《358558299dfd.ppt》由会员分享,可在线阅读,更多相关《358558299dfd.ppt(52页珍藏版)》请在三一办公上搜索。
1、专线 业务培训,中国铁通鞍山分公司 2011年5月,专业品质 卓越服务,2,IP-VPN专线互联网专线数据快线,3,什么是 IP VPN?为什么企业需要IP VPN?什么样的企业需要IP VPN?企业需要什么样的IP VPN?,思考的问题,4,什么是IP VPN,IP-VPN(虚拟专用网络)是利用IP网络来传输私有信息而形成的逻辑网络,从而为用户提供高安全性,且比专线价格低廉的资源共享和互连服务。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足客户对原企业网与远程办公室、移动用户间无缝连接的要求,即将网络连接扩展到客户、供货商、合作者和关键用户以形成外部网,来降
2、低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。,5,为什么企业需要 VPN,在经济全球化的今天,随着网络,尤其是网络经济的发展,客户分布日益广泛,合作伙伴增多,移动办公人员在企业中的比例也越来越多。在这样的背景下,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。而在传统的企业组网方案中,要进行远程LAN 到 LAN互联,除了租用DDN专线或帧中继之外,并没有更好的解决方法。对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是,虚拟专用网VPN(Vi
3、rtual Private Network)的概念与市场随之出现。利用VPN网络能够获得语音、视频方面的服务,如IP电话业务、电视会议、远程教学,甚至证券行业的网上路演、网上交易等等。,6,1、有分支机构;2、有联网的应用;3、有安全要求;4、比较看重性价比;,什么样的企业需要VPN,【铁路用户】【工商】【税务】【政府行业】【超市、百货】【手机连锁】【物流】【地产】等等,7,根据实现的方式不同,IP VPN业务种分为很多种类,常用的IP VPN 产品主要有:VPDN、DVPN、专线接入VPN、IP SEC VPN、SSL VPN、MPLS VPN几种。VPN的业务种类不同,其业务特性有很大区别
4、,其业务价格也有很大差异,适用于不同的用户群体。,企业需要什么样的VPN,8,企业需要什么样的VPN,9,VPDN(Virtual Private Dialup Network)即虚拟专用拨号网络,是IP VPN业务的一种,主要应用于拨号(电话、ISDN、ADSL)接入企业虚拟专网的场合。VPDN 充分的利用了现有的网络资源,提升了传统电信网络的保值增值能力。提供经济灵活的组网方式,不仅节省运营商的网络成本,同时也为用户节省设备、人员和管理等方面的投资。除通过窄带拨号方式外,只能在有我公司网络覆盖范围内才可以使用。可以和IPsec-VPN配合组网,解决我公司网络无法覆盖区域的接入问题。,一、V
5、PDN,10,VPDN案例1,沈阳天益堂药房最早是由一位山西商人在沈兴建,迄今已有184年的历史,是沈城土生土长的药房。1999年,沈阳天益堂药房开始在沈连锁经营,是沈阳医药股份有限公司下面经营最好的药房之一。由于市场竞争加剧,沈阳天益堂药房已正式被中国医药集团有限公司整体收购。目前,天益堂药房在沈共有38家连锁店,分别分布在沈阳的沈河、和平、铁西、大东、东陵、于洪、苏家屯、经济技术开发区等多个行政区。,沈阳天益堂药房连锁有限公司VPDN组网方案,案例背景,11,为切实增加企业市场竞争力,沈阳天益堂药房连锁有限公司急需一套集语音、数据于一体的通讯网络,以为其市场发展战略提供强有力的通讯保障。为
6、此,铁通沈阳分公司特为沈阳天益堂药房连锁有限公司搭建一套集经济、安全、实用于一身的全新数据专用VPN网络,其中总部及29家药房铁通公司可接入,采用VPDN方式组网;而对于不可接入的9家药房,采用IPVPN方式组网,两种组网方式有机融合打造整个VPN网络。,12,建设目标沈阳天益堂药房连锁有限公司办公数据专网的建设目标是:(1)办公数据网覆盖总部及38家连锁药房,提供高速网络互连能力。(2)实现网络互连互通和信息资源共享。(3)通过VPN路由器设备实现对内部网络进行有效的管理,对网络流量进行控制,对安全风险进行隔离。而此路由器支持外部攻击防范、内网安全、流量监控等功能,能够有效的保证办公专线网络
7、的安全。,13,天益堂连锁药房需要组建一个完全与Internet网络隔离的数据专用网络,该网络内的任一台电脑的网络IP地址始终为私网IP地址,总部内将专设一台交换机,此交换机下带各台服务器,要求38家分部电脑可即时与总部服务器进行双向互访,以便各分部均可即时地向总部服务器传送财务报表、药品定单、药品销售量等一系列的日常工作内容,并可随时通过这种数据专用网络读取并能下载总部服务器内的重要工作文件信息;,组网方案,在充分考虑到接入点的数量、网络带宽的瓶颈、数据流量的增加等因素后,铁通沈阳分公司特选择一款转发性能出色、网络互连性强、并发连接数多等特点的专业级VPN路由器,通过VPN功能满足用户的需求
8、。,14,通过对天益堂总部与38家连锁药房的外线接入调查得知,总部及29家药房可以接入铁通网络,其余9家药房暂无法接入。在天益堂总部的出口处放置一台企业级路由器,铁通沈阳分公司负责为其总部引入20M带宽光纤(含1个固定的公网IP地址),20M带宽光纤线路引入后直接引网线至企业级VPN路由器的以太口,而VPN路由器的另一以太口通过网线上连至总部局域网交换机,局域网交换机再上连至总部内的相关电脑及服务器群,而VPN路由器的下行端口应设一个固定的公网IP地址,此IP地址由铁通提供;同时,VPN路由器上行口(即接局域网交换机的那个端口)应设置一个固定的私网IP地址,此IP地址由天益堂连锁药房视实际所需
9、自由分配。对于可以接入的29家药房,均采用电缆引入室内,各连锁药房电脑均采用基于PPPoE协议一次性拨号接入VPN专用网络内,接入后采用VPDN方式和总部VPN路由器进行隧道保密连接,每个分支机构的拨号电脑所获取的IP地址均始终为动态的私网IP地址。为了确保数据专网整网安全,以及和其他非办公网数据的隔离,所有分支机构均分配相应的帐号及密码,帐号及密码均由VPN路由器分配,并在铁通BRAS设备上进行数据专网各节点VPN接入的相应设置,对帐号及密码进行确认,进而保证数据的传输安全。,15,铁通线路无法接入的9家药房均采用IPVPN方式组网,以他网运营商的宽带线路为基础,为此9家药房另行分配铁通公司
10、的VPN帐户,进行VPN的二次拨号并最终与天益堂总部VPN数据专网进行成功互联。9家药房只需安装由铁通公司提供的VPN拨号软件,通过天益堂总部VPN路由器验证其VPN帐号的合法性。同时,在天益堂总部VPN路由器上严格控制来自Internet用户(如,领导出差在外使用笔记本电脑无线上Internet网络后,再通过专用的帐号及密码访问总部的内部网络)只能访问总部服务器的特定端口,比如WWW服务器80端口、Mail服务器的25/110端口等,其他通信端口一律拒绝访问,在保证部属总部的服务器安全的前提下,有效提供所需的服务。,16,铁通线路无法接入的连锁药房可通过其他运营商的ADSL线路先连接到Int
11、ernet,并获得公网IP地址(固定IP、动态IP均可)后,再使用由铁通分配的VPN帐户及密码二次拨号连至总部服务器,17,药房总部由铁通沈阳分公司提供华为AR28-11 VPN路由器,采购价6500元,分部(即,各远端药房)仅ADSL宽带Modem即可。VPN线路价格:总部20M光纤专线(含一个固定的公网IP地址,且此光纤在机房端限制与Internet网络完全隔离,无任何外网流量,仅用作内部VPN专业网络使用):3500元/月;分部(即,各远端药房):本网接入:ADSL宽带线路接入,分配VPN帐号,线路与Internet网络完全隔离。月租费150元/点.月;他网接入:对于铁通公司无法接入的药
12、房,采用他网运营商的宽带线路,在此基础上分配铁通公司的VPN帐号,每个VPN帐号月使用费100元。,18,项目设备投资:VPN路由器(6500元)+光纤收发器(1000元)+29个宽带Modem(150元/个29个=4350元)=11850元;项目年收益:(3500元/月+29个150元/个+9个100元/个)12个月=105000元。,投资收益分析,19,VPDN案例2,20,VPDN案例:,1、辽宁万海能源(使用VPN进行企业环境监控数据传送)2、阜新阜矿集团(使用VPDN做本集团内部自己的网络视频监控,为了安全保密自己组网)3、丹东化妆品连锁(使用VPN进行财务、销售状况等数据传送)4、
13、医院、药房(使用VPN进行金融信息、用户信息的资源共享),21,二、专线接入VPN,专线接入的VPN与VPDN的不同之处在于其为用户提供的是一条专用的线路,不需要拨号、认证,来实现VPN的功能。其业务的其他特点与VPDN相同。,22,专线接入案例鞍山金康大药房,鞍山金康大药房含总部在内共7点,分布在鞍山不同地域,总部设在立山太平,用户要求实现其他六点与总部可以互联访问,进行数据传送。主要是进行分店药品的查看、调用,业务、财务报表等,并且保证数据的安全性。,客户需求,23,鞍山金康大药房,鞍山金康大药房节点全部具有铁通线路资源,为了节约投资,公司采取了通过交换机透传VLAN的方式,实现VPN功能
14、,为用户提供虚拟专网服务。用户端只需要投入一只普通的ADSL MODEM,为用户分配私网IP即可。,方案描述,核心层,汇聚层,接入层,DSLAM设备,金康药房服务器,高速路由器BAS,IP,城域网,(,药房门诊,药房门诊,药房,VLAN,金康大药房组网图,24,三、IPSEC VPN,业务定义 IPSec VPN是基于IPSec(互联网安全协议)技术的VPN,IPSec协议是一个范围广泛、开放的VPN安全协议,工作在计算机体系结构的网络层。它提供所有在网络层上的数据保护和透明的安全通信。,25,IPSec VPN业务特点,(1)IPSec VPN综合认证管理平台在互联互通、资源共享、集中管理、
15、移动性等方面具有很大优势,使终端间的直接通信大大简化。(2)采用专用的IPSec VPN客户接入网关设备,管理方便、价格低廉,便于对中小型企业和价格敏感型用户的普及和推广。另外该终端设备将互联网的诸多应用功能-DNS、FIREWALL、MAILSEVER、INTRANET等,直接内置到终端,使终端具有更加智能、更富有性化的能力。同时也可以把IPSEC VPN 平台与信息化设备灵活组合,生成丰富多彩的应用。,26,IPSec VPN业务特点,(3)接入灵活 不受互联网接入运营商的限制,支持ADSLLANDialupISDN等各种接入方式,互联网可到达的地区都可以实现互联,开展业务。能与现有的任何
16、网络无缝接入,如果部分节点已经有了DDN、FRAMERELAYMPLS VPN等其他VPN通道,IPSEC技术可以无缝接入到现在的网络之中。支持动态IP地址网络连接,发展用户不受城域网建网模式的限制。IPSec可扩展性强,增加节点不影响原有的互联业务。支持NAT穿越(NATT),确保局域网内采用私网IP地址时各用户节点的互联互通。无需改动或升级IP网现有的骨干设备和网络,也无需更改客户现有网络。,27,IPSec VPN业务特点,(4)、业务的安全可靠保证 满足用户的可靠性要求:隧道定时巡检机制,快速自动修复功能,确保互联数据的安全可靠。防攻击:内置专业防火墙,可以对数据包采用多维策略过滤,最
17、大可能地防止黑客攻击。,28,IPSec案例鞍山阳光热力有限公司,客户需求:分点与总部互联,联网费用合理;网络安全稳定;分点调整灵活;,29,IPSec案例鞍山阳光热力有限公司,实现方案:由于用户安装专线的地点均没有铁通线路,并且总部是电信光纤宽带,分点用户也安装了联通ADSL宽带,为了满足用户需求,根据IPSec VPN的业务特点,在两处添加了IPSec VPN网关设备Star16,通过互联网建立安全隧道,最终实现互联。,30,SSL 的英文全称是“Secure Sockets Layer”,中文名为“安全套接层”,它是网景(Netscape)公司提出的基于Web应用的安全协议。SSL 协议
18、指定了一种在应用程序协议(如 HTTP、Telenet、NMTP和 FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL VPN业务就是利用SSL VPN相关设备,实现用户移动办公、SOHO办公,除总部采用一台设备外,用户端无需硬件设备,只用浏览器即可完成,具备灵活部署、使用要求低、安全方便等特点。SSL VPN可以解决IP SEC VPN的接入地点相对固定问题,所以可以根据用户不同的需求提供两者相结合的整体解决方案。,四、SSL VPN,31,SSL VPN案例电信IDC,案例背景:IDC机房提供主
19、机托管服务,用户量多;IDC希望提供增值业务给客户;IDC希望进一步加强客户管理和安全性;IDC用户管理主机采用用户名密码;,32,SSL VPN案例电信IDC,技术方案:,开放远程桌面端口,远程用户名密码登陆泄露,管理员离职可能留有后门,X,33,SSL VPN案例电信IDC,方案效果:,安全应用吸引客户,增加IDC用户数;,提供增值服务,增加营收;,减少安全隐患,提高服务质量;,34,SSL VPN案例电信IDC,案例分析:适用行业:IDC、银行、证券、税务等;行业特点:服务型行业、客户群大、本身已有基础服务;应用特点:安全性要求高、应用对象以单个个人为主;类似应用案例:银行、证券网上交易
20、;,35,IP-VPN专线互联网专线数据快线,36,互联网专线,37,互联网专线,互联网专线接入定义:互联网专线接入业务是指为客户提供各种速率的专用链路(主要提供传输速率为2M及以上速率),直接连接到IP骨干网络,实现方便快捷的高速互联网访问的服务。,38,互联网专线,互联网专线分类:互联网专线接入业务按接入方式分为两类:1、铜轴电缆方式接入(ADSL、数据快线)2、光纤专线方式接入,39,互联网专线,互联网光纤专线接入业务按照客户需求可提供更高速率的专线接入,主要有10M、20M、100M等等,或者更高。目前铁通鞍山分公司为了满足不同客户的需求,制定了低带宽的光纤专线接入,有4M、5M、6M
21、、8M。,40,互联网专线,互联网专线资费:铜轴电缆方式接入 执行铁通现行ADSL宽带资费标准 光纤专线方式接入 4M带宽 400元/月/条 4000元/年/条 5M带宽 500元/月/条 5000元/年/条 6M带宽 600元/月/条 6000元/年/条 8M带宽 800元/月/条 8000元/年/条 10M带宽 1000元/月/条 10000元/年/条 100M带宽 3000元/月/条 30000元/年/条,41,IP-VPN专线互联网专线数据快线,42,数据快线,43,数据快线-以太网延伸器简介,产品介绍HS-E系列宽带延伸器系统采用了先进的G.SHDSL.bis技术,可在1对音频双绞线
22、上传输双向对称的高速以太网数据,最高带宽可达11.4Mbps(1公里)或5.7Mbps(3公里),采用中继绑定技术,其高配置版本最高数据带宽可分别提高至22.4Mbps(2条中继)和45.6Mbps(4条中继)。系统突破了普通以太网传输设备100米传输距离的限制,可以使用简单的、低成本的布线实现长距离、大面积的以太网接入。系统采用标准的10M/100M Base-T以太网接口,可直接和各类以太网设备连接。多重安全可靠的防雷电路可保证系统稳定、可靠地工作。,44,系统功能介绍,高速双向对称数据传输,超长传输距离。仅需14对双绞线作中继,多条中继线的版本可乱序连接,多条中继自动绑定,部分中继故障只
23、会降低传输速率,不会导致通讯中断。标准10M/100M Base-T RJ45以太网接口,支持自动极性翻转。局端用户板和远端设备配对使用,工作模式分别设为COT和RT。两个远端设备也可以配对使用,工作模式分别设为COT和RT。11级速率档位,适合不同开通距离。使用2个按钮设置工作参数,操作简单方便。可级联使用,成倍延长传输距离。,45,系统功能介绍,可选的电话语音分离器,可在第一对中继线上同时传输数据和一路语音信号,即在不影响中继线上原有电话正常使用的情况下增加数据传输功能。48V供电接口,便于机房内安装。RS232管理接口。安全可靠的防雷性能。,46,局端用户板的跳线设置,46,47,主要设
24、备组成,局端设备网管板硬件接口100/FX 光纤接口(可选),为整个机框所有用户板提供统一上联口。不可和LAN接口及背板上的ETHERNET接口同时使用。RS232-RS232维护接口(RJ45)LAN-10M/100M上联以太网接口(RJ45),为整个机框所有用户板提供统一上联口。MODEM-可选的调制解调器接口,用于远程维护。按钮ESC-返回上一层菜单ENTER-进入下一层菜单或设置参数UP-向上移动光标DOWN-向下移动光标指示灯UA-紧急告警NUA-非紧急告警,47,48,远端设备,48,多条中继线的系统,COT和RT间的中继线对可乱序连接。,49,远端设备技术参数,指示灯PWR(橙色
25、)常亮 电源正常、熄灭 无供电、闪动 进入参数设置状态 COT(蓝色)常亮 COT模式、熄灭 RT模式 ACT(橙色)熄灭 LAN接口未建立连接、闪动 LAN接口数据传输中、UA(红色)紧急告警指示灯 NUA(橙色)非紧急告警指示灯 LK14(绿色)常亮 中继正常、熄灭 中继故障(COT端)、闪动 中继故障(RT端)、眨眼 中继信号衰减余度少于4dB 电源规格电源规格直流12V1A或48V1A(选配),不可同时连接两组电源,49,50,50,51,系统告警,以下情形会产生紧急告警,此时UA灯亮中继连接中断,此时COT端对应的LK灯会熄灭,RT端对应的LK灯会慢闪。以下情形会产生非紧急告警,此时NUA灯亮中继信号衰减接近最大临界值,该中继处于不稳定工作状态,此时对应的LK灯会如眨眼般闪烁。建议此时将COT的传输速率设置降低一档,以保证系统稳定工作。,51,THANK YOU!,预祝公司取得更好的营销业绩,
