本发明涉及网络通信技术领域,尤其是涉及一种局域网间网络通信系统。
背景技术:
目前,企业的不同站点间传送数据通过atm专线或mstp专线来实现,存在以下问题:
1、成本高,施工周期漫长,发生故障时抢修时间长,带宽低。技术方案为ip层数据包通过atm协议重新封装到atm网络的信元中,出atm网络时再把多个cell信元重新组装成1500byte的ip包头,通过以太网传输,如此一拆一装,浪费了10%的带宽资源;
2、atm网络维护复杂,设备成本高昂,atm端口速率低,最高到155m-622m,端口控制芯片造价昂贵,现有很多一线品牌厂商已经逐步停产淘汰atm交换设备,已经无法满足当今企业高速专线接入市场的发展需求。
3、传统的企业网络通常由园区、分支和数据中心3大部分组成,彼此之间通过企业wan网络互联。长期以来,为了保证服务质量,企业wan网络互联通常采用运营商的物理专线或mplsvpn专线,虽然网络质量有保障,但专线价格比较昂贵,企业用于wan互联的支出居高不下。
4、此外,业务开通周期长,传统企业专线往往需要经历营业厅申请、业务调试、现场配置等多个环节,发放周期动辄几个月。而且传统专线对业务不感知,无法获知应用的状态,当遭遇突发流量链路拥塞或质量裂化的时候,往往会造成关键业务体验无法保障;运维效率低,无法定位是网络故障还是应用软件本身故障,需要专人现场定位。
由此可见,传统专线无法满足云化趋势下企业对于提升效率、降低成本、改进体验和快速业务变化的需求。
技术实现要素:
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种局域网间网络通信系统。
本发明的目的可以通过以下技术方案来实现:
一种局域网间网络通信系统,包括设置在总部局域网的核心交换机和设置在分部局域网的边缘路由器,所述总部局域网还包括与核心交换机连接的上网网关和传输网关,所述边缘路由器包括第一边缘路由器和第二边缘路由器,所述第一边缘路由器和上网网关都与互联网连接,所述第二边缘路由器通过无源光网络与所述传输网关连接。
优选的,所述第二边缘路由器和传输网关分别都通过硬件加密机与无源光网络连接。
优选的,所述硬件加密机包括载有aes加密程序的硬件加密部件。
优选的,所述第一边缘路由器和第二边缘路由器都为吉比特以太网路由器。
优选的,所述核心交换机、第一边缘路由器和第二边缘路由器分别都接有终端设备。
优选的,所述上网网关和第一边缘路由器分别都通过硬件防火墙与互联网连接。
优选的,所述第二边缘路由器与传输网关通过gpon无源光网络技术实现光纤传输。
与现有技术相比,本发明直接采用市场上通用的吉比特以太网路由设备即可实现,设备不受特定的厂商绑定,实现简单方便,用户无需采用基于atm、sdh等专线接入设备,节约了成本投入;通过无源光网络传输,到局端光纤都是无源器件,因此故障率大为降低,可靠性非常高,在重载的情况下其性能仍然十分优秀。
附图说明
图1为本发明的结构示意图。
图中标注:1、核心交换机,2、上网网关,3、传输网关,4、互联网,5、无源光网络,6、第一边缘路由器,7、第二边缘路由器,8、硬件防火墙,9、硬件加密机。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
实施例
如图1所示,本申请提出一种局域网间网络通信系统,包括设置在总部局域网的核心交换机1和设置在分部局域网的边缘路由器。总部局域网还包括与核心交换机1连接的上网网关2和传输网关3,边缘路由器包括用于网络接入的第一边缘路由器6和第二边缘路由器7。第一边缘路由器6和上网网关2都与互联网4连接。第二边缘路由器7通过无源光网络5与传输网关3连接,实现总部局域网与多个分部局域网的网络通信。核心交换机1、第一边缘路由器6和第二边缘路由器7分别都接有终端设备。无源光网络5直接采用现有的城市光网系统。
本系统中局域网间通信采用xpon光纤接入技术,要比现有的ipoveratm和ipoversdh(mstp)优良的多,没有atm包头的信元开销和sdh的ppp包头开销,ip层直接封装到以太网帧头,通过现有技术,在ip包头中插入gre包头,封装到ip网中传输,降低了长途电路的开销。本系统与现有ipoveratm以及ipoversdh接入网络相比,具有接入成本低、稳定性高、延时低、吞吐量大、开通时间短、终端设备可网管等特点。
总部局域网和分部局域网统一为吉比特以太网技术,第一边缘路由器6和第二边缘路由器7都为吉比特以太网路由器。分部局域网的网络设备的数据包通过终端设备直接封装成吉比特以太网帧头,到无源光网络5进行传输,端到端都是纯粹的二层以太网技术,具有包头开销低、传输效率高、时延低等特点。本实施例中,无源光网络5具体采用gpon无源光网络5技术,即吉比特以太网帧头通过gem映射技术来实现,到局端光纤都是无源器件,因此故障率大为降低。
第二边缘路由器7和传输网关3分别都通过硬件加密机9与无源光网络5连接。对经过无源光网络5的数据进行高强度加密保护,本实施例中,硬件加密机9包括载有aes加密程序的硬件加密部件,采用aes高级加密对数据进行强加密,并通过sha2哈希算法来保证数据的一致性和完整性。
为了保证安全性,上网网关2和第一边缘路由器6分别都通过硬件防火墙8与互联网4连接。
企业总部和分部加密通信信道建立过程包括:
1、定义ipsec加密实例:
ipsecproposalcore
espauthentication-algorithmsha2-256
espencryption-algorithmaes-256;
2、定义ike实例:
ikeproposal1
encryption-algorithmaes-256
dhgroup14
authentication-algorithmsha2-256
authentication-methodpre-share
integrity-algorithmhmac-sha2-256
prfhmac-sha2-256;
3、定义ikepre-share-key预共享key:
ikepeercore
pre-shared-keysimplexxxx
ike-proposal1;
4、定义ipsecpolicy策略实例等:
ipsecprofilecore
ike-peercore
proposalcore;
5、创建通信l2l(局域网到局域网)通信信道接口,定义ip及调用ipsec策略:
interfacetunnel0/0/0
description"to-user-headquater"
ipaddress10.18.18.2255.255.255.252
tunnel-protocolgre
keepalive
sourcegigabitethernet0/0/4
ipsecprofilecore
destination//总部ip;
6、创建总部和分部网络通信的路由表:
iproute-s192.168.1.024tunnel0/0/0//创建到总部内网ip的路由表;
iproute-static//总部l2l终端设备光网管理ip32下一跳为本地光网专线的传输网关3;
iproute-static202.136.208.24829//下一跳为本地光网专线管理的传输网关3。
通过上述信道建立数据加密、解密,利用标准的ipsec安全协议保证了数据的安全性。