|
一、VPN技术 1、VPN简介 简单地说 ,VPN(Virtual Private Network,虚拟专用网络)即是指在公众网络上所建立的企业网络,并且此企业网络拥有与专用网络相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用 Internet 公网资源作为企业专网的延续,节省昂贵的长途费用。VPN 乃是原有专线式企业专用广域网络的替代方案,VPN 并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充性,而是在更为符合成本效益的基础上来达到这些特性。 2、VPN作用 VPN 可以有三大应用,分别为直接远程访问(Remote Access)、 Intranets 及 Extranets 。远程访问 VPN 主要是连接移动用户(Mobile User)及没有固定地点的公司办事处,通过拨号上网来存取企业网络资源。Intranets VPN 是利用互联网将公司总部和有固定地点的分公司加以连接,成为一个企业总体网络。而 Extranets VPN 则是将 Intranets VPN 的连接再扩展到企业的经营伙伴,如供货商及客户,以达到彼此信息共享的目的。 VPN使企业能在价格低廉的共享基础设施上以与专用网络提供的相同策略建立一种安全的WAN(广域网)业务。其能实现与移动办公人员、分公司、合作伙伴、产品供应商、客户之间的连接,提高与分公司、客户、供应商及合作伙伴开展业务的能力。 VPN的最大吸引力是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,故VPN价格更低廉。 二、公司需求分析 1、网络现状 合肥××网络科技有限公司合肥总部现有一个20台机器的局域网、并在合肥市内和肥东共有5个分部,各分部分别约10台机器,各分公司已经组建了各自的小局域网。并有少量的移动用户接入。 2、需求分析 实现总部与各分部网络的互联,分部可以访问总部服务器上的财务系统、ERP系统等。总部可以通过远程对分部的服务器上的资料和文件进行管理。公司网管可以通过远程对总部和各分部服务器进行管理和监管,以及为以后的其他应用软件架设提供网络条件。 三、实施方案 1、概述 为了满足该网络科技有限公司进行远程网络安全互联的需要, 建议通过互联网络采用 VPN技术建立自己的虚拟专用网络。组建VPN网络,只需要在公司总部及各分公司局域网内各放置一台VPN路由器,两端局域网络分别使用不同的安全网段,移动用户采用SSL客户端,与分部和总部相连,各点通过ADSL接入公网,就可构建廉价、稳定的VPN网络实现各点之间稳定安全互联,达到数据传输的目的。 2、网络拓扑架构图如下 
3、网络架构说明
总部:因各分公司局域网、移动办公用户接入总部,总部对数据传输的要求较高,因此我们建议采用高性能的R1700H作为接入的中心服务器。 各分部:根据各分部局域网规模,目前各分部局域网电脑数量是10台左右,分别安装一台R800路由器,作为客户端接入服务器。 移动办公用户:移运办公用户采用SSL软件客户端方式远程接入。每个分部所属的单点接入各自分部中心VPN路由器,数据经分公司传递到总公司数据服务器。如果公司领导欲在出差时或异地办公,同样能采取SSL和USB Key相结合拨号的方式接入,实现移动办公。采用USB Key存储数字证书的方式将特定许可分配给特定用户,更加保证了安全性。 4、应用效果 u 组建VPN虚拟专网后, 在节约成本开支的前提下,建立公司分部间的虚拟内线,增强企业分支的沟通与联系,提高办事效率。 u 内部网络用户仍然能够正常浏览所有因特网信息,并且为内部网络用户提供专业的防火墙保护。 u 可实现五个分部和总公司互联。公司各种应用软件的信息数据在网络中随时传输,根据软件应用权限,从总公司管理人员到各分部的工作人员都可以随时了解当前工作情况,确保企业高效、透明、安全、快捷,市场信息的及时传递,提高工作效率。 u 通过“网上邻居”共享数据文件,访问远程的企业资源数据库,中心的网络管理员可以对整个VPN网络进行集中的状态监控和远程管理配置,可以在各个VPN节点设置动态的流量管理策略,为企业实时业务和多媒体数据流提供良好的带宽保证。 u 可增加或删除网络节点,达到有序管理效果,并可通过VPN设备实现控制分支节点上网(限制其上INTERNET)。 u 为公司以后架设各种应用软件(如财务软件、ERP软件、远程视频会议等等)提供一个安全快捷的网络平台。 u 对于出差或在异地办公的人员,亦可以通过PPTP/SSL客户端和USBK向公司发起PPTP/SSL连接,实现隧道连接,实现移动办公。 四、本方案产品简介
1、R1700H VPN路由器
性能参数 | | 并发会话连接数 | 50000个 | 每秒新会话数 | 3000个 | 明文吞吐率 | 43Mbps | 3DES加密速度 | 8Mbps | 并发VPN通道数 | 100个 | 最大VPN Client用户数 | 40个 |
2、R800 VPN路由器
性能参数 | 并发会话连接数 | 15000个 | 每秒新会话数 | 2000个 | 明文吞吐率 | 38Mbps | 3DES加密速度 | 6Mbps | 并发VPN通道数 | 50个 | 最大VPN Client用户数 | 10个 |
|