上海电信应用艾泰科技VPN解决方案-VPN解决方案.doc
上海电信应用艾泰科技 VPN 解决方案 -VPN 解决方案 概述 具备多个分支机构的单位,分支机构往往需要和总部进行数据交换,如实现电子商务,财务软件互联等,简单经济的方法是通过 VPN。如果总部只有一个线路,一旦该线路出现故障,各个分支机构就无法完成业务。本方案通过一种简单方便的方式实现了 VPN 隧道的备份,实现各个分支机构和总部中心服务器数据交换的不间断工作。通过本方案,也解决了各个分支机构上网的问题。 需求分析 上海电信下属某单位为了提高工作效率,需要建立一套内部电子商务系统,而该单位在全市有几十个分支机构,每个分支机构的数据需要实时传送到中心,而且,还需要一定的安全功能。由于组网的复杂性和费用,各个分支机构上网的连接方式不再是传统的 DDN 和帧中继的方式,各个分支机构的上网方式不尽相同,有通过电信 ADSL 连接 Internet,也有通过 FTTH 连接 Internet。因此,通过宽带接入实现 VPN 成为一种切实可行的经济选择。然而,需要建设的网络不仅能满足各个分支机构上网的需要,而且能实时向中心服务器传送各个分支机构的 数据。如果在中心点采用单一的线路,一旦这个线路出现故障,下面各个分支机构就无法向上传送数据,将会严重影响业务的运行。因此,本着将线路故障造成的损失降到最低的目的,中心点再申请一个做为备份线路,在主线路出现故障的时候,各个分支机构可以通过备份线路将数据传送到中心服务器。 方案规划 该网络结构比较简单,也很清晰,各个分支机构可以通过各种方式连接到公共网络,如 ADSL, LAN 等。每个分支机构申请一个线路,运营商分配一个公网地址,使用一个可以支持 L2TP 或者 IPSec over L2TP 的 VPN 设备,该 设备既支持将电子商务的数据传送到中心服务器,也支持分支机构上网的要求。传送电子商务数据的时候,可以检测到中心主线路失效时,能将 VPN 切换到备份线路。中心采用双线路接入,需要放置一台 VPN 服务器,该 VPN 服务器能支持双线路固定地址接入,不仅能支持从第一个口接入 VPN 隧道连接请求,还能支持从第二个口接入 VPN 隧道连接请求。 VPN 协议可以选择的方式有 1、 使用 L2TP 连接 2、 使用 IPSec over L2TP 连接 第一种方式的优点是组网配置简单,带宽利用效率比较高,缺点是安全性 不太高。第