电信VPN组网建议方案

一、项目概述

针对企业内部ERP的工作，为了确保所有信息及时准确地传送后台生产系统，同时也为确保量收数据的准确，须将未联网的代办网点进行联网。北京万林克公司根据代办点网络接入情况组建完善的VPN解决方案，能够满足网点接入的需求。

二、组网方案

企业的分部为一个中心，30-40个网点，每个网点有10多台电脑。对于传输线路的选择我们通过已往组网的经验建议两种VPN组网方案：

ADSL动态拨号VPN组网

方案说明：

1、代办点采用万林克VL-VPN-808或者VL-VPN-809 VPN网关，通过电信ADSL动态拨号进入Internet。

2、中心采用万林克VL-VPN-3702VPN网关接入到公网防火墙后面，并且在同等位置放置一台认证服务器，采用万林克专有认证技术，网点VPN网关在通过认证后同中心3702建立IPSEC加密隧道。最终实现代办点业务终端数据传输（终端类型无要求）可以到达中心业务主机。

3、万林克公司的VPN网关设备采用IPSEC通信协议，由于IPSEC协议安全性比较高，该组网方式的安全性较高。

4、中心VPN网关可以双机热备份。

第二种组网方案：

VPDN组网方案

方案说明：

1、该组网方案的前提为企业与运营商之间首先要建立一条VPDN隧道（即企业与运营商有专线连接，通过LAC与LNS建立L2TP隧道）

2、代办点采用万林克VL-VPN-808或者VL-VPN-809 VPN网关，通过运营商ADSL动态拨号进入运营商专网，通过运营商的验证后将数据直接传给企业中心，在接入路由器后放置万林克的认证服务器，再经过认证后，与中心的万林克3702VPN网关建立IPSEC加密隧道，完成代办点数据传输。

3、该方案采用运营商VPDN线路，防止病毒感染，线路安全性高

4、运营商的接入数据那一部分可以代办电接入Internet，保证了代办点终端设备的稳定。

5、通过建立二层L2TP隧道以及两个VPN网关之间的三层IPSEC加密隧道，代办点传输的数据更加安全。

6、代办点支持各个类型终端：该方案所用的IPSEC协议，是位于IP层无缝接入，可以实现PPPoE拨号接入，VPN网关位于网络的连接处，因此与所用终端类型无关。

7、中心VPN网关可以双机热备份。

三、方案详细介绍：

以下图为例来说明这种解决方案：

网点A的f0/0接入ADSL，由于和电信协商了VPDN业务，电信为网点A分得了固定的私网IP地址10.254.254.1，而不是普通的公网IP地址。网点A可以和中心服务器正常通信，就像在传统的专用网中一样。为了数据的保密及完整性，同时要在网点A和CISCO-LNS之间使用IPSec对数据进行安全保护。可以使用ESP的封装方式，通过MD5对数据的完整性进行验证，同时使用3DES对数据进行加密，使得经过电信的数据均为密文，安全得到保证。

1、网络扩容问题：

由于IPSec协议本身是一种覆盖模型的协议，通信双方必须配置相关参数，每增加一个网点，中心都要加入一条配置，维护工作量大。在位于中心的VL-VPN-3702上采用动态加密图技术可以解决这个问题。既通过网点主动向中心发起IPSec安全联盟的建立，在IKE的第一次交互中使中心获得对端地址，从而减少由于增加新网点而带来中心的维护工作量。网络扩容简单。

2、安全性：

采用标准的IPSec和IKE，实现数据的安全保护。支持DES，3DES等加密算法，ESP和AH的封装方式，MD5和SHA的散列算法。密钥有IKE自动协商，而不是预先设定，提高了安全性。IPSec是有生存周期的，可以以时间为界，也可以以数据量为界。超过生存周期的安全联盟密钥有被攻破的危险，因此IPSec安全联盟在半衰期就会自动重新协商一个新的安全联盟，当现有的安全联盟生存周期结束时立即无间断地切换到新的安全联盟上，增强安全性。

3、防攻击：

由于VPDN方式中电信分配的是私网IP地址，其他公网设备访问不到，减小了遭到各种攻击的可能性。

4、处理性能：

由于DES/3DES采用CBC的算法原则，软件计算过程占用CPU的大量资源，万林克公司特别使用了带有硬件加密引擎的路由器，可以实现线性加密和散列算法，避免了由于加解密带来的瓶颈。路由器的性能得到极大提高。

5、对等体间的同步：

鉴于以太口和串口的区别，使用以太网口作为广域网口的设备通断需要新的技术来确定，以使IPSec的两个对等体之间的安全联盟不会失步。采用的方法是在IKE中使用标准的DPD消息来检测对端的状况，几次不回答DPD消息就认为对端网络不可达，双方就会及时调整安全联盟的状态。

6、QOS的保障:

万林克公司的VPN产品支持各种排队算法，WEQ/PQ/FIFO/CAR等，可以针对不同的业务数据特征流，提供业务带宽保证。

7、路由问题：

采用IPSec的另一个好处是躲开了路由协议的困扰。由于所有数据流均属于不同的安全联盟，每个安全联盟中都有下一跳信息，因此这种使用方式中避免了使用路由信息。如果不采用IPSec及其安全联盟的技术，就无法避免在网点使用NAT协议，否则电信无法投递网点局域网地址的报文。这样可能会给应用程序造成不必要的麻烦。

设备配置说明：

代办点：VL-VPN-808

●固定端口：2个以太口 ，1个异步口（控制台口）

●可选同异步串口、CDMA、GPRS模块

●内存：32M   

●闪存：8M

●隧道数量：50

●加密方式：软件

●支持静态路由协议、各种动态路由协议

代办点：VL-VPN-809

●固定端口：2个以太口 ，1个异步口（控制台口）

●可选同异步串口模块2个

●内存：32M   

●闪存：8M

●隧道数量：50

●加密方式：硬件

●支持静态路由协议、各种动态路由协议

中心：

认证服务器：VL-ACS1.0

防火墙:POWER V-150

VL-VPN-3702

●固定端口：2个10M/100自适应以太口 ，2个异步口（A0/0兼作控制台口）

●内存：128M   可扩展到256M

●闪存：8M

●隧道数量：2000

●加密方式：硬件

●支持静态路由协议、各种动态路由协议