分享
 
 
 

基于路由器的运政网VPN解决方案

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

新乡市运政处及其相应的下属机构分布在新乡市四区八县,采用各自为政、分片负责的方式管理所属片区的运输市场。近几年来,随着社会经济的不断发展及运输市场的快速增长,跨区的人员流动和车辆交易不断增多,管理信息量大大增加,分片管理的方式不再适合跨区域管理和信息共享的要求。为了解决这个问题,实现市、县、区联网以达到信息共享,我们结合新乡市运管处运政管理系统的要求及我公司的网络情况,提出了基于路由器的运政网VPN(虚拟专用网)解决方案。

1

VPN(虚拟专用网)

VPN(虚拟专用网)指的是以公用开放网络(如Internet 网、广电城域网等) 作为基本传输媒介,通过上层协议附加的多种技术,向最终用户提供类似于专用网络(Private Network) 性能的网络服务。VPN利用开放的公众网络建立专用数据传输通道, 将远程用户甚至移动用户连接起来, 提供一种安全的端到端的数据通信。在VPN 网络中, 任意2个节点之间的连接没有端到端的物理链路, 而是构建在公共网络服务商所提供的网络平台上的逻辑网络, 用户数据在逻辑链路中传输。

VPN 的功能特性有:

1) 虚拟性

与传统的专用网不同, VPN 不是在2个站点之间建立永久的连接, 当端与端之间的连接断开后, 所释放的物理资源又可被挪为他用。

2) 安全性

VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。

3) 低成本

用户不必租用长途专线建设专网,不必大量的网络维护人员和设备投入。

4) 易于实现与扩展

网络路由设备配置简单, 无需增加太多的设备, 节省了人力和物力,可以直接利用Windows系统中的网络功能来实现。

基于路由器来实现VPN有很明显的优点,如配置简单,可以实现多级别Qos,系统稳定等,加上当前路由器设备的价格较以前容易接受,所以我们在本方案中采用基于路由器的方式来实现运政网VPN。

2 基于路由器的运政网VPN的关键技术与实现

2.1 基于路由器的运政网VPN网络结构

基于路由器的运政网VPN网络结构如图1所示:

在上图的网络结构中, 网络连接由3 部分组成: 客户机、传输介质和服务器。不同的是VPN 连接使用隧道作为传输通道, 这个隧道是建立在公共网络广电城域网基础上的。目前, VPN 网络有2 种处理方式: 一种是固定IP地址, 另一种是动态IP 地址方式。由于运营商当前大都提供固定的IP地址,在网络配置方面也易于实现,所以我们采用的是固定IP地址的方式。

各交管所局域网络中的客户端可通过各网点放置的cabletron245路由器与新乡广电网络相连,负责与中心cabletron245路由器以l2tp协议建立隧道。一旦隧道建立成功, 客户端与服务器就可经过加密隧道进行信息传递, 如将本网点的征费信息上传至数据库服务器, 或从数据库服务器下载其他征收点的征费信息到本机。通过VPN网络平台, 实现全市各征收点的征费信息共享。

2.2 关键技术

VPN重要的意义在于"虚拟"和"专用",其实现技术主要体现在以下几个要点上:隧道技术Tunnel、相关隧道协议(包括PPTP,L2TP等)、数据安全协议(IPSEC)以及通用路由封装(GRE)等。

(1)隧道技术

公网设施,在一个网络之上的“网络”传输数据的方法。要形成隧道,基本的要素有以下几项:

a、隧道开通器(TI)

b、有路由能力的公用网络

c、一个或多个隧道终止器(TT)

d、必要时增加一个隧道交换机以增加灵活性

隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机,分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器或网络服务提供商站点中的有VPN能力的访问集中器。

隧道终止器的任务是使隧道到此终止,不再继续向前延伸。也有多种网络设备和软件可完成此项任务,例如:专门的隧道终止器,企业网络中的隧道交换机或NSP网络的Extranet路由器上的VPN网关。

(2)相关隧道协议

对要建立的隧道,隧道用户和隧道服务器都要用同一隧道协议。隧道技术可以以二层或三层隧道协议为基础。二层协议和数据链路层对应,并用帧作为它们交换的基础。PPTP和L2TP、L2F是二层隧道协议;三层协议和网络层对应,并使用包作为交换的基础。IPSec和GRE是三层隧道协议。这里我们主要接绍本方案用到的隧道协议――第二层隧道协议(L2TP)

L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP定义了利用公共网络设施(如IP网络、ATM和帧中继网络)封装传输链路层PPP帧的方法。现在,Internet中的拨号网络只支持IP协议,必须使用注册IP地址,而L2TP可以让拨号用户支持多种协议,企业在原有非IP网络上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。

L2TP主要是由LAC(L2TP Access Concentrator,访问集中器)和LNS(L2TP Network Server,网络服务器)构成,LAC支持客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道;LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP便利PPP协议的终点延伸到LNS。

3

cabletron245相关配置及说明

cabletron245路由器配置相对简单,如图1所示,我们分别给出中心端及网点B的地址分配,10.0.0.0的地址为广电城域网的地址,中心端cabletron245的网关为10.14.254.26/30,网点B的cabletron245的网关为10.11.254.6/30,下面分别给出中心端cabletron245和网点Bcabletron245的配置。

网点B cabletron245的配置:

#设置用户身份鉴别指令

sys name fbb

sys admin admin-pass

sys passwd fbapass

sys msg configured_with_eth_tuna.txt

#设置以太网端口及IP路由

eth ip enable

eth ip addr 20.168.2.254 255.255.255.0 0

eth ip addr 10.11.254.5 255.255.255.252 1

eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1

eth ip translate on 1

eth br disable

eth ip options txrip off 0

eth ip options rxrip off 0

eth ip options txrip off 1

eth ip options rxrip off 1

#设置隧道另一端的IP网络

rem add zb

rem setpasswd zbpass zb

rem disauthen chap zb

rem addiproute 20.168.1.0 255.255.255.0 1 zb

#定义隧道另一端驱动为LNS

rem setlns tunnelzb-fbb zb

#设置隧道打开时间

rem settimer 600 zb

rem setipoptions txrip off zb

rem setipoptions rxrip off zb

#设置通往zb的隧道,隧道名为“tunnelzb-fbb”

l2tp add tunnelzb-fbb

#定义两设备共用的鉴定密码“tunnelsecret”。当身份验证时(CHAP),所有对等用户使用同样的密码。

l2tp set chapsecret tunnelsecret tunnelzb-fbb

#为了身份验证需要,定义隧道名

l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb

#设置隧道另一端的IP地址

l2tp set address 100.17.254.37 tunnelzb-fbb

#为了更好的性能,设置窗口机制(两端必须匹配)。使用此功能调整隧道性能

l2tp set window pacing tunnelzb-fbb

#设置密钥并为通过隧道的ppp链接进行加密

rem setencryption key368870 zb

#保存配置,重新启动后配置生效

save

reboot

中心端cabletron245路由器配置:

sys name zb

sys admin admin-pass

sys passwd zbpass

sys msg configured_with_eth_tuna.txt

eth ip ena

eth ip addr 20.168.1.250 255.255.255.0 0

eth ip addr 10.14.254.25 255.255.255.252 1

eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1

eth ip translate on 1

eth br disable

eth ip options txrip off 0

eth ip options rxrip off 0

eth ip options txrip off 1

eth ip options rxrip off 1

rem add fbb

rem setpasswd fbbpass fbb

rem disauthen chap fbb

rem addiproute 20.168.2.0 255.255.255.0 1 fbb

rem setlns tunnelfbb-zb fbb

rem settimer 600 fbb

rem setipoptions txrip off fbb

rem setipoptions rxrip off fbb

l2tp add tunnelfbb-zb

l2tp set chapsecret tunnelsecret tunnelfbb-zb

l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb

l2tp set address 100.11.254.5 tunnelfbb-zb

l2tp set window pacing tunnelfbb-zb

rem setencryption key368859 fbb

……..

save

reboot

4 系统安全性策略

由于本系统是针对交通规费的征收,且是利用公网进行数据传输,因此系统的安全性必须重视。本系统采用了以下安全性策略:

防火墙

防火墙是网络安全政策的有机组成部分,通过检查、限制、更改跨越防火墙的数据流,尽可能地对外屏蔽内部信息,允许或拒绝外部用户访问内部资源。利用Windows 2000Server,SQL Server2000本身的安全机制,采用集成安全模式,将SQL Server 与Windows2000的安全机制紧密集成,并将SQL Server 的用户验证配置为Window s 2000 验证模式。

访问权限控制

对管理员和征费员设置操作权限,不同的权限拥有不同的系统资源访问行,以保证系统的使用安全。

数据库备份

为了避免数据意外丢失,保证数据安全,系统

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有