VPN網建設方案V1

******vpn網建設方案

目錄第一章 ***xxvpn網路建設需求 3

第二章 ****** vpn網路方案建議 4

第四章阿姆瑞特vpn技術 8

第一節虛擬專用網路概述 8

1.1 vpn的產生背景 8

1.2 vpn的定義 9

1.3 vpn的優點 10

第二節阿姆瑞特vpn技術 11

2.1接入技術 11

2.1.1 傳輸模式 11

2.1.2 隧道模式 11

2.2安全技術 13

2.2.1 認證技術 13

2.2.2 加密技術簡介 13

第三節阿姆瑞特vpn的功能 15

3.1明密結合的vpn接入 15

3.2 星形拓撲連線 15

3.3 動態ip的vpn接入 15

3.4 dhcp over ipsec 16

3.5 nat穿越 16

3.6 vpn接入的訪問控制 16

3.7 vpn的頻寬qos保證 16

3.8 vpn內的qos保證 17

3.9 資料機密性保護 17

3.10資料完整性保護 17

3.11保證資料的不可否認性 18

3.12 統一日誌管理 18

3.13 vpn的集中管理 18

第四節阿姆瑞特vpn應用 19

4.1 vpn的點對點接入 19

4.2 星型拓撲的vpn接入 19

4.3 動態ip位址接入 20

4.4 nat穿越的接入 21

第五章阿姆瑞特推薦使用安全裝置型號 23

第六章阿姆瑞特公司介紹與成功案例 23

******由於業務發展需要,擬建立全市範圍內的vpn業務專網。vpn網路建立在網際網路之上，使******總部和各個分支機構的使用者根據不同業務需要可靈活接入到vpn內部專網，所有使用者依靠該網路還可按策略訪問網際網路。

內部專網採用安全成熟的 ipsec vpn技術來建立vpn網路，vpn採用以成都為中心的星型結構。

根據******的多層接入，並按需分配許可權的特點，我們建議網路方案如下:

● 系統組成

根據需求，具有ipsec vpn和防火牆功能的阿姆瑞特百兆安全閘道器架設在******總部，連線到網際網路，提供vpn 主站點服務，允許各分支撥入。

分支機構選用阿姆瑞特百兆安全閘道器接入網際網路，與總部建立ipsec vpn通道，根據許可權訪問專網資源。移動使用者通過阿姆瑞特vpn客戶端軟體靈活接入到各vpn專網節點。

● 集團中心vpn方案

做為******總部，選用百兆amaranten安全閘道器做為出口，出口通過運營商接入網際網路，支援來自網際網路的vpn撥入。安全閘道器提供vpn和防火牆功能，可靈活控制內網使用者訪問網際網路及vpn訪問。建立動態網域名稱（ddns）伺服器，直接連線到安全閘道器裝置上。

● 各遠端接入使用者連線vpn方案

分支機構採用adsl撥入接入網際網路，安全閘道器使用動態ip位址，所有使用者通過阿姆瑞特百兆安全閘道器接入網際網路，利用安全閘道器防火牆功能控制網際網路訪問許可權，並通過安全閘道器與集團總部或其他地區建立vpn，訪問專用資源。

ipsec vpn 是建立一條雙方信任的資料加密通道，通訊的雙方必須知道對端的ip資訊，分支機構使用阿姆瑞特安全閘道器可以在總部ip固定的情況下，單項建立vpn連線請求，總部安全閘道器接收到該請求後得到分支vpn撥入裝置的ip資訊，從而建立雙向的完整vpn通道。

對於vpn接入使用者較少的情況，客戶端選用阿姆瑞特vpn客戶端軟體，填寫總部vpn閘道器ip後，建立vpn連線請求，總部得到所需資訊後建立完整雙向vpn通道。

阿姆瑞特vpn裝置之間或者vpn裝置與客戶端裝置之間在建立隧道的時候支援明密結合的隧道方式，也就是說：設在不同地理位置的分公司與總公司職員通過vpn裝置可以象在同一區域網內部進行相互訪問，資源共享，方便使用者使用，經過vpn裝置對穿越internet的資料進行加密，保證資料的機密性。同時總部和分部都可以通過阿姆瑞特vpn裝置做nat訪問internet，保證了日常辦公的正常進行，從而建立起明密結合vpn隧道，安全、便捷的進行網路應用和辦公自動化的順利、安全進行。

阿姆瑞特vpn是和防火牆整合在一起，因此在vpn建立隧道以後可以通過防火牆對建立vpn隧道雙方進行訪問控制，可以根據vpn訪問的源和目的位址、源和目的的埠、ip協議號、vlan資訊等進行控制，保證了vpn互連以後企業網路的安全性。

● 安全閘道器裝置管理

所有安全閘道器裝置採用集中管理的方式，總部安裝集中管理軟體後通過與安全閘道器裝置唯一匹配的金鑰驗證來與裝置通訊，實現遠端集中管理。管理中心可以授權新增、更改、刪除安全閘道器的包括路由、策略等所有配置。

安全閘道器自身包含了防火牆模組，對包括ddos等各類網路攻擊有非常強有力的防範抵禦功能。集中管理器與安全閘道器通訊也是cast128位加密通訊，保障管理的安全性。

● 安全閘道器穩定可靠

百兆安全閘道器選用np架構平台，精簡硬體架構，平均無故障時間超過40000小時，百兆安全閘道器具有4個對稱設計的介面並整合了乙個6個埠的交換機可滿足日後網路擴充套件的需要。

● 移動使用者撥入方案

移動使用者外網動態獲取ip位址，通過vpn客戶端軟體撥入安全閘道器裝置，並以xauth方式實現radius認證，訪問內部專網資源。

● 功能實現

遠端接入點採用專線或adsl撥號接入，有固定ip位址或浮動ip位址。

遠端接入點可以與在平台內的，具有接入功能的所有vpn閘道器建立連線，而且平台實現單點接入，全網訪問。

異地機構採用浮動ip位址，可以直接進行資料交換，並能及時更新vpn路由表。

中心採用固定ip位址，所有異地機構採用浮動ip位址，異地機構之間的資料交換通過在總部註冊動態位址，異地安全閘道器裝置間通過動態網域名稱方式建立vpn連線資料交換可以不通過中心。

隨著連入internet的使用者迅速增加，各個公司都在考慮怎樣利用internet來獲取更多的商業利益。早期，公司只是利用internet宣傳其形象和產品，提供www訪問，現在可利用internet實現網路銀行、電子購物、電子商務等。要實現這些新功能必採用安全技術，虛擬專用網（vpn）技術便是重要手段之一。

我們可以看到，企業和公司組織的發展，往往需要將分布於各地的分支機構聯成網路，並需要方便的與出差在外員工保持聯絡，最好與其它合作公司、**商、銷售商、等建立緊密的高效的聯絡，建立起internet或extranet。而以往的辦法無非是：專用wan、撥號網路以及直接利用internet構築起本公司的internet或extranet。

我們先看一下傳統的解決辦法：

1、專用wan

通過專用（如fr或atm連線）永久的保持多個站點的連線，通過cpe（customer premises equipment）路由器或交換器連線專用裝置，無疑代價和複雜度都非常可觀。

2、撥號上網

通過pstn或isdn按需要建立與私有網路的連線，通常採用nas（network access servers）分布在乙個或多個中心節點，使用者撥號到nas，由其進行authentication, authentication和accounting（aaa），效率、速度等往往很難令人滿意。

3、直接利用internet構築起本公司的intranet或extranet

internet迅速發展無所不在以及誘人的低價位，的確令眾多廠商開始採用這種辦法，但internet天生的開放性特點令人無所適從，安全性又成了問題，公司的機密資料一旦在internet傳輸，若沒有安全性保障，其後果可想而知。

在這種情況下，vpn應運而生。首先它利用了internet，其次它通過一系列措施來保障其安全性。通過採用加密、認證、隧道、協議封裝等技術在internet上構築起一條安全通道，使使用者的敏感資料可以安全的開放網上傳輸。

vpn（virtual private network虛擬專用網）是通過在兩台計算機之間建立一條專用連線從而達到在共享或者公共網路（一般是指internet）上傳輸私有資料的目的，即所謂的「化公為私」的這樣一種技術。，而是架構在公用網路服務商所提供的網路平台（internet、atm、 frame relay等）之上的邏輯網路，使用者資料在邏輯鏈路中傳輸。通過採用相應的加密和認證技術來保證用內部網路資料在公網上安全傳輸，從而真正實現網路資料的專用性。

這樣，各個組織可以通在internet上建立私有的wan，來和自己的分支組織以及遠端使用者通訊，從而進一步拓展了業務。它的吸引人之處在於它基於分布廣泛、全球化的internet，並提供了一種快速、安全、廉價的建立通訊鏈結的辦法。下圖即為典型的企業vpn的系統組成。

VPN網建設方案V1

VPN網建設方案 V1

解決方案標準V1

軟體測試方案新V1

VPN網建設方案V1

VPN網建設方案 V1

解決方案標準V1

軟體測試方案新V1

相關推薦