中石化vpn解决方案

《中石化vpn解决方案》由会员分享，可在线阅读，更多相关《中石化vpn解决方案（36页珍藏版）》请在装配图网上搜索。

1、解决方案华为3技术有限公司目录1. 概述错误!未指定书签。1.1 定义错误!未指定书签。1.2 的类型错误!未指定书签。1.3 的优点错误!未指定书签。1.4 隧道技术错误!未指定书签。1.5 加密技术错误!未指定书签。1.6 身份认证技术错误!未指定书签。2. 建设方案错误!未指定书签。2.1 基本建设思路错误!未指定书签。2.2 组网方案错误!未指定书签。2.3 可靠性方案错误!未指定书签。3. 管理系统错误!未指定书签。3.1 轻松部署安全网络错误!未指定书签。3.2 直观展示拓扑错误!未指定书签。3.3 全方位监控网络性能错误!未指定书签3.4 快速定位网络故障错误!未指定书签。3.5

2、 分支智能管理系统错误!未指定书签。附件客户端软件介绍错误!未指定书签。1. 概述随着网络，尤其是网络经济的发展，企业日益扩张，客户分 布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日 益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企 业网基于固定物理地点的专线连接方式已难以适应现代企业的 需求。于是企业对于自身的网络建设提出了更高的需求，主要表 现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的 背景下，以其独具特色的优势赢得了越来越多的企业的青睐，令 企业可以较少地关注网络的运行与维护，而更多地致力于企业的 商业目标的实现。1.1 定义 利用公共网络来构建的私人专用网

3、络称为虚拟私有网络 （，），用于构建的公共网络包括、帧中继、等。在公共网络上 组建的象企业现有的私有网络一样提供安全性、可靠性和可管理 性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对 于广域网连接，传统的组网方式是通过远程拨号连接来实现的， 而是利用服务提供商所提供的公共网络来实现远程的广域连接。 通过，企业可以以明显更低的成本连接它们的远地办事机构、出 差工作人员以及业务合作伙伴，如图1所示。远端用户图1 应用示意图由图可知，企业内部资源享用者只需连入本地的（，接入服 务提供点），即可相互通信；而利用传统的组建技术，彼此之间 要有专线相连才可以达到同样的目的。虚拟网组成后，出差员

4、工 和外地客户只需拥有本地的上网权限就可以访问企业内部资源； 如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必 拥有本地的上网权限。这对于流动性很大的出差员工和分布广泛 的客户与合作伙伴来说是很有意义的。并且企业开设服务所需的 设备很少，只需在资源共享处放置一台服务器就可以了。1.2 的类型分为三种类型：远程访问虚拟网（）、企业内部虚拟网（） 和企业扩展虚拟网（），这三种类型的分别与传统的远程访问网 络、企业内部的以及企业网和相关合作伙伴的企业网所构成的相 对应。2.4.1随着当前移动办公的日益增多，远程用户需要及时地访问 和。对于出差流动员工、远程办公人员和远程小办公室，通过公 用网

5、络与企业的和建立私有的网络连接。在的应用中，利用了二 层网络隧道技术在公用网络上建立隧道（）连接来传输私有网络 数据。的结构有两种类型，一种是用户发起（）的连接，另一种是 接入服务器发起（）的连接。用户发起的连接指的是以下这种情况：首先，远程用户通过 服务提供点（）拨入，接着，用户通过网络隧道协议与企业网建 立一条的隧道（可加密）连接从而访问企业网内部资源。在这种 情况下，用户端必须维护与管理发起隧道连接的有关协议和软 件。在接入服务器发起的连接应用中，用户通过本地号码或免费 号码拨入，然后的再发起一条隧道连接连到用户的企业网。在这 种情况下，所建立的连接对远端用户是透明的，构建所需的协议 及

6、软件均由负责管理和维护。2.4.2通过公用网络进行企业各个分布点互联，是传统的专线网或 其他企业网的扩展或替代形式。利用网络构建的实质是通过公用网在各个路由器之间建立 安全隧道来传输用户的私有网络数据，用于构建这种连接的隧道 技术有、等。结合服务商提供的机制，可以有效而且可靠地使用 网络资源，保证了网络质量。基于或帧中继的虚电路技术构建的 也可实现可靠的网络质量，但其不足是互联区域有较大的局限 性。而另一方面，基于构建是最为经济的方式，但服务质量难以 保证。企业在规划建设时应根据自身的需求对以上的各种公用网 络方案进行权衡。1.2.3是指利用将企业网延伸至合作伙伴与客户。在传统的专线构 建方式

7、下，通过专线互联实现，网络管理与访问控制需要维护， 甚至还需要在的用户侧安装兼容的网络设备；虽然可以通过拨号 方式构建，但此时需要为不同的用户进行设置，而同样降低不了 复杂度。因合作伙伴与客户的分布广泛，这样的建设与维护是非 常昂贵的。因此，诸多的企业常常是放弃构建，结果使得企业间 的商业交易程序复杂化，商业效率被迫降低。以其易于构建与管理为解决以上问题提供了有效的手段，其 实现技术与和相同。用户对于的访问权限可以通过防火墙等手段 来设置与管理。1.3 的优点利用公用网络构建是个新型的网络概念，对于企业而言，利 用组建私有网，将大笔的专线费用缩减为少量的市话费用和费 用。据报道，局域网互联费用

8、可降低2040%，而远程接入费用 更可减少6080%，这无疑是非常有吸引力的；大大降低了网络 复杂度、用户的网络地址可以由企业内部进行统一分配、组网的 灵活方便等特性简化了企业的网络管理，另外，在应用中，通过 远端用户验证以及隧道数据加密等技术保证了通过公用网络传 输的私有数据的安全性。1.4 隧道技术对于构建来说，网络隧道（）技术是个关键技术。网络隧道技 术指的是利用一种网络协议来传输另一种网络协议，它主要利用 网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协 议，网络隧道协议、支撑隧道协议的承载协议和隧道协议所承载 的被承载协议。现有两种类型的隧道协议：一种是二层隧道协议，用于传输

9、 二层网络协议，它主要应用于构建和；另一种是三层隧道协议， 用于传输三层网络协议，它主要应用于构建和。2.4.1 二层隧道协议二层隧道协议主要有三种：（，点对点隧道协议）、L2F（ 2 , 二层转发协议）和L2 （ 2 ，二层隧道协议）。其中L2结合了前 两个协议的优点，具有更优越的特性，得到了越来越多的组织和 公司的支持，将是使用最广泛的二层隧道协议。应用L2构建的典型服务的结构如下图所示：典型拨号业务示意图2.4.2 三层隧道协议用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧 道协议并非是一种很新的技术，早已出现的 1701 （）协议就 是一个三层隧道协议，此外还有的协议。与、等封装

10、形式很相似，但比他们更通用。在的处理中，很 多协议的细微差异都被忽略，这使得不限于某个特定的“X Y” 应用，而是一种最基本的封装形式。在最简单的情况下，路由器接收到一个需要封装和路由的原 始数据报文（），这个报文首先被封装而成报文，接着被封装在 协议中，然后完全由层负责此报文的转发。原始报文的协议被称 之为乘客协议，被称之为封装协议，而负责转发的协议被称之为Delivery Header(Tra nsport Protocol)GRE Header(En capsulatio n Protocol)Payload Packet (Passe nger Protocol) 传递（）协议或传输（

11、）协议。注意到在以上的流程中不用关心 乘客协议的具体格式或内容。整个被封装的报文具有下图所示格 式：通过传输报文形式（）是一组开放协议的总称，特定的通信方之间在层通过加 密与数据源验证，以保证数据包在网上传输时的私有性、完整性 和真实性。通过（）和（）这两个安全协议来实现。而且此实现 不会对用户、主机或其它组件造成影响，用户还可以选择不同的 硬件和软件加密算法，而不会影响其它部分的实现。提供以下几种网络安全服务：私有性一在传输数据包之前将其加密.以保证数据的私 有性； 完整性在目的地要验证数据包，以保证该数据包在传输过程中没有被修改； 真实性端要验证所有受保护的数据包； 防重放防止了数据包被捕

12、捉并重新投放到网上，即目 的地会拒绝老的或重复的数据包，它通过报文的序列号实现。在两个端点之间通过建立安全联盟（）进行数据传输。安全 联盟定义了数据保护中使用的协议和算法以及安全联盟的有效 时间等属性。在转发加密数据时产生新的和/或附加报头，用于保证数据包的安全性。有隧道和传输两种工作方式。在隧道方式 中，用户的整个数据包被用来计算附加报头，且被加密，附加报 头和加密用户数据被封装在一个新的数据包中；在传输方式中， 只是传输层（如、）数据被用来计算附加报头，附加报头和被 加密的传输层数据被放置在原报头后面。报头用以保证数据包的完整性和真实性，防止黑客截断数据 包或向网络中插入伪造的数据包。考虑

13、到计算效率，没有采用数 字签名，而是采用了安全哈希算法来对数据包进行保护。没有对| IP | TCP | Data |lP2 AH | IPTCP | Data|用户数据进行加密。在包中的位置如图5所示（隧道方式）：图5 处理示意图将需要保护的用户数据进行加密后再封装到包中，可以保证IP TCP DataIP2ESPIPTCPDat aTra il eR Aut h数据的完整性、真实性和私有性。头在包中的位置如下（隧道方 式）：图6 处理示意图和可以单独使用，也可以同时使用。使用，数据就可以在公网上安全传输，而不必担心数据被监 视、修改或伪造。提供了两个主机之间、两个安全网关之间或主 机和安全

14、网关之间的数据保护。在两个端点之间可以建立多个安全联盟，并结合访问控制列 表（），可以对不同的数据流实施不同的保护策略，达到不同的 保护效果。安全联盟是有方向性的（单向）。通常在两个端点之 间存在四个安全联盟，每个端点两个，一个用于数据发送，一个 用于数据接收。的安全联盟可以通过手工配置的方式建立，但是当网络中结 点增多时，手工配置将非常困难，而且难以保证安全性。这时就 要使用自动地进行安全联盟建立与密钥交换的过程。1.5 加密技术密钥交换协议（）用于通信双方协商和建立安全联盟，交换 密钥。定义了通信双方进行身份认证、协商加密算法以及生成共 享的会话密钥的方法。的精髓在于它永远不在不安全的网络

15、上直 接传送密钥，而是通过一系列数据的交换，通信双方最终计算出 共享的密钥。其中的核心技术就是（）交换技术。交换基于公开 的信息计算私有信息，数学上已经证明，破解交换的计算复杂度 非常高从而是不可实现的。所以，交换技术可以保证双方能够安 全地获得公有信息，即使第三方截获了双方用于计算密钥的所有 交换数据，也不足以计算出真正的密钥。在身份验证方面，提供了共享验证字（）、公钥加密验证、 数字签名验证等验证方法。后两种方法通过对（）中心的支持来 实现。密钥交换分为两个阶段，其中阶段 1建立，有主模式（）和 激进模式（）两种；阶段2在阶段1 的保护下建立，称之为快速 模式（）。用于最终的数据安全传送。

16、另外，还包含有传送信息的信息交换（）和建立新组的组交 换（）。1.6 身份认证技术隧道建立的前提是双方的身份的得到了认证，这就是所谓的 身份验证。身份验证确认通信双方的身份。目前有两种方式：一种是域共享密钥（ ）验证方法，验证字用来作为一个输 入产生密钥，验证字不同是不可能在双方产生相同的密钥的。验 证字是验证双方身份的关键。这种认证方式的优点是简单，但有 一个严重的缺点就是验证字作为明文字符串，很容易泄漏。另一种是（）验证方法。这种方法通过数字证书对身份进行认 证，安全级别很高，是目前最先进的身份认证方式。公钥基础设施（ ，简称）是通过使用公开密钥技术和数字 证书来确保系统信息安全并负责验证

17、数字证书持有者身份的一 种体系，它是一套软硬件系统和安全策略的集合，提供了一整套 安全机制。采用证书进行公钥管理，通过第三方的可信任机构， 把用户的公钥和用户的其他标识信息捆绑在一起，以在网上验证 用户的身份。为用户建立起一个安全的网络运行环境，使用户可 以在多种应用环境下方便的使用加密和数字签名技术，从而保证 网上数据的机密性、完整性、有效性。数据的机密性是指数据在 传输过程中，不能被非授权者偷看；数据的完整性是指数据在传 输过程中不能被非法篡改；数据的有效性是指数据不能被否认。一个系统由公开密钥密码技术、证书认证机构、注册机构、 数字证书和相应的存储库共同组成。组成框图其中，认证机构用于签

18、发并管理证书；注册机构用于个人身 份审核、证书废除列表管理等；存储库用于对证书和日志等信息 进行存储和管理，并提供一定的查询功能；数字证书是应用信任 的基础，是系统的安全凭据。数字证书又称为公共密钥证书（）， 是基于公共密钥技术发展起来的一种主要用于验证的技术，它是 一个经证书认证中心数字签名的包含公开密钥拥有者信息以及 公开密钥的文件，可作为各类实体在网上进行信息交流及商务活 动的身份证明。证书是有生命期的，在证书生成时指定，认证中 心也可以在证书的有效期到来前吊销证书，结束证书的生命期。2. 建设方案2.1 基本建设思路在接入网的建设过程中，需要从以下几个方面来考虑：设备选型，需要重点关心

19、设备的加密性能和转发性能支持客户端各种接入手段及动态地址；企业总部采用固定地 址，分支机构可以选择或者专线接入。网络拓扑类型以为主，方式下客户端互访流量通过转发，此时流量不超过20，否则会加重负担，这种情况下，路由的 设计是重点关注的问题。 提供在层的加密认证等安全服务。协商可以采用预共享密钥的方式，也可以采用认证的方式进 行。在企业总部每2台互为备份组作为接入服务器，如果用户 增加,可以通过增加服务器备份组的方法接入更多用户。网络的部署监控配置维护采用和配合进行2.2 组网方案接入网关子系统部署：在总部局域网边界防火墙后面配置一 台专用的高性能的网关，在分支机构边界防火墙后面配置一台专 用网

20、关，由此两端的网关建立 隧道，进行数据封装、加密和传 输。客户端设备可以采用静态或动态申请的地址和总部网关建立 链接。根据其业务的需求，有必要的话，可以在分支节点用设备 进行冷备份。H3C系列网关强大的处理性能，高端专用网关通过专业的硬 件加密处理器可以提供标准加密算法下350以上的加密吞吐量，百兆网关通过专业的硬件加密处理器可以提供标准加密算法下60以上的加密吞吐量;2.4.1 方式组网特点： 客户端设备相对来说比较简单。部署要点 客户端可以使用动态地址接入服务器，但为了防止客户端配 置泄露造成的安全隐患，建议客户端口采用静态地址。同时 这样也便于使用 的配置管理功能。方案特点 组网简单，易

21、于部署； 由于不能承载路由协议，需要在分支结构和园区网配置大量 的静态路由。 单纯的封装，对于带宽资源消耗较小；2.4.2方式组网特点： 部分业务流量需要保护，另一部分业务流量不需要保护，仅 需要隧道完成功能。 内部需要建立统一的路由域。部署要点 两端的网关的之间建立隧道，然后将策略应用到隧道接口上 从而建立隧道，进行数据封装、加密和传输； 在隧道接口上使能；方案特点 可以承载多种协议，扩展性强。 只适用于协议，所以对于企业网内非协议，不能使用。 是基于策略的，是基于路由的。如果企业网内部分流量需要 保护，而另一部分不需要。建议使用 的方式。 不需要配置大量的静态路由，配置简单。 还支持由用户

22、选择记录接口的识别关键字，和对封装的报文 进行端到端校验； 收发双方加封装、解封装处理以及由于封装造成的数据量增 加等因素的影响，这就导致使用会造成路由器一定的负担； 2.4.3 方式组网特点： 内部需要建立统一的路由域。 内部可以支持、等非协议的网络部署要点 两端的网关的接口之间建立隧道，然后将策略应用到接口上 从而建立隧道，进行数据封装、加密和传输； 在隧道接口上使能；方案特点 的特点是可以承载多种协议，而只能承载协议。如果企业网 内有、等应用，建议可以先借用承载非协议，然后才能使用 保护报文。 是基于路由的，而是基于策略。如果需要在企业网内统一规 划路由方案， 的方式逻辑就比较清晰。因为

23、的策略是针对 隧道的，而隧道是基于路由的，所以整个内的路由是统一的 对业务流量，诸如路由协议、语音、视频等数据先进行封装 然后再对封装后的报文进行的加密处理。 不必配置大量的静态路由，配置简单。 还支持由用户选择记录接口的识别关键字，和对封装的报文 进行端到端校验； 收发双方加封装、解封装处理以及由于封装造成的数据量增 加等因素的影响，这就导致使用会造成路由器数据转发效率 有一定程度的下降；2.4.4 L2 方式组网特点： 隧道保护和之间的公网链路。 对于分支设备的安全要求较高，在认证之外，还需要对分支 设备进行L2的认证。通常情况下，L2的客户端是拨号连接到的用户主机。此时用户与的连接总是连

24、接。如果使用同时作为客户端，那么用户 与之间的连接就不受限于连接，而只要是一个连接就可以了 这样能够将用户的报文转发到。使用同时作为客户端，是在 上建立一个虚拟的用户，该用户与保持一个常连接。其它所 有实际用户的报文都是通过此虚拟用户转发给的；部署方式 在创建模拟用户，配置地址、验证方式、用户名、密码等信息； 分支设备的用户端不能由分配地址，必须由用户手工配置地 址，而且需要保证与的地址在同一网段，否则路由不同互通 如果没有部署等动态路由协议，必须在上需要配置一条静态 路由，将内的流量指向接口。方案特点 中心网关可以对分支设备进行认证和计费，提高系统安全性。 L2 收发双方加封装、解封装处理以

25、及由于封装造成的数据量增 加等因素的影响，这就导致使用 L2 会造成路由器数据转发效率 有一定程度的下降；2.4.5 移动用户 接入方式组网特点MOde%TP+IPSECADSL接入无线接入 移动用户灵活接入，安全认证、数据保护。 部署要点 通过客户端软件多链路形式接入企业内部使用L2完成用户身份认证和报文加密 认证方式可以采用 协商使用预共享密钥的方式进行对于L2用户认证计费采用远端（）进行 服务器侧可以考虑使用单台设备，也可以考虑使用双服务器备份方案特点 灵活、安全2.4.6 动态（）接入方式采用了和的方式，设备（应用中，作为接入域的设备）需要 在 设备（应用中，作为接入域的设备）进行注册

26、。域中一台接 入设备作为，其他的接入设备作为。在 注册成功后，会与其建 立（会话隧道），通过完成的私有网络和 的私有网络的互联， 成功加入到一个域；会保存所有登录到域中的信息。如果访问其他下面的私有网络，首先通过 进行数据转发， 完成网络的访问。 进行数据转发时，如果之间可以建立，可以 使用（重定向）报文把目的端信息发送给发起端。接收到报文， 得到对端的信息，会在之间建立一条新的直连的，后续之间的数 据不需要通过 进行转发，可以通过直连的进行数据通信。所以 一台合法的设备只需要有设备的信息就能够加入到域，可以和域 中其它的设备自动建立会话隧道，实现私有网络的直接互联，而 不需要通过 进行转发。

27、实现了对所有的控制报文的安全保护，对通过公有网络传输 的私密的注册协商报文和会话协商报文，都可以使用通用的加密 算法（支持、3、算法）进行加密保护。对于需要进行转发的私 有网络的数据报文，通过进行加密处理以后，再通过进行转发， 保证了所有的转发数据都通过进行保护处理。实现了身份认证功能，保证和 的身份合法性。在向 进行注 册过程中，可以根据配置需要对 的身份使用进行验证，保证接 入一个合法的 ； 可以根据需要使用对需要接入到域的进行身份 验证，保证只有通过身份验证的才可以接入到域。对所有的转发数据报文采用进行保护处理，继承了所有的的 功能特点，例如私密性、合法性、防重放等。还实现了策略的统一管

28、理和多域支持。对于整个域内的各种 策略、以及数据使用的算法套件和超时重协商时间统一由进行管 理，所有的设备使用相同的策略（会话的数据 的密钥是在建立 过程中进行协商，每个会产生单独的密钥）。为了提高设备的使 用，允许在一台设备上支持多个域。在一台设备上最多可以支持 200 个域的。大大提高了组网的灵活性，多个企业可以使用一台 设备作为 接入设备使用，可以更加充分的使用网络设备资源， 减少了实际的设备投资。2.3 可靠性方案H3C 高可靠性设计的核心理念就是增大网络冗余性的同时 做到负载分担。衡量可靠性设计优劣的标准就是网络异常业务流 量中断时间。VPNAK-1回ze nW ClrenN fuf

29、enaffirC期/徨diui 0埋择 msiLK.谥单msiUL-S金业网络；IPSEC务丈节臣lC lrent去节舸图1 可靠性设计组网图2中，可靠性设计重点体现在 的双机备份、负载分担和异 常快速切换3个方面。2.3.1 双机备份双机备份是通过实现的。（，虚拟路由冗余协议）是一种容 错协议。通常，一个网络内的所有主机都设置一条缺省路由（如 下图所示，10.100.10.1），这样，主机发出的目的地址不在本 网段的报文将被通过缺省路由发往路由器，从而实现了主机与外部网络的通信。当路由器坏掉时，本网段内所有以为缺省路由下一跳的主机将断掉与外部的通信。局域网组网方案就是为解决上述问题而提出的，

30、它为具有多播或广播能力的 局域网（如：以太网）设计。我们结合下图来看一下的实现原理。 将局域网的一组路由器（包括一个即活动路由器和若干个即备份 路由器）组织成一个虚拟路由器，称之为一个备份组。这个虚拟的路由器拥有自己的地址 10.100.10.1（这个地址 可以和备份组内的某个路由器的接口地址相同），备份组内的路 由器也有自己的地址（如的地址为 10.100.10.2 ，的地址为 10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的地 址10.100.10.1，而并不知道具体的路由器的地址 10.100.10.2 以及路由器的地址10.100.10.3，它们将自己的缺省路由下一跳

31、地址设置为该虚拟路由器的地址10.100.10.1。于是，网络内的 主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份 组内的路由器坏掉，路由器将会通过选举策略选出一个新的路由 器，继续向网络内的主机提供路由服务。从而实现网络内的主机 不间断地与外部网络进行通信。2.3.2 快速切换网络异常的情况有很多种。如果不考虑运营商的网络异常， 的异常主要有两大类：第一类是网关异常，包括网关瘫痪、重启 等等；第二类是网关链路异常。在网络出现异常时，如何保证业 务流量能够尽快恢复？网关快速切换，这一切换由实现。当主网关或其链路出现异 常时，能够保证在34秒内完成主备网关的切换。而且为了保证 网关切换

32、后，网关内外的流量能同时切换到新的网关上，需要在 网关内外都设置组，并将这一对组关联起来。一旦其中一个组发 生切换，另一个方向的能发起同步切换。隧道快速切换，这一切换由 实现。 （ ）为按需型安全 隧道对端状态探测功能。启动功能后，当接收端长时间收不到对 端的报文时，能够触发查询，主动向对端发送请求报文，对 是 否存在进行检测。与中原有的周期性功能相比，具有产生数据流 量小、检测及时、隧道恢复快的优点。（）为按需型安全隧道对端状态探测功能。启动功能后，当 接收端长时间收不到对端的报文时，能够触发查询，主动向对端 发送请求报文，对是否存在进行检测。与中原有的周期性功能相 比，具有产生数据流量小、

33、检测及时、隧道恢复快的优点。在路由器与备份组的虚地址之间建立的应用方案中，功能保 证了备份组中主备切换时安全隧道能够迅速自动恢复。解决了备 份组主备切换使安全隧道通信中断的问题，扩展了的应用范围， 提高了协议的健壮性。数据结构数据结构（简称为结构）用于配置查询参数，包括查询时间 间隔及等待应答报文超时时间间隔。该数据结构可以被多个引 用，这样用户不必针对接口一一进行重复配置。定时器在发送和接收报文中使用了两个定时器：和。:触发查询的间隔时间，该时间指明隔多久没有收到对端 报文时触发查询。:等待应答报文超时时间。运行机制发送端：当启动了功能以后，如在定时器指定的时间间隔内 没有收到对端的报文，且

34、本端欲向对端发送报文时，向对端发送 请求，并等待应答报文。如果超过定时器设定的超时时间仍然未 收到正确的应答报文，记录失败事件1次。当失败事件达到3次时， 删除和相应的。对于路由器与备份组虚地址之间建立的，连续3次失败后， 安全隧道同样会被删除，但是当有符合安全策略的报文重新触发 安全联盟协商时，会重新建立起安全隧道。切换时间的长短与定 时器的设置有关，定时器设定的超时时间越短，通信中断时间越 短（注意：超时时间过短会增加网络开销，一般情况下采用缺省 值即可）。接收端：收到请求报文后，发送响应报文。3. 管理系统的命令行配置非常复杂，需要大量的培训工作，同时日常 的维护管理工作也极为繁重。 的

35、和模块主要应用于主模式，可 以实现的简化配置，也可以有效的完成对网路的状态的监控，提 供图形化的管理界面，简化配置管理，同时便于实时监控状态； 3.1 轻松部署安全网络软件提供配置向导功能，指导用户构建网络，不必通过复 杂的手工执行命令行来部署 网络，减轻了部署难度，也降低了 维护成本，即使初次使用该软件的用户，也能根据配置向导，成 功创建一个 网络。配置向导向用户提供了大量常用的缺省配置，帮助初级用 户快速配置 业务。同时，提供了预定义配置参数功能，方便高 级用户设置高级选项，重用配置信息。 为了避免在设备上留下 冗余的配置信息，软件支持“清除”功能，能够在重新配置以及 配置命令下发出现失败

36、的情况下，清除设备上不需要的冗余的配 置。 为了减少配置操作， 网络配置以网络域为配置单位，对 网络域的配置会自动赋予网络域内的全部设备，用户可一次性对 网络域内所有设备进行相同配置部署。同时用户也可指定某个设 备的特殊配置，方便用户操作。jJAlJUHitiraiEi *inrtf nwurt-D 避1*1_1疋1!山 工ab g世 wmijjj=wnR血i .弭迪咿WJ VPNRAPJtf.Ml 尸 vpmsEMf MiMWHL 畑 mi*时FtflH* wwMwr, j?丹IfiTit覘jfn 瞞 m MIH匕H=liffH 即如，罢他* 碾卿d P 0从 比|曲lilMl l 2弓曹弓

37、乐章4、r) mi HaiMr* CjrflcmH 4o壬I 3J 3璋 T4flA -itPwiaMfl 12 l: 4 md-APa*en11耳翻蛊! .川3OOQDQ!-,-THTmOt IIMH KPI1XEIF T斷AHJi-Kn j 口qsoreiiijiiii用u* dh.hmjd 门 h 弼*n ”卜 i* arn 3 Il1ii-iiA4i=ft-4LtRWff .鼻比图2定位故障3.5 分支智能管理系统（组件）分支智能管理系统实现从网络管理中心来集中对网 络设备的管理，如配置文件下发、设备软件升级等。传统网管主 要通过、等协议来实现对网络设备的管理，这要求网管侧知道被 管设

38、备的地址，并且可以主动向设备发起请求并建立连接。如果 设备的地址不固定，就增加了主动管理的难度；如果设备位于网 关后面，基本上没有什么有效的管理手段。（ ）就是要解决 上述问题，实现对动态获取地址的设备或位于网关后面的分支网 点设备的集中、有效的监控和管理，尤其在对业务应用基本相同、 数量庞大并且分布广泛的网络终端设备进行管理时，会极大提高 管理的效率，大大节约管理成本。采用一种被动的方式对设备进行管理，即网管作为，设备作 为，依靠设备周期性的主动访问网管来实现对设备的管理。因为 连接是由设备主动发起的，所以设备地址变化不会对连接的建立 产生阻碍，即便设备位于私网内，也可穿透建立连接。网管通过

39、 一个固定的、全网唯一的来识别设备，而不再依赖于设备的地址， 所以设备拥有公网或私网地址或地址经常变化都不会影响网管 对设备的识别。网管侧与设备侧之间通过协议进行通讯，采用进 行通信的优势在于其可方便的穿透防火墙，而且协议简单、易扩 展。同时，为了保证通讯安全，对传输的消息数据进行加密处理。管理解决方案分两部分，分支网点设备侧和管理中心侧，分 支网点设备包括华为 10/100系列安全网关、 3 系列接入路由器 等，管理中心侧由 管理组件实现。设备侧和管理中心侧采用协 议进行通信，管理中心侧作为 ，设备侧作为 ，设备通过定期访 问管理中心侧来实现相互通信并完成设备的管理。设备和管理中 心采用协议

40、进行通信的优势在于其可穿透绝大多数的防火墙，而 且协议简单、易扩展。设备主动访问管理中心时，上报设备当前 的配置文件、设备软件的特征信息，由管理中心来判断是否需要 对设备进行更新，更新规则体现了该解决方案的智能性和易于管 理的特点。附件客户端软件介绍3（以下简称）是华为3公司自行设计开发的应用在上的客户 端软件。通过安装本软件，可以使机能够通过多种方式与我司的 网络设备（如路由器及系列网关设备等）进行互联，并最终实现 远端能够安全、快捷地通过访问相应企业总部的目的. 操作方便一个成熟的客户端软件，首先必须操作简单，界面友好。软 件采用流行的软件风格，使用起来极为方便。具备简单的操作技 能的人，

41、就可以完成软件配置，登录并访问资源。软件配置方便，灵活，支持多个配置，并且支持配置文件的 导入。配置文件的导入能够极大的减轻维护工作量。系统管理员 配置网关的时候，为了实现较高的安全性，需要配置复杂的安全 策略。相应的，为了能够访问，每个访问此的人员都需要对客户 端软件进行相应的配置。而软件无需如此麻烦，只需系统管理员 配置一次软件，然后将配置文件分发给相应人员。需要访问的时 候，只需要输入个人专用用户名和密码，就可以轻松访问资源。 安全保密软件具有高保密性，高安全性。首先，软件支持使用，L2协议和公司本部建立隧道，在链路层建立隧道，更安全。同时，软件可以通过协商向申请地址。由 于此地址的分配

42、是由隧道对端分配的，其保密性更高，被攻击的 可能性也更小。第二，软件支持加密。为协议栈提供在层实施的一系列安全 服务,为及其上层提供保护。软件通过支持提供数据加密，数据 完整性验证，数据身份验证，以及防重放功能。软件支持隧道模 式和传输模式，从安全性来讲，隧道模式优于传输模式。它可以 完全地对原始数据报进行验证和加密；此外，可以使用对等体的 地址来隐藏客户机的地址。为了更加安全，鼓励用户都使用隧道 模式。支持广泛软件支持主流的个人计算机操作系统，对于 2000/2003，软 件都能够提供很好的支持。软件支持局域网用户，同时也支持拨号用户。相对于局域网 用户，特别的，软件能够让拨号用户使用加密。

43、为保证数据安全， 建立隧道时使用协商为提供密钥供加密使用。但是在一般使用协 商时，要求两端设备配置对端地址信息。但是，由于使用、客户 端软件的用户经常处于拨号上网的状态，而每次上网时其地址是 不固定的，如果要求隧道的网关侧设备每次都修改对端地址，其 维护量就可想而知了。软件通过支持的模式（野蛮模式）成功地 解决这个问题，在这种模式下，协商时允许协商的两端不使用地 址信息，而代之以使用双方的。这样当拨号用户使用动态地址，只要正确的配置对端，而网关侧设备也接受次，就可以进行协商。从而实现加密。注意：网关侧设备也需要支持协商模式。软件支持对隧道对端多个网段的访问。在实际应用中，隧道 对端即公司本部组

44、网中包含很多网段，例如，公司所有的服务器 的为 172.20.*.*，研发部门的为 10.153.*.*，财务部门的为 10.150.*.*。当用户通过软件和网关建立隧道之后，通过协议从 公司本部分配了一个地址10.151.*.*，掩码为255.255.255.0。 如果用户需要访问公司的内部服务器，为172.20.1.120，由于用 户计算机上没有针对服务器的路由，所以用户无法访问服务器。 而软件成功地解决了这个问题，只需要用户在使用登录之前，将 公司本部需要访问的网段配置近来即可。配置的界面如下图：111： H M毗 j収消软件建立隧道之后不影响用户原有的网络功能。使用软件必VI：违推直徨

45、厘性vriKJ由穗址fitW竺l.EIFift*| :烁锻量|HlUK*|yfhF?以干堰龜好为YFK清闻嗓jjypWL Z55. ZK. Zm C须是在网络上，能够正常的访问资源。当建立隧道之后，用户可 以继续访问资源，而不会因为建立隧道之后，丧失原有的功能。如图所示，用户在访问隧道内部资源的同时，可以访问资源。软件支持穿越。在使用加密的隧道，用户数据包不能被篡改。包括从地址，数据头，协议端口号，隧道两端都有加密和防篡改,否则对端接收后不能正确解密。但是，很多时候使用软件的时候 其所在位于设备之后，通过地址转换进入。的基本原理在与修改 报文的地址和端口信息，这样，一旦报文经过设备，隧道两端就 不可能建立隧道连接。软件成功地解决了此问题。软件通过在报 文前增加一层报文头的方式，使设备不需要修改报文内容，从而 解决了支持穿越的问题，设备只修改封装的头，但是没有影响数 据报文的内容，即使经过转换，仍然可以正常建立隧道连接。在 使用软件的穿越功能时，需要网管侧设备也支持穿越。软件支持备份服务器。当主服务器因故障不能使用，软件自 动向备份服务器发起协商。这样降低故障对于整体网络资源的影响。使用备份功能能只需要用户在配置服务器时，指定备份服务器的，如图:l；l. I 审.i5