某物业管理公司vpn网络建设方案建议书

某物业管理公司vpn网络建设方案建议书内容摘要：

GW5000：大型企业总部集中管理及中心节点接入，集成高性能防火墙 IPSEC 并发隧道： 2048 条 网络并发连接数： 65K 标配支持的移动客户端数： 20 个 最大支持的 移动客户端数： 256 个 支持 DMZ 支持 VDN 功能，对 VPN 集中管理 ，进行网络拓扑定义 2． 产品性能 参数 列表 GW200 GW200(A) GW2020 GW2500 GW5000 接口 2 个 10/100M 接 口 ；1console 口； 2 个 10/100M接口； 1console口； 1 Modem接口 3个 10/100M接 口 ；1console 口；1 Modem 接口 3 个 10/100M接 口 ；1console 口； 功耗 最大 5W 最大 25W 最大 50W 最大 50W 输入电压 110240v 使用环境 温度 0~45 ℃ 使用环境 湿度 5~95% 配置方式 WEB GUI/Tel/VT100 终端控制端口命令 WEB GUI 中文、英文 并发会话数 8,192 16,384 32,768 65,536 IPSEC隧道数 128 1024 1024 1024 移动客户 端 No 标配 5 个 标配 10 个 标配 10 个 支持 DMZ NO NO YES YES 硬件加密器 NO NO YES YES VDN服务管理 NO NO NO YES 3DES 加密速度 防火墙 地址过滤，包过滤、状态检测 IP地址和 MAC绑定 NO 支持 基于端口 服务和 IP过滤 支持 基于时间 的访问控制 NO 支持 网络地址 转换 支持 NAT/PAT 扩展接口 NO NO 支持扩展存储器作为日志存储 日志 支持本地、远程日志、审计功能 攻击防范 内置常见攻击之防范 DNS服务 内置 DNS服务 系统资源 系统资源在线查看、动态刷新、提前预警 DHCP 内置 DHCP服务 广域接口 支持 xDSL/ Cable Modem/Dial up/ISDN/LAN 接入 Qos设置 NO 支持多级 QOS 防火墙策略 1024 条 支持 4096 条防火墙策略 时间策略 NO 支持 256 条时间策略 流量监控 NO 支持 IP 浏览监控 支持 IP 压缩支持 支持，可手工选择 双机热备 NO NO 支持 Dynamic MSS 支持 MSS 可调节 NATT 支持内网穿透，支持自定义内网穿透 隧道循检和自动恢复 可以自动检测隧道和恢复隧道 IKE 支持 数据传输加密算法 支持多种加密算法可选 AES/12 3DES/16 SERPENT/12 BLOWFISH/12 TWOFISH/12硬件加密卡或第三方算法 数据完整加密算法 MD59 SHA19 SHA225 SHA2512 身份认证 PSK/ RSA 手工秘钥 路由协议 静态路由、 RIP/OSPF 与其他 VPN 互通 能和 Cisco、 screen 等其他 VPN 产品互通 双向 NATT建立VPN 支持 配置备份 支持配置备份和恢复 在线升级 支持远程在线升级 智能向导 可以智能判断常见故障，指导用户使用 带宽管理 支持 流量监控 NO NO 以图形显示当前设备的 IP 包流量 URL 查看 NO NO 支持查看当前上网的 URL 捕捉 URL 过滤 NO NO 支持自由屏蔽 URL 全动态 IP 形成VPN 支持全部动态 IP 形成网状 VPN 自由扩展 新装节点可以自由扩展，不用更改原来已经安装的节点 集中管理 由平台集中统一管理 自由拓扑 可以自由设计 VPN 网络的形状，可以形成星状、网状、树状或者混合形状的网络拓扑 子网共享 可以自由和原来已经建立了 DDN 线路和其他线路实现无缝联合 3． APN 独特的优势  管理报警功能 ：中 心管理节点具备巡检警告、定时检查在线、 n 次包无应答、重联或 APN 离线等等检测报警模块功能，可以实现在第一时间发现问题和解决问题。  自由扩展 ：可以在任何时候延伸扩展原来的 VPN 网络而不需要对原来的节点做任何设置上的改动。 随时安装， 5 分钟内完成配置，和任何原来节点马上可以直接通讯，没有通讯瓶颈。  节点可定义 ：可以形成网状、星状、任意形状的网络拓扑。 而且随时需要随时做新的调整，自由定义节点，自由切换。  隧道巡检 ：定时自动检查和自动愈合隧道，保证网络一直稳定通畅。  统一管理 ：基于 APN GW 的交互式管理平 台，很容易做到统一管理、统一维护。 可以为每个虚拟域定义它内部的逻辑关系。 例如星状、网状、组合形状等。  智能向导 ：独特的拟人化智能向导，可 以智能协助用户完成设备的安装、配置以及出现故障时候的原因的判断  双向 NAT：支持两边都是内网地址的情况构建 VPN。  网络监控 ：可在网关上监控 IP 数据包、流量，内部上网的情况，访问的站点。 这个功能在局域网内有异常情况：例如病毒攻击的时候会非常方面的实现维护和判断。  动态 IP形成网状连接 ：可以全部采用动态 IP地址，而且自由形成网状连接或任意形状的网络拓扑。 4． VDN 体系结构概述 2020年以前，奥联就推出自主体系的全动态 IP地址的 VPN解决方案－ VDN架构体系。 2020 年以后，其它 VPN 厂家才开始提出了为解决动态 IP 地址的 DDNS，或是通过 WEB服务器中转节点信息的方法。 那么， VDN 架构体系是怎么实现全动态 IP 地址的 VPN 解决方案呢。 在 Inter 上，不论您在任何地方上网，当您键入一个网址时，您的电脑总是准确的定位到一个地方去。 这是由于因特网上有许多 DNS 服务器在为许多域名作解析。 根据这个思路的启发，我们设计了 VDN 服务。 每个 APN 终端设备 在因特网上会属 于一个虚拟的域，有自己独特的虚拟域名和虚拟主机名。 同时，在 Inter 上，我们自己开发出一种机制来解析这些域名，使得在同一个域之间的主机能够相互按照事先预定的规则快速搜索到同域的其他机器。 这种服务我们称之为 VDN 服务。 APN 终端设备能够获得 VDN 服务而与同域的其他 APN 建立 VPN 通道。 通过 VDN 架构的解决方案，我们可以实现： 1． 身份认证 APN 终端设备必须得到由 VDN 服务模块分发的一组包含虚拟域、虚拟主机和许可证的参数，才能合法的通过 VDN 服务器的认证，才能在 VDN 服务器上被加入到特定的域中。 一个域 就代表着一个 VPN 网络，同一个域中有不同的虚拟主机名称，代表着这个 VPN 网络中的不同地方的节点。 APN 终端设备跟 VDN 服务器的通信是经过 168 位高强度加密算法 3DES 算法加密的，确保两者之间通信的安全。 2． 网络拓朴定义 因为 APN 终端设备之间是否需要连通和互相之间的信息（比如：外网地址，需要通信的网段 IP 等）是由 VDN服务模块来负责处理的。 VDN 服务模块在 APN终端设备身份认证通过后可以决定是否把同域的其他节点的在线信息发送给这个APN。 通过在 VDN 服务器上定义一个域中不同虚拟主机之间的连通关系，可以组建全网状的、星状的或者是混合型的树状结构的 VPN 网络结构。 这个网络拓朴的初始定义或者以后的网络拓朴的改变，都是在 VDN服务器上完成，而不需要改动 APN终端设备上的任何设置。 3． 快速布署大规模的 VPN 网络 通过 VDN 服务模块对 APN 设备的信息管理和交换技术， APN 终端设备只需要做简单的网络连接的设置，就可以完成一个设备的配置过程，甚至不需要去了解IPSec 协议。 只要在实施 VPN 网络之前规划好各个节点所使用的内部网段，每个节点就可以单独配置，而不需要节点之间的配合和联调，节点与节点之间的隧道建立都有 VDN 服务器去协 助完成。 在加上 APN 设备非常人性化的 GUI配置界面（包含了“傻瓜式”的向导设置方式），可以非常快速的实施一个大规模的 VPN 网络，并且，不需要每地都有专业的网络工程师。 4． 事件报警功能 APN 终端设备到 VDN服务器身份认证通过后，两者之间会时刻保持着联系，交换互相之间的状态。 在 VDN 服务器上可以定义各种事件，比如： APN 终端设备网络掉线、 APN终端设备检查到其他的节点的隧道不通、网络是否稳定等。 当发生这些事件时，管理 VDN 的管理终端（通过 连接）上会给出客户警告音乐提示，同时 VDN 服务器可以给设定 的管理员的 Email 发送警告邮件。 5． 专线备份的环路故障报警 用户可以将传统的 ISDN 线路备份 DDN 线路的方式改为 VPN 网络对原有专网备份，这时 VPN 网络常见的应用。 APN 终端设备具有环路检测功能，不但可以检查本身的 VPN隧道是否正常，还可以将原有 DDN线路的通断情况向 VDN 服务器进行报告，由 VDN 服务器向管理终端或者通过 Email 向管理人员发送警告信息。 这是提供 DDN 线路运营商也不能提供的功能，也是 VDN 架构所独创的。 6． 集中管理功能 在 VDN 管理终端上通过 连接 VDN 服务器，可以分发 APN 终端设备 所需要的 License；定义整个 VPN 网络的拓朴结构；定义监控的事件；查看每一个APN 终端设备是否在线以及在线信息；查看设备登陆的历史记录等。 当 VDN 服务模块支持集中管理模式时，可以通过在管理终端上打开或者关闭APN 终端设备的管理权限。 这样的模式，可以只开放简单维护的权限设备当地的管理员，而把更高的管理权限集中在中心点的授权人员。 VDN 服务器分为运营级的 VDN 服务平台以及企业级的包含 VDN 模块的 APN 设备两种。 运营级 VDN 服务平台： 可以生成多个不同的虚拟域，为多个 VPN 网络的终端设备进行服务。 一般用 于电信运营商为用户提供 VPN 互联业务，或者是厂家为多个客户提供服务。 一般情况下，这样的 VDN 服务平台都在有一个或者以上的异地备份的服务器，在主服务器的网络连接线路或者服务器本身出现故障时，异地的备份服务器能继续提供服务。 企业级包含 VDN模块的 APN设备： 只可以生成一个虚拟域，一般用于企业自建 VDN服务的 VPN 网络中。 这样，企业就不需要依赖第三方提供的 VDN 服务，所有的 APN终端设备都有本身的 VDN 模块分发许可证和进行管理。 在方案中，一般在中心点使用此种 APN 设备，既作为中心端的 VPN 接入设备，也同时作 为 VDN 服务器。 要是考虑更高的稳定可靠性，也可以在异地布署包含 VDN 模块的 APN 设备作为备份服务器。 5． VDN 解决了传统 VPN 的缺陷 传统的 VPN 解决方案都会面临下面的几个问题： 1) 设备配置调试复杂，需要专业的网络工程师完成； 2) 不能进行集中管理，维护复杂； 3) 两点互联必须有一端是固定的公网 IP 地址； 4) 只能组成有一个中心点的星型网络，非中心点之间的数据交换需要通过中心点完成，对中心点的设备性能与接入带宽要求很高； 5) 扩展困难。 每增加一个节点，需要考虑这个节点要跟哪里通信，要一条一条的配置隧道，并且需要对对 端的设备进行配置； 6) 维护困难。 对于规模较小的点，并没有网络维护工程师，当出现问题时，必须派出专业的维护工程师进行故障判断与排除，此必然带来高昂的后期维护费用。 第四章 APN GW 产品与其他产品的比较 1． 设计理念比较 目前市面的其他 VPN 产品，大多是采用传统的设计思路，以 IPSEC 协议为核心的建立通讯网关。 在易用性、稳定性、国内环境的适应性上考虑不够。 APN 产品是设计定位是作为智能 VPN 产品，充分考虑国内 VPN 市场的需求而定制。 所以在管理设计、兼容性设计上做了很多针对 VPN 功能的设计，在下面的比较中会 逐步说明。 2． 成功案例 比较 APN 产品自从推出市场以来，作为专业的 VPN 产品，已经 1． 和 5 个运营商建立了 VPN 增值业务的合作模式，开展了多个用户； 2． 被多家超过 50 个节点的大型企业、集团 VPN 联网使用； 3． 麦当劳（中国有限公司）、康佳集团、创维、格兰士、 深圳联通、北京京客隆 等多家知名企业作为主要业务的承载设备； 4． 被北京供电局、武汉卫生防疫站、山西尖草坪工商局、河北泊头法院、佳木斯电业局、山西公积金中心、山东东营公路局、重庆高速公路、宝鸡电力、深圳鹏海运、银海证券、深圳血站、北京市唐龙国际文化传媒集团等政府、媒 体行业用户使用。 3． 结合需求比较 APN 的功能能够非常好的结合客户的要求，能够实现 1. 网络结构随时调整； 2. 网。