艾泰提供：最佳连锁VPN方案建议书

　　一、概述

       随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业 IT 网络设计工程师亟待解决的问题。 VPN 技术正是基于此应运而生，能够为此提供全面的解决方案，在不安全的 Internet 之上建立廉价、安全、私有的企业 VPN 网络，包括 Site-to-Site VPN 与 Access VPN 。

　　二、VPN需求分析

　　根据对网络现状的分析，艾泰认为的 VPN 需求主要在以下方面：

　　（1）无锡，杭州，上海，苏州，常州等地之间需要通过Internet 进行 VPN 互联，以实现视频会议，网络电话等功能；

　　（2）移动办公用户在家中或出差途中，需要能够通过专用的客户端软件（VPN  Client）安全接入到内部网络；

　　（3）所采用的 VPN 设备要能够与其他厂商互通，并具有很好的集中管理平台（VPN Manager）；

　　因此在企业网络中安装IPSec VPN 网关，可以有效解决远程接入问题。用户既不受地域限制，也不受接入方式限制，只要该用户能够接入Internet，便能够安全地接入企业网内部。

     三、VPN解决方案

　　根据的具体需求以及艾泰公司在 VPN 解决方案上的多年积累，我们认为 VPN解决方案的设计必须满足以下原则：

　　（1）先进性原则：VPN设备必须采用专用的硬件平台和软件平台以保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟。

　　（2）高可靠性：网络是其各种信息化应用的基础，网络的稳定性至关重要； VPN 设备由于部署在关键节点，成为网络稳定性的重要因素。因此整个网络设计必须考虑到高可靠性因素。

　　（3）可扩展性：处在业务高速发展阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。

　　（4）开放兼容性：所采用的 VPN 产品设计规范、技术指标要符合国际和工业标准，能够与其他厂商产品兼容，从而有效的保护投资。

      1、VPN互联解决方案组网图

图1  VPN互联解决方案组网图

    2、VPN 解决方案方案组网说明

　　VPN 解决方案由以下四个子系统构成：

　　（1）VPN 接入网关子系统

　　（2）移动用户 VPN 客户端子系统

　　（3）VPN 集中管理子系统

　　对于每个子系统的详细描述如下：

        2.1VPN 接入网关子系统

　　VPN 接入网关设备是整个 VPN 解决方案的核心部分，实现 Site-to-Site 的 VPN 接入，艾泰 USG/SRG  VPN 网关具有非常高的性能特性以及丰富的功能特性，支持防火墙、AAA、NAT、QoS 等技术；支持多种 VPN 业务，如 L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN 等，可以针对客户需求通过拨号、LAN 或隧道等方式接入远端用户，构建 Internet、Intranet、Access 等多种形式的 VPN 网络。配合防火墙、AAA、NAT、QoS 等技术，安全网关可以确保在开放的 Internet 上实现安全的、满足可靠质量要求的私有网络。

　　VPN 接入网关子系统一般由总部 VPN 网关和分支机构 VPN 网关两部分组成：

艾泰 VPN 接入网关具有如下特点：

　　（1）支持虚拟多域技术

　　为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，可以允许用户在一台 VPN 网关设备上支持多个 VPN 域, 每个 VPN 域可以定义为一个分支机构或一个部门, 并允许一台 VPN 网关设备下多个 VPN 域之间的 IP 地址重叠。这些域之间的 VPN 网络是完全隔离的。

　　（2）多种 VPN 技术融合

　　如上图所示，艾泰VPN 网关支持从 Internet 安全接入到 MPLS VPN 网络，通过一台VPN 网关设备的一个物理接口就可以为 Internet 上的众多分支机构接入到 MPLS VPN 骨干网中。用户认证通过 IKE 来提供，可以提供基于证书的方式，也可以采用pre-shared  key的方式。通过 IKE 认证就可以知道该 IPSec 隧道应该接入到哪个 MPLS VPN 中。艾泰   VPN 网关对每个 VPN 保持了独立的转发资源，从源头上就可以控制不同 VPN 用户之间无法互访。

　　（3）动态IP地址支持及 NAT 穿越技术

　　随着宽带应用的不断推广，中小企业使用 ADSL 上网的方式越来越多, 并且一般都是运营商动态分配的 IP 地址，这样就出现了一个问题，如何使用动态的 IP 地址来建立企业自己的 VPN 网络？艾泰 VPN 解决方案支持企业分支以动态 IP 方式地址接入，只需要配置自己的信息并指定总部的 VPN 网关就可以了, 不管其它分支设备怎么更改 IP 地址也都能够与之建立连接，进行互相通讯，同时用户也不用关心自己当前使用的 IP 地址是什么，更加适应现在动态 IP 地址的使用方式。

　　随着 Internet 网络的发展，IP 地址也变得越来越缺乏，因此当前许多 ISP 提供给用户的时候使用的是私网 I P地址，用户和外部进行通讯的时候需要经过 NAT 网关，NAT 网关的应用会给用户的业务带来一定的影响. 为了解决这个问题，IETF 专门为 IPSec 制定了“NAT 穿越（NATT）”协议草案，艾泰 VPN 解决方案涉及的产品都支持最新的 NATT 标准, 可以很好的解决私网 IP 地址通过 NAT 网关和其它节点建立起 VPN 网络。

　　（1）VPN 业务安全

　　VPN 的主要特点就是在公共网络构建一个属于企业自己的专用网络，使用了 VPN 技术之后企业内部的设备都在一个 VPN 网络内部，不管各个分支机构所处何地都像是公司内部网络，可以直接进行访问和数据传输。但是由于是在公网上传输数据，那么安全特性就显得尤为重要了，没有一定的安全机制，企业内部的数据在公网上就会被其他人所截取，企业内部的机器也将受到网络上其他设备的攻击，这样给企业将带来灾难性后果。

　　艾泰 VPN 方案使用了认证和加密等技术，确保用户网络的安全和数据的安全。首先，客户端端设备要想加入到 VPN 网络，必须首先经过网关的认证，只有通过网关认证的 Client 设备或移动用户终端才能够接入企业的 VPN 网络，这样保证了非授权用户非法登录，同时也阻止了人为的破坏。

　　业务数据流通过 IPSec 加密，IPSEC 能够提供服务器及客户端的双向身份认证，并且为 IP 及其上层业务数据提供安全加密保护，能够支持数据加密（包括常见的 DES,3DES,AES 加密算法），数据完整性验证，数据身份验证，以及防重放等功能，充分保证业务数据的安全性。

　　有了上述这些措施之后，VPN 网络内部就是一个相对安全的区域，企业可以放心的在 VPN内传输自己的数据了。

　　2.2移动用户VPN客户端子系统

　　移动用户 VPN 客户端子系统指的是为满足企业出差员工、合作伙伴员工因为工作需要，使用专用的 VPN Client 软件接入企业内部 VPN 网络，访问指定的企业内部网络资源。

　　移动用户在接入 VPN 之前，必须首先接入 Internet，然后使用专用的 VPN Client 客户端软件进行二次拨号到企业 VPN 网关，获得企业内部私网地址后接入到企业网络。

　　移动用户 VPN 客户端子系统一般由 VPN 网关、VPN Client 组成：

　　  艾泰 VPN 客户端子系统特点：

　　（1）艾泰VPN 网关支持 L2TP、L2TP Over IPSec 等多种移动终端 VPN 接入技术；

　　（2）艾泰 VPN Client 可以适应多种客户端组网环境，例如宾馆共享宽带接入、家庭 ADSL 接入和LAN接入等，具备良好的易用性；

　　（3）认证系统可以使用 LNS 本地账户管理或者外部存储 Radius 服务器集中管理员工 VPN 账户，可以将 VPN 账户与分配的企业私网地址绑定，增强安全事件之后的可追踪性；

　　（4）艾泰 VPN Client 支持远程访问终端接入企业内部 VPN 之后，出差员工失去访问Internet的权限，保证企业内部网络安全。

　　2.3VPN 集中管理子系统

　　VPN 集中管理子系统由艾泰 VPN  Manager 系统构成，其主要功能是简化 VPN 业务的部署和管理，增强了VPN 解决方案的管理、维护和运营的方便性。

　　艾泰 VPN  Manager 主要有以下特点：

　　（1）所见即所得的业务预部署

　　在 VPN  Manager 上进行离线的业务定义，直到确认无误后再下发到设备上使得业务生效，这对用户非常重要。VPN Manager可以离线地进行所有的业务定义，并且通过各种拓扑视图达到所见即所得的效果。

　　（2）配置变更监控功能

　　VPN Manager提供配置审计功能，自动定期地检查出网络业务管理系统和设备上当前配置的不一致性，发送告警给运维人员，并能提供配置变更的详细信息。

　　（3）现网业务的自动发现与还原

　　如果在安装 VPN Manager 之前，网络设备上已经部署了 IPSec VPN 业务。 VPN Manager可以读取设备上的配置文件等数据，自动在 VPN Manager 上还原出 IPSec VPN 业务，从而避免部署后续业务时发生资源冲突，使得新老业务可以统一管理。

　　（4）方便的性能统计功能

　　VPN Manager 提供实时性能数据查看功能，可对 VPN 业务的流量、带宽利用率、时延、丢包、抖动等实时性能进行监控，并提供历史性能数据分析功能。有助于用户了解当前网络运行的基本情况和性能状态，预防网络事故发生，预测网络运行状态。 

　　（5）支持跨平台特性

　　VPN Manager 基于艾泰公司统一的iMAP综合管理应用平台，既可以运行在 Solaris 操作系统下，也可以运行在 Windows 操作系统下。既可提供规模网络的高端解决方案，也可适应低成本的解决方案

　　（6）简单快捷的系统安装

　　提供图形化、向导式的安装和升级方式，系统自动设置静态参数和初始化数据。安装程序实现按需定制组件的功能。

　　（7）友好的人机界面

　　充分考虑用户的操作习惯，提供统一风格的告警、拓扑和业务配置管理界面，保持一致的视觉效果，提供批量化的操作手段，简化用户日常操作。

　　（8）完善易用的联机帮助

　　内容详尽实用、检索方便，既可在线求助，亦可脱机学习。帮助系统支持跨平台。

　　四、艾泰VPN接入解决方案特点

　　1、全面的VPN业务支撑能力

　　（1）艾泰 VPN 解决方案能够提供 PPTP、IPSec 等多种VPN接入方式，支持 DES、3DES、AES 等多种加密算法，结合艾泰公司全的 VPN 网关可以为用户提供完整的 VPN 解决方案。

　　（2）接入控制权限严格，艾泰  VPN 网关可以根据用户名、密码来控制访问 VPN 的接入权限，这样可以使得不同权限的用户（例如普通移动办公用户与管理员用户）可以访问不同的 VPN 资源。

　　2、领先的 VPN 性能及高可靠的硬件体系

　　（1）艾泰VPN 网关采用新一代的高性能硬件平台，具有强大的攻击防范能力，提供静态黑名单过滤等特性，可提供丰富的统计分析功能和日志。艾泰   VPN 网关具有一个完整的安全方案技术体系，可以为用户提供综合的安全解决方案。

　　（2）艾泰VPN 网关采用多核处理器的硬件结构，可以支持 10，000 以上的并发隧道数VPN 服务。

　　（3）艾泰VPN 网关产品根据数据报文的特征，以及 DOS/DDOS 攻击的不同手段，可以针对 ICMP Flood、SYN Flood、UDP Flood 等各种 DOS/DDOS 攻击手段进行有效防御。同时，艾泰   VPN 网关可以主动识别出数十种常见的攻击种类，很多种攻击种类造成的后果就是 DOS/DDOS 形式的攻击，艾泰   VPN 网关可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能。

　　（4）艾泰VPN 网关支持使用 TCP 代理方式来防止 SYN Flood 类的 DOS/DDOS 攻击，通过精确的验证可以准确的发现攻击报文，对正常报文依然可以通过允许这些报文访问防火墙资源，而攻击报文则被 网关丢弃。

　　五、方案设计

　　1、方案拓扑