概述

  具备多个分支机构的单位,分支机构往往需要和总部进行数据交换,如实现电子商务,财务软件互联等,简单经济的方法是通过VPN。如果总部只有一个线路,一旦该线路出现故障,各个分支机构就无法完成业务。本方案通过一种简单方便的方式实现了VPN隧道的备份,实现各个分支机构和总部中心服务器数据交换的不间断工作。通过本方案,也解决了各个分支机构上网的问题。

  需求分析

  上海电信下属某单位为了提高工作效率,需要建立一套内部电子商务系统,而该单位在全市有几十个分支机构,每个分支机构的数据需要实时传送到中心,而且,还需要一定的安全功能。由于组网的复杂性和费用,各个分支机构上网的连接方式不再是传统的DDN和帧中继的方式,各个分支机构的上网方式不尽相同,有通过电信ADSL连接Internet,也有通过FTTH连接Internet。因此,通过宽带接入实现VPN成为一种切实可行的经济选择。然而,需要建设的网络不仅能满足各个分支机构上网的需要,而且能实时向中心服务器传送各个分支机构的数据。如果在中心点采用单一的线路,一旦这个线路出现故障,下面各个分支机构就无法向上传送数据,将会严重影响业务的运行。因此,本着将线路故障造成的损失降到最低的目的,中心点再申请一个做为备份线路,在主线路出现故障的时候,各个分支机构可以通过备份线路将数据传送到中心服务器。

  方案规划

  该网络结构比较简单,也很清晰,各个分支机构可以通过各种方式连接到公共网络,如ADSL,LAN等。每个分支机构申请一个线路,运营商分配一个公网地址,使用一个可以支持L2TP或者IPSec over L2TP的VPN设备,该设备既支持将电子商务的数据传送到中心服务器,也支持分支机构上网的要求。传送电子商务数据的时候,可以检测到中心主线路失效时,能将VPN切换到备份线路。中心采用双线路接入,需要放置一台VPN服务器,该VPN服务器能支持双线路固定地址接入,不仅能支持从第一个口接入VPN隧道连接请求,还能支持从第二个口接入VPN隧道连接请求。

  VPN协议可以选择的方式有

  1、使用L2TP连接

  2、使用IPSec over L2TP连接

  第一种方式的优点是组网配置简单,带宽利用效率比较高,缺点是安全性不太高。第二种方式的优点是安全性高,缺点是配置复杂,带宽利用效率比第一种稍微有些下降。

  网络连接的拓扑示意图如下:

  由于每个分支机构的上网机器一般在几十台以内,地址规划的方式可以按照如下方式,分支机构1的地址192.168.1.0/24,分支机构2的地址192.168.2.0/24依此类推。总部中心机房的地址规划是192.168.200.0/24。

  如果在各个分支机构已经有了网络,而且地址都已经设定,考虑到统一更改地址带来很大的工作量,为了避免某些分支机构使用相同的地址空间,因此,在配置分支机构的HiPER的时候,启用L2TP上的NAT功能,这样可以避免由于相同地址冲突带来修改的困扰。