《电信运营商VPDN平台部署方案.docx》由会员分享,可在线阅读,更多相关《电信运营商VPDN平台部署方案.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电信运营商VPDN平台部署方案(江西通信科技杂志)2014年第二期1、存在问题1.1、安全机制1设备安全:目前各地市由于建设成本原因,都只设置了一台防火墙设备,尽管设备采用双上行连接城域网核心路由器和地市DCN网核心路由器,一旦设备出现故障所带业务将无法通过其他设备进行接管,将全面影响到全市营业厅的业务办理,无法到达电信级高可靠性的运营标准。2设备故障:各地市购置的LNS设备百兆防火墙均是在2005年左右设置的,设备严重老化且早已出保,厂商早已不再生产和提供维保,已经处于故障频发期。1.2、管理机制1账号设置管理:账号设置无序且无组织架构,在后续的管理上存在很大的漏洞,十分是事后审计和基于组织
2、架构的准入策略部署。2账号撤销:VPDN的账号开通需经过CRM系统,但由于管理缺陷,假如某营业厅撤销了,那么这个账号则无人在CRM上进行相关撤销操作,也没有其他措施对这个账号进行管理,累积下来,AAA中存在大量的无效账号信息,而这些信息一旦外泄营业网点外聘人员流动很大,被人利用则会造成企业信息泄露等安全事件发生。1.3、能力扩展随着电信运营商渠道的快速建设,目前各运营商都在抢占庞大的农村市场,需要在乡镇、农村建立大量的营业网点,而目前LNS设备百兆防火墙设备均是在2005年左右购置的,设备能力有限,无法知足日益增长的VPDN拨入需求。1.3.4、访问权限1IP地址访问权限:由于目前的VPDN地
3、址是随即分配的,故不同等级的营业网点所获取的地址都具备全网通行的能力,这无疑是非常不安全的,甚至会对DCN网内的其他平台造成安全攻击一般营业网点人员安全意识不高,电脑拔插U盘等存储设备容易使电脑中毒,进而造成对DCN网内系统的攻击。2账号访问权限:一般系统会对账号进行权限设置,如只读、部分功能访问等,但目前由于账号的设置没有组织架构,故无法区分账号使用者的等级,故目前大多数的账号都具备全系统通行的能力,如可访问CRM系统的全部功能,这势必会造成信息安全问题。2、全省集中式建设方案根据上面的分析同时结合集约化建设,统筹考虑工程造价等因素,建议采用全省集中的方式建设VPDN平台,以接入全省各地市的
4、营业厅网点和解决员工移动办公。2.1、组网架构1平台组网在省中心设置2套VPDN设备,关于设备选型建议采用BRAS设备,主要是由于BRAS设备在电信运营商使用较多,运维人员可熟练的进行维护管理,同时设备扩展性较高,只需扩容license和端口及可进行线性扩展。网络架构图如下:通过设置2台防火墙和2台LNS设备组建省中心VPDN系统,防火墙和LNS设备分别通过双上行的方式接入上级设备,所有链路均通过路由实现安全负载和备份。2L2TP隧道建立省中心平台设置了2台LNS设备,考虑到安全负载,本期不再在BRAS(LAC)上配置LNS的IP地址,主要是配置静态IP地址,一旦LNS出现故障后,需要逐一登陆
5、到BRASLAC上进行修改,加上故障查找的时间和逐一登陆LAC配置,故障恢复时间较长,无法知足电信级业务运营标准。动态LNS地址下发方案:在BRAS与LNS建立L2TP隧道的时候,由AAA系统指定LNS的地址给BRAS设备LAC,动态的建立隧道,当这台BRAS下第二个用户发起连接时,这台BRAS会根据AAA给出的另外一个LNS地址与第二台LNS也建立L2TP隧道,总共会建立2条L2TP隧道,当然这样能够线性扩展,假如有3台LNS,那么就能够建立3条L2TP隧道。这样这台LAC下后续用户发起连接时,会遵循轮询算法把流量负载给2台LNS,知足负载备份功能。而且一旦某一台LNS出现故障,都不会影响现
6、有业务。2.2、账号开通及使用流程1AAA认证仍然采用固网AAA平台,但是需要固网AAA平台与信息化部的4A平台开发相应的接口,实现下面功能:a)AAA平台需要将现有的VPDN用户相关信息通过接口传递给4A平台,由4A平台建立相关的组织架构。b)一旦某用户账号信息需要撤销、修改等,由4A平台把相关指令传递给AAA平台,AAA平台做出相应的措施,如删除某VPDN账号信息。2用户的账号申请及开通由分公司负责,4A平台能够具备分权分域的功能,流程如下:a)新建营业厅,分公司接到开通账号的需求,在4A平台组织架构中建立相关的账号和密码,同时在CRM系统中进行受理,CRM受理后将工单传递给激活平台,激活
7、平台进行施工,将账号信息传递给AAA平台和4A平台。这里需要注意:在受理工单时需指定相应的IP地址信息,以便后续进行权限控制。b)用户拨号直接到AAA平台进行认证;c)一旦该营业网点撤销,分公司需要在4A平台的组织架构中将该用户删除,删除后,4A平台将指令传递给AAA平台,由AAA平台将该用户相关信息也删除。2.3、权限访问控制及4A审计根据以上的方案能够IP地址和账号进行双重的权限控制。1IP地址:由于本次方案在CRM受理时就指定了IP地址,故能够在防火墙上建立相应的ACL策略,对相应IP地址能够访问的目的地址进行规定,某个级别的营业点只能访问CRM和计费系统,级别高的营业点能够访问CRM、
8、计费系统和终端管理系统等,管理人员和领导可具备全网通行的能力,这样可根据需求灵敏配置ACL策略,首先在三层上进行一次控制。2账号:由于账号是根据4A系统里面的组织架构进行设置了,故账号的权限和系统的权限是进行相应的绑定的,能够根据相应的账号寻找到所属的域,而某个域内的用户只能访问系统的诺干页面和内容,做到权限控制。由于用户地址和账号以及组织架构是逐一对应的,故一旦出现故障和其他安全事件,可通过相应的访问记录进行审计,确保信息安全。3、增值运营根据现有的网络架构和系统部署,能够对外提供MPLSVPN+VPDN解决方案,2台LNS设备与客户端CE设备建立MPLSVPN,大客户的员工通过VPDN拨入
9、LNS设备,AAA平台可根据后缀区分不同的设备厂商,并且根据策略分配不同的IP地址给员工客户端,LNS设备可根据不同的源IP地址区分,根据本身VRF路由表,将流量转发至相应的公司,这样员工就能够随时随地访问公司内部网络,而不需要先接入公网。网络拓扑图如下:4、结束语在中国电信集团提出的“一去二化新三者战略思想的指导下,任何网络系统建设都需要全面落实市场化运营,有效支撑前端业务需求。故在建设全省VPDN平台的时候,也充分的进行了市场调研,很多的连锁企业、跨地区公司都已经接入了MPLSVPN业务,且都有内部网络需要对在外的员工、合作伙伴开放。传统的IPSECVPN的局限性已无法知足客户需求,通过建设MPLSVPN+VPDN平台,除了能够解决IPSECVPN的局限性,同时也省去了企业搭建LNS平台的成本,方便简单安全,切实的解决了企业的实际需求。