H3C SecPath VPN网关

构建安全放心的IPSEC VPN网络

１.概述

VPN(Virtual Private Network)：虚拟专用网，是构建在公网Internet之上的逻辑网络，通过在两台网关设备之间建立一条虚拟专用隧道进行数据传输。为保证数据传输的安全性，通常采用IPSEC对数据进行加密，防止传输数据被窃听及篡改。

对于用户来说，加密VPN网络能够提供类似于专网的服务质量，而运营维护成本更加低廉。高性价比的特点正使得加密VPN技术应用方兴未艾。VPN促使企业网络无限延展，使异地分支机构实现同步办公，移动用户安全接入企业网络已经变成现实。

本着关注客户需求的理念，华为3Com公司推出客户化的网关设备：Quidway SecPath VPN安全网关，为用户提供客户化的解决方案。构建让用户放心，安全可靠的IPSEC VPN网络。

2．IPSEC VPN方案组件

IPSEC VPN解决方案组件包括：VPN安全网关、VPN Manger、BIMS和VPN Client。可组建安全可靠的IPSEC VPN网络，易于管理，有效降低用户运维成本。

2.1 VPN安全网关

Quidway SecPath VPN安全网关设备面向企业用户开发的新一代专业安全网关设备,可以作为企业的汇聚及接入网关设备。

安全网关包括SecPath 10/100/1000系列化产品。支持多种VPN业务，如IPSec VPN、L2TP VPN、GRE VPN、华为动态VPN等等，可以针对客户需求通过拨号、租用线、LAN等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。安全网关支持完备的加密解决方案，通过加密芯片，实现线速IPSec性能。

图1. SecPath 1000

2.2 VPN Manager

VPN Manger(QuidView组件)是VPN网络的控制管理部件，可以对VPN网关设备进行集中管理和控制。管理员可以在VPN隧道上操纵各个VPN网关：IPSEC策略的设置，监控隧道状态信息，远程调整隧道的建立。根据企业的实际需求制定全局策略，保证VPN网关隧道连接的可靠性和安全性。通过VPN Manager管理员可以进行全网VPN设备的部署和设置，同时可以通过实时监控对链路进行调整。真正实现VPN网络的Easy Manage。

图2. VPN Manager示例

2.3 BIMS (Branch Intelligent Management System)

BIMS（QuidView组件）智能管理系统实现从网络管理中心来集中对网络设备的管理，如配置文件下发、设备软件升级等。BIMS分两部分：设备侧和管理中心侧，设备侧和管理中心侧采用http协议进行通信， BIMS管理中心侧作为http server，设备侧作为http client，设备通过定期访问管理中心侧来实现相互通信并完成设备的管理。设备和管理中心采用http协议进行通信的优势在于其可穿透绝大多数的防火墙，而且协议简单、易扩展。设备主动访问BIMS管理中心时，上报设备当前的配置文件、设备软件的特征信息，由BIMS管理中心来判断是否需要对设备进行更新，更新规则体现了该解决方案的智能性和易于管理的特点。

BIMS可以解决对获取的是动态IP地址或NAT网关后面的设备的集中管理，尤其是在对业务应用基本相同、数量庞大并且分布广泛的接入VPN网络终端设备进行管理时，该系统会极大提高管理的效率，大大节约管理成本，另外，管理界面直观友好，维护简单方便。

图3. BIMS示例

2.4 VPN Client: SecPoint

Quidway SecPoint作为VPN Client设备，是IPSEC VPN解决方案的客户端软件产品，主要解决移动用户接入VPN的需求。Quidway SecPoint支持加密传输和认证功能，不影响用户已有的网络应用，支持Modem拨号/ADSL/无线网卡/以太网等多种接入方式，兼容各种Windows操作系统。VPN Client具有NAT穿越、一次性令牌密码认证、USB Key认证、动态VPN等功能，适用于各种复杂的网络环境，支持移动用户到网关方便灵活地建立VPN隧道。软件界面友好，配置简单，即点即连，同时支持USB Key存储关键数据，可以实现傻瓜式接入。

图4. VPN Client SecPoint示例

3.IPSEC VPN网络的客户化特点

客户化IPSEC VPN网络应该处处体现满足客户需求，让用户安全放心的理念。VPN网络应该具备如下特点：

3.1．无边界，私有，安全接入的网络。通过建立于Internet之上的VPN，为企业用户构建一个无边界的网络：能上Internet的地方就能远程接入办公。VPN内部用户采用私网地址实现内部互通，外网不能访问VPN内网，在公网上就能轻松享受专网的服务。由于VPN建立在Internet之上，不同VPN用户的数据流都要在上面进行传输。因此为了保证正常用户的数据信息在传输中不被恶意用户监听、泄露或篡改，严格的安全保密机制对于VPN赢得用户的信任而言至关重要。在VPN中数据信息的安全保密主要是通过在Internet上为用户建立安全的数据隧道（Tunneling）和数据加密/解密来实现的。另外，一个安全的VPN方案也需要有严格的用户身份验证与授权访问，这可以由用户名/密码、密钥管理以及基于IP地址或传输层端口号的访问控制列表等手段来完成。

3.2．网络的可靠性、灵活性、经济性。为保障网络中节点或链路的故障不会影响到用户的应用，通常采用设备备份和链路备份来保障网络可靠性，当一个设备或一条链路出现故障时备用设备或链路可以平滑地建立备份VPN连接，保证网络无间断。网络的灵活性体现在用户不论是以什么样的接入方式接入Internet都可以方便地建立VPN连接。通过在Internet VPN上承载业务，为用户节省了租用专线的费用，大大降低了企业运营成本，同时VPN技术丰富的可管理特性极大地降低了管理员维护成本，使得VPN网络具有极高的经济性。

3.3．网络的可管理性。VPN运营网络是一个复杂的网络，需要适应用户的不同需求而提供多种带宽与接口速率的选择，多种协议的选择以及多种业务的支持，其管理是相当复杂的。因此对网络有高度的可管理性要求。可管理性包括VPN自动部署、VPN策略配置管理、VPN连接的管理、流量记录与计费以及网络监测与修复等等。

4．安全网关客户化解决方案

Quidway SecPath VPN安全网关可以很好地适应以上网络特点要求。支持IPSEC VPN功能，支持DES/3DES/AES国际通用算法以及国密办加密算法；提供硬件加速的加密技术，满足高性能大用户量的VPN接入需求。Quidway SecPath VPN安全网关产品是系列化产品，提供高、中、低端各种档次的设备，满足用户对不同层次设备的需求。还根据用户网络实际情况，为用户量身定制了非常贴近用户需求的VPN解决方案，可以解决以下组网应用情况。

4.1 安全便捷的用户认证

为保证VPN网络的安全性，必须保证接入用户身份的合法性。Quidway SecPath VPN安全网关提供本地口令验证、RADIUS、X.509数字证书及SecurID一次密钥验证功能；可以配合Radius服务器、数字证书服务器以及RSA的验证服务器实现用户身份认证。其中一次性密钥验证采用双因素密钥机制，采用静态密码加一次性动态密码机制有效提高用户密码安全性，减少了用户密码泄漏的风险。

随着网络应用的复杂，用户需要处理和记忆的信息也越来越多：访问不同应用系统，需要安装不同的应用软件，而且需要复杂的配置；登录不同应用系统，需要记忆不同的用户名和密码。这种状况对用户有效应用网络是一个非常大的障碍，为解决这个问题，推出了Quidway SecKey的USB Key产品。USB KEY芯片存储的信息可以包括用户名密码、证书、系统配置等信息，利用计算机提供的USB接口进行信息的读取，极大简化用户需要记忆的信息，即插即用。并把此芯片封装成钥匙大小，非常便于携带，应用安全便捷。

图5. 用户安全接入

4.2 动态地址建立IPSEC VPN连接

在使用IPSEC建立VPN时，一般要求两端设备都配置对端IP地址信息，这样就带来一个问题：IP地址不固定的用户设备（如拨号用户），每次建立VPN连接时需要对端修改其IP地址，这就给网络运营维护带来难以解决的问题。而Quidway SecPath VPN安全网关可以很好地解决这个问题，设备支持IPSEC Aggressive模式（需要两端设备都支持该模式），允许IPSEC协商时分支端不使用固定IP地址。分支节点使用动态IP地址，中心节点设备使用固定IP地址，由分支节点主动发起IPSEC隧道连接，中心节点通过设备ID名进行协商而不再需要地址信息检查，就可以顺利地建立IPSEC VPN连接。这样就解决了动态IP地址的用户接入IPSEC VPN的问题。

4.3 IPSEC支持NAT穿越

同样对于IPSEC VPN，有些分支机构或移动办公用户上网时是通过NAT设备进入Internet。因为IPSEC加密的特点，用户数据包不能被随意篡改，否则对端接收后不能正确解密。而NAT设备需要修改报文IP头信息，这样经过NAT设备后加密报文就不能被正常解密。Quidway SecPath VPN安全网关通过在IPSEC报文前增加一层UDP报文头的方式解决了IPSEC支持NAT穿越的问题，NAT设备只修改封装的UDP头，但是没有影响IPSEC数据报文的内容，即使经过NAT转换，仍然可以正常建立IPSEC隧道连接。

图6. 动态地址建立IPSEC及IPSEC支持NAT穿越

4.4 动态VPN

企业建立VPN的模式一般是分支节点接入，中心节点汇聚的模式。如果企业规模较大，网络规模就比较大，各分支机构之间通信就存在问题。因为分支节点之间一般是不直接互连的，而是通过中心节点连接在一起，如果两个分支需要传输数据，需要从中心节点网关中转，这样所有分支节点的数据都通过中心节点转接，一方面会造成中心节点网关的流量瓶颈影响，另一方面容易形成单点故障，一旦中心网关节点瘫痪，整个VPN网络都会陷于瘫痪。

如何解决这个问题，一个办法是所有分支节点之间都建立VPN连接，但是这样造成网络复杂度大大提高，连接数是N*(N-1)/2，网络维护及其困难。另一方面两个分支机构都是动态地址的情况不能实现IPSEC VPN的连接。

Quidway SecPath VPN安全网关同样很好地解决了这一难题。 采用专利技术动态ＶＰＮ方案，通过在企业中心设置服务器，所有分支节点网关统一注册。分支节点之间动态建立VPN连接。所谓动态是指分支节点之间在有数据触发时可以按需动态建立VPN连接。而通过在中心服务器的注册，分支节点之间建立VPN连接不需要本地维护对端IP地址信息，通过域名信息可以查询到对端实时的地址信息，从而根据获得的实时地址信息建立VPN连接。

图7. 动态VPN组网

4.5 可靠保证:VPN链路备份

为保证VPN链路可靠性，避免单点故障，往往在中心或核心网点采用双机备份的组网。但是，如何保证主备链路及时切换，保证业务受链路中断影响最小，是需要解决的问题。Quidway SecPath VPN安全网关引入动态路由协议的技术解决链路快速切换问题。采用GRE+IPSEC+OSPF的技术，中心设置两台网关设备，分支设备到中心设备建立两条VPN链路，接口之间运行OSPF协议。通过路由协议感知链路状态，当主链路断开时可以及时地把数据流切换到备用线路上，保证了数据业务顺畅进行，有效地提高了网络的可靠性。

图8. VPN链路备份方案

4.6 服务质量（QoS）保证

VPN隧道上可以承载多种业务：数据、语音以及视频。为保证服务质量（QoS），Quidway SecPath VPN安全网关可以对于用户的关键性、实时性高的数据流提供资源预留、优先传输、拥塞控制等机制，充分保证按照业务优先极来提供高质量的传输性能。可以采用的技术包括业务等级划分与标记、先进的队列机制、流量限制、拥塞避免、流量整形及流量工程等。

5.总结

IPSEC VPN的数据机密性及低成本的相结合的特点，使得该技术在企业互连中的应用越来越广泛。Quidway SecPath VPN安全网关可以为用户提供高性能的数据加密传输，以及用户的安全认证功能。为企业用户量身定制的以上特色业务在企业网用户中得到很好的应用。系列化的产品以及完善的解决方案，可以为企业用户构建一个功能强大而且的灵活VPN网络。一切从用户需求出发的设计理念，保证了产品及方案最大化地贴近用户需求，真正使得网络安全可靠，用户使用放心。VPN技术的发展和应用，在电子政务和电子商务领域为人们描绘了一幅美好蓝图。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001