中小企业基于IPSec的VPN安全方案的设计与实施

我谨在此承诺：本人所写的毕业论文《中小企业基于IPSec的波及其他作者的观点和材料，均作了注释，若有不实，后果由本人承承诺人(签名):摘要本文陈说了虚拟专用网VPN技术，并在数据安全和IPSec协议体系架构的概信技术有限企业分企业与主企业之间，使他们能进行安全互联和资源共享。详细简介了基于IPSec的VPN,通过Internet虚拟专线安全互联处理在中小企业企关键词：IPSec(Internet协议安全性);VPN(虚拟专用网);IKE(Internet密钥互换);AH(认证头);ESP(封装安全载荷)Thisarticleintroducesbasedontheconceptofdaarchitecture.IPsecprotocol'sworkingprinciple,characteristicsandapplicatvirtualprivatenetworkVPNtechnology.ItanalyzedbasingontheIPsecVPNchannelimplementationprocess.ItraisedthesolutionsbasedontheIPsectosolvetheimportantroleplayeKeywords:IPSec(InternetProtocolSecurity);VPN(VirtualPrivateNetw(InternetKeyExchange);AH(AuthenticationHeader);ESP(EncapsulatingSecu目录2.'VPN概述和比较…………………错误!未定义书签。2.2老式的处理方案……错误!未定义书签。3.4非对称加密算法……错误!未定义书签。4.1IPSec产生4.2IPSec概述4.5IPSec工作模式……5.1IKE简介……………5.3IKE与IPSec的关系…………………错误!未定义书签。5.4IKE互换协商阶段……错误!未定义书签。IKE安全关联……错误!未定义书签。IKE协商阶段一…………………错误!未定义书签。IKE协商阶段二…………………错误!未定义书签。6.IPSec与老式VPN技术结合………错误!未定义书签。6.1GREoverIPSec………概述………………错误!未定义书签。GREoverIPSec封装格式………错误!未定义书概述………………错误!未定义书签。7.中小企业基于IPSecVPN方案设计………………错误!未定义书签。7.2现实状况拓扑…………错误!未定义书签。7.3既有设备状况……杭州总企业既有设备……………错误!未定义书签。金华分企业既有设备……………错误!未定义书签。绍兴分企业既有设备……………错误!未定义书签。宁波办事处………错误!未定义书签。温州办事处………错误!未定义书签。7.4现实状况IP地址……错误!未定义书签。金华分企业现实状况IP地址…错误!未定义书签。绍兴分企业现实状况IP地址…错误!未定义书签。宁波办事处现实状况IP地址…错误!未定义书签。温州办事处现实状况IP地址…错误!未定义书签。7.5方案设计原则…………错误!未定义书签。遵照国际原则……错误!未定义书签。迅速性……………错误!未定义书签。安全性……………错误!未定义书签。易用性……………错误!未定义书签。7.6设计目的………………错误!未定义书签。异地网络互连互通………………错误!未定义书签。对多种应用系统透明……………错误!未定义书签。高安全性…………错误!未定义书签。高可靠性…………错误!未定义书签。高性能……………错误!未定义书签。高性价比…………错误!未定义书签。易于扩展…………错误!未定义书签。7.7设计后拓扑…………错误!未定义书签。7.8方案设计描述…………错误!未定义书签。7.9功能分析………………错误!未定义书签。7.10设备选型………………错误!未定义书签。7.11设备清单………………错误!未定义书签。8.1到货实行………………错误!未定义书签。8.2管理和协调措施……错误!未定义书签。8.3系统应急预案………错误!未定义书签。8.4总体规划………………错误!未定义书签。系统实行计划……错误!未定义书签。设备订货…………错误!未定义书签。设备交付及到货验收……………错误!未定义书签。安装调试技术支持………………错误!未定义书签。系统联调和测试…………………错误!未定义书签。技术人员培训……错误!未定义书签。终验………………错误!未定义书签。8.5设备型号及序列号…………………错误!未定义书签。8.6实行IP地址规划……错误!未定义书签。8.7设备安装配置…………错误!未定义书签。登录设备…………错误!未定义书签。总企业IPSecVPN设备堆叠功能……………错误!未定义书签。绍兴分企业IPSecVPN设备配置……………错误!未定义书签。宁波办事处IPSecVPN设备配置……………错误!未定义书签。金华分企业IPSecVPN设备配置……………错误!未定义书签。温州办事处IPSecVPN设备配置……………错误!未定义书签。参照文献错误!未定义书签。昂，而Internet的速率现已可以媲美专线，因此专线已经难以适将会给企业带来很大的损失。由于互联网是一种建立在TCP/IP协议上的开放互IETFIPSec工作组于1998年，制定了一系列基于密码学的开放的网络安全协议，总称IPSec(InternetProtocolSecurity,Internet协议安全),这个体系构泛的一种协议。它可认为IPv4和IPv6提供较强的安全保护。IPSec在RFC2401中定义的，它为IP数据流提供安全服务。安全服务的IPSec组件IPSec提供了两种，都能为IPSec对等体之间传播的IP数据流提供安全服务，它们分别是验证头报头AH和封装安全有效负载ESP。验证头报头AH是一种安全有效负载ESP是通过度组报头和报尾来提供消息的完整性，数据的来源验来实现IPSec完整性，保密性，来源认证和重放防备，是IIPSec体系架构位于网络层，负责IP数据包的保护和认证。这些IP包在有关的IPSec设备(对等)之间传播，IPSec并不限定于某类尤其的密钥技术，以及伴随网络技术的迅速发展，尤其是电子商务业急切需要一种技术来实现基于公共的Internet来让企业总部与分支机构互联和在外出差人员通过公共Internet连入企业内网，虚拟专用网VPN(Virtual虚拟专用网VPN(VirtualPrivateNetwork),是在公共的Internet上建立一VPN的实现基本原理就是运用了隧道技术。隧道技术就是将数据包封装在目前目前公共的Internet上使用的基本都是IP协议，使用隧道技术，就可以完美处理这个问题，使两个使用IPX协议的总部和分支机构，可以通过公共的按照网络层次辨别VPN是使用最多的辨别方式，按照网络层次就是按照OSI网络模型的层次来辨别VPN,可以分为链路层VPN和网络层VPN。链路层VPN是先把网络协议封装到点到点协议中去，然后再把整个数据包网络层VPN是先把网络协议直接装入VPN的隧道协议中，最终封装完的PPTP是一种基于PPP协议的点对点VPN协议，常用于IP网络，只能在两L2TP和PPTP类似，也是一种基于PPP协议的点对点VPN协议，但其不仅可以应用于IP网络，还可以应用于某些虚电路网络ATM,帧中继等。并且例如目前IPV6还没有普及，有些企业使用IPV6,不过公共网络Internet使用的是IPV4这样会导致企业的数据无法路由，使用GRE协议，在企业出口路由器技术，基于ATM或者帧中继的MPLS就是二层VPN技术，基于LDP协议或者BGP协议的MPLS就是三层VPN技术，三层MPLS技术相对于路由协议转发IPSec是一种加密的VPN技术，它不仅可以对数据加密，对发送源进3.数据安全基础数据明文在公共的Inernet上传播，存在被截取窥看的间，极大的加大了数据传播延迟。常用的非对称算法对于对称加密算法计算会比较慢。在这种需的值使用发送方自己的私钥进行加密[9],再将数据和这个加密了的摘要值一起用接受方公钥进行加密，接受方怎样安全的将自己的公钥传播给发送方呢?发送方收到后又怎样来确定这个是不是真的是接受方的公钥呢?现实生活中，我数字证书就是相称于电子身份证，它将公钥数字证书必须向权威机构申请，申请成功后虚拟专用网VPN技术，仅仅处理了企业内网的通信问题，当敏感数据在不术横行的今天，越来越多企业开始关怀数据的安全数据在Internet传播，很轻易被更改，窥看。老式的VPN技术只能处理企造的提出，从主线上处理了VPN在公共Internet上传播时的安全问题。IP协议设计的时候没有考虑太多的安全性问题，而目前IP协议又成为了全们目前所说的IPSec(IPSecurity),来弥补IP协议在安全性方面的局限性。IPSec可认为数据提供保密性，数据完全性，数据源验证，抗重播，访问控制等一系列功能。由于IPSec在网络层上实现，因此基于传播层的TCP,UDP的可以在主机上实现，也可以在防火墙上实现，更可以使用专用的VPN硬件实目的IP的数据数据包获取单向的相似的安全服务。可以是基于AH协议或者基于ESP协议的，创立单向的安全关联，也就服务关联源和目的地址。不过假如是同一数据流同步使用AH安全关联数据库(SecurityAsso报头中的32bit的数值字段，其用途是在接受端识别数据流到安全关联的绑定关安全方略数据库(SecurityPol协议标示符构成的一种32比特的数值。关联是顾客在需要配置IPSec的两端手动配置某些参数，在匹配协商通建立安全关联。IKE自动协商安全关联，所有操作都由IKE协议成为维护，使4.4.1出站包处理流程需要图4-1没有找到没有找到如错误!未找到引用源。所示，数据包出站要从某个配置了IPSec的路由器接口转发之前，需要通过3个环节。系统再从安全关联数据库中去查找对应的IPSec安全关联。应的IPSec安全关联，就使用此安全关联的参数对数据包提供安全服务后再进行对应的转发。假如找不到响应的IPSec安全关联，此时就需要系统为其创立系统再继续查找IKE安全关联数据库，来查找一种合用的IKE安全关联来为IPSec安全关联提供对应的安全服务。假如可以查找到IKE安全关联，则使用这个IKE安全关联去协商IPSec安全关联，假如没有找到则系统需要为其创立一种IKE安全关联进行协商IPSec安全关联。否转发自的地址是否转发否本地地址是否否理是是没找到否没找到否全关联再根据安全关联的协议标示符，选择合适的协议AH或者ESP协议对原数据包都会被用来计算AH或者ESP头后再进行数据加密，再将处理后的数据包加上AH或者ESP头再封装到新的IP数据包中。隧道模式中，加解密和安全协图4-44.6IPSec安全协议IPSec安全协议有两个重要协议，分别是AH(AuthenticationHeader)认证头协议和ESP(EncapsulateSecurityPa完整性和真实性保证的协议，不过AH认证头协就是无法提供机密性，只适合来认证那些不是机密的数据在传播过程中与否是AH(AuthenticationHeader)认证头协议报头是在传播层报头和IP报头之间的，AH协议使用协议号字段51号来标识IP协议，假如在这个字段值是51,之前使用一种单向的散列函数将数据包整个字段生成一种数据摘要来实现对数据完整性的验证，再将其添加一种身份验证和刚刚计算出来的摘要报头。接受到数据之后，先对身份认证字段进行认证，再将收到的数据包使用同一种单向的散列函数将数据包整个字段生成一种数据摘要，再与发过来的数据摘要比列号字段，序列号唯一的标识了数据包，假如接受端收到已经收到过的序列号之后，并且一般使用协议号51来标识AH头格式。AH头格式的各个字段含义1.NextHeader:长度为8位。重要功能是用来标识AH头之后的载荷协议类型。这个字段值属于IANA锁一定的IP协议号集合。2.PayloadLen:长度也是8位。其重要功能是来标识AH的长度减2,单位是32位。这是由于AH不仅可以合用于IPV4,它还可以合用于IPV6,而IPV6扩展头需要把负载长度减去64位。3.Reserved:长度为16位的保留字段，未未来的扩充应用做准备，目前是必须设置为0。4.SecurityParametersIndex(SPI):安全参数索引是一种长度为32位的任意数值。安全参数索引字段与目的IP地址和安全协议标识AH或者ESP相结5.SequenceNumberField:32位无符号整型数值。在安全关联刚刚建立时，此数值为0,每发送一种数据包，数值加一。6.AuthenticationData(variable):这个字段是可变长度，不过都必须是32的倍HMAC-SHA-1-96验证算法。在转发之前，IP数据包的ToS,Flags,FragOffset,TTL,HeaderChecksum等都是可变的，因此在计算认证字段之前，都必须将这些字段设置为0。完整性认证数据字段也是要加入完全性认证的，因此在计算时，还必须将完整性认证字段也设置为0。AH处理后的包原原始IP头TCP载荷数据原始IP头AH头TCP载荷数据载荷数据AH头验证计算前，所有可变字预先置为0图4-6在传播模式中，AH封装如错误!未找到引用源。所示，AH保护的是IP包的包的上层协议，TCP或者UDP[14]。需要使用IPSec保护的两个节点之间，IPSec保护的就是两个安全网关之间的数据流量，中间的路由器只做转发处理。在AH头建立好并填充完所有字段后，原始IP头和原始载荷之间插入AH头。单向函数新IP头AH头新IP头密钥AH头图4-7ESP封装安全载荷(EncapsulateSecurityPayload)不仅可以提供类似于AH的数据完整性验证，身份认证和一定的抗重播能力，还可认为数据提供数据机密性。ESP隧道模式可以提供对于报文途径信息的隐藏，并且还可以用于加密AuthenticationData(V1.SecurityParametersIndex(SPI):此字段与AH头同样，包括的是一种32位的任意值，与AH同样，和目的IP地址，安全协议E3.PayloadData(variable):一种变长字段，其包括NextHeader字段描述的对应4.Padding:此字段属于ESP尾，根据某种加密算法的规定，也许会在字段中增长填充位，之因此会出现这种状况是由于某些5.PadLength:填充字段长度是用来阐明前面的字段Padding字段填充了多少字节的个数。有效的数值范围是0到255,假如是0表达没有填充。此字段6.NextHeader:一种8比特字段，此字段标识了载荷字段的数据类型。也是一种强制字段，属于IANA定义的IP协议号集合。7.AuthenticationData:此字段为一种可变字段，包括完整性校验的值。考虑到加密密文验证密钥密文与AH相似，ESP传播模式加密的也是IP数据包的上层协议TCP或者UDP。两台主机之间直接运行IPSec协议，中间设备不做其他任何操作直接转ESP尾之后的Auth字段，载荷和ESP尾将加密后完毕整个原始原始IP头TCP载荷数据原始IP包原始原始IP头TCP载荷数据ESP尾加密密钥加密算法密文ESP头密文验证密钥验证算法新IP头ESP头密文ESPAuthIP头和原始IP包直接，并在背面加入ESP尾巴。全算法。这样做的好处，以便此后的扩展更新。而验证算法和加密算法都需要在通信之前配置静态的密钥，因此不以便常常更新，导致安全性很低。此外一IKE协议是InternetKeyExchange因特网密钥互换协议的缩写，在AH或者联。而IPSec安全关联既可以是手工配置的，也可以IKE协议就是用来动态协商自动配置IPSec于IPSec安全关联，诸多密钥互换的场所中都可以使用。IKE协议还可认为IPSec提供身份验证，密钥定期自动更换，大大提高了IPSec的安全性。IKE协议为IPSec提供了密钥的自动协商和创立安全关联服务，为IPIKE使用了ISAKMP(InternetSecurityAssociationandKeyManagement)安全联盟密钥管理协议定义的密钥互换的整体框架体系机构，可以说IKE是ISWAKMP的实践化产物协议。IKE还结合了两个早起协议Oakley和SKEME。Oakley协议是一种自由协议，它定义了密钥的互换次序，提供了诸多种密钥互换的模式，为IKE协议提供了一种多样式，多模式的应用。SKEMEIKE协议还具有一套自我保护机制，可以在不安全的网络上安全地分发密钥、验证身份并建立IPSec安全关联。IKE协议出于安全考虑并不在网络上直接传播密钥信息，而是采用Diffie-Hellman算法计算双方的共享的共享密钥，采用这种算法方式，就算是被黑客截取了因此用于计算密钥的数据，也不能计算出密钥。IKE协议还可以定期的更新安全关联和密钥，并且每个安全关联的密钥之间都没有什么关联，这样对于黑客来讲破解密钥时间过长就会更换密钥，增长了破解的复杂度。IKE协议还可以对身份进行验证从而确认通信双方的身份的真实性。IKE协议采用预共享密钥的验证措施，密钥使用输入的验证字段计算产生，验证字段不一样是不也许产生相似的密钥的，这是验证双方身份的关键要素，并且身份数据在密钥产生之后加密传送，实现了对身份数据的安全保护。图5-1如错误!未找到引用源。所示，IPSec运用安全方略数据库鉴定一种数据包与否需要安全服务。假如其需要安全服务，系统就会在安全关联数据库中查找相对应的IPSec安全关联。IPSec安全关联又分为手工配置和动态IKE自动协IPSec安全协议AH或者ESP是提供实际的安全协议的，而IKE只是为AH点之间密钥和方略的集合。IKE安全关联定义了两个需要协商节点之间怎样保IKE协议为IPSec提供密钥协商和建立安全关联分为两个阶段：第一阶段重要是为两个需要协商节点之间进行身份认证和为其提供一种安全通道来进行密钥互换。第二阶段重要工作是在安全通道中协商IPSec需要使用的安全服IKE协商阶段一又有两种互换模式，分别为主模式(MainMode)邻居一密钥生成份DH交换图5-2如错误!未找到引用源。所示，IKE协商阶段环节，总共六条协议消息。第一步是双方进行方略协商，前两条消息就是用来协商IKE安全关联所使用的方略，重要包括加密算法的协商，散列完整性算法的协商，身份验证措施的协商，DH操作组信息的协商，IKE生成时间的协商。第二步是DH互换，第三和第四条消息就是用来互换DH共享密钥和某些需要用到的辅助信息。第三步是身份ID互换和身份的验证，最终两条消息用于互换身份ID和对DH互换的身份信息进行验证。通过这三个环节和六条消息的互换，IKE需要协商节点之间就建立起了验证载荷验证验证载荷验证2)IKE协商阶段一野蛮模式邻居二邻居一邻居二查找匹配的策换，验证接受对端确认的策略，密钥生成，验证图5-3主模式使用预共享密钥的方式互换密钥，通信双方必须均有固定的IP地址。而目前诸多企业都是使用ADSL拨号上网的方式和某些远程顾客使用远程拨号的方式，没有固定的IP地址，就不能使用主模式。为了处理这个问题，IKE提供了野蛮模式就容许一端没有固定IP地址。如错误!未找到引用源。所示，IKE野蛮模式只使用3条消息互换来完毕整个IKE安全关联的建立。前两条消息用来协商方略包括加密算法，散列完整性验证算法，身份验证算法，DH操作组信息，DH预共享值，辅助信息和身份信息，第二条洗洗还用于验证响应者确认接受方方略。第三条消息用来验证发起5.4.3IKE协商阶段二IKE协商阶段二，在阶段一建立了IKESA的基础上已经建立了管理连接，然后再去建立IPSecSA,真正是实现对数据流量的安全保护。阶段二使用迅速模式来实现，迅速模式重要提供数据的完整性验证，对数据源的身份信息验证和对数据进行加密。此外还定义了两个其他互换模式，用于对后期安全关联的者是企业通过公共Internet连接企业内网的场所。IPSec相对比GRE,其设计就还不可以支持组播和RIP,OSPF这些常用的路由器协议，虽然GREoverIPSec,就是一种让数据包被封6.1.2GREoverIPSec封装格式图6-1后，再把新的隧道包整个进行IPSec封装，然后在公共的Internet上传播。L2TP常常顾客外出出差人员通过公共的Internet连接企业内网的场所，不过提供不了数据安全性。L2TP隧道建立是建立在LAC和LNS直接的，可以使用IPSec保护LAC到LNS这段的数据流来保证L2TP的安全性。而LAC一般为企业外出出差顾客，一般没有固定IP,因此可以结合IPSec的野蛮模式来处理这个问题。和GREoverIPSec同样，L2TPoverIPSec也是先进行L2TP隧道封装，再进行IPSec封装，远程终端笔记本直接作为LAC连接企业出口的7.中小企业基于IPSecVPN方案设计杭州洪铭通信技术有限企业企业业务不停扩张，分企业和办事处也日益增多，企业的办公业务大多数都需要通过数字化来进行，而大多数系统都是企业使用专线的方式可以处理连接总企业与分企业的企业内网互通，不过新建盛行的年代，对于企业内部数据通过公共的Internet传播的数据安全完全得不到保证，机密数据很轻易被竞争对手和不法分子窃取。企业急切但愿安全的互联防火墙防火墙网通出口防火墙FTP服务器科8300江案写超%服务器图7-1杭州洪铭通信技术有限企业现实状况网络拓扑如错误!未找到引用源。所7.3.1杭州总企业既有设备表7-1序号设备名称品牌型号操作系统重要用途1WEB服务器S企业对外网站服务器2FTP服务器S企业内部文献服务器3数据库服务器网站后台，财务，业务产品等数据库4器S域控制器，exchange邮件服务器，设备请购系统等业务系统5光纤互换机1自带系统6光纤互换机自带系统7关键互换机2内网数据流量汇聚流量8防火墙1负责对外网开放指定网段和端口，袭9防火墙2负责对外网开放指定网段和端口，袭关键路由器1重要用于所有出口的数据包路由和转发，双机热备关键路由器2重要用于所有出口的数据包路由和转发，双机热备阵列自带系统重要用于服务器区域的数据的存储机用于汇聚服务器区域流量一楼互换机用于将一楼各办公室计算机接入网络二楼互换机用于将二楼各办公室计算机接入网络机用于将三楼各办公室计算机接入网络四楼互换机用于将四楼各办公室计算机接入网络五楼互换机用于将五楼各办公室计算机接入网络杭州洪铭通信技术有限企业杭州总企业既有设备如表错误!未找到引用源。表7-2序号设备名称品牌型号重要用途出口路由器重要用于所有出口的数2防火墙天融信NGFW4000负责对外网开放指定网段和端口，袭击防护3办公区域主机接入杭州洪铭通信技术有限企业金华分企业既有设备如错误表7-3序号设备名称品牌型号重要用途1出口路由器重要用于所有出口的数2防火墙天融信NGFW4000负责对外网开放指定网段和端口，袭击防护3办公区域主机接入杭州洪铭通信技术有限企业绍兴分企业既有设备如错误序号设备名称品牌型号重要用途出口三层互换机重要用于所有出口的数据包路由，转发和办公区域接入杭州洪铭通信技术有限企业宁波办事处既有设备如错误序号设备名称品牌型号重要用途1出口三层互换机重要用于所有出口的数据包路由，转发和办公区域接入杭州洪铭通信技术有限企业金华分企业既有设备如错误7.4.1总企业现实状况IP地址设备名称管理IP上行接口1一楼互换机/24网段2二楼互换机/24网段3/24网段4四楼互换机/24网段5五楼互换机/24网段6关键互换机/16网段7防火墙/16网段8防火墙/16网段9关键路由器1/16网段关键路由器2/16网段网通出口杭州洪铭通信技术有限企业总企业现实状况IP地址如错误!未找到引用表7-7序号设备名称管理IP上行接口12防火墙3出口路由器网通出口杭州洪铭通信技术有限企业金华分企业现实状况网络拓扑如错误!未找到引表7-8序号设备名称管理IP上行接口12防火墙GE₀/2连接3出口路由器电信出口8表7-9序号设备名称管理IP上行接口1杭州洪铭通信技术有限企业宁波办事处现实状况网络拓扑如错误!未找到引用序号设备名称管理IP上行接口1杭州洪铭通信技术有限企业温州办事处现实状况网络拓扑如错误!未找到引用根据杭州洪铭通信技术有限企业的规模和企业业务系统和网络资源流量综本系统方案设计重要是用于处理总企业和分企业或者办事处之间传播企业内网业务数据。因此，必须使用遵照国际有关网络安全设备的原则，如IPSecVPN的原则，这样可以更好的保证内网的互联互通即时两端使用的是不一样厂虽然目前宽带的速度已经比较快了，基本顾客都已经可以到达4M以上，相对于此前的拨号上网来说不懂得快了多少倍，不过顾客对宽带速率的需求是流量都比较大，习惯了内部局域网百兆甚至是千兆到桌面速度的顾客，对速度的规定也相对会非常高，速率的规定会很大程度的影响企业业务的运作效率，因此基于IPSecVPN的处理方案，就必须要先处理访问速率的速度，由于商购置更高速率，选择迅速的IPSecVVPN虚拟专用网的都是基于公共的Internet传播数据，而这些数据都是企业的保密数据，是不但愿被无关人员和某些不法分子所获取到的，并且必须保基于IPSecVPN的产品与其他一般的安全产品不相似，由于基于IPSecVPN的作用是处理总企业与分企业内部网络的安全互联互通。对基于IPSecVPN可以提供有效的信息进行对运行状态结合杭州洪铭通信技术有限企业的实际状况，确定基于IPSecVPN联网系统的总体建设目的是：建立安全可靠的VPN虚拟专用网络互连总企业与分企术有限企业和其分企业或者办事处可以实现基于企业内网的多种业务系统，办公系统可以通过公共的Internet作为网络传播平台，并保证可以安全可靠高效的可以实现总企业与分企业或者办事处、移动出差顾客值间，通过公共的Internet安全可靠的互连，分布在不一样地方的分企业可以通过IPSecVPN顺利可以根据顾客的实际需求对数据进行有选择的加密，而不是通过VPN设备的所有数据都会被进行加密，像正常的上网流量与企业中某些特殊协议端口的数据可以不加密。此外还要保证目前正在使用的某些网络应用，在基于IPSec通过建设基于IPSecVPN的网络后，可以有效的处理企业内部网络业务系统数据传播过程中的安全性：包括保密性、完整性和不可抵赖性。IPSecVPN设备必须严格遵国际原则加密算法进行密钥传播和加密，可以保证企业的内部只可以对服务器的部分开放资源进行访问和修改，不能对某些企业内部重要数据进行查看和修改，例如企业内部的财务系统只有财务部的员工可以登录查看IPSecVPN设备的系统性能必须稳定可靠，平均无端障工作时间必须到达99.9999%,为企业内部网络业务系统长期可靠运行提供强有力的保证，并且通密速率较快，对数据流量的延迟低，不仅能满足目前业务系统数据流量的需VPN系统价格廉价，并且基于一般宽带线路，接入费用低廉，因此本方案宁波办事处绍兴分公司温州办事处//家电测图7-2杭州洪铭通信技术有限企业，经此方案设计后拓扑如错误!未找到引用源。所示。如上图所示，在本方案中拟在杭州洪铭通信技术有限企业杭州总企业原网络架构的基础上，总企业在关键路由器上新增两台IPSecVPN设备进行堆叠并且IPSecVPN设备使用透传二层模式。考虑到安全性，可靠性，数据流量较大不影响目前数据加密后的传播延迟的原则，决定在原有基础上采购设备来完毕在杭州洪铭通信技术有限企业分企业与办事处，考虑到设备都比较陈旧和共采购4台IPSecVPN设备，同样合用透传二层模式布署在网络出口处，使用1)实现各地分企业或者办事处或者外出出差人员通过公共的Internet远程接入2)杭州总企业布署“双机堆叠”,可以提高性能，还可以提供热备自动接管3)在外出出差人员接入时，只需要使用通过管理员授权的账户名和密码的方式，运行Windows自带的VPN客户端软件就可以与总企业的IPSecVPN设4)需要提高安全性，还可以使用双网隔离功能，让外出出差人员接入在与总5)IPSecVPN设备可以接入顾客分级，提成不一样级别和组别。分组分级后的6)IPSecVPN设备应当具有优良的Qos能力，可认为杭州洪铭通信技术有限企业的关键应用保留带宽。在网络拥挤时，也可以很好的保证关键业务的畅考虑到杭州洪铭通信技术有限企业的业务现实状况和未来企业的发展，因此，对于IPSecVPN设备的性能规定相对较高。本次方案，提议采用H3CVPN硬件设备，具有高性能、高稳定性等特点。四核四线程处理器，使设备的处理能力得到了极大的提高，并且其具有很好的可编程性，让设备在此后新的国际原则公布后可以很快的进行响应和适应，可以很好的满足顾客此后的业务生成需求。此款设备在系统架构的设计上把安全加密处理运用硬件进行加速处在加密速度上，此款设备可以到达每秒处理加密数据500Mbps,支持最大并发连接数也可以到达300万，可以建立的最大VPN隧道数也可以到达5万个。在网络吞吐量方面，也毫不逊色可以到达15Gbps每秒。接口方面，此款设备配有8个千兆以太网RJ-45接口，8个多模单模光纤模块接口，根据顾客需求配置模块。设备也仅仅只占用2U的原则机架空间，设备采用冗余电源配置，原则220V电源，功率也只有1500W。序号品名规格型号单位数量1设备1.配置冗余电源2.配置千兆以太网电口8个，千兆以太网光口83.支持设备堆叠功能4.互换容量280Gbps,包转发率144Mpps5.配置内存4GB7.原厂三年售后服务6台中国在设备购置到货后30天内进行实行，60天内完毕所有设备的安装调试及系统集成。本次方案将为杭州洪铭通信技术有限企业提供设备安装调试服务。安装计划将根据详细的现场调查成果作出。该计划包括：设备采购、安装调试、系统集成、试运行、测试、调优、系统管理培训、系统运行维护培训等内容。设备到货后，将抵达指定地点进行安装，并保证可以按照安装计划准时按项目协调工作与否可以做好是关系本项目能否按期成功完毕的关键，我进也许发生问题应急预案重要设备硬件故障提供备品备件，故障设备送厂商保修，走换货流程重要设备软件故障重要线路故障启用备份线路(如有),告知运行商排障，直至恢复出现技术难题无法处理提请厂商技术专家支援预期无法准时完毕任务提请厂商支援，加派人员运送过程中设备丢失重新定货，提供顶用设备根据招标规定，为保证项目进度，将项目实行进度计划按照如下工作程序和采购方进行积极沟通，对本项目系统的系统建设计划、目的任务书和测试验收方案进行深入沟通，明确所有技术细节和实行环节，深入完善设计，并交付采购方确认。之后确认设备配置清单，为签定协议和设备采购作准备；最终确定更详细的实行计划，包括设备定货、工程实行进度、项目要点、项目质量控制、项目例会和协调等内容。明确项目各方的责任和义务，进行任务分工，制定详细的项目实行计划，制定有关的纪律和制度，以保证项目的顺利进为保证工程进度，在和设备厂商充足沟通的前提下，所有设备、产品将可以在协议签订后30天内交到指定工程地点。在系统设备、产品到货后，根据设备清单，进行设备到货验收，进行开箱、加电检测。对到货设备逐一进行清点及检查，对设备安装现场状况进行调查，如线路到位状况、物理安装位置、电源、接地、防雷、防尘等机房条件，为保证整个项目的实行工期和质量，将严格按照实行方案进行项目实行。联合测试过程中，设备及网络出现问题，将会同厂商负责进行对问题进行整改，并提交整改汇报，再进入联合测试过程，直到系统联合测试完毕。系统系统实行后将对整个系统，包括各个方面进行全面测试，验证系统与否到对有关人员进行技术培训是工程成功的重要原因，是整个项目能否顺利实行的重要保证。针对本次项目，对网络系统的各个技术方面，为有关人员提供在通过初验，设备正常运行后，由采购方组织系统终验。在验收工作中，由各方代表共同构成项目验收组，按协议和设计目的对整个系统的运行状况进序号设备名称设备地点产品序列号编码1V234绍兴分企业5宁波办事处6温州办事处8.6实行IP地址规划设备名称本端Tunnel对端Tunnel8.7设备安装配置XX新建连接-超级终满断开自动检测自动检则SCROLL|CAPSNUM捕“确定”传送(T)帮助(H)连接到连接时使用):取消图8-2D?图8-4口还原为默认值)自动检测自动检测捕打印图8-3回回1)总企业IPSecVPN设备1配置#将绑定设备的逻辑堆叠口1和物理堆叠口1,同步启动堆叠功能#配置IRF组员编号为1#配置堆叠中本设备的优先级为1002)总企业IPSecVPN设备2配置#将绑定设备的逻辑堆叠口1和物理堆叠口1,同步启动堆叠功能#配置IRF组员编号为2#配置堆叠中本设备的优先级为50[hz-IPSec2]displayirfconfig8.7.3总企业IPSecVPN设备GREoverIPSec1)总企业设备1连接绍兴分企业配置#进入隧道0接口[hz-IPSec1-Tunnel0]ipaddres#配置隧道0接口#配置隧道0接口#配置隧道0接口[hz-IPSec1-IPSec-proposal-tr[hz-IPSec1-IPSec-proposal-tran1]transf#创立一种IKE对等体sx,并进入IKE对等体sx视图#配置IKE第一阶段模式为主模式#启动Nat穿越功能[hz-IPSec1-IPSec-policy-isa#选择名为hztoall的安全提议#选择名为hztoall的安全提议2)总企业设备1连接宁波办事处配置#进入隧道1接口#配置隧道1#配置隧道1#配置隧道1#创立一种IKE对等体nb,并进入IKE对等体nb视图[hz-IPSecl-ike-peer-nb]ex#启动Nat穿越功能[hz-IPSec1-IPSec-policy-isa#选择名为hztoall的安全提议#选择名为hztoall的安全提议[hz-IPSec1-IPSec-policy-i#选择名为nb的IKE邻居3)总企业设备2连接金华分企业配置#进入隧道2接口#配置隧道2#配置隧道2#配置隧道2[hz-IPSec2-IPSec-proposal-tran1]encapsulatio[hz-IPSec2-IPSec-proposal-tr[hz-IPSec2]ikepeerjh#创立一种IKE对等体jh,并进入IKE对等体jh视图#配置IKE第一阶段模式为主模式#启动Nat穿越功能[hz-IPSec2-IPSec-policy-isa[hz-IPSec2-IPSec-policy-isakmp-map1-10]ike-p#选择名为jh的IKE邻居4)总企业设备2连接温州办事处配置#进入隧道3接口#创立一种IKE对等体wz,并进入IKE对等体wz视图[hz-IPSec2-ike-peer-wz]pre-#配置预共享密钥为hzwz[hz-IPSec2-ike-peer-w#配置IKE第一阶段模式为主模式#启动Nat穿越功能[hz-IPSec2-IPSec-policy-isa#选择名为hztoall的安全提议#选择名为hztoall的安全提议[hz-IPSec2-IPSec-policy-isakmp-map11)总企业IPSVPN设备1配置[hz-IPSec1-12tp1]tunne#创立一种IKE对等体chuchai,并进入IKE对等体chuchai视图[hz-IPSec1-ike-peer-c[hz-IPSec1-ike-peer-chuchai]#配置IKE第一阶段模式为野蛮模式[hz-IPSec1-IPSec-policy-isakmp-map1-#选择名为hztochuchai的安全提议[hz-IPSec1-IPSec-polic[hz-IPSec1-GigabitE#应用方略hztochuchai1到接口千兆以太网0/0/1总企业IPSecVPN设备2配置#创立一种IKE对等体chuchai,并进入IKE[hz-IPSec2-ike-peer-c[hz-IPSec2-ike-peer-chuchai]#配置IKE第一阶段模式为野蛮模式[hz-IPSec2-ike-peer-wz]#启动Nat穿越功能[hz-IPSec2-IPSec-policy-isakmp-m#选择名为hztochuchai的安全提议#选择ACL3100作为安全方略列表[hz-IPSec2-IPSec-polic[hz-IPSec2-GigabitEt#进入隧道0接口[sx-IPSec-Tunnel0]ipadd#创立一种IKE对等体hz,并进入IKE对等体hz视图#配置预共享密钥为sxhz#启动Nat穿越功能[sx-IPSec-IPSec-policy-isakmp-map1-10]propos#选择名为hztoall的安全提议#选择名为sxtohz的安全提议[sx-IPSec-IPSec-policy-isakmp-map1-10#选择名为hz的IKE邻居#应用方略sxtohz到接口千兆以太网0/0/1#进入隧道0接口#创立一种IKE对等体hz,并进入IK