中石化加油站站级联网思科.ppt

中石化加油站站级联网 议程 加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计 议程 加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计 中石化加油站当前情况 站级业务 油品业务和非油品业务油品销售 加油卡业务易捷便利店零售系统等非站级业务 加油站经营管理业务办公OA系统视频监控协作系统等广域网链路情况 主要以ADSL接入为主 部分地区专线接入 MSTP或SDH链路 3G链路作为备用链路或无法提供有线接入的站 网络系统对于业务系统的支撑 加油站内ADSL E1链路为主用链路 3G作为备用链路站上路由器采用IPSecVPN方式与中心总部建立安全连接当主用链路故障时 路由器可以切换到备用链路保证站内设备网络安全 对实时业务提供带宽保证 Internet 支持ADSL 3G路由器 CarrierNetwork 加油站终端 IPsecVPN 安全会话连接 DSL运营商 PrimaryFailure 总部服务器 IPSecVPN终结 议程 加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计 站级网络路由设计 路由器集成ADSL接口和3G接口卡链路层故障探测能力 快速切换 对应用影响降到最低主用链路故障触发备份链路拨号 节约备用链路费用 站级路由器 ADSLModem 广域网 3G 站级路由器 广域网 3G链路 ADSL链路 路由器以太网接口与ADSL调制器互联路由器执行PPPoE拨号应用层次探测能力 路由下一跳探测可达性 并配合主备切换 站级网络安全VPN设计 站级路由器支持多个VLAN 针对不同业务进行安全区分站级路由器使用IPSecVPN与中心端互联 保护数据完整性和私密性 并提供统一管理监控能力同时具备多个IPSecVPN隧道能力 为应用提供支撑站级路由器内置防火墙能力 保护站内终端设备不受互联网攻击 站级网络服务质量保证 针对加油站链路特点 上行链路带宽较小的情况 首先需要在广域网接口上对流量进行整形在整形流量的基础上 再对关键业务进行保障 议程 加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计 CentralSite EasyVPNServer CiscoRouter或者ASA防火墙 SoftwareClient CiscoVPN客户端 Internet EasyVPNRemote CiscoRouter或者ASA防火墙 CiscoEasyVPN 远程分支节点的设备可以是CiscoIOSrouter ASA或者运行VPN软件的PC Mac UnixCallHome Authentication 远程设备连接总部设备 提供身份认证 CentralizedPolicyPush 总部设备检查身份信息 向远程设备推送配置VPN建立成功 BranchOffice SmallOfficesandHomeOffices MobileUsers 高可用性 IPSecVPN基于状态的切换 IPSec基于状态的切换 可以为几千个远程节点提供秒级的VPN切换 没有服务中断 保护关键业务主备设备之间IPSEC的状态信息同步TheTCPconnectionstatesTheUDPconnectionstatesTheISAKMPandIPSecSAtable MainOffice PrimaryVPNHeadend BackupVPNHeadend WANRouter X BranchSite IPVPN 高可用性 连接备份VPN设备 监控VPN隧道 当发现主连接丢失后 启动备份连接 EasyVPNclient继续与主服务器之间进行IKESA的协商 一旦主设备恢复 将会重新与主设备之间建立VPN连接 不需要动态路由的参与 10 10 1 X 1 2 3 4 124 118 24 X 31 32 33 34 集群虚拟接入地址124 118 24 50 VPN集群master 客户端向集群虚拟接入地址124 118 24 50发起连接 该请求被分配至124 118 24 33 并回应 客户端和124 118 24 33建立连接 ASA提供Cluster集群技术 扩展接入能力 无缝扩展和负载均衡支持多达10台的设备做cluster 思科的高端ASAVPN网关推荐中 主要参考指标为IPSecVPN的性能 思科ASA全面支持IPSEC和SSLVPN 主要分支机构 数据中心 主要分支机构 主要分支机构 总部 主要分支机构 主要分支机构 用专线或IPSecVPN实现主要分支机构与总部的互联用SSLVPN实现偏远小营业网点 营业部的互联用SSLVPN实现员工的移动办公 SSLVPN SSLVPN 同时终结SSL和IPSecVPN IPSecVPN实现主要分支机构与总部的互联SSLVPN实现偏远小营业网点 营业部的互联SSLVPN实现单点或者移动用户的接入 SSLVPN CISCOASA 议程 加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计 加油站网络管理设计 思科安全管理软件 五步的VPN向导 可以快速的在上千台设备上部署VPN策略 支持所有的常用的VPN技术 I