水利水电建设集团VPN解决方案07.docxVIP

水利水电建设集团 VPN 安全接入解决方案 华为 3Com 技术有限公司 2006 年 11 月 目 录 一、 网络数据传输需求分析 3 二、 网络构建可行模式分析 4 三、 VPN 相关技术背景介绍 5 四、 水利水电建设集团 VPN 解决方案 10 五、 方案技术实现 12 六、 华为 3COM VPN 解决方案模块 17 6.1. VPN 备份解决方案 17 6.2. 分支机构 VPN 连接解决方案 18 6.3. 移动用户接入解决方案 20 七、 VPN 设备配置建议 22 八、 相关案例 23 一、 网络数据传输需求分析 水利水电建设集团网络现状 Firewall 集团公司总部 省分公司 水利水电集团公司基本的网络结构如上图所示：以总公司局域网为核心，通过两条  ISP  线 路接入  Internet  。各各省分公司网络同样已经接入  Internet  ，随着水利水电集团公司自身业务的 不断反展，现在需要建立一张广域网络将各各省分公司的局域网络接入到总公司，以完成 OA ， 项目监理，财务等业务开展，现在需要采用低成本的接入方式，实现广域网络的建设和连接。 二、 网络构建可行模式分析 构建上面我们描述数据通信模式的网络结构一种可行的方案是专线网络连接的备份链路方式，其基本方式是进行每个层次之间的专线方式的网络连接即可，通过这种方式可以实现的星形结构的全局网络连接，全面满足我们在前面描述的数据流动模式的需求，但是这种方式存在非常大的缺点：专线方式的网络连接需要支付高昂的专线租用费用； 另外一种方式是通过拨号的方式，通过利用 PSTN/ISDN 的模拟电话线路，移动用户主机配置的调制解调器，采用拨号的方式，登录到总公司内部的拨号服务器，实现远程对公司内部 资源的访问。这种方式的优点在于比较灵活， PSTN 电话线路资源比较容易获得。缺点在于网络连接性能低，不提供 QOS 保障，无法保证对实时业务的支持，无法满足复杂业务处理的需求；网络数据在 PSTN 传输，没有任何安全措施，数据在传输过程中存在很大的安全风险；缺少足够的访问控制能力以及日志记录能力，不能满足事后审计需求。而且只能提供单个用户的接入，无法衔接两个独立的网络。 随着 VPN 技术的发展， VPN 技术已经成为一种非常成熟的网络连接方式， VPN 具有高性 价比、强适应能力、具备很强的网络安全特性以及动态的扩展能力等优势，已经被广泛替代专 线用来进行广域网络的衔接，下面我们将以 VPN 模式为核心，提供华为 3com 全面的 VPN 解 决方案。 三、 VPN 相关技术背景介绍 伴随企业和公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴日益增多， 越来越多的现代企业迫切需要利用公共 Internet 资源来进行促销、销售、售后服务、培训、合 作及其它咨询活动，这为 VPN 的应用奠定了广阔市场。 VPN （ Virtual Private Network ，虚拟私有网）是近年来随着 Internet 的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。 “虚拟 ”主要指这种网络是一种逻辑上的网络。 VPN 有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚 拟网络，是一种逻辑上的网络。VPN 只为特定的企业或用户群体所专用。从 VPN 用户角度看 来，使用 VPN 与传统专网没有区别。 VPN 作为私有专网，一方面与底层承载网络之间保持资 源独立性， 即在一般情况下， VPN 资源不会被承载网络中的其它 VPN 或非该 VPN 用户的网络 成员所使用；另一方面， VPN 提供足够安全性，确保 VPN 内部信息不受外部的侵扰。 VPN 技术优势，低成本，通过公用网来建立 VPN ，就可以节省大量的通信费用。此外， VPN 还可使企业不必投入大量的人力和物力去安装和维护 WAN 设备和远程访问设备， 这些工 作都可以由 ISP 负责完成。易扩展，如果用户想扩大 VPN 的容量和覆盖范围，企业可以与新 的 ISP 签约， 建立账户； 或者与原有的 ISP 重签合约， 扩大服务范围。 在远程办公室增加 VPN 能力也很简单，只需通过作适当的设备配置就可。 在远端用户、分支机构、合作伙伴与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率。 只需要通过软件配置就可以增加、删除 VPN 用户，无需改动硬件设施。这使得 VPN 用具有很大灵活性。支持驻外 VPN 用户在任