環(huán)保行業(yè)組網(wǎng)解決方案

一、概述
環(huán)境監(jiān)測(cè)部門(mén)作為國(guó)家環(huán)境保護(hù)系統(tǒng)的技術(shù)部門(mén)，是環(huán)境管理工作的重要基礎(chǔ)。隨著市民環(huán)境意識(shí)的增強(qiáng)，越來(lái)越多的人開(kāi)始關(guān)心所處環(huán)境質(zhì)量的好壞，要求環(huán)境保護(hù)工作透明化；上級(jí)主管部門(mén)也需要數(shù)量大、種類(lèi)多、更新快的信息。所有這一切，給環(huán)境監(jiān)測(cè)部門(mén)提出了一個(gè)應(yīng)引起重視的問(wèn)題：如何建立起實(shí)用性強(qiáng)、覆蓋面廣、靈活性好的環(huán)保數(shù)據(jù)采集系統(tǒng)，滿(mǎn)足各方面對(duì)環(huán)境監(jiān)測(cè)信息的需求。

在環(huán)保系統(tǒng)中，常常需要對(duì)眾多的污染排放點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，大部分監(jiān)測(cè)數(shù)據(jù)需要實(shí)時(shí)發(fā)送到管理中心的后端服務(wù)器進(jìn)行處理。由于監(jiān)測(cè)點(diǎn)分散，分布范圍廣，而且大多設(shè)置在環(huán)境較惡劣的地區(qū)，通過(guò)電話(huà)線傳送數(shù)據(jù)往往事倍功半。通過(guò)CDMA無(wú)線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，成為環(huán)保部門(mén)選擇的通信手段之一。污染源監(jiān)測(cè)設(shè)備可將采集到的污染數(shù)據(jù)和告警信息通過(guò)CDMA網(wǎng)絡(luò)及時(shí)發(fā)送到環(huán)保監(jiān)測(cè)部門(mén)，實(shí)現(xiàn)對(duì)排污單位或個(gè)人的及時(shí)管理，可以大大提高環(huán)保部門(mén)的工作效率。

二、項(xiàng)目需求分析
目前，市環(huán)保監(jiān)測(cè)站與各采集點(diǎn)之間的數(shù)據(jù)通信主要采用現(xiàn)場(chǎng)采集或PSTN電話(huà)線傳輸。采用電話(huà)線傳輸數(shù)據(jù)時(shí)，每次采集都需要等待建立撥號(hào)連接，速度慢，受外界環(huán)境影響大，而且費(fèi)用也較高。同時(shí)，由于各監(jiān)控點(diǎn)分布范圍廣、數(shù)量多、距離遠(yuǎn)，個(gè)別點(diǎn)還地處偏僻，因此需申請(qǐng)很多電話(huà)線，而且有些監(jiān)控點(diǎn)有線線路難以到達(dá)。

CDMA具有速度快、使用費(fèi)用低的特點(diǎn)，其傳輸速度可達(dá)153kb/s。與有線通訊方式相比，采用CDMA無(wú)線通信方式則顯得非常靈活，它具有組網(wǎng)靈活、擴(kuò)展容易、運(yùn)行費(fèi)用低投，維護(hù)簡(jiǎn)單、性?xún)r(jià)比高等優(yōu)點(diǎn)因此，目前正考慮采用CDMA無(wú)線傳輸方式解決污染源監(jiān)測(cè)數(shù)據(jù)的實(shí)時(shí)傳輸問(wèn)題。

三、CDMA 1X 傳輸方式的優(yōu)勢(shì)
CDMA無(wú)線環(huán)保污染源在線監(jiān)控系統(tǒng)具備如下特點(diǎn)：

1、實(shí)時(shí)性強(qiáng)：

與PSTN，短消息服務(wù)比較，由于CDMA具有實(shí)時(shí)在線特性，系統(tǒng)無(wú)時(shí)延，無(wú)需輪巡就可以同步接收、處理多個(gè)/所有監(jiān)測(cè)點(diǎn)的各種數(shù)據(jù)。可很好的滿(mǎn)足系統(tǒng)對(duì)數(shù)據(jù)采集和傳輸實(shí)時(shí)性的要求。

2、可對(duì)各監(jiān)測(cè)點(diǎn)儀器設(shè)備進(jìn)行遠(yuǎn)程控制：

通過(guò)CDMA雙向系統(tǒng)還可實(shí)現(xiàn)對(duì)儀器設(shè)備進(jìn)行反向控制，如：時(shí)間校正、狀態(tài)報(bào)告、開(kāi)關(guān)等控制功能，并可進(jìn)行系統(tǒng)遠(yuǎn)程在線升級(jí)。

3、建設(shè)成本少低：

由于采用CDMA公網(wǎng)平臺(tái)，無(wú)需建設(shè)無(wú)線網(wǎng)絡(luò)，只需安裝好設(shè)備就可以，建設(shè)成本低；

4、監(jiān)控范圍廣：

構(gòu)建環(huán)保信息采集傳輸系統(tǒng)要求數(shù)據(jù)通信覆蓋范圍廣，擴(kuò)容無(wú)限制，接入地點(diǎn)無(wú)限制，能滿(mǎn)足海洋、山區(qū)、鄉(xiāng)鎮(zhèn)和跨地區(qū)的接入需求。由于環(huán)保信息采集點(diǎn)數(shù)量眾多，分布在全市范圍內(nèi)，部分環(huán)保信息采集點(diǎn)位于偏僻地區(qū)，而且地理位置分散。

5、具有良好的可擴(kuò)展性：

由于目前CDMA網(wǎng)絡(luò)已覆蓋室內(nèi)絕大部分地區(qū)及距海岸線120Km內(nèi)的海域，對(duì)環(huán)保采集點(diǎn)基本不存在盲區(qū)，可實(shí)現(xiàn)大范圍的在線監(jiān)控，滿(mǎn)足環(huán)保信息采集傳輸系統(tǒng)對(duì)覆蓋范圍的要求。

6、系統(tǒng)的傳輸容量大：

環(huán)保中心站要和每一個(gè)環(huán)保信息采集點(diǎn)實(shí)現(xiàn)實(shí)時(shí)連接。由于環(huán)保信息采集點(diǎn)數(shù)量眾多，系統(tǒng)要求能滿(mǎn)足突發(fā)性數(shù)據(jù)傳輸?shù)男枰鳦DMA技術(shù)能很好地滿(mǎn)足傳輸突發(fā)性數(shù)據(jù)的需要。

7、數(shù)據(jù)傳送速率高：

每個(gè)環(huán)保信息采集點(diǎn)每次數(shù)據(jù)傳輸對(duì)帶寬要求在10Kb/s之內(nèi)。目前CDMA實(shí)際數(shù)據(jù)傳輸速率在80-120Kbps左右，完全能滿(mǎn)足本系統(tǒng)數(shù)據(jù)傳輸速率（≥10Kbps）的需求。

8、通信費(fèi)用低：

采用流量計(jì)費(fèi)或包月計(jì)費(fèi)方式，運(yùn)營(yíng)成本低。

四、泰亞?wèn)|方VPDN（網(wǎng)中數(shù)據(jù)網(wǎng)）應(yīng)用安全方案
無(wú)論您在什么地方，只要您打開(kāi)筆記本電腦或PDA就直接登錄到您的辦公網(wǎng)中去，就像您在辦公室一樣。查信息、看數(shù)據(jù)，網(wǎng)上辦公安全又便捷。您的計(jì)算機(jī)或PDA只需要一張CDMA號(hào)卡，單位只要提供一個(gè)路由器端口即可。

您也不用為傳送分散在不同地點(diǎn)的數(shù)據(jù)而煩惱了，VPDN為您建立了空中專(zhuān)線，您的設(shè)備只需要插上一張CDMA號(hào)卡，無(wú)需挖溝拉線，無(wú)論在全國(guó)繁華的市區(qū)，還是在偏遠(yuǎn)的山區(qū)，都能進(jìn)行快速穩(wěn)定的數(shù)據(jù)傳送，您以前想都不敢想的事聯(lián)通幫您完成了，而且省錢(qián)、省力、快速實(shí)現(xiàn)。

4.1、VPDN技術(shù)簡(jiǎn)介
簡(jiǎn)單地說(shuō)，VPDN是基于SIP方式（也支持MIP）接入專(zhuān)網(wǎng)，并輔以VPN技術(shù)，有時(shí)候也稱(chēng)Simple IP技術(shù)+ L2TP技術(shù)。下圖中企業(yè)用戶(hù)通過(guò)無(wú)線網(wǎng)絡(luò)接入分組域PDSN，由分組域中AAA進(jìn)行接入認(rèn)證，業(yè)務(wù)授權(quán)，在PDSN和企業(yè)網(wǎng)之間利用L2TP協(xié)議建立起專(zhuān)用隧道，并在隧道中利用工作在傳輸模式下的IPSec協(xié)議把IP數(shù)據(jù)包加密，從而保護(hù)隧道中的數(shù)據(jù)安全。接入用戶(hù)通過(guò)企業(yè)網(wǎng)AAA的認(rèn)證后，終端經(jīng)過(guò)分組網(wǎng)的PDSN與企業(yè)的LNS間建立起PPP連接，用戶(hù)傳輸?shù)臄?shù)據(jù)流通過(guò)隧道到達(dá)企業(yè)網(wǎng)。

4.2、無(wú)線接入及VPDN的安全性

泰亞?wèn)|方自行設(shè)計(jì)的VPDN方案是基于聯(lián)通CDMA 1X網(wǎng)絡(luò)和和泰亞?wèn)|方研發(fā)生產(chǎn)的TCR系列無(wú)線路由器，集合時(shí)下流行的L2TP+IPSec技術(shù)組網(wǎng)而成（簡(jiǎn)稱(chēng)泰亞?wèn)|方VPDN方案），在安全性和經(jīng)濟(jì)經(jīng)方面有著突出的優(yōu)勢(shì)。

1. VPDN的安全保障

按照上述VPDN的示意圖，泰亞?wèn)|方VPDN可以提供5級(jí)業(yè)務(wù)安全保障，從而充分保證網(wǎng)絡(luò)中數(shù)據(jù)的安全。

（1）第一級(jí)安全保證：CDMA網(wǎng)絡(luò)本身的安全性

目前世界上使用的移動(dòng)通信網(wǎng)絡(luò)主要有兩種：GSM和CDMA。與GSM相比，CDMA網(wǎng)絡(luò)系統(tǒng)在安全保密方面具有很大優(yōu)勢(shì)。CDMA本來(lái)就是起源軍事保密技術(shù)，在戰(zhàn)爭(zhēng)期間廣泛應(yīng)用于軍事領(lǐng)域，具有抗干擾、安全通信、保密性好的特性。進(jìn)行移動(dòng)手機(jī)信號(hào)的竊聽(tīng)一般使用以下三種方法。首先，需要捕捉到通信信號(hào)。在空間中充滿(mǎn)了各種各樣的無(wú)線電波，用戶(hù)手機(jī)信號(hào)就混雜在其中。要想竊聽(tīng)某一個(gè)用戶(hù)的通話(huà)，首先必須捕捉到這個(gè)用戶(hù)手機(jī)發(fā)出的特定的電磁波。由于CDMA系統(tǒng)采用擴(kuò)頻技術(shù)，經(jīng)過(guò)擴(kuò)頻以后的有用信號(hào)的頻譜被大大地展寬了，用戶(hù)信號(hào)隱蔽在互不相關(guān)的信號(hào)中，要想捕捉到這一有用信號(hào)非常困難。因此，竊聽(tīng)器捕捉不到，也無(wú)法識(shí)別出哪些是CDMA手機(jī)用戶(hù)的通信信號(hào)，哪些是噪音。其次，竊聽(tīng)器必須鎖定手機(jī)用戶(hù)通信的信號(hào)，繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術(shù)，即便是竊聽(tīng)設(shè)備捕捉到了用戶(hù)手機(jī)信號(hào)，也不能鎖定快速功率切換下的有用信號(hào)，因此，快速功率切換讓CDMA信號(hào)很難鎖定。第三，需要破解用戶(hù)信息編碼。而CDMA采用偽隨機(jī)碼技術(shù)，用長(zhǎng)達(dá)42位的偽隨機(jī)碼來(lái)標(biāo)識(shí)區(qū)分用戶(hù)，每次通話(huà)都有4.4萬(wàn)億種可能的排列，竊聽(tīng)器很難破譯出CDMA的編碼。所以CDMA技術(shù)本身就很安全。

（2）第二級(jí)安全保證：CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證

AAA是指認(rèn)證（Authentication）、授權(quán)（Authorization）、計(jì)費(fèi)（Accounting）三個(gè)過(guò)程，其中：

認(rèn)證是，用戶(hù)在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶(hù)身份的確認(rèn)。這一過(guò)程，通過(guò)與用戶(hù)的交互獲得身份信息（像用戶(hù)名－口令、生物特征信息等），然后提交給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器對(duì)身份信息與存儲(chǔ)在數(shù)據(jù)庫(kù)里的用戶(hù)信息進(jìn)行核對(duì)處理，然后根據(jù)處理結(jié)果確認(rèn)用戶(hù)身份是否正確。

授權(quán)是，網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶(hù)以特定的權(quán)限使用其資源，這一過(guò)程指定了被認(rèn)證的用戶(hù)在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予IP地址，準(zhǔn)許訪問(wèn)時(shí)間等。

計(jì)費(fèi)是，網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶(hù)對(duì)網(wǎng)絡(luò)資源的使用信息，以便向用戶(hù)收取資源使用費(fèi)。以互聯(lián)網(wǎng)業(yè)務(wù)提供商ISP為例，用戶(hù)的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間準(zhǔn)確地記錄下來(lái)。

認(rèn)證、授權(quán)和計(jì)費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對(duì)特定用戶(hù)的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶(hù)的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。

CDMA網(wǎng)絡(luò)側(cè)的AAA認(rèn)證過(guò)程是對(duì)用戶(hù)的域名進(jìn)行鑒權(quán)認(rèn)證，網(wǎng)中數(shù)據(jù)網(wǎng)的用戶(hù)（VPDN成員）是以u(píng)sername@xxx.133vpdn.bj形式登錄的（用戶(hù)在聯(lián)通登記入網(wǎng)時(shí)，北京聯(lián)通分配其一個(gè)域名xxx.133vpdn.ln）。CDMA網(wǎng)絡(luò)側(cè)的AAA服務(wù)器對(duì)登錄用戶(hù)的域名和該用戶(hù)的IMSI進(jìn)行綁定審核驗(yàn)證。驗(yàn)證通過(guò)后，方可接入聯(lián)通CDMA網(wǎng)絡(luò)。

移動(dòng)通信從電路交換，發(fā)展到CDMA 1X分組網(wǎng)絡(luò)，再到第三代移動(dòng)通信網(wǎng)絡(luò)，用于認(rèn)證、授權(quán)和計(jì)費(fèi)的協(xié)議也在隨之演進(jìn)，從基于7號(hào)信令的協(xié)議，到部分采用RADIUS，再發(fā)展到Diameter，這主要是由越來(lái)越豐富的業(yè)務(wù)決定的。Diameter協(xié)議由IETF的AAA工作組在2002年3月提出的認(rèn)證計(jì)費(fèi)協(xié)議草案。Diameter協(xié)議支持移動(dòng)IP、NAS請(qǐng)求和移動(dòng)代理的認(rèn)證、授權(quán)和計(jì)費(fèi)工作。協(xié)議的實(shí)現(xiàn)和RADIUS類(lèi)似，也是采用Attribute-Length-&#118alue三元組來(lái)實(shí)現(xiàn)，但是其中詳細(xì)規(guī)定了錯(cuò)誤處理等內(nèi)容。它在設(shè)計(jì)過(guò)程中，不僅保持了與廣為使用的RADIUS協(xié)議的兼容，更克服了RADIUS協(xié)議的許多不足，而且它不僅僅被互聯(lián)網(wǎng)采用，更被下一代移動(dòng)通信網(wǎng)（3G）采用。在第三代移動(dòng)網(wǎng)絡(luò)和業(yè)務(wù)開(kāi)展初期，為了和已有的設(shè)備和傳統(tǒng)業(yè)務(wù)互通，需要采用Diameter與RADIUS之間的協(xié)議轉(zhuǎn)換器，但是最終還是統(tǒng)一使用AAA Diameter協(xié)議。

（3）第三級(jí)安全保證：CDMA網(wǎng)絡(luò)和用戶(hù)網(wǎng)絡(luò)之間的VPN鏈接

CDMA網(wǎng)絡(luò)和用戶(hù)網(wǎng)絡(luò)之間可以采用專(zhuān)線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來(lái)。

VPN技術(shù)非常復(fù)雜，涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。主要包含兩種技術(shù)：隧道技術(shù)與安全技術(shù)。

隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳播時(shí)的所經(jīng)過(guò)的路徑被稱(chēng)為“隧道”。常用的隧道協(xié)議有：1．點(diǎn)到點(diǎn)隧道協(xié)議—PPTP（現(xiàn)已基本淘汰）；　2．第二層隧道協(xié)議—L2TP，該協(xié)議是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，具有PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)協(xié)議（L2F）的優(yōu)點(diǎn)，可以使PPP包以隧道方式通過(guò)各種網(wǎng)絡(luò)，包括ATM、SONET、幀中繼。但沒(méi)有任何加密措施；3．IPSec協(xié)議，該協(xié)議是一個(gè)范圍廣泛、開(kāi)放的VPN安全協(xié)議，工作在網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。可以在兩種模式下運(yùn)行：一種是隧道模式，一種是傳輸模式。在隧道模式下IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中；傳輸模式是為了保護(hù)端到端的安全性，不會(huì)隱藏路由信息。 目前一種趨勢(shì)是將L2TP和IPSec結(jié)合起來(lái)：用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護(hù)數(shù)據(jù)。市場(chǎng)上大部分VPN采用這類(lèi)技術(shù)。 4．SOCKS v5協(xié)議，SOCKS v5工作在OSI模型中的第五層——會(huì)話(huà)層，可作為建立高度安全的VPN的基礎(chǔ)。SOCKS v5協(xié)議的優(yōu)勢(shì)在訪問(wèn)控制，因此適用于安全性較高的VPN，SOCKS v5現(xiàn)在被IETF建議作為VPN的標(biāo)準(zhǔn)。

VPN是在不安全的Internet上傳輸?shù)模瑐鬏攦?nèi)容可能涉及到企業(yè)的機(jī)密數(shù)據(jù)，因此安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。主要有認(rèn)證技術(shù)，加密技術(shù)，秘鑰管理與交換技術(shù)。

（4）第四級(jí)安全保證：用戶(hù)網(wǎng)絡(luò)側(cè)的安全防火墻（FW）

防火墻技術(shù)是目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，主要是用來(lái)拒絕非法用戶(hù)的訪問(wèn)，阻止非法用戶(hù)存取敏感數(shù)據(jù)，同時(shí)允許合法用戶(hù)順利訪問(wèn)網(wǎng)絡(luò)資源。防火墻實(shí)際上是一種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上的非法輸出。

實(shí)現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過(guò)濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。包過(guò)濾（Packet Filter）技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)，其核心是安全策略即過(guò)濾算法的設(shè)計(jì)。應(yīng)用網(wǎng)關(guān)（Application Gateway）技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過(guò)濾，它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)可以嚴(yán)格控制某些易于登錄和控制的所有的輸出輸入通信環(huán)境，以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過(guò)的信息進(jìn)行記錄，如什么樣的用戶(hù)在什么時(shí)間連接了什么站點(diǎn)。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般使用專(zhuān)用工作站系統(tǒng)。代理服務(wù)器（Proxy Server）作用在應(yīng)用層，用來(lái)提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請(qǐng)求。

用戶(hù)網(wǎng)絡(luò)可以選用適合于本單位的防火墻產(chǎn)品來(lái)保證自己網(wǎng)絡(luò)數(shù)據(jù)的安全。

（5）第五級(jí)安全保證：用戶(hù)網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證

用戶(hù)網(wǎng)絡(luò)側(cè)的AAA鑒權(quán)認(rèn)證可以實(shí)現(xiàn)對(duì)VPDN成員的身份認(rèn)證。與第二級(jí)的安全保證不同，本級(jí)的AAA服務(wù)器將鑒別VPDN成員的用戶(hù)名和密碼的正確性。

username@xxx.133vpdn.bj中的域名將是中國(guó)聯(lián)通公司提供給專(zhuān)網(wǎng)接入用戶(hù)的專(zhuān)有統(tǒng)一域名，用戶(hù)名（username）可以是VPDN中每個(gè)成員的手機(jī)號(hào)碼或者其它標(biāo)識(shí)。VPDN中成員的用戶(hù)名和密碼等資料將保存在用戶(hù)專(zhuān)網(wǎng)側(cè)的AAA服務(wù)器，具有很好的安全性和管理的靈活性。

2. VPDN系統(tǒng)鏈路及用戶(hù)所需接入資源

VPDN系統(tǒng)鏈路示意圖

如上圖所示，單位側(cè)需要一條鏈路與聯(lián)通網(wǎng)管中心連接，聯(lián)通將單位用戶(hù)的請(qǐng)求加密后通過(guò)該鏈路發(fā)送到單位的網(wǎng)絡(luò)中心。聯(lián)通PDSN系統(tǒng)會(huì)根據(jù)用戶(hù)請(qǐng)求信息路由用戶(hù)請(qǐng)求，非法用戶(hù)無(wú)法通過(guò)PDSN系統(tǒng)進(jìn)入企業(yè)專(zhuān)網(wǎng)。聯(lián)通側(cè)數(shù)據(jù)都經(jīng)過(guò)加密，即使聯(lián)通內(nèi)部人員也無(wú)法解讀用戶(hù)傳輸?shù)臄?shù)據(jù)。單位可以通過(guò)點(diǎn)對(duì)點(diǎn)專(zhuān)線的方式與聯(lián)通連接，也可以通過(guò)互聯(lián)網(wǎng)接入的方式與聯(lián)通連接。

用戶(hù)所需接入設(shè)備：

1.單位側(cè)需要一臺(tái)支持L2TP協(xié)議的路由器做為專(zhuān)線網(wǎng)絡(luò)連接設(shè)備。

2.一臺(tái)PC＋AAA認(rèn)證軟件作為單位用戶(hù)帳號(hào)管理。

3.一臺(tái)ipsec vpn服務(wù)器。（可選項(xiàng)）

4.一臺(tái)泰亞?wèn)|方TCR系列無(wú)線路由器作為數(shù)據(jù)終端的無(wú)線接入設(shè)備。

4.3、泰亞?wèn)|方無(wú)線路由器應(yīng)用領(lǐng)域

利用泰亞?wèn)|方無(wú)線路由器可以實(shí)現(xiàn)快捷、方便、安全的無(wú)線數(shù)據(jù)傳輸，有效地解決了遠(yuǎn)程多點(diǎn)的實(shí)時(shí)數(shù)據(jù)傳輸需求，同時(shí)與開(kāi)設(shè)專(zhuān)線相比，大大節(jié)省了運(yùn)營(yíng)成本，其應(yīng)用領(lǐng)域相當(dāng)廣泛，例如：

l 銀行ATM機(jī)、金融POS機(jī)無(wú)線聯(lián)網(wǎng)及網(wǎng)點(diǎn)備份；

l 分散地點(diǎn)的電子認(rèn)證：針對(duì)移動(dòng)應(yīng)用(如移動(dòng)銀行等)；關(guān)鍵地點(diǎn)、位置的集中門(mén)禁控制系統(tǒng)；以及其它分散地點(diǎn)集中認(rèn)證相關(guān)的認(rèn)證服務(wù)等。

l 工業(yè)控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石化集團(tuán)天然汽、石油管道閥門(mén)、罐等參數(shù)的采集；城區(qū)供暖天然汽鍋爐的參數(shù)自動(dòng)采集；環(huán)保、氣象等相關(guān)分散點(diǎn)數(shù)據(jù)采集監(jiān)控應(yīng)用；

l 小額支付：小額物品購(gòu)買(mǎi)的支付系統(tǒng)，通過(guò)移動(dòng)網(wǎng)絡(luò)進(jìn)行用戶(hù)的認(rèn)證和小額記費(fèi)，比如路邊、酒店、旅游景點(diǎn)的自動(dòng)售貨系統(tǒng)；彩票銷(xiāo)售系統(tǒng)；路側(cè)停車(chē)收費(fèi)信息采集系統(tǒng)；涉及到無(wú)人職守的小額支付等。

l 其它基于分散點(diǎn)數(shù)據(jù)采集的系統(tǒng)：其它涉及商務(wù)，連鎖的應(yīng)用數(shù)據(jù)采集，比如連鎖商店銷(xiāo)售，配貨信息的采集和調(diào)度，彩票銷(xiāo)售；物流公司相關(guān)業(yè)務(wù)的數(shù)據(jù)采集；地鐵、公交站點(diǎn)票務(wù)支付等。

五、環(huán)保數(shù)據(jù)監(jiān)控CDMA無(wú)線接入實(shí)施方案
針對(duì)實(shí)際需求，建議環(huán)保局使用聯(lián)通VPDN專(zhuān)線作為傳輸?shù)闹鞲删€，可以保證數(shù)據(jù)傳輸實(shí)時(shí)、穩(wěn)定、可靠及安全；各個(gè)監(jiān)控點(diǎn)使用無(wú)線路由器作為接入終端，監(jiān)控?cái)?shù)據(jù)通過(guò)無(wú)線路由器傳輸?shù)江h(huán)保局監(jiān)控中心。

網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

環(huán)保數(shù)據(jù)監(jiān)控?zé)o線應(yīng)用方案拓?fù)鋱D

環(huán)保監(jiān)測(cè)所需接入設(shè)備：

1. 一臺(tái)支持L2TP隧道協(xié)議的路由器作為NAS（接入路由器）。

2. NAS后面接一臺(tái)高端防火墻。

3. 一臺(tái)PC＋AAA認(rèn)證軟件作為單位用戶(hù)帳號(hào)管理。

4. 一臺(tái)ipsec vpn服務(wù)器。注：此設(shè)備是可選項(xiàng)，僅當(dāng)希望使用ipsec加密協(xié)議時(shí)選用；如果NAS或者防火墻具有ipsec vpn功能，可以省去此服務(wù)器。

各監(jiān)控點(diǎn)所需接入設(shè)備：

1. 一臺(tái)泰亞?wèn)|方TCR系列無(wú)線路由器作為數(shù)據(jù)終端的無(wú)線接入設(shè)備。

此方案數(shù)據(jù)傳輸?shù)墓ぷ髁鞒蹋?/b>

在聯(lián)通完成網(wǎng)絡(luò)側(cè)配置后，首先由無(wú)線路由器發(fā)起撥號(hào)連接，經(jīng)過(guò)聯(lián)通側(cè)AAA服務(wù)器驗(yàn)證后，CDMA1X分組接入設(shè)備PDSN通過(guò)L2TP隧道路由連到環(huán)保局監(jiān)控中心NAS路由器上，中間經(jīng)過(guò)聯(lián)通骨干網(wǎng)和專(zhuān)線。整個(gè)隧道的開(kāi)啟和通過(guò)均在聯(lián)通網(wǎng)絡(luò)內(nèi)部，作為大型的電信運(yùn)營(yíng)商，有嚴(yán)格的安全管理和保護(hù)措施，確保網(wǎng)內(nèi)的數(shù)據(jù)安全可靠，具有很高的安全性保障，而且不存在互連互通瓶頸，可以有效保證用戶(hù)使用性能。然后NAS路由器將認(rèn)證信息傳輸給環(huán)保局側(cè)AAA服務(wù)器，一旦認(rèn)證通過(guò)，AAA服務(wù)器會(huì)給無(wú)線路由器分配一個(gè)合法ip地址，此時(shí)無(wú)線路由器和環(huán)保局監(jiān)控中心端NAS路由器成功L2TP隧道建立。

在環(huán)保局NAS路由器中添加相應(yīng)的路由信息，監(jiān)控中心便可以訪問(wèn)各監(jiān)控點(diǎn)的網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)數(shù)據(jù)的無(wú)線傳輸