基于路由器的运政网VPN解决方案

新乡市运政处及其相应的下属机构分布在新乡市四区八县,采用各自为政、分片负责的方式管理所属片区的运输市场。

  近几年来,随着社会经济的不断发展及运输市场的快速增长,跨区的人员流动和车辆交易不断增多,管理信息量大大增加,分片管理的方式不再适合跨区域管理和信息共享的要求。为了解决这个问题,实现市、县、区联网以达到信息共享,我们结合新乡市运管处运政管理系统的要求及我公司的网络情况,提出了基于路由器的运政网VPN(虚拟专用网)解决方案。
  
  1 VPN(虚拟专用网)

  VPN(虚拟专用网)指的是以公用开放网络(如Internet 网、广电城域网等) 作为基本传输媒介,通过上层协议附加的多种技术,向最终用户提供类似于专用网络(Private Network) 性能的网络服务。VPN利用开放的公众网络建立专用数据传输通道, 将远程用户甚至移动用户连接起来, 提供一种安全的端到端的数据通信。在VPN 网络中, 任意2个节点之间的连接没有端到端的物理链路, 而是构建在公共网络服务商所提供的网络平台上的逻辑网络, 用户数据在逻辑链路中传输。

  VPN 的功能特性有:

  1) 虚拟性 与传统的专用网不同, VPN 不是在2个站点之间建立永久的连接, 当端与端之间的连接断开后, 所释放的物理资源又可被挪为他用。

  2) 安全性 VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。

  3) 低成本 用户不必租用长途专线建设专网,不必大量的网络维护人员和设备投入。

  4) 易于实现与扩展 网络路由设备配置简单, 无需增加太多的设备, 节省了人力和物力,可以直接利用Windows系统中的网络功能来实现。

  基于路由器来实现VPN有很明显的优点,如配置简单,可以实现多级别Qos,系统稳定等,加上当前路由器设备的价格较以前容易接受,所以我们在本方案中采用基于路由器的方式来实现运政网VPN。
  
  2 基于路由器的运政网VPN的关键技术与实现

  2.1 基于路由器的运政网VPN网络结构

  基于路由器的运政网VPN网络结构如图1所示:
  
  在上图的网络结构中, 网络连接由3 部分组成: 客户机、传输介质和服务器。不同的是VPN 连接使用隧道作为传输通道, 这个隧道是建立在公共网络广电城域网基础上的。目前, VPN 网络有2 种处理方式: 一种是固定IP地址, 另一种是动态IP 地址方式。由于运营商当前大都提供固定的IP地址,在网络配置方面也易于实现,所以我们采用的是固定IP地址的方式。

  各交管所局域网络中的客户端可通过各网点放置的cabletron245路由器与新乡广电网络相连,负责与中心cabletron245路由器以l2tp协议建立隧道。一旦隧道建立成功, 客户端与服务器就可经过加密隧道进行信息传递, 如将本网点的征费信息上传至数据库服务器, 或从数据库服务器下载其他征收点的征费信息到本机。通过VPN网络平台, 实现全市各征收点的征费信息共享。

2.2 关键技术

  VPN重要的意义在于"虚拟"和"专用",其实现技术主要体现在以下几个要点上:隧道技术Tunnel、相关隧道协议(包括PPTP,L2TP等)、数据安全协议(IPSEC)以及通用路由封装(GRE)等。

  (1)隧道技术
  
  公网设施,在一个网络之上的“网络”传输数据的方法。要形成隧道,基本的要素有以下几项:

  a、隧道开通器(TI)

  b、有路由能力的公用网络

  c、一个或多个隧道终止器(TT)

  d、必要时增加一个隧道交换机以增加灵活性

  隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机,分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器或网络服务提供商站点中的有VPN能力的访问集中器。

  隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:专门的隧道终止器,企业网络中的隧道交换机或NSP网络的Extranet路由器上的VPN网关。

  (2)相关隧道协议

  对要建立的隧道,隧道用户和隧道服务器都要用同一隧道协议。隧道技术可以以二层或三层隧道协议为基础。二层协议和数据链路层对应,并用帧作为它们交换的基础。PPTP和L2TP、L2F是二层隧道协议;三层协议和网络层对应,并使用包作为交换的基础。IPSec和GRE是三层隧道协议。这里我们主要接绍本方案用到的隧道协议——第二层隧道协议(L2TP)

  L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP定义了利用公共网络设施(如IP网络、ATM和帧中继网络)封装传输链路层PPP帧的方法。现在,Internet中的拨号网络只支持IP协议,必须使用注册IP地址,而L2TP可以让拨号用户支持多种协议,企业在原有非IP网络上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。

  L2TP主要是由LAC(L2TP Access Concentrator,访问集中器)和LNS(L2TP Network Server,网络服务器)构成,LAC支持客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道;LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP便利PPP协议的终点延伸到LNS。
  
  3 cabletron245相关配置及说明

  cabletron245路由器配置相对简单,如图1所示,我们分别给出中心端及网点B的地址分配,10.0.0.0的地址为广电城域网的地址,中心端cabletron245的网关为10.14.254.26/30,网点B的cabletron245的网关为10.11.254.6/30,下面分别给出中心端cabletron245和网点Bcabletron245的配置。

网点B cabletron245的配置:

  #设置用户身份鉴别指令

  sys name fbb
  sys admin admin-pass
  sys passwd fbapass
  sys msg configured_with_eth_tuna.txt
  #设置以太网端口及IP路由
  eth ip enable
  eth ip addr 20.168.2.254 255.255.255.0 0
  eth ip addr 10.11.254.5 255.255.255.252 1
  eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1
  eth ip translate on 1
  eth br disable
  eth ip options txrip off 0
  eth ip options rxrip off 0
  eth ip options txrip off 1
  eth ip options rxrip off 1
  #设置隧道另一端的IP网络
  rem add zb
  rem setpasswd zbpass zb
  rem disauthen chap zb
  rem addiproute 20.168.1.0 255.255.255.0 1 zb
  #定义隧道另一端驱动为LNS
  rem setlns tunnelzb-fbb zb
  #设置隧道打开时间
  rem settimer 600 zb
  rem setipoptions txrip off zb
  rem setipoptions rxrip off zb
  #设置通往zb的隧道,隧道名为“tunnelzb-fbb”
  l2tp add tunnelzb-fbb
  #定义两设备共用的鉴定密码“tunnelsecret”。当身份验证时(CHAP),所有对等用户使用同样的密码。
  l2tp set chapsecret tunnelsecret tunnelzb-fbb
  #为了身份验证需要,定义隧道名
  l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb
  #设置隧道另一端的IP地址
  l2tp set address 100.17.254.37 tunnelzb-fbb
  #为了更好的性能,设置窗口机制(两端必须匹配)。使用此功能调整隧道性能
  l2tp set window pacing tunnelzb-fbb
  #设置密钥并为通过隧道的ppp链接进行加密
  rem setencryption key368870 zb
  #保存配置,重新启动后配置生效
  save
  reboot

[1] [2] 下一页  

文章录入:csh    责任编辑:csh 

中心端cabletron245路由器配置:
  sys name zb
  sys admin admin-pass
  sys passwd zbpass
  sys msg configured_with_eth_tuna.txt
  eth ip ena
  eth ip addr 20.168.1.250 255.255.255.0 0
  eth ip addr 10.14.254.25 255.255.255.252 1
  eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1
  eth ip translate on 1
  eth br disable
  eth ip options txrip off 0
  eth ip options rxrip off 0
  eth ip options txrip off 1
  eth ip options rxrip off 1
  
  rem add fbb
  rem setpasswd fbbpass fbb
  rem disauthen chap fbb
  rem addiproute 20.168.2.0 255.255.255.0 1 fbb
  rem setlns tunnelfbb-zb fbb
  rem settimer 600 fbb
  rem setipoptions txrip off fbb
  rem setipoptions rxrip off fbb
  l2tp add tunnelfbb-zb
  l2tp set chapsecret tunnelsecret tunnelfbb-zb
  l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb
  l2tp set address 100.11.254.5 tunnelfbb-zb
  l2tp set window pacing tunnelfbb-zb
  rem setencryption key368859 fbb
  ……..
  save
  reboot
  
  4 系统安全性策略

  由于本系统是针对交通规费的征收,且是利用公网进行数据传输,因此系统的安全性必须重视。本系统采用了以下安全性策略:

  防火墙 防火墙是网络安全政策的有机组成部分,通过检查、限制、更改跨越防火墙的数据流,尽可能地对外屏蔽内部信息,允许或拒绝外部用户访问内部资源。利用Windows 2000Server,SQL Server2000本身的安全机制,采用集成安全模式,将SQL Server 与Windows2000的安全机制紧密集成,并将SQL Server 的用户验证配置为Window s 2000 验证模式。

  访问权限控制 对管理员和征费员设置操作权限,不同的权限拥有不同的系统资源访问行,以保证系统的使用安全。

  数据库备份 为了避免数据意外丢失,保证数据安全,系统配置有自动备份和手动备份数据库的操作机制。
  
  5 结束语

  利用VPN技术实现新乡市运政网联网后, 不仅提高了收费速度, 解决了跨区域收费、就近收费问题, 同时实现了跨区域的信息共享, 给上路稽查提供了详细的数据, 并具有良好的安全性和稳定性,为更加有效地管理运政市场提供了保障, 取得良好的经济效益与社会效益。

上一页  [1] [2] 

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 基于路由器的运政网VPN解决方案

    新乡市运政处及其相应的下属机构分布在新乡市四区八县,采用各自为政.分片负责的方式管理所属片区的运输市场. 近几年来,随着社会经济的不断发展及运输市场的快速增长,跨区的人员流动和车辆交易不断增多,管理信息量大大增加,分片管理的方式不再适合跨区域管理和信息共享的要求.为了解决这个问题,实现市.县.区联网以达到信息共享,我们结合新乡市运管处运政管理系统的要求及我公司的网络情况,提出了基于路由器的运政网VPN(虚拟专用网)解决方案. 1 VPN(虚拟专用网) VPN(虚拟专用网)指的是以公用开放网络(如

  • 商业连锁VPN解决方案

    行业: 零售 功能:VPN,网络 供应商: 深圳市赛蓝科技有限公司 方案正文: 现状与需求随着企业业务的迅速发展,各地分店.连锁店.加盟店.其它异地分支机构等也相继增多,信息交互也越来越频繁,随着企业商业(POS)系统的实施,重要的营业数据.财务数据和相关数据信息在网络中传输也越来越多,安全性要求也越来越重要,目前仅仅依靠Modem拨号.ADSL以及专线的组网模式已经越来越不适应公司对信息传输平台的要求了.连锁经营模式的企业越来越多.这种企业大多数业务是直接为客户提供服务,服务是否到位.是否快捷

  • 详解基于docker搭建lanproxy内网穿透服务

    文档更新说明 2018年04月06日 v1.0 内网穿透相信是后端开发者经常遇到的需求,可是怎么实现呢?其实有现成的服务:花生壳.ngrok等,但是,最近花生壳宣布,免费版的内网穿透将不支持80端口映射了,而免费版的ngrok也不够稳定,于是乎,我就开始需找新的解决方案了 本文使用了docker.nginx,要全部搞懂的话需要一定的后端基础(当然,基本上入个门就可以了),个人认为还是有一定阅读门槛的,但是你如果只是想把服务搭建起来,按照步骤来做是不难的 1.概述 内网穿透其实就是用服务器做一个中

  • 详解SpringBoot基于Dubbo和Seata的分布式事务解决方案

    1. 分布式事务初探 一般来说,目前市面上的数据库都支持本地事务,也就是在你的应用程序中,在一个数据库连接下的操作,可以很容易的实现事务的操作. 但是目前,基于SOA的思想,大部分项目都采用微服务架构后,就会出现了跨服务间的事务需求,这就称为分布式事务. 本文假设你已经了解了事务的运行机制,如果你不了解事务,那么我建议先去看下事务相关的文章,再来阅读本文. 1.1 什么是分布式事务 对于传统的单体应用而言,实现本地事务可以依赖Spring的@Transactional注解标识方法,实现事务非常简

  • 基于Vue结合ElementUI的换肤解决方案

    目录 写在前面 方案一.使用全局的样式覆盖(前端通用) 方案二.自定义自己的Element-ui配色 方案三.快速改变网站颜色 方案四.实时更换主色调 写在前面 换肤这个功能,不能算是很常见,但是也是有需求的,所以这里提供几种前端的换肤解决方案,供大家参考. 本文将介绍几种基于Vue.Element-UI的换肤实现方案,力争通俗易懂,易上手,希望大家喜欢~ 方案一.使用全局的样式覆盖(前端通用) 这个应该是最常见,也是大家最容易想到的,也是最容易实现的一种方案. 我们单独写一份样式表(css 文

  • 详解基于mpvue的小程序markdown适配解决方案

    美团点评近日开源了 mpvue ,这是一个使用 Vue.js 开发小程序的前端框架.使用此框架,开发者将得到完整的 Vue.js 开发体验,同时为 H5 和小程序提供了代码复用的能力.如果想将 H5 项目改造为小程序,或开发小程序后希望将其转换为 H5,mpvue 将是十分契合的一种解决方案. mpvue 的核心目标是提高开发效率,增强开发体验.使用该框架,开发者只需初步了解小程序开发规范.熟悉 Vue.js 基本语法即可上手.框架提供了完整的 Vue.js 开发体验,开发者编写 Vue.js

  • 基于.Net的单点登录(SSO)实现解决方案

    前些天一位朋友要我帮忙做一单点登录,其实这个概念早已耳熟能详,但实际应用很少,难得最近轻闲,于是决定通过本文来详细描述一个SSO解决方案,希望对大家有所帮助.SSO的解决方案很多,但搜索结果令人大失所望,大部分是相互转载,并且描述的也是走马观花. 闲话少叙,进入正题,我的想法是使用集中验证方式,多个站点集中Passport验证. 如下图所示:  为方便清晰描述,先定义几个名词,本文中出现之处均为如下含义. 主站:Passport集中验证服务器 http://www.passport.com/ .

  • 基于JAVA每月运势api调用代码实例

    本文实例为大家分享了JAVA每月运势api调用代码,供大家参考,具体内容如下 import java.io.BufferedReader; import java.io.DataOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import java.io.UnsupportedEncodingException; import java.

  • 基于路由器的网络诊断技术

    网络诊断是管好.用好网络,使网络发挥最大作用的重要技术工作.本文简述分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除. 网络故障诊断概述 网络故障诊断,从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行.网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题:数据链路层的网络设备的接口配置 问题:网络层网络协议配置或操作错误:传输层的设备性能或通信拥塞问题:上三层或网络应用程序错误.诊断网

  • 基于路由器诊断步骤和故障排除技巧

    网络诊断是管好.用好网络,使网络发挥最大作用的重要技术工作.本文简述分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除. 网络故障诊断概述 网络故障诊断,从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行.网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题:数据链路层的网络设备的接口配置 问题:网络层网络协议配置或操作错误:传输层的设备性能或通信拥塞问题:上三层或网络应用程序错误.诊断网

随机推荐