水利水电建设集团VPN解决方案.doc

《水利水电建设集团VPN解决方案.doc》由会员分享，可在线阅读，更多相关《水利水电建设集团VPN解决方案.doc（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、水利水电建设集团VPN安全接入解决方案华为3Com技术有限公司2006年11月目 录一、网络数据传输需求分析3二、网络构建可行模式分析4三、VPN相关技术背景介绍5四、水利水电建设集团VPN解决方案10五、方案技术实现12六、华为3COM VPN解决方案模块176.1.VPN备份解决方案176.2.分支机构VPN连接解决方案186.3.移动用户接入解决方案20七、VPN设备配置建议22八、相关案例23一、 网络数据传输需求分析水利水电集团公司基本的网络结构如上图所示：以总公司局域网为核心，通过两条ISP线路接入Internet。各各省分公司网络同样已经接入Internet，随着水利水电集团公司

2、自身业务的不断反展，现在需要建立一张广域网络将各各省分公司的局域网络接入到总公司，以完成OA，项目监理，财务等业务开展，现在需要采用低成本的接入方式，实现广域网络的建设和连接。二、 网络构建可行模式分析构建上面我们描述数据通信模式的网络结构一种可行的方案是专线网络连接的备份链路方式，其基本方式是进行每个层次之间的专线方式的网络连接即可，通过这种方式可以实现的星形结构的全局网络连接，全面满足我们在前面描述的数据流动模式的需求，但是这种方式存在非常大的缺点：专线方式的网络连接需要支付高昂的专线租用费用；另外一种方式是通过拨号的方式，通过利用PSTN/ISDN的模拟电话线路，移动用户主机配置的调制解

3、调器，采用拨号的方式，登录到总公司内部的拨号服务器，实现远程对公司内部资源的访问。这种方式的优点在于比较灵活，PSTN电话线路资源比较容易获得。缺点在于网络连接性能低，不提供QOS保障，无法保证对实时业务的支持，无法满足复杂业务处理的需求；网络数据在PSTN传输，没有任何安全措施，数据在传输过程中存在很大的安全风险；缺少足够的访问控制能力以与日志记录能力，不能满足事后审计需求。而且只能提供单个用户的接入，无法衔接两个独立的网络。随着VPN技术的发展，VPN技术已经成为一种非常成熟的网络连接方式，VPN具有高性价比、强适应能力、具备很强的网络安全特性以与动态的扩展能力等优势，已经被广泛替代专线用

4、来进行广域网络的衔接，下面我们将以VPN模式为核心，提供华为3com全面的VPN解决方案。三、 VPN相关技术背景介绍伴随企业和公司的不断扩张，公司分支机构与客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作与其它咨询活动，这为VPN的应用奠定了广阔市场。VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。VPN有别于传统网络，它并不实际存在，而是利用现有公共

5、网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。VPN技术优势，低成本，通过公用网来建立VPN，就可以节省大量的通信费用。此外，VPN还可使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些工作都可以由ISP负责完成。易扩展，如果用户想扩大VPN的容量和覆盖范围，企业可

6、以与新的ISP签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单，只需通过作适当的设备配置就可。在远端用户、分支机构、合作伙伴与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率。只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN的应用具有很大灵活性。支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需

7、求。L2TP VPN技术：L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输，属于二层隧道技术。L2TP VPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式，在下图中，LAC表示L2TP 访问集中器（L2TP Access Concentrator ），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器NAS（Network Access Server），它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端的软件。 L2TP VP

8、N服务具有如下几个优点：1.灵活的身份验证机制以与高度的安全性。2.L2TP支持内部地址分配，LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用等方案。3.能够实现网络计费的灵活性，可以在LAC和LNS两处同时计费，即ISP处（用于产生账单）与企业处（用于付费与审记）。4.L2TP具有较高的可靠性，可以支持备份LNS，当一个主LNS不可达之后，LAC可以重新与备份LNS建立连接，这样增加了VPN服务的可靠性和容错性。同任何一种技术一样，L2TP VPN也存在着一定的的缺点： L2TP的缺点是封装层次多，在数据包上依次封装了PPP-U

9、DP-IP三层，因而效率较低。将不安全的IP包封装在安全的IP包内，它们用IP包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。 端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。GRE VPN技术：GRE(通用路由协议封装）是由Cisco和Net-smiths等公司于1994年提交给IETF的，标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。GRE规定了如何用一种网络协议去封装另一种网络协议的方法，GRE VPN技术属于三层隧道VPN技术。

10、GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。通过GRE，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互连，或者对公网隐藏企业网的IP地址。GRE只提供了数据包的封装，并没有加密功能来防止网络侦听和攻击，所以在实际环境中无法给用户提供更好的安全性。GRE协议的主要用途有两个：企业内部协议封装和私有地址封装。在国内，由于企业网几乎全部采用的是TCP/IP协议，因此在中国建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该

11、是对内部地址的封装。当运营商向多个用户提供这种方式的VPN业务时会存在地址冲突的可能性。基于GRE的VPN技术具有如下的优点：1.多协议的本地网可以通过单一协议的骨干网实现传输；2.将一些不能连续的子网连接起来，用于组建VPN；3.扩大了网络的工作范围，包括那些路由网关有限的协议。如IPX包最多可以转发16次（即经过16个路由器），而在一个隧道连接中看上去只经过一个路由器。4.与其他厂家设备之间的互通性容易实现；5.对现有IP网络骨干设备基本不做任何修改基于GRE的VPN技术具有如下的缺点：1.不提供数据的加密功能，安全性较差；2.不提供QOS功能, 需另外协议支持；3.对于组建大型VPN较复

12、杂。IPSec VPN技术：IPSec VPN技术属于三层隧道VPN技术。IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括：网络安全协议：Authentication Header（AH）协议，提供数据源认证，无连接的完整性，以与一个可选的抗重放服务。AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。Encapsulating Security Payload（ESP）协议，通过对数据包的全部数据和加载内容进行全加密，进而提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以与抗重放服务。与AH不同的

13、是，ESP认证功能不对IP数据报头中的源和目的以与其它域认证，这为ESP带来了一定的灵活性。在IPsec中，AH和ESP是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。大部分的应用案例都采用了ESP或同时使用ESP和AH。密钥管理协议：Internet Key Exchange （IKE）协议，实现安全协议的自动安全参数协商，可协商的安全参数包括数据加密与鉴别算法、加密与鉴别的密钥、通信的保护模式、密钥的生存周期等，这些安全参数的总体称之为安全联盟（SA）。验证与加密的算法：认证算法，HMAC-MD5、HMAC-SHA-1；加密算法，DES、3DES。IPSec 规定了如何在对等

14、层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。IPSec协议是一个应用广泛、开放的VPN安全协议。IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPSec提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。IPSec工作在网络层，在参加IPSec的设备（如路由器）之间为数据的传输提供保护，主要是对数据的加密和数据收发方的身份认证。 IPsec是主要用于在网络层实现VPN的技术。根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，可采用IPsec技术组建企业VPN。它比较适用于对

15、网络数据保密要求高的用户。IPSec的实现是靠两个IPSec的对端维系的，因此它实际上是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。因此，它的实现是一种与接入网络无关的VPN技术。但这并不等于说它就是与网络服务提供商无关的，我们可以作为网络服务维护者的角度，帮助客户建立并维护VPN网络，使得用户不必投入人力资源去维护一个VPN网络。 IPSec的特点是较为适用于各分支机构之间的互联，对于IP地址要求做较为完善的规划，在一定程度上制约了IPSec的应用范围。针对这个问题，目前华为3Com已经支持野蛮模式，所谓野蛮模式

16、就是通过实现注册的用户名来进行IKE协商，优点避免了解决方案中必须是固定IP地址的困惑，可以是分支上网自动获取IP地址，然后与总部进行协商，极大的增强了IPsec的功能。总之，IPsec三层隧道技术与L2TP二层隧道技术相比，优势在于它的安全性、可扩展性与可靠性。从安全性的角度看，由于L2TP一般终止在用户侧设备上，对用户网的安全与防火墙技术提出十分严峻的挑战；而IPsec技术一般终止在网关上，因此不会对用户网的安全构成威胁。L2TP二层隧道技术对于远程接入的用户认证可以提供很好的保证，一旦用户认证通过就无法对传输数据的安全性保证了。一般地，二层隧道协议和三层隧道协议都是独立使用的，如果合理地

17、将这两层协议结合起来使用，将可能为用户提供更好的安全性（如将L2TP和IPSec协议配合使用）和更佳的性能。四、 水利水电建设集团VPN解决方案华为3Com VPN解决方案通过组合采用L2TP VPN、IPSec VPN以与SSL VPN等多种方式，实现了用低成本，高安全性的VPN连接，可以灵活的构建多种模式的VPN网络，全面适应不同网络数据流动的需求。在总公司部署2台SecPath1000F，分别连接不同运营商的Internet专线，实现总公司接入网关的互备和负载分担，同时还可以实现对通过不同运营商线路上联的分支机构的最优接入；SecPath1000F还兼做总公司的出口防火墙。在每个分公司部

18、署1台SecPath100F-E，连接运营商的Internet专线，通过与总公司SecPath1000F之间建立IPsec VPN隧道，实现分支机构的广域网接入，完成业务数据、语音/.视频，OA等数据的VPN线路承载；SecPath100F-E还可兼做分公司出口防火墙，如果分公司内部已经有了防火墙，VPN的部署位置可以放置在防火墙之后进行双臂串行部署，如果分配VPN设备的IP地址为内网地址，这个时候需要VPN设备使用IPSec协议通过防火墙做NAT穿越。对于移动办公用户，采用SecPoint VPN客户端软件和SecKey硬件认证方式，实现对内部网络的访问。作为VPN互联方案非常重要的一部分，

19、还需要在总公司部署VPN Manager管理系统和BIMS（分支节点设备配置管理系统）。VPN Manager实现设备管理、拓扑管理、VPN监控、VPN引导部署、连接监控以与网络管理等功能，BIMS完成设备配置文件管理、配置文件自动更新以与VRP版本管理等功能。五、 方案技术实现VPN接入网关子系统：VPN接入网关子系统是整个VPN接入的中心组件，由专用的VPN接入网关设备实现IPSec VPN接入，完成整个移动用户的汇接。华为3Com推出了全系列的专用VPN网关设备，具有非常高的性能特性以与丰富的功能特性。Quidway SecPath系列VPN安全网关是华为3Com公司面向企业用户开发的新

20、一代专业安全网关设备；支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、MPLS VPN、SSL VPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。VPN管理子系统：VPN管理子系统由两个组件组成：华为3Com VPN

21、 Manager系统以与华为3Com BIMS分支智能管理系统。华为3Com VPN Manager系统：以用户实际配置任务为驱动，提供IPSec VPN业务配置向导，指导用户进行IPSec VPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，而无需进行过多配置与软件使用学习。为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以与配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络域的

22、配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备的特殊配置。利用 QuidView 提供的解决方案可以轻易实现对于VPN网络的信息监视。QuidView NMF框架可以打开IPSec VPN的全网拓扑图，可以在IPSec VPN视图中直观显示全网设备与设备的运行状态。QuidView VMM组件可以有效监视 IPSec 设备的运行性能，提供丰富的性能管理功能。包括支持对IPSec VPN网关CPU利用率等关键指标的监视；支持对IPSec、IKE隧道的监视； 支持对协商过程的监视；并提供折线图、直方图、饼图等多种显示方式直观的把VPN性

23、能数据显示给用户；支持At a Glance、TopN功能，使用户能够对CPU利用率、流量等关键指标一目了然；提供报表导出和基于历史数据的分析，为用户网络扩容、与早发现网络隐患提供保障；支持对用户关心的性能参数设定阈值，当超过设定的阈值后，系统将会发送性能告警，使网络管理人员与时发现和消除网络中的隐患。BIMS分支节点设备配置管理系统：实现从网络管理中心来集中对网络设备的管理，如配置文件下发、设备软件升级等。传统网管主要通过SNMP、Telnet等协议来实现对网络设备的管理，这要求网管侧知道被管设备的IP地址，并且可以主动向设备发起请求并建立连接。如果设备的IP地址不固定，就增加了主动管理的难

24、度；如果设备位于NAT网关后面，基本上没有什么有效的管理手段。BIMS（Branch Intelligent Management System）就是要解决上述问题，实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控和管理，尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时，BIMS会极大提高管理的效率，大大节约管理成本。BIMS采用一种被动的方式对设备进行管理，即网管作为Server，设备作为Client，依靠设备周期性的主动访问网管来实现对设备的管理。因为连接是由设备主动发起的，所以设备IP地址变化不会对连接的建立产生阻碍，即便设备位于私网

25、内，也可穿透NAT建立连接。网管通过一个固定的、全网唯一的ID来识别设备，而不再依赖于设备的IP地址，所以设备拥有公网或私网IP地址或IP地址经常变化都不会影响网管对设备的识别。BIMS网管侧与设备侧之间通过HTTP协议进行通讯，采用HTTP进行通信的优势在于其可方便的穿透防火墙，而且协议简单、易扩展。同时，为了保证通讯安全，BIMS对传输的消息数据进行加密处理。BIMS管理解决方案分两部分，分支网点设备侧和管理中心侧，分支网点设备包括华为SecPath10/100系列安全网关、3Com AR系列接入路由器等，管理中心侧由Quidview BIMS管理组件实现。设备侧和管理中心侧采用http协

26、议进行通信，BIMS管理中心侧作为http Server，设备侧作为http Client，设备通过定期访问管理中心侧来实现相互通信并完成设备的管理。设备和管理中心采用http协议进行通信的优势在于其可穿透绝大多数的防火墙，而且协议简单、易扩展。设备主动访问BIMS管理中心时，上报设备当前的配置文件、设备软件的特征信息，由BIMS管理中心来判断是否需要对设备进行更新，更新规则体现了该解决方案的智能性和易于管理的特点。移动终端子系统：华为3Com具有专用成熟的IPSec客户端软件Quidway SecPoint，SecPoint VPN客户端软件是华为3Com公司自行设计开发的应用在PC上的VP

27、N客户端软件。通过安装本软件，可以使PC机通过多种方式与华为3Com公司的网络设备（如SecPath系列安全网关与路由器设备等）进行VPN互联，并最终实现远端PC能够安全、快捷地通过Internet访问相应企业总部VPN的目的；SecPoint提供了L2TP客户端功能，只要远端用户能够通过某种方式如拨号、ADSL和小区宽带等接入到Internet，就可以和总部的VPN网关之间建立L2TP隧道，访问公司企业内部网（Intranet）上的相关资源。SecPoint VPN客户端软件提供了强大的安全策略，包括IPSec、IKE和NAT穿越等，大大强化了VPN系统的安全性。IPSec使特定的通信方之间

28、在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。SecPoint VPN客户端软件支持与Quidway SecKey认证方式结合，通过USB Key的方式存储用户的密钥或数字证书、SecPoint VPN客户端配置信息等，加强身份认证的安全强度，减少SecPoint用户身份信息被盗用的风险，同时减少SecPoint的配置管理工作，最终可以帮助企业实现优化大规模移动VPN用户接入的部署工作。SecPoint VPN客户端软件支持与路由器的握手机制、备份LNS服务器，支持VPN隧道的多种认证方式，可以配合RSA SecurID实现一分钟一密的高安全性

29、认证。SecPoint VPN客户端软件操作简单，界面友好，支持多个配置。支持配置文件的导入导出，极大地方便了用户的管理。华为3Com公司坚持以客户需求为导向，新推出的基于智能卡安全技术的Quidway SecKey 产品，可以为SecPoint用户提供身份认证信息的安全存储、基于硬件的双因素用户认证、客户端配置“即插即用”以与license管理等功能。SecKey可以减少SecPoint用户身份信息被盗用的风险，使用双因素方式提高用户身份验证安全性，同时通过减少SecPoint的配置管理工作来提高用户的工作效率，最终可以帮助企业实现优化大规模远程访问VPN用户的部署工作，经济有效地管理用户的

30、移动能力和安全策略，减少企业的IT运营成本。SecKey中所有数据存储在智能卡芯片中，读写由COS控制，只能根据PIN码权限进行相应访问；每个SecKey最多只支持一个进程访问，只要关闭对SecKey的访问进程，所有权限即复位到初始状态，以上技术手段可以使SecKey自身安全性得到最好保证。用户可以将数字证书或者用户名/密码保存到SecKey中来确保这些信息的安全，解决了身份认证信息安全存储中的薄弱环节存储介质安全性的问题。使用SecKey可以保障数字证书无法被复制，所有密钥运算由SecKey实现，用户密钥不在计算机内存出现也不在网络中传播，只有SecKey的持有人才能够对数字证书进行操作，安

31、全性有了保障。SecKey内部使用了运算能力强大的专用芯片，使得计算非常耗时的RSA 运算可以在芯片的内部实现。这也就是意味着，私钥从生成的时候开始就一直保存在SecKey内部，即使是私钥的所有者也没有权限读取私钥的内容。同时由于SecKey专用芯片所使用的安全封装技术，使得从SecKey中强行获取用户私钥的信息的尝试变得不可能。六、 华为3Com VPN解决方案模块6.1. VPN备份解决方案VPN备份解决方案部署模式如下图所示：l 部署模式： VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台或两台双机热备的专用VPN网关，在分支机构Internet边界防火墙后面

32、配置一台专用VPN网关，由此两端的VPN网关建立IPSec VPN隧道并承载在GRE通道上；在两端的网络设备上启动OSPF动态路由协议，通过OSPF协议识别GRE通道，并把此通道最为备份线路，组合OSPFGRE隧道IPSEC VPN，实现链路自动备份； VPN管理子系统部署：在总部局域网数据中心部署华为3Com QuidView VPN Manager 组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界部署华为3Com QuidView BIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署；l 应用流程： 在所有边界VPN网关完成相关配置以后，两端局域网在

33、正常的情况下，通过专线连接进行相互的访问；如果专线发生故障，通过动态路由协议，自动进行备份线路的切换，两端局域网中用户不会感觉到网络的中断，实现经济有效的线路备份；l 方案特点： 专用VPN网关VPN功能丰富，可以支持IPSec、L2TP、GRE、MPLS等多种模式VPN，而且能够集成应用，组合IPSec、GRE、OSPF支持路由动态选路，充分满足将来系统扩展的需求； 强大的VPN处理性能，高端专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量，百兆专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量； 提供图形化界面

34、的VPN管理工具VPN Manager以与自动部署系统BIMS分支智能管理系统，实现VPN可视化的VPN部署管理以与大规模的自动部署能力；6.2. 分支机构VPN连接解决方案华为3Com 分支机构VPN连接解决方案部署模式如下图所示：l 部署模式： VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台或两台双机热备的专用VPN网关，在分支机构Internet边界防火墙后面配置一台专用VPN网关，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输； VPN管理子系统部署：在总部局域网数据中心部署华为3Com QuidView VPN Manager

35、组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界部署华为3Com QuidView BIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署；l 应用流程： 在所有边界VPN网关完成相关配置以后，两端局域网即可以实现透明相互访问，两端局域网中用户不会感觉到VPN网络的存在，非常有效的实现两端局域网的衔接；l 方案特点： 支持华为专利的动态VPN技术，动态VPN是华为3COM VPN网关推出的一项专利技术，可以很好地解决动态IP与NAT穿越的问题，实现动态VPN隧道的建立和撤销，避免星型VPN组网的性能瓶颈，同时简化配置和部署过程； 强大的VPN处理性能，高端

36、专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下350Mbps以上的加密吞吐量，百兆专用VPN网关通过专业的硬件加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量； 提供图形化界面的VPN管理工具VPN Manager以与自动部署系统BIMS分支智能管理系统，实现VPN可视化的VPN部署管理以与大规模的自动部署能力； 支持独特的VPE技术：可以有效的衔接企业内部MPLS VPN和外部IPsec VPN，轻松构建全局VPN体系，适应大规模网络VPN部署的需求； 专用VPN网关VPN功能丰富，可以支持IPSec、L2TP、GRE、MPLS等多种模式VPN，充分满足将来系统扩展

37、的需求；6.3. 移动用户接入解决方案华为3Com IPSec VPN移动用户接入解决方案部署模式如下图所示：l 部署模式： 移动终端子系统部署：在需要进行移动办公的用户主机上安装VPN客户端软件SecPoint，并给这些用户发放已经配置好的USB Key存储设备SecKey，用户就可以在保证安全的前提下，即插即用接入总部局域网； VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台或两台双机热备的专用VPN网关，此VPN网关提供移动用户以IPSec VPN的方式接入总部局域网； VPN管理子系统部署：在总部局域网数据中心部署华为3Com QuidView VPN Ma

38、nager 组件，实现对VPN网关的部署管理；l 应用流程： 移动用户端主机安装VPN客户端软件SecPoint，插入经过管理员配置的USB Key存储设备SecKey，系统后台自动进行相关的身份认证、密钥协商以与隧道建立，用户就可以以透明的方式，直接访问总部局域网内部的资源；l 方案特点： 支持多种Internet接入方式：ADSL、宽带、WLAN、GPRS、CDMA等，移动用户通过Internet，不受到接入手段与地理位置的限制，提供最大限度的灵活性； 完善的用户认证机制，可以采用内置用户数据库认证、标准Radius认证以与扩展SecurID ACE/Server等多种认证方式； IPSe

39、c专用客户端软件支持丰富的功能特性，支持L2TP 、IPSec、L2TP+IPSec等多种模式，支持备份LNS服务器； 支持对接入用户进行精细访问控制，可以根据接入用户/用户组，灵活控制其可以访问的网络资源的范围，极大的满足了企业的灵活的安全控制需求。七、 VPN设备配置建议配置内容主要包括： VPN网关设备：SecPath100F-E/1000F VPN客户端：SecPoint介质+Licence 管理部署系统：VPN Manager以与BIMS 其他附件：SecKey八、 相关案例九、 F&Q1. IPSecVPN网关的部署位置，比如是否能够放置在DMZ、内网？贵公司推荐的最佳部署位置在哪里？2. 集团公司总部内网是双核心作负载均衡和冗余，VPN网关将采用两台设备作负载均衡和冗余，如何部署？3. 各个成员企业内网有的是双核心作负载均衡，有的是单核心，但我们都只为其配置一台VPN网关，如何部署？提出具体的方案，并推荐必要的相关设备，比如交换机等。4. 是否支持集中式管理？集中管理平台的报价？5. VPN软客户端的报价，要求全网支持1000个VPN软客户端，可以在全网任意使用，即VPN软客户端可以和全网内的任意一个VPN网关进行连接，不能针对每个VPN网关作License限制。6. 目前所有单位都已经接入了Internt，VPN的部署应该对当前网络拓朴的影响最小。