青藏公司铁路医保现行VPN网络存在问题及建议 内部资料注意保密 青藏公司铁路医保 现行VPN网络存在问题及建议 中国铁通青海分公司 集团客户部 2011年4月18日 目录 第一部分现行网络总体结构及网络拓扑 第二部分存在问题及建议 第三部分改造后的网络拓扑 第一部分现行网络总体结构及网络拓扑 现行青藏公司医保在本地网内和医院、卫生所、药房的信息互通、共享，提高办公效率，组建的数据通信网络满足内部办公需要，以及和公众互联网的联接，对现行网络分析如下： 1、中心点和主服务器设置在青藏公司电算所、青藏公司电算所与青藏公司医保办公区有直连数字电路10M，各分支点（医院、卫生所、药店）先由VPN加密访问到青藏公司医保在通过数字电路访问到中心节点（电算所）。 2、青藏公司医保与大部分分支节点（医院、卫生所、药店）采用电信ADSL拨号，先到电信公司的宽带接入服务器（电信RADIUS服务器认证）在转入铁通公司的宽带接入服务器通过VPDN加密到青藏公司医保最后由数字电路到青藏公司电算所中心服务器，所有分支点采用VPDN组网。 3、青藏公司医保安装铁通公司4M光纤专线，在上班期间职工内部办公与铁路医保共享带宽。 4、各分支节点（医院、卫生所、药店）的VPN设备MTU设置范围为128—1450且各分支节点都采用MTU=1450设置为最大值。 所以综合上述分析青藏公司医保现行组网在网络设计构建中，青藏公司电算所与青藏公司医保采用10M数字电路直连、青藏公司医保采用铁通光纤4M内部办公与医保共享、青藏公司医保与分支节点（医院、卫生所、药店）采用电信ADSL拨号，所有分支点采用VPDN组网。 现行网络拓扑如下： 电信铁通 RADIUSRADIUS 服务器服务器 VPDN网关 内部服务器 办公电脑 电信宽带铁通宽带 接入服务器接入服务器 L2TP加密隧道 中心交换机 电信Adsl拨号 青海各大医院 青海各大医院 青海各大药房 光纤 办公电脑 中心服务器 数字电路电算所 办公专网 Vpn设备 光纤专线 电信adsl拨号 五类线 铁通 Adsl拨号 五类线 第二部分存在问题及意见 存在问题 1、主要原因：用于青藏公司医保安装铁通公司4M光纤专线，且所有分支节点都要与青藏公司医保以互联网为载体通过VPN加密连接。但是大部分分支节点（医院、卫生所、药店）采用电信ADSL拨号，我们分别在西宁市七一路郑海大药房（电信ADSL宽带）和老百姓大药房（铁通ADSL宽带）。经过实测发现郑海大药房使用命令ping192.168.2.5（默认字节数为32bytes）平均延时在250ms—300ms之间。而在老百姓大药房使用命令ping192.168.2.5（默认字节数为32bytes）延时在15ms—20ms之间。这次的测试充分体现安装电信ADSL的郑海大药房的延时明显高于安装铁通的老百姓大药房。所以我公司认为安装电信ADSL宽带的各分支节点首先到电信公司的宽带接入服务器（电信RADIUS服务器认证）在转入铁通公司的宽带接入服务器通过VPDN加密到青藏公司医保最后由数字电路到青藏公司电算所中心服务器，所有分支点采用VPDN组网。采用电信ADSL宽带接入延时偏大主要是路由跳数增多所造成的。建议一：青藏公司医保安装电信专线及一些必要的VPN设备和服务器，重新规划网络拓扑，并且通过软件或硬件来区分铁通用户走铁通网，电信用户走电信网（需要青藏公司医保投入、难实现、投入较大、周期长）。建议二：各分支节点统一安装铁通公司宽带（需各分支节点改到铁通网内、个分支节点无需投入新设备、青藏公司医保也无投入，容易实现、周期短） 2、主要原因：青藏公司医保安装铁通公司4M光纤专线，在上班期间职工内部办公与铁路医保共享带宽，经过与各分支节点（医院、卫生所、药店）沟通我们初步肯定在青藏公司医保职工办公高峰时，占有大量带宽，网络出现瓶颈现象。即使各分支节点（医院、卫生所、药店）网络环境很好也会在刷卡的过程中出现掉线或者是刷卡速度很慢等原因。建议：用于医保的互联网与办公所需的互联网分开不共享，从而解决网络瓶颈现象。 3、次要原因：经过现场实际查看VPN设备的配置。我们发现各分支节点（医院、卫生所、药店）的VPN设备MTU值范围为128—1450且各分支节点都配置为MTU=1450的最大值。我们通过命令实验发现当数据包达到1473bytes时各分支节点（医院、卫生所、药店）的网络环境在好在稳定也会出现丢包现象。建议：这个MTU（最大传输单元）值为1450对于各分支节点以充分够用，故无需考虑这一点。 4、次要原因：中心点和主服务器设置在青藏公司电算所，各分支点（医院、卫生所、药店）先