隨著社會(huì)經(jīng)濟(jì)的發(fā)展，保險(xiǎn)、餐飲、加油站等行業(yè)呈現(xiàn)快速增長(zhǎng)的趨勢(shì)，連鎖分支機(jī)構(gòu)數(shù)目隨之不斷增加。鑒于連鎖企業(yè)地理位置分散、網(wǎng)點(diǎn)眾多，為了便捷地掌握各網(wǎng)點(diǎn)的實(shí)時(shí)狀況，提高管理質(zhì)量和效益，同時(shí)應(yīng)對(duì)加入WTO和經(jīng)濟(jì)全球化所帶來(lái)的挑戰(zhàn)，連鎖企業(yè)迫切需要建立自己的電子信息化系統(tǒng)，利用先進(jìn)的IT技術(shù)提升經(jīng)營(yíng)管理的科技含量和服務(wù)水平，從而進(jìn)一步提高工作效率，降低成本，增強(qiáng)抵御市場(chǎng)風(fēng)險(xiǎn)的能力。本文從連鎖企業(yè)業(yè)務(wù)發(fā)展考慮，介紹如何構(gòu)建一個(gè)高安全、高可靠、全業(yè)務(wù)的信息化網(wǎng)絡(luò)。

IPSecVPN實(shí)現(xiàn)分支機(jī)構(gòu)與總部互聯(lián)大型連鎖企業(yè)一般都有成千上萬(wàn)個(gè)分支機(jī)構(gòu)，如何將龐大的分支機(jī)構(gòu)互聯(lián)起來(lái)？專線由于投資成本大、實(shí)施困難而很明顯是不現(xiàn)實(shí)的。VPN則成為多數(shù)企業(yè)普遍采納的解決方案。VPN（VirtualPrivateNetwork）技術(shù)是在公網(wǎng)上構(gòu)建私有網(wǎng)絡(luò)的新興技術(shù)。為了防止在廣域網(wǎng)上傳輸日常業(yè)務(wù)數(shù)據(jù)時(shí)被惡意用戶竊聽(tīng)、篡改和攻擊，采用VPN可以解決這些方面的憂慮。但是VPN網(wǎng)絡(luò)建設(shè)起來(lái)后覆蓋面廣、分支機(jī)構(gòu)規(guī)模大，基于保障VPN業(yè)務(wù)穩(wěn)定、減少日常維護(hù)工作量以及降低排障難度等前提，建議全網(wǎng)部署Site-to-Site方式的IPSecVPN，如圖1（以H3CSecPath系列防火墻為例）。

為了部署一個(gè)簡(jiǎn)潔、穩(wěn)定、可靠、易管理的VPN網(wǎng)絡(luò)，總部采用兩臺(tái)SecPathF1000-E防火墻并通過(guò)VRRP協(xié)議做冗余備份，布署在Internet出口，作為各分支機(jī)構(gòu)設(shè)備SecPathF100-C聯(lián)網(wǎng)的中心節(jié)點(diǎn)。為了配置簡(jiǎn)單并易于管理，SecPathF1000-E防火墻IKE協(xié)商采用Aggressive方式（即野蠻方式），同時(shí)IPSec策略采用模板方式。實(shí)際應(yīng)用中，分支機(jī)構(gòu)大都采用ADSL撥號(hào)或者LAN方式接入Internet。為了兼容這兩類接入采用Aggressive方式，以便在進(jìn)行IKE自動(dòng)協(xié)商密鑰時(shí)可以通過(guò)Name進(jìn)行識(shí)別。因?yàn)锳DSL撥號(hào)時(shí)IP地址是動(dòng)態(tài)分配的，中心端設(shè)備無(wú)法固定分支機(jī)構(gòu)設(shè)備的IP地址，而采用野蠻模式并通過(guò)名字進(jìn)行識(shí)別可以解決這個(gè)問(wèn)題。

安全策略部署保證業(yè)務(wù)和設(shè)備安全為了對(duì)業(yè)務(wù)進(jìn)行精細(xì)化管理，可以通過(guò)在總部SecPathF1000-E防火墻上配置域間規(guī)則實(shí)現(xiàn)訪問(wèn)控制；同時(shí)開(kāi)啟DDOS防御保護(hù)出口防火墻和總部服務(wù)器免遭拒絕服務(wù)攻擊。對(duì)于分支機(jī)構(gòu)來(lái)說(shuō)，可以在SecPathF100-C防火墻上開(kāi)啟攻擊防范策略和訪問(wèn)控制策略。如果想實(shí)現(xiàn)防病毒、防垃圾郵件、行為審計(jì)和帶寬管理，分支機(jī)構(gòu)可以采用UTM產(chǎn)品（如H3CSecPathUTM系列）。

BIMS實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、配置和版本管理大多數(shù)分支機(jī)構(gòu)由于規(guī)模較小，而選擇通過(guò)比較經(jīng)濟(jì)的ADSL方式接入中心端，如PPPoE撥號(hào)。由于分支機(jī)構(gòu)的設(shè)備數(shù)量越來(lái)越龐大，且地理位置分散，很多設(shè)備通過(guò)DHCP獲取IP地址或位于NAT網(wǎng)關(guān)后面。對(duì)于傳統(tǒng)的SNMP網(wǎng)管來(lái)講，這些邊緣接入設(shè)備是其管理的一個(gè)盲區(qū)。傳統(tǒng)SNMP網(wǎng)管主要通過(guò)SNMP、Telnet等協(xié)議來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管知道被管設(shè)備的IP地址，并且可以主動(dòng)向設(shè)備發(fā)起請(qǐng)求并建立網(wǎng)絡(luò)連接。如果設(shè)備的IP地址不固定，就增加了主動(dòng)管理的難度；如果被管設(shè)備位于NAT網(wǎng)關(guān)后面，網(wǎng)管根本無(wú)法主動(dòng)與設(shè)備建立網(wǎng)絡(luò)連接，也就無(wú)法對(duì)這些設(shè)備進(jìn)行管理。BIMS（BranchIntelligentManagementSystem）分支節(jié)點(diǎn)智能管理系統(tǒng)是H3C針對(duì)上述問(wèn)題推出的解決方案，可以實(shí)現(xiàn)對(duì)動(dòng)態(tài)獲取IP地址的設(shè)備或位于NAT網(wǎng)關(guān)后面的設(shè)備的集中、有效的監(jiān)控和管理，尤其對(duì)于業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備，BIMS會(huì)極大提高管理效率、節(jié)約管理成本。

通過(guò)BIMS對(duì)上萬(wàn)個(gè)分支機(jī)構(gòu)的SecPathF100-C進(jìn)行統(tǒng)一的OS、補(bǔ)丁、配置、策略等集中管理和下發(fā)，大大減少了管理員的復(fù)雜工作。其主要功能如下：

實(shí)現(xiàn)對(duì)動(dòng)態(tài)分配IP地址和位于NAT網(wǎng)關(guān)后面的設(shè)備的集中、有效的監(jiān)控和管理；

實(shí)現(xiàn)設(shè)備配置文件和設(shè)備軟件等的自動(dòng)更新，大大降低批量設(shè)備升級(jí)時(shí)管理員的工作量，提高工作效率；l保存設(shè)備的歷史配置文件，對(duì)設(shè)備故障的定位和恢復(fù)提供有力保障；

監(jiān)控設(shè)備配置的變化，并可以自動(dòng)恢復(fù)到管理員指定的標(biāo)準(zhǔn)配置；

使用普通PC即可實(shí)現(xiàn)對(duì)大量設(shè)備的管理，有效降低了維護(hù)成本。

實(shí)踐總結(jié)對(duì)于多分支機(jī)構(gòu)的大型企業(yè)來(lái)說(shuō)，不僅要求實(shí)現(xiàn)分支機(jī)構(gòu)與總部的網(wǎng)絡(luò)互聯(lián)，更需要考慮對(duì)龐大分支機(jī)構(gòu)設(shè)備的監(jiān)控和維護(hù)。正是如此，中國(guó)平安保險(xiǎn)、中國(guó)人壽保險(xiǎn)、中石油加油站等大型連鎖機(jī)構(gòu)都已成功部署了IPSecVPN系統(tǒng)。希望更多此類分支機(jī)構(gòu)眾多的連鎖企業(yè)的信息化網(wǎng)絡(luò)互聯(lián)建設(shè)從中得到借鑒。

【編輯推薦】

1. 最簡(jiǎn)環(huán)境下的IPsec VPN配置舉例
2. 信息化的發(fā)展 從IPSec VPN到加速VPN
3. IPSEC VPN配置名詞解釋
4. 基于PSK的IPsec VPN配置