IPSec VPN是一款高性價比的硬件VPN/防火墻網(wǎng)關,用于中型企業(yè)總部網(wǎng)絡或大型企業(yè)的區(qū)域總部網(wǎng)絡。該產(chǎn)品具備NAT穿越、流量觸發(fā)協(xié)商、全面支持IPSec協(xié)議規(guī)范、智能QOS等核心功能。可以很好地滿足每位員工、客戶、合作伙伴遠程辦公的安全接入需求,實現(xiàn)對本地和遠程網(wǎng)絡資源的高速訪問,極大提高工作效率和企業(yè)生產(chǎn)力。
作為國家IPSec VPN標準的制定者,國工信科技為廣大用戶提供以下價值:
1.異地機構遠程互聯(lián)
大中型組織統(tǒng)一信息平臺建立和資源共享的需求越來越普遍,而需要實現(xiàn)全省乃至全國所有分支機構的互聯(lián)所帶來的高昂專線費用則大大增加了企業(yè)的運營成 本。國工信IPSec VPN可為您提供一種高性價比的異地機構組網(wǎng)方案,使用普通的互聯(lián)網(wǎng)連接即可實現(xiàn)安全、快速、便利的組網(wǎng),在降低網(wǎng)絡成本的同時大大提高異地機構協(xié)同辦公 效率。
2.大型網(wǎng)絡中的小型專網(wǎng)搭建
行業(yè)專網(wǎng)中包含著各個組織、各個部門的各類應用,對于某些關鍵應用需要一種高安全加密方式進行數(shù)據(jù)的保護,防止重要數(shù)據(jù)在大專網(wǎng)中遭泄漏。國工信IPSec VPN可助您在大專網(wǎng)中劃分小專網(wǎng),對重要信息系統(tǒng)進行安全加固,保證部門核心數(shù)據(jù)的安全性。
3.專線改造及替換
專線具有速度快、保密性高的優(yōu)勢,而這是需要每月重復的高額網(wǎng)絡投資來支撐。在現(xiàn)有的經(jīng)濟環(huán)境中,我們?nèi)绾螌崿F(xiàn)高性價比、高投資回報的網(wǎng)絡的構建,實 現(xiàn)網(wǎng)絡價值的最大化?國工信IPSec VPN通過多種加速技術讓VPN網(wǎng)絡達到可媲美專線的享受,為您提供一種低成本、高安全性的快速組網(wǎng)方案。
4.行業(yè)專網(wǎng)延伸建設
企業(yè)的網(wǎng)絡架構往往是依據(jù)組織架構進行構建的。對于擁有三級甚至多級組織架構的大型企業(yè),在省間甚至市間采用的是專線進行主體網(wǎng)絡的構建。而面對廣大 的縣級甚至鄉(xiāng)級分支的專線網(wǎng)絡構建就顯得力不從心,一方面許多地方專線網(wǎng)絡無法到達,另一方面是性價比難以得到很好的保證。國工信IPSec VPN可為您提供高性價比的行業(yè)專網(wǎng)延伸方案,快捷構建企業(yè)超級大網(wǎng)。
5.構建VPN備份網(wǎng)絡
在信息化社會業(yè)務的穩(wěn)定性需要網(wǎng)絡的穩(wěn)定性來保證,在一個完整的網(wǎng)絡構架中,備份網(wǎng)絡處在一個使用頻率低卻又不可或缺的關鍵位置上。國工信IPSec VPN可為您提供一份具有高穩(wěn)定、高性價比的備份網(wǎng)絡建設方案,保證網(wǎng)絡時刻暢通運行。
1.高效率的數(shù)據(jù)傳輸。IPSec VPN采用了改進的IPSec協(xié)議,在確保VPN隧道安全的同時、進一步提高了數(shù)據(jù)傳輸?shù)男。并且,產(chǎn)品集成了LZO高速流壓縮算法,大大提高了常見應用(如文件傳輸、數(shù)據(jù)庫查詢等)的速度。
2.數(shù)據(jù)安全性。IPSec VPN集成了高強度的加密算法,并可以進一步通過軟件或硬件卡的形式進行加密算法的擴展,保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>
3.節(jié)省帶寬。IPSec VPN在實現(xiàn)功能時,對隧道空閑做了專門的處理。當隧道空閑到一定時間時,系統(tǒng)會自動斷開隧道,同時,對隧道內(nèi)的數(shù)據(jù)進行了壓縮,這樣,可以防止隧道占用過多的帶寬,還能增加信息傳輸率。
4.網(wǎng)絡構建成本低。本產(chǎn)品充分利用公網(wǎng)資源,在公網(wǎng)上開辟出的加密安全隧道,用于加密信息的傳輸,同時對傳輸?shù)男畔⑦M行簽名認證。因此,只需要兩臺IPsec VPN產(chǎn)品,根據(jù)網(wǎng)絡結(jié)構,對設備進行配置,就可以達到租用專線的效果。其費用遠遠低于租用專線所花的費用。
功能 | 特點描述 | 客戶價值 |
遠程接入 | 建立隧道時支持明密結(jié)合的隧道方式,并且通過隧道在公網(wǎng)上傳遞的數(shù)據(jù)是經(jīng)過加密的。 | 對于不同地域的分公司與總公司用戶,通過隧道連接后,可以像在同一局域網(wǎng)內(nèi)相互訪問。資源是共享的,方便用戶使用。 |
NAT穿越 | IPSec代理技術解決了VPN隧道之間存在NAT網(wǎng)關設備時,VPN隧道無法建立的問題。 | 隨著網(wǎng)絡應用越來越廣和IP地址資源越來越緊缺,NAT技術在一定程序上緩解了地址不足的問題。 |
數(shù)據(jù)安全性保護 | IPSec VPN設備之間的隧道以及IPSec VPN設備均支持國產(chǎn)加密算法SM1分組密碼算法,通過加密保證數(shù)據(jù)的安全性。 | 保障用戶信息在公用數(shù)據(jù)鏈路傳輸?shù)倪^程中不被泄漏出去。 |
數(shù)據(jù)完整性保護 | IPSec VPN設備之間還提供了IP數(shù)據(jù)包的完整性和認證機制。 | 完整性保證數(shù)據(jù)包不被無意或惡意的方式篡改,而認證則提供驗證數(shù)據(jù)的來源(主機、用戶、網(wǎng)絡等)。 |
數(shù)據(jù)的不可抵賴性 | IPSec VPN設備通過在整個IP數(shù)據(jù)包中實施一個消息摘要后,用自己的私鑰對摘要進行加密。等到數(shù)據(jù)到達對方后,再用相應的公鑰對摘要進行解密,然后再重新對數(shù)據(jù)的摘要進行對比。兩者相同,則可認定此數(shù)據(jù)包為對方發(fā)出的。因為加密的私鑰只有相應的人員知道,所以通過此種方式可以保證數(shù)據(jù)的不可抵賴性。 | 能防止發(fā)送數(shù)據(jù)包后因某種原因反悔,否認曾發(fā)過此數(shù)據(jù)。 |
流量觸發(fā)協(xié)商 | IPSec VPN實現(xiàn)隧道協(xié)商時,采用了流量觸發(fā)機制,當有數(shù)據(jù)通過隧道傳輸時,若隧道還沒有建立,系統(tǒng)會自動協(xié)商建立隧道,然后再傳輸數(shù)據(jù)。 | 保證用戶數(shù)據(jù)通訊的正常。 |
全面支持IPSec協(xié)議規(guī)范 | 支持ESP協(xié)議 支持隧道模式、傳輸模式的協(xié)議封裝格式 支持密鑰交換協(xié)議 支持證書認證方式 | 可以和其他符合規(guī)范的VPN產(chǎn)品實現(xiàn)互通。 |
智能QOS | 在額定帶寬的QOS策略中,各個QOS級別的服務只能使用額定帶寬,即使網(wǎng)絡流量沒有占滿,低級別的服務也不能使用預留給高級別服務的帶寬。智能QOS策略修正了這個缺陷,當沒有高級別數(shù)據(jù)的時候,低級別的服務能夠有效利用所有空閑帶寬。 | 通過該項技術,用戶可自定義不同服務的QOS級別,并分配給不同級別的服務在VPN隧道內(nèi)的帶寬比例,重要的服務得到更大的帶寬。 |
首先IOS帶k的就可以了,支持加密特性,拓撲如下:
1.R1基本配置:
R1(config)#interface loopback0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface serial0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.252
R1(config-if)#clock rate 56000
R1(config-if)#no shutdown
R1(config-if)#exit
2.定義感興趣流量與路由協(xié)議:
R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
R1(config)#ip route 0.0.0.0 0.0.0.0 serial0/0
3.全局啟用ISAKMP并定義對等體及其PSK(預共享密鑰):
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp key 91lab address 192.168.1.2
4.定義IKE策略:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes 128 /---默認是DES加密---/
R1(config-isakmp)#hash sha /---默認是SHA-1---/
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2 /---默認是768位的DH1---/
R1(config-isakmp)#lifetime 3600 /---默認是86400秒---/
R1(config-isakmp)#exit
5.定義IPSec轉(zhuǎn)換集(transform set):
R1(config)#crypto ipsec transform-set tt esp-aes 128 esp-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
IPSec VPN目前已在政府、電力、金融等行業(yè)中大規(guī)模成熟應用。
主要客戶有:國家信息中心、中投科技、國家電網(wǎng)等公司。