华为SecPath VPN组网方案

云南省交通厅作为全网的交换中心，需要为远程网络提供高速路由，安全控制以及数据通讯的压缩功能，必须具备强大的处理能力，同时考虑到云南省交通厅业务的快速发展，网络架构必须留有足够的余量支持系统的扩展，因此在设计上采用了两台华为3Com Quidway SecPath 1000F 千兆安全网关作为主干VPN节点，并且进行了负载分担和冗余备份。。

二级节点的各下属机构网络需要提供高速路由、安全控制及IP 语音的传输，以及强大的处理能力，因此在设计上，各地州节点采用了华为3Com的Quidway SecPath 100F安全网关作为各下属机构的中心VPN节点。在与市属机构的网络连接上，采用了华为3Com Quidway R3680路由器通过2M E1线路相连。

移动办公和出差人员接入专网设计采用了华为3Ccom SecPoint VPN客户端软件，实现了移动办公人员、出差人员通过拨号或者ADSL方式接入省厅电子政务专网，实现了远程高安全性地访问内部服务资源。

在整个方案中华为3Com将VPN隧道接入技术、基于状态检测的防火墙技术以及智能检测技术有机统一起来，给云南交通厅网络一个全方位的安全保护。
方案技术特色

华为动态VPN技术（DVPN）：云南省交通厅VPN网络上采用了华为公司专有的动态VPN技术。在DVPN技术中，作为Client的分支机构的SecPath 100F网关向作为Server的交通厅总部SecPath 1000F注册，之后两个分支网关就可以随时根据需要自动建立VPN互联。通过DVPN技术组网，不仅极大的降低了维护成本，而且使得网络应用更加灵活，加上动态VPN提供的认证和加密特性完全保证了用户的网络安全。实现了安全和灵活部署的结合。

内嵌防火墙技术：据统计目前内网路攻击80％来自内网，因此必须在内网接入中，对来自内网的报文进行智能性的处理转发。而不是采用常规的二层或三层转发方式，使转发的模式处于完全处于安全可靠的模式中。通过将防火墙组件和VPN组件通过有机组合，协调统一地集成在SecPath系列设备中，保证企业移动用户安全接入的同时，又为企业网络安装了一套安全防护的外套。

华为3Com在SecPath 1000F、Secpath100F 实现了对传统的转发流程进行改进和整合，通过使用包过滤技术、状态检测技术、智能防蠕虫病毒技术等安全技术，实现了对内网的安全可靠的防护。

移动用户安全接入专网：满足出差员工（移动办公）通过Internet网络安全可靠地接入企业网络中是本方案的第三大技术特色。通过SecPoint和SecPath VPN网关实现对接入用户地细致严格的认证，并根据认证的结果创建安全可靠的网络隧道，使交通厅员工就可以轻松通过Internet安全的进行企业信息的共享，在实现了移动用户的安全接入的同时，保证了信息的私密性、完整性和不可否认性。

丰富的多媒体支持性能： SecPath 系列产品中使用了先进ASPF(Applied Specification Packet Filter)技术，可以检查应用层协议信息并且监控基于连接的应用层协议状态（如FTP、HTTP、SMTP、RTSP、SIP等协议及其它基于TCP/UDP协议的应用层协议）通过ASPF，可以使用安全网关支持更多的多媒体协议，是各种语音视频软件穿越防火墙，也可以为内部网络的提供更高级的安全保护。