IPSec VPN是一款高性價(jià)比的硬件VPN/防火墻網(wǎng)關(guān),用于中型企業(yè)總部網(wǎng)絡(luò)或大型企業(yè)的區(qū)域總部網(wǎng)絡(luò)。該產(chǎn)品具備NAT穿越、流量觸發(fā)協(xié)商、全面支持IPSec協(xié)議規(guī)范、智能QOS等核心功能。可以很好地滿足每位員工、客戶、合作伙伴遠(yuǎn)程辦公的安全接入需求,實(shí)現(xiàn)對(duì)本地和遠(yuǎn)程網(wǎng)絡(luò)資源的高速訪問,極大提高工作效率和企業(yè)生產(chǎn)力。
作為國(guó)家IPSec VPN標(biāo)準(zhǔn)的制定者,國(guó)工信科技為廣大用戶提供以下價(jià)值:
1.異地機(jī)構(gòu)遠(yuǎn)程互聯(lián)
大中型組織統(tǒng)一信息平臺(tái)建立和資源共享的需求越來越普遍,而需要實(shí)現(xiàn)全省乃至全國(guó)所有分支機(jī)構(gòu)的互聯(lián)所帶來的高昂專線費(fèi)用則大大增加了企業(yè)的運(yùn)營(yíng)成 本。國(guó)工信IPSec VPN可為您提供一種高性價(jià)比的異地機(jī)構(gòu)組網(wǎng)方案,使用普通的互聯(lián)網(wǎng)連接即可實(shí)現(xiàn)安全、快速、便利的組網(wǎng),在降低網(wǎng)絡(luò)成本的同時(shí)大大提高異地機(jī)構(gòu)協(xié)同辦公 效率。
2.大型網(wǎng)絡(luò)中的小型專網(wǎng)搭建
行業(yè)專網(wǎng)中包含著各個(gè)組織、各個(gè)部門的各類應(yīng)用,對(duì)于某些關(guān)鍵應(yīng)用需要一種高安全加密方式進(jìn)行數(shù)據(jù)的保護(hù),防止重要數(shù)據(jù)在大專網(wǎng)中遭泄漏。國(guó)工信IPSec VPN可助您在大專網(wǎng)中劃分小專網(wǎng),對(duì)重要信息系統(tǒng)進(jìn)行安全加固,保證部門核心數(shù)據(jù)的安全性。
3.專線改造及替換
專線具有速度快、保密性高的優(yōu)勢(shì),而這是需要每月重復(fù)的高額網(wǎng)絡(luò)投資來支撐。在現(xiàn)有的經(jīng)濟(jì)環(huán)境中,我們?nèi)绾螌?shí)現(xiàn)高性價(jià)比、高投資回報(bào)的網(wǎng)絡(luò)的構(gòu)建,實(shí) 現(xiàn)網(wǎng)絡(luò)價(jià)值的最大化?國(guó)工信IPSec VPN通過多種加速技術(shù)讓VPN網(wǎng)絡(luò)達(dá)到可媲美專線的享受,為您提供一種低成本、高安全性的快速組網(wǎng)方案。
4.行業(yè)專網(wǎng)延伸建設(shè)
企業(yè)的網(wǎng)絡(luò)架構(gòu)往往是依據(jù)組織架構(gòu)進(jìn)行構(gòu)建的。對(duì)于擁有三級(jí)甚至多級(jí)組織架構(gòu)的大型企業(yè),在省間甚至市間采用的是專線進(jìn)行主體網(wǎng)絡(luò)的構(gòu)建。而面對(duì)廣大 的縣級(jí)甚至鄉(xiāng)級(jí)分支的專線網(wǎng)絡(luò)構(gòu)建就顯得力不從心,一方面許多地方專線網(wǎng)絡(luò)無法到達(dá),另一方面是性價(jià)比難以得到很好的保證。國(guó)工信IPSec VPN可為您提供高性價(jià)比的行業(yè)專網(wǎng)延伸方案,快捷構(gòu)建企業(yè)超級(jí)大網(wǎng)。
5.構(gòu)建VPN備份網(wǎng)絡(luò)
在信息化社會(huì)業(yè)務(wù)的穩(wěn)定性需要網(wǎng)絡(luò)的穩(wěn)定性來保證,在一個(gè)完整的網(wǎng)絡(luò)構(gòu)架中,備份網(wǎng)絡(luò)處在一個(gè)使用頻率低卻又不可或缺的關(guān)鍵位置上。國(guó)工信IPSec VPN可為您提供一份具有高穩(wěn)定、高性價(jià)比的備份網(wǎng)絡(luò)建設(shè)方案,保證網(wǎng)絡(luò)時(shí)刻暢通運(yùn)行。
1.高效率的數(shù)據(jù)傳輸。IPSec VPN采用了改進(jìn)的IPSec協(xié)議,在確保VPN隧道安全的同時(shí)、進(jìn)一步提高了數(shù)據(jù)傳輸?shù)男省2⑶,產(chǎn)品集成了LZO高速流壓縮算法,大大提高了常見應(yīng)用(如文件傳輸、數(shù)據(jù)庫(kù)查詢等)的速度。
2.數(shù)據(jù)安全性。IPSec VPN集成了高強(qiáng)度的加密算法,并可以進(jìn)一步通過軟件或硬件卡的形式進(jìn)行加密算法的擴(kuò)展,保證了數(shù)據(jù)傳輸?shù)陌踩浴?/p>
3.節(jié)省帶寬。IPSec VPN在實(shí)現(xiàn)功能時(shí),對(duì)隧道空閑做了專門的處理。當(dāng)隧道空閑到一定時(shí)間時(shí),系統(tǒng)會(huì)自動(dòng)斷開隧道,同時(shí),對(duì)隧道內(nèi)的數(shù)據(jù)進(jìn)行了壓縮,這樣,可以防止隧道占用過多的帶寬,還能增加信息傳輸率。
4.網(wǎng)絡(luò)構(gòu)建成本低。本產(chǎn)品充分利用公網(wǎng)資源,在公網(wǎng)上開辟出的加密安全隧道,用于加密信息的傳輸,同時(shí)對(duì)傳輸?shù)男畔⑦M(jìn)行簽名認(rèn)證。因此,只需要兩臺(tái)IPsec VPN產(chǎn)品,根據(jù)網(wǎng)絡(luò)結(jié)構(gòu),對(duì)設(shè)備進(jìn)行配置,就可以達(dá)到租用專線的效果。其費(fèi)用遠(yuǎn)遠(yuǎn)低于租用專線所花的費(fèi)用。
功能 | 特點(diǎn)描述 | 客戶價(jià)值 |
遠(yuǎn)程接入 | 建立隧道時(shí)支持明密結(jié)合的隧道方式,并且通過隧道在公網(wǎng)上傳遞的數(shù)據(jù)是經(jīng)過加密的。 | 對(duì)于不同地域的分公司與總公司用戶,通過隧道連接后,可以像在同一局域網(wǎng)內(nèi)相互訪問。資源是共享的,方便用戶使用。 |
NAT穿越 | IPSec代理技術(shù)解決了VPN隧道之間存在NAT網(wǎng)關(guān)設(shè)備時(shí),VPN隧道無法建立的問題。 | 隨著網(wǎng)絡(luò)應(yīng)用越來越廣和IP地址資源越來越緊缺,NAT技術(shù)在一定程序上緩解了地址不足的問題。 |
數(shù)據(jù)安全性保護(hù) | IPSec VPN設(shè)備之間的隧道以及IPSec VPN設(shè)備均支持國(guó)產(chǎn)加密算法SM1分組密碼算法,通過加密保證數(shù)據(jù)的安全性。 | 保障用戶信息在公用數(shù)據(jù)鏈路傳輸?shù)倪^程中不被泄漏出去。 |
數(shù)據(jù)完整性保護(hù) | IPSec VPN設(shè)備之間還提供了IP數(shù)據(jù)包的完整性和認(rèn)證機(jī)制。 | 完整性保證數(shù)據(jù)包不被無意或惡意的方式篡改,而認(rèn)證則提供驗(yàn)證數(shù)據(jù)的來源(主機(jī)、用戶、網(wǎng)絡(luò)等)。 |
數(shù)據(jù)的不可抵賴性 | IPSec VPN設(shè)備通過在整個(gè)IP數(shù)據(jù)包中實(shí)施一個(gè)消息摘要后,用自己的私鑰對(duì)摘要進(jìn)行加密。等到數(shù)據(jù)到達(dá)對(duì)方后,再用相應(yīng)的公鑰對(duì)摘要進(jìn)行解密,然后再重新對(duì)數(shù)據(jù)的摘要進(jìn)行對(duì)比。兩者相同,則可認(rèn)定此數(shù)據(jù)包為對(duì)方發(fā)出的。因?yàn)榧用艿乃借只有相應(yīng)的人員知道,所以通過此種方式可以保證數(shù)據(jù)的不可抵賴性。 | 能防止發(fā)送數(shù)據(jù)包后因某種原因反悔,否認(rèn)曾發(fā)過此數(shù)據(jù)。 |
流量觸發(fā)協(xié)商 | IPSec VPN實(shí)現(xiàn)隧道協(xié)商時(shí),采用了流量觸發(fā)機(jī)制,當(dāng)有數(shù)據(jù)通過隧道傳輸時(shí),若隧道還沒有建立,系統(tǒng)會(huì)自動(dòng)協(xié)商建立隧道,然后再傳輸數(shù)據(jù)。 | 保證用戶數(shù)據(jù)通訊的正常。 |
全面支持IPSec協(xié)議規(guī)范 | 支持ESP協(xié)議 支持隧道模式、傳輸模式的協(xié)議封裝格式 支持密鑰交換協(xié)議 支持證書認(rèn)證方式 | 可以和其他符合規(guī)范的VPN產(chǎn)品實(shí)現(xiàn)互通。 |
智能QOS | 在額定帶寬的QOS策略中,各個(gè)QOS級(jí)別的服務(wù)只能使用額定帶寬,即使網(wǎng)絡(luò)流量沒有占滿,低級(jí)別的服務(wù)也不能使用預(yù)留給高級(jí)別服務(wù)的帶寬。智能QOS策略修正了這個(gè)缺陷,當(dāng)沒有高級(jí)別數(shù)據(jù)的時(shí)候,低級(jí)別的服務(wù)能夠有效利用所有空閑帶寬。 | 通過該項(xiàng)技術(shù),用戶可自定義不同服務(wù)的QOS級(jí)別,并分配給不同級(jí)別的服務(wù)在VPN隧道內(nèi)的帶寬比例,重要的服務(wù)得到更大的帶寬。 |
首先IOS帶k的就可以了,支持加密特性,拓?fù)淙缦?
1.R1基本配置:
R1(config)#interface loopback0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface serial0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.252
R1(config-if)#clock rate 56000
R1(config-if)#no shutdown
R1(config-if)#exit
2.定義感興趣流量與路由協(xié)議:
R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
R1(config)#ip route 0.0.0.0 0.0.0.0 serial0/0
3.全局啟用ISAKMP并定義對(duì)等體及其PSK(預(yù)共享密鑰):
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp key 91lab address 192.168.1.2
4.定義IKE策略:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption aes 128 /---默認(rèn)是DES加密---/
R1(config-isakmp)#hash sha /---默認(rèn)是SHA-1---/
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2 /---默認(rèn)是768位的DH1---/
R1(config-isakmp)#lifetime 3600 /---默認(rèn)是86400秒---/
R1(config-isakmp)#exit
5.定義IPSec轉(zhuǎn)換集(transform set):
R1(config)#crypto ipsec transform-set tt esp-aes 128 esp-sha-hmac
R1(cfg-crypto-trans)#mode tunnel
R1(cfg-crypto-trans)#exit
IPSec VPN目前已在政府、電力、金融等行業(yè)中大規(guī)模成熟應(yīng)用。
主要客戶有:國(guó)家信息中心、中投科技、國(guó)家電網(wǎng)等公司。