中石化vpn解決方案

IPSecVPN解決方案華為3com技術名目\l“_TOC_250017“概述 3\l“_TOC_250016“VPN定義 3\l“_TOC_250015“VPN的類型 4\l“_TOC_250014“VPN的優(yōu)點 5\l“_TOC_250013“隧道技術 5\l“_TOC_250012“加密技術 8\l“_TOC_250011“身份認證技術 9\l“_TOC_250010“建設方案 11\l“_TOC_250009“根本建設思路 11\l“_TOC_250008“組網方案 11\l“_TOC_250007“牢靠性方案 17\l“_TOC_250006“IPSecVPN治理系統(tǒng) 21\l“_TOC_250005“輕松部署安全網絡 21\l“_TOC_250004“直觀展現(xiàn)VPN拓撲 22\l“_TOC_250003“全方位監(jiān)控網絡性能 22\l“_TOC_250002“快速定位網絡故障 24\l“_TOC_250001“BIMS分支智能治理系統(tǒng) 24\l“_TOC_250000“附件:iNode客戶端軟件介紹 26概述隨著網絡，尤其是網絡經濟的進展，企業(yè)日益擴張，客戶分布日益廣泛，現(xiàn)在網絡的敏捷性、安全性、經濟性、擴展性等方面。在這樣的背景下，VPN以運行與維護，而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。VPN定義Network〕，用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN象企業(yè)現(xiàn)有的私有網絡一樣供給安全性、牢靠性和可治理性等?！疤摂M”的概念是相對傳統(tǒng)私有網絡的構建方式而言的。對于廣域網連接，VPN是利用效勞供給商所供給的公共網絡來實現(xiàn)遠程的廣域連接。通過VPN，企業(yè)可以以明顯更低的本錢連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴，如圖1所示。PSTN/ISDNPCPOPInternetISPFrameIPRelayPOPATMPOP內部效勞器圖1VPN應用示意圖由圖可知，企業(yè)內部資源享用者只需連入本地ISP的POP〔PointOfPresence，接入效勞供給點〕WAN組建技術，彼此之間要有本地ISP效勞器支持漫游的話，甚至不必擁有本地ISP的上網權限。這對于流淌性很大的VPN效勞所需的設備很少，只需在資源共享處放置一臺VPN效勞器就可以了。VPN的類型VPN分為三種類型：遠程訪問虛擬網〔AccessVPN〕、企業(yè)內部虛擬網〔IntranetVPN〕和企業(yè)擴展虛擬網〔ExtranetVPN〕，這三種類型的VPN分Intranet以及企業(yè)網和相關合作伙伴的企業(yè)網所構成的Extranet相對應。AccessVPN隨著當前移動辦公的日益增多，遠程用戶需要準時地訪問Intranet和和ExtranetAccessVPN的應用中，利用了二層網絡隧道技術在公用網絡上建立VPN隧道〔Tunnel〕連接來傳輸私有網絡數(shù)據。AccessVPN的構造有兩種類型，一種是用戶發(fā)起〔Client-initiated〕的VPN連接，另一種是接入效勞器發(fā)起〔NAS-initiated〕的VPN連接。用戶發(fā)起的VPN連接指的是以下這種狀況：首先，遠程用戶通過效勞供給點〔POP〕撥入Internet，接著，用戶通過網絡隧道協(xié)議與企業(yè)網建立一條的隧道〔可加密發(fā)起隧道連接的有關協(xié)議和軟件。VPN連接應用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網。在這種狀況下，所建立的VPN連接對遠端用戶是透亮的，構建VPN所需的協(xié)議及軟件均由ISP負責治理和維護。IntranetVPNIntranetVPN通過公用網絡進展企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網或其他企業(yè)網的擴展或替代形式。利用IP網絡構建VPN的實質是通過公用網在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網絡數(shù)據，用于構建這種VPN連接的隧道技術有IPSec、GRE等。結合效勞商供給的QoS機制，可以有效而且牢靠地使用網絡資源，保證了網ATM或幀中繼的虛電路技術構建的VPN其缺乏是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構建VPN是最為經濟的方式，但效勞質量難以保證。企業(yè)在規(guī)劃VPN建設時應依據自身的需求對以上的各種公用網絡方案進展權衡。1.2.3ExtranetVPNExtranetVPN是指利用VPN將企業(yè)網延長至合作伙伴與客戶。在傳統(tǒng)的專線還需要在Extranet的用戶側安裝兼容的網絡設備；雖然可以通過撥號方式構建ExtraneExtranet因合作伙伴與客戶的分布廣泛，這樣的Extranet建設與維護是格外昂貴的。因Extranet，結果使得企業(yè)間的商業(yè)交易程序簡單化，商業(yè)效率被迫降低。ExtranetVPN以其易于構建與治理為解決以上問題供給了有效的手段，其實現(xiàn)技術與AccessVPN和IntranetVPN一樣。Extranet用戶對于ExtranetVPN的訪問權限可以通過防火墻等手段來設置與治理。VPN的優(yōu)點利用公用網絡構建VPN是個型的網絡概念，對于企業(yè)而言，利用InternetInternet60～80％，這無疑是格外有吸引力的；VPNVPN用戶的網絡地址可以由企業(yè)內部進展統(tǒng)一安排、VPN組網的敏捷便利等特性簡化了企業(yè)的網絡治理，另外，在VPN應用中，通過遠端用戶驗證以及隧道數(shù)據加密等技術保證了通過公用網絡傳輸?shù)乃接袛?shù)據的安全性。隧道技術對于構建VPN來說，網絡隧道(Tunneling)技術是個關鍵技術。網絡隧道技議的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。它主要應用于構建AccessVPN和ExtranetVPN；另一種是三層隧道協(xié)議，用于傳輸三層網絡協(xié)議，它主要應用于構建IntranetVPN和ExtranetVPN。二層隧道協(xié)議二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點對點隧道協(xié)議〕、L2F〔Layer2Forwarding，二層轉發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，二層隧道協(xié)議〕。其中L2TP結合了前兩個協(xié)議的優(yōu)點，VPN二層隧道協(xié)議。應用L2TP構建的典型VPN效勞的構造如以下圖所示：遠端用戶遠端用戶PCLACInternet骨干網LNSPSTN/ISDNL2TP通道接入效勞器遠地分支機構內部效勞器典型撥號VPN業(yè)務示意圖三層隧道協(xié)議用于傳輸三層網絡協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很的技術，早已消滅的RFC1701GenericRoutingEncapsulation〔GRE〕協(xié)議就是一個三層隧道協(xié)議，此外還有IETF的IPSec協(xié)議。GRE與IPinIP、IPXoverIP等封裝形式很相像，但比他們更通用。在GREY”應用，而是一種最根本的封裝形式。在最簡潔的狀況下，路由器接收到一個需要封裝和路由的原始數(shù)據報文〔Payload〕，這個報文首先被GRE封裝而成GRE報文，接著被封裝在IP協(xié)議中，然后完全由IP層負責此報文的轉發(fā)。原始報文的協(xié)議被稱之為乘客協(xié)議，GRE被稱之為封裝協(xié)議，而負責轉發(fā)的IP協(xié)議被稱之為傳遞〔Delivery〕協(xié)議或傳輸〔Transport〕協(xié)議。留意到在以上的流程中不用關心乘客協(xié)議的具體格式或內容。整個被封裝的報文具有以下圖所示格式：DeliveryDeliveryHeader(TransportProtocol)GREHeaderProtocol)PayloadPacket(PassengerProtocol)通過GRE傳輸報文形式IPSecIPSec〔IPSecurity〕IP層InternetIPSec通過AH〔AuthenticationHeader〕和ESP〔Encapsulating它Internet影響其它局部的實現(xiàn)。IPSec供給以下幾種網絡安全效勞：IPSec在傳輸數(shù)據包之前將其加密.以保證數(shù)據的私有性；IPSec沒有被修改；IPSec端要驗證全部受IPSec保護的數(shù)據包；IPSec絕老的或重復的數(shù)據包，它通過報文的序列號實現(xiàn)?！睸ecurityAssociation〕進展數(shù)等屬性。IPSec在轉發(fā)加密數(shù)據時產生的AH和/或ESP附加報頭，用于保證IP數(shù)據包的安全性。IPSec有隧道和傳輸兩種工作方式。在隧道方式中，用戶的整個IP來計算附加報頭，附加報頭和被加密的傳輸層數(shù)據被放置在原IP報頭后面。AH報頭用以保證數(shù)據包的完整性和真實性，防止黑客截斷數(shù)據包或向網絡AHAH在IP包中的位置如圖5所示〔隧道方式〕：IPTCPIPTCPDataIP2AHIPTCPData圖5AH處理示意圖IPTCPDataIP2IPTCPDataIP2ESPIPTCPDataTrailerAuth圖6ESP處理示意圖AH和ESP可以單獨使用，也可以同時使用。數(shù)據就可以在公網上安全傳輸，而不必擔憂數(shù)據被監(jiān)視、修改或偽造。IPSec供給了兩個主機之間、兩個安全網關之間或主機和安全網關之間的數(shù)據保護。在兩個端點之間可以建立多個安全聯(lián)盟，并結合訪問掌握列表〔access-list〕，IPSec可以對不同的數(shù)據流實施不同的保護策略，到達不同〔單向〕。通常在兩個端點之間存在四個安全聯(lián)盟，每個端點兩個，一個用于數(shù)據發(fā)送，一個用于數(shù)據接收。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當網絡中結點增多時，手工配置將格外困難，而且難以保證安全性。這時就要使用IKE自動地進展安全聯(lián)盟建立與密鑰交換的過程。加密技術鑰。IKE定義了通信雙方進展身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE的精華在于它永久不在擔憂全的網絡上直接傳送密鑰，而是通過一系列數(shù)據的交換，通信雙方最終計算出共享的密鑰。其中的核心技術就是DH經證明，破解DH交換的計算簡單度格外高從而是不行實現(xiàn)的。所以，DH交換技的全部交換數(shù)據，也缺乏以計算出真正的密鑰。在身份驗證方面，IKE供給了共享驗證字〔Pre-sharedKey〕、公鑰加密驗中心的支持來實現(xiàn)。IKE1建立ISAKMPSA，有主模式〔MainMode〕和激進模式〔AggressiveMode〕兩種；階段2在階段1ISAKMPSA的保護〔QuickMode〕。IPSecSA用于最終的IP數(shù)據安全傳送?！睮nformationalExchange〕和建立DH組的組交換〔DHGroupExchange〕。身份認證技術IPSec隧道建立的前提是雙方的身份的得到了認證，這就是所謂的身份驗證。身份驗證確認通信雙方的身份。目前有兩種方式：一種是域共享密鑰〔pre-sharedkey〕驗證方法，驗證字用來作為一個輸明文字符串，很簡潔泄漏。另一種是PKI(rsa-signature)驗證方法。這種方法通過數(shù)字證書對身份進展認證，安全級別很高，是目前最先進的身份認證方式。公鑰根底設施〔PublicKeyInfrastructure，簡稱PKI〕是通過使用公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系，它是一套軟硬件系統(tǒng)和安全策略的集合，供給了一整套安全機制。PKI標識信息捆綁在一起，以在網上驗證用戶的身份。PKI為用戶建立起一個安全的改；數(shù)據的有效性是指數(shù)據不能被否認。PKI應用PKI應用數(shù)字證書認證機構注冊機構PKI存儲庫PKI組成框圖其中，認證機構用于簽發(fā)并治理證書；注冊機構用于個人身份審核、證書廢除列表治理等；PKI存儲庫用于對證書和日志等信息進展存儲和治理，并供給PKIPKI證書又稱為公共密鑰證書PKC〔PublicKeyCertificate〕，是基于公共密鑰技可以在證書的有效期到來前撤消證書，完畢證書的生命期。建設方案根本建設思路在VPN接入網的建設過程中，需要從以下幾個方面來考慮：設備選型，需要重點關心設備的VPN加密性能和轉發(fā)性能IP地址；企業(yè)總部承受固定IP地址，分支機構可以選擇ADSL或者FE專線接入Internet。網絡拓撲類型以Hub-Spoke為主，Partial-Mash方式下客戶端互訪流量通過由的設計是重點關注的問題。IPSEC供給在IP層的加密認證等安全效勞。IKE協(xié)商可以承受預共享密鑰的方式，也可以承受CA認證的方式進展。在企業(yè)總部每2臺VPNServer互為備份組作為VPN接入效勞器,假設用戶增加,可以通過增加效勞器備份組的方法接入更多用戶。網絡的部署監(jiān)控配置維護承受VPNMANAGER和BIMS協(xié)作進展組網方案Internet邊界防火墻后面配置一臺VPNInternet邊界防火墻后面配置一臺專用VPNVPNVPN客戶端設備可以承受靜態(tài)或動態(tài)申請的IP地址和總部網關建立VPN鏈接。依據其業(yè)務的需求，有必要的話，可以在分支節(jié)點用設備進展冷備份。H3Csecpath系列VPN網關強大的VPN處理性能，高端專用VPN網關通過專業(yè)350MbpsVPN網關通過專業(yè)的硬件加密處理器可以供給標準加密算法下60Mbps以上的加密吞吐量；VPNVPNClient分支構造局域網ADSL企業(yè)網絡VPNManagerVPNClient分支構造局域網LANVPNServerCAMS/RadiusADSLMail效勞器VPNClientOA應用效勞器分支構造局域網IPSecVPN方式組網特點：部署要點VPNIPSec配置泄VPN客戶端口承受靜態(tài)地址。同時，這樣也便于VPNManager的配置治理功能。方案特點組網簡潔，易于部署；由。封裝，對于帶寬資源消耗較??；IPSecoverGREVPN方式組網特點：IPSec保護，另一局部業(yè)務流量不需要IPSec保護，僅需要GRE隧道完成VPN功能。內部需要建立統(tǒng)一的OSPF路由域。部署要點VPNGREIPSecGRE隧道接口上從而建立IPSec隧道，進展數(shù)據封裝、加密和傳輸；OSPF；方案特點GRE可以承載多種協(xié)議，擴展性強。IPSecIPIP協(xié)議，不能使用。保護，而另一局部不需要。建議使用IPSecoverGRE的方式。不需要配置大量的靜態(tài)路由，配置簡潔。接口的識別關鍵字，和對封裝的報文進展端到端校驗；GREGRE會造成路由器肯定的負擔；GREoverIPSecVPN方式組網特點：GRETunnelGRETunnelIPSecTunnelCorporateintranetInternetRemoteofficenetworkRouterA RouterBVPN內部需要建立統(tǒng)一的OSPF路由域。MPLS、IPX等非IP協(xié)議的網絡。部署要點VPNLoopbackGREIPSec策略應WanIPSec隧道，進展數(shù)據封裝、加密和傳輸；方案特點GRE的特點是可以承載多種協(xié)議，而IPSec只能承載IP協(xié)議。假設企業(yè)網IP協(xié)議，然后才能IPSecGRE報文。GRE是基于路由的，而IPSec是基于策略。假設需要在企業(yè)網內統(tǒng)一規(guī)劃路由方案，GREoverIPSecIPSec的策略是針對GREGREVPN內的路由是統(tǒng)一的。對業(yè)務流量，諸如路由協(xié)議、語音、視頻等數(shù)據先進展GRE封裝，然后再對封裝后的報文進展IPSec的加密處理。不必配置大量的靜態(tài)路由，配置簡潔。Tunnel接口的識別關鍵字，和對封裝的報文進展端到端校驗；影響，這就導致使用GRE會造成路由器數(shù)據轉發(fā)效率有肯定程度的下降；L2TPoverIPSecVPN方式組網特點：LACLACLNS私有網絡 Internet網絡10.2.0.03.3.3.2私有網絡10.1.0.0

RouterBIPSec隧道保護RouterA和RouterB之間的公網鏈路。對于分支設備的安全要求較高，在IPSec認證之外，還需要對分支設備進展L2TP的認證。通常狀況下，L2TP的客戶端是撥號連接到LAC的用戶主機。此時用戶與LAC的連接總是PPPLACLACPPPIPLACIPLNSLACLACPPPLNS保持一個常連接。其它全部實IPLNS的；部署方式LACVT模擬用戶，配置地址、驗證方式、用戶名、密碼等信息；分支設備的用戶端不能由LNS安排地址，必需由用戶手工配置地址，而且LNSVTOSPF路由不同互通。假設沒有部署OSPF等動態(tài)路由協(xié)議，必需在LAC上需要配置一條靜態(tài)路VPNVT接口。方案特點中心網關可以對分支設備進展認證和計費，提高系統(tǒng)安全性。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據量增加等因素的影L2TP會造成路由器數(shù)據轉發(fā)效率有肯定程度的下降；移動用戶IPSecVPN接入方式組網特點部署要點iNode多鏈路形式接入企業(yè)內部VPN使用L2TP+IPSEC完成用戶身份認證和報文加密認證方式可以承受SeckeyIKE協(xié)商使用預共享密鑰的方式進展對于L2TP用戶認證計費承受遠端Radius〔CAMS〕進展效勞器側可以考慮使用單臺設備，也可以考慮使用雙VPN效勞器備份方案特點敏捷、安全動態(tài)VPN〔DVPN〕接入方式DVPN承受了Client和Server的方式，Client設備〔DVPN應用中，作為ClientDVPNDVPNServer〔DVPNServer接入DVPN域的設備〕進展注冊。DVPN域中一臺DVPN接入設備作為Server，其Session〔會話隧道〕，通過SessionClientDVPNServer的私有網絡的互聯(lián)，ClientDVPN；SeverDVPNClientDVPNServerServerClient起端。ClientRedirectClientClient間建立一條的直連的Session，后續(xù)Client之間的數(shù)據不需要通過DVPNServer進展轉發(fā)，可以通過直連的Session進展數(shù)據通信。所以一臺合法的ServerDVPNDVPNServerDVPN實現(xiàn)了對全部的掌握報文的安全保護，對通過公有網絡傳輸?shù)乃矫艿摹睤ES、3DES、AES〕DVPNIPSecDVPNIPSecDVPNClientDVPNServerClient向DVPNServer進展注冊過程中，Client可以依據配置需要對DVPNServer的身份使用preshared-keyClient接入一個合法的DVPNServerAAADVPNClientClientDVPNDVPNIPSecIPSec的功能特點，例如私密性、合法性、防重放等。DVPNDVPNServerIPSecSASessionIPSecDVPN允許在一臺DVPN設備上支持多個VPN域。在一臺DVPN設備上最多可以支持200個DVPN域的Server。大大提高了組網的敏捷性，多個企業(yè)可以使用一臺削減了實際的設備投資。牢靠性方案H3CIPSecVPN高牢靠性設計的核心理念就是增大網絡冗余性的同時做到負載分擔。衡量牢靠性設計優(yōu)劣的標準就是網絡特別業(yè)務流量中斷時間。圖1牢靠性設計組網Server的雙機備份、負載分擔和特別快速切換3個方面。雙機備份缺省路由〔如以下圖所示，10.100.10.1〕，這樣，主機發(fā)出的目的地址不在本網段的報文將被通過缺省路由發(fā)往路由器RouterA，從而實現(xiàn)了主機與外部網絡的RouterARouterA為缺省路由下一跳的主機將斷掉與外部的通信。NetworkRouterA 10.100.10.1Ethernet10.100.10.1

10.100.10.1 LAN1Host1 Host2 Host3局域網組網方案VRRP就是為解決上述問題而提出的，它為具有多播或播送力量的局域網〔包括一個Master即活動路由器和假設干個Backup即備份路由器組織成一個虛擬路由器，稱之為一個備份組。Network10.100.10.2 10.100.10.3RouerAMaster

VirtualIPAddress10.100.10.1

RouterBBackupEthernet10.100.10.1 10.100.10.1 10.100.10.1 LAN1Host1 Host2 Host3VRRP組網示意圖組內的某個路由器的接口地址一樣備份組內的路由器也有自己的IP〔主機僅僅知道這個虛擬路由器的IP地址10.100.10.1，而并不知道具體的Master己的缺省路由下一跳地址設置為該虛擬路由器的IP地址10.100.10.1。于是，網絡內的主機就通過這個虛擬的路由器來與其它網絡進展通信。假設備份組內的MasterBackupMaster路由網絡進展通信。快速切換網絡特別的狀況有很多種。假設不考慮運營商的網絡特別，VPN的特別主要。在網絡消滅特別時，如何保證業(yè)務流量能夠盡快恢復？能夠保證在3~4秒內完成主備網關的切換。而且為了保證網關切換后，網關內外VRRP組，并將這一對VRRPVRRPVRRP能發(fā)起同步切換。IPSec隧道快速切換，這一切換由IPSecDPD實現(xiàn)。IPSecDPD〔IPSecDeadPeerDetectionon-demand〕為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。向對端發(fā)送懇求報文，對IKEPeer是否存在進展檢測。與IPSec中原有的周期性功能相比，DPD具有產生數(shù)據流量小、檢測準時、隧道恢復快的優(yōu)點。IPSecDPD〔IPSecDeadPeerDetectionon-demand〕為按需型IPSec/IKE安全隧道對端狀態(tài)探測功能。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向對端發(fā)送懇求報文，對IKEPeer是否存在進展檢測。與IPSec中原有的周期性Keepalive功能相比，DPD具有產生數(shù)據流量小、檢測準時、隧道恢復快的優(yōu)點。在路由器與VRRP備份組的虛地址之間建立ISAKMPSADPD功VRRPVRRP備份IPSecIPSec協(xié)議的強健性。數(shù)據構造DPD數(shù)據構造〔簡稱為DPD構造〕用于配置DPD查詢參數(shù)，包括DPD查詢時間間隔及等待DPD應答報文超時時間間隔。該數(shù)據構造可以被多個IKEPeer引用，這樣用戶不必針對接口一一進展重復配置。定時器IPSecDPDDPD報文中使用了兩個定時器：intervaltime和timeout。intervaltime：觸發(fā)DPD查詢的間隔時間，該時間指明隔多久沒有收到對端IPSec報文時觸發(fā)DPD查詢。timeout：等待DPD應答報文超時時間。運行機制內沒有收到對端的IPSec報文，且本端欲向對端發(fā)送IPSec報文時，DPD向對端發(fā)送DPDtimeout定時器設定的超時時間仍舊未收記錄失敗大事13ISAKMP和相應的IPSecSA。對于路由器與VRRP備份組虛地址之間建立的IPSecSA，連續(xù)3次失敗后，安全隧道同樣會被刪除，但是當有符合安全策略的報文重觸發(fā)安全聯(lián)盟協(xié)商時，會重建立起安全隧道。切換時間的長短與timeout定時器的設置有關，定時器〔一般狀況下承受缺省值即可〕。接收端：收到懇求報文后，發(fā)送響應報文。IPSecVPN治理系統(tǒng)VPNManager的VSM和VDM模塊主要應用于IPSec主模VPNVPN圖形化的治理界面，簡化配置治理，同時便于實時監(jiān)控VPN狀態(tài)；輕松部署安全網絡QuidviewIPSecVPN軟件供給配置向導功能，指導用戶構建VPN網絡，不必通過簡單的手工執(zhí)行命令行來部署IPSecVPN網絡，減輕了部署難度，也降低了IPSecVPN網絡。IPSecVPN業(yè)務。同時，供給了預定義配置參數(shù)功能，便利高級用戶設置高級選項，重IPSecVPN網絡配置以網絡域為配置單位，對網絡一樣配置部署。同時用戶也可指定某個設備的特別配置，便利用戶操作。IPSecVPNManager配置界面直觀展現(xiàn)VPN拓撲QuidviewIPSecVPN軟件能夠自動覺察和構建VPN拓撲，用戶在拓撲上可以直觀查看VPN通道狀態(tài)、通道流量狀況、VPN設備的運行狀況等。IPSecVPNManager顯示拓撲全方位監(jiān)控網絡性能，IPSecVPN軟件供給了豐富的VPNVPN用戶全方位的監(jiān)控VPN網絡的運行狀態(tài)。支持對IPSecVPN設備CPU利用率等關鍵指標的監(jiān)視；、IKE隧道的監(jiān)視；支持對協(xié)商過程的監(jiān)視；供給折線圖、直方圖、餅圖等多種顯示方式直觀的把VPN性能數(shù)據顯示給用戶；隱患供給保障；能告警，使網絡治理人員準時覺察和消退網絡中的隱患。IPSecVPNManager監(jiān)控網絡快速定位網絡故障利用QuidviewIPSecVPN軟件的故障治理模塊可以實時接收IPSecVPN設備VPN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障治理模塊能夠與QuidviewIPSecVPN其他組件親熱協(xié)作，幫助用戶快IPSecVPN性能監(jiān)視模塊進展VPN設備閾值監(jiān)控時，VPN拓撲圖將馬上刷以反映最的網絡狀態(tài)。圖2IPSecVPNManager定位故障BIMS分支智能治理系統(tǒng)BIMS〔QuidView組件〕分支智能治理系統(tǒng)實現(xiàn)從網絡治理中心來集中對網絡設備的治理，如配置文件下發(fā)、設備軟件升級等。傳統(tǒng)網管主要通過SNMP、Telnet等協(xié)議來實現(xiàn)對網絡設備的治理，這要求網管側知道被管設備的IP地址，IPNATManagementSystem〕就是要解決上述問題，實現(xiàn)對動態(tài)獵取IP地址的設備或位于NAT網關后面的分支網點設備的集中、有效的監(jiān)控治理時，BIMS會極大提高治理的效率，大大節(jié)約治理本錢。BIMSServer，設備作為IP私網內，也可穿透NAT建立連接。網管通過一個固定的、全網唯一的ID來識別設IPIP地址或IP地址常常BIMS網管側與設備側之間通過協(xié)議進展擴展。同時，為了保證通訊安全，BIMS對傳輸?shù)南?shù)據進展加密處理。BIMS治理解決方案分兩局部，分支網點設備側和治理中心側，分支網點設AR系列接入路由器等，治理中心協(xié)議進展通信，治理中心側作為Server，設備側作為Client，設備通過定期訪問協(xié)議進展動訪問BIMSBIMS和易于治理的特點。附件:iNode客戶端軟件介紹Huawei-3ComINode〔以下簡稱INode〕是華為3Com公司自行設計開發(fā)的應用在PC上的VPN客戶端軟件。通過安裝本軟件，可以使PC機能夠通過多種方式與〔如路由器及Secpath系列網關設備等進展VPN現(xiàn)遠端PC能夠安全、快捷地通過Internet訪問相應企業(yè)總部VPN的目的.操作便利一個成熟的VPNINode軟件承受PC成軟件配置，登錄并訪問VPN資源。INode軟件配置便利，敏捷，支持多個配置，并且支持配置文件的導入。配置文件的導入能夠極大的減輕維護工作量。系統(tǒng)治理員配置VPN網關的時候，為了實現(xiàn)較高的安全性，需要配置簡單的安全策略。相應的，為了能夠訪問VPN，每個訪問此VPNINode軟件無需如INode需要訪問VPN的時候，只需要輸入個人專用用戶名和密碼，就可以輕松訪問VPN資源。安全保密INode軟件具有高保密性，高安全性。層建立隧道，更安全。同時，INode軟件可以通過PPP協(xié)商向VPN申請IP地址。由于此I