联系方式

电话:150-02886853

 

 点击这里给我发消息      点击这里给我发消息

 

QQ: 358207017

 

网址: www.dcwlkj.cn

 

Email: dcwlkj@dcwlkj.cn

 

首 页>技术信息>技术信息技术信息

企业、个人、VPN网络的规划及组建
作者: QQ:86698456  点击次数:   添加时间: 2017-06-26

 

 

需求分析:
 
       某公司位于北京,将该公司大致规划和实施方案、经验和大家分享。
 
一、 VPN网络IP地址划(VPN改造前提)
 
目前企业网IP地址分配方案采用的私有网络地址方案,为了使VPN网络更加符合国际标准的规范,同时也为了更加便于网络管理,在VPN网络改造的同时,对企业内部网络的IP地址分配方案进行规划。新的地址分配方案遵循以下原则:
 符合IETF的私有网络地址分配方案,采用172.17.0.0/16的IP地址段;
 结合新的机构编码方案,力争IP地址能够直观反映主机所属的机构;
 对各分公司的公用网络设备(包括路由器、服务器等)进行统一编址,便于网络管理;
总部地址分配原则
根据的建议,把总部IP划分为不同的C类网段。
 172.17.0.0网段为网络设备及服务器网段
 172.17.1.0网段为工作站网段
集团公司内部地址分配方案
为了便于配置和内部网络安全方案的实施,对每个集团分公司内部IP地址分配方案定义如下:
1. 集团分公司的公共网络资源包括路由器、VPN网关、各种服务器、PC等,其确定的地址分配方案见下面的地址规划表;
2. 由于集团分公司下属二级分公司的数量有很大的不同,而且每个二级分公司所拥有的主机数也不同,所以各分公司网管员需要根据本公司的实际情况为各个二级分公司主机划分更细致的子网地址和网络掩码
 
二、VPN技术实现方
 
(1) 在北京中心放置一台证书管理服务器CMS,如果要求所有的VPN设备能够在线升级,CMS需要固定的公网IP地址。CMS的主要作用是对全网的安全设备(包括总部中心VPN网关、集团公司及分公司VPN网关、移动办公用户USBKEY等)颁发数字证书,进行合法的身份认证,并配合中心VPN网关对全网安全设备进行证书的撤销、在线升级等。
(2) 在北京总部中心放置两台VPN3020B,一台通过中国电信接入Internet,另一台通过中国网通接入Internet,均需要固定的公网IP地址。这样中心两台VPN3020B就可以实现线路备份、双机热备份和负载均衡。同时可以根据客户需要在中心VPN网关上可以实现电源冗余备份、隧道备份及配置文件备份等多种备份方式。这样如果某台VPN3020B出了问题,或运营商线路出了问题,都可以迅速切换到另一台VPN网关,从而保证了整个网络的正常运行,也提高了网络效率。
(3) 在集团公司部署一个认证服务器的注册客户端,在总公司的CMS上保存了自己那部分的证书,通过自己的客户端可以对自己集团内部的证书进行管理和维护.网络管理的详细描述请参看网络管理规划部分.
 
 
三、网络接入分析
 
(1) 接入网关用户访问Server:VPN网关之间首先通过自动协商建立隧道;OA、财务系统、档案系统等PC向接入网关VPN3010E发送数据,到达VPN3010E后进行加密,数据传到中心VPN3010EB进行解密,从而访问内部Server;分公司OA、财务系统、档案系统等PC向接入网关VPN3010发送数据,到达VPN3010后进行128位强加密,数据传到集团公司VPN3010E,再由VPN3010E解密、加密后路由至总部VPN3020B解密,访问相应内部服务器。逆过程相反。
(2) VRC移动用户访问Server:移动用户PC上安装VRC客户端软件,通过USBKEY双因子认证后与集团公司中心VPN3010E或者总部中心VPN3020B建立隧道,移动用户发送数据经PC隧道进行128位强加密,数据传到VPN3010E或VPN3020B进行解密,从而访问内部Server。逆过程相反。
(3)    业务安全性分析: 由于司内部有多种业务系统,包括OA办公平台、档案系统、人事管理系统、公文传输系统和财务系统等,可能还有上Internet的需求。这么多业务数据在一起,通过VPN连网后怎么进一步保证安全性?首先在不同交换机或同一台交换机上,按业务的不同划为不同的VLAN组。比如访问OA服务器的PC在一个交换机上或一个VLAN里。接入到VPN网关后,在VPN上通过配置不同的访问列表控制这些数据的流向,安全网关采用网段、IP地址、协议、端口号、时间等多种方式来选择数据流。这样通过配置就可以把不同的业务系统隔离开来,某些PC可以访问OA服务器,某些PC可以访问档案系统服务器,某些PC则可以访问财务系统服务器等等。他们之间都不能互相访问,这样进一步确保了公司内部系统之间的安全性。
另外,这次实施过程中使用的安全网关还支持多种不同强度的加密算法,用户可根据需要对数据流进行指定强度的保护。例如:采用国密办指定算法保护重要数据、采用3DES算法来保护普通数据等。
   
四、应用效果
       VPN方案实施过程后,我们将以集团公司为基本单位,提供全方位的技术培训、安装调试和安全服务,在总公司统一部署和协调的前提下,各集团公司网络管理员具有独立维护本集团VPN网络的能力,在提高VPN维护效率的同时,减少对总公司信息中心的依赖。本套VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。实现公司总部和全国各分公司安全联入,实时录入和查询,整合了在线业务系统; 各子公司员工通过VPN可以随时调取总部CRM系统客户信息,不受地域的限制,拓展更多客户资源,及时录入CRM系统中; 简单迅速实现部署,不对原有网络造成任何影响,也更易于维护和管理,降低了网络管理员的维护量。
         通过应用本VPN方案,集团总部与各分公司网点间的网络可以互通,形成一个局域网。总部与分部之间数据共享,实现实时传输。加强了数据管理的即时可靠性、同时提高了工作效率,减少了人工成本,有效确保了传输数据的实时与安全,效果尤为突出。