网络通信 频道

VPN解决方案

方案简述

1、VPN系统简介
    接入范围:不管是国内或者国外,只要能通过某种方式接入Internet就可以使用VPN组网。
如ADSL、ISDN或者拨号方式接入Internet。

其它宽带接入方式。
    接入设备:对于企业总部或者分部在原有Internet接入的基础上根据需要增加SnapGear VPN设备,对于家庭或者移动办公的个人,可以使用相应的SnapGear VPN设备,也可以使用VPN软件。

网络拓扑示意图 

2、VPN的特点:
    在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:

1.安全保障
    虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。

2.服务质量保证(QoS)
    VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

3.可扩充性和灵活性
    VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性
    从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
    先进的硬件VPN设备: 采用SnapGear 硬件VPN设备,处理能力强大,节点可定义、可管理,可以远程Telnet。节点可定义性、防火墙可管理,可以远程Telnet。VPN的连接是网状的,各点之间可以自由通讯,所以可以提供VOIP、视频会议、文件共享等功能。具有IPSEC 128位3DES 256位AES专业加密算法,可以用于企业、政府、证券、银行等部门行业。
    产品系列完整: 提供多种型号,适应从家庭到小、中、大型企业的不同需求。

3.利用VPN可以做什么

连接企业内部网络计算机
    在企业的内部网络中,考虑到一些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息,但是由于物理上的中断,使其他部门的用户无法,造成通讯上的困难。

    采用VPN方案,通过使用一台VPN服务器既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联,但是并不能对流向敏感网络的数据进行限制。使用VPN服务器,但是企业网络管理人员通过使用VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外,可以对所有VPN数据进行加密,从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。

二、适用对象
    产品系列完整,提供多种型号,适应从家庭到小、中、大型企业的不同需求。可以用于企业、政府、证券、银行等部门行业。

三、功能概述 
    带宽叠加及负载均衡技术(SME 570/575特有)
    特有的带宽叠加技术,可以同时使用两个不同的ISP叠加起来上网.同时当其中的一条线路中断时,负均衡功能载自动切换到另一条线路,使得VPN隧道和上网不会中断.

DMZ功能(SME 570/575特有)
    DMZ功能,能把所有端口映射到局域网内某台服务器上,方便企业建立公司的网页服务器,同时保证了公司局域网的网络安全

QOS分配
    在企业应用中,有些数据对时延非常敏感,如VOIP电话;有些数据对时延不敏感,如邮件.因此在VPN网络中需要对不同的服务提供不同的Qos保证. Snapgear 能够为不同的服务定义带宽分配规则,从而实现不同服务的Qos保证.

DDNS 功能
    内置DDNS客户端软件,并支持国内外多间公司的DDNS服务商,包括国内的3322.ORG 等。即使没有固定IP,也能通过DDNS(动态域名解析)方便地建立VPN

Nat-T 穿越功能
    Nat-T 穿越功能亦就是VPN pass through ,当路由器放在局域网内也能通过这一功能与另一端的VPN路由器连接,适应各种的网络环境

高强度的VPN数据加密
    支持最新的AES高强度加密,提高数据传输的安全性,及可靠性,这也是SNAPGEAR的一大卖点可同时作为VPN Server、VPN Client同时支持VPN接入,及拨出功能,这一功能可方便与微软WINDOWS操作系统连接.同时作为客户端或服务器端,防火墙功能使用IPTables高性能包过滤防火墙功能,可对防火墙进行自定义设置,大大提高其可扩展性。

高性能路由
    支持现时主流的各种连接方式,包括ADSL CABLE-MODEM 小区宽带 专线接入等,其高速的路由吞吐量能满足大量业务需要。

CMS 中心管理软件
    通过该软件可以集中对各分点的SNAPGEAR路由器集中管理,免去管理员维护之苦。

支持第三方IPSEC连接软件
    IPSEC相对于PPTP具有高速安全的特性,现时著名的第三方IPSEC连接软件有SAFENET及SSH,经测试两套软件均能与SNAPGEAR互联。
    日志记录外挂功能通过安装KIWI公司推出的LOG记录软件,可把路由器的所有日志文件记录下来。帮助系统分析员分析网络存在的问题,改善公司的网络环境。

SME系列比较表


 
四、技术支持与服务

1、基汇电脑资源有限公司将为客户提供良好、快捷的售后技术服务,承诺两年免费服务支持。用户可以购买三年的硬件免费更换服务。 用户如果已购买3年保修服务,在3年有效期内,用户购买设备有故障,我们将免费提供硬件更换。

维修承诺
    (1)对于开箱就发现有问题的产品,立即更换;

    (2)对于销售不到30天发现硬件故障的产品,以新货更换;

2、公司制定售后服务客户反馈信息制度,将客户对售后服务人员的服务质量及意见,以书面方式填单,反馈到公司,使公司能及时了解客户的意见,为公司进一步改善和提高服务质量,提供依据并督促售后服务人员,时时牢记“用户至上”的服务宗旨,不断地提高售后服务技术水平和服务态度,解决用户的后顾之忧。

3、不断向用户提供有关方面的最新先进技术,以使用户应用系统得到不断的技术升级更新,为用户开发更多的应用功能,使系统工程投资得到最好的回报。

五、典型案例
 
1、背景
    XX公司是一家大型物流公司,公司在全国各地都有分公司和办事处,由于公司业务发展需要,为了提高公司办事效率各公司都实现了电脑化办公,由著名软件公司提供了ERP系统,实现各地分公司业务数据的整合。但同时由于总公司与各地分公司之间数据传送要通过Internet传送,所以对数据要求安全且可靠地传送。

2、设计方案要点

实施ERP系统的网络硬件要求:
    在实施ERP的数据流中,有很多数据是需要保密传输的
    在实施ERP的数据流中,有很多数据是需要稳定传输的
    公司不可能在网络建设方面投很大费用,网络建造要尽可能低廉,低维护量,安装简单,方便。但同时要数据传送可靠稳定。
  数据要在Internet传送上面安全地传送,如果用专线,对于全国这么多分支公司,无疑是一笔很大的费用,而由于各地分公司都安装了宽带上网,所以希望在现有条件基础上实现数据安全传送。在现阶段,能实现以上需要的可以使用VPN搭建安全系统网络,通过隧道方式实现各地间数据的安全传送。

3、实施方案
    中心点选用电信提供的10M专线,分点分别使用ADSL、Cable Modem、小区宽带、56K Modem拨号连接到互联网上,并且各分点计算机数量均不同,少则一台,多则 数十台,按照该特点,我们分别选用SnapGear SME530 ,SME550 ,SME570/575 。
    各分点通过VPN IPSEC 3DES 加密连接起来,流动远程的用户则通过WINDOWS自带的VPN PPTP拨号工具连接到中心点。
    中心点安装一台Radius的服务器,用作验证用户登陆身份。及一台大型的数据服务器,用作存放数据文件及ERP程序。

1.中心点设备选用
    选用SnapGear SME575 VPN路由器
    采用日立Hitachi SH4 240MHZ CPU,64M内存,16M FLASH
    带有非常先进的双WAN口技术,提供双倍带宽及DMZ功能,
    最高支持750 IPSEC 隧道, 25个PPTP VPN拨号。
    路由吞吐量达到100M,防火墙吞吐量达到140M
    经过ICSA认证的网络防火墙保证网络安全,为网络的安全运行提供了保证
    支持Radius服务器认证,方便对用户帐号进行管理

2.中型分点设备选用
    中型分点一般有40-50台电脑,根据这一特点,我们选用SnapGear SME550
    日立Hitachi SH4 166Mhz CPU,16M内存,4M FLASH
    最高支持500条 IPSEC 隧道, 20个PPTP VPN拨号。
    额外增加了一块有SOFTNET公司提供的硬件加解密芯片,提供数据处理速度
    支持DHCP功能,无用户数限制
    路由吞吐量达到35M,防火墙吞吐量达到35M
    支持IPSEC 168位3DES  256位AES加密
    并且支持线路容错技术,当主线路因某种原因断开,备用MODEM线路将会自动接上
    经过ICSA认证的网络防火墙保证网络安全,为网络的安全运行提供了保证

3.小型分点设备选用
    小型分点一般有10-20台电脑,根据这一特点,我们选用SnapGear SME530
    日立Hitachi SH4 166Mhz CPU,16M内存,4M FLASH
    最高支持500条 IPSEC 隧道, 20个PPTP VPN拨号。
    支持56K MODEM拨号, ADSL ,CABLE MODEM ,小区宽带
    路由吞吐量达到35M,防火墙吞吐量达到35M
    LAN-TO-LAN流量达到3M
    支持IPSEC 168位3DES  256位AES加密
    并且支持线路容错技术,当主线路因某种原因断开,备用MODEM线路将会自动接上
    经过ICSA认证的网络防火墙保证网络安全,为网络的安全运行提供了保证

1、方案特点:
    从图中可以看出,各分公司内部资源享用者通过Internet与总部数据服务器进行数据传递与处理,数据在Internet通过VPN隧道加密传送,加密之后,即使是ISP网管中心都无法看到数据包的内容,即使是用户不对其数据加密,通信双方的VPN防火墙也能自动协商加密传输,保护数据不受破坏和被他人窃取,传送而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的,而且费用昂贵。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。

使用VPN的优点在于:
    1. 防止数据中心服务器直接暴露在公网上,防止黑客病毒的袭击,最大限度地保证了网络的安全
    2. 使用VPN 更可减少了租用专线的费用,节约企业大笔的资源。
    3. 可扩展性强,无论何时何地只需加装一个设备,进行简单的调试,即可进行VPN连接,无需等待铺用专线所花费的时间。
选用Snapgear VPN路由器的优点在于
    4. 性能出众,VPN路由处理速度快,能应付多变的网络环境。
    5. 性价比高,价格是其他VPN路由器的一半,甚至更低。
    6. 网络防火墙功能强大,通过世界级ICSA认证。
    集中管理,通过CMS软件可对数十个分点进行统一管理,减少了管理人员的开销。

 

转载地址:http://www.netsp.com.cn/Article/netsafe/VPN/200609/20060913210605.html

0
相关文章