隨著國(guó)內(nèi)各大運(yùn)營(yíng)商重組，中國(guó)聯(lián)通的CDMA業(yè)務(wù)和中國(guó)電信合并、GSM業(yè)務(wù)和中國(guó)網(wǎng)通合并。原中國(guó)聯(lián)通下屬營(yíng)業(yè)廳、特約代銷點(diǎn)等營(yíng)業(yè)網(wǎng)點(diǎn)，陸續(xù)劃歸不同的運(yùn)營(yíng)商。面對(duì)這種重組情況，中國(guó)聯(lián)通河北分公司面臨著如下棘手的問(wèn)題：

一、CDMA、CSM網(wǎng)絡(luò)分割之痛

原河北聯(lián)通下屬營(yíng)業(yè)廳及授權(quán)營(yíng)業(yè)廳、特約代辦點(diǎn)的營(yíng)業(yè)終端設(shè)備有近10000臺(tái)，聯(lián)通CDMA、GSM業(yè)務(wù)運(yùn)營(yíng)商重組將使不同的營(yíng)業(yè)廳、特約代銷點(diǎn)屬于不同運(yùn)營(yíng)商，甚至是同一辦公點(diǎn)的不同營(yíng)業(yè)終端會(huì)分屬于不同的運(yùn)營(yíng)商。如何識(shí)別那些終端歸屬于哪個(gè)運(yùn)營(yíng)商？把原河北聯(lián)通的設(shè)備以資產(chǎn)概念進(jìn)行分配運(yùn)營(yíng)：讓CDMA業(yè)務(wù)網(wǎng)設(shè)備接入中國(guó)電信、讓GSM業(yè)務(wù)網(wǎng)接入新聯(lián)通，并對(duì)接入用戶進(jìn)行嚴(yán)格的身份綁定與認(rèn)證？

除了識(shí)別終端并進(jìn)行嚴(yán)格的訪問(wèn)控制外，河北聯(lián)通網(wǎng)絡(luò)運(yùn)營(yíng)目前還存在以下問(wèn)題：

1、河北聯(lián)通將VPN作為省公司的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，承載各類營(yíng)業(yè)網(wǎng)點(diǎn)的基本工作，接入營(yíng)業(yè)終端數(shù)量龐大，河北聯(lián)通需要一套高性能、高穩(wěn)定性的解決方案。

2、目前大量授權(quán)營(yíng)業(yè)廳、特約代銷點(diǎn)接入終端不受控制，存在的隱患在于：如果接入終端攜帶有木馬病毒，那么極可能通過(guò)公網(wǎng)傳輸?shù)绞」緝?nèi)網(wǎng)。

3、接入VPN通道的電腦也能上網(wǎng)，這樣存在著黑客通過(guò)Internet線路控制接入電腦，進(jìn)而對(duì)省公司內(nèi)網(wǎng)造成威脅。

4、分散在全省的眾多聯(lián)通特約代銷點(diǎn)、授權(quán)營(yíng)業(yè)廳網(wǎng)絡(luò)條件不一、使用者IT水平參差不齊，需要一種操作簡(jiǎn)單、易于管理的安全接入方式。

5、 河北聯(lián)通VPN訪問(wèn)的海量日志量存儲(chǔ)成為難題，且缺乏一種有效的VPN訪問(wèn)跟蹤手段。

二、新聯(lián)通的VPN接入平臺(tái)構(gòu)建要求

基于以上需求，河北聯(lián)通廣泛與VPN互聯(lián)方案提供商接觸，綜合各方意見(jiàn)，最終確定出以下解決方案原則：

1、 安全性原則

VPN網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)均是組織機(jī)構(gòu)的私密信息，必須考慮數(shù)據(jù)傳輸?shù)陌踩裕浑m然VPN網(wǎng)絡(luò)建構(gòu)在開(kāi)放的Internet平臺(tái)上，但必須保證無(wú)授權(quán)的用戶無(wú)法接入VPN網(wǎng)絡(luò)，即必須考慮用戶接入的安全性；我們還得考慮對(duì)VPN虛擬內(nèi)網(wǎng)資源訪問(wèn)權(quán)限管理。

2、 穩(wěn)定性、高性能原則

大型組織對(duì)SSL VPN平臺(tái)使用較為頻繁，對(duì)穩(wěn)定性要求也較高，河北聯(lián)通的規(guī)模、應(yīng)用要求采用專業(yè)級(jí)的硬件VPN：采用高性能硬件架構(gòu)、專用的VPN系統(tǒng)OS，要求具備高穩(wěn)定性；要求具備SSL VPN設(shè)備支持并發(fā)SSL VPN用戶達(dá)到10，000，密文吞吐處理能力不小于100Mbps。

3、高速性原則

由于VPN網(wǎng)絡(luò)承載的是組織機(jī)構(gòu)的內(nèi)部應(yīng)用（如文件共享、拷貝等），習(xí)慣了局域網(wǎng)內(nèi)10M/100M速度的用戶，對(duì)速度的要求也非常高，且河北聯(lián)通的業(yè)務(wù)應(yīng)用系統(tǒng)也對(duì)VPN接入傳輸?shù)囊蠓浅８摺?/span>

4、 易管理性原則

因?yàn)楹颖甭?lián)通下屬營(yíng)業(yè)廳、代銷點(diǎn)人員龐大且IT操作水平不一，這要求新的VPN必須具備友好的操作界面，且河北聯(lián)通要求對(duì)身份不一的人員進(jìn)行身份綁定與唯一認(rèn)證，這對(duì)SSL VPN設(shè)備的身份認(rèn)證提出復(fù)雜的應(yīng)用要求。

三、新聯(lián)通的VPN接入平臺(tái)構(gòu)建

    根據(jù)上述原則，經(jīng)過(guò)多輪測(cè)試，河北聯(lián)通最終選擇了深信服最高端SSL VPN。

    如圖，在河北聯(lián)通中心機(jī)房部署兩臺(tái)深信服SSL VPN M5900-S-H，每臺(tái)設(shè)備分別內(nèi)置10，000個(gè)SSL VPN并發(fā)授權(quán)，每臺(tái)設(shè)備均允許10000個(gè)終端同時(shí)在線。

采用主備模式，只需要配置主機(jī)，備機(jī)無(wú)需做任何配置。使用console線將兩臺(tái)M5900-S-H的console口連接起來(lái)。

安裝一臺(tái)日志服務(wù)器，并配置所有營(yíng)業(yè)終端賬號(hào)信息（終端賬號(hào)配置支持批量導(dǎo)入，大大減少管理員工作量）。

四、新VPN接入平臺(tái)運(yùn)作

經(jīng)過(guò)以上部署，河北聯(lián)通的新VPN平臺(tái)得以良好運(yùn)作，實(shí)現(xiàn)了10，000人的并發(fā)接入訪問(wèn)，一臺(tái)SSL VPN接入CDMA業(yè)務(wù)網(wǎng)應(yīng)用系統(tǒng)，一臺(tái)SSL VPN接入到GSM網(wǎng)絡(luò)應(yīng)用系統(tǒng)，實(shí)現(xiàn)了聯(lián)通重組的業(yè)務(wù)人員分配問(wèn)題。

1、接入安全性

深信服SSL VPN通過(guò)綁定接入電腦的硬件特征碼，做到對(duì)接入的用戶進(jìn)行唯一識(shí)別、權(quán)限分配、訪問(wèn)控制，讓電信用戶只能進(jìn)入CDMA網(wǎng)絡(luò)，新聯(lián)通用戶只能進(jìn)入GSM網(wǎng)絡(luò)。同時(shí)通過(guò)對(duì)接入客戶端進(jìn)行安全性檢查，徹底防范VPN接入用戶的安全隱患，而且用戶接入VPN通道后即不能通過(guò)其它出口上網(wǎng)，以防止公網(wǎng)威脅侵入VPN虛擬網(wǎng)。

2、VPN高效、穩(wěn)定運(yùn)行

河北聯(lián)通部署的深信服SSL VPN密文吞吐處理能力達(dá)600Mbps，遠(yuǎn)超過(guò)河北聯(lián)通要求的100 Mbps；支持同時(shí)在線用戶達(dá)15，000 ，遠(yuǎn)超過(guò)聯(lián)通要求的10，000；且兩臺(tái)SSL VPN30%以上的性能冗余保證了設(shè)備在低負(fù)載情況下工作，大大降低了設(shè)備故障率。

3、 VPN訪問(wèn)高速接入

經(jīng)測(cè)試，河北聯(lián)通發(fā)現(xiàn)用戶在VPN訪問(wèn)情況下，很多應(yīng)用甚至比直接連接還快。以下是深信服SSL VPN在兩端通過(guò)ADSL連接時(shí)，進(jìn)行文件拷貝和SQL數(shù)據(jù)庫(kù)查詢時(shí)的性能比較：

數(shù)據(jù)庫(kù)查詢（SQL SERVER 2000，表中有記錄9000多條）－單位：秒

4、VPN的易用性訪問(wèn)

部署了深信服SSLVPN后，河北聯(lián)通下屬的營(yíng)業(yè)廳、代銷點(diǎn)員工無(wú)需安排任何客戶端軟件，也無(wú)需進(jìn)行任何設(shè)置，即可登錄CDMA、GSM相應(yīng)業(yè)務(wù)系統(tǒng)。登錄成功后，即可看到相應(yīng)資源進(jìn)行訪問(wèn)。

5、簡(jiǎn)單管理VPN平臺(tái)運(yùn)行：

目前河北聯(lián)通在總部即可實(shí)時(shí)監(jiān)控、配置各終端的接入與當(dāng)前狀態(tài)；通過(guò)配置獨(dú)立日志中心，新聯(lián)通實(shí)現(xiàn)了SSL VPN訪問(wèn)的詳盡日志存儲(chǔ)與查詢。