基于路由器的运政网VPN解决方案
新乡市运政处及其相应的下属机构分布在新乡市四区八县,采用各自为政、分片负责的方式管理所属片区的运输市场。
近几年来,随着社会经济的不断发展及运输市场的快速增长,跨区的人员流动和车辆交易不断增多,管理信息量大大增加,分片管理的方式不再适合跨区域管理和信息共享的要求。为了解决这个问题,实现市、县、区联网以达到信息共享,我们结合新乡市运管处运政管理系统的要求及我公司的网络情况,提出了基于路由器的运政网VPN(虚拟专用网)解决方案。
1 VPN(虚拟专用网)
VPN(虚拟专用网)指的是以公用开放网络(如Internet 网、广电城域网等) 作为基本传输媒介,通过上层协议附加的多种技术,向最终用户提供类似于专用网络(Private Network) 性能的网络服务。VPN利用开放的公众网络建立专用数据传输通道, 将远程用户甚至移动用户连接起来, 提供一种安全的端到端的数据通信。在VPN 网络中, 任意2个节点之间的连接没有端到端的物理链路, 而是构建在公共网络服务商所提供的网络平台上的逻辑网络, 用户数据在逻辑链路中传输。
VPN 的功能特性有:
1) 虚拟性 与传统的专用网不同, VPN 不是在2个站点之间建立永久的连接, 当端与端之间的连接断开后, 所释放的物理资源又可被挪为他用。
2) 安全性 VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。
3) 低成本 用户不必租用长途专线建设专网,不必大量的网络维护人员和设备投入。
4) 易于实现与扩展 网络路由设备配置简单, 无需增加太多的设备, 节省了人力和物力,可以直接利用Windows系统中的网络功能来实现。
基于路由器来实现VPN有很明显的优点,如配置简单,可以实现多级别Qos,系统稳定等,加上当前路由器设备的价格较以前容易接受,所以我们在本方案中采用基于路由器的方式来实现运政网VPN。
2 基于路由器的运政网VPN的关键技术与实现
2.1 基于路由器的运政网VPN网络结构
基于路由器的运政网VPN网络结构如图1所示:
在上图的网络结构中, 网络连接由3 部分组成: 客户机、传输介质和服务器。不同的是VPN 连接使用隧道作为传输通道, 这个隧道是建立在公共网络广电城域网基础上的。目前, VPN 网络有2 种处理方式: 一种是固定IP地址, 另一种是动态IP 地址方式。由于运营商当前大都提供固定的IP地址,在网络配置方面也易于实现,所以我们采用的是固定IP地址的方式。
各交管所局域网络中的客户端可通过各网点放置的cabletron245路由器与新乡广电网络相连,负责与中心cabletron245路由器以l2tp协议建立隧道。一旦隧道建立成功, 客户端与服务器就可经过加密隧道进行信息传递, 如将本网点的征费信息上传至数据库服务器, 或从数据库服务器下载其他征收点的征费信息到本机。通过VPN网络平台, 实现全市各征收点的征费信息共享。
2.2 关键技术
VPN重要的意义在于"虚拟"和"专用",其实现技术主要体现在以下几个要点上:隧道技术Tunnel、相关隧道协议(包括PPTP,L2TP等)、数据安全协议(IPSEC)以及通用路由封装(GRE)等。
(1)隧道技术
公网设施,在一个网络之上的“网络”传输数据的方法。要形成隧道,基本的要素有以下几项:
a、隧道开通器(TI)
b、有路由能力的公用网络
c、一个或多个隧道终止器(TT)
d、必要时增加一个隧道交换机以增加灵活性
隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机,分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器或网络服务提供商站点中的有VPN能力的访问集中器。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:专门的隧道终止器,企业网络中的隧道交换机或NSP网络的Extranet路由器上的VPN网关。
(2)相关隧道协议
对要建立的隧道,隧道用户和隧道服务器都要用同一隧道协议。隧道技术可以以二层或三层隧道协议为基础。二层协议和数据链路层对应,并用帧作为它们交换的基础。PPTP和L2TP、L2F是二层隧道协议;三层协议和网络层对应,并使用包作为交换的基础。IPSec和GRE是三层隧道协议。这里我们主要接绍本方案用到的隧道协议——第二层隧道协议(L2TP)
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP定义了利用公共网络设施(如IP网络、ATM和帧中继网络)封装传输链路层PPP帧的方法。现在,Internet中的拨号网络只支持IP协议,必须使用注册IP地址,而L2TP可以让拨号用户支持多种协议,企业在原有非IP网络上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。
L2TP主要是由LAC(L2TP Access Concentrator,访问集中器)和LNS(L2TP Network Server,网络服务器)构成,LAC支持客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道;LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP便利PPP协议的终点延伸到LNS。
3 cabletron245相关配置及说明
cabletron245路由器配置相对简单,如图1所示,我们分别给出中心端及网点B的地址分配,10.0.0.0的地址为广电城域网的地址,中心端cabletron245的网关为10.14.254.26/30,网点B的cabletron245的网关为10.11.254.6/30,下面分别给出中心端cabletron245和网点Bcabletron245的配置。
网点B cabletron245的配置:
#设置用户身份鉴别指令
sys name fbb
sys admin admin-pass
sys passwd fbapass
sys msg configured_with_eth_tuna.txt
#设置以太网端口及IP路由
eth ip enable
eth ip addr 20.168.2.254 255.255.255.0 0
eth ip addr 10.11.254.5 255.255.255.252 1
eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1
eth ip translate on 1
eth br disable
eth ip options txrip off 0
eth ip options rxrip off 0
eth ip options txrip off 1
eth ip options rxrip off 1
#设置隧道另一端的IP网络
rem add zb
rem setpasswd zbpass zb
rem disauthen chap zb
rem addiproute 20.168.1.0 255.255.255.0 1 zb
#定义隧道另一端驱动为LNS
rem setlns tunnelzb-fbb zb
#设置隧道打开时间
rem settimer 600 zb
rem setipoptions txrip off zb
rem setipoptions rxrip off zb
#设置通往zb的隧道,隧道名为“tunnelzb-fbb”
l2tp add tunnelzb-fbb
#定义两设备共用的鉴定密码“tunnelsecret”。当身份验证时(CHAP),所有对等用户使用同样的密码。
l2tp set chapsecret tunnelsecret tunnelzb-fbb
#为了身份验证需要,定义隧道名
l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb
#设置隧道另一端的IP地址
l2tp set address 100.17.254.37 tunnelzb-fbb
#为了更好的性能,设置窗口机制(两端必须匹配)。使用此功能调整隧道性能
l2tp set window pacing tunnelzb-fbb
#设置密钥并为通过隧道的ppp链接进行加密
rem setencryption key368870 zb
#保存配置,重新启动后配置生效
save
reboot
[1] [2] 下一页
文章录入:csh 责任编辑:csh
中心端cabletron245路由器配置:
sys name zb
sys admin admin-pass
sys passwd zbpass
sys msg configured_with_eth_tuna.txt
eth ip ena
eth ip addr 20.168.1.250 255.255.255.0 0
eth ip addr 10.14.254.25 255.255.255.252 1
eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1
eth ip translate on 1
eth br disable
eth ip options txrip off 0
eth ip options rxrip off 0
eth ip options txrip off 1
eth ip options rxrip off 1
rem add fbb
rem setpasswd fbbpass fbb
rem disauthen chap fbb
rem addiproute 20.168.2.0 255.255.255.0 1 fbb
rem setlns tunnelfbb-zb fbb
rem settimer 600 fbb
rem setipoptions txrip off fbb
rem setipoptions rxrip off fbb
l2tp add tunnelfbb-zb
l2tp set chapsecret tunnelsecret tunnelfbb-zb
l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb
l2tp set address 100.11.254.5 tunnelfbb-zb
l2tp set window pacing tunnelfbb-zb
rem setencryption key368859 fbb
……..
save
reboot
4 系统安全性策略
由于本系统是针对交通规费的征收,且是利用公网进行数据传输,因此系统的安全性必须重视。本系统采用了以下安全性策略:
防火墙 防火墙是网络安全政策的有机组成部分,通过检查、限制、更改跨越防火墙的数据流,尽可能地对外屏蔽内部信息,允许或拒绝外部用户访问内部资源。利用Windows 2000Server,SQL Server2000本身的安全机制,采用集成安全模式,将SQL Server 与Windows2000的安全机制紧密集成,并将SQL Server 的用户验证配置为Window s 2000 验证模式。
访问权限控制 对管理员和征费员设置操作权限,不同的权限拥有不同的系统资源访问行,以保证系统的使用安全。
数据库备份 为了避免数据意外丢失,保证数据安全,系统配置有自动备份和手动备份数据库的操作机制。
5 结束语
利用VPN技术实现新乡市运政网联网后, 不仅提高了收费速度, 解决了跨区域收费、就近收费问题, 同时实现了跨区域的信息共享, 给上路稽查提供了详细的数据, 并具有良好的安全性和稳定性,为更加有效地管理运政市场提供了保障, 取得良好的经济效益与社会效益。
上一页 [1] [2]
文章录入:csh 责任编辑:csh