W310安徽电信-基于定制网关组建VPN专网解决方案

基于定制网关组建VPN专网解决方案各款商务领航定制网关均支持VPN功能，利用定制网关可为具有各类组网需求的客户灵活、便捷的组建VPN专网。一、需求分析方式1、行政事业单位上级主管机构以及企业总部要将内部业务系统向下辖分支机构、办事处、代理点延伸，进行内部数据传递、信息互通，实现办公信息、业务数据的上传下达；2、对系统数据传递安全性要求较高，3、分支机构众多，分布范围广，采用专线方式组网成本太高，需要经济的组网模式。标客户有VPN组网需求的客户主要有财政、税务、教育、医院、社保、电力、金融、交通、连锁商贸企业等。三、VPN组网解决方案1、组网方案描述在客户总部部署VPN服务器并以光纤专线方式接入城域网，在客户各分支机构根据其规模和安全性要求选择Navigator1-2+、Navigator2-1或Navigator2-2进行部署，同样通过光纤专线方式接入城域网。总部VPN服务器与各分支机构的定制网关之间建立IPSecVPN隧道，进行数据封装、加密和传输，实现总部网络与分支网络的互连，形成一体的虚拟专用网络，供人员的内部互访以及信息系统业务的承载。在VPN服务器和定制网关完成相关配置以后，两端局域网即可以实现透明相互访问，两端局域网中用户不会感觉到VPN网络的存在，非常有效的实现两端局域网的衔接。小型分支对于分支机构人员访问外部Internet的需求，则可通过在定制Nxiigalnr2-1.«'N⅛ι⅛⅛⅜ι⅜ι2∙j!网关上进行策略选择：1）分支机构人员经由总部集中，在统一出口访问Internet；2）分支机构人员也可经定制网关本地直接访问Internet，内部业务与Internet业务通过定制网关进行隔离。而对于出差在外人员，只要能够接入Internet，即可通过登陆总部的VPN服务器访问公司内部网络资源，相关的访问策略集中在VPN服务器上控制。在分支机构定制网关的部署中，还可通过启用3G上行功能，配合电信3G网络，建立无线数据链路作为有线链路的备份。2、总部VPN服务器及分支机构定制网关部署总部VPN服务器的部署方式根据业务需求不同分为两种：1）对于只有基本业务互通要求的客户，可只部署1台VPN服务器；2）对于业务连续性要求较高的客户，为保证分支节点VPN接入的可靠性，则需要部署2台VPN服务器进行负载分担以及备份。而对于分支机构设备的部署，可根据每个分支机构接入PC的规模和业务要求，则分为三种情况：1）对于只有基本业务互通要求、且规模小于20台PC的分支机构，如区县、乡镇级行政事业单位及企业办事处、代理点，可部署Navigator1-2+;2）对于只有基本业务互通要求、且规模为20台-100台PC的分支机构，如市、区县级行政事业单位以及企业大中型分部，可部署Navigator2-1;3）对于业务安全性有特殊要求的分支机构，如要求实时防病毒、垃圾邮件过滤、内容过滤、行为审计等增强的安全功能，且规模在100台PC以内，则需要部署Navigator2-2。3、业务功能实现通过定制网关构建的VPN网络，能够为企事业单位提供安全可靠的信息交流方式：1）专用网络实现企事业单位安全、快捷的数据信息交流，同时将内部互访与互联网访问进行有效隔离，确保网络安全可靠的承载内部关键业务信息；2）利用VPN网络承载各类业务系统，通过专用连接实现核心业务系统和各级分支节点服务终端的互通，为开展面向公众的服务提供有效途径；3）人员出差在外，通过Internet仍可方便和安全的访问公司内部网络信息资源，无需专线接入以及专用客户端，通过Web页面即可方便的登陆使用；4）实现高级的数据加密、多级权限管理，满足核心业务数据传输中的安全需求以及内部的分级分权管理。此外，各个分支机构通过使用定制网关，还可以获得增值的网络体验：1）提供高性能的网关接入设备，满足分支机构不断发展的业务需求；2）定制网关提供更安全的接入，不仅实现防火墙功能，还可以轻松的进行各种内部网络管理和应用控制如限制QQ/MSN/BT/迅雷；3）支持中国电信3G网络，通过无线链路上行，解决业务系统向移动节点的延伸，还可配合有线链路提供备份，保障业务应用连续性；4）分支机构人员不仅可以通过有线方式连接Internet，也可以通过WLAN方便的实现PC的无线接入，既简化了布线、节省布线成本，也提供了便携移动的接入手段。4、中心端VPN服务器参考设备根据分支机构节点数以及接入PC数量不同，中心端可参考下表中列出的VPN服务器进行配备。客户可以采用自购或者电信代购的方式获取VPN服务器，各市分公司也可将设备按回收期为3年进行折算，采用月租形式租用给客户。分支机构数及接入PC数VPN服务器参考设备型号分支机构在10个以下接入PC在30台以下H3CICG2000/H3CICG3000（基本型）分支机构在10-