e地通
惠尔顿e地通产品是深圳惠尔顿信息技术有限公司为了解决管理软件异地部署过程中可能遇到的问题而推出的,目前有软件和硬件全系列产品,本文将主要介绍硬件产品的功能。本系列产品集成VPN、远程集中接入、防火墙、QOS、带宽叠加、VLAN等功能于一体。
1.1、Socks5 VPN功能防火墙、入侵检测防御等安全系统通常能够有效的在内外网之间建立一道安全屏障,以保障内网重要区域的安全。但是由于数据共享的需要,内网的重要数据不可避免的要在内网端到端之间以及内外网之间进行传输,如果重要数据在传输的过程中是明文形式,那么一旦被非法内外网用户捕获,后果就非常可怕;同时内部的病毒和黑客也会因为重要数据共享时传播,怎么办?据统计,在安全事故造成的损失中,有75%以上来自于内部,作为我们用户体系,这个内网的概念很大,既可以说是党政专网,也包括银行税务等横向单位形成的网域、或者上下级单位之间所形成的网域,等等,所以这种传输过程中的安全一旦出了事故的话,所牵涉到的环境非常复杂,后果也会非常严重。
1、Socks5 VPN的特点
Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新,是在总结了IPSec VPN和SSL VPN的优缺点以后,提出的一种全新的解决方案。
Socks5 VPN运行在会话层,并且提供了对应用数据和应用协议的可见性,使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理,通过代理可以将用户实际的网络请求转发给应用服务器,从而实现远程访问的能力。
在实现上,通过在用户机器上安装Socks5 VPN瘦客户端,由瘦客户端监控用户的远程访问请求,并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理,Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上,Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色,可以在用户访问远程资源之前执行相应的身份认证和访问控制,只有通过检查的合法数据才允许流进应用服务器,从而有力保护了组织的内部专用网络。
Socks5 VPN与传统的L2TP、IPSec 等VPN相比:
有效地避免了黑客和病毒通过VPN隧道传播的风险,而这些风险是防火墙和防病毒难以克服的,因为他们已经把VPN来访作为安全的授信用户。
基于会话层实现的VPN优化了访问应用和资源提供细粒度的访问控制
基于代理模式的会话层数据转发减少了隧道传输过程中的数据冗余,从而取得了传统VPN无法媲美的传输效率
Socks5 VPN同时又保证了对应用的兼容性,避免SSL VPN的以下三大难题:
因为运行在会话层,非应用层,支持传输层以上的所有网络应用程序的访问请求,支持所有TCP应用,无须如SSL VPN那样通过复杂的协议转换来支持各种不同应用所导致的效率损失和很多应用不兼容的两大难题。
还克服了SSL VPN只能组建单向星状网络的尴尬局面,满足了双向互访、多向网状、星状访问的复杂网络环境。
2、e地通Socks5 VPN的优势
1)抗干扰性好,将VPN的副作用降到最低
由于IPSec VPN打通了网络底层,一旦被侵入,整个网络都将暴露,建立隧道后,远程PC就像物理地运行在最终用户重要数据库服务器所在的局域网上一样,相当于为远程访问者敞开了访问所有资源的大门,并对全部网络可视,为最终用户关键数据带来了安全风险,所以非常容易成为黑客攻击的目标。而且一旦异地客户端被黑客利用,他们会通过VPN访问组织内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。
作为架构在会话层的Socks5 VPN,在VPN服务器端,系统有效地屏蔽了的网络结构,也屏蔽了常见的网络攻击手段,如PING、UDP、ICMP包等,系统根据授权与认证访问授信网络;在VPN的客户端,可以指定特定的应用程序才能发起连接,连接到VPN服务器,完成应用的代理过程,根据这个控制,不仅可以实现精细的访问控制功能,重要的是可以阻止病毒和程序不能通过VPN隧道传输到VPN服务器端,有效保护了服务器端数据资源受到安全防范措施弱的异地端的威胁。
Socks5 VPN适应于所有的TCP应用,用来实现安全的远程接入,外网用户不能通过VPN探测到内部网络结构,因此不会将不设防的内联网服务器暴露。这样如果受到攻击,也可以避免载有重要数据的服务器遭受攻击。
2)身份认证锁定到人、访问控制细到每个应用
衡量任何一个安全产品的安全指标时,身份认证和访问控制是两个最基本的参考因素。Socks5 VPN安全互联系统在安全指标方面提供了双因素的用户身份认证,以及基于IP、端口和应用协议的访问控制能力。
双因素身份认证
身份认证模块可以有效地鉴别来访用户的身份信息,以及确定其是否具有访问受控网络资源的权限。传统的身份认证机制往往采用的是简单的用户名和密码的形式,在进行身份信息确认的过程中,通常也是采用明文方式来发送身份信息,比如不支持HTTPS的WEB邮件系统就是一个典型的例子。这种通过明文方式来进行身份信息认证的过程是非常危险的,攻击者可以很轻松的利用一些常用的嗅探工具(如Sniffer Pro)就可以得到用户的身份信息。
Socks5 VPN安全互联系统在身份认证上提供了简单安全可靠的双因素认证方式,既支持传统的用户名/密码认证方式,也支持更为安全的硬件KEY认证方式,不同的认证方式适合安全需求不同的客户。对于上述的用户名/密码及硬件KEY认证,它们认证的过程是统一的,唯一的区别在于硬件KEY是提供用户身份信息的唯一途径,只有拥有该硬件KEY的用户才能合法登录VPN系统并访问受控的资源。
此外,在唯一表示用户身份信息的同时,VPN服务器还可以鉴别硬件设备的唯一性。换句话说,在进行授权的同时既授权用户的身份信息,同时也授权了用户所使用的机器硬件信息,这种授权方式特别适合防止办公人员在认证了的办公机器以外的终端上登录并获取用户的安全保密信息,从而防止机密信息的外泄。
细粒度访问控制
访问控制可以保护受控网络资源,切断非法用户或受限用户对其进行非法访问。评价一个系统是否具有比较高的安全性能指标,一个重要因素就是看该系统提供的访问控制粒度。作为一个好的安全系统,细粒度的访问控制是至关重要的。
Socks5 VPN安全互联系统支持基于IP地址、端口和应用的访问控制策略,从而方便网络管理员对应用资源进行更为安全的配置。在访问控制的具体实现上,访问控制模块维护了一个全局的访问控制列表,列表中定义了每一个用户的访问权限,包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。可以用一棵资源树型图简单的表示其结构:
图1
每一项网络资源都拥有若干种访问权限属性,上图简单列出了最基本的访问权限属性,包括IP地址、端口、用户身份、应用程序路径等属性信息。当远程用户发出应用资源访问请求时,访问控制模块可以根据该请求所包含的如下信息:IP地址、端口号、用户身份、应用协议(协议分析模块分析而得)判定用户的请求是否合法,从而决定是否允许用户进行远程访问网络资源。
基于上面的用户权限树,访问控制模块对每一个用户远程访问网络资源的请求作如下过程的解析:
图2
3)易用:免安装的瘦客户端、绿色VPN,并对原有网络结构不作任何改动
Socks5 VPN整个系统架构在操作系统的会话层,所以系统的安装十分简单,使用相当方便,绿色的VPN,相比SSL VPN的ActiveX安装,Socks5 VPN的使用也是十分简单,并且对原有的操作系统没有任何影响。
Socks5 VPN成为一种有客户端但在客户端免安装、零配置的解决方案,可以节省安装和维护成本,同时VPN SERVER端一旦升级,客户端自动升级,无须人工干预。IPSec VPN需要在远程终端上安装特定设备的客户端程序或客户端设备,且需要重新规划网络,这是一件十分困难的事,而且在某些情况下是不可能的。此外,使IPSec VPN客户端保持最新状态是IT人员的负担。
Socks5 VPN可以在任何地点,利用任何设备,连接到相应的网络资源上,它具有穿越防火墙的能力。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突、多重路由转发等困难。鉴于IPSec客户机存在的问题,IPSec VPN实际上只适用于易于管理的或者位置固定的设备。
4)基于连接的中转机制—效率更高
Socks5 VPN相对SSL VPN,二者都是每个连接一个不同的加密key,但是Socks5 VPN不关心应用层的协议,而SSL VPN需要处理协议应用中的内容,SSL VPN需要针对不同的协议进行不同的处理,因此效率相对Socks5 VPN更低。相对IPSec VPN,Socks5 VPN 在TCP协议簇的网络层以上,不处理会话层以下的无效数据,如接入Internet网络数据(IPSec VPN需要处理上网数据与VPN数据分流)、ICMP数据、广播包、组播包等都不通过VPN隧道的处理;Socks5 VPN只处理服务器端管理的应用数据。并且Socks5 VPN只处理连接、不会处理底层数据包,不增加IP包的大小(而IPSec VPN将增加数据包的大小30%左右),效率比IPSec VPN高25%左右。
5)对应用及网络的支持广泛全面
SSL VPN将用户局限在Web浏览器所能访问到的应用上,阻碍用户调用非Web应用程序,并造成文件共享、定期文件备份和自动文件传输等功能的复杂化。虽然SSL VPN可以通过升级、补丁程序、SSL网关和其他变通办法来支持非Web应用程序,但是这些办法的费用十分昂贵,并且实施起来十分复杂,同时SSL VPN不能实现VPN两端的资源互访,只能实现客户端向服务器端的请求,而Socks5 VPN使用户可以非常方便地访问组织网络的任何资源,不管这些资源是否基于Web,而且既可以允许只是单向访问,也可以实现双向或者网状的多方互访。
6)隧道多线负载均衡及热切换
Socks5 VPN服务器和VPN客户端之间的通信线路就是应用数据传输的隧道,当正在通信的隧道出现故障后如果能够及时切换到备用线路上,就能够实现隧道上的可靠通信,从而就可以保证用户远程访问是可靠的。
多个链路之间的负载均衡. 通过系统的负载均衡功能可以在两点间同时使用多条线路实现互联。通过多条线路实现互联带宽叠加,大大增加大数据量业务的处理速度。
图3
7)基于连接的服务器的负载均衡
客户端存在大量会话连接时,一个服务器不能处理更多的连接,会导致连接队列丢失,系统可以采用多个服务器实现负载均衡,多个服务器同时处理客户端发起的连接请求,应对系统大容量并发用户并发数请求。
多个Socks5 VPN服务器之间的负载均衡. 通过系统的负载均衡功能可以在客户端同时与多个VPN服务器实现通讯。一方面通过多服务器实现出路速度的成倍增加,大大增加大数据量业务的处理速度,另一方面,当其中的一个服务器中断(崩溃)时,系统可以把负载自动切换到其他服务器,使得整个系统不中断,大大增强VPN系统的稳定性。
3、各种VPN技术比较
电信运营商VPN(主要是L2TP VPN)
IPSec VPN
SSL VPN
Socks5 VPN
访问权限粒度
VPN设备之间的网络接入控制
·网络边缘到客户端
·仅对从客户到VPN网关之间通道加密
细到用户对应用的基于组、URL、主机、端口的接入控制
细到用户对应用的基于组、主机、端口的接入控制
身份认证
对VPN设备的身份认证
对VPN设备或PC进行认证
锁定到人的用户名密码认证、硬件特征码认证、硬件KEY双因素认证
锁定到人的用户名密码认证、硬件特征码认证、硬件KEY双因素认证
抗干扰性
不能屏蔽黑客和病毒通过VPN隧道来传播
不能屏蔽黑客和病毒通过VPN隧道来传播
能够有效杜绝黑客和病毒通过VPN隧道来传播
能够有效杜绝黑客和病毒通过VPN隧道来传播
传输效率
·取决于带宽
·通常只有明文传输效率的70%-95%
·是VPN技术中传输效率最低的
·需要通过加速芯片来提速
·基于代理模式的应用层数据转发减少了隧道传输过程中数据冗余
·是传输效率最高的VPN技术
网络环境的适应性
·通常只能在某一个区域的某一个运营商才能实现互联互通
·依赖于地方运营商
·适应所有网络
·适应所有网络
·适应所有网络
安装
·需要客户端硬件设施的安装调试,由运营商来承担,最终用户只需按月上缴费用即可
·需要客户端硬件设施或软件的安装调试
·需要把所有接入网的内网网段规划成相互不同
·需调整路由
·即插即用安装
·无需任何附加的客户端软、硬件安装
·无须更改任何网络结构
·即插即用安装
·客户端硬件、软件或无客户端可任意选择
·无须更改任何网络结构
用户的易使用性
·容易
·对没有相应技术的用户比较困难
·需要培训
· 需要升级成标准Web浏览器
·无需终端用户的培训
·所有应用使用方式均保持与原来不变
·无需终端用户的培训
对应用的支持
·通过各种网络协议,包括ATM、SONET和帧中继
·所有基于TCP协议的服务
·主要基于Web应用
·文件共享
·所有基于TCP协议的服务
组网方式
不支持移动方式接入
双向互访、多向网状、星状访问的复杂网络环境
单向、星状网络
双向互访、多向网状、星状访问的复杂网络环境
1.2、远程集中接入功能1、远程集中接入功能概述
随着各种管理软件的普及,越来越多大型的管理软件开始通过网络覆盖到分支机构和移动办公用户,网络所承载的数据量越来越大,网络带宽资源却越来越紧张,现有网络资源已经很难满足大型管理软件数据传输对速度的需求,同时异地应用的增加也给管理软件的异地部署和维护造成了很大的困难,虽然管理软件厂商都在加大在产品B/S化方面的投入,但是由于技术和成本等各方面的原因,C/S结构的应用仍然是目前的主流,如何将C/S结构的软件客户端部署到异地也成为了业界不得不面对的一个问题。
远程集中接入功能改变了以往的软件应用模式,C/S结构软件通过远程集中接入技术无须在异地部署软件客户端,只需要将远程集中接入服务器上的客户端发布出去即可,异地操作时远程集中接入客户端将操作人员对鼠标键盘的操作信息传输到远程集中接入服务器,通过远程集中接入服务器上的软件客户端程序完成对管理软件服务器的操作,然后将操作的结果以图像的形式传输到远程集中接入客户端。由于远程集中接入客户端和远程集中接入服务器间没有管理软件的数据传输,所以能够极大的提升管理软件异地使用时的速度,同时在部署管理软件的时候也无须再在异地部署管理软件客户端。
2、e地通远程集中接入的优势
E地通
其他远程集中接入产品
共同点
技术原理
基于服务器的运算模式
主要功能
把C/S结构的软件变为B/S应用,由胖客户机模式变为瘦客户机模式。所有的运算逻辑在服务器端执行,显示逻辑在客户端在执行,网上仅传输客户机的荧屏变化信息,不传输真实数据,支持负载均衡。
解决问题
C/S结构软件的快速部署问题;
C/S结构软件远程应用速度问题;
C/S结构软件的升级维护问题;
Windows无缝接入;
服务器端操作系统
2000/2003 server
访问模式
B/S模式
主要访问对象
应用
应用程序发布
有
系统用户管理
有
应用负载均衡
支持
访问控制
内置
打印机选择
统一打印驱动
不同点
身份认证
Window用户认证、Socks5 VPN认证、eKey认证、机器码认证
Window用户认证、eKey
访问控制
VPN和远程集中接入双重控制
远程集中接入控制
安全策略
Windows组策略、VPN安全策略
Windows组策略
多应用支持
支持应用安装在不同的服务器上
应用客户端只能安装在同一台服务器上
控制服务器上网
服务器可以与internet隔离
服务器必须接入internet
控制客户端上网
客户端可以与internet隔离
客户端必须接入internet
1.3、防火墙功能防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
1、e地通防火墙优势
1)安全的系统平台
内核采用自主开发的嵌入式Linux操作系统,全模块化设计,使用中间层理念,减小系统对硬件的依赖性。具有安全性、开放性、扩展性、模块化、标准化、可移植性等特征;采用最优硬件平台,提供全线速转发的能力,拥有更高的安全性和可控性。基于Hash表的快速转发功能,极大提高了防火墙的吞吐率。
2)采用多种安全技术
包过滤技术
TCP/IP的数据包是由包头和数据构成的,包头包括协议(TCP/UDP/ICMP)、源地址、目的地址、源端口(服务)、目的端口等信息,包过滤是防火墙基于网络层的安全方式,它通过对所有流经防火墙的信息包内的包头信息检查,以实现对网络的安全控制。
防火墙针对TCP/IP数据包做处理,因此称为网络级,根据上面所列参数进行过滤(比如地址1的任意端口到地址2的80端口的TCP包被禁止,表示禁止地址1的计算机连接地址2的计算机的www服务),因此称为包过滤。
包过滤技术是惠尔顿e地通为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对从互联网络到内部网络的包进行过滤。用户可以设定一系列的规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包的传输应该被拦截。包过滤规则以IP包信息为基础, 对IP包的源地址、 IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunnel)、端口号等进行筛选。包过滤这个操作可以在路由器上进行,也可以在网桥,甚至在一个单独的主机上进行。
网络地址转换(NAT技术)
提供IP 地址转换和IP 及TCP/UDP 端口映射,实现IP 复用和隐藏网络结构:
NAT 在IP 层上通过地址转换提供IP 复用功能,解决IP 地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。惠尔顿防火墙提供了NAT 功能,并可根据用户需要灵活配置。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个IP 层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。
NAT的工作过程如图所示:
图4
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。
惠尔顿e地通根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3)DMZ
除了内部网络接口和外部网络接口,惠尔顿三端口防火墙还有一个中立区网络接口,称为DMZ(Demilitarized Zone),可以在其中放置公共应用服务器。
DMZ是防火墙为了实现在保护内部网络的安全同时,又可以保证需要放置在Internet上的服务器的安全的一种方法,有了DMZ策略,可以像保护内部网络一样更好地保护DMZ的主机。
惠尔顿e地通的DMZ口还可以作为第二个外部接口灵活使用。
4)远程集中管理
惠尔顿e地通产品支持Web、Https、命令行等面向基于对象的管理配置方式,可通过安全的认证及管理信息的加密传输实现全局防火墙设备的本地、远程集中管理与监控。
惠尔顿e地通产品主要采用全中文Web(Graphic User Interface)界面的配置方式,用户可以在不同操作系统平台、不同地域对防火墙进行配置和管理。
5)透明应用代理
应用代理是用来对TCP/IP应用进行代理的服务器软件(以下简称Proxy),Proxy可以接收客户的请求,分析客户数据,然后以自己的面目向内容服务器提出请求,然后接受内容服务器的响应,再传给客户。
这用于几种场合:共享一个Internet接入连接时,可以让局域网的所有计算机都访问Internet上的内容;给出一个共同的连接口,便于控制和管理。而网络层的NAT和包过滤都无法处理基于应用层的内容过滤,比如URL Blocking、病毒过滤、邮件等的关键词过滤等等,因为网络层只处理包头。应用层防火墙就是把数据包先整合成应用层数据,根据数据内容(比如要过滤的关键词或URL地址)进行过滤,然后再重新生成TCP/IP包。
但这样比包过滤增加了许多工作量,因此效率必然比包过滤低。另外,由于应用代理是应用层的,因此针对不同的应用层协议必须有单独的应用代理,因此应用代理不能支持所有网络应用,也不能自动地支持新的网络应用。而网络层的系统是针对TCP/IP协议的,因此可以自动支持大部分应用和新应用(只要是基于TCP/IP的即可)。
惠尔顿e地通提供对高层应用服务(HTTP)的透明代理。用户不需要在自己的主机上作任何的有关代理服务器的设置,只需管理员在防火墙上配置相关的规则,用户通过防火墙进行的上述应用访问就会由防火墙进行代理,这些配置对用户来说完全是透明的,极大的方便了用户使用代理。
6)支持MAC与IP地址绑定
传统上认为计算机网络的安全主要应防备外部的入侵,但现在的实际情况是内部的破坏及信息窃取同外部的入侵一样是网络安全应防备的大的环节。惠尔顿防火墙允许绑定MAC地址(网卡的硬件地址)和IP地址,可以使内部网络防止内部IP欺骗,保证基于IP的安全策略、计费策略等的正确实施。当发现某IP和绑定的MAC地址不相符时,将拒绝为该IP服务。MAC绑定技术主要用于绑定一些重要的管理员IP和特权IP。
7)内容过滤技术
惠尔顿e地通支持URL、关键字检测机制,能有效控制内部网络对某些站点的访问,屏蔽不良的、非法的网站,防止内网用户浏览邪教、色情等不良网站及网页。
8)抗攻击能力
惠尔顿e地通可有效抵抗DOS/DDOS、嗅探、同步等多种攻击,阻止TCP、UDP 等端口扫描,防止源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN 攻击。
抗DOS/DDOS 攻击:拒绝服务攻击(DOS )就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止DOS 黑客攻击。
防TCP 、UDP 等端口扫描:可以阻止对网络或内部主机的所有TCP/UDP扫描。
可防御源路由攻击、IP 碎片包攻击、DNS/RIP/ICMP 攻击、SYN 等多种攻击:惠尔顿防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。
阻止ActiveX 、Java 、Javascript 等侵入:属于HTTP 内容过滤,防火墙能够从HTTP页面剥离ActiveX 、JavaApplet 等小程序及从Script 、PHP 和ASP 等代码检测出危险的代码,同时,能够过滤用户上载的CGI 、ASP 等程序。
提供实时监控和告警功能:惠尔顿防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
9)适用更广泛的网络及应用环境
支持众多网络通信协议和应用协议,如DHCP 、ADSL 、RIP 、ISL 、802.1Q 、Spanning tree 、NETBEUI、IPSEC、PPTP、H.323 、BOOTP、PPPoE协议等,使惠尔顿防火墙适用网络的范围更加广泛,保证用户的网络应用并扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。
10)用户认证
通过使用用户身份认证, 确保用户身份, 及用户可以访问的权限, 保护网络的安全和用户身份被盗用的情况。用户认证可以通过两种方式实现:内部用户数据库和Radius服务器。
11)智能路由管理
支持多线路捆绑技术,可实现带网络带宽的叠加;
采用智能路由分离技术,分流上网数据、扩充互联线路;
支持DHCP、PPPOE、NTP、NAPT/PAT、NAT穿越、DNS增强版缓存;
提供管理服务器群的负载平衡能力;
可自由设定静态路由,支持集团用户的多级复杂网络。
1.4、QoS功能1、QoS知识概述
在传统的IP网络中,所有的报文都被无区别的等同对待,路由器对所有的报文均采用先入先出(FIFO)的策略进行处理,依次将报文送到目的地,但对报文传送的可靠性、传送延迟等性能不提供任何保证。
随着IP网络上新应用的不断出现,对IP网络的服务质量也提出了新的要求,如VoIP(Voice over IP,IP语音)等实时业务就对报文的传输延迟提出了较高要求,如果报文传送延时太长,将是用户所不能接受的。相对而言,传统的网络应用如E-Mail和FTP业务对时间延迟并不敏感。
为了支持具有不同服务需求的语音、视频以及数据等业务,要求网络能够区分出不同的通信,进而为之提供相应的服务,这是传统的IP网络所无法实现的。
在传统IP网络中,因为无法识别和区分出网络中的各种通信类别,所以也就无法为不同的通信提供不同的服务。QoS (Quality of Service : 服务质量)技术的出现便致力于解决这个问题。
2、e地通QoS功能介绍
惠尔顿e地通设备通过三级流量管理实现不同服务的Qos保证,为不同的服务定义带宽分配规则。
一般传统的高端防火墙仅在防火墙中有QOS功能区分不同业务的服务质量,但目前在VPN还很少实现QOS功能;这样就造成同一个VPN隧道内无法按服务的重要性提供带宽。往往在网络高峰时,不重要的业务占据了多数带宽,导致象VOIP等核心业务系统应用得不到快速响应,严重影响VPN使用效果。
通过智能QOS技术,用户可以在e地通智能网关产品上自由定义不同服务的QOS级别,并分配给不同级别的服务在VPN隧道内的带宽比例,重要的服务得到更大的带宽。 在额定带宽的QOS策略中,各个QOS级别的服务只能使用额定带宽,即使网络流量没有占满,低级别的服务也不能使用预留给高级别服务的带宽。e地通智能网关的智能QOS策略修正了这个缺陷,当没有高级别数据的时候,低级别的服务能够有效利用所有空闲带宽。
惠尔顿e地通设备在进行大包传输测试时优于一般设备,60K的数据在ADSL线路上的丢包率小于百分之一。
1.5、带宽叠加功能1、概述
各种网络应用已经在企业中慢慢普及起来,越来越多的企业开始使用廉价的互联网通信来代替原来昂贵的数据线路通信。不同的宽带运营商运营商提供了各种宽带接入方式,各种的价格也有很大的差别。宽带线路根据不同的带宽和是否拥有静态IP地址,其价格差异可以相差一个数量级。如电信的ADSL专线,因为拥有静态IP,价格是2000元/月,而拨号ADSL,其价格可以低至200元/月。而电信的光纤宽带因为拥有更稳定的通信质量,上下行一致的带宽,其价格高达4、5千。而10M以上的光纤接入,每月费用过万。作为使用最广泛的拨号ADSL接入,其上下行带宽不一致,上行带宽只有512K,下行带宽可以达到2M。
目前,规模较小的(只有几个网络节点)应用中,主要使用拨号ADSL作为宽带的接入方式。因为节点较少,通信量不大,ADSL的512K上行带宽仍然能够支撑主节点的访问压力。但是, 随着企业应用的发展,一些企业级网络也达到了很大的规模,网络节点可以达到几十,甚至上百。这时,中心节点必然要求更高的带宽以满足众多分支节点的通信访问。如果一个ADSL上行的512K的带宽可以满足5个分支节点的访问通信带宽要求。那么如果一个100个分支节点的中心网络就需要10M的带宽去支撑100个接入的通信压力。这样企业就必须付出每月一两万的10M光纤接入费用。这其实只是一个保守的估计,随着网络应用对带宽的要求越来越高,视频音频应用的大量出现,512K的带宽还可能不能满足一个节点的通信要求。
而且,很多企业都把原有的DDN数据线路撤掉,使用VPN替代原有的通信方式。宽带线路虽然拥有良好的带宽和价格比,但是,DDN线路仍然昂贵是因为DDN线路拥有宽带线路所不能达到的稳定性。因此这些使用VPN替代DDN线路的企业必然要面对线路中断的风险。对于一些把关键业务转移到VPN网络上的用户,这个风险是不能忽视的。如何既能够降低费用,又要降低风险,对于这些用户就是一个鱼和熊掌兼得的问题。
综上所述,企业应用中面临着带宽和稳定性的双重问题。E地通的带宽叠加功能针对这些问题,设计的多线路带宽叠加方案正好可以满足用户所面对的带宽和通信稳定性问题。
2、e地通带宽叠加功能的特点
1)多宽带线路接入
E地通的不同版本都具有多个网口,除了缺省定制的内部网口,其余所有的网络接口都可以设定为内部网络接口或者外部网络接口。E地通支持现时大多数的宽带接入方式ADSL、CABEL、LAN、LAN等接入方式。同样或者不同的宽带接入方式可以捆绑在一起使用。捆绑后,对于内部网络,就拥有了原来多条线路的叠加带宽。
2)线路之间的备份机制
E地通的多条线路之间并不是单纯的捆绑共享功能,不同的线路之间可以互相备份,如果线路实现了共享,当一条线路故障中断之后,系统会自动把网络流量转移到别的线路上,可以保证网络通信的畅通。而当故障线路恢复后,系统会将网络的流量再分配到恢复的线路上,保证每条线路的充分使用。
3)VPN通道的路径选择
E地通的多线路带宽叠加功能在建立VPN通道时,可以实现路径的智能选择,当叠加的多条线路不属于同一家运营商时,e地通可以根据客户端的线路情况,自动选择数据传输的路径,有效的解决了不同运营商之间的网络出口问题。
4)真正意义上的带宽叠加VPN系统
E地通特有的VPN捆绑技术,真正实现了数据包级别的带宽的叠加,而不仅仅是连接层次上的带宽叠加。E地通的VPN系统也是根据多线路设计的。系统可以在每一条宽带线路上均建立VPN连接。因为VPN连接是数据包级别的低层转发,所有VPN通信的数据包可以均衡地分布到多条线上。同一个应用的连接使用的带宽就不仅仅是单一线路的带宽,而是多条线路的叠加带宽。如一条ADSL上行速度是512K,则使用多条ADSL捆绑后的VPN通信的带宽可以达到n*512K,这样就可以用多条廉价的线路实现原来昂贵的大带宽线路的效果。你的VPN通信将不再受制于ADSL线路上行512K的瓶颈,真正实现高速VPN通信。
1.6、VLAN功能VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网", VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN的好处主要有三个:端口的分隔、网络的安全、灵活的管理。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
二、e地通产品网络和系统结构
2.1、e地通作为网关使用1、网络结构图
2、说明
用e地通设备替换原有网关设备,通过e地通代理内网机器上网,本方案在进行VPN设置的时候,无须进行端口映射设置,内网机器上网时无须改变内网机器的上网设置,只需要将e地通的内网地址设置为原网关的低址即可。
2.2、e地通在内网使用1、网络结构图
2、说明
本模式部署时,e地通只能作为VPN使用,其他功能不生效。适合于网络中已经有专业的防火墙等设备,无法替换现有网络设备,部署时需要在网关上进行端口映射,将VPN的工作端口映射到e地通服务器。
2.3、内网隔离的部署方式1、网络结构图
2、说明
本模式能够有效的保护服务器的安全,部署时需要在网关上进行端口映射,将VPN的工作端口映射到e地通服务器,部署完成以后,内网对服务器的访问也必须经过e地通的授权和监控。
适用于内网规模比较大,对服务器的安全要求比较高的情况。
2.4、e地通作为备份线路部署模式1、网络结构图
2、说明
本模式适用于为现有线路增加备份或补充线路的情况,可以在不改变原线路和网络结构的情况下增加一条线路作为另外一条线路的备份或者补充线路,部署完成以后,异地通过VPN连接时,可以通过任意线路接入。两条线路可以并存。常见于VPDN与e地通并存的情况。
2.4、多线路带宽叠加的部署模式1、网络结构图
2、说明
本模式适用于多线路带宽叠加的情况,常见于不同运营商之间互连的情况,在总部申请两个或多个运营商的线路,做VPN连接时,客户端可以智能选择连接哪个运营商的线路,同时一条线路也可以作为其他线路的备份线路使用。