虛擬專用網應用平臺解決方案

一、IP虛擬專網業(yè)務介紹 　　IP虛擬專用網（IP-VPN）是指互聯網服務提供商（ISP）以IP骨干網為基礎提供的增值服務。最終用戶采用IP-VPN的服務，可以在多個地點之間傳送IP數據包，同時得到一定程度的服務質量保證和某種程度的安全保證。 　　利用公用網絡構建虛擬專用網絡會給ISP和VPN用戶帶來益處。對于ISP來說，通過向企業(yè)提供IP-VPN增值服務，可以免費利用現有網絡資源，提高業(yè)務量。而對于VPN用戶而言，利用Internet組建專用網，將大筆的專線費用縮減為少量的市話費用和Internet費用，無疑是非常有吸引力的。而且企業(yè)甚至可以不必建立自己的廣域網維護系統，而將這一繁重的任務由專業(yè)的ISP來完成。 　　一個高效、成功的IP-VPN一般應具備安全保障、服務質量保證（QoS）、可擴充性、靈活性、可管理性等幾個特點。 二、VPN業(yè)務及實現方式 　　IP-VPN業(yè)務主要分為兩種類型，即撥號VPN（簡稱VPDN）和專線VPN。VPDN業(yè)務主要應用于企業(yè)員工、企業(yè)用戶、企業(yè)合作伙伴的遠程撥號接入，專線VPN主要應用于企業(yè)的Intranet和Extranet的建設。 　　1 撥號VPN 　　對于VPDN業(yè)務，一般采用隧道協議，即PPTP、L2TP或IPSec協議。VPDN業(yè)務可分為由用戶端建立的VPDN及由訪問服務器建立的VPDN。 　　由用戶端建立的VPDN：首先由遠程客戶撥入一個本地網接入點（POP），然后它啟動一個支持隧道協議的客戶端軟件，與公司內聯網的VPN網關建立一條隧道，這樣就可以訪問VPN網關內的數據。優(yōu)點是用戶可以同時訪問互聯網和內聯網，其局限性是遠程客戶端需要運行支持隧道協議的客戶端軟件，而且隧道對ISP來說是完全透明的，故ISP無法提供增值服務。 　　由接入服務器（NAS）建立的VPDN：首先，遠程客戶撥入ISP的接入服務器（NAS），由NAS建立一條安全隧道到內聯網的VPN網關，由內聯網負責身份驗證和IP地址分配，遠程客戶就像直接連到內聯網一樣。其優(yōu)點是遠程客戶端不需要特殊的軟件，用戶的IP地址由企業(yè)內部網分配，不占用ISP的地址空間，隧道對ISP來說是不透明的，故ISP可以提供增值服務。 　　2 專線VPN 　　主要有基于用戶設備的VPN、基于網絡邊緣設備的VPN和基于網絡設備的VPN。 　　基于用戶設備的VPN，企業(yè)內部網包含VPN網關設備（也可以是支持VPN隧道協議的路由器、防火墻等設備），通過租用專線接入Internet。該方式解決兩個問題：隧道建立（Tunneling）和地址轉換（NAT）。VPN網關可由用戶購買或租用ISP的設備，其安全性可由自己管理或由1SP代管。 　　基于網絡邊緣設備的VPN：在IP網絡邊緣接入由運營商管理的VPN接入設備為用戶提供VPN業(yè)務。這類設備要連接多個VPN用戶，為每個用戶建立隧道（Tunneling）、地址轉換（NAT）、路由選擇，即要解決Multi-Tunneling、Multi-NAT、虛擬路選問題。設備由ISP管理和維護。 　　基于網絡的VPN：如MPLS技術，要求網絡上的所有設備支持MPU協議?；贛PLS的內嵌VPN是無連接的，無需定義隧道。MPLS提供IP QoS和流量管理，具有良好的網絡擴展性和增值服務擴展性。 　　不同的運營商可以根據自己的經營模式選擇不同的VPN技術實現方式。 三、VPN功能 　　1、VPN功能： 　　實現IP層加密、訪問控制等安全功能； 　　全面符合IPSEC；可保護子網間、主機間、子網與主機間的安全通訊；支持傳輸和隧道模式； 　　支持基于數字證書和預共享密鑰方式的IKE； 　　支持多種密碼算法； 　　開放的密鑰管理體系，支持符合X.509V2/V3標準的數字證書； 　　基于時間和流量雙重要素的動態(tài)SA管理，并支持手工添加/刪除靜態(tài)SA； 　　支持移動客戶（Secure Remote Client）的安全接入； 　　防火墻功能。 　　2、典型配置模式 　　VPN系統不需要改變系統原有的網絡拓撲結構，可以透明地接入用戶網絡系統。安全網關串接在外部網與內部網絡之間（如路由器和交換機/HUB之間）。在安全管理中心，配置認證服務器和管理器，對所管轄的全部安全網關進行集中策略配置、管理。 四、華北科技工控產品在VPN中的應用 　　根據VPN設備的特點及要求，我們可以采用華北科技如下產品。 　　建議選型：采用“ANOVO”RPC-105型1U超薄服務器機箱，內置NOVO-7845全長工業(yè)CPU卡。 　　其中“ANOVO”RPC-105型機箱為19”機架式安裝，1U標準高度，系高強度全鋼結構，嚴格按照EIA RS310C標準生產。提供1個3.5空間的可拆卸硬盤架，匹配PS-160A(160W)電源，帶風扇結構，電源穩(wěn)定可靠。支持4路10/100M以太網絡，提供4個RJ-45網口及1個，RJ-45串口，提供2個USB接口?？蛇xVGA接口及擴張1個RJ-45串口，前面板有電源、記錄指示燈及8個（4路以太網）狀態(tài)指示燈。并配備4個帶濾網風扇給機箱散熱。 　　NOVO-7845全長工業(yè)CPU卡采用INTEL Pentium IV系列處理器，支持超線程技術。提供10/100網絡接口，可用于配置內部網、外部網、?；饏^(qū)、配置網和控制口。同時板上提供ATX/AT電源供電、硬件監(jiān)控，主板支持最新Socket 478結構400MHz/533MHz外頻的處理器，配合最新低功耗CPU，可大大降低風扇高度。 四、應用特點 　　　1、 可靠性高 　　華北科技專心致力于工控機主板的研制，投入大量人力物力進行產品性能和可靠性的提升，在生產及測試方面，嚴格把關，確保每一款產品都符合客戶需要。華北科技已經通過ISO-9000質量體系認證，并先后通過《PC總線工業(yè)計算機及自動化產品》鑒定委員會等測試機構的各項嚴格測試，證明華北科技產品適應在各種需要長時間運行的惡劣環(huán)境使用。 　　2、 安裝方便 　　根據華北科技多年在工業(yè)級計算機領域的服務經驗，一個好的嵌入式解決方案，除了性能方面能夠傲然出眾之外，還需要為客戶考慮現場操作的簡易性。華北科技在產品的結構方面同樣精益求精，您可以在緊湊的機箱內游刃有余的安裝各種擴展模塊，線纜分布井井有條。專業(yè)就是深知客戶的心思，并提前考慮。 　　3、 性價比優(yōu)異 　　華北科技有限公司所有研究人員都是業(yè)內資深人士，保證華北科技技術能夠處于行業(yè)內的領先地位。作為國內領先的工控主板生產供應商，在國內進行大規(guī)模生產測試，產品制造成本大大降低。遍布國內的分支機構就近為客戶提供咨詢和售后服務，有效減少日常的運營成本。因此我們產品的價格通常低于同類產品10%以上，具備優(yōu)異的性能價格比。