某地区有线电视台VPN解决方案 [应用解决方案] www.IT.com.cn IT世界轻松一点

第一章、用户概述

第二章、用户需求

第三章、VPN虚拟专用网的特点

A、成本低
B、灵活性强
C、良好的安全性
D、管理方便

第四章、技术方案

1、线路的选择及接入带宽的问题
2、为什么要选用IPSEC VPN这种建网方式
3、设备品牌的选择
4、为什么选用VTINFO FMB-812和FMB-712VPN/防火墙
5、为什么使用双机热备份
6、技术解决方案
6.1进一步分析xx区有线电视台总公司的实际需求情况，可以归纳出以下几点
6.2 结合客户实际需要，我们方案的设计必须遵循以下原则
6.3 整体解决方案
7、应用效果
7.1 降低成本
7.2 容易扩展
8、本方案在xx区有线电视台的优点
8.1 安全
      8.2 防攻击
      8.3 更安全更可靠的VPN
      8.4 智能的VPN连接
      8.5 提供QOS带宽管理功能和认证服务
      8.6 使用双机热备份

第五章、工程施工与验收

第六章、服务

第七章、VTINFO FMB-812、FMB-712 和FVB-6411VPN/防火墙的参数和功能介绍

1、 VTINFO FMB-812 VPN/防火墙的参数和功能介绍
2、 VTINFO FMB-712 VPN/防火墙的参数和功能介绍
3、 VTINFO FVB-6411 VPN/防火墙的参数和功能介绍

xx区有线电视台VPN解决方案

第一章、用户概述

　　xx区有线电视台长期致力于为广大电视观众提供丰富的信息内容，经过多年的努力，现在拥有精良的设备和高素质的制作队伍，凭借雄厚的实力和现代的电视理念，源源不断地向广大电视观众输送精彩的电视节目，满足观众无限多样的资讯需求和娱乐享受，成为xx最具权威的强势媒体。在全省各地已有十四家分公司了。xx市场方面，据央视－索福瑞媒介研究有限公司提供的调查数据显示，2002年xx区有线电视台卫星频道在xx全区的晚间黄金时段电视收视市场占有率为41.9％，2003年进一步呈上升态势，全区电视收视市场占有率达到44.1%，在xx区有线电视媒体中占据绝对主导地位。

第二章、用户需求

　　总公司和各个分公司是通过基于SDH的MSTP连成一个全省的广域网，现在要实现总公司和各个分公司的电视电话会议、内部办公、业务数据、控制数据、财务数据的传输，并且使数据传输的保密性、安全性、完整性得到保证。

　　名词解释：SDH称为同步数字系列，与SONET (synchronous optical network),即同步光纤网相当。SDH/SONET，称为光同步数字传输网，是宽带综合数字网B-ISDN的基础之一。

MSTP是多业务传送平台(Multi Service Transport Platform)的简称，MSTP是指在一个多业务平台上，有效地支持数据、语音和图像业务交换。

第三章、VPN虚拟专用网的特点

A、成本低

　　VPN 在设备的使用量及广域网络的频宽使用上，均比专线式的架构节省，故能使企业网络的总成本（Total Cost of Ownership）降低。根据分析，在 LAN-to-LAN 连接时，用 VPN 较使用专线的成本节省 30%～50% 左右；而就远程访问而言，用 VPN 更能比直接拨入到企业内部网络节省 60%～80% 的成本。

B、灵活性强

　　 VPN 较专线式的网络架构更有弹性，当有必要将网络扩充或是变更网络架构时， VPN 可以轻易的达到目的，VPN 的平台具备完整的扩展性，大至企业总部的设备，小至各分公司，甚至个人拨号用户，均可被包含于整体的 VPN 架构中，同时，VPN 的平台亦具有对未来广域网络频宽扩充及连接更新架构的特性。

C、良好的安全性

　　 VPN 架构中采用了多种安全机制，如信道（Tunneling）、加密（Encryption）、认证（Authentication）、防火墙（Firewall）及黑客侦防系统（Intrusion Detection）等技术，通过上述的各项网络安全技术，确保资料在公众网络中传输时不至于被窃取，或是即使被窃取了，对方亦无法读取封包内所传送的资料。
D、管理方便

　　 VPN 使用了较少的设备来建立网络，使网络的管理较为轻松；不论分公司或是远程访问用户再多，均需通过VPN隧道的路径进入企业网络。

　　这里提出的解决方案采用的都是硬件式VPN产品。VPN 的资料均需在加密之后，才由公众网络传送至接收端，再由接收端设备加以解密。故每一个封包在整个传输过程中都经过加密、解密一次，而加密、解密均是相当消耗 VPN 设备运算能力的工作。硬件式的 VPN 产品将加密、解密的钥匙储存于内存中，故较不易被损坏，同时加密解密的速度较快，其运作效能一定比软件 VPN 产品有较好的效果，同时软件式的 VPN 产品通常较难以管理。

　　通过以上分析，我们发现采用这样的VPN网络拓扑结构，来实现分布网络之间的互联，作到信息资源的共享是完全可以替代以往的租用昂贵专用数字线路的方式。因此，这种安全可靠、费用低廉的VPN方案是值得每一个有需要虚拟私有网络联网的客户所采用。

第四章、技术方案

　　根据xx区有线电视台工作性质及业务数据、财务数据保密情况,对在全省十四家分公司实现网络互连，首先要考虑线路种类、带宽以及如何选择数据网络通信设备和如何保证数据安全这些问题。

1、线路的选择及接入带宽的问题

　　目前xx区有线电视台和各分公司是通过基于SDH的MSTP连成一个全省的广域网，因此，线路的带宽已没有问题，可以胜任语音VOIP、视频会议和数据的传输。

2、为什么要选用IPSEC VPN这种建网方式

　　第三层隧道协议用于组建IP VPN，最著名的是IP sec协议。IP sec工作在IP层（第三层），为IP层及其上层协议提供保护，对于用户和应用程序来说是透明的。这种隧道协议是在IP网络上进行的，因此不支持多协议。

　　IP Sec为公共网业务提供最强的安全功能，与其他隧道和安全技术相比，其优越性在于它的安全性、互操作性。IP Sec得到各厂商广泛支持，非常适合于组建远程网络互联VPN。如果需要相对安全、保密的通道，网络流量有限，对业务实时性要求不高，应首选IP Sec建立VPN。

　　综合上述所分析，xx区有线电视台总公司和各分公司联网完全可在公网线路基础之上构建一套完整的IP sec方案来保证数据的保密性。

3、设备品牌的选择
　　在设备品牌选择方面，主要选择标准是：该品牌厂商的设备性能、业界位、市场占有率、服务支持、发展前景等。通过对各产品生产厂商的资料比较，推荐贵公司采用VTINFO BV系列产品。VTINFO 品牌是广州市网泰信息技术有限公司的自主品牌，广州市网泰信息技术有限公司是国内最早从事网络安全产品及其应用技术的专业供应商、系统服务商之一。始创于1998年，一直注重网络安全产品系统方案研究和科学应用，一步步的发展壮大。1999年同台湾知名的网络系统设备的研发制造厂商共同合作开创中国大陆的Internet防火墙、VPN设备、路由器等网络产品。是一家专业的提供远程网络互联设备和服务的高科技公司。

　　因此，可以保证贵公司广域联网系统的可靠性、兼容性和未来的投资保护，本方案建议贵公司采用VTINFO BV系列产品更为合适。

4、为什么选用VTINFO FMB-812和FMB-712VPN/防火墙

　　对于网络设备的选择，在数据保密的前提条件下，要求充分保证网络性能，为安全所牺牲的网络性能在可能的情况下最小，使得整个网络工作在最高的效能下。所有的VPN设备都是基于硬件的产品，性能稳定。在可管理上，要求易于维护及高效率管理。所有的VPN设备都可以通过IE浏览器进行管理，所使用的是加密的HTTPS访问，而非HTTP访问。网络管理员无论身处何处，只要知道密码和相应的端口，都可以对VPN设备进行配置，维护。

　　经过多方面的测试，我们推荐使用VTINFO FMB-812和FMB-712VPN/防火墙，它们支持1000条VPN隧道，提供QOS功能，保证某项服务的带款不被占用，友好的Web界面大大简化了网络配置，而且有简体中文界面，并通过ICSA（美国国际电脑安全协会）认证，而且VTINFO FMB-812支持双机热备份，因此我们推荐总公司使用两台VTINFO FMB-812（它是一台双WAN口VPN/防火墙，同时接两条外线，实现负载均衡），使公司总部数据中心机房要实现“双机热备份”保证总公司数据中心机房的数据服务器是24小时保证及时存储数据的。各个分公司各使用一台FMB-712（它是一台双WAN口VPN/防火墙，同时接两条外线，实现负载均衡），去保证数据在传输的过程中绝对要保密。两款产品都是采用统一工业标准的IP sec协议。所以，做IP sec时产品是完全可以兼容的并且两款产品都是采用通过WEB介面进行管理和配置VPN一些参数的，十分方便配置和管理，还可以远程管理设备。

　　我们还提供了第二套VPN方案，同样可以满足要求，不过整体性能和可扩充性都比第一套方案低，就是总公司使用一台VTINFO FMB-712（因为VTINFO FMB-712不可以做双机热备份），分公司使用VTINFO FVB-6411，它只有一个WAN口，对以后线路的扩充就有局限了，它的VPN隧道数为200条，而且没有QOS带宽管理功能和用户认证。

5、为什么使用双机热备份
　　使用双机热备份，在正常的情况下，只使用主设备，备份设备是接着电源，随时待命。当主设备出现问题，不能正常使用的时候，备份设备马上起用，保证网络的稳定，不让网络中断。在这样的情况下，如果没有做双机热备份，那么结果网络就会中断。所以我们在总公司使用双机热备份。

　　做双机热备份，需要两条外线，还需要4个交换机，其中两个与外网络（WAN1,WAN2）相连，另外两个与内部网络（LAN，DMZ）相连。主备的WAN口1接一个交换机，交换机与光纤相接连到外网。WAN口2与另外一台交换机相连，通过另外一条外线连接到外网。 LAN口与内部网络的交换机相连，DMZ口连到内部网络的另外一个交换机。备份设备的连接方式与主设备的连接方式相同。

双机热备份的网络图如下：

6、技术解决方案：

6.1进一步分析xx区有线电视台总公司的实际需求情况，可以归纳出以下几点：
·因分公司分布在全省各城县（市）的不同地点　。
·实现总公司和各个分公司的电视电话会议，内部办公、业务数据、控制数据、财务数据的传输。
·必须保证内部资料和数据在传输过程中的安全性、保密性。解决方案要尽可能减少成本投入，并且易于将来分支点的扩展。

6.2结合客户实际需要，我们方案的设计必须遵循以下原则：
6.2.1 可用性
必须考虑公司的实际需求情况，作出有针对性的总体设计，以满足公司的实际需要。
6.2.2安全性
系统数据及其他资源需要进行严格保密，防止非法侵入。为了保证整个系统的安全性，应从网络、应用等多个方面进行周密考虑。
6.2.3遵循“Right Size”原则
进行产品选型时，在保证系统性能和可靠性的基础上，尽量选择适合的产品型号，而不是一定要选择最高档的产品，从而节约成本。
6.2.4符合技术发展趋势，保护投资
系统必须符合技术发展方向和最新的技术标准，使系统具有较长的技术寿命，在一段时间内不致落后，从而有效地保护用户的前期投资。
6.2.5易于扩展，具有良好的伸缩性
随着业务的发展，新业务将不断增加，系统的容量也将随之扩展，因此方案应具有良好的伸缩性适应系统不断增长的需求。

6.3整体解决方案
最后经过我们进行了深入细致的调查和仔细的规划设计，为用户设计了一整套包括接入、安全、搭建的整体解决方案。总公司使用两台VTINFO FMB-812VPN/防火墙做双机热备份，保证线路稳定。各个分公司使用一台VTINFO FMB-712VPN/防火墙。总公司的FMB-812和各个分公司的FMB-712作VPN的网络互连。该VPN网络用于数据保密和传输、内部办公、电视电话会议等。

网络连接如下图：

7、应用效果：
7.1降低成本：借助公网线路来建立私有的VPN，就可以提高带宽，并且数据传输得到保密。此外，本套VPN还使公司不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。

7.2容易扩展：当在其他城市新增加一间分公司，总部需做的事情很少，而且能立时实现：只要新增加的分公司申请一条上网的线路，添加一台VTINFO FMB-712即可以，而且整个网络都不需要任何的改动。

8、本方案在xx区有线电视台的优点：
8.1安全：FMB-812和FMB-712为硬件防火墙可增加网络安全，其具备IP Sec的VPN协议。
8.2防攻击：FMB-812和FMB-712具备SPI（状态数据包检测防火墙），以及可以防御DoS的网络攻击！　而且具备IP Sec的VPN协议。
8.3更安全更可靠的VPN：IP Sec（IP Security）的VPN协议是现在公认的安全性能最高的VPN协议。其属于第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。IP Sec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。
8.4智能的VPN连接：FMB-812和FMB-712具备VPN隧道自动拨接功能，开机自动拨通Internet之后，会自动拨接VPN的服务器端，无须大量的网络维护工作。
8.5提供QOS带宽管理功能和认证服务：可以保证某项服务的带宽不被占用，例如：电视电话会议等。认证服务，保证了用户的合法安全进入。
8.6使用双机热备份：可以保证总公司的网络的稳定。

第五章、工程施工与验收

1、工程施工：
1.1VPN 防火墙的安装
在总公司，两台VTINFO FMB-812安装在局域网之前，SDH的SMTP设备的后面，做一个双机热备份。所有VTINFO FMB-712也都是分别安装在分公司的局域网之前，SDH的SMTP设备后面。
1.2 VPN虚拟专用网的连接
把总公司MASTER的FMB-812跟其他分公司的FMB-712连VPN，形成一个虚拟专用网，在上面传输数据、电视电话会议等。把总公司BACKUP 的FMB-812里面的设置设置成跟MASTER的FMB-812一样。
1.3 安全
总公司和各分公司都是采用硬件防火墙，把防火墙设置好，可使黑客无所作为，以保证内部网络不受外部用户的攻击。公司之间的数据传输，数据的传输是在用IP SEC这种方式建立的VPN隧道里面传输，在数据传输之前会对数据进行加密，到了一定的时间还会换密钥，所以数据在VPN隧道里面传输是绝对安全的。
1.4地址段的划分：
总公司使用192.168.1.0的地址段，子网掩码为255.255.255.0
第一家分公司使用192.168.2.0地址段，子网掩码255.255.255.0
以此类推，其他分公司分别使用192.168.3.0至192.168.15.0的地址段，子网掩码都为255.255.255.0。

2、以以下标准为验收标准：
2.1在VPN连通后，是否能在各公司之间传输数据？
2.2在VPN连通后，是否能在各公司进行电视电话会议？
2.3在VPN连通后，是否能在各公司进行内部办公？
2.4在总公司，当MASTER的FMB-812不能正常使用时，BACKUP 的FMB-812是否能马上起用，保证线路不中断？
如果以上四点都能，而且把防火墙设置好以后，外面的用户就不能通过防火墙入侵到局域网内，那么就验收成功。

第六章、服务

1、技术培训
我们公司会让技术人员对xx区有线电视台操作VPN/防火墙设备的人员进行培训，让他们懂得正确的操作方法，知道VPN是怎么连接的和一般VPN连接不上的原因，还有就是怎样去设置设备，才能更好地防止别人入侵，设备在使用中出现的一些问题应该怎样去判断原因和解决。

第七章、VTINFO FMB-812、FMB-712 和FVB-6411VPN/防火墙的参数和功能介绍

1 、VTINFO FMB-812 VPN/防火墙简介
　　FMB-812 VPN/防火墙通过一整套的端对端的集成（防火墙、路由、VPN）的一体化的解决方案，使员工、客户、商务伙伴与公司连接。如今，各企业可充分利用FMB-812 VPN/防火墙来达到强有力的、费用低廉的基于互联网（INTERNET）的商务组合，并享有无与伦比的通信安全。

　　严格的安全控制及简便的安装采用FMB-812 VPN/防火墙，所有敏感的数据都将被保护在专用的通道中并以3DES加密，FMB-812 VPN/防火墙非常易于安装。所有安全功能对于用户来说是透明的，在他们的应用程序将看不出任何变化，为简化一切，基于WEB的管理（三种语言直接切换），让您的经理可以在任何WINDOWS系统上管理多个设备，且不需经历复杂的网络设计和安装烦人的软件。

　　为用户节省开支最佳手段作为线路租用、帧中继的连接补充，企业可以通过INTERNET的宽频连接，FMB-812 VPN/防火墙可以将您的企业、远程伙伴、分之机构建立安全的连接，从而大幅度地减少您的远程通信的开支。