日志样式

IPSEC VPN解决方案

概述 

       传统的企业专网是通过租用电信运营商的各种专用链路组建而成的,建设周期长,投资大,维护费用也很高,对许多中小企业而言,他们同样希望能够在总部和分支机构之间建立一条专有通路,但又不希望花费像专线那么多的资金,同时又希望获得比拨号连接更快的访问速度,在这种情况下,VPN就成为他们的理想选择。 

       VPN(Virtual Private Network)是指在公用网络上建立专用网络的技术,之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。 

解决方案

       方案中显示了两类VPN应用:LAN-to-LAN VPN和远程访问VPN。对总部网络,可采用统一的VPN设备来实现两类应用,可以选择路由器也可以选择防火墙作为VPN的终结设备。 

       LAN-to-LAN VPN的对端是企业的分支机构,一般来说,它拥有相对简单的网络架构,设备也较总部低一等级,在VPN的实现上,我们建议将分支机构的Internet接入和VPN统一到一台设备上来实现,一般情况下,是一台支持IPSEC VPN功能的低端路由器。 

        远程访问VPN面向的是移动办公和在家办公的企业内部用户,这时我们可以通过在用户的电脑上安装VPN的客户端软件来实现VPN的连接。一般我们可选Cisco提供的VPN Client软件来实现,同时Win2000也自带VPN软件可以实现此功能。

说明 

       目前支持VPN技术的设备包括:路由器、防火墙或专用的VPN设备。在我们设计的安全架构中,一般推荐采用防火墙集成的VPN功能――这样既能通过防火墙来保证VPN接入的安全性,同时避免添加专用设备导致的结构复杂化和性能的下降。在小型分支机构条件受限的情况下,可以考虑采用路由器替代防火墙实现VPN功能。 

       远程接入VPN可使用多种不同隧道和安全协议,由这些协议决定了VPN所采用的数据封装和加密方式,其中比较流行的有IPSec,PPTP和L2TP,这些协议被大多数运行VPN的设备所支持,最为广泛采用的是IPSec VPN。隧道两端必须采用相同的VPN技术才能建立连接。