中石化vpn解決方案

IPSecVPN解決方案華為3com技術(shù)名目\l“_TOC_250017“概述 3\l“_TOC_250016“VPN定義 3\l“_TOC_250015“VPN的類(lèi)型 4\l“_TOC_250014“VPN的優(yōu)點(diǎn) 5\l“_TOC_250013“隧道技術(shù) 5\l“_TOC_250012“加密技術(shù) 8\l“_TOC_250011“身份認(rèn)證技術(shù) 9\l“_TOC_250010“建設(shè)方案 11\l“_TOC_250009“根本建設(shè)思路 11\l“_TOC_250008“組網(wǎng)方案 11\l“_TOC_250007“牢靠性方案 17\l“_TOC_250006“IPSecVPN治理系統(tǒng) 21\l“_TOC_250005“輕松部署安全網(wǎng)絡(luò) 21\l“_TOC_250004“直觀展現(xiàn)VPN拓?fù)?22\l“_TOC_250003“全方位監(jiān)控網(wǎng)絡(luò)性能 22\l“_TOC_250002“快速定位網(wǎng)絡(luò)故障 24\l“_TOC_250001“BIMS分支智能治理系統(tǒng) 24\l“_TOC_250000“附件:iNode客戶(hù)端軟件介紹 26概述隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的進(jìn)展，企業(yè)日益擴(kuò)張，客戶(hù)分布日益廣泛，現(xiàn)在網(wǎng)絡(luò)的敏捷性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，VPN以運(yùn)行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。VPN定義Network〕，用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣供給安全性、牢靠性和可治理性等?！疤摂M”的概念是相對(duì)傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對(duì)于廣域網(wǎng)連接，VPN是利用效勞供給商所供給的公共網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)遠(yuǎn)程的廣域連接。通過(guò)VPN，企業(yè)可以以明顯更低的本錢(qián)連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴，如圖1所示。PSTN/ISDNPCPOPInternetISPFrameIPRelayPOPATMPOP內(nèi)部效勞器圖1VPN應(yīng)用示意圖由圖可知，企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP〔PointOfPresence，接入效勞供給點(diǎn)〕WAN組建技術(shù)，彼此之間要有本地ISP效勞器支持漫游的話(huà)，甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限。這對(duì)于流淌性很大的VPN效勞所需的設(shè)備很少，只需在資源共享處放置一臺(tái)VPN效勞器就可以了。VPN的類(lèi)型VPN分為三種類(lèi)型：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)〔AccessVPN〕、企業(yè)內(nèi)部虛擬網(wǎng)〔IntranetVPN〕和企業(yè)擴(kuò)展虛擬網(wǎng)〔ExtranetVPN〕，這三種類(lèi)型的VPN分Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。AccessVPN隨著當(dāng)前移動(dòng)辦公的日益增多，遠(yuǎn)程用戶(hù)需要準(zhǔn)時(shí)地訪問(wèn)Intranet和和ExtranetAccessVPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道〔Tunnel〕連接來(lái)傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。AccessVPN的構(gòu)造有兩種類(lèi)型，一種是用戶(hù)發(fā)起〔Client-initiated〕的VPN連接，另一種是接入效勞器發(fā)起〔NAS-initiated〕的VPN連接。用戶(hù)發(fā)起的VPN連接指的是以下這種狀況：首先，遠(yuǎn)程用戶(hù)通過(guò)效勞供給點(diǎn)〔POP〕撥入Internet，接著，用戶(hù)通過(guò)網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)建立一條的隧道〔可加密發(fā)起隧道連接的有關(guān)協(xié)議和軟件。VPN連接應(yīng)用中，用戶(hù)通過(guò)本地號(hào)碼或免費(fèi)號(hào)碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶(hù)的企業(yè)網(wǎng)。在這種狀況下，所建立的VPN連接對(duì)遠(yuǎn)端用戶(hù)是透亮的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負(fù)責(zé)治理和維護(hù)。IntranetVPNIntranetVPN通過(guò)公用網(wǎng)絡(luò)進(jìn)展企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專(zhuān)線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過(guò)公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來(lái)傳輸用戶(hù)的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合效勞商供給的QoS機(jī)制，可以有效而且牢靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN其缺乏是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，但效勞質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時(shí)應(yīng)依據(jù)自身的需求對(duì)以上的各種公用網(wǎng)絡(luò)方案進(jìn)展權(quán)衡。1.2.3ExtranetVPNExtranetVPN是指利用VPN將企業(yè)網(wǎng)延長(zhǎng)至合作伙伴與客戶(hù)。在傳統(tǒng)的專(zhuān)線還需要在Extranet的用戶(hù)側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備；雖然可以通過(guò)撥號(hào)方式構(gòu)建ExtraneExtranet因合作伙伴與客戶(hù)的分布廣泛，這樣的Extranet建設(shè)與維護(hù)是格外昂貴的。因Extranet，結(jié)果使得企業(yè)間的商業(yè)交易程序簡(jiǎn)單化，商業(yè)效率被迫降低。ExtranetVPN以其易于構(gòu)建與治理為解決以上問(wèn)題供給了有效的手段，其實(shí)現(xiàn)技術(shù)與AccessVPN和IntranetVPN一樣。Extranet用戶(hù)對(duì)于ExtranetVPN的訪問(wèn)權(quán)限可以通過(guò)防火墻等手段來(lái)設(shè)置與治理。VPN的優(yōu)點(diǎn)利用公用網(wǎng)絡(luò)構(gòu)建VPN是個(gè)型的網(wǎng)絡(luò)概念，對(duì)于企業(yè)而言，利用InternetInternet60～80％，這無(wú)疑是格外有吸引力的；VPNVPN用戶(hù)的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)展統(tǒng)一安排、VPN組網(wǎng)的敏捷便利等特性簡(jiǎn)化了企業(yè)的網(wǎng)絡(luò)治理，另外，在VPN應(yīng)用中，通過(guò)遠(yuǎn)端用戶(hù)驗(yàn)證以及隧道數(shù)據(jù)加密等技術(shù)保證了通過(guò)公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性。隧道技術(shù)對(duì)于構(gòu)建VPN來(lái)說(shuō)，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個(gè)關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。它主要應(yīng)用于構(gòu)建AccessVPN和ExtranetVPN；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建IntranetVPN和ExtranetVPN。二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議〕、L2F〔Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，二層隧道協(xié)議〕。其中L2TP結(jié)合了前兩個(gè)協(xié)議的優(yōu)點(diǎn)，VPN二層隧道協(xié)議。應(yīng)用L2TP構(gòu)建的典型VPN效勞的構(gòu)造如以下圖所示：遠(yuǎn)端用戶(hù)遠(yuǎn)端用戶(hù)PCLACInternet骨干網(wǎng)LNSPSTN/ISDNL2TP通道接入效勞器遠(yuǎn)地分支機(jī)構(gòu)內(nèi)部效勞器典型撥號(hào)VPN業(yè)務(wù)示意圖三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很的技術(shù)，早已消滅的RFC1701GenericRoutingEncapsulation〔GRE〕協(xié)議就是一個(gè)三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GRE與IPinIP、IPXoverIP等封裝形式很相像，但比他們更通用。在GREY”應(yīng)用，而是一種最根本的封裝形式。在最簡(jiǎn)潔的狀況下，路由器接收到一個(gè)需要封裝和路由的原始數(shù)據(jù)報(bào)文〔Payload〕，這個(gè)報(bào)文首先被GRE封裝而成GRE報(bào)文，接著被封裝在IP協(xié)議中，然后完全由IP層負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)。原始報(bào)文的協(xié)議被稱(chēng)之為乘客協(xié)議，GRE被稱(chēng)之為封裝協(xié)議，而負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議被稱(chēng)之為傳遞〔Delivery〕協(xié)議或傳輸〔Transport〕協(xié)議。留意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或內(nèi)容。整個(gè)被封裝的報(bào)文具有以下圖所示格式：DeliveryDeliveryHeader(TransportProtocol)GREHeaderProtocol)PayloadPacket(PassengerProtocol)通過(guò)GRE傳輸報(bào)文形式IPSecIPSec〔IPSecurity〕IP層InternetIPSec通過(guò)AH〔AuthenticationHeader〕和ESP〔Encapsulating它Internet影響其它局部的實(shí)現(xiàn)。IPSec供給以下幾種網(wǎng)絡(luò)安全效勞：IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的私有性；IPSec沒(méi)有被修改；IPSec端要驗(yàn)證全部受IPSec保護(hù)的數(shù)據(jù)包；IPSec絕老的或重復(fù)的數(shù)據(jù)包，它通過(guò)報(bào)文的序列號(hào)實(shí)現(xiàn)?！睸ecurityAssociation〕進(jìn)展數(shù)等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時(shí)產(chǎn)生的AH和/或ESP附加報(bào)頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶(hù)的整個(gè)IP來(lái)計(jì)算附加報(bào)頭，附加報(bào)頭和被加密的傳輸層數(shù)據(jù)被放置在原IP報(bào)頭后面。AH報(bào)頭用以保證數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截?cái)鄶?shù)據(jù)包或向網(wǎng)絡(luò)AHAH在IP包中的位置如圖5所示〔隧道方式〕：IPTCPIPTCPDataIP2AHIPTCPData圖5AH處理示意圖IPTCPDataIP2IPTCPDataIP2ESPIPTCPDataTrailerAuth圖6ESP處理示意圖AH和ESP可以單獨(dú)使用，也可以同時(shí)使用。數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必?fù)?dān)憂(yōu)數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec供給了兩個(gè)主機(jī)之間、兩個(gè)安全網(wǎng)關(guān)之間或主機(jī)和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護(hù)。在兩個(gè)端點(diǎn)之間可以建立多個(gè)安全聯(lián)盟，并結(jié)合訪問(wèn)掌握列表〔access-list〕，IPSec可以對(duì)不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，到達(dá)不同〔單向〕。通常在兩個(gè)端點(diǎn)之間存在四個(gè)安全聯(lián)盟，每個(gè)端點(diǎn)兩個(gè)，一個(gè)用于數(shù)據(jù)發(fā)送，一個(gè)用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過(guò)手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中結(jié)點(diǎn)增多時(shí)，手工配置將格外困難，而且難以保證安全性。這時(shí)就要使用IKE自動(dòng)地進(jìn)展安全聯(lián)盟建立與密鑰交換的過(guò)程。加密技術(shù)鑰。IKE定義了通信雙方進(jìn)展身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話(huà)密鑰的方法。IKE的精華在于它永久不在擔(dān)憂(yōu)全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過(guò)一系列數(shù)據(jù)的交換，通信雙方最終計(jì)算出共享的密鑰。其中的核心技術(shù)就是DH經(jīng)證明，破解DH交換的計(jì)算簡(jiǎn)單度格外高從而是不行實(shí)現(xiàn)的。所以，DH交換技的全部交換數(shù)據(jù)，也缺乏以計(jì)算出真正的密鑰。在身份驗(yàn)證方面，IKE供給了共享驗(yàn)證字〔Pre-sharedKey〕、公鑰加密驗(yàn)中心的支持來(lái)實(shí)現(xiàn)。IKE1建立ISAKMPSA，有主模式〔MainMode〕和激進(jìn)模式〔AggressiveMode〕兩種；階段2在階段1ISAKMPSA的保護(hù)〔QuickMode〕。IPSecSA用于最終的IP數(shù)據(jù)安全傳送?！睮nformationalExchange〕和建立DH組的組交換〔DHGroupExchange〕。身份認(rèn)證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認(rèn)證，這就是所謂的身份驗(yàn)證。身份驗(yàn)證確認(rèn)通信雙方的身份。目前有兩種方式：一種是域共享密鑰〔pre-sharedkey〕驗(yàn)證方法，驗(yàn)證字用來(lái)作為一個(gè)輸明文字符串，很簡(jiǎn)潔泄漏。另一種是PKI(rsa-signature)驗(yàn)證方法。這種方法通過(guò)數(shù)字證書(shū)對(duì)身份進(jìn)展認(rèn)證，安全級(jí)別很高，是目前最先進(jìn)的身份認(rèn)證方式。公鑰根底設(shè)施〔PublicKeyInfrastructure，簡(jiǎn)稱(chēng)PKI〕是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，供給了一整套安全機(jī)制。PKI標(biāo)識(shí)信息捆綁在一起，以在網(wǎng)上驗(yàn)證用戶(hù)的身份。PKI為用戶(hù)建立起一個(gè)安全的改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。PKI應(yīng)用PKI應(yīng)用數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)注冊(cè)機(jī)構(gòu)PKI存儲(chǔ)庫(kù)PKI組成框圖其中，認(rèn)證機(jī)構(gòu)用于簽發(fā)并治理證書(shū)；注冊(cè)機(jī)構(gòu)用于個(gè)人身份審核、證書(shū)廢除列表治理等；PKI存儲(chǔ)庫(kù)用于對(duì)證書(shū)和日志等信息進(jìn)展存儲(chǔ)和治理，并供給PKIPKI證書(shū)又稱(chēng)為公共密鑰證書(shū)PKC〔PublicKeyCertificate〕，是基于公共密鑰技可以在證書(shū)的有效期到來(lái)前撤消證書(shū)，完畢證書(shū)的生命期。建設(shè)方案根本建設(shè)思路在VPN接入網(wǎng)的建設(shè)過(guò)程中，需要從以下幾個(gè)方面來(lái)考慮：設(shè)備選型，需要重點(diǎn)關(guān)心設(shè)備的VPN加密性能和轉(zhuǎn)發(fā)性能IP地址；企業(yè)總部承受固定IP地址，分支機(jī)構(gòu)可以選擇ADSL或者FE專(zhuān)線接入Internet。網(wǎng)絡(luò)拓?fù)漕?lèi)型以Hub-Spoke為主，Partial-Mash方式下客戶(hù)端互訪流量通過(guò)由的設(shè)計(jì)是重點(diǎn)關(guān)注的問(wèn)題。IPSEC供給在IP層的加密認(rèn)證等安全效勞。IKE協(xié)商可以承受預(yù)共享密鑰的方式，也可以承受CA認(rèn)證的方式進(jìn)展。在企業(yè)總部每2臺(tái)VPNServer互為備份組作為VPN接入效勞器,假設(shè)用戶(hù)增加,可以通過(guò)增加效勞器備份組的方法接入更多用戶(hù)。網(wǎng)絡(luò)的部署監(jiān)控配置維護(hù)承受VPNMANAGER和BIMS協(xié)作進(jìn)展組網(wǎng)方案Internet邊界防火墻后面配置一臺(tái)VPNInternet邊界防火墻后面配置一臺(tái)專(zhuān)用VPNVPNVPN客戶(hù)端設(shè)備可以承受靜態(tài)或動(dòng)態(tài)申請(qǐng)的IP地址和總部網(wǎng)關(guān)建立VPN鏈接。依據(jù)其業(yè)務(wù)的需求，有必要的話(huà)，可以在分支節(jié)點(diǎn)用設(shè)備進(jìn)展冷備份。H3Csecpath系列VPN網(wǎng)關(guān)強(qiáng)大的VPN處理性能，高端專(zhuān)用VPN網(wǎng)關(guān)通過(guò)專(zhuān)業(yè)350MbpsVPN網(wǎng)關(guān)通過(guò)專(zhuān)業(yè)的硬件加密處理器可以供給標(biāo)準(zhǔn)加密算法下60Mbps以上的加密吞吐量；VPNVPNClient分支構(gòu)造局域網(wǎng)ADSL企業(yè)網(wǎng)絡(luò)VPNManagerVPNClient分支構(gòu)造局域網(wǎng)LANVPNServerCAMS/RadiusADSLMail效勞器VPNClientOA應(yīng)用效勞器分支構(gòu)造局域網(wǎng)IPSecVPN方式組網(wǎng)特點(diǎn)：部署要點(diǎn)VPNIPSec配置泄VPN客戶(hù)端口承受靜態(tài)地址。同時(shí)，這樣也便于VPNManager的配置治理功能。方案特點(diǎn)組網(wǎng)簡(jiǎn)潔，易于部署；由。封裝，對(duì)于帶寬資源消耗較??；IPSecoverGREVPN方式組網(wǎng)特點(diǎn)：IPSec保護(hù)，另一局部業(yè)務(wù)流量不需要IPSec保護(hù)，僅需要GRE隧道完成VPN功能。內(nèi)部需要建立統(tǒng)一的OSPF路由域。部署要點(diǎn)VPNGREIPSecGRE隧道接口上從而建立IPSec隧道，進(jìn)展數(shù)據(jù)封裝、加密和傳輸；OSPF；方案特點(diǎn)GRE可以承載多種協(xié)議，擴(kuò)展性強(qiáng)。IPSecIPIP協(xié)議，不能使用。保護(hù)，而另一局部不需要。建議使用IPSecoverGRE的方式。不需要配置大量的靜態(tài)路由，配置簡(jiǎn)潔。接口的識(shí)別關(guān)鍵字，和對(duì)封裝的報(bào)文進(jìn)展端到端校驗(yàn)；GREGRE會(huì)造成路由器肯定的負(fù)擔(dān)；GREoverIPSecVPN方式組網(wǎng)特點(diǎn)：GRETunnelGRETunnelIPSecTunnelCorporateintranetInternetRemoteofficenetworkRouterA RouterBVPN內(nèi)部需要建立統(tǒng)一的OSPF路由域。MPLS、IPX等非IP協(xié)議的網(wǎng)絡(luò)。部署要點(diǎn)VPNLoopbackGREIPSec策略應(yīng)WanIPSec隧道，進(jìn)展數(shù)據(jù)封裝、加密和傳輸；方案特點(diǎn)GRE的特點(diǎn)是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。假設(shè)企業(yè)網(wǎng)IP協(xié)議，然后才能IPSecGRE報(bào)文。GRE是基于路由的，而IPSec是基于策略。假設(shè)需要在企業(yè)網(wǎng)內(nèi)統(tǒng)一規(guī)劃路由方案，GREoverIPSecIPSec的策略是針對(duì)GREGREVPN內(nèi)的路由是統(tǒng)一的。對(duì)業(yè)務(wù)流量，諸如路由協(xié)議、語(yǔ)音、視頻等數(shù)據(jù)先進(jìn)展GRE封裝，然后再對(duì)封裝后的報(bào)文進(jìn)展IPSec的加密處理。不必配置大量的靜態(tài)路由，配置簡(jiǎn)潔。Tunnel接口的識(shí)別關(guān)鍵字，和對(duì)封裝的報(bào)文進(jìn)展端到端校驗(yàn)；影響，這就導(dǎo)致使用GRE會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有肯定程度的下降；L2TPoverIPSecVPN方式組網(wǎng)特點(diǎn)：LACLACLNS私有網(wǎng)絡(luò) Internet網(wǎng)絡(luò)10.2.0.03.3.3.2私有網(wǎng)絡(luò)10.1.0.0

RouterBIPSec隧道保護(hù)RouterA和RouterB之間的公網(wǎng)鏈路。對(duì)于分支設(shè)備的安全要求較高，在IPSec認(rèn)證之外，還需要對(duì)分支設(shè)備進(jìn)展L2TP的認(rèn)證。通常狀況下，L2TP的客戶(hù)端是撥號(hào)連接到LAC的用戶(hù)主機(jī)。此時(shí)用戶(hù)與LAC的連接總是PPPLACLACPPPIPLACIPLNSLACLACPPPLNS保持一個(gè)常連接。其它全部實(shí)IPLNS的；部署方式LACVT模擬用戶(hù)，配置地址、驗(yàn)證方式、用戶(hù)名、密碼等信息；分支設(shè)備的用戶(hù)端不能由LNS安排地址，必需由用戶(hù)手工配置地址，而且LNSVTOSPF路由不同互通。假設(shè)沒(méi)有部署OSPF等動(dòng)態(tài)路由協(xié)議，必需在LAC上需要配置一條靜態(tài)路VPNVT接口。方案特點(diǎn)中心網(wǎng)關(guān)可以對(duì)分支設(shè)備進(jìn)展認(rèn)證和計(jì)費(fèi)，提高系統(tǒng)安全性。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影L2TP會(huì)造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有肯定程度的下降；移動(dòng)用戶(hù)IPSecVPN接入方式組網(wǎng)特點(diǎn)部署要點(diǎn)iNode多鏈路形式接入企業(yè)內(nèi)部VPN使用L2TP+IPSEC完成用戶(hù)身份認(rèn)證和報(bào)文加密認(rèn)證方式可以承受SeckeyIKE協(xié)商使用預(yù)共享密鑰的方式進(jìn)展對(duì)于L2TP用戶(hù)認(rèn)證計(jì)費(fèi)承受遠(yuǎn)端Radius〔CAMS〕進(jìn)展效勞器側(cè)可以考慮使用單臺(tái)設(shè)備，也可以考慮使用雙VPN效勞器備份方案特點(diǎn)敏捷、安全動(dòng)態(tài)VPN〔DVPN〕接入方式DVPN承受了Client和Server的方式，Client設(shè)備〔DVPN應(yīng)用中，作為ClientDVPNDVPNServer〔DVPNServer接入DVPN域的設(shè)備〕進(jìn)展注冊(cè)。DVPN域中一臺(tái)DVPN接入設(shè)備作為Server，其Session〔會(huì)話(huà)隧道〕，通過(guò)SessionClientDVPNServer的私有網(wǎng)絡(luò)的互聯(lián)，ClientDVPN；SeverDVPNClientDVPNServerServerClient起端。ClientRedirectClientClient間建立一條的直連的Session，后續(xù)Client之間的數(shù)據(jù)不需要通過(guò)DVPNServer進(jìn)展轉(zhuǎn)發(fā)，可以通過(guò)直連的Session進(jìn)展數(shù)據(jù)通信。所以一臺(tái)合法的ServerDVPNDVPNServerDVPN實(shí)現(xiàn)了對(duì)全部的掌握?qǐng)?bào)文的安全保護(hù)，對(duì)通過(guò)公有網(wǎng)絡(luò)傳輸?shù)乃矫艿摹睤ES、3DES、AES〕DVPNIPSecDVPNIPSecDVPNClientDVPNServerClient向DVPNServer進(jìn)展注冊(cè)過(guò)程中，Client可以依據(jù)配置需要對(duì)DVPNServer的身份使用preshared-keyClient接入一個(gè)合法的DVPNServerAAADVPNClientClientDVPNDVPNIPSecIPSec的功能特點(diǎn)，例如私密性、合法性、防重放等。DVPNDVPNServerIPSecSASessionIPSecDVPN允許在一臺(tái)DVPN設(shè)備上支持多個(gè)VPN域。在一臺(tái)DVPN設(shè)備上最多可以支持200個(gè)DVPN域的Server。大大提高了組網(wǎng)的敏捷性，多個(gè)企業(yè)可以使用一臺(tái)削減了實(shí)際的設(shè)備投資。牢靠性方案H3CIPSecVPN高牢靠性設(shè)計(jì)的核心理念就是增大網(wǎng)絡(luò)冗余性的同時(shí)做到負(fù)載分擔(dān)。衡量牢靠性設(shè)計(jì)優(yōu)劣的標(biāo)準(zhǔn)就是網(wǎng)絡(luò)特別業(yè)務(wù)流量中斷時(shí)間。圖1牢靠性設(shè)計(jì)組網(wǎng)Server的雙機(jī)備份、負(fù)載分擔(dān)和特別快速切換3個(gè)方面。雙機(jī)備份缺省路由〔如以下圖所示，10.100.10.1〕，這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過(guò)缺省路由發(fā)往路由器RouterA，從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的RouterARouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。NetworkRouterA 10.100.10.1Ethernet10.100.10.1

10.100.10.1 LAN1Host1 Host2 Host3局域網(wǎng)組網(wǎng)方案VRRP就是為解決上述問(wèn)題而提出的，它為具有多播或播送力量的局域網(wǎng)〔包括一個(gè)Master即活動(dòng)路由器和假設(shè)干個(gè)Backup即備份路由器組織成一個(gè)虛擬路由器，稱(chēng)之為一個(gè)備份組。Network10.100.10.2 10.100.10.3RouerAMaster

VirtualIPAddress10.100.10.1

RouterBBackupEthernet10.100.10.1 10.100.10.1 10.100.10.1 LAN1Host1 Host2 Host3VRRP組網(wǎng)示意圖組內(nèi)的某個(gè)路由器的接口地址一樣備份組內(nèi)的路由器也有自己的IP〔主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址10.100.10.1，而并不知道具體的Master己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.1。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過(guò)這個(gè)虛擬的路由器來(lái)與其它網(wǎng)絡(luò)進(jìn)展通信。假設(shè)備份組內(nèi)的MasterBackupMaster路由網(wǎng)絡(luò)進(jìn)展通信?？焖偾袚Q網(wǎng)絡(luò)特別的狀況有很多種。假設(shè)不考慮運(yùn)營(yíng)商的網(wǎng)絡(luò)特別，VPN的特別主要。在網(wǎng)絡(luò)消滅特別時(shí)，如何保證業(yè)務(wù)流量能夠盡快恢復(fù)？能夠保證在3~4秒內(nèi)完成主備網(wǎng)關(guān)的切換。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外VRRP組，并將這一對(duì)VRRPVRRPVRRP能發(fā)起同步切換。IPSec隧道快速切換，這一切換由IPSecDPD實(shí)現(xiàn)。IPSecDPD〔IPSecDeadPeerDetectionon-demand〕為按需型IPSec/IKE安全隧道對(duì)端狀態(tài)探測(cè)功能。向?qū)Χ税l(fā)送懇求報(bào)文，對(duì)IKEPeer是否存在進(jìn)展檢測(cè)。與IPSec中原有的周期性功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測(cè)準(zhǔn)時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。IPSecDPD〔IPSecDeadPeerDetectionon-demand〕為按需型IPSec/IKE安全隧道對(duì)端狀態(tài)探測(cè)功能。啟動(dòng)DPD功能后，當(dāng)接收端長(zhǎng)時(shí)間收不到對(duì)端的報(bào)文時(shí)，能夠觸發(fā)DPD查詢(xún)，主動(dòng)向?qū)Χ税l(fā)送懇求報(bào)文，對(duì)IKEPeer是否存在進(jìn)展檢測(cè)。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測(cè)準(zhǔn)時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。在路由器與VRRP備份組的虛地址之間建立ISAKMPSADPD功VRRPVRRP備份IPSecIPSec協(xié)議的強(qiáng)健性。數(shù)據(jù)構(gòu)造DPD數(shù)據(jù)構(gòu)造〔簡(jiǎn)稱(chēng)為DPD構(gòu)造〕用于配置DPD查詢(xún)參數(shù)，包括DPD查詢(xún)時(shí)間間隔及等待DPD應(yīng)答報(bào)文超時(shí)時(shí)間間隔。該數(shù)據(jù)構(gòu)造可以被多個(gè)IKEPeer引用，這樣用戶(hù)不必針對(duì)接口一一進(jìn)展重復(fù)配置。定時(shí)器IPSecDPDDPD報(bào)文中使用了兩個(gè)定時(shí)器：intervaltime和timeout。intervaltime：觸發(fā)DPD查詢(xún)的間隔時(shí)間，該時(shí)間指明隔多久沒(méi)有收到對(duì)端IPSec報(bào)文時(shí)觸發(fā)DPD查詢(xún)。timeout：等待DPD應(yīng)答報(bào)文超時(shí)時(shí)間。運(yùn)行機(jī)制內(nèi)沒(méi)有收到對(duì)端的IPSec報(bào)文，且本端欲向?qū)Χ税l(fā)送IPSec報(bào)文時(shí)，DPD向?qū)Χ税l(fā)送DPDtimeout定時(shí)器設(shè)定的超時(shí)時(shí)間仍舊未收記錄失敗大事13ISAKMP和相應(yīng)的IPSecSA。對(duì)于路由器與VRRP備份組虛地址之間建立的IPSecSA，連續(xù)3次失敗后，安全隧道同樣會(huì)被刪除，但是當(dāng)有符合安全策略的報(bào)文重觸發(fā)安全聯(lián)盟協(xié)商時(shí)，會(huì)重建立起安全隧道。切換時(shí)間的長(zhǎng)短與timeout定時(shí)器的設(shè)置有關(guān)，定時(shí)器〔一般狀況下承受缺省值即可〕。接收端：收到懇求報(bào)文后，發(fā)送響應(yīng)報(bào)文。IPSecVPN治理系統(tǒng)VPNManager的VSM和VDM模塊主要應(yīng)用于IPSec主模VPNVPN圖形化的治理界面，簡(jiǎn)化配置治理，同時(shí)便于實(shí)時(shí)監(jiān)控VPN狀態(tài)；輕松部署安全網(wǎng)絡(luò)QuidviewIPSecVPN軟件供給配置向?qū)Чδ埽笇?dǎo)用戶(hù)構(gòu)建VPN網(wǎng)絡(luò)，不必通過(guò)簡(jiǎn)單的手工執(zhí)行命令行來(lái)部署IPSecVPN網(wǎng)絡(luò)，減輕了部署難度，也降低了IPSecVPN網(wǎng)絡(luò)。IPSecVPN業(yè)務(wù)。同時(shí)，供給了預(yù)定義配置參數(shù)功能，便利高級(jí)用戶(hù)設(shè)置高級(jí)選項(xiàng)，重IPSecVPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域?yàn)榕渲脝挝唬瑢?duì)網(wǎng)絡(luò)一樣配置部署。同時(shí)用戶(hù)也可指定某個(gè)設(shè)備的特別配置，便利用戶(hù)操作。IPSecVPNManager配置界面直觀展現(xiàn)VPN拓?fù)銺uidviewIPSecVPN軟件能夠自動(dòng)覺(jué)察和構(gòu)建VPN拓?fù)?，用?hù)在拓?fù)渖峡梢灾庇^查看VPN通道狀態(tài)、通道流量狀況、VPN設(shè)備的運(yùn)行狀況等。IPSecVPNManager顯示拓?fù)淙轿槐O(jiān)控網(wǎng)絡(luò)性能，IPSecVPN軟件供給了豐富的VPNVPN用戶(hù)全方位的監(jiān)控VPN網(wǎng)絡(luò)的運(yùn)行狀態(tài)。支持對(duì)IPSecVPN設(shè)備CPU利用率等關(guān)鍵指標(biāo)的監(jiān)視；、IKE隧道的監(jiān)視；支持對(duì)協(xié)商過(guò)程的監(jiān)視；供給折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據(jù)顯示給用戶(hù)；隱患供給保障；能告警，使網(wǎng)絡(luò)治理人員準(zhǔn)時(shí)覺(jué)察和消退網(wǎng)絡(luò)中的隱患。IPSecVPNManager監(jiān)控網(wǎng)絡(luò)快速定位網(wǎng)絡(luò)故障利用QuidviewIPSecVPN軟件的故障治理模塊可以實(shí)時(shí)接收IPSecVPN設(shè)備VPN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障治理模塊能夠與QuidviewIPSecVPN其他組件親熱協(xié)作，幫助用戶(hù)快IPSecVPN性能監(jiān)視模塊進(jìn)展VPN設(shè)備閾值監(jiān)控時(shí)，VPN拓?fù)鋱D將馬上刷以反映最的網(wǎng)絡(luò)狀態(tài)。圖2IPSecVPNManager定位故障BIMS分支智能治理系統(tǒng)BIMS〔QuidView組件〕分支智能治理系統(tǒng)實(shí)現(xiàn)從網(wǎng)絡(luò)治理中心來(lái)集中對(duì)網(wǎng)絡(luò)設(shè)備的治理，如配置文件下發(fā)、設(shè)備軟件升級(jí)等。傳統(tǒng)網(wǎng)管主要通過(guò)SNMP、Telnet等協(xié)議來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的治理，這要求網(wǎng)管側(cè)知道被管設(shè)備的IP地址，IPNATManagementSystem〕就是要解決上述問(wèn)題，實(shí)現(xiàn)對(duì)動(dòng)態(tài)獵取IP地址的設(shè)備或位于NAT網(wǎng)關(guān)后面的分支網(wǎng)點(diǎn)設(shè)備的集中、有效的監(jiān)控治理時(shí)，BIMS會(huì)極大提高治理的效率，大大節(jié)約治理本錢(qián)。BIMSServer，設(shè)備作為IP私網(wǎng)內(nèi)，也可穿透NAT建立連接。網(wǎng)管通過(guò)一個(gè)固定的、全網(wǎng)唯一的ID來(lái)識(shí)別設(shè)IPIP地址或IP地址常常BIMS網(wǎng)管側(cè)與設(shè)備側(cè)之間通過(guò)協(xié)議進(jìn)展擴(kuò)展。同時(shí)，為了保證通訊安全，BIMS對(duì)傳輸?shù)南?shù)據(jù)進(jìn)展加密處理。BIMS治理解決方案分兩局部，分支網(wǎng)點(diǎn)設(shè)備側(cè)和治理中心側(cè)，分支網(wǎng)點(diǎn)設(shè)AR系列接入路由器等，治理中心協(xié)議進(jìn)展通信，治理中心側(cè)作為Server，設(shè)備側(cè)作為Client，設(shè)備通過(guò)定期訪問(wèn)協(xié)議進(jìn)展動(dòng)訪問(wèn)BIMSBIMS和易于治理的特點(diǎn)。附件:iNode客戶(hù)端軟件介紹Huawei-3ComINode〔以下簡(jiǎn)稱(chēng)INode〕是華為3Com公司自行設(shè)計(jì)開(kāi)發(fā)的應(yīng)用在PC上的VPN客戶(hù)端軟件。通過(guò)安裝本軟件，可以使PC機(jī)能夠通過(guò)多種方式與〔如路由器及Secpath系列網(wǎng)關(guān)設(shè)備等進(jìn)展VPN現(xiàn)遠(yuǎn)端PC能夠安全、快捷地通過(guò)Internet訪問(wèn)相應(yīng)企業(yè)總部VPN的目的.操作便利一個(gè)成熟的VPNINode軟件承受PC成軟件配置，登錄并訪問(wèn)VPN資源。INode軟件配置便利，敏捷，支持多個(gè)配置，并且支持配置文件的導(dǎo)入。配置文件的導(dǎo)入能夠極大的減輕維護(hù)工作量。系統(tǒng)治理員配置VPN網(wǎng)關(guān)的時(shí)候，為了實(shí)現(xiàn)較高的安全性，需要配置簡(jiǎn)單的安全策略。相應(yīng)的，為了能夠訪問(wèn)VPN，每個(gè)訪問(wèn)此VPNINode軟件無(wú)需如INode需要訪問(wèn)VPN的時(shí)候，只需要輸入個(gè)人專(zhuān)用用戶(hù)名和密碼，就可以輕松訪問(wèn)VPN資源。安全保密INode軟件具有高保密性，高安全性。層建立隧道，更安全。同時(shí)，INode軟件可以通過(guò)PPP協(xié)商向VPN申請(qǐng)IP地址。由于此I