（附件：0523）VPN架设实施方案.docx

公路长大桥项目桥梁结构安全监测工程化开发验证系统 VPN架设实施文档（附件） 项目需求 桥梁结构安全监测工程化开发验证系统中的VPN配置情况为1台集中防火墙（带VPN功能）安装于固安中心机房内、5台分支防火墙（带VPN功能）分别安装于河北曹妃甸、重庆永川大桥、南京四桥、江门江顺大桥、绍兴嘉绍大桥现场机房内，中心及分支机构需具备专线互联网接入（专线互联网由甲方负责申请），可以通过防火墙连接在互联网上组成一套虚拟专用网络，最终可实现位于不同地方的多个分支与固安中心机房之间建立一条专有的通讯线路,供数据上传使用。 建立本套网络是想利用网络传输数据来检测桥梁的稳定性等信息，由于此网络属于监控和检测类型的网络环境，并且数据私密性较高，各分支和总部都要检测所有桥梁的数据，但是总部需要和分支都能够进行私密数据传输，所以建设单位对此套网络要求如下： 总部与分部传输数据时必须以密文数据传输数据； 总部与分部之间必须建立虚拟隧道； 总部要把部分服务器通过公网IP映射到外网，使得外网能够访问内部网络的服务器，同时也要避免服务器遭受外网的攻击； 检测出的桥梁数据要稳定的传输到总部和各个分支机构服务器。 项目需求分析 根据与建设单位沟通后，主要对现场网络环境进行了了解，然后针对于目前所存在的问题尤其是VPN的问题进行了方案敲定和设计，并对建设单位提出的其他需求进行了需求分析和提供解决方案。针对于网络方面遇到的问题和提出的解决方案归纳以下几点： 1.由于重庆永川大桥、南京四桥、江门江顺大桥、绍兴嘉绍大桥分支的网络没有公网IP，需要通过本地的网络连接到公网，所以无法实现VPN的数据加密和稳定的问题。因为本地的网络设备是在我方和建设单位方不可控范围。因为VPN协议必须做在网络出口设备上面，也就是对接互联网的设备上面。所以我们提出了主模式和野蛮模式两种方案供建设单位选择，并引导建设单位从运营商办理专线或者稳定的拨号宽带业务。并敲定此项目中所使用的vpn协议为IPSEC VPN协议，因为此协议安全、稳定、且有多种模式、支持此协议设备多、成功案例多、完全吻合建设单位需求等优点。 2.建设单位提出想要把一些总部的内部服务器能够从外网通过公网IP去访问，并且提出用不同的公网IP对应不同的服务器。我们提出了映射的解决方案，可以利用运营商分配给建设单位的公网IP使用端口映射功能在防火墙的出口上配置，从而实现公网用户通过访问公网IP来访问私网服务器的功能。 3.关于映射的配置命令为：（在全局模式下进入接口模式，这个接口为连接运营商的接口）nat server （local地址）（form地址）这里强调下：华为的local地址指的是你的服务器地址也就是私网地址，form地址也就是你的公网地址。 提出解决方案1.网络结构图和结构图说明 此图中的总部网络为固安总部、其他五个分支机构为河北曹妃甸、重庆永川大桥、南京四桥、江门江顺大桥、绍兴嘉绍大桥。ISP为运营商网络，如联通、电信或移动。ISP到分支机构的线路为拨号或者专线线路。ISP到总部是专线线路。2.实施注意事项和所具备前提条件（1）实施注意事项 在进行网络设备调试实施前，应确认总部专线联通性和下载速率是否正常；分支机构的专线线路或拨号线路是否正常良好；测试总部到每个分支机构的丢包率和延迟是否高于经验值（一般延迟小于200ms,丢包率控制在5%以内）；测试总部和各个分支机构的内网是否正常，在网络联通和质量良好的情况下VPN才可以成功建立关系。（2)实施条件 实施前总部和分支机构应具备支持IPsec?VPN的路由器或防火墙或专用VPN设备；总部和分支机构都具备接入运营商网络，并且网络质量良好，接入带宽速率要满足和高于实际使用带宽速率。实施调试的工程师人员应具备一定的调试经验、笔记本一台、调试软件、调试线缆、测试网线跳线、测试光纤跳纤等应急处理工具。3.安全网关设备调试技术实施指导 因为建设单位要求必须在公网安全的使用密文进行数据传输，所以我们需要使用IPsec VPN协议，目前分支机构带宽接入类型（专线、拨号）不确定，因此根据分支机构接入带宽不同的类型，拨号接入使用ipsec野蛮模式，专线使用主模式。技术调试案例及文档见链接： /cn/products/enterprise-networking/security/firewall-gateway/svn5600_5800拉至底部可以找到关于产品的彩页和电子文档 建设单位：中交公路长大桥建设国家工程研究中心有限公司固安分公司 日期：2016年5月23日 施工单位:厦门市华软科技有限公司 日期：2016年5月23日