浙江維賽特VPN網(wǎng)絡(luò)建設(shè)方案建議書

（討論稿）

巨通網(wǎng)絡(luò)科技有限公司

2000年12月28日

目錄

第一章巨通網(wǎng)絡(luò)科技有限公司簡介.................................................2

第二章項目概述..................................................................5

2.1VPN技術(shù)綜述.............................................................5

2.2MPLSVPN對比..........................................................14

2.3項目背景概述............................................................23

2.4設(shè)計原則.................................................................24

第三章網(wǎng)絡(luò)方案.................................................................28

3.1網(wǎng)絡(luò)實現(xiàn)綜述.............................................................28

3.2網(wǎng)絡(luò)結(jié)構(gòu).................................................................28

3.3設(shè)備選擇說明............................................................31

第四章產(chǎn)品說明.................................................................34

4.1JuniperM5/M10路由器技術(shù)介紹...........................................34

4.2LucentMAX3000訪問服務(wù)器介紹........................................35

4.3LucentMAX6000訪問服務(wù)器介紹........................................37

4.4CISCO7200路由器技術(shù)介紹..............................................40

4.5CISCO7500路由器技術(shù)介紹..............................................46

4.6CISCOCatalyst4000交換機技術(shù)介紹.......................................48

4.7CISCOCatalyst2900交換機技術(shù)介紹.......................................57

第五章設(shè)備配置.................................................................60

第一章巨通網(wǎng)絡(luò)科技有限公司簡介

?宣傳口號：

?巨通一一構(gòu)筑企業(yè)網(wǎng)絡(luò)的專家

?使命：

將IT技術(shù)與電信技術(shù)結(jié)合起來，向企業(yè)客戶提供最好的網(wǎng)絡(luò)和網(wǎng)絡(luò)

服務(wù)。

.公司簡介：

巨通網(wǎng)絡(luò)科技有限公司是一家中澳合作企業(yè)，致力于為中國的企

業(yè)客戶提供包括網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)增值服務(wù)及應(yīng)用開發(fā)的新型企

業(yè)。公司總部設(shè)在北京，并即將在上海、廣州、深圳等15個城市

設(shè)立分支服務(wù)機構(gòu)，以便更好更快地為客戶提供一體化的解決方

案。

四、行業(yè)定位

科技發(fā)展到今天，網(wǎng)絡(luò)已“無處不在”，網(wǎng)絡(luò)設(shè)備特別是網(wǎng)絡(luò)服務(wù)

其潛在的巨大市場已顯露端倪，巨通網(wǎng)絡(luò)科技有限公司正是瞄準

這一契機而應(yīng)運而生，結(jié)合自身的電信技術(shù)優(yōu)勢，服務(wù)于電信、金

融、能源、交通、廣電、制造業(yè)等領(lǐng)域內(nèi)的企業(yè)客戶，為其提供

一流的網(wǎng)絡(luò)設(shè)備、線路和應(yīng)用服務(wù)，最終為企業(yè)帶來經(jīng)濟效益.與

客戶共享成功。

五、原廠商以及與其合作關(guān)系

巨通網(wǎng)絡(luò)科技有限公司是澳大利亞JTEC產(chǎn)品在中國的獨家代理

商。JTEC成立于1986年的12月份，是一家專業(yè)ATM生產(chǎn)廠商，并

且在澳大利亞經(jīng)營全國性ATM網(wǎng)絡(luò)，為客戶提供虛擬專線服務(wù)。

JTEC在澳大利亞各地、新西蘭和英國都設(shè)有子公司，并在澳大利亞、

英國、愛爾蘭和印度設(shè)有研發(fā)中心。

巨通網(wǎng)絡(luò)與HP、CISCO建立了戰(zhàn)略伙伴聯(lián)系，尋求眾多領(lǐng)域的合作。

六、產(chǎn)品與服務(wù)

2^1.PowerTong網(wǎng)絡(luò)產(chǎn)品

3、系統(tǒng)集成

4、電信增值業(yè)務(wù)

七、人才

人才是企業(yè)發(fā)展的核心動力，巨通網(wǎng)絡(luò)在創(chuàng)立伊始，就致力于高素質(zhì)

人才的選拔和培養(yǎng)。在巨通網(wǎng)絡(luò)中有一流的管理人才，專業(yè)的技術(shù)人

才，優(yōu)秀的業(yè)務(wù)人員，他們在網(wǎng)絡(luò)工程、系統(tǒng)集成、互聯(lián)網(wǎng)絡(luò)、電子

商務(wù)等領(lǐng)域有獨到的見解，寶貴的經(jīng)驗、超前的意識，是各領(lǐng)域內(nèi)的

行業(yè)專家。

第二章項概述

2.1VPN技術(shù)綜述

2.1.1VPN技術(shù)概述

虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork,VPN）是Internet技術(shù)

迅速發(fā)展的產(chǎn)物，它最簡單的定義就是“在公眾數(shù)據(jù)網(wǎng)絡(luò)上建立屬于

自己的私有數(shù)據(jù)網(wǎng)絡(luò)也就是說不再使用長途專線建立私有數(shù)據(jù)網(wǎng)

絡(luò)，而是將其建立在擁有完善架構(gòu)的公眾數(shù)據(jù)網(wǎng)絡(luò)上。它的基本點就

是“化公為私”，使每個企業(yè)可以臨時從公用網(wǎng)中獲得一部分資源供

自己專用。既可以連到公網(wǎng)所能達到的任何地點，而且保密性、安全

性、可管理性的問題也容易解決，還可以降低網(wǎng)絡(luò)的使用成本。

——VPN是在公網(wǎng)中形成企業(yè)專用的鏈路。為了形成這樣的鏈路,

采用了所謂的^隧道哦術(shù)?？梢阅７曼c對點連接技術(shù)，依靠Internet

服務(wù)提供商QSP）和其他的網(wǎng)絡(luò)服務(wù)提供商（NSP）在公用網(wǎng)中建立

自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息

來源，可分別給它們開出不同的隧道。

隧道終點

圖1隧道示意

隧道是一種利用公網(wǎng)設(shè)施，在一個網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸

數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的

報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通

過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦

封裝的幀到達了公網(wǎng)上的目的地，幀就會被解除封裝并被繼續(xù)送到

最終目的地。要形成隧道，基本的要素有以卜幾項：

——.隧道開通器（TI）

——?有路由能力的公用網(wǎng)絡(luò)

——?一個或多個隧道終止器（TT）

——.必要時增加一個隧道交換機以增加靈活性。

一—隧道開通器的任務(wù)是在公用網(wǎng)中開出一條隧道。有多種網(wǎng)絡(luò)

設(shè)備和軟件可完成此項任務(wù)，例如：（1）配有模擬調(diào)制解調(diào)卡和VPN

撥號軟件的辦公室LAN中的有VPN功能的Extranet路由器；（3）網(wǎng)

絡(luò)服務(wù)提供商站點中的有VPN能力的訪問集中器。

一一隧道終止器的任務(wù)是使隧道到此終止，不再繼續(xù)向前延伸。

也有多種網(wǎng)絡(luò)設(shè)備和軟件可完成此項任務(wù)，例如：（1）專門的隧道

終止器；（2）企業(yè)網(wǎng)絡(luò)中的隧道交換機；（3）NSP網(wǎng)絡(luò)的Extranet

路由器上的VPN網(wǎng)關(guān)。

——VPN網(wǎng)絡(luò)中通常還有一個或多個安全服務(wù)器。安全服務(wù)器除

提供防火墻和地址轉(zhuǎn)換功能之外，還通過與隧道設(shè)備的通信來提供

加密、身份查驗和授權(quán)功能。它們通常也提供各種信息，如帶寬、隧

道端點、網(wǎng)絡(luò)策略和服務(wù)等級。

2.1.2VPN的分類

——VPN的分類的角度比較多，現(xiàn)在就從不同的角度對VPN的分

類作介紹。

按VPN的應(yīng)用平臺分類

一一VPN的應(yīng)用平臺分為3類：軟件平臺、專用硬件平臺及輔助

硬件平臺。

——(1)軟件平臺VPN

——當(dāng)對數(shù)據(jù)連接速率較低要求不高，對性能和安全性需求不強

時，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實

現(xiàn)簡單的VPN功能，如checkpointsoftware和AventailCorp等公

司的產(chǎn)品。

——(2)專用硬件平臺VPN

一一使用專用硬件平臺的VPN設(shè)備可以滿足企業(yè)和個人用戶對高

數(shù)據(jù)安全及通信性能的需求，尤其是從通信性能的角度來看，指定

的硬件平臺可以完成數(shù)據(jù)加密及數(shù)據(jù)亂碼等對CPU處理能力需求很

高的功能。提供這些平臺的硬件廠商比較多，如Nortel.Cisco、3Com

等。

——(3)輔助硬件平臺VPN

——這類VPN的平臺介于軟件平臺和指定硬件平臺的之間，輔助

硬件平臺的VPN主要是指以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)腣PN

軟件以實現(xiàn)VPN的功能。

按VPN的協(xié)議分類

一—VPN從協(xié)議方面來分類主要是指構(gòu)建VPN的隧道協(xié)議。VPN的

隧道協(xié)議可分為第二層隧道協(xié)議、第三層隧道協(xié)議。第二層隧道協(xié)議

最為典型的有PPTP、L2F、L2TP等,第三層隧道協(xié)議有GRE.IPSec

等。

一—第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被

封裝在哪一層的數(shù)據(jù)包中在隧道里傳輸?shù)?。第二層隧道協(xié)議和第三層

隧道協(xié)議一般來說分別使用，但合理的運用兩層協(xié)議，將具有更好

的安全性。例如：L2Tp與IPSec協(xié)議的配合使用,可以用L2TPVPN、

IPSecVPN,也可以利用IPSec協(xié)議的L2TPVPN。

按VPN的服務(wù)類型分類

一一根據(jù)服務(wù)類型，VPN業(yè)務(wù)大致可分為3類：在此我們引用

Cisco的定義方式,將3種用戶需求定義為：InternetVPN.Access

VPN與ExtranetVPNO

——InternetVPN:即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的

虛擬網(wǎng)。

——AccessVPN：又稱為撥號VPN（即VPDN）,是指企業(yè)員工或

企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)筑的虛擬網(wǎng)。

——ExtranetVPN:即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略

聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。

——其中通常又把IntranetVPN和ExtranetVPN統(tǒng)一稱為專線

VPNO

按VPN的部署模式分類

——VPN可以通過部署模式來區(qū)分，部署模式從本質(zhì)上描述了

VPN的通道是如何建立和終止的，一般有3種VPN部署模式。

----(1)端到端(End-to-End)模式

一一該模式是典型的由自建VPN的客戶所采用的模式。雖然在該

模式中網(wǎng)絡(luò)設(shè)施是被動的，但是許多融合了端到端模式解決方案其

實是由服務(wù)商為它們的客戶集成或捆綁實現(xiàn)的。在端到端模式中，最

常見的隧道協(xié)議是IPSec和PPTPO

----(2)供應(yīng)商一企業(yè)(Provider-Enterprise)模式

一—隧道通常在VPN服務(wù)器或路由器中創(chuàng)建，在客戶前端關(guān)閉。

在該模式中，客戶不需要購買專門的隧道軟件，由服務(wù)商的設(shè)備來

建立通道并驗證。然而，客戶仍然可以通過加密數(shù)據(jù)實現(xiàn)端到端的全

面安全性。在該模式中，最常見的隧道協(xié)議有L2TP、L2F和PPTP。

----(3)內(nèi)部供應(yīng)商(Intra-Provider)模式

一一這是很受電信公司歡迎的模式，因為在該模式中，服務(wù)商保持

了對整個VPN設(shè)施的控制。在該模式中，通道的建立和終止都是在服

務(wù)商的網(wǎng)絡(luò)設(shè)施中實現(xiàn)的。對客戶來說，該模式的最大優(yōu)點是他們不

需要做任何實現(xiàn)VPN的工作，客戶不需要增加任何設(shè)備或軟件投資,

整個網(wǎng)絡(luò)都由服務(wù)商維護。

2.1.3VPN的協(xié)議

——對要建立的隧道，隧道用戶和隧道服務(wù)器都要用同一隧道協(xié)

議。隧道技術(shù)可以以二層或三層隧道協(xié)議為基礎(chǔ)。這些層和開放系統(tǒng)

(OST)互連參考模型相對應(yīng)。二層協(xié)議和數(shù)據(jù)鏈路層對應(yīng)，并用幀

作為它們交換的基礎(chǔ)。PPTP和L2TP以及L2F是二層隧道協(xié)議；所有

PPP幀中的有效負載封裝以后通過公網(wǎng)發(fā)送出去。三層協(xié)議和網(wǎng)絡(luò)層

對應(yīng)，并使用包作為交換的基礎(chǔ)。IPSec和GRE是三層隧道協(xié)議，是

在附加的IP報頭封裝IP包，然后通過IP公網(wǎng)發(fā)送出去。

點對點隧道協(xié)議(PPTP,Point-to-PointTunnelingProtocol)

——PPTP是由PPTP論壇開發(fā)的點到點的安全隧道協(xié)議，1996年

成為IETF草案。PPTP為使用電話上網(wǎng)的月戶(PSTN,ISDN)提供安

全VPN功能。

——PPTP提供PPTP客戶機和PPTP服務(wù)器之間的加密通信。PPTP

客戶機是指運行了該協(xié)議的PC機；PPTP服務(wù)器是指運行該協(xié)議的服

務(wù)器。PPTP是PPP協(xié)'議的一種擴展，它提供了在Internet上建立多

協(xié)議的安全VPN的通信方式。遠端用戶能夠通過任何支持PPTP的ISP

訪問公司的專用網(wǎng)絡(luò)。

——通過PPTP,客戶可采用撥號方式接入公共IP網(wǎng)絡(luò)。撥號客

戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器(NAS),建立PPP連接;

在此基礎(chǔ)上，客戶進行二次撥號建立到PPTP服務(wù)器的連接，該連接

稱為PPTP隧道，實質(zhì)上是基于IP協(xié)議上的另一個PPP連接，其中的

IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCP/IP、IPX和NetBEUloPPTP

采用了基于RSA公司RC4的數(shù)據(jù)加密方法，保證了虛擬連接通道的安

全性。對于直接連到Internet上的客戶則不需要第一重的PPP拔號

連接，可以直接與PPTP服務(wù)器建立虛擬通道。PPTP把建立隧道的主

動權(quán)交給了用戶，但用戶需要在其PC機上配置PPTP,這樣做既增加

了用戶的工作量又會造成網(wǎng)絡(luò)安全隱患。另外PPTP只支持TP作為傳

輸協(xié)議。

L2F協(xié)議(L2F,layertwoforwording)

——L2F由Cisco公司在1998年5月提交給IETF,RFC2341對L2F

有詳細的闡述。

——L2F可以在多種介質(zhì)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)

議的安全虛擬專用網(wǎng)。它將鏈路層的協(xié)議(如HDLC,PPP,ASYNC,HDLC

等)封裝起來傳送。因此，網(wǎng)絡(luò)的鏈路層完全獨立于用戶的鏈路層協(xié)

議。

一一L2F遠端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)，首先

按常規(guī)方式撥號到ISP的接入服務(wù)器(NAS),建立PPP連接；NAS

根據(jù)用戶名等信息，發(fā)起第二重連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。在這

種情況下隧道的配置和建立對用戶是完全透明的。

——L2F允許撥號接入服務(wù)器發(fā)送PPP幀傳輸并通過WAN連接到

達L2F服務(wù)器。L2F服務(wù)器將包去封裝后把它們接入到公司自己的網(wǎng)

絡(luò)中。不同于PPTP和L2Tp的是，L2F沒有定義客戶。

第二層隧道協(xié)議(L2TP,LayerTwoTunnilingProtocol)

-L2TP協(xié)議是由Cisco、原Ascend、Microsoft、RedBack、3Com

等廠商共同制定的，因此這些廠家VPN設(shè)備的L2TP互操作性較好。

RFC2661對L2Tp進行了介紹。

——L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或訪

問服務(wù)器端發(fā)起VPN連接。L2Tp定義了利用公共網(wǎng)絡(luò)設(shè)施（如IP網(wǎng)

絡(luò)、ATM和幀中繼網(wǎng)絡(luò)）封裝傳輸鏈路層PPP幀的方法?，F(xiàn)在，Internet

中的撥號網(wǎng)絡(luò)只支持IP協(xié)議，必須使用注冊IP地址，而L2Tp可以

讓撥號用戶支持多種協(xié)議，企業(yè)在原有非1P網(wǎng)絡(luò)上的投資不致于浪

費。L2TP帶來的另一個好處是它能夠支持多個鏈路的捆綁使用。

——L2TP主要是由LAC（L2TPAccessConcentrator,訪問集中器）

和LNS（L2TPNetworkServer,網(wǎng)絡(luò)服務(wù)器）構(gòu)成，LAC支持客戶端的

L2TP,它用于發(fā)起呼叫、接收呼叫和建立隧道；LNS是所有隧道的終

點。在傳統(tǒng)的PPP連接中，用戶撥號連接的終點是LAC,L2TP便利

PPP協(xié)議的終點延伸到LNSO

因特網(wǎng)協(xié)議安全性（IPSec,InternetProtocolSecurity）

——與IPSec相關(guān)的RFC文檔有RFC2104.RFC2401-RFC2409.

RFC2451等12種文件，其中RFC2409介紹了互連網(wǎng)密鑰交換（IKE）

協(xié)議;RFC2401介紹了IPSec協(xié)議;RFC2402介紹了驗證包頭（AH）;

RFC2406介紹了加密數(shù)據(jù)的報文安全封裝（ESP）協(xié)議。

一一TPSoc是一個第三層VPN協(xié)議標(biāo)準，它支持信息通過TP公網(wǎng)

的安全傳輸。IPSec協(xié)議系列從1995年以來得到了一致的支持，報

文安全封裝（ESP）協(xié)議和報文完整性認證的協(xié)議框架已趨成熟。密

鑰交換（IKE）協(xié)議也已經(jīng)增加了橢圓曲線空鑰交換協(xié)議。由于IPSec

必須在端系統(tǒng)OS內(nèi)核的IP層或節(jié)點網(wǎng)絡(luò)設(shè)備的IP層實現(xiàn)，所以

IPSec的密鑰管理協(xié)議是IPSec需要進一步完善的問題。

一一除了它定義的IP傳輸?shù)募用軝C制外，IPSec還定義了IPover

TP隧道模式。一個IPSec隧道是由隧道客戶和隧道服務(wù)器組成的。

它們都使用IPSec隧道和協(xié)商加密機制。

——IPSec兼容設(shè)備在0SI模型的第三層(網(wǎng)絡(luò)層)提供加密、

驗證、授權(quán)、管理，對于用戶來說是透明的(即在應(yīng)用層不用作任何

事情)，用戶使用時和平常無區(qū)別。密鑰交換、核對數(shù)字簽名、加密

等都在后臺自動進行。

——圖2是一個典型的IPSec數(shù)據(jù)包的格式。

一一另外，為了組建大型VPN,需要認證中心(CA)來進行身份

認證和分發(fā)用戶公共密鑰。

一一IPSec可用兩種方式對數(shù)據(jù)流加密：

一一隧道方式：對整個1P包加密，使用一個新的IPSec包打包。

這種隧道協(xié)議是在IP協(xié)議上進行的，因此不支持多協(xié)議。

——傳輸方式：原IP包的地址部分不處理，僅對數(shù)據(jù)凈荷(data

payload)進行加密。

——IPSec支持的組網(wǎng)方式包括：主機之間、主機與網(wǎng)關(guān)、網(wǎng)關(guān)

之間的組網(wǎng)。這里網(wǎng)關(guān)指執(zhí)行IPSec的路由器或防火墻。

——IPSec還遼遠程訪問用戶支持。同時還有一整套保證用戶數(shù)

據(jù)安全的措施，利用它建立起來的隧道具有更好的安全性和可靠性。

IPSec可以和L2TP、GRE等隧道協(xié)議一同使用，給用戶提供更大的靈

活性和可靠性。

通用路由封裝（GRE,GenericRoutingEncapsulation）

——GRE是由NetSmiths和Cisco等公司1994年10月提交IETF

的，在RFC1701和RFC1702有所定義。

GRE規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。

GRE的隧道由兩端的源1P地址和目的IP地址來定義，它允許用戶使

用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如

RIP、OSPF、IGRP、ELGRP）O通過GRE,用戶可以利用公共IP網(wǎng)絡(luò)連

接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進彳丁網(wǎng)絡(luò)互聯(lián),

或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。

——GRE只提供了數(shù)據(jù)包的封裝，它并沒有加密功能來防止網(wǎng)絡(luò)

偵聽和攻擊。所以在實際環(huán)境中它常和IPSec在一起使用，由IPSec

提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。

2.2MPLSVPN對比

2.2.1撥號端口批發(fā)/VPDN

撥號端口批發(fā)業(yè)務(wù)不是浙江VSATVPN專網(wǎng)項目的計劃重點業(yè)務(wù),

僅作為VPN業(yè)務(wù)開展的輔助手段。我們建議在本期項目建設(shè)中的VPDN

盡量采用簡單實用的方式實現(xiàn)。

此種方式類似帳號用戶漫游方式：當(dāng)VPDN通過浙江VSAT申請的

某個特服號（或者也可以是普通號碼）接入VSAT專網(wǎng)時，NAS會將

整個用戶認證信息傳輸給本地RADIUS服務(wù)器進行認證，當(dāng)本地

RADIUS通過后綴或前綴（需要RADIUS支持）方式判斷為VPDN屬性

用戶時，自動將用戶認證請求傳遞到此域名在本地RADIUS服務(wù)器上

注冊的HOMERADIUS±（即某企業(yè)的VPDNRADIUS認證服務(wù)器）。當(dāng)

然，此種認證方式要求企業(yè)端配置符合RFC2138.2139標(biāo)準的RADIUS

服務(wù)軟件，此軟件可由局方作為初裝配置一次性提供給企業(yè)用尸，

但要求企業(yè)具有維護此軟件和用戶信息的維護能力；當(dāng)企業(yè)端沒有此

用戶認證能力I時，可通過在VPN網(wǎng)RADIUS上進行認證，此企業(yè)的所

有用戶信息存放在VPN網(wǎng)的用戶管理和計費數(shù)據(jù)庫中。在此種情況下,

要求VPN網(wǎng)系統(tǒng)的用戶管理和計費系統(tǒng)具有向此種企業(yè)開放用戶管

理權(quán)限的能力，國內(nèi)部分大型電信級的認證與計費軟件可以提供該

種類型功能，可通過在整體用戶管理與計費系統(tǒng)中的虛擬節(jié)點的方

式為此企業(yè)分配具有嚴格權(quán)限劃分的節(jié)點管理員，此管理員可獨立

管理在其管理下的用戶信息，如用戶的增刪改等。如亞信的AIOBS

完全由此HOMERADIUS進行認證。但電信級的認證與計費軟件價格及

其昂貴，目前直接采用還不是很適合，而且當(dāng)需要支持MPLSVPN業(yè)

務(wù)時，都需要定制開發(fā)。在此認證過程中，同時在浙江VSAT公司的

VPN網(wǎng)RADIUS服務(wù)器上存在計費日志，因此，可完全通過此日志進

行系統(tǒng)清算工作。

當(dāng)認證通過后，浙江VSAT公司的VPN網(wǎng)NAS自動發(fā)起一個L2TP

隧道到企業(yè)端的HOMEGATEWAY（即隧道終結(jié)器；此設(shè)備可由企業(yè)自

備，也可由浙江VSAT公司作為初裝配置發(fā)放給用戶），形成一個由

浙江VSAT公司的VPN網(wǎng)發(fā)起的，到企業(yè)端中止的獨立用戶隧道。用

戶IP地址為企業(yè)端分配的企業(yè)內(nèi)網(wǎng)IP地址（但此種方式由于L2TP

隧道技術(shù)原因，同樣要求占用浙江VSAT公司的VPN網(wǎng)的撥號IP地址

一個/端口）。

我們建議本期可以開展上述方式的面向撥號用戶的VPDN業(yè)務(wù)。但由

于VPDN隧道封裝方式在大規(guī)模應(yīng)用mNAS會帶來較大的系統(tǒng)負載,

占用較大的CPU資源，會一定程度地影響NAS的轉(zhuǎn)發(fā)效率、接通率等

等。所以，在撥號呼叫量只有1-2E1時，可以采用CISCOAS5400訪

問服務(wù)器。如果，浙江VSAT公司的VPN網(wǎng)希望開展大規(guī)模VPDN業(yè)務(wù),

則建議建議在本期工程前先選用現(xiàn)有不同廠家的NAS進行一定范圍

內(nèi)的試驗性業(yè)務(wù)測試。VPDN的計費和管理將通過專用的計費管理軟

件實現(xiàn)。

應(yīng)注意的一點是，當(dāng)希望本地開展的VPDN用戶在全省范圍內(nèi)能夠繼

續(xù)實現(xiàn)VPDN接入，則要求VPDN用戶的漫游地開展了VPDN業(yè)務(wù)，而

且需要此VPDN用戶同樣需在此漫游地進行登記注冊，否則是無法實

現(xiàn)漫游認證的。

相關(guān)問題

如果在浙江VSAT公司的VPN網(wǎng)內(nèi)部廣泛采用L2TP隧道VPDN方式的端口批發(fā),

由于L2TP是在IP網(wǎng)絡(luò)中，使用UDP傳輸協(xié)議來傳輸PPP數(shù)據(jù)包的一種隧道機

制，將導(dǎo)致在LAC設(shè)備上大量的開銷。主要原因是應(yīng)用層的數(shù)據(jù)前面按照順序

封裝了UDP、L2TP、PPP的包頭，控制方面存在L2TP和PPP的控制協(xié)議。因此

建議浙江VSAT公司如果需要推廣撥號端口批發(fā)業(yè)務(wù)，需要先對NAS設(shè)備接入大

量L2TP連接的性能經(jīng)過仔細測試后。

2.2.2VPN

VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)

的性能優(yōu)點(安全和QoS)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(簡單和低成

本)，必將成為未來傳輸融合網(wǎng)絡(luò)業(yè)務(wù)的主要工具?，F(xiàn)在國內(nèi)很多著

名的Internet服務(wù)商和電信供應(yīng)商，比婦：中國電信、中國聯(lián)通、

中國網(wǎng)通，都在更新或新建自己的基礎(chǔ)網(wǎng)絡(luò)設(shè)施，爭取盡快給用戶

提供VPN業(yè)務(wù)。然而北京電信公眾IP網(wǎng)的VPN業(yè)務(wù)的目標(biāo)應(yīng)當(dāng)是吸

引廣大的企業(yè)和個人用戶使用北京城域網(wǎng)內(nèi)部豐富的帶寬資源，這

就要求我們的網(wǎng)絡(luò)經(jīng)營者應(yīng)當(dāng)在業(yè)務(wù)的推廣過程中充分考慮到用戶

對業(yè)務(wù)資費、服務(wù)質(zhì)量等方面的綜合要求，包裝出在市場中有充分競

爭力的VPN業(yè)務(wù)。

?我們在經(jīng)過對業(yè)界的電信服務(wù)提供商進行分析的基礎(chǔ)上，認為浙

江VSAT公司的VPN網(wǎng)初期可選的VPN業(yè)務(wù)實現(xiàn)方式有以下三類：

?Tunnel-basedVPN,例如IP/IP,GRE,L2TP等。

?BGP/MPLSVPN,在全網(wǎng)采用MPLS,在CISCO設(shè)備封裝MPLSVPNO

?IPSecVPN,例如IPDynamicsVDN等。

下面進行分別說明。

2.2.3Tunnel-basedVPN

廣義來講，VPN必需采用各種形式的隧道技術(shù)才能正常運行。一

個IP隧道連接VPN的兩端節(jié)點，作為一種基本架構(gòu)組成各種VPN業(yè)

務(wù)。而IP隧道作為一種點到點的鏈路既有第二層的技術(shù)也有第三層

技術(shù)。比如，在第三層，TP隧道同TP轉(zhuǎn)發(fā)表綁定在一起，IP轉(zhuǎn)發(fā)表

中把IP隧道當(dāng)作一種IP接口，例如IP/IP(RFC1853)、GRE(RFC1702);

在第二層，IP隧道與橋接轉(zhuǎn)發(fā)表綁定在一起，形成一種點到點的鏈

路，例如L2TP。

L2TP目前VPDN中使用較為廣泛。Tunnel-basedVPN在本方案中

特指針對采用專線方式接入的用戶利用隧道技術(shù)例如：IP/IP,

GRE(GenericRouterEncryption)等在浙江VSAT公司的VPN網(wǎng)上建

立企業(yè)內(nèi)部互聯(lián)的虛擬專網(wǎng)。

長久以來，由于此類基于隧道和TPSec的加密技術(shù)建立的VPN的

實施過程往往可以完全由具有一定專業(yè)知識的企業(yè)用戶自身獨立完

成，而完全屏蔽于1SH,而1SP僅僅需要提供企業(yè)用戶相應(yīng)1E接入

專線服務(wù)就可以實現(xiàn)VPN,而1SP卻無法控制用戶對IP專線的利用。

因此我們通常把此類業(yè)務(wù)定義為非ISP可管理的VPN類型。然而隨著

中國的電信業(yè)務(wù)的逐步開放，在數(shù)據(jù)業(yè)務(wù)發(fā)達的地區(qū)，各個電信服

務(wù)商紛紛建立起具有相當(dāng)大的網(wǎng)絡(luò)帶寬度源的城域網(wǎng)，但出口的帶

寬資源相對緊張，因此我們認為，如果包以包裝出一種既能盡可能

多地批發(fā)城域網(wǎng)帶寬同時又較少或者不使用城域網(wǎng)出口帶寬的業(yè)務(wù)

招對浙江VSAT公亙VPN網(wǎng)具有較大的意義。

因此，我們認為如果改變Tunnel-BasedVPN業(yè)務(wù)由企業(yè)用戶獨

立建設(shè)的現(xiàn)狀，浙江VSAT公司的VPN網(wǎng)為企業(yè)用戶建立城域網(wǎng)范圍

內(nèi)的隧道VPN,限制用戶IP接入時的訪問城域網(wǎng)之外的權(quán)限。在業(yè)

務(wù)定價上可以將此類IP接入的費用低于能夠訪問城域網(wǎng)之外的TP接

入費用。

由于GRE技術(shù)本身是在Router之間采用特定的封包格式建立的

VirtualLink,它具有多協(xié)議支持、路由支持和穩(wěn)定性的特點，但是

GRE沒有解決安全性的問題，如果考慮數(shù)據(jù)的安全性，建議采用TP

Sec+GRE的方式組建VPNO

2.2.4MPLSVPN

MPLSVPN是MPLS在網(wǎng)絡(luò)中可以實現(xiàn)的多種業(yè)務(wù)之一，MPLSVPN

要求全網(wǎng)范圍內(nèi)實現(xiàn)MPLS交換，因此有一定的局限性。

BGP/MPLSVPN把整個網(wǎng)絡(luò)中的路由器分為三類：CE(用戶邊緣路由

器)、PE(提供商邊緣路由器)和P(提供商骨干路由器)；其中，PE

充當(dāng)IPVPN接入路由器，在本方案中，采用上述CISCO7200/CISCO

7500接入路由器充當(dāng)PE,而核心路由全部采用JuniperM5/M10o

BGP/MPLSVPN通過擴展BGP路由協(xié)議來背載VPN成員關(guān)系和VPN網(wǎng)

絡(luò)可達性；它對BGP的擴充主要包括多協(xié)議擴充、VPN擴充和MPLS

標(biāo)簽背載擴充。BGP4的多協(xié)議擴充，包括多協(xié)議網(wǎng)絡(luò)層可達信息

(MP_REACH_NLRI)和多協(xié)議網(wǎng)絡(luò)層不可達信息(MP_UNREACH_NLRI);

它們主要為BGP4提供了網(wǎng)絡(luò)層協(xié)議、下一3等站、NLRI和地址族

(AddressFamily)之間相互關(guān)聯(lián)的能力。而VPN擴充則引入了一種

新的地址族，稱為VPNTPv4地址族；它由12個字節(jié)表示，8個字節(jié)

的路由區(qū)分器(RD:RouteDistinguisher)+4字節(jié)IPv4地址;—

般，可以把RD劃分為兩個部分：4字節(jié)自治系統(tǒng)號(ASN)+VPN編

號(VPNIndex)0RD的主要功能是把VPN用戶可能重疊的IPv4地址

空間映射到全局彼此不重疊的空間。如下圖所示：

附圖.：通過RD解決重疊地址空間到不重疊地址空間的映射

同時，BGP/MPLSVPN還引入了兩種新的64比特長度的BGP社區(qū)

屬性(CommunityAttribute)VPNTarget和VPNofOrigin,用于

VPN間的通信控制。VPNTarget描述當(dāng)前路由(網(wǎng)絡(luò))所屬于的VPN,

每個路由可以與多個VPNTarget屬性相關(guān)聯(lián)，具有相應(yīng)VPNTarget

屬性的路由將從本地PE廣播給所有與該VPN有關(guān)的其它SPEO從語

義表達上而言，VPN-IPv4中擴充的RD已經(jīng)足夠，但是，VPNTarget

的引入，避免了通過采用不同的RD為同一網(wǎng)絡(luò)產(chǎn)生不同的路由項,

將能夠獲得更具伸縮性的實現(xiàn)。VPNofOrigin屬性唯一性地標(biāo)識當(dāng)

前路由(網(wǎng)絡(luò))屬于特定VPN的特定站點。

通過適當(dāng)?shù)剡\用VPNTarget和VPNofOrigin屬性，可以用來

構(gòu)造不同類型的VPN。“HubandSpoke”VPN是其中一種比較特殊的

應(yīng)用，在這種應(yīng)用中，設(shè)立兩個VPNTarget屬性，一個代表Hub,一

個代表Spoke;摔其所有來自Spoke的路由可以分配到Hub,而來自

Hub的路由則不能分配到Spoke;BGP/MPLSVPN應(yīng)用中，同一VPN內(nèi)

的通信采用全網(wǎng)狀結(jié)構(gòu)，而不同VPN之間的通信可以利用“Huband

Spoke”VPN方式來構(gòu)造任意網(wǎng)狀的拓撲結(jié)構(gòu)。BGP/MPLSVPN的VPN

成員關(guān)系控制和VPN網(wǎng)絡(luò)可達性的提供依賴于PE之間IBGP的全網(wǎng)狀

結(jié)構(gòu)和SPE之間的網(wǎng)狀LSP。

因此，從本質(zhì)上將，疊加方式和背載方式的初始成員關(guān)系比通

過配置的方式實現(xiàn)，而可達性則利用路由協(xié)議自動實現(xiàn)。

通過上述手段，BGP/MPLSVPN可以提供Intranet、Extranet和

Internet業(yè)務(wù)。

CISCOBGP/MPLSVPN通過單個VPNTarget屬性可以構(gòu)造Intranet

應(yīng)用；在單個VPNTarget屬性下，連接多個站點的PE之間的形成全

網(wǎng)狀結(jié)構(gòu)。利用多個VPNTarget和VPNofOrigin屬性可以構(gòu)造

Extranet應(yīng)用或任意網(wǎng)狀的Intranet,在Extranet應(yīng)用中，共享的

主機資源應(yīng)該在Extranet的多個VPN中，其IPv4地址具有全局唯一

性，或者通過相應(yīng)節(jié)點的地址翻譯設(shè)備進行地址翻譯；VPN用戶訪問

Internet需要通過站點的缺省路由解決。

MPLS流量工程技術(shù)將很好第地解決復(fù)雜流量在網(wǎng)絡(luò)中的合理分

配，但是，同時也需要注意目前MPLS流量工程的實現(xiàn)的一些缺陷：

還沒有正式的技術(shù)標(biāo)準，缺乏普遍的互操作性；目前標(biāo)記交換路徑還

不能有效地跨越自治系統(tǒng)和IGP區(qū)域；缺乏流量政策管理。值得注意

的是，目前的CISCOBGP/MPLSVPN在跨AS和一個AS內(nèi)部的多個AREA

時是存在問題的。這主要是因為CISCOMPLSVPN本身只需一個標(biāo)簽

標(biāo)識一個VPN用戶，但由于需要路由協(xié)議背載，在實現(xiàn)技術(shù)上，則

需要兩層標(biāo)簽，通過域內(nèi)路由和域外路由背載。但在技術(shù)實現(xiàn)和配置

中，需在不同AREA之間的ABR上不進行路由地址SUMMARY,則可以

在一個自治域內(nèi)部實現(xiàn)MPLS互通。但跨越自治域的MPLSVPN仍然是

不能互通的。

2.3項目背景概述

浙江維賽特衛(wèi)星通訊網(wǎng)絡(luò)有限公司擬組建的專用服務(wù)網(wǎng)絡(luò)以提供VPN

業(yè)務(wù)為主，主要用戶是商業(yè)用戶、大型外資企業(yè)等。該VPN網(wǎng)絡(luò)與通

常意義下的VPN網(wǎng)絡(luò)有所不同，它不使用Internet骨干網(wǎng)傳輸，而

是采用帶寬(專線)租用方式構(gòu)造自身網(wǎng)絡(luò)，與Internet

網(wǎng)絡(luò)從物理上完全隔離。

提供的VPN業(yè)務(wù)包括撥號VPN(VPDN)和專線VPN。用戶接入方

式包括專線、ISDN和普通PSTN撥號等。

該項目范圍包括：網(wǎng)絡(luò)建設(shè)一期項目中，在浙江省內(nèi)建立8個

VPN接入節(jié)點，以杭州節(jié)點為中心，以星形方式連接下面的7個節(jié)點,

與各節(jié)點的連接采用2M專線方式，在杭州和上海間采用電路租用方

式建立一個2M的出口電路。

項目建設(shè)初期，用戶容量不會很大，杭州VPN用戶數(shù)量設(shè)計容

量為500,其它節(jié)點用戶容量100,VPN用戶帶款為128K到2M小等。

考慮到系統(tǒng)運行后可方便升級，在方案設(shè)計中對網(wǎng)絡(luò)設(shè)備和接入設(shè)

備應(yīng)具備良好的擴展能力和高性能價格比。同時，由于考慮到系統(tǒng)日

后可能將提供包括視頻點撥業(yè)務(wù)在內(nèi)的多種寬帶業(yè)務(wù)，這也就要求

系統(tǒng)的交換設(shè)備和路由設(shè)備必須擁有保留千兆交換（路由）模塊的擴

增能力。

2.4設(shè)計原則

1.根據(jù)用尸需求分析，我們提出的設(shè)計思路立足于以下四個出發(fā)

點：

2.系統(tǒng)在高可靠性、高性能、高可擴展性、先進的網(wǎng)絡(luò)平臺上實

現(xiàn)；

3.支持多業(yè)務(wù)接入，系統(tǒng)擴展和組網(wǎng)方式靈活；

4.網(wǎng)絡(luò)系統(tǒng)必須是透明的，網(wǎng)絡(luò)的復(fù)雜性工作由信息系統(tǒng)管理人

員承擔(dān)，對于使者來說只需掌握用戶應(yīng)用界面即可；而對信息

系統(tǒng)管理人員提供足夠的工具支持，簡化其工作，強化其對網(wǎng)

絡(luò)的控制能力；

始終堅持運營的觀點，高起點、多服務(wù)、低價格的整體目標(biāo)，在從整

體考慮性能價格比的前提下，盡量使方案易于分步實施，逐步擴展，

使系統(tǒng)在保證質(zhì)量和擴展能力的前提下，盡量降低投入。

具體來說，系統(tǒng)在總體設(shè)計上，博遵循以下凡個基本原則：

(1)、系統(tǒng)的開放性

網(wǎng)絡(luò)產(chǎn)品的廠家繁雜，設(shè)備協(xié)議尚未完全統(tǒng)一。在這樣一個

前提下,強調(diào)開放性就需要注意以下幾個問題：

A.方案選擇的產(chǎn)品是否符合現(xiàn)有的國際標(biāo)準；

B、方案選擇的產(chǎn)品是否是可升級的，在新的標(biāo)準出現(xiàn)以后，系統(tǒng)可

否升級到新的標(biāo)準。

C.廠商在相應(yīng)產(chǎn)品和技術(shù)領(lǐng)域內(nèi)的地位和參與標(biāo)準化的能力。

(2)、可擴展性和戰(zhàn)略上的靈活性

A.網(wǎng)絡(luò)規(guī)模和信息應(yīng)用正以前所未有的速度發(fā)展，因此統(tǒng)擴展性

應(yīng)從兩方面考慮：

B.規(guī)模的擴張。用戶的增加和速度的提高,要求主干網(wǎng)的帶寬有相

當(dāng)大的增長空間；

支持新應(yīng)用的能力。網(wǎng)絡(luò)的進一步發(fā)展，籽改變眾多我們以為常的生

活方式。IP電話、視頻會議、視頻點播、虛擬社區(qū)、網(wǎng)上購物等等。

⑶、多級容錯和高可靠性

A.中心交換設(shè)備的接口模塊，電源模塊,風(fēng)扇等都需要支持冗余,

中心交換設(shè)備應(yīng)無單點故障；

B.鏈路容錯：

C.機箱式設(shè)備支持模塊熱插拔；

D.支持冗余電源系統(tǒng)；

E.路由級容錯能力，如支持TP的動態(tài)路由等；

應(yīng)用級容錯能力，如采用熱切換雙級系統(tǒng)等。

(4)、系統(tǒng)安全性

通過劃分VLAN,結(jié)合使用中心、邊界交換機和路由器等的過濾

器、防火墻功能、用戶認證和VPN技術(shù)，加強系統(tǒng)的安全性。

根據(jù)網(wǎng)管中心、企業(yè)級用戶和一般用戶對安全性的不同需要和連網(wǎng)方

式的不同，需要采用不同的安全策略和保護手段。

(5)、一體化的網(wǎng)絡(luò)管理

隨著網(wǎng)絡(luò)規(guī)模的擴大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)管理和故障

排除就變得越來越困難。本方案將提供先進而完善的網(wǎng)絡(luò)管理工具。

(6)、設(shè)備的先進性與成熟性

當(dāng)今世界，通信技術(shù)和計算機技術(shù)的發(fā)展日新月異。本方案適應(yīng)新技

術(shù)發(fā)展的潮流，既兼顧了技術(shù)上的成熟性，同時也保證了系統(tǒng)的先

進性。

第三章網(wǎng)絡(luò)方案

3.1網(wǎng)絡(luò)實現(xiàn)綜述

浙江維賽特專用服務(wù)網(wǎng)絡(luò)建設(shè)包括杭州以及浙江省內(nèi)的其它7個地

區(qū)節(jié)點。在第一期網(wǎng)絡(luò)建設(shè)中，各節(jié)點間的連接采用2M電路租用方

式，以杭州為中心建立星形骨干網(wǎng)絡(luò)?？紤]到二期及以后的帶寬擴展

和與美國的出口連接，骨干網(wǎng)路由器應(yīng)采用擁有高帶寬擴展能力和

多種協(xié)議適應(yīng)能力的路由設(shè)備。各節(jié)點內(nèi)部根據(jù)當(dāng)?shù)毓?jié)點的實際情況

需要，配置高性能價格比的撥號訪問服務(wù)器、防火墻、認證服務(wù)器、

專線路由器、以太網(wǎng)交換機和相應(yīng)主機服務(wù)器。

3.2網(wǎng)絡(luò)結(jié)構(gòu)

整體網(wǎng)絡(luò)結(jié)構(gòu)圖如下:

1

6C4K-2TM專線H主機

杭州

杭州VPN中心AAA眼務(wù)器數(shù)據(jù)庫服務(wù)器

遠端零散用戶杭州

企業(yè)A總部0?Etherneti)

VPDN用戶AAA服務(wù)器、姮姮

普通用戶ISDNTA

FireWall

MAX6000

ISDNRouterJuniper1

JuniperJunipJuniper

M5

節(jié)點】節(jié)點2節(jié)點2

YPN中心|

二Ethernet

CISCO

地區(qū)2

遠端零散用戶

RAA服務(wù)器主機加to

RAA嵌務(wù)器數(shù)據(jù)庫服務(wù)器

6IK-2M

Ethernet]

地區(qū)2

普通用戶1SDNTAMAX3OOO

企業(yè)B總部

早早

ISDNRouter

我們的建議書中選擇的網(wǎng)絡(luò)結(jié)構(gòu)為多層結(jié)構(gòu)，核心采用Juniper

M5/M10路由器構(gòu)造省內(nèi)IP網(wǎng)，地市節(jié)點內(nèi)采用CISC07200/7500作

為專線路由器，為VPN業(yè)務(wù)直接提供接入服務(wù)。核心路由與專線接

入分開由不同的路由器實現(xiàn)，使網(wǎng)絡(luò)結(jié)構(gòu)清晰化，有助于多種服務(wù)的

提供、用戶及網(wǎng)絡(luò)設(shè)備的擴容以及網(wǎng)絡(luò)擴展及變化時的路由劃分。

我們建議骨干網(wǎng)路由器選擇Juniper的M5和M10,各節(jié)點(除杭

州外)的訪問服務(wù)器采用LucentMAX3000,提供服務(wù)器發(fā)起

(NAS-initiated)的VPDN服務(wù)。以太網(wǎng)交換機采用CISCO2948交

換機，在各節(jié)點中心提供快速以太網(wǎng)服務(wù)。專線路由器采用

CISCO7204,為節(jié)點內(nèi)用戶提供專線接入服務(wù)。杭州中心節(jié)點的撥號

訪問服務(wù)器選擇LucentMAX6000,交換機建議采用CISCO4006.專

線路由器采用CISCO7507,可提供更強大交換和用戶接入服務(wù)能力。

由于該網(wǎng)絡(luò)是一個專屬網(wǎng)絡(luò)，與Internet網(wǎng)就完全隔離，因此來自網(wǎng)

絡(luò)的攻擊可能性相對要小得多。因此，我們處于項目成本考慮，建議

在系統(tǒng)一期建設(shè)中暫不配專用的防火墻設(shè)備，而使用Lucent

MAX3000/MAX6000訪問服務(wù)期隨機提供的防火墻軟件實現(xiàn)防火墻

功能，待網(wǎng)絡(luò)客戶數(shù)量增大到一定程度或二期建設(shè)時再增加專用防

火墻設(shè)備。

在VPDN實現(xiàn)過程中，零散用戶使用普通Modem或ISDN卡,通

過PSTN撥號到NAS撥號訪問服務(wù)器（圖中的MAX3000）,建立PPP

連接,NAS通過AAA服務(wù)器進行身份認證并判別用戶VPN企業(yè)屬性,

而后自動發(fā)起NAS-initiated呼叫，連接到相應(yīng)企業(yè)LNS服務(wù)器，建立

PPTP連接。此時，在通過企業(yè)的再次身份驗證后，則成功建立VPDN

PPTP隧道。

VPN的實現(xiàn)過程，企業(yè)分支的路由器發(fā)起VPN請求，通過

128K-2k專線與當(dāng)?shù)豓PN中心連接后，由VPN中心的路由器根據(jù)請

求建立一個IPsec族道，而后或直接連接到本地的其它企業(yè)路有器,

或通過骨干網(wǎng)的Juniper路由器連接到其它節(jié)點上的企業(yè)路由器。

3.3設(shè)備選擇說明

我們的建議書中選擇的網(wǎng)絡(luò)結(jié)構(gòu)為多層結(jié)構(gòu)，核心采用Juniper

M5/M10路由器構(gòu)造省內(nèi)IP網(wǎng)，地市節(jié)點內(nèi)采用CISC07200/7500作

為專線路由器，為VPN業(yè)務(wù)直接提供接入服務(wù)。JuniperM5/M10是

骨干IP網(wǎng)的邊緣級路由器（非用戶級路由器），具有強大的路由轉(zhuǎn)發(fā)

能力，同時也較骨干網(wǎng)核心路由器（如M40）降低了成本。CISCO7200

和CISCO7500是業(yè)界實用較多的專線接入路由器，尤其是CISCO

7500系列，在各大ISP中廣泛使用。在一期網(wǎng)絡(luò)建設(shè)中使用Juniper

M5/M10路由器作為骨干路由器與骨干網(wǎng)2M的帶寬相比的確有些

'大材小用'，但考慮到浙江VPN網(wǎng)二期的帶寬擴展和目前骨干網(wǎng)

帶寬寬帶化的潮流，使用具高帶寬路由能刀的JuniperM5/M10雖然

使投資成本增加，但使系統(tǒng)具備了很好的帶寬擴展能力和良好的系

統(tǒng)維護。

在我們這次的建議書中向浙江VPN網(wǎng)用戶推薦的以太網(wǎng)交換機為

CISCO4006（杭州）和CISCO2948（其它節(jié)點），是出于一下幾

點考慮：第一，交換設(shè)備應(yīng)擁有全線速，模塊冗余等特征，主要實現(xiàn)

線速二層交換，盡量擁有可升級擴充三層交換的能力。第二，網(wǎng)絡(luò)一

期建設(shè)中，網(wǎng)絡(luò)設(shè)備不多，所要求的帶寬和端口數(shù)量也不大，因此首

期可以選擇中低檔交換能力的交換機并提供大約24到48個

10/100BASE-T端口的交換設(shè)備。第三，選擇的交換設(shè)備應(yīng)隨著網(wǎng)

絡(luò)容量擴增和多種業(yè)務(wù)的提供可以方便的擴容和升級，即要求交換

設(shè)備必須擁有良好的模塊擴增或堆疊能力。第四，在能夠滿足一期建

設(shè)功能需求和擁有良好的擴容能力的同時，盡量具備高的性能價格

比。CISCO2948是企業(yè)桌面級交換級，我們在此方案中采用此產(chǎn)品

作為其它VPN節(jié)點的交換機主要是考慮到一期建設(shè)的投資成本問

題。使用CISCO2948作為節(jié)點內(nèi)的核心交換機可以滿足一期系統(tǒng)

的用戶帶寬交換需求，在二期建設(shè)系統(tǒng)容量擴增中可以選用CISCO

4000交換機替代。在杭州建議采用CISCO4006交換機主要是基于

杭州業(yè)務(wù)量大，并需要提供多種業(yè)務(wù)的角度而考慮。

由于浙江VPN網(wǎng)項目中撥號端口批發(fā)業(yè)務(wù)不是主要的服務(wù)，而需要

的撥號連接也就只有幾十的呼叫。因此，我們推薦Lucent

MAX6000（杭州）和MAX3000（其它節(jié)點）廣域網(wǎng)訪問服務(wù)器。

LucentMAX6000設(shè)計為大型企業(yè)和小型服務(wù)商提供撥號接入服

務(wù)，并最多提供4條E1的呼叫連接，同時也支持VPN業(yè)務(wù)。Lucent

MAX3000是一個介于企業(yè)級和小型服務(wù)商級別的訪問服務(wù)器，可

以提供最多2個E1的呼叫連接，同時也具備VPN的業(yè)務(wù)能力，很

適合浙江除杭州外的其它7個節(jié)點。

第四章產(chǎn)品說明

4.1JuniperM5/M10路由器技術(shù)介紹

M5和MIOInternet網(wǎng)骨干路由器延續(xù)了已經(jīng)被證明可靠成功的M

系列路由器，將M系列路由器從骨干網(wǎng)核心擴展到邊沿。

特性優(yōu)點

結(jié)構(gòu)

高度集成的ASIC轉(zhuǎn)發(fā)?持續(xù)的可靠性能（40Mpps）

?5G+與10G+的半雙工發(fā)送傳輸（M5與M10）

?全面利用現(xiàn)有的昂貴鏈路

?數(shù)據(jù)包大小不影響轉(zhuǎn)發(fā)性能

?據(jù)有強可苦擴展性.可支持大轉(zhuǎn)發(fā)表

?堅不可摧的系統(tǒng)穩(wěn)定性

?更少的零部件實現(xiàn)禺可靠性

完全獨立的路由?路由波動和網(wǎng)絡(luò)不穩(wěn)定性并不影響全線速分

與轉(zhuǎn)發(fā)性能組轉(zhuǎn)發(fā)

?快速收斂

?為時延敏感型業(yè)務(wù)（如IP話音、流視頻和組

播）提供可靠性能

單級緩沖?消除頭阻塞

?有效利用亙用的接口帶寬

?為組播業(yè)務(wù)提供最佳支持

?只需在共享內(nèi)存上進行一次讀寫操作，從而

降低時延

?只需在共享內(nèi)存上進行一次讀寫操作,從而降

低時延

接口

市場領(lǐng)先的?最有效地利用POP機架空間

端口空度?未來增長不受空間限制

劃分細致的?靈活部署在多種環(huán)境中，包括核心、對等、高

可互換的接口速接入和主機托管

?降低初始配置成本

環(huán)境

高緊湊性?在有限的空間內(nèi)提供禺系統(tǒng)效能和端口密度

M5路由其最大功率340瓦，M10?高效運行時的節(jié)電能力

路由器最大功率434瓦

4.2LucentMAX3000訪問服務(wù)器介紹

MAXTM3000遠程接入集中器為ISP和企業(yè)實施可擴充的遠程接入服

務(wù)提供了一個緊湊的高性能平臺。不管您希望支持大容量Internet

接入、連接遠程辦公人員、還是轉(zhuǎn)接站點間的數(shù)據(jù)、語音和視頻通信,

MAX3000集中器都提供了所需的特性和可靠性。

MAX3000集中器把最新的硬件設(shè)計與TrueAccessTMOperating

System(TAOS)結(jié)合起來，提供了業(yè)內(nèi)最經(jīng)濟、功能最豐富的遠程接入

平臺。MAX3000集中器靈活的機箱設(shè)計支持各種WAN接口，具有多個

擴展槽和可升級存儲器，可以支持當(dāng)前和未來的應(yīng)用。

NavisAccessTM網(wǎng)絡(luò)管理軟件則從中央站點提供了廣泛的廣域網(wǎng)和服

務(wù)管理能力。

先進的體系結(jié)構(gòu)確保高性能連接能力

MAX3000集中器采用全新的、可擴充的多處理器結(jié)構(gòu)，能夠滿足苛

刻的接入網(wǎng)絡(luò)需求。

使用PowerPC860CPU實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)和過濾；PowerPC850通信處

理器在高流量環(huán)境下確保了最優(yōu)的調(diào)制解調(diào)器性能。

數(shù)據(jù)壓縮處理器不僅優(yōu)化S吞吐量，還降低S連接時間和成本

靈活的端口配置為可擴充的遠程接入提供支持

MAX3000集中器特別適合中小型ISP業(yè)務(wù)點(POPs)和各種規(guī)模的企

業(yè)客戶。它在1個機架單位(1U)高度上提供了兩個E1接口或最多22

個ISDNBR1接口，在較小的空間內(nèi)提供了極高的調(diào)制解調(diào)器密度。

兩個擴展槽支持MAXSeries56II1數(shù)字調(diào)制解調(diào)器卡和大多數(shù)現(xiàn)有

的MAX插槽卡。多臺MAX3000設(shè)備可以堆疊在一起，并作為單一系

統(tǒng)進行管理，這不僅提供了擴充能力，還提高了可靠性。

最新硬件設(shè)計改善了可用性和可靠性

MAX3000集中器的設(shè)計目標(biāo)是把可靠性和系統(tǒng)運行時間放在第一位

的高要求網(wǎng)絡(luò)環(huán)境。機架內(nèi)可拆卸的系統(tǒng)托架簡化了升級過程，最大

限度地提高了運行時間。SDRAM、閃存和壓縮協(xié)處理器采用的DIMM業(yè)

界標(biāo)準設(shè)計，便于在技術(shù)發(fā)展時進行硬件升級。該產(chǎn)品先進的散熱設(shè)

計可以在架裝環(huán)境中更加有效地冷卻系統(tǒng)。

堅固的安全保護功能確保隱秘性、完整性和機密性

?MAX3000隨機提供朗訊屢獲大獎的ICSA認證的SecureConnect?

防火墻軟件。

?MAX3000集中器還提供完善的VPN功能和廣泛的隧道特性與IPSec

支持。

4.3LucentMAX6000訪問服務(wù)器介紹

MAX6000高密度WAN訪問交換機，可向信息服務(wù)供應(yīng)商和企業(yè)用戶，

提供目前和未來的訪問應(yīng)用所需的性能更高、可靠性更好和可擴展性

更佳的功能。MAX6000將最新硬件技術(shù)與經(jīng)過現(xiàn)場檢驗的TrueAccess

操作系統(tǒng)(TA0S)融為一體，堪稱業(yè)界最為經(jīng)濟有效的WAN訪問服務(wù)

平臺。

這一使用靈活的機柜帶有可擴展的DRAM、閃速存儲器、插槽卡以

及對軟件升級的支持，為當(dāng)今信息服務(wù)應(yīng)用提供了強大的功能。

MAX6000極好地利用了寶貴的機架空間，允許服務(wù)供應(yīng)商和網(wǎng)絡(luò)管理

員向用戶提供安全可靠的Internet訪問、公同遠程訪問和虛擬專用

聯(lián)網(wǎng)(VPN)功能。MAX6000,甚至可以幫助用戶滿足要求最為嚴格的網(wǎng)

絡(luò)環(huán)境的需要。

?先進的體系結(jié)構(gòu)確保了高性能的連通性

先進的MAX6000體系結(jié)構(gòu)，向服務(wù)供應(yīng)商和網(wǎng)絡(luò)管理員

提供了世界一流的訪問服務(wù)器所需的所有特性和功能。

MAX6000帶有由高速RISC中央處理器，采用分布式處理體

系結(jié)構(gòu)設(shè)計。CPU對來自調(diào)制解調(diào)器、ISDN協(xié)處理器和數(shù)

據(jù)壓縮協(xié)處理器的輸入/輸出信息進行協(xié)調(diào)。這個體系結(jié)構(gòu)

避免了在其它訪問集線器中出現(xiàn)的輸入/輸出信息瓶頸,

而且還允許MAX6000在高連接負載時保持線速性能。

?64MHZ1960HDRISC處理器，適用于CPU密集型功能，如信息

包的發(fā)送和過濾等

?更大的STAC數(shù)據(jù)壓縮能力，在縮短連通時間和降低成本的同

時優(yōu)化吞吐量

?在一個機架上安裝8、12和16端口的Series56?數(shù)字調(diào)制解調(diào)

器，可輕松地提供56Kbps連接功能

?自動檢測到10/100Base-T接口，以便在傳統(tǒng)以太網(wǎng)或快速以

太網(wǎng)中實現(xiàn)完美集成

TAOS操作系統(tǒng)，可提供尖端遠程訪問應(yīng)用所需的特性和功能

?可靠的設(shè)計保護關(guān)鍵任務(wù)應(yīng)用

由于您的網(wǎng)絡(luò)不希望出現(xiàn)停機現(xiàn)象，因此MAX6000是專

為持續(xù)運行而設(shè)計的c這種機架改善了機械結(jié)構(gòu)，提高了

熱耐用性和可靠性。另外，MAX6000可處理較大容量的信

息，確保了高水平的網(wǎng)絡(luò)可用性和可靠性，并可在將來支

持高密度插槽卡。

■與適用于電信運營運作的NEBS第3級標(biāo)準兼容

?雙重負載分擔(dān)電源提供全面的冗余性

?經(jīng)過改進的