王毅母亲王昆:华为3com的IPSec VPN方案 - 安全硬件设备使用与交流 - IXPUB技术社区

华为3com的IPSec VPN方案
随着企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。虚拟专用网（VPN）满足了企业对网络的灵活性、安全性、经济性、扩展性等多方面要求，赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。　　对于企业网用户来说，IPSec VPN是一个公认的理想解决方案。IPSec是业界标准的网络安全协议，可以为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，从而有效抵御网络攻击。
　　华为3com的IPSec VPN解决方案以IPSec技术为基础，与GRE、L2TP等技术的灵活组合给用户提供多样的、高可靠性的解决方案并配合高性能VPN网关、VPN路由器、VPN Manager、BIMS等软硬件设施为用户提供包括接入、传输、认证、管理、配置等全方位解决方案。
方案概述

　　华为3Com VPN解决方案，由VPN接入网关子系统、VPN管理子系统两个部分组成。
VPN接入网关子系统

　　VPN接入网关子系统设备是整个VPN系统的核心部分，其设备可以采用专用VPN网关设备secpath系列来实现，也可以采用华为3COM高性能的AR系列路由器来承担。
　　SecPath系列VPN安全网关是华为3Com公司面向企业用户开发的新一代专业安全网关设备，具有非常高的性能以及丰富的功能特性。VPN安全网关支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络，支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。
　　AR46路由器也可作为VPN网关接入。为了提升AR46的加密性能，实际使用时可以将AR46和ENDE加密卡配合完成，该加密卡具有强劲的专用加密卡和加密芯片。同时，采用高性能的CPU、高速大容量内存也保障了优秀的加密性能。
VPN管理子系统

　　VPN管理子系统由两个组件组成：华为3Com VPN Manager系统以及华为3Com BIMS分支智能管理系统。VPN Manager可以简化VPN的部署和配置，可以完成对网路的VPN状态的监控。BIMS可以完成对后续设备进行升级配置和管理的需求。
　　华为3Com VPN Manager系统，以用户实际配置任务为驱动，提供IPSec VPN业务配置向导，指导用户进行IPSec VPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，而无需进行过多配置及软件使用学习。
　　为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用户也可指定某个设备的特殊配置。
　　BIMS分支智能管理系统实现从网络管理中心来集中对网络设备的管理，如配置文件下发、设备软件升级等。BIMS（Branch Intelligent Management System）可实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控和管理，尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时，BIMS会极大提高管理的效率，大大节约管理成本。同时，为了保证通讯安全，BIMS对传输的消息数据进行加密处理。
方案特点

1、组网灵活，使用范围广
　　华为3Com公司从企业用户业务需求、可靠性要求和投资规模等多方面综合考虑，量身打造了多种分支机构上联企业总部的解决方案，包含单链路单网关型、VPN网关备份型和双链路双网关型等多种方案。
　　方案采用支持NAT穿越和野蛮模式（中心节点通过设备ID名进行协商而不再需要地址信息检查）的方式，解决了分支机构用户通过NAT设备进入Internet和IP地址不固定的用户上网的两类问题，满足了企业用户分支节点接入的多样性需求。
2、管理简单明了
　　该方案提供专用的管理系统VPN MANAGER，直观友好、简单易用的图形管理界面，简化了管理员的维护操作。支持自动发现和构建VPN拓扑，直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。能够快速定位网络故障，为解决问题赢得时间。
3、企业分支设备集中配置
　　分支机构分布广、设备多、配置重复，往往给企业的IT管理带来了繁重的工作量，华为3Com公司的BIMS（分支智能管理系统）为解决这一问题营运而生。BIMS采用分支设备主动，网管被动的方式对分支的设备进行管理，网络连接由分支设备主动发起，公私网地址转换、动态IP地址、批量设备配置等难题迎刃而解。
4、全系列设备支持
　　该方案涵盖了华为3Com公司全系列中低端路由器、VPN网关等产品，为客户提供了多种经过验证、有保证的安全解决方案，企业用户可以根据自己的实际需要和投资规模找到最适合的选择。
典型组网应用

　　在实际的组网中，可以根据企业实际情况，采用灵活多样的组网方式，用最低的代价实现企业VPN接入需求。可以采用基本组网方案、VPN网关备份组网方案和高可靠性VPN组网方案。
基本组网方案
　　该组网方案采用单链路单网关方式，在总部局域网数据中心部署VPN Manager组件，实现对VPN网关的部署管理和监控，在总部局域网内部或Internet边界部署BIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署。
　　该方案主要面向对网络链路要求不高的小型分支机构，可根据企业实际情况采用IPSec VPN、IPSec over GRE VPN、GRE over IPSec VPN、L2TP over IPSec VPN等方式实现接入。
VPN网关备份组网方案
 　　该组网方案采用单链路双网关方式，对VPN网关进行了双机备份。
　　该方案面向对可靠性等指标提出了较高要求的用户。根据实际情况，可采用L2TP、VRRP、OSPF方式实现对网关间的备份。
高可靠性VPN组网方案
　　该组网方案在VPN网关备份的基础上，对于接入分支节点的链路也进行了备份。在进行链路备份时，不同链路分别接入到不同的ISP，主链路采用光纤接入，备份链路采用ADSL进行热备。为了增强VPN网关的稳定性，在VPN网关节点部署双VPN网关，利用该VPN双网关可以有效的提高系统的可靠性。同时，对于业务分支节点较大的企业，可以通过有效配置实现业务的负载分担。
　　该方案主要面向特别重要、对可靠性要求非常高的分支机构，但其实现的成本也最高。

本文来自: IXPUB技术社区(www.ixpub.net) 详细出处参考：http://www.ixpub.net/thread-751050-1-1.html