用户背景
继上海地铁的成功项目后,为继续推行冰峰VPN在轨交网络的平行覆盖,在现有的车站网络和运营商通信网络的相互结合下,冰峰网络为杭州地铁的数据通信安全,提供全新的SSL VPN安全移动接入网络,保障关键业务的有效运行。
用户需求
1)区别于上海地铁票务系统的安全性应用,在方案设计中需强调规避单点故障的重要性;
2)不要求多个公网口带来的成本与安全风险提升;但仍需要保证移动接入作业的需求。
3) 考虑到杭州地铁的未来发展规划与建设需求,需保留强大的扩展性,与多网段的并网需求。
用户体验
根据当地实施规划,冰峰为杭州地铁信息中心定制的移动接入解决方案,主要依托冰峰SSL VPN为基础,采用单臂技术,结合WEB SSL代理式接入,从通信安全的便捷性出发,打造新一代的移动接入平台。
如图所示,根据规划建设方案:
首先针对信息中心的网络布局,采用的单臂模式部署设备,结合自动路由技术,在对用户环境最小改动的前提下部署VPN,大大增加了VPN设备对网络环境的适应能力。
为了保证不同局域网之间的互联,保证VPN的扩展性,可以采用如上图的IP地址规划。以实现信息中心子网与其他区域办公子网的VPN互连,同时还可实现移动客户端的远程接入。
对于Web SSL的应用,结合冰峰特有的远程镜像技术、虚拟工作台、智能资源发布等功能,即可实现,让各站员工通过IE浏览器访问信息中心的各种信息资源数据。其应用权限、策略可以按站点、部门、以及个人进行细化设置。
案例点评:
1)根据规避单点故障的重要性设计,可以避免VPN设备因故障倒至的全网瘫痪,也便于快速故障排除,全面提升IT运维人员的工作效率;
2)在即定的建设成本上,为OA,邮件服务,以及各类信息中心的关键业务提供远程接入访问,特别在功能配置上,全面优化各成员的后台操作,解放IT运维人员在VPN上的工作量。
3) 冰峰VPN保留强大的扩展性,完全应对杭州地铁未来的多网段发展需求。
单臂技术
所谓“单臂技术”指的是冰峰 VPN网关只接一个WAN口到内网交换机中,LAN口不需要接线,即把VPN设备当作一台内网服务器或主机,专门处理VPN报文的加解密。从实现技术上而言,单臂技术结合了上述串行连接和并行连接两者的特点,需要在防火墙(路由器)上为安全产品开启相应的访问权限,同时也需要在防火墙(路由器)上添加静态路由来解决要通过VPN的数据包正确流向的问题。结合自动路由技术,单臂技术方式能在对用户环境最小改动的前提下部署VPN,大大增加了VPN设备对网络环境的适应能力。
关于杭州地铁
根据有关规划,到2050年,杭州城市快速轨道将建成总长度为278公里的10条线路,车站180座。
2010年,杭州已建成快速轨道运营线路68.79公里,基本形成轨道交通网络骨架;由地铁1号线、地铁2号线和地铁4号部分线路组成,其中地铁1号线47.97公里、地铁2号线16.6公里、地铁4号钱江新城地下空间连接工程4.22公里。一期工程设车站约45座,其中地下站42座、高架站3座,车辆基地3座。一期总投资349.36亿元。
