【正文】 機(jī)備份，動態(tài)選路，報(bào)文加密等功能。 防火墻應(yīng)用： 支持 包過濾技術(shù) 。 支持應(yīng)用層報(bào)文過濾 ASPF（ Application Specific Packet Filter），也稱為狀態(tài) 防火墻。 2 相關(guān) 案例介紹 陜西省電信公司 應(yīng)用 組網(wǎng)圖： 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 10 圖 8 陜西電信 VPN組網(wǎng)圖 組網(wǎng)說明： SECPATH 1000同時(shí)作為防火墻和 VPN網(wǎng)關(guān)應(yīng)用。這樣降低故障對于整體網(wǎng)絡(luò)資源 的影響。軟件 通過在 IPSEC報(bào)文前增加一層 UDP報(bào)文頭的方式 ，使 NAT設(shè)備不需要修改報(bào)文內(nèi)容，從而 解決了 IPSEC支持 NAT穿越的問題， NAT設(shè)備只修改封裝的 UDP頭，但是沒有影響 IPSEC數(shù)據(jù)報(bào)文的內(nèi)容，即使經(jīng)過 NAT轉(zhuǎn)換，仍然可以正常建立 IPSEC隧道連接。包括從 IP地址， IP數(shù)據(jù)頭，協(xié)議端口號， VPN隧道兩端都有加密和防篡改 , 否則對端接收后不 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 9 能正確解密 。如果用戶需要訪問公司的內(nèi)部 DNS服務(wù)器， IP為 ，由于用戶計(jì)算機(jī)上沒有針對 DNS服務(wù)器的路由，所以用戶無法訪問 DNS服務(wù)器。 注意：網(wǎng)關(guān)側(cè)設(shè)備也需要 支持 IKE協(xié)商Aggressive模式 。但是，由于使用 VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次 上網(wǎng)時(shí) 其 IP地址 是 不固定 的 ， 如果要求 VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都 修改 對端 IP地址， 其維護(hù)量就可想而知了。 SecPoint軟件 支持局域網(wǎng)用戶，同時(shí)也支持撥號用戶。當(dāng) VPN隧道建立之后， SecPoint軟件 會根據(jù)用戶配置，定時(shí)向網(wǎng)關(guān)側(cè)設(shè)備發(fā)送握手。為了更加安全，鼓勵(lì)用戶都使用隧道模式。 IPSEC為 IP協(xié)議棧提供在 IP層實(shí)施的一系列安 全服務(wù) ,為 IP及其上層提供保護(hù) 。 遠(yuǎn)程接入 VPN 遠(yuǎn)程接入 VPN的組網(wǎng)如圖 6所示， 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 7 圖 遠(yuǎn)程接入 VPN 在企業(yè)總部放兩臺 SECPATH設(shè)備，用戶在自己計(jì)算機(jī)上安裝 SecPoint軟件 ，通過 PPP、L2TP協(xié)議和公司本部建立 VPN隧道， 在 鏈路層建立隧道，更安全。為了使 分支機(jī)構(gòu)到總部的 IPSEC通道切換到第二個(gè) peer后，返回流量能夠正確地流向第二個(gè) Peer的內(nèi)網(wǎng)接口，我們可以把解包后的流量進(jìn)行 NAT，使 IP報(bào)文源地址變成第二個(gè) peer的內(nèi)網(wǎng)接口地址，這樣返回流量就會自動流向第二個(gè) Peer的內(nèi)網(wǎng)接口，然后再經(jīng)過活動的 IPSEC通道流向分支機(jī)構(gòu)。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 6 圖 5 通過 IKE KeepAlive和 NAT實(shí)現(xiàn)中心兩個(gè) SECPATH的高可靠性 在這個(gè)解決方案里， 分支機(jī)構(gòu)的 SECPATH10的 IPSEC VPN策略設(shè)置了兩個(gè)對端（ peer），分別指向總部的兩個(gè) SECPATH100，缺省情況下，策略中的第一個(gè) peer是 Active的。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 5 圖 VPN同時(shí)作為主鏈路和備份鏈路組網(wǎng)方案一 在圖 4中， 云南分公司總部放置了兩臺 SECPATH100 VPN網(wǎng)關(guān)，分支機(jī)構(gòu) 2各放置了一臺 SECPATH 10 VPN網(wǎng)關(guān)。 4. 如果主鏈路恢復(fù)，這鏈路自動切換回主鏈路。 SECPATH和 路由器之間增加一條備份鏈路 ，提高了鏈路的可用性 。 用戶計(jì)算機(jī)只需將網(wǎng)關(guān)指 向 內(nèi)網(wǎng)交換機(jī)，交換機(jī) 會 通過 動態(tài) 路由協(xié)議選擇正確的下一跳 ，并將用戶的流量路由到正確的鏈路上。在 GRE通道接口上啟動OSPF協(xié)議，這樣 SECPATH1000和 SECPATH100可以通過 GRE通道交換動態(tài)路由協(xié)議。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 3 圖 2 OSPF over GRE over IPSEC實(shí)現(xiàn)動態(tài)路由協(xié)議穿越 IPSEC隧道 在圖 2中，分支機(jī)構(gòu)的 SECPATH100作為 VPN網(wǎng)關(guān)和石化總部的 SECPATH1000 VPN網(wǎng)關(guān)形成 IPSEC VPN通道。但是由于協(xié)議的局限性，動態(tài)路由協(xié)議，如 OSPF協(xié)議，是沒法把 IPSEC隧道感知成一個(gè)“鏈路”的 。 VPN通道作為主鏈路的備份鏈路 具體的拓?fù)淙鐖D 1所示。經(jīng)過總結(jié)，可以把 VPN需求歸結(jié)為 3類： ? VPN通道作為主鏈路的備份鏈路： 這種情況包括 石化總部和各個(gè)分支結(jié)構(gòu)的 VPN通道， 這種情況的建網(wǎng)模式通常是在總部和分支機(jī)構(gòu) 各 放一個(gè) VPN網(wǎng)關(guān)設(shè)備，通過 Inter形成 VPN通道，對原來 連接傳統(tǒng) 路由設(shè)備的 DDN/SDH線路形成備份。 ? 主鏈路和備份鏈路都是 VPN通道： 這種情況的建 網(wǎng)模式通常在總部放置兩個(gè) VPN網(wǎng)關(guān)，在分支機(jī)構(gòu)放置一個(gè) VPN網(wǎng)關(guān)， 并和總部的兩個(gè) VPN網(wǎng)關(guān) 分別 形成兩個(gè)互為備份 VPN通道，保證 通道的 高可靠性。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 2 圖 VPN通道作為備份鏈路的示意拓?fù)? 在圖 1中，我們可以看到中石化總部和 各個(gè)分支機(jī)構(gòu)之間 已經(jīng)通 路由器和傳統(tǒng)的 SDH/DDN鏈路進(jìn)行互聯(lián)，路由器通過運(yùn)行動態(tài)路由協(xié)議維持對全網(wǎng)拓?fù)湫畔⒌膭討B(tài)感知并自動選路。因此，我們必須借助 GRE隧道 來 實(shí)現(xiàn) OSPF穿越 IPSEC隧道。 VPN策略配置在 SECPATH1000和 SECPATH100各自的外網(wǎng)接口上。 當(dāng)主鏈路中斷時(shí)，動態(tài)路由協(xié)議使得 流量會自動切換到 IPSEC VPN通道上面。 如果石化總部 或者 分支機(jī)構(gòu)的內(nèi)網(wǎng)交換機(jī)不支持動態(tài)路由 協(xié)議 ，那么內(nèi)網(wǎng)交換機(jī)就無法動態(tài)獲得 正確的 路由 信息，這時(shí)必須使用靜態(tài)路由 （ 這里我們假設(shè)分支結(jié)構(gòu)的內(nèi)網(wǎng)交換機(jī)不支持動態(tài)路由協(xié)議 ） 。 從主鏈路到 VPN通道的 切換過程如下： 1. 在 VRRP的作用下，從分支機(jī)構(gòu)到石化總部的流量首先流到分支路由器的內(nèi)網(wǎng)接口上。 5. 如果分支機(jī)構(gòu)路由器內(nèi)網(wǎng)接口發(fā)生故障，則在 VRRP作用下，用戶流量自動流向SECPATH100的內(nèi)網(wǎng)接口。如果要通過動態(tài)路由協(xié)議實(shí)現(xiàn)云南分公司 總部兩臺 SECPATH 100 VPN網(wǎng)關(guān)的高可靠性， 必須按照 ，使分支機(jī)構(gòu)的 SECPATH10和總部的兩個(gè) SECPATH100網(wǎng)關(guān)分別建立一條 IPSEC VPN通道，然后在 IPSEC VPN上承載 GRE通道，并運(yùn)行 OSPF 動態(tài)路由協(xié)議，實(shí)現(xiàn)通過動態(tài)路由協(xié)議自動選路。在總部和分支機(jī)構(gòu)的 SECPATH上設(shè)置 IKE Keepalive，一旦分支機(jī)構(gòu) SECPATH10發(fā)現(xiàn)第一個(gè) peer的IKE keepalive沒有響應(yīng)的時(shí)候，會自動 把 IPSEC通道 切換到第二個(gè) Peer。 這樣，這個(gè)非對稱路由問題就得到了解決。 同時(shí)， SecPoint軟件 可以通過 PPP協(xié)商向 VPN申請 IP地址。 SecPoint軟件 通過支持 IPSEC提供 數(shù)據(jù)加密 ， 數(shù)據(jù)完整性驗(yàn)證 ， 數(shù)據(jù)身份驗(yàn)證 ，以及 防重放功能 。 SecPoint軟件 和 RSA SecuID動態(tài)密鑰 配合使用，可以更安全的驗(yàn)證用戶的身份。如果一定時(shí)間收不到握手，網(wǎng)關(guān)側(cè)設(shè)備認(rèn)為對端已經(jīng)離線，自動將狀態(tài)設(shè)置為斷開。相對于局域網(wǎng)用戶，特別的，SecPoint軟件 能夠讓撥號用戶使用 IPSEC/IKE加密。 SecPoint軟件 通過支持 IKE的 Aggressive模式（野蠻模式）成功 地解決這個(gè)問題， 在這種模式下， IKE協(xié)商時(shí) 允許協(xié)商 的兩 端不 使用 IP地址信息 ，而代之以使用雙方的 name。 SecPoint軟件 支持對 VPN隧道對端多個(gè)網(wǎng)段的訪問。而 SecPoint軟件 成功地解決了這個(gè)問題，只需要用戶在使用登錄之前，將公司本部 需要訪問的網(wǎng)段配置進(jìn) 來即可。但是，很多時(shí)候使用 SecPoint軟件 的時(shí)候其所在位于 NAT設(shè)備 之后，通過 NAT地址轉(zhuǎn)換 進(jìn)入 Inter。 在使用 SecPoint軟件 的 NAT穿越功能時(shí)，需要網(wǎng)管側(cè)設(shè)備也支持 NAT穿越。使用 備份 LNS功能，只需要用戶在配置 LNS服務(wù)器 IP時(shí)，指定 備份 LNS服務(wù)器的 IP，如圖 8所示 ： 圖 8 SecPoint支持備份 LNS 通過 安裝 SecPoint，可以 使 PC機(jī) 能夠通過多種方式 進(jìn)行 VPN互聯(lián)，并最終實(shí)現(xiàn) 遠(yuǎn)端 PC能夠安全、快捷地通過 Inter訪問相應(yīng)企業(yè) 總部 VPN的目的。 防火墻應(yīng)用：支持 包過濾技術(shù) 。它檢查應(yīng)用層協(xié)議信息（如 FTP、 HTTP、 SMTP、 RTSP等協(xié)議及其它基于 TCP/UDP協(xié)議的應(yīng)用層協(xié)議）并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，維護(hù)每一個(gè)連接的狀態(tài)信息，并動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或者被丟棄。借助報(bào)文中優(yōu)先級、 TOS、 UDP或 TCP端口等信息作為過濾參考，通過在接口輸入或輸出方向上使用標(biāo)準(zhǔn)或擴(kuò)展訪問控制規(guī)則，可以實(shí)現(xiàn)對數(shù)據(jù)包的過濾。 動態(tài) VPN在同一個(gè) VPN內(nèi)部構(gòu)建隧道不需要知道其他 Client網(wǎng)關(guān)的任何信息，只需要配置自己的信息并指定相應(yīng)的 Server就完成了。通過支持IPSEC提供數(shù)據(jù)加密，數(shù)據(jù)完整性驗(yàn)證，數(shù)據(jù)身份驗(yàn)證，以及防重放功能。 技術(shù)方案 華為 3Com 機(jī)密，未經(jīng)許可不得擴(kuò)散 12 DVPN隧道支持 OSPF， BGP路由協(xié)議，通過這些動態(tài)路由協(xié)議，可以有效的防止單點(diǎn)故障，一臺設(shè)備出了故障，不影響整體的使用，業(yè)務(wù)不會中斷。 防火墻應(yīng)用 , 分支機(jī)構(gòu)的 SECPATH作為對 inter的唯一出口，提供防火墻過濾和 NAT功能 ： 提供報(bào)文過濾： SECPATH1000提供包過濾功能，支持 ASPF動態(tài)報(bào)文過濾，支持按照報(bào)文入接口、出接口過濾，支持分片報(bào)文檢查，支持按照時(shí)間段進(jìn)行報(bào)文過濾。 VPN網(wǎng)關(guān)應(yīng)用： 分支機(jī)構(gòu)的 SECPATH 和 MPLS網(wǎng)絡(luò)的 SECPATH共同構(gòu)建 IPSEC隧道，IPSEC為 IP數(shù)據(jù)報(bào)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。 IPSEC協(xié)議為對信息安全要求較高的用戶提供了一個(gè)安全的 VPN解決方案。 一、 工程概況： 西夏建材城生活區(qū) 2 30住宅樓位于銀川市新市區(qū) ，橡膠廠對面。30樓 m2。設(shè)計(jì)室外地坪至檐口高度 00m，呈長方形布置，東西向，三個(gè)單元。地面除衛(wèi)生間 200 200 防滑地磚，樓梯間 50 厚細(xì)石砼 1： 1 水泥砂漿壓光外，其余均采用 50 厚豆石砼毛地面。 本工程設(shè)計(jì)為磚混結(jié)構(gòu)，共六層。 本工程設(shè)計(jì)給水管采用 PPR 塑料管，熱熔 連接；排水管采用UPVC 硬聚氯乙烯管，粘接；給水管道安裝除立管及安裝 IC 卡水表的管段明設(shè)計(jì)外，其余均暗設(shè)。計(jì)劃 2020 年 9 月 15 日前 技術(shù)方案 3 完成基礎(chǔ)工程， 2020 年 12 月 30 日完成主體結(jié)構(gòu)工程， 2020 年 6月 20 日完成裝修工種，安裝工程穿 插進(jìn)行，于 2020 年 7 月 1 日前完成。 ⑶ 內(nèi)裝修工程 門窗框安裝→室內(nèi)墻面抹灰→樓地面→門窗安裝、油漆→五金安裝、內(nèi)部清理→通水通電、竣工。 機(jī)械準(zhǔn)備 ⑴ 設(shè) 2 臺攪拌機(jī)， 2 臺水泵。 ⑸ 現(xiàn)場設(shè)塔吊 2 臺。樓層用水采用鋼管焊接給水管，每層留一出水口；給水管不置蓄水池內(nèi)，由潛水泵進(jìn)行送水。 四、主要施工方法 施工 測量放線 ⑴ 施工測量基本要求 A、 西夏建材城生活區(qū) 1 30住宅樓定位依據(jù)： 西夏建材城生活區(qū) 工程總體規(guī)劃圖，北京路、規(guī)劃道路永久性定位 B、根據(jù)工程特點(diǎn)及＜建筑工程施工測量規(guī)程＞ DBI01－ 21－ 95， 2 條，此工程設(shè)置精度等級為二級，測角中誤差177。根據(jù)主軸線設(shè)置兩條次軸線即 27樓：（ H）軸 技術(shù)方案 6 線和（ 27）軸線； 30樓：（ H）軸線和（ 27）軸線。 相當(dāng)于絕對標(biāo)高 。 ⑷ 結(jié)構(gòu)施工測量 A、首層放線驗(yàn)收后，主控軸一引至外墻立面上，作為以上務(wù)層主軸線豎身高以測的基準(zhǔn)。 開挖時(shí)，根據(jù)現(xiàn)場實(shí)際土質(zhì)，按規(guī)范要求 1: 放坡，反鏟挖掘機(jī)挖土。機(jī)械挖土 ,先發(fā)出信號，挖土的時(shí)候，挖掘機(jī)操作范圍內(nèi)，不許進(jìn)行其他工作，裝土的時(shí)候，任何人都不能停留在裝土車上。 ⑵ 砌筑要求 A、開工前由工長對所管轄班組下發(fā)技術(shù)交底。 E、隔墻與墻不同時(shí)砌筑又不留成斜槎時(shí) 可于墻中引出陽槎或在墻的灰縫中預(yù)埋拉結(jié)筋，每道不少于 2 根。 鋼筋工程 ⑴ 凡進(jìn)場鋼筋須具備材質(zhì)證明，原材料須取樣試驗(yàn)，經(jīng)復(fù)試合格后方可使用。保護(hù)層采用 50mm 50mm 的水泥砂漿塊。施工中嚴(yán)格掌握各種材料的用量，并在攪拌機(jī)前進(jìn)行標(biāo)識，注明每立方米、每盤用量。 ⑷ 本工程均采用插入式振搗器，一次澆筑厚度不宜超過振搗器作用部分長度的 倍，搗實(shí)砼的移動間距不宜大于振搗器作用半徑 的 倍。 ⑵ 模板支撐應(yīng)牢固可靠，安裝進(jìn)程中須有防傾覆的臨時(shí)固定措施。 ⑶ 為加強(qiáng)架子的穩(wěn)定性，每七根立桿間設(shè)十字蓋，斜桿與地面夾角 60o。 裝飾工程