虚拟专网解决方案.doc

竞星剑——虚拟专网应用方案 1边界概述虚拟专网的边界是指需要通过互联网组成 VPN 网络时,不同地域局域网的互联网边界。用户敏感数据将通过不安全的公众网络进行传输,组成异地虚拟专网。 2风险与需求分析越来越多的行业用户(特别是大型企事业单位)在网络建设过程中,由于自身发展规模扩大等因素,需要用一种安全的方法,通过广域网传输私有的敏感数据,从而把分散在各地的分支机构互联起来,在实现这一目标的过程中就产生了如下安全需求: ?数据安全传输大量的私有敏感数据需要在不安全的广域网上传输,数据在传输过程中的机密性、完整性和可用性必须得到切实保障;必须采取严格的技术手段对数据进行认证、加密等,防止在广域网中发生数据被窃听、假冒、盗取、篡改等安全事件。?链路备份对于已经进行专线组网的用户而言,越来越多的用户需要一套备份线路,一旦专线线路发生故障,可以快速切换到备份线路上,保障自身的业务系统不会因为专线线路长时间中断而造成损失。同时,备份线路的安全性要和专线一样有保障。?集中管理需要组建虚拟专网的用户,网络特点通常都是规模较大、地域分散。在保证数据能够有效、安全传输的同时,具备强大的集中管控能力同样是非常重要的环节,通过集中管理,可监控各地设备状态、进行策略统一管理等。?组网方式不同类型的网络往往需要不同的组网方式,例如,有的网络节点不多,也没有一个核心节点,常需要点对点自由建立隧道;有的网络具备中心节点,更多的是其与分支节点间进行通信;还有一种情况是,网络具备多级管理结构,希望在多个级别的节点上进行控制,形成一种级联式的管理模式。 3方案概述采用 VPN 技术进行组网是解决数据异地安全传输问题的首选方案,其主要协议—— IPSEC 协议具备多种安全特性, 能保证用户的自有数据即使在不安全的网络中同样可以安全地传递。同时,可以很好地满足专线备份链路的需求,以同样安全的 VPN 组网技术保障业务数据的不间断传输。?部署方式对于不同类型的网络,联想网御总结出多种不同的组网方式: ?自由互联型组网?星形组网( hub - spokes ) ?树状组网自由互联型组网即各个节点通过部署在节点前的 VPN 网关设备进行自主隧道建立与维护;星形组网和树状组网是更为重要的组网形态,其中,树状组网方式是由联想网御首先提出的全新模式。这两种部署结构如下图所示: 上图中右侧为星形组网方式,其要点为在每个节点部署 VPN 网关设备,其中心节点需要部署较高性能设备,各分支子网发起的 VPN 连接均首先进入其与中心节点的 IPSEC 隧道,再由中心节点的 VPN 网关根据相关策略与最终目的节点的 VPN 网关建立隧道并进行数据转发。上图中左侧为树状组网方式,以基于路由的 VPN 组网技术,通过多级管理中心实现了隧道的传递。数据从出发节点到目标节点将不再直接进行隧道连接或者通过中心节点转发,而是通过路由的控制,通过不同的隧道进行传递,通过多级管理中心,有效减少了隧道总数。实现了树状网络各节点间横向以及纵向跨级任意访问。?集中管理对于星形以及树状组网方式来说,所部署产品的集中管理能力是这种组网方式是否易于应用的关键因素之一。星形组网方式实现了在中心节点的高度 VP N 集中管理,树状组网方式实现了多级管理机制,设备集中监控、策