【正文】 機備份，動態(tài)選路，報文加密等功能。 防火墻應用： 支持 包過濾技術(shù) 。 支持應用層報文過濾 ASPF（ Application Specific Packet Filter），也稱為狀態(tài) 防火墻。 2 相關(guān) 案例介紹 陜西省電信公司 應用 組網(wǎng)圖： 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 10 圖 8 陜西電信 VPN組網(wǎng)圖 組網(wǎng)說明： SECPATH 1000同時作為防火墻和 VPN網(wǎng)關(guān)應用。這樣降低故障對于整體網(wǎng)絡資源 的影響。軟件 通過在 IPSEC報文前增加一層 UDP報文頭的方式 ，使 NAT設備不需要修改報文內(nèi)容，從而 解決了 IPSEC支持 NAT穿越的問題， NAT設備只修改封裝的 UDP頭，但是沒有影響 IPSEC數(shù)據(jù)報文的內(nèi)容，即使經(jīng)過 NAT轉(zhuǎn)換，仍然可以正常建立 IPSEC隧道連接。包括從 IP地址， IP數(shù)據(jù)頭，協(xié)議端口號， VPN隧道兩端都有加密和防篡改 , 否則對端接收后不 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 9 能正確解密 。如果用戶需要訪問公司的內(nèi)部 DNS服務器， IP為 ，由于用戶計算機上沒有針對 DNS服務器的路由，所以用戶無法訪問 DNS服務器。 注意：網(wǎng)關(guān)側(cè)設備也需要 支持 IKE協(xié)商Aggressive模式 。但是，由于使用 VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次 上網(wǎng)時 其 IP地址 是 不固定 的 ， 如果要求 VPN隧道的網(wǎng)關(guān)側(cè)設備每次都 修改 對端 IP地址， 其維護量就可想而知了。 SecPoint軟件 支持局域網(wǎng)用戶，同時也支持撥號用戶。當 VPN隧道建立之后， SecPoint軟件 會根據(jù)用戶配置，定時向網(wǎng)關(guān)側(cè)設備發(fā)送握手。為了更加安全，鼓勵用戶都使用隧道模式。 IPSEC為 IP協(xié)議棧提供在 IP層實施的一系列安 全服務 ,為 IP及其上層提供保護 。 遠程接入 VPN 遠程接入 VPN的組網(wǎng)如圖 6所示， 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 7 圖 遠程接入 VPN 在企業(yè)總部放兩臺 SECPATH設備，用戶在自己計算機上安裝 SecPoint軟件 ，通過 PPP、L2TP協(xié)議和公司本部建立 VPN隧道， 在 鏈路層建立隧道，更安全。為了使 分支機構(gòu)到總部的 IPSEC通道切換到第二個 peer后，返回流量能夠正確地流向第二個 Peer的內(nèi)網(wǎng)接口，我們可以把解包后的流量進行 NAT，使 IP報文源地址變成第二個 peer的內(nèi)網(wǎng)接口地址，這樣返回流量就會自動流向第二個 Peer的內(nèi)網(wǎng)接口，然后再經(jīng)過活動的 IPSEC通道流向分支機構(gòu)。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 6 圖 5 通過 IKE KeepAlive和 NAT實現(xiàn)中心兩個 SECPATH的高可靠性 在這個解決方案里， 分支機構(gòu)的 SECPATH10的 IPSEC VPN策略設置了兩個對端（ peer），分別指向總部的兩個 SECPATH100，缺省情況下，策略中的第一個 peer是 Active的。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 5 圖 VPN同時作為主鏈路和備份鏈路組網(wǎng)方案一 在圖 4中， 云南分公司總部放置了兩臺 SECPATH100 VPN網(wǎng)關(guān)，分支機構(gòu) 2各放置了一臺 SECPATH 10 VPN網(wǎng)關(guān)。 4. 如果主鏈路恢復，這鏈路自動切換回主鏈路。 SECPATH和 路由器之間增加一條備份鏈路 ，提高了鏈路的可用性 。 用戶計算機只需將網(wǎng)關(guān)指 向 內(nèi)網(wǎng)交換機，交換機 會 通過 動態(tài) 路由協(xié)議選擇正確的下一跳 ，并將用戶的流量路由到正確的鏈路上。在 GRE通道接口上啟動OSPF協(xié)議，這樣 SECPATH1000和 SECPATH100可以通過 GRE通道交換動態(tài)路由協(xié)議。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 3 圖 2 OSPF over GRE over IPSEC實現(xiàn)動態(tài)路由協(xié)議穿越 IPSEC隧道 在圖 2中，分支機構(gòu)的 SECPATH100作為 VPN網(wǎng)關(guān)和石化總部的 SECPATH1000 VPN網(wǎng)關(guān)形成 IPSEC VPN通道。但是由于協(xié)議的局限性，動態(tài)路由協(xié)議，如 OSPF協(xié)議，是沒法把 IPSEC隧道感知成一個“鏈路”的 。 VPN通道作為主鏈路的備份鏈路 具體的拓撲如圖 1所示。經(jīng)過總結(jié)，可以把 VPN需求歸結(jié)為 3類： ? VPN通道作為主鏈路的備份鏈路： 這種情況包括 石化總部和各個分支結(jié)構(gòu)的 VPN通道， 這種情況的建網(wǎng)模式通常是在總部和分支機構(gòu) 各 放一個 VPN網(wǎng)關(guān)設備，通過 Inter形成 VPN通道，對原來 連接傳統(tǒng) 路由設備的 DDN/SDH線路形成備份。 ? 主鏈路和備份鏈路都是 VPN通道： 這種情況的建 網(wǎng)模式通常在總部放置兩個 VPN網(wǎng)關(guān)，在分支機構(gòu)放置一個 VPN網(wǎng)關(guān)， 并和總部的兩個 VPN網(wǎng)關(guān) 分別 形成兩個互為備份 VPN通道，保證 通道的 高可靠性。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 2 圖 VPN通道作為備份鏈路的示意拓撲 在圖 1中，我們可以看到中石化總部和 各個分支機構(gòu)之間 已經(jīng)通 路由器和傳統(tǒng)的 SDH/DDN鏈路進行互聯(lián)，路由器通過運行動態(tài)路由協(xié)議維持對全網(wǎng)拓撲信息的動態(tài)感知并自動選路。因此，我們必須借助 GRE隧道 來 實現(xiàn) OSPF穿越 IPSEC隧道。 VPN策略配置在 SECPATH1000和 SECPATH100各自的外網(wǎng)接口上。 當主鏈路中斷時，動態(tài)路由協(xié)議使得 流量會自動切換到 IPSEC VPN通道上面。 如果石化總部 或者 分支機構(gòu)的內(nèi)網(wǎng)交換機不支持動態(tài)路由 協(xié)議 ，那么內(nèi)網(wǎng)交換機就無法動態(tài)獲得 正確的 路由 信息，這時必須使用靜態(tài)路由 （ 這里我們假設分支結(jié)構(gòu)的內(nèi)網(wǎng)交換機不支持動態(tài)路由協(xié)議 ） 。 從主鏈路到 VPN通道的 切換過程如下： 1. 在 VRRP的作用下，從分支機構(gòu)到石化總部的流量首先流到分支路由器的內(nèi)網(wǎng)接口上。 5. 如果分支機構(gòu)路由器內(nèi)網(wǎng)接口發(fā)生故障，則在 VRRP作用下，用戶流量自動流向SECPATH100的內(nèi)網(wǎng)接口。如果要通過動態(tài)路由協(xié)議實現(xiàn)云南分公司 總部兩臺 SECPATH 100 VPN網(wǎng)關(guān)的高可靠性， 必須按照 ，使分支機構(gòu)的 SECPATH10和總部的兩個 SECPATH100網(wǎng)關(guān)分別建立一條 IPSEC VPN通道，然后在 IPSEC VPN上承載 GRE通道，并運行 OSPF 動態(tài)路由協(xié)議，實現(xiàn)通過動態(tài)路由協(xié)議自動選路。在總部和分支機構(gòu)的 SECPATH上設置 IKE Keepalive，一旦分支機構(gòu) SECPATH10發(fā)現(xiàn)第一個 peer的IKE keepalive沒有響應的時候，會自動 把 IPSEC通道 切換到第二個 Peer。 這樣，這個非對稱路由問題就得到了解決。 同時， SecPoint軟件 可以通過 PPP協(xié)商向 VPN申請 IP地址。 SecPoint軟件 通過支持 IPSEC提供 數(shù)據(jù)加密 ， 數(shù)據(jù)完整性驗證 ， 數(shù)據(jù)身份驗證 ，以及 防重放功能 。 SecPoint軟件 和 RSA SecuID動態(tài)密鑰 配合使用，可以更安全的驗證用戶的身份。如果一定時間收不到握手，網(wǎng)關(guān)側(cè)設備認為對端已經(jīng)離線，自動將狀態(tài)設置為斷開。相對于局域網(wǎng)用戶，特別的，SecPoint軟件 能夠讓撥號用戶使用 IPSEC/IKE加密。 SecPoint軟件 通過支持 IKE的 Aggressive模式（野蠻模式）成功 地解決這個問題， 在這種模式下， IKE協(xié)商時 允許協(xié)商 的兩 端不 使用 IP地址信息 ，而代之以使用雙方的 name。 SecPoint軟件 支持對 VPN隧道對端多個網(wǎng)段的訪問。而 SecPoint軟件 成功地解決了這個問題，只需要用戶在使用登錄之前，將公司本部 需要訪問的網(wǎng)段配置進 來即可。但是，很多時候使用 SecPoint軟件 的時候其所在位于 NAT設備 之后，通過 NAT地址轉(zhuǎn)換 進入 Inter。 在使用 SecPoint軟件 的 NAT穿越功能時，需要網(wǎng)管側(cè)設備也支持 NAT穿越。使用 備份 LNS功能，只需要用戶在配置 LNS服務器 IP時，指定 備份 LNS服務器的 IP，如圖 8所示 ： 圖 8 SecPoint支持備份 LNS 通過 安裝 SecPoint，可以 使 PC機 能夠通過多種方式 進行 VPN互聯(lián)，并最終實現(xiàn) 遠端 PC能夠安全、快捷地通過 Inter訪問相應企業(yè) 總部 VPN的目的。 防火墻應用：支持 包過濾技術(shù) 。它檢查應用層協(xié)議信息（如 FTP、 HTTP、 SMTP、 RTSP等協(xié)議及其它基于 TCP/UDP協(xié)議的應用層協(xié)議）并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)，維護每一個連接的狀態(tài)信息，并動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或者被丟棄。借助報文中優(yōu)先級、 TOS、 UDP或 TCP端口等信息作為過濾參考，通過在接口輸入或輸出方向上使用標準或擴展訪問控制規(guī)則，可以實現(xiàn)對數(shù)據(jù)包的過濾。 動態(tài) VPN在同一個 VPN內(nèi)部構(gòu)建隧道不需要知道其他 Client網(wǎng)關(guān)的任何信息，只需要配置自己的信息并指定相應的 Server就完成了。通過支持IPSEC提供數(shù)據(jù)加密，數(shù)據(jù)完整性驗證，數(shù)據(jù)身份驗證，以及防重放功能。 技術(shù)方案 華為 3Com 機密，未經(jīng)許可不得擴散 12 DVPN隧道支持 OSPF， BGP路由協(xié)議，通過這些動態(tài)路由協(xié)議，可以有效的防止單點故障，一臺設備出了故障，不影響整體的使用，業(yè)務不會中斷。 防火墻應用 , 分支機構(gòu)的 SECPATH作為對 inter的唯一出口，提供防火墻過濾和 NAT功能 ： 提供報文過濾： SECPATH1000提供包過濾功能，支持 ASPF動態(tài)報文過濾，支持按照報文入接口、出接口過濾，支持分片報文檢查，支持按照時間段進行報文過濾。 VPN網(wǎng)關(guān)應用： 分支機構(gòu)的 SECPATH 和 MPLS網(wǎng)絡的 SECPATH共同構(gòu)建 IPSEC隧道，IPSEC為 IP數(shù)據(jù)報提供了高質(zhì)量的、可互操作的、基于密碼學的安全性。 IPSEC協(xié)議為對信息安全要求較高的用戶提供了一個安全的 VPN解決方案。 一、 工程概況： 西夏建材城生活區(qū) 2 30住宅樓位于銀川市新市區(qū) ，橡膠廠對面。30樓 m2。設計室外地坪至檐口高度 00m，呈長方形布置，東西向，三個單元。地面除衛(wèi)生間 200 200 防滑地磚，樓梯間 50 厚細石砼 1： 1 水泥砂漿壓光外，其余均采用 50 厚豆石砼毛地面。 本工程設計為磚混結(jié)構(gòu)，共六層。 本工程設計給水管采用 PPR 塑料管，熱熔 連接；排水管采用UPVC 硬聚氯乙烯管，粘接；給水管道安裝除立管及安裝 IC 卡水表的管段明設計外，其余均暗設。計劃 2020 年 9 月 15 日前 技術(shù)方案 3 完成基礎工程， 2020 年 12 月 30 日完成主體結(jié)構(gòu)工程， 2020 年 6月 20 日完成裝修工種，安裝工程穿 插進行，于 2020 年 7 月 1 日前完成。 ⑶ 內(nèi)裝修工程 門窗框安裝→室內(nèi)墻面抹灰→樓地面→門窗安裝、油漆→五金安裝、內(nèi)部清理→通水通電、竣工。 機械準備 ⑴ 設 2 臺攪拌機， 2 臺水泵。 ⑸ 現(xiàn)場設塔吊 2 臺。樓層用水采用鋼管焊接給水管，每層留一出水口；給水管不置蓄水池內(nèi)，由潛水泵進行送水。 四、主要施工方法 施工 測量放線 ⑴ 施工測量基本要求 A、 西夏建材城生活區(qū) 1 30住宅樓定位依據(jù)： 西夏建材城生活區(qū) 工程總體規(guī)劃圖，北京路、規(guī)劃道路永久性定位 B、根據(jù)工程特點及＜建筑工程施工測量規(guī)程＞ DBI01－ 21－ 95， 2 條，此工程設置精度等級為二級，測角中誤差177。根據(jù)主軸線設置兩條次軸線即 27樓：（ H）軸 技術(shù)方案 6 線和（ 27）軸線； 30樓：（ H）軸線和（ 27）軸線。 相當于絕對標高 。 ⑷ 結(jié)構(gòu)施工測量 A、首層放線驗收后，主控軸一引至外墻立面上，作為以上務層主軸線豎身高以測的基準。 開挖時，根據(jù)現(xiàn)場實際土質(zhì)，按規(guī)范要求 1: 放坡，反鏟挖掘機挖土。機械挖土 ,先發(fā)出信號，挖土的時候，挖掘機操作范圍內(nèi)，不許進行其他工作，裝土的時候，任何人都不能停留在裝土車上。 ⑵ 砌筑要求 A、開工前由工長對所管轄班組下發(fā)技術(shù)交底。 E、隔墻與墻不同時砌筑又不留成斜槎時 可于墻中引出陽槎或在墻的灰縫中預埋拉結(jié)筋，每道不少于 2 根。 鋼筋工程 ⑴ 凡進場鋼筋須具備材質(zhì)證明，原材料須取樣試驗，經(jīng)復試合格后方可使用。保護層采用 50mm 50mm 的水泥砂漿塊。施工中嚴格掌握各種材料的用量，并在攪拌機前進行標識，注明每立方米、每盤用量。 ⑷ 本工程均采用插入式振搗器，一次澆筑厚度不宜超過振搗器作用部分長度的 倍，搗實砼的移動間距不宜大于振搗器作用半徑 的 倍。 ⑵ 模板支撐應牢固可靠，安裝進程中須有防傾覆的臨時固定措施。 ⑶ 為加強架子的穩(wěn)定性，每七根立桿間設十字蓋，斜桿與地面夾角 60o。 裝飾工程