湖南电力多链路远程F5VPN访问接入解决方案及设备配置方案.docVIP

湖南电力多链路远程VPN安全访问接入解决方案 F5 Networks F5 网络有限公司 2006年10月 目录 第一章 简介 ….3 第二章 需求分析 4 2.1具体需求分析 4 第三章 多链路SSL-VPN接入 解决方案 6 3.1网络拓扑图 6 3.2方案分析 6 第四章 设备总体配置方案 12 4.1 SSL VPN设备配置方案 12 4.1.1 F5 FirePass 的关键技术 12 4.1.2 F5 FirePass系统设备型号选择 15 4.2 多链路接入设备配置方案 18 第五章 成功案例 34 第一章 简介 什么是VPN: VPN就是指利用公共网络，如公共分组交换网、网、或等的一部分来发送专用信息，形成逻辑上的专用网络VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的用户的需求正是 VPN 技术诞生的直接原因 需要强的安全控制 需要容易部署和管理 VPN实现安全接入的两种主要办法 IPSec VPN SSL VPN SSL VPN将成为远程访问技术主流 降低维护费用并提高效率 与IPSec 相比采用SSL VPN 在三年的时间内节省 $80,000 到 $260,000 (Breakaway Marketing Group August 2004) 丰富的客户端活动日志和审计功能 优异的安全性 精确适当的访问权限 IPSec 用来为子网对子网的安全通道而设计，不适用于远程客户端访问 远程访问系统是管理系统而非纯业务系统 第二章 需求分析 现阶段湖南电力在本部建有完善的内部网络系统，并且随着公司业务的不断发展,各地办事机构与公司的信息交换越来越频繁,重要的信息和数据也越来越多,安全也越来越重要,而且随着业务发展,以后将在各地开设新的办事机构,这些分支机构的情况将汇聚到长沙公司本部,同时部分出差人员,需要通过移动方式访问公司。 因此需要在确保数据安全的基础上建立VPN通道连接，以实现移动接入以及安全远程访问。同时，公司本部现有电信、联通2条100M专线，通过防火墙与内部网联接为远程接入用户提供最佳链路和ISP选择，并实现基于策略的多链路负载均衡 1． 通过SSL VPN来实现对总局内部网络的无客户端软件访问模式，实现方便快捷的访问； 2． SSL　VPN并发用户数量目前预计有200人左右；以后随着业务的增长，可能达到几千个用户的规模，并发数有可能达2000个以上，因此系统必须有扩展能力以支持上述业务量； 3． 系统必须具有高可靠性，并且要求提供一定的容错机制； 4． 用户的认证管理支持外部LDAP、Radius Server、及证书认证管理模式以及双因数认证方式，例如RSA的SecuID和RAINBOW的IEKY； 5． 通过SSL VPN接入内部办公网以后，可以支持OA系统控件的访问及其它典型应用如邮件系统、Portal系统、电力业务系统等的访问。 6． 灵活的扩展空间，根据实际应用的需求灵活投资，提高整体服务能力 7. 支持多链路接入，VPN用户使用统一域名通过电信、联通等运营商专线访问SSL VPN，链路负载均衡器应能使用多种方式，如用户网络所在运营商、网络延时、链路负载等自动选择最佳链路接入，避免运营商间网络互联瓶颈、链路故障或拥塞等原因而影响用户访问效率； 第三章 多链路SSL-VPN接入 解决方案 3.1网络拓扑图 3.2方案分析 将F5 FirePass 连接到湖南电力内部的核心交换机上，利用原有存在防火墙，在防火墙上映射一个合法可路由的IP地址为FirePass VPN设备，并添加相应的安全策略，在FirePass vpn 设备上添加用户组，并且为每个用户组添加相应的用户（如财务组、行政组等），为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名即可访问到FirePass vpn的首页内容，然后输入分配的用户名和密码，即可访问相应的内部资源。 另外，在外部网络连接上，采用F5的BIGIP3400LTM＋LC连接电信、联通两条线路，BIGIP3400LTM＋LC能够提供独具特色的解决方案，不但能够充分利用这两条链路（双向流量按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上）；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部用户进行响应，从而解决目前广泛存在的多个ISP之间的互联互通问题。 该方案有以下优点： 适宜具体需求，满足用户的应用； 可行性强，实施方便，减少整体投资，具有良好的性能价格比系统可扩展性强，因为VPN是建立在公网上的私有连接，因此当网络拓扑改变时，不依附于资源提供商和物理设备；可以很好适宜各种网络