中国电信计算机综合服务管理系统网络建设方案

-计算机综合效劳管理系统网络建立方案中国电信数据业务一、概述数据业务计算机综合效劳管理系统是中国电信顺应市场的需要和企业管理的需求，利用先进的计算机技术、多媒体技术和通信技术相结合建立的管理系统。该系统面向各类数据通信网和增值业务平台，提供相应的业务管理，旨在为管理者构筑一个数据业务效劳管理平台，组织、协调和标准各环节的工作，实现各环节的闭环管理，到达集中管理、分布作业、规模经营的目的，提高电信数据业务的效劳质量和综合管理水平。数据业务计算机综合效劳管理系统在管理架构上采用三级组织构造，如图1所示。基于图1所示的组织构造，该系统由“三级应用系统、二级处理平台、一级数据网关构成。全国及省级的数据业务处理通过广域网分别在相应的全国或省级数据处理平台完成，而本地数据业务处理则通过广域网在省级数据处理平台完成。整个业务管理系统基于Web数据库的三层客户/效劳器方式运行和操作。整个系统网络采用TCP/IP网络通信协议，Browser/Server网络体系构造。图1 对应前述的数据效劳三级组织构造，建立三级应用系统，即全国数据业务效劳管理系统(简称“全国系统)、省级数据业务效劳管理系统(简称“省级系统)和本地数据业务效劳管理系统(简称“本地系统)，如图2所示。建立内容主要包括全国中心和31个省级区域中心。网络通信系统设备主要包括支持IP VPN功能、防火墙功能的路由设备及配套电缆、局域网交换机、网络管理软件。图2 二、需求分析整个系统中网络通信系统采用TCP/IP网络通信协议，Browser/Server网络体系构造。在该工程网络通信系统建立方案中，全国数据业务效劳管理中心与省级数据业务效劳管理中心之间使用多媒体通信网(169网)组成采用IP隧道技术的专线IP VPN。为了增强VPN的平安性，采用IPsec标准。同时全国数据业务效劳管理中心与省级数据业务效劳管理中心还应提供拨号IP VPN业务，并提供平安措施。根据169网的体制，其网络分为骨干网和省内网两个层次，各级中心作为169网用户只能就近接入省内网。省级数据业务效劳管理中心与本地数据业务效劳管理中心之间联接方案目前可利用省内DDN网/*.25网实现网络通信设备专线连接，也可采用多媒体通信网(169网)组成采用IP隧道技术的专线IP VPN。为了增强VPN的平安性，采用IPsec标准的方式。本地数据业务效劳管理中心网络设备通过数据业务网关与市话“九七工程网络设备联接，本地网中心还要与数据业务受理点联结。此外省内局部本地网中心内业务受理点还可利用拨号IP VPN方式直接访问省级数据业务效劳管理中心效劳器。三、方案简介3建议的网络方案是，全国数据业务效劳管理中心与31个省级数据业务效劳管理中心的局域网交换机采用3可堆叠的10/100M快速以太网交换机SuperStack II Switch 3300。Switch 3300提供12个10/100M自适应的以太网端口，并提供升级能力。而IP VPN功能路由器选用3领先的隧道交换机PathBuilder S590。PathBuilder S590提供2个10/100M自适应的以太网端口，4个Fle*WAN端口和4个PRI/CE1/E1 UltraWAN端口。全国中心和31个省市中心之间通过多媒体通信网(169网)采用IP隧道技术组成专线IP VPN，同时采用IPsec保障VPN的平安性。而各个省级数据业务效劳管理中心与其所属的本地数据业务效劳管理中心之间的联接方案有多种：一是通过省内DDN/*25/帧中继网联接组网；二是通过网/ISDN网拨号接入；三是通过省多媒体通信网(169网)，采用IP隧道技术组成IP-VPN专网。每个省可根据具体情况任选一种组网方式。3解决方案系统构造如图3所示，全国中心及省中心设备及连接示意图如图4所示。图3 3建议支持IP VPN功能的路由设备采用专门为VPN而设计的隧道交换机PathBuilder S590。PBS500系列隧道交换机采用的隧道方式有两种：PPTP，作为一种事实上的工业标准，目前大多数厂家均支持该标准；L2TP，作为下一代的隧道协议，是PPTP和L2F隧道功能的集合。PPTP作为一种事实上的工业标准，已经被广泛实现并提供已有很长一段时间了，目前微软的点到点加密MPPE已在PPTP连接上提供。而L2TP则是PPTP和L2F的结合，与PPTP非常相似，标准尚处于开展之中，其隧道并不局限于TCP/IP，但是目前仅支持IP。眼下尚无L2TP客户端软件提供，不过微软已宣布在其Windows 2000中支持L2TP，3也将在其新版的DynamicAccess软件中提供L2TP客户端软件。PPTP和L2TP的主要区别在三个方面：一是PPTP采用TCP，而L2TP采用UDP；二是PPTP要求IP连接，而L2TP则不一定是IP连接；三是PPTP插入GRP*，而L2TP被看作是PPP的延伸。图4 无论是PPTP还是L2TP，本身并不提供加密能力，因而必须依赖于其他协议来提供加密能力。IPSec协议集则定义了终端系统或网络之间通过公共网络如何平安通信。IPSec既可运行在L2TP上，也可运行在PPTP上。PathBuilder S590隧道交换机，既可发起又可终止PPTP和/或L2TP隧道，既可用于RAS远程访问效劳应用，也可用于LAN到LAN即路由器到路由器VPN应用。1. 远程拨号方式建立VPN RAS方式建立VPN时，隧道的发起有两种方式：一种是由客户端发起；另一种是由客户端拨号到PathBuilder S590、3 NETBuilder路由器或其他访问效劳器(统称RAS)时，由RAS设备发起隧道。由客户端发起隧道时，可使用由3和Micrososft合作开发的点对点隧道协议(PPTP)。目前，Windows 95、98和NT 4.0都支持PPTP，这使得绝大多数的桌面计算机可以初始化一个VPN。由RAS设备发起隧道时，RAS设备既可采用PPTP隧道协议，也可采用L2TP隧道协议。2. 虚拟专线方式建立VPN 指在路由器与路由器之间直接建立VPN通道，PBS590、PathBuilder S5*系列隧道交换机和NETBuilder系列路由器可配置成隧道发起器/终结器(Initiator/terminator)，这样传统的企业网可过渡到利用虚拟专线VLL组建的VPN。在这种方式下，用户可设置PPTP/L2TP隧道以专线方式运作，如果隧道出现故障，还可预先设置一条拨号线路备份，此时所有业务将通过备份线路进展传送。当备份线路工作时，PBS5*和/NETBuilder路由器将试着重建PPTP/L2TP隧道。一旦隧道重新建立起来，所有的业务信息传送将切换到隧道上，而备份线路然后自动切断。3. 方案特点及产品介绍1)独一无二的隧道交换功能作为专门为VPN而设计的隧道交换机，PBS590使得用户能够级联VPN设备从而能够扩展网络平台。更重要的是，隧道交换机能够允许用户将VPN穿过防火墙延伸到LAN内部，这样数据包可在企业网络环境内部的不同管理区域终结，而内部的隧道终结器(Terminator)对隧道起始器(Initiator)而言是不可知的，进一步增强企业网的平安性和提高了建立VPN的灵活性。PathBuilder S590系列隧道交换机能够：分别交换呼入PPTP或L2TP隧道到呼出PPTP或L2TP；在到达隧道用户之前，可在公共LAN上提供认证，这允许远程用户通过一条直接的隧道或一条透过公共IP网络的隧道与防火墙之外的专用LAN通信而无需在防火墙上产生平安性漏洞。隧道交换示意图如图5所示。图5 2)支持各种最为先进的平安和加密算法，为网络的平安运行提供了可靠的保障PathBuilder S5*系列隧道交换机和NETBuilder系列路由器提供一系列的平安/加密手段保证用户数据的平安性，包括：Key Encryption Key(KEK)；MPPE，Microsoft提出的点到点加密算法，内置在Windows 95、98和NT 4.0之内；EAP，它是一种能够用在PPP链路上的新的认证协议；IPSec，是一套协议集，定义了终端系统或网络之间通过公共网络时如何做到平安通信。IPSec将平安性直接综合到IP中去。IPSec提供三个方面的平安性：认证、完整性、*性。3)内置的专用硬件加密芯片和可支持CE1的广域网端口3公司的PathBuilder S5*系列隧道交换机采用专门为加密而设计的特殊加密ASIC芯片则专门完成数据加密等占用CPU资源的任务，能够提供2000个以上的并行VPN隧道，100Mbps以上的DES线速度加密，其RAM为160MB，可升级到256MB。4)高性能、高可靠性的IP防火墙功能本方案所用3公司PathBuilder S5*系列交换机和NETBuilder系列路由器的IP防火墙功能具有以下突出优点：工业界最简单、最易使用的防火墙路由器；全系列平安特性；第一家L3防火墙得到ICSA认证的路由器厂家。PathBuilder和NETBuilder均支持地址转换(NAT)，包括：静态地址转换、动态地址转换等。一旦数据包中包含有ESP或AH*，包将不被NAT所转换，这些包将不作如何处理地通过NAT。PathBuilder S5*隧道交换机和NETBuilder系列路由器支持动态主机配置协议(DHCP)，本身可以作为一个DHCP效劳器，从而可以通过一个公共池管理IP地址的使用。DHCP效劳器可以在一段时间里动态地分配IP地址和一套主机配置给请求的客户，当客户不再使用IP地址或分配使用的时间到时，效劳器能够重新将IP地址放回地址池。5)VPN的效劳质量保障对于通过VPN虚拟专线组建的企业网而言，PathBuilder S5*隧道交换机和NETBuilder系列路由器提供两种方法保障VPN的效劳质量：一是企业网数据包被加上IPTOS优先级，企业网与NSP(169)协商对高优先级业务提供更好的效劳；二是通过RSVP协议预留带宽。PathBuilder S5*系列隧道交换机和NETBuilder系列路由器均支持可变长度掩码(VLSM)技术和CIDR。6)VPN网络管理3的Transcend Netwotk Control Service提供设备的配置管理、故障管理、性能管理、虚拟网络管理和平安*管理。Transcend Secure VPN Manager则是一个强大的VPN网络Web管理工具。该工具含盖VPN的配置、VPN监测和VPN故障查找。对VPN监测而言，Secure VPN Manager能够以直观而又明了的图形格式实时显示隧道状态信息。同时该VPN Manager亦能够在非常事件发生时提供故障查找信息，如：从不可知的外部源而来的失败的隧道发起努力。监测信息包括： VPN事件、隧道使用、VPN统计、VPN告警。7)全方位的网络平安措施由于该网络是为内部管理应用效劳，应用中包括用户资源、网络资源等关键数据，同时网络架构在169网上，因此系统对平安要求很高。3针对这些特点提供了一整套的平安性解决方案，包括：隧道、加密、基于Token的平安性、第三层防火墙、RADIUS效劳器、密钥管理、认证效劳器、平安性管理。基于上述优点及3公司在VPN上的技术、产品优势，使3公司最终赢得这一目前为止在中国市场上最大的VPN应用方案。 田战耕2000年02月21日 10:35. z.