电信运营商VPDN平台部署方案范文

《江西通信科技杂志》2014年第二期

1、存在问题

1.1、安全机制1）设备安全：目前各地市由于建设成本原因，都只设置了一台防火墙设备，尽管设备采用双上行连接城域网核心路由器和地市DCN网核心路由器，一旦设备出现故障所带业务将无法通过其他设备进行接管，将全面影响到全市营业厅的业务办理，无法达到电信级高可靠性的运营标准。2）设备故障：各地市购置的LNS设备（百兆防火墙）均是在2005年左右设置的，设备严重老化且早已出保，厂商早已不再生产和提供维保，已经处于故障频发期。

1.2、管理机制1）账号设置管理：账号设置无序且无组织架构，在后续的管理上存在很大的漏洞，特别是事后审计和基于组织架构的准入策略部署。2）账号撤销：VPDN的账号开通需经过CRM系统，但由于管理缺陷，如果某营业厅撤销了，那么这个账号则无人在CRM上进行相关撤销操作，也没有其他措施对这个账号进行管理，累积下来，AAA中存在大量的无效账号信息，而这些信息一旦外泄（营业网点外聘人员流动很大），被人利用则会造成企业信息泄露等安全事件发生。

1.3、能力扩展随着电信运营商渠道的快速建设，目前各运营商都在抢占庞大的农村市场，需要在乡镇、农村建立大量的营业网点，而目前LNS设备（百兆防火墙设备）均是在2005年左右购置的，设备能力有限，无法满足日益增长的VPDN拨入需求。1.3.4、访问权限1）IP地址访问权限：由于目前的VPDN地址是随即分配的，故不同等级的营业网点所获取的地址都具备全网通行的能力，这无疑是非常不安全的，甚至会对DCN网内的其他平台造成安全攻击（一般营业网点人员安全意识不高，电脑拔插U盘等存储设备容易使电脑中毒，从而造成对DCN网内系统的攻击）。2）账号访问权限：一般系统会对账号进行权限设置，如只读、部分功能访问等，但目前由于账号的设置没有组织架构，故无法区分账号使用者的等级，故目前大多数的账号都具备全系统通行的能力，如可访问CRM系统的全部功能，这势必会造成信息安全问题。

2、全省集中式建设方案

根据上面的分析同时结合集约化建设，统筹考虑工程造价等因素，建议采用全省集中的方式建设VPDN平台，以接入全省各地市的营业厅网点和解决员工移动办公。

2.1、组网架构1）平台组网在省中心设置2套VPDN设备，关于设备选型建议采用BRAS设备，主要是因为BRAS设备在电信运营商使用较多，运维人员可熟练的进行维护管理，同时设备扩展性较高，只需扩容license和端口及可进行线性扩展。网络架构图如下：通过设置2台防火墙和2台LNS设备组建省中心VPDN系统，防火墙和LNS设备分别通过双上行的方式接入上级设备，所有链路均通过路由实现安全负载和备份。2）L2TP隧道建立省中心平台设置了2台LNS设备，考虑到安全负载，本期不再在BRAS(LAC)上配置LNS的IP地址，主要是配置静态IP地址，一旦LNS出现故障后，需要逐一登陆到BRAS（LAC）上进行修改，加上故障查找的时间和逐一登陆LAC配置，故障恢复时间较长，无法满足电信级业务运营标准。动态LNS地址下发方案：在BRAS与LNS建立L2TP隧道的时候，由AAA系统指定LNS的地址给BRAS设备（LAC），动态的建立隧道，当这台BRAS下第二个用户发起连接时，这台BRAS会根据AAA给出的另外一个LNS地址与第二台LNS也建立L2TP隧道，总共会建立2条L2TP隧道，当然这样可以线性扩展，如果有3台LNS，那么就可以建立3条L2TP隧道。这样这台LAC下后续用户发起连接时，会遵循轮询算法把流量负载给2台LNS，满足负载备份功能。而且一旦某一台LNS出现故障，都不会影响现有业务。

2.2、账号开通及使用流程1）AAA认证仍然采用固网AAA平台，但是需要固网AAA平台与信息化部的4A平台开发相应的接口，实现以下功能：a)AAA平台需要将现有的VPDN用户相关信息通过接口传递给4A平台，由4A平台建立相关的组织架构。b)一旦某用户账号信息需要撤销、修改等，由4A平台把相关指令传递给AAA平台，AAA平台做出相应的措施，如删除某VPDN账号信息。2）用户的账号申请及开通由分公司负责，4A平台能够具备分权分域的功能，流程如下：a)新建营业厅，分公司接到开通账号的需求，在4A平台组织架构中建立相关的账号和密码，同时在CRM系统中进行受理，CRM受理后将工单传递给激活平台，激活平台进行施工，将账号信息传递给AAA平台和4A平台。这里需要注意：在受理工单时需指定相应的IP地址信息，以便后续进行权限控制。b)用户拨号直接到AAA平台进行认证；c)一旦该营业网点撤销，分公司需要在4A平台的组织架构中将该用户删除，删除后，4A平台将指令传递给AAA平台，由AAA平台将该用户相关信息也删除。

2.3、权限访问控制及4A审计根据以上的方案可以IP地址和账号进行双重的权限控制。1）IP地址：由于本次方案在CRM受理时就指定了IP地址，故可以在防火墙上建立相应的ACL策略，对相应IP地址能够访问的目标地址进行规定，某个级别的营业点只能访问CRM和计费系统，级别高的营业点可以访问CRM、计费系统和终端管理系统等，管理人员和领导可具备全网通行的能力，这样可根据需求灵活配置ACL策略，首先在三层上进行一次控制。2）账号：由于账号是根据4A系统里面的组织架构进行设置了，故账号的权限和系统的权限是进行相应的绑定的，可以根据相应的账号寻找到所属的域，而某个域内的用户只能访问系统的诺干页面和内容，做到权限控制。由于用户地址和账号以及组织架构是一一对应的，故一旦出现故障和其他安全事件，可通过相应的访问记录进行审计，确保信息安全。

3、增值运营

根据现有的网络架构和系统部署，可以对外提供MPLSVPN+VPDN解决方案，2台LNS设备与客户端CE设备建立MPLSVPN，大客户的员工通过VPDN拨入LNS设备，AAA平台可根据后缀区分不同的设备厂商，并且根据策略分配不同的IP地址给员工客户端，LNS设备可根据不同的源IP地址区分，根据自身VRF路由表，将流量转发至相应的公司，这样员工就可以随时随地访问公司内部网络，而不需要先接入公网。网络拓扑图如下：

4、结束语

在中国电信集团提出的“一去二化新三者”战略思想的指导下，任何网络系统建设都需要全面落实市场化运营，有效支撑前端业务需求。故在建设全省VPDN平台的时候，也充分的进行了市场调研，很多的连锁企业、跨地区公司都已经接入了MPLSVPN业务，且都有内部网络需要对在外的员工、合作伙伴开放。传统的IPSECVPN的局限性已无法满足客户需求，通过建设MPLSVPN+VPDN平台，除了可以解决IPSECVPN的局限性，同时也省去了企业搭建LNS平台的成本，方便简单安全，切实的解决了企业的实际需求。

作者：黄鹏单位：江西省邮电规划设计院有限公司IT设计研究院