H3C的IPSec VPN解决方案以IPSec技术为基础,与GRE、L2TP等技术的灵活组合给用户提供多样的、高可靠性的解决方案并配合高性能VPN网关、VPN路由器、VPN Manager、BIMS等软硬件设施为用户提供包括接入、传输、认证、管理、配置等全方位解决方案。
方案概述
H3C VPN解决方案,由VPN接入网关子系统、VPN管理子系统两个部分组成。
VPN接入网关子系统
VPN接入网关子系统设备是整个VPN系统的核心部分,其设备可以采用专用VPN网关设备secpath系列来实现,也可以采用H3C高性能的AR系列路由器来承担。
SecPath系列VPN安全网关是H3C公司面向企业用户开发的新一代专业安全网关设备,具有非常高的性能以及丰富的功能特性。VPN安全网关支持防火墙、AAA、NAT、QoS等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络,支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、MPLS VPN等,可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户,构建Internet、Intranet、Access等多种形式的VPN。
AR46路由器也可作为VPN网关接入。为了提升AR46的加密性能,实际使用时可以将AR46和ENDE加密卡配合完成,该加密卡具有强劲的专用加密卡和加密芯片。同时,采用高性能的CPU、高速大容量内存也保障了优秀的加密性能。
VPN管理子系统
VPN管理子系统由两个组件组成:H3C VPN Manager系统以及H3C BIMS分支智能管理系统。VPN Manager可以简化VPN的部署和配置,可以完成对网路的VPN状态的监控。BIMS可以完成对后续设备进行升级配置和管理的需求。
H3C VPN Manager系统,以用户实际配置任务为驱动,提供IPSec VPN业务配置向导,指导用户进行IPSec VPN设备配置,构建VPN网络。在配置业务中,提供预定义配置参数功能,以方便高级用户预定义、重用配置信息。并提供缺省配置,以使用户初次使用本管理软件时,能快速配置IPSec VPN设备,而无需进行过多配置及软件使用学习。
为了避免在设备上留下冗余的配置信息,支持“清除”功能,能够在重新配置以及配置命令下发过程中出现失败的情况下,清除设备已配置的信息。为了管理方便,以网络域为配置单位,减少配置操作,对网络域的配置会自动赋予网络域内的全部设备,用户可一次性对网络域内所有设备进行相同配置部署。同时,用户也可指定某个设备的特殊配置。
BIMS分支智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。BIMS(Branch Intelligent Management System)可实现对动态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控和管理,尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时,BIMS会极大提高管理的效率,大大节约管理成本。同时,为了保证通讯安全,BIMS对传输的消息数据进行加密处理。
方案特点
1、组网灵活,使用范围广
H3C公司从企业用户业务需求、可靠性要求和投资规模等多方面综合考虑,量身打造了多种分支机构上联企业总部的解决方案,包含单链路单网关型、VPN网关备份型和双链路双网关型等多种方案。
方案采用支持NAT穿越和野蛮模式(中心节点通过设备ID名进行协商而不再需要地址信息检查)的方式,解决了分支机构用户通过NAT设备进入Internet和IP地址不固定的用户上网的两类问题,满足了企业用户分支节点接入的多样性需求。
2、管理简单明了
该方案提供专用的管理系统VPN MANAGER,直观友好、简单易用的图形管理界面,简化了管理员的维护操作。支持自动发现和构建VPN拓扑,直观查看VPN通道状态、通道流量情况、VPN设备的运行情况等。能够快速定位网络故障,为解决问题赢得时间。
3、企业分支设备集中配置
分支机构分布广、设备多、配置重复,往往给企业的IT管理带来了繁重的工作量,H3C公司的BIMS(分支智能管理系统)为解决这一问题营运而生。BIMS采用分支设备主动,网管被动的方式对分支的设备进行管理,网络连接由分支设备主动发起,公私网地址转换、动态IP地址、批量设备配置等难题迎刃而解。
4、全系列设备支持
该方案涵盖了H3C公司全系列中低端路由器、VPN网关等产品,为客户提供了多种经过验证、有保证的安全解决方案,企业用户可以根据自己的实际需要和投资规模找到最适合的选择。
典型组网应用
在实际的组网中,可以根据企业实际情况,采用灵活多样的组网方式,用最低的代价实现企业VPN接入需求。可以采用基本组网方案、VPN网关备份组网方案和高可靠性VPN组网方案。
基本组网方案
该组网方案采用单链路单网关方式,在总部局域网数据中心部署VPN Manager组件,实现对VPN网关的部署管理和监控,在总部局域网内部或Internet边界部署BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。
该方案主要面向对网络链路要求不高的小型分支机构,可根据企业实际情况采用IPSec VPN、IPSec over GRE VPN、GRE over IPSec VPN、L2TP over IPSec VPN等方式实现接入。
VPN网关备份组网方案
|
该组网方案采用单链路双网关方式,对VPN网关进行了双机备份。
该方案面向对可靠性等指标提出了较高要求的用户。根据实际情况,可采用L2TP、VRRP、OSPF方式实现对网关间的备份。
高可靠性VPN组网方案
该组网方案在VPN网关备份的基础上,对于接入分支节点的链路也进行了备份。在进行链路备份时,不同链路分别接入到不同的ISP,主链路采用光纤接入,备份链路采用ADSL进行热备。为了增强VPN网关的稳定性,在VPN网关节点部署双VPN网关,利用该VPN双网关可以有效的提高系统的可靠性。同时,对于业务分支节点较大的企业,可以通过有效配置实现业务的负载分担。