【IT168 资讯】VPN管理网络是基于目前最为先进、安全、可靠、灵活、细致的IPSec技术构建。采用该技术构建VPN，可以为任何形式的Internet通信提供安全保障的协议，即实现与链路层和物理层具体形式无关。这也就使基于IPSec的VPN具有良好的实施性、维护性和扩展性。

    上海电信数码通宽带网络有限公司是一家专门从事上海市小区宽带接入服务，管理和维护的公司。目前公司依托上海IP宽带城域网，已经拥有了500多个小区和写字楼的宽带网接入规模，由于原有的网络结构状况是通过交换机划分VLAN，将用户数据发送到IP城域网，实现互连网的接入，且各小区或写字楼的交换机管理和维护都是从网络管理中心通过公网直接远程登录设备进行，管理数据无任何加密认证处理，完全暴露在公网中，很不安全，而且网络中心也没有一套网络管理软件将各个小区网络管理信息整合到一个平台上，这样对网络的资源配置、设备的管理、流量数据的监控都带来了诸多不便和隐患。因此数码通公司和上海博达数据通讯公司合作，建立一个基于IPSEC VPN的网络管理平台，整合所有管理数据到这个安全高效的平台。

    鉴于系统对于产品技术先进性和实用性、高性能、灵活性、可扩展性等的需求，上海博达数据通讯有限公司为其提出了VPN网络解决方案，在各宽带小区用博达公司路由器代替原来的服务器，通过基于IPSEC 的VPN形成隧道，加入对管理数据的认证加密措施，保证管理数据传输的安全性。博达路由器的VPN功能满足管理和增值服务功能，不仅能将自己所辖的宽带小区行成一个整体的网络有利于运营和管理，而且还能在上面增加其他增值服务，例如NAT防火墙，DHCP服务器，VOIP等功能。

    在本次方案中所用的BDCOM 2640/2641系列路由器为模块化设计，是上海博达数据通信有限公司推出的一款适合中小型企业单位应用的中端路由器，包括BDCOM 2641/2640、BDCOM 2641/2640-DC四种型号。BDCOM 2641/2640系列模块化路由器是在汲取国内外同类型号路由器产品的优点，在开发了BDCOM 2650、3600系列模块化路由器后，充分考虑用户应用特点的基础之上研制的针对性较强的新一款路由器。该路由器既适用于中小型企业中担当中心路由器，也可以在大型网络中担当汇聚层路由器。

    另外，BDCOM 1720系列固定配置路由器是上海博达数据通信有限公司推出的接入系列路由器的拳头产品，包括BDCOM1720、BDCOM1720-DC两种型号。它们是在汲取国内外各种型号路由器产品的优点，同时根据国内用户的特点进行了细致考虑的基础上，针对宽带以及特殊应用的用户量身定做的一款通用型路由器。BDCOM 1720提供两个以太网口、两个高速串口，使用户组网更加灵活，同时采用了高性能的CPU，使其具有更加强大的处理能力，保证了用户的综合业务需要。

    本次总体设计方案如下：

    1. 网管中心到各小区的管理数据主线路均使用上海电信数字宽带IP线路；小区网络结构是全以太网结构，最终用户也通过城域网线路以PPPOE的方式和电信设备相连，访问Internet。

    2. 小区物理线路采用光纤接入，需要光纤收发器FEC-10/100S，实现光电转换，如果直接用光纤接入，则通过分线盒和跳线与交换机光纤模块相连。

    3. 网管工作站放在网管中心，安装网管软件，实现全网管理和监控。

    4. 网管中心对小区交换机发起的管理数据流，首先触发中心BD2641路由器和网点BDCOM1720路由器建立VPN隧道，然后再通过该隧道穿过IP宽带城域网到达小区的路由器，最后被路由到交换机网络管理地址网段，和交换机建立连接，实现远程管理。

    5. 网管中心BDCOM2641路由器的其中一个以太网口接中心交换机，分配公网地址和网关，实现与上海城域网的连接，另一个以太网口目前只与一个30位掩码的网段相连，物理上也只和一台网管工作站相连。

    6. 小区的BDCOM1720路由器在物理上，两个以太网口都和上联交换机处于不同VLAN的端口相连。具体连接如下图：

图一：网络总体结构拓朴

    由于用于上联的交换机已经划分了VLAN，上联端口使用了千兆的光纤模块，规定了上联光纤模块和1-4口在同一个VLAN中，1－4口方便用于接各种远程管理设备，因此BD1720路由器的F0/0可与其中一个端口相连，并分配一个公网地址和网关，实现路由器和城域网的连接。另外，由于交换机管理地址和其他用户端口以及上联端口又在另一个VLAN里，所以路由器的另一个以太接口可以接交换机的其他端口，用于访问和管理交换机。用户上网数据则是通过这个VLAN中的上联端口中继到城域网中的核心交换机，实现访问Internet。

    小区中还有一种情况，上联交换机中分一个或多个接口出来和其他小区交换机级联，如上图中的F0/5口，这种情况下F0/5为中继端口，它下连的交换机分配管理地址后同样可以被BD1720访问到，同样可在网络中心实现远程管理。F0/5和上联光纤端口划分在另一个VLAN中，F0/5的下连交换机所带的用户上网数据则是通过F0/5和上联端口两次中继透传到城域网，实现访问Internet。其他级联多个交换机的情况类似。

图二 小区设备详细图