华为VPN技术白皮书（最新修正版） (4)

VPN技术白皮书

Quidway系列路由器实现了以上的多种拥塞管理策略，能够在一定程度上满足

不同业务对不同服务质量的需求。

3.5配置管理

Quidway系列路由器支持标准的L2TP MIB以及IPSec相关的MIB，支持基于SNMP的远程设置与查询功能。并且对网络管理做了安全性方面的改进：

??支持HTTP方式的网管：通过任何一台支持浏览器的主机访问路由器，此时浏览器会弹出一个窗口，要求输入用户名与口令，对该用户名与口令验证通过后，路由器上的Applet下载到该浏览器上，可以通过这个Applet对路由器进行查询以及设置。在用户验证通过的同时，路由器会记录下这个用户的IP地址，形成一个临时的访问列表（Access-List）。这样，只有来自这个用户的查询及设置报文才能被允许执行，其他的则禁止进入。整个步骤的示意图如下所示：

1、用户发起连接请求2、提示用户输入用户名及口令3、用户输入用户名及口令Quidway Series Router4、验证通过，下载Applet，并记录该用户的IP地址5、用户进行相关操作

图7 通过HTTP设置示意图

?

??HTTP方式的网管指令加密传输。 ??查询及设置报文均带有数字签名。

??通过普通的SNMP网管站的主机只能对路由器做查询操作而不能做设置操作。

因VPN在地域上分布的广泛性以及VPN连接在时间上的不确定性，统一的VPN网络配置与管理很有必要。Quidway系列路由器建议企业在构建VPN的同时考虑统一网管的建设，具体包括以下内容：

第16页，共21页

VPN技术白皮书

? 采用分级、分权管理的方式对全国的VPN路由器进行统一配置管理，具有三级

设置的网管中心如图8所示。三级网管中心进行数据的收集与统计，然后层层向上汇总。收集的数据包括VPN的用户数量、每个VPN用户的流量以及其他一些感兴趣的数据。通过分级管理，一级网管中心就可以对全国

VPN用户的数量、流量做出统计，分析出全国各地的分布情况。 具体的VPN配置由三级网管中心负责，因为他们直接面对客户。

北京网管中心一级网管中心二级网管中心（省级）成都上海县2广州县1三级网管中心（县市）

图8 分级网管示意图

??如果VPN设备的数据配置需要全国统一管理，则建议采取数据管理与网络管理分离的方式：即设立单独的数管服务器，而网管服务器仍然采用分级管理的方式。

4Quidway系列路由器的VPN解决方案

Quidway系列路由器提出了各种有效的VPN解决方案，包括：

??Access VPN ??Intranet VPN ??Extranet VPN

??结合防火墙的VPN解决方案

第17页，共21页

VPN技术白皮书

4.1Access VPN

Access VPN最适用于公司内部经常有流动人员远程办公的情况。例如，公司

的外地出差员工需要从公司总部提取一定的关于客户的重要资料，一般情况就只能利用MODEM拨号方式连入公司的Intranet，利用Telnet、FTP或是其它网络服务获得资料。这种情况下企业必须负担昂贵的长途电话费用，同时这些客户资料的安全性得不到有力的保证，容易在传输的过程被截获，而这些资料更不能在WWW等不安全的地方放置。

如果采用Access VPN的组网模式就可以很好的解决这个问题，如图9所示。出差员工利用当地ISP提供的VPN服务就可以和公司的VPN网关建立私有的隧道连接，Radius服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

图9 Quidway系列路由器Access VPN解决方案

4.2Intranet VPN

现在，越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。

第18页，共21页

VPN技术白皮书

利用VPN特性可以在Internet上组建世界范围内的Intranet VPN，如图10所示。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。

图10 Quidway系列路由器Intranet VPN解决方案

4.3Extranet VPN

随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理是企业发展中不可避免的一个关键问题。

第19页，共21页

VPN技术白皮书

利用VPN技术可以组建安全的Extranet，如图11所示，即可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。

图11 Quidway系列路由器Extranet VPN解决方案

4.4结合防火墙的VPN解决方案

VPN与防火墙的结合使用，可以利用防火墙的许多安全特性在VPN上建立更加

安全的网络环境，增强抵御“黑客”攻击、禁止非法访问的能力。

如图12所示，公司内部特定的用户可以访问Internet网络，但是Internet网络内的主机不能通过防火墙访问公司的内部网络，只被允许访问位于DMZ（非军事化区）的内部服务器主机（如WWW、FTP等服务器）。公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道以访问总部的资源。

第20页，共21页

VPN技术白皮书

图12 Quidway系列路由器结合防火墙的VPN解决方案

5结论

Quidway系列路由器具有完善的VPN网关功能，是组建VPN的重要设备之一。 Quidway系列路由器支持各种VPN技术，这些技术包括隧道技术、IPSec、密钥

交换技术、防火墙技术、QoS与配置管理等，并还将发展并支持越来越多的先进技术，以期对VPN实现更好的支持，更加充分地发挥VPN在灵活性、经济性、扩展性等方面的优势，进一步提高VPN的安全性、可靠性与使用上的方便性。

第21页，共21页

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新小学教育华为VPN技术白皮书（最新修正版） (4)全文阅读和word下载服务。