電信運(yùn)營商VPDN平臺部署方案范文

本站小編為你精心準(zhǔn)備了電信運(yùn)營商VPDN平臺部署方案參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《江西通信科技雜志》2014年第二期

1、存在問題

1.1、安全機(jī)制1）設(shè)備安全：目前各地市由于建設(shè)成本原因，都只設(shè)置了一臺防火墻設(shè)備，盡管設(shè)備采用雙上行連接城域網(wǎng)核心路由器和地市DCN網(wǎng)核心路由器，一旦設(shè)備出現(xiàn)故障所帶業(yè)務(wù)將無法通過其他設(shè)備進(jìn)行接管，將全面影響到全市營業(yè)廳的業(yè)務(wù)辦理，無法達(dá)到電信級高可靠性的運(yùn)營標(biāo)準(zhǔn)。2）設(shè)備故障：各地市購置的LNS設(shè)備（百兆防火墻）均是在2005年左右設(shè)置的，設(shè)備嚴(yán)重老化且早已出保，廠商早已不再生產(chǎn)和提供維保，已經(jīng)處于故障頻發(fā)期。

1.2、管理機(jī)制1）賬號設(shè)置管理：賬號設(shè)置無序且無組織架構(gòu)，在后續(xù)的管理上存在很大的漏洞，特別是事后審計(jì)和基于組織架構(gòu)的準(zhǔn)入策略部署。2）賬號撤銷：VPDN的賬號開通需經(jīng)過CRM系統(tǒng)，但由于管理缺陷，如果某營業(yè)廳撤銷了，那么這個賬號則無人在CRM上進(jìn)行相關(guān)撤銷操作，也沒有其他措施對這個賬號進(jìn)行管理，累積下來，AAA中存在大量的無效賬號信息，而這些信息一旦外泄（營業(yè)網(wǎng)點(diǎn)外聘人員流動很大），被人利用則會造成企業(yè)信息泄露等安全事件發(fā)生。

1.3、能力擴(kuò)展隨著電信運(yùn)營商渠道的快速建設(shè)，目前各運(yùn)營商都在搶占龐大的農(nóng)村市場，需要在鄉(xiāng)鎮(zhèn)、農(nóng)村建立大量的營業(yè)網(wǎng)點(diǎn)，而目前LNS設(shè)備（百兆防火墻設(shè)備）均是在2005年左右購置的，設(shè)備能力有限，無法滿足日益增長的vpdn撥入需求。1.3.4、訪問權(quán)限1）IP地址訪問權(quán)限：由于目前的VPDN地址是隨即分配的，故不同等級的營業(yè)網(wǎng)點(diǎn)所獲取的地址都具備全網(wǎng)通行的能力，這無疑是非常不安全的，甚至?xí)CN網(wǎng)內(nèi)的其他平臺造成安全攻擊（一般營業(yè)網(wǎng)點(diǎn)人員安全意識不高，電腦拔插U盤等存儲設(shè)備容易使電腦中毒，從而造成對DCN網(wǎng)內(nèi)系統(tǒng)的攻擊）。2）賬號訪問權(quán)限：一般系統(tǒng)會對賬號進(jìn)行權(quán)限設(shè)置，如只讀、部分功能訪問等，但目前由于賬號的設(shè)置沒有組織架構(gòu)，故無法區(qū)分賬號使用者的等級，故目前大多數(shù)的賬號都具備全系統(tǒng)通行的能力，如可訪問CRM系統(tǒng)的全部功能，這勢必會造成信息安全問題。

2、全省集中式建設(shè)方案

根據(jù)上面的分析同時(shí)結(jié)合集約化建設(shè)，統(tǒng)籌考慮工程造價(jià)等因素，建議采用全省集中的方式建設(shè)VPDN平臺，以接入全省各地市的營業(yè)廳網(wǎng)點(diǎn)和解決員工移動辦公。

2.1、組網(wǎng)架構(gòu)1）平臺組網(wǎng)在省中心設(shè)置2套VPDN設(shè)備，關(guān)于設(shè)備選型建議采用BRAS設(shè)備，主要是因?yàn)锽RAS設(shè)備在電信運(yùn)營商使用較多，運(yùn)維人員可熟練的進(jìn)行維護(hù)管理，同時(shí)設(shè)備擴(kuò)展性較高，只需擴(kuò)容license和端口及可進(jìn)行線性擴(kuò)展。網(wǎng)絡(luò)架構(gòu)圖如下：通過設(shè)置2臺防火墻和2臺LNS設(shè)備組建省中心VPDN系統(tǒng)，防火墻和LNS設(shè)備分別通過雙上行的方式接入上級設(shè)備，所有鏈路均通過路由實(shí)現(xiàn)安全負(fù)載和備份。2）L2TP隧道建立省中心平臺設(shè)置了2臺LNS設(shè)備，考慮到安全負(fù)載，本期不再在BRAS(LAC)上配置LNS的IP地址，主要是配置靜態(tài)IP地址，一旦LNS出現(xiàn)故障后，需要逐一登陸到BRAS（LAC）上進(jìn)行修改，加上故障查找的時(shí)間和逐一登陸LAC配置，故障恢復(fù)時(shí)間較長，無法滿足電信級業(yè)務(wù)運(yùn)營標(biāo)準(zhǔn)。動態(tài)LNS地址下發(fā)方案：在BRAS與LNS建立L2TP隧道的時(shí)候，由AAA系統(tǒng)指定LNS的地址給BRAS設(shè)備（LAC），動態(tài)的建立隧道，當(dāng)這臺BRAS下第二個用戶發(fā)起連接時(shí)，這臺BRAS會根據(jù)AAA給出的另外一個LNS地址與第二臺LNS也建立L2TP隧道，總共會建立2條L2TP隧道，當(dāng)然這樣可以線性擴(kuò)展，如果有3臺LNS，那么就可以建立3條L2TP隧道。這樣這臺LAC下后續(xù)用戶發(fā)起連接時(shí)，會遵循輪詢算法把流量負(fù)載給2臺LNS，滿足負(fù)載備份功能。而且一旦某一臺LNS出現(xiàn)故障，都不會影響現(xiàn)有業(yè)務(wù)。

2.2、賬號開通及使用流程1）AAA認(rèn)證仍然采用固網(wǎng)AAA平臺，但是需要固網(wǎng)AAA平臺與信息化部的4A平臺開發(fā)相應(yīng)的接口，實(shí)現(xiàn)以下功能：a)AAA平臺需要將現(xiàn)有的VPDN用戶相關(guān)信息通過接口傳遞給4A平臺，由4A平臺建立相關(guān)的組織架構(gòu)。b)一旦某用戶賬號信息需要撤銷、修改等，由4A平臺把相關(guān)指令傳遞給AAA平臺，AAA平臺做出相應(yīng)的措施，如刪除某VPDN賬號信息。2）用戶的賬號申請及開通由分公司負(fù)責(zé)，4A平臺能夠具備分權(quán)分域的功能，流程如下：a)新建營業(yè)廳，分公司接到開通賬號的需求，在4A平臺組織架構(gòu)中建立相關(guān)的賬號和密碼，同時(shí)在CRM系統(tǒng)中進(jìn)行受理，CRM受理后將工單傳遞給激活平臺，激活平臺進(jìn)行施工，將賬號信息傳遞給AAA平臺和4A平臺。這里需要注意：在受理工單時(shí)需指定相應(yīng)的IP地址信息，以便后續(xù)進(jìn)行權(quán)限控制。b)用戶撥號直接到AAA平臺進(jìn)行認(rèn)證；c)一旦該營業(yè)網(wǎng)點(diǎn)撤銷，分公司需要在4A平臺的組織架構(gòu)中將該用戶刪除，刪除后，4A平臺將指令傳遞給AAA平臺，由AAA平臺將該用戶相關(guān)信息也刪除。

2.3、權(quán)限訪問控制及4A審計(jì)根據(jù)以上的方案可以IP地址和賬號進(jìn)行雙重的權(quán)限控制。1）IP地址：由于本次方案在CRM受理時(shí)就指定了IP地址，故可以在防火墻上建立相應(yīng)的ACL策略，對相應(yīng)IP地址能夠訪問的目標(biāo)地址進(jìn)行規(guī)定，某個級別的營業(yè)點(diǎn)只能訪問CRM和計(jì)費(fèi)系統(tǒng)，級別高的營業(yè)點(diǎn)可以訪問CRM、計(jì)費(fèi)系統(tǒng)和終端管理系統(tǒng)等，管理人員和領(lǐng)導(dǎo)可具備全網(wǎng)通行的能力，這樣可根據(jù)需求靈活配置ACL策略，首先在三層上進(jìn)行一次控制。2）賬號：由于賬號是根據(jù)4A系統(tǒng)里面的組織架構(gòu)進(jìn)行設(shè)置了，故賬號的權(quán)限和系統(tǒng)的權(quán)限是進(jìn)行相應(yīng)的綁定的，可以根據(jù)相應(yīng)的賬號尋找到所屬的域，而某個域內(nèi)的用戶只能訪問系統(tǒng)的諾干頁面和內(nèi)容，做到權(quán)限控制。由于用戶地址和賬號以及組織架構(gòu)是一一對應(yīng)的，故一旦出現(xiàn)故障和其他安全事件，可通過相應(yīng)的訪問記錄進(jìn)行審計(jì)，確保信息安全。

3、增值運(yùn)營

根據(jù)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和系統(tǒng)部署，可以對外提供MPLSVPN+VPDN解決方案，2臺LNS設(shè)備與客戶端CE設(shè)備建立MPLSVPN，大客戶的員工通過VPDN撥入LNS設(shè)備，AAA平臺可根據(jù)后綴區(qū)分不同的設(shè)備廠商，并且根據(jù)策略分配不同的IP地址給員工客戶端，LNS設(shè)備可根據(jù)不同的源IP地址區(qū)分，根據(jù)自身VRF路由表，將流量轉(zhuǎn)發(fā)至相應(yīng)的公司，這樣員工就可以隨時(shí)隨地訪問公司內(nèi)部網(wǎng)絡(luò)，而不需要先接入公網(wǎng)。網(wǎng)絡(luò)拓?fù)鋱D如下：

4、結(jié)束語

在中國電信集團(tuán)提出的“一去二化新三者”戰(zhàn)略思想的指導(dǎo)下，任何網(wǎng)絡(luò)系統(tǒng)建設(shè)都需要全面落實(shí)市場化運(yùn)營，有效支撐前端業(yè)務(wù)需求。故在建設(shè)全省VPDN平臺的時(shí)候，也充分的進(jìn)行了市場調(diào)研，很多的連鎖企業(yè)、跨地區(qū)公司都已經(jīng)接入了MPLSVPN業(yè)務(wù)，且都有內(nèi)部網(wǎng)絡(luò)需要對在外的員工、合作伙伴開放。傳統(tǒng)的IPSECVPN的局限性已無法滿足客戶需求，通過建設(shè)MPLSVPN+VPDN平臺，除了可以解決IPSECVPN的局限性，同時(shí)也省去了企業(yè)搭建LNS平臺的成本，方便簡單安全，切實(shí)的解決了企業(yè)的實(shí)際需求。

作者：黃鵬單位：江西省郵電規(guī)劃設(shè)計(jì)院有限公司IT設(shè)計(jì)研究院