自行车3G VPN传输解决方案.docx
- 文档编号:29963643
- 上传时间:2023-08-03
- 格式:DOCX
- 页数:18
- 大小:703.10KB
自行车3G VPN传输解决方案.docx
《自行车3G VPN传输解决方案.docx》由会员分享,可在线阅读,更多相关《自行车3G VPN传输解决方案.docx(18页珍藏版)》请在冰豆网上搜索。
自行车3GVPN传输解决方案
3G-VPN传输解决方案
3G-VPN的端到端VPN是由中心平台集中管理,在Internet网络上建立私有的、端到端(计算机到计算机)加密隧道,模拟点到点的专用线路,使所选用的计算机在虚拟的专用网络中,安全地建立起类似局域网的连接方式实现远程连接。
虚拟专用网络中的计算机可以在任何网络,从任何地点采用任何接入方式都能非常便捷地连接到虚拟专用网中。
同时,在整个虚拟专用网络的实施中,无须改动该机构所在网络的设置和IP地址,数据即可安全透明的穿越各个网络的边界。
根据杭州金通公共自行车科技开发有限公司的系统网络传输要求,我公司为金通公共自行车科技提供虚拟专网方式解决方案。
本方案采用虚拟专网方式,能有效的利用网络资源,提高数据传输速率,解决网络瓶颈的问题。
由于虚拟专网内采用加密方式传输数据,使系统数据传输更加安全。
金通公共自行车虚拟专网,以下简称“3G-VPN专网”。
一、3G-VPN专网系统网络结构:
3G-VPN专网结构图:
方案说明:
1、方案硬件构成:
1.1、通信运营商:
通信运营商机房为各地通信运营商中心,也是和其他运行网络的连接枢纽,对各地市运营商的连接有足够的带宽。
1.2、设备
1.21管理服务器组(BTMS):
视各地市公共自行车站点需求量制定服务器的多少,提供基于Linux系统架构开发的一组高性能服务软件,为域内的BTS和管理服务器包(BTMS)--BTC提供接入验证,并组织全网路由和前置防火墙规则。
1.22接入服务器组(BTS):
视各地市公共自行车站点需求量制定用服务器的多少,构成BTS组,主要功能:
在BTMS管理下,为BTC提供接入服务,构成VPN专网,同时具有数据转发、数据加密等功能。
1.23密钥服务器(BKS):
(可选,当要求高加密强度时选用)
主要功能:
为域内的BTS和BTC分配一次性(或动态)密钥,用于对数据加密。
1.24VPN客户端(BTC)——3G-VPN无线路由器,除VPN功能外,还集成了PPPOE、DHCP、NAT、数据加密等功能,可以在提供VPN通道的同时支持多台设备同时访问网络。
主要功能:
在BTMS管理下与BTS配合,构成VPN专网。
每个站点配置1台。
1.3、主要软件构成
1.31VPN客户端软件(BTC——嵌入式系统,专有硬件基础上自行研发的软件,并和硬件结合在一起组成VPN客户端。
1.32VPN服务软件(BTS——基于linux隧道服务系统,在管理服务系统指挥下为BTC提供接入服务,构成VPN专网,同时具有数据转发、数据加密等功能。
1.33密钥服务(BKS)软件――(可选)基于通用的Linux系统架构开发的一款高性能密钥服务系统。
1.34管理服务(BTMS)软件——基于通用的Linux系统架构开发的一组高性能服务软件,为域内的BTS和管理服务器包(BTMS)--BTC提供接入验证,并组织全网路由和前置防火墙规则。
2、系统方案说明:
1、拟采用移动运营商网络,并自备“虚拟承载系统”的方式,完成接入系统的建设。
2、确定的接入方案为:
与各地市接触,先确定通信要素,再确定各地市BTS的工期和容
量。
3、根据确定的通信规模和通信习惯,安装设备硬件,必要的话调整客户的业务使用习惯,
以便达到设备利用率最大化。
4、例如:
100个节点的组网案例:
4.1、每个节点需要一台3G-VPN路由器做网络承载
4.2、每个节点的3G-VPN路由器通过通信运营商发放的SIM卡,经过其运营商的基站信号,拨号上网至运营商的通信机房,再经过其运营商通信机房将网络连接至Internet互联网。
4.3、3G-VPN路由器在拨号上网成功后,在Internet互联网中会登录访问前期软件写入设备中的指定公网IP地址即(VPN服务器),然后由VPN服务器根据预先设定好的私网IP地址对访问的设备进行统一的IP地址分配,使其之间能够相互访问。
(需事先对所用私网的IP地址进行规划和设定)
1)、3G-VPN路由器的最多可以分配16个私网IP地址,现设备可以指定4个私网IP地址,(设备的私网IP地址是有VPN
服务器来指定分配的)。
(如3G-VPN路由器的私网IP地址是20.1.0.1,子网掩码是:
255.255.255.238,其下挂的16个私网IP地址即为:
20.1.0.2~20.1.0.16,且每个3G-VPN路由器下过分配的私网IP地址必须是连续的,唯一的。
)
2)、按照每个3G-VPN路由器为一个节点来计算,每个节点分配16个私网IP地址,其规模在500个节点的的VPN网络,
所占私网的IP地址的数量大概是:
16(节点IP地址数量)*500(规模)=8000(预计所占私网IP地址数量)。
用网络上经常使用的C类IP完全满足这个承载的需求,(如私网IP地址是20.1.0.1~20.1.255.254,子网掩码是:
255.255.255.238,供使用私网的IP地址数量:
254*254=64516,完全可以满足500个站点的承载需求。
3)、假定前期每个3G-VPN路由器分配四个私网IP地址不能满足后期实际的使用,如需扩展私网IP地址,又想保持原
IP地址不变的情况下,在增加此3G-VPN路由器设备的所占私网的IP地址后,其原分配的私网IP地址都必须进行相应的调整。
(此方式不建议使用)。
如实际应用中出现类似的情况,我们建议在现今所使用的私网IP地址的后端增加(如私网IP地址现使用由20.1.0.1~20.1.120.6,需要增加的私网IP地址可以从20.1.120.7开始向后递增,这样可以减少更改前期已规划和设定的私网IP地址,减少不必要的麻烦,其替换的原私网IP地址可以挪作他用,进而避免了对私网IP地址的一种浪费)。
4.4、网络IP地址规划:
(假设每个站点分配5个IP地址)
1)、假设VPN服务器为A点分配五个私网IP地址:
20.1.0.101~20.1.0.105;子网掩码是:
255.255.255.xxx;网关:
20.1.0.101(其中:
20.1.0.101为3G-VPN路由器的设备地址;20.1.0.102为POS机查询机的IP地址;20.1.0.103为电源监控模块;20.1.0.104工控机;20.1.0.105为备用
2)、假设VPN服务器为B点分配五个私网IP地址:
20.1.0.106~20.1.0.110;子网掩码是:
255.255.255.xxx;网关:
20.1.0.106(其
中:
20.1.0.106为3G-VPN路由器的设备地址;20.1.0.107为POS机查询机的IP地址;20.1.0.108为电源监控模块;20.1.0.109工控机;20.1.0.110为备用
3)、假设VPN服务器为N点分配五个私网IP地址:
20.1.20.101~20.1.20.105;子网掩码是:
255.255.255.xxx;网关:
20.1.20.101(其中:
20.1.20.101为3G-VPN路由器的设备地址;20.1.20.102为POS机查询机的IP地址;20.1.20.103为电源监控模块;20.1.20.104工控机;20.1.20.105为备用
4)、假设VPN服务器为S点分配五个私网IP地址:
20.1.120.101~20.1.120.105;子网掩码是:
255.255.255.xxx;网关:
20.1.120.101(其中:
20.1.120.101为3G-VPN路由器的设备地址;20.1.120.102为POS机查询机的IP地址;20.1.120.103为服务器;20.1.120.104为发卡工作站;20.1.120.105为发卡终端
5)、IP划分规则
4.5、3G-VPN路由器的MAC地址前期需要在VPN服务器中注册,并有VPN服务器授权,其方能进入
VPN网络中,否则3G-VPN路由器只能在Internet互联网中使用,而无法与VPN网络中的其他设备之间进行互访,VPN服务器对所划分的私网IP地址可进行限定,在对其访问的权限也可进行限定。
当3G-VPN路由器拨号上网成功后,设备就会自动在Internet互联网中寻找VPN服务器,并将设备的MAC地址提交给VPN服务器,供VPN服务器对其进行私网IP地址的指定和划分。
4.6、为了网络中个节点设备之间数据传递的及时性,建议根据实际站点需求及数据传输量接入光纤可选择:
10M或100M接入(建议专网光纤的接入同3G-VPN路由器的网络运营商统一。
)
注:
本方案采用集中方案,所有认证管理设备集中(BTMS)在数据中心管理机房,主要的BTS也集中在中心机房。
各3G-VPN专网通过用户客户端(BTC)连接到所在网络、然后连接到互联网、最后连接到在中心机房的BTS,组成专用通道(虚拟专网);通过运营商网络连接到各节点来组成完整的路由。
本方案特点是:
设备利用率高、配置灵活、便于维护管理。
3、系统工作原理简述:
3.1、BTC上线,向BTMS发出认证请求
3.2、BTMS接收到来自BTC的认证请求后,立即对BTC进行身份验证。
3.3、如果通过,BTMS会继续检查BTC的业务属性配置,并将BTS列表、防火墙规则等详细配置信息一并下发到BTC。
3.4、如果未通过,返回错误原因给BTC。
3.5、BTC收到“认证未通过”消息后,立即配置自身,并依照BTS列表的顺序依次发起到BTS的连接尝试。
3.6、BTS收到BTC的传入连接,首先核对接入密钥。
3.7、如果正确且负载正常,则立即回应允许消息,并创建会话session。
3.8、如果不正确,则回应禁止接入消息。
3.9、BTC收到BTS的禁止接入消息或超时后,将继续尝试连接下一个BTS,直到成功接入。
3.10、如果尝试了全部BTS都不能成功接入,则延时若干时间后,重新开始新一轮的接入认证过程。
3.11、如果BTC成功的与BTS建立了通信连接,接下来BTC将根据自身的配置向BKS服务器申请用于域内通信的“数据密钥”,申请成功后,正式启动内部转发机制,开始为终端提供转发服务(如果不采取高强度加密,则无此步骤)。
3.12、VPN连通后,只要没有收到客户主动撤销的指令,BTC与BTS间将每隔固定的周期互相发送“在线证实”报文,用于保持端口活动同时汇报工作状态信息。
如果一方连续若干个报文丢失,将视对方掉线而清除Session。
Session清除后,通信将不能进行,只能通过重新认证,才能重新接入到VPN内。
4、3G-VPN虚拟专网技术特点:
基于PPTP协议的改进,对多层NAT有良好的双向穿透能力,用于BTC与BTS间的载荷传递。
在VPN服务端的配合下,能令系统的各端点在任何条件下达到互访的目的。
通信设备的自动配置、维护管理、通信控制等,均能够自动高效率的完成运营者可以只租用运营商的网络,将接入工作完全交由3G-VPN,虚拟承载系统能将分布在不同节点的设备接入到应用系统上。
负载均衡——上百万线的并发系统能力,和不均匀的市场发展,必然会涉及到服务设备的负载均衡问题。
3G-VPN的负载均衡技术,能根据预设的服务策略和即时的服务器负载情况,准动态的调整服务器上的负载分布。
达到充分利用硬件设备的目的。
IPsec——安全部分的独立设计,令其安全功能设计容易,升级方便。
以域/组为单位的管理模式,可以让安全单位的划分更加细化。
客户可以根据自身的需要,选择不同安全强度的加密方案。
私有方式——VPN服务端动态密钥,从上电开始周期性更换动态密钥(用于解密“接入许可”)。
VPN客户端用chap方式向认证中心发起认证请求,获得“接入许可”,客户端使用“接入许可”连接VPN服务器,许可确认后,进行密钥协商。
如果成功,则启动这条链路。
加密算法:
私有
密钥更替方式:
动态
公共自行车租赁站点
3G-VPN无线路由器(硬件)
隧道平台BTC3.0、虚拟承载平台BTC3.1.2
Pda设备WinCELinuxRHELASLinuxFCCentOSWin32
行业应用
免费且开放的设备控制接口,可以与行业应用程序无缝集成。
支持LinuxC,VC++等开发环境。
二、3G-VPN无线路由器(BTC)技术参数
1、硬件规格:
2、产品特性:
3、软件功能:
三、3G-VPN与其它VPN系统的比较
MPLSVPN是一种基于MPLS技术的IPVPN,是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术。
在体系结构上有很大的不同:
MPLS的网络拓扑如下:
3G-VPN网络拓扑如下:
3.1、3G-VPN与mplsVPN的简单对比
3G-VPN的优点:
1)降低了成本
3G-VPN简化了ATM与IP的集成技术,使L2和L3技术有效地结合起来,降低了成本,保护了用户的前期投资。
与MPLS相比,更加降低了成本
2)提高了资源利用率
由于使用私网地址,不同域的用户可以使用重复的IP地址,提高了IP资源利用率。
3高可靠,业务综合能力强
用户可以根据自己不同的业务需求,通过在BTC侧的配置,来赋予不同的安全等级。
MPLS的缺点:
(与3G-VPN比较
1.投资大
MPLS的代价比较高。
相当于一种准专线,3G-VPN投入少,可以利用现有的资源架设VPN网络,网络的建设依赖于支持MPLS的交换机
2.环路(Loop)问题
在网络层IP报文通过TTL超时机制来丢弃报文。
但在L2层由于ATM/帧中继硬件并不提供TTL功能。
因而没有办法来直接丢弃产生环路的报文,由于环路的存在,网络拥塞程度不断加剧,
它不仅使报文无法到达正确的信宿,甚至有可能导致网络被迫丢弃用于更新路由信息的报文,致使路由寻径变得更加不稳定,延长了环路分组在网络中的驻留时间。
3.线路建设要求高,维护困难
在同一个VPN内部所有CE设备到达PE路由器的线路类型必须一致,即同是ATM或同是帧中继等。
另外,采用这种方案的客户必须具有路由专业技能,具备自行维护VPN内部的路由和负责三层以上的业务连通性的能力。
虚拟专用网至少应能提供如下功能:
·加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。
·信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。
·提供访问控制,不同的用户有不同的访问权限。
四、3G-VPN与各类VPN的对比:
(3G-VPNvsMPLS
1.1、共同点
1、架构方面
a3G-VPN和MPLSVPN都是标记交换类的VPN系统。
b都支持多点业务
2、功能方面
c都能透明的支持各类ip业务应用
d能很好
1.2、不同点
2.1、架构方面
a3G-VPN采用全认证结构,所有的服务端点和客户端点都必须通过认证,才能接入系统。
2.2、功能方面
b3G-VPN对主流的网络应用,有专门的性能优化。
性能表现成倍提高。
cMpls对各类应用“一视同仁”,不同的应用只能迁就mpls系统的表现。
d3G-VPN面向“可运营”的设计,从服务器到客户端、从软终端到硬终端,所有的环节均
支持自动化的配置。
系统管理员只需要在系统创建之初或服务器变更的情况下干预系统一
次,而业务管理员可以直观的针对业务进行配置并立即生效。
eMpls的管理系统昂贵复杂,不适合频繁的业务变更,和对拓扑进行调整
f3G-VPN的服务端/客户端结构设计,根本上解决了网络上的“最后一公里问题”,用户只
需要关心业务,不需要关心客户的位置。
gMpls的使用范围很受限制,用户端必须要有publicIP,否则客户端将不能与服务端成
功的进行连接。
在国内网络IP匮乏,绝大部分网民使用共享ip上网的形势下,mpls构
建的的VPN系统将不可避免的遇到部署困难的难题。
1.3、服务范围
a3G-VPN的3层半交换技术,能将独立的管理每个传送段落,屏蔽异构网络的质量差异,同时能有效地管理端到端的通信质量。
bMpls的用途是在互联网上为构建客户的VPN系统,但它需要基于稳定互联网实现、或至少需要多个PE的支撑,才能得以实现。
而对于国内的网络格局而言,在别人的网络上部署PE,明摆着很大难度,何况还是为了同质竞争。
所以国内各运营商的MPLS系统多在本网内独立的为客户构建VPN,很少能提供“跨网运营”服务。
所以说,在国内mpls不是一种适合于普遍服务的VPN系统。
1.4、价格方面
a作为虚拟承载系统开发的“3G-VPN”,充分考虑到了运营系统中客户端的成本对系统推广
方面可能造成影响,通过定制化的方式,通过去掉冗余的功能的方式而使客户端设备的成
本得以降低,而同时又不比放弃性能。
在价格和性能方面达到了2全。
bMpls作为成熟的VPN系统,诞生在国外良好的互联网环境之下,除了没有考虑国内ip
匮乏的国情之外,居高不下的价格也是市场应用面狭窄的主要原因。
1.5、健壮性
a3G-VPN诞生在国内“诸侯割据”的互联网环境下,天生具备了适应复杂网络结构,抵抗突发网络灾难的能力(甚至是蓄意破坏)。
可以说,健壮性是3G-VPN系统最区别于其他VPN系统的地方。
它是为防封堵而生的!
!
!
3G-VPN与各类VPN的对比:
(3G-VPNvsL2TP
第二层隧道协议L2TPL2TP(Layer2TunnelingProtocol)协议是国际标准隧道协议。
它结合了PPTP协议以及第二层转发L2F(Layer2Forwarding,二层转发协议)协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。
但是,L2TP没有任何加密措施,更多的是和IPSec协议结合使用,提供隧道验证。
共同点
1.架构方面
2.功能方面
a有VPN功能
不同点
1.架构方面
a3G-VPN采用全认证结构,所有的服务端点和客户端点都必须通过认证,才能接入系统。
bL2TP将不安全的IP包封装在安全的IP包内,认证和加密受到限制,没有强加密和认证
支持.
2.功能方面
a3G-VPN对主流的网络应用,有专门的性能优化。
性能表现成倍提高。
bL2TP没有对应用的区别对待
c3G-VPN面向“可运营”的设计,从服务器到客户端、从软终端到硬终端,所有的环节均
支持自动化的配置。
系统管理员只需要在系统创建之初或服务器变更的请款下干预系统一
次,而业务管理员可以直观的针对业务进行配置并立即生效。
dL2TP配置复杂,每个节点需要单独配置,管理性差
e3G-VPN的服务端/客户端结构设计,根本上解决了网络上的“最后一公里问题”,用户只
需要关心业务,不需要关心客户的位置。
fL2TP限制同时最多只能连接255个用户,端点用户需要在连接前手工建立加密信道
3.服务的能力范围
a3G-VPN的“3层半”交换技术,能将独立的管理每个传送段落,屏蔽异构网络的质量差异,
同时能有效地管理端到端的通信质量。
4.L2TP的缺点也很明显,如在QoS、安全性、可扩展性、记帐系统和非对称性上都还存在一定
的问题
5.价格方面
a作为虚拟承载系统开发的“3G-VPN”,充分考虑到了运营系统中客户端的成本对系统推广
方面可能造成影响,通过定制化的方式,通过去掉冗余的功能的方式而使客户端设备的成
本得以降低,而同时又不比放弃性能。
在价格和性能方面达到了2全。
6.健壮性
a3G-VPN诞生在国内“诸侯割据”的互联网环境下,天生具备了适应复杂网络结构,抵抗
突发网络灾难的能力(甚至是蓄意破坏)。
可以说,健壮性是3G-VPN系统最区别于其他
VPN系统的地方。
它是为防封堵而生的!
!
!
b它不对两个节点间的信息传输进行监视或控制,NAS端被发现,可以彻底封锁L2TP
3G-VPN与各类VPN的对比:
(3G-VPNvsPPTP
点对点隧道协议PPTPPPTP(PointtoPointTunnelingProtocol)协议将控制包与数据包分开。
控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE(通用路由协议封装)V2协议中。
目前,PPTP协议基本已被淘汰,不再使用在VPN产品中
共同点
1.架构方面
2.功能方面
都有VPN功能
不同点
3.架构方面
a3G-VPN采用全认证结构,所有的服务端点和客户端点都必须通过认证,才能接入系统。
bPPTP将不安全的IP包封装在安全的IP包内,一旦通道打开,源和目的用户身份就不再
需要,PPTP则不支持隧道验证
4.功能方面
a3G-VPN对主流的网络应用,有专门的性能优化。
性能表现成倍提高。
bPPTP没有对应用的区别对待
c3G-VPN面向“可运营”的设计,从服务器到客户端、从软终端到硬终端,所有的环节均
支持自动化的配置。
系统管理员只需要在系统创建之初或服务器变更的请款下干预系统一
次,而业务管理员可以直观的针对业务进行配置并立即生效。
d需要开放1723端口和GRE协议,网络穿透能力差,PPTP限制同时最多只能连接255个用
户
e3G-VPN的服务端/客户端结构设计,根本上解决了网络上的“最后一公里问题”,用户只
需要关心业务,不需要关心客户的位置。
f容易被限制,内网端口映射存在问题,客户端连接通过linux网关存在问题
5.服务的能力范围
a3G-VPN的3层半交换技术,能将独立的管理每个传送段落,屏蔽异构网络的质量差异,
同时能有效地管理端到端的通信质量。
bPPTP只能在两端点间建立单一隧道
6.价格方面
a作为虚拟承载系统开发的“3G-VPN”,充分考虑到了运营系统中客户端的成本对系统推广
方面可能造成影响,通过定制化的方式,通过去掉冗余的功能的方式而使客户端设备的成本得以降低,而同时又不比放弃性能。
在价格和性能方面达到了2全。
7.健壮性3G-VPN诞生在国内“诸侯割据”的互联网环境下,天生具备了适应复杂网络结构,抵抗突发网络灾难的能力(甚至是蓄意破坏)。
可以说,健壮性是3G-VPN系统最区别于其他VPN系统的地方。
它是为防封堵而生的!
!
!
16
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 自行车3G VPN传输解决方案 自行车 3G VPN 传输 解决方案