H3C IPSec VPN互联组网标准方案书

H3CIPSecVPN互联组网标准方案书目录XX客户数据传输情况现状和需求分析1.1XX客户分支数据互联和远程访问面临挑战1.2需求分析（根据客户需求自行选择）第2章组网方案规划设计2.1IPSecVPN网络方案2.2总结第3章产品选型第4章设备优势和卖点第5章配置清单XX客户数据传输情况现状和需求分析1.1XX客户分支数据互联和远程访问面临挑战根据项目实际情况描述随着XX客户业务的不断发展，需要设立驻外办事处或分支机构，因此XX客户希望各个分支节点远程接入后，能够顺利地使用公司总部网络的各种应用服务和企业的ERP系统，同时能够为其合作伙伴提供类似的服务和应用系统。由于每个分支节点和合作伙伴都必须远程联入核心节点的网络中，因此怎样为这些分支机构提供一个安全、经济、方便和高效的安全接入方式，成为XX客户亟需解决的一个问题。另外由于XX客户考虑到已知的互联网接入方式的成本都比较高（传统的DDN或E1专线），因此如何减少接入成本并且保证分支机构接入的高可用性也成为XX客户现在面临的主要问题。另外，越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务，象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。同时，这种网络连接的发生也为企业网络引入了新的安全威胁，但是目前的网络安全方案又是十分的昂贵和复杂。目前的企业极需要一种简单实用的解决方案，可以安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问，而又不会为企业网络带来新的安全风险。综上所述，XX客户需要一整套解决方案，既可以安全的接入分支机构，又能同时为出差人员、SOHO办公人员提供方便、安全的接入方式。1.2需求分析（根据客户需求自行选择）分支机构数量：50个以内，分支信息点数量：20~50。1、总部与分支机构的安全连接：企业设立了分支机构后，分支机构局域网中的财务、办公等数据需要安全的传输到总部，考虑到传统的专线方式成本过高，IPSecVPN技术可以满足局域网对局域网的加密传输需求；2、分支机构设备的统一管理：由于分支机构的数量很多且地理位置分散，其使用的设备采用ADSL拨号通过DHCP动态获取IP地址方式接入Internet，特别是很多时候VPN安全网关位于NAT网关后面。这导致了VPN设备要么是动态地址不确定，要么是私网地址，传统方式的SNMP网管根本无法主动与这些设备建立网络连接，您需要一套真正有效的设备管理系统为您管理分散的分支机构设备。第2章组网方案规划设计XX客户VPN解决方案通过IPSecVPN的方式，实现了用低成本，高安全性的VPN连接，可以灵活的构建多种模式的VPN网络，全面适应于局域网对局域网的安全加密以及移动办公数据流动的需求。XX客户VPN解决方案，由IPSecVPN中心接入子系统、分支机构VPN接入网关子系统、VPN管理子系统4个部分组成。2.1IPSecVPN网络方案IPSecVPN核心节点：中心IPSecVPN系统的中心节点，主要由VPN中心网关设备、后台服务器两部分组成。（根据客户需求自行选择，并修改组网图：根据XX客户对于VPN系统的可靠性要求，采用双机双出口方式，同时连接网通和电信保证网络高可靠性。）IPSecVPN分支节点：通常分支机构接入公网的方式是ADSL拨号，所以要求IPSecVPN的分支节点设备应该支持多种接入公网的方式，如：PPPOE、静态IP以及PPP各种方式。具体如下图所示，在方式一中，拨号过程由VPN网关设备来完成，拨号成功后，VPN网关将会动态获取到一个IP地址。在方式二中VPN网关是通过代理服务器接入Internet。2.2总结根据XX客户对于VPN设备的需求，推荐采用H3C的SecPath防火墙/VPN设备，一台设备可以同时提供防火墙、IPSecVPN。H3C的SecPath防火墙/VPN设备还具有强大的扩展性，后续可以根据客户需求扩展ASM防病毒插卡、SSLVPN插卡或者安全监控插卡。（根据客户要求自行选择，并修改组网图由于客户对于可靠性要求较高，VPN的链路可用性直接关系到客户的生产活动。因此采用双机双出口的方式，最大限度保证VPN链路可用，为XX客户提供永续的业务连接。）推荐组网配置如下：第3章产品选型核心VPN节点的防火墙/VPN设备选用H3CSecPathF100-S，其将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上。并且该设备提供强大的扩展能力。分支VPN节点的防火墙/VPN设备采用H3CSecPathF100-C-EI，该设备使用经济性高，适合大规模的分支节点部署，可以满足小型局域网的IPSecVPN加密需求。SecPathF100-C采用专用硬件架构以及软件平台，可以为设备稳定运行提供高可靠性。另外，SecPathF100-C特有的无风扇设计以及<20W的功耗可为您提供良好的办公环境，并节省电力消耗，减少二氧化碳排放。第4章设备优势和卖点1、高性价比：目前性价比最高的VPN解决方案，分支机构VPN设备由于数量多，在方案中占有重要的位置，决定整体方案的预算，F100-C能极大降低整体预算。2、高性能：核心VPN节点设备SecPathF100-S的IPSecVPN加密性能较高，可以满足最大50个分支节点的接入需求。3、绿色环保：设备采用专用硬件平台，核心VPN设备功耗<60W，分支VPN设备功耗<20W，可以降低能源损耗，减少二氧化碳排放4、高稳定性：电信级可靠的硬件平台与软件架构为您提供36年的平均无故障时间（MTBF），保障您的业务永续进行。5、易管理：可通过Web方式进行远程配置管理，也可以使用H3CIMC网管