会员注册
会员登录
个人空间
跨国公司及大型企业站点式IPSec VPN
一体化安全通信实施建议
跨国公司及大型企业站点式IPSec VPN 实施建议
站点式IPSec VPN建立
组网结构图
分支机构结构:
根据分支机构的大小,在每个分支的出口都安装一台Juniper 防火墙/VPN 设备,提供VPN 接入功能。
所有部署在分支机构的Juniper 防火墙设备,首先必须在网络层上可以与中心点(逻辑意义)通信,黑色连接实线表示其与Internet 或其他广域网连接示意。
Juniper 防火墙支持多种Internet 接入方式:
■窄带拨号方式(对SSG 5/20 产品作为可选件提供,一般作为备份链路)
■PPPOE 动态拨号方式,适应于ADSL 拨号机构
■DHCP 自动获取得地址,适应用城域网、有线电视宽带网、小区宽带网等机构
■静态地址分配,适应于专线接入Internet、固定IP ADSL 线路等机构
中心点结构:
中心点为各分支机构数据的集中控制点,数据流量较大,并且要求 *** 能更高,建议采用以下方式提高系统稳定 *** :
■采用高 *** 能系统级产品,以满足 *** 能、稳定 *** 需求
■满足中心点系统的高可靠 *** ,建议中心节点建立HA 冗余节点。由于最多时中心点要终结1000 多条VPN,切换时防火墙必须能够提供保持VPN 连接信息状态的同步,否则重新同时进行1000VPN SA 的协商会导致长时间的延迟。
中心站点组网结构图
VPN 建立
在每个分支节点与中心点之间建立VPN连接,如图中虚线所示,并且通过采用Juniper 以下 VPN 技术,建立可扩展 *** 、可管理 *** VPN 网络。
基于路由的VPN 链路
在分支机构与中心点防火墙建立的VPN 通道绑定到一个或多个逻辑端口上(中心点防火墙的每个逻辑接口可以绑定一定数量的分支机构的VPN 连接),VPN 数据包基于路由查找转发,更有利于防火墙安全策略的修改、配置,不影响现有网络应用。
动态路由协议
VPN数据包除了通过静态路由进行转发外,如果在防火墙上启用动态路由协议,如Juniper 防火墙支持的OSPF, BGP, RIPv2 等多种路由协议,根据VPN 通道链路的建立与断开状态,防火墙自动维护动态路由表,保证基于路由VPN 查找时路由路径的准确,减轻网管人员工作量。
路径监控
对于线路故障多发的链路,对防火墙实施VPN 路径监控,使得VPN 的故障可以最短时间反映到静态路由或动态路由上。
HUB&SPOKE 星型结构
各分支机构与中心点呈hub星型连接,分支机构之间一般数据访问较少,从安全角度考虑,分支机构间需要数据传输时,需要通过中心点路由中继完成,由于中心点防火墙设备集群可以通过Juniper 防火墙的NSRP 协议基于状态对所有VPN 进行设备间的透明切换,所以中心防火墙不是单点故障设备。
通过这些VPN,可以完成以下功能:
■所有分支机构LAN 与中心点LAN 之间加密、认证的通信都通过VPN 直接传送。
■所有分支点的LAN相互之间的加密、认证的通信可以先通过直接的VPN 到达中心点,然后由中心点转发到相应的其他分支点。即采用路由的虚拟连接,也称作Hub&Spoke 方式的VPN 连接(如图中黑色虚线)。既解决了网状连接的VPN 数量多、难以管理的问题,由可以通过中心点设备更好地控制分支点之间的数据访问权限。
■为防止因为各种原因导致中心点防火墙不可访问,从而造成分支点之间的互访障碍,可以配置一个冗余的中心,提高整个网络的高可用 *** (如图中右端的设备及其VPN 连接)。Juniper支持这种备份方式的VPN冗余配置结构,而且故障切换对于所有VPN 不造成影响。
■Juniper 支持NAT-Traversal 方式的VPN。建立IPSec VPN 的两台设备,如果其中一台在NAT 设备后面,IPSec的认证机制会阻碍VPN 的建立。NAT-Traversal 方式可以使两台NetScreen设备自动发现它们之间的NAT设备,采取自动添加UDP 包头的方式解决问题。
发表评论