VPN 解决方案技术建议书

合集下载

VPN解决方案

VPN设备产品解决方案2022年08月目录1 项目背景 (2)2 现状分析 (2)3 拓扑规划 (2)4 方案设计 (3)4.1安全方案设计 (3)4.1.1 用户接入安全 (3)4.1.2 数据传输安全 (3)4.1.3 应用安全 (3)4.2用户接入方案设计 (3)4.2.1 管理员分级 (3)4.2.2 用户分组 (4)4.3用户接入方式设计 (4)4.4法律法规 (4)5 预算清单 (5)1项目背景由于计算机网络技术的发展，“电子化政务”的设想成为现实。

各级政府职能部门可以用电子方式行使管理事务的职能，并开发深层次的电子政务信息系统。

但如何将各项应用系统安全地推广到各个地市州、区市县和移动办公人员，实现应用系统安全实时统一管理，成为当前所面临的主要问题。

2现状分析XXX现有工作人员XX人，分布在XXX省XX个地市州。

XXXXXX已在电子政务外网建设XXX平台，负责处理XXXX信息，为安全、高效的信息传递，建议以XXX 为中心节点，通过VPN建立起贯通地方各级XXX的虚拟专网。

3拓扑规划建议拓扑如下：APP通过SDK方式调用VPN，通过加密隧道接入访问政务云上的业务系统，为最大程度上保证业务数据安全，本次方案拟将VPN串联进网络拓扑中，并添加详细的访问控制策略，确保只有登录VPN的用户才能访问业务系统，保障业务数据安全。

4方案设计4.1安全方案设计为保证业务数据安全，XXXVPN将提供以下安全措施：4.1.1用户接入安全用户接入安全需要确保三点，即接入主体可信，接入过程可靠，接入方式可行。

XXXVPN主要使用SSL协议簇与IPSEC协议簇保证用户接入方便、快捷且不失安全性，同时使用接入安全策略与客户端安全技术防止不可信的客户端接入；在接入认证中，可使用密码、证书、短信、动态令牌等方式对用户进行验证。

4.1.2数据传输安全传输安全也要确保三点，即，传输过程加密，保障数据完整性和数据不可抵赖性。

VPN网络安全接入方案建议书

VPN网络安全接入方案建议书目录第一章网络安全思想概述 (2)1.1 前言 (2)1.2 威胁来自何处 (2)1.3 防火墙简介 (3)1.4 安全网络 (5)1.5 虚拟专用网VPN (5)1.5.1 如何构筑虚拟专用网VPN (6)1.5.2 安装和配置VPN (9)第二章用户总体需求分析 (9)第三章网络安全解决方案 (10)3.1 防火墙安全方案 (10)3.2 XX网络安全解决方案描述 (11)3. 3 VPN网的建立 (12)第四章、Hillstone山石网科介绍 (13)3.4.1 产品功能及特点 (13)3.4.2 访问控制 (15)3.4.3 管理 (16)3.4.4 产品适用范围 (16)第一章网络安全思想概述1.1 前言随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。

而Internet在世界范围内的迅速普及，使企业内部网络联入世界范围的Internet的要求越来越迫切。

Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求，解决这些问题的难度也越来越大。

来自企业内部和外部的非法访问和恶意入侵事件时有发生，并呈不断上升的趋势。

这不仅影响了计算机网络系统的实际应用，而且还极大地动摇了用户的信心。

“我们能使用计算机来处理我们的重要信息吗”。

1.2 威胁来自何处面对汹涌而来的信息技术革命，如何保证计算机网络信息系统的安全，保护自己不受安全隐患的威胁，并且有效的管理、合理地使用网络信息资源，已成为每一个企业所关心的迫切问题。

电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。

我们认为，计算机网络信息系统的安全问题主要来源于以下几个方面：●非法入侵：包括来自企业内部和外部的非法入侵，导致数据的丢失和泄密、系统资源的非法占有等；●计算机病毒：导致系统的性能下降甚至崩溃，系统数据的丢失等；●拒绝服务攻击：非法占用系统资源，导致系统服务停止甚至崩溃；计算机网络信息系统安全威胁的另一个来源是：人们通常将网络系统作为一项技术或工程来实施，缺乏统一的安全管理策略和专门的网络安全管理人才。

电力建设VPN方案建议书

1. 简介2一、VPN介绍22.VPN功能22. 客户状况和需求3三、网络技术比较31.安全比较42.成本比较43.灵活性比较5四6ICEFLOW7的优势1.安全优势72.稳定性优势8三、性能优势84.可管理性优势95.可扩展性优势96.灵活性优势10七、性价比优势10五、ICEFLOW计划111.计划概述112.网络架构113.网络拓扑图124.其他需求分析12六、 127.售后服务138. 部分用户139、系统报价（根据具体公司需求确定）错误!未定义书签。

一. 前言在当今信息时代，以互联网为主体的信息高速公路正在迅速铺开，正在以前所未有的速度和能力改变着人们的学习、工作和生活方式。

我们正处于信息爆炸的时代。

随着网络技术的飞速发展，网络的规模越来越大。

从局域网、广域网到世界上最大的互联网，从封闭的、自成体系的网络系统环境到开放的网络系统环境，这一切都表明人们在面对网络技术飞速发展的同时，也面临网络建设的挑战。

如何根据自己的需求规划和设计网络系统，选择什么样的网络系统、拓扑、服务器、客户端、网络操作系统和数据库软件，哪些供应商为上述网络系统提供软硬件支持，如何开发网络上的应用系统，使其能够充分发挥网络系统的作用，获得应有的经济效益，这不仅涉及简单的组件组合，还需要技术和管理知识的有机结合，成为当前网络建设的迫切需求。

解决了问题。

如今，政府机关、企事业单位的局域网建设和业务软件应用取得了长足的发展。

但是，分布在上下单元之间的广域网环境中，总部和分支机构仍处于相互独立的状态，形成信息孤岛。

很多企业部门的分支机构与总部之间的信息交流，还停留在一些传统的、过时的方式上。

为了在广域网环境下安全、可靠、快速地实现系统部门的信息共享，实现部门信息的及时交换，需要建立企业自己的专用网络。

公共网络，包括 Internet 和下一级的帧中继和异步传输 (ATM) 的底层模型，为企业提供了一种有吸引力的可能性：虚拟专用网络或 VPN。

电力系统VPN方案建议书

电力系统VPN建设方案上海冰峰网络技术有限公司Iceflow Computer Network Technology Co., Ltd.一. 前言 (3)1. VPN简介 (3)2. VPN作用 (4)二. 客户现状和需求 (4)三. 网络技术比较 (5)1. 安全性比较 (5)2. 费用比较 (6)3. 灵活性比较 (6)四. ICEFLOW优势 (7)1. 安全性优势 (8)2. 稳定性优势 (9)3. 性能优势 (10)4. 可管理性优势 (10)5. 扩展性优势 (11)6. 灵活性优势 (11)7. 性价比优势 (11)五. ICEFLOW方案 (12)1. 方案概述 (12)2. 网络架构 (12)3. 网络拓扑图 (13)六. ICEFLOW主要功能 (13)七. 售后服务 (14)八. 部分用户 (14)一. 前言在信息时代的今天，以Internet为主体的信息高速公路迅速铺开，其正以前所未有的速度和能力改变着人们的学习、工作及生活方式，我们正处于一个信息爆炸的时代。

网络技术迅猛发展，网络的规模越来越大。

从局域网、广域网到全球最大的互联网Internet，从封闭式的、自成体系的网络系统环境到开放式的网络系统环境，这一切无不说明人们在面临着网络技术迅猛发展的同时，也面临着对网络建设的挑战。

如何根据自身需求规划、设计网络系统，选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件，由哪些供应商提供以上所说的网络系统的软硬件支持，如何开发网络上的应用系统，使其充分发挥网络系统的作用，取得应有的经济效益，这已不仅涉及简单的部件组合，而且需要技术和管理知识有机结合起来，其已成为当前网络建设中亟待解决的问题。

如今，政府机关、企事业单位的局域网建设、业务软件应用等已经取得了很大的发展。

但是分布在广域网环境下的上、下级单位之间，总部和分支机构之间很多都还处于相互独立的状态，形成一个个信息孤岛。

VPN技术方案建议书

VPN 技术方案建议书------VPN 介绍虚拟私有网络 VPN(Virtual Private Network) 浮现于 Internet 盛行的今天,它使企业网络几乎可以无限延伸到地球的每一个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。

虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。

我们这里所提的 VPN 有两层含义：一、它是虚拟的网，即没有固定的物理连接，网路惟独用户需要时才建立；二、它是利用公众网络设施构成的专用网。

VPN 实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。

VPN 可以为企业和服务提供商带来以下益处：采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；公司能利用无处不在的 Internet 通过单一网络结构为职员和商业火伴提供无缝和安全的连接；对于企业，基于拨号 VPN 的 Extranet 能加强与用户、商业火伴和供应商的联系；电话公司通过开展拨号VPN 服务可以减轻终端阻塞；通过为公司提供安全的外界远程访问服务， ISP 能增加收入；通过 Extranet 分层和相关竞争服务， ISP 也可以提供不同的拨号 VPN。

VPN 兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵便、高效结合在一起，是介于公众网与专用网之间的一种网。

VPN 能够充分利用现有网路资源，提供经济、灵便的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。

有专家认为， VPN 将是本世纪末发展速度最快的业务之一。

1.1 什么是 VPN通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑 Virtal Private Network (即 VPN)。

如果接入方式为拨号方式，则称之为 VPDN。

VPN方案建议书报告

VPN方案建议书( VOL. 1 )目录1 前言 (3)2 *********** (4)3 SSL VPN技术简介 (5)4 SSL VPN设备选型 (7)4.1 选型原则 (7)4.2 Juniper简介 (8)4.3 Juniper设备选型 (8)5 SSL VPN方案设计 (10)5.1 结构设计 (10)5.2 主要功能设计与配置 (10)5.2.1 用户认证和权限管理 (11)5.2.2无客户端核心WEB接入权限 (14)5.2.3 SAM接入权限 (14)5.2.4 NC接入权限 (14)5.2.5主机检查和缓存清除 (14)6 Juniper SA其它特性 (14)6.1 系统特性 (14)6.2 系统对安全的控制 (16)6.3 系统扩展性和高可用性 (18)6.4 利用IVE系统轻松访问 (18)6.5 系统设备型号选择 (19)7 Juniper IVE解决方案优势 (20)8 SecuID双因素认证系统 (21)9 IPSec VPN解决方案 (24)9.1 产品选型 (24)9.2 方案设计 (31)10．售后服务承诺 (32)1 前言随着网络技术的发展，在上个世纪末，基于IPSec协议的VPN模式成为企业VPN的主流，IPSec VPN 甚至成为企业VPN的代名词。

实际上IPSec VPN并不能完全代表VPN，2003年，一个VPN家族新成员进入人们视线—SSL VPN。

SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。

这使得移动用户、合作伙伴仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便。

由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件，因而要比后者方便很多，但对于点对点的VPN连接，IPSec VPN技术仍然是不可替代的。

中港第四航务工程局创建于1951年，是一家集勘察、设计、科研、施工于一体，具有港口与航道、公路、桥梁与市政工程等施工总承包一级资质的大型国有建筑施工企业，在国内15个省（市、自治区）以及十多个地区和国家建设了70多公里的码头岸线、800多公里的公路、桥梁和隧道。

网络安全及VPN互联解决实施方案书

网络安全及VPN互联解决方案2018年8月16日目录一、需求概述0二、解决方案11.1方案概述11.2网络拓扑22・3设备部署方式2三 .产品选型和性能3四.产品功能介绍44.1深信服NGAF下一代应用防火墙功能特性44.2深信服S5000-AC上网行为管理功能特性10一、需求概述互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。

网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。

Web 时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。

这些都使传统的安全设备在保护网络安全上越来越难。

目前更多的出现了以下的问题：1.投资成本攀升，运维效率下降2.“数据库泄密”、“网页遭篡改”等应用层安全事件频现3.网络管理人员对企业流量束手无策4.部署UTM,网络中断或访问变慢5.内网出现威胁，追究责任困难6.总部和分支之间的网络如何互连以实现安全资源共享二、解决方案2.1方案概述根据公司网络安全的需求，我们推荐采用深信服NGAF-1320下一代应用防火墙做出口网关，对内外网通讯以及内部服务器的安全提供保障，通过NGAF强大的流控功能对内部员工上网流量以及P2P等大流量行为进行控制，同时NGAF还提供了IPSec VPN互连的功能，可以用作总部分支的安全互连。

针对分公司可以采用深信服S5000-AC上网行为管理网关作为分公司的互联网网关使用，通过AC设备的应用控制功能同样可以实现对内部员工的流量进行合理的管控，分公司通过AC上网行为管理的IPSec VPN功能与总部的NGAF防火墙进行互联，实现总部和分支的安全互联。

VPN解决方案范文

VPN解决方案范文随着网络技术的不断发展，VPN（Virtual Private Network，虚拟私人网络）成为了保障网络安全和隐私的重要工具。

VPN通过在公共网络上建立加密的连接通道，使用户能够在不安全的网络环境中，安全地访问互联网和内部资源。

本文将探讨VPN的原理和常见的解决方案。

一、VPN的原理VPN的核心原理是通过加密和隧道技术，将用户和目标服务器之间的通信数据进行加密和传输。

VPN使用加密协议对数据进行加密，从而保护数据的机密性；使用隧道技术将加密的数据包封装在公共网络的数据包中传输，从而保护数据的完整性和真实性。

通过这种方式，VPN能够在不可信的公共网络上建立起安全的数据通道，隐藏用户的真实IP地址，保护用户的隐私。

二、VPN的解决方案1.远程接入VPN远程接入VPN是最常见的VPN解决方案之一、它允许用户通过互联网远程登录到公司或组织的内部网络，从而能够安全地访问内部资源。

远程接入VPN通常使用SSL（Secure Sockets Layer）或IPSec（Internet Protocol Security）协议建立加密连接。

用户可以在个人电脑、智能手机等设备上安装VPN客户端，并通过认证方式验证身份，然后建立与VPN 服务器的连接。

2.站点到站点VPN站点到站点VPN是一种用于连接不同地理位置的网络的解决方案。

它建立了两个或多个不同网络之间的安全连接。

站点到站点VPN通常使用IPSec协议实现加密和隧道功能。

该解决方案适用于公司分支机构之间的连接，可以有效地实现资源共享、通信和数据传输。

3.云VPN云VPN是近年来兴起的一种新型VPN解决方案。

它基于云计算技术，将VPN服务部署在云端，用户通过互联网访问云端的VPN服务。

云VPN解决方案具有灵活性和可扩展性强的特点，能够根据用户需求进行快速部署和扩展。

同时，云VPN还具有高弹性和高可用性的特点，能够根据网络负载自动调整资源，保证网络的稳定性和可靠性。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

***单位VPN互联解决方案技术建议书2010-5-6目录目录i1概述21.1VPN技术21.1.1L2TP VPN 技术21.1.2IPSec VPN技术32**单位VPN需求分析43**单位VPN解决方案53.1**单位VPN互联解决方案组网图63.2**单位 VPN 解决方案方案组网说明63.2.1VPN 接入网关子系统63.2.2移动用户VPN客户端子系统93.2.3VPN 集中管理子系统94华为VPN接入解决方案特点104.1全面的VPN业务支撑能力104.2领先的 VPN 性能及高可靠的硬件体系11 5成功案例125.1奥运城市数据系统VPN项目125.2电子政务VPN应用案例131概述随着现代社会网络经济的发展，企业日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业IT网络设计工程师亟待解决的问题。

VPN技术正是基于此应运而生，能够为此提供全面的解决方案，在不安全的Internet之上建立廉价、安全、私有的企业VPN 网络，包括Site-to-Site VPN与Access VPN。

1.1VPN技术VPN技术是为了解决在不安全的Internet上安全传输机密信息，保证信息的完整性、可用性以及保密性。

企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题，VPN 技术是企业传输数据非常理想的选择。

1.1.1L2TP VPN技术L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输，属于二层隧道技术。

L2TP VPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式，在下图中，LAC表示L2TP 访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备，LAC一般就是一个网络接入服务器NAS（Network Access Server），它通过PSTN/ISDN为用户提供网络接入服务；LNS表示L2TP网络服务器（L2TP Network Server），是用于处理L2TP协议服务器端的软件。

L2TP VPN服务具有如下几个优点：1.灵活的身份验证机制以及高度的安全性。

2. L2TP支持内部地址分配，LNS可以放置于企业网的防火墙之后，它可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用等方案。

3.能够实现网络计费的灵活性，可以在LAC和LNS两处同时计费，即ISP处（用于产生账单）及企业处（用于付费及审记）。

4. L2TP具有较高的可靠性，可以支持备份LNS，当一个主LNS不可达之后，LAC可以重新与备份LNS建立连接，这样增加了VPN服务的可靠性和容错性。

同任何一种技术一样，L2TP VPN也存在着一定的的缺点： L2TP的缺点是封装层次多，在数据包上依次封装了PPP->UDP->IP三层，因而效率较低。

将不安全的IP包封装在安全的IP 包内，它们用IP包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。

它不对两个节点间的信息传输进行监视或控制。

端点用户需要在连接前手工建立加密信道。

认证和加密受到限制，没有强加密和认证支持。

1.1.2IPSec VPN技术IPSec VPN技术属于三层隧道VPN技术。

IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括：网络安全协议：Authentication Header（AH）协议，提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。

AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。

Encapsulating Security Payload（ESP）协议，通过对数据包的全部数据和加载内容进行全加密，进而提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。

与AH不同的是，ESP认证功能不对IP数据报头中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。

在Ipsec中，AH和ESP是两个独立的协议，可以仅使用其中一个协议，也可以两者同时使用。

大部分的应用案例都采用了ESP或同时使用ESP和AH。

密钥管理协议：Internet Key Exchange （IKE）协议，实现安全协议的自动安全参数协商，可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式、密钥的生存周期等，这些安全参数的总体称之为安全联盟（SA）。

验证及加密的算法：认证算法，HMAC-MD5、HMAC-SHA-1；加密算法，DES、3DES。

IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。

IPSec协议是一个应用广泛、开放的VPN 安全协议。

IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。

IPSec提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。

IPSec 工作在网络层，在参加IPSec的设备（如路由器）之间为数据的传输提供保护，主要是对数据的加密和数据收发方的身份认证。

Ipsec是主要用于在网络层实现VPN的技术。

根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，可采用Ipsec技术组建企业VPN。

它比较适用于对网络数据保密要求高的用户。

IPSec的实现是靠两个IPSec的对端维系的，因此它实际上是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。

因此，它的实现是一种与接入网络无关的VPN技术。

但这并不等于说它就是与网络服务提供商无关的，我们可以作为网络服务维护者的角度，帮助客户建立并维护VPN网络，使得用户不必投入人力资源去维护一个VPN网络。

IPSec的特点是较为适用于各分支机构之间的互联，对于IP地址要求做较为完善的规划，在一定程度上制约了IPSec的应用范围。

针对这个问题，目前华为的 VPN 解决方案已经支持野蛮模式，所谓野蛮模式就是通过实现注册的用户名来进行IKE协商，优点避免了解决方案中必须是固定IP地址的困惑，可以是分支上网自动获取IP地址，然后与总部进行协商，极大的增强了Ipsec的功能。

2**单位VPN需求分析随着**单位业务在地的高速扩张，分支机构及合作伙伴日益增多，而所有的分支机构都需要与总部进行安全互联。

传统的基于专线的互联解决方案由于建设成本和使用费用昂贵，目前已逐渐被另外一种安全可靠且费用低廉的 VPN 解决方案所取代，成为跨国企业分支机构与总部之间安全互联的首选解决方案。

根据对**单位网络现状的分析，我们认为**单位的 VPN 需求主要在以下方面：1)无锡，杭州，上海，苏州，常州等地之间需要通过Internet进行 VPN 互联，以实现视频会议，网络电话等功能；2)移动办公用户在家中或出差途中，需要能够通过专用的客户端软件（VPN Client）安全接入到**单位内部网络；3)所采用的 VPN 设备要能够与其他厂商互通，并具有很好的集中管理平台（VPNManager）；因此在企业网络中安装IPSec VPN 网关，可以有效解决远程接入问题。

用户既不受地域限制，也不受接入方式限制，只要该用户能够接入Internet，便能够安全地接入企业网内部。

3**单位VPN解决方案根据**单位的具体需求以及华为公司在 VPN 解决方案上的多年积累，我们认为**单位VPN解决方案的设计必须满足以下原则：1．先进性原则：VPN设备必须采用专用的硬件平台和软件平台以保证设备本身的安全，符合业界技术的发展趋势，既体现先进性又比较成熟。

2．高可靠性：**单位网络是其各种信息化应用的基础，网络的稳定性至关重要； VPN 设备由于部署在关键节点，成为网络稳定性的重要因素。

因此整个网络设计必须考虑到高可靠性因素。

3．可扩展性：**单位处在业务高速发展阶段，其网络也会不断的扩充变化，要求在保证网络安全的基础上整个网络具有灵活的可扩展性，特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。

4．开放兼容性：所采用的 VPN 产品设计规范、技术指标要符合国际和工业标准，能够与其他厂商产品兼容，从而有效的保护投资。

3.1 **单位VPN 互联解决方案组网图图1 VPN 互联解决方案组网图3.2 **单位 VPN 解决方案方案组网说明**单位 VPN 解决方案由以下四个子系统构成：1) VPN 接入网关子系统2) 移动用户 VPN 客户端子系统3) VPN 集中管理子系统对于每个子系统的详细描述如下：3.2.1 VPN 接入网关子系统VPN 接入网关设备是整个VPN 解决方案的核心部分，实现Site-to-Site 的VPN 接入，华为USG/SRG 系列 VPN 网关具有非常高的性能特性以及丰富的功能特性，支持防火墙、AAA 、NAT 、QoS 等技术；支持多种VPN 业务，如L2TP VPN 、IPSec VPN 、GRE VPN 、MPLS VPN 等，可无锡苏州上海移动用户常州总部以针对客户需求通过拨号、LAN 或隧道等方式接入远端用户，构建Internet 、Intranet 、Access 等多种形式的VPN 网络。

配合防火墙、AAA 、NAT 、QoS 等技术，安全网关可以确保在开放的Internet 上实现安全的、满足可靠质量要求的私有网络。

VPN 接入网关子系统一般由总部VPN 网关和分支机构 VPN 网关两部分组成：华为 VPN 接入网关具有如下特点：● 支持虚拟多域技术为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，可以允许用户在一台 VPN 网关设备上支持多个VPN 域, 每个VPN 域可以定义为一个分支机构或一个部门, 并允许一台 VPN 网关设备下多个VPN 域之间的IP 地址重叠。

这些域之间的VPN 网络是完全隔离的。

●多种 VPN 技术融合如上图所示，华为 USG/SGR 系列 VPN 网关支持从Internet 安全接入到MPLS VPN 网络，通过一台VPN 网关设备的一个物理接口就可以为Internet 上的众多分支机构接入到MPLS VPN 骨干网中。

用户认证通过IKE 来提供，可以提供基于证书的方式，也可以采用pre-shared key 的方式。

通过IKE 认证就可以知道该 IPSec 隧道应该接入到哪个MPLS VPN 中。