- 异地互访VPN解决方案V2.0
虚拟专网技术(VPN)采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。
应用场景
企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。
异地互访VPN解决方案
一、方案概述
虚拟专网技术(VPN)采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。
二、需求类型
a) 对等隧道互通
如总部在深圳,分部在上海、广州、美国等,需要通过VPN技术实现数据互通。
b) 移动分支访问
设总部在深圳,在上海、北京、美国等有办事处,但仅有1-2人,需要上传数据到总部或者访问总部内部网络。
c) 云端中转组网
因为现有运营商限制(不提供公网IP或者VPN协议限制),导致无法进行异地组网,需要实现虚拟组网。
三、解决方案
1. 对等隧道互通
总部与分部均是采用同类型网关(路由器或者防火墙),从安全性以及稳定性方面考虑,优先采用IPSEC方式对接,稳定性及速度受限于以下几方面:
a.
网络线路类型
对于使用ISP线路(电信/联通/移动),建议使用静态IP专线接入,具备上下行带宽对等、IP固定、线路质量最优、协议受限少等优点。
b.
设备品牌型号
设备自带的VPN组网类型,建议采纳稳定的品牌设备,比如深信服VPN设备,华为USG防火墙系列等,能更充分发挥协议的高可用性以及提高隧道的可靠性。
c.
组网基础条件
拨号获取公网IP,如果有固定IP最佳(动态域名解析具有延时的缺点)
设备类型一般要同品牌,确保对接参数统一,效率高,兼容性好。
2. 移动分支访问
以上为移动分支的网络拓扑,适用于外出人员访问总部局域网内的数据(文件共享及一些服务器应用,如ERP等),大概分为三种类型:
Ø
PPTP
PPTP是一种点对点隧道协议,基于IP网络,只能以TCP协议方式传输,对于网络稳定性要求高,可以试用远程网关上网,配置较为简单,一般企业级路由器自带该功能,稳定性受运营商线路策略影响。
Ø
L2TP
可以使用UDP传输(如果是对等传输,不可靠),客户端可以使用Windows自带的拨号方式连接,配置相对简单,如果两端是设备也可以组建企业隧道,一般企业路由器自带该功能,稳定性受运营商线路策略影响。
Ø
SSL VPN
安全性高,基于SSL协议;兼容性强,针对不同系统都可以通过WEB方式加载,基于web代理发布资源,功能丰富等。但是要基于特殊设备实现,如华为USG防火墙,深信服VPN设备,价格比较高,稳定性受运营商线路策略影响。
Ø
Open VPN
安全性高,混搭协议与加密传输,简单易用,多适用于外部出差人员访问公司网络资源适用,但需要单独部署服务器,稳定性受运营商线路策略影响。
3. 云端中转组网
云端组网是目前最可靠的一种VPN组网方式,所有数据都是基于IDC云服务器中转,确保网络最佳路径以及最优质量;最关键的一点是,基于云端方式的VPN组网方式,可以突破运营商不提供公网IP以及协议屏蔽等问题,普遍适用于:视频监控、异地文件共享、私有云连接、移动办公等。
四、材料清单
序号 |
设备名称 |
品牌 |
型号 |
单位 |
数量 |
Item |
Name |
Brand |
Model |
Unit |
Qty |
一、网络架构 |
1.1 |
VPN |
深信服 |
1200 |
台 |
|
1.2 |
防火墙 |
华为 |
USG6306 |
台 |
|
二、服务器 |
2.1 |
云服务器 |
Aliyun |
4H8G |
台 |
|
三、技术服务 |
3.1 |
点对点组网 |
磊科 |
PPTP |
套 |
|
3.2 |
隧道组网 |
磊科 |
L2TP |
套 |
|
3.3 |
SSL VPN搭建 |
华为 |
SSL |
套 |
|
备注:
以上清单仅限参考,根据项目场地与实际需求的不同,相关设备与材料不尽相同;
如果您有任何关于IT的需求和问题,SANTOM随时为您提供专业支持。 |