基于路由器的運政網VPN解決方案

2019-11-05 00:24:50

字體：大中小

來源：轉載

供稿：網友

　　新鄉市運政處及其相應的下屬機構分布在新鄉市四區八縣，采用各自為政、分片負責的方式治理所屬片區的運輸市場。

近幾年來，隨著社會經濟的不斷發展及運輸市場的快速增長，跨區的人員流動和車輛交易不斷增多，治理信息量大大增加，分片治理的方式不再適合跨區域治理和信息共享的要求。為了解決這個問題，實現市、縣、區聯網以達到信息共享，我們結合新鄉市運管處運政治理系統的要求及我公司的網絡情況，提出了基于路由器的運政網VPN（虛擬專用網）解決方案。
　　
　　1　VPN（虛擬專用網）
　　VPN（虛擬專用網）指的是以公用開放網絡(如Internet 網、廣電城域網等) 作為基本傳輸媒介，通過上層協議附加的多種技術，向最終用戶提供類似于專用網絡(PRivate Network) 性能的網絡服務。VPN利用開放的公眾網絡建立專用數據傳輸通道，將遠程用戶甚至移動用戶連接起來，提供一種安全的端到端的數據通信。在VPN 網絡中，任意2個節點之間的連接沒有端到端的物理鏈路，而是構建在公共網絡服務商所提供的網絡平臺上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。
　　VPN 的功能特性有：
　　1）虛擬性　與傳統的專用網不同， VPN 不是在2個站點之間建立永久的連接，當端與端之間的連接斷開后，所釋放的物理資源又可被挪為他用。
　　2）安全性　VPN 以多種方式增強了網絡的安全性。通過提供身份認證、訪問控制、數據加密來保證安全可靠。
　　3）低成本　用戶不必租用長途專線建設專網，不必大量的網絡維護人員和設備投入。
　　4）易于實現與擴展　網絡路由設備配置簡單，無需增加太多的設備，節省了人力和物力，可以直接利用Windows系統中的網絡功能來實現。
　　基于路由器來實現VPN有很明顯的優點，如配置簡單，可以實現多級別Qos，系統穩定等，加上當前路由器設備的價格較以前輕易接受，所以我們在本方案中采用基于路由器的方式來實現運政網VPN。
　　
　　2 基于路由器的運政網VPN的要害技術與實現
　　2.1 基于路由器的運政網VPN網絡結構
　　基于路由器的運政網VPN網絡結構如圖1所示：
　　
　　在上圖的網絡結構中，網絡連接由3 部分組成：客戶機、傳輸介質和服務器。不同的是VPN 連接使用隧道作為傳輸通道，這個隧道是建立在公共網絡廣電城域網基礎上的。目前， VPN 網絡有2 種處理方式：一種是固定ip地址，另一種是動態IP 地址方式。由于運營商當前大都提供固定的IP地址，在網絡配置方面也易于實現，所以我們采用的是固定IP地址的方式。
　　各交管所局域網絡中的客戶端可通過各網點放置的cabletron245路由器與新鄉廣電網絡相連，負責與中心cabletron245路由器以l2tp協議建立隧道。一旦隧道建立成功，客戶端與服務器就可經過加密隧道進行信息傳遞，如將本網點的征費信息上傳至數據庫服務器，或從數據庫服務器下載其他征收點的征費信息到本機。通過VPN網絡平臺，實現全市各征收點的征費信息共享。
　　
　　2.2 要害技術
　　VPN重要的意義在于"虛擬"和"專用"，其實現技術主要體現在以下幾個要點上：隧道技術Tunnel、相關隧道協議（包括PPTP，L2TP等）、數據安全協議（IPSEC）以及通用路由封裝（GRE）等。
　　（1）隧道技術
　　
　　公網設施，在一個網絡之上的“網絡”傳輸數據的方法。要形成隧道，基本的要素有以下幾項：
　　a、隧道開通器（TI）
　　b、有路由能力的公用網絡
　　c、一個或多個隧道終止器（TT）
　　d、必要時增加一個隧道交換機以增加靈活性
　　隧道開通器的任務是在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務，例如：配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機，分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器或網絡服務提供商站點中的有VPN能力的訪問集中器。
　　隧道終止器的任務是使隧道到此終止，不再繼續向前延伸。也有多種網絡設備和軟件可完成此項任務，例如：專門的隧道終止器，企業網絡中的隧道交換機或NSP網絡的Extranet路由器上的VPN網關。
　　（2）相關隧道協議
　　對要建立的隧道，隧道用戶和隧道服務器都要用同一隧道協議。隧道技術可以以二層或三層隧道協議為基礎。二層協議和數據鏈路層對應，并用幀作為它們交換的基礎。PPTP和L2TP、L2F是二層隧道協議；三層協議和網絡層對應，并使用包作為交換的基礎。IPSec和GRE是三層隧道協議。這里我們主要接紹本方案用到的隧道協議——第二層隧道協議（L2TP）
　　L2TP結合了L2F和PPTP的優點，可以讓用戶從客戶端或訪問服務器端發起VPN連接。L2TP定義了利用公共網絡設施（如IP網絡、ATM和幀中繼網絡）封裝傳輸鏈路層PPP幀的方法。
現在，Internet中的撥號網絡只支持IP協議，必須使用注冊IP地址，而L2TP可以讓撥號用戶支持多種協議，企業在原有非IP網絡上的投資不至于浪費。L2TP帶來的另一個好處是它能夠支持多個鏈路的捆綁使用。
　　L2TP主要是由LAC（L2TP access Concentrator，訪問集中器）和LNS（L2TP Network Server，網絡服務器）構成，LAC支持客戶端的L2TP，它用于發起呼叫、接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，L2TP便利PPP協議的終點延伸到LNS。
　　
　　3　cabletron245相關配置及說明
　　cabletron245路由器配置相對簡單，如圖1所示，我們分別給出中心端及網點B的地址分配，10.0.0.0的地址為廣電城域網的地址，中心端cabletron245的網關為10.14.254.26/30，網點B的cabletron245的網關為10.11.254.6/30，下面分別給出中心端cabletron245和網點Bcabletron245的配置。
　　
　　網點B cabletron245的配置：
　　#設置用戶身份鑒別指令
　　sys name fbb
　　sys admin admin-pass
　　sys passwd fbapass
　　sys msg configured_with_eth_tuna.txt
　　#設置以太網端口及IP路由
　　eth ip enable
　　eth ip addr 20.168.2.254 255.255.255.0 0
　　eth ip addr 10.11.254.5 255.255.255.252 1
　　eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1
　　eth ip translate on 1
　　eth br disable
　　eth ip options txrip off 0
　　eth ip options rxrip off 0
　　eth ip options txrip off 1
　　eth ip options rxrip off 1
　　#設置隧道另一端的IP網絡
　　rem add zb
　　rem setpasswd zbpass zb
　　rem disauthen chap zb
　　rem addiproute 20.168.1.0 255.255.255.0 1 zb
　　#定義隧道另一端驅動為LNS
　　rem setlns tunnelzb-fbb zb
　　#設置隧道打開時間
　　rem settimer 600 zb
　　rem setipoptions txrip off zb
　　rem setipoptions rxrip off zb
　　#設置通往zb的隧道，隧道名為“tunnelzb-fbb”
　　l2tp add tunnelzb-fbb
　　#定義兩設備共用的鑒定密碼“tunnelsecret”。當身份驗證時（CHAP），所有對等用戶使用同樣的密碼。
　　l2tp set chapsecret tunnelsecret tunnelzb-fbb
　　#為了身份驗證需要，定義隧道名
　　l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb
　　#設置隧道另一端的IP地址
　　l2tp set address 100.17.254.37 tunnelzb-fbb
　　#為了更好的性能，設置窗口機制（兩端必須匹配）。使用此功能調整隧道性能
　　l2tp set window pacing tunnelzb-fbb
　　#設置密鑰并為通過隧道的ppp鏈接進行加密
　　rem setencryption key368870 zb
　　#保存配置，重新啟動后配置生效
　　save
　　reboot
　　
　　中心端cabletron245路由器配置：
　　sys name zb
　　sys admin admin-pass
　　sys passwd zbpass
　　sys msg configured_with_eth_tuna.txt
　　eth ip ena
　　eth ip addr 20.168.1.250 255.255.255.0 0
　　eth ip addr 10.14.254.25 255.255.255.252 1
　　eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1
　　eth ip translate on 1
　　eth br disable
　　eth ip options txrip off 0
　　eth ip options rxrip off 0
　　eth ip options txrip off 1
　　eth ip options rxrip off 1
　　
　　rem add fbb
　　rem setpasswd fbbpass fbb
　　rem disauthen chap fbb
　　rem addiproute 20.168.2.0 255.255.255.0 1 fbb
　　rem setlns tunnelfbb-zb fbb
　　rem settimer 600 fbb
　　rem setipoptions txrip off fbb
　　rem setipoptions rxrip off fbb
　　l2tp add tunnelfbb-zb
　　l2tp set chapsecret tunnelsecret tunnelfbb-zb
　　l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb
　　l2tp set address 100.11.254.5 tunnelfbb-zb
　　l2tp set window pacing tunnelfbb-zb
　　rem setencryption key368859 fbb
　　……..
　　save
　　reboot
　　
　　4 系統安全性策略
　　由于本系統是針對交通規費的征收，且是利用公網進行數據傳輸，因此系統的安全性必須重視。
本系統采用了以下安全性策略：
　　防火墻　防火墻是網絡安全政策的有機組成部分，通過檢查、限制、更改跨越防火墻的數據流，盡可能地對外屏蔽內部信息，答應或拒絕外部用戶訪問內部資源。利用windows 2000Server，SQL Server2000本身的安全機制，采用集成安全模式，將SQL Server 與Windows2000的安全機制緊密集成，并將SQL Server 的用戶驗證配置為Window s 2000 驗證模式。
　　訪問權限控制　對治理員和征費員設置操作權限，不同的權限擁有不同的系統資源訪問行，以保證系統的使用安全。
　　數據庫備份　為了避免數據意外丟失，保證數據安全，系統配置有自動備份和手動備份數據庫的操作機制。
　　
　　5 結束語
　　利用VPN技術實現新鄉市運政網聯網后，不僅提高了收費速度，解決了跨區域收費、就近收費問題，同時實現了跨區域的信息共享，給上路稽查提供了具體的數據，并具有良好的安全性和穩定性，為更加有效地治理運政市場提供了保障，取得良好的經濟效益與社會效益。

上一篇：溫州分行Cisco路由器實現VoIP配置解析

下一篇：接入路由器搭建VoIP解決方案