IPSec VPN解决方案技术

admin管理员组

文章数量:1537269

2024年7月11日发(作者：)

IPSec VPN解决方案技术（H3C）

1

.商业用户网络互连业务需求

传统专线网基于现有的物理网络，例如数字电路、ATM/FR、DDN等，这种

方式安全性和可靠性非常高，但对于客户来说，相应的建设成本和使用费用昂贵，

并且只能实现有限的专网访问，缺乏联网的灵活性。因此伴随互联网的发展，通

过互联网搭建企业VPN得模式越来越引起客户的兴趣。

下面是Gartner对亚太区VPN市场的业务预测数据:

年度

2003

2004

2005

2006

2007

2008

2009

数量(千台)

155

229

287

342

377

394

402

2004年中国VPN设备得市场规模达到2.2亿元，比2003年增长69.2%，从

2000-2004年中国VPN设备市场得发展来看，5年间累计市场规模达到4.9亿元，

复合增长率为64.6%。下面是国内最近几年VPN业务发展统计数据:

通过互联网组建VPN有两种方式，一种是企业自建，一种是租用运营商的

VPN业务。如果企业采用自建方式，通过在其公司总部架设VPN服务器（防火

墙、NAT设备等），以允许可信赖的伙伴访问公司内网。另外放置在每个节点

的安全设备还用于对每一个在广域网上传输的数据包进行物理加密和解密，这种

方式对于客户来说，专业技术要求较高，并且建设和维护成本大，客户对象一般

是中、高端客户。还有一种就是采取运营商转售的方式，由运营商提供给企业这

种VPN的接入平台，并进行代维。其基本的组网模式都是比较类似的，本文档

统一描述。

2 .IP VPN技术方案比较

VPN是指通过公众IP网络建立私有数据传输通道，将远程的分支办公室、商

业伙伴、移动办公人员等连接起来，减轻企业的远程访问费用负担，节省电话费

用开支，并且提供安全的端到端数据通讯。电信运营商可以利用现有的互联网网

络资源，将VPN作为一种增值业务推向企业，并从企业得到回报。

可以从不同的角度对VPN业务进行分类，如可以从接入方式(专线、拨号)，协

议类型(二层、三层)，发起方等。从运营商开展IP VPN的方式的角度来看，主

要有下面一些类型：MPLS VPN, VPDN, SSL VPN和IP Sec VPN。

VPN业务的网络互联可以有两种结构：网络与网络之间通过VPN互联，适合

于企业分支机构之间、政府机关之间或ISP之间构建的VPN。主机到网络之间

通过VPN互联，适合于普通拨号用户或企业员工通过互联网接入VPN的情况。

对VPN技术一般有如下的功能要求：透明的分组传输，数据的安全性，业务

质量保证以及使用隧道机制来实现等。隧道协议一般有二层隧道协议(如L2TP)，

三层隧道协议(如IPSec、GRE)以及MPLS协议。

作为一种高效的IP骨干网技术平台，MPLS技术为实现IP-VPN提供了一种

灵活的而且具有可扩展性的技术基础。MPLS VPN适用于实现对于服务质量，

服务等级划分以及网络资源的利用率，网络的可靠性有较高要求的VPN业务。

但是MPLS VPN一般面向运营商骨干网或企业骨干网，并且网络投入成本高，

可以适用于对价格不敏感的大客户。

VPDN指利用公共网络的拨号及接入网(比如PSTN，ISDN及ADSL)，实现虚

拟专用网，为企业、小型ISP、移动办公人员提供接入服务，适用于对服务质量，

网络可靠性要求较低，对价格敏感的用户，并且地点分散，人员分散，对线路的

保密和可用性有一定要求。运营商开展VPDN业务有一些限制条件，首先实现

VPDN所采用的L2TP 协议自身并不提供对连接安全性的保证，需要配合IP Sec

或其它安全协议保证业务安全。另外，对于用户的接入方式有限制条件，一般需

要接入运营商自己的接入服务器，如果用户在外地或海外，网络接入费用将会很

高。

IP Sec基于一组开放的网络安全协议，业务数据流通过IP Sec加密，IPSEC

能够提供服务器及客户端的双向身份认证，并且为IP及其上层业务数据提供安

全加密保护，能够支持数据加密（包括常见的DES,3DES,AES加密算法），数

据完整性验证，数据身份验证，以及防重放等功能，充分保证业务数据的安全性。

IP Sec VPN利用Internet构建三层隧道VPN的方式，可以允许用户以任意方式

接入VPN, 并且不受地理因素的限制，无论用户在外地或海外，只需要从当地接

入Internet即可。IP Sec VPN不仅适用于SOHO用户或移动办公用户接入, 而且

适用于企业分支机构之间的互连互通。正因为IP Sec VPN具有其它VPN不可替

代的业务优势，在VPN业务较为普及的海外一些国家得到了比较普遍的应用。

下面是专业咨询机构Infonetics的统计数据：

总之，不同类型的IP VPN业务实现的技术不同，面向的用户也不同。下面主

要对目前应用比较广泛的IPSec VPN的几种用户典型组网进行描述。

3.H3C 分支节点IPsec VPN典型解决方案

3.1 VPN建设的基本思路

在VPN接入网的建设过程中，需要从以下几个方面来考虑：

Ø 设备选型，需要重点关心设备的VPN加密性能和转发性能

Ø 因为IP Sec的工作方式基于ACL，实际组网中一般与L2TP或GRE等隧道技

术捆绑使用,这样可以提供一些增强功能，如在二层隧道运行动态路由协议监测

隧道状态， GRE可以承载非IP报文，L2TP能够提供比较完善的AAA等.

Ø 支持客户端各种接入手段及动态IP地址；企业总部采用固定IP地址，分支机

构可以选择ADSL或者FE专线接入Internet。

Ø 网络拓扑类型以Hub-Spoke为主，Partial-Mash方式下客户端互访流量通过

Server转发，此时流量不超过20％，否则会加重Server负担，这种情况下，路

由的设计是重点关注的问题。

Ø L2TP实现对客户端用户的接入认证，并且可以支持访问备份Hub设备；IP SEC

提供在IP层的加密认证等安全服务。

Ø IKE协商可以采用预共享密钥的方式，也可以采用CA认证的方式进行。

Ø 在企业总部每2台VPN Server 互为备份组作为VPN接入服务器, 如果用户增

加,可以通过增加服务器备份组的方法接入更多用户。

Ø 网络的部署监控配置维护采用VPN MANAGER和BIMS配合进行

3.2 基本VPN技术组网方案（单链路单网关）

本组网主要是面向部分小型的分支机构，分支用户对于网络的链路要求不高，

普通的ADSL线路就可以满足他们的要求；当然，用户也可以通过LAN接入

对于服务器部分，可以只考虑使用单台的设备来进行汇接。

VPN客户端设备可以采用静态或动态申请的IP地址和总部网关建立VPN链接。

根据其业务的需求，对可靠性的要求不高，数据的传输不讲究实时传输。有必

要的话，可以在分支节点用设备进行冷备份。

VPN接入网关子系统部署：在总部局域网Internet边界防火墙后面配置一台专

用的高性能的VPN网关，在分支机构Internet边界防火墙后面配置一台专用VPN

网关，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输；

VPN管理子系统部署：在总部局域网数据中心部署H3C QuidView VPN Manager

组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界

部署H3C QuidView BIMS系统，实现对分支机构VPN网关设备的自动配置和策

略部署；

强大的VPN处理性能，高端专用VPN网关通过专业的硬件加密处理器可以提

供标准加密算法下350Mbps以上的加密吞吐量，百兆VPN网关通过专业的硬件

加密处理器可以提供标准加密算法下60Mbps以上的加密吞吐量；

提供图形化界面的VPN管理工具VPN Manager以及自动部署系统BIMS分支智

能管理系统，实现VPN可视化的VPN部署管理以及大规模的自动部署能力；

3.2.1 IPSec VPN方式

组网特点：

VPN客户端设备相对来说比较简单。

部署要点

VPN客户端可以使用动态地址接入服务器，但为了防止客户端IPSec配置泄露

造成的安全隐患，建议VPN客户端口采用静态地址。同时，这样也便于使用VPN

Manager的配置管理功能。

方案特点

组网简单，易于部署；

由于IPSec不能承载路由协议，需要在分支结构和园区网配置大量的静态路由。

单纯的IPSec封装，对于带宽资源消耗较小；

3.2.2 IPSec over GRE VPN方式

组网特点：

部分业务流量需要IPSec保护，另一部分业务流量不需要IPSec保护，仅需要

GRE隧道完成VPN功能。

VPN内部需要建立统一的OSPF路由域。

部署要点

两端的VPN网关的之间建立GRE隧道，然后将IPSec策略应用到GRE隧道

接口上从而建立IPSec隧道，进行数据封装、加密和传输；

在GRE隧道接口上使能OSPF；

方案特点

GRE可以承载多种协议，扩展性强。

IPSec只适用于IP协议，所以对于企业网内非IP协议，不能使用。

IPSec是基于策略的，GRE是基于路由的。如果企业网内部分流量需要IPSec

保护，而另一部分不需要。建议使用IPSec over GRE的方式。

不需要配置大量的静态路由，配置简单。

GRE还支持由用户选择记录Tunnel接口的识别关键字，和对封装的报文进行

端到端校验；

GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的

影响，这就导致使用GRE会造成路由器数据转发效率有一定程度的下降；

3.2.3 GRE over IPSec VPN方式

组网特点：

VPN内部需要建立统一的OSPF路由域。

VPN内部可以支持MPLS、IPX等非IP协议的网络。

部署要点

两端的VPN网关的Loopback接口之间建立GRE隧道，然后将IPSec策略应

用到Wan接口上从而建立IPSec隧道，进行数据封装、加密和传输；

在GRE隧道接口上使能OSPF；

方案特点

GRE的特点是可以承载多种协议，而IPSec只能承载IP协议。如果企业网内

有IPX、MPLS等应用，建议可以先借用GRE承载非IP协议，然后才能使用IPSec

保护GRE报文。

GRE是基于路由的，而IPSec是基于策略。如果需要在企业网内统一规划路

由方案，GRE over IPSec的方式逻辑就比较清晰。因为IPSec的策略是针对GRE

隧道的，而GRE隧道是基于路由的，所以整个VPN内的路由是统一的。

对业务流量，诸如路由协议、语音、视频等数据先进行GRE封装，然后再对

封装后的报文进行IPSec的加密处理。

不必配置大量的静态路由，配置简单。

GRE还支持由用户选择记录Tunnel接口的识别关键字，和对封装的报文进行

端到端校验；

GRE收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的

影响，这就导致使用GRE会造成路由器数据转发效率有一定程度的下降；

3.2.4 L2TP over IPSec VPN方式

组网特点：

IPSec隧道保护RouterA和RouterB之间的公网链路。

对于分支设备的安全要求较高，在IPSec认证之外，还需要对分支设备进行

L2TP的认证。

通常情况下，L2TP的客户端是拨号连接到LAC的用户主机。此时用户与LAC

的连接总是PPP连接。如果使用LAC同时作为客户端，那么用户与LAC之间

的连接就不受限于PPP连接，而只要是一个IP连接就可以了，这样LAC能够将

用户的IP报文转发到LNS。使用LAC同时作为客户端，是在LAC上建立一个

虚拟的PPP用户，该用户与LNS保持一个常连接。其它所有实际用户的IP报文

都是通过此虚拟用户转发给LNS的；

部署方式

在LAC创建VT模拟用户，配置地址、验证方式、用户名、密码等信息；

分支设备的用户端不能由LNS分配地址，必须由用户手工配置地址，而且需

要保证与LNS的VT地址在同一网段，否则OSPF路由不同互通。

如果没有部署动态路由协议，则必须在LAC上需要配置一条静态路由，将

VPN内的流量指向VT接口。

方案特点

中心网关可以对分支设备进行认证和计费，提高系统安全性。

L2TP收发双方加封装、解封装处理以及由于封装造成的数据量增加等因素的

影响，这就导致使用L2TP会造成路由器数据转发效率有一定程度的下降；

3.3 VPN网关备份的解决方案（单链路双VPN网关）

当然，在实际的组网中，为了增强VPN网关的稳定性，也可以在VPN网关节点

部署双VPN网关，利用该VPN双网关可以有效的提高系统的可靠性，同时，对

于业务分支节点较大的企业，可以通过有效配置实现业务的负载分担，将不同的

分支节点按照一定的原则配置不同的主备网关。具体的组网如下：

和前面的典型组网相比，本典型组网最大的区别在于对于VPN网关之间进行了

双机备份，在这种模式下，用户对于可靠性等指标提出了较高的要求，目前H3C

可以提供3种可靠性的实现方法，下面的文档中会重点论述。

3.3.1 VPN服务器可靠性备份方式1（L2TP的备份方式）

组网特点

网络规模较小，要求配置、管理简单易用；分支机构以拨号接入为主。

业务流量对于网关切换时间要求不高，可以出现短暂的网络中断。

可靠性保证

VPN客户端配置主备L2TP LNS Server，当主Server断线时, 客户端尝试连接

失败后会切换到备份Server(keep alive)

主备Server之间，通过配置客户端L2TP访问Server先后顺序的方法。多个

LAC配置不同的顺序，可以达到负载分担的效果

方案特点

配置简单，管理方便，适用于移动用户远程接入；

中心VPN网关切换时间较长，会有业务中断；

3.3.2 VPN服务器可靠性备份方式2（VRRP的备份状态）

组网特点

网络规模较大，业务流量对于网关切换时间要求较高。

可靠性保证

每一个接入Server组的2台设备都连到交换机,并运行VRRP.保证单台设备故

障时,网络能工作正常

建议配置多组VRRP, 可以达到负载分担的效果

如果IP Sec隧道建立在VRRP虚地址上，需要配置IP Sec DPD功能，以便及

时的进行VPN隧道的切换

方案特点

可靠性高，设备或链路出现异常时能够在较短的时间内（3秒）完成切换。

在一定范围内实现负载分担，但不能像GLBP一样做到完全的负载分担。

3.3.3 VPN服务器可靠性备份方式3（OSPF的备份方式）

组网特点

传统网络，不支持VRRP等特性。

业务流量对于网关切换时间要求不高，可以出现较长时间的网络中断。

可靠性保证

在隧道两端的网络中运行OSPF协议，当主隧道发生故障时（设备或是链路

故障），OSPF协议能够自动监测到邻居变化从而将路由切换到从隧道上的。

方案特点

借助传统的OSPF协议来监控链路状态，没有特殊的配置、特性，最简单；

OSPF检测邻居异常、计算/切换路由的时间间隔较长，

3.4 高可靠性VPN分支接入解决方案（接入双链路备份）

该典型组网和前面描述的差别主要在于其高可靠性的要求。对于上行链路，要求

在提供一条高质量链路的同时，还可以有另外的一种备份的方式，比如可以在运

营商提高一条FE的光纤进行internet接入的同时，再通过ADSL链路备份到另

外的ISP。

该典型组网如下图所示：

组网特点

该组网模型和前面的相比，该组网模型在强调VPN网关备份的基础上，对于

接入分支节点的链路备份也进行了考虑，重要的分支机构在使用类似FE光纤接

入的情况下，为了备份的需求，还考虑使用ADSL链路进行备份

在进行链路备份时，不同链路分别接入到不同的ISP，更加有效的提升了系

统的可靠性

ADSL设备建议采用外置设备，与VPN Client用FE光纤连接。ADSL链路作

为备份链路始终在线。

可靠性保证

VPN网关热备份如上一节所述；

链路备份的需要通过冗余路由来实现，主链路对应的路由优先级较高，备份

链路对应的路由优先级较低。正常情况下，流量会由主链路上行。

主链路异常会引起接口报DOWN，路由切换到备份链路上。

若主链路正常，但在主链路对应的运营商侧网络发生故障导致目的网关不可

达。需要借助auto－detect的特性来探测目的地址不可达，切换路由，保证业务

的正常运行。

方案特点

在中心网关备份的基础上实现了上行链路备份，提高了系统的可靠性。

在实现上行链路备份的基础上，实现了运营商网络的备份。进一步保证了业

务的质量。

4 系统主要模块分析

H3C VPN解决方案，由移动终端子系统、VPN接入网关子系统、认证计费子系

统、VPN管理子系统四个部分组成。本次组网由于没有牵涉到移动用户的VPN

接入，因此只对后面的3个模块进行重点说明

4.1 VPN接入网关子系统

VPN中心网关系统设备是整个VPN系统的核心部分，其设备可以采用专用VPN

网关设备secpath系列来实现，也可以采用H3C高性能的AR系列路由器来承担。

Quidway® SecPath系列VPN安全网关是H3C公司面向企业用户开发的新一代专

业安全网关设备，具有非常高的性能特性以及丰富的功能特性。其支持防火墙、

AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠

质量要求的私有网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、

MPLS VPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接

入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、

AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、

满足可靠质量要求的私有网络。

当然，也可以选择AR46路由器作为VPN网关接入，为了提升AR46的加密性

能，实际使用时可以将AR46和ENDE加密卡配合完成，该加密卡具有强劲的专

用加密卡和加密芯片。同时，采用高性能的CPU、高速大容量内存也保障了优

秀的加密性能。

4.2 认证计费子系统

为了对接入VPN的用户进行管理，可以在总部局域网数据中心部署Radius安全

认证服务器，实现对分支机构VPN用户接入总部局域网进行身份认证。H3CVPN

认证计费系统核心模块为H3C CAMS综合接入管理服务器，CAMS

（Comprehensive Access Management Server）是H3C公司推出的综合接入管理服

务器，可以配合H3C网络安全设备以及网络设备组网，完成对用户上网过程的

认证、授权和计费。CAMS作为网络中的用户管理核心，在基本的AAA

（Authorization、Authentication and Accounting）功能之上，提供了强大的管理、

维护和安全控制功能，可与企业现有系统平滑对接，实现网络安全有效的运行和

管理。

CAMS采用分布式、模块化的开放体系结构和基于TCP/IP的通信机制，可以平

滑扩容、灵活扩展、按需定制，采用Linux操作系统、Oracle数据库，并支持集

群服务器、磁盘阵列、数据库备份等特性，为用户提供了一种低价格、高可靠、

高性能的网络安全和用户管理解决方案，能够满足各种规模网络的用户身份认

证、权限控制的要求。

强大的用户身份认证：

支持802.1x、PPPoE、Portal（DHCP+WEB）等多种认证方式。支持用户与设

备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认

证，增强用户认证的安全性，防止账号盗用和非法接入；并具备自动绑定功能，

减少管理员手工录入的工作量。支持与第三方邮件或Proxy系统（必须支持LDAP

协议）的统一认证，避免用户记忆多个用户名和密码。支持对Web服务器访问

的统一认证和单点登陆，支持的Web服务器有IIS、Apache 2.0，实现对WEB

访问权限的统一管理和控制。支持多区域用户漫游。

严格的用户权限控制：

基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。CAMS

可以控制用户的上网带宽（QoS）、限制用户的同时在线数、禁止用户设置和使

用代理服务器，有效防止个别用户对网络资源的过度占用。CAMS配合网络安全

设备可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外部

非法网站的访问。可以限制用户IP地址分配策略，防止IP地址盗用和冲突。可

以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。可以限

制终端用户使用多网卡和拨号网络，防止内部信息泄露。可以限制用户必须使用

专用安全客户端，并强制自动升级，确保认证客户端的安全。

完善的用户行为监控：

CAMS提供强大的“黑名单”管理策略，可以将恶意猜测密码的用户加入黑名

单，并可按MAC、IP地址跟踪非法行为的来源。管理员可以实时监控在线用户，

强制非法用户下线。支持消息下发，管理员可以通过CAMS向上网用户发布通

知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注

意保护密码安全”等。CAMS记录认证失败日志、并可以全面跟踪用户上网流程，

方便定位与解决用户无法接入、异常断线等问题。

简单、易用的管理平台：

CAMS提供了基于WEB的管理界面和帮助系统，管理员无需安装任何客户端

软件，就可以通过浏览器完成系统管理工作，为管理员提供了最大程度的方便性。

完备的系统管理与监控：

灵活的业务运行参数配置，管理员可根据组网和运营环境进行功能定制。操

作级的管理员权限控制，可为不同管理员设置基于角色的操作权限，如系统管理

员、账务管理员、前台营业员等；此外，系统提供详细的操作员操作日志，便于

对管理员的操作进行跟踪。CAMS能对自身运行状况进行实时监控，并且可以通

过邮件将系统告警发给管理员，便于管理员及时了解系统运行状况，采取响应措

施。

4.3 VPN管理子系统

VPN管理子系统由两个组件组成：H3C VPN Manager系统以及H3C BIMS分

支智能管理系统，这两套系统在本组网中都可以找到其应用的空间，因此vpn

manager的VSM和VDM模块都可以发挥作用，在实现VPN的部署方面简化配

置，也可以有效的完成对网路的VPN状态的监控。当然，如果遇到后续设备的

升级配置管理的需求，则可以通过部署的BIMS软件来完成。下面对这两种管理

系统简单的进行说明。

H3C VPN Manager系统，以用户实际配置任务为驱动，提供IPSec VPN业务配

置向导，指导用户进行IPSec VPN设备配置，构建VPN网络。在配置业务中，

提供预定义配置参数功能，以方便高级用户预定义、重用配置信息。并提供缺省

配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，而无需进

行过多配置及软件使用学习。

为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置

以及配置命令下发过程中出现失败的情况下，清除设备已配置的信息。为了管理

方便，以网络域为配置单位，减少配置操作，对网络域的配置会自动赋予网络域

内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，用

户也可指定某个设备的特殊配置。

利用 QuidView 提供的解决方案可以轻易实现对于VPN网络的信息监视。

QuidView NMF框架可以打开IPSec VPN的全网拓扑图，可以在IPSec VPN视图

中直观显示全网设备及设备的运行状态。

QuidView VMM组件可以有效监视 IPSec 设备的运行性能，提供丰富的性能管

理功能。包括支持对IPSec VPN网关CPU利用率等关键指标的监视；支持对

IPSec、IKE隧道的监视； 支持对协商过程的监视；并提供折线图、直方图、饼

图等多种显示方式直观的把VPN性能数据显示给用户；支持At a Glance、TopN

功能，使用户能够对CPU利用率、流量等关键指标一目了然；提供报表导出和

基于历史数据的分析，为用户网络扩容、及早发现网络隐患提供保障；支持对用

户关心的性能参数设定阈值，当超过设定的阈值后，系统将会发送性能告警，使

网络管理人员及时发现和消除网络中的隐患。

BIMS（QuidView组件）分支智能管理系统实现从网络管理中心来集中对网络

设备的管理，如配置文件下发、设备软件升级等。传统网管主要通过SNMP、Telnet

等协议来实现对网络设备的管理，这要求网管侧知道被管设备的IP地址，并且

可以主动向设备发起请求并建立连接。如果设备的IP地址不固定，就增加了主

动管理的难度；如果设备位于NAT网关后面，基本上没有什么有效的管理手段。

BIMS（Branch Intelligent Management System）就是要解决上述问题，实现对动

态获取IP地址的设备或位于NAT网关后面的分支网点设备的集中、有效的监控

和管理，尤其在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进

行管理时，BIMS会极大提高管理的效率，大大节约管理成本。

BIMS采用一种被动的方式对设备进行管理，即网管作为Server，设备作为

Client，依靠设备周期性的主动访问网管来实现对设备的管理。因为连接是由设

备主动发起的，所以设备IP地址变化不会对连接的建立产生阻碍，即便设备位

于私网内，也可穿透NAT建立连接。网管通过一个固定的、全网唯一的ID来

识别设备，而不再依赖于设备的IP地址，所以设备拥有公网或私网IP地址或IP

地址经常变化都不会影响网管对设备的识别。BIMS网管侧与设备侧之间通过

HTTP协议进行通讯，采用HTTP进行通信的优势在于其可方便的穿透防火墙，

而且协议简单、易扩展。同时，为了保证通讯安全，BIMS对传输的消息数据进

行加密处理。

BIMS管理解决方案分两部分，分支网点设备侧和管理中心侧，分支网点设备

包括华为SecPath10/100系列安全网关、3Com AR系列接入路由器等，管理中心

侧由Quidview BIMS管理组件实现。设备侧和管理中心侧采用http协议进行通

信，BIMS管理中心侧作为http Server，设备侧作为http Client，设备通过定期访

问管理中心侧来实现相互通信并完成设备的管理。设备和管理中心采用http协议

进行通信的优势在于其可穿透绝大多数的防火墙，而且协议简单、易扩展。设备

主动访问BIMS管理中心时，上报设备当前的配置文件、设备软件的特征信息，

由BIMS管理中心来判断是否需要对设备进行更新，更新规则体现了该解决方案

的智能性和易于管理的特点。

5 参考案例

根据上述的典型组网分析，结合实际，每个组网环境都选择了有代表性的解决方

案应用案例，请参考

陕西电信的应用

沈阳社保的典型组网应用图

平安保险的应用案例

交通部的VPN建设典型组网

华为3com的IPSec VPN方案[1]

作者：不详 来源： 2007年2月2日 进入社区

随着企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定地点的专线连接

方式，已难以适应现代企业的需求。虚拟专用网（VPN）满足了企业对网络的灵活性、安全性、经济性、

扩展性等多方面要求，赢得了越来越多的企业的青睐，使企业可以较少地关注网络的运行与维护，更多地

致力于企业商业目标的实现。

对于企业网用户来说，IPSec VPN是一个公认的理想解决方案。IPSec是业界标准的网络安全协议，可以

为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，从而有效抵御网络攻击。

华为3com的IPSec VPN解决方案以IPSec技术为基础，与GRE、L2TP等技术的灵活组合给用户提供多

样的、高可靠性的解决方案并配合高性能VPN网关、VPN路由器、VPN Manager、BIMS等软硬件设施为

用户提供包括接入、传输、认证、管理、配置等全方位解决方案。

方案概述

华为3Com VPN解决方案，由VPN接入网关子系统、VPN管理子系统两个部分组成。

VPN接入网关子系统

VPN接入网关子系统设备是整个VPN系统的核心部分，其设备可以采用专用VPN网关设备secpath系

列来实现，也可以采用华为3COM高性能的AR系列路由器来承担。

SecPath系列VPN安全网关是华为3Com公司面向企业用户开发的新一代专业安全网关设备，具有非常

高的性能以及丰富的功能特性。VPN安全网关支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的

Internet上实现安全的、满足可靠质量要求的私有网络，支持多种VPN业务，如L2TP VPN、IPSec VPN、

GRE VPN、MPLS VPN等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构

建Internet、Intranet、Access等多种形式的VPN。

AR46路由器也可作为VPN网关接入。为了提升AR46的加密性能，实际使用时可以将AR46和ENDE

加密卡配合完成，该加密卡具有强劲的专用加密卡和加密芯片。同时，采用高性能的CPU、高速大容量内

存也保障了优秀的加密性能。

VPN管理子系统

VPN管理子系统由两个组件组成：华为3Com VPN Manager系统以及华为3Com BIMS分支智能管理系

统。VPN Manager可以简化VPN的部署和配置，可以完成对网路的VPN状态的监控。BIMS可以完成对

后续设备进行升级配置和管理的需求。

华为3Com VPN Manager系统，以用户实际配置任务为驱动，提供IPSec VPN业务配置向导，指导用户

进行IPSec VPN设备配置，构建VPN网络。在配置业务中，提供预定义配置参数功能，以方便高级用户预

定义、重用配置信息。并提供缺省配置，以使用户初次使用本管理软件时，能快速配置IPSec VPN设备，

而无需进行过多配置及软件使用学习。

为了避免在设备上留下冗余的配置信息，支持“清除”功能，能够在重新配置以及配置命令下发过程中出

现失败的情况下，清除设备已配置的信息。为了管理方便，以网络域为配置单位，减少配置操作，对网络

域的配置会自动赋予网络域内的全部设备，用户可一次性对网络域内所有设备进行相同配置部署。同时，

用户也可指定某个设备的特殊配置。

BIMS分支智能管理系统实现从网络管理中心来集中对网络设备的管理，如配置文件下发、设备软件升

级等。BIMS（Branch Intelligent Management System）可实现对动态获取IP地址的设备或位于NAT网关后

面的分支网点设备的集中、有效的监控和管理，尤其在对业务应用基本相同、数量庞大并且分布广泛的网

络终端设备进行管理时，BIMS会极大提高管理的效率，大大节约管理成本。同时，为了保证通讯安全，

BIMS对传输的消息数据进行加密处理。

方案特点

1、组网灵活，使用范围广

华为3Com公司从企业用户业务需求、可靠性要求和投资规模等多方面综合考虑，量身打造了多种分支

机构上联企业总部的解决方案，包含单链路单网关型、VPN网关备份型和双链路双网关型等多种方案。

方案采用支持NAT穿越和野蛮模式（中心节点通过设备ID名进行协商而不再需要地址信息检查）的方

式，解决了分支机构用户通过NAT设备进入Internet和IP地址不固定的用户上网的两类问题，满足了企业

用户分支节点接入的多样性需求。

2、管理简单明了

该方案提供专用的管理系统VPN MANAGER，直观友好、简单易用的图形管理界面，简化了管理员的维

护操作。支持自动发现和构建VPN拓扑，直观查看VPN通道状态、通道流量情况、VPN设备的运行情况

等。能够快速定位网络故障，为解决问题赢得时间。

3、企业分支设备集中配置

分支机构分布广、设备多、配置重复，往往给企业的IT管理带来了繁重的工作量，华为3Com公司的

BIMS（分支智能管理系统）为解决这一问题营运而生。BIMS采用分支设备主动，网管被动的方式对分支

的设备进行管理，网络连接由分支设备主动发起，公私网地址转换、动态IP地址、批量设备配置等难题迎

刃而解。

4、全系列设备支持

该方案涵盖了华为3Com公司全系列中低端路由器、VPN网关等产品，为客户提供了多种经过验证、有

保证的安全解决方案，企业用户可以根据自己的实际需要和投资规模找到最适合的选择。

典型组网应用

在实际的组网中，可以根据企业实际情况，采用灵活多样的组网方式，用最低的代价实现企业VPN接入

需求。可以采用基本组网方案、VPN网关备份组网方案和高可靠性VPN组网方案

基本组网方案

该组网方案采用单链路单网关方式，在总部局域网数据中心部署VPN Manager组件，实现对VPN网关

的部署管理和监控，在总部局域网内部或Internet边界部署BIMS系统，实现对分支机构VPN网关设备的

自动配置和策略部署。

该方案主要面向对网络链路要求不高的小型分支机构，可根据企业实际情况采用IPSec VPN、IPSec over

GRE VPN、GRE over IPSec VPN、L2TP over IPSec VPN等方式实现接入。

VPN网关备份组网方案

该组网方案采用单链路双网关方式，对VPN网关进行了双机备份。

该方案面向对可靠性等指标提出了较高要求的用户。根据实际情况，可采用L2TP、VRRP、OSPF方式

实现对网关间的备份。

高可靠性VPN组网方案

该组网方案在VPN网关备份的基础上，对于接入分支节点的链路也进行了备份。在进行链路备份时，不

同链路分别接入到不同的ISP，主链路采用光纤接入，备份链路采用ADSL进行热备。为了增强VPN网关

的稳定性，在VPN网关节点部署双VPN网关，利用该VPN双网关可以有效的提高系统的可靠性。同时，

对于业务分支节点较大的企业，可以通过有效配置实现业务的负载分担。

该方案主要面向特别重要、对可靠性要求非常高的分支机构，但其实现的成本也最高。

本文标签： 设备用户配置网关网络