我们的客户

　　继上海地铁的成功项目后，为继续推行冰峰VPN在轨交网络的平行覆盖，在现有的车站网络和运营商通信网络的相互结合下，冰峰网络为杭州地铁的数据通信安全，提供全新的SSL VPN安全移动接入网络，保障关键业务的有效运行。

　　他的需求

　　1)区别于上海地铁票务系统的安全性应用，在方案设计中需强调规避单点故障的重要性;

　　2)不要求多个公网口带来的成本与安全风险提升;但仍需要保证移动接入作业的需求。

　　3) 考虑到杭州地铁的未来发展规划与建设需求，需保留强大的扩展性，与多网段的并网需求。

　　他的体验

　　根据当地实施规划，冰峰为杭州地铁信息中心定制的移动接入解决方案，主要依托冰峰SSL VPN为基础，采用单臂技术，结合WEB SSL代理式接入，从通信安全的便捷性出发，打造新一代的移动接入平台。

　　如图所示，根据规划建设方案：

　　首先针对信息中心的网络布局，采用的单臂模式部署设备，结合自动路由技术，在对用户环境最小改动的前提下部署VPN，大大增加了VPN设备对网络环境的适应能力。

　　为了保证不同局域网之间的互联，保证VPN的扩展性，可以采用如上图的IP地址规划。以实现信息中心子网与其他区域办公子网的VPN互连，同时还可实现移动客户端的远程接入。

　　对于Web SSL的应用，结合冰峰特有的远程镜像技术、虚拟工作台、智能资源发布等功能，即可实现，让各站员工通过IE浏览器访问信息中心的各种信息资源数据。其应用权限、策略可以按站点、部门、以及个人进行细化设置。

　　他的成功：

　　1)根据规避单点故障的重要性设计，可以避免VPN设备因故障倒至的全网瘫痪，也便于快速故障排除，全面提升IT运维人员的工作效率;

　　2)在即定的建设成本上，为OA，邮件服务，以及各类信息中心的关键业务提供远程接入访问，特别在功能配置上，全面优化各成员的后台操作，解放IT运维人员在VPN上的工作量。

　　3) 冰峰VPN保留强大的扩展性，完全应对杭州地铁未来的多网段发展需求。

　　单臂技术

　　所谓"单臂技术"指的是ICEFLOW VPN网关只接一个WAN口到内网交换机中，LAN口不需要接线，即把VPN设备当作一台内网服务器或主机，专门处理VPN报文的加解密。从实现技术上而言，单臂技术结合了上述串行连接和并行连接两者的特点，需要在防火墙(路由器)上为安全产品开启相应的访问权限，同时也需要在防火墙(路由器)上添加静态路由来解决要通过VPN的数据包正确流向的问题。结合自动路由技术，单臂技术方式能在对用户环境最小改动的前提下部署VPN，大大增加了VPN设备对网络环境的适应能力 。