1、中石化加油站站級聯(lián)網(wǎng),議程,加油站業(yè)務需求與網(wǎng)絡架構設計 加油站站級設備設計 中心端設備設計 整體網(wǎng)絡管理設計,議程,加油站業(yè)務需求與網(wǎng)絡架構設計 加油站站級設備設計 中心端設備設計 整體網(wǎng)絡管理設計,中石化加油站當前情況,站級業(yè)務：油品業(yè)務和非油品業(yè)務 油品銷售，加油卡業(yè)務 易捷便利店零售系統(tǒng)等 非站級業(yè)務：加油站經(jīng)營管理業(yè)務 辦公OA系統(tǒng) 視頻監(jiān)控 協(xié)作系統(tǒng)等 廣域網(wǎng)鏈路情況：主要以ADSL接入為主，部分地區(qū)專線接入（MSTP或SDH鏈路），3G鏈路作為備用鏈路或無法提供有線接入的站,網(wǎng)絡系統(tǒng)對于業(yè)務系統(tǒng)的支撐,加油站內(nèi)ADSL/E1鏈路為主用鏈路，3G作為備用鏈路 站上路由器采用IPSe

2、c VPN方式與中心總部建立安全連接 當主用鏈路故障時，路由器可以切換到備用鏈路 保證站內(nèi)設備網(wǎng)絡安全，對實時業(yè)務提供帶寬保證,Internet,支持ADSL/3G 路由器,Carrier Network,加油站終端,IPsec VPN,安全會話連接,DSL運營商,Primary Failure,總部服務器,IPSec VPN終結,議程,加油站業(yè)務需求與網(wǎng)絡架構設計 加油站站級設備設計 中心端設備設計 整體網(wǎng)絡管理設計,站級網(wǎng)絡路由設計,路由器集成ADSL接口和3G接口卡 鏈路層故障探測能力，快速切換，對應用影響降到最低 主用鏈路故障觸發(fā)備份鏈路撥號，節(jié)約備用鏈路費用,站級路由器,ADSL M

3、odem,廣域網(wǎng),3G,站級路由器,廣域網(wǎng),3G鏈路,ADSL鏈路,路由器以太網(wǎng)接口與ADSL調(diào)制器互聯(lián) 路由器執(zhí)行 PPPoE 撥號 應用層次探測能力，路由下一跳探測可達性，并配合主備切換,站級網(wǎng)絡安全VPN設計,站級路由器支持多個VLAN，針對不同業(yè)務進行安全區(qū)分 站級路由器使用IPSec VPN與中心端互聯(lián)，保護數(shù)據(jù)完整性和私密性，并提供統(tǒng)一管理監(jiān)控能力 同時具備多個IPSec VPN隧道能力，為應用提供支撐 站級路由器內(nèi)置防火墻能力，保護站內(nèi)終端設備不受互聯(lián)網(wǎng)攻擊,站級網(wǎng)絡服務質(zhì)量保證,針對加油站鏈路特點，上行鏈路帶寬較小的情況，首先需要在廣域網(wǎng)接口上對流量進行整形 在整形流量的基礎上

4、，再對關鍵業(yè)務進行保障,議程,加油站業(yè)務需求與網(wǎng)絡架構設計 加油站站級設備設計 中心端設備設計 整體網(wǎng)絡管理設計,Central Site,Easy VPN Server: Cisco Router 或者 ASA防火墻,Software Client: Cisco VPN 客戶端,Internet,Easy VPN Remote: Cisco Router 或者ASA防火墻,Cisco Easy VPN,遠程分支節(jié)點的設備可以是Cisco IOS router, ASA 或者運行VPN軟件的 PC/Mac/Unix Call Home/Authentication: 遠程設備連接總部設備，提供

5、身份認證。 Centralized Policy Push: 總部設備檢查身份信息，向遠程設備推送配置 VPN建立成功,Branch Office,Small Offices and Home Offices,Mobile Users,高可用性：IPSec VPN基于狀態(tài)的切換,IPSec 基于狀態(tài)的切換，可以為幾千個遠程節(jié)點提供秒級的VPN切換。 沒有服務中斷，保護關鍵業(yè)務 主備設備之間IPSEC的狀態(tài)信息同步 The TCP connection states The UDP connection states The ISAKMP and IPSec SA table,Main Offi

6、ce,Primary VPN Headend,Backup VPN Headend,WAN Router,X,Branch Site,IP VPN,高可用性連接備份VPN設備,監(jiān)控VPN隧道，當發(fā)現(xiàn)主連接丟失后，啟動備份連接。 Easy VPN client 繼續(xù)與主服務器之間進行IKE SA的協(xié)商。 一旦主設備恢復，將會重新與主設備之間建立VPN連接。 不需要動態(tài)路由的參與。,10.10.1.X,.1,.2,.3,.4,124.118.24.X,.31,.32,.33,.34,集群虛擬接入地址 124.118.24.50,VPN集群master,客戶端向集群虛擬接入地址 124.118.24

7、.50發(fā)起連接,該請求被分配至 124.118.24.33，并回應,客戶端和 124.118.24.33建立連接,ASA提供Cluster集群技術,擴展接入能力,無縫擴展和負載均衡 支持多達10臺的設備做cluster,思科的高端ASA VPN網(wǎng)關推薦中,主要參考指標為IPSec VPN的性能,思科ASA全面支持IPSEC和SSL VPN,主要分支機構,數(shù)據(jù)中心,主要分支機構,主要分支機構,總部,主要分支機構,主要分支機構,用專線或IPSec VPN實現(xiàn)主要分支機構與總部的互聯(lián) 用 SSL VPN實現(xiàn)偏遠小營業(yè)網(wǎng)點/營業(yè)部的互聯(lián) 用SSL VPN實現(xiàn)員工的移動辦公,SSL VPN,SSL VPN,同時終結SSL和IPSec VPN,IPSec VPN實現(xiàn)主要分支機構與總部的互聯(lián) SSL VPN實現(xiàn)偏遠小營業(yè)網(wǎng)點/營業(yè)部的互聯(lián) SSL VPN實現(xiàn)單點或者移動用戶的接入,SSL VPN,CISCO ASA,議程,加油站業(yè)務需求與網(wǎng)絡架構設計 加油站站級設備設計 中心端設備設計 整體網(wǎng)絡管理設計,加油站網(wǎng)絡管理設計,思科安全管理軟件，五步的VPN向?qū)?，可以快速的在上千臺設備上部署VPN策略。 支持所有的常用的VPN技術: IPSec