巢湖人行IPSEC-VPN组网方案.doc

中国人民银行巢湖中心支行IPSEC VPN 项目技术方案中国移动集团有限公司巢湖分公司2010 年5 月一、前言：随着全社会信息化建设的发展，各行各业都因此发生了相当大的变化，网络不仅改变了人们的日常生活行为，也改变了企业的经营模式，大大提高了企业的经营效率。在整个社会信息化建设的大潮当中，金融行业的信息化建设对整个社会的发展作出的贡献是有目共睹的，随着业务的发展，金融行业也一直在改造网络，以适应行业业务变化的需求。中国银行近年来业务发展迅速，且随着成功成为2008年北京奥运会官方合作伙伴后，更加加快了中国银行的发展速度，中国银行也正是意识到了这个大好的发展良机，引进了国外先进的银行核心业务系统，并专门为此系统组建一套全新的网络。但是，巢湖人行在市-县人行还存在网点分散、规模小、数量多、交通不便、风险控制弱等特点，以传统的管理手段和管理方式提供后援支持将不可避免地导致经营成本上升、风险控制乏力和服务质量打折。加强县域后援支持，依托先进的计算机网络技术开展业务经营和客户服务成为农村营销服务建设健康、持续发展的迫切需要和重要保障。中国移动公司巢湖市分公司在综合比较了众多的目前国内流行的网络互联技术之后，提出了“采用VPN技术（Virtual Private Network，虚拟私有网）构建企业延伸网络”的设想，希望借助VPN这种低成本、易扩展、相对安全、使用和管理灵活的技术，快速有效地建设企业的延伸网络，将巢湖人行IT服务安全地扩展到更广、更深层面。 二、VPN技术简介VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性；另一方面，VPN也提供了一定的安全性，确保VPN内部信息不受外部的侵扰。由于利用公共网络，VPN组建网络的成本很低，可以节省大量的通信费用。同时，VPN还可使企业不必投入大量的人力和物力去安装和维护广域网（WAN）设备和远程访问设备；VPN网络也很容易扩展，如想扩大VPN的容量和覆盖范围，可重新与ISP签订合约，扩大服务范围。VPN的应用具有很大的灵活性，软件配置即可完成VPN用户增加、删除，进而满足企业不断增长的移动业务需求。当然，由于使用了Internet这种公共资源，VPN网络的可靠性、安全性以及线路质量在现阶段还不能和专网相比，但用于企业的延伸网络建设、移动办公以及在部分业务量小、对网络连接可靠性要求较低的地区作为专线网络的替代方案等方面还是具有十分重要的现实意义。三、VPN网络建设的目的和范围采用VPN技术组网现阶段的主要目的是为远端职场提供限制范围内的公司内部网络接入、共享信息、整合资源等服务；为县域人行提供良好的计算机网络通信基础，实现乡镇、农村网点的计算机联网，提高管理服务效率，提升客户服务水平，为业务发展提供技术保障。在提高公司风险防范和管控能力的同时，实现公司网络的低成本延伸和发展。同时为企业员工提供移动办公手段，扩展办公空间，增强灵活性，提高工作效率。对于部分经济相对落后、业务发展较差的分支公司和机构，可以考虑采用VPN技术构建企业备份网络，甚至直接替代目前的专线，以降低企业总体运营成本。鉴于目前巢湖人行采用VPN技术组网的主要用途是网络互联，原则上应采用基于IPSec协议的VPN设备。而对于主要用途是移动用户接入的方案，可以适当考虑采用基于SSL技术的VPN系统。四、需求分析和建设目标：建设目标：1、 考虑到建设成本，全市30个左右的网点将采用VPN网关设备通过Internet网络和巢湖市人行实现安全的网络连接。2、 中心和每个网点的VPN设备提供国际标准的高密度加密算法进行加密，确保数据安全性。3、 所有的设备具有灵活的、直观的、简便快捷的可网管属性。4、 设备具有接入容量上面的可扩展性和业务方面的可扩展性，比如最大隧道数的冗余，可扩展VOIP功能等。五、建设方案二：网络拓扑说明：本方案主要从注重网络投资的角度出发，使建设的网络能够满足目前全市网点接入需要并留有适当的扩展余地。与方案一的主要区别在于市局中心用VPN3010E代替了原来的VPN3020B网关，原来的VPN3020B网关标配支持5000个隧道（1G内存情况下支持10000个隧道），具有200Mbps的加密转发能力，对于巢湖市人行来说具有5-8年以上的接入扩展能力。VPN3010E标配4个百兆以太口，密文吞吐量达到50Mbps，支持的隧道数目为1000个。六、产品清单：产品型号产品描述单位数量VPN3010E固化4个10M/100M以太网接口，1个配置口，1个硬件加密模块台1MPSec VPN3005C固化8Mbyte的FLASH，64Mbyte的内存， 固化1个配置口，2个10/100M以太口，固化1个高速多功能模块插槽、1个语音模块插槽台30MPSec VRC迈普VPN远程客户端软件，含光盘,标配USB KEY (+MPSEC KEY32)个30MyPower S3026G-M-ACMyPower S3026G-M主机，24个FE，2个GE光电复用口，交流电源，含基本功能软件台30sp3026G-M-eS3026G-M增强版操作系统软件个30七、迈普方案关键点：1、 本方案全部采用专业的硬件加密网关组网，用户的所有数据加密工作均有硬件芯片完成，相比其他厂家在路由器上增加Ipsec模块通过软件加密来处理具有加密速度高、转发能力强、支持多种认证方式、支持多隧道备份等重要特点。采用高性能的专用通讯CPU，支持基于ASIC的硬件加密卡，通过迈普独特的IPSec快速转发引擎技术，使得IPSec报文不用到系统IP层转发，提高了转发效率和处理能力，实现对IPSec的性能优化。2、 完善的支持IPSec VPN穿越NAT规范，无需对中间的NAT设备进行特殊配置即可实现VPN隧道穿越NAT。3、 在ADSL接入的环境下，支持自动拨号功能、自动建立隧道和VPN隧道通知删除，并基于标准DPD消息可以探测到由于网络故障等原因造成的IPSec VPN隧道断开，从而避免在出现意外情况时，两端VPN设备的状态不同步。4、 可以实现链路备份、隧道备份、负载均衡等功能，支持双机热备份协议VRRP（VBRP），提高了用户的网络稳定性。5、 支持DHCP over IPSec功能，实现移动用户的内部IP自动配置。6、 可以接受IP地址不固定的对端VPN设备发起的隧道协商请求，同时支持DDNS（Dynamic Domain Name System）功能，能够很好解决隧道协商双方IP地址均不固定的问题，使得用户无须申请固定IP，可节约网络建设投资。7、 支持虚拟安全域技术，可以根据用户身份对IPSec VPN隧道进行隔离，这就很好的解决了企业VPN网络隔离、企业VPN内网地址复用等问题。8、 灵活的可扩展性，VPN3005C网点以后可通过配置VOIP语音模块以低成本组件VOIP网络实现内部的“0”话费通信，VPN3005C-104网点直接省掉了一台交换机的投资。八、MPSec VPN系列安全网关产品资料产品概述 MPSec VPN系列安全网关是迈普公司自主研发的从网点接入到中心汇聚应用于各个网络层次VPN安全网关，主要面向电信级VPN中心汇聚、行业用户和大中型企事业单位中心VPN汇聚、小型VPN汇聚、大型网点VPN接入、SOHO VPN接入应用等环境，包括MPSec VPN3030、MPSec VPN3020B、MPSec VPN3010E、MPSec VPN3005C-104、 MPSec VPN3005C共5款产品：MPSec VPN3030具有4个多功能插槽（MIM），标配3个千兆光/电自选以太口，支持8端口全千兆路由板卡，整机千兆端口支持可达17个，密文吞吐量达到400Mbps，支持双电源冗余、业务板卡热插拔。MPSec VPN3020B具有4个多功能插槽（MIM），标配2个千兆光/电自选以太口，最多支持6个以太接口，密文吞吐量达到200Mbps，支持双电源冗余、业务板卡热插拔。MPSec VPN3010E标配4个百兆以太口，最多支持4个以太接口，密文吞吐量达到50Mbps。MPSec VPN3005C标配2个百兆以太口，最多支持3个以太接口，密文吞吐量达到10Mbps，并提供VoIP插槽可插入VoIP语音模块实现VoIP与VPN的融合。MPSec VPN3005C-104标配5个百兆以太口，密文吞吐量达到2Mbps。MPSec VPN系列安全网关采用IPSec VPN隧道技术，通过建立虚拟的专有安全通道，可以将总部和在家工作、出差在外以及分支机构员工和合作伙伴安全地连接到一起，也可以通过和MPSec VRC（VPN远程客户端）软件配合，系统解决用户移动办公的需要，为企业信息化平台和电子商务系统提供安全保障。MPSec VPN3030、MPSec VPN3020B安全网关支持双电源冗余、业务板卡热插拔、特有虚拟安全域、双机双线路备份功能，MPSec VPN3030支持VRF-AWARE IPsec功能，这两款设备适合电信级VPN网络中心应用，为运营商企业用户提供安全可靠、易于管理、网络扩展性强、建设成本低的VPN网络。MPSec VPN3030安全网关外观图MPSec VPN3020B安全网关外观图MPSec VPN3010E安全网关外观图MPSec VPN3005C安全网关外观图MPSec VPN3005C-104安全网关外观图产品特征 u IPSec加密的软件加速引擎 u 基于预共享密钥和数字证书的强身份认证 u IPSec VPN穿越NAT技术，突破IPSec原理协议上的冲突导致的应用限制 u 远程动态IP地址接入和DDNS功能，实现双方均不是固定IP地址的隧道协商 u 虚拟安全域技术，实现VPN网络之间的隔离以及VPN内网地址复用术 u 隧道自动协商、DPD（Dead Peer Detection）和VPN隧道通知删除技术 u 多种网络危机处理机制，实现链路备份、隧道备份和负载均衡 u DHCP over IPSec功能，实现移动用户的内部IP自动配置 u VPN安全网络的“0配置” u 全面的路由协议和防火墙功能 u 中文图形化网络管理系统，支持SNMP V3协议，可基于用户组管理 u 丰富的软件协议和标准加密认证算法IPSec加密的软件加速引擎采用高性能的专用通讯CPU，支持基于ASIC的硬件加密卡，通过迈普独特的IPSec快速转发引擎技术，使得IPSec报文不用到系统IP层转发，提高了转发效率和处理能力，实现对IPSec的性能优化。基于预共享密钥和数字证书的强身份认证支持基于预共享密钥和数字证书的强身份认证，可以提供在线证书申请、证书撤销、CRL自动更新等各种PKI技术，并具有全面的第三方CA支持能力，可以和MPSec CMS、中国电信CA和Windows2000/2003 CA等多种CA认证中心结合。IPSec VPN穿越NAT技术，突破IPSec原理协议上的冲突导致的应用限制完善的支持IPSec VPN穿越NAT规范，无需对中间的NAT设备进行特殊配置即可实现VPN隧道穿越NAT。迈普公司作为IPSec VPN穿越NAT技术国家标准的撰写者，致力于IPSec VPN穿越NAT标准的推广，目标是让企业现有的C/S、B/S结构的信息化系统无缝地扩展到全球范围。远程动态IP地址接入和DDNS功能，实现双方均不是固定IP地址的隧道协商可以接受IP地址不固定的对端VPN设备发起的隧道协商请求，同时支持DDNS（Dynamic Domain Name System）功能，能够很好解决隧道协商双方IP地址均不固定的问题，使得用户无须申请固定IP，可节约网络建设投资。虚拟安全域技术，实现VPN网络之间的隔离以及VPN内网地址复用支持虚拟安全域技术，可以根据用户身份对IPSec VPN隧道进行隔离，这就很好的解决了企业VPN网络隔离、企业VPN内网地址复用等问题。利用虚拟安全域技术可以使一台VPN设备同时提供给多个独立的企业（或部门）使用，并且无需修改各个企业（或部门）的内部地址规划。隧道自动协商、DPD（Dead Peer Detection）和VPN隧道通知删除技术在ADSL接入的环境下，支持自动拨号功能、自动建立隧道和VPN隧道通知删除，并基于标准DPD消息可以探测到由于网络故障等原因造成的IPSec VPN隧道断开，从而避免在出现意外情况时，两端VPN设备的状态不同步。多种网络危机处理机制，实现链路备份、隧道备份和负载均衡可以实现链路备份、隧道备份、负载均衡等功能，支持双机热备份协议VRRP（VBRP），提高了用户的网络稳定性。DHCP over IPSec功能，实现移动用户的内部IP自动配置支持DHCP over IPSec功能，为移动用户通过VPN接入内部网络时，自动分配一个内部的IP地址，将路由功能、安全功能以及DHCP功能等合为一台设备，为用户节约投资，最为重要的是简化了移动用户的配置问题。VPN安全网络的“0配置”推出“0配置”的解决方案，在迈普公司的配置软件上直接绘制出VPN网络拓扑，根据提示，输入极少关键参数后，软件自动生成配置文件，并下载到相关设备中，即可完成繁琐的配置操作。全面的路由协议和防火墙功能支持全面的路由协议并集成了完善的防火墙功能，可通过防火墙的访问控制列表对经过VPN的IPSec报文可以根据访问的源和目的地址、源和目的端口、IP协议号进行访问控制，更全面的保证了网络的安全性。此外MPSec VPN系列安全网关还支持AAA认证、L2TP、GRE等安全协议。中文图形化网络管理系统，支持SNMP V3协议，可基于用户组管理支持基于SNMP V3的集中网络管理方式，采用迈普中文图形化网络管理系统用户可轻松实现对MPSec VPN系列安全网关的网络配置以及VPN隧道的监控、统计、计费、维护等操作，并且还支持基于用户组管理，可以根据对端用户身份标识的不同，利用通配符将用户划分为几个组，在需要对用户身份进行区分和认证的情况下，原本需要几十甚至上百条配置表示的安全策略，可以减小到一条或几条，同时还具有更灵活的密钥管理方式。基于组用户进行VPN隧道的管理，可以明显减小配置难度和提高系统安全性。丰富的软件协议和标准加密认证算法支持国际标准的IPSec安全协议，支持ESP、AH或者ESP+AH的载荷封装格式，支持传输模式和隧道模式，支持手工配置会话密钥和IKE自动密钥协商密钥，支持IKE主模式和积极模式协商。MPSec VPN系列安全网关可以提供完善的国际标准的加密和认证算法，最高可提供256位密钥长度的对称密钥和2048位长度的非对称密钥。产品规格 项目MPSec VPN3030MPSec VPN3020BMPSecVPN3010EMPSec VPN3005CMPSec VPN3005C-104产品配置主控模块配置口1111高速多功能模块插槽441语音模块插槽1电源模块插槽22风扇模块插槽11IPSec/SNA功能模块插座1111主控模块固化以太接口3GE2GE4FE2FE5FE性能参数主控模块类型FM3A-MPU308-3GEFM3A-MPU206-2GE无无无处理器高速MIPS处理器高速MIPS处理器高速RISC处理器高速PPC处理器高速MIPS处理器闪存固化配置16Mbytes，可扩至80Mbytes固化配置16Mbytes，可扩至80Mbytes固化配置8Mbytes固化配置8Mbytes固化配置8Mbytes内存128Mbytes1Gbytes(可选)128Mbytes1Gbytes(可选)固化配置64Mbytes固化配置64Mbytes固化配置32Mbytes加密速率400Mbps200Mbps50Mbps10Mbps2Mbps最大隧道数5000（128Mbytes内存）100000（1Gbytes内存）5000（128Mbytes内存）100000（1Gbytes内存）1000500500平均无故障时间500000小时100000小时100000小时100000小时50000小时总线带宽6Gbps3Gbps1Gbps最大路由表容量39400条(128Mbytes内存)200000条(1Gbytes内存)39400条(128Mbytes内存)20