威海汽车客运集团VPN联网方案
一  前言
交通是经济的"先行官",高效的交通运输保障能力和区域间经济的协调发展需要一体化、网络化的交通,需要加强区域间的运输协作,需要人流物流的便捷畅通,而这一切的实现不仅需要政策法规以及管理机制上的一体化,极为重要的一项措施就是发挥信息系统的作用,用信息化推进交通一体化的发展,推进交通现代化。
思科的智能交通解决方案是为航空,公路,铁路,航运等多种行业所量身订制的一系列业务解决方案。思科的解决方案着重在以下方面:
  更高的安全和可靠性
  增加运力和投资回报
  实时信息
  减少拥塞和延时
  雪铁龙c6报价智能控制和管理
针对威海汽运集团个性需求的特点
中国油价上限和下限是多少威海交通运输集团有近二十个分部,其局域网约有50台PC,其中包含站点5个,分散在威海各地(威海、文登、荣成、乳山和石岛等)。各分支内网PC数量大概在10-30台左右,通过普通ADSL方式连入互联网,分部需要时实和总部服务器进行安全的数据通信。由于需要全市区联网销售车票,包括异地始发的车票,同时和企业总部进行业务状况、财务数据等信息的传输,这些业务数据在Internet上直接传输时存在较高的安全风险,直接影响售票业务的顺利进行,没有安全保护措施,会引起黑客入侵、病毒泛滥,维护工作难以开展,甚至造成公司网络瘫痪,造成巨大经济损失。我们选择了思科防火墙。
选择思科的原因
 
  当前市场上的许多厂商都会提供独立的小型产品来解决网络上的某一特定问题。其结果是,机构的网络和应用性能更加不一致,因为缺乏丰富的集成网络特性及服务和网络智能性,使网络无法作为一个统一的系统运行,从而使得机构需花费更多精力进行系统维护
单点产品还面临着其它问题,包括:
 
  ·难以保护整个网络免遭中断、服务性能下降和安全违背的影响
 
  ·不能根据现有基础设施调整,或提供必要的可扩展性来满足不断变化的业务需求
 
  ·缺乏网络部署和管理方面的"最佳实践"记录,导致长期成本和复杂度的增加
 
  升级、修改和管理困难且成本高昂
 
  传统网络供应商提供由互联机箱组成的端到端解决方案,它们通常是其现有系统的向外扩展。这种方式的问题在于性能和可用性一般由最薄弱的网络组件决定。
 
  与其相反,思科提供的是智能化、真正集成(有线和无线)的端到端网络解决方案,使网络能作为一个整体工作,在特性和质量方面具一致性,拥有更高可靠性、增强用户体验和高
质量性能。更为一致的网络会带来更为一致的运营。
 
  只有思科具备可优化基础设施组件的联网深度和广度,使各组件在机构和机构的扩展基础设施上作为统一系统运行。除提高网络性能外,网络元素通过集成化网络协议和网络智能而锁定。
二、用户需求分析
    威海汽车客运集团,在周边有文登,乳山,荣成,石岛几个大的客运网点及威海各个分公司。为实现新型管理模式,均衡汽车资源,培育专业的客运市场,将对这几大客运网点实施联网管理,统一售票,合理调配班次。网络建置需求如下:
1、实现文登,乳山,荣成,石岛几个大的客运网点及威海各个分公司与总部互联,实现联网售票。
2、由于联网售票系统的及时性要求相当高,尽可能减少系统服务中断,提高工作效率。
3、确保系统安全运行,防止数据丢失,实现可靠性的有效提高。
4、系统结构清晰,管理设置方便,功能服务简单易用。
途安汽车报价
5、通过路由器对用户实行统一管理,最大限度发挥网络的作用,实现网络安全管理
    根据客运站管理和业务的特点,采用美国思科CISCO公司防火墙VPN设计方案,客运网点通过VPN通信方式连接中心数据库服务器,实现了集团公司与客运分站的联网售票。
在我们仔细研究了客运集团的情况后,针对集团的实际需要,为此,我们选择了ASA5510-SEC-BUN-K9及PIX-501-BUN-K9杭州一特斯拉疑刹车失灵撞墙和PIX-501-50-BUN-K9系列防火墙作为流量的策略服务器来隔离内外网络的信息流量和增加VPN功能。
Cisco ASA及PIX系列防火墙的强大的性能可以满足大型交通运输集团的的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 及ASA能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。PIX525 支持动态/静态的NAT和PAT,纯文本吞吐量达到370Mbps,能够满足28万个用户同时连接28万。
克莱斯勒pt漫步者
江铃驭胜改装PIX 和ASA是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧
密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行28万个同时连接,并同时防止常见的拒绝服务(DoS)攻击。
三  网络技术的实施
◆VPN技术及其实施
虚拟专用网(Virtual Private Network)是利用公众网资源为客户构成专用网的一种业务。VPN可以看作是企业网在Internet上的延伸,通过在internet中一个私用的通道来创建一个安全的私有连接,VPN通过这个安全通道将远程用户,公司分支机构,公司业务合作伙伴等公司的企业网连接起来,构成一个扩展的公司企业网。
VPN解决方案的优点
1、省钱:如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。
2、选择灵活、速度快:通过vpn网关,用户可以选择多种internet连通技术,而且对于 INTERNET的容量可以实现按需定制;
3、安全性好:VPN的认证机制将更好地保证用户的隐私权和收发数据的完整性;
4、实现投资的保护:VPN技术的应用可以建立在用户现有的网络基础上,用户正在使用的应用软件不受影响。
VPN的分类
虚拟专用网可以从以下三个方面分类:所起作用、应用模式和所在OSI 参考模型的层次。
VPN所起的作用可以将VPN分为三类VPDN、Intranet VPN和Extranet VPN。
1VPDN(Virtual Private Dial Network)在远程用户或移动雇员和公司内部网之间的VPN,称为VPDN。
2Intranet VPN在公司远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以便公司内部的资源共
享、文件传递等,可节省DDN等专线所带来的高额费用。
3Extranet VPN在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议。由于用户的多样性,公司的网络管理员还应该设置特定的访问控制表ACL(Access Control List),根据访问者的身份、网络地址等参数来确定他所相应的访问权限,开放部分资源而非全部资源给外联网的用户。
按VPN 的应用模式可以将VPN分为两类:对等型(Peer Model)和全覆盖型(Over Model)。
1、对等型(Peer Model):这种模型是一种路径的决定在网络层基于跳数(HOP-BY-HOP)的模式。客户端与VPN服务供应商设备形成一种网络层的对等关系,通过服务供应商设备计算的最佳路径通过网络发生应用连接。
2、全覆盖型(Over Model):这种模型是一种路径的决定在网络层基于CUT-THROUGH的模式。客户端与客户端形成对等关系,网络层次并不知道下面的构造;所有的客户端都是通过逻辑上一跳互相通讯,而不管中间通过多少物理设备连接。
根据VPN 所在实施的OSI 层次相对TCP/IP 协议栈的应用层次来划分,有数据链路层VPN、网络层VPN、传输层VPN 和应用层VPN;相对应OSI协议栈的层次VPN都有相应的VPN的隧道协议
VPN的应用技术
VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,VPN主要包含两种技术:隧道技术与安全技术。
隧道技术的基本过程是在源局域公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
VPN区别于一般网络互联的关键于隧道的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP、L2TP
等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec、MPLS等;另外,SOCKS v5协议则在TCP层实现数据安全。
VPN 是在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。