虚拟专网解决方案

竞星剑——虚拟专网应用方案

1边界概述

虚拟专网的边界是指需要通过互联网组成VPN网络时，不同地域局域网的互联网边界。用户敏感数据将通过不安全的公众网络进行传输，组成异地虚拟专网。

2风险与需求分析

越来越多的行业用户（特别是大型企事业单位）在网络建设过程中，由于自身发展规模扩大等因素，需要用一种安全的方法，通过广域网传输私有的敏感数据，从而把分散在各地的分支机构互联起来，在实现这一目标的过程中就产生了如下安全需求：

●数据安全传输

大量的私有敏感数据需要在不安全的广域网上传输，数据在传输过程中的机密性、完整性和可用性必须得到切实保障；必须采取严格的技术手段对数据进行认证、加密等，防止在广域网中发生数据被窃听、假冒、盗取、篡改等安全事件。

●链路备份

对于已经进行专线组网的用户而言，越来越多的用户需要一套备份线路，一旦专线线路发生故障，可以快速切换到备份线路上，保障自身的业务系统不会因为专线线路长时间中断而造成损失。同时，备份线路的安全性要和专线一样有保障。

●集中管理

需要组建虚拟专网的用户，网络特点通常都是规模较大、地域分散。在保证数据能够有效、安全传输的同时，具备强大的集中管控能力同样是非常重要的环节，通过集中管理，可监控各地设备状态、进行策略统一管理等。

●组网方式

不同类型的网络往往需要不同的组网方式，例如，有的网络节点不多，也没有一个核心节点，常需要点对点自由建立隧道；有的网络具备中心节点，更多的是其与分支节点间进行通信；还有一种情况是，网络具备多级管理结构，希望在多个级别的节点上进行控制，形成一种级联式的管理模式。

3方案概述

采用VPN技术进行组网是解决数据异地安全传输问题的首选方案，其主要协议——IPSEC协议具备多种安全特性，能保证用户的自有数据即使在不安全的网络中同样可以安全地传递。同时，可以很好地满足专线备份链路的需求，以同样安全的VPN组网技术保障业务数据的不间断传输。

●部署方式

对于不同类型的网络，联想网御总结出多种不同的组网方式：

➢自由互联型组网

➢星形组网（hub－spokes）

➢树状组网

自由互联型组网即各个节点通过部署在节点前的VPN网关设备进行自主隧道建立与维护；星形组网和树状组网是更为重要的组网形态，其中，树状组网方式是由联想网御首先提出的全新模式。这两种部署结构如下图所示：

4

5优势与特点

●丰富的接入方式，便于快速组网

联想网御的虚拟专网解决方案提供了多种接入模式，包括固定地址、动态地址、NAT环境、双向NAT环境等，能够适应国内各运营商的网络特点，便于用户快速组网。在低端产品上，特别集成了交换机的功能，对于人员、设备较少的分支机构，可以省去购买网络交换机的费用。

●独创的树形组网，顺应政府管理结构

联想网御独创的基于路由的隧道技术，可以组建树形拓扑网络，通过多级管理中心，大大减少隧道总数，降低设备负载，减小管理难度，不但提升了网络架构的弹性部署能力和可靠性，而且符合政府等机构的多级管理模式，特别适合政府等部门使用。

●丰富的集中管理手段，降低管理难度

对于大范围组建VPN专网的机构，如何有效管理是一个关键问题。联想网御提供了集中管理系统，可以通过中心节点统一全网安全策略、设备管理、密钥分析及审计分析，保证了全网管理的有效性；也可以通过多个分中心，实现分级管理，降低管理难度。

6适用范围

本方案适用于各类需要组建异地虚拟专网的企事业单位，并可根据自身的网络结构特点选择网状、星形以及树形VPN组网形态。

网状：节点不多，隧道自由建立维护。

星形：节点较多，具备较明显的中心节点，适合通过中心进行数据转发。

树状：节点很多，且具备多级分层架构，多适用于政府等多级纵向级联网络。