VPN网络组网方案

青藏公司铁路医保现行VPN网络存在问题及建议1青藏公司铁路医保现行VPN网络存在问题及建议中国铁通青海分公司集团客户部2011年4月18日内部资料注意保密青藏公司铁路医保现行VPN网络存在问题及建议2目录第一部分现行网络总体结构及网络拓扑第二部分存在问题及建议第三部分改造后的网络拓扑青藏公司铁路医保现行VPN网络存在问题及建议3第一部分现行网络总体结构及网络拓扑现行青藏公司医保在本地网内和医院、卫生所、药房的信息互通、共享，提高办公效率，组建的数据通信网络满足内部办公需要，以及和公众互联网的联接，对现行网络分析如下：1、中心点和主服务器设置在青藏公司电算所、青藏公司电算所与青藏公司医保办公区有直连数字电路10M，各分支点（医院、卫生所、药店）先由VPN加密访问到青藏公司医保在通过数字电路访问到中心节点（电算所）。2、青藏公司医保与大部分分支节点（医院、卫生所、药店）采用电信ADSL拨号，先到电信公司的宽带接入服务器（电信RADIUS服务器认证）在转入铁通公司的宽带接入服务器通过VPDN加密到青藏公司医保最后由数字电路到青藏公司电算所中心服务器，所有分支点采用VPDN组网。3、青藏公司医保安装铁通公司4M光纤专线，在上班期间职工内部办公与铁路医保共享带宽。4、各分支节点（医院、卫生所、药店）的VPN设备MTU设置范围为128—1450且各分支节点都采用MTU=1450设置为最大值。所以综合上述分析青藏公司医保现行组网在网络设计构建中，青藏公司电算所与青藏公司医保采用10M数字电路直连、青藏公司医保采用铁通光纤4M内部办公与医保共享、青藏公司医保与分支节点（医院、卫生所、药店）采用电信ADSL拨号，所有分支点采用VPDN组网。青藏公司铁路医保现行VPN网络存在问题及建议4现行网络拓扑如下：电信铁通RADIUSRADIUS服务器服务器VPDN网关内部服务器办公电脑电信宽带铁通宽带接入服务器接入服务器L2TP加密隧道中心交换机电信Adsl拨号青海各大医院青海各大医院青海各大药房光纤办公电脑中心服务器数字电路电算所办公专网Vpn设备光纤专线电信adsl拨号五类线铁通Adsl拨号五类线青藏公司铁路医保现行VPN网络存在问题及建议5第二部分存在问题及意见一、存在问题1、主要原因：用于青藏公司医保安装铁通公司4M光纤专线，且所有分支节点都要与青藏公司医保以互联网为载体通过VPN加密连接。但是大部分分支节点（医院、卫生所、药店）采用电信ADSL拨号，我们分别在西宁市七一路郑海大药房（电信ADSL宽带）和老百姓大药房（铁通ADSL宽带）。经过实测发现郑海大药房使用命令ping192.168.2.5（默认字节数为32bytes）平均延时在250ms—300ms之间。而在老百姓大药房使用命令ping192.168.2.5（默认字节数为32bytes）延时在15ms—20ms之间。这次的测试充分体现安装电信ADSL的郑海大药房的延时明显高于安装铁通的老百姓大药房。所以我公司认为安装电信ADSL宽带的各分支节点首先到电信公司的宽带接入服务器（电信RADIUS服务器认证）在转入铁通公司的宽带接入服务器通过VPDN加密到青藏公司医保最后由数字电路到青藏公司电算所中心服务器，所有分支点采用VPDN组网。采用电信ADSL宽带接入延时偏大主要是路由跳数增多所造成的。建议一：青藏公司医保安装电信专线及一些必要的VPN设备和服务器，重新规划网络拓扑，并且通过软件或硬件来区分铁通用户走铁通网，电信用户走电信网（需要青藏公司医保投入、难实现、投入较大、周期长）。建议二：各分支节点统一安装铁通公司宽带（需各分支节点改到铁通网内、个分支节点无需投入新设备、青藏公司医保也无投入，容易实现、周期短）2、主要原因：青藏公司医保安装铁通公司4M光纤专线，在上班期间青藏公司铁路医保现行VPN网络存在问题及建议6职工内部办公与铁路医保共享带宽，经过与各分支节点（医院、卫生所、药店）沟通我们初步肯定在青藏公司医保职工办公高峰时，占有大量带宽，网络出现瓶颈现象。即使各分支节点（医院、卫生所、药店）网络环境很好也会在刷卡的过程中出现掉线或者是刷卡速度很慢等原因。建议：用于医保的互联网与办公所需的互联网分开不共享，从而解决网络瓶颈现象。3、次要原因：经过现场实际查看VPN设备的配置。我们发现各分支节点（医院、卫生所、药店）的VPN设备MTU值范围为128—1450且各分支节点都配置为MTU=1450的最大值。我们通过命令实验发现当数据包达到1473bytes时各分支节点（医院、卫生所、药店）的网络环境在好在稳定也会出现丢包现象。建议：这个MTU（最大传输单元）值为1450对于各分支节点以充分够用，故无需考虑这一点。4、次要原因：中心点和主服务器设置在青藏公司电算所，各分支点（医院、卫生所、药店）先由VPN加密访问到青藏公司医保在通过数字电路访问到中心节点（电算所），产生网络冗余，但是由于青藏公司电算所与青藏公司医保采用10M数字电路直连，所以对分支节点刷卡慢几乎不会构成影响，只是网络构建上有冗余。建议：在有条件的情况下可以考虑网络的扁平优化（各分支节点可以通过实电路直接与电算所直连）。青藏公司铁路医保现行VPN网络存在问题及建议7第三部分改造后的网络拓扑方案一：青藏公司医保安装电信公司光纤专线一条及安装相应VPN设备、青藏公司医保与办公分开使用互联网。方案说明:优点：青藏公司医保安装电信宽带及购置安装必要的设备和服务器，重新构建网络。缺点：需重新制定网络施工难度大、周期长、投入大。电信RADIU服务器VPDN网关内部服务器办公电脑电信宽带接入服务器L2TP加密隧道中心交换机电信Adsl拨号青海各大医院青海各大药房青海各大药房光纤办公电脑中心服务器数字电路电算所Vpn设备光纤专线电信adsl拨号五类线铁通Adsl拨号五类线青海各大医院铁通Adsl拨号光纤铁通宽带接入服务器铁通RADIUS服务器办公电脑internet五类线办公电脑五类线光纤办公专网青藏公司铁路医保现行VPN网络存在问题及建议8方案二：各分支节点（医院、卫生所、药店）安装铁通公司光纤专线及数据快线、青藏公司医保与办公分开使用互联网。方案说明:优点：各分支节点（医院、卫生所、药店）安装铁通公司光纤专线或数据快线，根本上解决各分支节点刷卡慢及刷卡掉线等问题。无需青藏公司医保投入、施工容易、各分支节点（医院、卫生所、药店）只需改到铁通网内，无需任何设备的投入。缺点：与各分支节点（医院、卫生所、药店）沟通改网。RADIUS服务器VPDN网关内部服务器办公电脑铁通宽带接入服务器L2TP加密隧道中心交换机光猫青海各大医院青海各大医院青海各大药房光纤办公电脑办公专网Vpn设备光纤专线VPN设备数据快线G.703协议转换器(光纤接入)铁通传输网络光纤G.703协议转换器五类线2M中继线SDH传输设备光纤（可选备用）数据快线Internet光纤专线办公电脑数字电路中心服务器电算所五类线