一、 需求概述
隨著互聯(lián)網(wǎng)的發(fā)展,VPN的應(yīng)用越來越普及、越來越成熟,現(xiàn)在,通過VPN建立遠(yuǎn)程專網(wǎng)已經(jīng)應(yīng)用到企業(yè)、事業(yè)、行業(yè)及政府機(jī)關(guān)等多個領(lǐng)域;VPN除了實(shí)現(xiàn)專線一樣的聯(lián)網(wǎng)效果以外,還有自身的特點(diǎn),例如網(wǎng)狀結(jié)構(gòu)組網(wǎng)、三級網(wǎng)絡(luò)結(jié)構(gòu)組網(wǎng)以及專線橋接功能。對于大的行業(yè)用戶來說,三級網(wǎng)絡(luò)結(jié)構(gòu)和專線橋接功能應(yīng)用普遍,對于大型連鎖機(jī)構(gòu)來說,需要多個集散中心組成網(wǎng)狀結(jié)構(gòu),同時需要多個分支機(jī)構(gòu)接入到這個網(wǎng)狀結(jié)構(gòu)中來,從而構(gòu)成復(fù)雜的混合網(wǎng)絡(luò)結(jié)構(gòu),要想完成這些專業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)組網(wǎng),需要專業(yè)的VPN產(chǎn)品。
迅博公司長期從事VPN/防火墻等安全產(chǎn)品的開發(fā)工作,產(chǎn)品應(yīng)用于政府、行業(yè)、事業(yè)及企業(yè)等多種應(yīng)用環(huán)境,產(chǎn)品除了基本的VPN功能,還包含強(qiáng)大的防火墻功能、訪問控制功能。對電子政務(wù)應(yīng)用來說,對VPN產(chǎn)品有著更高的要求,不僅僅包含遠(yuǎn)程聯(lián)網(wǎng)功能,還要包含強(qiáng)大的安全控制功能,不僅要適應(yīng)二級、三級網(wǎng)絡(luò)結(jié)構(gòu),還要適應(yīng)多級網(wǎng)絡(luò)結(jié)構(gòu)、混合網(wǎng)絡(luò)結(jié)構(gòu),在使用上,要求VPN產(chǎn)品具備良好的網(wǎng)絡(luò)適應(yīng)性,可以和多個廠家的網(wǎng)絡(luò)設(shè)備共存,而不需要改變?nèi)魏尉W(wǎng)絡(luò)結(jié)構(gòu)。此外,迅速VPN還支持如下聯(lián)網(wǎng)需求:
1.總部VPN網(wǎng)關(guān)支持多線路接入,實(shí)現(xiàn)負(fù)載均衡以解決南北方通信速度慢的問題。
2.客戶端VPN能夠支持備線,以解決客戶端網(wǎng)絡(luò)中斷時數(shù)據(jù)傳輸?shù)膯栴}。
3.各區(qū)域節(jié)點(diǎn)可從本地交換網(wǎng)絡(luò)中抽取不同網(wǎng)段的人員組成工作組,實(shí)現(xiàn)異地協(xié)同辦公。
4.專網(wǎng)范圍內(nèi)可以從本地交換網(wǎng)絡(luò)中抽取不同網(wǎng)段的人員組成會議組,實(shí)現(xiàn)視頻會議。
5.有較好的兼容性,可以透明的接入客戶網(wǎng)絡(luò),而無需改動客戶網(wǎng)絡(luò)。
6.通過嵌入訂制軟件的方式,實(shí)現(xiàn)VPN設(shè)備支持全自動的數(shù)據(jù)傳輸調(diào)度功能,實(shí)現(xiàn)無人值守情況下的數(shù)據(jù)交換功能。
7.支持ftp、郵件、共享等C/S或BS等方式的數(shù)據(jù)傳輸。
8.客戶端可以檢測服務(wù)端運(yùn)行情況,并及時產(chǎn)生日志、報告。
9.客戶端有較強(qiáng)的身份識別能力。
10.具有簡便的配置界面,維護(hù)難度應(yīng)較低并確保穩(wěn)定性。
下面是某大型連鎖機(jī)構(gòu)的拓?fù)浣Y(jié)構(gòu)圖:
上圖是公司遠(yuǎn)程專網(wǎng)的邏輯結(jié)構(gòu)示意圖,該公司在北京、上海設(shè)有四個集散中心,存有多個數(shù)據(jù)庫服務(wù)器,需要實(shí)時數(shù)據(jù)交互,因此這四個地方需要建立網(wǎng)狀的專網(wǎng)結(jié)構(gòu)。上圖中紅色虛線為VPN隧道示意圖。
同時,該公司還有多個分支機(jī)構(gòu)接入到這四個集散中心網(wǎng)絡(luò)中來,定期進(jìn)行數(shù)據(jù)交互和傳送。
二、 方案描述
根據(jù)該公司的上述需求,采用迅博NG2000/NG520/NG300/移動客戶端軟件實(shí)現(xiàn)上述組網(wǎng)方案,其中北京總公司安裝1臺NG2000設(shè)備,北京物流中心和上海分公司、上海物流中心采用NG520設(shè)備,支持兩條線路,可以實(shí)現(xiàn)線路故障自動切換功能;各分支機(jī)構(gòu)采用NG300產(chǎn)品,如果分支機(jī)構(gòu)機(jī)器數(shù)比較少,也可以只安裝迅博VPN移動 客戶端軟件。
迅博NG300/NG520/NG2000采用平臺化開發(fā)技術(shù),支持企業(yè)級防火墻,具有很強(qiáng)的安全性和擴(kuò)展性。而NG300具有按需撥號功能,可以設(shè)置撥號時間,實(shí)現(xiàn)定時撥號功能。下面針對上述需求,詳細(xì)方案實(shí)現(xiàn)思路:
1.總部VPN網(wǎng)關(guān)支持多線路接入,支持透明模式,可以不改變總部網(wǎng)絡(luò)結(jié)構(gòu)。
迅博NG2000VPN服務(wù)器可以支持雙線路INTERNET接入,除了實(shí)現(xiàn)雙線outbound負(fù)載均衡功能,還可以實(shí)現(xiàn)外部訪問的inbound負(fù)載均衡功能,具備此功能的網(wǎng)關(guān)產(chǎn)品,才能真正支持應(yīng)用級的負(fù)載均衡功能,如VPN、WEB服務(wù)、EMAIL服務(wù)等。通過NG2000支持VPN策略路由及智能調(diào)度策略,可以實(shí)現(xiàn)網(wǎng)通和電信線路的快速互通,無論分支是哪個運(yùn)營商,多可以自動選擇最快線路與總部的NG2000互聯(lián)。除了可以解決分支和總部之間的不同運(yùn)營商互通問題,分支之間還可以利用NG2000的VPN HUB模式實(shí)現(xiàn)快速互通。
同時,NG2000支持透明模式VPN,可以把NG2000放到防火墻/路由器后,從而總部可以不改變?nèi)魏尉W(wǎng)絡(luò)結(jié)構(gòu),建立VPN遠(yuǎn)程專網(wǎng)。
2、客戶端VPN能夠支持備線,支持?jǐn)嗑自動重連,建立更加可靠的遠(yuǎn)程網(wǎng)絡(luò)。
迅博分支網(wǎng)關(guān)支持雙線outbount負(fù)載均衡功能,同時支持線路備份功能,可以在一條線路出現(xiàn)故障的情況下自動切換到另一條線路,切換時間可以由根據(jù)需要定制,其中線路切換時間可以在幾秒內(nèi)完成,VPN隧道切換可以在30秒內(nèi)完成。
3.各區(qū)域節(jié)點(diǎn)可從本地交換網(wǎng)絡(luò)中抽取不同網(wǎng)段的人員組成工作組,實(shí)現(xiàn)異地協(xié)同辦公。
對于區(qū)域接點(diǎn),可以通過設(shè)置,實(shí)現(xiàn)直連的網(wǎng)狀結(jié)構(gòu)組網(wǎng)(mesh network),以提高網(wǎng)絡(luò)效率。通過適當(dāng)?shù)腎P地址規(guī)劃和網(wǎng)絡(luò)設(shè)計,通過在NG2000中設(shè)置訪問策略和規(guī)則,可以對整個VPN區(qū)域進(jìn)行訪問控制,從而組成一個獨(dú)立的VPN辦公區(qū)域。這個VPN辦公區(qū)域可以和VPN 業(yè)務(wù)區(qū)域隔離,從而保證業(yè)務(wù)和管理數(shù)據(jù)的分流,實(shí)現(xiàn)網(wǎng)絡(luò)的可管理性和可維護(hù)性。
4、可以建立直連網(wǎng)絡(luò),實(shí)現(xiàn)一些特殊的應(yīng)用,如視頻會議
通過建立區(qū)域接點(diǎn)之間的VPN網(wǎng)狀網(wǎng),可以實(shí)現(xiàn)對帶寬要求嚴(yán)格的視頻會議應(yīng)用,同時NG2000采用高性能的嵌入式平臺,128位加密吞吐率可最高達(dá)到80M/S,可以保證高帶寬下的視頻應(yīng)用。此外,可以利用NG2000的防火墻功能,對VPN區(qū)域重新劃分,劃分獨(dú)立的VPN視頻子區(qū)域。
下圖是區(qū)域中心直連網(wǎng)絡(luò)結(jié)構(gòu)示意圖:
5.有較好的兼容性,可以透明的接入客戶網(wǎng)絡(luò),而無需改動客戶網(wǎng)絡(luò)。
迅博VPN網(wǎng)關(guān)可以多種接入方式,支持專線/ADSL/CABLE MODEM/小區(qū)寬帶/寫字樓寬帶等接入方式,可以支持多重NAT穿透,支持ADSL斷線重聯(lián)以及隧道重連功能。同時,迅博VPN支持透明模式接入,可以在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下部署VPN,通過將VPN接入到現(xiàn)有網(wǎng)絡(luò)的交換機(jī)下,VPN網(wǎng)關(guān)如同一臺PC機(jī),專門實(shí)現(xiàn)VPN隧道加密通訊功能,這樣可以保護(hù)客戶已有的設(shè)備投資,又可以提高VPN網(wǎng)絡(luò)的可維護(hù)性和安全性。
傳統(tǒng)上,部署VPN網(wǎng)絡(luò)涉及多個環(huán)節(jié),如果VPN接點(diǎn)很多,IP網(wǎng)段規(guī)劃就會非常復(fù)雜,路由設(shè)置也比較麻煩。迅博VPN全線產(chǎn)品均可以支持全自動路由模式,在VPN網(wǎng)關(guān)配置過程中可以不用關(guān)心網(wǎng)段和路由問題,VPN網(wǎng)關(guān)會自動進(jìn)行協(xié)議,自動增加路由。
同時,分支VPN網(wǎng)關(guān)支持防ARP欺騙病毒功能,即使網(wǎng)絡(luò)其他機(jī)器感染此病毒,也不會造成VPN掉線現(xiàn)象。
6.支持多種協(xié)議應(yīng)用,如TCP/IP/IPX/NETBIOS等。
通過總部和分支建立遠(yuǎn)程專網(wǎng),可以實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)實(shí)時交換平臺,支持各種標(biāo)準(zhǔn)的TCP/IP應(yīng)用,如FTP、郵件、文件共享等。同時,通過VPN自帶防火墻功能,可以對VPN接入用戶進(jìn)行策略管理,可以實(shí)現(xiàn)粒度更細(xì)的應(yīng)用級控制,具體可以到端口、協(xié)議、IP地址、數(shù)據(jù)方向等控制,通過對VPN訪問權(quán)限進(jìn)行管理,除了安全方面的控制,還可以很好的避免因?yàn)槟硞分支網(wǎng)絡(luò)干擾病毒、木馬而對總部網(wǎng)絡(luò)和其他分支網(wǎng)絡(luò)造成沖擊。
7.客戶端可以檢測服務(wù)端運(yùn)行情況,并及時產(chǎn)生日志、報告。
客戶端VPN可以生成網(wǎng)絡(luò)日志,實(shí)時報告外網(wǎng)的接入情況、VPN的隧道情況以及網(wǎng)絡(luò)流量、連接信息等功能。同時客戶端VPN還可以產(chǎn)生業(yè)務(wù)傳輸數(shù)據(jù)日志,可以實(shí)時生成文件傳輸?shù)臅r間、傳輸方向、傳輸大小等信息。
通過日志信息,網(wǎng)絡(luò)管理人員可以有效的監(jiān)控VPN網(wǎng)絡(luò)運(yùn)行情況和數(shù)據(jù)交換情況,同時可以做為歷史記錄備案。
8.客戶端有較強(qiáng)的身份識別能力。
為了提高遠(yuǎn)程VPN接入的安全性,迅博VPN支持多種級別的認(rèn)證安全性,首先客戶端采用戶名/密碼的認(rèn)證方式,用戶和密碼用中心點(diǎn)VPN服務(wù)器來管理,同時可以設(shè)置接入類別,不同用戶類別不能混合使用用戶和密碼;此外迅博VPN還支持USB KEY數(shù)字證書認(rèn)證方式,使接入認(rèn)證具有金融級的安全性。
為了提高客戶數(shù)據(jù)傳輸過程的合法性和完整,可以在VPN平臺內(nèi)部對傳輸?shù)奈募M(jìn)行SHA1/SHA2或MD5身份處理,這樣可以在應(yīng)用層實(shí)現(xiàn)數(shù)據(jù)來源的唯一性和合法性。下圖展示了從多個層次實(shí)現(xiàn)VPN的安全傳輸技術(shù)。
VPN安全傳輸示意圖
9.簡便的配置界面,維護(hù)難度應(yīng)較低并確保穩(wěn)定性。
迅博VPN采用良好的WEB配置界面,采用動態(tài)生成技術(shù),可以實(shí)現(xiàn)傳統(tǒng)GUI才能實(shí)現(xiàn)的接口功能,通過采用動態(tài)網(wǎng)頁和嵌入式腳本技術(shù),使開發(fā)友好的界面成為可能,使非專業(yè)人員都可以對VPN配置操作。