隨著國內各大運營商重組,中國聯通的CDMA業務和中國電信合并、GSM業務和中國網通合并。原中國聯通下屬營業廳、特約代銷點等營業網點,陸續劃歸不同的運營商。面對這種重組情況,中國聯通河北分公司面臨著如下棘手的問題:
一、CDMA、CSM網絡分割之痛
原河北聯通下屬營業廳及授權營業廳、特約代辦點的營業終端設備有近10000臺,聯通CDMA、GSM業務運營商重組將使不同的營業廳、特約代銷點屬于不同運營商,甚至是同一辦公點的不同營業終端會分屬于不同的運營商。如何識別那些終端歸屬于哪個運營商?把原河北聯通的設備以資產概念進行分配運營:讓CDMA業務網設備接入中國電信、讓GSM業務網接入新聯通,并對接入用戶進行嚴格的身份綁定與認證?
除了識別終端并進行嚴格的訪問控制外,河北聯通網絡運營目前還存在以下問題:
1、河北聯通將VPN作為省公司的基礎網絡平臺,承載各類營業網點的基本工作,接入營業終端數量龐大,河北聯通需要一套高性能、高穩定性的解決方案。
2、目前大量授權營業廳、特約代銷點接入終端不受控制,存在的隱患在于:如果接入終端攜帶有木馬病毒,那么極可能通過公網傳輸到省公司內網。
3、接入VPN通道的電腦也能上網,這樣存在著黑客通過Internet線路控制接入電腦,進而對省公司內網造成威脅。
4、分散在全省的眾多聯通特約代銷點、授權營業廳網絡條件不一、使用者IT水平參差不齊,需要一種操作簡單、易于管理的安全接入方式。
5、 河北聯通VPN訪問的海量日志量存儲成為難題,且缺乏一種有效的VPN訪問跟蹤手段。
二、新聯通的VPN接入平臺構建要求
基于以上需求,河北聯通廣泛與VPN互聯方案提供商接觸,綜合各方意見,最終確定出以下解決方案原則:
1、 安全性原則
VPN網絡傳輸的數據均是組織機構的私密信息,必須考慮數據傳輸的安全性;雖然VPN網絡建構在開放的Internet平臺上,但必須保證無授權的用戶無法接入VPN網絡,即必須考慮用戶接入的安全性;我們還得考慮對VPN虛擬內網資源訪問權限管理。
2、 穩定性、高性能原則
大型組織對SSL VPN平臺使用較為頻繁,對穩定性要求也較高,河北聯通的規模、應用要求采用專業級的硬件VPN:采用高性能硬件架構、專用的VPN系統OS,要求具備高穩定性;要求具備SSL VPN設備支持并發SSL VPN用戶達到10,000,密文吞吐處理能力不小于100Mbps。
3、高速性原則
由于VPN網絡承載的是組織機構的內部應用(如文件共享、拷貝等),習慣了局域網內10M/100M速度的用戶,對速度的要求也非常高,且河北聯通的業務應用系統也對VPN接入傳輸的要求非常高。
4、 易管理性原則
因為河北聯通下屬營業廳、代銷點人員龐大且IT操作水平不一,這要求新的VPN必須具備友好的操作界面,且河北聯通要求對身份不一的人員進行身份綁定與唯一認證,這對SSL VPN設備的身份認證提出復雜的應用要求。
三、新聯通的VPN接入平臺構建
根據上述原則,經過多輪測試,河北聯通最終選擇了深信服最高端SSL VPN。
如圖,在河北聯通中心機房部署兩臺深信服SSL VPN M5900-S-H,每臺設備分別內置10,000個SSL VPN并發授權,每臺設備均允許10000個終端同時在線。
采用主備模式,只需要配置主機,備機無需做任何配置。使用console線將兩臺M5900-S-H的console口連接起來。
安裝一臺日志服務器,并配置所有營業終端賬號信息(終端賬號配置支持批量導入,大大減少管理員工作量)。
四、新VPN接入平臺運作
經過以上部署,河北聯通的新VPN平臺得以良好運作,實現了10,000人的并發接入訪問,一臺SSL VPN接入CDMA業務網應用系統,一臺SSL VPN接入到GSM網絡應用系統,實現了聯通重組的業務人員分配問題。
1、接入安全性
深信服SSL VPN通過綁定接入電腦的硬件特征碼,做到對接入的用戶進行唯一識別、權限分配、訪問控制,讓電信用戶只能進入CDMA網絡,新聯通用戶只能進入GSM網絡。同時通過對接入客戶端進行安全性檢查,徹底防范VPN接入用戶的安全隱患,而且用戶接入VPN通道后即不能通過其它出口上網,以防止公網威脅侵入VPN虛擬網。
2、VPN高效、穩定運行
河北聯通部署的深信服SSL VPN密文吞吐處理能力達600Mbps,遠超過河北聯通要求的100 Mbps;支持同時在線用戶達15,000 ,遠超過聯通要求的10,000;且兩臺SSL VPN30%以上的性能冗余保證了設備在低負載情況下工作,大大降低了設備故障率。
3、 VPN訪問高速接入
經測試,河北聯通發現用戶在VPN訪問情況下,很多應用甚至比直接連接還快。以下是深信服SSL VPN在兩端通過ADSL連接時,進行文件拷貝和SQL數據庫查詢時的性能比較:
數據庫查詢(SQL SERVER 2000,表中有記錄9000多條)-單位:秒
|
|
查詢所需時間 |
|
直接連接 |
48 |
|
通過SSL VPN |
30 |
4、VPN的易用性訪問
部署了深信服SSLVPN后,河北聯通下屬的營業廳、代銷點員工無需安排任何客戶端軟件,也無需進行任何設置,即可登錄CDMA、GSM相應業務系統。登錄成功后,即可看到相應資源進行訪問。
5、簡單管理VPN平臺運行:
目前河北聯通在總部即可實時監控、配置各終端的接入與當前狀態;通過配置獨立日志中心,新聯通實現了SSL VPN訪問的詳盡日志存儲與查詢。
