|
技术方案
根据广东省公路局收费的特殊工作性质及收费数据保密情况,要实现全省联网收费,对所要建设在全省范围内的网络互连,首先要考虑线路种类、带宽以及如何选择数据网络通信设备和如何保证数据安全这些问题。
1、 线路的选择及接入带宽的问题
目前在广东省内能提供城域网的宽带运营商有:中国电信、长城宽带、联通、网通、盈通。中国电信的宽带线路有:ATM、帧中继、DDN、网络快车ADSL(包括固定和动态IP两种)等线路,其中联通、网通、长城宽带在广东全省的城域网互联本身就是租用电信的线路。盈通是完全用私有IP方式构建的广东全省的城域网宽带互联(在2001年全国九运会时已经布置了现有的光纤城域网线路)。因为电信的宽带线路ADSL 、ATM、DDN、帧中继是用到公网IP地址,所以使用费用很高并且要求的带宽越高费用越贵(一条2M的DDN专线每月月租是5000元)。广东公路局的要求是收费网络要完全隔离Internet,要的是一个独立的城域网线路。并且就目前的网络流量来看,广东公路局收费终端的业务数据终端机与省数据中心数据库操作是通过C/S结构方式进行数据交流的。前台是收费软件的客户端程序,后台是收费软件服务器版 及ORACEL 8.0数据库。一般的应用平均流量一般不会超过256kbps,但考虑到到数据传输一定要及时和传输过程中不丢包,再考虑到网络流量的增长趋势,认为只要将每个分支点的广域网连接带宽保证为10Mbps,并合理地实施QoS技术,10Mbps完全可以胜任语音VOIP、视频会议和数据的传输。电信等ISP只能提供ATM、DDN等高档线路,但是这些线路还需要高端的路由器设备。所以,经过多方面的考虑,最终选用了广东盈通公司的城域网线路。因盈通的城域网线路都是光纤线路到广东省公路局各分支点并且完全独立于Internet,经光纤收发器连接到各分支机房,所以流量也完全符合用户需求。
2、 为什么要选用IPSEC VPN这种建网方式呢?
第三层隧道协议用于组建IP VPN,最著名的是IPSec协议。IPSec工作在IP层(第三层),为IP层及其上层协议提供保护,对于用户和应用程序来说是透明的。IPSec为公共网业务提供最强的安全功能,与其他隧道和安全技术相比,其优越性在于它的安全性、互操作性。IPSec也得到了各厂商广泛支持,非常适合于组建远程网络互联VPN。IPSEC VPN的保密性完全适合广东省公路局的用户需求所要达到的保密性。
综合上述所分析,广东省公路局收费系统联网完全可在盈通的线路基础之上构建一套完整的IPSEC VPN方案来保证整个收费系统数据的保密性。
3、 为什么选用NETGEAR FVL328和NETSCREEN-500?
对于网络设备的选择, 在数据保密的前提条件下,要求充分保证网络性能,为安全所牺牲的网络性能在可能的情况下最小,使得网络整体工作在最高的效能下。在稳定性上,要求全球知名的商业网络连接产品提供商。所有的VPN设备都是基于硬件的产品,性能稳定。在可管理上,要求易于维护及高效率管理。所有的VPN设备都可以通过IE浏览器进行管理,所使用的是加密的HTTPS访问,而非HTTP访问。网络管理员无论身处何处,只要知道密码和相应的端口,都可以对VPN设备进行配置,维护。
经过多方面产品测试,NETGEAR FVL328是一款带有100路IPSEC VPN、SPI的VPN防火墙。NETSCREEN-500(带有10000路IPSCE VPN)也是一款硬件防火墙和VPN多功能的防火墙产品。两款产品都是采用统一工业标准的IPSEC VPN协议。所以,做IPSECVPN时产品是完全可以兼容的并且两款产品都是采用通过WEB介面进行管理和配置VPN一些参数的,十分方便配置和管理。广东省公路局用户经过多方面比较,最终,采用了NETGEAR FVL328和NETSCREEN-500两种类型的VPN设备方案来进行全省的VPN网络组建。
技术解决方案:
进一步分析广东省公路局的实际需求情况,可以归纳出以下几点:
·因分支机构彼此分布在全省各城县(市)的不同地点 。
·每条收费信息需要及时存储到省数据中心服务器上,方便查询、交流要快、安全以及共享大量的商业资料,对接入带宽有一定的要求(盈通城域网线路完全满足)。
·必须保证省公路局的收费信息在内部资料在传输过程中的安全性 、保密性。·解决方案要尽可能减少成本投入,并且易于将来分支点的扩展 。
结合客户提出的要求,NETGEAR公司与其在广州地区的系统集成商广州市富思信息技术有限公司进行了深入细致的调查和仔细的规划设计,为用户设计了一整套包括接入、安全、搭建的整体解决方案。
广东省公路局的VPN建设以广州数据中心的八台IBM小型机作为数据中心,用了二台NETSCREEN-500作为双机热备,八台服务器都绑定了双网卡做了互载均衡。分别辐射到全省的185个分支稽费站的NETGEAR FVL328作VPN的网络互连。该VPN网络作为数据保密及正常收费工作。每一个分支点都拥有一个固定的IP地址,所以很好地利用NETGEAR和NETSCREEN产品兼容做IPSEC保密性更高的VPN互连。
网络连接图如下:
应用效果:
到 2003年10月底,已成功安装了约150台FVL328,网络运行半年多年稳定可靠。对用户而言,以下两点的应用效果是明显的:
降低成本:
借助盈通的城域网线路来建立私有的VPN,就可以提高带宽,并且数据传输得到保密。此外,本套VPN还使省公路局的收费业务不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。
容易扩展:
广东公路局整个网络用户想扩大VPN的容量和覆盖范围。总部需做的事情很少,而且能立时实现:只有每个市(县)到盈通申请一条线路,添加一台FVL328即可以,而且整个网络都不需要任何的改动。
为什么选择NETGEAR:
一、过硬的网络产品
FVL328能同时启动多达100个IPSEC VPN隧道,允许对分支机构与总部之间建立点对点的互连互通。FVL328 ProSafe VPN 防火墙可针对网络安全威胁提供最优的价值和最佳的防御。
二、友好的Web界面大大简化了网络配置:
FVL328的智能安装向导能自动检测互联网ISP的连接类型,图形化的安装助手将引导你一步一步地完成整个安装过程,并和其他特性一起简化了非专业用户的安装、配置和管理工作。辅助予NETGEAR独特远程管理技术,网络管理员可以方便地对远端分支网络进行配置和管理。
三、通过VPNC兼容认证的产品
NETGEAR的FVL328是获得VPNC的各项认证的,其能保证产品各项功能的标准性及与不同厂家之间产品的兼容。
|