VPN解决方案技术建议书.docVIP

***单位 VPN互联解决方案技术建议书 2010-5-6 目录 目录 i 1 概述 2 1.1 VPN技术 2 1.1.1 L2TP VPN 技术 2 1.1.2 IPSec VPN技术 3 2 **单位VPN需求分析 4 3 **单位VPN解决方案 6 3.1 **单位VPN互联解决方案组网图 7 3.2 **单位 VPN 解决方案方案组网说明 8 3.2.1 VPN 接入网关子系统 8 3.2.2 移动用户VPN客户端子系统 11 3.2.3 VPN 集中管理子系统 11 4 华为VPN接入解决方案特点 13 4.1 全面的VPN业务支撑能力 13 4.2 领先的 VPN 性能及高可靠的硬件体系 14 5 成功案例 14 5.1 奥运城市数据系统VPN项目 14 5.2 电子政务VPN应用案例 16 概述 随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业 IT 网络设计工程师亟待解决的问题。 VPN 技术正是基于此应运而生，能够为此提供全面的解决方案，在不安全的 Internet 之上建立廉价、安全、私有的企业 VPN 网络，包括 Site-to-Site VPN 与 Access VPN 。 VPN技术 VPN 技术是为了解决在不安全的 Internet 上安全传输机密信息，保证信息的完整性、可用性以及必威体育官网网址性。企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题， VPN 技术是企业传输数据非常理想的选择。 L2TP VPN 技术 L2TP VPN 技术将整个 PPP 帧封装在二层隧道中进行数据传输，属于二层隧道技术。L2TP VPN(VPDN) 是一种典型的远程拨号访问企业 VPN 的组网模式，在下图中， LAC 表示 L2TP 访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有接入功能和 L2TP 协议处理能力的设备， LAC 一般就是一个网络接入服务器 NAS（Network Access Server），它通过 PSTN/ISDN 为用户提供网络接入服务； LNS 表示 L2TP 网络服务器（L2TP Network Server），是用于处理 L2TP 协议服务器端的软件。 L2TP VPN 服务具有如下几个优点： 1. 灵活的身份验证机制以及高度的安全性。 2. L2TP 支持内部地址分配，LNS 可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持 DHCP 和私有地址应用等方案。 3. 能够实现网络计费的灵活性，可以在 LAC 和 LNS 两处同时计费，即 ISP 处（用于产生账单）及企业处（用于付费及审记）。 4. L2TP 具有较高的可靠性，可以支持备份 LNS ，当一个主 LNS 不可达之后，LAC 可以重新与备份 LNS 建立连接，这样增加了 VPN 服务的可靠性和容错性。 同任何一种技术一样，L2TP VPN 也存在着一定的的缺点： L2TP 的缺点是封装层次多，在数据包上依次封装了 PPP-UDP-IP 三层，因而效率较低。将不安全的 IP 包封装在安全的 IP 包内，它们用 IP 包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。 端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。 IPSec VPN技术 IPSec VPN 技术属于三层隧道 VPN 技术。IPSec 协议不是一个单独的协议，它给出了应用于 IP 层上网络数据安全的一整套体系结构，它包括： 网络安全协议：Authentication Header（AH）协议，提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。 AH 认证整个 IP 头，不过由于 AH 不能加密数据包所加载的内容，因而它不保证任何的机密性。Encapsulating Security Payload（ESP）协议，通过对数据包的全部数据和加载内容进行全加密，进而提供数据必威体育官网网址性、有限的数据流必威体育官网网址性，数据源认证，无连接的完整性，以及抗重放服务。与 AH 不同的是，ESP 认证功能不对 IP 数据报头中的源和目的以及其它域认证，这为 ESP 带来了一定的灵活性。在 Ipsec 中，AH 和 ESP 是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。大部分的应用案例都采用了 ESP 或同时使用 ESP 和 AH 。 密钥管理协议： Int