虛擬專用網(wǎng)解決方案

虛擬專用網(wǎng)解決方案一VPN――隨著Internet的商業(yè)化，大量的企業(yè)(如：銀行、證券、公司等)的內(nèi)部網(wǎng)絡(luò)與Internet互連，使現(xiàn)代的企業(yè)網(wǎng)的概念發(fā)生了根本性的變化。――在政府部門之間、跨地區(qū)的企業(yè)內(nèi)部網(wǎng)絡(luò)之間的互連，以往傳統(tǒng)的方式是通過租用專線實現(xiàn)的。出差在外的人員如果需要訪問公司內(nèi)部的網(wǎng)絡(luò)，以往不得不采用長途撥號的方式連接到企業(yè)所在地的內(nèi)部網(wǎng)。這些互連方式價格非常昂貴，一般只有大型的企業(yè)可以承擔。同時造成網(wǎng)絡(luò)的重復建設(shè)和投資。Internet的發(fā)展，推動了采用基于公網(wǎng)的虛擬專網(wǎng)的發(fā)展，從而使跨地區(qū)的企業(yè)的不同部門之間，或者政府的不同部門之間通過公共網(wǎng)絡(luò)實現(xiàn)互連成為可能，可以使企業(yè)節(jié)省大量的通信費用和資金，也可以使政府部門不重復建網(wǎng)。這些新的業(yè)務(wù)需求給公共網(wǎng)絡(luò)的經(jīng)營者提供了巨大的商業(yè)機會。但是，如何保證企業(yè)內(nèi)部的數(shù)據(jù)通過公共網(wǎng)絡(luò)傳輸?shù)陌踩院捅Ｃ苄?，以及如何管理企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的不同節(jié)點，成為企業(yè)非常關(guān)注的問題。虛擬專網(wǎng)技術(shù)(VPN)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立虛擬的加密通道，構(gòu)筑自己的安全的虛擬專網(wǎng)。企業(yè)的跨地區(qū)的部門或出差人員可以從遠程經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)。VPN簡介 簡單地說，VPN(VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò))即是指在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)，并且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全、管理及功能等特點，它替代了傳統(tǒng)的撥號訪問，利用INTERNET公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)，節(jié)省昂貴的長途費用。VPN乃是原有專線式企業(yè)專用廣域網(wǎng)絡(luò)的替代方案，VPN并非改變原有廣域網(wǎng)絡(luò)的一些特性，如多重協(xié)議的支持、高可靠性及高擴充度，而是在更為符合成本效益的基礎(chǔ)上來達到這些特性。VPN可以有三大應(yīng)用，分別為直接遠程訪問(RemoteAccess)、Intranets及Extranets。遠程訪問(RemoteAccess)VPN乃是連接移動用戶(MobileUser)及小型的分公司，通過電話撥號上網(wǎng)來存取企業(yè)網(wǎng)絡(luò)資源。IntranetVPN是利用互聯(lián)網(wǎng)來將固定地點的總公司及分公司加以連接，成為一個企業(yè)總體網(wǎng)絡(luò)。而ExtranetVPN則是將IntranetVPN的連接再擴展到企業(yè)的經(jīng)營伙伴，如供貨商及客戶，以達到彼此信息共享的目的。VPN的特點：1、成本低VPN在設(shè)備的使用量及廣域網(wǎng)絡(luò)的頻寬使用上,均比專線式的架構(gòu)節(jié)省，故能使企業(yè)網(wǎng)絡(luò)的總成本(TotalCostofOwnership)降低。根據(jù)分析，在LAN-to-LAN連接時，用VPN較使用專線的成本節(jié)省20%?40%左右；而就遠程訪問而言，用VPN更能比直接撥接至企業(yè)內(nèi)部網(wǎng)絡(luò)節(jié)省60%?80%的成本。2、網(wǎng)絡(luò)架構(gòu)彈性大 VPN較專線式的架構(gòu)有彈性，當有必要將網(wǎng)絡(luò)擴充或是變更網(wǎng)絡(luò)架構(gòu)時，VPN可以輕易地達到目的，VPN的平臺具備完整的擴展性，大至企業(yè)總部的設(shè)備，小至各分公司，甚至個人撥號用戶，均可被包含于整體的VPN架構(gòu)中，同時，VPN的平臺亦具有對未來廣域網(wǎng)絡(luò)頻寬擴充及連接架構(gòu)更新的彈性。3、良好的安全性 VPN架構(gòu)中采用了多種安全機制，如信道(Tunneling)、加密(Encryption)、認證(Authentication)、防火墻(Firewall)及黑客偵防系統(tǒng)(IntrusionDetection)等技術(shù)，通過上述的各項網(wǎng)絡(luò)安全技術(shù)，確保資料在公眾網(wǎng)絡(luò)中傳輸時不至于被竊取，或是即使被竊取了，對方亦無法讀取封包內(nèi)所傳送的資料。4、管理方便VPN較少的網(wǎng)絡(luò)設(shè)備及物理線路，使網(wǎng)絡(luò)的管理較為輕松；不論分公司或是遠程訪問用戶再多，均只需通過互聯(lián)網(wǎng)的路徑進入企業(yè)網(wǎng)絡(luò)。認證VPNClient為分支機構(gòu)用戶提供加密隧道，用戶可以創(chuàng)建到公司網(wǎng)絡(luò)的安全隧道。此外，共享高度機密信息的本地用戶也可以通過局域網(wǎng)內(nèi)計算機之間的加密隧道實現(xiàn)同樣目的。對于認證系統(tǒng)，我們推薦以下兩種一級認證系統(tǒng)：1、認證中心，可以有效地確認所有用戶的身份，這種證書是不可能偽造的，因此可以無縫和透明地增強甚至最嚴格的公司安全政策。2、RADIUS服務(wù)器，它可以提供集中化的遠程訪問驗證和授權(quán)功能，能夠給予不同級別的用戶不同的操作權(quán)限。通過一個應(yīng)用程序，能夠?qū)嵤┳罡呒墑e的安全能力。從用戶要求的認證系統(tǒng)的嚴格性和安全性，以及從性價方面考慮，我們推薦使用XROUTERXR100作RADIUS認證。一般解決方案采用的是硬件式VPN產(chǎn)品。VPN的資料均需在加密之后才由公眾網(wǎng)絡(luò)傳送至接收端，再由接收端設(shè)備加以解密。故每一個封包在整個傳輸過程中均需被加、解密一次，而加密、解密均是相當消耗VPN設(shè)備運算能力的工作。硬件式的VPN產(chǎn)品將加密解密的鑰匙儲存于內(nèi)存中，故較不易被損壞，同時加密解密速度亦較快在運作效能，會比軟件VPN產(chǎn)品有較佳的表現(xiàn)，同時軟件式的VPN產(chǎn)品通常較難以管理。通過以上方案分析，我們不難發(fā)現(xiàn)，無論采用那種VPN網(wǎng)絡(luò)拓撲結(jié)構(gòu)，均能實現(xiàn)分布網(wǎng)絡(luò)之間的互聯(lián)，作到信息共享。重要的是無須再租用昂貴的專用數(shù)字線路。因此，作為一種安全可靠、費用低廉的組網(wǎng)方案值得每個需要廣域聯(lián)網(wǎng)的單位所采用。方案概述vigorVPN解決方案，是正元計算機公司針對現(xiàn)代企事業(yè)單位用戶的實際需求，精心研制的一種基于IPSEC的第三層VPN路由器組網(wǎng)方案，是可以在全動態(tài)IP的廣域網(wǎng)上(Internet/城域網(wǎng))，同時支持ADSL,CableModem,DDN等寬帶接入方式，在接入方式不同的異構(gòu)網(wǎng)絡(luò)上搭建統(tǒng)一的IPVPN網(wǎng)絡(luò)。對客戶來說，我們建議在中心點使用Vigor3300VPN路由器，各個分支機構(gòu)使用Vigor2200VPN路由器實現(xiàn)各個節(jié)點的VPN互聯(lián)。采用ADSL虛擬撥號或者其他寬帶接入方式接入Internet。并通過VIGORVPN路由器構(gòu)建企業(yè)VPN網(wǎng)絡(luò)。各局域網(wǎng)節(jié)點采用VIGORVPN路由器接入VPN,出差或在家可作為移動用戶通過PPTP協(xié)議接入VPN。網(wǎng)絡(luò)架構(gòu)?總部：總部一般來講是企業(yè)信息存放、處理的中心，網(wǎng)絡(luò)內(nèi)部主機數(shù)量多,數(shù)據(jù)流量大,安全性和實時性要求高；因此推薦采用高性能的VIGOR3300作為接入服務(wù)器。?分支機構(gòu)：企業(yè)分支機構(gòu)一般指分布在全國各地規(guī)模中等的分公司,公

司內(nèi)部建有中等規(guī)模的局域網(wǎng)，同時通過當?shù)豂SP提供的寬帶接入方式接入因特網(wǎng)。安裝一臺VIGORR2300或VIGORR2200路由器，作為客戶端接入總部?移動辦公用戶：采用PPTP或L2TP協(xié)議，接入總部，可支持CDMA/GPRS及802.11b等無線移動接入，用戶即使在乘坐車船甚至飛機的途中，可隨時隨地實現(xiàn)移動辦公網(wǎng)絡(luò)拓撲圖大型企業(yè)構(gòu)建VPN網(wǎng)絡(luò)拓撲圖

局域網(wǎng)互撥VPN網(wǎng)絡(luò)拓撲圖遠程訪問內(nèi)部局域網(wǎng)VPN網(wǎng)絡(luò)拓撲圖應(yīng)用效果?無論是基于B/S還是C/S的模式，都可以利用VPN構(gòu)建遠程實時應(yīng)用。而且無需鋪設(shè)專線，無需固定IP地址，無需托管服務(wù)器，軟件無需任何改動，直接可以使用?采用PPTP或L2TP撥號的方式，公司老總或外出移動辦公人員在外出差時可隨時接入企業(yè)內(nèi)部局域網(wǎng)，查詢所有相關(guān)的財務(wù)等重要信息和收發(fā)內(nèi)部郵件，也可以及時發(fā)送信息回公司總部，實現(xiàn)移動辦公，保證工作效率?公司和分支機構(gòu)市場信息、營銷方案、客戶反饋信息、新產(chǎn)品信息、辦公文件、各種報告報表等能在第一時間內(nèi)實現(xiàn)全公司范圍內(nèi)的及時上傳下達，提高工作效率，公司決策人能及時掌握各部門、各員工的工作情況?建立VPN后，企業(yè)內(nèi)部網(wǎng)絡(luò)用戶仍然能夠正常瀏覽所有因特網(wǎng)信息，并且為內(nèi)部網(wǎng)絡(luò)用戶提供專業(yè)的防火墻保護?可實現(xiàn)各應(yīng)用系統(tǒng)等網(wǎng)絡(luò)版應(yīng)用系統(tǒng)的遠程互聯(lián)，采用最少的網(wǎng)絡(luò)互聯(lián)投資成本，最大限度的發(fā)揮公司應(yīng)用系統(tǒng)的效率，實現(xiàn)無紙化辦公，移動辦公。各分支機構(gòu)與總部象在同一間辦公室里一樣共享并同步應(yīng)用財務(wù)管理、ERP、OA系統(tǒng)，使公司管理更加統(tǒng)一規(guī)范，保證財務(wù)、物流、信息流的實時更新，確保公司財務(wù)高效、透明、安全、快捷，市場信息的及時傳遞，營銷方案的及時執(zhí)行，提高工作效率?通過“網(wǎng)上鄰居”共享數(shù)據(jù)文件，訪問遠程的企業(yè)資源數(shù)據(jù)庫，中心的網(wǎng)絡(luò)管理員可以對整個VPN網(wǎng)絡(luò)進行集中的狀態(tài)監(jiān)控和遠程管理配置，可以在各個VPN節(jié)點設(shè)置動態(tài)的流量管理策略，為企業(yè)實時業(yè)務(wù)和多媒體數(shù)據(jù)流提供良好的帶寬保證?構(gòu)建了這個網(wǎng)絡(luò)之后，可以實現(xiàn)其他如視頻會議、VOIP、視頻監(jiān)控等擴展應(yīng)用配置推薦及注意事項總部：電信光纖接入因特網(wǎng)，采用高性能的VIGOR3300作為接入服務(wù)器。?分支機構(gòu):通過當?shù)豂SP提供的2M以上ADSL寬帶接入方式接入因特網(wǎng)。安裝一臺VIGORR2300或VIGORR2200路由器，作為客戶端接入總部?移動辦公用戶：采用PPTP或L2TP協(xié)議，接入總部。設(shè)置撥入撥出的權(quán)限，設(shè)置撥入和撥出的用戶名和密碼，設(shè)置不同網(wǎng)段附部分vigor路由器產(chǎn)品配置單：Vigor2200EADSL/Cable/FTTXRouteLAN:4*10/100BaseTX，WAN:1*10BaseTX8VPN隧道Vigor2200EPLUSADSL/Cable/FTTXRouteLAN:4*10/100BaseTX，WAN:1*10/100BaseTX