XX公司VPN网络建设方案fficeffice" /> 需求分析 XX公司有分支机构和移动用户共100多个点需要实现VPN连接,各分支机构每天都有商业数据和总公司沟通。XX公司一直在寻找一种有效的性能价格比高而且实用的方案。如果使用长途专线连接到总公司,这种方案的成本和使用费用都很高,对于企业来说无疑是很大的负担。如今,各种宽带上网方式迅速发展,基于Internet构建集团的VPN网络无疑是一种高性价比的方案。 该公司各分支机构基本上都具备连接Internet的能力,接入方式大多数均为ADSL接入方式,分支机构通过PPPoE拨号上网,运营商分配一个公网地址;ADSL Modem由运营商配置,大都是桥接模式。 该公司的具有一个管理中心(具备固定公网IP地址),因此,在各个分支机构应该至少可以并发一条VPN隧道;其次还需具备访问控制功能,满足控制各分支机构使用者是否具备上网浏览的权限的需求;另外,由于大部分分支机构的VPN网关使用的公网IP地址不固定,这就要求采用的VPN网关能支持动态DNS功能,以方便管理。 VPN联网要求: 1、 每个分支机构可以和管理中心建立VPN隧道,传输数据; 2、 管理中心可以同时和所有分支机构建立VPN隧道,传输数据; 3、 传输数据时必须使用安全、加密的IPSec协议。 方案规划 从实际应用情况来看,一般是各地分支机构和总公司联系,各分支机构之间不相互通信,因此,网络结构采用星型,各个分支机构仍然使用原有的接入方式和线路,并且均通过VPN隧道与总公司连接。在这里,使用保密性好的IPSec协议建立VPN隧道,加密方式AES(可以选用DES或者3DES),认证方式是SHA-1。网络结构如图1所示。 图1:XX公司VPN网络结构
产品选型 根据需求和规划,要求各分支机构使用的VPN网关设备必须与中心的设备兼容;能支持ADSL接入,FTTB+LAN接入,也能支持Cable Modem接入,同时还可以实现共享上网。支持IPSec协议,能实现AES、DES、3DES加密和SHA-1认证;不管它们使用的是静态地址还是动态地址,均可实现IPSec,而且,支持以e-mail地址、域名、IP地址或者其他字符串的认证方式。如果运营商分配的是私网地址,还要求相应设备支持IPSec NAT穿透。另外,为了便于管理,如果运营商分配的是公网地址,相应设备还应提供DDNS功能,从而,当需要查看各分支机构的情况时,可在总公司通过telnet远程管理。 XX公司希望各分支机构采用的VPN设备能够满足以上组网要求,而且还要实用、性价比高、稳定性好,能够快速解决碰到的组网问题。上海艾泰科技有限公司的HiPER VPN安全网关,包括IPSec over L2TP客户端、HiPER 2231CS、HiPER 3100VF、HiPER 3300VF、HiPER 4520VF等系列产品完全能够满足上述要求,它们具备灵活、强大的VPN功能,相关特点如下: 提供IPSec、L2TP/PPTP等VPN功能,它们可结合起来使用。支持客户端或服务器模式,支持使用动态地址构建VPN隧道,可实现网关到网关的连接和移动用户的接入。其具有以下重要特点: l 支持自动IKE或者手动建立IPSec隧道 l ESP和AH协议 l 3DES,DES和AES加密 l SHA-1和MD5认证 l 主模式和野蛮模式 l 抗重播 l 支持IPSec NAT穿透 l 每个接口都可以支持VPN l 支持星型连接和网状连接 l VPN隧道两端无需固定的IP地址 方案点评 本解决方案中,通过为XX公司构建基于Internet的星型VPN网络,很好地解决了该公司各分支机构和公司总公司的互联互通问题。各分支机构采用HiPER VPN网关作为VPN网络的联网设备,移动用户使用IPSec over L2TP客户端,不仅可以大大降低该企业的组网成本,还可保证网络的安全性、稳定性和易维护性,同时也很好的满足了各分支机构自身的其他上网要求。总而言之,本方案是构建VPN网络的高性价比方案。 |