一 方案设计
1 需求分析
根据市场发展的新业务需求,我们通过与中国联通有限公司北京分公司业务负责人和技术人员经过多次讨论,确定了CDMA网VPN信息广播系统的建设方案。因为整个网络涉及对所有信息广播网点的通信网络可靠性和连通性的管理,所以对网络稳定性及发生故障后的快速响应有很高的要求。许多网络故障可能是由于网络整体配置、周边设备、传输系统等多种因素产生。所以我们在实施通信网络维护时,必须要对网络之外的业务,包括业务系统,WEB服务,数据流过程,网络协议以及其他问题进行综合考虑,也只有这样才能保证整个系统的有效运行。
为了保证监控中心VPN系统运行的可靠性和安全性,建设用户通过中国联通的CDMA 1X移动通信网络,建立VPN虚拟专用网,因此,也需要建立监控中心专用的AAA认证计费系统。
2 VPN介绍
2.1 VPN概念
VPN(Virtual Private Network)中文译为虚拟专用网。VPN是利用公共网络基础设施,通过"隧道"技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟的特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包,企业不再追求拥有自己的专有网络,而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做,这类专业公司的典型代表是电信企业。
VPN具有以下优点:
(1) 降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。
(2) 容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。
(3) 完全控制主动权:VPN上的设施和服务完全掌握在企业手中。比方说,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
2.2 VPN分类
VPN可以按照拨号VPN(即VPDN,Virtual Private Dial-Network)和专线VPN进行分类。VPDN又分为客户发起的 VPDN和NAS发起的VPDN。
2.3 VPN组网方式
VPN有三种组网方式: 远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)。
这三种类型的VPN分别与传统的远程访问网络、企业内部Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
在本次方案中我们采用第一种组网方式即:远程访问虚拟网。
3 网络方案设计
3.1 网络结构
远程无线终端可以通过CDMA 1X的方式接续到CDMA网,并获得公网地址,之后PDSN设备在通过专线/公网与总部具有VPN服务功能的LNS服务器建立隧道,通过AAA认证服务器认证后,就可获得安全的通路到总部的内部网络。
在上述连接方式中,从远程无线终端到联通的PDSN设备走的是无线链路,而从联通的PDSN设备到总部采用的是基于专线/公网连接的VPN方式,从而在最大程度上保证了数据的安全性。
在此方案中我们计划放置2台路由器,分别连接刚才到PDSN节点。PDSN连接BTS基站,移动用户通过无线连接连到BTS基站上。
2台路由器不仅作为广域网的接口,同时也要完成VPN隧道的终结。因此在进行产品选型时,必须充分考虑到这一点。
2台路由器以百兆以太网通过防火墙连接到以太网链路连接交换机,主、备份AAA认证服务器连接到该交换机完成远端用户的VPN认证、地址分配等授权功能,再通过百兆以太网链路连接到系统核心交换机。整体网络结构如下图:
