吉通:VPN解决方案 - 无线网络 - Raplh Meng

(这条文章已经被阅读了 5 次) 时间:2001-10-23 02:31:23 来源:Raplh Meng (raplh) 收藏

  传统的企业专网是通过租用点到点的长途DDN链路组建而成的。不仅建设周期长,投资大,费用高,而且一旦长途链路发生故障,维护起来也很困难,可能会影响整个网络的正常通讯。

  虚拟专网VPN(Virtual Private Network)则很好的解决了上述问题。VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。

吉通VPN接入方案
  当今可以用于实现VPN的技术很多,其中IPsec是主要用于在网络层实现VPN的技术。根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,可采用Ipsec技术组建企业Intranet VPN。此项技术适用于对网络数据保密要求高的用户.

Ipsec技术方案解析
  IPSec是由IETF开发的一个国际标准,是一个开放的安全性的体系结构。

  IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。IPSec工作在网络层,在参加IPSec的设备间(如路由器)为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。

  IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,为目前流行的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构。这有利于数据安全方面的措施进一步发展和标准化。同时,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。

  随着IPSec在网络中的实施,数据在公共网络中传输可以免受Observation观察、Modification修改或Spoofing欺骗。这使得网络层的VPN实现成为可能,包括Intranet、Extranet和远程用户访问。

  简单地说,IPSec在实现数据通信的两端(Peers)提供安全的数据传输隧道(tunnels)。由我们定义哪些数据包应该受到保护,应该被放在安全隧道中传输。通过标识隧道的安全属性,我们可以定义用于保护这些敏感数据的安全参数。

  更精确地说,这些安全的数据传输隧道(tunnels)是建立在两个IPSec对端的一系列安全关联参数(Security Associations,也即SA,这是一个很重要的概念),这些安全关联参数定义了哪些协议和算法可以被应用到敏感数据,IPSec对端应用的密钥等。SA在传输过程中是双向的。

  IPSec的实现是靠两个IPSec的对端维系的,因此它实际上是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。因此,它的实现是一种与接入网络无关的VPN技术。但这并不等于说它就是与网络服务提供商无关的,我们可以作为网络服务维护者的角度,帮助客户建立并维护VPN网络,使得用户不必投入人力资源去维护一个VPN网络。

  IPSec服务的数据选择对象可通过源/目的地址,或第四层协议端口来决定。相同目的地的数据发送可通过第四层的信息来区分,用不同的安全措施进行保护。换言之,我们可以这么认为,流出同一物理端口(多指微波端口)的数据,有的可以受保护,有的可以不受保护而直接访问Internet;而到相同目的地的不同业务,保护方式也可以不同。

  IPSec目前只支持单一目的地的(Unicast)IP数据包,不支持Multicast和Broadcast IP数据包。不过这项限制将来会有解决办法,而且对我们的用户应用基本不会造成影响。

接入范围
  VPN组网主要针对于在国内不同地域设有分支机构的企业级用户,通过本地接入ChinaGBN进行相互通信。由此,ChinaGBN-VPN的接入范围为现有的112个分公司所在地.

接入方式
  根据用户的需求以及吉通ChinaGBN的接入情况,主要接入方式为:

  深圳,上海用户可选用以下两种方式之一:

  ●采用无线微波接入方式,本地接入ChinaGBN。

  ●采用DDN方式本地接入ChinaGBN。

  其它地区:采用无线微波接入方式,分别在本地接入ChinaGBN。

接入速率
  总部: 64K-2M

  公司分部:64K-2M

接入设备
  微波设备

  采用Breezelink无线Moderm或Cylink无线Moderm。

  路由器

  大型用户:

  总部: 选用Cisco7200系列路由器。其性能和端口密度满足业务量较大的用户进行企业内部网互联和接入公共Internet的需求。

  分部:可选用VPN接入路由器。Cisco 1720是专为企业用户安全接入内部网及VPN设计的。适用于分支机构的VPN接入。

  中型用户:

  总部: 选用Cisco 3600系列路由器。其性能和端口密度满足业务量适中的用户进行企业内部网互联和接入公共Internet的需求。

  分部:可选用VPN接入路由器。Cisco 1720是专为企业用户安全接入内部网及VPN设计的。适用于分支机构的VPN接入。

  小型用户:

  总部及分部: 选用Cisco 1720路由器。其性能和端口密度满足小型用户进行企业内部网互联和接入公共Internet的需求。