H3CIPSecVPN互联组网标准方案书.doc

VPNVPN互联模块互联模块 包含包含 IPSec 模模块块 根据根据项项目自行裁剪！目自行裁剪！ 可添加至互可添加至互联联网出口模网出口模块块的的 VPN 部分！部分！ 小型VPN 互联模块 第 2 页, 共 7 页 目目录录 XX 客户数据传输情况现状和需求分析客户数据传输情况现状和需求分析.3 1.1 XX 客户分支数据互联和远程访问面临挑战.3 1.2 需求分析（根据客户需求自行选择）.3 第第 2 章章 组网方案规划设计组网方案规划设计4 2.1 IPSEC VPN 网络方案 4 2.2 总结.6 第第 3 章章 产品选型产品选型6 第第 4 章章 设备优势和卖点设备优势和卖点7 第第 5 章章 配置清单配置清单7 小型VPN 互联模块 第 3 页, 共 7 页 XX 客户数据传输情况现状和需求分析客户数据传输情况现状和需求分析 1.1 XX 客户分支数据互联和远程访问面临挑战 根据项目实际情况描述 随着XX客户业务的不断发展，需要设立驻外办事处或分支机构，因此XX客户希望各个 分支节点远程接入后，能够顺利地使用公司总部网络的各种应用服务和企业的ERP系统，同 时能够为其合作伙伴提供类似的服务和应用系统。 由于每个分支节点和合作伙伴都必须远程联入核心节点的网络中，因此怎样为这些分支 机构提供一个安全、经济、方便和高效的安全接入方式，成为 XX 客户亟需解决的一个问题。 另外由于 XX 客户考虑到已知的互联网接入方式的成本都比较高（传统的 DDN 或 E1 专线） ， 因此如何减少接入成本并且保证分支机构接入的高可用性也成为 XX 客户现在面临的主要问 题。 另外，越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务，象出差员工、家 庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。同时，这种网络 连接的发生也为企业网络引入了新的安全威胁，但是目前的网络安全方案又是十分的昂贵和 复杂。目前的企业极需要一种简单实用的解决方案，可以安全的实现远程员工、合作伙伴乃 至客户对企业内部网络资源的访问，而又不会为企业网络带来新的安全风险。 综上所述，XX 客户需要一整套解决方案，既可以安全的接入分支机构，又能同时为出 差人员、SOHO 办公人员提供方便、安全的接入方式。 1.2 需求分析（根据客户需求自行选择） 分支机构数量：50 个以内，分支信息点数量：2050。 1、总部与分支机构的安全连接：总部与分支机构的安全连接：企业设立了分支机构后，分支机构局域网中的财 务、办公等数据需要安全的传输到总部，考虑到传统的专线方式成本过高， IPSec VPN 技术可以满足局域网对局域网的加密传输需求； 2、分支机构设备的统一管理：分支机构设备的统一管理：由于分支机构的数量很多且地理位置分散，其使用 的设备采用 ADSL 拨号通过 DHCP 动态获取 IP 地址方式接入 Internet，特别是 小型VPN 互联模块 第 4 页, 共 7 页 很多时候 VPN 安全网关位于 NAT 网关后面。这导致了 VPN 设备要么是动态地 址不确定，要么是私网地址，传统方式的 SNMP 网管根本无法主动与这些设备 建立网络连接，您需要一套真正有效的设备管理系统为您管理分散的分支机构 设备。 第第 2 章章 组网方案规划设计 XX 客户 VPN 解决方案通过 IPSec VPN 的方式，实现了用低成本，高安全性的 VPN 连 接，可以灵活的构建多种模式的 VPN 网络，全面适应于局域网对局域网的安全加密以及移 动办公数据流动的需求。XX 客户 VPN 解决方案，由 IPSec VPN 中心接入子系统、分支机 构 VPN 接入网关子系统、VPN 管理子系统 4 个部分组成。 2.1 IPSec VPN 网络方案 IPSec VPN 核心节点： 中心 IPSec VPN 系统的中心节点，主要由 VPN 中心网关设备、后台服务器两部分组成。 （根据客户需求自行选择，并修改组网图：根据 XX 客户对于 VPN 系统的可靠性要求，采 用双机双出口方式，同时连接网通和电信保证网络高可靠性。 ） IPSec VPN 分支节点： 小型VPN 互联模块 第 5 页, 共 7 页 通常分支机构接入公网的方式是 ADSL 拨号，所以要求 IPSec VPN 的分支节点设备应 该支持多种接入公网的方式，如：PPPOE、静态 IP 以及 PPP 各种方式。具体如下图所示， 在方式一中，拨号过程由 VPN 网关设备来完成，拨号成功后，VPN 网关将会动态获取到一 个 IP 地址。在方式二中 VPN 网关是通过代理服务器接入 Internet。 2.2 总结 根据 XX 客户对于 VPN 设备的需求，推荐采用 H3C 的 SecPath 防火墙/VPN 设备，一台设 备可以同时提供防火墙、IPSec VPN。H3C 的 SecPath 防火墙/VPN 设备还具有强大的扩展性， 后续可以根据客户需求扩展 ASM 防病毒插卡、SSL VPN 插卡或者安全监控插卡。（根据客户 要求自行选择，并修改组网图由于客户对于可靠性要求较高，VPN 的链路可用性直接关系到 客户的生产活动。因此采用双机双出口的方式，最大限度保证 VPN 链路可用，为 XX 客户提 供永续的业务连接。）推荐组网配置如下： 小型VPN 互联模块 第 6 页, 共 7 页 第第 3 章章 产品选型产品选型 核心 VPN 节点的防火墙/VPN 设备选用 H3C SecPath F100-S，其将强大安全抵御功 能、专业 VPN 服务和智能网络特性无缝集成在一个硬件平台上。并且该设备提供强大的 扩展能力。 分支 VPN 节点的防火墙/VPN 设备采用 H3C SecPath F100-C-EI，该设备使用经济性 高，适合大规模的分支节点部署，可以满足小型局域网的 IPSec VPN 加密需求。 SecPath F100-C 采用专用硬件架构以及软件平台，可以为设备稳定运行提供高可靠性。 另外，SecPath F100-C 特有的无风扇设计以及20W 的功耗可为您提供良好的办公环境， 并节省电力消耗，减少二氧化碳排放。 小型VPN 互联模块 第 7 页, 共 7 页 第第 4 章章 设备优势和卖点 1、高性价比：目前性价比最高的 VPN 解决方案，分支机构 VPN 设备由于数量多，在 方案中占有重要的位置，决定整体方案的预算，F100-C 能极大降低整体预算。 2、高性能：核心 VPN 节点设备 SecPath F100-S 的 IPSec VPN 加密性能较高，可以 满足最大 50 个分支节点的接入需求。 3、绿色环保：设备采用专用硬件平台，核心 VPN 设备功耗60W，分支 VPN 设备功耗 20W，可以降低能源损耗，减少二氧化碳排放 4、高稳定性：电信级可靠的硬件平台与软件架构为您提供 36 年的平均无故障时间 （MTBF），保障您的业务永续进行。 5、易管理：可通过 Web 方式进行远程配置管理，也可以使用 H3C IMC 网管软件实现 与网络设备的统一管理与交换机、路由器统一管理，简单方便。针对大规模部署 的 VPN 系统还可以通过 BIMS（分支智能管理系统）统一配置管理和自动升级版本。 第第 5 章章 配置清单配置清单 产品型号产品型号产品描述产品描述产品配置说明产品配置说明数量数量单价单价金额金额 总部出口总部出口 NS-SecPath F100-S