来源:比特网 更新时间:2012-04-15
在金融、证券、保险、政府等行业,整个网络已经采用专线进行了互联,但是为了保证线路的正常运行,一般需要采用另外一条备份线路,使数据的传输能够不受线路的影响。 文章导读 1、需求分析 2、奥联APN解决方案 3、APN:运营级的IPSEC解决方案 4、APN:运营级的IPSEC解决方案二 5、方案优势 6、后台报警功能 7、后台报警功能二
需求分析
在金融、证券、保险、政府等行业,整个网络已经采用专线进行了互联,但是为了保证线路的正常运行,一般需要采用另外一条备份线路,使数据的传输能够不受线路的影响。
在选择备份线路时,可以选择专线或者宽带线路,宽带线路具有带宽高、廉价、不会轻易中断等特点,因此选择备份线路,可以考虑采用宽带线路的方式进行备份,同时结合安全网关设备,保证线路的数据传输安全性。
同时在企业在主要网络节点或者主干网络已经采用专线进行了线路的连接,进行各种数据的交换和运用系统的使用,但是在连接次要节点或者二级网络时可能会遇到以下情况:
数据交换量不大、部分地点无法使用专线、节点数量众多,这时需要考虑采用宽带线路方式组建次要网络,同时使用VPN安全网关保证数据安全传输,这样就要求VPN安全网关具有能够和专线直接通讯的能力,能够和专线线路直接融合,使数据能够安全在专线线路和宽带线路之间进行传输。
OLYM 2008设备集成专业防火墙和强大的路由功能,能够方便的配合CISCO、3COM等路由器,和专线网络能够无缝的融合。
对于线路备份的要求,可以分为以下几个具体基本要求。
1.快速、低成本的部署一个备份线路网络;
2.充分考虑网络的安全性;
3.专线线路故障能够自动切换到备份线路,恢复后自动切换回来。
4.整个网络需要方便的管理,便于维护和扩展,对备份的过程要能监控和报告。
传统的备份方式,一般采用拨号和ISDN。
这两种方式究其原理,是在主线路断开后通过Modem拨号或ISDN拨号的方式来建立临时连接。这种方式难以实现全自动切换,而且带宽低,数据传输通过公众网络但是没有经过加密处理,存在安全隐患。也难于管理,已经逐渐被淘汰。
VPN技术是构建于Internet上的虚拟专用网络技术,具有易于实施和扩展,简单易用的优势,建设成本极低,所以得以迅速的推广和普及。
综合考虑我们推荐使用VPN技术作为备份线路,同时推荐APN解决方案作为备份的产品,可完全满足以上要求。
奥联APN解决方案
一.网络拓扑
图中设备功能:
1。VDN平台:管理中心,位于运营商机房,对整个网络进行监控和管理
2。APN终端:VPN终端,用于用户,完成VPN隧道的连接和通讯
线路支持
1.ADSL、VDSL
2.小区宽带、LAN接入
3.Modem和ISDN
4.固定IP地址或DHCP
二。 具体接线图
三。 方案效果
1.自动切换
2.自动恢复
3.集中管理
四. APN:运营级的IPSEC解决方案
1.VDN体系结构概述
依靠自主研发的VDN体系结构,基于ADSL接入的VPN整体解决方案相对于其他产品在集中管理、简单易用、组网灵活性等方面具有强大的优势,并且这些优势在运营上对外提供VPN服务上被通分体现出来。目前,深圳电信、香港电信盈科、陕西铁通、湖北铁通、浙江铁通、河南铁通、北京铁通、上海铁通等运营上已经使用APN产品来做VPN的接入服务。
VDN体系结构如下图所示:
图4-1 VDN体系结构图
VDN体系由四部分组成:
VDN服务平台
监控终端
管理终端
被管理的用户域
2.VDN 服务平台
VDN服务平台通过专线接入数据骨干网。管理员可以在任意可以连接互联网的计算机上(管理终端)上登陆VDN管理模块,进行客户信息管理。为新的用户建立新的管理域,并且在此管理域上生成对应的节点名称与许可证。VDN服务平台可以管理许多的管理域。如上图,在VDN服务平台上为公司A建立管理域domainA,在domainA下生成3个节点名site1,site2和site3;同样的为公司B建立管理域domainB,在domainB下生成3个节点名site1,site2和site3。VDN平台维护着所有的用户信息与管理域,并且通过这些数据为这些公司的APN终端设备服务。
终端设备连接数据骨干网后,根据已经在VDN平台上定义好的管理域与节点名称从VDN平台上下载相对应的许可证号。
终端设备成功下载许可证号之后,每次启动并且连接数据骨干网,都会自动的到VDN平台上进行身份认证。VDN平台检查终端设备传送上来的管理域名,节点名和许可证号,如果检查通过,VDN平台将通知此终端设备将外网的公网地址、内网网段等信息传递上来,并且记录到此管理域的一张路由信息表中。终端设备跟VDN平台之间的通信都经过168位的3DES加密算法进行加密,加密密钥以24位长的许可证号为密钥材料协商生成。因为每一个终端设备的许可证号都是不一样的,所以,每一个终端设备跟VDN平台通信的加密密钥也是不一样的。 终端设备认证通过后,就一直跟VDN平台保持着一条加密的数据通道,我们称为“安全通道”。
VDN平台将此终端设备的传送上来的信息加入此管理域的路由信息表后,会查询预先定义的网络拓扑关系,将路由信息汇总后发送到有需要的已经通过身份认证的此域其他节点。
如上图所示的公司A,site1节点认证通过后,VDN平台为管理域domainA开辟一张新的路由信息表,记录site1传送上来的公网地址和内网网段等信息;site2节点接着认证通过后,VDN平台将site2传送上来的信息也记录到相同的路由信息表中。然后,VDN将site1的路由信息发送给site2;将site2的路由信息发送给site1。
因为site1和site2之间的信息是通过VDN平台交换的,所以,互相之间不需要象其他厂家产品的解决方案一样,需要两端都是固定IP地址,或者至少有一端是固定IP地址。
Site1和site2通过VDN平台交换信息后,由其中一方发起IKE密钥协商,在IKE密钥协商过程中需要进行身份认证,APN终端设备目前支持最常见的预共享密钥身份认证和X。509格式的CA证书认证。IKE密钥协商完成后,site1和site2就建立起一条节点间的安全隧道,数据传送是以IKE协商出来的密钥和加密算法经过加密后传递的。身份认证、IKE密钥协商和特定的加密算法,是数据可以通过数据骨干网安全传递的条件,也是IPSec VPN技术的基础。
Site1和site2之间的数据传送是通过两者之间建立的Tunnel直接进行的,不需要通过第三方来中转数据,跟其他的星型结构的解决方案有着根本区别。
系统管理员可以定义此管理域下面节点之间的网络拓扑关系。管理员可为此管理域指定一个中心点,其他点都能跟此中心点建立隧道的星型关系;也可以定义一种全部或者部分网状的关系;甚至可以定义星型、网状和现状结合的树状复杂关系。可以说,可以在VDN平台上为一个公司的VPN网络拓扑关系进行任意的定义,这些都不需要对终端设备的配置进行任何的改动。
当系统管理员定义了公司A的管理域domainA的site3只能跟site1通,而不能跟site2通时,site3通过身份认证后,VDN平台检查此管理域的网络拓扑关系表,最后决定把site1的路由信息发送给site3,把site3的信息发送给site1,但,site2不会得到site3的信息,site3也不会得到site2的信息。这样,site3能跟site1建立隧道,而不能跟site2建立隧道。
VDN平台是每个管理域里节点之间的信息交换平台,它是协调者的角色。但是,节点之间建立隧道后的数据绝对不会传送到平台上来,这,相似于目前最为流行的软交换技术。
网络维护人员可以通过任意连接数据骨干网的管理终端查询VDN平台上在线节点的信息、查看每个节点的登陆历史记录。
对于提供服务的运营商或者是集中管理模式的应用中,管理员甚至可以通过VDN平台和在线终端设备之间的“安全通道”对设备进行管理与维护。并且可在VDN平台上制定统一的防火墙策略,然后下发到所有相关的终端设备上。
3.监控终端
用户端所用的APN终端设备都支持snmp功能。用户不仅仅能使用第三方的网管软件进行管理和监控,APN厂家也提供通过VDN平台实现对所有在线终端设备进行管理和监控的功能。
监控终端可以是任意一台运行“VDN管理系统”网管软件并且连接数据骨干网的计算机。监控终端跟VDN平台建立加密的通道后,以VDN平台为桥梁,通过VDN平台跟各在线终端建立起来的“安全通道”,可查询所有在线节点的终端信息(如版本,系统运行状态,建立起来的通道信息等),并且可以实时的监控流量情况,给出流量曲线图。
在以后的功能扩展中,会加入如事件报警功能,数据收集功能等。这些功能都能更好的体现VDN体系架构在运营服务和集中管理上的强大优势。
针对与一些终端设备受到攻击,或者内网网络有病毒产生大量数据包通过设备时造成设备运行不稳定、网络经常中断和死机等情况,系统管理员可以有针对性的对这些节点进行事件定义,当网管系统检测到此定义的事件发生后,马上通过email、手机短信等方式通知系统管理员,使得系统管理员能更快、更准确的发现故障与排除故障。
系统管理员可以有针对性的通过网管系统通知VDN平台定期收集终端上的局域网每IP的流量情况、上网情况等信息,以为用户提供月报表等信息。
4.管理终端
管理终端可以是任意一台运行IE浏览器并且连接数据骨干网的计算机。系统管理员、网络维护员通过不同权限的管理帐号进行登陆,并且可以进行权限允许范围内的操作。比如,系统管理员可以生成新的用户信息,为此用户生成新的管理域,并且在管理域下增加节点名和许可证,最后可以为此管理域的节点定义网络拓扑关系。系统管理员还拥有网络维护员的权限。网络维护员可以通过平台查看在线节点信息,查看全部节点的历史登陆记录,在运营模式和集中管理模式下通过“安全通道”对在线终端设备进行管理与维护。管理终端跟VDN管理模块之间通过安全的https进行通信。
5.被管理的用户域
VDN平台上可以生成很多的管理域。VDN平台只会根据定义的网络拓扑关系协调同一个管理域的节点之间的关系,为他们交换路由信息,协调他们建立通信的加密通道。
不同管理域的路由信息是不被交换的。这通分保证了不同公司之间的VPN网络是严格隔开的,虽然他们被同一个VDN平台所管理。
方案优势
一。 工程实施比较
传统VPN所带来的问题:
1) 设备配置调试复杂,需要专业的网络工程师完成;
2) 不能进行集中管理,维护复杂;
3) 两点互联必须有一端是固定的公网IP地址;
4) 只能组成有一个中心点的星型网络,非中心点之间的数据交换需要通过中心点完成,对中心点的设备性能与接入带宽要求很高;
5) 扩展困难。每增加一个节点,需要考虑这个节点要跟哪里通信,要一条一条的配置隧道,并且需要对对端的设备进行配置;
6) 维护困难。对于规模较小的点,并没有网络维护工程师,当出现问题时,必须派出专业的维护工程师进行故障判断与排除,此必然带来高昂的后期维护费用。
OLYM 2008 VPN产品解决了以上问题:
目前运营商提供的专线备份业务,基于运营设计的VDN体系结构,将上述缺陷一一解决。
1) 管理配置:简单易用,稍有网络基础的人5-10分钟内完成配置。
因为有了VDN平台的先进的信息交换功能,整个VPN网络节点之间的路由信息都是通过VDN平台进行交换,并且由平台协调节点之间进行IKE协商,最后建立可通信的隧道。所以,终端安装人员只需要象配置上网共享器一样,配置终端设备的内网口地址、上网线路所需要的用户名密码或者直接输入公网IP地址和网关等信息,最后根据定义好的管理域和节点名下载许可证号。这样,一个节点就配置完成了。
APN终端提供基于串口超级终端和远程telnet两种登录管理方式,管理员可以使用命令行的方式对设备进行配置;同时提供基于windows的GUI管理控制界面,管理员可以不用记忆复杂的配置命令,而仅通过点击鼠标就可完成全部配置工作。
2) 集中管理:网络拓扑关系定义,防火墙策略分发,远程管理,SNMP网管系统监控。
通过VDN平台,可以进行任意网络拓扑的关系定义,不需要修改任何终端的配置;可以在VDN上为特定的管理域制定统一的防火墙策略,然后进行分发;在运营模式和集中管理模式下,可以通过VDN平台与在线节点之间的“安全通道”进行远程管理和维护;通过SNMP网管系统可以对在线的APN设备进行系统运行状态查看、流量监控等。
3) 动态IP的网状联通性。
通过VDN平台的强大的和智能的信息交换能力,以一种独特的方式解决了动态IP地址的问题。这跟传统的解决方案不一样。传统的VPN连接要求两端都是固定的公网IP地址,后来发展到要求起码一端是固定公网IP。在中心点是固定公网IP地址,其他节点是动态IP地址的组网中,只能形成星型结构的网络,非中心点之间两点数据交换需要经过中心点做中转。这样,对中心设备的性能和接入带宽都要求很高。而且,对于一端是动态IP地址之间的IKE协商过程中的身份认证如果采用预共享密钥的方式是不安全的,必须采用CA证书的认证方式,这为组网带来一定的复杂性,比如一定要建立自己的证书分发机构,或者是购买第三方证书分发机构的证书。
VDN结构体系是通过平台的信息交换来解决两端动态IP地址的问题的。当两节点之间交换信息后,就跟传统的两端固定IP地址的模式是一样的了。
VDN结构体系可以是全动态IP地址的,并且能够建立起全网状的隧道或者是自定义的任意结构的网络拓扑。
4) 扩展容易。
因为VPN网络的结构是在VDN平台上进行定义的。每增加一个新的节点,只需要在平台上生成管理域下的新的节点名和许可证,然后配置到新的节点的终端设备上。这个新的节点就会象之前的节点一样,到VDN平台上进行身份认证,然后由平台协调它跟原有的节点建立隧道。
这不需要象传统VPN解决方案一样,每增加一个新的节点,都要在此节点上配置所有需要与之建立隧道的连接信息,更要在对端的设备上增加此节点的配置信息,非常复杂。
5) 维护简单容易,不需要很专业的网络知识。
APN产品尽可能的做成是“傻瓜式”的,但却是高度安全和专业智能的。非专业的维护人员也可以通过终端设备上的SYS指示灯判断发生故障的原因,是设备死机了,还是外网断了,或者是许可证无法认证通过?维护人员都可以通过看SYS灯状态而告诉远端的管理员,由远端的管理员给出专业的恢复建议。
并且,非专业的维护人员可以进入终端设备的web管理界面,查看“智能指导”给出的提示,或者是查看设备运行状态和流量监控的情况,快速定位设备运行故障。
二。 后台报警功能
VDN服务平台:VDN服务平台起到集中管理的作用。它为备份线路的每一端设备分发许可证,终端设备必须到服务平台上通过身份认证后才能跟相应的对端节点的终端建立起备份隧道。如下图所示:
1、闭环检测及报警
在备份线路两端的终端设备选中其中一个为闭环检测的起点。如下图所示,选择A点的GW200作为检测点起点。并且选择数字电路的对端路由器作为闭环检测的终点,如下图所示B点的边缘路由器。闭环检测点A隔一定的时间(此时间可调整,缺省为60秒)向闭环检测点B通过备份隧道发送一个ICMP包。
在数字电路正常的情况下,闭环检测点B根据路由器的路由表,会通过数字电路向检测点A回应一个ICMP包。检测点A的STAR 16根据收到这个回应包的接口断定闭环没有问题。
2、正常情况下的闭环检测
当两点之间的数字电路发生中断时,配置在两端边缘路由器上的浮动路由将起作用。这时,闭环检测点A通过备份隧道发送ICMP包给闭环检测点B后,B将原路返回一个回应包。如下图所示。这时,闭环检测点A根据收到这个回应包的接口,断定并没有走一个正确的闭环,将在5秒内重发一个ICMP包。A 6次收到沿原路返回的回应包后,将向VDN服务平台报告此事件,VDN服务平台做记录并且向监控终端发出报警信息,或者向特定的手机发送关于此事件的短信和向特定的邮件地址发送电子邮件。
当两点的备份隧道出现中断,或者备份隧道跟数字电路同时中断时,闭环检测点发出ICMP包后,不能收到回应包。并且以5秒钟时间间隔重发6次后,如果不能收到回应包,A将向VDN服务平台报告此事件,VDN服务平台做记录并且向监控终端发出报警信息或者向特定的手机发送关于此事件的短信和向特定的邮件地址发送电子邮件。如下图。
3、网络安全策略:
备份线路两端的设备通过ADSL接入Internet后建立隧道作为数字电路的备份线路。终端设备的设置遵照下面的原则:
不允许内部计算机通过此终端上网;
对外关闭所有的服务端口,包括用于管理的80和23端口;
当需要对设备进行管理时,必须在内网进行,或者服务平台管理员通过VDN服务平台将设备的外网管理权限打开才能进行,并且在维护结束后可重新关闭管理权限;
因为上述的措施,保证了终端设备不受外来的扫描和攻击,保证内部网络的安全。