本站小編為你精心準備了電信運營商VPDN平臺部署方案參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《江西通信科技雜志》2014年第二期

1、存在問題

1.1、安全機制1）設備安全：目前各地市由于建設成本原因，都只設置了一臺防火墻設備，盡管設備采用雙上行連接城域網核心路由器和地市DCN網核心路由器，一旦設備出現故障所帶業務將無法通過其他設備進行接管，將全面影響到全市營業廳的業務辦理，無法達到電信級高可靠性的運營標準。2）設備故障：各地市購置的LNS設備（百兆防火墻）均是在2005年左右設置的，設備嚴重老化且早已出保，廠商早已不再生產和提供維保，已經處于故障頻發期。

1.2、管理機制1）賬號設置管理：賬號設置無序且無組織架構，在后續的管理上存在很大的漏洞，特別是事后審計和基于組織架構的準入策略部署。2）賬號撤銷：VPDN的賬號開通需經過CRM系統，但由于管理缺陷，如果某營業廳撤銷了，那么這個賬號則無人在CRM上進行相關撤銷操作，也沒有其他措施對這個賬號進行管理，累積下來，AAA中存在大量的無效賬號信息，而這些信息一旦外泄（營業網點外聘人員流動很大），被人利用則會造成企業信息泄露等安全事件發生。

1.3、能力擴展隨著電信運營商渠道的快速建設，目前各運營商都在搶占龐大的農村市場，需要在鄉鎮、農村建立大量的營業網點，而目前LNS設備（百兆防火墻設備）均是在2005年左右購置的，設備能力有限，無法滿足日益增長的vpdn撥入需求。1.3.4、訪問權限1）IP地址訪問權限：由于目前的VPDN地址是隨即分配的，故不同等級的營業網點所獲取的地址都具備全網通行的能力，這無疑是非常不安全的，甚至會對DCN網內的其他平臺造成安全攻擊（一般營業網點人員安全意識不高，電腦拔插U盤等存儲設備容易使電腦中毒，從而造成對DCN網內系統的攻擊）。2）賬號訪問權限：一般系統會對賬號進行權限設置，如只讀、部分功能訪問等，但目前由于賬號的設置沒有組織架構，故無法區分賬號使用者的等級，故目前大多數的賬號都具備全系統通行的能力，如可訪問CRM系統的全部功能，這勢必會造成信息安全問題。

2、全省集中式建設方案

根據上面的分析同時結合集約化建設，統籌考慮工程造價等因素，建議采用全省集中的方式建設VPDN平臺，以接入全省各地市的營業廳網點和解決員工移動辦公。

2.1、組網架構1）平臺組網在省中心設置2套VPDN設備，關于設備選型建議采用BRAS設備，主要是因為BRAS設備在電信運營商使用較多，運維人員可熟練的進行維護管理，同時設備擴展性較高，只需擴容license和端口及可進行線性擴展。網絡架構圖如下：通過設置2臺防火墻和2臺LNS設備組建省中心VPDN系統，防火墻和LNS設備分別通過雙上行的方式接入上級設備，所有鏈路均通過路由實現安全負載和備份。2）L2TP隧道建立省中心平臺設置了2臺LNS設備，考慮到安全負載，本期不再在BRAS(LAC)上配置LNS的IP地址，主要是配置靜態IP地址，一旦LNS出現故障后，需要逐一登陸到BRAS（LAC）上進行修改，加上故障查找的時間和逐一登陸LAC配置，故障恢復時間較長，無法滿足電信級業務運營標準。動態LNS地址下發方案：在BRAS與LNS建立L2TP隧道的時候，由AAA系統指定LNS的地址給BRAS設備（LAC），動態的建立隧道，當這臺BRAS下第二個用戶發起連接時，這臺BRAS會根據AAA給出的另外一個LNS地址與第二臺LNS也建立L2TP隧道，總共會建立2條L2TP隧道，當然這樣可以線性擴展，如果有3臺LNS，那么就可以建立3條L2TP隧道。這樣這臺LAC下后續用戶發起連接時，會遵循輪詢算法把流量負載給2臺LNS，滿足負載備份功能。而且一旦某一臺LNS出現故障，都不會影響現有業務。

2.2、賬號開通及使用流程1）AAA認證仍然采用固網AAA平臺，但是需要固網AAA平臺與信息化部的4A平臺開發相應的接口，實現以下功能：a)AAA平臺需要將現有的VPDN用戶相關信息通過接口傳遞給4A平臺，由4A平臺建立相關的組織架構。b)一旦某用戶賬號信息需要撤銷、修改等，由4A平臺把相關指令傳遞給AAA平臺，AAA平臺做出相應的措施，如刪除某VPDN賬號信息。2）用戶的賬號申請及開通由分公司負責，4A平臺能夠具備分權分域的功能，流程如下：a)新建營業廳，分公司接到開通賬號的需求，在4A平臺組織架構中建立相關的賬號和密碼，同時在CRM系統中進行受理，CRM受理后將工單傳遞給激活平臺，激活平臺進行施工，將賬號信息傳遞給AAA平臺和4A平臺。這里需要注意：在受理工單時需指定相應的IP地址信息，以便后續進行權限控制。b)用戶撥號直接到AAA平臺進行認證；c)一旦該營業網點撤銷，分公司需要在4A平臺的組織架構中將該用戶刪除，刪除后，4A平臺將指令傳遞給AAA平臺，由AAA平臺將該用戶相關信息也刪除。

2.3、權限訪問控制及4A審計根據以上的方案可以IP地址和賬號進行雙重的權限控制。1）IP地址：由于本次方案在CRM受理時就指定了IP地址，故可以在防火墻上建立相應的ACL策略，對相應IP地址能夠訪問的目標地址進行規定，某個級別的營業點只能訪問CRM和計費系統，級別高的營業點可以訪問CRM、計費系統和終端管理系統等，管理人員和領導可具備全網通行的能力，這樣可根據需求靈活配置ACL策略，首先在三層上進行一次控制。2）賬號：由于賬號是根據4A系統里面的組織架構進行設置了，故賬號的權限和系統的權限是進行相應的綁定的，可以根據相應的賬號尋找到所屬的域，而某個域內的用戶只能訪問系統的諾干頁面和內容，做到權限控制。由于用戶地址和賬號以及組織架構是一一對應的，故一旦出現故障和其他安全事件，可通過相應的訪問記錄進行審計，確保信息安全。

3、增值運營

根據現有的網絡架構和系統部署，可以對外提供MPLSVPN+VPDN解決方案，2臺LNS設備與客戶端CE設備建立MPLSVPN，大客戶的員工通過VPDN撥入LNS設備，AAA平臺可根據后綴區分不同的設備廠商，并且根據策略分配不同的IP地址給員工客戶端，LNS設備可根據不同的源IP地址區分，根據自身VRF路由表，將流量轉發至相應的公司，這樣員工就可以隨時隨地訪問公司內部網絡，而不需要先接入公網。網絡拓撲圖如下：

4、結束語

在中國電信集團提出的“一去二化新三者”戰略思想的指導下，任何網絡系統建設都需要全面落實市場化運營，有效支撐前端業務需求。故在建設全省VPDN平臺的時候，也充分的進行了市場調研，很多的連鎖企業、跨地區公司都已經接入了MPLSVPN業務，且都有內部網絡需要對在外的員工、合作伙伴開放。傳統的IPSECVPN的局限性已無法滿足客戶需求，通過建設MPLSVPN+VPDN平臺，除了可以解決IPSECVPN的局限性，同時也省去了企業搭建LNS平臺的成本，方便簡單安全，切實的解決了企業的實際需求。

作者：黃鵬單位：江西省郵電規劃設計院有限公司IT設計研究院