CISCO-1720 VPN解决方案

2004-11-1　发布方：思科中国　网友评论 0 条　点击进入论坛

VPN具有非常出色的经济实用性，与其他WAN解决方案相比，VPN能够帮助您更加快速经济地实现业务"全球化"，大大降低一般性成本并获得快速的投资回报。通过VPN，用户可将关键任务应用扩展到远程办公室和外部网合作伙伴，使企业更具竞争力，并提高客户服务质量。VPN可以说是Intranet在公用网络上的延伸，能提供和专用网一样的安全性、可管理性和传输性能，而建设、运转和维护网络的工作从企业的IT部门剥离出来，交由专门的VPN提供商负责。对于计划迅速开展全球电子商务的企业来说，选择VPN无疑是明智之举。

　　为了进一步促进VPN的全面发展，今年Cisco公司推出了完善的企业级虚拟专用网(EVPN)的全面解决方案，在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面，具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。

　　对于用户所提出的要求，我们只需要在各个分公司所在地分别安装一台Cisco 1720路由器，并对路由器进行简单的软件配置便可以实现VPN功能。而由于在各地的用户数目不尽相同，因此，在将不同地点用户接入专网中时，应通过交换机接入路由器。这里我们可以选用Cisco系列交换机。对于出差到其他城市的人员如果要接入到虚拟专网当中，则可以采取以下方式：用户拨号到Internet上，通过Internet进入到虚拟专网。这要求当地ISP用有拨号访问服务器，并能提供该项服务。

　　此方案中VPN的实现是通过隧道(Tunnel)技术进行连接。隧道技术通过软件"叠加"在物理网络之上，是VPN"虚拟"特征的体现，它使VPN连接看起来象是线路上唯一的数据流。借助隧道VPN，还能够使用内部网络中采用的安全和优先级策略，使您能够完全控制数据流。隧道提供了一层名副其实的安全保障。

　　访问VPN的隧道技术包括点到点隧道技术(PPTP)、第二层转发技术(L2F)或第二层隧道协议(L2TP)。专用的内部网和外部网VPN可使用基于IPsec的技术或普通路径封装技术(GRE)来创建永久性的"虚拟"隧道。

　　在该虚拟专网方案中和专用网络一样，为VPN提供了有保障的带宽和差别控制的服务与应用。在Cisco IOS软件12.0版中，丰富了QoS功能和机制，包括承诺访问速率(CAR)、策略路由、加权公平队列技术(WFQ)、通用流量整形技术(GTS)和资源保留协议(RSVP)，甚至支持IP QoS，使企业用户能够在不同应用和用户之间强制实现优先级和带宽分配，并内置了一个专门用来检测服务水平的响应时间报告器(RTR)。

　　在公用网络上搭建专用网，安全是一个焦点问题。这一方案当中采用了Cisco的安全解决方案。Cisco为此提供了一系列的VPN安全功能来实现安全保障，包括隧道技术、加密、分组验证、防火墙、入侵检测系统和用户验证。基于硬件的集成式IPsec加密，把DES或3DES加密算法与IPPCP压缩结合起来，在加密之前实现数据压缩，不仅可以实现高速加密，还提高了WAN的可用带宽。加密技术在方案中具有可选特性，也是VPN"专有"特征的体现。加密功能只应用于特别敏感的应用数据流且只能在需要时使用，因为这种功能耗费大量的处理器容量，并会对性能产生影响。基于IPsec标准的加密方案，能与其他厂商的IPsec设备实现全面的互操作。根据用户对性能的不同要求，可通过Cisco IOS软件或模块与端口适配器中的硬件在Cisco路由器中部署加密服务。Cisco 1720路由器系列具有一个可选的硬件加密模块，这是可以用于低端路由器的第一种硬件加密模块。

　　另外，PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合，最大限度地保证了企业VPN的可靠性和安全性。而这些功能都是被集成进Cisco IOS软件中的，用户可以通过简单的软件升级，透明地保护网络安全。

Cisco解决方案示意图

　　在这一方案当中，VPN用户还必须通过鉴定，令网络知道其身份，然后才能获得授权，了解网络允许他们做什么。一个好的系统还应该能够执行计费功能，能跟踪用户的操作，用于计费和保证安全性。鉴定、授权和计费功能合称AAA业务。CiscoSecure访问控制服务器(ACS)是一系列能够提供AAA业务的强大服务器。

　　VPN的管理是基于策略的，Cisco推出的Security Manager 1.0策略管理软件集成了多种关键功能，扩大了Cisco端到端的安全解决方案。CiscoWorks 2000则通过提供不同版本的IPM(Internet Performance Monitor)和ACL(Access Control List)Manager软件，增加了WAN检测扩展功能，降低了访问列表管理的复杂度。

　　整个方案中采用的Cisco 1720路由器，包括一个机箱、一个广域网模块和一套Ipsec软件。在这一方案当中，我们选用的是Cisco 1720路由器。其实，目前所有的Cisco路由器平台都可以方便地实现VPN。经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力，降低了VPN的复杂度和成本。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表