新鄉市運政處及其相應的下屬機構分布在新鄉市四區八縣，采用各自為政、分片負責的方式治理所屬片區的運輸市場。

近幾年來，隨著社會經濟的不斷發展及運輸市場的快速增長，跨區的人員流動和車輛交易不斷增多，治理信息量大大增加，分片治理的方式不再適合跨區域治理和信息共享的要求。為了解決這個問題，實現市、縣、區聯網以達到信息共享，我們結合新鄉市運管處運政治理系統的要求及我公司的網絡情況，提出了基于路由器的運政網VPN（虛擬專用網）解決方案。

1　VPN（虛擬專用網）

VPN（虛擬專用網）指的是以公用開放網絡(如Internet 網、廣電城域網等) 作為基本傳輸媒介，通過上層協議附加的多種技術，向最終用戶提供類似于專用網絡(PRivate Network) 性能的網絡服務。VPN利用開放的公眾網絡建立專用數據傳輸通道， 將遠程用戶甚至移動用戶連接起來， 提供一種安全的端到端的數據通信。在VPN 網絡中， 任意2個節點之間的連接沒有端到端的物理鏈路， 而是構建在公共網絡服務商所提供的網絡平臺上的邏輯網絡， 用戶數據在邏輯鏈路中傳輸。

VPN 的功能特性有：

1） 虛擬性　與傳統的專用網不同， VPN 不是在2個站點之間建立永久的連接， 當端與端之間的連接斷開后， 所釋放的物理資源又可被挪為他用。

2） 安全性　VPN 以多種方式增強了網絡的安全性。通過提供身份認證、訪問控制、數據加密來保證安全可靠。

3） 低成本　用戶不必租用長途專線建設專網，不必大量的網絡維護人員和設備投入。

4） 易于實現與擴展　網絡路由設備配置簡單， 無需增加太多的設備， 節省了人力和物力，可以直接利用Windows系統中的網絡功能來實現。

基于路由器來實現VPN有很明顯的優點，如配置簡單，可以實現多級別Qos，系統穩定等，加上當前路由器設備的價格較以前輕易接受，所以我們在本方案中采用基于路由器的方式來實現運政網VPN。

2 基于路由器的運政網VPN的要害技術與實現

2.1 基于路由器的運政網VPN網絡結構

在網絡結構中， 網絡連接由3 部分組成： 客戶機、傳輸介質和服務器。不同的是VPN 連接使用隧道作為傳輸通道， 這個隧道是建立在公共網絡廣電城域網基礎上的。目前， VPN 網絡有2 種處理方式： 一種是固定ip地址， 另一種是動態IP 地址方式。由于運營商當前大都提供固定的IP地址，在網絡配置方面也易于實現，所以我們采用的是固定IP地址的方式。

各交管所局域網絡中的客戶端可通過各網點放置的cabletron245路由器與新鄉廣電網絡相連，負責與中心cabletron245路由器以l2tp協議建立隧道。一旦隧道建立成功， 客戶端與服務器就可經過加密隧道進行信息傳遞， 如將本網點的征費信息上傳至數據庫服務器， 或從數據庫服務器下載其他征收點的征費信息到本機。通過VPN網絡平臺， 實現全市各征收點的征費信息共享。

2.2 要害技術

VPN重要的意義在于"虛擬"和"專用"，其實現技術主要體現在以下幾個要點上：隧道技術Tunnel、相關隧道協議（包括PPTP，L2TP等）、數據安全協議（IPSEC）以及通用路由封裝（GRE）等。

（1）隧道技術

公網設施，在一個網絡之上的“網絡”傳輸數據的方法。要形成隧道，基本的要素有以下幾項：

a、隧道開通器（TI）

b、有路由能力的公用網絡

c、一個或多個隧道終止器（TT）

d、必要時增加一個隧道交換機以增加靈活性

更多的請看：http://www.qqread.com/windows/2003/index.Html

隧道開通器的任務是在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務，例如：配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機，分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器或網絡服務提供商站點中的有VPN能力的訪問集中器。

隧道終止器的任務是使隧道到此終止，不再繼續向前延伸。也有多種網絡設備和軟件可完成此項任務，例如：專門的隧道終止器，企業網絡中的隧道交換機或NSP網絡的Extranet路由器上的VPN網關。

（2）相關隧道協議

對要建立的隧道，隧道用戶和隧道服務器都要用同一隧道協議。隧道技術可以以二層或三層隧道協議為基礎。二層協議和數據鏈路層對應，并用幀作為它們交換的基礎。PPTP和L2TP、L2F是二層隧道協議；三層協議和網絡層對應，并使用包作為交換的基礎。IPSec和GRE是三層隧道協議。這里我們主要接紹本方案用到的隧道協議——第二層隧道協議（L2TP）

L2TP結合了L2F和PPTP的優點，可以讓用戶從客戶端或訪問服務器端發起VPN連接。L2TP定義了利用公共網絡設施（如IP網絡、ATM和幀中繼網絡）封裝傳輸鏈路層PPP幀的方法。現在，Internet中的撥號網絡只支持IP協議，必須使用注冊IP地址，而L2TP可以讓撥號用戶支持多種協議，企業在原有非IP網絡上的投資不至于浪費。L2TP帶來的另一個好處是它能夠支持多個鏈路的捆綁使用。

L2TP主要是由LAC（L2TP access Concentrator，訪問集中器）和LNS（L2TP Network Server，網絡服務器）構成，LAC支持客戶端的L2TP，它用于發起呼叫、接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，L2TP便利PPP協議的終點延伸到LNS。

3　cabletron245相關配置及說明

cabletron245路由器配置相對簡單，如圖1所示，我們分別給出中心端及網點B的地址分配，10.0.0.0的地址為廣電城域網的地址，中心端cabletron245的網關為10.14.254.26/30，網點B的cabletron245的網關為10.11.254.6/30，下面分別給出中心端cabletron245和網點Bcabletron245的配置。

網點B cabletron245的配置：

#設置用戶身份鑒別指令

sys name fbb

sys admin admin-pass

sys passwd fbapass

sys msg configured_with_eth_tuna.txt

#設置以太網端口及IP路由

eth ip enable

eth ip addr 20.168.2.254 255.255.255.0 0

eth ip addr 10.11.254.5 255.255.255.252 1

eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1

eth ip translate on 1

eth br disable

eth ip options txrip off 0

eth ip options rxrip off 0

eth ip options txrip off 1

eth ip options rxrip off 1

#設置隧道另一端的IP網絡

rem add zb

rem setpasswd zbpass zb

rem disauthen chap zb

rem addiproute 20.168.1.0 255.255.255.0 1 zb

#定義隧道另一端驅動為LNS

rem setlns tunnelzb-fbb zb

#設置隧道打開時間

rem settimer 600 zb

rem setipoptions txrip off zb

rem setipoptions rxrip off zb

#設置通往zb的隧道，隧道名為“tunnelzb-fbb”

l2tp add tunnelzb-fbb

#定義兩設備共用的鑒定密碼“tunnelsecret”。當身份驗證時（CHAP），所有對等用戶使用同樣的密碼。

l2tp set chapsecret tunnelsecret tunnelzb-fbb

#為了身份驗證需要，定義隧道名

l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb

#設置隧道另一端的IP地址

l2tp set address 100.17.254.37 tunnelzb-fbb

#為了更好的性能，設置窗口機制（兩端必須匹配）。使用此功能調整隧道性能

l2tp set window pacing tunnelzb-fbb

#設置密鑰并為通過隧道的ppp鏈接進行加密

rem setencryption key368870 zb

#保存配置，重新啟動后配置生效

save

reboot

中心端cabletron245路由器配置：

sys name zb

sys admin admin-pass

sys passwd zbpass

sys msg configured_with_eth_tuna.txt

eth ip ena

eth ip addr 20.168.1.250 255.255.255.0 0

eth ip addr 10.14.254.25 255.255.255.252 1

eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1

eth ip translate on 1

eth br disable

eth ip options txrip off 0

eth ip options rxrip off 0

eth ip options txrip off 1

eth ip options rxrip off 1

rem add fbb

rem setpasswd fbbpass fbb

rem disauthen chap fbb

rem addiproute 20.168.2.0 255.255.255.0 1 fbb

rem setlns tunnelfbb-zb fbb

rem settimer 600 fbb

rem setipoptions txrip off fbb

rem setipoptions rxrip off fbb

l2tp add tunnelfbb-zb

l2tp set chapsecret tunnelsecret tunnelfbb-zb

l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb

l2tp set address 100.11.254.5 tunnelfbb-zb

l2tp set window pacing tunnelfbb-zb

rem setencryption key368859 fbb

……..

save

reboot

4 系統安全性策略

由于本系統是針對交通規費的征收，且是利用公網進行數據傳輸，因此系統的安全性必須重視。本系統采用了以下安全性策略：

防火墻　防火墻是網絡安全政策的有機組成部分，通過檢查、限制、更改跨越防火墻的數據流，盡可能地對外屏蔽內部信息，答應或拒絕外部用戶訪問內部資源。利用windows 2000Server，SQL Server2000本身的安全機制，采用集成安全模式，將SQL Server 與Windows2000的安全機制緊密集成，并將SQL Server 的用戶驗證配置為Window s 2000 驗證模式。

訪問權限控制　對治理員和征費員設置操作權限，不同的權限擁有不同的系統資源訪問行，以保證系統的使用安全。

數據庫備份　為了避免數據意外丟失，保證數據安全，系統配置有自動備份和手動備份數據庫的操作機制。

5 結束語

利用VPN技術實現新鄉市運政網聯網后， 不僅提高了收費速度， 解決了跨區域收費、就近收費問題， 同時實現了跨區域的信息共享， 給上路稽查提供了具體的數據， 并具有良好的安全性和穩定性，為更加有效地治理運政市場提供了保障， 取得良好的經濟效益與社會效益。