企业配置×××网络接入技术

Virtual Private Network （ 虚拟专用网 ）， ×××是经过在两台计算机之间模拟点对点专用链接的方式创建一条专用 “隧道” 链接从而达到在共享或者公共Internet网络上传输私有数据的目的，它具备良好的保密和不受干扰性，使双方能进行自由而安全的点对点链接 。 整个×××网络的任意两个节点之间的链接，并无传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的Frame Relay等网络平台之上的逻辑网络，用户数据在逻辑链路中传输。经过采用相应的加密和认证技术来保证用内部网络数据在公网上安全传输，从而真正实现网络数据的专用性。×××技术的主要目标是节省企业的通讯费用，特别是替代企业已有的专线，而且提升企业网络的可管理性，下降企业的通讯成本，并且容易扩展，可随意与合做伙伴联网，彻底控制主动权，便于兼容。×××的核心就是在利用公共网络创建虚拟私有网 ，×××产品支持多种接入模式，能够在不一样的网络环境很是方便、灵活地创建×××隧道；同时具备强大的加密和认证功能，保证数据在Internet上传输的安全性 。

×××的接入 模式分为： 点对点接入 、 星型拓扑的×××接入 、 动态IP地址接入 、 NAT穿越的接入 四种模式。 点对点接入是×××比较常见的一种接入模式，适用于数量很少的企业之间进行互连。企业之间经过×××隧道的链接，创建一条能够穿越Internet的隧道，经过这条隧道能够实现如下功能：总部用户与分公司用户经过私有地址通信，同时能够访问Internet；出差用户经过×××客户端与总部或者分公司通信，同时能够访问Internet；总部用户能够经过VoIP设备与分公司用户免费通话；总部用户与分公司用户进行点对点链接，出差用户与总部、分公司点对点链接。

星型拓扑链接的好处是配置简单，同时能够节省隧道数量。企业×××进行点对点接入时，须要全部企业之间都必须相互创建隧道，例如某集团有10个分公司，就须要创建10条隧道。这就要求×××设备支持的隧道数量比较多，而支持如此多的隧道的设备价格都比较高，这给企业的投资带来较大的问题。若是利用星型拓扑，能够轻松解决这个问题。星型拓扑接入时只须要每个分公司与总部创建一条隧道，分公司之间的访问经过总部的×××进行转发便可。星型拓扑接入创建隧道后能够实现总部与各个分部经过私有地址通信，同时能够访问Internet；各个分公司之间经过VoIP设备免费通信；出差用户经过×××客户端与总部通信，而后经过总部访问各分公司；出差用户与总部和分部通信的同时，能够访问Internet；星型拓扑适用于分公司（×××隧道）较多的用户。

 

动态IP地址接入 。 ADSL、城域网的IP地址大多数为动态的，每一次接入时的IP地址都不同  ，V PN设备 要 支持动态IP的隧道创建 ，先 为动态IP地址申请一个免费的动态域名，根据指定对方×××设备的域名创建×××隧道。经过动态IP地址接入创建隧道后，能够实现如下功能：×××接入的双方或者多方IP地址都是动态变化的；各个分公司之间经过VoIP设备免费通话；总部用户与分公司用户经过私有地址通信，同时能够访问Internet；出差用户经过×××客户端与总部或者分公司通信，同时能够访问Internet。

 

NAT穿越的接入 。对于 使用了防火墙或者其余设备做NAT地址转换，要创建×××隧道，必需要求×××设备支持NAT穿越功能，不然没法创建隧道。经过NAT穿越创建隧道后，能够实现×××客户端和×××设备设备通过NAT后与×××网关创建隧道；各个分公司之间经过VoIP设备免费经过； 分公司 用户经过×××设备做NAT穿越后与 总部 的私有地址通信，同时经过防火墙NAT转换能够访问Internet。

 

×××接入 技术 方式主要有两种，分别是IPSec ×××和SSL ×××。IPSec ×××是针对数据在经过公共网络时的数据完整性、安全性和合法性等问题设计的一整套隧道、加密和认证方案。SSL ×××是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec ×××相比，SSL经过简单易用的方法实现信息远程连通。任何安装浏览器的机器均可以使用SSL ×××， 这是由于SSL 内嵌在浏览器中，它不须要象传统IPSec ×××同样必须为每一台客户机安装客户端软件。SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。它已被普遍地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各类应用层协议之间，为数据通信提供安全支持 ， SSL协议可分为两层：SSL记录协议(SSL Record Protocol)创建在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)创建在SSL记录协议之上，用于在实际的数据传输开始前，通信双方进行身份认证、协商加密算法、交换加密密钥等。

 

如今 企业大 都面临着这样的挑战：分公司、经销商、合做伙伴、客户和外地出差人员要求随时通过公用网访问公司的资源 ， 这些资源包括 ： 公司的内部 邮件 、办公OA、ERP系统、CRM系统、项目管理系统等 ，企业 经过使用IPSec ×××来保证公司总部和分支机构以及移动工做人员之间安全链接。针对不一样的 企业需求 ，×××有三种解决方案：远程访问虚拟网（Access ×××）、企业内部虚拟网（Intranet ×××）和企业扩展虚拟网（Extranet ×××），这三种类型的×××分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合做伙伴的企业网所构成的Extranet（外部扩展）相对应。 

 

远程接入××× （ Access ××× ） 服务 方案 ，是指企业员工或企业的小分支机构经过公网远程拨号的方式构筑的虚拟网。Access ×××经过在企业总部配置一台×××网关设备，而在各须要访问企业总部资源的远程用户终端(包括公司在家办公或出差在外的移动用户、办事处或小分支机构)安装×××的客户端软件，来提供对企业内部网或外部网的远程访问。Access ×××能使用户随时、随地以其所需的方式访问企业资源，这些访问的方式如 ADSL 等拨号接入方式，主要用于企业员工或企业的小分支机构经过远程拨号的方式构建的虚拟网。在远端的PC中装入××× Client软件，经过简单的设置，再拨号到 ××× 平台或ISP便可，这样就能经过加密通道链接到公司内部网络，查询本身须要的资料等数据信息。

企业 总部部署Site-to-Site的IPSec ××× 方案， 总部×××网关采用不一样网络运营商多条线路接入Internet ， 为了保证×××流量带宽以及数据安全，×××接入Internet采用独立的专线 ， 和其余Internet应用接入隔离开来。购买×××认证服务器，统一提供认证、审计和受权服务，解决×××安全问题 ， 对×××用户进行安全认证。员工电脑终端安装×××客户端，经过ADSL接入Internet ，经过身份验证后 经由IPSec隧道，访问位于公司总部的核心业务系统。 

 

目前市场上可用的认证主要包括如下三类： 1. 本机认证 ， 使用本机存储的用户名和密码进行认证，这种认证方法成本较低，但过于简单，缺少灵活性和可管理性。  2. AAA认证服务 ， 包括认证、审计和受权服务，目前比较流行的是Cisco的TACACS＋服务，成本较低，具备较好的可操做性和灵活的管理特性。 3. CA认证 ， 主要使用双因素来进行认证，这种方式具备最好的安全性，较好的管理特性，可是成本偏高。  企业××× 对数据传送的安全性 、 稳定性 、 速度都有极高的要求，数据专线 是优先要考虑的链接方式，企业要 对实际状况 进行 分析，部署不一样接入方式的×××系统 也 能够达到一样的效果 ， 部署性能稳定的×××系统重点在于总部×××系统的接入方式、分支机构的接入方式、SSL ×××和IPSec ×××的结合使用、以及×××系统的安全认证机制等几个方面。

Array SSL ×××＋Token令牌环进行远程安全接入的解决方案 ，是 将 SSL ××× 转换成一种安全高效的核心业务安全访问的解决方案。它在提供华为全球员工的便捷访问的同时，保证了内部网络和核心数据资源免受各类***。该平台采用了一套简化的集成方法，集网络安全和 Web 优化应用于一体，包括 SSL ××× ，身份管理，应用层防火墙，安全文件共享和非 Web 应用支持、网络层 ××× 等多种功能。采用SSL ×××技术，用户不须要安装任何客户端软件，经过标准的浏览器便可进行安全接入，在此过程当中，任何通讯数据都用SSL协议进行加密保护，避免核心数据的泄漏。采用在各大数据中心全球分布式部署的方式，实现远程接入的就近性访问和节点冗余， 各地接入中心的 Array  SSL ×××  SP X系列产品将采用统一的身份认证平台，经过 各节点SPX设备经过总部数据中心的RSA认证服务器进行统一的用户管理和权限控制。

中国网通的MPLS ××× 方案，企业 只须要将本身分支机构的点链接到中国网通的骨干网络上，就可使用中国网通的MPLS ×××业务，而不用像传统的专线业务同样为如何规划本身的点对点链接而费心了。CNC的骨干网层采用 Cisco 的GSR路由器，在骨干环上的每一个城市都采用双GSR，接入层采用 Cisco 的 75XX系列路由器，以丰富的接口类型、全面的MPLS ×××技术提供高速的MPLS ×××业务。 目前，MPLS ×××能够支持多种应用方式，包括Intranet ×××、Extranet ×××。Intranet ×××和 Extranet ×××经过公用网络在公司总部、远程办公室、供应商、合做伙伴和用户之间创建了虚拟专用网络。这种应用实质上是经过公用网在各个路由器之间创建 ××× 链接来传输用户的私有网络数据。MPLS ×××兼备了公众网和专用网的许多特色，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一块儿，能够为企业提供良好的服务。 

 

经过 MPLS ×××接入，实现了分支机构的端口接入为2MB，总部的接口达到了10MB，知足了 企业 对 高 带宽的需求 ，可以实现 视频会议系统。随着宽带应用的增长，MPLS ×××的效能才能真正发挥出来，在成本上，传统的专有网络的费用基本上是基于链接线路的租费，在网络覆盖的地理区域增加的同时，费用也迅速增加，而使用 ×××服务的费用相对于不一样地理区域来讲不敏感。在同等带宽的状况下，MPLS ×××的接入费用要便宜得多。与传统IP ×××技术不一样， MPLS ×××并不采用隧道协议，而是直接在IP包前加入固定长度的包头，在每一个核心节点只对标记进行交换，这就避免了对整个数据包的处理。所以，在边缘层 ， 标记可保证数据包到达目的地的准确性；在核心层，MPLS ×××可保证整个IP包的安全性。MPLS ×××可以利用公用骨干网络强大的传输能力，下降企业内部网络Internet的建设成本，极大地提升用户网络运营和管理的灵活性，同时可以知足用户对信息传输安全性、实时性、宽带和方便性的须要。

因配置方面的要求，IPSec一般是点到点的链接，MPLS由提供商配置，可以轻易地实现全网状的网络结构，而且，MPLS ×××还容许网络管理者利用MPLS的特性如QoS，所以在企业环境中MPLS ×××比IPSec ×××更具扩展性。 MPLS和IPSec ×××具备各自的优势，MPLS ×××扩展性好，可以提供更好的数据有效性，而IPSec ×××可以保障更好的数据机密性和完整性。 企业在 选择最适合本身的 ×××方案要都考虑到企业自身的实力，根据安全耗费比作出最合适的选择 。