager系统：以用户实际配置任务为驱动，提供IPSec VPN业务配置向导，指导用户进行IPSec VPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，而无需进行过多配置及软件使用学习。

为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备的特殊配置。

华为3Com技术有限公司 -12-