概述
IP VPN(虚拟专网)指通享IP网络建立私数传输通道远程分支办公室商业伙伴移动办公员等连接起提供端端服务质量(QoS)保证安全服务着IP VPN兴起户运营商目光转种极具竞争力市场前景VPN户言IP VPN非常方便代租线传统ATM帧中继(FR)VPN连接计算机局域网(LAN)时提供租线备份冗余峰值负载分担等降低成费服务提供商言IP VPN未数年扩业务范围保持竞争力客户忠诚度降低成增加利润重手段
IP VPN需通定隧道机制实现目保证VPN中分组封装方式址承载网络封装方式编址关外隧道身够提供定安全性隧道机制映射IP网络流量理机制中
IP VPN质专网通信仿真隧道协议外逻辑结构(编址拓扑连通性达性接入控制等)专设施传统专网部分全部相样考虑路转发QoS业务理业务提供等问题
二HiPER系列VPN安全网关设计
IP VPN技术通隧道机制(Tunneling)实现通常情况VPN链路层网络层实现隧道机制链路层支持隧道机制:PPTP(Point to Point Tunneling Protocol点点隧道协议)L2TP(Layer 2 Tunneling Protocol链路层隧道协议)L2F(Layer 2 Forwarding链路层转发协议)
PPTP第2层协议PPP数桢封装IP数报通IP网络传送PPTP专局域网络间连接RFC草案点点隧道协议PPTP协议进行说明介绍PPTPTCP连接隧道进行维护通路封装(GRE)技术数封装成PPP数桢通隧道传送封装PPP桢中负载数进行加密压缩
GRE(通路协议封装)规定种网络协议封装种网络协议方法GRE隧道两端源IP址目IP址定义允许户IP包封装IPIPXAppleTalk包支持种路协议RIP2OSPF等
GRE协议提出较早较简单说已较成熟
L2TP(第二层隧道协议)定义利包交换方式公网络基础设施(IP网络ATM帧中继网络)封装链路层PPP(点点协议)帧方法L2TP(RFC266)中封装链路层PPP协议封装协议L2TP定义承载协议首选网络层IP协议采链路层ATM帧中继协议L2TP支持种拨号户协议IPIPXAppleTalk保留IP址
目前L2TP相关标准(认证计费)已较成熟客户运营商已组建基L2TP远程接入VPN(Access VPN)国外已少运营商开展项业务实施Access VPN中 般运营商提供接入设备客户提供网关设备(客户理委托运营商)理Access VPN吸引力委托网络务方式ISP通IP骨干网户数呈现点(POP)转发企业户网络中幅度节省企业客户费该服务面分散具定移动性户类户远程接入专网络提供济控制具定安全保证手段
IPSec目前唯种形式Internet通信提供安全保障协议外IPSec允许提供逐数流者逐连接安全实现非常细致安全控制户说便需定义级安全保护(保护强度IPSec通道)IPSec网络数传输提供:
● 数机密性
● 数完整性
● 数源认证
● 抗重播
等安全服务数通公网络传输时担心监视篡改伪造
IPSec通种加密算法验证算法封装协议特殊安全保护机制实现目算法参数保存进行IPSec通信两端SA(Security Association安全联盟)两端SA中设置匹配时两端进行IPSec通信IPSec加密算法包括DES56位TripleDes168位AES128位验证算法采流行HMACMD5HMACSHA算法
IPSec采封装协议AH(Authentication Header
验证头)ESP(Encapsulating Security Payload封装安全性效负载)
ESP定义RFC2406协议确保IP数包机密性(第三方见)数完整性数源址验证时具抗重播特性具体说IP头(IP选项)保护数前插入新报头ESP头受保护数层协议数整IP数包添加ESP尾ESP身IP协议协议号50说ESP保护IP数包外ESP数包形成嵌套安全保护ESP封装方式图:
图示ESP头没加密保护采验证保护ESP尾部分进行加密处理ESP头中包含关加解密信息ESP头然采明文形式
AH定义RFC2402中该协议IP数包提供数完整性数包源址验证限抗重播服务ESP协议相AH提供通信数加密服务样提供数验证服务ESP提供更加广数验证服务图示:
整IP数包容进行数完整性验证处理SA中定义负责数完整性
验证验证算法(散列算法AHMD5HMACAHSHAHMAC)进行项服务
AHESP提供抗重播服务选项否提供抗重播服务数包接收者决定
HiPER系列VPN安全网关设计支持L2TPPPTPIPSec支持种设备Internet建立VPN隧道连接两远端局域网局域网户访问局域网网资源:方设备Windows 2000 服务器Cisco PIX 华Quidway 等路器netscreenfortigate设备等支持标准VPN网络设备
介绍隧道技术外作网关IP VPN安全网关特点备份技术流量控制技术包滤技术网络址转换技术抗击力网络监控理技术等
三HiPER系列VPN安全网关安全解决方案
根面述路器安全特性设计求HiPER系列VPN安全网关提供种网络安全解决方案适应应需求包括:
● 电子政务VPN联网
● Internet安全互联
● 通Internet构建VPN
● 电子商务应
● 教育系统校校通应
1.Internet安全互联
HiPER系列VPN安全网关提供Internet安全互联解决方案HiPER VPN
安全网关通基访问列表包滤网络址转换实现功:
● 基接口包滤
● 通访问列表中时间段参数设置实现时间相关访问理
● 网软件监控网络运行情况便户理控制
● 外部机法直接访问部服务器外部机A法通部服务器实际址访问外部机B通路器设置虚拟址访问部服务器样定程度保护部服务器通网络址转换实现时配置带访问列表网络址转换限制外部机部服务器服务访问类型(HTTPFTP等)
● 部机路器理访问外部Server屏蔽部网络址信息时加强
部机理
2.通Internet构建VPN
HiPER系列VPN安全网关通Internet构建VPN方案:
通专线方式进行远办事机构网络互联成较昂贵利率低通Internet实现网络互联HIPER系列VPN路器提供IPSecVPN方案中户仅实现目标保证网络传输安全性
HiPER系列VPN安全网关提供方案具功:
● 外出员通PSTN接入企业部网络
● 外出员通PSTN接入远程办公机构
● 远程办公机构通路器企业部网络建立安全通道
● 干远办事机构相互建立安全连接
HiPERVPN产品支持动态址接入说互联节点需采固定址间建立VPN连接种方式通HiPERDNS服务器次拨号时获址通HiPERDNS服务器分配固定FQDN机名+域名址变化外网访问变机名域名
3.海家连锁超市HiPER例子
海某连锁超市企业300家分店市区郊县目前连锁店接入方式异海电信ADSL海电信FTTB+LAN长城宽带等运营商LAN接入实施VPN前线通拨号模拟线路进行数传输着业务拓展理需该超市希够实现数实时传输总部分店实时视频监控实时数传输果线通拨号方面费较高外方面法满足视频监控带宽需求
根客户需求提供套基宽带接入VPN视频监控体化方案
实现功:
● 实现连锁分店总部间VPN宽带网络连通
● 实现连锁分店总部间POS机数步传送
● 监控中心部分连锁超市进行图传送安装监控摄头
取效果
● 物流理效率提高实时安全网络连接总部时解分店销售库存情况时进行配送调整总部存货策略
● 监控监督提高员工积极性实时监控系统员工服务态度工作积极性提高
● 客户理位分店总部数库实现实时VPN安全连接超市CRM系统发行会员卡实行累计购物优惠制度提高顾客忠诚度提高销
售额
● 销售额升VPN安全保障超市发行统基条形码购物卡极提高销售额
● 安全保卫保障实时网络监控系统相连警报系统提高超市防抢盗力时降低保卫成
● 网络运营成降低通运营商合作达降低成 ADSLLAN等宽带接入价格前模拟ISDN拨号相省成
4.浙江某区教育网HiPER例子
作济发达省份浙江省中区者县拥较学校般言学校部电脑配置网络配置错学校学校间交流少前学校常通窄带拨号网宽带发展学校接入互联需求接入设备互联设备求突出
学校联网求:学校申请10M光纤线路者ADSL实现学校教委间互相访问学校接入Internet学校WWW服务器需外发布保证安全性学校电脑数量众需保证学校部门网网络具扩展性语音(VoIP)
联网方式学校配置台HiPER VPN安全网关充学校部电脑连Internet网关作教委互联VPN网关
需接入Internet需NAT址转换功发布WWW服务器需静态址转换学校间教委间互联VPN功L2TP者IPSec安全性考虑通路器防火墙功果需更高安全性配备专门防火墙设备
考虑网络部会VOIP设备VOIP设备带宽时延敏感样需路支持流量控制功采HiPER系列宽带安全网关实现QoS(Quality of Service)
未应根需HiPERQoS控制
建立IP VPN学校网互联提供方便学校教委学校学校间信息传递更加利
四结
作IP VPN网络VPN安全网关需提供较先进安全技术包括备份技术包滤技术网络址转换种VPN隧道技术密钥交换技术高级IPSec加密技术选择种济连接方式(ADSL FTTX+LANCable ModemISDN)节省量专线费 支持时发起隧道时拨入拨出提供种网络安全解决方案适应前网络发展需
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档