虚拟专用网解决方案

虚拟专用网解决方案一VPN――随着Internet的商业化，大量的企业(如：银行、证券、公司等)的内部网络与Internet互连，使现代的企业网的概念发生了根本性的变化。――在政府部门之间、跨地区的企业内部网络之间的互连，以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络，以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些互连方式价格非常昂贵，一般只有大型的企业可以承担。同时造成网络的重复建设和投资。Internet的发展，推动了采用基于公网的虚拟专网的发展，从而使跨地区的企业的不同部门之间，或者政府的不同部门之间通过公共网络实现互连成为可能，可以使企业节省大量的通信费用和资金，也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是，如何保证企业内部的数据通过公共网络传输的安全性和保密性，以及如何管理企业网在公共网络上的不同节点，成为企业非常关注的问题。虚拟专网技术(VPN)采用专用的网络加密和通信协议，可以使企业在公共网络上建立虚拟的加密通道，构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。VPN简介 简单地说，VPN(VirtualPrivateNetwork，虚拟专用网络)即是指在公众网络上所建立的企业网络，并且此企业网络拥有与专用网络相同的安全、管理及功能等特点，它替代了传统的拨号访问，利用INTERNET公网资源作为企业专网的延续，节省昂贵的长途费用。VPN乃是原有专线式企业专用广域网络的替代方案，VPN并非改变原有广域网络的一些特性，如多重协议的支持、高可靠性及高扩充度，而是在更为符合成本效益的基础上来达到这些特性。VPN可以有三大应用，分别为直接远程访问(RemoteAccess)、Intranets及Extranets。远程访问(RemoteAccess)VPN乃是连接移动用户(MobileUser)及小型的分公司，通过电话拨号上网来存取企业网络资源。IntranetVPN是利用互联网来将固定地点的总公司及分公司加以连接，成为一个企业总体网络。而ExtranetVPN则是将IntranetVPN的连接再扩展到企业的经营伙伴，如供货商及客户，以达到彼此信息共享的目的。VPN的特点：1、成本低VPN在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省，故能使企业网络的总成本(TotalCostofOwnership)降低。根据分析，在LAN-to-LAN连接时，用VPN较使用专线的成本节省20%〜40%左右；而就远程访问而言，用VPN更能比直接拨接至企业内部网络节省60%〜80%的成本。2、网络架构弹性大 VPN较专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时，VPN可以轻易地达到目的，VPN的平台具备完整的扩展性，大至企业总部的设备，小至各分公司，甚至个人拨号用户，均可被包含于整体的VPN架构中，同时，VPN的平台亦具有对未来广域网络频宽扩充及连接架构更新的弹性。3、良好的安全性 VPN架构中采用了多种安全机制，如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术，通过上述的各项网络安全技术，确保资料在公众网络中传输时不至于被窃取，或是即使被窃取了，对方亦无法读取封包内所传送的资料。4、管理方便VPN较少的网络设备及物理线路，使网络的管理较为轻松；不论分公司或是远程访问用户再多，均只需通过互联网的路径进入企业网络。认证VPNClient为分支机构用户提供加密隧道，用户可以创建到公司网络的安全隧道。此外，共享高度机密信息的本地用户也可以通过局域网内计算机之间的加密隧道实现同样目的。对于认证系统，我们推荐以下两种一级认证系统：1、认证中心，可以有效地确认所有用户的身份，这种证书是不可能伪造的，因此可以无缝和透明地增强甚至最严格的公司安全政策。2、RADIUS服务器，它可以提供集中化的远程访问验证和授权功能，能够给予不同级别的用户不同的操作权限。通过一个应用程序，能够实施最高级别的安全能力。从用户要求的认证系统的严格性和安全性，以及从性价方面考虑，我们推荐使用XROUTERXR100作RADIUS认证。一般解决方案采用的是硬件式VPN产品。VPN的资料均需在加密之后才由公众网络传送至接收端，再由接收端设备加以解密。故每一个封包在整个传输过程中均需被加、解密一次，而加密、解密均是相当消耗VPN设备运算能力的工作。硬件式的VPN产品将加密解密的钥匙储存于内存中，故较不易被损坏，同时加密解密速度亦较快在运作效能，会比软件VPN产品有较佳的表现，同时软件式的VPN产品通常较难以管理。通过以上方案分析，我们不难发现，无论采用那种VPN网络拓扑结构，均能实现分布网络之间的互联，作到信息共享。重要的是无须再租用昂贵的专用数字线路。因此，作为一种安全可靠、费用低廉的组网方案值得每个需要广域联网的单位所采用。方案概述vigorVPN解决方案，是正元计算机公司针对现代企事业单位用户的实际需求，精心研制的一种基于IPSEC的第三层VPN路由器组网方案，是可以在全动态IP的广域网上(Internet/城域网)，同时支持ADSL,CableModem,DDN等宽带接入方式，在接入方式不同的异构网络上搭建统一的IPVPN网络。对客户来说，我们建议在中心点使用Vigor3300VPN路由器，各个分支机构使用Vigor2200VPN路由器实现各个节点的VPN互联。采用ADSL虚拟拨号或者其他宽带接入方式接入Internet。并通过VIGORVPN路由器构建企业VPN网络。各局域网节点采用VIGORVPN路由器接入VPN,出差或在家可作为移动用户通过PPTP协议接入VPN。网络架构◊总部：总部一般来讲是企业信息存放、处理的中心，网络内部主机数量多,数据流量大,安全性和实时性要求高；因此推荐采用高性能的VIGOR3300作为接入服务器。◊分支机构：企业分支机构一般指分布在全国各地规模中等的分公司,公

司内部建有中等规模的局域网，同时通过当地ISP提供的宽带接入方式接入因特网。安装一台VIGORR2300或VIGORR2200路由器，作为客户端接入总部◊移动办公用户：采用PPTP或L2TP协议，接入总部，可支持CDMA/GPRS及802.11b等无线移动接入，用户即使在乘坐车船甚至飞机的途中，可随时随地实现移动办公网络拓扑图大型企业构建VPN网络拓扑图

局域网互拨VPN网络拓扑图远程访问内部局域网VPN网络拓扑图应用效果◊无论是基于B/S还是C/S的模式，都可以利用VPN构建远程实时应用。而且无需铺设专线，无需固定IP地址，无需托管服务器，软件无需任何改动，直接可以使用◊采用PPTP或L2TP拨号的方式，公司老总或外出移动办公人员在外出差时可随时接入企业内部局域网，查询所有相关的财务等重要信息和收发内部邮件，也可以及时发送信息回公司总部，实现移动办公，保证工作效率◊公司和分支机构市场信息、营销方案、客户反馈信息、新产品信息、办公文件、各种报告报表等能在第一时间内实现全公司范围内的及时上传下达，提高工作效率，公司决策人能及时掌握各部门、各员工的工作情况◊建立VPN后，企业内部网络用户仍然能够正常浏览所有因特网信息，并且为内部网络用户提供专业的防火墙保护◊可实现各应用系统等网络版应用系统的远程互联，采用最少的网络互联投资成本，最大限度的发挥公司应用系统的效率，实现无纸化办公，移动办公。各分支机构与总部象在同一间办公室里一样共享并同步应用财务管理、ERP、OA系统，使公司管理更加统一规范，保证财务、物流、信息流的实时更新，确保公司财务高效、透明、安全、快捷，市场信息的及时传递，营销方案的及时执行，提高工作效率◊通过“网上邻居”共享数据文件，访问远程的企业资源数据库，中心的网络管理员可以对整个VPN网络进行集中的状态监控和远程管理配置，可以在各个VPN节点设置动态的流量管理策略，为企业实时业务和多媒体数据流提供良好的带宽保证◊构建了这个网络之后，可以实现其他如视频会议、VOIP、视频监控等扩展应用配置推荐及注意事项总部：电信光纤接入因特网，采用高性能的VIGOR3300作为接入服务器。◊分支机构:通过当地ISP提供的2M以上ADSL宽带接入方式接入因特网。安装一台VIGORR2300或VIGORR2200路由器，作为客户端接入总部◊移动办公用户：采用PPTP或L2TP协议，接入总部。设置拨入拨出的权限，设置拨入和拨出的用户名和密码，设置不同网段附部分vigor路由器产品配置单：Vigor2200EADSL/Cable/FTTXRouteLAN:4*10/100BaseTX，WAN:1*10BaseTX8VPN隧道Vigor2200EPLUSADSL/Cable/FTTXRouteLAN:4*10/100BaseTX，WAN:1*10/100BaseTX