电脑技术学习

低成本 高安全 某集团VPN组网案例

dn001

泰达集团的网络系统具有应用种类复杂、地理位置分散、业务重和高安全等特点。泰达集团IT网络服务中心作为泰达集团的IT核心运行部门,不仅承担着集团及其他分公司的IT维护、升级和培训工作,还作为泰达集团运营网络的核心而存在。此次VPN的组网是由IT网络服务中心提出实施的要求。

最初,集团总部和分公司、办事处在互相通信时采用了专线技术后,由于费用一直很高,仅仅和几家分公司实施了连接,而且对IT服务中心的工作人员也有很高的技术要求,需要技术人员既了解广域网技术又要了解局域网技术。经过一段时间的考查后,为了保证集团总部和各分公司、办事处的通信都能正常进行,而且还要达到"低成本、高安全"的目的,决定使用IPsec VPN技术来完成该任务。

1 项目分析

泰达集团总部有一栋大厦,员工人数大约1500 人,在全国设有4个分公司(上海、广州、重庆和西安),12个办事处(全国其他省市一级市)。集团总部、分公司和办事处都有到当地ISP的连接。集团采用多种应用来完成公司信息化的运转,总部财务统一处理机制、上海研发分公司、重庆制作分公司、分散的人事系统和统一的CRM系统等。为完成上述应用,需要保证集团同分公司、办事处之间畅通的通信。在保证畅通的前提下,集团总部提出要考虑通信的安全性问题和降低通信费用问题。

泰达集团有较多的分公司和办事处,这些分公司和办事处的地理位置分散、IT服务人员技术水平参差不齐及各地应用不尽相同等因素一直困扰着该集团。而VPN技术发展到今天,越来越多的企业在使用VPN技术来完成异地同网间的通信。VPN技术已经成为一个庞大的远程通信技术,在其中既有站点到站点之间的VPN技术,也有客户端到VPN Server的VPN技术,还有目前在因特网中应用最为广泛的MPLS VPN技术。那么,在这么多VPN技术中如何为泰达集团选择站点到站点之间的IPsec VPN,实施在总部、分公司和办事处之间,达到多应用、高安全、低成本的要求。

1.多应用流量的问题

在泰达集团的网络中流传着大量的应用数据,有公司日常办公流量(邮件、OA软件等),还有其他的一些应用系统(公司内部研发系统、CRM、人事管理系统和集中财务管理系统等),这么多的流量在因特网中传递,传递的方向、传递的技术都是在实施VPN之前需要考虑的问题

2.高安全性的问题

很多的应用数据需要在因特网中传递,但我们都知道因特网是一个没有安全性的网络。泰达集团这些内部的数据在传递时必须考虑安全问题。为最大限度保证数据传递的安全性,需要采取强大的身份验证和加密机制。身份验证目前比较流行的是:AAA技术,一般采用HASH算法来完成。加密机制目前有DES、3DES和AES等算法来完成。

3.低成本的问题

大家都知道,任何一个企业都希望用最少的资金,完成最大的收益。泰达集团的网络连接费用一直高居不下,很大程度是由于最初使用的专线技术而造成的。当VPN技术越来越成熟时,低成本将是一个很容易解决的问题。

2 项目实施技术剖析

通过前面的学习,已经了解到VPN技术完全能够解决泰达集团的多应用、高安全、低成本的要求,泰达集团的网络结构如图14-7所示。

VPN组网图