虚拟专网解决方案

...v.竞星剑——虚拟专网应用方案 边界概述虚拟专网的边界是指需要通过互联网组成VPN网络时，不同地域局域网的互联网边界。用户敏感数据将通过不平安的公众网络进展传输，组成异地虚拟专网。风险与需求分析越来越多的行业用户〔特别是大型企事业单位〕在网络建立过程中，由于自身开展规模扩大等因素，需要用一种平安的方法，通过广域网传输私有的敏感数据，从而把分散在各地的分支机构互联起来，在实现这一目标的过程中就产生了如下平安需求：数据平安传输大量的私有敏感数据需要在不平安的广域网上传输，数据在传输过程中的XX性、完整性和可用性必须得到切实保障；必须采取严格的技术手段对数据进展认证、加密等，防止在广域网中发生数据被窃听、假冒、盗取、篡改等平安事件。链路备份对于已经进展专线组网的用户而言，越来越多的用户需要一套备份线路，一旦专线线路发生故障，可以快速切换到备份线路上，保障自身的业务系统不会因为专线线路长时间中断而造成损失。同时，备份线路的平安性要和专线一样有保障。集中管理需要组建虚拟专网的用户，网络特点通常都是规模较大、地域分散。在保证数据能够有效、平安传输的同时，具备强大的集中管控能力同样是非常重要的环节，通过集中管理，可监控各地设备状态、进展策略统一管理等。组网方式不同类型的网络往往需要不同的组网方式，例如，有的网络节点不多，也没有一个核心节点，常需要点对点自由建立隧道；有的网络具备中心节点，更多的是其与分支节点间进展通信；还有一种情况是，网络具备多级管理构造，希望在多个级别的节点上进展控制，形成一种级联式的管理模式。方案概述采用VPN技术进展组网是解决数据异地平安传输问题的首选方案，其主要协议——IPSEC协议具备多种平安特性，能保证用户的自有数据即使在不平安的网络中同样可以平安地传递。同时，可以很好地满足专线备份链路的需求，以同样平安的VPN组网技术保障业务数据的不连续传输。部署方式对于不同类型的网络，联想网御总结出多种不同的组网方式：自由互联型组网星形组网〔hub－spokes〕树状组网自由互联型组网即各个节点通过部署在节点前的VPN网关设备进展自主隧道建立与维护；星形组网和树状组网是更为重要的组网形态，其中，树状组网方式是由联想网御首先提出的全新模式。这两种部署构造如下列图所示：上图中右侧为星形组网方式，其要点为在每个节点部署VPN网关设备，其中心节点需要部署较高性能设备，各分支子网发起的VPN连接均首先进入其与中心节点的IPSEC隧道，再由中心节点的VPN网关根据相关策略与最终目的节点的VPN网关建立隧道并进展数据转发。上图中左侧为树状组网方式，以基于路由的VPN组网技术，通过多级管理中心实现了隧道的传递。数据从出发节点到目标节点将不再直接进展隧道连接或者通过中心节点转发，而是通过路由的控制，通过不同的隧道进展传递，通过多级管理中心，有效减少了隧道总数。实现了树状网络各节点间横向以及纵向跨级任意访问。集中管理对于星形以及树状组网方式来说，所部署产品的集中管理能力是这种组网方式是否易于应用的关键因素之一。星形组网方式实现了在中心节点的高度VPN集中管理，树状组网方式实现了多级管理机制，设备集中监控、策略集中下发、日志集中审计等都是集中管理中的实用功能。优势与特点丰富的接入方式，便于快速组网联想网御的虚拟专网解决方案提供了多种接入模式，包括固定地址、动态地址、NAT环境、双向NAT环境等，能够适应国内各运营商的网络特点，便于用户快速组网。在低端产品上，特别集成了交换机的功能，对于人员、设备较少的分支机构，可以省去购置网络交换机的费用。独创的树形组网，顺应政府管理构造联想网御独创的基于路由的隧道技术，可以组建树形拓扑网络，通过多级管理中心，大大减少隧道总数，降低设备负载，减小管理难度，不但提升了网络架构的弹性部署能力和可靠性，而且符合政府等机构的多级管理模式，特别适合政府等部门使用。丰富的集中管理手段，降低管理难度对于大范围组建VPN专网的机构，如何有效管理是一个关键问题。联想网御提供了集中管理系统，可以通过中心节点统一全网平安策略、设备管理、密钥分析及审计分析，保证了全网管理的有效性；也可以通过多个分中心，实现分级管理，降低管理难度。适用范围本方案适用于各类需要组建异地虚拟专网的企事业单位，并可根据自身的网络构造特点选择