呂子虎

摘 要：河南有線電視網(wǎng)絡集團數(shù)字化整轉(zhuǎn)大局中，各地市出現(xiàn)的業(yè)務辦理和管理先進性的需求，現(xiàn)將各地市營業(yè)廳以MPLS-VPN的方式引入到數(shù)據(jù)網(wǎng)中，和省中心BOSS系統(tǒng)互連；利用VPN技術(shù)在數(shù)據(jù)公網(wǎng)上建立營業(yè)廳業(yè)務內(nèi)部虛擬專網(wǎng)， 提高終端接入和組網(wǎng)的可靠性和安全性。保證營業(yè)廳業(yè)務辦理的便捷和用戶信息的安全管理，實現(xiàn)營業(yè)廳全省互連，全省互通，統(tǒng)一管理，安全有效的戰(zhàn)略布局。

關(guān)鍵詞：VPN；營業(yè)廳數(shù)據(jù)隔離

針對目前河南有線電視網(wǎng)絡集團數(shù)字化整轉(zhuǎn)大局中，各地市出現(xiàn)的業(yè)務辦理和管理先進性的需求，現(xiàn)將各地市營業(yè)廳以MPLS-VPN的方式引入到數(shù)據(jù)網(wǎng)中，和省中心BOSS系統(tǒng)互連；利用VPN技術(shù)在數(shù)據(jù)公網(wǎng)上建立營業(yè)廳業(yè)務內(nèi)部虛擬專網(wǎng)，提高終端接入和組網(wǎng)的可靠性和安全性。保證營業(yè)廳業(yè)務辦理的便捷和用戶信息的安全管理，實現(xiàn)營業(yè)廳全省互連，全省互通，統(tǒng)一管理，安全有效的戰(zhàn)略布局；提升對營業(yè)廳系統(tǒng)運維操作的監(jiān)管能力，提高公司網(wǎng)絡信息安全管理和運維水平。

⑴實現(xiàn)營業(yè)廳VPN通道的安全性。充分利用VPN的三個技術(shù)特點：隧道協(xié)議、身份驗證和數(shù)據(jù)加密；在身份驗證過程中產(chǎn)生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密，保證各項業(yè)務在專線通信中的安全性。

⑵更安全的路由保護策略。初期的營業(yè)廳和BOSS互聯(lián)是核心交換機思科6509E和BOSS防火墻路由互指，來實現(xiàn)營業(yè)廳普通數(shù)據(jù)的互通；重新建設的營業(yè)廳聯(lián)網(wǎng)將訪問外網(wǎng)和訪問BOSS系統(tǒng)的數(shù)據(jù)劃分開，并將訪問BOSS的流量放進VPN里；同時在防火墻和6509之前起trunk保證業(yè)務流量的高速帶寬。

⑶實現(xiàn)多項數(shù)據(jù)的隔離性。各個網(wǎng)點在和省中心數(shù)據(jù)的同步和交互時，通過使用準確的身份驗證和加密手段對于敏感的數(shù)據(jù)進行分隔；只有企業(yè)內(nèi)部擁有適當權(quán)限的用戶才能通過遠程訪問建立與服務器的VPN連接，才可以訪問網(wǎng)絡中受到保護的敏感資源。

⑷實現(xiàn)營業(yè)廳管理的及時性和高效性。將營業(yè)廳服務器和省中心BOSS系統(tǒng)互連；實時同步數(shù)據(jù)和用戶信息更新，實現(xiàn)營業(yè)網(wǎng)點、Radius服務器和數(shù)據(jù)中心之間的專屬隧道連接。

⑸實現(xiàn)業(yè)務管理的統(tǒng)一性。對營業(yè)廳工作人員賬號的權(quán)限分配和操作進行統(tǒng)一管理和監(jiān)控，針對不同的業(yè)務進行精細劃分和集中管理；發(fā)揮業(yè)務支撐系統(tǒng)和管理系統(tǒng)的協(xié)調(diào)性優(yōu)勢。

1 主要技術(shù)創(chuàng)新點

⑴安全通信的可靠性：充分利用VPN特點從三個方面：隧道協(xié)議、身份驗證和數(shù)據(jù)加密著手提高互聯(lián)網(wǎng)絡的安全系數(shù)。營業(yè)廳終端向省中心服務器發(fā)出請求，服務器響應請求并向終端發(fā)出身份質(zhì)詢，終端將加密的響應信息發(fā)送到服務器，服務器根據(jù)用戶數(shù)據(jù)庫檢查該響應，并根據(jù)賬戶相應的權(quán)限給出對應的響應；VPN安全功能模塊可有效地避免安全隱患，保障數(shù)據(jù)安全。

⑵精確路由控制和準入原則：改變原有的營業(yè)廳和BOSS互聯(lián)方式，將營業(yè)廳訪問公網(wǎng)和訪問BOSS的數(shù)據(jù)分別對待；后者劃給新的vlan并加入vpn中，在BOSS系統(tǒng)側(cè)的防火墻上采用“準入原則”和“華三inode”接入認證；保證訪問BOSS系統(tǒng)時的可控性和高安全性。

⑶信息共享協(xié)調(diào)性：營業(yè)廳數(shù)據(jù)通過和省中心的BOSS系統(tǒng)對接后，能提供完善的用戶管理、賬號管理、行為審計等多種服務手段的同時，確保系統(tǒng)本身的信息收集和資源共享；針對新增客戶需求和業(yè)務類型及時反饋給后臺業(yè)務支撐，根據(jù)用戶的需求做出及時調(diào)整和迅速響應。

⑷業(yè)務辦理的可操作性：營業(yè)廳作為面對客戶群體的重要接觸單元，應保證處理用戶需求的方便快捷，針對省內(nèi)資源共享下的賬號應能提供全方位、多層次、立體化的服務；保障用戶辦理一號通。

⑸后臺管理的統(tǒng)一性：營業(yè)廳互聯(lián)系統(tǒng)除了具有良好的人機操作界面、更好的提示信息，方便系統(tǒng)管理人員使用外；還著重將前臺數(shù)據(jù)轉(zhuǎn)化為后臺分析和業(yè)務統(tǒng)計的第一手資料，并對營業(yè)廳具體操作進行科學化管理和模塊化分析。

⑹系統(tǒng)整體擴展性：營業(yè)廳互聯(lián)架構(gòu)在合理需求的擴容時，應不改變組網(wǎng)結(jié)構(gòu)，保證系統(tǒng)性能，能滿足河南有線業(yè)務發(fā)展的需求；能夠提供開放和完整的API接口供二次開發(fā)使用。

2 項目詳細內(nèi)容

河南有線營業(yè)廳安全和聯(lián)網(wǎng)項目是在河南有線電視數(shù)字化整轉(zhuǎn)的浪潮下，為滿足新形勢的需求采取的新型互聯(lián)網(wǎng)方案；主要由路由器、交換機、服務器、編解碼設備等多種硬件及軟件系統(tǒng)組成，業(yè)務包括數(shù)據(jù)、傳輸、業(yè)務支撐、業(yè)務管理四個系統(tǒng)；每個地市的總前端和分前端都具備完整的互聯(lián)架構(gòu)和可實施環(huán)境，面對逐步推開的全省數(shù)字化整轉(zhuǎn)，舊的營業(yè)廳聯(lián)網(wǎng)模式只具備基本職能，已無法滿足新型業(yè)務市場的需求。

新的互聯(lián)網(wǎng)方案把直面客戶群的營業(yè)廳，當做信息采集的最前沿終端；將客戶的需求第一時間準確、安全、有效的反饋給省中心BOSS系統(tǒng)；后臺系統(tǒng)通過第一手資料的統(tǒng)計和分析做出準確的響應，給出完善的服務需求對操作者給出詳細的提示和注解；并在數(shù)據(jù)交互的過程中保證用戶信息的隱私和安全，保證整體系統(tǒng)的高速運轉(zhuǎn)和平穩(wěn)過渡。

結(jié)合目前河南有線整體數(shù)據(jù)網(wǎng)絡的特點，首先采用MPLS-VPN技術(shù)將整套系統(tǒng)引入到各個地市的數(shù)據(jù)城域網(wǎng)中。其次將營業(yè)廳聯(lián)網(wǎng)和市中心BOSS系統(tǒng)（業(yè)務管理支撐系統(tǒng)）通過VPN引入對接，將營業(yè)廳的數(shù)據(jù)交由BOSS進行全省范圍的匯總統(tǒng)計和分析；及時將用戶需求變成對用戶的響應。再次將營業(yè)廳向上訪問的數(shù)據(jù)分門別類，訪問外網(wǎng)的走普通路由訪問省中心BOSS系統(tǒng)的走VPN業(yè)務，同時在BOSS防火墻上準入原則和H3Cinode接入認證技術(shù)。

[參考文獻]

[1]陳良寬.《計算機網(wǎng)絡與建筑智能化系統(tǒng)集成》.中國建筑工業(yè)出版社，2003.3.

[2]胡遠萍，張治元.《計算機組網(wǎng)技術(shù)》.高等教育出版社，2003.6.

[3]周建軍.一種新型存儲體系結(jié)構(gòu)——SAN[J].電子計算機，2001.10.