ADTVPN典型解决方案培训选编.pptVIP

VPN解决方案培训 虚拟专用网 vs 专线网络 共性： 1）为用户单位所专用； 2）实现网络的统一规划和管理（象在LAN中）； 差异： 1）专线网络：存在物理上连同的实际链路； 2）VPN：利用公网（internet）实现可达，利用加密解决安全性，保证专用。 选用VPN的原因 几种典型用法 安达通安全网关与普通VPN网关的对比 VPN子网之间可以是“固定IP_固定IP”、“固定IP_动态IP” 、 “动态IP_动态IP” ； 支持“真实IP-保留IP”间的VPN互联 采用基于数字证书的运行和管理方式确保网关之间，网关与管理员间的有效认证。与CA系统无缝整合，能够方便构建属于同一信任域下的大规模虚拟专网； 可采用基于策略服务器的自动策略生成模式，极大地方便管理； 硬件是采用通讯处理器的高性能嵌入式系统，低功耗、高可靠性； 支持丰富的网络接口方式，有：Ethernet，ADSL，Modem接入系列以及与网络接口无关的纯软件产品； 支持移动用户的安全接入； VPN子网之间一般只能是“固定IP_固定IP”； 只支持“真实IP-真实IP”间的VPN互联 一般采用基于“预共享密钥”的认证方式，不能构建大规模的虚拟专网； 网关的安全策略依靠手工添加，管理麻烦，不适合构建大规模的虚拟专网； 一般采用基于IPC(工控机)的硬件平台，成本高，可靠性低； 一般只有Ethernet接口； 目前只有少数国内其他厂商的VPN产品，支持远程移动用户； 衡量VPN好坏的重要因素 VPN产生背景：网络基础设施（NI） 合作伙伴/客户 公司总部 办事处/SOHO 公共网络 DDN ADSL VPN概念 VPN（Virtual Private Network）是指通过综合利用访问控制技术和加密技术，并通过一定的密钥管理机制，在公共网络中建立起安全的“专用”网络，保证数据在 “加密管道”中进行安全传输的技术。 合作伙伴/客户 公司总部 办事处/SOHO 公共网络 VPN通道 VPN设备 VPN设备 VPN设备 VPN client 基于OSI参考模型的VPN技术 网络层 物理层 数据链路层 传输层 会晤层 表示层 应用层 网络层 物理层 数据链路层 传输层 会晤层 表示层 应用层 网络层攻击 数据链路攻击 应用层攻击 VPN(Ipsec IKE)，FireWall 信道加密 VLAN，L2TP SSL SET 安全协议 依赖于电信部门。 依赖于设备的升级，非常方便。 升级 由于价格昂贵，一般租用的带宽都比较窄（一般不超过2M）。 使用各种廉价的宽带介入方式，如：ADSL，Ethernet等，一般在1~100M。 带宽 只能联通专线拉到的网络，不支持离开局域网的内部用户接入专网。 能对internet上的内部移动用户安全接入，彻底消除地域差异。构造全球的虚拟专网。 对移动用户的支持 专线费用很高，需要每月支付昂贵的专线租用费用，而且在初期要一次性投入路由器的费用 设备一次性投入，不需要支出每月的运营费用，长期看来大幅度节省支出。 投资成本 以来当地运营商的支持，扩展很不方便。 基于TCP/IP技术，接入方式灵活，只要网络可达，就可以方便扩展。 可扩展性 比较高。但是，安全是建立在对电信部门相信的基础上，对电信运营商，无任何安全可言。 非常高，保护数据传输的完整性、保密性、不可抵赖性；安全控制在用户手里 安全性 专线技术 VPN技术 1、公司各地机构构建远程VPN安全网络（固定IP—固定IP，固定IP—动态IP） 用途：公司与分支机构通过Internet/WAN安全互联，形成“局域网” 用途：企业职员在外出差时可以通过Internet访问公司内部网络资源 2、出差员工通过拨号上网（当地的ISP）接入公司的远程内网 3、全动态接入的VPN网络互联解决方案 用途：比较适合中小企业安全互联的解决方案 用途：使企业和合作伙伴，供应商之间进行安全保密的通信(Extranet)； 并进行严格的访问控制（“子网/网址范围/主机”间的任意搭配）。 4、企业间的虚拟专用网络 用途：特别适合中国城域宽带接入环境下的VPN互联。 5、对NAT穿透的支持 A. 传统的基于“预共享密钥”的通讯模式（适合小规模VPN设备互联模式） 左边的6个VPN设备相互通讯，需要约定15个密钥；建设N个节点相互通讯，需要N*(N-1)/2个密钥 B. 基于“数字证书”的通讯模式（适合大规模VPN设备互联模式） CA：（certificate authority）作为电子商务交易中受信任的第３方，承担数字证书的签发和验证。 －－网络上的公安局； 数字证书：网络通讯中标志通讯各方身份信息的一系列数据，由CA机构颁发和验证。－－网络上的身份证； 6、大规模VPN构建 合作伙伴