铁路车站网络接入方案

铁路车站网络接入方案
——VPDN无线接入方案方案背景：
由于各车站分布在城乡各处，部分是线路铺设不易到达的地方，利用现有电信的CDMA无线网络可解决这个问题。

方案流程：
由终端的CDMA无线路由器发起连接请求，通过CDMA/EVDO网络连接到电信公司的接入路由上，接入路由通过验证后，发起与各车站中心机房的中心路由建立连接，由各车站的中心路由再次验证，验证通过后分配给CDMA无线路由器一个内网IP地址。

而车站的PC机与CDMA路由器连接则是纯私网模式，通过CDMA路由器地址转换功能将PC机的地址转换出去。

从而建立了PC机与中心路由器的通信。

方案特点：
1、第三级安全保证：无线路由器与单位VPN服务器建立IPSEC VPN隧道
当无线路由器ppp拨号验证成功，移动分配给无线路由器一个IP地址，此时无线路由器和单位VPN服务器之间建立了连接。

在此连接基础上，由无线路由器向单位VPN 服务器发起IPSEC VPN连接请求，一旦成功建立IPSEC VPN隧道，在无线路由器和单位VPN服务器之间传输的IP包就是经过加密的数据报文。

只有单位VPN服务器才能够正确分解无线路由器转发给单位数据服务器的IP报文，获得PC机交易信息。

接入方案示意图
2、第四级安全保障：用户网络侧的安全防火墙（FW）
防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝非法用户的访问，阻止非法用户存取敏感数据，同时允许合法用户顺利访问网络资源。

防火墙实际上是一种访问控制技术，在某个机构的内部网络和不安全网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止保密信息从受保护网络上的非法输出。

3、UIM卡的申请
在电信公司申请UIM卡的时候，电信公司会要求客户提供相应的证明（如身份证、介绍信等）而能拿到这些证明的也只是公司的内部人员。

电信公司在发放UIM卡的同时也会对UIM卡进行限定，只有所申请到的UIM卡才能通过VPN拨号访问到单位的
内部网络。

其他个人所申请到的UIM卡是无法访问的。

4、安全工作流程
在移动申请到UIM卡后，可通过无线路由来访问单位的内部网络，但并不是可以访问到内部所有的主机，只可以访问内部一个IP的固定端口。

因为在单位内部的防火墙上已经做了限定，可以实时监测由外部访问内部的数据包，如果发现外部数据包异常（如数据包过大、或数据包过多等）则切断与内部网络与PC的连接。

注：EVDO网络上行速率：1.8Mbps，下行速率：3.1Mbps；CDMA 1X网络上行速率：153.6Kbps，下行速率：153.6Kbps；无线接入路由器可以在EVDO和CDMA 1X网络之间根据信号强度优先选择EVDO网络进行自动切换。

网络中心局端VPDN的网络带宽可以根据实际接入的数量选择E1（2Mbps）* N ，30—50条线路接入建议采用6—8Mbps的带宽。