基于路由器的运政网VPN解决方案

admin

新乡市运政处及其相应的下属机构分布在新乡市四区八县，采用各自为政、分片负责的方式管理所属片区的运输市场。
　　近几年来，随着社会经济的不断发展及运输市场的快速增长，跨区的人员流动和车辆交易不断增多，管理信息量大大增加，分片管理的方式不再适合跨区域管理和信息共享的要求。为了解决这个问题，实现市、县、区联网以达到信息共享，我们结合新乡市运管处运政管理系统的要求及我公司的网络情况，提出了基于路由器的运政网VPN（虚拟专用网）解决方案。
　　
　　1　VPN（虚拟专用网）
　　VPN（虚拟专用网）指的是以公用开放网络(如Internet 网、广电城域网等) 作为基本传输媒介，通过上层协议附加的多种技术，向最终用户提供类似于专用网络(Private Network) 性能的网络服务。VPN利用开放的公众网络建立专用数据传输通道， 将远程用户甚至移动用户连接起来， 提供一种安全的端到端的数据通信。在VPN 网络中， 任意2个节点之间的连接没有端到端的物理链路， 而是构建在公共网络服务商所提供的网络平台上的逻辑网络， 用户数据在逻辑链路中传输。
　　VPN 的功能特性有：
　　1） 虚拟性　与传统的专用网不同， VPN 不是在2个站点之间建立永久的连接， 当端与端之间的连接断开后， 所释放的物理资源又可被挪为他用。
　　2） 安全性　VPN 以多种方式增强了网络的安全性。通过提供身份认证、访问控制、数据加密来保证安全可靠。
　　3） 低成本　用户不必租用长途专线建设专网，不必大量的网络维护人员和设备投入。
　　4） 易于实现与扩展　网络路由设备配置简单， 无需增加太多的设备， 节省了人力和物力，可以直接利用Windows系统中的网络功能来实现。
　　基于路由器来实现VPN有很明显的优点，如配置简单，可以实现多级别Qos，系统稳定等，加上当前路由器设备的价格较以前容易接受，所以我们在本方案中采用基于路由器的方式来实现运政网VPN。
　　
　　2 基于路由器的运政网VPN的关键技术与实现
　　2.1 基于路由器的运政网VPN网络结构
　　基于路由器的运政网VPN网络结构如图1所示：
　　
　　在上图的网络结构中， 网络连接由3 部分组成： 客户机、传输介质和服务器。不同的是VPN 连接使用隧道作为传输通道， 这个隧道是建立在公共网络广电城域网基础上的。目前， VPN 网络有2 种处理方式： 一种是固定IP地址， 另一种是动态IP 地址方式。由于运营商当前大都提供固定的IP地址，在网络配置方面也易于实现，所以我们采用的是固定IP地址的方式。
　　各交管所局域网络中的客户端可通过各网点放置的cabletron245路由器与新乡广电网络相连，负责与中心cabletron245路由器以l2tp协议建立隧道。一旦隧道建立成功， 客户端与服务器就可经过加密隧道进行信息传递， 如将本网点的征费信息上传至数据库服务器， 或从数据库服务器下载其他征收点的征费信息到本机。通过VPN网络平台， 实现全市各征收点的征费信息共享。
　　
　　2.2 关键技术
　　VPN重要的意义在于"虚拟"和"专用"，其实现技术主要体现在以下几个要点上：隧道技术Tunnel、相关隧道协议（包括PPTP，L2TP等）、数据安全协议（IPSEC）以及通用路由封装（GRE）等。
　　（1）隧道技术
　　
　　公网设施，在一个网络之上的“网络”传输数据的方法。要形成隧道，基本的要素有以下几项：
　　a、隧道开通器（TI）
　　b、有路由能力的公用网络
　　c、一个或多个隧道终止器（TT）
　　d、必要时增加一个隧道交换机以增加灵活性
　　隧道开通器的任务是在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务，例如：配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机，分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器或网络服务提供商站点中的有VPN能力的访问集中器。
　　隧道终止器的任务是使隧道到此终止，不再继续向前延伸。也有多种网络设备和软件可完成此项任务，例如：专门的隧道终止器，企业网络中的隧道交换机或NSP网络的Extranet路由器上的VPN网关。
　　（2）相关隧道协议
　　对要建立的隧道，隧道用户和隧道服务器都要用同一隧道协议。隧道技术可以以二层或三层隧道协议为基础。二层协议和数据链路层对应，并用帧作为它们交换的基础。PPTP和L2TP、L2F是二层隧道协议；三层协议和网络层对应，并使用包作为交换的基础。IPSec和GRE是三层隧道协议。这里我们主要接绍本方案用到的隧道协议——第二层隧道协议（L2TP）
　　L2TP结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP定义了利用公共网络设施（如IP网络、ATM和帧中继网络）封装传输链路层PPP帧的方法。现在，Internet中的拨号网络只支持IP协议，必须使用注册IP地址，而L2TP可以让拨号用户支持多种协议，企业在原有非IP网络上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。
　　L2TP主要是由LAC（L2TP Access Concentrator，访问集中器）和LNS（L2TP Network Server，网络服务器）构成，LAC支持客户端的L2TP，它用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP便利PPP协议的终点延伸到LNS。
　　
　　3　cabletron245相关配置及说明
　　cabletron245路由器配置相对简单，如图1所示，我们分别给出中心端及网点B的地址分配，10.0.0.0的地址为广电城域网的地址，中心端cabletron245的网关为10.14.254.26/30，网点B的cabletron245的网关为10.11.254.6/30，下面分别给出中心端cabletron245和网点Bcabletron245的配置。
　　
　　网点B cabletron245的配置：
　　#设置用户身份鉴别指令
　　sys name fbb
　　sys admin admin-pass
　　sys passwd fbapass
　　sys msg configured_with_eth_tuna.txt
　　#设置以太网端口及IP路由
　　eth ip enable
　　eth ip addr 20.168.2.254 255.255.255.0 0
　　eth ip addr 10.11.254.5 255.255.255.252 1
　　eth ip addroute 0.0.0.0 255.255.255.255 10.11.254.6 1 1
　　eth ip translate on 1
　　eth br disable
　　eth ip options txrip off 0
　　eth ip options rxrip off 0
　　eth ip options txrip off 1
　　eth ip options rxrip off 1
　　#设置隧道另一端的IP网络
　　rem add zb
　　rem setpasswd zbpass zb
　　rem disauthen chap zb
　　rem addiproute 20.168.1.0 255.255.255.0 1 zb
　　#定义隧道另一端驱动为LNS
　　rem setlns tunnelzb-fbb zb
　　#设置隧道打开时间
　　rem settimer 600 zb
　　rem setipoptions txrip off zb
　　rem setipoptions rxrip off zb
　　#设置通往zb的隧道，隧道名为“tunnelzb-fbb”
　　l2tp add tunnelzb-fbb
　　#定义两设备共用的鉴定密码“tunnelsecret”。当身份验证时（CHAP），所有对等用户使用同样的密码。
　　l2tp set chapsecret tunnelsecret tunnelzb-fbb
　　#为了身份验证需要，定义隧道名
　　l2tp set ourtunnelname tunnelfbb-zb tunnelzb-fbb
　　#设置隧道另一端的IP地址
　　l2tp set address 100.17.254.37 tunnelzb-fbb
　　#为了更好的性能，设置窗口机制（两端必须匹配）。使用此功能调整隧道性能
　　l2tp set window pacing tunnelzb-fbb
　　#设置密钥并为通过隧道的ppp链接进行加密
　　rem setencryption key368870 zb
　　#保存配置，重新启动后配置生效
　　save
　　reboot
　　
　　中心端cabletron245路由器配置：
　　sys name zb
　　sys admin admin-pass
　　sys passwd zbpass
　　sys msg configured_with_eth_tuna.txt
　　eth ip ena
　　eth ip addr 20.168.1.250 255.255.255.0 0
　　eth ip addr 10.14.254.25 255.255.255.252 1
　　eth ip addroute 0.0.0.0 255.255.255.255 100.14.254.26 1 1
　　eth ip translate on 1
　　eth br disable
　　eth ip options txrip off 0
　　eth ip options rxrip off 0
　　eth ip options txrip off 1
　　eth ip options rxrip off 1
　　
　　rem add fbb
　　rem setpasswd fbbpass fbb
　　rem disauthen chap fbb
　　rem addiproute 20.168.2.0 255.255.255.0 1 fbb
　　rem setlns tunnelfbb-zb fbb
　　rem settimer 600 fbb
　　rem setipoptions txrip off fbb
　　rem setipoptions rxrip off fbb
　　l2tp add tunnelfbb-zb
　　l2tp set chapsecret tunnelsecret tunnelfbb-zb
　　l2tp set ourtunnelname tunnelzb-fbb tunnelfbb-zb
　　l2tp set address 100.11.254.5 tunnelfbb-zb
　　l2tp set window pacing tunnelfbb-zb
　　rem setencryption key368859 fbb
　　……..
　　save
　　reboot
　　
　　4 系统安全性策略
　　由于本系统是针对交通规费的征收，且是利用公网进行数据传输，因此系统的安全性必须重视。本系统采用了以下安全性策略：
　　防火墙　防火墙是网络安全政策的有机组成部分，通过检查、限制、更改跨越防火墙的数据流，尽可能地对外屏蔽内部信息，允许或拒绝外部用户访问内部资源。利用Windows 2000Server，SQL Server2000本身的安全机制，采用集成安全模式，将SQL Server 与Windows2000的安全机制紧密集成，并将SQL Server 的用户验证配置为Window s 2000 验证模式。
　　访问权限控制　对管理员和征费员设置操作权限，不同的权限拥有不同的系统资源访问行，以保证系统的使用安全。
　　数据库备份　为了避免数据意外丢失，保证数据安全，系统配置有自动备份和手动备份数据库的操作机制。
　　
　　5 结束语
　　利用VPN技术实现新乡市运政网联网后， 不仅提高了收费速度， 解决了跨区域收费、就近收费问题， 同时实现了跨区域的信息共享， 给上路稽查提供了详细的数据， 并具有良好的安全性和稳定性，为更加有效地管理运政市场提供了保障， 取得良好的经济效益与社会效益。