随着公司业务的迅速发展,各地分公司、办事处也相继多了起来,信息交互也越来越频繁,随着企业应用系统的实施,重要的数据和信息在网络中传输也也来越多,安性要求也越来越重要,目前依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应各公司对信息传输平台的要求了。
从经济角度考虑,电信部门提供的专线组网方式费用比较昂贵,由于很多公司在北京、广州、上海、南京、武汉、西安以及省内主要城市设立了多家分支机构,同时拥有多家紧密型的合作伙伴或分销客户网络,相关需要联网的网点数目比较多,分部地区比较广,信息交互比较频繁,每月的巨额通讯费用和专线租用费会给XX集团带来很大的压力。
从安方面考虑,电信部门提供的帧中继、MPLS VPN、DDN、ADSL等传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果别有用心的人利用Sniffer等网络监听分析工具,易篡改、窃取甚至破坏企业数据,给企业造成不可估量的损失;由于传输平台没有认证功能,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对企业的信息和数据造成很大的威胁;由于传输平台没有访问控制和安隔离的功能,给外部非法人员提供了入侵的机会,非法人员可以通过专用的黑客程序(此类工具在Internet上可以免费下载),或者盗取授权员工的访问权限,进入公司网络系统内部,让“网络巨人折戟沉沙,使系统安溃于蚁穴的”。
从管理方面考虑,在公司处于高速发展阶段,拥有的分支机构和计算机终端较多,面临紧迫的问题就是信息的汇总、分支机构的信息交互以及计算机终端的集中管理。DDN、ADSL等组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。
从经营角度考虑,各公司需要一个实时的、安的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,增加企业的工作效率,提高企业的服务质量,加快企业的信息化建设,适应企业的快速发展,提升企业的良好形象。
采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安性以及灵活的可扩展性的优点,且VPN产品特有的具有对internet上的内部移动用户安接入,可以彻底消除地域差异,实现可移动用户的网络互连及基于internet的可移动安访问控制。因此,采用VPN方式组网对现代的公司来说是一种现实可行的,完可以满足公司员工在办事处、在外出差、在家秉承办公的业务需要。下面我们来看一组武汉北大青鸟鲁广校区学员VPN网络作品。
VPN网络组建设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则:
1、安性原则
2、实用性原则
3、可靠性原则
4、可扩展性原则
5、易管理性原则
公司VPN网络建设方案
1、基于IPsec的VPN技术
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安问题,因此无法为用户解决他们所担心的数据安保密性。IP-VPN在使用了一些额外的安技术后,解决了这一难题。
VPN组网示意图
虚拟专网的重点在于建立安的数据通道,构造这条安通道的协议必须具备以下条件:
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
2、动态VPN组网方式
IP-VPN的联网方式大致有三种:
1、 固定IP与固定IP;
2、 固定IP与动态IP;
3、 动态IP与动态IP。
种的联网方式是比较传统的方式,技术上实现容易,目前的防火墙等设备就可以实现这种功能;第二种的VPN联网方式对于目前大多数专业的VPN厂商也基本能解决;而第三种方式即动态IP与动态IP之间的VPN通讯却成了很多厂商和科研机构望而却步的技术难题,实现起来并解决大规模的实际应用就更加困难。
3、基于IP-VPN中NAT穿透问题
我们假设在宽带城域网有两个用户A和B,其中A用户处在私网内部,B用户是在Internet公网上,这两个用户都安装了IP视频会议终端,希望通过宽带城域网开个临时的视频会议。如下图示,B用户先呼叫A用户,B用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,因此不知道该如何将B用户发来的H.323或SIP建立会话连接的初始化包转发给内网的哪个用户,只好将该初始化包丢弃。而A用户虽然一直在等待B用户的初始化包,但A用户却永远等不到B用户的初始化包,这样A用户和B用户永远都建立不起来H.323或SIP会话连接,也就无法开IP视频会议。
图:NAT穿透问题示意图
按照本方案建设的网络安系统,将在不改变应用系统结构和用户的使用习惯已经与正常访问兼容的基础之上,为公司的信息系统提供强有力的安,并在移动接入、分支机构网络等方面为企业节省成本,带来直接的效益。
本文标题:VPN网络建设解决方案-鲁广北大青鸟学员作品,责任编辑:宏鹏,来源:武汉北大青鸟鲁广校区栏目,于2014-12-27 10:09:57发布于北大青鸟鲁广校区。采用VPN方式组网对现代的公司来说是一种现实可行的,完可以满足公司员工在办事处、在外出差、在家秉承办公的业务需要。下面我们来看一组北大青鸟鲁广校区学员VPN网络作品。
预约将免费领取7天课程体验卡
只为您方便就学
专业老师24小时1对1学习指导
定制专属于你的专属学习方案
微信号:17740513250
微信号:17740513250