電信運(yùn)營(yíng)商VPDN平臺(tái)部署方案范文
本站小編為你精心準(zhǔn)備了電信運(yùn)營(yíng)商VPDN平臺(tái)部署方案參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《江西通信科技雜志》2014年第二期
1、存在問(wèn)題
1.1、安全機(jī)制1)設(shè)備安全:目前各地市由于建設(shè)成本原因,都只設(shè)置了一臺(tái)防火墻設(shè)備,盡管設(shè)備采用雙上行連接城域網(wǎng)核心路由器和地市DCN網(wǎng)核心路由器,一旦設(shè)備出現(xiàn)故障所帶業(yè)務(wù)將無(wú)法通過(guò)其他設(shè)備進(jìn)行接管,將全面影響到全市營(yíng)業(yè)廳的業(yè)務(wù)辦理,無(wú)法達(dá)到電信級(jí)高可靠性的運(yùn)營(yíng)標(biāo)準(zhǔn)。2)設(shè)備故障:各地市購(gòu)置的LNS設(shè)備(百兆防火墻)均是在2005年左右設(shè)置的,設(shè)備嚴(yán)重老化且早已出保,廠商早已不再生產(chǎn)和提供維保,已經(jīng)處于故障頻發(fā)期。
1.2、管理機(jī)制1)賬號(hào)設(shè)置管理:賬號(hào)設(shè)置無(wú)序且無(wú)組織架構(gòu),在后續(xù)的管理上存在很大的漏洞,特別是事后審計(jì)和基于組織架構(gòu)的準(zhǔn)入策略部署。2)賬號(hào)撤銷:VPDN的賬號(hào)開(kāi)通需經(jīng)過(guò)CRM系統(tǒng),但由于管理缺陷,如果某營(yíng)業(yè)廳撤銷了,那么這個(gè)賬號(hào)則無(wú)人在CRM上進(jìn)行相關(guān)撤銷操作,也沒(méi)有其他措施對(duì)這個(gè)賬號(hào)進(jìn)行管理,累積下來(lái),AAA中存在大量的無(wú)效賬號(hào)信息,而這些信息一旦外泄(營(yíng)業(yè)網(wǎng)點(diǎn)外聘人員流動(dòng)很大),被人利用則會(huì)造成企業(yè)信息泄露等安全事件發(fā)生。
1.3、能力擴(kuò)展隨著電信運(yùn)營(yíng)商渠道的快速建設(shè),目前各運(yùn)營(yíng)商都在搶占龐大的農(nóng)村市場(chǎng),需要在鄉(xiāng)鎮(zhèn)、農(nóng)村建立大量的營(yíng)業(yè)網(wǎng)點(diǎn),而目前LNS設(shè)備(百兆防火墻設(shè)備)均是在2005年左右購(gòu)置的,設(shè)備能力有限,無(wú)法滿足日益增長(zhǎng)的vpdn撥入需求。1.3.4、訪問(wèn)權(quán)限1)IP地址訪問(wèn)權(quán)限:由于目前的VPDN地址是隨即分配的,故不同等級(jí)的營(yíng)業(yè)網(wǎng)點(diǎn)所獲取的地址都具備全網(wǎng)通行的能力,這無(wú)疑是非常不安全的,甚至?xí)?duì)DCN網(wǎng)內(nèi)的其他平臺(tái)造成安全攻擊(一般營(yíng)業(yè)網(wǎng)點(diǎn)人員安全意識(shí)不高,電腦拔插U盤等存儲(chǔ)設(shè)備容易使電腦中毒,從而造成對(duì)DCN網(wǎng)內(nèi)系統(tǒng)的攻擊)。2)賬號(hào)訪問(wèn)權(quán)限:一般系統(tǒng)會(huì)對(duì)賬號(hào)進(jìn)行權(quán)限設(shè)置,如只讀、部分功能訪問(wèn)等,但目前由于賬號(hào)的設(shè)置沒(méi)有組織架構(gòu),故無(wú)法區(qū)分賬號(hào)使用者的等級(jí),故目前大多數(shù)的賬號(hào)都具備全系統(tǒng)通行的能力,如可訪問(wèn)CRM系統(tǒng)的全部功能,這勢(shì)必會(huì)造成信息安全問(wèn)題。
2、全省集中式建設(shè)方案
根據(jù)上面的分析同時(shí)結(jié)合集約化建設(shè),統(tǒng)籌考慮工程造價(jià)等因素,建議采用全省集中的方式建設(shè)VPDN平臺(tái),以接入全省各地市的營(yíng)業(yè)廳網(wǎng)點(diǎn)和解決員工移動(dòng)辦公。
2.1、組網(wǎng)架構(gòu)1)平臺(tái)組網(wǎng)在省中心設(shè)置2套VPDN設(shè)備,關(guān)于設(shè)備選型建議采用BRAS設(shè)備,主要是因?yàn)锽RAS設(shè)備在電信運(yùn)營(yíng)商使用較多,運(yùn)維人員可熟練的進(jìn)行維護(hù)管理,同時(shí)設(shè)備擴(kuò)展性較高,只需擴(kuò)容license和端口及可進(jìn)行線性擴(kuò)展。網(wǎng)絡(luò)架構(gòu)圖如下:通過(guò)設(shè)置2臺(tái)防火墻和2臺(tái)LNS設(shè)備組建省中心VPDN系統(tǒng),防火墻和LNS設(shè)備分別通過(guò)雙上行的方式接入上級(jí)設(shè)備,所有鏈路均通過(guò)路由實(shí)現(xiàn)安全負(fù)載和備份。2)L2TP隧道建立省中心平臺(tái)設(shè)置了2臺(tái)LNS設(shè)備,考慮到安全負(fù)載,本期不再在BRAS(LAC)上配置LNS的IP地址,主要是配置靜態(tài)IP地址,一旦LNS出現(xiàn)故障后,需要逐一登陸到BRAS(LAC)上進(jìn)行修改,加上故障查找的時(shí)間和逐一登陸LAC配置,故障恢復(fù)時(shí)間較長(zhǎng),無(wú)法滿足電信級(jí)業(yè)務(wù)運(yùn)營(yíng)標(biāo)準(zhǔn)。動(dòng)態(tài)LNS地址下發(fā)方案:在BRAS與LNS建立L2TP隧道的時(shí)候,由AAA系統(tǒng)指定LNS的地址給BRAS設(shè)備(LAC),動(dòng)態(tài)的建立隧道,當(dāng)這臺(tái)BRAS下第二個(gè)用戶發(fā)起連接時(shí),這臺(tái)BRAS會(huì)根據(jù)AAA給出的另外一個(gè)LNS地址與第二臺(tái)LNS也建立L2TP隧道,總共會(huì)建立2條L2TP隧道,當(dāng)然這樣可以線性擴(kuò)展,如果有3臺(tái)LNS,那么就可以建立3條L2TP隧道。這樣這臺(tái)LAC下后續(xù)用戶發(fā)起連接時(shí),會(huì)遵循輪詢算法把流量負(fù)載給2臺(tái)LNS,滿足負(fù)載備份功能。而且一旦某一臺(tái)LNS出現(xiàn)故障,都不會(huì)影響現(xiàn)有業(yè)務(wù)。
2.2、賬號(hào)開(kāi)通及使用流程1)AAA認(rèn)證仍然采用固網(wǎng)AAA平臺(tái),但是需要固網(wǎng)AAA平臺(tái)與信息化部的4A平臺(tái)開(kāi)發(fā)相應(yīng)的接口,實(shí)現(xiàn)以下功能:a)AAA平臺(tái)需要將現(xiàn)有的VPDN用戶相關(guān)信息通過(guò)接口傳遞給4A平臺(tái),由4A平臺(tái)建立相關(guān)的組織架構(gòu)。b)一旦某用戶賬號(hào)信息需要撤銷、修改等,由4A平臺(tái)把相關(guān)指令傳遞給AAA平臺(tái),AAA平臺(tái)做出相應(yīng)的措施,如刪除某VPDN賬號(hào)信息。2)用戶的賬號(hào)申請(qǐng)及開(kāi)通由分公司負(fù)責(zé),4A平臺(tái)能夠具備分權(quán)分域的功能,流程如下:a)新建營(yíng)業(yè)廳,分公司接到開(kāi)通賬號(hào)的需求,在4A平臺(tái)組織架構(gòu)中建立相關(guān)的賬號(hào)和密碼,同時(shí)在CRM系統(tǒng)中進(jìn)行受理,CRM受理后將工單傳遞給激活平臺(tái),激活平臺(tái)進(jìn)行施工,將賬號(hào)信息傳遞給AAA平臺(tái)和4A平臺(tái)。這里需要注意:在受理工單時(shí)需指定相應(yīng)的IP地址信息,以便后續(xù)進(jìn)行權(quán)限控制。b)用戶撥號(hào)直接到AAA平臺(tái)進(jìn)行認(rèn)證;c)一旦該營(yíng)業(yè)網(wǎng)點(diǎn)撤銷,分公司需要在4A平臺(tái)的組織架構(gòu)中將該用戶刪除,刪除后,4A平臺(tái)將指令傳遞給AAA平臺(tái),由AAA平臺(tái)將該用戶相關(guān)信息也刪除。
2.3、權(quán)限訪問(wèn)控制及4A審計(jì)根據(jù)以上的方案可以IP地址和賬號(hào)進(jìn)行雙重的權(quán)限控制。1)IP地址:由于本次方案在CRM受理時(shí)就指定了IP地址,故可以在防火墻上建立相應(yīng)的ACL策略,對(duì)相應(yīng)IP地址能夠訪問(wèn)的目標(biāo)地址進(jìn)行規(guī)定,某個(gè)級(jí)別的營(yíng)業(yè)點(diǎn)只能訪問(wèn)CRM和計(jì)費(fèi)系統(tǒng),級(jí)別高的營(yíng)業(yè)點(diǎn)可以訪問(wèn)CRM、計(jì)費(fèi)系統(tǒng)和終端管理系統(tǒng)等,管理人員和領(lǐng)導(dǎo)可具備全網(wǎng)通行的能力,這樣可根據(jù)需求靈活配置ACL策略,首先在三層上進(jìn)行一次控制。2)賬號(hào):由于賬號(hào)是根據(jù)4A系統(tǒng)里面的組織架構(gòu)進(jìn)行設(shè)置了,故賬號(hào)的權(quán)限和系統(tǒng)的權(quán)限是進(jìn)行相應(yīng)的綁定的,可以根據(jù)相應(yīng)的賬號(hào)尋找到所屬的域,而某個(gè)域內(nèi)的用戶只能訪問(wèn)系統(tǒng)的諾干頁(yè)面和內(nèi)容,做到權(quán)限控制。由于用戶地址和賬號(hào)以及組織架構(gòu)是一一對(duì)應(yīng)的,故一旦出現(xiàn)故障和其他安全事件,可通過(guò)相應(yīng)的訪問(wèn)記錄進(jìn)行審計(jì),確保信息安全。
3、增值運(yùn)營(yíng)
根據(jù)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和系統(tǒng)部署,可以對(duì)外提供MPLSVPN+VPDN解決方案,2臺(tái)LNS設(shè)備與客戶端CE設(shè)備建立MPLSVPN,大客戶的員工通過(guò)VPDN撥入LNS設(shè)備,AAA平臺(tái)可根據(jù)后綴區(qū)分不同的設(shè)備廠商,并且根據(jù)策略分配不同的IP地址給員工客戶端,LNS設(shè)備可根據(jù)不同的源IP地址區(qū)分,根據(jù)自身VRF路由表,將流量轉(zhuǎn)發(fā)至相應(yīng)的公司,這樣員工就可以隨時(shí)隨地訪問(wèn)公司內(nèi)部網(wǎng)絡(luò),而不需要先接入公網(wǎng)。網(wǎng)絡(luò)拓?fù)鋱D如下:
4、結(jié)束語(yǔ)
在中國(guó)電信集團(tuán)提出的“一去二化新三者”戰(zhàn)略思想的指導(dǎo)下,任何網(wǎng)絡(luò)系統(tǒng)建設(shè)都需要全面落實(shí)市場(chǎng)化運(yùn)營(yíng),有效支撐前端業(yè)務(wù)需求。故在建設(shè)全省VPDN平臺(tái)的時(shí)候,也充分的進(jìn)行了市場(chǎng)調(diào)研,很多的連鎖企業(yè)、跨地區(qū)公司都已經(jīng)接入了MPLSVPN業(yè)務(wù),且都有內(nèi)部網(wǎng)絡(luò)需要對(duì)在外的員工、合作伙伴開(kāi)放。傳統(tǒng)的IPSECVPN的局限性已無(wú)法滿足客戶需求,通過(guò)建設(shè)MPLSVPN+VPDN平臺(tái),除了可以解決IPSECVPN的局限性,同時(shí)也省去了企業(yè)搭建LNS平臺(tái)的成本,方便簡(jiǎn)單安全,切實(shí)的解決了企業(yè)的實(shí)際需求。
作者:黃鵬單位:江西省郵電規(guī)劃設(shè)計(jì)院有限公司IT設(shè)計(jì)研究院
