自行车3G-VPN传输解决方案

3G-VPN传输解决方案3G-VPN的端到端VPNInternet〔计算机到计算机〕加密隧道，模拟点到点的专用线路，使所选用的计算机在虚拟的专用网络中，安全地建立起类似局域网的连接方式实现远程连接。虚拟专用网络中的计算机可以在任何网络，从任何地点承受任何接入方式都能格外便捷地IP地址，数据即可安全透亮的穿越各个网络的边界。依据杭州金通公共自行车科技开发的系统网络传输要求，我公司为金通公共自行车科技供给虚拟专网方式解决方案。本方案承受虚拟专网方式，能有效的利用网络资源，提高数据传输速率，解决网络瓶颈的问题。由于虚拟专网内承受加密方式传输数据，使系统数据传输更加安全。金通公共自行车虚拟专网，以下简称“3G-VPN一、3G-VPN专网系统网络构造：3G-VPN专网构造图：10方案说明：1、方案硬件构成：、通信运营商：通信运营商机房为各地通信运营商中心，也是和其他运行网络的连接枢纽，对各地市运营商的连接有足够的带宽。、设备治理效劳器组〔BTM：Linux系统架构开发的一组高性能效劳软件，为域内的BTS和治理效劳器包〔BTMS〕--BTC供给接入验证，并组织全网路由和前置防火墙规章。接入效劳器组〔BTS：视各地市公共自行车站点需求量制定用效劳器的多少，构成BTS组，主要功能：在BTMS治理下，为BTC供给接入效劳，构成VPN专网，同时具有数据转发、数据加密等功能。密钥效劳器〔BKS〔可选，当要求高加密强度时选用〕主要功能：为域内的BTS和BTC安排一次性〔或动态〕密钥，用于对数据加密。VPN客户端〔BTC〕——3G-VPN无线路由器，除VPN功能外，还集成了PPPOE、DHCP、NAT、数据加密等功能，可以在供给VPN通道的同时支持多台设备同时访问网络。主要功能：在BTMS治理下与BTS协作，构成VPN1台。1.3、主要软件构成VPN客户端软件(BTC)VPN客户端。VPN效劳软件(BTS)——基于linuxBTCVPN专网，同时具有数据转发、数据加密等功能。密钥效劳〔BKS〕软件――〔可选〕基于通用的Linux系统架构开发的一款高性能密钥效劳系统。治理效劳〔BTMS〕软件——基于通用的Linux系统架构开发的一组高性能效劳软件，为域内的BTS和治理效劳器包〔BTMS〕--BTC供给接入验证，并组织全网路由和前置防火墙规章。2、系统方案说明：、拟承受移动运营商网络，并自备“虚拟承载系统”的方式，完成接入系统的建设。、确定的接入方案为：与各地市接触，先确定通信要素，再确定各地市BTS的工期和容量。、依据确定的通信规模和通信习惯，安装设备硬件，必要的话调整客户的业务使用习惯，以便到达设备利用率最大化。、例如：100个节点的组网案例：、3G-VPN路由器做网络承载、每个节点的3G-VPN路由器通过通信运营商发放的SIM卡，经过其运营商的基站信号，Internet互联网。、3G-VPN路由器在拨号上网成功后，在Internet互联网中会登录访问前期软件写入设备IP地址即〔VPN效劳器VPNIP问的设备进展统一的IP〔需事先对所用私网的IP地址进展规划和设定〕3G-VPN16个私网IP4IP地址〔IP地址是有VPN效劳器来指定安排的〔3G-VPNIP20.1.0.1，子网掩码是：255.255.255.23816个私网IP地址即为：20.1.0.2~20.1.0.163G-VPN路由器下过安排的私网IP〕3G-VPN16个私网IP500个节点的的VPN网络，IP地址的数量或许是：16〔IP地址数量〕*500〔规模〕=8000〔估量所占私网IP地址数量。用网络上常常使用CIP〔IP20.1.0.1~20.1.255.254255.255.255.238IP地址数量：254*254=64516500个站点的承载需求。、假定前期每个3G-VPN路由器安排四个私网IP地址不能满足后期实际的使用，如需扩展私网IP地址，又想保持原IP地址不变的状况下，在增加此3G-VPN路由器设备的所占私网的IP地址后，其原安排的私网IP地址都必需进展相应的调整。〔此方式不建议使用。照实际应用中消灭类似的状况，我们建议在现今所使用的私网IP地址的后端增加〔如私网IP地址现使用IP20.1.120.7IPIP地址可以挪作他用，进而避开了对私网IP地址的一种铺张。、IP〔5IP地址〕1、假设VPN效劳器为A点安排五个私网IP地址：20.1.0.101~20.1.0.105;255.255.255.xxx；网关：其中：20.1.0.1013G-VPN路由器的设备地址；20.1.0.102POSIP地址；20.1.0.103为电源监控模块；20.1.0.104工控机；20.1.0.105为备用)2、假设VPN效劳器为B点安排五个私网IP20.1.0.106~20.1.0.110255.255.255.xx20.1.0.106(3G-VPN路由器的设备地址；20.1.0.107POSIP地址；20.1.0.108为电源监控模块；20.1.0.109工控机；20.1.0.110为备用)3VPNNIP地址：20.1.20.101~20.1.20.105;255.255.255.xx；网关：20.1.20.1013G-VPN路由器的设备地址；20.1.20.102POSIP地址；20.1.20.103为电源监控模块；20.1.20.104工控机；20.1.20.105为备用)4VPNSIP20.1.120.101~20.1.120.105;255.255.255.xx；网关：20.1.120.101(3G-VPN为POS机查询机的IP为效劳器；20.1.120.104为发卡工作站；20.1.120.105为发卡终端)5、IP划分规章站点名称3G-VPNPOS机电源监控模块工控机备用A〔节点〕20.1.0.10120.1.0.10220.1.0.10320.1.0.10420.1.0.105B〔节点〕20.1.0.10620.1.0.10720.1.0.10820.1.0.10920.1.0.110C〔节点〕20.1.0.11120.1.0.11220.1.0.11320.1.0.11420.1.0.115………N〔节点〕20.1.20.10120.1.20.10220.1.20.10320.1.20.10420.1.20.105S〔发卡充值点〕20.1.120.10120.1.120.10220.1.120.10320.1.120.10420.1.120.105、3G-VPN路由器的MAC地址前期需要在VPN效劳器中注册，并有VPN效劳器授权，其方能进入VPN3G-VPN路由器只能在InternetVPN网络中的其他设备之间进展互访，VPN效劳器对所划分的私网IP地址可进展限定，在对其访问的权限也可进展限定。当3G-VPN路由器拨Internet互联网中查找VPNMAC地址提交给VPN效劳器，VPN效劳器对其进展私网IP地址的指定和划分。、为了网络中个节点设备之间数据传递的准时性，建议依据实际站点需求及数据传输量接入光纤可选择：10M100M接入〔3G-VPN路由器的网络运营商统一〕注：本方案承受集中方案，全部认证治理设备集中〔BTMS〕在数据中心治理机房，主要的BTS也集中在中心机房。各3G-VPN专网通过用户客户端〔BTC〕连接到所在网络、然后连接到互联网、最终连接到在中心机房的BT，组成专用通道〔虚拟专网；通过运营商网络连接到各节点来组成完整的路由。本方案特点是：设备利用率高、配置敏捷、便于维护治理。3、系统工作原理简述：3.1、BTC上线，向BTMS发出认证恳求3.2、BTMS接收到来自BTC的认证恳求后，马上对BTC进展身份验证。3.3、假设通过，BTMS会连续检查BTC的业务属性配置，并将BTS列表、防火墙规章等具体配置信息一并下发到BTC。3.4、假设未通过，返回错误缘由给BTC。3.5、BTC收到“认证未通过”消息后，马上配置自身，并依照BTS列表的挨次依次发起到BTS的连接尝试。3.6、BTS收到BTC的传入连接，首先核对接入密钥。3.7、假设正确且负载正常，则马上回应允许消息，并创立会话session。3.8、假设不正确，则回应制止接入消息。3.9、BTC收到BTS的制止接入消息或超时后，将连续尝试连接下一个BTS，直到成功接入。3.10、假设尝试了全部BTS都不能成功接入，则延时假设干时间后，重开头一轮的接入认证过程。3.11BTC成功的与BTSBTC将依据自身的配置向BKS效劳器申请用于域内通信的“数据密钥〔密，则无此步骤。3.12、VPN连通后，只要没有收到客户主动撤销的指令，BTC与BTS间将每隔固定的周期相互发送“在线证明”报文，用于保持端动同时汇报工作状态信息。假设一方连续假设干个报文丧失，将视对方掉线而清Session。Session去除后，通信将不能进展，只能通过重认证，才能重接入到VPN内。4、3G-VPN虚拟专网技术特点：PPTPNATBTCBTSVPN效劳端的协作下，能令系统的各端点在任何条件下到达互访的目的。通信设备的自动配置、维护治理、通信掌握等，均能够自动高效率的完成运营者可以只租用运营商的网络，将接入工作完全交由3G-VPN，虚拟承载系统能将分布在不同节点的设备接入到应用系统上。负载均衡——上百万线的并发系统力量，和不均匀的市场进展，必定会涉及到效劳设备的负载均衡问题。3G-VPN的负载均衡技术，能依据预设的效劳策略和即时的效劳器负载状况，准动态的调整效劳器上的负载分布。到达充分利用硬件设备的目的。IPsec全单位的划分更加细化。客户可以依据自身的需要，选择不同安全强度的加密方案。私有方式——VPN〔。VPN客户端用chap方式向认证中心发起认证恳求，获得“接入许可VPN确认后，进展密钥协商。假设成功，则启动这条链路。加密算法：私有密钥更替方式：动态公共自行车租赁站点3G-VPN无线路由器〔硬件〕隧道平台BTC3.0虚拟承载平台BTC3.1.2PdaWinCELinuxRHELASLinuxFCCentOSWin32行业应用免费且开放的设备掌握接口，可以与行业应用程序无缝集成。LinuxC,VC++二、3G-VPN无线路由器〔BTC〕技术参数1、硬件规格：WANPortLANPort长宽高电源

1个10/100M自适应以太网〔WAN〕接口，可接ADSL或以太网交换机410/100M〔LAN〕接口，与内部局域网连接170X170X32mm0.5kg(不含电源)12V/1A2、产品特性：12345678910111213141516特性持端口自动翻转〔AutoMDI/MDIX〕WPA、WPA2、IEEE802.11i、TKIPSSIDMAC内建DHCP效劳器，同时可进展静态地址安排SPINATPING、播送、组播包过滤和MACPURL名的内容过滤支持静态路由VPN：PPTP/IPSec/L2TPpass-through支持虚拟效劳器、DMZ主机MAC供给3G无线网络拨号上网，断线重连，自动上下线和路由功能供给系统安全日志功能Web〔Wizard〕12123功能WAN〔等供给WANPPPoExDSL供给WANIPWAN口MAC地址克隆功能3G/下行的带宽设定功能3G/自动上线功能PPP断线自动重连支持802.11b/g/n网络的热点接入、WPA2-TKIP+AES无线加密方式，同时支SID播送掌握LANDHCP效劳治理功能NAT防火墙设定静态路由规章的添加、删除治理DMZ主机功能，实现外InternetIntranet可以自由访问主机IP地址，MAC地址，端口，数据包过滤功能/WEB远程治理功能基于WEB升级维护功能三、3G-VPNVPN系统的比较MPLSVPN是一种基于MPLS技术的IPVPN，是在网络路由和交换设备上应用MPLS〔MultiprotocolLabelSwitching，多协议标记交换〕技术。在体系构造上有很大的不同：MPLS的网络拓扑如下：3G-VPN网络拓扑如下：3.1、3G-VPNmplsVPN的简洁比照MPLS 3G-VPN投资----效劳端投资----客户端性能软件可操作性私网的穿

PEMPLS的骨干路由器或则ATM-LSR，建设网络的本钱很高，PE配置简单。CE，支持MPLS,每个VPN依靠VRF(VPNRouting／ForwardingInstance，路由转发实例)来识别成员关系。MPLsVPN网络中用户拥有的VPN权限是由用户所处的物理位置打算的,很不敏捷标记交换,packet开销变大了帐户安全性没有保障，没有正对具体业务的安全保障措施没有价格昂贵publicIP不能穿透NAT

BTS，中等性能的PC机,配置简洁，可以快速平滑扩容BTC3G-VPN功能的路由器,BTC一切配置全部从BTMS提取支持压缩，可以供给系统带宽利用率帐户唯一标识认证，IPSec加密，3层加密，前置防火墙,不同应用不同配置，配置敏捷功能和硬件版一样的单机软件版BTC终端可以穿透任意类型的NAT透力量防封杀力量使用便利性应用性

系统调整简单，需要专业的工程师现场调试安装，造成抗封杀力量弱，一旦封杀系统没有冗余,CE设备则处于瘫痪状CE和PE段都需要做大量的修改配置工作修改防火墙策略，治理和重配置每个防火墙将变得格外困难。每增加一个客户需要繁琐的配置工作，MPLS与分类业务的技术优势相结合是当今Internet的进展趋势，但是由于ATM利用CLP／DE字段标识特定的分类业ATM／帧中继链路与分类〔PSC〕的对应关系很不明确，这将给MPLS实施分类业务来带很大的困难.

可以通过调整DNS解析地址动态调整BTC认证效劳BTSBTS消灭问题的状况，BTCBTS，BTCBTS的工作端口具力量WEB统一治理，客户端主动下载规章，配置快速准确，0配置可以快速进展用户。3G-VPN跟应用无关，3G-VPN是一个虚拟承载系统，MPLS置简单，可扩展性差3G-VPN降低了本钱3G-VPNATMIPL2L3MPLS提高了资源利用率由于使用私网地址，不同域的用户可以使用重复的IP地址，提高了IP资源利用率。高牢靠，业务综合力量强BTCMPLS3G-VPN投资大络的建设依靠于支持ＭＰＬＳ的交换机环路〔Loop〕问题IPTTLL2ATM／帧中继硬件并不供给使路由寻径变得更加不稳定，延长了环路分组在网络中的驻留时间。线路建设要求高，维护困难PEATMVPN三层以上的业务连通性的力量。虚拟专用网至少应能供给如下功能：·加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。·信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。·供给访问掌握，不同的用户有不同的访问权限。四、3G-VPNVPN的比照：(3G-VPNvsMPLS)1.1、共同点、架构方面3G-VPNMPLSVPNVPN都支持多点业务、功能方面都能透亮的支持各类ip业务应用1.2、架构方面2.2、功能方面3G-VPNMplsmpls3G-VPN次，而业务治理员可以直观的针对业务进展配置并马上生效。Mpls3G-VPN/需要关心业务，不需要关心客户的位置。publicIP，否则客户端将不能与效劳端成功ip，mplsVPN、效劳范围时能有效地治理端到端的通信质量。VPNPE，明MPLSmplsVPN系统。、价格方面作为虚拟承载系统开发的“3G-VPN2MplsVPN系统，诞生在国外良好的互联网环境之下，除了没有考虑国内ip匮乏的国情之外，居高不下的价格也是市场应用面狭窄的主要缘由。、强健性3G-VPN突发网络