基于路由器的运政网VPN解决方案

2019-11-05 00:24:50

字体：大中小

来源：转载

供稿：网友

　　新乡市运政处及其相应的下属机构分布在新乡市四区八县，采用各自为政、分片负责的方式治理所属片区的运输市场。

近几年来，随着社会经济的不断发展及运输市场的快速增长，跨区的人员流动和车辆交易不断增多，治理信息量大大增加，分片治理的方式不再适合跨区域治理和信息共享的要求。为了解决这个问题，实现市、县、区联网以达到信息共享，我们结合新乡市运管处运政治理系统的要求及我公司的网络情况，提出了基于路由器的运政网VPN（虚拟专用网）解决方案。
　　
　　1　VPN（虚拟专用网）
　　VPN（虚拟专用网）指的是以公用开放网络(如Internet 网、广电城域网等) 作为基本传输媒介，通过上层协议附加的多种技术，向最终用户提供类似于专用网络(PRivate Network) 性能的网络服务。VPN利用开放的公众网络建立专用数据传输通道，将远程用户甚至移动用户连接起来，提供一种安全的端到端的数据通信。在VPN 网络中，任意2个节点之间的连接没有端到端的物理链路，而是构建在公共网络服务商所提供的网络平台上的逻辑网络，用户数据在逻辑链路中传输。
　　VPN 的功能特性有：
　　1）虚拟性　与传统的专用网不同， VPN 不是在2个站点之间建立永久的连接，当端与端之间的连接断开后，所释放的物理资源又可被挪为他用。
　　2）安全性　VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。
　　3）低成本　用户不必租用长途专线建设专网，不必大量的网络维护人员和设备投入。
　　4）易于实现与扩展　网络路由设备配置简单，无需增加太多的设备，节省了人力和物力，可以直接利用Windows系统中的网络功能来实现。
　　基于路由器来实现VPN有很明显的优点，如配置简单，可以实现多级别Qos，系统稳定等，加上当前路由器设备的价格较以前轻易接受，所以我们在本方案中采用基于路由器的方式来实现运政网VPN。
　　
　　2 基于路由器的运政网VPN的要害技术与实现
　　2.1 基于路由器的运政网VPN网络结构
　　基于路由器的运政网VPN网络结构如图1所示：
　　
　　在上图的网络结构中，网络连接由3 部分组成：客户机、传输介质和服务器。不同的是VPN 连接使用隧道作为传输通道，这个隧道是建立在公共网络广电城域网基础上的。目前， VPN 网络有2 种处理方式：一种是固定ip地址，另一种是动态IP 地址方式。由于运营商当前大都提供固定的IP地址，在网络配置方面也易于实现，所以我们采用的是固定IP地址的方式。
　　各交管所局域网络中的客户端可通过各网点放置的cabletron245路由器与新乡广电网络相连，负责与中心cabletron245路由器以l2tp协议建立隧道。一旦隧道建立成功，客户端与服务器就可经过加密隧道进行信息传递，如将本网点的征费信息上传至数据库服务器，或从数据库服务器下载其他征收点的征费信息到本机。通过VPN网络平台，实现全市各征收点的征费信息共享。
　　
　　2.2 要害技术
　　VPN重要的意义在于"虚拟"和"专用"，其实现技术主要体现在以下几个要点上：隧道技术Tunnel、相关隧道协议（包括PPTP，L2TP等）、数据安全协议（IPSEC）以及通用路由封装（GRE）等。
　　（1）隧道技术
　　
　　公网设施，在一个网络之上的“网络”传输数据的方法。要形成隧道，基本的要素有以下几项：
　　a、隧道开通器（TI）
　　b、有路由能力的公用网络
　　c、一个或多个隧道终止器（TT）
　　d、必要时增加一个隧道交换机以增加灵活性
　　隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务，例如：配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机，分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器或网络服务提供商站点中的有VPN能力的访问集中器。
　　隧道终止器的任务是使隧道到此终止，不再继续向前延伸。也有多种网络设备和软件可完成此项任务，例如：专门的隧道终止器，企业网络中的隧道交换机或NSP网络的Extranet路由器上的VPN网关。
　　（2）相关隧道协议
　　对要建立的隧道，隧道用户和隧道服务器都要用同一隧道协议。隧道技术可以以二层或三层隧道协议为基础。二层协议和数据链路层对应，并用帧作为它们交换的基础。PPTP和L2TP、L2F是二层隧道协议；三层协议和网络层对应，并使用包作为交换的基础。IPSec和GRE是三层隧道协议。这里我们主要接绍本方案用到的隧道协议——第二层隧道协议（L2TP）
　　L2TP结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP定义了利用公共网络设施（如IP网络、ATM和帧中继网络）封装传输链路层PPP帧的方法。
现在，Internet中的拨号网络只支持IP协议，必须使用注册IP地址，而L2TP可以让拨号用户支持多种协议，企业在原有非IP网络上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。
　　L2TP主要是由LAC（L2TP access Concentrator，访问集中器）和LNS（L2TP Network Server，网络服务器）构成，LAC支持客户端的L2TP，它用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP便利PPP协议的终点延伸到LNS。
　　
　　3　cabletron245相关配置及说明
　　cabletron245路由器配置相对简单，如图1所示，我们分别给出中心端及网点B的地址分配，10.0.0.0的地址为广电城域网的地址，中心端cabletron245的网关为10.14.254.26/30，网点B的cabletron245的网关为10.11.254.6/30，下面分别给出中心端cabletron245和网点Bcabletron245的配置。
　　
　　网点B cabletron245的配置：
　　#设置用户身份鉴别指令
　　sys name fbb
　　sys admin admin-pass
　　sys passwd fbapass
　　sys msg configured_with_eth_tuna.txt
　　#设置以太网端口及IP路由
　　eth ip enable
　　eth ip addr 20.168.2.254 255.255.255.0 0
　　eth ip addr 10.11.254.5 255.255.255.252 1
　　eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1
　　eth ip translate on 1
　　eth br disable
　　eth ip options txrip off 0
　　eth ip options rxrip off 0
　　eth ip options txrip off 1
　　eth ip options rxrip off 1
　　#设置隧道另一端的IP网络
　　rem add zb
　　rem setpasswd zbpass zb
　　rem disauthen chap zb
　　rem addiproute 20.168.1.0 255.255.255.0 1 zb
　　#定义隧道另一端驱动为LNS
　　rem setlns tunnelzb-fbb zb
　　#设置隧道打开时间
　　rem settimer 600 zb
　　rem setipoptions txrip off zb
　　rem setipoptions rxrip off zb
　　#设置通往zb的隧道，隧道名为“tunnelzb-fbb”
　　l2tp add tunnelzb-fbb
　　#定义两设备共用的鉴定密码“tunnelsecret”。当身份验证时（CHAP），所有对等用户使用同样的密码。
　　l2tp set chapsecret tunnelsecret tunnelzb-fbb
　　#为了身份验证需要，定义隧道名
　　l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb
　　#设置隧道另一端的IP地址
　　l2tp set address 100.17.254.37 tunnelzb-fbb
　　#为了更好的性能，设置窗口机制（两端必须匹配）。使用此功能调整隧道性能
　　l2tp set window pacing tunnelzb-fbb
　　#设置密钥并为通过隧道的ppp链接进行加密
　　rem setencryption key368870 zb
　　#保存配置，重新启动后配置生效
　　save
　　reboot
　　
　　中心端cabletron245路由器配置：
　　sys name zb
　　sys admin admin-pass
　　sys passwd zbpass
　　sys msg configured_with_eth_tuna.txt
　　eth ip ena
　　eth ip addr 20.168.1.250 255.255.255.0 0
　　eth ip addr 10.14.254.25 255.255.255.252 1
　　eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1
　　eth ip translate on 1
　　eth br disable
　　eth ip options txrip off 0
　　eth ip options rxrip off 0
　　eth ip options txrip off 1
　　eth ip options rxrip off 1
　　
　　rem add fbb
　　rem setpasswd fbbpass fbb
　　rem disauthen chap fbb
　　rem addiproute 20.168.2.0 255.255.255.0 1 fbb
　　rem setlns tunnelfbb-zb fbb
　　rem settimer 600 fbb
　　rem setipoptions txrip off fbb
　　rem setipoptions rxrip off fbb
　　l2tp add tunnelfbb-zb
　　l2tp set chapsecret tunnelsecret tunnelfbb-zb
　　l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb
　　l2tp set address 100.11.254.5 tunnelfbb-zb
　　l2tp set window pacing tunnelfbb-zb
　　rem setencryption key368859 fbb
　　……..
　　save
　　reboot
　　
　　4 系统安全性策略
　　由于本系统是针对交通规费的征收，且是利用公网进行数据传输，因此系统的安全性必须重视。
本系统采用了以下安全性策略：
　　防火墙　防火墙是网络安全政策的有机组成部分，通过检查、限制、更改跨越防火墙的数据流，尽可能地对外屏蔽内部信息，答应或拒绝外部用户访问内部资源。利用windows 2000Server，SQL Server2000本身的安全机制，采用集成安全模式，将SQL Server 与Windows2000的安全机制紧密集成，并将SQL Server 的用户验证配置为Window s 2000 验证模式。
　　访问权限控制　对治理员和征费员设置操作权限，不同的权限拥有不同的系统资源访问行，以保证系统的使用安全。
　　数据库备份　为了避免数据意外丢失，保证数据安全，系统配置有自动备份和手动备份数据库的操作机制。
　　
　　5 结束语
　　利用VPN技术实现新乡市运政网联网后，不仅提高了收费速度，解决了跨区域收费、就近收费问题，同时实现了跨区域的信息共享，给上路稽查提供了具体的数据，并具有良好的安全性和稳定性，为更加有效地治理运政市场提供了保障，取得良好的经济效益与社会效益。

上一篇：温州分行Cisco路由器实现VoIP配置解析

下一篇：接入路由器搭建VoIP解决方案