VPN网络平台建设方案建议书.pdf

《VPN网络平台建设方案建议书.pdf》由会员分享，可在线阅读，更多相关《VPN网络平台建设方案建议书.pdf（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、VPN 网络平台建设方案建议书-1-/32-1-/32 XXX 公交公司 VPN 网络平台建设方案建议书 Powered by APN GW TM Architecture 提供商 深圳奥联科技公司 VPN 网络平台建设方案建议书-2-/32-2-/32 目 录 方案简介.-4-目前现状：.-4-实施结果.-4-APN GW 平台实施：.-4-第一章 客户需求及相关技术介绍.-5-客户需求.-5-面临问题分析.-5-相关技术.-6-VPN 技术介绍：.-6-VOIP 技术介绍：.-6-第二章 解决方案.-7-设计思路：.-7-线路选型：.-7-设备选型：.-7-APN GW 方案描述.-8-网

2、络拓朴图.-8-方案说明.-9-其他 VPN 解决方案没有的特点.-9-移动用户.-10-APN GW 产品简介.-10-技术要点.-10-硬件接口.-11-物理规范.-11-加密算法.-11-符合标准.-11-APN GW 的安装设置.-12-APN GW 系列产品性能列表.-12-第三章 与其他产品方案的比较.-15-APNGW 架构的原理.-15-与纯软件 VPN 的比较.-16-与其他支持动态 IP 方案的比较.-17-与传统的点到中心点方案的比较.-18-与传统的固定 IP 地址 VPN 方案的比较.-18-与城域网方案的比较.-19-APNGW 架构的优越性之安全性.-20-APN

3、GW 架构的优越性之可管理性.-20-APNGW 架构的优越性之易扩展性.-20-VPN 网络平台建设方案建议书-3-/32-3-/32 APNGW 架构的优越性之网状连接、即时通讯性.-20-APNGW 架构的优越性之易用性.-21-APNGW 架构的优越性之适应性.-22-第四章 VOIP 运用.-22-APN 专用网实现 VOIP 功能.-22-VOIP 语音服务模式.-24-一般模式：.-24-跳转模式：.-24-VOIP 产品选型：.-25-语音服务标准.-26-第五章 系统的安全性.-26-APN 体系.-26-APN 通讯的安全.-27-密码算法.-27-APN GW 防火墙功能

4、.-28-上网管理.-28-符合标准.-29-第六章 报价及工程实施.-30-方案报价.-30-附录：APN GW部分客户名单.-31-(APN GW TM是公司注册商标。Microsoft、Windows及 Windows NT均为 Microsoft Corporation 之注册商标。)本公司对本建议书的内容保留未通知贵公司情况下更改的权利。其版权归山西雄龙科技有限公司所有。未经本公司书面许可，本手册的任何部分不得以任何形式手段复制或传播给贵公司以外的第三方。VPN 网络平台建设方案建议书-4-/32-4-/32 方案简介 目前现状：XX 市公交公司主要是经营太原市内的公交业务，现总部设

5、在太原双塔西街，目前情况如下：在 XX 地区设立 20 多个公交站等分支机构，已通过自己独立建设的局域网联接到了互联网；总部使用了网通的 2M 光纤链路，现总部中心点局域网有 120 台左右 PC，支机构分别使用了ADSL或者其他宽带上网方式，各分支机构局域网 PC 分别为 1-20 台 PC 不等；总部构架了一台公交办公网络服务器，利用 2 兆光纤连接到了公网上，各分支通过公网访问内部办公系统。总部通过 ISDN 线路构架了公交 IC 卡售票系统专网。实施结果 本方案主要是使用 APN GW 设备建立集团公司整体的网络安全架构平台，能够为太原市公交公司带来以下优势和好处：设备采用高稳定性的嵌

6、入式系统硬件架构，运行稳定可靠，安装设置简单，减少维护成本。充分利用现有的网络资源，无需另外投入线路费用。APN 设备建立后每地可以节省一台 pc 代理服务器出来。同时避免了 PC 服务器夜间关机问题，满足全天 24 小时不间断办公的需求。设备采用 5 种加密算法、4 种数据完整性算法、5 种身份认证算法保证数据在互联网上传输的安全性，防止核心的财务资料、产品资料等数据被窃取，减少企业不必要的损失。基于 LAN-TO-LAN 的 VPN 隧道架构，任何 B/S 和 C/S 结构的软件都可以安全高效的运行，对软件只要使用 TCP/IP 协议就可以使用，对软件的兼容性强。可以随时在现在的架构平台上

7、增加 VOIP 和视频会议设备，扩展性强，降低企业运营成本。集成高性能防火墙，方便企业管理内部网络和外网访问权限。方便的和上游和下游合作伙伴建立安全访问隧道安全传输相关数据，提高整体管理效力。APN GW 平台实施：总部 线路采用专线上网 设备APN GW2500 分支机构 线路采用拨号或 ADSL 上网 设备APN GW2000（10 台 PC 以上）线路采用拨号或 ADSL 上网 设备APN GW100（10 台 PC 以下）注：小的站点（仅一两台 PC）或者老总出差可以使用我们的软件移动客户端，但只有APN GW2000 以上的设备支持移动客户端（即只有 2000 以上的设备可以跟移动客

8、户端建立隧道）通过实施以上平台，整个太原市公交公司的数据安全性能够得到很好的保护，而且可以在平台上综合运用公交物资管理系统、内部邮件系统、VOIP 免费电话系统、视频会议系统等，每月只是产生线路费用，由于分支机构已使用了费用低廉、带宽高的 ADSL 等宽带线路，线路费用上无需投入。很好的节约了整个平台的实施费用。VPN 网络平台建设方案建议书-5-/32-5-/32 第一章 客户需求及相关技术介绍【关键词】VPN 技术 客户需求 现状：公司在各区都有分支、仓库。具体需要连接如下：1 各分支目前没有和总部建立数据专网传输的连接，总公司网通2M 专线连接到互联网。2 各区的分支和办事处目前已接入互

9、联网，通过公网访问公交办公网，服务器和数据的安全性存在很大的隐患。3 如果实施公交物资等管理系统，安目前的连接无法实现。要求：在性能和安全满足的条件下，采用较低的成本能完成以下功能：建立较完善的公交公司业务管理网络体系。在现有公司总部及分支站点、营运中心、仓储的局域网基础上，采用先进的 VPN 技术实现各分支机构的网络互联。与此同时，总部和分支机构在统一管理的基础上可以方便的连接 Internet，各部门或分之机构可以根据相应的权限访问、查询 Internet 资源。在这个内部的 Intranet 结构中，各部门和集团总部可以随时相连处理业务，运行内部办公系统、物质管理系统、财务、内部邮件系统

10、等。在整个公司网络建立起来的情况下，增加 VOIP 语音网关设备，实现总公司和分支机构、各个分支机构之间的内部免费电话网络，使公司的电话费降到最低。建议：在 VPN 网络平台的基础上实现视频会议系统，各分支结构采用软视频的方式（具体技术方案见视频会议系统技术方案）面临问题分析 如果采用传统的做法，可以使用专用线路，例如 DDN/X.25/FrameRealy 等。还有其他方法就是采用无线联网技术，例如卫星、微波通讯等。采用专用线路，会投入大量的设备和支付每月昂贵的租用费。而且这些设备维护比较困难，需要专业人士和相关的网络技术；而且对于整个公司的发展来说，部分分店由于规模、地理位置的原因，也不可

11、能每个地方都采用专线连接；如果采用专线方式，总部需要安装多套线路，这在管理、维护方面就会带来更大的不便，而且成本也会大幅提高；同时，对于许多地方，也是无法安装专线。而且随着分点的增加，总部的管理越来越困难，也不太符合实际情况。采用微波通讯，速度快，但受限制与地域条件。微波是高频传输，所以穿透力弱，对于非可视的两点或多点来说，比较难以实现连接，如果采用微波机站的方法，成本就会非常昂贵；而且还有一个比较大的缺点在于：目前许多基于微波通讯的技术例如 802.11B 无线局域网技术，其网桥只能是工作在数据链接层VPN 网络平台建设方案建议书-6-/32-6-/32 的设备，这在多点通讯是，就需要一个中

12、心点，无法实现其他各点各自的路由。这将加大中心点的负担。所以，我们提出采用 VPN 技术来实现互联互通，资源共享。同时推荐我们的 APNGW 系列产品来实现本案例。相关技术 本方案设计中采用了 VPN 技术和涉及到 VOIP 语音技术，现分别作介绍。VPN 技术介绍：虚拟私有网络 VPN(Virtual Private Network)出现于 Internet 盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的 VPN 有两层含义：它是虚拟的

13、网，即没有固定的物理连接，网路只有用户需要时才建立；它是利用公众网络设施构成的专用网。VPN 实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN 可以为企业和服务提供商带来以下益处：公司能利用无处不在的 Internet 通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；对于企业，基于拨号 VPN 的 Extranet 能加强与用户、商业伙伴和供应商的联系；电话公司通过开展拨号 VPN 服务可以减轻终端阻塞；通过 Extranet 分层和相关竞争服务，ISP 也可以提供不同的拨号 VPN。VPN 兼备了公众网和专用网的许多特点，将公众网可靠的

14、性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。VPN 能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。有专家认为，VPN 将是本世纪末发展速度最快的业务之一。VOIP 技术介绍：VOIP 全称 voice-over-internet-protocal,Internet 电话技术是目前 Internet 应用领域的一个热门话题。它主要指在 Internet 中实时传送声音，从广义上讲，它包括在 Internet 中实时传送多媒体信息。基于因特网的实时语音通信，是目前 Int

15、ernet 技术应用的一个重大发展方向，通过 IP 网络，传送商业质量的话音/传真。其特点在于其软硬件均经过精心设计和开发，可以通过任何 IP 网络提供无缝的话音/传真集成。对于公众业务，和传统的 PSTN 相比，IP 电话有以下优点:能够更加高效地利用网络资源，由于 IP 电话采用的是分组交换技术，可以实现信道的统计复用，并且采用了高效的语音压缩技术，使网络资源的利用效率更高，大大降低了运营商的成本。可以提供更为廉价的服务 对于企业用户来说，通过 IP 网关传送长途电话/传真，同样具有重要的意义:节省长途电话费用，用 IP 网络完成所有话音/传真的传送，能极大地降低了公司内部跨地域、跨国界的

16、电话/传真成本。减少设备投资 VPN 网络平台建设方案建议书-7-/32-7-/32 公司可以在原来只能传送数据的网络上获得增值的话音服务，而无需再另外租用或者购买单独用于话音的设备和线路。由于所有内部通信（话音、数据、传真）都通过同一网络传送，企业可以大大降低购买和维护设备的费用。第二章 解决方案【关键词】APN GW 设计思路：1 采用 APN GW 产品，通过 VPN 技术把各分支机构和总部连接起来，组建基于 TCP/IP 的虚拟专用网络；2 组建网络之后可以直接运行任何基于 TCP/IP 的软件，包括 KINGDEE 的 ERP、财务等软件。3 利用 VOIP 语音网关可以实现总部和分

17、支机构、分支机构之间进行免费内部电话运用。4 组建网络之后可以在 VPN 网络平台上实现视频会议，远程培训等。线路选型：推荐使用 ADSL 作为连接的主要方式，其连接速度快，包月价格也相对便宜。针对客户现有情况，我们推荐的方案主要有两种：总部线路网通2M 专线 分支机构线路目前上网方式主要集中在ADSL 和宽带，根据调查显示各分公司一般是在市内，上网线路资源比较有优势，依据目前国内网络建设的现状和未来的发展情况，推荐采用以下上网方式：已经使用 ADSL 的分公司上网方式不变，可以继续使用。没有使用上网线路的分公司可以申请 ADSL 线路或宽带线路。已经使用宽带上网的分公司，请确认 IP 地址的

18、合法性，如果是私有 IP 地址，可以找运营商要一个合法的互联网 IP 地址，不一定需要静态 IP 地址，动态的 IP 地址也可以，如果不行可以考虑申请 ADSL 线路。设备选型：总部设备：建议采用 APN GW2500,它代有专业的 FIREWALL 防火墙和 DMZ 管理，隧道传输经过 3DES 高安全性的加密算法，同时配有完整的路由策略、完整的日志功能。分点设备：建议采用 APN GW2000 设备，基于 IPSEC 构建的高安全性加密算法，同时配备备选的 5 种加密算法可供选择，还有 3 种保证数据安全性的加密算法选择，配备基于 IP TABLE 的包过滤VPN 网络平台建设方案建议书-

19、8-/32-8-/32 和状态检测防火墙，完整的日志功能和路由安全策略，WEB 页面配置（如果分支机构 LAN 里 PC 少于 10台，建议使用 APN GW 100，该设备不支持移动客户端）APN GW 方案描述 公司在全市有多个办事处。以后可以很方便的扩展到其他各地；没有地域的限制 1.在其他异地办公室分别放置一台 APN GW 2000/100，建议都使用 ADSL 或有合法 IP 地址的宽带上网。总部建议采用 APN GW 2500 进行对联；2.在每点安装 APN GW 产品之后，当地的局域网可以用它作为代理服务器上网；3.每点与其它点的通讯速度取决于其中一个点连接 internet

20、 的速度的最低上行速度。4.任何两点之间可以自由通讯，其连接无需转发。连接是网状的，需要星状结构可以通过 APN GW5000 设备进行转换。5.可以定义其他分点的连接情况，可以形成任意网络状况的连接。6.所有的管理都是基于 APN GW 5000，非常智能和高效；7.选择电话费用较高的办事处加装 VOIP 语音网关设备，可以实现加密情况下的电话通讯，同时可以实现集团公司分点之间的无话费的运用，最大程度降低企业运营成本。8.通过在 VPN 网络平台上搭建的视频会议系统可以实现远程培训；再加上 IP 摄像头可以实现远程音、视频监控；同时只要使用相应的安全数据监控采集系统，便可以在 VPN 隧道内

21、进行安全的传输；网络拓朴图 以下是本方案的网络拓朴图：VPN 网络平台建设方案建议书-9-/32-9-/32 图 1 方案拓扑图 方案说明 1.总部采用 1 台 GW2500；2.各分部采用 GW2000/100（十台 PC 以上的分公司用 2000）3.整个过程中，现在的系统在硬件和网络上几乎无需改动；4.在这个网络基础上，可以直接运行 VOIP，视频会议和任何基于 TCP/IP 的应用程序；5.各点基于 IPSec 建立 VPN 通道，传输经过 AES/3DES 等多种加密算法（可以自由选择）；同时采用 MD5/RSA2048 算法；其他 VPN 解决方案没有的特点 1.可扩展性：假如在安

22、装了 18 个点之后，以后如果扩展，只需要在新加的点里设置即可。对前面的 APNGW 不需要做任何的设置（注意：如果采用其他产品，一般需要对其他点都有一一设置），直接可以使用；2.可管理性：可选 APNGW 管理模块，定制 APNGW 节点之间的路由逻辑关系，例如可以设定 A与 B 连接，与 C 又不可连接，而 B 与 C 又可以连接；3.支持动态 IP 地址的网状的网络连接：基于 APNGW 架构建立的 VPN 网络，任意点之间是可以直接通讯，没有中心瓶颈的限制；这也是其他产品没有的特点；4.能与现在有的任何网络无缝接入：如果部分节点已经有了 DDN、FRAMERELAY 或其他 VPN 隧

23、VPN 网络平台建设方案建议书-10-/32-10-/32 道，APNGW 可以无缝的接入到现在的网络之中；5.易用性：APNGW 产品安装、维护十分简单。一般有一点 TCP/IP 基础的技术人员，在几分钟内可以学会设置和安装。而且产品基于嵌入式设计，几乎无需维护；移动用户 可以采用我们的 client 软件，通过笔记本电脑直接联入公司网络。我们可提供开放的接口，可以让其无缝的连接到 VPN 体系中。具体应用：总部、分部都采用 APNGW 系列产品组建 VPN 网络。单机和移动用户可以采用移动客户端通过 PPTP 协议接入到 APN 系统中。APN GW 产品简介 为了实现现在线路的连接，我们

24、提出的解决方案中利用我们的 APN GW 产品。它最大的特点就是费用低，稳定可靠，无需专线，无需固定 IP 地址。可以支持多种上网方式，如拨号、ISDN、ADSL。产品特征 APN GW 是解决网络安全传输的最高效，最节省的组网技术。APN GW 是专业代理服务器，实现一条线路的共享上网。APN GW 是专业的高效防火墙，可以管理外网、内网、专网。可谓防外又防内。APN GW 能使用动态 IP 接入 Internet 的 LAN 之间进行互联。APN GW 能够实时监控网络内部的一举一动，提供网络监控日志功能。APN GW 能形成网状的网络连接，通讯无中心瓶颈，构建高效的即时通讯平台；以最低成

25、本接入，最低通讯成本提供高性能高可靠性的企业专网的计算机网络技术。APN GW 支持 ADSL ISDN DDN Dial-up 方式，静态/动态 IP 接入。在相同的通讯带宽下，节省80%通讯费用。APN GW 能使普通企事业也能通过 Internet 组建自己的企业专网。使企业所有于局域网上应用的网络应用以最低的成本应用至 Internet 所及的范围。技术要点 协议：TCP/IP 基于 IPSec 国际标准 完善的路由功能 完善的宽带代理服务器。NAT/PAT 地址转换技术保护内部网络。DHCP 服务器 DNS 服务器 设备是一个高性能的防火墙 内置 PPPoE VPN 网络平台建设方案

26、建议书-11-/32-11-/32 Telnet or VT100 终端控制端口命令行 支持 NAT 穿透 硬件接口 Console 接口：系统配置及系统监测，通过 RS-232(9600,8N1)进行通讯 局域网接口：Ethernet Interface,10/100BASE-T 广域网接口：Ethernet Interface 10/100BASE-T)/PPPoE 通讯口接口(用于接 ADSL Cable Modem)广域网接口：RS-232,外置 Dial-up Modem/ISDN TA 物理规范 输入电压：110V230V 功率：最大约 40W(GW1000/2000)使用环境温度

27、：045 使用环境湿度：595%加密算法 数据传输可自由选择 AES/128 位加密算法 3DES/168 位加密算法 SERPENT/128 位加密算法 BLOWFISH/128 位加密算法 TWOFISH/128 位加密算法 国家密码委员会指定的硬件加密卡或第三方算法 保证数据完整可自由选择 MD5-96 SHA1-96 SHA2-256 SHA2-512 身份认证支持 RSA 2048 Pre-share Key 符合标准 RFC2401 Security Architecture for the Internet Protocol VPN 网络平台建设方案建议书-12-/32-12-/

28、32 RFC2411 IP Security Document Roadmap RFC2402 IP Authentication Header RFC2406 IP Encapsulating Security Payload(ESP)RFC2367 PF_KEY Key Management API,Version 2 RFC2407 The Internet IP Security Domain of Interpretation for ISAKMP RFC2408 Internet Security Association and Key Management Protocol(IS

29、AKMP)RFC2409 The Internet Key Exchange(IKE)RFC2412 The OAKLEY Key Determination Protocol RFC2528 Internet X.509 Public Key Infrastructure RFC2085 HMAC-MD5 IP Authentication with Replay Prevention RFC2104 HMAC:Keyed-Hashing for Message Authentication RFC2202 Test Cases for HMAC-MD5 and HMAC-SHA-1 RFC

30、2207 RSVP Extensions for IPSEC Data Flows RFC2403 The Use of HMAC-MD5-96 within ESP and AH RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IV RFC2410 The NULL Encryption Algorithm and Its Use With IPsec RFC2451 The ESP CBC-Mode Cipher Algorit

31、hms RFC2521 ICMP Security Failures Messages APN GW 的安装设置 APN GW 的安装非常简单。只需连接好线路，启动机器，通过232 口和 windows 的超级终端来设置即可。设置参数包括：广域网（类型、用户名、密码）、局域网（IP 地址）。一般功能通过 WEB 页面设置都可以做到，比较方便，详细的配置需要通过配置线缆进行配置。APN GW 系列产品性能列表 产品名称 APN GW100/2000/2500 网站 产品定位 需要最高性能和可靠性的大型组织机构企业/大型网状的连接、从企业级、电信级用户 防火墙 紧密集成/支持分组管理、VPN通道中

32、的用户管理和上网管理等多个模块 产品配置情况 可支持最大连接数 单域1024个、同一系统中无域数目的限制（决定于硬件）标准的5000支持1024以上个域 VPN实现机制 硬件、软件、应用 可提供网络接口 至少2个以太网口，1个console口，1个232口 操作系统平台 基于Linux的自主开发平台 协议 VPN采用协议 IPSec/PPTP/GRE/VPN 网络平台建设方案建议书-13-/32-13-/32 VPN可承载协议 IP IP压缩 支持 NAT（网络地址转换）支持 路由协议支持情况 静态路由、RIP等部分动态路由协议 功能 硬件加速功能 硬件可选 V两侧是否需要独立子网 需要 冗余

33、与恢复 5000支持冗余备份 冗余与恢复对业务的影响 无影响 VPN网关支持流量均衡 支持 安全 安全策略 地址，端口，服务，时间，协议类型 安全机制 加密和认证、标准的IPSec和独创的Licenses认证机制 认证机制 Licenses认证机制、EAP 密匙管理协议 IKE IKE IKE Phase I 模式支持 支持 可分别设置IKE和IPSec特征 支持 IKE认证支持情况 PreShared Key、RSA硬件Key认证 认证算法支持 MD5-96、SHA1-96、SHA2-256、SHA2-512 加密算法支持 AES/128 位 加 密 算 法、3DES/168、SERPENT

34、/128、BLOWFISH/128、TWOFISH/128、硬件加密卡或第三方算法 加密、认证方法不同于IPSec 支持 PKI兼容情况 PKI 自动协商功能 支持 支持Internet访问 支持 日志 支持、可以查看网络用户的使用情况和系统日志 其他 网状连接，通讯无中心瓶颈 客户端 对PPTP的支持情况 支持 远程接入认证方法 Licenses认证本地用户名和口令 客户端软件平台 Windows 2000/XP 客户端支持的协议 IP/IPX 管理 是否集中管理 集中管理 管理平台 集中在5000上 远端管理 Telnet APNGW2000性能指标 硬件配置 CY233/64M RAM/

35、8M Flash 网络接口卡 全双工10/100M自适应 最大支持隧道数目 1024个 加密算法与处理能力 加密算法名称 加密算法处理速度Kb/s NULL 7196.4 VPN 网络平台建设方案建议书-14-/32-14-/32 AES/128/MD5 4404.96 3DES/168/MD5 2774.4 SERPENT/128/MD5 4594.8 BLOWFISH/128/MD5 5080.24 TWOFISH/128/MD5 4933.2 VPN协议 IPSec/PPTP/GRE 隧道支持协议 http/UDP/等透明传输 输入电压 交流110V-240V 最大功率 40w 使用环境

36、温度 045 使用环境湿度 595%平均无故障时间 MTBF=28000小时 电气标准 FCC/CE APNGW2500性能指标 标准配置 C500/64M可扩展512M RAM/32M Flash/1Flash扩展口、1硬件加密卡插槽 网络接口卡 全双工10/100M自适应 最大支持隧道数目 1024个每域 通道明文处理能力 70Mbps 硬件加密卡（低端）33.2Mbps 3DES/MD5处理能力 30.8Mbps blowfish/MD5处理能力 55.8Mbps VPN协议 IPSec/PPTP/GRE 隧道支持协议 http/UDP/等透明传输 输入电压 交流110V-240V 最大

37、功率 100w 使用环境温度 045 使用环境湿度 595%平均无故障时间 MTBF=38000小时 电气标准 FCC/CE APNGW5000性能指标 标准配置 PIII800/64M可扩展512M RAM/32M Flash/支持外挂硬盘 网络接口卡 全双工10/100M自适应 最大支持隧道数目 1024个每域 最大支持虚拟域数目 没有限制 通道明文处理能力 75.5Mbps 硬件加密卡（低端）35.8Mbps 3DES/MD5处理能力 33.8Mbps blowfish/MD5处理能力 60.8Mbps VPN协议 IPSec/PPTP/GRE VPN 网络平台建设方案建议书-15-/3

38、2-15-/32 隧道支持协议 http/UDP/等透明传输 输入电压 交流110V-240V 最大功率 100w 使用环境温度 045 使用环境湿度 595%平均无故障时间 MTBF=40000小时 电气标准 FCC/CE 第三章 与其他产品方案的比较【关键词】VDN IPSec APNGW 架构的原理 在浩如烟海的因特网中，任何APN 之间是如何能找到对方的呢？在 Internet 上，不论您在任何地方上网，当您键入一个网址时，您的电脑总是准确的定位到一个地方去。这是由于因特网上有许多 DNS 服务器在为许多域名作解析。根据这个思路的启发，我们设计了 VDN 服务。每个 APN 在因特网上

39、会属于一个虚拟的域，有自己独特的虚拟域名和虚拟主机名。同时，在 Internet 上，我们自己开发出一种机制来解析这些域名，使得在同一个域之间的主机能够相互按照事先预定的规则快速搜索到同域的其他机器。这种服务我们称之为 VDN服务。APN GW 能够获得 VDN 服务而与同域的其他 APN 建立 VPN 通道。需要说明的是，VDN 不同于一般的 DNS 或 DDNS，是我们自己研发的另外一套机制。VDN Server 之间支持多台冗错处理和数据同步。我们有一系列的技术和措施保证如果其中一个 VDN 服务失效时 APN 可以随时切换到其他的 VDN 服务器而不会影响虚拟域策略的获得。只要 APN

40、 缓存中有其中一个服务器有效，它就可以正常工作。根据我们这项技术，我们在浩瀚的因特网中巧妙的建立了一个小小的因特网。而且由于这种机制，同一虚拟域之间一旦建立了联系，各虚拟主机之间可以任意通讯，没有任何中心节点或瓶颈的限制，所以，APN 的连接是网状的。正是因为如此，APN GW 有良好的扩展性。GW5000 是 VDN Server 的一种。它是针对行业用户自己建立 VDN Server 的一种产品。支持用户建VPN 网络平台建设方案建议书-16-/32-16-/32 立单域控制多用户的连接。采用自己建立此项服务，您可以为本公司的APN 建立更快更迅速的连接。图 3 APN GW 系统体系 与

41、纯软件 VPN 的比较 目前有一些纯软件的 VPN 解决方案，例如采用企业的网站作为登录的转换点，用软件的方法来实现VPN。比较项目 某软件产品 APN 说明 原理 www 服务器是公网固定的 IP 地址，提供每点连接后握手服务；整个网络需要一个中心点；分部只能与中心点通讯，分部与分部之间不能通讯；整个网络是星状的，只能连接中心点。VPN服务提供路由策略；没有中心点的限制；整个网络是网状的；通讯效率 只能是与中心点通讯，而且该点还不能做转发，这比其他一些软件的 VPN还要逊色；APN 的连接是网状的，各点之间可以自由通讯，所以可以提供 VOIP、视频会议、文件共享等功能。网状连接是未来分布计算

42、、实时通讯的方向 对操作系统要求 web 服务器端：ASP,JSP,PHP（这将有安全隐患！）中心点：windows 客户端：windows 没有限制 安装维护 需要维护整个软件系统；例如病毒、兼容性等问题；依赖于机器本身的性能，维护上会有比较大的麻烦 是一个硬件系统，嵌入式Linux 设计，几乎无需维护 VPN 网络平台建设方案建议书-17-/32-17-/32 连接公网时，在 Windows 机器上还需安装例如 Modem 驱动、PPPoE 拨号程序。提供软件的机器还需配置双网卡；如果要上网还要装相应的代理上网软件，安装的越多，维护和稳定性更需加困难 一个设备就可以完成。可管理性 从原理上

43、无法实现 节点可定义性 协议 是第二层的协议，所以它只能建立client、server 这样的构架。APN采用的IPSec/GRE/是工作在网络层的协议。也支持PPTP 协议。投入 在每个局域网内需要提供一个电脑作为网关、代理 这能真正的节约成本吗？可扩展 可扩展性差 非常容易扩展 产品 把分成三个软件 APNGW 一切解决。集成防火墙、DHCP 服务、DNS 服务、NAT 代理上网和管理 与其他支持动态 IP 方案的比较 目前在市面上有一些其他的 VPN 产品，采用 DDNS 方式来解决动态 IP 的问题，究其原理，是先在国外的某 DDNS 服务器上注册一个虚拟域名，然后通过 DDNS 的客

44、户端程序来读解该域名为 IP 地址，建立连接的时候以该域名为对象建立连接。目前还没有其他产品类似于我们的 VDN 方式的设计。比较项目 DDNS 解决方式 APN 说明 原理 通过在国外的DDNS 服务器上注册，就象申请免费的电子邮件一样，需填写大量的个人资料后才获得域名 通过 VDN 来实现连接和管理 需要事先注册 DDNS 会是免费的吗？安全 DDNS 的设计是为动态 IP 提供 web服务的，所以部分 DDNS 上面还可以查到已经登记的域名；Client 与DDNS 服务之间通讯是没有加密的：因为 DDNS 的设计的初衷在于“让更多的人都知道”VDN与APN之间的通讯经过3DES随机数的

45、方式，黑客无从下手；VDN 的设计的原则是“安全服务”，高性能的防火墙，隐蔽 IP 地址，ssh管理 管理 由于设计的原理不一样，所以无从管理 可以在 VDN 上配置管理模块，实现对各节点的管理，通讯日志的查看，License 的维护 通讯效率 其实这还是传统的 VPN 方式。网状通讯 扩展性 每增加一点，首先要先去一个网站申请域名，同时还需要对以前的各点进增加的点与原来的同域的点直接通讯，原来的APN不需 VPN 网络平台建设方案建议书-18-/32-18-/32 行配置。进行改动 远程维护 没有控制点 可以从 5000 上远程维护其他各地的点 其他 现在国外的 DDNS 又部分暂时没有收费

46、，而部分是收费的，例如，每月收费$10-$25 不等，需要美金支付。企业可以自建 5000,推荐使用中国电信提供的有偿解析服务。“没有免费的午餐”与传统的点到中心点方案的比较 传统的VPN中，以 Intel 为代表的点到中心点的 Shiva 产品曾经风光一时。起初这种设计思路也是为了节约 IP 资源而设计的。因为 Client 端可以采用动态 IP 的方式连接总部的固定 IP。其实 Windows 2000中已经集成了这样的功能。比较项目 点到中心解决方式 APN 说明 原理 采用直接拨入中心的固定 IP 的方式建立星状的 VPN 与 VDN 获得策略的方式建立网状的 VPN 协议 一般是第二

47、层协议 第三层的协议 二者的比较参考后面的文档 管理 客户端大多是软件方式，功能有限；网关方式需要单独的一个个的管理 可以统一管理 通讯效率 中心点参与任何其他的点的通讯 互联互通，节点通讯与 VDN无关 扩展性 都是到中心点 扩展后可以访问其他节点 隧道 每个 Client都会建立隧道，对中心点的要求带宽和处理能力很高；软件方式需要在每个电脑上都有安装软件，每个电脑都会建立隧道（最大 254）VDN 不参与通讯，而各节点之间是网关型，一个局域网共享一个隧道，支持1024 个隧道 总结 其实是客户端软件的方式 也 支 持 软 件 接 入，支 持windows2000的直接拨入 与传统的固定IP

48、 地址 VPN 方案的比较 其实这是 VPN 的最传统的方式。以 Cisco 为代表的产品都是这样去解决。在欧美发达国家，由于固定 IP 地址的费用比较低，所以这种方式很容易实现，而在亚洲许多国家，IP 地址比较匮乏，从而使得 DDN固定 IP 的费用非常昂贵。客观的说，DDN 的 VPN 无疑是稳定的，虽然配置要求专业人员，也能形成网状的连接。但是从购买设备、安装调试和后期的维护的费用都是巨大的，而且还有每月高昂的通讯费用。设备报价 P/N 型号 规 格 参考价格 数量 VPN 网络平台建设方案建议书-19-/32-19-/32 CISCO 1750-4V 10/100BASE 1 个 VI

49、C、2 个 WIC/VIC、路由器/IOS IP/VOICE SEC 16800.00 SEC17-VPN 防火墙 IPSEC 3DES、内存 12250.00 WIC-1T DDN 广域网模块 3550.00 VIC-2FX 2 端口语音接口卡 3200 闪存 MEM-4MFLSH 2300 内存 MEM-8MDRAM 2200 CAB-V.35MT DDN cable 350.00 DTU 2603 低端，部分地区报价接近 10000 4000 线路安装、检测 参考 1000 每月通讯费用 DDN 128K 每点 5000 元 DDN 384K 每点 6200 元 资费来源：与城域网方案的

50、比较 宽带 IP 城域网是根据业务发展和竞争的需要而建设的城市范围内（可能包括所辖的县区等）的宽带多媒体通信网络，是宽带骨干网络（如中国电信 IP 骨干网络、联通骨干 ATM 网络、网通宽带 IP 网络等）在城市范围内的延伸，并作为本地的公共信息服务平台组成部分，负责承载各种多媒体业务，为用户提供各种接入方式，满足政府部门、企事业单位、个人用户对基于 IP 的各种多媒体业务的需求，因此，宽带 IP城域网必须是可管理和可扩展的电信运营网络。城域网的 VPN 方式，采用当地 ISP 的线路，大多数采用 Cisco 设备和 MPLS VPN 技术。通讯费用也不低。这比较适合于在同一个城市之间通讯而且