大型连锁店的IPsec组网方案

一、概述

随着企业的不断发展和市场的不断扩大，连锁店的数量不断增加。为实现对连锁店的有效管理，可通过网络将连锁店与数据中心连接，将所有数据及时传到数据中心。同时，为了营造一个良好的购物环境，连锁店希望保证WIFI覆盖，为客户提供免费上网。

二、需求分析

由于传输的数据涉及财务、管理等重要信息，为保证数据安全性，需在连锁店与数据中心之间建立IPsec隧道连接。与此同时，为实现快速组网，组网方案需要就简。各个连锁店一般不配备技术人员，因此在前期的搭建、后期的升级维护需要能简单、快速完成。为实现店内WIFI信号覆盖，路由器需要提供WLAN接入功能。

三、产品介绍

1、产品概述

F3X34 系列ROUTER是一种物联网无线通信路由器，利用公用无线网络为用户提供无线长距离数据传输功能。

该产品采用高性能的工业级32位通信处理器和工业级无线模块，以嵌入式实时操作系统为软件支撑平台，同时提供1个RS232（或RS485/RS422）、4个以太网和1个WIFI接口，可同时连接串口设备、以太网设备和WIFI设备，实现数据透明传输和路由功能。

该产品已广泛应用于物联网产业链中的M2M行业，如智能电网、智能交通、智能家居、金融、移动POS终端、供应链自动化、工业自动化、智能建筑、消防、公共安全、环境保护、气象、数字化医疗、遥感勘测、军事、空间探索、农业、林业、水务、煤矿、石化等领域。

2、产品特点

工业级应用设计

u 采用高性能工业级无线模块

u 采用高性能工业级32位通信处理器

u 支持低功耗模式，包括休眠模式、定时上下线模式和定时开关机模式（仅特殊版本支持）

u 采用金属外壳，保护等级IP30。金属外壳和系统安全隔离，特别适合于工控现场的应用

u 宽电源输入（DC 5~35V）

稳定可靠

u WDT看门狗设计，保证系统稳定

u 采用完备的防掉线机制，保证数据终端永远在线

u 以太网接口内置1.5KV电磁隔离保护

u RS232/RS485/RS422接口内置15KV ESD保护

u SIM/UIM卡接口内置15KV ESD保护

u 电源接口内置反相保护和过压保护

u 天线接口防雷保护（可选）

标准易用

u 提供标准RS232（或RS485/RS422）、以太网和WIFI接口，可直接连接串口设备、以太网设备和WIFI设备

u 提供标准有线WAN口（支持标准PPPOE协议），可直接连接ADSL设备

u 智能型数据终端，上电即可进入数据传输状态

u 提供功能强大的中心管理软件，方便设备管理（可选）

u 使用方便，灵活，多种工作模式选择

u 方便的系统配置和维护接口（包括本地和远端WEB方式或CLI方式）

功能强大

u 支持无线公网和有线WAN双链路智能切换备份功能（可选）

u 支持VPN client（PPTP，L2TP，IPSEC 和 GRE）（注：仅VPN版支持）

u 支持对WIFI接口的数据进行镜像，镜像数据发送到LAN口（LAN1、LAN2、LAN3、LAN4中的一个端口），并且不影响该端口的正常使用（可选）

u WIFI接口同时支持WIFI AP、AP Client和WDS功能（可选）

u 支持多种上下线触发模式，包括短信、振铃、串口数据、网络数据触发上下线模式

u 支持APN/VPDN

u 支持无线视频监控和动态图像传输

u 支持DHCP server及DHCP client，DDNS，防火墙，NAT，DMZ主机等功能

u 支持TCP/IP、UDP、NET、FTP、HTTP等完善的网络协议

四、网络构架

1、网络节点

整个网络由终端、路由器、数据中心组成。

1）智能终端

智能终端包括处理收银数据、管理数据的PC，能使用WIFI接入的无线移动终端。

2）路由器

使用四信F3X34工业路由器，通过有线接入和无线宽带的双链路冗余，保障网络通畅。

3）数据中心

数据中心包括IPsec服务器、其他服务器、数据库等。

2、整体构架

网络传输如下：

PC机通过有线连接路由器，路由器通过3G网络与Internet直接连接IPsec服务器建立隧道。传输数据时，数据直接进入隧道到达数据中心。

路由器可提供多个SSID的WIFI接入（A和B），移动终端接入SSID A，就能访问公司的内部网络；客户接入SSID B就能访问互联网。

同时在路由器上能进行QoS控制，保证隧道数据优先传输。

五、方案实现

1、IPsec客户端配置的自动实现

在每台路由器出厂时多附带一张光盘，每台路由器和光盘内容*一致，无地域区别。路由器内的配置均为出厂设置。附带光盘内含用于路由器初始配置的数据。

店员拿到光盘后，放入光驱直接点击运行，然后根据弹出对话框提示填入店名ID。内置程序依照店名ID自动检索匹配，得到已经划分好的各个客户端不同的子网段，接着自动完成IPsec客户端的配置。为保证光盘内容安全，可对光盘内容加密。

2、IPsec服务器端配置的自动实现

IPsec服务器要求能实现文本命令配置。IPsec服务器厂商，了解服务器的相关操作的指令、参数及配置使用说明，根据服务器厂商提供的指令集开发工具软件，用于批量建立IPsec隧道工具，实现一次性建好所有的隧道。

3、路由器的升级维护

可在管理中心添加升级服务器实现。每次路由器升级，将升级程序导入升级服务器，服务器分时间段向不同的连锁店路由器推送升级程序。这样既不挤占公司出口带宽，又能提高升级效率。

六、方案优势

1、高安全性

各连锁店的财务数据、管理数据等通过路由器与防火墙的IPsec隧道传输，保证数据安全。

2、高可靠性

路由器可同时使用有线接入和无线宽带的双链路冗余，并可自动进行切换，保证链路的通畅。

3、高可用性

在某些无法取得有线接入的地方，可以直接使用路由器的无线宽带功能，保证数据的正常传输。

4、良好的可扩展性

当增加新的门店时，只需新连锁店店员执行同样的配置操作，服务器端添加相应的配置，即可完成网络的拓展。