企業配置×××網絡接入技術

Virtual Private Network （ 虛擬專用網 ）， ×××是經過在兩臺計算機之間模擬點對點專用鏈接的方式創建一條專用 「隧道」 鏈接從而達到在共享或者公共Internet網絡上傳輸私有數據的目的，它具備良好的保密和不受干擾性，使雙方能進行自由而安全的點對點鏈接 。 整個×××網絡的任意兩個節點之間的鏈接，並無傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的Frame Relay等網絡平臺之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。經過採用相應的加密和認證技術來保證用內部網絡數據在公網上安全傳輸，從而真正實現網絡數據的專用性。×××技術的主要目標是節省企業的通訊費用，特別是替代企業已有的專線，而且提升企業網絡的可管理性，下降企業的通訊成本，並且容易擴展，可隨意與合做夥伴聯網，徹底控制主動權，便於兼容。×××的核心就是在利用公共網絡創建虛擬私有網 ，×××產品支持多種接入模式，能夠在不一樣的網絡環境很是方便、靈活地創建×××隧道；同時具備強大的加密和認證功能，保證數據在Internet上傳輸的安全性 。

×××的接入 模式分爲： 點對點接入 、 星型拓撲的×××接入 、 動態IP地址接入 、 NAT穿越的接入 四種模式。 點對點接入是×××比較常見的一種接入模式，適用於數量很少的企業之間進行互連。企業之間經過×××隧道的鏈接，創建一條能夠穿越Internet的隧道，經過這條隧道能夠實現如下功能：總部用戶與分公司用戶經過私有地址通信，同時能夠訪問Internet；出差用戶經過×××客戶端與總部或者分公司通信，同時能夠訪問Internet；總部用戶能夠經過VoIP設備與分公司用戶免費通話；總部用戶與分公司用戶進行點對點鏈接，出差用戶與總部、分公司點對點鏈接。

星型拓撲鏈接的好處是配置簡單，同時能夠節省隧道數量。企業×××進行點對點接入時，須要全部企業之間都必須相互創建隧道，例如某集團有10個分公司，就須要創建10條隧道。這就要求×××設備支持的隧道數量比較多，而支持如此多的隧道的設備價格都比較高，這給企業的投資帶來較大的問題。若是利用星型拓撲，能夠輕鬆解決這個問題。星型拓撲接入時只須要每個分公司與總部創建一條隧道，分公司之間的訪問經過總部的×××進行轉發便可。星型拓撲接入創建隧道後能夠實現總部與各個分部經過私有地址通信，同時能夠訪問Internet；各個分公司之間經過VoIP設備免費通信；出差用戶經過×××客戶端與總部通信，而後經過總部訪問各分公司；出差用戶與總部和分部通信的同時，能夠訪問Internet；星型拓撲適用於分公司（×××隧道）較多的用戶。

 

動態IP地址接入 。 ADSL、城域網的IP地址大多數爲動態的，每一次接入時的IP地址都不同  ，V PN設備 要 支持動態IP的隧道創建 ，先 爲動態IP地址申請一個免費的動態域名，根據指定對方×××設備的域名創建×××隧道。經過動態IP地址接入創建隧道後，能夠實現如下功能：×××接入的雙方或者多方IP地址都是動態變化的；各個分公司之間經過VoIP設備免費通話；總部用戶與分公司用戶經過私有地址通信，同時能夠訪問Internet；出差用戶經過×××客戶端與總部或者分公司通信，同時能夠訪問Internet。

 

NAT穿越的接入 。對於 使用了防火牆或者其餘設備做NAT地址轉換，要創建×××隧道，必需要求×××設備支持NAT穿越功能，不然沒法創建隧道。經過NAT穿越創建隧道後，能夠實現×××客戶端和×××設備設備通過NAT後與×××網關創建隧道；各個分公司之間經過VoIP設備免費經過； 分公司 用戶經過×××設備做NAT穿越後與 總部 的私有地址通信，同時經過防火牆NAT轉換能夠訪問Internet。

 

×××接入 技術 方式主要有兩種，分別是IPSec ×××和SSL ×××。IPSec ×××是針對數據在經過公共網絡時的數據完整性、安全性和合法性等問題設計的一整套隧道、加密和認證方案。SSL ×××是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。與複雜的IPSec ×××相比，SSL經過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器均可以使用SSL ×××， 這是由於SSL 內嵌在瀏覽器中，它不須要象傳統IPSec ×××同樣必須爲每一臺客戶機安裝客戶端軟件。SSL(Secure Sockets Layer)是由Netscape公司開發的一套Internet數據安全協議，當前版本爲3.0。它已被普遍地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位於TCP/IP協議與各類應用層協議之間，爲數據通信提供安全支持 ， SSL協議可分爲兩層：SSL記錄協議(SSL Record Protocol)創建在可靠的傳輸協議(如TCP)之上，爲高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議(SSL Handshake Protocol)創建在SSL記錄協議之上，用於在實際的數據傳輸開始前，通信雙方進行身份認證、協商加密算法、交換加密密鑰等。

 

如今 企業大 都面臨着這樣的挑戰：分公司、經銷商、合做夥伴、客戶和外地出差人員要求隨時通過公用網訪問公司的資源 ， 這些資源包括 ： 公司的內部 郵件 、辦公OA、ERP系統、CRM系統、項目管理系統等 ，企業 經過使用IPSec ×××來保證公司總部和分支機構以及移動工做人員之間安全鏈接。針對不一樣的 企業需求 ，×××有三種解決方案：遠程訪問虛擬網（Access ×××）、企業內部虛擬網（Intranet ×××）和企業擴展虛擬網（Extranet ×××），這三種類型的×××分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合做夥伴的企業網所構成的Extranet（外部擴展）相對應。 

 

遠程接入××× （ Access ××× ） 服務 方案 ，是指企業員工或企業的小分支機構經過公網遠程撥號的方式構築的虛擬網。Access ×××經過在企業總部配置一臺×××網關設備，而在各須要訪問企業總部資源的遠程用戶終端(包括公司在家辦公或出差在外的移動用戶、辦事處或小分支機構)安裝×××的客戶端軟件，來提供對企業內部網或外部網的遠程訪問。Access ×××能使用戶隨時、隨地以其所需的方式訪問企業資源，這些訪問的方式如 ADSL 等撥號接入方式，主要用於企業員工或企業的小分支機構經過遠程撥號的方式構建的虛擬網。在遠端的PC中裝入××× Client軟件，經過簡單的設置，再撥號到 ××× 平臺或ISP便可，這樣就能經過加密通道鏈接到公司內部網絡，查詢本身須要的資料等數據信息。

企業 總部部署Site-to-Site的IPSec ××× 方案， 總部×××網關採用不一樣網絡運營商多條線路接入Internet ， 爲了保證×××流量帶寬以及數據安全，×××接入Internet採用獨立的專線 ， 和其餘Internet應用接入隔離開來。購買×××認證服務器，統一提供認證、審計和受權服務，解決×××安全問題 ， 對×××用戶進行安全認證。員工電腦終端安裝×××客戶端，經過ADSL接入Internet ，經過身份驗證後 經由IPSec隧道，訪問位於公司總部的核心業務系統。 

 

目前市場上可用的認證主要包括如下三類： 1. 本機認證 ， 使用本機存儲的用戶名和密碼進行認證，這種認證方法成本較低，但過於簡單，缺少靈活性和可管理性。  2. AAA認證服務 ， 包括認證、審計和受權服務，目前比較流行的是Cisco的TACACS＋服務，成本較低，具備較好的可操做性和靈活的管理特性。 3. CA認證 ， 主要使用雙因素來進行認證，這種方式具備最好的安全性，較好的管理特性，可是成本偏高。  企業××× 對數據傳送的安全性 、 穩定性 、 速度都有極高的要求，數據專線 是優先要考慮的鏈接方式，企業要 對實際狀況 進行 分析，部署不一樣接入方式的×××系統 也 能夠達到一樣的效果 ， 部署性能穩定的×××系統重點在於總部×××系統的接入方式、分支機構的接入方式、SSL ×××和IPSec ×××的結合使用、以及×××系統的安全認證機制等幾個方面。

Array SSL ×××＋Token令牌環進行遠程安全接入的解決方案 ，是 將 SSL ××× 轉換成一種安全高效的核心業務安全訪問的解決方案。它在提供華爲全球員工的便捷訪問的同時，保證了內部網絡和核心數據資源免受各類***。該平臺採用了一套簡化的集成方法，集網絡安全和 Web 優化應用於一體，包括 SSL ××× ，身份管理，應用層防火牆，安全文件共享和非 Web 應用支持、網絡層 ××× 等多種功能。採用SSL ×××技術，用戶不須要安裝任何客戶端軟件，經過標準的瀏覽器便可進行安全接入，在此過程當中，任何通訊數據都用SSL協議進行加密保護，避免核心數據的泄漏。採用在各大數據中心全球分佈式部署的方式，實現遠程接入的就近性訪問和節點冗餘， 各地接入中心的 Array  SSL ×××  SP X系列產品將採用統一的身份認證平臺，經過 各節點SPX設備經過總部數據中心的RSA認證服務器進行統一的用戶管理和權限控制。

中國網通的MPLS ××× 方案，企業 只須要將本身分支機構的點鏈接到中國網通的骨幹網絡上，就可使用中國網通的MPLS ×××業務，而不用像傳統的專線業務同樣爲如何規劃本身的點對點鏈接而費心了。CNC的骨幹網層採用 Cisco 的GSR路由器，在骨幹環上的每一個城市都採用雙GSR，接入層採用 Cisco 的 75XX系列路由器，以豐富的接口類型、全面的MPLS ×××技術提供高速的MPLS ×××業務。 目前，MPLS ×××能夠支持多種應用方式，包括Intranet ×××、Extranet ×××。Intranet ×××和 Extranet ×××經過公用網絡在公司總部、遠程辦公室、供應商、合做夥伴和用戶之間創建了虛擬專用網絡。這種應用實質上是經過公用網在各個路由器之間創建 ××× 鏈接來傳輸用戶的私有網絡數據。MPLS ×××兼備了公衆網和專用網的許多特色，將公衆網可靠的性能、豐富的功能與專用網的靈活、高效結合在一塊兒，能夠爲企業提供良好的服務。 

 

經過 MPLS ×××接入，實現了分支機構的端口接入爲2MB，總部的接口達到了10MB，知足了 企業 對 高 帶寬的需求 ，可以實現 視頻會議系統。隨着寬帶應用的增長，MPLS ×××的效能才能真正發揮出來，在成本上，傳統的專有網絡的費用基本上是基於鏈接線路的租費，在網絡覆蓋的地理區域增加的同時，費用也迅速增加，而使用 ×××服務的費用相對於不一樣地理區域來講不敏感。在同等帶寬的狀況下，MPLS ×××的接入費用要便宜得多。與傳統IP ×××技術不一樣， MPLS ×××並不採用隧道協議，而是直接在IP包前加入固定長度的包頭，在每一個核心節點只對標記進行交換，這就避免了對整個數據包的處理。所以，在邊緣層 ， 標記可保證數據包到達目的地的準確性；在覈心層，MPLS ×××可保證整個IP包的安全性。MPLS ×××可以利用公用骨幹網絡強大的傳輸能力，下降企業內部網絡Internet的建設成本，極大地提升用戶網絡運營和管理的靈活性，同時可以知足用戶對信息傳輸安全性、實時性、寬帶和方便性的須要。

因配置方面的要求，IPSec一般是點到點的鏈接，MPLS由提供商配置，可以輕易地實現全網狀的網絡結構，而且，MPLS ×××還容許網絡管理者利用MPLS的特性如QoS，所以在企業環境中MPLS ×××比IPSec ×××更具擴展性。 MPLS和IPSec ×××具備各自的優勢，MPLS ×××擴展性好，可以提供更好的數據有效性，而IPSec ×××可以保障更好的數據機密性和完整性。 企業在 選擇最適合本身的 ×××方案要都考慮到企業自身的實力，根據安全耗費比作出最合適的選擇 。