解决方案技术建议书.doc

***单位VPN互联解决方案技术建议书2010-5-6目录目录 i1 概述 VPN技术 L2TPVPN技术 IPSecVPN技术 32 **单位VPN需求分析 43 **单位VPN解决方案 **单位VPN互联解决方案组网图 **单位VPN解决方案方案组网说明 VPN接入网关子系统 移动用户VPN客户端子系统 VPN集中管理子系统 114 华为VPN接入解决方案特点 全面的VPN业务支撑能力 领先的VPN性能及高可靠的硬件体系 145 成功案例 奥运城市数据系统VPN项目 电子政务VPN应用案例 16概述随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构、出差员工以及商业合作伙伴逐步增多,如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计工程师亟待解决的问题。VPN技术正是基于此应运而生,能够为此提供全面的解决方案,之上建立廉价、安全、私有的企业VPN网络,包括Site-to-essVPN。上安全传输机密信息,保证信息的完整性、可用性以及保密性。企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择。L2TPVPN技术L2TPVPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。L2TPVPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP访问集中器(essConcentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,essServer),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(workServer),是用于处理L2TP协议服务器端的软件。L2TPVPN服务具有如下几个优点:。,LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用等方案。,可以在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业处(用于付费及审记)。,可以支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。同任何一种技术一样,L2TPVPN也存在着一定的的缺点:L2TP的缺点是封装层次多,在数据包上依次封装了PPP->UDP->IP三层,因而效率较低。将不安全的IP包封装在安全的IP包内,它们用IP包在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的地身份就不再需要,这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。端点用户需要在连接前手工建立加密信道。认证和加密受到限制,没有强加密和认证支持。IPSecVPN技术IPSecVPN技术属于三层隧道VPN技术。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括:网络安全协议:AuthenticationHeader(AH)协议,提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。EncapsulatingSecurityPayload(ESP)协议,通过对数据包的全部数据和加载内容进行全加密,进而提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。与AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。在Ipsec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。大部分的应用案例都采用了ESP或同时使用ESP和AH。密钥管理协议:KeyExchange(IKE)协议,实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等,这些安全参数的总体称之为安全联盟(SA)。验证及加密的算法:认证算法,HMAC-MD5、HMAC-SHA-1;加密算法,DES、3DES。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。IPSec协议是一个应用广泛、开放的VPN安全协议。IPSec适应向IPv6迁移,它提供所有在网络层上的数据保护,进行透明的