ycVPN解决方案nzm.doc

Author: 肯德基门 GW 产品及应用北京市网景达网络技术有限公司 GW系列产品适用于任何有远程联网需要的单位或个人。 GW是基于Linux开发的内嵌式VPN网络通讯网关产品 无须静态IP地址，没有中心节点的限制，没有网络瓶颈； 基于Linux最新的2.4核心，完备的防火墙功能； 支持国家推荐的加密算法，可用于政府机关或国家相关部们； 基于IPSec国际标准； 组建网状的VPN网络连接； 内置NAT代理上网、防火墙、支持DHCP/DNS、端口转发； 基于Linux开发的内嵌式具有自主知识产权的VPN产品； 透明代理上网功能，共享上网功能； 强大的防火墙功能，可以与专业的防火墙媲美； 支持结点是动态、静态IP的企业虚拟专网功能； 组建广域网网状拓扑结构的高性能Intranet； 支持多种接入方式 ADSL/ISDN/Dial up/DDN 等，无须动态IP地址的虚拟专用网络通讯网关，采用独有技术，没有中心节点的限制，没有网络瓶颈； 支持国家推荐的加密算法，可用于政府机关或国家相关部们； 针对H.323协议优化，全部支持各种VOIP应用； 在网络拓扑上优于国内国际同类产品。 GW产品可应用于 为有分支机构的企业、公司提供远程数据共享、内部软件运行、VOIP和视频会议； 为ISP/IDC的宽带应用提供真正的增值服务； 为监控、视频会议提供稳定、低成本的网络通道； 为现有帧中继线路、DDN线路提供备份； 为连锁店、ERP、财务软件、物流的软件开发商和用户提供实时的远程数据交换平台； GW 产品中A的含义 Anywhere 可以用于任何ISP提供的接入 Anytime 只要有Internet的地方即可 Any way 多种接入方式支持/ADSL/Dialup/ISDN/宽带/DDN/动态获得IP Advanced 一种先进的连接方式 GW产品中的加密算法 数据传输可自由选择：AES/128位加密算法、3DES/168位加密算法、SERPENT/128位加密算法、BLOWFISH/128位加密算法、TWOFISH/128位加密算法、硬件加密卡或第三方算法 保证数据完整可自由选择：MD5-96、SHA1-96、SHA2-256、SHA2-512 身份认证支持：RSA 2048、Pre-share Key基于 GW的物流解决方案适用客户可用于任何物流行业。只要有Internet的地方，就可以结合物流软件实时运行物流系统。网点分布：一般客户的公司结构都是分布全国各地，部分子公司还分布到县、镇，这就决定了许多地方上网方式的多样性；网络结构：软件一般采用C/S结构或B/S结构。 要求：各单位之间可以任意相互通讯； 能实时运行ERP/财务软件等系统； 需要远程维护； 同时数据传输的安全需要保证；能实现视频会议，VOIP 。如果采用传统解决方式：就需要各地租用DDN或帧中继专线； 投入设备路由器、DTU ；安装调试极为不便；需要专业维护人员 ；难以管理和无法集中控制。这必然存在以下的几个问题：采用专线方式，费用将比较昂贵，初期投入对部分企业来说已经难以接受，但是每个月的线路租用费用累计起来十分昂贵。所以部分软件公司利用采用Email方式来实现数据传输，但这样造成的传输不及时，无法在程序里实现实时的回执；有的是采用托管一个服务器，同时采用B/S结构，这样数据交换缓慢，而且这在安全、维护方面存在隐患。 GW提供一种全新的解决方式：通过ADSL等方式组建专网 基于Linux开发的内嵌式通讯网关 网状连接，无中心节点 安装简单，几乎零维护 支持多种上网方式：ADSL, Modem, ISDN,长城宽带，任何可连接到Internet的方式。 现在的软件无需任何改动 参考某连锁经营店的数据交换模型参考某行业实现的网络拓扑图：同时可以实现VOIP和视频会议。还可以进行远程维护、管理。支持移动用户：可以采用我们的client软件，通过笔记本电脑直接联入公司网络。我们可提供开放的接口，可以让其无缝的连接到其他VPN体系中。总部、分部都采用GW系列产品组建VPN网络。移动用户可以采用移动客户端通过PPTP协议接入到系统中。其他VPN解决方案没有的特点1. 可扩展性：在安装了n个点之后，以后如果扩展，只需要在新加的点里设置即可。对前面的GW不需要做任何的设置（注意：如果采用其他产品，一般需要对其他点都有一一设置），直接可以使用；2. 可管理性：可选GW管理模块，定制GW节点之间的路由逻辑关系，例如可以设定A与B连接，与C又不可连接，而B与C又可以连接；3. 支持动态IP地址的网状的网络连接：基于GW架构建立的VPN网络，任意点之间是可以直接通讯，没有中心瓶颈的限制；这也是其他产品没有的特点；4. 能与现在有的任何网络无缝接入：如果部分节点已经有了DDN、FRAMERELAY或其他VPN隧道，GW可以无缝的接入到现在的网络之中；5. 易用性：GW产品安装、维护十分简单。一般有一点TCP/IP基础的技术人员，在几分钟内可以学会设置和安装。而且产品基于嵌入式设计，几乎无需维护；数据共享、VOIP和视频会议方案适用客户 可用于任何有分支机构、分公司、分店的行业。例如跨省、跨地区、跨国的企业，尤其是在珠江三角洲地带的众多的港资、台资企业。一旦建立虚拟网络，可以实现任何地点的VOIP、视频会议、内部文件共享。VOIPvoice-over-internet-protocol ,它主要指在Internet 中实时传送声音，从广义上讲，它包括在Internet 中实时传送多媒体信息。基于因特网的实时语音通信，是目前Internet技术应用的一个重大发展方向，通过IP网络，传送商业质量的话音/传真。对于企业用户来说，通过IP网关传送长途电话/传真，具有重要的意义: 1节省长途电话费用 用IP网络完成所有话音/传真的传送，能极大地降低了公司内部跨地域、跨国界的电话/传真成本。 2减少设备投资 公司可以在原来只能传送数据的网络上获得增值的话音服务，而无需再另外租用或者购买单独用于话音的设备和线路。由于所有内部通信（话音、数据、传真）都通过同一网络传送，企业可以大大降低购买和维护设备的费用。 IP电话的其基本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按TCPIP标准进行打包，经过IP网络把数据包送至接收地，再把这些语音数据包串起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由互联网传送语音的目的。建立虚拟专网后，再加上GW VOIP系列语音产品，可以实现任意分公司、任何人的无需支付话费的高清晰话质的通话。说明1 两地可以自由通话，传真；2 VOIP可以同时4路语音同时通话；可选支持电话机和支持程控交换机。3 支持采用Citrix方式，可以如局域网一样的高速使用任何软件；4 通讯无需支付任何费用。具体使用举例以上图为例，假设通话的双方一边在深圳，另外一边香港， 就可以实现以下的功能。1内部电话、传真 ：香港的A先生与深圳的B先生在上班时通话，因为走的是Internet，所以通话是免费的。这种通讯不限于两地之间，可以若干个营业部之间同时、异地、高质量、免费的通话。2异地长途普通市话：下班后，A先生发现还有事情和和B先生商量，他就用他的电话拨打一个特殊号码然后在拨B先生家的电话或手机。这时实际上是他拨打本地公司的电话然后通过Internet就可以拨打异地的B先生的电话。实时视讯会议构建了一个基于TCP/IP的网络，任何基于该协议族的应用皆可流畅应用。符合H.323,H.324视讯会议规格的任何产品都可应用。【推荐设备】V2视频会议系统在两端都是ADSL的情况下，可以达到384K的带宽。可以非常稳定、流畅的运行视频会议系统。OA系统、财务软件远程实时运行方案适用客户 可用于任何有分支机构、分公司、分店的行业。尤其是国内的连锁企业、特定行业、大型企业。许多是有具体应用的OA系统和财务软件。一旦建立虚拟网络，可以实现远程实时运行财务软件、OA系统。还可以进行VOIP、视频会议、内部文件共享。我们已经测试过金碟、用友软件。支持整个虚拟网络共用一个域服务器。方案说明1. 采用 GW产品；可以立即组建整个网络平台；2. 整个过程中，现在的系统在硬件和网络上几乎无需改动；3. 可以支持登录到远程的域控制器；4. 直接使用C/S模式运行，无需要做任何改动；5. 支持多种上网方式，无需专线。现有专线线路的备份线路和融合适用客户可用于已有专线的用户。需要扩展网络或作为备份线路。具体应用客户已经有了专线线路，可以有两种应用： 作为现在专线的备份：可以作为现有线路的实时备份，同时，一些业务可以移植到备份线路上网，可以缓解专线的带宽； 对于一个专线网络而言，需要扩展也必须是专线，但是基于GW架构，可以用GW产品来扩展到一些没有专线的或无法申请专线的地区。备份应用方案说明：1. 各部采用GW；整个网络平台作为现在线路的备份；2. 平时OA系统的路由通过出去，这将大大缓解原专线的负担；3. 整个过程中，现在的系统在硬件和网络上无需任何改动；4. 在使用过程中，路由器如果检测到DDN线路有问题，会自动切换到备份线路上去；5. 正常情况下，OA系统，VOIP，视频会议通过GW为网关，走VPN备份线路；扩展应用方案说明以上为客户（某物流公司）具体使用的网络拓扑图。1. 原有线路不做任何改动；2. 在专线不可到达的地方，安装。因为支持ADSL、ISDN、拨号等多种上网方式，接入非常灵活；3. 整个过程中，现在的系统在硬件和网络上无需任何改动；4. 在原来网络中需要一个切入点，安装支持“子网共享”功能的，就可以把有GW组建的VPN网络和原有的任何网络无缝连接起来。与其他VPN产品的比较设计理念不同比较项目产品 GW其他VPN设计初衷互联互通，资源共享，分布运算，集中管理基于IPSec的固定IP的安全通讯网关技术架构基于VDN平台的可管理的架构，可以按照要求定义VPN，可以运用于大型企业和ISP/IDC的运营。设计目的让VPN技术和VPN产品能够普及，成为人人可用的VPN产品。 GW独有特点n 自由扩展：一般的广域网络实施，都是可能分步分批进行的。利用产品，可以非常灵活的自由扩展现有网络。这是由于 GW结构设计的原理所决定的。由于采用了统一管理和独有的虚拟域管理机制，可以在任何时候延伸扩展原来的VPN网络而不需要对原来的节点做任何设置上的改动。例如：某客户在北京、上海、香港用GW产品组建了一个VPN网络。运行1年之后，需要增加美国、深圳、西安三个点。他再购买三台设备之后，分别安装在这三个地方，而原来的北京、上海、香港的设备不用做任何的设置，马上就可以建立这六个点的通讯网络。而且任何两点之间可以直接通讯，没有通讯瓶颈。n 动态IP形成网状连接： GW建立的网络，可以全部采用动态IP地址，而且可以形成网状连接。n 简单易用：易用性决定了VPN项目实施的难易程度、广泛推广的可能性、维护成本高低的因素。在原有网络互联比较复杂的情况下，项目能否实施的关键因素。其它VPN产品大多数的配置要了解IPSec的细节，要由操作者选择包的格式，是AH或是ESP，还要设定数据包是否压缩，通讯是Tunnel还是translate方式。PSK的取值，更有甚者，还要用户设定IPSec建立SA的Phase1和Phase2的方式等等。这类配置要了解比较多的细节，实施进行非常困难。对原来的网络进行互联时，新加的设备和原来的设备都要重新设置。使用起来非常不方便。并且系统性能很大程度上受到配置人员水平和个人取好的影响。出现因配置问题而导致的故障会比较多。而且维护要有资深的工程师进行维护，一旦出问题会比较困难解决。而 GW把最优化的配置做到了系统的配置之中，用户无须去配置烦琐的VPN功能的详细配置。配置非常容易，有TCP/IP常识的人三分钟即可配置完成。对原来已有GW建起来的网络，新加入结点后，原来的结点亦无需作任何改动。n 节点可定义：。是指用户可以按照自己的网络实际的情况整个系统可以形成网状、星状、任意形状的网络拓扑。而且这个网络结构可以按照需要随时做新的调整。简言之，自己可以定义节点的逻辑关系。许多大型企业由于行业的特殊性，往往分总公司、分公司、合作伙伴、分销商、销售门店等复杂的关系，既不能全通，也不能全部只是往一个地方通；而且从技术上讲，在每个设备上建立许多的隧道也会消耗较多的时间。n 稳定性：根据我们长期的VPN市场前沿积累的经验，我们认为稳定性是产品的一个非常重要的因数。稳定的设计，嵌入式主板，集成CPU/RAM/FLASH/LAN，开机即可使用，明确的指示灯显示设备状态，直接开关电源即可使用，维护亮极小。n 良好的兼容性：GW采用灵活的、开放源码的Linux设计，全部又我公司自主开发，加上我们长时间的实际应用测试，所以对各地的接入Internet方式有良好的兼容性。 支持ADSL/LAN/DIALUP/ISDN等多种接入方式，提供最即时的技术支持，包括未来的vDSL的支持也是容易升级和实现的。在推出市场以来，在全国各地和部分国外地区得以应用。同时也在推广使用的过程中，发现了各地ISP之间的差异而对产品功能模块做了新的调整。n 可管理性：基于 GW的管理平台，可以实现很灵活的管理。简言之，可以划分很多个域，各域内部又可以形成按照组织架构形成的逻辑关系。而且可以由平台统一调配这些域和网络架构。下图是管理平台的界面。这里可以看到每一台终端的日志情况。通过平台很容易做到统一管理、统一维护。可以为每个虚拟域定义它内部的逻辑关系。例如星状、网状、组合形状等。公司部分成功案例：安徽某政府机构 利用成功实现基于动态IP（ADSL）和基于虚拟IP（经过NAT转换过）的内部VPN系统，在此基础上运行其内部OA系统和财务系统，并在此平台上运行VOIP系统。北京中关村建设集团 利用成功实现基于动态IP（ADSL）和基于虚拟IP（经过NAT转换过）的内部VPN系统，在此基础上运行奇迹2000和工地监控系统及VOIP系统。北京鸿波通讯 利用成功实现基于动态IP（ADSL）和基于虚拟IP（经过NAT转换过）的内部VPN系统，在此基础上运行金碟软件 上海横河国际贸易有限公司 利用构架其内部VPN系统，并成功与原日本集团内部VPN网络融合 。苏宁电器 利用构架其基于虚拟IP地址的VPN网络，并成功与原有的FR（帧中继）网络无缝集成。 一商美洁（P&G华北总代） 成功利用Nesco系列VPN网关构建其基于动态IP（接入方式为ADSL）Lan2Lan VPN平台，运行其基于DB2的ERP软件。 北京供电局 成功利用 GW2000构建其运行OA系统，资源共享（网上邻居中互访）的Lan2Lan VPN平台。 BESTSELLER（丹麦）服装公司 利用NESCO成功构架天津、北京、上海、杭州等地的销售网络平台 承德钢铁公司 成功利用 GW2000构建其运行ERP的 Lan2Lan VPN平台。 中铁十八局 成功利用Nesco系