天音通信发展有限公司广域网技术建议书

天音通信发展有限公司广域网建设 技术建议书
华为技术有限公司 2004 年 12 月
1

目录

一、天音通信的现状及需求 .................................................................................................................

3

1、天音通信的现状: ...................................................................................................................... 3

2、目前网络通信不足和需求: ......................................................................................................

3

二、网络建设方案 .................................................................................................................................

4

网络设计原则 ............................................................................................................................. ....... 4 网络方案 ............................................................................................................................................ 5
总部接入方案 ............................................................................................................................. .. 7 总部备用线路方案 ....................................................................................................................... 7 总部带宽 .......................................................................................................................................7 大区、分公司接入方案 ............................................................................................................... 7 分部线路备份方案 ....................................................................................................................... 8 大区、分公司带宽 ....................................................................................................................... 8 配送中心接入方案 ....................................................................................................................... 8 配送中心带宽 ............................................................................................................................... 8 分公司仓库、办事处、办事处仓库接入方案 ........................................................................... 8 移动用户接入方案 ....................................................................................................................... 8
网络设备配置 ......................................................................................................... ......................... 10 网络业务的安全性 .......................................................................................................................... 11 IP 地址分配原则和路由规划.......................................................................................................... 12 网络解决方案总结 .......................................................................................................................... 14

附录:华为动态 VPN 解决方案.........................................................................................................

15

2

一、天音通信的现状及需求
1、天音通信的现状:
深圳市天音通信发展有限公司成立于 1996 年 12 月,是中国最大的移动通信 产品分销商之一和 Motorola 全球重要战略合作伙伴。公司专业从事移动通信产品 (GSM、CDMA)及电信增值业务的销售和服务,现拥有各类专业人员 1700 多人,在 全国设有 30 家分公司和 4 个配送中心和 160 多家办事处,正在形成覆盖全国、精 细稳定的营销网络、准确快速的信息管理系统和高效安全的物流系统,2001 年销 售额 58 亿元,2002 年销售额超过 70 亿元。2000 年入选广东省企业综合实力 50 强, 深圳企业综合实力排名 14 强。
作为业务支撑,天音通信已建成一个性能卓越、功能完善的 ERP 系统,基于 该系统,实现了集团管理的现代化和市场营销的信息化,为企业带来了强劲的竞争 力,创造了巨大的经济效益。
为进一步加强企业的竞争力,天音通信将继续完善和提高现有 ERP 系统,进 一步提高企业运营的效率;并着力建设一个高效实用的全国会议系统、培训系统和 内部语音通信系统,以最低的成本,最高的效率支持企业的快速发展。
2、目前网络通信不足和需求:
天音通信选用知名的 ERP 解决方案完成公司的资源管理和信息传送,根据与 ERP 提供厂家的技术沟通,为了保障 ERP 系统的高效可靠运行,ERP 厂家对网络通 信提出如下要求:1)分公司的带宽为 1M 以上,总部的带宽为 5M 以上;2)分公司 到总部的 PING 包时延小于 50ms;3)网络的丢包率小于 1%。
目前整个系统运行在互联网上,分公司多数采用 ADSL 上网的方式访问总部的 ERP 系统,总部的互联网出口由深圳联通提供,北京分公司到总部有专线连接,目 前通信通畅,其它分公司的通信较难保障。
基于以上网络的现状,我公司认为在目前互联网提供的传送平台之上,有以下 几点制约,使天音通信的 ERP 系统难以发挥更大的效益。
1)互联网的网络安全较难保障; 2)跨越互联网的 ERP 系统如何开展; 3)如何在 IP 广域网的基础上叠加语音和视频业务。
3

二、网络建设方案
网络设计原则
天音通信发展有限公司广域网作为全国的网络,承载着全公司重要信息的传 递,我们对天音通信发展有限公司广域网系统的设计将遵照如下原则:
A、先进性与实用性相结合 网络设计选用先进成熟的网络技术及通信设备,保证系统性能稳定可靠、风 险系数小,同时一定要注意技术的成熟性和实用性,充分利用现有的设备和资源, 保护原有的投资。 由于网络内存在各种专业数据及图像处理的网络,数据量较大,而且信息中包 含大量多媒体信息,故较大的存储量和高带宽的传输率是本次网络设计中遵循的一 个原则,因此在网络设计时要考虑较高的速率和一定容量的要求。 B、经济性与可扩充性相结合 计算机网络系统应具有较高的性能价格比。在网络设计中,要求系统可伸缩 性好,可根据需要扩大网络性能;结构模块化,便于以后随业务发展进行扩充或升 级,使原有设备利用率提高。系统可维护性好,并且维护费用低。
C、可靠性与安全性相结合 网络中有大量关于内部业务信息管理的重要数据,不论是被损坏、丢失还是被 窃取,都将带来很大的损失,甚至有的损失将不可弥补。因此,在网络设计中,网 络系统应具有较高的可靠性,主要的网络设备具有热插拔功能,不需终止网络运行 就能进行内部插拔和模块的更换与扩充。关键设备和线路都有备份,能够进行在线 修复、更换和扩充。系统安全保密性好,对人为的攻击及病毒的侵害有较强的抵抗 能力。
D、开放性和标准化 符合开放性规范,方便接入不同厂商的设备和网络产品。确保网络的开放性和
4

互连互通,满足信息准确、安全、可靠、优良交换传送的需要;支持良好的维护、 测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络 设备的统一管理。标准化方面就是通讯协议和接口符合国际标准。
E、易于管理
广域网要易于管理,可实现集中管理的目的,后续可考虑采用统一的网络管理 系统,实现配置管理、性能管理、故障管理,可实现分权分级管理,并且可以进行 远程控制。我们对该网络集成项目所涉及到的局域网、广域网、网管、网络安全等 子系统通盘考虑,体现整体性原则。
网络方案
中国联通作为国内唯一的综合电信业务提供商,已在全国范围内建设并运营 有:移动业务(包括 GSM、CDMA)、长途业务(包括 193 长途电话、长途电路出租)、 数据业务(包括 IP 电话、FR、ATM-PVC)、互联网业务(包括专线上网、宽带上网、 拨号上网、VPDN 等)等业务。作为国家的骨干网络运营商,中国联通在全国统一 规划和建设了覆盖全国所有地市的传输网络、先进的数据通信 ATM 网络和 INTERNET 国家骨干网 CHIANUNINET,基于以上强大的网络平台,为广大客户提供一 揽子解决方案,包括长途电路出租、本地电路出租、会议电视、会议电话、互联网、 长途电话、移动办公等业务,并发挥着集团公司全程全网的优势,以一站式销售的 方式为客户提供方便、快捷的服务。
针对天音通信的通信现状及未来的业务发展,我公司在详细了解了天音通信目 前地域分布和业务需求的基础上,现提出如下的网络通信解决方案建议,采取分步 实施和节约投资,合理利用网络,同时在已建成的天音通信骨干网络基础上叠加其 它的应用,以最大发挥投资效益和节约公司的其它通信成本:
为了保证数据的安全性和天音通信发展有限公司广域网的独立性,采用 VPN 专线的方式,使得天音通讯的广域网络的数据与联通网上的其他数据完全隔离。
天音通信发展有限公司广域网采用分层方式,即核心、汇聚、接入三层结构, 网络分层可降低对设备的要求,降低网络建设成本。核心层位于天音通信发展有限 公司,汇聚层位于各个分公司和配送中心,接入层包括各个办事处。另外,将考虑
5

移动用户的 VPN 接入。 本次设计中,将采用华为公司专利的动态 VPN 技术来完成全网的组建。 根据浙江天音通信发展有限公司目前规划及今后的发展,我们建议在浙江天音
通信发展有限公司的核心节点选配一台高性能的核心路由器作为浙江天音通信发展 有限公司广域网络的核心设备。考虑到核心节点承担了网络内大部分数据的收发工 作,因此对性能的要求较高,需要较高性能的设备,另考虑到对互联网络连接的安 全性,需核心设备自身具备高强度的抗攻击特性及安全可靠性。
对于各分公司而言,需要上联天音通信发展有限公司核心设备,下联各办,考 虑到网络的性能和投资的成本,我们建议在各分公司采用,高性能路由器设备,通 过 VPN 方式上联天音通信发展有限公司,下联各办事处。
作为办事处设备要上连分公司设备,同时考虑到对路由器的性能要求并不是很 高,因此对于各办事处的接入我们建议采用中低端固定配置路由器设备,以达成全 网极高性价比的目的。配置 1 个 10Mbps 接口用于连接运营商,并配置 4 个快速以 太网用于连接局域网,通过 VPN 方式上连。
对于流动的 VPN 用户,则考虑通过安装个人版专用 VPN 软件 SecPoint 实现 VPN 建立,并对数据进行加密,通过总部的核心设备完成用户的身份认证。
综合以上,我们建议: 核心层:采用 Quidway NE20 路由器作为核心设备。 汇聚层:采用 QuidwayAR28 路由器作为汇聚设备。 接入层:采用 QuidwayAR18 路由器作为接入设备。
6

总部接入方案 考虑将 35 楼机房下移,与 26 楼机房合并建设中心机房的情况,建议将原 35
楼 Cisco2600 设备更换为 Quidway NE20 路由器,联通 10M 专线和电信 256K DDN 割接过来,同时将原 26 楼的 Cisco2600 设备上的两条 FR 专线也割接至新的核心设 备上。2 台 C2600 路由器,可下移作为汇聚层设备。
原 NetScreen100 鉴于性能的原因,建议更换为 Quidway SecPath1000 防火墙。 原 26 楼核心的 Cisco4003 交换机为准 3 层设备,在新的中心机房中,很难承担 核心交换的重担,建议更换为 Quidway S6500 交换机。原 C4003 交换机可下移作 为分公司级核心交换机使用。 总部备用线路方案 目前的备用线路,为电信的 256K DDN 专线,仅支持数据业务已经勉为其难, 如开展了语音和视频业务,则根本无法起到备份的作用。 建议扩充容量至 E1 线路。 总部带宽 目前总部的出口为 10M 专线,从其业务量来看,基本可满足数据、语音的需 求。在进行大规模视频会议的时候,会影响数据业务通讯。 建议总部的带宽配置为 155M ATM 接入,备用线路为 2M E1 线路。 大区、分公司接入方案
目前各个大区和分公司的接入链路情况较为复杂。ADSL 虚拟拨号:22 家分 支机构,大楼共享宽带:7 家分支机构,独享专线:5 家分支机构,普通拨号: 1 家分支机构。
对于数据和语音的需求,现有接入方式中,专线和 ADSL 均可满足,大楼 共享宽带,则需视具体的的接入情况而定;普通拨号用户则需考虑升级至专线 或 ADSL 接入。
对于视频这种高对称带宽需求的应用,现有的 ADSL 128K 上行带宽明显不 能保障业务的开展,如需高质量的视频应用,建议扩充所有大区、分公司的接 入为 2M 专线或以上,最低也需 1M 专线可满足基本业务开销。
推荐的分公司级接入方式为:1M 以上专线接入。 建议使用 QuidwayAR28 模块化智能路由器作为分公司级接入设备,可满足
7

各种接入线路的需求,以及对 VPN 业务的支持,通过 IP 语音板卡的扩展,也 可满足语音业务的需求。同时,高速加密芯片和主引擎也可满足视讯产品的高 带宽需求,以及由此而来的各种业务分类和 QOS 保障需求。 分部线路备份方案 对于分部的线路备份,在目前的网络中,各个分公司均未设置备用线路。在视 频业务不多的情况下,可暂时考虑不在备份线路上提供视频业务的承载。 基于这种考虑,可选择 ADSL 拨号线路作为备份。 大区、分公司带宽 对于大区、分公司级别,推荐主线路为 1M 以上专线,备份线路为拨号 ADSL。 配送中心接入方案 配送中心的网络地位与大区、分公司对等,且业务需求也基本类似,可参考分 公司、大区的接入方案 配送中心带宽 同上,亦可参考大区、分公司带宽设置。 分公司仓库、办事处、办事处仓库接入方案 对于仅需考虑数据业务的分公司仓库、办事处、办事处仓库,可采用 ADSL 的 拨号线路接入,或者是大楼宽带的方式。以 VPN 的方式连接总部。 推荐的接入设备为 Quidway AR1820 路由器。 移动用户接入方案 移动用户的接入,推荐使用 VPDN 的方式连接企业总部,然后访问内部网络的 各个数据源。 仅需在移动使用的各个 PC 及笔记本上添加 SecPoint VPN 客户端软件即可。在 连通互联网络后,可由客户端软件负责虚拟拨号连接到企业总部的核心路由器设备, 由总部完成其身份认证后,动态赋予企业内部的 IP 地址,完成移动用户与企业的 连接。在 L2TP 隧道完成后,可在此隧道上叠加 IPSec 加密,保障业务的安全、私 密性。对于移动用户的互联网接入方式以及接入的运营商,则不做要求。如需移动 中接入互连网络,推荐联通集团的 CDMA1X 的移动数据业务。
8

网络设备配置
路由器配置方案: 在本方案中,各层设备的配置如下: 核心层:共 1 台 Quidway NE20 企业核心路由器,一台 Quidway S6500 企业核 心交换机。天音通信发展有限公司的以太网交换机通过 FE/GE 连接到 NE20,同时 NE20 通过百兆以太网接口经过专线连接到联通网络。NE20 可配置硬件加密卡, 可以同分公司的相关设备建立 VPN,实现数据的加密传输。 汇聚层:共 30 个点,需 Quidway AR28 路由器 28 台,利旧原总部数据中心的 两台 C2600 路由器。天音通信发展有限公司的以太网交换机通过百兆以太网口连 接到 Quidway AR28,同时 Quidway AR28 该通过广域网接口经过专线连接到联通 的骨干网络。Quidway AR28 可配置硬件加密卡,软件或硬件加密的方式均可支持, 可以同总部、办事处的相关设备建立 VPN,实现数据的加密传输。 接入层:共 160 台 AR1820 路由器,各办事处的路由器 AR1820 自带 1 个 FE 接口上行,用于连接到互联网,向上同分公司相连,与同地市的相关设备建立 VPN,实现数据信息的加密传输,4 个 FE 接口下行,连接内部网络。
交换机配置方案: 在公司总部及各个分公司、办事处,应考虑将现网的 Intel410T 交换机替换为
可网管、可支持 802.1Q VLAN 的接入交换设备,以实现全网的网络管理和内部网 络的各个部分的安全隔离。
推荐的接入交换机设备:Quidway S2403H。
网络管理系统配置方案: 建议配置和网络设备同厂家的网络管理系统和网元管理系统。 推荐:华为 QuidView 网络管理系统,华为 IMS 网元管理系统。
9

网络业务的安全性
本方案中,网络业务加密通过专用 VPN 网关内置专用硬件加密芯片或 VRP 软 件加密来实现。
网络数据加密采用 IPSec 协议,通过硬件加速对 IP 数据包的加密处理,为路由 器提供了高性能、高可靠性的加密特性。
本次所选择的网络设备均支持 IPSec,并发连接最大数量为 10000-1700 条, 硬件实现算法有:
? 私钥算法(DES、3DES、AES、QC5、Blowfish、Cast-128、SkipJack) ? 验证算法(MD5、SHA-1 散列算法) ? 密钥交换算法(DH) ? 压缩算法(LZS/Deflate)
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在 IP 层通过加 密与数据源验证,以保证数据包在 Internet 网上传输时的私有性、完整性和真实性。 IPSec 通过 AH (Authentication Header)和 ESP (Encapsulating Security Payload) 这两个安全协议来实现。而且此实现不会对用户、主机或其它 Internet 组件造成影 响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。借 助 IPSec,用户可以通过互联网等不受保护的网络传输敏感信息。IPSec 在网络层 操作,能保护和鉴别所涉及的 IPSec 设备(对等物)之间的 IP 包。
IPSec 提供了两台对等设备之间的安全通道,IPSec 在两个端点之间通过建立安 全联盟(Security Association)进行数据传输。安全联盟定义了数据保护中使用的 协议和算法以及安全联盟的有效时间等属性。IPSec 在转发加密数据时产生新的 AH 和/或 ESP 附加报头,用于保证 IP 数据包的安全性。使用 IPSec,数据就可以 在公网上安全传输,而不必担心数据被监视、修改或伪造。IPSec 提供了两个主机 之间、两个安全网关之间或主机和安全网关之间的数据保护。
10

IP 地址分配原则和路由规划
IP 地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题, Internet IP 地址相对紧张的情况下,合理有效的利用 IP 地址成为 IP 地址规划的 主要问题,合理的 IP 地址规划是有利于网络管理的。
IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于本 网络 IP 地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的 合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP 地址空间的分配与合理使用与网络拓扑结构、网络组织及路由策略有非常 密切的关系,将对浙江天音通信发展有限公司广域网络的可用性、可靠性与有效性 产生显著影响。在对骨干网 IP 地址进行规划建设的同时,应充分考虑本地网对 IP 地址的需求,以满足未来业务发展对 IP 地址的需求。
IP 地址规划遵循以下几点:
? IP 地址的规划与划分应该考虑到公司网络升级的发展,能够满足网络升级 未来发展的需要;即要满足本期工程对 IP 地址的需求,同时要充分考虑未来业务 发展,预留相应的地址段;
? IP 地址分配要尽量给每个分公司、办事处网络分配连续的 IP 地址空间; 在每个地区,相同的业务和功能尽量分配连续的 IP 地址空间,有利于路由聚合以 及安全控制;
? IP 地址的分配需要有足够的灵活性,能够满足各种用户接入如拨号、专线 用户等的需要;
? 地址分配是由业务驱动,按照业务量的大小分配各地的地址段; ? IP 地址的分配必须采用 VLSM 技术,保证 IP 地址的利用效率; ? 采用 CIDR 技术,这样可以减小路由器路由表的大小,加快路由器路由的 收敛速度,也可以减小网络中广播的路由信息的大小; ? 在公有地址有保证的前提下,尽量使用公有地址,主要包括设备 loopback 地址、设备间互连地址; ? 充分合理利用地址空间,提高地址的利用效率。
11

IP 地址规划应该是整体规划的一部分,即 IP 地址规划要和网络层次规划、路 由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对 应,应该是自顶向下的一种规划。
浙江天音通信发展有限公司网络 IP 地址的分配可以根据以下几个层次考虑: 第一层:以网络汇接区域来划分 ? 根据网络汇接分布的地理区域来划分大块连续的 IP 地址空间;有利于路 由协议的计算和地址汇聚。 ? 在天音通信发展有限公司网络工程内的地址划分需要考虑网络的接入层的 扩展;需要为网络的扩展预留地址空间。 第二层: 在区域接入网内,以网络功能来划分 可以根据不同的应用和网络功能来划分,如:数据服务器地址空间和网络管 理操作。可以从地址上识别出应用和功能。 因此,天音通信发展有限公司广域网的地址具体分配可分为以下几类: ? 点到点的链路:需要 30 位地址掩码的最小子网,这是有两个地址空间的 子网。 ? 路由器 loopback 地址:每台路由器需要一个 32 位掩码的 IP 地址。 Loopback 地址是为路由协议和网络管理而定义,确保当链路故障时网络操作依然 可以访问路由器。 ? 局域网地址:即各血站的用户网络地址,应按照主机接入数量和设备数量 来分配子网空间。
总而言之,企业总部、每个分公司边界设备,需要一个公有固定 IP 地址完成 网络的连接。每个办事处,需要一个公有或私有地址完成网络的连接,可静态,可 动态。这个也是 DVPN 的专利技术之一。每个移动用户,可使用动态获取的地址完 成连接。
在公司网络内部,用户可按照自己的规划自行分配 IP 地址及路由,不受任何 运营商及接入线路的固有或动态获取地址的限制。
在专网内部,可使用私有自设定地址来互相访问,与公网地址无关。
12

在访问互联网时,VPN 网关设备负责完成 NAT,保障用户的互连网络连通性。
网络解决方案总结
本网络方案具有如下特点: 1:采用华为公司成熟的路由器产品,支持多种协议,具有完善的业务特性, 保证网络的经济性和实用性。 2:实现多种访问方式,可通过多种接入来进行对天音通信发展有限公司网络 的访问,充分发挥联通的优势。 3:实现数据的安全传送,通过访问列表支持 2~4 层的网络安全设置,实现高 度安全性的要求。同时,专用的网络设备,防火墙功能、VPN 加密确保了网络对安 全性的需求。 采用专门的加密卡实现硬件加密,专门处理加密数据,可以在保证网络安全的 同时,保证路由器正常的转发速度,不影响其它业务的性能。 4:网络的硬件扩展性:解决方案中的主要硬件设备具有很高的扩展性,为以 后的扩展保留了相当大的余地,可通过增加接口卡实现。 5:网络高度的开放性和标准性:所有网络产品都支持国际标准的网络与接口, 采用开发合标准的协议,可以与任何厂家的网络设备进行互连,有效保护了客户的 投资。 6:网络的可管理性:在上述各个系列的产品中,都加入了管理功能,包括 SNMP、RMON、网络流量统计、HTTP、诊断/故障排除、Syslog、拓扑发现代理等等 功能。可方便地利用华为公司或者其他第三方公司的网管软件实现网络的统一管理。
13

附录:华为动态 VPN 解决方案
概述 在现有的 IP VPN 组网方案中,一般采用 GRE 隧道、L2TP、IPSec 等
方式。但是这些方案都存在一个弊端,就是必须是按照事先的配置进行组
网,并且要完成一个全联通的网络时(如 1.1.1.1 1.1)a.图 1 所示),结构 和配置就变得复杂。由于要建立一对一的连接,所以当有 N 个网络设备 进行互联时,网络的就必须建立 N×(N-1) / 2 个连接,这样不仅造成了组 网和配置的复杂,而且配置时必须知道对端设备的基本信息,试想如果其 中有一个节点的设备修改了配置,那么其他所有节点都必须针对这台设备 修改本地配置,这给维护增加了很大的成本。

A

B

Internet 网 络

D

C

图 1 传统 VPN 方式下的全联通
Quidway SecPath VPN 安全网关(以下简称网关)可以提供动态 VPN 的解决方案,能有效地解决以上传统 VPN 的缺陷。动态 VPN 采用了 Client 和 Server 的方式,任意一个 Client 设备只需要知道 Server 的信息就 能够和其他 Client 设备进行互通,并且这种互通是自动的,不需要任何人 为的干预。企业的总部放置一台网关作为 Server,其他设备完全就可以随 时通过 VPN 互联,并且每个属于该 VPN 内的 Client 设备都能够互相访问 (如图 2 所示)。通过这种方案进行 VPN 的组网不尽降低了维护成本,而
14

且使得网络应用更加灵活,加上动态 VPN 提供的认证和加密特性完全保证 了用户的网络安全。

移动用户 动 态 IP(Modem)
ISP 的 NAPT 网关 动 态 IP(ADSL 拨 号 )
小型分支机构

Server

固定 IP 地址

总部

IInntteerrnneett

固定 IP 地址 (以 太 网 /专线)
大型分支机构

图 2 动态 VPN 组网方式
动态 VPN 的基本原理和关键技术 动态 VPN 的基本原理
动态 VPN 采用了 Client / Server 的方式,一台网关作为 Server,其他的 网关作为 Client。每个 Client 都需要到 Server 进行注册,注册成功之后 Client 就可以互相通讯了。Server 在一个 VPN 当中的主要任务就是获得 Client 的注册信息,当有一个 Client 需要访问另一个 Client 时通知该 Client 所要到达目的地的真正地址。
动态 VPN 采用了隧道技术,即在每对互相通讯的网关上都自动打通一 条隧道,所有的数据都在隧道中传输,当该隧道没有数据流量的时候又会
自动切断该隧道以节约资源或成本。目前动态 VPN 支持两种隧道方式,即 GRE 隧道和 UDP 隧道。GRE 隧道方式属于标准协议的隧道;而 UDP 隧道 方式是华为公司的专利方式,这种方式能够很好的解决穿透 NAT/防火墙的 问题,这是 GRE 方式所不及的。 动态 VPN 的关键技术 穿透 NAT/防火墙技术

15

动态 VPN 采用 UDP 方式建立隧道,使用这种技术建立隧道的最大好 处就是能够穿透 NAT/防火墙。传统的 GRE 方式建立隧道,由于 GRE Tunnel 是基于三层 IP 建立隧道,所以不支持 PAT 端口方式的一对多的地 址转换,就需要大量的公网 IP 地址。动态 VPN 采用 UDP 方式建立隧道就 完全避免了这种问题的发生,当网关使用 UDP 连接建立隧道,可以支持地 址和端口的应用,当隧道通过 NAT/防火墙的时候就会转换为对应的公网 IP 地址和相应的端口号,从而完成数据的穿越 NAT 网关。 动态 IP 地址构建 VPN 技术
传统的 GRE 方式建立隧道就必须知道对端设备的 IP 地址,一旦有一 台设备 IP 地址更换,那其他相关设备就全部都需要更改配置;同时由于传 统的 GRE 隧道建立必须知道对方的 IP 地址,这样就使得动态 IP 地址的设 备就无法正常建链。
现在的宽带不断的推广应用,如果中小企业使用 xDSL 或者以太网接 入方式的话要比以前专线方式接入节省大量的线路租用费用,但是一般的 xDSL 接入或者以太网接入使用的是动态的 IP 地址,这样就出现了一个问 题,如何使用动态的 IP 地址来建立企业自己的 VPN 网络?显然传统的 VPN 构建方式已经满足不了现在的应用了,为此华为公司的 Quidway SecPath VPN 安全网关,推出适合动态 IP 地址构建企业 VPN 的动态 VPN 技术和解决方案。
动态 VPN 在同一个 VPN 内部构建隧道不需要知道其他 Client 网关的 任何信息,只需要配置自己的信息并指定相应的 Server 就完成了。所以使 用动态 VPN 时用户只需配置一次,不管其他 Client 设备怎么更改也都能够 进行互相通讯,同时用户也不用关心自己当前使用的 IP 地址是多少,更加 适应现在动态 IP 地址的使用方式。
为了能够让用户使用更加方便、为了让更多的用户能够享受华为动态 VPN 的优点、同时也为了用户降低组网成本,华为公司还推出基于 PC 的 客户端软件 Quidway SecPoint,这样用户能够在外出时只需通过 PC 进行 ADSL 或者普通拨号方式就能够和公司的其他用户进行连接。
下图描述一个公司的 VPN 网络,既有固定 IP 地址用户(总部固定网
16

络),也有动态 IP 地址用户(分支机构 ADSL 拨号和 SOHO 用户普通拨号) 。如果这时有公司内部人员出差需要访问公司网络资源,那么只需要该用
户拨号上网,到公司 Server 上注册,然后就可以访问任何用户(包括固定 IP 地址用户和其他动态 IP 地址用户设备)。在下图中以红色虚线表示。

SOHO 用 户

公司总部

普通拨号连接

Internet

普通拨号 /ADSL 连 接

分支机构 ADSL 连 接

移动用户访问网络

图 3 移动拨号用户访问整个 VPN 网络
自动建立隧道技术 使用传统 GRE 方式构建 VPN,如果有 N 台网关需要建立一个全联通
的网络的话就需要在每台网关上创建 N-1 个 Tunnel 接口,使每个 Tunnel 接口对应一台对端设备,并且需要配置 N-1 个对端地址,整个网络一共 需要配置 N×(N-1)个 Tunnel 接口,这个工作量对于一个中型网络来说简 直就是不可想象的工作量。不光如此,每当更改一台设备的 IP 地址时,其 他 N-1 个设备都需要重新更改配置,这样给维护带来了很大的成本,并 且也容易导致人为的错误。
当人为操作会给整个通讯网络带来一定的风险的时候我们就需要一种 自动方式来维护网络的正常运行。动态 VPN 在两个网关之间建立隧道完全 是自动建立的,每台作为 Client 的网关只需配置自己相关的东西,如本地 的 IP 地址、UDP 方式下使用的端口号、所属的 VPN 和 Server 等;不需要 知道其他 Client 端的任何信息就可以互相通讯。在这种方式下会比传统的

17

GRE 隧道方式减少大部分的工作量,如果是 N 台网关构建 VPN 网络的话, 只需配置 N 台设备自己的信息就可以了,要比传统的方式减少 N×(N-2) 的工作量,并且很大程度上减少了人为错误的发生。 认证加密技术
VPN 的主要特点就是在公共网络构建一个属于企业自己的专用网络, 使用了 VPN 技术之后企业内部的设备都在一个 VPN 网络内部,不管各个 分支机构所处何地都像是公司内部网络,可以直接进行访问和数据传输。 但是由于是在公网上传输数据,那么安全特性就显得尤为重要了,没有一 定的安全机制,企业内部的数据在公网上就会被其他人所截取,企业内部 的机器也将受到网络上其他设备的攻击,这样给企业将带来灾难性后果。
动态 VPN 使用了认证、加密等技术,最大程度地保证用户数据的安全, 用户网络的安全。首先,动态 VPN 提供了注册认证机制,Client 端设备要 想加入到某个特定的动态 VPN 内,必须首先经过 Server 的认证,只有通过 Server 认证的 Client 设备才能够接入企业的 VPN 网络,这样保证了非授权 用户非法登录,同时也阻止了人为的破坏。其次,Client 和 Client 之间建 立隧道时也必须经过认证,就是说必须两个 Client 都经过同一个 Server 的 认证才允许建立隧道,这样就可以防止公网上非法用户的入侵。另外,在 使用动态 VPN 的接口上可以启用 IPSec 进行加密,保证用户在公网上传输 的数据的安全可靠。有了上述这些措施之后,动态 VPN 网络内部就是一个 相对安全的区域,企业可以放心的在 VPN 内传输自己的数据了。 支持多个 VPN 域
为了能够使得用户能够最大限度的使用网络设备资源,降低用户的网 络构建成本,动态 VPN 允许用户在一台网关上支持多个 VPN 域。即一台 网关不仅可以属于 VPN A,也可以属于 VPN B,并且可以在 VPN A 中作 为 Client 设备,同时还可以在 VPN B 中作为 Server 设备使用。这样大大提 高了组网的灵活性,也可以更加充分的使用网络设备资源,减少了用户的 投资。
18

Server

V

客户网络

PN B

VPN A 公公司司内内部部网网络络

Internet

相关企业网络 C VP
N

图 4 一台网关支持多个 VPN 域
总结
由于传统的 VPN 技术在构建网络的时候越来越显得烦杂,对移动的用 户或者动态 IP 地址的用户支持显得力不从心,使得传统方式构建的企业级 的 VPN 网络处于尴尬境地。对于企业来说,需要能够采用一种新的简单的 方式,既能够满足跨不同地域的固定 IP 地址用户互相访问,也同时能够满 足移动的动态 IP 地址用户的企业网络访问。对于运营商来说,也希望能够 借助目前自己的网络来给企业用户构建 VPN 网络,满足跨地域企业组网需 求。但是目前提供的组网方式对于中小型企业来说是一种价格高昂花费, 使得好多中小型企业望而却步。
随着 IP 宽带网络的发展,越来越多的企业从原来的专线方式投到了宽 带接入的怀抱,特别是近期 xDSL 接入的兴起,更多的中小型企业选择 xDSL 作为公司接入网络的一种首选方案。但随之而来的问题也渐渐暴露, 使用一般的 xDSL 接入方式虽然价格低廉,但是和普通拨号一样是非固定 的 IP 地址,甚至是某个 ISP 提供的私网 IP 地址,这些问题导致用户无法 按照传统的方式来建立 VPN 网络。
华为公司提出的动态 VPN 解决方案充分考虑了企业用户的需求,同时 也考虑了运营商的利益。动态 VPN 不但使动态 IP 地址之间建立 VPN 成为

19

可能,而且使用户付出较低的成本就可以享受宽带 VPN 带来的方便,同时 动态 VPN 使用的安全特性能够让用户对 VPN 的数据更加安心。
20


相关文档

广域网组网技术建议书
天音通讯建议书070712chu
公司广域网组网技术建议书(省内专线接入+VPN备份)
广域网优化技术方案建议书
4G通信的关键技术及其发展建议
XX公司广域网组网技术建议书(省间VPN组网)
省血液中心广域网建设技术建议书end
广域网组网技术建议书拓朴图
科尔尼 - 天音集团项目建议书
广域网互联解决方案 技术建议书(V100R001C00_01)
电脑版