VPN网络组网方案.docx

青藏公司铁路医保现行VPN 网络存在问题及建议内部资料 留意保密青藏公司铁路医保现行 VPN 网络存在问题及建议中国铁通青海分公司集团客户部2011 年 4 月 18 日3目 录第一局部 现行网络总体构造及网络拓扑其次局部第三局部存在问题及建议改造后的网络拓扑第一局部 现行网络总体构造及网络拓扑现行青藏公司医保在本地网内和医院、卫生所、药房的信息互通、共享，提高办公效率，组建的数据通信网络满足内部办公需要，以及和公众互联网的联接，对现行网络分析如下：1、中心点和主效劳器设置在青藏公司电算所、青藏公司电算所与青藏公司医保办公区有直连数字电路 10M，各分支点〔医院、卫生所、药店〕先由 VPN 加密访问到青藏公司医保在通过数字电路访问到中心节点〔电算所〕2、青藏公司医保与大局部分支节点〔医院、卫生所、药店〕承受电信ADSL 拨号，先到电信公司的宽带接入效劳器〔电信 RADIUS 效劳器认证〕在转入铁通公司的宽带接入效劳器通过 VPDN 加密到青藏公司医保最终由数字电路到青藏公司电算所中心效劳器，全局部支点承受VPDN 组网3、青藏公司医保安装铁通公司 4M 光纤专线，在上班期间职工内部办公与铁路医保共享带宽。

4、各分支节点〔医院、卫生所、药店〕的VPN 设备 MTU 设置范围为128—1450 且各分支节点都承受MTU=1450 设置为最大值所以综合上述分析青藏公司医保现行组网在网络设计构建中，青藏公司电算所与青藏公司医保承受 10M 数字电路直连、青藏公司医保承受铁通光纤 4M 内部办公与医保共享、青藏公司医保与分支节点〔医院、卫生所、药店〕承受电信 ADSL 拨号，全局部支点承受 VPDN 组网青海各大医院办公专网电信Adsl拨号中心效劳器电信铁通Vpn设备RADIUSRADIUSL2TP效劳器VPDN 网关加密隧道数字电路 电算所效劳器光纤专线青海各大药房电信adsl拨号电信宽带铁通宽带光纤中心交换机接入效劳器接入效劳器五 五类 类线 线铁通Adsl拨号内部效劳器办公电脑办公电脑青海各大医院现行网络拓扑如下：其次局部 存在问题及意见一、 存在问题1、主要缘由：用于青藏公司医保安装铁通公司4M 光纤专线，且全局部支节点都要与青藏公司医保以互联网为载体通过VPN 加密连接但是大局部分支节点〔医院、卫生所、药店〕承受电信 ADSL 拨号，我们分别在西宁市七一路郑海大药房〔电信 ADSL 宽带〕和老百姓大药房〔铁通 ADSL 宽带〕。

经过实测觉察郑海大药房使用命令 ping 192.168.2.5〔默认字节数为 32bytes〕平均延时在 250ms—300ms 之间而在老百姓大药房使用命令 ping 192.168.2.5〔默认字节数为32bytes〕延时在 15ms—20ms 之间这次的测试充分表达安装电信ADSL 的郑海大药房的延时明显高于安装铁通的老百姓大药房所以我公司认为安装电信 ADSL 宽带的各分支节点首先到电信公司的宽带接入效劳器〔电信 RADIUS 效劳器认证〕在转入铁通公司的宽带接入效劳器通过 VPDN 加密到青藏公司医保最终由数字电路到青藏公司电算所中心效劳器，全局部支点承受 VPDN 组网承受电信 ADSL 宽带接入延时偏大主要是路由跳数增多所造成的建议一：青藏公司医保安装电信专线及一些必要的VPN 设备和效劳器，重规划网络拓扑，并且通过软件或硬件来区分铁通用户走铁通网，电信用户走电信网〔需要青藏公司医保投入、难实现、投入较大、周期长〕建议二：各分支节点统一安装铁通公司宽带〔需各分支节点改到铁通网内、个分支节点无需投入设备、青藏公司医保也无投入，简洁实现、周期短〕 2、主要缘由：青藏公司医保安装铁通公司4M 光纤专线，在上班期间职工内部办公与铁路医保共享带宽，经过与各分支节点〔医院、卫生所、药店〕沟通我们初步确定在青藏公司医保职工办公顶峰时，占有大量带宽，网络消灭瓶颈现象。

即使各分支节点〔医院、卫生所、药店〕网络环境很好也会在刷卡的过程中消灭掉线或者是刷卡速度很慢等缘由建议：用于医保的互联网与办公所需的互联网分开不共享， 从而解决网络瓶颈现象3、次要缘由：经过现场实际查看 VPN 设备的配置我们觉察各分支节点〔医院、卫生所、药店〕的VPN 设备MTU 值范围为 128—1450 且各分支节点都配置为 MTU=1450 的最大值我们通过命令试验觉察当数据包到达 1473 bytes 时各分支节点〔医院、卫生所、药店〕的网络环境在好在稳定也会消灭丢包现象建议：这个MTU〔最大传输单元〕值为 1450 对于各分支节点以充分够用，故无需考虑这一点4、次要缘由：中心点和主效劳器设置在青藏公司电算所，各分支点〔医院、卫生所、药店〕先由VPN 加密访问到青藏公司医保在通过数字电路访问到中心节点〔电算所〕，产生网络冗余，但是由于青藏公司电算所与青藏公司医保承受 10M 数字电路直连，所以对分支节点刷卡慢几乎不会构成影响，只是网络构建上有冗余建议：在有条件的状况下可以考虑网络的扁平优化〔各分支节点可以通过实电路直接与电算所直连〕青海各大医院电信Adsl拨号中心效劳器电信Vpn设备RADIU效劳器VPDN 网关L2TP 加密隧道数字电路 电算所光纤专线青海各大药房电信adsl拨号电信宽带光纤接入效劳器光纤 五类线铁通宽带铁通Adsl拨号接入效劳器青海各大药房内部效劳器五类线办公电脑五类线办公铁通Adsl拨号青海各大医院铁通五类线电 办中心交换机RADIUS 效劳器脑 电脑公办公电脑光纤办公专网internet第三局部 改造后的网络拓扑方案一：青藏公司医保安装电信公司光纤专线一条及安装相应 VPN设备、青藏公司医保与办公分开使用互联网。

方案说明:优点：青藏公司医保安装电信宽带及购置安装必要的设备和效劳器， 重构建网络缺点：需重制定网络施工难度大、周期长、投入大青海各大医院RADIUS效劳器光猫中心效劳器Vpn设备VPDN 网关L2TP 加密隧道数字电路光纤专线电算所青海各大药房VPN设备数据快线光纤铁通宽带接入效劳器五类线〔可选备用〕内部效劳器青海各大医院数据快线2M中继线光纤铁通传输网络光纤G.703协议转换器(光纤接入)SDH传输设备G.703协议转换器办公专网中心交换机办公电脑办光纤专线 五 公类 电线 脑Internet办公电脑方案二：各分支节点〔医院、卫生所、药店〕安装铁通公司光纤专线及数据快线、青藏公司医保与办公分开使用互联网方案说明:优点：各分支节点〔医院、卫生所、药店〕安装铁通公司光纤专线或数据快线，根本上解决各分支节点刷卡慢及刷卡掉线等问题无需青藏公司医保投入、施工简洁、各分支节点〔医院、卫生所、药店〕只需改到铁通网内，无需任何设备的投入缺点：与各分支节点〔医院、卫生所、药店〕沟通改网。