铁路车站网络接入方案

1、铁路车站网络接入方案VPDN无线接入方案方案背景：由于各车站分布在城乡各处，部分是线路铺设不易到达的地方，利用现有电信的 CDMA无线网络可解决这个问题。方案流程：由终端的CDMA无线路由器发起连接请求，通过CDMA/EVDO网络连接到电信公 司的接入路由上，接入路由通过验证后，发起与各车站中心机房的中心路由建立连接， 由各车站的中心路由再次验证，验证通过后分配给CDMA无线路由器一个内网IP地址。 而车站的PC机与CDMA路由器连接则是纯私网模式，通过CDMA路由器地址转换功 能将PC机的地址转换出去。从而建立了 PC机与中心路由器的通信。方案特点：1、第三级安全保证：无线路由器与单位VPN

2、服务器建立IPSEC VPN隧道当无线路由器ppp拨号验证成功，移动分配给无线路由器一个IP地址，此时无线 路由器和单位VPN服务器之间建立了连接。在此连接基础上，由无线路由器向单位VPN 服务器发起IPSEC VPN连接请求，一旦成功建立IPSEC VPN隧道，在无线路由器和单 位VPN服务器之间传输的IP包就是经过加密的数据报文。只有单位VPN服务器才能 够正确分解无线路由器转发给单位数据服务器的IP报文，获得PC机交易信息。APN专线接入（GRE隧道）地市SDH/MSTP网络 汇聚层邮政储蓄银行中心路由邮政储蓄银行中心机房电信接入路由通讯塔电信接入机房MSAPtt3G无线路由器APN专线

3、接入（GRE隧道）地市SDH/MSTP网络 汇聚层邮政储蓄银行中心路由邮政储蓄银行中心机房电信接入路由通讯塔电信接入机房MSAPtt3G无线路由器路由器路由器9路由器代电信网管中心-叩r邮政储蓄网点MSAP geATM终端接入方案示意图2、第四级安全保障：用户网络侧的安全防火墙（FW）防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用 户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。防火墙 实际上是一种访问控制技术，在某个机构的内部网络和不安全网络之间设置障碍，阻止 对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上的非法输出。3、UI

4、M卡的申请在电信公司申请UIM卡的时候，电信公司会要求客户提供相应的证明（如身份证、 介绍信等）而能拿到这些证明的也只是公司的内部人员。电信公司在发放UIM卡的同 时也会对UIM卡进行限定，只有所申请到的UIM卡才能通过VPN拨号访问到单位的 内部网络。其他个人所申请到的UIM卡是无法访问的。4、安全工作流程在移动申请到UIM卡后，可通过无线路由来访问单位的内部网络，但并不是可以 访问到内部所有的主机，只可以访问内部一个IP的固定端口。因为在单位内部的防火 墙上已经做了限定，可以实时监测由外部访问内部的数据包，如果发现外部数据包异常 （如数据包过大、或数据包过多等）则切断与内部网络与PC的连接。注：EVDO网络上行速率：1.8Mbps，下行速率：3.1Mbps； CDMA 1X网络上行速 率：153.6Kbps，下行速率：153.6Kbps；无线接入路由器可以在EVDO和CDMA 1X网 络之间根据信号强度优先选择EVDO网络进行自动