连锁超市无线传输解决方案V1Word文档下载推荐.docx
- 文档编号:17291580
- 上传时间:2022-11-30
- 格式:DOCX
- 页数:8
- 大小:478.15KB
连锁超市无线传输解决方案V1Word文档下载推荐.docx
《连锁超市无线传输解决方案V1Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《连锁超市无线传输解决方案V1Word文档下载推荐.docx(8页珍藏版)》请在冰豆网上搜索。
2005年9月顺利通过IPv6ReadyPhase-2的认证测试,使神州数码网络公司成为国内首家通过IPv6ReadyPhase-2认证的厂商,在IPv6方面成为国内领先企业,技术研发进一步保持国内外一线厂商行列。
目前,神州数码网络有限公司业务范围涵盖局域网、广域网、无线网、城域网及宽带接入网等领域。
神州数码网络主动把握用户需求,始终坚持“专注行业,随需而动”。
经过多年的积累,立足研发,建立了为用户提供多种客制化产品和全套解决方案的快速响应机制。
神州数码网络在教育、运营商、政府、企业、金融、军队、公安、电力、医疗等各行各业深受用户信赖,并取得骄人的成绩,不但进入了电子政务IT100强,还获得了中国通信业“电信综合实力五十强”和“服务电信IT企业十强”的荣誉,在教育行业更成为用户首选品牌。
2.需求分析
做为传统行业的典型代表,零售业是非常成熟和充分竞争的行业,为提升竞争力,零售商们不断扩大店面的规模和数量,以降低成本,连锁超市已成为全国零售商业的一种重要形态。
随着连锁超市的高速发展,其经营管理变得愈益复杂,日常所需处理的数据量渐渐庞大,商业运转的中间环节也越来越多,原先主要依靠人工管理和简单计算机管理的方法,显然已无法适应超市规模的不断扩大。
鉴于这种情况,连锁超市经营者们普遍采用计算机信息管理系统,将其连锁超市的三个主要环节,门店、配送中心、超市总部有机联网,实施全面的计算机管理,以实现物流、信息流、资金流三流一体管理。
网络互联做为连锁超市管理系统的基础设施,必须要符合其应用特点。
目前连锁超市网络互联主要采用窄带拨号和专线方式。
3.目前连锁超市网络互联方案
如上图所示,目前连锁超市网络互联方式,主要以56KModem拨号和专线互联(包括DDN/PCM/ATM/FR)最为常见。
1、拨号方式需要在超市总部数据中心架设专门的拨号服务器,超市门店通过56KModem电话拨号到总部数据中心,通过认证后即可与总部数据中心系统通讯。
拨号接入方式技术成熟,便于部署和维护,存在的主要问题是带宽较低,系统响应速度慢;
上线时需要的拨号时间长,通常需要30秒左右,实时性较差;
采用模拟技术,容易受到干扰,安全性差。
2、专线方式可以采用多种接入技术,常用的有DDN、PCM数字电路、ATM、帧中继(FR)和ADSL方式。
专线的带宽一般较大,根据需要可以灵活升级,但是这种方式的带宽利用率较低,大部分时间处于空闲状态;
不管采用哪种专线技术,专线的设备投入和使用成本都很高;
专线的部署较为复杂,所需设备多、受施工环境限制,开通周期长,不能即插即用,一般需要专业人员才能管理维护;
专线方式对总部数据中心系统的要求很高,需要有专门的接入路由器,一般情况下每条专线要专用路由器的一个端口,总部数据中心的设备投入和维护成本较高。
因此,专线接入方式设备投入大,月租费高,维护复杂,在连锁超市网络互联中应用较少,主要还是以窄带拨号为主。
4.神州数码连锁超市无线解决方案
随着移动通信技术的不断发展,通过无线网络传输数据成为现实。
基于中国移动GPRS网络和中国联通CDMA1X网络的数据传输终端和系统在金融、电力、社保、零售、工业现场采集等领域有了广泛的应用。
神州数码基于中国联通CDMA1X网络的“连锁超市无线解决方案”能够替代传统的窄带拨号和各种专线接入技术,实现安全、快速便捷的数据传输。
4.1.网络拓扑图
4.2.实现和部署方式
方案由四种设备组成:
支持IPSecVPN功能的无线路由器、L2TP路由器、IPSec防火墙和AAA服务器,整个方案是一个有机整体。
1、门店
无线路由器连接门店终端设备(POS机和PC终端),支持两种组网方式。
门店终端既可以每台机器单独使用一台无线路由器,也可以多台终端组成局域网,然后通过交换机(或者HUB)以太网端口连接无线路由器,以共享方式接入总部数据中心。
2、总部数据中心
总部数据中心需要配置一台神州数码L2TP路由器、一台神州数码IPSec专用防火墙和AAA服务器。
L2TP路由器接入联通专线,提供稳定和高速的传输链路,同时在L2TP隧道体系中做为LNS,终结L2TP隧道,完成与门店无线路由器的PPP协商和认证;
AAA服务器分配和储存用户名、密码,并实现用户名/密码与联通UIM卡的绑定,AAA服务器接收L2TP路由器的认证请求并返回认证结果;
存储无线路由器的上下线情况。
防火墙在PPP连接成功后,与门店无线路由器建立IPSec加密传输通道,实现端对端的安全传输。
3、CDMA1X网络
中国联通为企业用户提供VPDN业务,采用L2TP隧道技术为用户建立虚拟专用网络。
在L2TP实现体系中,联通的PDSN做为LAC,放在总部数据中心的神州数码L2TP路由器做为LNS,采用“二次认证”方式。
门店无线路由器PPP拨号时,首先与PDSN进行部分认证,PDSN根据用户名的域名部分识别是某超市用户,并将PPP协商数据包转发到总部数据中心的L2TP路由器,路由器通过查询AAA服务器此用户名、密码以及UIM卡号是否合法,并记录无线路由器状态。
如果合法,L2TP路由器建立与门店无线路由器的PPP连接并为无线路由器分配IP地址。
5.无线传输方案的安全性
安全性是超市网络互联需要考虑的重要方面,神州数码无线方案整合CDMA1X网络、路由器、防火墙的固有安全特性,在多个层面保证数据的安全传输,提供五级安全保证,是目前安全性最高的解决方案。
5.1.第一级安全保证:
CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:
GSM和CDMA。
与GSM相比,CDMA网络系统在安全保密方面具有很大优势。
CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。
进行移动手机信号的窃听一般使用以下三种方法。
首先,需要捕捉到通信信号。
在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。
要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。
由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。
因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。
而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。
第三,需要破解用户信息编码。
而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。
所以CDMA技术本身就很安全。
5.2.第二级安全保证:
CDMA网络侧的AAA认证
AAA是指认证(Authentication)授权(Authorization)计费(Accounting)三个过程,
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。
这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
联通VPDN业务采用L2TP隧道协议,通过“二次认证”方式实现对用户合法性的确认。
第一次认证首先由CDMA网络侧的AAA服务器对VPDN用户名进行部分认证,即对用户名的域名部分进行鉴权认证。
数据网的用户(VPDN成员)以username@xxx.133vpdn.xx形式登录,CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行核对验证。
验证通过后即认为是合法的VPDN用户,并据此确认是哪个VPDN组。
5.3.第三级安全保证:
CDMA网络和总部数据中心的专线连接
虽然CDMA网络和总部数据中心网络之间既可以采用专线链接,也可以使用Internet链接,但是考虑到安全性,推荐只采用专线连接方式。
专线方式与联通网络进行点对点连接,有固定的IP地址,带宽稳定高速,专线方式本身具有很高的安全性。
5.4.第四级安全保证:
总部数据中心侧的AAA鉴权认证
L2TP技术在CDMA网络侧的认证通过后,后续的第二次认证由总部数据中心的L2TP路由器和AAA服务器完成。
CDMA网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证,与此认证不同,总部数据中心侧的AAA服务器将鉴别VPDN成员的用户名、密码和IMSI号的正确性,并根据绑定规则为无线路由器分配IP地址。
username@xxx.133vpdn.xx中的域名是中国联通公司提供给专网接入用户的专有统一域名,用户名、密码由总部数据中心自主分配和管理,联通公司的管理人员也无法知道,总部数据中心具有完全的管理权;
VPDN中成员的用户名和密码等资料保存在总部数据中心侧的AAA服务器,具有很好的安全性和灵活的管理性。
5.5.第五级安全保证:
总部数据中心侧的防火墙(FW)和IPSec加密隧道
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝XX用户的访问,阻止XX用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。
同时,防火墙也支持多种VPN和数据加密技术,其中IPSec协议是一个应用范围广泛、开放的VPN安全协议,工作在网络层。
它通过DES、3DES、AES等多种加密算法对网络层数据包进行加密以保证数据的安全性;
通过MD5、AH等算法防止攻击者对数据包进行篡改,以保证数据的完整性。
IPSec协议可以在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;
传输模式是为了保护端到端的安全性。
本级安全特性采用隧道模式,无线路由器收到门店终端的数据包后,与防火墙建立IPSec加密隧道,所有在无线路由器和总部数据中心间传输的数据包都进行加密,而且对门店终端和总部数据中心系统透明,既可保证安全性又不增加管理和维护工作量。
6.无线传输方案的的优点
6.1.安全性极高
通过以上的描述,神州数码无线方案以系统安全的观点,综合采用多种技术和设备,实现了五级安全措施,完全数据传输的安全性。
比传统窄带模拟拨号的安全性有极大的提高,即便与安全性本已很高的专线方式相比,因为增加了IPSec加密隧道一级的措施,安全性也更高。
可以说,神州数码无线方案是目前网络互联方案中安全性最高的方案,数据被窃取的可能性几乎为零。
6.2.安装部署迅速,维护简单
项目工期短、网络结构简单、建设成本合理、维护成本低廉,网络具有良好的拓展能力,能够根据将来需求平滑快速升级。
对现有应用及系统不做任何更改,以免影响现有系统运行,可以根据项目需要在应用上适当拓展。
6.3.覆盖范围广,容量大
CDMA网络已覆盖城乡绝大部分地方,覆盖范围广,当超市店面增加时,可以很容易升级扩容,而且CDMA允许的接入用户量大,几乎不存在有线方式受限于线路资源和施工环境的情况。
6.4.数据传输速率高,可满足突发数据传输的要求
每个终端的数据传输量在几K至几十Kbps之间,目前CDMA实际数据传输速率在80-130Kbps左右,完全能满足本系统数据传输速率的需求。
6.5.设备投资少,通信费用低
与有线方式相比,无线路由器即便与低端有线路由器相比,价格也要低很多。
中心端设备为一次性投入,以后增加门店时,不需要再增加中心端设备。
CDMA网络通常采用按数据流量计费的方式,资源利用率高。
或者联通通常会给用户一个包月的优惠资费,每个门店的月通信费用一般可以控制在50元(各地联通有所差别)之内,大大低于其他有线方式的月租费。
6.6.良好的实时响应与处理能力
由于CDMA网络具有拨号速度快(3-6秒)和“实时在线”特性,按流量计费,使业务认证访问变得非常简单、快速,系统响应时间短,业务处理速度快。
7.方案设备清单
总部数据中心:
DCR-2650E-VPN路由器、企业级百兆防火墙DCFW-1800E-IPSECVPN、硬件AAA认证服务器DCBI-3000-IMSI(500用户)。
门店:
DCWL-280CR-VDCDMA无线路由器
数据中心设备列表:
型号:
产品描述:
路由器
DCR-2650E-VPN路由器
支持L2TP。
2个10/100Base-TXLAN口,2个WAN固化接口,2个接口卡扩展插槽,1个备份口,1个配置口,模块化路由器
防火墙
DCFW-1800E-IPSECVPN
神州数码防火墙(无线应用增强型)
性能参数:
吞吐量400M、并发连接数1,000,000、每秒新建连接数19,000、MTBF:
8万小时
物理参数:
1U机架式硬件产品,内置4个10/100M自适应以太网电口,适合多种复杂网络链路下的接入需求。
神州数码统一威胁管理系统集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关为一体。
专为中型网络的功能性用户而设计,神州数码统一威胁管理系统适合于各种用户的安全需求,在未部署安全边界产品的网络中提供全面的安全防护,而在已有FW/IDS/IPS的网络中提供更为强大的病毒防护(11万病毒库,在线更新)、垃圾邮件防护、流量整形、VPN等功能。
AAA认证服务器
DCBI-3000-IMSI500企业版
AAA高可靠安全接入综合系统企业版(500用户)
功能特性:
神州数码企业级高可靠性AAA服务器,具有增强的AAA功能。
包含500用户。
支持增强无线数传、VPN、802.1X、增强Web、PPPoE等认证方式,并可实现在数据和运行时的双机热备功能,确保企业级关键应用的可靠运行。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 连锁 超市 无线 传输 解决方案 V1