艾泰科技上海电信VPN备份解决方案-VPN解决方案.docVIP

艾泰科技上海电信VPN备份解决方案-VPN解决方案 　　概述　　具备多个分支机构的单位，分支机构往往需要和总部进行数据交换，如实现电子商务，财务软件互联等，简单经济的方法是通过VPN。如果总部只有一个线路，一旦该线路出现故障，各个分支机构就无法完成业务。本方案通过一种简单方便的方式实现了VPN隧道的备份，实现各个分支机构和总部中心服务器数据交换的不间断工作。通过本方案，也解决了各个分支机构上网的问题。　　需求分析　　上海电信下属某单位为了提高工作效率，需要建立一套内部电子商务系统，而该单位在全市有几十个分支机构，每个分支机构的数据需要实时传送到中心，而且，还需要一定的安全功能。由于组网的复杂性和费用，各个分支机构上网的连接方式不再是传统的DDN和帧中继的方式，各个分支机构的上网方式不尽相同，有通过电信ADSL连接Internet，也有通过FTTH连接Internet。因此，通过宽带接入实现VPN成为一种切实可行的经济选择。然而，需要建设的网络不仅能满足各个分支机构上网的需要，而且能实时向中心服务器传送各个分支机构的数据。如果在中心点采用单一的线路，一旦这个线路出现故障，下面各个分支机构就无法向上传送数据，将会严重影响业务的运行。因此，本着将线路故障造成的损失降到最低的目的，中心点再申请一个做为备份线路，在主线路出现故障的时候，各个分支机构可以通过备份线路将数据传送到中心服务器。　　方案规划　　该网络结构比较简单，也很清晰，各个分支机构可以通过各种方式连接到公共网络，如ADSL，LAN等。每个分支机构申请一个线路，运营商分配一个公网地址，使用一个可以支持L2TP或者IPSec over L2TP的VPN设备，该设备既支持将电子商务的数据传送到中心服务器，也支持分支机构上网的要求。传送电子商务数据的时候，可以检测到中心主线路失效时，能将VPN切换到备份线路。中心采用双线路接入，需要放置一台VPN服务器，该VPN服务器能支持双线路固定地址接入，不仅能支持从第一个口接入VPN隧道连接请求，还能支持从第二个口接入VPN隧道连接请求。　　VPN协议可以选择的方式有　　　1、使用L2TP连接　　2、使用IPSec over L2TP连接　　第一种方式的优点是组网配置简单，带宽利用效率比较高，缺点是安全性不太高。第二种方式的优点是安全性高，缺点是配置复杂，带宽利用效率比第一种稍微有些下降。　　网络连接的拓扑示意图如下：　　　 　　由于每个分支机构的上网机器一般在几十台以内，地址规划的方式可以按照如下方式，分支机构1的地址192.168.1.0/24，分支机构2的地址192.168.2.0/24依此类推。总部中心机房的地址规划是192.168.200.0/24。　　如果在各个分支机构已经有了网络，而且地址都已经设定，考虑到统一更改地址带来很大的工作量，为了避免某些分支机构使用相同的地址空间，因此，在配置分支机构的HiPER的时候，启用L2TP上的NAT功能，这样可以避免由于相同地址冲突带来修改的困扰。　　产品选型　　各个分支机构可以选择HiPER 2231CS或者HiPER 3100VF做为客户端设备，中心设备可以选择HiPER 4520VF。HiPER 2231CS支持2个并发隧道，3100VF支持配置16个隧道，并发8个，HiPER 4520VF支持500个IPSec隧道和128个L2TP/PPTP隧道。　　VPN安全网关的IPSec特点如下：　　支持自动IKE或者手动建立IPSec隧道　　支持ESP和AH协议，3DES/DES/AES加密，SHA1/MD5认证　　主模式和野蛮模式　　抗重播 　　支持IPSec NAT穿透　　除此之外，HiPER VPN安全网关还可以支持L2TP/PPTP的客户端，服务端，也可以和IPSec一起使用，建立IPSec over L2TP/PPTP或者L2TP/PPTP over IPSec的隧道。　　实现特点　　1、总部中心点放置HiPER 4520VF，WAN口连接主线路，WAN2口连接备份线路，LAN口连接到内网。实现VPN服务器和总部上网二合一的功能。　　2、各个分支机构和中心可以通过HiPER3100VF的NAT功能共享上网　　3、各个分支机构使用HiPER的VPN的客户端功能，向中心服务器发起VPN隧道，建立网络连接。　　4、当使用第一种组网方式，也就是通过L2TP方式组网时，在每个客户端配置2条VPN隧道，第一条隧道由客户端发起，终结在中心的VPN服务器的第一个外网连接口上，第二条隧道由客户端发起，终结在中心的VPN服务器的第二个外网连接口上，两条隧道采用主备方式，在主线路正常的情况下，所有的需