隨著社會經(jīng)濟(jì)的發(fā)展，保險、餐飲、加油站等行業(yè)呈現(xiàn)快速增長的趨勢，連鎖分支機(jī)構(gòu)數(shù)目隨之不斷增加。鑒于連鎖企業(yè)地理位置分散、網(wǎng)點(diǎn)眾多，為了便捷地掌握各網(wǎng)點(diǎn)的實(shí)時狀況，提高管理質(zhì)量和效益，同時應(yīng)對加入WTO和經(jīng)濟(jì)全球化所帶來的挑戰(zhàn)，連鎖企業(yè)迫切需要建立自己的電子信息化系統(tǒng)，利用先進(jìn)的IT技術(shù)提升經(jīng)營管理的科技含量和服務(wù)水平，從而進(jìn)一步提高工作效率，降低成本，增強(qiáng)抵御市場風(fēng)險的能力。本文從連鎖企業(yè)業(yè)務(wù)發(fā)展考慮，介紹如何構(gòu)建一個高安全、高可靠、全業(yè)務(wù)的信息化網(wǎng)絡(luò)。

IPSecVPN實(shí)現(xiàn)分支機(jī)構(gòu)與總部互聯(lián)大型連鎖企業(yè)一般都有成千上萬個分支機(jī)構(gòu)，如何將龐大的分支機(jī)構(gòu)互聯(lián)起來？專線由于投資成本大、實(shí)施困難而很明顯是不現(xiàn)實(shí)的。VPN則成為多數(shù)企業(yè)普遍采納的解決方案。VPN（VirtualPrivateNetwork）技術(shù)是在公網(wǎng)上構(gòu)建私有網(wǎng)絡(luò)的新興技術(shù)。為了防止在廣域網(wǎng)上傳輸日常業(yè)務(wù)數(shù)據(jù)時被惡意用戶竊聽、篡改和攻擊，采用VPN可以解決這些方面的憂慮。但是VPN網(wǎng)絡(luò)建設(shè)起來后覆蓋面廣、分支機(jī)構(gòu)規(guī)模大，基于保障VPN業(yè)務(wù)穩(wěn)定、減少日常維護(hù)工作量以及降低排障難度等前提，建議全網(wǎng)部署Site-to-Site方式的IPSecVPN，如圖1（以H3CSecPath系列防火墻為例）。

為了部署一個簡潔、穩(wěn)定、可靠、易管理的VPN網(wǎng)絡(luò)，總部采用兩臺SecPathF1000-E防火墻并通過VRRP協(xié)議做冗余備份，布署在Internet出口，作為各分支機(jī)構(gòu)設(shè)備SecPathF100-C聯(lián)網(wǎng)的中心節(jié)點(diǎn)。為了配置簡單并易于管理，SecPathF1000-E防火墻IKE協(xié)商采用Aggressive方式（即野蠻方式），同時IPSec策略采用模板方式。實(shí)際應(yīng)用中，分支機(jī)構(gòu)大都采用ADSL撥號或者LAN方式接入Internet。為了兼容這兩類接入采用Aggressive方式，以便在進(jìn)行IKE自動協(xié)商密鑰時可以通過Name進(jìn)行識別。因?yàn)锳DSL撥號時IP地址是動態(tài)分配的，中心端設(shè)備無法固定分支機(jī)構(gòu)設(shè)備的IP地址，而采用野蠻模式并通過名字進(jìn)行識別可以解決這個問題。

安全策略部署保證業(yè)務(wù)和設(shè)備安全為了對業(yè)務(wù)進(jìn)行精細(xì)化管理，可以通過在總部SecPathF1000-E防火墻上配置域間規(guī)則實(shí)現(xiàn)訪問控制；同時開啟DDOS防御保護(hù)出口防火墻和總部服務(wù)器免遭拒絕服務(wù)攻擊。對于分支機(jī)構(gòu)來說，可以在SecPathF100-C防火墻上開啟攻擊防范策略和訪問控制策略。如果想實(shí)現(xiàn)防病毒、防垃圾郵件、行為審計(jì)和帶寬管理，分支機(jī)構(gòu)可以采用UTM產(chǎn)品（如H3CSecPathUTM系列）。

BIMS實(shí)現(xiàn)實(shí)時監(jiān)控、配置和版本管理大多數(shù)分支機(jī)構(gòu)由于規(guī)模較小，而選擇通過比較經(jīng)濟(jì)的ADSL方式接入中心端，如PPPoE撥號。由于分支機(jī)構(gòu)的設(shè)備數(shù)量越來越龐大，且地理位置分散，很多設(shè)備通過DHCP獲取IP地址或位于NAT網(wǎng)關(guān)后面。對于傳統(tǒng)的SNMP網(wǎng)管來講，這些邊緣接入設(shè)備是其管理的一個盲區(qū)。傳統(tǒng)SNMP網(wǎng)管主要通過SNMP、Telnet等協(xié)議來實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管知道被管設(shè)備的IP地址，并且可以主動向設(shè)備發(fā)起請求并建立網(wǎng)絡(luò)連接。如果設(shè)備的IP地址不固定，就增加了主動管理的難度；如果被管設(shè)備位于NAT網(wǎng)關(guān)后面，網(wǎng)管根本無法主動與設(shè)備建立網(wǎng)絡(luò)連接，也就無法對這些設(shè)備進(jìn)行管理。BIMS（BranchIntelligentManagementSystem）分支節(jié)點(diǎn)智能管理系統(tǒng)是H3C針對上述問題推出的解決方案，可以實(shí)現(xiàn)對動態(tài)獲取IP地址的設(shè)備或位于NAT網(wǎng)關(guān)后面的設(shè)備的集中、有效的監(jiān)控和管理，尤其對于業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備，BIMS會極大提高管理效率、節(jié)約管理成本。

通過BIMS對上萬個分支機(jī)構(gòu)的SecPathF100-C進(jìn)行統(tǒng)一的OS、補(bǔ)丁、配置、策略等集中管理和下發(fā)，大大減少了管理員的復(fù)雜工作。其主要功能如下：

實(shí)現(xiàn)對動態(tài)分配IP地址和位于NAT網(wǎng)關(guān)后面的設(shè)備的集中、有效的監(jiān)控和管理；

實(shí)現(xiàn)設(shè)備配置文件和設(shè)備軟件等的自動更新，大大降低批量設(shè)備升級時管理員的工作量，提高工作效率；l保存設(shè)備的歷史配置文件，對設(shè)備故障的定位和恢復(fù)提供有力保障；

監(jiān)控設(shè)備配置的變化，并可以自動恢復(fù)到管理員指定的標(biāo)準(zhǔn)配置；

使用普通PC即可實(shí)現(xiàn)對大量設(shè)備的管理，有效降低了維護(hù)成本。

實(shí)踐總結(jié)對于多分支機(jī)構(gòu)的大型企業(yè)來說，不僅要求實(shí)現(xiàn)分支機(jī)構(gòu)與總部的網(wǎng)絡(luò)互聯(lián)，更需要考慮對龐大分支機(jī)構(gòu)設(shè)備的監(jiān)控和維護(hù)。正是如此，中國平安保險、中國人壽保險、中石油加油站等大型連鎖機(jī)構(gòu)都已成功部署了IPSecVPN系統(tǒng)。希望更多此類分支機(jī)構(gòu)眾多的連鎖企業(yè)的信息化網(wǎng)絡(luò)互聯(lián)建設(shè)從中得到借鑒。

【編輯推薦】

1. 最簡環(huán)境下的IPsec VPN配置舉例
2. 信息化的發(fā)展 從IPSec VPN到加速VPN
3. IPSEC VPN配置名詞解釋
4. 基于PSK的IPsec VPN配置