IPSec VPN在多分支企业中的应用

随着社会经济的发展,保险、餐饮、加油站等行业呈现快速增长的趋势,连锁分支机构数目随之不断增加。鉴于连锁企业地理位置分散、网点众多,为了便捷地掌握各网点的实时状况,提高管理质量和效益,同时应对加入WTO和经济全球化所带来的挑战,连锁企业迫切需要建立自己的电子信息化系统,利用先进的IT技术提升经营管理的科技含量和服务水平,从而进一步提高工作效率,降低成本,增强抵御市场风险的能力。本文从连锁企业业务发展考虑,介绍如何构建一个高安全、高可靠、全业务的信息化网络。

IPSec VPN1.jpg
IPSecVPN实现分支机构与总部互联大型连锁企业一般都有成千上万个分支机构,如何将庞大的分支机构互联起来?专线由于投资成本大、实施困难而很明显是不现实的。VPN则成为多数企业普遍采纳的解决方案。VPN(VirtualPrivateNetwork)技术是在公网上构建私有网络的新兴技术。为了防止在广域网上传输日常业务数据时被恶意用户窃听、篡改和攻击,采用VPN可以解决这些方面的忧虑。但是VPN网络建设起来后覆盖面广、分支机构规模大,基于保障VPN业务稳定、减少日常维护工作量以及降低排障难度等前提,建议全网部署Site-to-Site方式的IPSecVPN,如图1(以H3CSecPath系列防火墙为例)。

为了部署一个简洁、稳定、可靠、易管理的VPN网络,总部采用两台SecPathF1000-E防火墙并通过VRRP协议做冗余备份,布署在Internet出口,作为各分支机构设备SecPathF100-C联网的中心节点。为了配置简单并易于管理,SecPathF1000-E防火墙IKE协商采用Aggressive方式(即野蛮方式),同时IPSec策略采用模板方式。实际应用中,分支机构大都采用ADSL拨号或者LAN方式接入Internet。为了兼容这两类接入采用Aggressive方式,以便在进行IKE自动协商密钥时可以通过Name进行识别。因为ADSL拨号时IP地址是动态分配的,中心端设备无法固定分支机构设备的IP地址,而采用野蛮模式并通过名字进行识别可以解决这个问题。
IPSec VPN.gif
安全策略部署保证业务和设备安全为了对业务进行精细化管理,可以通过在总部SecPathF1000-E防火墙上配置域间规则实现访问控制;同时开启DDOS防御保护出口防火墙和总部服务器免遭拒绝服务攻击。对于分支机构来说,可以在SecPathF100-C防火墙上开启攻击防范策略和访问控制策略。如果想实现防病毒、防垃圾邮件、行为审计和带宽管理,分支机构可以采用UTM产品(如H3CSecPathUTM系列)。

BIMS实现实时监控、配置和版本管理大多数分支机构由于规模较小,而选择通过比较经济的ADSL方式接入中心端,如PPPoE拨号。由于分支机构的设备数量越来越庞大,且地理位置分散,很多设备通过DHCP获取IP地址或位于NAT网关后面。对于传统的SNMP网管来讲,这些边缘接入设备是其管理的一个盲区。传统SNMP网管主要通过SNMP、Telnet等协议来实现对网络设备的管理,这要求网管知道被管设备的IP地址,并且可以主动向设备发起请求并建立网络连接。如果设备的IP地址不固定,就增加了主动管理的难度;如果被管设备位于NAT网关后面,网管根本无法主动与设备建立网络连接,也就无法对这些设备进行管理。BIMS(BranchIntelligentManagementSystem)分支节点智能管理系统是H3C针对上述问题推出的解决方案,可以实现对动态获取IP地址的设备或位于NAT网关后面的设备的集中、有效的监控和管理,尤其对于业务应用基本相同、数量庞大并且分布广泛的网络终端设备,BIMS会极大提高管理效率、节约管理成本。

通过BIMS对上万个分支机构的SecPathF100-C进行统一的OS、补丁、配置、策略等集中管理和下发,大大减少了管理员的复杂工作。其主要功能如下:

实现对动态分配IP地址和位于NAT网关后面的设备的集中、有效的监控和管理;

实现设备配置文件和设备软件等的自动更新,大大降低批量设备升级时管理员的工作量,提高工作效率;l保存设备的历史配置文件,对设备故障的定位和恢复提供有力保障;

监控设备配置的变化,并可以自动恢复到管理员指定的标准配置;

使用普通PC即可实现对大量设备的管理,有效降低了维护成本。

实践总结对于多分支机构的大型企业来说,不仅要求实现分支机构与总部的网络互联,更需要考虑对庞大分支机构设备的监控和维护。正是如此,中国平安保险、中国人寿保险、中石油加油站等大型连锁机构都已成功部署了IPSecVPN系统。希望更多此类分支机构众多的连锁企业的信息化网络互联建设从中得到借鉴。

上一篇:IP地址的分类与划分子网下一篇:返回列表