自行车3G VPN传输解决方案.doc

3G -VPN传输解决方案 3G-VPN的端到端VPN是由中心平台集中管理，在Internet网络上建立私有的、端到端（计算机到计算机）加密隧道，模拟点到点的专用线路，使所选用的计算机在虚拟的专用网络中，安全地建立起类似局域网的连接方式实现远程连接。虚拟专用网络中的计算机可以在任何网络，从任何地点采用任何接入方式都能非常便捷地连接到虚拟专用网中。同时，在整个虚拟专用网络的实施中，无须改动该机构所在网络的设置和IP地址，数据即可安全透明的穿越各个网络的边界。 根据杭州金通公共自行车科技开发有限公司的系统网络传输要求，我公司为金通公共自行车科技提供虚拟专网方式解决方案。本方案采用虚拟专网方式，能有效的利用网络资源，提高数据传输速率，解决网络瓶颈的问题。由于虚拟专网内采用加密方式传输数据，使系统数据传输更加安全。 金通公共自行车虚拟专网，以下简称“3G-VPN专网”。 一、3G-VPN专网系统网络结构： 3G-VPN专网结构图： 方案说明： 1、方案硬件构成： 1.1、通信运营商： 通信运营商机房为各地通信运营商中心，也是和其他运行网络的连接枢纽，对各地市运营商的连接有足够的带宽。 1.2、设备 1.21管理服务器组（BTMS）： 视各地市公共自行车站点需求量制定服务器的多少，提供基于Linux系统架构开发的一组高性能服务软件，为域内的BTS和管理服务器包（BTMS）--BTC提供接入验证，并组织全网路由和前置防火墙规则。 1.22接入服务器组（BTS）： 视各地市公共自行车站点需求量制定用服务器的多少，构成BTS组，主要功能：在BTMS管理下，为BTC提供接入服务，构成VPN专网，同时具有数据转发、数据加密等功能。 1.23密钥服务器（BKS）：（可选，当要求高加密强度时选用） 主要功能：为域内的BTS和BTC分配一次性（或动态）密钥，用于对数据加密。 1.24 VPN客户端（BTC）——3G-VPN无线路由器，除VPN功能外，还集成了PPPOE、DHCP、NAT、数据加密等功能，可以在提供VPN通道的同时支持多台设备同时访问网络。 主要功能：在BTMS管理下与BTS配合，构成VPN专网。每个站点配置1台。 1.3、主要软件构成 1.31VPN客户端软件(BTC) —— 嵌入式系统，专有硬件基础上自行研发的软件，并和硬件结合在一起组成VPN客户端。 1.32 VPN服务软件(BTS) —— 基于linux隧道服务系统，在管理服务系统指挥下为BTC提供接入服务，构成VPN专网，同时具有数据转发、数据加密等功能。 1.33密钥服务（BKS）软件 ―― （可选）基于通用的Linux系统架构开发的一款高性能密钥服务系统。 1.34管理服务（BTMS）软件 —— 基于通用的Linux系统架构开发的一组高性能服务软件，为域内的BTS和管理服务器包（BTMS）--BTC提供接入验证，并组织全网路由和前置防火墙规则。 2、系统方案说明： 1)、拟采用移动运营商网络，并自备“虚拟承载系统”的方式，完成接入系统的建设。 2)、确定的接入方案为：与各地市接触，先确定通信要素，再确定各地市BTS的工期和容量。 3)、根据确定的通信规模和通信习惯，安装设备硬件，必要的话调整客户的业务使用习惯，以便达到设备利用率最大化。 4)、例如：100个节点的组网案例： 4.1、每个节点需要一台3G-VPN路由器做网络承载 4.2、每个节点的3G-VPN路由器通过通信运营商发放的SIM卡，经过其运营商的基站信号，拨号上网至运营商的通信机房，再经过其运营商通信机房将网络连接至Internet互联网。 4.3、3G-VPN路由器在拨号上网成功后，在Internet互联网中会登录访问前期软件写入设备中的指定公网IP地址即（VPN服务器），然后由VPN服务器根据预先设定好的私网IP地址对访问的设备进行统一的IP地址分配，使其之间能够相互访问。（需事先对所用私网的IP地址进行规划和设定） 1）、3G-VPN路由器的最多可以分配16个私网IP地址，现设备可以指定4个私网IP地址，（设备的私网IP地址是有VPN服务器来指定分配的）。（如3G-VPN路由器的私网IP地址是20.1.0.1，子网掩码是：255.255.255.238，其下挂的16个私网IP地址即为：20.1.0.2~20.1.0.16，且每个3G-VPN路由器下过分配的私网IP地址必须是连续的，唯一的。） 2）、按照每个3G-VPN路由器为一个节点来计算，每个节点分配16个私网IP地址，其规模在500个节点的的VPN网络，所占私网的IP地址的数量大概是：16（节点IP地址数量）*500（规模）=8000（预计所占私网IP地址数量）。用网络上经常使用的C类IP完全满足这个承载的需求，（如私网IP地址是20.1.0.1