诚邀代理商 | 员工论坛 | 联系我们
首 页 关于我们 新闻中心 产品中心 核心业务 成功案例 服务专区 在线留言
成功案例
successful cases
中国银行河北分行IPSEC-VPN项目

 1、项目背景

       河北中行外联酒店POS机构大约有260多个,目前,各POS机构大多具备自己局域网络和INTERNET出口,但是没有专线与银行网络相联,POS机要实现其工作必须与银行网络安全的建立连接.
我们常用的方式就是租用运营商的链路把各POS机构与银行网络连接起来,比如DDN,FR等。但使用专线连接投入的费用是很高的,POS机构与银行之间的业务量又不是很大,所以我们建议采用IPSEC-VPN来实现POS机构与银行网络的连接,无需任何专线费用,借助于INTERNET形成一个虚拟的专用网。
      
另外,在中心配置VPN后,当中心网络出现问题的时候,技术维护人员在出差的进候只要在笔记本上安装一个VPN客户端软件就可以通过INTERNET与银行中心网络建立VPN连接,然后安全的访问到银行中心网络,对网络进行维护。
       
河北中行与POS机构的VPN 网络要求使用技术成熟的IPSEC VPN技术,传输使用50位以上加密传输以确保安全。VPN设备必须满足可以同时连接300个以上的POS机构,并能够继续扩展。各POS机构都有自个儿的局域网,并有INTERNET出口,在银行中心要部署一台性以较的备作为核心VPN设备。VPN设备还必须可为移动办公用户提供客户端连接,并发用户50个左右,注册用户无限制,用户可以自行更改口令。
2
网络改造内容
改造前:

改造后:

在中心机房新增一台netstreen防火墙,并划分为4个区域,分加为DMZ、内网、外网和VPN区,为了保持现有网络的IP分配形式,netstreen防火墙工作在透明模式,4个接口均无IP地址。
DMZ
区的服务器要求对外IP地址不可见,所有要在R1上对DMZ区服务器的地址做NAT转换,隐藏DMZ区服务器的地址。
原来AC路由器连接INTERNET的两条线路都合并到新增的AR46路由器上,INTERNET IP地址保持不变,并把AC路由器的原的配置根据实际情况作到AR46上。AC路由器撤掉。
新增的AR46路由器连接INTERNET,作VPN-SERVER,以IPSEC-VPN的形式连接各POS机构。
在防火墙上做ACL,控制各区域之间的数据访问。
3
IPSEC-VPN部署方式
      
新增的AR46路由器作IPSEC-VPN的服务器,AR46通过两条不同SP的线路连接到INTERNET,一条作为主运营线路与POS机构的AR28路由器建立VPN,另一条作备用,通过技术配置实现当主线路的VPN不能建立时,备用线路可切换到主线路状态与POS机构设备建立VPN
       POS
机构的AR28路由器连接到INTERNET有两种情况,一种是通过POS机构的局域网接入到INTERNETAR28上联接口的地址为由POS机构分配的私有地址,需要采用NAT穿越模式的IPSEC-VPN与中心的AR46建立VPN;另一种是通过一条ADSL专线接入INTERNET,把ADSL猫设为透明模式,AR28上联接口的地址为由SP自动分配的不固定的公有IP地址,需要采用IPSEC-VPN野蛮模式与中心的AR46建立VPN
    
但经过测试上述两种方式都不能实现IPSEC-VPN容错,所以POS机构均改成固定公公有IP地址的连接方式。
4
IPSEC-VPN技术选择
基于IPSEC本身的技术特性,在本项目中我们将做以下技术规划:

技术项目

技术参数选择

 

安全协议

ESPEncapsulating Security Payload

它除提供AH协议的所有功能之外(数据完整性校验不包括IP头),还可提供对IP报文的加密功能

验证算法

SHA-1

SHA-1通过输入长度小于264次方比特的消息,产生160bit的消息摘要

加密算法

3DES3Data Encryption Standard

使用168bit的密钥对一个64bit的明文块进行加密

协商方式

isakmp

IKE自动协商方式

5IPSEC-VPN容错
      
中心的AR46有两到线路连接INTERNET,为了保证下属POS机构的业务能不间断运行,考虑一条作为IPSEC-VPN的主线路,另一条作为备份,当主线路出现问题时自动切换到备线路进行IPSEC-VPN建立。
      
经过实验测试,采用IPSEC-OVER-GRE的方式来实现POS机构IPSEC-VPN单线路备份。具体的实现方式是在中心的AR46POS机构的AR28之间首选建立两条GRE Tunnel,然后在AR46AR28上分别配置两个IPSEC 策略,然后分别应用的两个Tunnel接口上,通过GRE来建立IPSEC-VPN
       IPSEC-VPN
的路由为OSPF实现动态路由备份,因为从28---->46有两个Tunnel出口,从46----->28也有两个Tunnel出口,当中心的两条线路其中一条断了以后该线路上的GRE TunnelDOWN,该Tunnel到对端相应的OSPF路由也消失,切换到另外一个Tunnel进行数据传输。正常情况下两个Tunnel出口是负载衡的。
      
该容错方式要求各POS机构的AR28路由器都有固定的公有IP地址。
6
、方案特点
    IPSEC-VPN
网络组建成功后可以用8个字来概括简单好用、稳定可靠,还具有廉价、组网灵活、扩充性好等特点。
   
采用安全协议ESP对在IPSEC-VPN网中传输的数据时行加密和验证,加密算法选择3DES3Data Encryption Standard),使用168bit的密钥对一个64bit的明文块进行加密,验证算法选择SHA-1SHA-1通过输入长度小于264次方比特的消息,产生160bit的消息摘要,从面保证了数据安全性;
   
为保证VPN链路可靠性,避免单点故障,在中心采用单机双链路备份的组网方式,保证主备链路及时切换,使业务受链路中断影响最小。我们同时选择了动态路由协议的技术解决链路快速切换问题,即GRE+IPSEC+OSPF的技术,中心在每条链路上设置一个VPN-POLICY,分支设备到中心设备建立两条VPN链路,接口之间运行OSPF协议。通过路由协议感知链路状态,当主链路断开时可以及时地把数据流切换到备用线路上,保证了数据业务顺畅进行,有效地提高了网络的可靠性。

关于我们 产品中心 核心业务 成功案例 服务专区 诚邀代理商 在线留言 员工论坛
北京2019香港数码挂牌i科技发展有限公司 版权所有
电话:010-51262699 传真:010-51262699转8008 备案号:京ICP备04000001号 网站制作海大科技