系统集成方案华为海关信息系统vpn及加密解决方案.doc

海关信息系统 VPN 及加密解决方案客户需求平安靠得住的网络互联和加密数据传输设计方案要点平安靠得住的网络互联和基于 VPN 隧道的加密数据传输华为 Quidway 系列多协议路由器，支持 PPP 、FR、X25 、SLIP、HDLC 等网络协议， 用户可通过各类广域网线路接入 Internet 及互联互访路由器内置平安防火墙、 NAT、RADIUS 平安认证，和 CALL BACK 等多项互联平安 防护功能； 并通过 CA 认证协议的验证和 IPSec 隧道协议，在 Internet 上构建平安靠得住 的网络通道， 基于硬件的数据加密， 将保密数据加密后在隧道上传输， 加密数据有靠得住的 保密性但捐躯了效率； 非保密数据能够通过一样性平安处置在隧道上传输， 保证较高的转发 速度 硬件加密的算法承受特地的芯片〔通过国家相关部门批准〕进展加密，密钥长度大于 128 位， 并供给高强度的一次一密功能 协作完全自主学问产权的软硬件平台， 供给网络的 平安互联和数据的平安传输的平安解决方案而 “备份中心“的靠得住性备份解决方案，实现多种线路之间的任意备份和业务分担， 为网络供给业界最结实的疼惜屏障，保证网络的靠得住运行。

要紧设备Quidway R1603/1604 路由器Quidway R2501 路由器Quidway R2509/2511 路由器Quidway R3640/4508 模块化路由器Quidway S2403 以太网互换机虚拟私有网〔VPN〕技术及其应用深圳华为技术 北京争辩所 王盛摘要： 本文通过对 VPN 技术的介绍， 论述了 VPN 技术在应用方面的优势， 同时结合华为公 司的接入效劳器，对 VPN 的功能进展了说明VPN 概要和技术：VPN 概述：虚拟私有网〔Virtual Private Network ,VPN〕，又称虚拟私有拨号网〔Virtual Private Dialup Network ,VPDN〕，是最近几年来随着 Internet 的进展而快速进展起来的一种技术 现代企业 愈来愈多地利用 Internet 资源来进展促销、销售、售后效劳，乃至培训、合作等活动很多 企业趋向于利用 Internet 来替代它们私有数据网络这种利用Internet 来传输私有信息而形 成的规律网络就称为虚拟私有网虚拟私有网事实上确实是将 Internet 看做一种公有数据网〔Public Data Network〕，这种 公有网和 PSTN 网在数据传输上没有本质的区分。

由于从用户观点来看， 数据都被正确传送 到了目的地 相对地， 企业在这种公共数据网上成立的用以传输企业内部信息的网络被称为 私有网至于“虚拟”，那么主假设是相对现存企业Intranet 的组建方式而言的通常企业Intranet 相 距较远的各局域网都是用 PSTN 物理线路相连的，而虚拟私有网供给的是Internet 上的虚拟 链路这种利用 Internet 来组建私有网的方式对 Internet 效劳供给商〔ISP〕和 VPN 用户都是有 利的无庸置疑， ISP 的利润大量来自于企业用户 通过向企业供给 VPN 效劳， ISP 能够与企业 成立加倍严密的长期合作关系，同时充分利用现有网络资源，提高业务量事实上， VPN 用户的数据流量较一般用户要大得多，而且时刻上也是彼此错开的 VPN 用户一般是上班 时刻形成流量的顶峰，而一般用户的流量顶峰期那么在工作时刻之外ISP 对外供给两种效 劳，资源利用率和业务量都会大大增加而关于 VPN 用户而言，利用 Internet 组建私有网，将大笔的专线费用缩减为少量的市话 费用和 Internet 费用，无疑是超级有吸引力的假设是情愿，企业乃至能够没必要成立自己的 广域网保护系统，而将这一繁重的任务交由专业的ISP 来完成。

正由于其壮大的吸引力， VPN 在全世界进展得异样红火，在北美和欧洲， VPN 已是一项 相当普遍的业务；在亚太地域，该项效劳也快速开展起来知名的网络供给商 Global One 在香港地域的 VPN 效劳已经大规模开通而在中国大陆，网络效劳供给商也开头设立VPN 效劳2 、VPN 的大体技术以某企业为例，通过 VPN 成立的企业内部网图示如下：图中能够看到，企业内部资源享用者通过 PSTN 网连入本地 ISP 的 POP 〔Point of Presence〕效劳器，即可彼此通信，而利用传统的 WAN 组建技术，彼此之间要有专线相连 才能够到达一样的目的 虚拟网组成后， 出差员工和外地客户乃至没必要拥有本地ISP 的上 网权限就能够够访问企业内部资源这关于流淌性特地大的出差员工和散布普遍的客户来讲 是很成心义的企业开设 VPN 效劳所需的设备很少， 只需在资源共享处放置一台 VPN 的效劳器〔如一 台 Windows NT 或支持 VPN 的路由器〕就能够够了资源享用者通过PSTN 连入本地 POP 效劳器后，直接呼唤企业的远程效劳器〔VPN 效劳器〕呼唤的方式和拥有 PSTN 连接的呼 唤方式完满是一样的，剩下的工作就完全由ISP 的接入效劳器〔Access Server〕来完成。

下面简要说说 ISP 是如何完成那个任务的Figure 2NAS〔Network Access Server,网络接入效劳器〕 要紧利用了一种称之为 tunneling 的技术这种技术的要紧思想是要将一种类型网络的数据包通过另一种类型网络进展传输上图中，用户通过 PSTN 网拨入 ISP 的 NAS 效劳器， NAS 效劳器通过用户名或接入号码识别出该用 户为 VPN 用户后， 就和用户的目的 VPN 效劳器成立一条连接， 称为隧道， 然后将用户数据 包封装成 IP 报文后从该隧道传送给 VPN 效劳器， VPN 效劳器收到数据包并拆封后就能够 够读到真正成心义的报文了反向的处置也一样隧道双侧能够对报文进展加密处置，使 Internet 上的其他用户无法读取，因此是平安靠得住的对用户来讲，隧道是其PSTN 链路的规律延长，操作起来和存在物理链路一样支持这种 tunneling 技术的 NAS--VPN Server 间协议要紧有三种 一种是微软、 Ascend、 3COM 等公司支持的 PPIP〔Point to Point Tunneling Protocol，点对点通道协议〕，在 Windows NT 以上版本中即有支持。

另一种是 Cisco 北方电信等公司支持的 L2F〔Layer 2 Forwarding， 二层转发协议〕，在 Cisco 路由器中有支持 而由 IETF 起草， 微软 Ascend 、Cisco、 3COM 等公司参予的 L2TP〔Layer 2 Tunneling Protocol，二层通道协议〕 结合上述两个协议的优势， 为众多公司所同意，信任各公司的产品都会对它进展支持由于传输的是私有信息， VPN 用户对数据平安性比较关切，下面就那个问题略加说明 在数据传输进程中，用户和他的 VPN 效劳器之间能够协商数据加密传输加密以后，即即 是 ISP 的 NAS，也无法看到数据包的内容而且即便是用户不对其数据加密， NAS 和 VPN 效劳器成立的隧道双侧也能够协商加密传输，使得Internet 上的其他用户无法看到隧道中传 输的数据信息因此 VPN 效劳的平安性是完全能够安心的A8010 的 VPN 功能深圳市华为技术研制的接入效劳器 A8010 是一种高性能、大容量的接入效劳器 A8010 的 VPN 功能也是超级丰硕的，具体表此刻它的多协议，多接入方式，业务开设和利 用简洁，支持多种业务和平安靠得住等方面。

1、多协议：A8010 的 VPN 支持全数 PPTP、L2F 和 L2TP 三种协议 PPTP 的 VPN 效劳器对象主假设 是 Windows NT小型企业利用 Windows NT 作为 VPN 效劳器，不用另购支持 VPN 的路由 器操作也很简洁，用户治理直接在Windows NT 上完成 L2F 的 VPN 效劳器对象那么主 假设是 Cisco 路由器 Windows NT 作为 VPN 效劳器关于大型企业而言， 接入带宽不够， 用户 治理也不够平安，而用路由器配备 Radius 效劳器来作 VPN 效劳器，那么能知足要求而 L2TP 作为更优更的标准，必为更多的设备所支持，将是利用最普遍的VPN 协议Figure 3多种 VPN 协议供给应用户足够的选择余地，而且协议的选择也超级的简洁，只需在开 设 VPN 业务时说明其 VPN 效劳器类型及选择的协议企业能够有多台VPN 效劳器，也能 够选择多种协议，而且由用户选择效劳器和协议的优先选择挨次2、多接入方式：从连接链路的性质上分， A8010 支持的接入方式包括模拟拨号用户， 数字拨号用户和专 线用户，这三种方式都供给有 VPN 的支持。

而就 VPN 用户和一般用户的区分方式来讲，A8010 供给的 VPN 接入方式包括被叫号码 接入，用户名接入和出租端口三种方式Figure 4被叫号码接入方式中，企业在开设VPN 业务时， ISP 分给该企业一个特别的被叫号码 该企业的 VPN 用户在利用该项效劳时，通过该号码连入A8010，A8010 依照用户信息找到 对应的 VPN 效劳器，通信就能够够开头了用户名接入方式中，用户仍和一般上网用户一样利用一般被叫号码呼唤ISP，呼通以后 输入特定的用户名〔一般是用户名@域名〕A8010 依照域名连接 VPN 效劳器，余下的进程 和被叫号接入方式完全一样还有一类用户，由于其 VPN 业务量大，需要保存假设干条链路，以保证呼唤通畅这 种情形下， A8010 能够供给线路预留或出租中继的端口的业务3 、支持的业务：1) 漫游： A8010 支持漫游企业只需在一个地址申请VPN 业务，就能够够在全国各地利用 VPN 效劳用户拨入本地的 ISP 时，乃至能够没必要在该 ISP 上拥有帐户，这对出差职员 或客户支持是超级有效的2) 保存带宽： A8010 能够为接入用户保存必定数量的链路， 以保证用户呼唤时不至于更阻。

是不是保存带宽和保存多少条链路那么是在开设VPN 业务时由企业自己打算的3) 代理验证： A8010 能够为企业代理验证 VPN 用户 通常 VPN 用户是由企业的 VPN 效劳 器来进展验证和计费的，而对一些业务量大而又缺乏保护人力物力的企业来讲，能够将验证、 平安性检查和计费等任务交给 A8010 来完成4) 拨出业务： A8010 供给拨出业务 在通信的两头都有 VPN 效劳器或需要支持回呼的情。