VPN网络平台建设方案建议书Word下载.docx
- 文档编号:19674914
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:37
- 大小:213.06KB
VPN网络平台建设方案建议书Word下载.docx
《VPN网络平台建设方案建议书Word下载.docx》由会员分享,可在线阅读,更多相关《VPN网络平台建设方案建议书Word下载.docx(37页珍藏版)》请在冰豆网上搜索。
线路――采用拨号或ADSL上网设备――APNGW2000(10台PC以上)
线路――采用拨号或ADSL上网设备——APNGW100(10台PC以下)
注:
小的站点(仅一两台PC)或者老总出差可以使用我们的软件移动客户端,但只有APNGW2000以上的设备支持移动客户端(即只有2000以上的设备可以跟移动客户端建立隧道)
通过实施以上平台,整个太原市公交公司的数据安全性能够得到很好的保护,而且可以在平台上综合运用公交物资管理系统、内部邮件系统、VOIP免费电话系统、视频会议系统等,每月只是产生线路费用,由于分支机构已使用了费用低廉、带宽高的ADSL等宽带线路,线路费用上无需投入。
很好的节约了整个平台的实施费用。
第一章客户需求及相关技术介绍
【关键词】VPN技术
客户需求
现状:
公司在各区都有分支、仓库。
具体需要连接如下:
1.各分支目前没有和总部建立数据专网传输的连接,总公司网通2M专线连接到互联网。
2.各区的分支和办事处目前已接入互联网,通过公网访问公交办公网,服务器和数据的安全性存在很大的隐患。
3.如果实施公交物资等管理系统,安目前的连接无法实现。
要求:
在性能和安全满足的条件下,采用较低的成本能完成以下功能:
◆建立较完善的公交公司业务管理网络体系。
在现有公司总部及分支站点、营运中心、仓储的局域网基础上,采用先进的VPN技术实现各分支机构的网络互联。
与此同时,总部和分支机构在统一管理的基础上可以方便的连接Internet,各部门或分之机构可以根据相应的权限访问、查询Internet资源。
◆在这个内部的Intranet结构中,各部门和集团总部可以随时相连处理业务,运行内部办公系统、物质管理系统、财务、内部邮件系统等。
◆在整个公司网络建立起来的情况下,增加VOIP语音网关设备,实现总公司和分支机构、各个分支机构之间的内部免费电话网络,使公司的电话费降到最低。
建议:
在VPN网络平台的基础上实现视频会议系统,各分支结构采用软视频的方式(具体技术方案见视频会议系统技术方案)
面临问题分析
如果采用传统的做法,可以使用专用线路,例如DDN/X.25/FrameRealy等。
还有其他方法就是采用无线联网技术,例如卫星、微波通讯等。
采用专用线路,会投入大量的设备和支付每月昂贵的租用费。
而且这些设备维护比较困难,需要专业人士和相关的网络技术;
而且对于整个公司的发展来说,部分分店由于规模、地理位置的原因,也不可能每个地方都采用专线连接;
如果采用专线方式,总部需要安装多套线路,这在管理、维护方面就会带来更大的不便,而且成本也会大幅提高;
同时,对于许多地方,也是无法安装专线。
而且随着分点的增加,总部的管理越来越困难,也不太符合实际情况。
采用微波通讯,速度快,但受限制与地域条件。
微波是高频传输,所以穿透力弱,对于非可视的两点或多点来说,比较难以实现连接,如果采用微波机站的方法,成本就会非常昂贵;
而且还有一个比较大的缺点在于:
目前许多基于微波通讯的技术例如802.11B无线局域网技术,其网桥只能是工作在数据链接层的设备,这在多点通讯是,就需要一个中心点,无法实现其他各点各自的路由。
这将加大中心点的负担。
所以,我们提出采用VPN技术来实现互联互通,资源共享。
同时推荐我们的APNGW系列产品来实现本案例。
相关技术
本方案设计中采用了VPN技术和涉及到VOIP语音技术,现分别作介绍。
⏹VPN技术介绍:
虚拟私有网络VPN(VirtualPrivateNetwork)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。
我们这里所提的VPN有两层含义:
◆它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
◆它是利用公众网络设施构成的专用网。
VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。
VPN可以为企业和服务提供商带来以下益处:
◆公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接;
◆对于企业,基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系;
◆电话公司通过开展拨号VPN服务可以减轻终端阻塞;
◆通过Extranet分层和相关竞争服务,ISP也可以提供不同的拨号VPN。
VPN兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网。
VPN能够充分利用现有网路资源,提供经济、灵活的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用,在近几年得到了迅速的应用。
有专家认为,VPN将是本世纪末发展速度最快的业务之一。
⏹VOIP技术介绍:
VOIP全称voice-over-internet-protocal,Internet电话技术是目前Internet应用领域的一个热门话题。
它主要指在Internet中实时传送声音,从广义上讲,它包括在Internet中实时传送多媒体信息。
基于因特网的实时语音通信,是目前Internet技术应用的一个重大发展方向,通过IP网络,传送商业质量的话音/传真。
其特点在于其软硬件均经过精心设计和开发,可以通过任何IP网络提供无缝的话音/传真集成。
对于公众业务,和传统的PSTN相比,IP电话有以下优点:
◆能够更加高效地利用网络资源,由于IP电话采用的是分组交换技术,可以实现信道的统计复用,并且采用了高效的语音压缩技术,使网络资源的利用效率更高,大大降低了运营商的成本。
◆可以提供更为廉价的服务
对于企业用户来说,通过IP网关传送长途电话/传真,同样具有重要的意义:
◆节省长途电话费用,用IP网络完成所有话音/传真的传送,能极大地降低了公司内部跨地域、跨国界的电话/传真成本。
◆减少设备投资
公司可以在原来只能传送数据的网络上获得增值的话音服务,而无需再另外租用或者购买单独用于话音的设备和线路。
由于所有内部通信(话音、数据、传真)都通过同一网络传送,企业可以大大降低购买和维护设备的费用。
第二章解决方案
【关键词】APNGW
设计思路:
1.采用APNGW产品,通过VPN技术把各分支机构和总部连接起来,组建基于TCP/IP的虚拟专用网络;
2.组建网络之后可以直接运行任何基于TCP/IP的软件,包括KINGDEE的ERP、财务等软件。
3.利用VOIP语音网关可以实现总部和分支机构、分支机构之间进行免费内部电话运用。
4.组建网络之后可以在VPN网络平台上实现视频会议,远程培训等。
线路选型:
推荐使用ADSL作为连接的主要方式,其连接速度快,包月价格也相对便宜。
针对客户现有情况,我们推荐的方案主要有两种:
◆总部线路―――――网通2M专线
◆分支机构线路―――目前上网方式主要集中在ADSL和宽带,根据调查显示各分公司一般是在市内,上网线路资源比较有优势,依据目前国内网络建设的现状和未来的发展情况,推荐采用以下上网方式:
――已经使用ADSL的分公司上网方式不变,可以继续使用。
--没有使用上网线路的分公司可以申请ADSL线路或宽带线路。
――已经使用宽带上网的分公司,请确认IP地址的合法性,如果是私有IP地址,可以找运营商要一个合法的互联网IP地址,不一定需要静态IP地址,动态的IP地址也可以,如果不行可以考虑申请ADSL线路。
设备选型:
总部设备:
建议采用APNGW2500,它代有专业的FIREWALL防火墙和DMZ管理,,隧道传输经过3DES高安全性的加密算法,同时配有完整的路由策略、完整的日志功能。
分点设备:
建议采用APNGW2000设备,基于IPSEC构建的高安全性加密算法,同时配备备选的5种加密算法可供选择,还有3种保证数据安全性的加密算法选择,配备基于IPTABLE的包过滤和状态检测防火墙,完整的日志功能和路由安全策略,WEB页面配置(如果分支机构LAN里PC少于10台,建议使用APNGW100
,该设备不支持移动客户端)
APNGW方案描述
公司在全市有多个办事处。
以后可以很方便的扩展到其他各地;
没有地域的限制
1.在其他异地办公室分别放置一台APNGW2000/100,建议都使用ADSL或有合法IP地址的宽带上网。
总部建议采用APNGW2500进行对联;
2.在每点安装APNGW产品之后,当地的局域网可以用它作为代理服务器上网;
3.每点与其它点的通讯速度取决于其中一个点连接internet的速度的最低上行速度。
4.任何两点之间可以自由通讯,其连接无需转发。
连接是网状的,需要星状结构可以通过APNGW5000设备进行转换。
5.可以定义其他分点的连接情况,可以形成任意网络状况的连接。
6.所有的管理都是基于APNGW5000,非常智能和高效;
7.选择电话费用较高的办事处加装VOIP语音网关设备,可以实现加密情况下的电话通讯,同时可以实现集团公司分点之间的无话费的运用,最大程度降低企业运营成本。
8.通过在VPN网络平台上搭建的视频会议系统可以实现远程培训;
再加上IP摄像头可以实现远程音、视频监控;
同时只要使用相应的安全数据监控采集系统,便可以在VPN隧道内进行安全的传输;
网络拓朴图
以下是本方案的网络拓朴图:
图1方案拓扑图
方案说明
1.总部采用1台GW2500;
2.各分部采用GW2000/100(十台PC以上的分公司用2000)
3.整个过程中,现在的系统在硬件和网络上几乎无需改动;
4.在这个网络基础上,可以直接运行VOIP,视频会议和任何基于TCP/IP的应用程序;
5.各点基于IPSec建立VPN通道,传输经过AES/3DES等多种加密算法(可以自由选择);
同时采用MD5/RSA2048算法;
其他VPN解决方案没有的特点
1.可扩展性:
假如在安装了18个点之后,以后如果扩展,只需要在新加的点里设置即可。
对前面的APNGW不需要做任何的设置(注意:
如果采用其他产品,一般需要对其他点都有一一设置),直接可以使用;
2.可管理性:
可选APNGW管理模块,定制APNGW节点之间的路由逻辑关系,例如可以设定A与B连接,与C又不可连接,而B与C又可以连接;
3.支持动态IP地址的网状的网络连接:
基于APNGW架构建立的VPN网络,任意点之间是可以直接通讯,没有中心瓶颈的限制;
这也是其他产品没有的特点;
4.能与现在有的任何网络无缝接入:
如果部分节点已经有了DDN、FRAMERELAY或其他VPN隧道,APNGW可以无缝的接入到现在的网络之中;
5.易用性:
APNGW产品安装、维护十分简单。
一般有一点TCP/IP基础的技术人员,在几分钟内可以学会设置和安装。
而且产品基于嵌入式设计,几乎无需维护;
移动用户
可以采用我们的client软件,通过笔记本电脑直接联入公司网络。
我们可提供开放的接口,可以让其无缝的连接到VPN体系中。
具体应用:
总部、分部都采用APNGW系列产品组建VPN网络。
单机和移动用户可以采用移动客户端通过PPTP协议接入到APN系统中。
APNGW产品简介
为了实现现在线路的连接,我们提出的解决方案中利用我们的APNGW产品。
它最大的特点就是费用低,稳定可靠,无需专线,无需固定IP地址。
可以支持多种上网方式,如拨号、ISDN、ADSL。
产品特征
●APNGW是解决网络安全传输的最高效,最节省的组网技术。
●APNGW是专业代理服务器,实现一条线路的共享上网。
●APNGW是专业的高效防火墙,可以管理外网、内网、专网。
可谓防外又防内。
●APNGW能使用动态IP接入Internet的LAN之间进行互联。
●APNGW能够实时监控网络内部的一举一动,提供网络监控日志功能。
●APNGW能形成网状的网络连接,通讯无中心瓶颈,构建高效的即时通讯平台;
●以最低成本接入,最低通讯成本提供高性能高可靠性的企业专网的计算机网络技术。
●APNGW支持ADSLISDNDDNDial-up方式,静态/动态IP接入。
在相同的通讯带宽下,节省80%通讯费用。
●APNGW能使普通企事业也能通过Internet组建自己的企业专网。
使企业所有于局域网上应用的网络应用以最低的成本应用至Internet所及的范围。
技术要点
●协议:
TCP/IP
●基于IPSec国际标准
●完善的路由功能
●完善的宽带代理服务器。
NAT/PAT地址转换技术保护内部网络。
●DHCP服务器
●DNS服务器
●设备是一个高性能的防火墙
●内置PPPoE
●TelnetorVT100终端控制端口命令行
●支持NAT穿透
硬件接口
●Console接口:
系统配置及系统监测,通过RS-232(9600,8N1)进行通讯
●局域网接口:
EthernetInterface,10/100BASE-T
●广域网接口:
EthernetInterface10/100BASE-T)/PPPoE通讯口接口(用于接ADSLCableModem)
RS-232,外置Dial-upModem/ISDNTA
物理规范
●输入电压:
110V~230V
●功率:
最大约40W(GW1000/2000)
●使用环境温度:
0~45℃
●使用环境湿度:
5~95%
加密算法
数据传输可自由选择
●AES/128位加密算法
●3DES/168位加密算法
●SERPENT/128位加密算法
●BLOWFISH/128位加密算法
●TWOFISH/128位加密算法
●国家密码委员会指定的硬件加密卡或第三方算法
保证数据完整可自由选择
●MD5-96
●SHA1-96
●SHA2-256
●SHA2-512
身份认证支持
●RSA2048
●Pre-shareKey
符合标准
●RFC2401SecurityArchitecturefortheInternetProtocol
●RFC2411IPSecurityDocumentRoadmap
●RFC2402IPAuthenticationHeader
●RFC2406IPEncapsulatingSecurityPayload(ESP)
●RFC2367PF_KEYKeyManagementAPI,Version2
●RFC2407TheInternetIPSecurityDomainofInterpretationforISAKMP
●RFC2408InternetSecurityAssociationandKeyManagementProtocol(ISAKMP)
●RFC2409TheInternetKeyExchange(IKE)
●RFC2412TheOAKLEYKeyDeterminationProtocol
●RFC2528InternetX.509PublicKeyInfrastructure
●RFC2085HMAC-MD5IPAuthenticationwithReplayPrevention
●RFC2104HMAC:
Keyed-HashingforMessageAuthentication
●RFC2202TestCasesforHMAC-MD5andHMAC-SHA-1
●RFC2207RSVPExtensionsforIPSECDataFlows
●RFC2403TheUseofHMAC-MD5-96withinESPandAH
●RFC2404TheUseofHMAC-SHA-1-96withinESPandAH
●RFC2405TheESPDES-CBCCipherAlgorithmWithExplicitIV
●RFC2410TheNULLEncryptionAlgorithmandItsUseWithIPsec
●RFC2451TheESPCBC-ModeCipherAlgorithms
●RFC2521ICMPSecurityFailuresMessages
APNGW的安装设置
APNGW的安装非常简单。
只需连接好线路,启动机器,通过232口和windows的超级终端来设置即可。
设置参数包括:
广域网(类型、用户名、密码)、局域网(IP地址)。
一般功能通过WEB页面设置都可以做到,比较方便,详细的配置需要通过配置线缆进行配置。
APNGW系列产品性能列表
产品名称
APNGW100/2000/2500
网站
c:
\iknow\docshare\data\cur_work\
产品定位
需要最高性能和可靠性的大型组织机构企业/大型网状的连接、从企业级、电信级用户
防火墙
紧密集成/支持分组管理、VPN通道中的用户管理和上网管理等多个模块
产品配置情况
可支持最大连接数
单域1024个、同一系统中无域数目的限制(决定于硬件)标准的5000支持1024以上个域
VPN实现机制
硬件、软件、应用
可提供网络接口
至少2个以太网口,1个console口,1个232口
操作系统平台
基于Linux的自主开发平台
协议
VPN采用协议
IPSec/PPTP/GRE/
VPN可承载协议
IP
IP压缩
支持
NAT(网络地址转换)
路由协议支持情况
静态路由、RIP等部分动态路由协议
功能
硬件加速功能
硬件可选
V两侧是否需要独立子网
需要
冗余与恢复
5000支持冗余备份
冗余与恢复对业务的影响
无影响
VPN网关支持流量均衡
安全
安全策略
地址,端口,服务,时间,协议类型
安全机制
加密和认证、标准的IPSec和独创的Licenses认证机制
认证机制
Licenses认证机制、EAP
密匙管理协议
IKE
IKEPhaseI模式支持
可分别设置IKE和IPSec特征
IKE认证支持情况
PreSharedKey、RSA硬件Key认证
认证算法支持
MD5-96、SHA1-96、SHA2-256、SHA2-512
加密算法支持
AES/128位加密算法、3DES/168、SERPENT/128、BLOWFISH/128、TWOFISH/128、硬件加密卡或第三方算法
加密、认证方法不同于IPSec
PKI兼容情况
PKI
自动协商功能
支持Internet访问
日志
支持、可以查看网络用户的使用情况和系统日志
其他
网状连接,通讯无中心瓶颈
客户端
对PPTP的支持情况
远程接入认证方法
Licenses认证本地用户名和口令
客户端软件平台
Windows2000/XP
客户端支持的协议
IP/IPX
管理
是否集中管理
集中管理
管理平台
集中在5000上
远端管理
Telnet
APNGW2000性能指标
硬件配置
CY233/64MRAM/8MFlash
网络接口卡
全双工10/100M自适应
最大支持隧道数目
1024个
加密算法与处理能力
加密算法名称
加密算法处理速度Kb/s
NULL
7196.4
AES/128/MD5
4404.96
3DES/168/MD5
2774.4
SERPENT/128/MD5
4594.8
BLOWFISH/128/MD5
5080.24
TWOFISH/128/MD5
4933.2
VPN协议
IPSec/PPTP/GRE
隧道支持协议
http/UDP/等透明传输
输入电压
交流110V-240V
最大功率
40w
使用环境温度
使用环境湿度
平均无故障时间
MTBF>
=28000小时
电气标准
FCC/CE
APNGW2500性能指标
标准配置
C500/64M可扩展512MRAM/32MFlash/1Flash扩展口、1硬件加密卡插槽
全双工10/100M自适
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 网络 平台 建设 方案 建议书