华为公司VPN解决方案.docx

上传人:蓝** 文档编号:83031166 上传时间:2023-03-27 格式:DOCX 页数:7 大小:127.59KB
返回 下载 相关 举报
华为公司VPN解决方案.docx_第1页
第1页 / 共7页
华为公司VPN解决方案.docx_第2页
第2页 / 共7页
点击查看更多>>
资源描述

《华为公司VPN解决方案.docx》由会员分享,可在线阅读,更多相关《华为公司VPN解决方案.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、VPN技术及解决方案1 概述随着网络,尤其是网络经济的进展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种状况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于 固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高 的需求,主要表现在网络的敏捷性、安全性、经济性、扩展性等方面。在这样的背景下,VPN 以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地 致力于企业的商业目标的实现。1.1 VPN 定义利用公共网络来构建的私人专用网络称为虚拟私有网络VPN,Virtual Priv

2、ate Network,用于构建VPN 的公共网络包括Internet、帧中继、ATM 等。在公共网络上组建的 VPN 象企业现有的私有网络一样供给安全性、牢靠性和可治理性等。远端用户P ST N/ I SD NPCP O PI n t e r n e tI S P I PF r a m e R e l a yA T MP O PP O P公司总部合作伙伴内部效劳器“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通 过远程拨号连接来实现的,而 VPN 是利用效劳供给商所供给的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的本钱连接它们的远地办事机

3、构、出差工作人员以及业务合作伙伴,如图 1 所示。图 1VPN 应用示意图由图可知,企业内部资源享用者只需连入本地ISP,即可相互通信;而利用传统的WAN组建技术, 彼此之间要有专线相连才可以到达同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地ISP 的上网权限就可以访问企业内部资源; 假设接入效劳器的用户身份认证效劳器支持漫游的话,甚至不必拥有本地ISP的上网权限。这对于流淌性很大的出差员工和分布广泛的客户与合作伙伴来说是很 有意义的。并且企业开设VPN效劳所需的设备很少,只需在资源共享处放置一台VPN效劳器就可以了。2 VPN设计原则VPN的设计包含以下原则: 安全性 网络优化 V

4、PN治理2.1 安全性VPN直接构建在公用网上,实现简洁、便利、敏捷,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访 问。VPN的安全性包含以下特征: 隧道与加密 数据验证 用户验证 防火墙与攻击检测2.2 网络优化构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据供给牢靠的带宽。 广域网流量的不确定性使其带宽的利用率很低,在流量顶峰时引起网络堵塞,产生网络瓶颈,使实时 性要求高的数据得不到准时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量推测与 流量掌握策略,可以依据优先级安排带宽

5、资源,实现带宽治理,使得各类数据能够被合理地先后发送, 并预防堵塞的发生。2.3 VPN治理VPN要求企业将其网络治理功能从局域网无缝地延长到公用网,甚至是客户和合作伙伴。虽然 可以将一些次要的网络治理任务交给效劳供给商去完成,企业自己仍需要完成很多网络治理任务。所以,一个完善的VPN治理系统是必不行少的。VPN治理的目标为:减小网络风险、扩展性、经济性、牢靠性VPN治理主要包括安全治理、设备治理、配置治理、访问掌握列表治理、QoS治理等内容。3 Quidway系列路由器的VPN技术Quidway系列路由器所承受的VPN技术主要包括:隧道技术、IPSec、密钥交换技术、防火墙技术、QoS、配置

6、治理等。3.1 隧道技术对于构建VPN来说,网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载的被承载协议。现有两种类型的隧道协议:一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建Access VPN和Extranet VPN;另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建Intranet VPN和Extranet VPN。3.1.1 二层隧道协议二层隧道协议主要有三种:PPTPPoint to

7、Point Tunneling Protocol,点对点隧道协议、L2FLayer 2 Forwarding,二层转发协议和L2TPLayer 2 Tunneling Protocol,二层隧道协议。其中 L2TP 结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,将是使用最广泛的VPN 二层隧道协议。3.1.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很的技术,早已 消灭的通用路由封装协议GRE,Generic Routing Encapsulation,详见RFC 1701协议就是一个三层隧道协议,此外还有IETF的IPSe

8、c协议。IPSecIP Security是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。3.2 防火墙技术防火墙一方面用于阻挡来自Internet的对受保护网络的未授权或未验证的访问,另一方面允许内 部网络用户对Internet在授权范围内的访问,如WWW效劳、E-mail效劳。现代的很多防火墙还具有其他的一些特性,包括身份鉴别、信息安全处理等。Quidway系列路由器上的防火墙主要是指包过滤、地址转换和智能防火墙。IP层的包过滤通常使用到IP报文的源、目的地址、协议域及相应的源、目的端口、标志域等属性进展组

9、合形成不同的包过滤规章,对IP报文进展过滤,从而打算某类报文能否被转发通过防火墙 或被丢弃,华为路由器还供给了基于时间段的包过滤。地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部 网络的实际地址;外部网络根本上不行能穿过地址代理来直接访问内部网络。Quidway系列路由器实 现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址,与按需拨号相结合, 使局域网内用户通过一台路由器即可轻松上网。Quidway系列路由器供给基于报文内容的访问掌握,即智能防火墙,能够对应用层的一局部攻击加以检测和防范,包括对于SMTP命令的检测、SYN floodin

10、g、Packet Injection的检测。智能防火墙不但对报文的网络层的信息进展检测,还对应用层的协议信息如FTP进展检测。 当报文通过路由器时,智能防火墙将报文与指定的访问规章进展比较,假设规章允许,报文将承受检查,否则报文直接被丢弃。假设该报文是用于翻开一个的掌握或数据连接,智能防火墙将动态的修改或创立规章,同时更状态表以保存不能由访问列表规章保存的重要的状态信息,从而允许与创 建的连接相关的报文。对于回来的报文只有是属于一个已经存在的有效的连接,才会被允许通过防火 墙。在处理回来的报文时,状态表也需要更。当一个连接被关闭或超时后,该连接对应的状态表将被删除。动态生成的规章不会被存储到F

11、LASH或NVRAM中,确保未经授权的报文不能任凭透过防火 墙。智能防火墙使得Quidway系列路由器能够支持一个掌握连接上存在多个数据连接的协议。很多应 用协议,如Telnet 、SMTP使用标准的或已商定的端口地址来进展通信,但大局部多媒体应用协议如H.323及FTP、RPC等协议使用商定的端口来初始化一个掌握连接,再动态的选择端口用于数据传输。而端口的选择是不行推测的,其中的某些应用甚至可能要同时用到多个端口。标准防火墙只有阻挡类 似的应用传输,以免内部网络患病攻击。有时仅阻挡了一些使用固定端口的应用,而留下了很多安全 隐患。智能防火墙监听每一个应用的每一个连接所使用的端口,翻开适宜的通

12、道让会话中的数据能够 出入防火墙,在会话完毕时关闭该通道,从而能够对使用动态端口的应用实施有效的访问掌握。智能防火墙还供给了增加的跟踪审计功能。可以对全部的连接进展记录,包括:记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。3.3 QoS随着计算机网络的高速进展,人们对网络的要求也越来越高。越来越多地对带宽、延迟与抖动敏 感的、实时性强的语音、图象等重要数据的传输,极大地扩展了网络的力量和资源,同时引入了如何保证效劳质量的问题。解决这个问题的一个途径是增加网络的带宽,但带宽增加到底是有限的,而且代价昂贵,它只能在肯定程度上缓解这个问题。保证效劳质量的另一种有效的手段是通过拥塞治理、

13、拥塞避开、流量整形等策略对网络上的流量进展治理,以解决不断增长的流量需求带来的问题。当拥塞发生时,路由器可以实行肯定的策略对报文进展调度,打算哪些报文可以优先发送、哪些报文可以被丢弃。路由器的这种治理策略叫做拥塞治理。Quidway 系列路由器实现了先进先出、优先级队列、定制队列等多种拥塞治理策略,能够在肯定程度上满足不同业务对不同效劳质量的需求。4 Quidway系列路由器的VPN解决方案Quidway系列路由器提出了各种有效的VPN解决方案,包括: Access VPN Intranet VPN Extranet VPN 结合防火墙的VPN解决方案4.1 Access VPNAccess

14、VPN最适用于公司内部常常有流淌人员远程办公的状况。例如,公司的外地出差员工需要从公司总部提取肯定的关于客户的重要资料,一般状况就只能通过 MODEM拨号方式连入公司的Intranet,利用 、FTP或是其它网络效劳获得资料。这种状况下企业必需负担昂贵的长途 费用,同时这些客户资料的安全性得不到有力的保证,简洁在传输的过程被截获。假设承受Access VPN的组网模式就可以很好的解决这个问题,如图2所示。出差员工利用当地ISP 供给的VPN效劳就可以和公司的VPN网关建立私有的隧道连接,RADIUS效劳器可对员工进展验证和授权,保证连接的安全,同时负担的 费用大大降低。图 2Quidway 系

15、列路由器Access VPN 解决方案4.2 Intranet VPN越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、争论所等,各个分公司 之间传统的网络连接方式一般是租用专线。明显,在分公司增多、业务开展越来越广泛时,网络构造趋于简单,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN,如图3所示。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。图 3Quidway 系列路由器Intranet VPN 解决方案4.3 Extranet VPN随着信息时代的到来,

16、各个企业越来越重视各种信息的处理。期望可以供给应客户最快捷便利的 信息效劳,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种进展趋势供给了良好的根底,而如何利用Internet进展有效的信息治理是企 业进展中不行避开的一个关键问题。利用VPN技术可以组建安全的Extranet,如图4所示,即可以向客户、合作伙伴供给有效的信息效劳,又可以保证自身的内部网络的安全。随着网络安全性要求的进一步提高,华为公司将连续发挥自主学问产权的优势,为各行业、政府、学校组建符合自身要求的VPN网络。图 4Quidway 系列路由器Extranet V

17、PN 解决方案4.4 结合防火墙的VPN解决方案VPN与防火墙的结合使用,可以利用防火墙的很多安全特性在VPN上建立更加安全的网络环境,增加抵挡“黑客”攻击、制止非法访问的力量。如图5所示,公司内部特定的用户可以访问Internet网络,但是Internet网络内的主机不能通过防火墙访问公司的内部网络,只被允许访问位于DMZ非军事化区的内部效劳器主机如WWW、FTP 等效劳器。公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道以访问总部的资源。图 5Quidway 系列路由器结合防火墙的VPN 解决方案5 结论Quidway系列路由器具有完善的VPN网关功能,支持各种VPN技术,这些技术包括隧道技术、IPSec、密钥交换技术、防火墙技术、QoS与配置治理等,并还将进展并支持越来越多的先进技术,以期对VPN 实现更好的支持,更加充分地发挥VPN在敏捷性、经济性、扩展性等方面的优势,进一步提高VPN的安 全性、牢靠性与使用上的便利性,为企业走上进展的快车道供给有效的解决方案。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 成人自考

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁