|
动态VPN连通企业分支机构
BCM和Contivity实现话音和数据的安全路由
2003/06/09
将北电网络安全路由技术(SRT)集成到企业通信管理器(BCM)和Contivity中,为用户带来了高度融合、安全、低成本的接入解决方案以支持企业分支机构间的互连。
图1 动态分支机构VPN路由
企业通信管理器(BCM)是具备了丰富的话音功能、支持Web管理并集成了IP路由和电话的通信设备。它为通过IP网络来实现话音和数据一体化提供了无与伦比的互连解决方案。BCM在提供传统TDM电话的同时,还提供IP电话,是对Internet接入、语音消息处理、呼叫中心功能以及基于Web的系统管理等应用的完善和补充。
Contivity安全IP业务网关是专用的安全接入路由设备,其设计宗旨是通过虚拟专用网(VPN/IPsec)隧道技术安全地进行IP数据传输。Contivity提供了高度灵活及可扩展的组网方案,可在中心节点处理大规模的VPN聚合,为远端PC机、远程工作人员以及小型分支机构提供安全的远程接入手段。
图2 远程办公人员的VPN接入
BCM和Contivity都采用了北电网络的安全路由技术(SRT),可同时作为分支机构解决方案部署,因此BCM和Contivity可以经济高效而安全地提供全面的解决方案,满足企业及分支机构在话音和数据网通信方面的需求。
综合解决方案的优势
● 低成本、高融合的企业分支机构(在CPE只需一台设备);
● 通过北电网络安全路由技术(SRT)实现安全的动态分支机构路由;
● 高性能和可扩展的企业VPN内部网络;
● 为SOHO、远程办公和移动人员提供安全的远程接入手段。
利用BCM和Contivity解决方案之间的协同作用的两种主要的网络设计方案:
● 安全的分支机构VPN路由(分支到分支/中心节点);
● 适用于远程移动或SOHO人员的远程接入VPN网络。
在第一个例子中(图1),具有若干分支机构的BCM用户可以通过注册码激活VPN IPSec选项来启动SRT动态安全路由功能,以便提供到中心节点Contivity网关的动态安全路由。然后,中心节点Contivity可以发起或终结数百或数千条到配备BCM设备的分支机构的VPN隧道。
本案例中,BCM设备可以是部署在企业分支机构节点的唯一一台CPE设备,也可以部署在专用(现有的)IP接入设备之后。在这两种情况下,客户都可以安全地利用IP网络实现灵活而经济高效的互连,传输所有节点之间的话音和数据业务。用户可以在点到点或网状BCM节点之间安全地传送端到端的业务。来自许多BCM分支节点的业务(Hierarchical
hub and spoke type)将在“中心”节点的Contivity汇聚。
BCM设备最多可以同时终结20条VPN隧道。按照常规的设计,Contivity适合部署在需要同时终结20条以上 IPsec VPN隧道的任一节点(分节点或中心节点)。
动态分支机构特点
● 分支机构和中央节点之间是动态的VPN路由;
● Contivity终结100或1000条VPN隧道;
● 高安全、高性能的分支机构VPN设计;
● 支持集成状态防火墙和QoS功能;
● 支持IP中断情况下的PSTN故障切换。
对众多的小型分支机构/SOHO型节点来说,BCM解决方案可能会显得过于庞大(图2)。但是,这些站点仍然可以受益于中心节点BCM在话音和数据上的优势。在这些较小的分节点/SOHO节点上部署低成本的Contivity平台,这些节点能够作为中心BCM节点外的“远程分支机构”,从而让分支节点用户享受到完善的数据和电话功能。
而且,您可以通过无缝的SRT(IPSec)动态路由技术,来支持两个节点之间的安全访问。Contivity也可以用作主要的SOHO IP接入设备,既可以使用通常的WAN接口(T1,
V.35),也可以通过ADSL Modem(10/100, PPPoE)来连接。
除了连接上述SOHO节点以外,企业可能还需要对远程和移动用户提供安全的接入功能。Contivity解决方案特别适合满足这种安全远程接入的要求。在这种情况下,远程用户只需要在其PC/笔记本上安装北电网络的Contivity
VPN IPSec客户端软件。为了保证绝对安全,用户到分支BCM节点的所有接入流量都必须经过认证和加密。
远程用户还可以利用北电网络i2050 Internet软电话在单个IP连接上实现安全的话音和数据通信,灵活满足用户对移动性的要求。
QoS的需要
BCM和Contivity之间的交互并不限于IPSec动态路由。由于话音业务对延迟的敏感性,因而为VoIP业务分配高于并行数据业务的优先级就显得至关重要。BCM和Contivity基于标准的开放式QoS机制能够确保以极高品质处理话音业务。这种QoS作用发生在两节点之间建立的安全IPSec隧道内。
单独每个平台的QoS功能可用作一个系统,加速转发已经定义级别和业务标签的话音流量(通过Differentiated Services或DiffServ功能),并在流量通过网络传输时对其进行整形和策略管理。通过在用户、设备、节点和应用上的精细流量控制,实现平台的带宽管理功能。
VPN和远程接入服务RAS特点
● 低成本、高性能的CPE VPN和IP接入路由;
● 可以跟Contivity建立超过20条IPSec VPN隧道;
● 远程接入用户VPN终端(IPSec 客户端);
● IP中断情况下,可自动将话音业务切换到PSTN。
在要求小规模远程客户接入的设计方案中,BCM v3.0还具有能够终结高达16条Contivity IPSec VPN客户端连接的功能。
Contivity和BCM上的安全路由技术
安全路由技术(SRT)是北电网络为了满足部署大型安全虚拟专用网(VPN)时对动态路由和扩展性的要求而设计的体系结构。
随着越来越多的企业开始部署虚拟专用网,通过分布广泛的Internet网络连接各地分支机构并使网络具有较高的性能、扩展性,动态更新路由要求就变得尤为重要。
近年来部署的大部分企业VPN网络都受到静态配置分支节点、复杂的重叠协议和管理的制约,这限制了这些网络的大小和规模。这些早期设计的网络只是将IPSec加密功能添加到现有的多协议路由器中,并未真正在动态路由技术和VPN安全性之间实现统一。
北电网络SRT技术通过在VPN网络框架内动态更新IP路由,克服了上述局限性,因此在构建大型企业级虚拟专用网时保持了稳定性能的同时,具有良好的网络扩展性和安全性。
SRT技术最先是在Contivity 安全IP业务网关设备中使用,目前已被移植到企业通信管理器(BCM)平台上。
北电网络客户使用SRT技术的好处在于,他们现在能够方便、轻松、快捷地部署综合的解决方案,以极低的投资成本,安全地扩展融合性分支机构网络。
计算机世界网(www.ccw.com.cn)
·
·
·
|
