电信运营商全省集中VPDN平台部署方案

2014-07-02 01:31黄鹏江西省邮电规划设计院有限公司IT设计研究院南昌市330000
江西通信科技 2014年2期
关键词:营业厅IP地址账号

黄鹏 江西省邮电规划设计院有限公司IT设计研究院 南昌市 330000

电信运营商全省集中VPDN平台部署方案

黄鹏 江西省邮电规划设计院有限公司IT设计研究院 南昌市 330000

首先分析了目前分布式VPDN平台的网络架构、平台运营和安全状况,并且对现网情况进行逐一分析,总结需求,提出问题。针对以上情况提出集中建设方案,同时结合市场需求,改变传统建设思路,以市场为导向,对外提供增值运营。

集约化 VPDN L2TP隧道 安全 访问权限 增值运营

0、前言

随着电信运营商网络和系统集约化建设,目前分布在全省各地市的VPDN和VPN平台无论是扩容建设还是后续的维护管理,都无法适应集约化建设的发展。同时网络和系统安全问题已日益严重,这也是当前VPDN系统所存在的问题,如何确保安全运营是摆在建设和维护人员面前的一个严峻挑战。

1、分布式VPDN平台现状

目前某电信运营商在全省各地市均建设有VPDN平台,主要用于本市合作营业厅拨号接入DCN网开通业务,以及外出员工拨入DCN网办公使用。营业厅主要使用ADSL接入,采用L2TP技术拨入DCN网,稍大的营业厅使用专线接入,采用PPTP技术拨入DCN网。员工可采用PPTP拨入DCN网,也可采用SSL VPN进行登录,这取决于本地网VPN设备类型和能力。

考虑到各地市在组网架构、业务开通、运行维护上基本相同,主要是设备形态不一样,故本文通过选取一个本地网作为案例进行分析说明。

1.1、组网说明

目前某运营商在地市一般都建设有IP城域网和DCN网,其中IP城域网主要用于公众用户接入访问互联网、企业用户VPN专线接入以及承载自营业务使用;而DCN网主要是用于维护的网络以及提供支撑和维护服务的系统接入。

目前地市设置一台防火墙作为VPDN接入设备,通过将防火墙作为LNS设备与BRAS设备(作为LAC)建立L2TP隧道,为营业厅用户提供VPDN拨入。同时可直接作为PPTP服务端,专线大营业厅和公司员工均可使用PC上的VPN拨号软件直接拨入,进而接入到DCN网。下图为地市VPDN网络拓扑图。

1.2、账号开通及使用流程

1)账号命名:营业厅和员工账号目前在设置上均无标准化规则,存在较大的随意性。营业厅的账号一般采用地名、合作方代表姓名进行命名,如丁公路68号营业厅,命名为dinggongroad68@nc.vpdn;公司员工一般使用名字+部门进行命名,如市场部张三,命名为zhangsan.shichang;但是由于没有有效的监管、审查流程,造成现在的账号可随意设置,导致单从账号上无法定位到具体的营业厅和员工个人,还需要到系统里面进行详细核查,这也为平时的运维以及事后的审计造成很大的难度。

2)账号开通:营业厅的账号均需通过CRM进行受理,然后CRM系统将工单传递给激活系统,再由激活系统将账号、密码等信息同步给AAA平台;而员工以及大营业厅的PPTP账号则直接由地市运维人员在防火墙上进行开通设置,没有经过CRM系统受理。

3)账号登陆使用:营业厅通过PPPOE拨号软件输入相关的用户名和密码进行拨号,BRAS设备(LAC功能)收到拨号请求后将发送至AAA进行认证(建设在BRAS设备上配置有LNS的地址,以便建立L2TP隧道),认证通过后随即分配DCN网IP地址给客户端PC,拿到地址后,营业厅PC即可登陆DCN网进行业务受理。员工和专线营业厅则需要先登陆公网,再通过拨号软件拨入DCN网即可进行相应的访问。

1.3、存在问题

1.3.1、安全机制

1)设备安全:目前各地市由于建设成本原因,都只设置了一台防火墙设备,尽管设备采用双上行连接城域网核心路由器和地市DCN网核心路由器,一旦设备出现故障所带业务将无法通过其他设备进行接管,将全面影响到全市营业厅的业务办理,无法达到电信级高可靠性的运营标准。

2)设备故障:各地市购置的LNS设备(百兆防火墙)均是在2005年左右设置的,设备严重老化且早已出保,厂商早已不再生产和提供维保,已经处于故障频发期。

1.3.2、管理机制

1)账号设置管理:账号设置无序且无组织架构,在后续的管理上存在很大的漏洞,特别是事后审计和基于组织架构的准入策略部署。

2)账号撤销:VPDN的账号开通需经过CRM系统,但由于管理缺陷,如果某营业厅撤销了,那么这个账号则无人在CRM上进行相关撤销操作,也没有其他措施对这个账号进行管理,累积下来,AAA中存在大量的无效账号信息,而这些信息一旦外泄(营业网点外聘人员流动很大),被人利用则会造成企业信息泄露等安全事件发生。

1.3.3、能力扩展

随着电信运营商渠道的快速建设,目前各运营商都在抢占庞大的农村市场,需要在乡镇、农村建立大量的营业网点,而目前LNS设备(百兆防火墙设备)均是在2005年左右购置的,设备能力有限,无法满足日益增长的VPDN拨入需求。

1.3.4、访问权限

1)IP地址访问权限:由于目前的VPDN地址是随即分配的,故不同等级的代理营业网点所获取的地址都具备全网通行的能力,这无疑是非常不安全的,甚至会对DCN网内的其他平台造成安全攻击(一般营业网点人员安全意识不高,电脑拔插U盘等存储设备容易使电脑中毒,从而造成对DCN网内系统的攻击)。

2)账号访问权限:一般系统会对账号进行权限设置,如只读、部分功能访问等,但目前由于账号的设置没有组织架构,故无法区分账号使用者的等级,故目前大多数的账号都具备全系统通行的能力,如可访问CRM系统的全部功能,这势必会造成信息安全问题。

2、全省集中式建设方案

根据上面的分析同时结合集约化建设,统筹考虑工程造价等因素,建议采用全省集中的方式建设VPDN平台,以接入全省各地市的营业厅网点和解决员工移动办公。

2.1、组网架构

1)平台组网

在省中心设置2套VPDN设备,关于设备选型建议采用BRAS设备,主要是因为BRAS设备在电信运营商使用较多,运维人员可熟练的进行维护管理,同时设备扩展性较高,只需扩容license和端口及可进行线性扩展。

网络架构图如下:

通过设置2台防火墙和2台LNS设备组建省中心VPDN系统,防火墙和LNS设备分别通过双上行的方式接入上级设备,所有链路均通过路由实现安全负载和备份。

2)L2TP隧道建立

省中心平台设置了2台LNS设备,考虑到安全负载,本期不再在BRAS(LAC)上配置LNS的IP地址,主要是配置静态IP地址,一旦LNS出现故障后,需要逐一登陆到BRAS(LAC)上进行修改,加上故障查找的时间和逐一登陆LAC配置,故障恢复时间较长,无法满足电信级业务运营标准。

动态LNS地址下发方案:在BRAS与LNS建立L2TP隧道的时候,由AAA系统指定LNS的地址给BRAS设备(LAC),动态的建立隧道,当这台BRAS下第二个用户发起连接时,这台BRAS会根据AAA给出的另外一个LNS地址与第二台LNS也建立L2TP隧道,总共会建立2条 L2TP隧道,当然这样可以线性扩展,如果有3台LNS,那么就可以建立3条L2TP隧道。这样这台LAC下后续用户发起连接时,会遵循轮询算法把流量负载给2台LNS,满足负载备份功能。而且一旦某一台LNS出现故障,都不会影响现有业务。

2.2、账号开通及使用流程

1)AAA认证仍然采用固网AAA平台,但是需要固网AAA平台与信息化部的4A平台开发相应的接口,实现以下功能:

a) AAA平台需要将现有的VPDN用户相关信息通过接口传递给4A平台,由4A平台建立相关的组织架构。

b)一旦某用户账号信息需要撤销、修改等,由4A平台把相关指令传递给AAA平台,AAA平台做出相应的措施,如删除某VPDN账号信息。

2)用户的账号申请及开通由分公司负责,4A平台能够具备分权分域的功能,流程如下:

a) 新建营业厅,分公司接到开通账号的需求,在4A平台组织架构中建立相关的账号和密码,同时在CRM系统中进行受理,CRM受理后将工单传递给激活平台,激活平台进行施工,将账号信息传递给AAA平台和4A平台。这里需要注意:在受理工单时需指定相应的IP地址信息,以便后续进行权限控制。

b) 用户拨号直接到AAA平台进行认证;

c) 一旦该营业网点撤销,分公司需要在4A平台的组织架构中将该用户删除,删除后,4A平台将指令传递给AAA平台,由AAA平台将该用户相关信息也删除。

2.3、权限访问控制及4A审计

根据以上的方案可以IP地址和账号进行双重的权限控制。

1)IP地址:由于本次方案在CRM受理时就指定了IP地址,故可以在防火墙上建立相应的ACL策略,对相应IP地址能够访问的目标地址进行规定,某个级别的营业点只能访问CRM和计费系统,级别高的营业点可以访问CRM、计费系统和终端管理系统等,管理人员和领导可具备全网通行的能力,这样可根据需求灵活配置ACL策略,首先在三层上进行一次控制。

2)账号:由于账号是根据4A系统里面的组织架构进行设置了,故账号的权限和系统的权限是进行相应的绑定的,可以根据相应的账号寻找到所属的域,而某个域内的用户只能访问系统的诺干页面和内容,做到权限控制。

由于用户地址和账号以及组织架构是一一对应的,故一旦出现故障和其他安全事件,可通过相应的访问记录进行审计,确保信息安全。

3、增值运营

根据现有的网络架构和系统部署,可以对外提供MPLS VPN+VPDN解决方案,2台LNS设备与客户端CE设备建立MPLS VPN,大客户的员工通过VPDN拨入LNS设备,AAA平台可根据后缀区分不同的设备厂商,并且根据策略分配不同的IP地址给员工客户端,LNS设备可根据不同的源IP地址区分,根据自身VRF路由表,将流量转发至相应的公司,这样员工就可以随时随地访问公司内部网络,而不需要先接入公网。

网络拓扑图如下:

4、结束语

在中国电信集团提出的“一去二化新三者”战略思想的指导下,任何网络系统建设都需要全面落实市场化运营,有效支撑前端业务需求。故在建设全省VPDN平台的时候,也充分的进行了市场调研,很多的连锁企业、跨地区公司都已经接入了MPLS VPN业务,且都有内部网络需要对在外的员工、合作伙伴开放。传统的IPSEC VPN的局限性已无法满足客户需求,通过建设MPLS VPN+VPDN平台,除了可以解决IPSEC VPN的局限性,同时也省去了企业搭建LNS平台的成本,方便简单安全,切实的解决了企业的实际需求。

1009-0940(2014)-2-0010-04

2014-4-07

猜你喜欢
营业厅IP地址账号
彤彤的聊天账号
施诈计骗走游戏账号
铁路远动系统几种组网方式IP地址的申请和设置
我国社交媒体账号的对外传播之道——以“人民日报”Facebook账号“特朗普访华”议题报道为例
高速公路ETC网上营业厅的设计与实现
IP地址切换器(IPCFG)
银行自助营业厅智能应用解决方案
基于SNMP的IP地址管理系统开发与应用
供电营业厅全智能信息交互服务平台研究
公安网络中IP地址智能管理的研究与思考