奥联方案方案x|

发布时间: 2021-10-22 11:16:53

VPN网络建设方案律议书

提供商:

TOC \o "1-5" \h \z 客户需求 4

面临冋题分析 4

相关技术

本方案设廿中采用了 VPN技术。

■ VPN技术介绍：

虛扔机有网络VPN(Virtual Private Network)出现于Internet盛行的今天，它使企业网络几平可以无限延伸到地球的毎个角落，从而以安全、低廉的网络互朕模式为包罗JJ象的应用服务提供了发展的舞台。

虛抓专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义:

一、它是虛拥的网，即没有固定的物理连接，网路只有用户需要时才建立；

二、它是利用公众网络设施构成的专用网。

VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；

对于企业,基于抜号V PN W Extranet能加强与用户、商业伙伴和供应商的联系；电话公司通过开展拨号VPN版务可以城轻终端阻塞；

通过为公司提供安全的外界远程诉间服务,ISP能增加收人；通H Extranet 层和相关克争服务,ISP也可以提供不同的抜号VPN。

VPN兼备了公众网和专用网的许多特点，將公介网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。

VPN能瞄充分利用现有阿路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降Of用户的电信皺用，在近几年得到了迅速的应用。有专家认为，VPN将是本世纪末发展速度最快的业务之一。

第二章解决方案

【关维词】APN GW

设it思路:

采用APNGW产品，通过VPN技术把各地连接起来，组建基于TCP/IP的虚拥专用网络；

组建网络之后可以直接运行任何基T TCP/IP的软件和其他通讯产品;

各地分公司利用APNGW阻止秋自的Internet诉冋，把诉间Internet流量定向到总公司的Internet出口，统一进行诉冋控制管理。

产品选里：

采用APN GW产品：任何一点无需专线,支持ADSL, ISDN,电话拔号,DDN等连接方式，各点之间连接无需中心点作转发，各点之间的连接是网状的；

推荐便用ADSL作为连接的主耍方式，其连接速度快，价格也相对便宜。

针对客户现有情况，我们推荐的方案是：

■弁点采用APNGW 200型设备；中心点釆用2500型设备；

APN GW方案描述

集团公司在全省有多个分部。以后可以很方便的扩展到全国甚至世界各地；

在其他异地亦仮室分别放置一台APN GW200, 51 tO使用ADSL!网。总部建议采用 APN GW 2500 一台;

在每个分支安装APN GW200 2 1,理立与总部的VPN连接，当地的局域网可以不通过ADSL上Internet,而经过总部的出口诉间;

每点与其它点的通川速度取决定于其中一个点连接internet的速度的最低上行速度O

任何两点之间可以自由通川，其连接无需转发。连接是网狀的。

可以定义其他分点的连接情况，可以形成任意网络状况的连接。

分支机构

公司总部

图1方案柘扑图方案说明

总部采用1台GW2500；

各分部采用APN200；

整个过程中，现在的系统在硬件和网络上几乎无需改动；

在这个网络基础上，可以直接运行VOIP,視频会放和任何基T TCP/IP的应用程序；

各点基于IPSec f立VPN通道，传输经过AES/3DES等多种加密算法（可以自由选择）；同时采用MD5/RSA2048算法；

其他VPN解决方案没有的特点

可扩展性：在安装了 19个点之后，以后如果扩展，只需耍在新加的点里设置即可。对前面的APNGW不需要做任何的设置（注意：如果采用其他产品，一般需耍对其他点部有一一设置）,直接可以便用；

可管理性：可选APNGW管理模块，定制APNGW节点之间的路由逻辑关系，例如可以设定A￡B连接，弓CQ不可连接，而B与CQ可以连接；

支持动态IP地址的网狀的网络连接：基于APNGW架构建立的VPN网络，任意点之间是可以直接通讯，没有中心珈颈的眼制；这也是其他产品没有的特点；

能与现在有的任何网络无缝接入：如果部分节点已经有了 DDN、FRAMERELAY 或其他VPN隧道，APNGW可以无缝的接入到现在的网络之中；

易用14 : APNGW产品安装、维护十分简单。一般有一点TCP/IP基础的技术人员, 在几分卸内可以学会设置和安装。而且产品基于嵌人式设廿，几乎无需维护；

移动用户

可以采用我们的client软件，通过笔记本电IB直接联入公司网络。我们可提供开放的接口，可以让其无缝的连接到VPN休系中。

具休应用：总部、分部閒采用APNGW系列产品组建VPN网络。移动用户可以采用

杨动客户端通过PPTP协议接人到APN系统中。

APN GW产品简介

为了实现现在线路的连接，我们提出的解决方案中利用我们的APN GW产品。它最大的特点就是费用低，穩定可靠，无需专线，无需固定IP地址。可以支持多种上网方式,如抜号、ISDN、ADSLO

产品特征

APN GW是解决网络安全传输的最高效，最节省的组网技术。

APN GW能便用动态IP接入Internet的LAN之间进行互联。

APN GW能形成网狀的网络连接，通讯无中心败颈，构建高效的即时通讯平台;

?以最低成本接人，最低通讯成本提供高性能高可靠性的企业专网的廿算机网络技术。

APN GW支持ADSL ISDN DDN Dial-up方式,静态/动态IP接入。在相同的通讯带宽下，节省80%通讯费用。

APN GW能便普通企事业也能通过Internet组律自己的企业专网。使企业所有于局域网上应用的网络应用以最低的成本应用至Internet所及的范围。

技术要点

?协飮 TCP/IP

基于IPSec国际标准

?完善的路由助能

?完善的宽带代理服务器。NAT/PAT地Jit转换技术保护内部网络。

DHCP服务器

DNS服务器

?设备是一个高性能的I?火墙

内置PPPoE

Telnet or VT100终端控制端口金令行

硕件接口

Console接口：系统配置及系统监測，通il RS-232 (9600, 8N1)进行通讯

局域网接口： Ethernet Interface, 10/100BASE-T

广域网接口: Ethernet Interface 10/100BASE-T) / PPPoE 通讯口接口(用于接

ADSL Cable Modem)

? 广域网接口： RS-232,外置 Dial-up Modem /ISDN TA

物理规范

?输人电压：110V-230V

? 助率：最大约 40W (GW1000/2000)

?使用环境温度：0~45咒

?使用环境湿度：5-95%

M密算法

数据传输可自由选择

AES/128位加密算法

3DES/168位加密算法

SERPENT/128位加密算法

BL0WFISH/128位加密算法

TWOFISH/128位加密算法

?国家密码委员会指定的硬件加密卡或第三方算法保证数据完整可自由选择

MD5-96

SHA1-96

SHA2-256

SHA2-512

身份认证支持

RSA 2048

Pre-share Key

符合标准

RFC2401 Security Architecture for the Internet Protocol

RFC2411 IP Security Document Roadmap

RFC2402 IP Authentication Header

RFC2406 IP Encapsulating Security Payload (ESP)

RFC2367 PF_KEY Key Management API, Version 2

RFC2407 The Internet IP Security Domain of Interpretation for ISAKMP

RFC2408 Internet Security Association and Key Management Protocol (ISAKMP)

RFC2409 The Internet Key Exchange (IKE)

RFC2412The OAKLEY Key Determination Protocol

RFC2528 Internet X.509 Public Key Infrastructure

RFC2085 HMAC-MD5 IP Authentication with Replay Prevention

RFC2104 HMAC: Keyed-Hashing for Message Authentication

RFC2202 Test Cases for HMAC-MD5 and HMAC-SHA-1

RFC2207 RSVP Extensions for IPSEC Data Flows

RFC2403 The Use of HMAC-MD5-96 within ESP and AH

RFC2404 The Use of HMAC-SHA-1 -96 within ESP and AH

RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IV

RFC2410 The NULL Encryption Algorithm and Its Use With IPsec

RFC2451 The ESP CBC-Mode Cipher Algorithms

RFC2521 ICMP Security Failures Messages

APN GW的安装设置

APN GW的安装非常简单。只需连接好线路，启动机器，通11 232 口和windows的超级终端来设置即可。设置参数色括：广域网（类型、用户名、密码）、局域网（IP地址）o

APN GW产品列表及照片

APN GW Price List(ln China Midland)

ID Product Product Description

GW200 Series

GW00200

APN GW200

2 Eth 10/100 BaseT NIC,1 232Com 接口；1 Console 接口；

8M Flash,233MHz CPU With AOS 1.0

Based on GRE Tunnels 最简单助能(Linux kernel 2.2) 最多1024 tunnel集成肪火墙PortFWD

适用于毎点25个用户下的公司、基TGRE,运用VOIP 和视频会议，数据

GW2000 Series

GW20100

APN GW2000

2 Eth 10/100 Based NIC,1 232Com 接口；1 Console 接口； 8M Flash,233MHz CPU With AOS 2.0

with Firewall 2.0

/3DES/AES/BLOWFISH/TWOFISH MD5 /Pre-share Key 最多 1024 tunnel

适用于每点15个用户下的公司、基于IPSec,多种加

密算法可选，身份验证用PRK

GW20500

APN GW2500

3 Eth 10/100 Based NIC.1 232Com 接口；1 Console 接口； 32M Flash； 1 Flash Slot,C533MHzCPU,

1 Licenses Key,With AOS 2.0,With Firewall 2.0/3DES/AES/BLOWFISHJWOFISH Hardware MD5 /Pre-share Key RSA 适用于毎点多于15用户或数

据流量大公司，或要求国家加密算法的行业用户基于IPSec,多种加密算法可选，身lOil用PRK和 RSA,支持硬件加密卡

适用于集团公司VDN服务。标配支持单域15个

Licenses

PPTP Options for All version but 100

PT20100

PPTP Server 2.0

PPTP Server For APN 可以在线 update

PT20200

PPTP Client

For Windows 2000/XP.For PPTP

APN GW

Hardware Options

Cable

CB10100

Console cable

APN Console Cable

CB10101

Console cable

VOIP Console Cable

VOIP

V010100

APN GW VOIP-O

4 路 VOIP, FXO 接口

VS10100

APN GW VOIP-S

4 路 VOIP, FXS 接口

APN GW 2500 Hardware

Options

?件W密卡

SJ20100

2000 SJW -1

Card

经“国家密侶管理委员会亦公室”批准的加密算法的

VPN隧道加密卡31M,签g 13次/杪

SJ20101

2000 SJW -2

Card

经“国家密码管理委员会亦公室”批准的加密算法的

VPN隧道加密卡50M,签名13次/秒

SJ20102

2000 SJW -3

Card

经“国家密码管理委员会亦公室”批准的加密算法的

VPN隧道加密卡50M,签g 60次/杪

CF20100

2000-CFK

2000密钥存储器（标配已有）

左图 APNGW 1000/2000 外观

J 口口口秒 Mri\l O VV I UUU/ZLUUU/UUUU

GW2500及其内部构造：支持硬件加密卡

/I二一一丄■

网站

产品定位

需耍最高性能和可靠性的大型组织机构企业/大型网狀的连接、从企业级、电信级用户

lift火墙

紧密集成/支持分组管理、VPN通道中的用户菅理fll上网菅JI等多个模挟

产品配置情况

可支持最大连接数

单域1024个、同一系统中无域数目的眼制（决定于硕件）标准的5000支持1024以上个域

VPN实现机制

硬件、软件、应用

可提供网络接口

至少2个以太网口，1个console□, 1个232口

操作系统平台

基f Linux的自主开发平台

VPN采用协议

IPSec/PPTP/GRE/

VPN可承载协议

IP压缩

支持

NAT（网络地址转

换）

支持

路由协议支持情况

静态路由、RIP等部分动态路由协放

功能

硬件加速功能

硬件可选

V两侧是否需要独立子网

需耍

冗余与恢复

5000支持冗余备份

冗余与恢复对业务的黔响

无影响

VPN网关支持流量

iOi

支持

安全

安全策略

地址,端口，服务，时间,协议类型

安全机制

加密和认证、标准的IPSec和独0J的Licenses认证机制

认证机制

Licenses认证机制、EAP

密匙管理协放

IKE

IKE Phase I模式支持

支持

Wwttw——

IPSec特征

IKE认证支持情况

PreShared Key、RSA? 件 Key 认 il

i丿、证算法支持

MD5-96、SHA1-96. SHA2-256. SHA2-512

加密算法支持

AES/128位加密算法、3DES/168. SERPENT/128.

BLOWFISH/128. TWOFISH/128.硬件加密卡或第三方算法

加密、认证方法不同于IPSec

支持

PKI兼容情况

PKI

自动协商助能

支持

支持Internet 冋

支持

日志

支持、可以查看网络用户的使用情况和系统日志

其他

网状连接，通讯无中心珈颈

客户端

对PPTP的支持情况

支持

远程接入认证方法

Licenses认证本地用户名和口令

客户端软件平台

Windows 2000/XP

客户端支持的协议

IP/IPX

管理

是否集中管理

集中管理

管理平台

集中在50001

远端管理

Telnet

APNGW2500性能指标

标准配置

C500/64M 可扩 1512M RAM/32M Flash/1 Flash 扩展口、 1傻件加密卡捕槽

网络接口卡

全 JRI10/100M 自适

应

最大支持隧道数目

1024个毎域

通道明文处理能力

70Mbps

傻件加密卡（Of端）

33.2Mbps

3DES/MD5处理能力

30.8Mbps

blowfish/MD5 Sb 理能力

55.8Mbps

VPN怵议

IPSec/PPTP/GRE

隧道支持协议

http/UDP/FTP/SMTP/P0P3等透明传输

输人电压

交 1110V-240V

最大功率

100w

使用环境温度

0~45 °C

使用坏境湿度

5-95%

平均无故障时间

MTBF>=38000 /h 时

电气标准

FCC/CE

APNGW5000性能指标

标准配置

PIII800/64M 可扩展512M RAM/32M Flash/支持外挂硬盘

网络接口卡

全110/100M自适

应

最大支持隧道数目

1024个毎域

最大支持虚折挾数目

没有限制

通道明文处理能力

75.5Mbps

硬件加密卡（Of端）

35.8Mbps

3DES/MD5处理能力

33.8Mbps

blowfish/MD5 Sb 理能力

60.8Mbps

VPN协议

IPSec/PPTP/GRE

隧道支持协议

http/UDP/FTP/SMTP/P0P3等透明传输

输人电压

交流 110V-240V

最大功率

100w

使用坏境温度

0~45 °C

使用环境湿度

5-95%

平均无故障时间

MTBF>=40000/b 时

电气标准

FCC/CE

第三章与其他产品方案的比较

【关權词］VDN IPSec

APNGW架构的原理

在洁如烟海的因特网中，任何APN之同是如何能找到对方的昵？

在Internet上，不论您在任何地方上网,当您键人_个网ht时，您的电肪总是准确的定位到一个地方去。这是由于因特网上有许多DNS服务器在为许多域名作解析。

之间的主机能瞄相互按照事先预定的規则快之为VDN服务。APN GW能够获得VDN服务说明的是，VDN不同于一般的DNS或DDNS,根据这个思路的启发，我们设it T VDFJ

之间的主机能瞄相互按照事先预定的規则快之为VDN服务。APN GW能够获得VDN服务说明的是，VDN不同于一般的DNS或DDNS,

据同步。VDN Server 2间支持多台冗錯处理和数

据同步。

F的获得。只耍APN缓存中有其中一个服务MM — MMAPN GW 1OOOAPN GW2000AF>N GW2O0UAPN <iW 1000VDomuiii Koy我『I有一系列的技术和措施保证如果具中一个

F的获得。只耍APN缓存中有其中一个服务

MM — MM

APN GW 1OOO

APN GW2000

AF>N GW2O0U

APN <iW 1000

VDomuiii Koy

网中肝妙的建立了一个小小的因特网。而且我系，各虛拥主机之间可以任意通讯，没有连接是网状的。

性。

左行业用户自己建立VDN Server的—种产品。

　自己建立此顶服务，您可以为本公司的APN

图3 APN GW系统休系

与纯软件VPN的比较

目前有一些纯软件的VPN解决方案，例如采用企业的网站作为登录的转换点,用软件的方法来实现VPN。

比较项目

某软件产品

APN

说明

原理

WWW服务器是公网固定的IP 地址，提供每点连接后握手服务；

整个网络需耍一个中心点；分部只能与中心点通讯，分部与分部之间不能通讯；

整个网络是星状的，只能连接中心点。

VPN服务提供路由策昭；没有中心点的眼制; 整个网络是网状的；

通川效率

只能是与中心点通讯，而且该

APN的连接是网狀的，

网状连接是未

点述不能做转发，逆比其他一

些软件的VPN还嬰通色；

各点之间可以自由通讯，所以可以提供VOIP、视频会议、文件共享等功能。

来分布计算、实

时通讯的方向

对操作系统耍求

web 服务器端:ASPJSP.PHP （这將有安全隐患！）中心点：windows 客户端：windows

没有限制

安装维护

需耍维护整个软件系统；例如病毒、兼容性等冋題；依賴于机器本身的性能，维护上会有比较大的麻烦

是一个硬件系统，嵌人武Linux设计,几乎无需维护

连接公网时，在Windows机器上还需安装例如Modem驱动、 PPPoE抜号程序。提供软件的机器还需配置取网卡；如果要上网还要装相应的代理上网软件，安装的趙多,维护和稳定性更需加困难

—个设备就可以芫成。

可管理性

从原J!上无法实现

节点可定义性

是第二层的协议，所以它只能建立client-server逆样的构架。

APN 采用的 IPSec/GRE/ 是工作在网络层的协议。也支持PPTP协放。

投入

在每个局域网内需耍提供一个电脈作为网关、代理

这能真正的节约成本吗?

可扩展

可扩展性差

非常容易扩展

产品

ffl FTP/Lan/Dproxy分成三个软件

APNGW -切解决。集成肮火埴、DHCP服务、DNS 服务、NAT代理上网和管理

与其他支持动态IP方案的比较

目前在帀面上有一些其他的VPN产品，采用DDNS方式来解决动态IP的冋题，究其原理，是先在国外的某DDNS I务器上注册一个虚fflgg，然后通iiDDNS的客户端程序来读解该域名为IP地址，建立连接的时候以该域名为对象建立连接。

目前还没有其他产品类似于我们的VDN方式的设计。

比较项目

DDNS解决方式

APN

说明

原理

通过在国外的DDNS服务器上注册，就象申请免皺的电子册件一样，需填写大量的个人资料后才获得域名

通过VDN来实现连接和管理

需耍事先注册

DDNS会是免贵

的吸

安全

DDNS的设廿是为动态IP提供 web服务的,所以部分DDNS 上面还可以查到已经登记的

M名;Client与DDNS服务之间通讯是没有#1密的:因为 DDNS的设廿的初衷在于“it 更多的人部知道”

VDN与APN 2间的通讯经过3DES+I?机数的方式,黑客无从下手；VDN 的设廿的原则是“安全服务”,高性能的断火墙，隐蔽IP地址，ssh 管理

管理

由于设廿的原理不一样，所以无从管理

可以在VDN±K置管理模块，实现对各节点的管理，通川日志的查看， License的维护

通讯效率

其实这还是传统的VPN方武。

网状通讯

扩展性

毎增加一点,首先要先去一个网站申请域名，同时还需要对以前的各点进行8!置。

增加的点与原来的同域的点宜接通讯，原来的 APN不需进行改动

远程维护

没有控制点

可以从5000上远程维护

其他各地的点

其他

现在国外的DDNS Q部分暂时没有收贾，而部分是收贾的, 例如www.ddns.nu,每月收费 $10-$25不等，需耍美金支付。

企业可以自1 5000,推荐便用中国电信提哄的有偿解析服务。

"没有免贯的

午餐"

与传统的点到中心点方案的比较

传统的VPN中,以Intel为代表的点到中心点的Shiva产品曾经风光一时。起初这种设计思路也是为了节约IP资源而设计的。因为Client端可以采用动态IP的方式连接总部的固罡IP。其实Windows 2000中已经集成了这样的功能。

比较项目

点到中心解决方式

APN

说明

原理

采用直接抜入中心的固定IP

的方式建立星狀的VPN

与VDN获得策略的方式建立网状的VPN

一般是第二层协议

第三层的协放

二者的比较参考后面的文甘

管理

客户竭大多是软件方式，助能有限；网关方式需耍单独的一个个的管理

可以统一管理

通讯效率

中心点参与任何其他的点的通讯

互联互通，节点通讯与

VDN无关

扩展性

部是到中心点

扩展后可以诉冋其他节点

咳道

毎个Client 会建立除道，对中心点的要求带宽和处理能力很高；软件方式需要在每个电朋上都有安装軟件,每个电腑那会建立隧道（最夫254）

VDN不参与通讯，而各节点之间是网关里，一个局域网共享一个隧道,支持1024个隧道

总结

其实是客户竭软件的方式

也支持软件接入,支持 windows2000的直接抜人

与传统的固定IP地址VPN方案的比较

其实这是VPN的最传统的方式。n Cisc o为代表的产品都是这样去解决。在0：美发达国家，由干固定IP地址的贾用比较低，所以这种方式很容易实现，而在亚洲许多国家，IP地址比较匮之，从而使得DDN固定IP的數用非常昂贵。

客观的说，DDN的VPN无疑是稳罡的，虽然配置耍求专业人员，也能形成网状的连接。但是从啊买设备、安装涮试和后期的维护的费用都是巨大的，而且还有毎月高昂的通讯贾用。

与城域网方案的比较

宽带IP城域阿是根掘业务发展和竞争的需要而建设的城市范围内（可能包括所辖的县区等）的宽带多媒体通信网络，是宽带骨干网络（如中国电信IP骨干网络、联通骨干ATM网络、网通宽带IP网络等）在城市范围内的延伸，并作为本地的公共信息服务平台组成部弁，负责承载各种多媒体业务，为用户提哄各种接人方式，满足政府部门、企事业单位、个人用户对基干IP的各种多媒体业务的需求，因此，宽带IPMM网必须是可管理和可扩展的电信运营网络。

城域网的VPN方式，采用当地ISP的线路，大多数采用Cisco设备和MPLSVPN g 术。通讯费用也不IttoE比较适合于在同一个域市之间通ffl而且带宽要求很高的情况下。

　—旦离开这个城帀或到了孩城帀的城域网覆盖不了的地方就无法建立联系了。

APN建立的VPN网络，不依靠某一个ISP或IDC,可以在各个ISP之间自由连接。

　这就是 APN 的 A 的含义:Anywhere, Anytime, Anywayo

APNGW架构的优越性之安全性

APN的设廿首先是八安全的角度。从设计上毎一次通讯那是通过加密传输的。基于 IPSec的标准一一这是业界公汰的最安全的VPN怵议。

□全部基于开发温码的Linux设it；

□不依輒和局限于ISP；

VDN服务不参与APNGW 2间的通讯,其所耗资t机小;

VDN服务支持冗余备份；

□身份验证助能，鉴罡APNGW的合法性；

□获得策略的通讯采用3DES JU密算法；

VDN服务器提供强大的肮火埴功能,同时只提供VDN服务而不开发其他任何端口；

APNGW架构的优越牲之可管理性

APNGW的管理平台，可以为整个休系提供详细的管理。以上的节点可定义，也依赖干该管理平台。它主要分为虚折域管理、策略和权限管理、日志管理、Licenses管理几大部分。Q分为单域管理（用于单个企业）和多域管理（行业用户、电信级用户）。

"系统可以管理节点。由于可管理，才实现节点可定义。“

“可管理分为虚8（域管理、策略和权眼管理、日志管H. Licenses管理。”

APNGW架构的优趟牲之易扩展性

?网络结构的扩展：

如果需要加入新的节点,以前的节点不用作任何的设置。这也是APNGW产品与众不同的地方。例如：

某客户在北京、上海、香港用APNGW产品组建了一个VPN网络。运行1年之后，需耍增加美国、深圳、西安三个点。他再购买三台设备之后，分别安装在这三个地方，而原来的北京、上海、香港的设备不用做任何的设置，马上就可以建立逆穴个点的通讯网络。

　而且任何两点之间可以直接通讯，没有通讯班颈。

这一点，是其他VPN产品从原理上无法实现的。

?系统助能的扩展:

APNGW产品基于模块化设计，可以根据帀场的需耍配置相应的模块，同时，可以开发新的模块和助能，以满足不同用户的需求。

APNGW架构的优越性之网狀连接、即时通川性

许多客户那有一种观点，我们只有各节点连接到中心点就可以了，不需要分点之间互相通讯。迪里首先要澄清一f技术观点，网状连接可以容易变成星狀连接，反之则不然。APNGW的架构也是很容易形成星状连接的。

还需耍说明的额一个间趙是：网状连接与数据集中不会矛盾。在一些系统之中，数据库可能会集中到一个中心点，集中到总部运算。其实真正的先进的模里是集中式管理, 分布是运算。这与APN设计的思路是一致的。

APN可以详细的设置各分点之间的通讯权眼，形成的网狀连接是先进的网络架构。

即时通讯是未来通讯的潮流。

目前有三大软件，MSN.ICQOICQ,稲是针对个人便用的即时通讯软件；而APN的设计是嵌入式的即时通讯VPN网关;Peer to Peer即时通讯应用的书面表述罡义如T： M任意用在分布式体系结构上，向没有中心协涮管理的自治资源之间提侠直接通信的应用或过程。”

Microsoft表示它最近在Groove Networks上投资了 51,000,000$,该项目旨在使各个P2P应用协同工作，其中的1,000,000$将用于Globus网格框架，以及英国政府的GEODISE I程。而Sun也开始着手JXTA I程，并指罡两家专业公司， Infrasearch和Gridware,专门负贯P2P开发；IBM是Globus的另一个强力支持者, HP和其他一些公司也公开表示自己正致力于促进网格廿算和P2P应用。

来 1: /content.aspx7titleid二4336

P2P应用之所以流行的原因在于，它使用户廿算机从被动获取Web信息转向英特网坏境中的主动资

网狀连接、实时在线、弁布运算、互朕互通是未来通讯之潮流。

APNGW架构的优越性之易用性

易用性决定了 V PN顶目实施的难易程度、广泛推广的可能性、维护成本髙低的因素。在原有网络互联比较夏杂的情况下，项目能否实施的关建因素。

其它VPN产品的解决办法:

大多数的配置耍了解IPSec的细节，耍由操作者选择色的格式，是AH或是ESP, 还耍设定数据包是否压编，通讯是Tunnel jj是translate方式。PSK的取值，更有甚者, 还要用户设定IPSec建立SA的Phase 1和Phase2的方式等等。这类配置要了解比较多的细节，实施进行非常因难。

对原来的网络进行互联时，新加的设备和原来的设备都耍重新设置。便用起来非常不方便。并且系统性能很大程度上受到配置人员水平和个人取好的影响。出现因配置冋题而导致的故障会比较多。

维护耍有资深的ISI进行维护，一旦出冋题会比较困难解决。

APN GW解决亦法:

APN GW把最优化的配置做到了系统的配置之中,用户无须去配置烦陨的VPN 功能的详细配置。

APN GWS置非常容易,有TCP/IP常识的人三分鉀即可配置完成。对原来已有 APN GWI起来的网络，fJll A结点后，原来的结点亦无需作任何改动。

APN GW能做到以上这一点，是因为APN GW使用了睢一的V DOMAIN与VHOST 体系进行统一管理。也由于使用了子网共亨助能，APNGW在与共它设备已建的网络中进行互朕时，亦无须了解原来朕网设备的网络实现细节。只需知道最后所需的网络折朴结构,经ilAPN GW的高级配置菜单,即可非常方便的使用原来的网络。

APNGW架构的优趟牲之适应性

APNGW采用灵活的、开放温码的Linux设计,全部Q我公司自主开发，加上我们长时1可的实际应用測试,所以对各地的接入Internet Jj式有良好的兼容性。APN支持 ADSL/LAN/DIALUP/ISDN等多种接入方式,提供最即时的技术支持,包括未来的vDSL的支持也是容易升级和实现的。

第四章系统的安全性

【关建词】VDN服务、密码算法、密钥管理、断火埴、3DES/RSA

一个完整的APN系统由以下部分组成。APNVDN Server, APN通讯网关、密胡管理、防火粧

APN体系

在洁如烟海的因特网中，任何APN之间是如何能找到对方的呢？

在Internet ±，不论您在任何地方上网，当您錐人一个网址时，您的电曲总是准确的罡位到一个地方去。这是由干因特网上有许多DNS服务器在为许多域名作解析。

根据这个思路的启发，我们设it T VDN服务。每个APN在因特网上会属于一个虚拥的域，有自己独特的虛拥域名和虚拥主机名。同时，在Internet!,我们自己开发出一种机制来解析这些域名,使得在同一个域之间的主机能够相互按照事先预定的观则快速搜索到同域的其他机器。逹种服务我们称之为VDN服务oAPN GW能皤获得VDN服务而与同域的其他APN建立VPN通道。

VDN Server 2间支持多台冗錯处理。

我们有一系列的技术和措施保证如果其中一个VDN服务失效时APN可以随时切换到其他的VDN服务器而不会影响虚拥域策略的获得。只要APN缓存中有其中一个服务器有效，它就可以正常工作，如果其他服务器加人，? Cache列表也会得到动态的更新。

根据我们这项技术,我们在洁瀚的因特网中肝妙的建立了一个小小的因特网。而且由于这种机制，同一虛拥域之间一旦建立了联系，各虛屯1主机之间可以任意通讯，没有任何中心节点或瓶颈的眼制,所缺,APN的连接是网状的。

正是因为如此,APN GW有良好的扩展性。

您自己可以建立自己的VDN服务：

GW5000是VDN Server的一种。它是针对行业用户自己建立VDN Server的—种产品。

　支持用户建立单域控制多用户的连接。采用自己建立此顶服务，您可以为本公司的APN 建立更快更迅速的连接。

APN GW休系安全可以归结如下:

□全部基于开发瀾码的Linux设it；

口不依赖和局眼于ISP；

VDN服务不参与APNGW之间的通讯,其所耗资湄机小;

VDN服务支持冗余备份；

□身份验证助能，鉴定APNGW的合法性；

□获得策略的通讯采用3DES JH密算法；

VDN服务器提哄强大的肮火晴助能，同时只提供VDN服务而不开发其他任何端口；

APNGW架构提哄良好的扩展性，nJHff意节点的可扩展性；

APN通讯的安全

APN VDN Server：

■基于Unux2.2./2.4核心。关冈所有无关的通讯端口。配置高安全的防火墙规则。

■ SSH安全信道管理

■身份验证：验证APN GW机器的身份合法性

■策略管理：可以定制用户需耍的策略

密码算法

■ APN GW1000. 2000 与 VDN Server 之间通讯采用 3DES 算法；

GW2000RSA逋讯身份蓝运' | 3DES/MD5加密輛| IPtables

GW2000

RSA逋讯身份蓝运' | 3DES/MD5加密輛

| IPtables防灭圖

APN通讯複块

VDN Server

统一的身份验证和访问控制

SSH通道背理模块

IPtables防火墙

VDN服务複块

RSA巒钥重淫複块

RSAS钥分发模块

3DES

IPSec^ 构的VPNil 道

GW2000

RSA通讯身份验证

| 3DES/MD5加录新

| IPtables防灭琢

APN通讯模块

法；

许使用的加密卡（北京

"杪或50M,签名13

48位；

图6 APN GW助能模块

APN GW航火墙功能

APN产品具有强大的肪火墙功能,其基于Linux 2.4核心的NetFilter架构的色过滤肪火墙，支持DMZ g,完善的日志助能，完全可以作为专业肪火墙。

设置APN的肮火墙，可以实现：

■允许诉冋Internet,同时便用APN建立虛拥专网的助能（缺省、方式）；

■地址翻译：隐藏整个内容网络地址，保护内部网络安全，可以设置允许部分IP 诉冋或拒绝部分IP诉间Interneto

■地址绷定：肮IP地肪止内部网络的IP地址盜用；

■只用APN通道：口|设定只允弁APN进行虚机专网的连接功能，不能诉冋Internet；

■分组管理：可以设置不同的组，分配不同的策略；

■前止内部安全隐患：即使是同一个VPN通道内，可以设定对同域的机器的前冋许可;

■萌止外部安全隐患：筋止同步色洪水，筋止各种端口扫描、Ping洪水攻击等；

■色过滤：基于瀾地址/目的地址，瀾端口/目的端口，协议，服务等的过滤。

■ 内置趾置，可以实现www、ftp、telnets pop3、smtp. oicq、icq等协议和端口的过滤

■日志审th支持专用日志服务器，接受萌火墙日志内容

上网管理

APN产品具有强大的管理功能，可以把内部电朋分成若干组，给毎个组设定不同的权限。例如财务部，可设定可以不可诉冋Internet、不可收发邮件、不能被其他机器所诉间；采购部,可以诉问Internet，但不可诉同一些站点,可收发閒件，但不可使用QQ 等剧天工具等。

这个分组是很灵活的。某个人可以师时属于一个组，当工作训动时，可以方便的加入到另外一个组里面去。

符合标准

RFC2401 Security Architecture for the Internet Protocol

RFC2411 IP Security Document Roadmap

RFC2402 IP Authentication Header

RFC2406 IP Encapsulating Security Payload (ESP)

RFC2367 PF_KEY Key Management API, Version 2

RFC2407 The Internet IP Security Domain of Interpretation for ISAKMP

RFC2408 Internet Security Association and Key Management Protocol (ISAKMP)

RFC2409 The Internet Key Exchange (IKE)

RFC2412 The OAKLEY Key Determination Protocol

RFC2528 Internet X.509 Public Key Infrastructure

RFC2085 HMAC-MD5 IP Authentication with Replay Prevention

RFC2104 HMAC: Keyed-Hashing for Message Authentication

RFC2202 Test Cases for HMAC-MD5 and HMAC-SHA-1

RFC2207 RSVP Extensions for IPSEC Data Flows

RFC2403 The Use of HMAC-MD5-96 within ESP and AH

RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH

RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IV

RFC2410 The NULL Encryption Algorithm and Its Use With IPsec

RFC2451 The ESP CBC-Mode Cipher Algorithms

RFC2521 ICMP Security Failures Messages

系统安全总结

本解决方案在安全性方面做了五个层次的考虑：网络层、系统层、用户层、应用层、数据层。

1、网络层安全性：休现在网络安全通讯、断火墙、侦測非法入侵等方面；

■ APN自带肪火墙：仅允Windows 2000通过肪火墙诉间Internet,不允许有反向诉间。保证U Internet上无法和Windows 2000直接连接进行攻击。

■自己定制APN断火墙：拒te ICMP的ping包；断止ping洪水；加强系统管理口令；关HIDNS服务；关闲DHCP服务;通过诉冋列表定制部分甚至全部机器对

Internet 的 jj 间；

■直接限制对Internet的诉冋：拒绝所有来自非自己定制的内外IP的包。例如可以设定，凡是非这个网段的包全部拒绝，而这个网段是来之其他营业部的。非自己设罡的IP就拒绝进人系统；

■在网络传输过程中，由于采用ICA技术，网络传输的是图象数据，即使捕获也没有隐患。同时传输过程可支持128 RW密；

■ APN体系整f系统完整。可以采用3DES或其他国家推荐的加密算法，多层安全保证。

2、系统层安全牲：通ii Windows2000 Server提供的域策略管理和资温安全性管理实现；

Windows2000是符合C2级标准的安全襟作系统,具有完善的策昭管理和审计功能。

　例如:

仅安装终端服务（甚至不安装Active Directory服务）

禁用网络登录（终端服务实质上是本地登录）

禁用0A以外的应用程序

退出时禁止保存

禁止安装、修St Windows组件

禁止使用控制面板

禁止Run As服务

系统文件自动恢复

选择安装断病毒软件

保込了黑客无法卩、网络上诉冋到Windows 2000服务器，并且无法修改它的系统配置或系统文件。

3、用户层安全性：休现在用户和用户组的管理、身份验证等方面；

用户磁盘便用配额

本地不可前冋网络

不可浏览诉间本地磁盘

仅可运行OA,不许执行其他应用程序

保证了用户通过终端方式本地登录到Windows2000服务器后，仅有权眼便用OA系统或指定的软件，不可能对服务器进行其他操作或通过它对网络诉冋。

4、应用层安全性：体现在权眼控制和授权等方面;

0A系统采用口令校验便用 5、数据层安全14： It现在加密技术上；

APNGW采用3DES加密算法，所有数据经过M密传输。3DES算法也是公开的算法, 国师知名的CISCO、Intel Shiva部采用此算法；

APNGW可以采用便件加密卡，该加密卡支持国家密码委员会推荐的加密算法,而且这些算法稲是国密亦备案而没有公开，所以推荐本方案采用；

如果在采用Citrix,

Citrix ICA K t通讯的数据均JU密,所以曹业部和总部之间所有的通讯数据部是加密的,其它人不可能截取你的信息。

在Windows 2000上存储的个人文件,通过Windows2000的安全设置是相互IB离的。

通过以上windows2000 server和ICA安全加密特,性,完全可以保证系貌的安全和稳罡运fio ?果再加上第三方肪火墙，同时考虑采用APN的加密产品，整f网络几乎无嵋可击。

加密技术简介

在廿算机上实现的数据加密，其加密或解密变换是由密钥控制实现的。密钥

（Keyword ）是用户按照一种密码体制I?机选取,它通常是一1机字符串，是控制明文和密文变换的唯一参数。

加密休制及比较

根据密钥类型不同将现代密码技术分为两类：一类是对称加密（秘密gist in密）系统，另一类是公开密胡加密（非对称加密）系统。

对称钥匙加密系统是加密和解密沟采用同一把秘密gist,而且通信双方都必须获得送把胡就,并保持胡匙的祕密。

对称密码系统的安全性依赖于以下两个因素。第一，加密算法必须是足跟强的，仅仅基于密文本身去解密信息在实贱上是不可能的；第二，加密方法的安全性依顿于密钏的秘密性，而不是算法的秘密性，因此，我们没有必要确保算法的柳密性，而需要保证密钏的祕密性。对称加密系统的算法实现速度极快，Uaes候选算法的测试结果看

相关热词搜索：方案方案 奥联方案方案x