四川中石化加油站站级联网思科.pptxVIP

四川中石化加油站站级联网思科议程第1页/共19页加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计中石化加油站当前情况第2页/共19页站级业务：油品业务和非油品业务油品销售，加油卡业务易捷便利店零售系统等非站级业务：加油站经营管理业务办公OA系统视频监控协作系统等广域网链路情况：主要以ADSL接入为主，部分地区专线接入（MSTP或SDH链路），3G链路作为备用链路或无法提供有线接入的站网络系统对于业务系统的支撑第3页/共19页加油站内ADSL/E1链路为主用链路，3G作为备用链路站上路由器采用IPSec VPN方式与中心总部建立安全连接当主用链路故障时，路由器可以切换到备用链路保证站内设备网络安全，对实时业务提供带宽保证 总部服务器安全会话连接支持ADSL/3G路由器InternetCarrier Network加油站终端IPsec VPNPrimary FailureIPSec VPN终结DSL运营商议程第4页/共19页加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计站级网络路由设计第5页/共19页路由器集成ADSL接口和3G接口卡链路层故障探测能力，快速切换，对应用影响降到最低主用链路故障触发备份链路拨号，节约备用链路费用3G链路广域网ADSL链路路由器以太网接口与ADSL调制器互联路由器执行 PPPoE 拨号应用层次探测能力，路由下一跳探测可达性，并配合主备切换3G广域网站级路由器站级路由器ADSL Modem站级网络安全VPN设计第6页/共19页站级路由器支持多个VLAN，针对不同业务进行安全区分站级路由器使用IPSec VPN与中心端互联，保护数据完整性和私密性，并提供统一管理监控能力同时具备多个IPSec VPN隧道能力，为应用提供支撑站级路由器内置防火墙能力，保护站内终端设备不受互联网攻击站级网络服务质量保证第7页/共19页针对加油站链路特点，上行链路带宽较小的情况，首先需要在广域网接口上对流量进行整形在整形流量的基础上，再对关键业务进行保障议程第8页/共19页加油站业务需求与网络架构设计加油站站级设备设计中心端设备设计整体网络管理设计Cisco Easy VPN第9页/共19页Branch OfficeCentral SiteEasy VPN Server:Cisco Router 或者 ASA防火墙InternetEasy VPN Remote:Cisco Router 或者ASA防火墙Software Client:Cisco VPN 客户端Small Offices and Home OfficesMobile Users远程分支节点的设备可以是Cisco IOS router, ASA 或者运行VPN软件的 PC/Mac/UnixCall Home/Authentication: 远程设备连接总部设备，提供身份认证。Centralized Policy Push: 总部设备检查身份信息，向远程设备推送配置VPN建立成功高可用性：IPSec VPN基于状态的切换第10页/共19页MainOfficePrimary VPN HeadendBranch SiteXIP VPNBackup VPN HeadendWAN RouterIPSec 基于状态的切换，可以为几千个远程节点提供秒级的VPN切换。没有服务中断，保护关键业务主备设备之间IPSEC的状态信息同步The TCP connection statesThe UDP connection statesThe ISAKMP and IPSec SA table高可用性——连接备份VPN设备第11页/共19页监控VPN隧道，当发现主连接丢失后，启动备份连接。Easy VPN client 继续与主服务器之间进行IKE SA的协商。一旦主设备恢复，将会重新与主设备之间建立VPN连接。不需要动态路由的参与。ASA提供Cluster集群技术,扩展接入能力第12页/共19页客户端向集群虚拟接入地址 发起连接该请求被分配至 ，并回应 客户端和 建立连接.1.31.2.32.3.33.4.34无缝扩展和负载均衡支持多达10台的设备做cluster集群虚拟接入地址 VPN集群master第13页/共19页思科的高端ASA VPN网关推荐中 主要参考指标为IPSec VPN的性能ASA5550ASA5550ASA5585-SSP10ASA5585-SSP20ASA5585-SSP40ASA5585-SSP60吞吐量650M1.2Gbps4Gbps10Gbps20Gbps40Gbps并发会话40万65万100万200万400万1000万每秒新建2.5万3.6万5万12.5万20万35万VPN吞吐量350M450M1Gbp