***单位VPN互联解决方案技术建议书2010-5-6目录目录i1概述21.1VPN技术21.1.1L2TP VPN 技术21.1.2IPSec VPN技术32**单位VPN需求分析43**单位VPN解决方案53.1**单位VPN互联解决方案组网图63.2**单位 VPN 解决方案方案组网说明63.2.1VPN 接入网关子系统63.2.2移动用户VPN客户端子系统93.2.3VPN 集中管理子系统94华为VPN接入解决方案特点104.1全面的VPN业务支撑能力104.2领先的 VPN 性能及高可靠的硬件体系11 5成功案例125.1奥运城市数据系统VPN项目125.2电子政务VPN应用案例131概述随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业IT网络设计工程师亟待解决的问题。

VPN技术正是基于此应运而生，能够为此提供全面的解决方案，在不安全的Internet之上建立廉价、安全、私有的企业VPN 网络，包括Site-to-Site VPN与Access VPN。

1.1VPN技术VPN技术是为了解决在不安全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性。

企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题，VPN 技术是企业传输数据非常理想的选择。

1.1.1L2TP VPN技术L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输，属于二层隧道技术。

L2TP VPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式，在下图中，LAC表示L2TP 访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器NAS（Network Access Server），它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端的软件。

L2TP VPN服务具有如下几个优点：1.灵活的身份验证机制以及高度的安全性。

2. L2TP支持内部地址分配，LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用等方案。

3.能够实现网络计费的灵活性，可以在LAC和LNS两处同时计费，即ISP处（用于产生账单）及企业处（用于付费及审记）。

4. L2TP具有较高的可靠性，可以支持备份LNS，当一个主LNS不可达之后，LAC可以重新与备份LNS建立连接，这样增加了VPN服务的可靠性和容错性。

同任何一种技术一样，L2TP VPN也存在着一定的的缺点： L2TP的缺点是封装层次多，在数据包上依次封装了PPP->UDP->IP三层，因而效率较低。

将不安全的IP包封装在安全的IP 包内，它们用IP包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。

它不对两个节点间的信息传输进行监视或控制。

端点用户需要在连接前手工建立加密信道。

认证和加密受到限制，没有强加密和认证支持。

1.1.2IPSec VPN技术IPSec VPN技术属于三层隧道VPN技术。

IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括：网络安全协议：Authentication Header（AH）协议，提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。

AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。

Encapsulating Security Payload（ESP）协议，通过对数据包的全部数据和加载内容进行全加密，进而提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。

与AH不同的是，ESP认证功能不对IP数据报头中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。

在Ipsec中，AH和ESP是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。

大部分的应用案例都采用了ESP或同时使用ESP和AH。

密钥管理协议：Internet Key Exchange （IKE）协议，实现安全协议的自动安全参数协商，可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等，这些安全参数的总体称之为安全联盟（SA）。

验证及加密的算法：认证算法，HMAC-MD5、HMAC-SHA-1；加密算法，DES、3DES。

IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。

IPSec协议是一个应用广泛、开放的VPN 安全协议。

IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。

IPSec提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。

IPSec 工作在网络层，在参加IPSec的设备（如路由器）之间为数据的传输提供保护，主要是对数据的加密和数据收发方的身份认证。

Ipsec是主要用于在网络层实现VPN的技术。

根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，可采用Ipsec技术组建企业VPN。

它比较适用于对网络数据保密要求高的用户。

IPSec的实现是靠两个IPSec的对端维系的，因此它实际上是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。

因此，它的实现是一种与接入网络无关的VPN技术。

但这并不等于说它就是与网络服务提供商无关的，我们可以作为网络服务维护者的角度，帮助客户建立并维护VPN网络，使得用户不必投入人力资源去维护一个VPN网络。

IPSec的特点是较为适用于各分支机构之间的互联，对于IP地址要求做较为完善的规划，在一定程度上制约了IPSec的应用范围。

针对这个问题，目前华为的 VPN 解决方案已经支持野蛮模式，所谓野蛮模式就是通过实现注册的用户名来进行IKE协商，优点避免了解决方案中必须是固定IP地址的困惑，可以是分支上网自动获取IP地址，然后与总部进行协商，极大的增强了Ipsec的功能。

2**单位VPN需求分析随着**单位业务在地的高速扩张，分支机构及合作伙伴日益增多，而所有的分支机构都需要与总部进行安全互联。

传统的基于专线的互联解决方案由于建设成本和使用费用昂贵，目前已逐渐被另外一种安全可靠且费用低廉的 VPN 解决方案所取代，成为跨国企业分支机构与总部之间安全互联的首选解决方案。

根据对**单位网络现状的分析，我们认为**单位的 VPN 需求主要在以下方面：1)无锡，杭州，上海，苏州，常州等地之间需要通过Internet进行 VPN 互联，以实现视频会议，网络电话等功能；2)移动办公用户在家中或出差途中，需要能够通过专用的客户端软件（VPN Client）安全接入到**单位内部网络；3)所采用的 VPN 设备要能够与其他厂商互通，并具有很好的集中管理平台（VPNManager）；因此在企业网络中安装IPSec VPN 网关，可以有效解决远程接入问题。

用户既不受地域限制，也不受接入方式限制，只要该用户能够接入Internet，便能够安全地接入企业网内部。

3**单位VPN解决方案根据**单位的具体需求以及华为公司在 VPN 解决方案上的多年积累，我们认为**单位VPN解决方案的设计必须满足以下原则：1．先进性原则：VPN设备必须采用专用的硬件平台和软件平台以保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟。

2．高可靠性：**单位网络是其各种信息化应用的基础，网络的稳定性至关重要； VPN 设备由于部署在关键节点，成为网络稳定性的重要因素。

因此整个网络设计必须考虑到高可靠性因素。

3．可扩展性：**单位处在业务高速发展阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。

4．开放兼容性：所采用的 VPN 产品设计规范、技术指标要符合国际和工业标准，能够与其他厂商产品兼容，从而有效的保护投资。

3.1 **单位VPN 互联解决方案组网图图1 VPN 互联解决方案组网图3.2 **单位 VPN 解决方案方案组网说明**单位 VPN 解决方案由以下四个子系统构成：1) VPN 接入网关子系统2) 移动用户 VPN 客户端子系统3) VPN 集中管理子系统对于每个子系统的详细描述如下：3.2.1 VPN 接入网关子系统VPN 接入网关设备是整个VPN 解决方案的核心部分，实现Site-to-Site 的VPN 接入，华为USG/SRG 系列 VPN 网关具有非常高的性能特性以及丰富的功能特性，支持防火墙、AAA 、NAT 、QoS 等技术；支持多种VPN 业务，如L2TP VPN 、IPSec VPN 、GRE VPN 、MPLS VPN 等，可无锡 苏州 上海移动用户 常州总部以针对客户需求通过拨号、LAN 或隧道等方式接入远端用户，构建Internet 、Intranet 、Access 等多种形式的VPN 网络。

配合防火墙、AAA 、NAT 、QoS 等技术，安全网关可以确保在开放的Internet 上实现安全的、满足可靠质量要求的私有网络。

VPN 接入网关子系统一般由总部VPN 网关和分支机构 VPN 网关两部分组成：华为 VPN 接入网关具有如下特点：● 支持虚拟多域技术为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，可以允许用户在一台 VPN 网关设备上支持多个VPN 域, 每个VPN 域可以定义为一个分支机构或一个部门, 并允许一台 VPN 网关设备下多个VPN 域之间的IP 地址重叠。

这些域之间的VPN 网络是完全隔离的。

●多种 VPN 技术融合如上图所示，华为 USG/SGR 系列 VPN 网关支持从Internet 安全接入到MPLS VPN 网络，通过一台VPN 网关设备的一个物理接口就可以为Internet 上的众多分支机构接入到MPLS VPN 骨干网中。

用户认证通过IKE 来提供，可以提供基于证书的方式，也可以采用pre-shared key 的方式。

通过IKE 认证就可以知道该 IPSec 隧道应该接入到哪个MPLS VPN 中。