《中石化vpn解决方案.docx》由会员分享,可在线阅读,更多相关《中石化vpn解决方案.docx(36页珍藏版)》请在三一办公上搜索。
1、解决方案华为3技术有限公司目录1. 概述错误!未指定书签。1.1定义错误!未指定书签。1.2的类型错误!未指定书签。1.3的优点错误!未指定书签。1.4隧道技术错误!未指定书签。1.5加密技术错误!未指定书签。1.6身份认证技术错误!未指定书签。2. 建设方案错误!未指定书签。2.1基本建设思路错误!未指定书签。2.2组网方案错误!未指定书签。2.3可靠性方案错误!未指定书签。3. 管理系统错误!未指定书签。3.1轻松部署安全网络错误!未指定书签。3.2直观展示拓扑错误!未指定书签。3.3全方位监控网络性能错误!未指定书签。3.4快速定位网络故障错误!未指定书签。3.5分支智能管理系统错误!未
2、指定书签。附件客户端软件介绍错误!未指定书签。1. 概述随着网络,尤其是网络经济的发展,企业日益扩张,客户分 布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日 益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企 业网基于固定物理地点的专线连接方式已难以适应现代企业的 需求。于是企业对于自身的网络建设提出了更高的需求,主要表 现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的 背景下,以其独具特色的优势赢得了越来越多的企业的青睐,令 企业可以较少地关注网络的运行与维护,而更多地致力于企业的 商业目标的实现。1.1定义利用公共网络来构建的私人专用网络称为虚拟私有网络(,),用于
3、构建的公共网络包括、帧中继、等。在公共网络上 组建的象企业现有的私有网络一样提供安全性、可靠性和可管理 性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对 于广域网连接,传统的组网方式是通过远程拨号连接来实现的, 而是利用服务提供商所提供的公共网络来实现远程的广域连接。 通过,企业可以以明显更低的成本连接它们的远地办事机构、出 差工作人员以及业务合作伙伴,如图1所示。PCOP公司总部图1应用示意图111远端用户InternetISP IPATMFrame Relay合作伙伴内部服务器由图可知,企业内部资源享用者只需连入本地的(,接入服 务提供点),即可相互通信;而利用传统的组建技术,彼
4、此之间 要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工 和外地客户只需拥有本地的上网权限就可以访问企业内部资源; 如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必 拥有本地的上网权限。这对于流动性很大的出差员工和分布广泛 的客户与合作伙伴来说是很有意义的。并且企业开设服务所需的 设备很少,只需在资源共享处放置一台服务器就可以了。1.2的类型分为三种类型:远程访问虚拟网()、企业内部虚拟网() 和企业扩展虚拟网(),这三种类型的分别与传统的远程访问网 络、企业内部的以及企业网和相关合作伙伴的企业网所构成的相 对应。2.4.1随着当前移动办公的日益增多,远程用户需要及时地访问 和
5、。对于出差流动员工、远程办公人员和远程小办公室,通过公 用网络与企业的和建立私有的网络连接。在的应用中,利用了二 层网络隧道技术在公用网络上建立隧道()连接来传输私有网络 数据。的结构有两种类型,一种是用户发起()的连接,另一种是 接入服务器发起()的连接。用户发起的连接指的是以下这种情况:首先,远程用户通过 服务提供点()拨入,接着,用户通过网络隧道协议与企业网建 立一条的隧道(可加密)连接从而访问企业网内部资源。在这种 情况下,用户端必须维护与管理发起隧道连接的有关协议和软 件。在接入服务器发起的连接应用中,用户通过本地号码或免费 号码拨入,然后的再发起一条隧道连接连到用户的企业网。在这
6、种情况下,所建立的连接对远端用户是透明的,构建所需的协议 及软件均由负责管理和维护。2.4.2通过公用网络进行企业各个分布点互联,是传统的专线网或 其他企业网的扩展或替代形式。利用网络构建的实质是通过公用网在各个路由器之间建立 安全隧道来传输用户的私有网络数据,用于构建这种连接的隧道 技术有、等。结合服务商提供的机制,可以有效而且可靠地使用 网络资源,保证了网络质量。基于或帧中继的虚电路技术构建的 也可实现可靠的网络质量,但其不足是互联区域有较大的局限 性。而另一方面,基于构建是最为经济的方式,但服务质量难以 保证。企业在规划建设时应根据自身的需求对以上的各种公用网 络方案进行权衡。1.2.3
7、是指利用将企业网延伸至合作伙伴与客户。在传统的专线构 建方式下,通过专线互联实现,网络管理与访问控制需要维护, 甚至还需要在的用户侧安装兼容的网络设备;虽然可以通过拨号 方式构建,但此时需要为不同的用户进行设置,而同样降低不了 复杂度。因合作伙伴与客户的分布广泛,这样的建设与维护是非 常昂贵的。因此,诸多的企业常常是放弃构建,结果使得企业间 的商业交易程序复杂化,商业效率被迫降低。以其易于构建与管理为解决以上问题提供了有效的手段,其 实现技术与和相同。用户对于的访问权限可以通过防火墙等手段 来设置与管理。1.3的优点利用公用网络构建是个新型的网络概念,对于企业而言,利 用组建私有网,将大笔的专
8、线费用缩减为少量的市话费用和费 用。据报道,局域网互联费用可降低2040%,而远程接入费用 更可减少6080%,这无疑是非常有吸引力的;大大降低了网络 复杂度、用户的网络地址可以由企业内部进行统一分配、组网的 灵活方便等特性简化了企业的网络管理,另外,在应用中,通过 远端用户验证以及隧道数据加密等技术保证了通过公用网络传 输的私有数据的安全性。1.4隧道技术对于构建来说,网络隧道()技术是个关键技术。网络隧道技 术指的是利用一种网络协议来传输另一种网络协议,它主要利用 网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协 议,网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载 的被承载协
9、议。现有两种类型的隧道协议:一种是二层隧道协议,用于传输 二层网络协议,它主要应用于构建和;另一种是三层隧道协议, 用于传输三层网络协议,它主要应用于构建和。2.4.1 二层隧道协议二层隧道协议主要有三种:(,点对点隧道协议)、L2F( 2, 二层转发协议)和L2( 2 ,二层隧道协议)。其牝2结合了前 两个协议的优点,具有更优越的特性,得到了越来越多的组织和 公司的支持,将是使用最广泛的二层隧道协议。应用L2构建的典型服务的结构如下图所示:远地分支机构内部服务器典型拨号业务示意图2.4.2三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧 道协议并非是一种很新的技术,早已出现的
10、1701 ()协议就 是一个三层隧道协议,此外还有的协议。与、等封装形式很相似,但比他们更通用。在的处理中,很 多协议的细微差异都被忽略,这使得不限于某个特定的“X Y” 应用,而是一种最基本的封装形式。在最简单的情况下,路由器接收到一个需要封装和路由的原 始数据报文(),这个报文首先被封装而成报文,接着被封装在 协议中,然后完全由层负责此报文的转发。原始报文的协议被称 之为乘客协议,被称之为封装协议,而负责转发的协议被称之为Delivery Header (Transport Protocol) GRE Header (Encapsulation Protocol) Payload Pack
11、et (Passenger Protocol)传递()协议或传输()协议。注意到在以上的流程中不用关心 乘客协议的具体格式或内容。整个被封装的报文具有下图所示格 式:通过传输报文形式()是一组开放协议的总称,特定的通信方之间在层通过加 密与数据源验证,以保证数据包在网上传输时的私有性、完整性 和真实性。通过()和()这两个安全协议来实现。而且此实现 不会对用户、主机或其它组件造成影响,用户还可以选择不同的 硬件和软件加密算法,而不会影响其它部分的实现。提供以下几种网络安全服务:.私有性一在传输数据包之前将其加密.以保证数据的私 有性;.完整性一在目的地要验证数据包,以保证该数据包在传 输过程中
12、没有被修改;.真实性一端要验证所有受保护的数据包;.防重放一防止了数据包被捕捉并重新投放到网上,即目 的地会拒绝老的或重复的数据包,它通过报文的序列号实现。在两个端点之间通过建立安全联盟()进行数据传输。安全 联盟定义了数据保护中使用的协议和算法以及安全联盟的有效 时间等属性。在转发加密数据时产生新的和/或附加报头,用于 保证数据包的安全性。有隧道和传输两种工作方式。在隧道方式 中,用户的整个数据包被用来计算附加报头,且被加密,附加报 头和加密用户数据被封装在一个新的数据包中;在传输方式中, 只是传输层(如、)数据被用来计算附加报头,附加报头和被 加密的传输层数据被放置在原报头后面。报头用以保
13、证数据包的完整性和真实性,防止黑客截断数据 包或向网络中插入伪造的数据包。考虑到计算效率,没有采用数 字签名,而是采用了安全哈希算法来对数据包进行保护。没有对| IP |TCP | Data |IP2| AH IPTCP | Data|用户数据进行加密。在包中的位置如图5所示(隧道方式):图5处理示意图将需要保护的用户数据进行加密后再封装到包中,可以保证| IP |TCP| Data I|iP2ESp| IP |TCP| Dat a | Tra il e* Aut h数据的完整性、真实性和私有性。头在包中的位置如下(隧道方 式):图6处理示意图和可以单独使用,也可以同时使用。使用,数据就可以在
14、公网上安全传输,而不必担心数据被监 视、修改或伪造。提供了两个主机之间、两个安全网关之间或主 机和安全网关之间的数据保护。在两个端点之间可以建立多个安全联盟,并结合访问控制列 表(),可以对不同的数据流实施不同的保护策略,达到不同的 保护效果。安全联盟是有方向性的(单向)。通常在两个端点之 间存在四个安全联盟,每个端点两个,一个用于数据发送,一个 用于数据接收。的安全联盟可以通过手工配置的方式建立,但是当网络中结 点增多时,手工配置将非常困难,而且难以保证安全性。这时就 要使用自动地进行安全联盟建立与密钥交换的过程。1.5加密技术密钥交换协议()用于通信双方协商和建立安全联盟,交换 密钥。定义
15、了通信双方进行身份认证、协商加密算法以及生成共 享的会话密钥的方法。的精髓在于它永远不在不安全的网络上直 接传送密钥,而是通过一系列数据的交换,通信双方最终计算出 共享的密钥。其中的核心技术就是()交换技术。交换基于公开 的信息计算私有信息,数学上已经证明,破解交换的计算复杂度 非常高从而是不可实现的。所以,交换技术可以保证双方能够安 全地获得公有信息,即使第三方截获了双方用于计算密钥的所有 交换数据,也不足以计算出真正的密钥。在身份验证方面,提供了共享验证字()、公钥加密验证、 数字签名验证等验证方法。后两种方法通过对()中心的支持来 实现。密钥交换分为两个阶段,其中阶段1建立,有主模式()
16、和激进模式()两种;阶段2在阶段1的保护下建立,称之为快速 模式()。用于最终的数据安全传送。另外,还包含有传送信息的信息交换()和建立新组的组交 换()。1.6身份认证技术隧道建立的前提是双方的身份的得到了认证,这就是所谓的 身份验证。身份验证确认通信双方的身份。目前有两种方式:一种是域共享密钥()验证方法,验证字用来作为一个输 入产生密钥,验证字不同是不可能在双方产生相同的密钥的。验 证字是验证双方身份的关键。这种认证方式的优点是简单,但有 一个严重的缺点就是验证字作为明文字符串,很容易泄漏。另一种是()验证方法。这种方法通过数字证书对身份进行认 证,安全级别很高,是目前最先进的身份认证方
17、式。公钥基础设施(,简称)是通过使用公开密钥技术和数字 证书来确保系统信息安全并负责验证数字证书持有者身份的一 种体系,它是一套软硬件系统和安全策略的集合,提供了一整套 安全机制。采用证书进行公钥管理,通过第三方的可信任机构, 把用户的公钥和用户的其他标识信息捆绑在一起,以在网上验证 用户的身份。为用户建立起一个安全的网络运行环境,使用户可 以在多种应用环境下方便的使用加密和数字签名技术,从而保证 网上数据的机密性、完整性、有效性。数据的机密性是指数据在 传输过程中,不能被非授权者偷看;数据的完整性是指数据在传 输过程中不能被非法篡改;数据的有效性是指数据不能被否认。一个系统由公开密钥密码技术
18、、证书认证机构、注册机构、 数字证书和相应的存储库共同组成。PKI应用数字证书认证机构注册机构PKI存储库广L组成框图其中,认证机构用于签发并管理证书;注册机构用于个人身 份审核、证书废除列表管理等;存储库用于对证书和日志等信息 进行存储和管理,并提供一定的查询功能;数字证书是应用信任 的基础,是系统的安全凭据。数字证书又称为公共密钥证书(), 是基于公共密钥技术发展起来的一种主要用于验证的技术,它是 一个经证书认证中心数字签名的包含公开密钥拥有者信息以及 公开密钥的文件,可作为各类实体在网上进行信息交流及商务活 动的身份证明。证书是有生命期的,在证书生成时指定,认证中 心也可以在证书的有效期
19、到来前吊销证书,结束证书的生命期。2. 建设方案2.1基本建设思路在接入网的建设过程中,需要从以下几个方面来考虑:设备选型,需要重点关心设备的加密性能和转发性能支持客户端各种接入手段及动态地址;企业总部采用固定地 址,分支机构可以选择或者专线接入。网络拓扑类型以为主,方式下客户端互访流量通过转发,此 时流量不超过20%,否则会加重负担,这种情况下,路由的 设计是重点关注的问题。 提供在层的加密认证等安全服务。协商可以采用预共享密钥的方式,也可以采用认证的方式进 行。在企业总部每2台互为备份组作为接入服务器,如果用户 增加,可以通过增加服务器备份组的方法接入更多用户。网络的部署监控配置维护采用和
20、配合进行2.2组网方案接入网关子系统部署:在总部局域网边界防火墙后面配置一 台专用的高性能的网关,在分支机构边界防火墙后面配置一台专 用网关,由此两端的网关建立 隧道,进行数据封装、加密和传 输。客户端设备可以采用静态或动态申请的地址和总部网关建立 链接。根据其业务的需求,有必要的话,可以在分支节点用设备 进行冷备份。H3C系列网关强大的处理性能,高端专用网关通过专业的硬 件加密处理器可以提供标准加密算法下350以上的加密吞吐量,百兆网关通过专业的硬件加密处理器可以提供标准加密算法下60以上的加密吞吐量;2.4.1 方式组网特点:/客户端设备相对来说比较简单。部署要点/客户端可以使用动态地址接
21、入服务器,但为了防止客户端配置泄露造成的安全隐患,建议客户端口采用静态地址。同时,这样也便于使用 的配置管理功能。方案特点/组网简单,易于部署;/由于不能承载路由协议,需要在分支结构和园区网配置大量 的静态路由。/单纯的封装,对于带宽资源消耗较小;2.4.2方式组网特点:部分业务流量需要保护,另一部分业务流量不需要保护,仅 需要隧道完成功能。内部需要建立统一的路由域。部署要点两端的网关的之间建立隧道,然后将策略应用到隧道接口上 从而建立隧道,进行数据封装、加密和传输;在隧道接口上使能;方案特点可以承载多种协议,扩展性强。只适用于协议,所以对于企业网内非协议,不能使用。是基于策略的,是基于路由的
22、。如果企业网内部分流量需要 保护,而另一部分不需要。建议使用 的方式。不需要配置大量的静态路由,配置简单。还支持由用户选择记录接口的识别关键字,和对封装的报文 进行端到端校验;收发双方加封装、解封装处理以及由于封装造成的数据量增 加等因素的影响,这就导致使用会造成路由器一定的负担;2.4.3 方式 组网特点:/内部需要建立统一的路由域。/内部可以支持、等非协议的网络。部署要点/两端的网关的接口之间建立隧道,然后将策略应用到接口上 从而建立隧道,进行数据封装、加密和传输;/在隧道接口上使能;方案特点/的特点是可以承载多种协议,而只能承载协议。如果企业网 内有、等应用,建议可以先借用承载非协议,然
23、后才能使用 保护报文。/是基于路由的,而是基于策略。如果需要在企业网内统一规 划路由方案, 的方式逻辑就比较清晰。因为的策略是针对 隧道的,而隧道是基于路由的,所以整个内的路由是统一的。/对业务流量,诸如路由协议、语音、视频等数据先进行封装, 然后再对封装后的报文进行的加密处理。/不必配置大量的静态路由,配置简单。/还支持由用户选择记录接口的识别关键字,和对封装的报文 进行端到端校验;收发双方加封装、解封装处理以及由于封装造成的数据量增 加等因素的影响,这就导致使用会造成路由器数据转发效率有一定程度的下降;2.4.4 L2 方式组网特点:隧道保护和之间的公网链路。对于分支设备的安全要求较高,在
24、认证之外,还需要对分支 设备进行L2的认证。通常情况下,L2的客户端是拨号连接到的用户主机。此时用 户与的连接总是连接。如果使用同时作为客户端,那么用户 与之间的连接就不受限于连接,而只要是一个连接就可以了, 这样能够将用户的报文转发到。使用同时作为客户端,是在 上建立一个虚拟的用户,该用户与保持一个常连接。其它所 有实际用户的报文都是通过此虚拟用户转发给的;部署方式在创建模拟用户,配置地址、验证方式、用户名、密码等信息;/分支设备的用户端不能由分配地址,必须由用户手工配置地 址,而且需要保证与的地址在同一网段,否则路由不同互通。/如果没有部署等动态路由协议,必须在上需要配置一条静态 路由,将
25、内的流量指向接口。方案特点/中心网关可以对分支设备进行认证和计费,提高系统安全性。 L2收发双方加封装、解封装处理以及由于封装造成的数据量增 加等因素的影响,这就导致使用L2会造成路由器数据转发效率 有一定程度的下降;2.4.5移动用户接入方式组网特点/移动用户灵活接入,安全认证、数据保护。部署要点通过客户端软件多链路形式接入企业内部使用L2完成用户身份认证和报文加密认证方式可以采用协商使用预共享密钥的方式进行对于L2用户认证计费采用远端()进行服务器侧可以考虑使用单台设备,也可以考虑使用双服务器备份方案特点灵活、安全2.4.6动态()接入方式采用了和的方式,设备(应用中,作为接入域的设备)需
26、要 在 设备(应用中,作为接入域的设备)进行注册。域中一台接 入设备作为,其他的接入设备作为。在 注册成功后,会与其建 立(会话隧道),通过完成的私有网络和 的私有网络的互联, 成功加入到一个域;会保存所有登录到域中的信息。如果访问其他下面的私有网络,首先通过 进行数据转发, 完成网络的访问。进行数据转发时,如果之间可以建立,可以 使用(重定向)报文把目的端信息发送给发起端。接收到报文, 得到对端的信息,会在之间建立一条新的直连的,后续之间的数 据不需要通过 进行转发,可以通过直连的进行数据通信。所以 一台合法的设备只需要有设备的信息就能够加入到域,可以和域 中其它的设备自动建立会话隧道,实现
27、私有网络的直接互联,而 不需要通过进行转发。实现了对所有的控制报文的安全保护,对通过公有网络传输 的私密的注册协商报文和会话协商报文,都可以使用通用的加密 算法(支持、3、算法)进行加密保护。对于需要进行转发的私 有网络的数据报文,通过进行加密处理以后,再通过进行转发, 保证了所有的转发数据都通过进行保护处理。实现了身份认证功能,保证和的身份合法性。在向进行注 册过程中,可以根据配置需要对的身份使用进行验证,保证接 入一个合法的;可以根据需要使用对需要接入到域的进行身份 验证,保证只有通过身份验证的才可以接入到域。对所有的转发数据报文采用进行保护处理,继承了所有的的 功能特点,例如私密性、合法
28、性、防重放等。还实现了策略的统一管理和多域支持。对于整个域内的各种 策略、以及数据使用的算法套件和超时重协商时间统一由进行管 理,所有的设备使用相同的策略(会话的数据 的密钥是在建立 过程中进行协商,每个会产生单独的密钥)。为了提高设备的使 用,允许在一台设备上支持多个域。在一台设备上最多可以支持 200个域的。大大提高了组网的灵活性,多个企业可以使用一台 设备作为 接入设备使用,可以更加充分的使用网络设备资源, 减少了实际的设备投资。2.3可靠性方案H3C高可靠性设计的核心理念就是增大网络冗余性的同时 做到负载分担。衡量可靠性设计优劣的标准就是网络异常业务流 量中断时间。VPNAK-企业阈络
29、例rfena咚gs性血i , 典豚丹 msiut;IPSEC分支节再LC Irent支节邨国可靠性设计组网 图1图2中,可靠性设计重点体现在的双机备份、负载分担和异 常快速切换3个方面。2.3.1双机备份双机备份是通过实现的。(,虚拟路由冗余协议)是一种容 错协议。通常,一个网络内的所有主机都设置一条缺省路由(如 下图所示,10.100.10.1),这样,主机发出的目的地址不在本 网段的报文将被通过缺省路由发往路由器,从而实现了主机与外部网络的通信。当路由器坏掉时,本网段内所有以为缺省路由下 一跳的主机将断掉与外部的通信。RouterA10.100.10.1Network10.100.10.1
30、10.100.10.1LAN 1Ethernet100.10.1Host 1Host 2Host 3局域网组网方案就是为解决上述问题而提出的,它为具有多播或广播能力的 局域网(如:以太网)设计。我们结合下图来看一下的实现原理。将局域网的一组路由器(包括一个即活动路由器和若干个即备份 路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的地址10.100.10.1 (这个地址 可以和备份组内的某个路由器的接口地址相同),备份组内的路 由器也有自己的地址(如的地址为 10.100.10.2,的地址为 10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的地 址10.1
31、00.10.1,而并不知道具体的路由器的地址10.100.10.2 以及路由器的地址10.100.10.3,它们将自己的缺省路由下一跳 地址设置为该虚拟路由器的地址10.100.10.1。于是,网络内的 主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份 组内的路由器坏掉,路由器将会通过选举策略选出一个新的路由 器,继续向网络内的主机提供路由服务。从而实现网络内的主机 不间断地与外部网络进行通信。2.3.2快速切换网络异常的情况有很多种。如果不考虑运营商的网络异常,的异常主要有两大类:第一类是网关异常,包括网关瘫痪、重启等等;第二类是网关链路异常。在网络出现异常时,如何保证业务流量能够尽
32、快恢复?网关快速切换,这一切换由实现。当主网关或其链路出现异 常时,能够保证在34秒内完成主备网关的切换。而且为了保证 网关切换后,网关内外的流量能同时切换到新的网关上,需要在 网关内外都设置组,并将这一对组关联起来。一旦其中一个组发 生切换,另一个方向的能发起同步切换。隧道快速切换,这一切换由实现。( )为按需型安全 隧道对端状态探测功能。启动功能后,当接收端长时间收不到对 端的报文时,能够触发查询,主动向对端发送请求报文,对 是 否存在进行检测。与中原有的周期性功能相比,具有产生数据流 量小、检测及时、隧道恢复快的优点。()为按需型安全隧道对端状态探测功能。启动功能后,当 接收端长时间收不
33、到对端的报文时,能够触发查询,主动向对端 发送请求报文,对是否存在进行检测。与中原有的周期性功能相 比,具有产生数据流量小、检测及时、隧道恢复快的优点。在路由器与备份组的虚地址之间建立的应用方案中,功能保 证了备份组中主备切换时安全隧道能够迅速自动恢复。解决了备 份组主备切换使安全隧道通信中断的问题,扩展了的应用范围, 提高了协议的健壮性。数据结构数据结构(简称为结构)用于配置查询参数,包括查询时间 间隔及等待应答报文超时时间间隔。该数据结构可以被多个引 用,这样用户不必针对接口一一进行重复配置。定时器在发送和接收报文中使用了两个定时器:和。:触发查询的间隔时间,该时间指明隔多久没有收到对端
34、报文时触发查询。:等待应答报文超时时间。运行机制发送端:当启动了功能以后,如在定时器指定的时间间隔内 没有收到对端的报文,且本端欲向对端发送报文时,向对端发送 请求,并等待应答报文。如果超过定时器设定的超时时间仍然未 收到正确的应答报文,记录失败事件1次。当失败事件达到3次时, 删除和相应的。对于路由器与备份组虚地址之间建立的,连续3次失败后, 安全隧道同样会被删除,但是当有符合安全策略的报文重新触发 安全联盟协商时,会重新建立起安全隧道。切换时间的长短与定 时器的设置有关,定时器设定的超时时间越短,通信中断时间越 短(注意:超时时间过短会增加网络开销,一般情况下采用缺省 值即可)。接收端:收
35、到请求报文后,发送响应报文。3. 管理系统的命令行配置非常复杂,需要大量的培训工作,同时日常 的维护管理工作也极为繁重。的和模块主要应用于主模式,可 以实现的简化配置,也可以有效的完成对网路的状态的监控,提 供图形化的管理界面,简化配置管理,同时便于实时监控状态;3.1轻松部署安全网络软件提供配置向导功能,指导用户构建网络,不必通过复 杂的手工执行命令行来部署 网络,减轻了部署难度,也降低了 维护成本,即使初次使用该软件的用户,也能根据配置向导,成 功创建一个网络。配置向导向用户提供了大量常用的缺省配置,帮助初级用 户快速配置 业务。同时,提供了预定义配置参数功能,方便高 级用户设置高级选项,
36、重用配置信息。 为了避免在设备上留下 冗余的配置信息,软件支持“清除”功能,能够在重新配置以及 配置命令下发出现失败的情况下,清除设备上不需要的冗余的配 置。 为了减少配置操作,网络配置以网络域为配置单位,对 网络域的配置会自动赋予网络域内的全部设备,用户可一次性对 网络域内所有设备进行相同配置部署。同时用户也可指定某个设 备的特殊配置,方便用户操作。4间割 iJfllJU gggSM兰SL rSrSFwhiitemr= rj#迥min言顿E| M眄AR7(Ml 了季的 A IfPWlDW llrsa!i.岷4酊9 F l驯M*Uh 跪 FfllMfl 2 5 99hf Kto-MWV 蛔-r
37、rstiiiBVtr t EJTIftI Wi!gf13*f WIH 阪H心仲忏卧土 VPNRAUf.Ml .WNRtCMf Ml- .fglW fell .MhlW.HBl部,日例/格的单曾盅IR WJU玉剃17型:寸KXIH仰W i 1in.itB i imIW ItOw仙冗如1却却I MlF1W I (M2M2M 294 0fWTW*?$5 2S5国哦mSSi HfHH0 pTgmf 小底,MFUH tirw 4hf3i, Lshm . PWM励EM(8 HMShE arfftfs HWlfttD rtiDfUCiLi XJUTi v=ii *歌Oil4样国I 口 I快自口扯心口 j L
38、gwhii f gWl 冲|*FJM fl| i|J IMlIM B*W rA KhJjBlUXIFnKl IM 4. bl MW 姻 M JIM SMn wuB = wib日 r i5iI-日l I J U Vt ,li HMRiBi llt13-Mii 骨枷 mb :;njrfiMi n ffoaHdiiiihifl. !闿心虬11 I-. UUi|t!-F g浅 fid4J!-|t岸 m 冲Ih-e-MHl.4-QoaKC 3rP9IG44V1 7 7 SMIr ,:二、-4* 苏2 上nUE 置.1 Wdi配置界面3.2直观展示拓扑软件能够自动发现和构建拓扑,用户在拓扑上可以直观查 看
39、通道状态、通道流量情况、设备的运行情况等。显示拓扑3.3全方位监控网络性能基于网络管理框架的性能管理模块,软件提供了丰富的设 备的性能管理功能,可以对网络中的各项重要性能指标进行监 视,帮助用户全方位的监控网络的运行状态。.支持对 设备利用率等关键指标的监视;.支持对、隧道的监视;.支持对协商过程的监视;.提供折线图、直方图、饼图等多种显示方式直观的把性能 数据显示给用户;.支持功能,使用户能够对关键设备指标一目了然;.提供报表导出和基于历史数据的分析,为用户网络扩容、 及早发现网络隐患提供保障;.支持对用户关心的性能参数设定阈值,当超过阈值后,系 统将会发送性能告警,使网络管理人员及时发现和
40、消除网 络中的隐患。监控网络3.4快速定位网络故障利用软件的故障管理模块可以实时接收设备的告警,并 利用该模块提供的丰富的过滤功能定位关键的告警数据。可以查 询链路的通断历史,诊断链路的稳定性。故障管理模块能够与其他组件密切配合,帮助用户快速 定位网络故障。当 性能监视模块进行设备阈值监控时,如果发 现阈值超过指标会向故障模块发送告警,故障模块会迅速做出反 应,以声光告警、短信等方式及时通知到管理人员。同时,拓 扑图将立刻刷新以反映最新的网络状态。 5W布日 好reiw ocd g也 twyiffjieik Mm /EjwwemmsiAFDOtfit* 4项 jgfflOmmTiM inion
41、MidiHEJI pmih m n邱 knfcDr*WI4H4l-l i4h bk Pfi 40(U 尸 i LKi.iT*rrti PHiLWfl JF.14Etmmu nei :-ii:r-wii! 111111 IJI I# 4J4M AfTKfttifrtaM# WIH nmiM!阳aiEFS. 岗谒mi口hmdcl占,nrawit m di ji ?!i A-fiKittEimtEiL. AMiUij:IWB| GhAMWi4Mirig ginieS37E;ta #4 D.n.ftio6r(i 3 i1 inn a童,4袖 m IW上并.知值.司汗害律心.而时】11 口闻! ttKY
42、nAES :W VI 神口 2 r I-Bmrfilivnw d A* 遍, S3 Oda 3 =*NSi | EirM3OOQDQ!M rmHOMIHS* tw ShPittl KfflJF 1431-,,El AHJl-Kn J 5)III 以叩5 qsoreiiijiiii Wi收gj* sb.hmjmh “ f* BwF-Blii W W仆1-11J Uf g国2定位故障图23.5分支智能管理系统(组件)分支智能管理系统实现从网络管理中心来集中对网 络设备的管理,如配置文件下发、设备软件升级等。传统网管主 要通过、等协议来实现对网络设备的管理,这要求网管侧知道被 管设备的地址,并且可以
43、主动向设备发起请求并建立连接。如果 设备的地址不固定,就增加了主动管理的难度;如果设备位于网 关后面,基本上没有什么有效的管理手段。()就是要解决 上述问题,实现对动态获取地址的设备或位于网关后面的分支网 点设备的集中、有效的监控和管理,尤其在对业务应用基本相同、 数量庞大并且分布广泛的网络终端设备进行管理时,会极大提高 管理的效率,大大节约管理成本。采用一种被动的方式对设备进行管理,即网管作为,设备作 为,依靠设备周期性的主动访问网管来实现对设备的管理。因为 连接是由设备主动发起的,所以设备地址变化不会对连接的建立 产生阻碍,即便设备位于私网内,也可穿透建立连接。网管通过 一个固定的、全网唯
44、一的来识别设备,而不再依赖于设备的地址, 所以设备拥有公网或私网地址或地址经常变化都不会影响网管 对设备的识别。网管侧与设备侧之间通过协议进行通讯,采用进 行通信的优势在于其可方便的穿透防火墙,而且协议简单、易扩 展。同时,为了保证通讯安全,对传输的消息数据进行加密处理。管理解决方案分两部分,分支网点设备侧和管理中心侧,分 支网点设备包括华为10/100系列安全网关、3系列接入路由器 等,管理中心侧由 管理组件实现。设备侧和管理中心侧采用协 议进行通信,管理中心侧作为,设备侧作为,设备通过定期访 问管理中心侧来实现相互通信并完成设备的管理。设备和管理中 心采用协议进行通信的优势在于其可穿透绝大
45、多数的防火墙,而 且协议简单、易扩展。设备主动访问管理中心时,上报设备当前 的配置文件、设备软件的特征信息,由管理中心来判断是否需要 对设备进行更新,更新规则体现了该解决方案的智能性和易于管 理的特点。附件客户端软件介绍3 (以下简称)是华为3公司自行设计开发的应用在上的客户 端软件。通过安装本软件,可以使机能够通过多种方式与我司的 网络设备(如路由器及系列网关设备等)进行互联,并最终实现 远端能够安全、快捷地通过访问相应企业总部的目的.操作方便一个成熟的客户端软件,首先必须操作简单,界面友好。软 件采用流行的软件风格,使用起来极为方便。具备简单的操作技 能的人,就可以完成软件配置,登录并访问
46、资源。软件配置方便,灵活,支持多个配置,并且支持配置文件的 导入。配置文件的导入能够极大的减轻维护工作量。系统管理员 配置网关的时候,为了实现较高的安全性,需要配置复杂的安全 策略。相应的,为了能够访问,每个访问此的人员都需要对客户 端软件进行相应的配置。而软件无需如此麻烦,只需系统管理员 配置一次软件,然后将配置文件分发给相应人员。需要访问的时 候,只需要输入个人专用用户名和密码,就可以轻松访问资源。 安全保密软件具有高保密性,高安全性。首先,软件支持使用,L2协议和公司本部建立隧道,在链路 层建立隧道,更安全。同时,软件可以通过协商向申请地址。由 于此地址的分配是由隧道对端分配的,其保密性更高,被攻击的 可能性也更小。第二,软件支持加密。为协议栈提供在层实施的一系列安全 服务,为及其上层提供保护。软件通过支
