纵向加密认证网关建议部署方案

部署方案

根据用户单位调度数据网实际情况可按下述情况进行部署，以下所述方案以调度数据网中路由器、交换机和通信网关为依据。

方式一：

按在主站侧调度数据网内有两台路由器和两台三层交换机，厂站侧调度数据网内有一台路由器和一台三层交换机的网络环境，我们建议在主站侧路由器和交换机之间部署两台纵向加密认证网关，厂站侧路由器和交换机之间部署一台纵向加密认证网关，如下图：

如图所示，将装置部署在PE设备（路由器）和CE设备（交换机）之间。

基本环境描述：网络中未加入装置时，因三层交换机VRRP启用，存在收发报文转发路径不一致的情况。在这种情况下，标准包过滤防火墙置于路由器和交换机之间会丢弃所有报文，因通信网关发出的TCP请求报文和回应报文不能到达同一防火墙，以非法通信丢弃处理。

纵向加密认证装置基于地址借用的原理，和远端节点装置同时建立主主隧道解决上述问题，经试验验证可行。同时装置可以支持多

VLAN（802.1Q协议），解决了保证多业务通信的需要。

优点：装置使用量较少，便于集中管理。

缺点：与网络设备维护界面不清晰，维护策略较多，故障后影响范围广。

方式二：

以在主站侧调度数据网的网络环境不变，同方式一，厂站侧调度数据网内没有路由器，有一台三层交换机和两台通信网关，则厂站侧纵向加密认证网关可部署在交换机和通信网关之间，如下图：

如图所示，一侧将装置部署在CE设备（交换机）和业务通信网关机之间。一侧将装置部署在PE设备（路由器）和CE设备（交换机）之间。

优点：方法灵活，适用各种复杂环境。

缺点：配置复杂，运行维护方法不统一，概念要非常清晰。

1