TA的每日心情 | 开心
2023-8-11 19:58 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
本帖最后由 ldzs 于 2012-8-25 22:41 编辑
在 淘宝挂了一天就被下架了,原因是我在功能描述中包含了防火墙一词,真是有病。
搞网络的兄弟来看看,介绍如下:
--------------------------------------------------------------------------------
北电 contivity 600 交换机 二手原装
一、高稳定性,灵活的远程接入案例
传统接入方式的局限性
该案例是国内某航空公司的组网方式。过去,为了解决单位或企业内部工作人员在远端访问单位或企业内的网络资源,信息部门需要申请接入的电话线,用户多时,为了方便用户的使用还要申请中继电话线;需要Modem Pool将模拟的电话信号转换成数据;需要拨号访问服务器,将串行数据再转换成网络上传输的IP数据包。访问服务器的品质直接影响到接入服务的质量。由于多数单位和企业的接入规模即接入用户数量与电信运营商相比都非常小。选用的Modem Pool,访问服务器的质量受到很大的限制。同时多数单位和企业都难以象电信运营商一样可以为这些网络接入设备提供非常理想的工作环境。所以,多数单位和企业的服务质量缺乏经济、有效的办法来保障。
VPN的远程接入方式
VPN的远程接入方式彻底解决了以上的所有问题,为IT管理者提供全新的方式,为远程接入用户提供高速、稳定的服务。在该方式下(如图上所示),不管用户采用何种接入的技术,(PSTN的拨号接、ADSL接入、以太网接入、线缆调制解调器)只要在远程用户的计算机上执行一个VPN的客户端软件,通过中心的VPN接入设备的认证,建立起一条IP隧道,就可以高速、稳定的访问中心的网络资源。
同时,通过选择适当的IP隧道协议(如IPsec、PPTP、L2TP、L2F等等),可以有效的保障用户的数据在公共IP网络(如Internet)的传输是安全可靠的。并通过选择适当的校验方式,还可以进一步保证数据的完整性,即保证数据在网络上传输的时候,不会被人篡改。
返回页首
VPN远程接入的客户群
VPN的远程接入方式最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
主要有几类用户特别适合采用VPN:
对移动办公有要求的用户。随时随地都经常的要与公司联网,访问数据资料。
用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户;
对线路保密性和可用性要求比较高的用户。
远程接入案例的优势
简化网络。减少用于相关的调制解调器和终端服务设备的资金及费用;
投入少。只需要投入一台VPN网关设备,就可以解决几十到几千人的接入问题;
省费用。实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低长途通信的费用;
使用范围广。不少宽带用户的地址是私有地址,Contivty很好的解决了这一问题,而且是自动检测的。
极大的可扩展性,简便地对新用户进行管理;
支持多种标准认证机制,如LDAP, RADIUS。对用户进行基于策略的安全访问和资源管理;
多样的接入方式。无论用户采用哪一种接入方式,只要可以访问互联网,就可以建立VPN连接,就可以从互联网的任何地方访问到自己公司内部的资源。
可大可小,自由选择。无论公司大小,Contivity都有相对应的产品,从5个用户到5000个用户。
对于接入用户非常多的公司和单位,Contivity更是支持远程接入的高可用模式,保障用户服务的连贯性。
正由于VPN接入方式能给移动用户带来诸多的好处,同时移动办公越来越成为人们希望的工作模式。VPN接入在国外已经成为各个公司离不开的接入方式,极大地方便了工作人员的联网要求。尤其是应对一些突发事件,缩短了响应和处理的时间。
二、简便易行的中小型企业组网案例
案例简单描述
该案例是国内某广告公司的组网案例。在这个案例中,网络中心采用DDN专线接入互联网络,中心配置一台contivity2700作为网络中心设备,设备上启动防火墙和高级动态路由功能。分支机构根据不同的网络情况和网络需求配置Contivity 1100,Contivity 600和Contivity 1700。分支机构采用的接入方式可以是目前非常普遍的ADSL方式接入方式也可以是DDN专线接入的方式。通过Contivity 本身支持的PPPoE客户端可以直接连接到ADSL Modem上的局域网端口。所有设备因为直接与互联网相连,一律将Contivity内置的状态检测防火墙打开,保护设备及内部网络免受来自互联网的攻击。
移动用户的接入
移动用户可以使用各种接入方式接入互联网,通过VPN的客户端软件,可以方便的和中心网络设备建立加密的VPN隧道,访问内部网络的资源,同时通过中心设备的转发可以访问到各个分支机构的网络资源。
互联网的访问
所有内部网络用户都可以在访问内部网络的同时访问互联网,具体实现方式可以有两种,一种是全部网络用户访问互联网络都通过网络中心设备进行转发,受到中心设备上的防火墙的保护和控制,这种方式可以对内部网络访问互联网的信息进行集中的管理控制;另一种方法是直接通过各个分支机构的设备进行访问,直接由各个分支机构的Contivity上的防火墙上管理策略决定安全控制。
返回页首
该方案所针对的客户群
该组网方式
VPN的远程接入方式最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。
该方案的特点
简化网络设计
用户可以使用VPN技术替代传统租用线路来实现分支机构的连接。这样可以将对长途线路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN通过拨号访问来自于ISP或NSP的外部服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。
降低成本
VPN可以立即而且显著地降低网络维护和使用成本。当使用Internet时,实际上只需支付每分钟2分钱的上网线路占用费,而不是每分钟0.11元的通话费,而且对于出差的用户,更可以省去长途话费。因此,借助ISP来建立VPN,就可以极大的节省通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,这些工作都可以交给ISP。而对于分支机构的接入,ADSL的接入方式与传统的专线的方式又节省了不少的费用。多数地方,ADSL的商务包月费才800元/月,有些地方甚至更低。
网络具有高度的安全性
网络的安全性对于现在的企?盗羌渲匾摹PN有多种方式来保障用户网络的安全性。首先是通过多种安全认证和密码,来保证只有合法的用户和合法的分支机构才可以接入;通过VPN技术中集成的各种协议和加密手段,来保证数据在互联网上传送时,不会被窃取并修改;再有就是在各个VPN设备在连接互联网时,都一定打开防火墙的功能,尽最大可能保护内部的安全。
扩展容易
对于远程接入的用户只要可以访问互联网,就可以在远程接入公司内部。当需要增加分支机构时,也非常简单:增加一台Contivity设备,在当地申请一条ADSL。只要ADSL接通了,只需要通过Contivity 的基于Web的控制界面,作简单的设置就可以建立到总部的专网连接。
网络具有高度的可靠性
由于在互联网上建立加密的隧道是逻辑生成的。这样我们就可以在一个物理连接上,建立多条逻辑的加密隧道到网络上的其他所有节点。形成物理上是星形的网络结构,逻辑上是最可靠的全网状结构。任何一个节点发生故障,都不会影响到其它的节点。
对于企业来说,VPN提供了安全、可靠的 Internet访问通道,为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务,是方便快捷的企业私有网络。企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。
三、高可靠性的大型组网案例
案例简单描述
大型的单位和企业对网络的可靠性要求非常高。由于接入的分支机构以及接入的远程移动用户的数量非常多,网络服务不能中断。在网络设计和实施中,针对这些情况要采取一些针对性措施。该案例取自国外的一些大型企业,如Prudential Financial等,略去了各个公司特有的一些内容,简化整理出来的。
在这个案例中,网络中心采用两条DDN专线接入互联网络,两条线路互为备份,防止因为网络中心线路故障影响整个网络的运行。中心配置两台Contivity4600作为网络中心设备,分别通过DDN专线接入互联网络,设备上启动防火墙和高级动态路由功能。两台设备互为备份,解决设备单点故障。(当然,中心的两台设备不一定必须是相同型号的。也可以是一台Contivity 4600,另一台是Contivity 1700,甚至可以是Contivity 1010。)
两台Contivity 4600内部网络接口启用VRRP路由技术,对于内部网络来说相当于一台设备,设备故障自动切换,对于内部网用户是透明的。对于外部网络的移动用户来说,两台设备分别为Active-Active模式,对于也客户端是透明的;对于分支机构来说可以通过配置动态路由协议的方式,实现对两台设备自动备份和故障恢复。
分支机构的接入与先前的介绍没有很特别的不同。只是每个分支机构设备都要分别与两台中心设备建立逻辑的VPN隧道,通过动态路由协议(SRT技术)自动选择路径。同时还可以在中心的两条链路上实现流量的负载均衡。
所有设备配置防火墙,保护设备及内部网络免受攻击,同时可以方便地控制单个网络用户的访问权限。
主要的可靠性设计和技术
Contivity 特有的Active-Active工作模式
中心的两台Contivity之间通过交换信息,掌握对方的负载情况。对远端的访问请求可以进行动态的调整。如果一台出现故障,客户端会自动重新登陆到另一台Contivity上。
Contivity 4600的全冗余设计
Contivity 4600是专门为高可靠性应用环境下设计的。该设备的CPU,硬盘,电源都是冗余设计,而且还设有敏感的温度传感器。随时将设备工作情况,报告给网管系统。
Contivity SRT技术
在安全的IPsec隧道上运行动态路由协议是一件不容易的事情。这是由于IPsec这一目前安全性最高的协议的处理过程,远比普通的TCP/IP协议要复杂。而北电网络很好的解决了这一技术难题,并提出了安全路由技术。这就是SRT。
双链路接入
两条链路接入解决的最后一公里的问题。避免出现因为建筑或者市政施工,意外的造成总部的网络故障。
ECMP技术
北电网络在SRT基础上,还进一步支持了多路经的流量均衡技术。
Fail-Over选项
对于远程用户的接入,Contivity可以在其自身配置多个Fail-Over的Contivity列表。当出现故障时,远程接入的客户端会自动的在列表中寻找可以连接的Contivity。
VRRP技术
实现缺省网关的冗余备份。
该方案所针对的客户群
接入用户非常多
接入的分支机构非常多
网络服务不能中断
可靠性要求非常高的大型企业和单位。
该方案的特点
中心采用双线路,互为备份,提高可靠性。
中心配置两台设备,互为备份,解决单点故障。
全网络启用动态路由(如OSPF),自动选择最佳路径。出现故障有自愈性。
四、传统专线和互联网互为备份的大型安全企业组网案例
案例简单描述
在这个案例中,网络中心不但采用两条DDN专线接入互联网络,而且还通过Contivity连接到帧中继或是DDN的传统专网上。中心的两台Contivity放在总部的两台防火墙后面。两台设备互为备份,解决设备单点故障。
与前面不同的是,某些分支机构设备不但与互联网相连,而且通过另一条专线与总部相连;某些分支机构甚至直接只与专线连接。
网络上支持的应用也不仅仅是数据的访问。用户还可以通过计算机上的软件,在网络上打电话,真正的实现移动办公。不但随时可以访问公司内部的数据,而且还可以把自己在公司的分机搬到各个现场,随时可以办公。
主要的考虑
互联网的安全访问控制
对于大型企业对于互联网的访问是有严格控制的。虽然各个通过互联网建立VPN连接到总部的分支机构可以直接访问互联网,但是这种方式不利于整个企业网络系统安全性的一直性。所以,所有访问互联网的流量都一定要汇总的总部。在总部由专门的防火墙进行安全访问控制。
对话音等实时应用的支持
移动办公需求的不断增长,实时应用的不断增加,对网络传输平台也提出的更高的要求。在Contivity上可以实现多种有效的服务品质保障的机制,使得多种实时应用可以正常工作。
链路的冗余备份
传统专线的优点是服务品质有严格的保障。互联网宽带的优点是带宽资源丰富,而且互联网上的各个节点之间都是网状连接的,连接的可靠性有保障。Contivity可以有效帮助用户平衡两种链路的资源,将一般数据流量送到互联网的VPN通道上,而将对延时敏感的流量送到传统专线上。
该方案所针对的客户群
接入用户非常多
接入的分支机构非常多
网络服务不能中断
支持的多种不同类型的网络应用
可靠性要求非常高的大型企业和单位。
返回页首
该方案的特点
中心集中控制对互联网的访问。
中心采用双线路,互为备份,提高可靠性。
互联网线路和传统专线并存,平衡两种技术的优缺点。在成本和网络服务品质之间找到一个平衡点。
中心配置两台设备,互为备份。
全网络启用动态路由(如OSPF),自动选择最佳路径。出现故障有自愈性。
五、北电网络的IP VPN产品的特点
总结以上几个典型的Contivity IP业务网关案例,北电网络的IP VPN产品有以下的特点:
基于标准的隧道技术
对IPsec、L2TP、PPTP和L2F标准隧道协议的支持,提供与大量多厂商VPN软硬件的互操作性。
加密
支持DES、3DES和高级加密标准(AES), 为传输数据提供最大的端到端安全。
认证
对RADIUS、LDAP、SecureID和X.509数字证书以及令牌卡和智能卡的支持,提供业界最广泛的认证选项。企业可利用他们现有基于目录的服务,无论是Novell NDS,微软活动目录 ,还是设计他们自已的安全认证机制。
全面的VPN客户机支持
Contivity适用于MS Windows系统(包括Windows95,98,2000,NT ,Millennium和XP)的VPN客户机软件随同每台Contivity设备免费提供。 Contivity VPN客户机同样可用在UNIX和Macintosh操作系统下。此外,通过第三方的 IPsec客户机可支持无线和手持设备的安全接入。
状态检测防火墙
Contivity状态检测防火墙集易于使用的界面和功能丰富的过滤规则于一身,为企业的专用网络提供多重防线。利用广泛的记录、大量的应用层网关(ALG)和内置的黑客攻击保护,Contivity可在提供线速吞吐量的同时保护企业网络和数据免受未授权接入的攻击。Contivity Stateful防火墙能够进一步同VPN终端和网络地址转换(NAT)业务结合,以便对通过隧道化或非隧道化接口发送的数据灵活地应用策略过滤功能。
安全路由业务
基于标准的IP路由业务使Contivity可被集成到现有的路由器网络中,或独立部署在网络上来构建一种高度冗余和高度灵活的安全网络。通过对开放最短路径优先(OSPF)、路由信息协议(RIPv1和v2)以及虚拟路由冗余协议(VRRP)的支持,Contivity可以动态地为流量选路绕过故障连接和设备,同时对等行路径上实施的流量进行负载平衡。 这些功能可以在隧道化或非隧道化的连接上实现。当通过IP VPN 隧道转发IP业务流时,Contivity 的安全路由技术(SRT)避免了复杂的封装协议和相关开销。
带宽管理/服务质量
强大的服务质量(QoS)特性使Contivity可以实现高度优化的IP网络。通过高级服务, 如DiffServ、RSVP和高级列队管理。 Contivity可以确保服务质量, 满足所有关键任务数据的需求。Contivity不仅可以通过IP流量类型来为流量划分优先级,同时可以用户、用户组和VPN隧道来划分优先级,可以实现精细的QoS粒度控制。通过保留最小保证带宽,Contivity确保在多用户环境中保留个别用户的带宽。
LAN/WAN灵活性
通过对10/100 Mbps以太网、帧中继、PPP、T1 CSU/DSU、HSSI、V.35、X.21和V.90 调制解调器的支持,Contivity在企业网络中提供极大的布局灵活性。可以作为通过帧中继、拨号或租用线路连接的主要WAN和因特网接入设备,以及通过标准的以太网接口连接现有LAN/WAN或因特网的接入设备。当主要的WAN连接出现故障时,拨号备份可通过备用连接发送流量。
全面的管理服务
丰富的集成式管理工具使企业或服务供应商可以轻松配置和监视Contivity设备。
这些管理包括:
配置
借助嵌入式HTML Web接口、北电网络命令行接口(NNCLI)或独立的Contivity 配置管理者工具可轻松配置单台Contivity设备,或批量设置一个大型网络基础设施中的多台Contivity设备。
远程管理选项
可从数据中心或网络运营中心(NOC)实现对Contivity的设置。
快速启动工具
应用初始配置流程指引非技术用户操作,消除了现场安装需求。
故障管理
SNMP、告警监视器和历史故障浏览器-快速检测问题。
记帐
丰富的安全和系统记录工具使管理员可以跟踪所有的事务处理和事件。
正由于VPN能给用户带来诸多的好处,VPN在全球发展得异常红火,在北美和欧洲,VPN已经在各个公司中得到相当普遍的应用;在亚太地区,在中国,IP VPN技术也已经迅速被接受,移动办公已经变成一种时尚的工作方式。
|
|
IP卡
狗仔卡
发表于 2012-8-25 22:32
置顶卡
喧嚣卡
变色卡
显身卡
楼主
