利用IPSecVPN完善电力数据网络(二)

发表于:2007-06-23来源:作者:点击数: 标签:
过去,为了解决企业内部工作人员在家或出差时访问企业内部 网络 资源的问题,通常采用拨号接入的办法。移动用户需要接入时,通过PSTN电话网接入。这种方式有很多的弊病: ● 带宽低:通常只有10Kbps~30Kbps,理想状态也只有56Kbps。 ● 支持的接入规模有限:

   
  过去,为了解决企业内部工作人员在家或出差时访问企业内部网络资源的问题,通常采用拨号接入的办法。移动用户需要接入时,通过PSTN电话网接入。这种方式有很多的弊病:
  
  ● 带宽低:通常只有10Kbps~30Kbps,理想状态也只有56Kbps。
  

  ● 支持的接入规模有限:采用电话接入方式,一个接入用户就要占用一路电话。一个万人的企业要满足企业员工移动办公至少要申请200条电话线路,如要应对类似SARS的事件,保证整个企业不间断办公,至少需要5000路电话。这对企业而言,无论从费用上、维护上、空间上都是不可行的。
  
  ● 费用昂贵:为保障出差员工的移动办公,企业不得不支付大量的长途电话费用。
  
  ● 维护复杂:企业需要额外维护大量的电话线路、Modem Pool和拨号访问服务器
  
  IPSec VPN的远程接入方式彻底解决了以上的所有问题,为IT管理者提供全新的方式,为移动用户提供高速、稳定的服务。
  
  IPSec VPN的优势
  ● 简化网络:减少用于接入的相关电话线路、调制解调器和访问服务器等设备。
  
  ● 投入少:只需投入一台VPN网关设备,本地拨号或宽带接入代替长途电话,据统计可以节省50%~80%的维护费用。
  
  ● 扩展性好:一台北电网络的VPN网关设备Contivity可以实现5~5000人的同时接入,或者更多。
  
  ● 多样的接入方式:无论企业员工采用哪一种接入方式,只要可以访问互联网,就可以建立VPN连接,就可以从互联网的任何地方访问到自己公司内部的资源。
  
  ● 安全性好:通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全。
  
  并且,在北电网络Contivity IPSec VPN网关的支持下,企业还可以获得额外的功能,如支持多种标准认证机制(如LDAP、RADIUS、CA等)、支持NAT透传、高可靠性、高安全性等。
  
  连接边远分支节点
  电力系统分支企业遍布全国,众多电厂、变电站分布在边远地区。对于电力系统SDH传输系统或微波系统鞭长莫及的地方,可以采用IPSec VPN的方式进行连网,充分利用互联网覆盖面广、价格低的优势,并通过IPSec VPN保证网络互联的安全性。这种方式即实现了安全性联网,又大大节省了联网费用(较租用运营商长途专线而言)。事实上,这种方式为大量的跨国企业所采用。IBM、波音公司、通用电气,以及国家电力部信息中心等著名企业,都采用了北电网络的Contivity VPN设备实现了边远节点的互连。
  
  实现关键应用系统的隔离
  其实,IPSec VPN在企业内部网中也大有用处。如前所述,电力行业具有许多基于网络的应用系统。各系统具有不同的安全性要求,关键业务系统需要和通用应用系统隔离,如财务系统需要和OA系统进行隔离。但在隔离的同时,又有部分系统是所有员工都需要进行访问的,也就是说,部分PC会同属于多个系统(如财务人员的PC还需要访问OA系统、领导的PC需要访问所有应用系统等)。
  
  这种特殊的需求,导致无法采用传统意义上的基于网络的VPN技术(如MPLS VPN等)进行隔离。原因是:基于网络的VPN不会允许任何一台PC同属于多个VPN。并且采用基于网络的MPLS VPN技术,会很大程度地改变网络的结构,极大地增加网络的投资,加剧网络的复杂度从而导致网络改造和维护的难度增加,不适合企业使用。
  
  通过灵活运用IPSec VPN技术,就可以得到一个可行的解决方案。可以通过IPSecVPN网关隔离不同关键业务系统服务器群;在VPN网关上配置允许访问的用户列表;在需要访问多个系统的员工PC上安装IPSec VPN客户端软件。
  
  这样,只有安装了VPN客户端软件的员工在经过VPN网关的认证之后,才能建立IPSec加密隧道访问相应的关键业务系统,其他人的非法访问会被VPN网关拒绝掉。并且,由于所有允许访问的数据都是经过加密后进行传输的,因此完全可以保证关键业务系统数据的安全(包括存储的安全和传输过程中的安全)。

原文转自:http://www.ltesting.net