美章网 资料文库 电信运营商VPDN平台部署方案范文

电信运营商VPDN平台部署方案范文

本站小编为你精心准备了电信运营商VPDN平台部署方案参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

电信运营商VPDN平台部署方案

《江西通信科技杂志》2014年第二期

1、存在问题

1.1、安全机制1)设备安全:目前各地市由于建设成本原因,都只设置了一台防火墙设备,尽管设备采用双上行连接城域网核心路由器和地市DCN网核心路由器,一旦设备出现故障所带业务将无法通过其他设备进行接管,将全面影响到全市营业厅的业务办理,无法达到电信级高可靠性的运营标准。2)设备故障:各地市购置的LNS设备(百兆防火墙)均是在2005年左右设置的,设备严重老化且早已出保,厂商早已不再生产和提供维保,已经处于故障频发期。

1.2、管理机制1)账号设置管理:账号设置无序且无组织架构,在后续的管理上存在很大的漏洞,特别是事后审计和基于组织架构的准入策略部署。2)账号撤销:VPDN的账号开通需经过CRM系统,但由于管理缺陷,如果某营业厅撤销了,那么这个账号则无人在CRM上进行相关撤销操作,也没有其他措施对这个账号进行管理,累积下来,AAA中存在大量的无效账号信息,而这些信息一旦外泄(营业网点外聘人员流动很大),被人利用则会造成企业信息泄露等安全事件发生。

1.3、能力扩展随着电信运营商渠道的快速建设,目前各运营商都在抢占庞大的农村市场,需要在乡镇、农村建立大量的营业网点,而目前LNS设备(百兆防火墙设备)均是在2005年左右购置的,设备能力有限,无法满足日益增长的vpdn拨入需求。1.3.4、访问权限1)IP地址访问权限:由于目前的VPDN地址是随即分配的,故不同等级的营业网点所获取的地址都具备全网通行的能力,这无疑是非常不安全的,甚至会对DCN网内的其他平台造成安全攻击(一般营业网点人员安全意识不高,电脑拔插U盘等存储设备容易使电脑中毒,从而造成对DCN网内系统的攻击)。2)账号访问权限:一般系统会对账号进行权限设置,如只读、部分功能访问等,但目前由于账号的设置没有组织架构,故无法区分账号使用者的等级,故目前大多数的账号都具备全系统通行的能力,如可访问CRM系统的全部功能,这势必会造成信息安全问题。

2、全省集中式建设方案

根据上面的分析同时结合集约化建设,统筹考虑工程造价等因素,建议采用全省集中的方式建设VPDN平台,以接入全省各地市的营业厅网点和解决员工移动办公。

2.1、组网架构1)平台组网在省中心设置2套VPDN设备,关于设备选型建议采用BRAS设备,主要是因为BRAS设备在电信运营商使用较多,运维人员可熟练的进行维护管理,同时设备扩展性较高,只需扩容license和端口及可进行线性扩展。网络架构图如下:通过设置2台防火墙和2台LNS设备组建省中心VPDN系统,防火墙和LNS设备分别通过双上行的方式接入上级设备,所有链路均通过路由实现安全负载和备份。2)L2TP隧道建立省中心平台设置了2台LNS设备,考虑到安全负载,本期不再在BRAS(LAC)上配置LNS的IP地址,主要是配置静态IP地址,一旦LNS出现故障后,需要逐一登陆到BRAS(LAC)上进行修改,加上故障查找的时间和逐一登陆LAC配置,故障恢复时间较长,无法满足电信级业务运营标准。动态LNS地址下发方案:在BRAS与LNS建立L2TP隧道的时候,由AAA系统指定LNS的地址给BRAS设备(LAC),动态的建立隧道,当这台BRAS下第二个用户发起连接时,这台BRAS会根据AAA给出的另外一个LNS地址与第二台LNS也建立L2TP隧道,总共会建立2条L2TP隧道,当然这样可以线性扩展,如果有3台LNS,那么就可以建立3条L2TP隧道。这样这台LAC下后续用户发起连接时,会遵循轮询算法把流量负载给2台LNS,满足负载备份功能。而且一旦某一台LNS出现故障,都不会影响现有业务。

2.2、账号开通及使用流程1)AAA认证仍然采用固网AAA平台,但是需要固网AAA平台与信息化部的4A平台开发相应的接口,实现以下功能:a)AAA平台需要将现有的VPDN用户相关信息通过接口传递给4A平台,由4A平台建立相关的组织架构。b)一旦某用户账号信息需要撤销、修改等,由4A平台把相关指令传递给AAA平台,AAA平台做出相应的措施,如删除某VPDN账号信息。2)用户的账号申请及开通由分公司负责,4A平台能够具备分权分域的功能,流程如下:a)新建营业厅,分公司接到开通账号的需求,在4A平台组织架构中建立相关的账号和密码,同时在CRM系统中进行受理,CRM受理后将工单传递给激活平台,激活平台进行施工,将账号信息传递给AAA平台和4A平台。这里需要注意:在受理工单时需指定相应的IP地址信息,以便后续进行权限控制。b)用户拨号直接到AAA平台进行认证;c)一旦该营业网点撤销,分公司需要在4A平台的组织架构中将该用户删除,删除后,4A平台将指令传递给AAA平台,由AAA平台将该用户相关信息也删除。

2.3、权限访问控制及4A审计根据以上的方案可以IP地址和账号进行双重的权限控制。1)IP地址:由于本次方案在CRM受理时就指定了IP地址,故可以在防火墙上建立相应的ACL策略,对相应IP地址能够访问的目标地址进行规定,某个级别的营业点只能访问CRM和计费系统,级别高的营业点可以访问CRM、计费系统和终端管理系统等,管理人员和领导可具备全网通行的能力,这样可根据需求灵活配置ACL策略,首先在三层上进行一次控制。2)账号:由于账号是根据4A系统里面的组织架构进行设置了,故账号的权限和系统的权限是进行相应的绑定的,可以根据相应的账号寻找到所属的域,而某个域内的用户只能访问系统的诺干页面和内容,做到权限控制。由于用户地址和账号以及组织架构是一一对应的,故一旦出现故障和其他安全事件,可通过相应的访问记录进行审计,确保信息安全。

3、增值运营

根据现有的网络架构和系统部署,可以对外提供MPLSVPN+VPDN解决方案,2台LNS设备与客户端CE设备建立MPLSVPN,大客户的员工通过VPDN拨入LNS设备,AAA平台可根据后缀区分不同的设备厂商,并且根据策略分配不同的IP地址给员工客户端,LNS设备可根据不同的源IP地址区分,根据自身VRF路由表,将流量转发至相应的公司,这样员工就可以随时随地访问公司内部网络,而不需要先接入公网。网络拓扑图如下:

4、结束语

在中国电信集团提出的“一去二化新三者”战略思想的指导下,任何网络系统建设都需要全面落实市场化运营,有效支撑前端业务需求。故在建设全省VPDN平台的时候,也充分的进行了市场调研,很多的连锁企业、跨地区公司都已经接入了MPLSVPN业务,且都有内部网络需要对在外的员工、合作伙伴开放。传统的IPSECVPN的局限性已无法满足客户需求,通过建设MPLSVPN+VPDN平台,除了可以解决IPSECVPN的局限性,同时也省去了企业搭建LNS平台的成本,方便简单安全,切实的解决了企业的实际需求。

作者:黄鹏单位:江西省邮电规划设计院有限公司IT设计研究院