多分支企业VPN综合解决方案
(一)VPN需求分析
公司总部设在上海,在北京、香港、深圳等地开有分公司。总部运行一些内部数据库服务器,只允许总公司及分公司的内部人员访问。
若不采用VPN方案,可以有以下两种解决方法:
1.用专线将分部连到总部。
优点:非常安全,数据很难被截取。
缺点:费用非常昂贵,中小企业无法承担。
2.允许分公司员工直接从Internet访问
优点:设置简单。
缺点:不安全,服务器容易被攻击,数据在Internet上传输时没有被加密,容易被截取。若分公司没有固定IP,很难设置防火墙限制访问者的身份。
VPN方案的优点:
1.在分支点和总部之间建立一条“虚拟隧道”,数据在发送到公网前被加密,实现了和专线一样的安全性能。
2.不需要专门的通讯线路,只要借助普通的Internet接入线路就能实现连接,价格低廉。鉴于现在公司一般都接入了Internet,用VPN实现网络互连安全无需任何额外的费用。
VigorVPN方案的优点:
1.支持标准的PPTP,L2TP,IPSecVPN连接,兼容各种VPN设备。
2.支持单机接入和局域网到局域网两种模式,既可以让远程单个员工接入公司网络,也可以将两个分支机构互连起来。
3.支持各种加密/认证方式,全面保障网络安全
4.VigorVPN路由器高度集成性,还能够做到无线/宽带共享/VoIP/VPN一体化。
(二)产品推荐
Vigor3900系列(最多支持500个VPN隧道)
Vigor2960系列(最多支持200个VPN隧道)
Vigor2920Eplus(最多支持32个VPN隧道)
企业通过VPN得以在公共网络上构建访问公司内网的安全通道,这样即减少了可观的通讯花费,同时依然提供了远程办公员工,在任何时间任何地点,都能够安全,无缝而又顺畅的访问公司内部资源。
Vigor2960内置一颗独立VPN芯片处理器,可以顺畅而高速地处理AES/DES/3DES的硬件加速以及SHA-1/MD5 密钥的硬件哈希计算,从而让路由器能够发挥其最大性能。Vigor2960共支持200条VPN隧道(比如 IPSec/PPTP/L2TP协议)同时拨入,可用于远程站点连接或者移动办公连接,最大的LANto LAN连接传输速度可以达到400兆(IPSec)。而远程办公用户还可以使用基于X.509证书验证的SSLVPN隧道。
对于那些需要访问公司内网获取资料或者传输文件的远程办公员工,SSL VPN功能可以让他们无需安装任何VPN客户端程序,而仅通过标准的网页浏览器,比如IE和Firefox,就能接入公司内网。
Vigor2960的SSLVPN拨入共支持50个并发隧道。
Vigor2960支持VPN Trunk功能,它包含VPN备份和VPN负载平衡两个部分,VPN备份可以建立两台VPN作为备份,当一条出现故障时,另外一条立即补上,确保数据的安全传输。VPN负载平衡则不仅可以保障数据的稳定传输,还可以使用两条线路的带宽,用户可以根据需要选择经济的网络线路来叠加
对于远程电脑拨入用户来说,密码安全也是一个需要考虑的问题,为了防止密码被窃取,居易科技推出了mOTP(一次性密码)功能,用户只需记住PIN码,每次拨号时用PIN码生成本次的连接密码,即可安全的连接VPN。
VPN中心管理
自1.0.7版本固件之后,Vigor2960 新增了VPN管理中心(CVM)功能,让网络管理员能够同时管控12台远端路由器以及它们的与中心端(Vigor2960)建立的VPN隧道。
简单说,Vigor2960为分布式多分支机构的商业运作模式提供了一个高度安全而又十分灵活的网络方案,而且可以由总部来进行统一管理的系统。
(三)方案特点