艾泰科技某集团VPN网络建设方案
2007-08-20
作者:艾泰科技
综述
许多集团公司在各地拥有工厂等生产基地,更在全国遍布了密集的销售网络,为了让各销售网络的能够作到即时沟通,常常需要大量的投资。而艾泰科" title="泰科">泰科技的VPN解决方案,能够兼顾性能和价格,实现真正意义上的高质量,低价格的网络VPN互联,并且支持ADSL动态下IPSec野蛮模式。
需求分析
某集团在全国拥有200多个销售处和联络处,各联络处每天都有财务的数据和武汉总部沟通。集团一直在寻找一种有效的性能价格比高而且实用的方案。最初准备使用长途专线连接到总部,这种方案的成本和使用费用都很高,对于企业来说无疑是很大的负担。如今,各种宽带上网方式迅速发展,基于Internet构建集团的VPN网络无疑是一种高性价比" title="高性价比">高性价比的方案。
该公司各联络处基本上都具备连接Internet的能力,接入方式" title="接入方式">接入方式多种多样。数量最多的是ADSL接入方式,联络处通过PPPoE拨号上网,运营商分配一个公网地址;ADSL Modem由运营商配置,大都是桥接模式,也有部分是路由模式。其次是FTTB+LAN方式,运营商提供公网地址或私网地址,如果是私网地址,联络处往Internet传输数据时还要经过运营商的NAT设备。还有部分联络处使用有线通方式,通过DHCP获得IP地址。
中心点已定型,采用Netscreen 204作为全国各联络处的总VPN网关,申请了联通和网通的线路各一条,并在Netscreen的前端使用Radware的Linkproof 作为线路负载均衡设备。
因此,在各个联络处使用的设备首先必须同总部的Netscreen设备兼容,也就是说可以在它们之间建立VPN隧道;其次还需满足各联络处上网浏览的需求;另外,由于大部分联络处的VPN网关使用的公网IP地址不固定,这就要求采用的VPN网关能支持动态DNS功能,以方便管理。
方案规划
从实际应用情况来看,一般是各地联络处和武汉总部联系,各联络处之间不相互通信,因此,网络结构" title="网络结构">网络结构采用星型,各个联络处仍然使用原有的接入方式和线路,并且均通过VPN隧道与总部连接。在这里,使用保密性好的IPSec协议建立VPN隧道,加密方式3DES,认证方式" title="认证方式">认证方式是SHA-1。网络结构如图1所示。
图1:某集团VPN网络结构
产品选型
根据需求和规划,要求各联络处使用的VPN网关设备必须与Netscreen兼容;能支持ADSL接入,FTTB+LAN接入,也能支持Cable Modem接入,同时还可以实现共享上网。支持IPSec协议,能实现3DES加密和SHA-1认证;不管它们使用的是静态地址还是动态地址,均可实现IPSec,而且,支持以e-mail地址、域名、IP地址或者其他字符串的认证方式。如果运营商分配的是私网地址,还要求相应设备支持IPSec NAT穿透。另外,为了便于管理,如果运营商分配的是公网地址,相应设备还应提供DDNS功能,从而,当需要查看各联络处的情况时,可在武汉总部通过telnet远程管理。
集团希望各联络处采用的VPN设备能够满足以上组网要求,而且还要实用、性价比高、稳定性好,能够快速解决碰到的组网问题。上海艾泰科技有限公司的HiPER VPN安全网关,包括HiPER 2231CS、HiPER 3110、HiPER 3100VF、HiPER 3300VF等系列产品完全能够满足上述要求,它们具备灵活、强大的VPN功能,相关特点如下:
提供IPSec、L2TP/PPTP等VPN功能,它们可结合起来使用。支持客户端或服务器模式,支持使用动态地址构建VPN隧道,可实现网关到网关的连接和移动用户的接入。其具有以下重要特点:
支持自动IKE或者手动建立IPSec隧道
ESP和AH协议
3DES,DES和AES加密
SHA-1和MD5认证
主模式和野蛮模式
抗重播
支持IPSec NAT穿透
每个接口都可以支持VPN
支持星型连接和网状连接
VPN隧道两端无需固定的IP地址
方案实施和运行
在长达三个月的5个点的试用中,HiPER VPN网关表现出了和中心点Netscreen的良好的兼容性和稳定性。到目前为止,全国已经实施超过100个点,分布在20多个省,运行稳定。
方案点评
本解决方案中,通过为集团构建基于Internet的星型VPN网络,很好地解决了该公司各联络处和公司总部的互联互通问题。各联络处采用HiPER VPN网关作为VPN网络的联网设备,不仅可以大大降低该企业的组网成本,还可保证网络的安全性、稳定性和易维护性,同时也很好的满足了各联络处自身的其他上网要求。总而言之,本方案是构建VPN网络的高性价比方案。
许多集团公司在各地拥有工厂等生产基地,更在全国遍布了密集的销售网络,为了让各销售网络的能够作到即时沟通,常常需要大量的投资。而艾泰科" title="泰科">泰科技的VPN解决方案,能够兼顾性能和价格,实现真正意义上的高质量,低价格的网络VPN互联,并且支持ADSL动态下IPSec野蛮模式。
需求分析
某集团在全国拥有200多个销售处和联络处,各联络处每天都有财务的数据和武汉总部沟通。集团一直在寻找一种有效的性能价格比高而且实用的方案。最初准备使用长途专线连接到总部,这种方案的成本和使用费用都很高,对于企业来说无疑是很大的负担。如今,各种宽带上网方式迅速发展,基于Internet构建集团的VPN网络无疑是一种高性价比" title="高性价比">高性价比的方案。
该公司各联络处基本上都具备连接Internet的能力,接入方式" title="接入方式">接入方式多种多样。数量最多的是ADSL接入方式,联络处通过PPPoE拨号上网,运营商分配一个公网地址;ADSL Modem由运营商配置,大都是桥接模式,也有部分是路由模式。其次是FTTB+LAN方式,运营商提供公网地址或私网地址,如果是私网地址,联络处往Internet传输数据时还要经过运营商的NAT设备。还有部分联络处使用有线通方式,通过DHCP获得IP地址。
中心点已定型,采用Netscreen 204作为全国各联络处的总VPN网关,申请了联通和网通的线路各一条,并在Netscreen的前端使用Radware的Linkproof 作为线路负载均衡设备。
因此,在各个联络处使用的设备首先必须同总部的Netscreen设备兼容,也就是说可以在它们之间建立VPN隧道;其次还需满足各联络处上网浏览的需求;另外,由于大部分联络处的VPN网关使用的公网IP地址不固定,这就要求采用的VPN网关能支持动态DNS功能,以方便管理。
方案规划
从实际应用情况来看,一般是各地联络处和武汉总部联系,各联络处之间不相互通信,因此,网络结构" title="网络结构">网络结构采用星型,各个联络处仍然使用原有的接入方式和线路,并且均通过VPN隧道与总部连接。在这里,使用保密性好的IPSec协议建立VPN隧道,加密方式3DES,认证方式" title="认证方式">认证方式是SHA-1。网络结构如图1所示。
图1:某集团VPN网络结构
产品选型
根据需求和规划,要求各联络处使用的VPN网关设备必须与Netscreen兼容;能支持ADSL接入,FTTB+LAN接入,也能支持Cable Modem接入,同时还可以实现共享上网。支持IPSec协议,能实现3DES加密和SHA-1认证;不管它们使用的是静态地址还是动态地址,均可实现IPSec,而且,支持以e-mail地址、域名、IP地址或者其他字符串的认证方式。如果运营商分配的是私网地址,还要求相应设备支持IPSec NAT穿透。另外,为了便于管理,如果运营商分配的是公网地址,相应设备还应提供DDNS功能,从而,当需要查看各联络处的情况时,可在武汉总部通过telnet远程管理。
集团希望各联络处采用的VPN设备能够满足以上组网要求,而且还要实用、性价比高、稳定性好,能够快速解决碰到的组网问题。上海艾泰科技有限公司的HiPER VPN安全网关,包括HiPER 2231CS、HiPER 3110、HiPER 3100VF、HiPER 3300VF等系列产品完全能够满足上述要求,它们具备灵活、强大的VPN功能,相关特点如下:
提供IPSec、L2TP/PPTP等VPN功能,它们可结合起来使用。支持客户端或服务器模式,支持使用动态地址构建VPN隧道,可实现网关到网关的连接和移动用户的接入。其具有以下重要特点:
支持自动IKE或者手动建立IPSec隧道
ESP和AH协议
3DES,DES和AES加密
SHA-1和MD5认证
主模式和野蛮模式
抗重播
支持IPSec NAT穿透
每个接口都可以支持VPN
支持星型连接和网状连接
VPN隧道两端无需固定的IP地址
方案实施和运行
在长达三个月的5个点的试用中,HiPER VPN网关表现出了和中心点Netscreen的良好的兼容性和稳定性。到目前为止,全国已经实施超过100个点,分布在20多个省,运行稳定。
方案点评
本解决方案中,通过为集团构建基于Internet的星型VPN网络,很好地解决了该公司各联络处和公司总部的互联互通问题。各联络处采用HiPER VPN网关作为VPN网络的联网设备,不仅可以大大降低该企业的组网成本,还可保证网络的安全性、稳定性和易维护性,同时也很好的满足了各联络处自身的其他上网要求。总而言之,本方案是构建VPN网络的高性价比方案。
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。