安徽電信合肥分公司網(wǎng)絡(luò)監(jiān)控部 肖凱
在目前銀行�、證券、保險等重要金融客戶的組網(wǎng)方式中�����,SDH和ATM/FR占了絕大部分����。在滿足用戶高帶寬��、大容量數(shù)據(jù)通信要求的同時���,專網(wǎng)專用也滿足了該類用戶對數(shù)據(jù)高安全性的要求�。單一的網(wǎng)絡(luò)接入方式還是存在電路中斷的隱患�,因而為用戶提供有效、便捷的備用線路接入方式不僅可以減少用戶因主用電路的故障而造成的業(yè)務(wù)中斷損失�,也提高了運(yùn)營商對用戶電路的綜合保障能力。
一�、專網(wǎng)網(wǎng)絡(luò)現(xiàn)狀
目前大部分銀行、證券及保險等用戶網(wǎng)點(diǎn)的連接均使用ATM/FR或SDH電路����。其中的傳輸通道部分普遍采用光端機(jī)(PDH)或者SDH設(shè)備接入��,總體而言性能較穩(wěn)定��,帶寬也可以滿足用戶的通信需求。但是從安全性角度來考慮����,因?yàn)榻尤敕绞奖容^單一,而這部分用戶群體的日常業(yè)務(wù)又十分依賴通信線路的暢通���,一旦出現(xiàn)通信線路中斷�����,會對用戶造成很大的業(yè)務(wù)損失�����,既而對通信運(yùn)營商造成很壞的影響�����。因此有必要通過其他手段來進(jìn)行電路的安全備份�,在主用電路故障的基礎(chǔ)上�����,能夠自動切換到備份電路上�����,為主用電路的修復(fù)爭取時間,又可以最大限度地避免對用戶造成的損失�����。目前部分用戶使用傳統(tǒng)的ISDN電路作為備用電路�,但是這種電路方式由于技術(shù)限制,帶寬僅能達(dá)到256kbit/s��,在某些方面不能滿足用戶的需要��。在此提出一些其他方式的備份電路組網(wǎng)方案���,并對其進(jìn)行討論�。這些方案包括VPDN�、IPSecVPN和HDSL。
二�、具體備份電路的選擇
1.通過VPDN實(shí)現(xiàn)電路備份
VPDN的特點(diǎn)主要包括以下幾個方面
(1)接入方式簡單,可以實(shí)現(xiàn)多點(diǎn)連接到總部�,有效降低通信成本。(2)使用互聯(lián)網(wǎng)安全協(xié)議��,可以搭建L2TP隧道和IPSec隧道���,保證數(shù)據(jù)傳輸?shù)乃矫苄�����,?shí)現(xiàn)專網(wǎng)數(shù)據(jù)通信�����。(3)提供了專用VPDN賬號�����,“一次撥號��,兩次認(rèn)證”���,保證了單點(diǎn)接入的安全性。(4)采用DHCP方式分配地址�����,用戶可以定義私網(wǎng)IPPOOL的范圍和數(shù)量���,同Internet隔離實(shí)現(xiàn)安全可靠的傳輸���。(5)網(wǎng)絡(luò)覆蓋范圍廣���,實(shí)現(xiàn)簡單,接入價格低廉�����。(6)可以滿足移動辦公等需求����,可承載客戶第三方應(yīng)用,延伸了企業(yè)的內(nèi)部網(wǎng)�����。(7)采用電信局端VPN組網(wǎng)方式�����,客戶自身的成本大大降低�����,同時減少了網(wǎng)絡(luò)維護(hù)量。
VPDN的技術(shù)實(shí)現(xiàn)方式
(1)VPDN通過ADSL寬帶網(wǎng)進(jìn)行分支機(jī)構(gòu)的接入�,采用VPDN專用賬號撥入專用的認(rèn)證服務(wù)器來獲得認(rèn)證,在安全認(rèn)證通過之后才能接入VPDN服務(wù)器獲得企業(yè)網(wǎng)絡(luò)地址�,得到訪問企業(yè)網(wǎng)的權(quán)限(如果賬號認(rèn)證沒有通過則不具備聯(lián)網(wǎng)的功能)。分支機(jī)構(gòu)接入LNS服務(wù)器(L2TPNETWORKSERVER)���,通過MPLSVPN和總部相連,實(shí)現(xiàn)同總部的數(shù)據(jù)連接和共享�����。
(2)分支機(jī)構(gòu)使用自己的專用賬號通過ADSL撥號進(jìn)入VPDN認(rèn)證服務(wù)器獲得認(rèn)證����,用戶的身份經(jīng)過認(rèn)證之后,VPDN認(rèn)證服務(wù)器會通過LNS服務(wù)器建立可以通信的L2TP專用安全隧道�����,經(jīng)過MPLSVPN光纖接入總部內(nèi)部網(wǎng)���。用戶數(shù)據(jù)可以通過安全的隧道在總部和分支機(jī)構(gòu)之間進(jìn)行傳輸����,實(shí)現(xiàn)安全、快速����、私密的網(wǎng)絡(luò)接入和應(yīng)用。
2.通過IPSecVPN實(shí)現(xiàn)電路備份
IPSecVPN的特點(diǎn)主要包括以下幾個方面
(1)用戶不再承擔(dān)昂貴的固定線路的租費(fèi)�。連接長途分支機(jī)構(gòu)時,采用Internet作為傳輸骨干是非常便宜的�,帶寬還可以提高。(2)連接Internet的方式可以是10Mbit/s��、100Mbit/s的端口��,也可以是2Mbit/s或更低速的端口����,還可以是便宜的DSL連接,甚至撥號都可以連接Internet�。可以連接到任意Internet地點(diǎn)�,不受距離和運(yùn)營商的網(wǎng)絡(luò)限制。(3)IPSecVPN可以使企業(yè)通過公共網(wǎng)絡(luò)在公司總部和分支機(jī)構(gòu)之間建立快捷�、安全、可靠的通信��,這種連接方式在概念上等同于傳統(tǒng)廣域網(wǎng)WAN�����。(4)遠(yuǎn)程的IP話音業(yè)務(wù)和視頻也可傳送到遠(yuǎn)端分支和移動用戶,連同數(shù)據(jù)業(yè)務(wù)一起為現(xiàn)代化辦公提供便利條件��,節(jié)省大量長途話費(fèi)���。(5)IPSecVPN的顯著特點(diǎn)就是它的安全性�,這是它保證內(nèi)部數(shù)據(jù)安全的根本��。在VPN交換機(jī)上����,通過多種方式保證層層安全�。
IPSecVPN的技術(shù)實(shí)現(xiàn)方式
在公司總部使用一臺相對高端的VPN設(shè)備作為公司內(nèi)部網(wǎng)的防火墻,利用其內(nèi)帶的VPN網(wǎng)關(guān)功能�����,為全公司提供VPN接入�。各分支機(jī)構(gòu)選用VPN接入端設(shè)備作為公司防火墻和區(qū)域VPN節(jié)點(diǎn)。VPN設(shè)備通過ADSL或者LAN的方式連接Internet�,通過建立點(diǎn)對點(diǎn)的IPSec通道,實(shí)現(xiàn)總部和分支機(jī)構(gòu)之間的通信��,并保證數(shù)據(jù)通信的安全性和完整性。
3.通過HDSL實(shí)現(xiàn)電路備份
HDSL的特點(diǎn)主要包括以下幾個方面
(1)HDSL用兩對雙絞銅線雙向?qū)ΨQ傳輸數(shù)字信號�,傳輸速率為1168kbit/s,提供2048kbit/s的E1業(yè)務(wù)���。(2)提供標(biāo)準(zhǔn)E1接口��。(3)HDSL無中繼傳輸距離為3km~5km���,比傳統(tǒng)的PCM要長一倍以上。它對雙絞銅線的要求沒有傳統(tǒng)設(shè)備那樣嚴(yán)格��,所以安裝方便���,一般不用中繼�����。(4)交直流供電和遠(yuǎn)供電��,直流為4~20VDC����,交流為220V(接電源適配器)���。(5)HDSL有若干編碼����,如基帶編碼方式(PAM)、正交幅度調(diào)制(QAM)�、無載波調(diào)幅調(diào)相(CAP)等。它用這些特殊的編碼和調(diào)制方式提高傳送質(zhì)量并延長傳輸距離���。(6)HDSL用多對線并行傳輸��,以降低一對線上的傳輸速率����,進(jìn)一步延長無中繼傳輸距離�����。(7)提高網(wǎng)絡(luò)管理(監(jiān)測����、故障診斷等)功能�����。
HDSL的技術(shù)實(shí)現(xiàn)方式
在各分支機(jī)構(gòu)機(jī)房放置一臺HDSL,通過銅纜雙絞線與機(jī)房HDSL相連�����,利用HDSL提供的標(biāo)準(zhǔn)E1電纜接入機(jī)房ATM設(shè)備的E1FR接口����,在公司總部中心機(jī)房側(cè)提供一條ATM155Mbit/s接口,中間通過ATM網(wǎng)絡(luò)為用戶提供中心機(jī)房至分支機(jī)構(gòu)的ATM/FRPVC電路連接�����。該組網(wǎng)結(jié)構(gòu)示意如圖1所示���。
三�����、不同備份線路方式之間的比較
VPDN技術(shù)嚴(yán)格說屬于VPN的一種�����,但與普通的通過公網(wǎng)組建VPN不同的是��,VPDN是建立在電話網(wǎng)的基礎(chǔ)上��,組網(wǎng)方式類似與ADSL�,因此VPDN的最大好處就是方便,電話開通的地方即可采用這種方式組網(wǎng)�,用戶無需增加過多的額外投資。其缺點(diǎn)是受電話網(wǎng)(PSTN)本身的網(wǎng)絡(luò)限制���,上行帶寬一般限制在512kbit/s~1Mbit/s左右����,對數(shù)據(jù)流量大的用戶可能無法滿足要求���。
IPSecVPN通過公網(wǎng)組建�����,用戶只需要在平時上網(wǎng)所用的路由器上做相應(yīng)的VPN配置即可�,由于利用城域網(wǎng)的線路����,現(xiàn)在的單位用戶基本已經(jīng)全部使用10Mbit/s甚至100Mbit/s的網(wǎng)絡(luò)出口����,因此保障了帶寬的需求��,但另一方面由于需要新增路由器配置��,此方式增加了用戶端機(jī)房的維護(hù)操作和管理的復(fù)雜性���,同時,由于數(shù)據(jù)通過公網(wǎng)傳輸����,它需采用軟件加密的方式,因此在安全性上還有一定的不足�。
HDSL與前兩種方式比較而言,既能滿足用戶對帶寬的需求�����,又因?yàn)槲锢砭路的獨(dú)立而最大限度的保障了數(shù)據(jù)的安全性����。但此種方式相當(dāng)于為用戶重新搭建一套網(wǎng)絡(luò)系統(tǒng),所以設(shè)備和線路投資都較大�。
因此,綜上所述��,每種組網(wǎng)方式各有其優(yōu)劣性,對資金較充足的用戶���,還是建議采用第三種組網(wǎng)方式���,對投入較為敏感的用戶,則可以采用前兩種方式作為一種臨時性的電路應(yīng)急方案���。在通信運(yùn)營市場競爭日益激烈的今天����,努力提高用戶電路的保障能力����,急用戶之所急,想用戶之所想�����,才能最大限度地提高用戶的企業(yè)感知度�,提升通信運(yùn)營商在用戶心目中的品牌地位。
