黃鵬 江西省郵電規(guī)劃設(shè)計(jì)院有限公司IT設(shè)計(jì)研究院 南昌市 330000

電信運(yùn)營(yíng)商全省集中VPDN平臺(tái)部署方案

黃鵬 江西省郵電規(guī)劃設(shè)計(jì)院有限公司IT設(shè)計(jì)研究院 南昌市 330000

首先分析了目前分布式VPDN平臺(tái)的網(wǎng)絡(luò)架構(gòu)、平臺(tái)運(yùn)營(yíng)和安全狀況，并且對(duì)現(xiàn)網(wǎng)情況進(jìn)行逐一分析，總結(jié)需求，提出問(wèn)題。針對(duì)以上情況提出集中建設(shè)方案，同時(shí)結(jié)合市場(chǎng)需求，改變傳統(tǒng)建設(shè)思路，以市場(chǎng)為導(dǎo)向，對(duì)外提供增值運(yùn)營(yíng)。

集約化 VPDN L2TP隧道 安全 訪問(wèn)權(quán)限 增值運(yùn)營(yíng)

0、前言

隨著電信運(yùn)營(yíng)商網(wǎng)絡(luò)和系統(tǒng)集約化建設(shè)，目前分布在全省各地市的VPDN和VPN平臺(tái)無(wú)論是擴(kuò)容建設(shè)還是后續(xù)的維護(hù)管理，都無(wú)法適應(yīng)集約化建設(shè)的發(fā)展。同時(shí)網(wǎng)絡(luò)和系統(tǒng)安全問(wèn)題已日益嚴(yán)重，這也是當(dāng)前VPDN系統(tǒng)所存在的問(wèn)題，如何確保安全運(yùn)營(yíng)是擺在建設(shè)和維護(hù)人員面前的一個(gè)嚴(yán)峻挑戰(zhàn)。

1、分布式VPDN平臺(tái)現(xiàn)狀

目前某電信運(yùn)營(yíng)商在全省各地市均建設(shè)有VPDN平臺(tái)，主要用于本市合作營(yíng)業(yè)廳撥號(hào)接入DCN網(wǎng)開(kāi)通業(yè)務(wù)，以及外出員工撥入DCN網(wǎng)辦公使用。營(yíng)業(yè)廳主要使用ADSL接入，采用L2TP技術(shù)撥入DCN網(wǎng)，稍大的營(yíng)業(yè)廳使用專線接入，采用PPTP技術(shù)撥入DCN網(wǎng)。員工可采用PPTP撥入DCN網(wǎng)，也可采用SSL VPN進(jìn)行登錄，這取決于本地網(wǎng)VPN設(shè)備類型和能力。

考慮到各地市在組網(wǎng)架構(gòu)、業(yè)務(wù)開(kāi)通、運(yùn)行維護(hù)上基本相同，主要是設(shè)備形態(tài)不一樣，故本文通過(guò)選取一個(gè)本地網(wǎng)作為案例進(jìn)行分析說(shuō)明。

1.1、組網(wǎng)說(shuō)明

目前某運(yùn)營(yíng)商在地市一般都建設(shè)有IP城域網(wǎng)和DCN網(wǎng)，其中IP城域網(wǎng)主要用于公眾用戶接入訪問(wèn)互聯(lián)網(wǎng)、企業(yè)用戶VPN專線接入以及承載自營(yíng)業(yè)務(wù)使用；而DCN網(wǎng)主要是用于維護(hù)的網(wǎng)絡(luò)以及提供支撐和維護(hù)服務(wù)的系統(tǒng)接入。

目前地市設(shè)置一臺(tái)防火墻作為VPDN接入設(shè)備，通過(guò)將防火墻作為L(zhǎng)NS設(shè)備與BRAS設(shè)備（作為L(zhǎng)AC）建立L2TP隧道，為營(yíng)業(yè)廳用戶提供VPDN撥入。同時(shí)可直接作為PPTP服務(wù)端，專線大營(yíng)業(yè)廳和公司員工均可使用PC上的VPN撥號(hào)軟件直接撥入，進(jìn)而接入到DCN網(wǎng)。下圖為地市VPDN網(wǎng)絡(luò)拓?fù)鋱D。

1.2、賬號(hào)開(kāi)通及使用流程

1）賬號(hào)命名：營(yíng)業(yè)廳和員工賬號(hào)目前在設(shè)置上均無(wú)標(biāo)準(zhǔn)化規(guī)則，存在較大的隨意性。營(yíng)業(yè)廳的賬號(hào)一般采用地名、合作方代表姓名進(jìn)行命名，如丁公路68號(hào)營(yíng)業(yè)廳，命名為dinggongroad68@nc.vpdn；公司員工一般使用名字+部門(mén)進(jìn)行命名，如市場(chǎng)部張三，命名為zhangsan.shichang；但是由于沒(méi)有有效的監(jiān)管、審查流程，造成現(xiàn)在的賬號(hào)可隨意設(shè)置，導(dǎo)致單從賬號(hào)上無(wú)法定位到具體的營(yíng)業(yè)廳和員工個(gè)人，還需要到系統(tǒng)里面進(jìn)行詳細(xì)核查，這也為平時(shí)的運(yùn)維以及事后的審計(jì)造成很大的難度。

2）賬號(hào)開(kāi)通：營(yíng)業(yè)廳的賬號(hào)均需通過(guò)CRM進(jìn)行受理，然后CRM系統(tǒng)將工單傳遞給激活系統(tǒng)，再由激活系統(tǒng)將賬號(hào)、密碼等信息同步給AAA平臺(tái)；而員工以及大營(yíng)業(yè)廳的PPTP賬號(hào)則直接由地市運(yùn)維人員在防火墻上進(jìn)行開(kāi)通設(shè)置，沒(méi)有經(jīng)過(guò)CRM系統(tǒng)受理。

3）賬號(hào)登陸使用：營(yíng)業(yè)廳通過(guò)PPPOE撥號(hào)軟件輸入相關(guān)的用戶名和密碼進(jìn)行撥號(hào)，BRAS設(shè)備（LAC功能）收到撥號(hào)請(qǐng)求后將發(fā)送至AAA進(jìn)行認(rèn)證（建設(shè)在BRAS設(shè)備上配置有LNS的地址，以便建立L2TP隧道），認(rèn)證通過(guò)后隨即分配DCN網(wǎng)IP地址給客戶端PC，拿到地址后，營(yíng)業(yè)廳PC即可登陸DCN網(wǎng)進(jìn)行業(yè)務(wù)受理。員工和專線營(yíng)業(yè)廳則需要先登陸公網(wǎng)，再通過(guò)撥號(hào)軟件撥入DCN網(wǎng)即可進(jìn)行相應(yīng)的訪問(wèn)。

1.3、存在問(wèn)題

1.3.1、安全機(jī)制

1）設(shè)備安全：目前各地市由于建設(shè)成本原因，都只設(shè)置了一臺(tái)防火墻設(shè)備，盡管設(shè)備采用雙上行連接城域網(wǎng)核心路由器和地市DCN網(wǎng)核心路由器，一旦設(shè)備出現(xiàn)故障所帶業(yè)務(wù)將無(wú)法通過(guò)其他設(shè)備進(jìn)行接管，將全面影響到全市營(yíng)業(yè)廳的業(yè)務(wù)辦理，無(wú)法達(dá)到電信級(jí)高可靠性的運(yùn)營(yíng)標(biāo)準(zhǔn)。

2）設(shè)備故障：各地市購(gòu)置的LNS設(shè)備（百兆防火墻）均是在2005年左右設(shè)置的，設(shè)備嚴(yán)重老化且早已出保，廠商早已不再生產(chǎn)和提供維保，已經(jīng)處于故障頻發(fā)期。

1.3.2、管理機(jī)制

1）賬號(hào)設(shè)置管理：賬號(hào)設(shè)置無(wú)序且無(wú)組織架構(gòu)，在后續(xù)的管理上存在很大的漏洞，特別是事后審計(jì)和基于組織架構(gòu)的準(zhǔn)入策略部署。

2）賬號(hào)撤銷：VPDN的賬號(hào)開(kāi)通需經(jīng)過(guò)CRM系統(tǒng)，但由于管理缺陷，如果某營(yíng)業(yè)廳撤銷了，那么這個(gè)賬號(hào)則無(wú)人在CRM上進(jìn)行相關(guān)撤銷操作，也沒(méi)有其他措施對(duì)這個(gè)賬號(hào)進(jìn)行管理，累積下來(lái)，AAA中存在大量的無(wú)效賬號(hào)信息，而這些信息一旦外泄（營(yíng)業(yè)網(wǎng)點(diǎn)外聘人員流動(dòng)很大），被人利用則會(huì)造成企業(yè)信息泄露等安全事件發(fā)生。

1.3.3、能力擴(kuò)展

隨著電信運(yùn)營(yíng)商渠道的快速建設(shè)，目前各運(yùn)營(yíng)商都在搶占龐大的農(nóng)村市場(chǎng)，需要在鄉(xiāng)鎮(zhèn)、農(nóng)村建立大量的營(yíng)業(yè)網(wǎng)點(diǎn)，而目前LNS設(shè)備（百兆防火墻設(shè)備）均是在2005年左右購(gòu)置的，設(shè)備能力有限，無(wú)法滿足日益增長(zhǎng)的VPDN撥入需求。

1.3.4、訪問(wèn)權(quán)限

1）IP地址訪問(wèn)權(quán)限：由于目前的VPDN地址是隨即分配的，故不同等級(jí)的代理營(yíng)業(yè)網(wǎng)點(diǎn)所獲取的地址都具備全網(wǎng)通行的能力，這無(wú)疑是非常不安全的，甚至?xí)?duì)DCN網(wǎng)內(nèi)的其他平臺(tái)造成安全攻擊（一般營(yíng)業(yè)網(wǎng)點(diǎn)人員安全意識(shí)不高，電腦拔插U盤(pán)等存儲(chǔ)設(shè)備容易使電腦中毒，從而造成對(duì)DCN網(wǎng)內(nèi)系統(tǒng)的攻擊）。

2）賬號(hào)訪問(wèn)權(quán)限：一般系統(tǒng)會(huì)對(duì)賬號(hào)進(jìn)行權(quán)限設(shè)置，如只讀、部分功能訪問(wèn)等，但目前由于賬號(hào)的設(shè)置沒(méi)有組織架構(gòu)，故無(wú)法區(qū)分賬號(hào)使用者的等級(jí)，故目前大多數(shù)的賬號(hào)都具備全系統(tǒng)通行的能力，如可訪問(wèn)CRM系統(tǒng)的全部功能，這勢(shì)必會(huì)造成信息安全問(wèn)題。

2、全省集中式建設(shè)方案

根據(jù)上面的分析同時(shí)結(jié)合集約化建設(shè)，統(tǒng)籌考慮工程造價(jià)等因素，建議采用全省集中的方式建設(shè)VPDN平臺(tái)，以接入全省各地市的營(yíng)業(yè)廳網(wǎng)點(diǎn)和解決員工移動(dòng)辦公。

2.1、組網(wǎng)架構(gòu)

1）平臺(tái)組網(wǎng)

在省中心設(shè)置2套VPDN設(shè)備，關(guān)于設(shè)備選型建議采用BRAS設(shè)備，主要是因?yàn)锽RAS設(shè)備在電信運(yùn)營(yíng)商使用較多，運(yùn)維人員可熟練的進(jìn)行維護(hù)管理，同時(shí)設(shè)備擴(kuò)展性較高，只需擴(kuò)容license和端口及可進(jìn)行線性擴(kuò)展。

網(wǎng)絡(luò)架構(gòu)圖如下：

通過(guò)設(shè)置2臺(tái)防火墻和2臺(tái)LNS設(shè)備組建省中心VPDN系統(tǒng)，防火墻和LNS設(shè)備分別通過(guò)雙上行的方式接入上級(jí)設(shè)備，所有鏈路均通過(guò)路由實(shí)現(xiàn)安全負(fù)載和備份。

2）L2TP隧道建立

省中心平臺(tái)設(shè)置了2臺(tái)LNS設(shè)備，考慮到安全負(fù)載，本期不再在BRAS(LAC)上配置LNS的IP地址，主要是配置靜態(tài)IP地址，一旦LNS出現(xiàn)故障后，需要逐一登陸到BRAS（LAC）上進(jìn)行修改，加上故障查找的時(shí)間和逐一登陸LAC配置，故障恢復(fù)時(shí)間較長(zhǎng)，無(wú)法滿足電信級(jí)業(yè)務(wù)運(yùn)營(yíng)標(biāo)準(zhǔn)。

動(dòng)態(tài)LNS地址下發(fā)方案：在BRAS與LNS建立L2TP隧道的時(shí)候，由AAA系統(tǒng)指定LNS的地址給BRAS設(shè)備（LAC），動(dòng)態(tài)的建立隧道，當(dāng)這臺(tái)BRAS下第二個(gè)用戶發(fā)起連接時(shí)，這臺(tái)BRAS會(huì)根據(jù)AAA給出的另外一個(gè)LNS地址與第二臺(tái)LNS也建立L2TP隧道，總共會(huì)建立2條 L2TP隧道，當(dāng)然這樣可以線性擴(kuò)展，如果有3臺(tái)LNS，那么就可以建立3條L2TP隧道。這樣這臺(tái)LAC下后續(xù)用戶發(fā)起連接時(shí)，會(huì)遵循輪詢算法把流量負(fù)載給2臺(tái)LNS，滿足負(fù)載備份功能。而且一旦某一臺(tái)LNS出現(xiàn)故障，都不會(huì)影響現(xiàn)有業(yè)務(wù)。

2.2、賬號(hào)開(kāi)通及使用流程

1）AAA認(rèn)證仍然采用固網(wǎng)AAA平臺(tái)，但是需要固網(wǎng)AAA平臺(tái)與信息化部的4A平臺(tái)開(kāi)發(fā)相應(yīng)的接口，實(shí)現(xiàn)以下功能：

a) AAA平臺(tái)需要將現(xiàn)有的VPDN用戶相關(guān)信息通過(guò)接口傳遞給4A平臺(tái)，由4A平臺(tái)建立相關(guān)的組織架構(gòu)。

b)一旦某用戶賬號(hào)信息需要撤銷、修改等，由4A平臺(tái)把相關(guān)指令傳遞給AAA平臺(tái)，AAA平臺(tái)做出相應(yīng)的措施，如刪除某VPDN賬號(hào)信息。

2）用戶的賬號(hào)申請(qǐng)及開(kāi)通由分公司負(fù)責(zé)，4A平臺(tái)能夠具備分權(quán)分域的功能，流程如下：

a) 新建營(yíng)業(yè)廳，分公司接到開(kāi)通賬號(hào)的需求，在4A平臺(tái)組織架構(gòu)中建立相關(guān)的賬號(hào)和密碼，同時(shí)在CRM系統(tǒng)中進(jìn)行受理，CRM受理后將工單傳遞給激活平臺(tái)，激活平臺(tái)進(jìn)行施工，將賬號(hào)信息傳遞給AAA平臺(tái)和4A平臺(tái)。這里需要注意：在受理工單時(shí)需指定相應(yīng)的IP地址信息，以便后續(xù)進(jìn)行權(quán)限控制。

b) 用戶撥號(hào)直接到AAA平臺(tái)進(jìn)行認(rèn)證；

c) 一旦該營(yíng)業(yè)網(wǎng)點(diǎn)撤銷，分公司需要在4A平臺(tái)的組織架構(gòu)中將該用戶刪除，刪除后，4A平臺(tái)將指令傳遞給AAA平臺(tái)，由AAA平臺(tái)將該用戶相關(guān)信息也刪除。

2.3、權(quán)限訪問(wèn)控制及4A審計(jì)

根據(jù)以上的方案可以IP地址和賬號(hào)進(jìn)行雙重的權(quán)限控制。

1）IP地址：由于本次方案在CRM受理時(shí)就指定了IP地址，故可以在防火墻上建立相應(yīng)的ACL策略，對(duì)相應(yīng)IP地址能夠訪問(wèn)的目標(biāo)地址進(jìn)行規(guī)定，某個(gè)級(jí)別的營(yíng)業(yè)點(diǎn)只能訪問(wèn)CRM和計(jì)費(fèi)系統(tǒng)，級(jí)別高的營(yíng)業(yè)點(diǎn)可以訪問(wèn)CRM、計(jì)費(fèi)系統(tǒng)和終端管理系統(tǒng)等，管理人員和領(lǐng)導(dǎo)可具備全網(wǎng)通行的能力，這樣可根據(jù)需求靈活配置ACL策略，首先在三層上進(jìn)行一次控制。

2）賬號(hào)：由于賬號(hào)是根據(jù)4A系統(tǒng)里面的組織架構(gòu)進(jìn)行設(shè)置了，故賬號(hào)的權(quán)限和系統(tǒng)的權(quán)限是進(jìn)行相應(yīng)的綁定的，可以根據(jù)相應(yīng)的賬號(hào)尋找到所屬的域，而某個(gè)域內(nèi)的用戶只能訪問(wèn)系統(tǒng)的諾干頁(yè)面和內(nèi)容，做到權(quán)限控制。

由于用戶地址和賬號(hào)以及組織架構(gòu)是一一對(duì)應(yīng)的，故一旦出現(xiàn)故障和其他安全事件，可通過(guò)相應(yīng)的訪問(wèn)記錄進(jìn)行審計(jì)，確保信息安全。

3、增值運(yùn)營(yíng)

根據(jù)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和系統(tǒng)部署，可以對(duì)外提供MPLS VPN+VPDN解決方案，2臺(tái)LNS設(shè)備與客戶端CE設(shè)備建立MPLS VPN，大客戶的員工通過(guò)VPDN撥入LNS設(shè)備，AAA平臺(tái)可根據(jù)后綴區(qū)分不同的設(shè)備廠商，并且根據(jù)策略分配不同的IP地址給員工客戶端，LNS設(shè)備可根據(jù)不同的源IP地址區(qū)分，根據(jù)自身VRF路由表，將流量轉(zhuǎn)發(fā)至相應(yīng)的公司，這樣員工就可以隨時(shí)隨地訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，而不需要先接入公網(wǎng)。

網(wǎng)絡(luò)拓?fù)鋱D如下：

4、結(jié)束語(yǔ)

在中國(guó)電信集團(tuán)提出的“一去二化新三者”戰(zhàn)略思想的指導(dǎo)下，任何網(wǎng)絡(luò)系統(tǒng)建設(shè)都需要全面落實(shí)市場(chǎng)化運(yùn)營(yíng)，有效支撐前端業(yè)務(wù)需求。故在建設(shè)全省VPDN平臺(tái)的時(shí)候，也充分的進(jìn)行了市場(chǎng)調(diào)研，很多的連鎖企業(yè)、跨地區(qū)公司都已經(jīng)接入了MPLS VPN業(yè)務(wù)，且都有內(nèi)部網(wǎng)絡(luò)需要對(duì)在外的員工、合作伙伴開(kāi)放。傳統(tǒng)的IPSEC VPN的局限性已無(wú)法滿足客戶需求，通過(guò)建設(shè)MPLS VPN+VPDN平臺(tái)，除了可以解決IPSEC VPN的局限性，同時(shí)也省去了企業(yè)搭建LNS平臺(tái)的成本，方便簡(jiǎn)單安全，切實(shí)的解決了企業(yè)的實(shí)際需求。

1009-0940(2014)-2-0010-04

2014-4-07