自行车3G VPN传输解决方案.docx

1、自行车3G VPN传输解决方案3G -VPN传输解决方案3G-VPN的端到端VPN是由中心平台集中管理，在Internet网络上建立私有的、端到端（计算机到计算机）加密隧道，模拟点到点的专用线路，使所选用的计算机在虚拟的专用网络中，安全地建立起类似局域网的连接方式实现远程连接。虚拟专用网络中的计算机可以在任何网络，从任何地点采用任何接入方式都能非常便捷地连接到虚拟专用网中。同时，在整个虚拟专用网络的实施中，无须改动该机构所在网络的设置和IP地址，数据即可安全透明的穿越各个网络的边界。 根据杭州金通公共自行车科技开发有限公司的系统网络传输要求，我公司为金通公共自行车科技提供虚拟专网方式解决方案。

2、本方案采用虚拟专网方式，能有效的利用网络资源，提高数据传输速率，解决网络瓶颈的问题。由于虚拟专网内采用加密方式传输数据，使系统数据传输更加安全。金通公共自行车虚拟专网，以下简称“3G-VPN专网”。一、3G-VPN专网系统网络结构：3G-VPN专网结构图：方案说明：1、方案硬件构成：1.1、通信运营商：通信运营商机房为各地通信运营商中心，也是和其他运行网络的连接枢纽，对各地市运营商的连接有足够的带宽。1.2、设备1.21管理服务器组（BTMS）：视各地市公共自行车站点需求量制定服务器的多少，提供基于Linux系统架构开发的一组高性能服务软件，为域内的BTS和管理服务器包（BTMS）-BTC提供

3、接入验证，并组织全网路由和前置防火墙规则。1.22接入服务器组（BTS）：视各地市公共自行车站点需求量制定用服务器的多少，构成BTS组，主要功能：在BTMS管理下，为BTC提供接入服务，构成VPN专网，同时具有数据转发、数据加密等功能。1.23密钥服务器（BKS）：（可选，当要求高加密强度时选用）主要功能：为域内的BTS和BTC分配一次性（或动态）密钥，用于对数据加密。1.24 VPN客户端（BTC）3G-VPN无线路由器，除VPN功能外，还集成了PPPOE、DHCP、NAT、数据加密等功能，可以在提供VPN通道的同时支持多台设备同时访问网络。主要功能：在BTMS管理下与BTS配合，构成VPN

4、专网。每个站点配置1台。1.3、主要软件构成1.31VPN客户端软件(BTC) 嵌入式系统，专有硬件基础上自行研发的软件，并和硬件结合在一起组成VPN客户端。1.32 VPN服务软件(BTS) 基于linux隧道服务系统，在管理服务系统指挥下为BTC提供接入服务，构成VPN专网，同时具有数据转发、数据加密等功能。1.33密钥服务（BKS）软件 （可选）基于通用的Linux系统架构开发的一款高性能密钥服务系统。1.34管理服务（BTMS）软件 基于通用的Linux系统架构开发的一组高性能服务软件，为域内的BTS和管理服务器包（BTMS）-BTC提供接入验证，并组织全网路由和前置防火墙规则。2、系

5、统方案说明：1)、拟采用移动运营商网络，并自备“虚拟承载系统”的方式，完成接入系统的建设。2)、确定的接入方案为：与各地市接触，先确定通信要素，再确定各地市BTS的工期和容量。3)、根据确定的通信规模和通信习惯，安装设备硬件，必要的话调整客户的业务使用习惯，以便达到设备利用率最大化。4)、例如：100个节点的组网案例：4.1、每个节点需要一台3G-VPN路由器做网络承载4.2、每个节点的3G-VPN路由器通过通信运营商发放的SIM卡，经过其运营商的基站信号，拨号上网至运营商的通信机房，再经过其运营商通信机房将网络连接至Internet互联网。4.3、3G-VPN路由器在拨号上网成功后，在Int

6、ernet互联网中会登录访问前期软件写入设备中的指定公网IP地址即（VPN服务器），然后由VPN服务器根据预先设定好的私网IP地址对访问的设备进行统一的IP地址分配，使其之间能够相互访问。（需事先对所用私网的IP地址进行规划和设定）1）、3G-VPN路由器的最多可以分配16个私网IP地址，现设备可以指定4个私网IP地址，（设备的私网IP地址是有VPN服务器来指定分配的）。（如3G-VPN路由器的私网IP地址是20.1.0.1，子网掩码是：255.255.255.238，其下挂的16个私网IP地址即为：20.1.0.220.1.0.16，且每个3G-VPN路由器下过分配的私网IP地址必须是连续的

7、，唯一的。）2）、按照每个3G-VPN路由器为一个节点来计算，每个节点分配16个私网IP地址，其规模在500个节点的的VPN网络，所占私网的IP地址的数量大概是：16（节点IP地址数量）*500（规模）=8000（预计所占私网IP地址数量）。用网络上经常使用的C类IP完全满足这个承载的需求，（如私网IP地址是20.1.0.120.1.255.254，子网掩码是：255.255.255.238，供使用私网的IP地址数量：254*254=64516，完全可以满足500个站点的承载需求。3）、假定前期每个3G-VPN路由器分配四个私网IP地址不能满足后期实际的使用，如需扩展私网IP地址，又想保持原I

8、P地址不变的情况下，在增加此3G-VPN路由器设备的所占私网的IP地址后，其原分配的私网IP地址都必须进行相应的调整。（此方式不建议使用）。如实际应用中出现类似的情况，我们建议在现今所使用的私网IP地址的后端增加（如私网IP地址现使用由20.1.0.120.1.120.6，需要增加的私网IP地址可以从20.1.120.7开始向后递增，这样可以减少更改前期已规划和设定的私网IP地址，减少不必要的麻烦，其替换的原私网IP地址可以挪作他用，进而避免了对私网IP地址的一种浪费）。4.4、网络IP地址规划：（假设每个站点分配5个IP地址）1）、假设VPN服务器为A点分配五个私网IP地址：20.1.0.1

9、0120.1.0.105;子网掩码是：255.255.255.xxx；网关：20.1.0.101(其中：20.1.0.101为3G-VPN路由器的设备地址；20.1.0.102为POS机查询机的IP地址；20.1.0.103为电源监控模块；20.1.0.104工控机；20.1.0.105为备用)2）、假设VPN服务器为B点分配五个私网IP地址：20.1.0.10620.1.0.110;子网掩码是：255.255.255.xxx；网关：20.1.0.106(其中：20.1.0.106为3G-VPN路由器的设备地址；20.1.0.107为POS机查询机的IP地址；20.1.0.108为电源监控模块

10、；20.1.0.109工控机；20.1.0.110为备用)3）、假设VPN服务器为N点分配五个私网IP地址：20.1.20.10120.1.20.105;子网掩码是：255.255.255.xxx；网关：20.1.20.101(其中：20.1.20.101为3G-VPN路由器的设备地址；20.1.20.102为POS机查询机的IP地址；20.1.20.103为电源监控模块；20.1.20.104工控机；20.1.20.105为备用)4）、假设VPN服务器为S点分配五个私网IP地址：20.1.120.10120.1.120.105;子网掩码是：255.255.255.xxx；网关：20.1.12

11、0.101(其中：20.1.120.101为3G-VPN路由器的设备地址；20.1.120.102为POS机查询机的IP地址；20.1.120.103为服务器；20.1.120.104为发卡工作站；20.1.120.105为发卡终端)5）、IP划分规则站点名称3G-VPN路由器POS机电源监控模块工控机备用A（节点）20.1.0.10120.1.0.10220.1.0.10320.1.0.10420.1.0.105B（节点）20.1.0.10620.1.0.10720.1.0.10820.1.0.10920.1.0.110C（节点）20.1.0.11120.1.0.11220.1.0.1132

12、0.1.0.11420.1.0.115N（节点）20.1.20.10120.1.20.10220.1.20.10320.1.20.10420.1.20.105S（发卡充值点）20.1.120.10120.1.120.10220.1.120.10320.1.120.10420.1.120.1054.5、3G-VPN路由器的MAC地址前期需要在VPN服务器中注册，并有VPN服务器授权，其方能进入VPN网络中，否则3G-VPN路由器只能在Internet互联网中使用，而无法与VPN网络中的其他设备之间进行互访， VPN服务器对所划分的私网IP地址可进行限定，在对其访问的权限也可进行限定。当3G-VP

13、N路由器拨号上网成功后，设备就会自动在Internet互联网中寻找VPN服务器，并将设备的MAC地址提交给VPN服务器，供VPN服务器对其进行私网IP地址的指定和划分。4.6、为了网络中个节点设备之间数据传递的及时性，建议根据实际站点需求及数据传输量接入光纤可选择：10M或100M接入（建议专网光纤的接入同3G-VPN路由器的网络运营商统一。） 注： 本方案采用集中方案，所有认证管理设备集中（BTMS）在数据中心管理机房，主要的BTS也集中在中心机房。各3G-VPN专网通过用户客户端（BTC）连接到所在网络、然后连接到互联网、最后连接到在中心机房的BTS，组成专用通道（虚拟专网）；通过运营商网

14、络连接到各节点来组成完整的路由。本方案特点是：设备利用率高、配置灵活、便于维护管理。3、系统工作原理简述： 3.1、BTC上线，向BTMS发出认证请求 3.2、BTMS接收到来自BTC的认证请求后，立即对BTC进行身份验证。 3.3、如果通过，BTMS会继续检查BTC的业务属性配置，并将BTS列表、防火墙规则等详细配置信息一并下发到BTC。 3.4、如果未通过，返回错误原因给BTC。 3.5、BTC收到“认证未通过”消息后，立即配置自身，并依照BTS列表的顺序依次发起到BTS的连接尝试。 3.6、BTS收到BTC的传入连接，首先核对接入密钥。 3.7、如果正确且负载正常，则立即回应允许消息，并

15、创建会话session。 3.8、如果不正确，则回应禁止接入消息。 3.9、BTC收到BTS的禁止接入消息或超时后，将继续尝试连接下一个BTS，直到成功接入。 3.10、如果尝试了全部BTS都不能成功接入，则延时若干时间后，重新开始新一轮的接入认证过程。 3.11、如果BTC成功的与BTS建立了通信连接，接下来BTC将根据自身的配置向BKS服务器申请用于域内通信的“数据密钥”，申请成功后，正式启动内部转发机制，开始为终端提供转发服务（如果不采取高强度加密，则无此步骤）。 3.12、VPN连通后，只要没有收到客户主动撤销的指令，BTC与BTS间将每隔固定的周期互相发送“在线证实”报文，用于保持端

16、口活动同时汇报工作状态信息。如果一方连续若干个报文丢失，将视对方掉线而清除Session。Session清除后，通信将不能进行，只能通过重新认证，才能重新接入到VPN内。4、3G-VPN 虚拟专网技术特点： 基于PPTP协议的改进，对多层NAT有良好的双向穿透能力，用于BTC与BTS间的载荷传递。在VPN服务端的配合下，能令系统的各端点在任何条件下达到互访的目的。 通信设备的自动配置、维护管理、通信控制等，均能够自动高效率的完成 运营者可以只租用运营商的网络，将接入工作完全交由3G-VPN，虚拟承载系统能将分布在不同节点的设备接入到应用系统上。 负载均衡上百万线的并发系统能力，和不均匀的市场发

17、展，必然会涉及到服务设备的负载均衡问题。3G-VPN的负载均衡技术，能根据预设的服务策略和即时的服务器负载情况，准动态的调整服务器上的负载分布。达到充分利用硬件设备的目的。 IPsec安全部分的独立设计，令其安全功能设计容易，升级方便。以域/组为单位的管理模式，可以让安全单位的划分更加细化。客户可以根据自身的需要，选择不同安全强度的加密方案。 私有方式VPN服务端动态密钥，从上电开始周期性更换动态密钥（用于解密“接入许可”）。VPN客户端用chap方式向认证中心发起认证请求，获得“接入许可”，客户端使用“接入许可”连接VPN服务器，许可确认后，进行密钥协商。如果成功，则启动这条链路。l 加密算

18、法：私有l 密钥更替方式：动态公共自行车租赁站点3G-VPN无线路由器（硬件） 隧道平台BTC3.0、虚拟承载平台BTC3.1.2Pda设备Win CELinuxRHEL ASLinux FCCentOSWin32行业应用l 免费且开放的设备控制接口，可以与行业应用程序无缝集成。l 支持Linux C ,VC+ 等开发环境。 二、3G-VPN无线路由器（BTC）技术参数1、硬件规格：WAN Port1个10/100M自适应以太网（WAN）接口，可接ADSL或以太网交换机LAN Port4个10/100M自适应以太网（LAN）接口，与内部局域网连接长宽高170 X 170 X 32 mm 主机净

19、重0.5kg (不含电源)电源12V/1A2、产品特性：序号特性1符合IEEE 802.11g、IEEE 802.11b、IEEE802.11n draft v2.0标准2支持CSMA/CA、CSMA/CD、TCP/IP、PPPoE、DHCP、ICMP、NAT协议3支持端口自动翻转（Auto MDI/MDIX）4支持64/128位WEP加密；支持WPA、WPA2、IEEE 802.11i、TKIP等加密与安全机制5支持SSID广播控制和基于MAC地址的访问控制6内建DHCP服务器，同时可进行静态地址分配7内建SPI的NAT防火墙，支持PING、广播、组播包过滤和MAC地址、P地址、URL和域名

20、的内容过滤8支持静态路由9VPN 支持：PPTP/IPSec/L2TP pass-through10支持虚拟服务器、DMZ主机11可防止DoS攻击，具有病毒自动隔离功能12支持通用即插即用（UPnP）、DDNS功能13支持MAC地址修改与克隆14提供3G 无线网络拨号上网，断线重连，自动上下线和路由功能15提供系统安全日志功能16支持远程和Web管理，全中文配置界面，配备简易安装向导（Wizard）3、软件功能：序 号功 能1Internet接入，通过WAN口实现宽带、专网（包括PPTP,L2TP等VPN）接入2提供WAN PPPoE拨号实现xDSL宽带接入3提供WAN静态IP地址实现专网接入

21、4提供WAN DHCP Client动态接入5WAN口MAC地址克隆功能6通过内置TD-SCDMA modem进行PPP拨号上网7支持3G上行/下行的带宽设定功能8支持3G的手动上下线/自动上线功能9支持PPP断线自动重连10支持802.11 b/g/n网络的热点接入11提供WEP、WPA-TKIP、WPA-AES、WPA-TKIP+AES、 WPA2-TKIP、WPA2- AES 、 WPA2-TKIP+AES 无线加密方式，同时支持SSID广播控制12支持LAN口的DHCP服务管理功能13支持NAT防火墙设定14数据包转发功能 静态家庭网关管理15静态路由规则的添加、删除管理16提供DMZ

22、主机功能，实现外部Internet以及内部Intranet可以自由访问主机17支持IP地址，MAC地址，端口，数据包过滤功能18启用/禁用WEB远程管理功能19基于WEB升级维护功能20在线简单帮助文档 系统日志管理三、3G-VPN与其它VPN系统的比较MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术。在体系结构上有很大的不同：MPLS的网络拓扑如下： 3G-VPN网络拓扑如下： 3.1、3G-VPN与mplsVPN的简单对比MPLS3G-VPN投资-服务端PE可以是支持

23、MPLS的骨干路由器或则ATM-LSR，建设网络的成本很高，PE配置复杂。BTS，中等性能的PC机,配置简单，可以快速平滑扩容投资-客户端CE，支持MPLS协议的路由器,每个VPN依靠VRF(VPN RoutingForwarding Instance，路由转发实例)来识别成员关系。MPLsVPN网络中用户拥有的VPN权限是由用户所处的物理位置决定的,很不灵活BTC，定制的嵌入3G-VPN功能的路由器,BTC一切配置全部从BTMS提取性能标记交换,packet开销变大了支持压缩，可以提供系统带宽利用率安全帐户安全性没有保障，没有正对具体业务的安全保障措施帐户唯一标识认证，IPSec加密，3层加

24、密，前置防火墙,不同应用不同配置，配置灵活软件没有功能和硬件版一样的单机软件版硬件价格昂贵BTC终端可操作性私网的穿透能力需要public IP 不能穿透NAT可以穿透任意类型的NAT防封杀能力系统调整复杂，需要专业的工程师现场调试安装，造成抗封杀能力弱，一旦封杀系统没有冗余,CE设备则处于瘫痪状态，要做调整的话CE和PE段都需要做大量的修改配置工作可以通过调整DNS解析地址动态调整BTC认证服务器，在单台BTS或者多台BTS出现问题的情况，BTC仍然可以连接备份BTS，BTC连接BTS的工作端口具有随机性，增加了系统的隐蔽性和增强了系统的防封杀能力使用方便性修改防火墙策略，管理和重新配置每个

25、防火墙将变得非常困难。每增加一个客户需要繁琐的配置工作，WEB统一管理，客户端主动下载规则，配置快速准确，客户端的0配置可以快速发展用户。应用性MPLS与分类业务的技术优势相结合是当今Internet的发展趋势，但是由于ATM采用硬件交换的方式，现有方案仅利用CLPDE字段标识特定的分类业务，致使目前ATM帧中继链路与分类业务类型（PSC）的对应关系很不明确，这将给MPLS实施分类业务来带很大的困难.3G-VPN跟应用无关，3G-VPN是一个虚拟承载系统，但是系统可以通过来划分域来表示不能方面的应用，划分非常方便，而MPLS需要在协议标识里面做定义，配置复杂，可扩展性差3G-VPN的优点：1）

26、 降低了成本 3G-VPN简化了ATM与IP的集成技术，使L2和L3技术有效地结合起来，降低了成本，保护了用户的前期投资。 与MPLS相比，更加降低了成本2） 提高了资源利用率由于使用私网地址，不同域的用户可以使用重复的IP地址，提高了IP资源利用率。 3) 高可靠，业务综合能力强 用户可以根据自己不同的业务需求，通过在BTC侧的配置，来赋予不同的安全等级。MPLS的缺点：(与3G-VPN比较)1 投资大MPLS的代价比较高。相当于一种准专线，3G-VPN投入少，可以利用现有的资源架设VPN网络, 网络的建设依赖于支持的交换机2 环路（Loop）问题 在网络层IP报文通过TTL超时机制来丢弃报

27、文。但在L2层由于ATM帧中继硬件并不提供TTL功能。因而没有办法来直接丢弃产生环路的报文，由于环路的存在，网络拥塞程度不断加剧，它不仅使报文无法到达正确的信宿，甚至有可能导致网络被迫丢弃用于更新路由信息的报文，致使路由寻径变得更加不稳定，延长了环路分组在网络中的驻留时间。3 线路建设要求高，维护困难在同一个VPN内部所有CE设备到达PE路由器的线路类型必须一致，即同是ATM或同是帧中继等。另外，采用这种方案的客户必须具有路由专业技能，具备自行维护VPN内部的路由和负责三层以上的业务连通性的能力。虚拟专用网至少应能提供如下功能： 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信

28、息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。四、3G-VPN与各类VPN的对比：(3G-VPN vs MPLS)1.1、共同点1)、架构方面a) 3G-VPN和MPLSVPN都是标记交换类的VPN系统。b) 都支持多点业务2)、功能方面c) 都能透明的支持各类ip业务应用d) 能很好1.2、 不同点2.1、架构方面a) 3G-VPN采用全认证结构，所有的服务端点和客户端点都必须通过认证，才能接入系统。2.2、 功能方面b) 3G-VPN对主流的网络应用，有专门的性能优化。性能表现成倍提高。c) Mpls对各类应用“一视同仁”，不同

29、的应用只能迁就mpls系统的表现。d) 3G-VPN面向“可运营”的设计，从服务器到客户端、从软终端到硬终端，所有的环节均支持自动化的配置。系统管理员只需要在系统创建之初或服务器变更的情况下干预系统一次，而业务管理员可以直观的针对业务进行配置并立即生效。e) Mpls的管理系统昂贵复杂，不适合频繁的业务变更，和对拓扑进行调整f) 3G-VPN的服务端/客户端结构设计，根本上解决了网络上的“最后一公里问题”，用户只需要关心业务，不需要关心客户的位置。g) Mpls的使用范围很受限制，用户端必须要有public IP ，否则客户端将不能与服务端成功的进行连接。在国内网络IP匮乏，绝大部分网民使用共

30、享ip上网的形势下，mpls构建的的VPN系统将不可避免的遇到部署困难的难题。1.3、 服务范围a)3G-VPN的3层半交换技术，能将独立的管理每个传送段落，屏蔽异构网络的质量差异，同时能有效地管理端到端的通信质量。b)Mpls的用途是在互联网上为构建客户的VPN系统，但它需要基于稳定互联网实现、或至少需要多个PE的支撑，才能得以实现。而对于国内的网络格局而言，在别人的网络上部署PE，明摆着很大难度，何况还是为了同质竞争。所以国内各运营商的MPLS系统多在本网内独立的为客户构建VPN，很少能提供“跨网运营”服务。所以说，在国内mpls不是一种适合于普遍服务的VPN系统。1.4、 价格方面a) 作为虚拟承载系统开发的“3G-VPN”，充分考虑到了运营系统中客户端的成本对系统推广方面可能造成影响，通过定制化的方式，通过去掉冗余的功能的方式而使客户端设备的成本得以降低，而同时又不比放弃性能。在价格和性能方面达到了2全。b) Mpls作为成熟的VPN 系统，诞生在国外良好的互联网环境之下，除了没有考虑国内ip匮乏的国情之外，居高不下的价格也是市场应用面狭窄的主要原因。1.5、 健壮性a) 3G-VPN诞生在国内“诸侯割据”的互联网环境下，天生具备了适应复杂网络结构，抵抗突发网络灾难的能力（甚至是蓄意破