客户需求
安全可靠的网络互联和加密数据传输
设计方案要点
安全可靠的网络互联和基于 VPN 隧道的加密数据传输
华为 Quidway 系列多协议路由器,支持 PPP、FR、X25、SLIP、HDLC 等网络协议,用户可通过各种广域网线路接入 Internet 及互联互访。
路由器内置安全防火墙、NAT、RADIUS 安全认证,以及 CALL BACK 等多项互联安全防护功能;并通过 CA 认证协议的验证和 IPSec 隧道协议,在 Internet 上构建安全可靠的网络通道,基于硬件的数据加密,将保密数据加密后在隧道上传输,加密数据有可靠的保密性但牺牲了效率;非保密数据可以通过一般性安全处理在隧道上传输,保证较高的转发速率。硬件加密的算法采用专门的芯片(经过国家相关部门批准)进行加密,密钥长度大于 128 位,并提供高强度的一次一密功能。配合完全自主知识产权的软硬件平台,提供网络的安全互联和数据的安全传输的安全解决方案。
而 "备份中心"的可靠性备份解决方案,实现多种线路之间的任意备份和业务分担,为网络提供业界最坚固的保护屏障,保证网络的可靠运行。
主要设备
Quidway R1603/1604 路由器
Quidway R2501 路由器
Quidway R2509/2511 路由器
Quidway R3640/4508 模块化路由器
Quidway S2403 以太网交换机
虚拟私有网(VPN)技术及其应用
深圳华为技术有限公司 北京研究所 王盛
摘要:本文通过对VPN技术的介绍,阐述了VPN技术在应用方面的优势,同时结合华为公司的接入服务器,对VPN的功能进行了说明。
VPN 概要和技术:
VPN概述:
虚拟私有网(Virtual Private Network ,VPN),又称虚拟私有拨号网(Virtual Private Dialup Network ,VPDN),是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟私有网。
虚拟私有网实际上就是将Internet看作一种公有数据网(Public Data Network),这种公有网和PSTN网在数据传输上没有本质的区别。因为从用户观点来看,数据都被正确传送到了目的地。相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。
至于"虚拟",则主要是相对现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用PSTN物理线路相连的,而虚拟私有网提供的是Internet上的虚拟链路。
这种利用Internet来组建私有网的方式对Internet服务提供商(ISP)和VPN用户都是有益的。
无庸置疑,ISP的利润大量来自于企业用户。通过向企业提供VPN服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加。
而对于VPN用户而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用,无疑是非常有吸引力的。如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
正由于其强大的吸引力,VPN在全球发展得异常红火,在北美和欧洲,VPN已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。著名的网络提供商Global One在香港地区的VPN服务已经大规模开通。而在中国大陆,网络服务提供商也开始设立VPN服务。
2、VPN的基本技术
以某企业为例,通过VPN建立的企业内部网图示如下:
图中可以看到,企业内部资源享用者通过PSTN网连入本地ISP的POP(Point of Presence)服务器,即可相互通信,而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。
企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN的服务器(如一台Windows NT或支持VPN的路由器)就可以了。资源享用者通过PSTN连入本地POP服务器后,直接呼叫企业的远程服务器(VPN服务器)。呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的,剩下的工作就完全由ISP的接入服务器(Access Server)来完成。
下面简要说说ISP是如何完成这个任务的。
 |
Figure 2
NAS(Network Access Server,网络接入服务器)主要使用了一种称之为tunneling的技术。这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。上图中,用户通过PSTN网拨入ISP的NAS服务器,NAS服务器通过用户名或接入号码识别出该用户为VPN用户后,就和用户的目的VPN服务器建立一条连接,称为隧道,然后将用户数据包封装成IP报文后从该隧道传送给VPN服务器,VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理,使Internet上的其他用户无法读取,因而是安全可靠的。对用户来说,隧道是其PSTN链路的逻辑延伸,操作起来和存在物理链路相同。
支持这种tunneling技术的NAS--VPN Server间协议主要有三种。一种是微软、Ascend、3COM等公司支持的PPIP(Point to Point Tunneling Protocol,点对点通道协议),在Windows NT 4.0以上版本中即有支持。另一种是Cisco北方电信等公司支持的L2F(Layer 2 Forwarding,二层转发协议),在Cisco路由器中有支持。而由IETF起草,微软Ascend 、Cisco、 3COM等公司参予的L2TP(Layer 2 Tunneling Protocol,二层通道协议)结合上述两个协议的优点,为众多公司所接受,相信各公司的新产品都会对它进行支持。
由于传输的是私有信息,VPN用户对数据安全性比较关心,下面就这个问题略加说明。在数据传输过程中,用户和他的VPN服务器之间可以协商数据加密传输。加密之后,即便是ISP的NAS,也无法看到数据包的内容。而且即使是用户不对其数据加密,NAS和VPN服务器建立的隧道两侧也可以协商加密传输,使得Internet上的其他用户无法看到隧道中传输的数据信息。因此VPN服务的安全性是完全可以放心的。
A8010 的 VPN 功能
深圳市华为技术有限公司新研制的接入服务器A8010是一种高性能、大容量的接入服务器。A8010的VPN功能也是非常丰富的,具体表现在它的多协议,多接入方式,业务开设和使用简单,支持多种新业务以及安全可靠等方面。
1、多协议:
A8010的VPN支持全部PPTP、L2F和L2TP三种协议。PPTP的VPN服务器对象主要是Windows NT。小型企业利用Windows NT作为VPN服务器,不用另购支持VPN的路由器。操作也很简单,用户管理直接在Windows NT上完成。L2F的VPN服务器对象则主要是Cisco路由器。Windows NT作为VPN服务器对于大型企业而言,接入带宽不够,用户管理也不够安全,而用路由器配备Radius服务器来作VPN服务器,则能满足要求。而L2TP作为更优更新的标准,必为更多的设备所支持,将是使用最广泛的VPN协议。
Figure 3
多种VPN协议提供给用户足够的选择余地,而且协议的选择也非常的简单,只需在开设VPN业务时说明其VPN服务器类型及选择的协议。企业可以有多台VPN服务器,也可以选择多种协议,并且由用户选择服务器和协议的优先选择顺序。
2、多接入方式:
从连接链路的性质上分,A8010支持的接入方式包括模拟拨号用户,数字拨号用户和专线用户,这三种方式都提供有VPN的支持。
而就VPN用户和普通用户的区分方式来说,A8010提供的VPN接入方式包括被叫号码接入,用户名接入和出租端口三种方式。
Figure 4
被叫号码接入方式中,企业在开设VPN业务时,ISP分给该企业一个特殊的被叫号码。该企业的VPN用户在使用该项服务时,通过该号码连入A8010,A8010根据用户信息找到对应的VPN服务器,通信就可以开始了。
用户名接入方式中,用户仍和普通上网用户一样使用普通被叫号码呼叫ISP,呼通之后输入特定的用户名(通常是用户名@域名)。A8010根据域名连接VPN服务器,余下的过程和被叫号接入方式完全相同。
还有一类用户,由于其VPN业务量大,需要保留若干条链路,以保证呼叫通畅。这种情况下,A8010可以提供线路预留或出租中继的端口的业务。
3、支持的新业务:
1) 漫游:A8010支持漫游。企业只需在一个地方申请VPN业务,就可以在全国各地使用VPN服务。用户拨入当地的ISP时,甚至可以不必在该ISP上拥有帐户,这对出差职员或客户支持是非常有用的。
2) 保留带宽:A8010可以为接入用户保留一定数量的链路,以保证用户呼叫时不至于更阻。是否保留带宽和保留多少条链路则是在开设VPN业务时由企业自己决定的。
3) 代理验证:A8010可以为企业代理验证VPN用户。通常VPN用户是由企业的VPN服务器来进行验证和计费的,而对一些业务量大而又缺乏维护人力物力的企业来说,可以将验证、安全性检查和计费等任务交给A8010来完成。
4) 拨出业务:A8010提供拨出业务。在通讯的两端都有VPN服务器或者需要支持回呼的情况下,A8010可以为用户提供拨出功能。
Figure 5
如图,可以由一台VPN服务器呼叫另一台VPN服务器,或者由VPN服务器呼叫普通用户。
4、安全性
对于VPN业务,企业比较关心的一个问题能是传输的安全性。在这个问题上,A8010提供全面的安全性保证。首先,A8010可以应企业的要求,在VPN用户拨入时对他的身份进行验证,然后才建立隧道,将用户交由VPN服务器进行再次验证。其次,A8010对用户数据包进行完整转发,并不读取数据包的内容。因此,用户可以对它的数据进行加密,而不会影响A8010的工作,而且此时即使是A8010也无法读取用户数据。第三,A8010支持A8010到VPN服务器间隧道的数据加密。这样,即使拨入用户不对其数据加密,由于A8010的工作,Internet上的其他用户也无法读取VPN用户的私有数据。
公安信息系统解决方案
 |
 |
客户需求
分局派出所的接入与互联互通
简单、方便、低价的派出所组网方案
低成本、低维护量、使用放心、服务可靠的网络方案
安全可靠的网络互联和数据传输
设计方案要点
分局派出所的接入与互联互通
华为 Quidway 系列多协议路由器,支持 PPP、FR、X.25、SLIP、HDLC 等网络协议,可为用户提供同步专线、异步专线、电话拨号线等多种线路方式的接入。华为 Quidway R2509/ 2511 接入路由器可作为地市公安网络中心的接入设备,为分局、派出所等提供 X.25、FR、异步专线、电话线拨入等方式的接入;Quidway R4001 企业级中心路由器,具有一个高速多协议同异步串口和一个 CE1/PRI 接口,作为地市中心接入设备,可同时接入 30 路的 ISDN Bri 用户或 30 路64K DDN 用户。华为 Quidway R3640/4508 模块化中心路由器,具有丰富的网络业务接口模块,可作为省局网络核心路由设备,为各地市分局网络提供 FR、DDN、X.25、ISDN 、PSTN 等多种接入互联服务及强大的路由处理能力。Quidway A8010 refiner 企业级接入服务器,具有强大的 PSTN 和 ISDN 接入能力,其可扩展的结构,能为公安系统提供充分的 PSTN/ISDN 用户接入端口。
简单、方便、低价的派出所组网方案
华为 Quidway R1600 系列路由器,具有造型美观、功能强大、价格低廉、使用方便的特点,特别适合组网简单、投资有限的网络。在较发达的地区,可以使用可靠性、速率较高的 ISDN 网络,不发达地区可以使用覆盖广泛,价格低廉的电话线,几台 PC,一个 Hub,加上一台 Quidway R1603 即可组建一个派出所网络,随时随地接入 Internet。按需拨号、自动备份、动态路由、IP 地址自动协商、VPN 隧道以及内部强大的防火墙,一旦设置完成,无须再操心,它会忠实可靠地默默为您服务。
低成本、低维护量、使用放心、可靠服务的网络方案
1、提供远程维护功能。在网络通畅可达的情况下,可以通过网管或 Telnet 进行远程维护。在网络出故障的情况下,为方便用户维护,华为 Quidway 系列路由器所有串行接口均设计支持远程拨号接入配置功能。通过设置接口交互模式,此接口就变成配置口,只要有电话线的地方,就可通过 Modem 拨号接入进行维护,分级口令保护,确保设备安全。
2、可靠的质量保证。华为的系列路由器产品通过 ISO9001 质量体系认证,每种原器件进货都通过严格的 IQC 把关,设备出厂前都要通过高温、潮热、颠簸、EMC、老化等例行测试和工序,保证到用户手中的设备 100% 质量可靠,使用放心。
3、华为遍布全国的备件中心,为用户提供可靠的备件保障。
4、位于北京的华为数据通信技术支援中心,提供 800 热线电话、用户网上注册、最新程序下载、email 信箱、用户远程维护、现场调式等多项服务,华为每年2次以上的代理商/分销商培训考核制度,确保华为的渠道掌握最新的技术。而代理商/分销商以及"华为网络工程师"的认证/考核体系,确保培养最懂华为网络技术的资深网络专家,为最终用户提供华为网络产品的优质服务。
安全可靠的网络互联和数据传输
华为 Quidway 系列路由器及接入服务器,内置安全防火墙、NAT、RADIUS 安全认证,以及 CALL BACK 等多项安全防护功能,通过 VPN 协议的验证和隧道加密协议及多种数据加密方式,提供公安系统网络的安全链接和数据的安全传输; "备份中心"的可靠性备份解决方案,实现多种线路之间的任意备份和业务分担,为网络提供业界最坚固的保护屏障,保证网络的可靠运行。
华为公司的研发、生产、服务体系通过 ISO9001 国内国际的双重认证,产品通过国家信息安全认证、CE电磁兼容性测试等国内外多项检测,并积极参与国内国外的专业权威检测,保证网络系统的安全和可靠。
主要设备
Quidway TA128 ISDN 适配器
Quidway R1603/1604 路由器
Quidway R2501 路由器
Quidway R2509/2511 路由器
Quidway R3640/4508 模块化路由器
Quidway A8010 Refiner 接入服务器
Quidway S2403 以太网交换机
