|
上海电信IPSec VPN解决方案
一、项目背景
中国电信在上市之后将其业务发展的方向锁定在宽带网和数据网,在宽带网建设方面主推增值业务,如基于流媒体的视频点播业务,基于互联网的网络游戏业务,基于宽带网络的VPN虚拟网业务等。在中国电信大的发展战略方向下,上海电信作为中国电信的龙头,努力寻求并开发在宽带网络上的增值服务运营业务。其中,如何解决宽带网络的安全问题成为上海电信看重的未来增值服务的一个方向。
与此同时,随着国内宽带接入业务的发展,利用宽带接入网络和互联网络平台实现企业信息化已成为当前中小企业信息化过程中对网络接入方式的最佳选择。但是,在Internet上实现企业信息化面临着企业信息的安全问题,即企业信息在Internet上传输需要保证传输过程中的保密性。根据IP网上各种VPN实现技术的对比分析,IPsec VPN最适合企业利用互联网实现自己的虚拟专用网络。目前为止,基于IPSec的VPN系统在国内的宣传大多局限于企业自己在因特网上建设私有的VPN专网,而很少有运营商提出利用该技术提供VPN网络服务,而在国外这种VPN服务已经非常成熟。上海电信首开先河,成为国内第一家将可运营的VPN虚拟网作为增值服务提供给用户使用的运营商。
二、现状与需求分析
迈普公司自2002年5月接触上海电信,针对宽带网络安全解决方案进行了多次的交流和针对性的产品研发,并于2003年10月与上海电信方面正式成立VPN项目组,对IPSec VPN项目正式立项并进入实质性的研发、测试和试运营。目前在能够为上海电信提供可运营方案和产品的基础上,在上海地区已成功建立了国内第一个可运营的IPSec VPN虚拟网并进入运营阶段。
根据国内外自建VPN成功案例和与上海电信交流得到的情况,基于IPSec的VPN面向的终端用户就是那些具有分布式网络,而又不舍得租用专线的用户,主要集中在以下领域:
1. 规模分支机构的商用集团客户
2. 规模连锁经营的超市
3. 小规模连锁经营的超市
4. 有跨地域组织方式的企事业单位
5. 融、证券行业
6. 疗、医药经营连锁等
上海电信与迈普通信经过调查研究后发现,这些目标用户建设IPSEC VPN网的需求主要体现在:
1. 充分利用Internet这个便宜的网络平台,节省租用专线的费用;
2. 能够实现异地的局域网络之间的透明互联;
3. 能实现移动办公人员随时随地接入到企业内部网,能随时随地开展工作;
4. 保证企业数据在Internet上传递的安全性;
迈普提供了构建IPSec VPN网的相关产品及完整的系统解决方案,提供MPSec VPN系列VPN网关,安全路由器系列以及应用于PC的VRC软件(VPN远程客户端软件),同时迈普公司提供具有零初始配置的安全网络管理系统和证书管理系统(MPSec CMS)。利用迈普公司提供的各种VPN功能组件,用户可以根据自己的企业网络规模选择合适的设备和管理系统,从而利用廉价的Internet平台构建自己的虚拟专用网络。
三、方案说明
根据目标用户群的网点数量和对网络带宽的要求,迈普公司提出了两种VPN网络提供方式。一种是分布式企业VPN模式,这种模式提供给企业网络规模较大的VPN用户;一种是虚拟安全域VPN,这种模式提供给企业网络规模较小的VPN用户。
1. 分布式企业VPN模式
电信运营商需要构建网络管理中心,提供网络管理、证书管理基础组件,并且在网络管理中心的前面增加一台VPN3020充当VPN集中器,该集中器的作用是与各个企业总部的VPN设备建立VPN通道,实现网络管理数据的传递。
各个企业总部安装VPN3020或VPN3005安全网关,在企业分支机构安装VPN3005或VPN的客户端VRC软件,企业的分支机构或移动办公用户直接将隧道连向企业总部的VPN3020或VPN3005。这样每个企业的VPN设备相互连接,形成一种星型的网络结构。在一个企业中,企业总部的VPN设备具有虚拟安全域的功能,使得该企业的各个VPN节点之间可以相互访问。
这种模式下,电信运营商通过网管系统来管理所有的VPN设备,监视链路、VPN隧道和设备的性能等数据,从而为企业用户提供网络维护的增值运营服务,以便及早发现问题,尽快解决。
2. 虚拟安全域VPN网络模式
电信为小企业提供VPN服务的模式,由于最终用户的VPN网点数量少,没有必要在企业总部部署一个具有固定IP地址的VPN3020设备,而是在企业的各个VPN业务点上部署一台VPN3005即可。业务点上的VPN3005将隧道连到电信的中心VPN3020上面,由中心VPN3020设备转发IPSEC报文,实现VPN隧道的互联互通。然后在中心VPN3020设备上执行虚拟安全域技术,保证用户VPN网络不被其他用户访问,实现各个小企业网点之间的相互隔离,而各个小企业的各个网点之间则可以实现互联互通。由于多家小企业公用一台VPN3020,这种模式将降低电信运营商开通小企业VPN业务的成本。
在这种模式下,电信运营商同样可以通过网管系统来管理所有的VPN设备,监视链路、VPN隧道和设备的性能等数据,从而为企业用户提供网络维护的增值运营服务,以便及时发现与解决问题。
四、方案特点
1. 采用国家密码管理政策允许的128位高强度专用加密算法对企业网络上传输的信息进行加密,建立企业内部跨公网的专有VPN隧道,确保线路传输安全。
2. 多种VPN网络接入方式(包括支持ADSL、GPRS拨号
[1] [2] 下一页
|
