电信运营商VPDN平台部署方案.docx

《电信运营商VPDN平台部署方案.docx》由会员分享，可在线阅读，更多相关《电信运营商VPDN平台部署方案.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电信运营商VPDN平台部署方案（江西通信科技杂志）2014年第二期1、存在问题1.1、安全机制1设备安全：目前各地市由于建设成本原因，都只设置了一台防火墙设备，尽管设备采用双上行连接城域网核心路由器和地市DCN网核心路由器，一旦设备出现故障所带业务将无法通过其他设备进行接管，将全面影响到全市营业厅的业务办理，无法到达电信级高可靠性的运营标准。2设备故障：各地市购置的LNS设备百兆防火墙均是在2005年左右设置的，设备严重老化且早已出保，厂商早已不再生产和提供维保，已经处于故障频发期。1.2、管理机制1账号设置管理：账号设置无序且无组织架构，在后续的管理上存在很大的漏洞，十分是事后审计和基于组织

2、架构的准入策略部署。2账号撤销：VPDN的账号开通需经过CRM系统，但由于管理缺陷，假如某营业厅撤销了，那么这个账号则无人在CRM上进行相关撤销操作，也没有其他措施对这个账号进行管理，累积下来，AAA中存在大量的无效账号信息，而这些信息一旦外泄营业网点外聘人员流动很大，被人利用则会造成企业信息泄露等安全事件发生。1.3、能力扩展随着电信运营商渠道的快速建设，目前各运营商都在抢占庞大的农村市场，需要在乡镇、农村建立大量的营业网点，而目前LNS设备百兆防火墙设备均是在2005年左右购置的，设备能力有限，无法知足日益增长的VPDN拨入需求。1.3.4、访问权限1IP地址访问权限：由于目前的VPDN地

3、址是随即分配的，故不同等级的营业网点所获取的地址都具备全网通行的能力，这无疑是非常不安全的，甚至会对DCN网内的其他平台造成安全攻击一般营业网点人员安全意识不高，电脑拔插U盘等存储设备容易使电脑中毒，进而造成对DCN网内系统的攻击。2账号访问权限：一般系统会对账号进行权限设置，如只读、部分功能访问等，但目前由于账号的设置没有组织架构，故无法区分账号使用者的等级，故目前大多数的账号都具备全系统通行的能力，如可访问CRM系统的全部功能，这势必会造成信息安全问题。2、全省集中式建设方案根据上面的分析同时结合集约化建设，统筹考虑工程造价等因素，建议采用全省集中的方式建设VPDN平台，以接入全省各地市的

4、营业厅网点和解决员工移动办公。2.1、组网架构1平台组网在省中心设置2套VPDN设备，关于设备选型建议采用BRAS设备，主要是由于BRAS设备在电信运营商使用较多，运维人员可熟练的进行维护管理，同时设备扩展性较高，只需扩容license和端口及可进行线性扩展。网络架构图如下：通过设置2台防火墙和2台LNS设备组建省中心VPDN系统，防火墙和LNS设备分别通过双上行的方式接入上级设备，所有链路均通过路由实现安全负载和备份。2L2TP隧道建立省中心平台设置了2台LNS设备，考虑到安全负载，本期不再在BRAS(LAC)上配置LNS的IP地址，主要是配置静态IP地址，一旦LNS出现故障后，需要逐一登陆

5、到BRASLAC上进行修改，加上故障查找的时间和逐一登陆LAC配置，故障恢复时间较长，无法知足电信级业务运营标准。动态LNS地址下发方案：在BRAS与LNS建立L2TP隧道的时候，由AAA系统指定LNS的地址给BRAS设备LAC，动态的建立隧道，当这台BRAS下第二个用户发起连接时，这台BRAS会根据AAA给出的另外一个LNS地址与第二台LNS也建立L2TP隧道，总共会建立2条L2TP隧道，当然这样能够线性扩展，假如有3台LNS，那么就能够建立3条L2TP隧道。这样这台LAC下后续用户发起连接时，会遵循轮询算法把流量负载给2台LNS，知足负载备份功能。而且一旦某一台LNS出现故障，都不会影响现

6、有业务。2.2、账号开通及使用流程1AAA认证仍然采用固网AAA平台，但是需要固网AAA平台与信息化部的4A平台开发相应的接口，实现下面功能：a)AAA平台需要将现有的VPDN用户相关信息通过接口传递给4A平台，由4A平台建立相关的组织架构。b)一旦某用户账号信息需要撤销、修改等，由4A平台把相关指令传递给AAA平台，AAA平台做出相应的措施，如删除某VPDN账号信息。2用户的账号申请及开通由分公司负责，4A平台能够具备分权分域的功能，流程如下：a)新建营业厅，分公司接到开通账号的需求，在4A平台组织架构中建立相关的账号和密码，同时在CRM系统中进行受理，CRM受理后将工单传递给激活平台，激活

7、平台进行施工，将账号信息传递给AAA平台和4A平台。这里需要注意：在受理工单时需指定相应的IP地址信息，以便后续进行权限控制。b)用户拨号直接到AAA平台进行认证；c)一旦该营业网点撤销，分公司需要在4A平台的组织架构中将该用户删除，删除后，4A平台将指令传递给AAA平台，由AAA平台将该用户相关信息也删除。2.3、权限访问控制及4A审计根据以上的方案能够IP地址和账号进行双重的权限控制。1IP地址：由于本次方案在CRM受理时就指定了IP地址，故能够在防火墙上建立相应的ACL策略，对相应IP地址能够访问的目的地址进行规定，某个级别的营业点只能访问CRM和计费系统，级别高的营业点能够访问CRM、

8、计费系统和终端管理系统等，管理人员和领导可具备全网通行的能力，这样可根据需求灵敏配置ACL策略，首先在三层上进行一次控制。2账号：由于账号是根据4A系统里面的组织架构进行设置了，故账号的权限和系统的权限是进行相应的绑定的，能够根据相应的账号寻找到所属的域，而某个域内的用户只能访问系统的诺干页面和内容，做到权限控制。由于用户地址和账号以及组织架构是逐一对应的，故一旦出现故障和其他安全事件，可通过相应的访问记录进行审计，确保信息安全。3、增值运营根据现有的网络架构和系统部署，能够对外提供MPLSVPN+VPDN解决方案，2台LNS设备与客户端CE设备建立MPLSVPN，大客户的员工通过VPDN拨入

9、LNS设备，AAA平台可根据后缀区分不同的设备厂商，并且根据策略分配不同的IP地址给员工客户端，LNS设备可根据不同的源IP地址区分，根据本身VRF路由表，将流量转发至相应的公司，这样员工就能够随时随地访问公司内部网络，而不需要先接入公网。网络拓扑图如下：4、结束语在中国电信集团提出的“一去二化新三者战略思想的指导下，任何网络系统建设都需要全面落实市场化运营，有效支撑前端业务需求。故在建设全省VPDN平台的时候，也充分的进行了市场调研，很多的连锁企业、跨地区公司都已经接入了MPLSVPN业务，且都有内部网络需要对在外的员工、合作伙伴开放。传统的IPSECVPN的局限性已无法知足客户需求，通过建设MPLSVPN+VPDN平台，除了能够解决IPSECVPN的局限性，同时也省去了企业搭建LNS平台的成本，方便简单安全，切实的解决了企业的实际需求。