1 前言

水情信息是通过专用数据链路进行传输的。从国家防总、省防抗办到各地市防抗办利用政府网专线已建立起一套完整的信息传输系统，省水文局也通过专用光纤线路与防抗办专线连接，而省水文局至各水文直属局以及到各测站之间还没有有效带宽的线路连接，要低成本的实现水情信息在全省水文系统的共享，利用互联网 +VPN 是一种最可行的连接方式。该方案包括 VPN 链路的建立和水情信息发布系统两部分。

利用 VPN 完成水情信息传输能解决以下问题。首先能够打通水情信息在河北省水文系统内的快速传输通道；第二能够实现全省水文系统局域网之间的互联互通；第三在水文系统内部建立起一套自己的水情信息发布系统。

2 利用 VPN 组网解决方案

利用 VPN 组网有两种方案：第一，通过购买 VPN 设备自己建立一套 VPN 系统；第二通过租用电信公司设备建立 VPN 系统。

2.1 利用 Sinfor M5100-S SSL VPN 设备建立 VPN 系统方案

Sinfor M5100-s SSL VPN 型号设备并发为 100 用户，属中小型 VPN 设备，是采用 SSL 协议来实现远程介入的一种 VPN 技术，分中心端和终端两部分。其中，中心端为 M5100-S 设备，客户端有两种验证方法，一是用户名 / 密码验证，二是基于硬件的 USB Key 验证。

2.1.1 网络拓扑图

2.1.2 解决方案

在省水文局机房部署 M5100-s SSL VPN 设备，该设备最大并发为 100 用户，需要一台双网卡服务器（或双网卡微机）， VPN 设备一端连接外网，另一端连接该服务器（或微机），其作用是将内网数据通过一些安全措施与外网建立 VPN 通道。 VPN 具有防火墙功能，能在与内网连接端将除 VPN 端口以外的端口全部封闭，保证内网的安全。

目前，部水文局就是采用此套方案。

2.2 利用电信公司设备建立 VPN 系统方案

通过与电信公司协商，有两套设计方案：一是利用电信公司 VPN 设备在省局和直属局各建立 VPN 中心端，直属局中心端通过省局中心端将全省局域网连接成一个广域网，同时，申请部分客户端通过省局中心端建立 VPN 通道，建立测站与中心端的连接；二是只在省局建立一个中心端，各直属局、测站作为客户端与省局中心端相连。

2.2.1 网络拓扑图

2.2.2 解决方案

在省水文局机房部署两台双网卡微机作为 VPN 网关，两机目的是为了做负载分担和双机热备，保障 VPN 网络可靠性，计算机与内网连接端的网卡只留下 443 端口供 VPN 建立通道使用，其它端口封闭以保障内网安全。对于第一套方案，各直属局只需要一台计算机作为 VPN 网关

2.3 两方案对比

不论采取哪种方案组建 VPN ，需要 1~2 服务器或微机（如不建立热备系统仅需要 1 台），目的是安全打通内、外网之间的联系。两方案主要区别是租用电信设备还是自己购置设备：第一种方案是购置设备，其优点是仅一次性投资，后期费用低，缺点是由于省局使用的是电信线路，对于使用网通客户端可能速度较慢；第二种租用电信设备，其优点是电信采用的是双线，兼有网通和电信两条线路，对网络速度较有保障，还可通过这套系统建立全省水文广域网，缺点是费用较高。