XX政府网络安全及VPN解决方案

XX政府网络安全及VPN解决方案 文档密级

（1）VCE方案

方案特点：

VPN Server通过虚拟防火墙、地址转换多实例、multi-VRF等VPN隔离技术，做为一个MPLS VPN网络统一访问Internet的出口设备，在MPLS网络之外承担VCE（Virtual－CE）的功能。

在VPN Server的出入接口划分不同的VLAN或逻辑子接口，将不同的分支机构或不同的业务通过进出不同的VLAN或子接口进入不同的虚拟防火墙VPN实例，从而达到了隔离的目的，为MPLS VPN统一提供Internet访问。用户认证通过IKE来提供，可以提供基于证书的方式，也可以采用per-shared key的方式，通过IKE认证就可以知道该IPSEC隧道应该接入到哪个MPLS VPN中。VPN Server支持业务多实例特性，资源独立存放，可以很好的解决私网地址重叠的问题。

（2）VPE方案

2016-9-7

华赛机密，未经许可不得扩散 第8页, 共31页

XX政府网络安全及VPN解决方案 文档密级

VPN 网关采用IPSec方式接入VPE，移动办公用户采用L2TP或者L2TP+IPSEC 方式接入VPE，在VPE 上实现IP VPN隧道和MPLS LSP 隧道的融合与衔接。

（3）VCE和VPE方案比较

与VPE方案相比，VCE方案具有明显的优势：

在组网灵活性方面：VCE方案不需要修改现网，直接通过internet接口进行VPN连接；而VPE方案则需要修改现网，增加PE设备，同时与各省PE连接起来；

在设备选择方面：VCE方案中的VPN Server设备可以灵活选择，接入用户多的可以选择性能高的，接入用户少的可以选择性能低的；而VPE方案中的VPN Server必须支持MPLS功能，MPLS对设备要求很高，因此不管接入用户多少，VPN Server必须选择高端设备；

在稳定性方面：VCE方案中的VPN Server功能独立，专门负责IPSEC接入，更能保证功能长时间稳定运行；而VPE方案中的VPN Server同时负责IPSEC接入与MPLS转发，设备负荷较大，设备稳定性较难控制。

VPE方案的优势在于将PE设备和VPN Server的功能集成在一个设备中实现，在某些尚未部署PE设备的场景下，可节省用户投资。

综上所述，我们建议政务外网VPN网关建设拓扑图如下：

2016-9-7

华赛机密，未经许可不得扩散 第9页, 共31页

XX政府网络安全及VPN解决方案 文档密级

组网设计说明：

1) 在大多数已经部署PE设备的省份（区域），核心VPN Server采用两台USG 2000/5000热备组网，USG 2000/5000提供最大4000隧道的扩展，加解密性能达到1Gbps，能够满足省厅局委办的VPN接入需求。核心VPN Server与省RD通过GE接口相连，与Internet通过ISP 100Mbp或1Gbps链路连接。 如下图：

2016-9-7

华赛机密，未经许可不得扩散 第10页, 共31页

XX政府网络安全及VPN解决方案 文档密级

作为核心VPN Server的USG 2000/5000采用VCE技术，通过子接口与PE对接VPN，确保不同的IPSEC VPN导入各自的MPLS VPN，IPSEC VPN业务间的互通由PE进行统一部署与控制；

2) 个别尚未部署PE设备的省份（区域），核心VPN Server采用一台USG3040组网，在

VPE 上实现IP VPN隧道和MPLS LSP 隧道的融合与衔接；

厅部委办内网A VPN A 站点 1 国家部A

厅部委办内网B VPN B 站点2

VPE P P PE 国家部B

3) 各厅局委办根据自身业务需求选择VPN Gateway接入设备。考虑未来网络扩展性及

业务开展需要，可选如下设备；

4) 在省干部署VPN Manager管理系统，对省内VPN业务进行可视化管理，提升管理效率； 5) VPN的流量由USG 2000/5000镜像至NIP1000（入侵检测系统），实施USG 2000/5000

与NIP1000的联动，通过NIP1000动态监测数据流，提升业务系统的安全性。

2016-9-7

华赛机密，未经许可不得扩散 第11页, 共31页