中石化vpn項目解決方案0612

1、WORD28/28IPSec VPN解決方案華為3com技術(shù)目錄 TOC o 1-2 h z u HYPERLINK l _Toc1572361651. 概述 PAGEREF _Toc157236165 h 3HYPERLINK l _Toc1572361661.1VPN定義 PAGEREF _Toc157236166 h 3HYPERLINK l _Toc1572361671.2VPN的類型 PAGEREF _Toc157236167 h 4HYPERLINK l _Toc1572361681.3VPN的優(yōu)點 PAGEREF _Toc157236168 h 5HYPERLINK l _Toc

2、1572361691.4隧道技術(shù) PAGEREF _Toc157236169 h 5HYPERLINK l _Toc1572361701.5加密技術(shù) PAGEREF _Toc157236170 h 8HYPERLINK l _Toc1572361711.6身份認證技術(shù) PAGEREF _Toc157236171 h 9HYPERLINK l _Toc1572361722. 建設(shè)方案 PAGEREF _Toc157236172 h 11HYPERLINK l _Toc1572361732.1基本建設(shè)思路 PAGEREF _Toc157236173 h 11HYPERLINK l _Toc1572

3、361742.2組網(wǎng)方案 PAGEREF _Toc157236174 h 11HYPERLINK l _Toc1572361752.3可靠性方案 PAGEREF _Toc157236175 h 17HYPERLINK l _Toc1572361763. IPSec VPN管理系統(tǒng) PAGEREF _Toc157236176 h 21HYPERLINK l _Toc1572361773.1輕松部署安全網(wǎng)絡(luò) PAGEREF _Toc157236177 h 21HYPERLINK l _Toc1572361783.2直觀展示VPN拓撲 PAGEREF _Toc157236178 h 22HYPERL

4、INK l _Toc1572361793.3全方位監(jiān)控網(wǎng)絡(luò)性能 PAGEREF _Toc157236179 h 22HYPERLINK l _Toc1572361803.4快速定位網(wǎng)絡(luò)故障 PAGEREF _Toc157236180 h 24HYPERLINK l _Toc1572361813.5BIMS分支智能管理系統(tǒng) PAGEREF _Toc157236181 h 24HYPERLINK l _Toc157236182附件:iNode客戶端軟件介紹 PAGEREF _Toc157236182 h 261. 概述隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴，客戶分布日益廣泛，合作伙伴日益增多，

5、這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。VPN定義利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的

6、私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等?！疤摂M”的概念是相對傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以明顯更低的成本連接它們的遠地辦事機構(gòu)、出差工作人員以與業(yè)務(wù)合作伙伴，如圖1所示。圖1 VPN應(yīng)用示意圖由圖可知，企業(yè)部資源享用者只需連入本地ISP的POP（Point Of Presence，接入服務(wù)提供點），即可相互通信；而利用傳統(tǒng)的WAN組建技術(shù)，彼此之間要有專線相連才可以達到同樣的目的。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問

7、企業(yè)部資源；如果接入服務(wù)器的用戶身份認證服務(wù)器支持漫游的話，甚至不必擁有本地ISP的上網(wǎng)權(quán)限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺VPN服務(wù)器就可以了。VPN的類型VPN分為三種類型：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)部的Intranet以與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。Access VPN隨著當前移動辦公的日益增多，遠程用戶需要與時

8、地訪問Intranet和Extranet。對于出差流動員工、遠程辦公人員和遠程小辦公室，Access VPN通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道（Tunnel）連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。Access VPN的結(jié)構(gòu)有兩種類型，一種是用戶發(fā)起（Client-initiated）的VPN連接，另一種是接入服務(wù)器發(fā)起（NAS-initiated）的VPN連接。用戶發(fā)起的VPN連接指的是以下這種情況：首先，遠程用戶通過服務(wù)提供點（POP）撥入Internet，接著，用戶通過網(wǎng)絡(luò)隧道協(xié)議與企

9、業(yè)網(wǎng)建立一條的隧道（可加密）連接從而訪問企業(yè)網(wǎng)部資源。在這種情況下，用戶端必須維護與管理發(fā)起隧道連接的有關(guān)協(xié)議和軟件。在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過本地或免費撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構(gòu)建VPN所需的協(xié)議與軟件均由ISP負責(zé)管理和維護。Intranet VPNIntranet VPN通過公用網(wǎng)絡(luò)進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技

10、術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時應(yīng)根據(jù)自身的需求對以上的各種公用網(wǎng)絡(luò)方案進行權(quán)衡。1.2.3Extranet VPNExtranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。在傳統(tǒng)的專線構(gòu)建方式下，Extranet通過專線互聯(lián)實現(xiàn)，網(wǎng)絡(luò)管理與訪問控制需要維護，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備；雖

11、然可以通過撥號方式構(gòu)建Extranet，但此時需要為不同的Extranet用戶進行設(shè)置，而同樣降低不了復(fù)雜度。因合作伙伴與客戶的分布廣泛，這樣的Extranet建設(shè)與維護是非常昂貴的。因此，諸多的企業(yè)常常是放棄構(gòu)建Extranet，結(jié)果使得企業(yè)間的商業(yè)交易程序復(fù)雜化，商業(yè)效率被迫降低。Extranet VPN以其易于構(gòu)建與管理為解決以上問題提供了有效的手段，其實現(xiàn)技術(shù)與Access VPN和Intranet VPN一樣。Extranet用戶對于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。VPN的優(yōu)點利用公用網(wǎng)絡(luò)構(gòu)建VPN是個新型的網(wǎng)絡(luò)概念，對于企業(yè)而言，利用Intern

12、et組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和Internet費用。據(jù)報道，局域網(wǎng)互聯(lián)費用可降低2040，而遠程接入費用更可減少6080，這無疑是非常有吸引力的；VPN大大降低了網(wǎng)絡(luò)復(fù)雜度、VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)部進行統(tǒng)一分配、VPN組網(wǎng)的靈活方便等特性簡化了企業(yè)的網(wǎng)絡(luò)管理，另外，在VPN應(yīng)用中，通過遠端用戶驗證以與隧道數(shù)據(jù)加密等技術(shù)保證了通過公用網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全性。隧道技術(shù)對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉與了三種網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)

13、隧道協(xié)議、支撐隧道協(xié)議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議?，F(xiàn)有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Access VPN和Extranet VPN；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Intranet VPN和Extranet VPN。二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議）、L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）和L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）。其中L2TP結(jié)合了前兩

14、個協(xié)議的優(yōu)點，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，將是使用最廣泛的VPN二層隧道協(xié)議。應(yīng)用L2TP構(gòu)建的典型VPN服務(wù)的結(jié)構(gòu)如下圖所示：典型撥號VPN業(yè)務(wù)示意圖三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是一個三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GRE與IP in IP、IPX over IP等封裝形式很相似，但比他們更通用。在GRE的處理中，很多協(xié)議的細微差異都被忽略，這使得GRE不限于某個特定的“X over Y”

15、應(yīng)用，而是一種最基本的封裝形式。在最簡單的情況下，路由器接收到一個需要封裝和路由的原始數(shù)據(jù)報文（Payload），這個報文首先被GRE封裝而成GRE報文，接著被封裝在IP協(xié)議中，然后完全由IP 層負責(zé)此報文的轉(zhuǎn)發(fā)。原始報文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負責(zé)轉(zhuǎn)發(fā)的IP 協(xié)議被稱之為傳遞（Delivery）協(xié)議或傳輸（Transport）協(xié)議。注意到在以上的流程中不用關(guān)心乘客協(xié)議的具體格式或容。整個被封裝的報文具有下圖所示格式：通過GRE傳輸報文形式IPSecIPSec（IP Security）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在I

16、nternet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec通過AH （Authentication Header）和ESP （Encapsulating Security Payload）這兩個安全協(xié)議來實現(xiàn)。而且此實現(xiàn)不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現(xiàn)。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：私有性 IPSec在傳輸數(shù)據(jù)包之前將其加密.以保證數(shù)據(jù)的私有性；完整性 IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；真實性 IPSec端要驗證所有受IPSec保護的數(shù)據(jù)包；防重放 IPSec防止了數(shù)

17、據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。IPSec在兩個端點之間通過建立安全聯(lián)盟（Security Association）進行數(shù)據(jù)傳輸。安全聯(lián)盟定義了數(shù)據(jù)保護中使用的協(xié)議和算法以與安全聯(lián)盟的有效時間等屬性。IPSec在轉(zhuǎn)發(fā)加密數(shù)據(jù)時產(chǎn)生新的AH和/或ESP附加報頭，用于保證IP數(shù)據(jù)包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP數(shù)據(jù)包被用來計算附加報頭，且被加密，附加報頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中；在傳輸方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據(jù)

18、被放置在原IP報頭后面。AH報頭用以保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包?？紤]到計算效率，AH沒有采用數(shù)字簽名，而是采用了安全哈希算法來對數(shù)據(jù)包進行保護。AH沒有對用戶數(shù)據(jù)進行加密。AH在IP包中的位置如圖5所示（隧道方式）：圖5 AH處理示意圖ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實性和私有性。ESP頭在IP包中的位置如下（隧道方式）：圖6 ESP處理示意圖AH和ESP可以單獨使用，也可以同時使用。使用IPSec，數(shù)據(jù)就可以在公網(wǎng)上安全傳輸，而不必擔心數(shù)據(jù)被監(jiān)視、修改或偽造。IPSec提供了兩個主機之間、兩個安

19、全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)保護。在兩個端點之間可以建立多個安全聯(lián)盟，并結(jié)合訪問控制列表（access-list）， IPSec可以對不同的數(shù)據(jù)流實施不同的保護策略，達到不同的保護效果。安全聯(lián)盟是有方向性的（單向）。通常在兩個端點之間存在四個安全聯(lián)盟，每個端點兩個，一個用于數(shù)據(jù)發(fā)送，一個用于數(shù)據(jù)接收。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當網(wǎng)絡(luò)中結(jié)點增多時，手工配置將非常困難，而且難以保證安全性。這時就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程。加密技術(shù)Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。IKE定義了通信雙方進行身份認證

20、、協(xié)商加密算法以與生成共享的會話密鑰的方法。IKE的精髓在于它永遠不在不安全的網(wǎng)絡(luò)上直接傳送密鑰，而是通過一系列數(shù)據(jù)的交換，通信雙方最終計算出共享的密鑰。其中的核心技術(shù)就是DH（Diffie Hellman）交換技術(shù)。DH交換基于公開的信息計算私有信息，數(shù)學(xué)上已經(jīng)證明，破解DH交換的計算復(fù)雜度非常高從而是不可實現(xiàn)的。所以，DH交換技術(shù)可以保證雙方能夠安全地獲得公有信息，即使第三方截獲了雙方用于計算密鑰的所有交換數(shù)據(jù)，也不足以計算出真正的密鑰。在身份驗證方面，IKE提供了共享驗證字（Pre-shared Key）、公鑰加密驗證、數(shù)字簽名驗證等驗證方法。后兩種方法通過對CA（Certificate

21、 Authority）中心的支持來實現(xiàn)。IKE密鑰交換分為兩個階段，其中階段1建立ISAKMP SA，有主模式（Main Mode）和激進模式（Aggressive Mode）兩種；階段2在階段1 ISAKMP SA的保護下建立IPSec SA，稱之為快速模式（Quick Mode）。IPSec SA用于最終的IP數(shù)據(jù)安全傳送。另外，IKE還包含有傳送信息的信息交換（Informational Exchange）和建立新DH組的組交換（DH Group Exchange）。身份認證技術(shù)IPSec隧道建立的前提是雙方的身份的得到了認證，這就是所謂的身份驗證。身份驗證確認通信雙方的身份。目前有兩種

22、方式：一種是域共享密鑰（pre-shared key）驗證方法，驗證字用來作為一個輸入產(chǎn)生密鑰，驗證字不同是不可能在雙方產(chǎn)生一樣的密鑰的。驗證字是驗證雙方身份的關(guān)鍵。這種認證方式的優(yōu)點是簡單，但有一個嚴重的缺點就是驗證字作為明文字符串，很容易泄漏。另一種是PKI(rsa-signature)驗證方法。這種方法通過數(shù)字證書對身份進行認證，安全級別很高，是目前最先進的身份認證方式。公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡稱PKI）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責(zé)驗證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，提供了一整套安全

23、機制。PKI采用證書進行公鑰管理，通過第三方的可信任機構(gòu)，把用戶的公鑰和用戶的其他標識信息捆綁在一起，以在網(wǎng)上驗證用戶的身份。PKI為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的性、完整性、有效性。數(shù)據(jù)的性是指數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認。一個PKI系統(tǒng)由公開密鑰密碼技術(shù)、證書認證機構(gòu)、注冊機構(gòu)、數(shù)字證書和相應(yīng)的PKI存儲庫共同組成。PKI組成框圖其中，認證機構(gòu)用于簽發(fā)并管理證書；注冊機構(gòu)用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對

24、證書和日志等信息進行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應(yīng)用信任的基礎(chǔ)，是PKI系統(tǒng)的安全憑據(jù)。數(shù)字證書又稱為公共密鑰證書PKC（Public Key Certificate），是基于公共密鑰技術(shù)發(fā)展起來的一種主要用于驗證的技術(shù)，它是一個經(jīng)證書認證中心數(shù)字簽名的包含公開密鑰擁有者信息以與公開密鑰的文件，可作為各類實體在網(wǎng)上進行信息交流與商務(wù)活動的明。證書是有生命期的，在證書生成時指定，認證中心也可以在證書的有效期到來前吊銷證書，結(jié)束證書的生命期。2. 建設(shè)方案基本建設(shè)思路在VPN接入網(wǎng)的建設(shè)過程中，需要從以下幾個方面來考慮：設(shè)備選型，需要重點關(guān)心設(shè)備的VPN加密性能和轉(zhuǎn)發(fā)性能支持

25、客戶端各種接入手段與動態(tài)IP地址；企業(yè)總部采用固定IP地址，分支機構(gòu)可以選擇ADSL或者FE專線接入Internet。網(wǎng)絡(luò)拓撲類型以Hub-Spoke為主，Partial-Mash方式下客戶端互訪流量通過Server轉(zhuǎn)發(fā)，此時流量不超過20，否則會加重Server負擔，這種情況下，路由的設(shè)計是重點關(guān)注的問題。IP SEC提供在IP層的加密認證等安全服務(wù)。IKE協(xié)商可以采用預(yù)共享密鑰的方式，也可以采用CA認證的方式進行。在企業(yè)總部每2臺VPN Server 互為備份組作為VPN接入服務(wù)器, 如果用戶增加,可以通過增加服務(wù)器備份組的方法接入更多用戶。網(wǎng)絡(luò)的部署監(jiān)控配置維護采用VPN MANAGER

26、和BIMS配合進行組網(wǎng)方案VPN接入網(wǎng)關(guān)子系統(tǒng)部署：在總部局域網(wǎng)Internet邊界防火墻后面配置一臺專用的高性能的VPN網(wǎng)關(guān)，在分支機構(gòu)Internet邊界防火墻后面配置一臺專用VPN網(wǎng)關(guān)，由此兩端的VPN網(wǎng)關(guān)建立IPSec VPN隧道，進行數(shù)據(jù)封裝、加密和傳輸。VPN客戶端設(shè)備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網(wǎng)關(guān)建立VPN。根據(jù)其業(yè)務(wù)的需求，有必要的話，可以在分支節(jié)點用設(shè)備進行冷備份。H3Csecpath系列VPN網(wǎng)關(guān)強大的VPN處理性能，高端專用VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可以提供標準加密算法下350Mbps以上的加密吞吐量，百兆VPN網(wǎng)關(guān)通過專業(yè)的硬件加密處理器可以提供標準

27、加密算法下60Mbps以上的加密吞吐量；VPN Server企業(yè)網(wǎng)絡(luò)OA應(yīng)用服務(wù)器CAMS/Radius VPN ManagerMail服務(wù)器分支結(jié)構(gòu)局域網(wǎng)VPN Client分支結(jié)構(gòu)局域網(wǎng)VPN Client分支結(jié)構(gòu)局域網(wǎng)VPN ClientADSLLANADSLIPSec VPN方式組網(wǎng)特點：VPN客戶端設(shè)備相對來說比較簡單。部署要點VPN客戶端可以使用動態(tài)地址接入服務(wù)器，但為了防止客戶端IPSec配置泄露造成的安全隱患，建議VPN客戶端口采用靜態(tài)地址。同時，這樣也便于使用VPN Manager的配置管理功能。方案特點組網(wǎng)簡單，易于部署；由于IPSec不能承載路由協(xié)議，需要在分支結(jié)構(gòu)和園區(qū)

28、網(wǎng)配置大量的靜態(tài)路由。單純的IPSec封裝，對于帶寬資源消耗較??；IPSec over GRE VPN方式組網(wǎng)特點：部分業(yè)務(wù)流量需要IPSec保護，另一部分業(yè)務(wù)流量不需要IPSec保護，僅需要GRE隧道完成VPN功能。VPN部需要建立統(tǒng)一的OSPF路由域。部署要點兩端的VPN網(wǎng)關(guān)的之間建立GRE隧道，然后將IPSec策略應(yīng)用到GRE隧道接口上從而建立IPSec隧道，進行數(shù)據(jù)封裝、加密和傳輸；在GRE隧道接口上使能OSPF；方案特點GRE可以承載多種協(xié)議，擴展性強。IPSec只適用于IP協(xié)議，所以對于企業(yè)網(wǎng)非IP協(xié)議，不能使用。IPSec是基于策略的，GRE是基于路由的。如果企業(yè)網(wǎng)部分流量需要I

29、PSec保護，而另一部分不需要。建議使用IPSec over GRE的方式。不需要配置大量的靜態(tài)路由，配置簡單。GRE還支持由用戶選擇記錄Tunnel接口的識別關(guān)鍵字，和對封裝的報文進行端到端校驗；GRE收發(fā)雙方加封裝、解封裝處理以與由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會造成路由器一定的負擔；GRE over IPSec VPN方式組網(wǎng)特點：VPN部需要建立統(tǒng)一的OSPF路由域。VPN部可以支持MPLS、IPX等非IP協(xié)議的網(wǎng)絡(luò)。部署要點兩端的VPN網(wǎng)關(guān)的Loopback接口之間建立GRE隧道，然后將IPSec策略應(yīng)用到Wan接口上從而建立IPSec隧道，進行數(shù)據(jù)封裝、加密

30、和傳輸；在GRE隧道接口上使能OSPF；方案特點GRE的特點是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。如果企業(yè)網(wǎng)有IPX、MPLS等應(yīng)用，建議可以先借用GRE承載非IP協(xié)議，然后才能使用IPSec保護GRE報文。GRE是基于路由的，而IPSec是基于策略。如果需要在企業(yè)網(wǎng)統(tǒng)一規(guī)劃路由方案，GRE over IPSec的方式邏輯就比較清晰。因為IPSec的策略是針對GRE隧道的，而GRE隧道是基于路由的，所以整個VPN的路由是統(tǒng)一的。對業(yè)務(wù)流量，諸如路由協(xié)議、語音、視頻等數(shù)據(jù)先進行GRE封裝，然后再對封裝后的報文進行IPSec的加密處理。不必配置大量的靜態(tài)路由，配置簡單。GRE還支持由用

31、戶選擇記錄Tunnel接口的識別關(guān)鍵字，和對封裝的報文進行端到端校驗；GRE收發(fā)雙方加封裝、解封裝處理以與由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降；L2TP over IPSec VPN方式組網(wǎng)特點：IPSec隧道保護RouterA和RouterB之間的公網(wǎng)鏈路。對于分支設(shè)備的安全要求較高，在IPSec認證之外，還需要對分支設(shè)備進行L2TP的認證。通常情況下，L2TP的客戶端是撥號連接到LAC的用戶主機。此時用戶與LAC的連接總是PPP連接。如果使用LAC同時作為客戶端，那么用戶與LAC之間的連接就不受限于PPP連接，而只要是一個IP連接

32、就可以了，這樣LAC能夠?qū)⒂脩舻腎P報文轉(zhuǎn)發(fā)到LNS。使用LAC同時作為客戶端，是在LAC上建立一個虛擬的PPP用戶，該用戶與LNS保持一個常連接。其它所有實際用戶的IP報文都是通過此虛擬用戶轉(zhuǎn)發(fā)給LNS的；部署方式在LAC創(chuàng)建VT模擬用戶，配置地址、驗證方式、用戶名、密碼等信息；分支設(shè)備的用戶端不能由LNS分配地址，必須由用戶手工配置地址，而且需要保證與LNS的VT地址在同一網(wǎng)段，否則OSPF路由不同互通。如果沒有部署OSPF等動態(tài)路由協(xié)議，必須在LAC上需要配置一條靜態(tài)路由，將VPN的流量指向VT接口。方案特點中心網(wǎng)關(guān)可以對分支設(shè)備進行認證和計費，提高系統(tǒng)安全性。L2TP收發(fā)雙方加封裝、解

33、封裝處理以與由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用L2TP會造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降；移動用戶IPSec VPN接入方式組網(wǎng)特點移動用戶靈活接入，安全認證、數(shù)據(jù)保護。部署要點通過客戶端軟件iNode多鏈路形式接入企業(yè)部VPN使用L2TP+IPSEC完成用戶身份認證和報文加密認證方式可以采用Sec keyIKE協(xié)商使用預(yù)共享密鑰的方式進行對于L2TP用戶認證計費采用遠端Radius（CAMS）進行VPN服務(wù)器側(cè)可以考慮使用單臺設(shè)備，也可以考慮使用雙VPN服務(wù)器備份方案特點靈活、安全動態(tài)VPN（DVPN）接入方式DVPN采用了Client和Server的方式，Client

34、設(shè)備（DVPN應(yīng)用中，作為Client接入DVPN域的設(shè)備）需要在DVPN Server設(shè)備（DVPN應(yīng)用中，作為Server接入DVPN域的設(shè)備）進行注冊。DVPN域中一臺DVPN接入設(shè)備作為Server，其他的DVPN接入設(shè)備作為Client。Client在DVPN Server注冊成功后，會與其建立Session（會話隧道），通過Session完成Client的私有網(wǎng)絡(luò)和DVPN Server的私有網(wǎng)絡(luò)的互聯(lián)，Client成功加入到一個DVPN域；Sever會保存所有登錄到DVPN域中的Client信息。如果Client訪問其他Client下面的私有網(wǎng)絡(luò)，首先通過DVPN Server進

35、行數(shù)據(jù)轉(zhuǎn)發(fā)，完成網(wǎng)絡(luò)的訪問。DVPN Server進行數(shù)據(jù)轉(zhuǎn)發(fā)時，如果Client之間可以建立Session，可以使用Redirect（重定向）報文把目的端信息發(fā)送給發(fā)起端。Client接收到Redirect報文，得到對端Client的信息，會在Client之間建立一條新的直連的Session，后續(xù)Client之間的數(shù)據(jù)不需要通過DVPN Server進行轉(zhuǎn)發(fā)，可以通過直連的Session進行數(shù)據(jù)通信。所以一臺合法的Client設(shè)備只需要有DVPN Server設(shè)備的信息就能夠加入到DVPN域，可以和域中其它的Client設(shè)備自動建立會話隧道，實現(xiàn)私有網(wǎng)絡(luò)的直接互聯(lián)，而不需要通過DVPN Se

36、rver進行轉(zhuǎn)發(fā)。DVPN實現(xiàn)了對所有的控制報文的安全保護，對通過公有網(wǎng)絡(luò)傳輸?shù)乃矫艿淖詤f(xié)商報文和會話協(xié)商報文，都可以使用通用的加密算法（支持DES、3DES、AES算法）進行加密保護。對于需要DVPN進行轉(zhuǎn)發(fā)的私有網(wǎng)絡(luò)的數(shù)據(jù)報文，通過IPSec進行加密處理以后，再通過DVPN進行轉(zhuǎn)發(fā)，保證了所有的轉(zhuǎn)發(fā)數(shù)據(jù)都通過IPSec進行保護處理。DVPN實現(xiàn)了身份認證功能，保證Client和DVPN Server的身份合法性。在Client向DVPN Server進行注冊過程中，Client可以根據(jù)配置需要對DVPN Server的身份使用preshared-key進行驗證，保證Client接入一個合

37、法的DVPN Server；DVPN Server可以根據(jù)需要使用AAA對需要接入到DVPN域的Client進行身份驗證，保證只有通過身份驗證的Client才可以接入到DVPN域。DVPN對所有的轉(zhuǎn)發(fā)數(shù)據(jù)報文采用IPSec進行保護處理，繼承了所有的IPSec的功能特點，例如私密性、合法性、防重放等。DVPN還實現(xiàn)了策略的統(tǒng)一管理和多域支持。對于整個DVPN域的各種策略、以與數(shù)據(jù)使用的算法套件和超時重協(xié)商時間統(tǒng)一由Server進行管理，所有的DVPN設(shè)備使用一樣的策略（會話的數(shù)據(jù)IPSec SA的密鑰是在Session建立過程中進行協(xié)商，每個Session會產(chǎn)生單獨的IPSec密鑰）。為了提高設(shè)

38、備的使用，DVPN允許在一臺DVPN設(shè)備上支持多個VPN域。在一臺DVPN設(shè)備上最多可以支持200個DVPN域的Server。大大提高了組網(wǎng)的靈活性，多個企業(yè)可以使用一臺DVPN設(shè)備作為DVPN Server接入設(shè)備使用，可以更加充分的使用網(wǎng)絡(luò)設(shè)備資源，減少了實際的設(shè)備投資?？煽啃苑桨窰3C IPSec VPN高可靠性設(shè)計的核心理念就是增大網(wǎng)絡(luò)冗余性的同時做到負載分擔。衡量可靠性設(shè)計優(yōu)劣的標準就是網(wǎng)絡(luò)異常業(yè)務(wù)流量中斷時間?？煽啃栽O(shè)計組網(wǎng)圖2中，可靠性設(shè)計重點體現(xiàn)在VPN Server的雙機備份、負載分擔和異?？焖偾袚Q3個方面。雙機備份雙機備份是通過VRRP實現(xiàn)的。VRRP（Virtual Ro

39、uter Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議。通常，一個網(wǎng)絡(luò)的所有主機都設(shè)置一條缺省路由（如下圖所示，10.100.10.1），這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA，從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當路由器RouterA壞掉時，本網(wǎng)段所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信。局域網(wǎng)組網(wǎng)方案VRRP就是為解決上述問題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計。我們結(jié)合下圖來看一下VRRP的實現(xiàn)原理。VRRP將局域網(wǎng)的一組路由器（包括一個Master即活動路由器和若干個Backup

40、即備份路由器）組織成一個虛擬路由器，稱之為一個備份組。VRRP組網(wǎng)示意圖這個虛擬的路由器擁有自己的IP地址10.100.10.1（這個IP地址可以和備份組的某個路由器的接口地址一樣），備份組的路由器也有自己的IP地址（如Master的IP地址為10.100.10.2，Backup的IP地址為10.100.10.3）。局域網(wǎng)的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1，而并不知道具體的Master路由器的IP地址10.100.10.2以與Backup路由器的IP地址10.100.10.3，它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.1。于是，網(wǎng)絡(luò)

41、的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進行通信。如果備份組的Master路由器壞掉，Backup路由器將會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡(luò)的主機提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)的主機不間斷地與外部網(wǎng)絡(luò)進行通信?？焖偾袚Q網(wǎng)絡(luò)異常的情況有很多種。如果不考慮運營商的網(wǎng)絡(luò)異常，VPN的異常主要有兩大類：第一類是網(wǎng)關(guān)異常，包括網(wǎng)關(guān)癱瘓、重啟等等；第二類是網(wǎng)關(guān)鏈路異常。在網(wǎng)絡(luò)出現(xiàn)異常時，如何保證業(yè)務(wù)流量能夠盡快恢復(fù)？網(wǎng)關(guān)快速切換，這一切換由VRRP實現(xiàn)。當主網(wǎng)關(guān)或其鏈路出現(xiàn)異常時，VRRP能夠保證在34秒完成主備網(wǎng)關(guān)的切換。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)外的流量能同時切換到新的網(wǎng)關(guān)上，需要

42、在網(wǎng)關(guān)外都設(shè)置VRRP組，并將這一對VRRP組關(guān)聯(lián)起來。一旦其中一個VRRP組發(fā)生切換，另一個方向的VRRP能發(fā)起同步切換。IPSec隧道快速切換，這一切換由IPSec DPD實現(xiàn)。IPSec DPD（IPSec Dead Peer Detection on-demand）為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向?qū)Χ税l(fā)送請求報文，對IKE Peer是否存在進行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測與時、隧道恢復(fù)快的優(yōu)點。IPSec DPD（IPSec D

43、ead Peer Detection on-demand）為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向?qū)Χ税l(fā)送請求報文，對IKE Peer是否存在進行檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測與時、隧道恢復(fù)快的優(yōu)點。在路由器與VRRP備份組的虛地址之間建立ISAKMP SA的應(yīng)用方案中，DPD功能保證了VRRP備份組中主備切換時安全隧道能夠迅速自動恢復(fù)。解決了VRRP備份組主備切換使安全隧道通信中斷的問題，擴展了IPSec的應(yīng)用圍，提高了IPSec協(xié)議的健壯性。

44、數(shù)據(jù)結(jié)構(gòu)DPD數(shù)據(jù)結(jié)構(gòu)（簡稱為DPD結(jié)構(gòu)）用于配置DPD查詢參數(shù)，包括DPD查詢時間間隔與等待DPD應(yīng)答報文超時時間間隔。該數(shù)據(jù)結(jié)構(gòu)可以被多個IKE Peer引用，這樣用戶不必針對接口一一進行重復(fù)配置。定時器IPSec DPD在發(fā)送和接收DPD報文中使用了兩個定時器：intervaltime和timeout。intervaltime：觸發(fā)DPD查詢的間隔時間，該時間指明隔多久沒有收到對端IPSec報文時觸發(fā)DPD查詢。timeout：等待DPD應(yīng)答報文超時時間。運行機制發(fā)送端：當啟動了DPD功能以后，如在intervaltime定時器指定的時間間隔沒有收到對端的IPSec報文，且本端欲向?qū)Χ税l(fā)

45、送IPSec報文時，DPD向?qū)Χ税l(fā)送DPD請求，并等待應(yīng)答報文。如果超過timeout定時器設(shè)定的超時時間仍然未收到正確的應(yīng)答報文，DPD記錄失敗事件1次。當失敗事件達到3次時，刪除ISAKMP SA 和相應(yīng)的IPSec SA。對于路由器與VRRP備份組虛地址之間建立的IPSec SA，連續(xù)3次失敗后，安全隧道同樣會被刪除，但是當有符合安全策略的報文重新觸發(fā)安全聯(lián)盟協(xié)商時，會重新建立起安全隧道。切換時間的長短與timeout定時器的設(shè)置有關(guān)，定時器設(shè)定的超時時間越短，通信中斷時間越短（注意：超時時間過短會增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。接收端：收到請求報文后，發(fā)送響應(yīng)報文。3. IP

46、Sec VPN管理系統(tǒng)IPSec VPN的命令行配置非常復(fù)雜，需要大量的培訓(xùn)工作，同時日常的維護管理工作也極為繁重。IPSec VPN Manager的VSM和VDM模塊主要應(yīng)用于IPSec主模式，可以實現(xiàn)VPN的簡化配置，也可以有效的完成對網(wǎng)路的VPN狀態(tài)的監(jiān)控，提供圖形化的管理界面，簡化配置管理，同時便于實時監(jiān)控VPN狀態(tài)； 輕松部署安全網(wǎng)絡(luò)Quidview IPSec VPN軟件提供配置向?qū)Чδ?，指?dǎo)用戶構(gòu)建VPN網(wǎng)絡(luò)，不必通過復(fù)雜的手工執(zhí)行命令行來部署IPSec VPN網(wǎng)絡(luò)，減輕了部署難度，也降低了維護成本，即使初次使用該軟件的用戶，也能根據(jù)配置向?qū)В晒?chuàng)建一個IPSec VPN網(wǎng)絡(luò)

47、。配置向?qū)蛴脩籼峁┝舜罅砍Ｓ玫娜笔∨渲?，幫助初級用戶快速配置IPSec VPN業(yè)務(wù)。同時，提供了預(yù)定義配置參數(shù)功能，方便高級用戶設(shè)置高級選項，重用配置信息。為了避免在設(shè)備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以與配置命令下發(fā)出現(xiàn)失敗的情況下，清除設(shè)備上不需要的冗余的配置。為了減少配置操作，IPSec VPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域為配置單位，對網(wǎng)絡(luò)域的配置會自動賦予網(wǎng)絡(luò)域的全部設(shè)備，用戶可一次性對網(wǎng)絡(luò)域所有設(shè)備進行一樣配置部署。同時用戶也可指定某個設(shè)備的特殊配置，方便用戶操作。IPSec VPN Manager配置界面直觀展示VPN拓撲Quidview IPSec VPN軟件能夠

48、自動發(fā)現(xiàn)和構(gòu)建VPN拓撲，用戶在拓撲上可以直觀查看VPN通道狀態(tài)、通道流量情況、VPN設(shè)備的運行情況等。IPSec VPN Manager顯示拓撲全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSec VPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對VPN網(wǎng)絡(luò)中的各項重要性能指標進行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運行狀態(tài)。支持對IPSec VPN設(shè)備CPU利用率等關(guān)鍵指標的監(jiān)視；支持對IPSec、IKE隧道的監(jiān)視；支持對協(xié)商過程的監(jiān)視；提供折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據(jù)顯示給用戶；支持TopN功能，使用戶能夠?qū)﹃P(guān)鍵設(shè)備指標一目了然；

49、提供報表導(dǎo)出和基于歷史數(shù)據(jù)的分析，為用戶網(wǎng)絡(luò)擴容、與早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障；支持對用戶關(guān)心的性能參數(shù)設(shè)定閾值，當超過閾值后，系統(tǒng)將會發(fā)送性能告警，使網(wǎng)絡(luò)管理人員與時發(fā)現(xiàn)和消除網(wǎng)絡(luò)中的隱患。IPSec VPN Manager監(jiān)控網(wǎng)絡(luò)快速定位網(wǎng)絡(luò)故障利用Quidview IPSec VPN軟件的故障管理模塊可以實時接收IPSec VPN設(shè)備的告警，并利用該模塊提供的豐富的過濾功能定位關(guān)鍵的告警數(shù)據(jù)?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障。當Quidview IPSec VPN性能監(jiān)視模塊

50、進行VPN設(shè)備閾值監(jiān)控時，如果發(fā)現(xiàn)閾值超過指標會向故障模塊發(fā)送告警，故障模塊會迅速做出反應(yīng)，以聲光告警、Email、短信等方式與時通知到管理人員。同時，VPN拓撲圖將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。IPSec VPN Manager定位故障BIMS分支智能管理系統(tǒng)BIMS（QuidView組件）分支智能管理系統(tǒng)實現(xiàn)從網(wǎng)絡(luò)管理中心來集中對網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級等。傳統(tǒng)網(wǎng)管主要通過SNMP、Telnet等協(xié)議來實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管側(cè)知道被管設(shè)備的IP地址，并且可以主動向設(shè)備發(fā)起請求并建立連接。如果設(shè)備的IP地址不固定，就增加了主動管理的難度；如果設(shè)備位于NAT網(wǎng)關(guān)后

51、面，基本上沒有什么有效的管理手段。BIMS（Branch Intelligent Management System）就是要解決上述問題，實現(xiàn)對動態(tài)獲取IP地址的設(shè)備或位于NAT網(wǎng)關(guān)后面的分支網(wǎng)點設(shè)備的集中、有效的監(jiān)控和管理，尤其在對業(yè)務(wù)應(yīng)用基本一樣、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備進行管理時，BIMS會極大提高管理的效率，大大節(jié)約管理成本。BIMS采用一種被動的方式對設(shè)備進行管理，即網(wǎng)管作為Server，設(shè)備作為Client，依靠設(shè)備周期性的主動訪問網(wǎng)管來實現(xiàn)對設(shè)備的管理。因為連接是由設(shè)備主動發(fā)起的，所以設(shè)備IP地址變化不會對連接的建立產(chǎn)生阻礙，即便設(shè)備位于私網(wǎng)，也可穿透NAT建立連接。網(wǎng)

52、管通過一個固定的、全網(wǎng)唯一的ID來識別設(shè)備，而不再依賴于設(shè)備的IP地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會影響網(wǎng)管對設(shè)備的識別。BIMS網(wǎng)管側(cè)與設(shè)備側(cè)之間通過 協(xié)議進行通訊，采用 進行通信的優(yōu)勢在于其可方便的穿透防火墻，而且協(xié)議簡單、易擴展。同時，為了保證通訊安全，BIMS對傳輸?shù)南?shù)據(jù)進行加密處理。BIMS管理解決方案分兩部分，分支網(wǎng)點設(shè)備側(cè)和管理中心側(cè)，分支網(wǎng)點設(shè)備包括華為SecPath10/100系列安全網(wǎng)關(guān)、3Com AR系列接入路由器等，管理中心側(cè)由Quidview BIMS管理組件實現(xiàn)。設(shè)備側(cè)和管理中心側(cè)采用 協(xié)議進行通信，BIMS管理中心側(cè)作為 Server

53、，設(shè)備側(cè)作為 Client，設(shè)備通過定期訪問管理中心側(cè)來實現(xiàn)相互通信并完成設(shè)備的管理。設(shè)備和管理中心采用 協(xié)議進行通信的優(yōu)勢在于其可穿透絕大多數(shù)的防火墻，而且協(xié)議簡單、易擴展。設(shè)備主動訪問BIMS管理中心時，上報設(shè)備當前的配置文件、設(shè)備軟件的特征信息，由BIMS管理中心來判斷是否需要對設(shè)備進行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點。附件:iNode客戶端軟件介紹Huawei-3Com INode（以下簡稱INode）是華為3Com公司自行設(shè)計開發(fā)的應(yīng)用在PC上的VPN客戶端軟件。通過安裝本軟件，可以使PC機能夠通過多種方式與我司的網(wǎng)絡(luò)設(shè)備（如路由器與Secpath系列網(wǎng)關(guān)設(shè)備等

54、）進行VPN互聯(lián)，并最終實現(xiàn)遠端PC能夠安全、快捷地通過Internet訪問相應(yīng)企業(yè)總部VPN的目的.操作方便一個成熟的VPN客戶端軟件，首先必須操作簡單，界面友好。INode軟件采用流行的軟件風(fēng)格，使用起來極為方便。具備簡單的PC操作技能的人，就可以完成軟件配置，登錄并訪問VPN資源。INode軟件配置方便，靈活，支持多個配置，并且支持配置文件的導(dǎo)入。配置文件的導(dǎo)入能夠極大的減輕維護工作量。系統(tǒng)管理員配置VPN網(wǎng)關(guān)的時候，為了實現(xiàn)較高的安全性，需要配置復(fù)雜的安全策略。相應(yīng)的，為了能夠訪問VPN，每個訪問此VPN的人員都需要對客戶端軟件進行相應(yīng)的配置。而INode軟件無需如此麻煩，只需系統(tǒng)管理員配置一次INode軟件，然后將配置文件分發(fā)給相應(yīng)人員。需要訪問VPN的時候，只需要輸入個人專用用戶名和密碼，就可以輕松訪問VPN資源。安全INode軟件具有高性，高安全性。