虚拟专用网(IPVPN)解决方案-广东远创实业有限公司

虚拟专用网(IPVPN)解决方案

2018-3-8 15:51:02

详细介绍

GRE：通用路由封装技术。这种技术是在IP数据包的外面再加上一个IP头。通俗的说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方。因为企业私有网络的IP地址通常是自己规划，无法和外部互联网进行正确的路由。而在企业网络的出口，通常会有一个互联网唯一的IP地址。这个地址可以在互联网中唯一识别出来。GRE就是把目的IP地址和源地址为企业内部地址的数据报文进行封装，加上一个目的地址为远端机构互联网出口的IP地址，源地址为本地互联网出口的IP地址的IP头，从而经过通过互联网进行正确的传输。这种技术是最有效的VPN技术。

Ipsec：网络安全协议。这个协议提供了互联网的验证，加密等功能，实现了数据的安全传输。同时，可以使用这种协议构建VPN网络。原理也是对IP包进行封装（可以提供多种方式），并且进行加密，然后在互联网中进行传输。与前面相比，这种技术提供了更好的安全性。

E VPN是构建于互联网络之上，采用多协议综合（GRE+Ipsec）技术，构建具有质量保证、安全保证的客户内部专网，实现客户多个跨境分支机构之间内部数据、语音、图像等多种业务通信的服务。

E- VPN的特点

业务的融合：提供了数据、语音和视频相融合的能力。

网络的宽带以及可靠性： E-VPN 综合各电信运营商之优势，选用最可靠的合作商作为服务于大客户的IP网络（VPN业务的承载网络），拥有很高的带宽和传输速率，从设备、线路和路由都有冗余保护措施，网络可靠性达到99.99%。

安全性高：采用GRE+Ipsec作为通道机制实现透明报文传输，GRE的标签交换路径（LSP）具有与FR和ATM VCC相类似的安全性；另外，由于E- VPN实现对用户透明，用户还可以采用它已有的手段，如设置防火墙，采用数据安全加密等手段，进一步提高安全性。

组网方便快捷：客户端路由器只与网络运营商本地节点路由器相连，而不与该客户网络其它节点有直接物理连接；VPN路由信息保存在运营商的路由器上，由运营商进行管理，客户不必进行特别的维护和管理。

保护原有投资：业务支持使用私有地址，客户如已有局域网，不必改变地址规划方案；对于客户端设备没有特殊要求，一般路由器都适用，客户可以继续使用原设备，有效保护用户投资。

强大的扩展性：包括两点，网络中可以容纳的VPN数目很大；同一VPN中的用户很容易扩充。

灵活的控制策略：可以制定特殊的控制策略，满足不同用户的特殊要求，实现增值服务。

强大的管理功能：采用集中管理的方式，业务配置与调度统一平台，减轻了用户的负担。

服务质量保证：E-VPN依靠Cisco路由器提供的强大的QOS能力，通过提供不同的服务级别来保证关键通信质量，支持不同应用。GRE VPN核心层只对IP数据包依据GRE标记做第二层交换，加快了数据包转发速度，减少了时延和抖动，增加了网络吞吐能力，大大提高了网络的质量保证。

为用户节省费用：

线路费：价格比租用专线节约。

设备费：用户只须配备客户端设备，不需要专门的VPN网关。

融合业务：通过融合语音、视频、数据业务来节约费用。

管理费用：用户不必进行专门管理维护。

人员费用：不必要雇用大量的专业技术人员。

VPN服务的应用范围

有多处分布在不同地理位置的通信节点（包括国际、国内），主要以网状为主要网络拓扑结构。

客户业务带宽需求在64Kbit/s—1000Mbit/s之间，带宽范围极宽。

客户网络方案设计原则

保证对分店的影像实时掌控

利用VPN架构下的网络传输监控影像到公司总部，以便了解分店员工和客人流动量；

传送POS机的实时数据；

消费的数据实施传送到公司总部，以便可以实施的了解店面消费状况、库存

状况、配送需要等进销存的分配；

内部数据库管理

利用VPN网络实时更改、查询商品的价格、优惠信息、会员信息；

免费语音通讯

利用现有的VPN架构搭建免费内部电话通话和低价外部通话，降低每分店的通信成本；

方案网络拓扑图

VPN通信系统网络拓扑示意图如下所示：

方案所涉及的网络设备

接入点	需投入设备	功能描述	接入点	需投入设备	功能描述
总部	VPN专用路由器	VPN汇聚/链接	分部	VPN系列路由器	拨号及VPN功能实现
	思科系列交换机	主、次网划分		29系列交换机	连接各终端设备
	E1 语音卡	用于内部免费通话		2口语音网关	用于电话通话、传真
	10M互联网	用于汇接各分店VPN接入		数字摄像头	分店监控用
	数据库服务器	利旧		ADSL网络	承载VPN网络
	数字监控服务器	用于云数据中心存储数据