安徽電信合肥分公司網(wǎng)絡(luò)監(jiān)控部 肖凱
在目前銀行、證券�����、保險(xiǎn)等重要金融客戶(hù)的組網(wǎng)方式中��,SDH和ATM/FR占了絕大部分�����。在滿(mǎn)足用戶(hù)高帶寬�、大容量數(shù)據(jù)通信要求的同時(shí),專(zhuān)網(wǎng)專(zhuān)用也滿(mǎn)足了該類(lèi)用戶(hù)對(duì)數(shù)據(jù)高安全性的要求��。單一的網(wǎng)絡(luò)接入方式還是存在電路中斷的隱患��,因而為用戶(hù)提供有效、便捷的備用線(xiàn)路接入方式不僅可以減少用戶(hù)因主用電路的故障而造成的業(yè)務(wù)中斷損失�,也提高了運(yùn)營(yíng)商對(duì)用戶(hù)電路的綜合保障能力。
一�����、專(zhuān)網(wǎng)網(wǎng)絡(luò)現(xiàn)狀
目前大部分銀行��、證券及保險(xiǎn)等用戶(hù)網(wǎng)點(diǎn)的連接均使用ATM/FR或SDH電路��。其中的傳輸通道部分普遍采用光端機(jī)(PDH)或者SDH設(shè)備接入����,總體而言性能較穩(wěn)定���,帶寬也可以滿(mǎn)足用戶(hù)的通信需求�����。但是從安全性角度來(lái)考慮�,因?yàn)榻尤敕绞奖容^單一����,而這部分用戶(hù)群體的日常業(yè)務(wù)又十分依賴(lài)通信線(xiàn)路的暢通��,一旦出現(xiàn)通信線(xiàn)路中斷��,會(huì)對(duì)用戶(hù)造成很大的業(yè)務(wù)損失�����,既而對(duì)通信運(yùn)營(yíng)商造成很壞的影響����。因此有必要通過(guò)其他手段來(lái)進(jìn)行電路的安全備份���,在主用電路故障的基礎(chǔ)上��,能夠自動(dòng)切換到備份電路上���,為主用電路的修復(fù)爭(zhēng)取時(shí)間,又可以最大限度地避免對(duì)用戶(hù)造成的損失���。目前部分用戶(hù)使用傳統(tǒng)的ISDN電路作為備用電路���,但是這種電路方式由于技術(shù)限制,帶寬僅能達(dá)到256kbit/s����,在某些方面不能滿(mǎn)足用戶(hù)的需要���。在此提出一些其他方式的備份電路組網(wǎng)方案,并對(duì)其進(jìn)行討論�����。這些方案包括VPDN�����、IPSecVPN和HDSL�����。
二���、具體備份電路的選擇
1.通過(guò)VPDN實(shí)現(xiàn)電路備份
VPDN的特點(diǎn)主要包括以下幾個(gè)方面
(1)接入方式簡(jiǎn)單,可以實(shí)現(xiàn)多點(diǎn)連接到總部��,有效降低通信成本�����。(2)使用互聯(lián)網(wǎng)安全協(xié)議,可以搭建L2TP隧道和IPSec隧道��,保證數(shù)據(jù)傳輸?shù)乃矫苄��,?shí)現(xiàn)專(zhuān)網(wǎng)數(shù)據(jù)通信���。(3)提供了專(zhuān)用VPDN賬號(hào)����,“一次撥號(hào)��,兩次認(rèn)證”�,保證了單點(diǎn)接入的安全性。(4)采用DHCP方式分配地址�,用戶(hù)可以定義私網(wǎng)IPPOOL的范圍和數(shù)量,同Internet隔離實(shí)現(xiàn)安全可靠的傳輸�����。(5)網(wǎng)絡(luò)覆蓋范圍廣�����,實(shí)現(xiàn)簡(jiǎn)單,接入價(jià)格低廉�����。(6)可以滿(mǎn)足移動(dòng)辦公等需求�����,可承載客戶(hù)第三方應(yīng)用���,延伸了企業(yè)的內(nèi)部網(wǎng)�����。(7)采用電信局端VPN組網(wǎng)方式����,客戶(hù)自身的成本大大降低����,同時(shí)減少了網(wǎng)絡(luò)維護(hù)量。
VPDN的技術(shù)實(shí)現(xiàn)方式
(1)VPDN通過(guò)ADSL寬帶網(wǎng)進(jìn)行分支機(jī)構(gòu)的接入��,采用VPDN專(zhuān)用賬號(hào)撥入專(zhuān)用的認(rèn)證服務(wù)器來(lái)獲得認(rèn)證����,在安全認(rèn)證通過(guò)之后才能接入VPDN服務(wù)器獲得企業(yè)網(wǎng)絡(luò)地址,得到訪(fǎng)問(wèn)企業(yè)網(wǎng)的權(quán)限(如果賬號(hào)認(rèn)證沒(méi)有通過(guò)則不具備聯(lián)網(wǎng)的功能)��。分支機(jī)構(gòu)接入LNS服務(wù)器(L2TPNETWORKSERVER)��,通過(guò)MPLSVPN和總部相連��,實(shí)現(xiàn)同總部的數(shù)據(jù)連接和共享����。
(2)分支機(jī)構(gòu)使用自己的專(zhuān)用賬號(hào)通過(guò)ADSL撥號(hào)進(jìn)入VPDN認(rèn)證服務(wù)器獲得認(rèn)證,用戶(hù)的身份經(jīng)過(guò)認(rèn)證之后����,VPDN認(rèn)證服務(wù)器會(huì)通過(guò)LNS服務(wù)器建立可以通信的L2TP專(zhuān)用安全隧道,經(jīng)過(guò)MPLSVPN光纖接入總部?jī)?nèi)部網(wǎng)��。用戶(hù)數(shù)據(jù)可以通過(guò)安全的隧道在總部和分支機(jī)構(gòu)之間進(jìn)行傳輸��,實(shí)現(xiàn)安全��、快速�、私密的網(wǎng)絡(luò)接入和應(yīng)用。
2.通過(guò)IPSecVPN實(shí)現(xiàn)電路備份
IPSecVPN的特點(diǎn)主要包括以下幾個(gè)方面
(1)用戶(hù)不再承擔(dān)昂貴的固定線(xiàn)路的租費(fèi)�����。連接長(zhǎng)途分支機(jī)構(gòu)時(shí),采用Internet作為傳輸骨干是非常便宜的�����,帶寬還可以提高��。(2)連接Internet的方式可以是10Mbit/s�、100Mbit/s的端口,也可以是2Mbit/s或更低速的端口��,還可以是便宜的DSL連接����,甚至撥號(hào)都可以連接Internet����?梢赃B接到任意Internet地點(diǎn),不受距離和運(yùn)營(yíng)商的網(wǎng)絡(luò)限制��。(3)IPSecVPN可以使企業(yè)通過(guò)公共網(wǎng)絡(luò)在公司總部和分支機(jī)構(gòu)之間建立快捷�、安全、可靠的通信�����,這種連接方式在概念上等同于傳統(tǒng)廣域網(wǎng)WAN�。(4)遠(yuǎn)程的IP話(huà)音業(yè)務(wù)和視頻也可傳送到遠(yuǎn)端分支和移動(dòng)用戶(hù),連同數(shù)據(jù)業(yè)務(wù)一起為現(xiàn)代化辦公提供便利條件��,節(jié)省大量長(zhǎng)途話(huà)費(fèi)��。(5)IPSecVPN的顯著特點(diǎn)就是它的安全性���,這是它保證內(nèi)部數(shù)據(jù)安全的根本���。在VPN交換機(jī)上,通過(guò)多種方式保證層層安全����。
IPSecVPN的技術(shù)實(shí)現(xiàn)方式
在公司總部使用一臺(tái)相對(duì)高端的VPN設(shè)備作為公司內(nèi)部網(wǎng)的防火墻,利用其內(nèi)帶的VPN網(wǎng)關(guān)功能���,為全公司提供VPN接入��。各分支機(jī)構(gòu)選用VPN接入端設(shè)備作為公司防火墻和區(qū)域VPN節(jié)點(diǎn)�。VPN設(shè)備通過(guò)ADSL或者LAN的方式連接Internet�����,通過(guò)建立點(diǎn)對(duì)點(diǎn)的IPSec通道,實(shí)現(xiàn)總部和分支機(jī)構(gòu)之間的通信��,并保證數(shù)據(jù)通信的安全性和完整性���。
3.通過(guò)HDSL實(shí)現(xiàn)電路備份
HDSL的特點(diǎn)主要包括以下幾個(gè)方面
(1)HDSL用兩對(duì)雙絞銅線(xiàn)雙向?qū)ΨQ(chēng)傳輸數(shù)字信號(hào)��,傳輸速率為1168kbit/s��,提供2048kbit/s的E1業(yè)務(wù)����。(2)提供標(biāo)準(zhǔn)E1接口�����。(3)HDSL無(wú)中繼傳輸距離為3km~5km�����,比傳統(tǒng)的PCM要長(zhǎng)一倍以上�����。它對(duì)雙絞銅線(xiàn)的要求沒(méi)有傳統(tǒng)設(shè)備那樣嚴(yán)格,所以安裝方便�,一般不用中繼。(4)交直流供電和遠(yuǎn)供電��,直流為4~20VDC��,交流為220V(接電源適配器)�。(5)HDSL有若干編碼���,如基帶編碼方式(PAM)�、正交幅度調(diào)制(QAM)���、無(wú)載波調(diào)幅調(diào)相(CAP)等����。它用這些特殊的編碼和調(diào)制方式提高傳送質(zhì)量并延長(zhǎng)傳輸距離����。(6)HDSL用多對(duì)線(xiàn)并行傳輸,以降低一對(duì)線(xiàn)上的傳輸速率��,進(jìn)一步延長(zhǎng)無(wú)中繼傳輸距離���。(7)提高網(wǎng)絡(luò)管理(監(jiān)測(cè)���、故障診斷等)功能�。
HDSL的技術(shù)實(shí)現(xiàn)方式
在各分支機(jī)構(gòu)機(jī)房放置一臺(tái)HDSL�����,通過(guò)銅纜雙絞線(xiàn)與機(jī)房HDSL相連�,利用HDSL提供的標(biāo)準(zhǔn)E1電纜接入機(jī)房ATM設(shè)備的E1FR接口,在公司總部中心機(jī)房側(cè)提供一條ATM155Mbit/s接口���,中間通過(guò)ATM網(wǎng)絡(luò)為用戶(hù)提供中心機(jī)房至分支機(jī)構(gòu)的ATM/FRPVC電路連接��。該組網(wǎng)結(jié)構(gòu)示意如圖1所示��。
三�、不同備份線(xiàn)路方式之間的比較
VPDN技術(shù)嚴(yán)格說(shuō)屬于VPN的一種�����,但與普通的通過(guò)公網(wǎng)組建VPN不同的是����,VPDN是建立在電話(huà)網(wǎng)的基礎(chǔ)上�,組網(wǎng)方式類(lèi)似與ADSL�����,因此VPDN的最大好處就是方便�,電話(huà)開(kāi)通的地方即可采用這種方式組網(wǎng),用戶(hù)無(wú)需增加過(guò)多的額外投資��。其缺點(diǎn)是受電話(huà)網(wǎng)(PSTN)本身的網(wǎng)絡(luò)限制��,上行帶寬一般限制在512kbit/s~1Mbit/s左右����,對(duì)數(shù)據(jù)流量大的用戶(hù)可能無(wú)法滿(mǎn)足要求�����。
IPSecVPN通過(guò)公網(wǎng)組建����,用戶(hù)只需要在平時(shí)上網(wǎng)所用的路由器上做相應(yīng)的VPN配置即可,由于利用城域網(wǎng)的線(xiàn)路��,現(xiàn)在的單位用戶(hù)基本已經(jīng)全部使用10Mbit/s甚至100Mbit/s的網(wǎng)絡(luò)出口�,因此保障了帶寬的需求���,但另一方面由于需要新增路由器配置,此方式增加了用戶(hù)端機(jī)房的維護(hù)操作和管理的復(fù)雜性�����,同時(shí)��,由于數(shù)據(jù)通過(guò)公網(wǎng)傳輸�����,它需采用軟件加密的方式��,因此在安全性上還有一定的不足�。
HDSL與前兩種方式比較而言,既能滿(mǎn)足用戶(hù)對(duì)帶寬的需求�����,又因?yàn)槲锢砭(xiàn)路的獨(dú)立而最大限度的保障了數(shù)據(jù)的安全性���。但此種方式相當(dāng)于為用戶(hù)重新搭建一套網(wǎng)絡(luò)系統(tǒng)���,所以設(shè)備和線(xiàn)路投資都較大�����。
因此�,綜上所述�����,每種組網(wǎng)方式各有其優(yōu)劣性�����,對(duì)資金較充足的用戶(hù)�,還是建議采用第三種組網(wǎng)方式,對(duì)投入較為敏感的用戶(hù)��,則可以采用前兩種方式作為一種臨時(shí)性的電路應(yīng)急方案����。在通信運(yùn)營(yíng)市場(chǎng)競(jìng)爭(zhēng)日益激烈的今天��,努力提高用戶(hù)電路的保障能力�����,急用戶(hù)之所急,想用戶(hù)之所想��,才能最大限度地提高用戶(hù)的企業(yè)感知度��,提升通信運(yùn)營(yíng)商在用戶(hù)心目中的品牌地位�����。
