第一篇:MSTP组网类解决方案
中国人民银行西安分行网络升级
解决方案
中国电信股份有限公司西安分公司
2018年5月
目录
1、中国人民银行西安分行网络现状及需求分析...........................3
1.1 中国人民银行西安分行网络现状................................3 1.2中国人民银行西安分行需求分析.................................3
2、中国人民银行西安分行解决方案....................................4
2.1 方案设计原则................................................4 2.2 中国人民银行西安分行MSTP组网解决方案.......................5
3、MSTP组网方案特点...............................................5
4、方案优势........................................................6
1、中国人民银行西安分行网络现状及需求分析
1.1 中国人民银行西安分行网络现状
中国人民银行西安分行目前的全省广域网线路已运行多年,具体形式为: 1.西安分行核心路由器通过CPOS光口与电信方专业传输设备对接,实现9个地市及营业部单位的数据互联;
2.目前共开通有11条SDH数字电路,每条电路带宽为10M,每个地市单位同时开通1条SDH数字电路,并通过西安分行路由器和地市及营业部单位路由器进行互联使用;
3.每个地市及营业部单位10M带宽承载了公文、视频会议系统等重要业务。4.经现场与客户网络设备厂家技术人员确认:
中心端路由器具备空闲千兆FE电口,并且端口具备划分子接口(VLAN)的功能;
地市及营业部单位路由器均空闲有1个以太网端口。
1.2中国人民银行西安分行需求分析
中国人民银行西安分行现广域网已经运行多年,随着政务系统信息化建设的推进,现有的网络带宽已经不能满足业务量激增的需要,急需进行升级扩容,具体要求包括:
1、将西安分行至9个地市及营业部单位的广域网带宽由10M提升至20M;
2、尽可能利旧现有设备实现升速;
3、整个网络升级扩容不能影响到正常工作,并且升级后全网的ip地址不需要变更。
2、中国人民银行西安分行解决方案
2.1 方案设计原则
针对中国人民银行西安分行广域网升级项目的重要性和特殊性,我们在设计项目解决方案时特别遵循了以下设计原则: 先进性原则
从较高的起点对网络建设进行规划,充分采用先进成熟的网络技术,满足中国人民银行西安分行业务数据传输需要。用中国电信的传输网络优质资源提供全面的解决方案,形成统一先进的通信系统。 可靠性原则
网络设计过程中从网络技术、骨干路由、专线保护等多方面考虑中国人民银行西安分行广域网线路的可靠性,保证数据传输的安全可靠。同时提供的7*24小时的服务保障,从技术和服务两方面保证中国人民银行西安分行业务专网可用性达到要求。
经济性原则
通过技术、经济比较,性能、价格比较,选择优化的网络结构和网络技术,做到从实际出发,制定经济、合理的方案,为用户实现一个高可用、高安全的专网线路服务。 可扩充性原则
考虑到中国人民银行西安分行业务的飞速发展,网络承载的信息流量不断增加。中国人民银行西安分行专线的设计中须考虑未来带宽扩容的需要,从网络和设备的配置上都要保留一定的扩充余地,便于未来扩容需要。
第二篇:西安市交警MSTP组网方案
西安市交警MSTP组网方案
中国电信西安公司 2011年3月
西安市交警MSTP组网方案
一、概要
中国电信股份有限公司西安分公司(以下简称“中国电信西安公司”)非常珍视本次项目机会,组织经验丰富的业务与技术专家,认真分析西安市交警MSTP组网项目的需求,为西安市交警定制了符合实际、性能最佳的整体解决方案。
1.1 项目技术支持概要
根据我们对西安市交警MSTP组网项目需求的理解,中国电信西安公司为西安市交警定制了整体解决方案。
网络整体服务解决方案
中国电信在线路网络及数据网络服务上,提供处于国内领先地位的“一站购齐,全程无忧”一站式服务解决方案。西安市交警各单位无论在省内任何地方,有何种电信服务需求,需要解决任何问题,只要与当地的中国电信政企客户部客户经理联系,都可以快速得到解决。
中国电信向西安市交警各单位提供高品质的服务,竭诚为西安市交警各单位提供“零距离”贴近客户和“零偏差”规范的服务,追求“零中断”保障与“零时延”响应的极致品质。
另外,根据西安市交警自身的业务特性,中国电信还将为西安市交警提供重要事件及重大活动中的通信保障服务。在自然灾害、抗灾抢险等突发事件中,中国电信装备齐全的高水平应急通信队伍还可为西安市交警提供应急通信服务,为西安市交警快速建立高质量临时通信系统。
1.2 可靠的项目实施保障
西安市交警MSTP组网方案
成立项目领导小组和项目实施队伍
我们对西安市交警MSTP组网项目极为重视,成立以由中国电信西安公司政企客户部总经理邢春华担任组长的项目领导小组,并抽调具有丰富项目管理经验的项目经理组织项目实施团队来保障项目的按期优质实施。在项目实施期间,我们将指定政企客户高级技术专家对项目全权负责并全程保持不变。
科学的项目管理和严格的工程进度把关
中国电信具有丰富的项目管理和实施经验。我们将在项目实施过程进行科学的项目管理,严格按照双方约定的工程进度安排,保质保量完成工程项目的要求。
完善的质量监督管理体系
我们建立有一套完善的服务质量监督管理体系,通过缺陷预防控制、企业承诺控制、过程控制、体系控制、大客户营销服务规范、和大客户满意度调查与持续改进等多项措施,提供了严格的质量管理和服务监督。 客户回访规范
我们在西安市交警MSTP组网项目建设后,通过规范的大客户回访制度,及时跟踪了解西安市交警最新的业务需求与遇到的问题,更好的为西安市交警提供服务。 专家级技术咨询与支持
中国电信北京、上海、广东研究院成立了大客户技术支持中心,可以向客户提供专家级业务咨询、网络疑难问题诊断、个性化创新业务定制以及各种网络、应用、维护等方面的专业培训。
1.3 中国电信该项目优势概述
西安市交警MSTP组网方案
丰富的资源
中国电信网络覆盖范围广,光缆总长度国内第一(123万公里),拥有原中国电信70%的长途电路资源。拥有70%的国际出口带宽和运营能力,与众多国际著名电信运营商紧密合作,为客户提供高质量的国内、国际电信业务服务。
覆盖全国的业务能力
中国电信在保持南方21省(市)网络资源、人员、管理等方面优势的基础上,在2002年,北方10省(市)省、地市公司陆续成立,迅速组建了一支以运行维护、技术支持为主的快速响应团队,给客户提供及时、高效的服务;到目前为至,北方十省市补网扩容建设基本完成,通过跟原来保留的骨干网资源融合,形成了覆盖全国31个省(市)的一体化网络,可以向公众及大客户提供数字电路、DDN、ATM、FR等各类业务,形成了覆盖全国的业务能力,可为客户提供全程全网各类通讯业务。 完善的全国服务体系
中国电信是国内最早(2000年)成立集团大客户服务机构,最先提出全球一站服务模式---FocOne一站服务,拥有最完善的全国三级平面化大客户服务体系的电信运营商。 优秀的技术、服务队伍
中国电信拥有7万多人的网络维护队伍,维护体系健全,网络运营经验丰富,技术力量强,半军事化管理,流程化作业。目前中国电信为党、政、军、金融机构、国家大中小型企业提供了优质、高效的服务。
中国电信发扬军事化管理的优良传统和严谨的工作作风,拥有先进的应急通信设备和队伍,具备提供重点通信保障的经验和能力。 有力的物质保障
西安市交警MSTP组网方案
二、MSTP组网解决方案
2.1 网络通信现状及交警组网需求分析
目前西安市交警数据网组网主要采用了以路由器互联的组网模式,中心店与各分支点以星型拓扑架构相连,采用了SDH专线电路组网,专线速率为2M,随着公司的发展,基于视讯的多媒体传输需求越来越迫切,现有的2M专线已经不能满足发展的需要,需尽快扩容、提速并提出其它可探讨的组网技术需求。
根据目前西安市交警的业务现状和将来发展需求,决定对各地电路带宽从2M提高到10M,并考虑全部采用以交换机互联的模式组网,即中心店和各分支点点均采用以太网交换机互联,采用以太网接口与运营商电路接入设备相连。
根据西安市交警提出的提速扩容需求,我们建议骨干层采用SDH专线模式,保持SDH专网优势,接入层采用MSAP接入模式。
我们根据西安市交警提速的具体需求,结合电信目前主要的通信组网技术,提出了MSAP的组网解决方案,以供参考。
2.2 西安电信MSTP组网技术分析
全程MSTP/MSAP技术,充分利用了MSTP/MSAP技术本身的各种优势(良好的业务保护能力,带宽的稳定性和可靠性,网管能力强);
提供标准的FE/GE接口,可以大大节省相关网络设备的投资(比如中心点无需昂贵的CPOS端口,各接入网点路由器等也无需配置E1等昂贵端口); 方便将来带宽升级(如果将来带宽由10M升级到50M等,各个网点的接入设备不用更换,只需要在汇聚层和核心层等重新调配链路资源即可完成);
端到端的带宽独享,为客户提供最佳的QoS保证; 高灵活性和扩展性,高可靠性,高安全性;
西安市交警MSTP组网方案
另外,MSAP方案相比于SDH方案,主要优点还有:
可以大量节省大量的DDF配线架和相应的机房面积,降低E1电缆故障率。 采用155M口上联,可以节省华为等核心网SDH设备的昂贵的E1接口盘。 具备更加完善的网管和监控性能。
MSAP方案具有明显的可扩展性。如果将来用户的带宽升级,远端的设备无须更换就可以实现。而PDH方案中PDH光端机和协议转换器设备大多需要更换。
MSAP方案还具有综合价格优势。
2.3 西安市交警MSTP组网方案
组网拓扑:
西安市交警MSTP组网方案
MSAP构建一个完善的接入网。
3、MSAP融合了各种类型的接入技术,可以满足现在以及将来用户各种各样的接入需求,MSAP部署构建接入网是一个满足现状和网络发展的建设方案。
4、MSAP构建接入网可以通过专用网管平台对所有专线接入客户进行统一的端到端全程业务管理,方便维护,提高服务品质。
西安市交警MSTP组网方案
结 束 语
西安市交警作为西安电信的重点大客户,一直以来都是我们服务的重点对象,我们一直以为西安市交警提供优质、可靠的通信服务保障作为自身的一项重大责任。在本次工程中,西安电信充分认识到在西安市交警现有通信网络环境下,“西安市交警MSTP组网项目”对提高西安市交警内部工作效率所起的重要作用,将组织和调动内部各种资源为客户提供全面、高效的技术支持服务。
我们希望通过本次工程,以高效、智能、便利、互动、安全、贴心的综合信息服务赢得本次项目您所给的机会。
选择中国电信就是选择了优质、高效、安全、可控、可管理的放心网络服务。
我们也期待与西安市交警在更广领域开展合作!
第三篇:MSTP、MSAP、SDH光传输技术组网简述
MSTP、MSAP、SDH光传输技术大客户接入方案简述
0 前言
大客户又称集团用户,是电信运营商在电信市场中的商业客户,通常是大的行政事业单位或大的企业集团。相对于一般用户,大客户对运营商而言表现为业务量大、业务类型复杂、业务质量要求高等特点。一般市场中“80%的业务来自于20%的客户”的规则,在电信市场也同样适用。毫无疑问,大客户业务是拉动各电信运营商经济增长的重要支撑点,也是目前各运营商竞争的焦点。因此,如何部署可运营、可管理、可持续发展的安全、经济、高效的大客户解决方案,是电信行业非常紧迫而且重要的课题。
用户对数据业务不断增长的需求来自于通过采用信息化技术来提高机构运作效率,实现传统运营管理模式向现代化的运营管理模式的演变。当前,许多企业已采用以太网、FDDI等局域网技术组建了公司的内部网,同时企业的跨地域通信需求随着其业务模式的拓展,对外联络的商务信息的传递,远程的宽带语音、数据及图像传输需求而变得非常旺盛,愈来愈多的企业开始考虑如何使用信息技术来满足自身发展的需要。同时,各企业由于自身业务特点的不同,对信息的传输和管理也存在着个性化的需求。比如银行系统的网点遍布市区,这些网点内部需要进行具有极高的保密性和安全性的数据通信,这就需要运营商能够提供一个安全的、高度可靠的、可管理的数据专网,税务、保险、公安系统等各大型企事业单位也都存在类似的情况和需求。
局域网之间如何可靠、安全地互联,形成全国乃至全球的集团用户内部网,来实现办公网络化,这就需要专业化的电信网络运营商来提供质优价廉的解决方案。
目前内蒙古联通配套的SDH传输网络在全区已经实现广泛覆盖,在长途干线层、本地网层、城域网层均有丰富的网络资源。在发展大客户时,首先要确定大客户的市场范围:政府部门、金融用户、企事业单位用户、商住楼、宾馆用户和智能小区。对于联通而言,过去主要为大客户提供的是语音及专线业务,但随着越来越多的企业采用以太网方式组建内部网,对运营商提出了安全可靠传送数据业务的需求。因此,运营商在建设一个大客户传输网络时,既要确保支持传统TDM业务传送,同时还要支持数据业务的快速增长。这一问题在城域范围内尤其突出。因此,建设一个-1-
能够覆盖城市及其郊区范围的大客户多业务综合传送平台就显得十分重要。目前存在的主要问题
目前支撑大客户专线业务的主要技术有:数字数据(DDN)专线、IP(10/100 Mbit/s)专线、ATM专线等。不同的业务需求需要不同的传输网络来承载,如果为了不同的客户而建设不同的网络,将存在重复建设,维护困难,无法统一调度、统一管理的问题。
联通的专线业务刚刚起步,以IP专线业务(10/100 Mbit/s)和2M专线业务为主。IP专线价格便宜,应用广泛,但是其尽力传送的技术特点使得其安全性得不到很好的保证,也就是说其QoS达不到一些对专线质量要求较高的客户的需求。
另外,当前的光边缘接入由于设备成本投入的原因,原来采用了大量的PDH接入的方式,但是此方案也存在安全上和管理上的明显不足。首先,PDH为第一代数字光通信产品,无法提供网络管理,组网能力差,很难提供对业务的保护。此外PDH速率低,没有统一的光接口规范。如果数据业务的接入采用PDH+E1转换器的方式,会造成网络复杂、设备种类多、业务可靠性低、网络监控困难、带宽僵硬等问题。PDH采用的点对点方式也限制了网络进一步发展。在数据业务的处理上,目前主要采用的方式为数据业务10/100M通过网桥转换成N×E1(N<3),上用户侧PDH传输至有以太网交换机的节点,通过网桥转换回10/100M接口进以太网交换机。但是网桥(Ethernet协议转换器)无法进行网管,维护困难。使用Ethernet协议转换器,一是带宽受限,上行带宽固定,带宽增加须更换网桥,业务没有可扩展性,不能提供个性化服务;二是转换器无法实现网管,这与电信网路的可运营、可管理的特征不相符,属于临时解决方案。PDH点对点传输,业务无法保护,网络扩展受限,总带宽为8M或16M,当业务增加时,无法扩容;不支持环形网、链状网及大型星形网络结构;网络扩充性及升级性差,还占用较多的城域网交换机端口;以太网交换机节点有大量设备和大量电缆,故障点增多,维护困难。
综上所述,目前存在的主要问题是多网叠加,建设和维护成本较高;纯数据专线虽然价格便宜,但是无法保证专线客户的高QoS要求。这些问题在原有大客户传
输网中消耗了较多的设备成本和运营成本,对客户满意度和忠诚度的提升非常不力。目前,中国联通已经开始提升网络品质,进行网络扩容改造和优化,为打造经济、高效、可运营和可管理的大客户网进行了大量的工作。大客户传输组网解决方案
基于目前内蒙古联通公司的区内传送网络现状,在建设新的大客户传输接入网络时,有三种传输技术可供选择,分别为SDH、MSTP、MSAP技术。
2.1 MSTP技术简介
多业务传送平台(MSTP)是指基于SDH、同时实现TDM、ATM、IP等业务接入、处理和传送,提供统一网管的多业务传送平台。作为传送网解决方案,MSTP伴随着电信网络的发展和技术进步,SDH/MSTP的演进经历了三个阶段:
第一阶段是传统SDH设备,数据业务通过POS接入,端口昂贵,传送效率低。
第二阶段,MSTP设备,采用VC虚级联、LCAS、GFP等技术,增加了以太网二层交换能力、ATM交换能力,实现RPR处理功能,实现以太网带宽的统计复用。
第三阶段为新一代MSTP设备,随着RPR/MPLS技术的成熟,以及数据业务量的增多,以太网经过RPR/MPLS板卡处理后,不但可以通过交叉矩阵后上线路传送,在容量加大时还可以通过Fiber/CWDM/DWDM进行传输,TDM业务仍然进入TDM交叉矩阵进行调度。一部分数据业务仍然可通过GFP封装VC映射传送,而另一部分业务可以通过纯的数据交换卡、RPR卡、MPLS处理卡、波分OTU卡等多种方式直接进行群路传送。
MSTP技术通过自身的多业务承载能力可解决城域网多种业务的汇聚,实现传统SDH所无法实现的综合业务的传送。综合来说,基于SDH 的MSTP 具有以下技术特点:
(1)具有较大的交叉连接容量,能够支持VC-4/VC-3/VC-12 各种等级的交叉连接以及连续级联或虚级联处理;
(2)提供丰富的多业务(SDH、ATM、以太网/IP、图像业务等)接口,可以通过增加或更换接口模块,灵活适应业务的发展变化;
(3)具有以太网和ATM 业务的透明传输或二层交换能力,其传输链路的带宽可配置,并支持VLAN、流量控制、业务和端口的汇聚或统计复用功能;
(4)具备多种完善的保护机制(SDH、ATM、以太网/IP)和灵活的组网特性;
(5)可实现统一、智能的网络管理,具有良好的兼容性和互操作性。
随着城域数据业务的开展,MSTP以太网汇聚传送技术和RPR动态分组环网技术等数据处理功能,将会得到广泛的应用。
2.2 MSAP技术简介
综合业务接入平台MSAP(Multi-ServiceAccessPlatform)技术顾名思义,是基于SDH平台实现 PDH 光口、STM-1 光口、E1 等多种业务的接入、汇聚,同时实现TDM、以太网等数据业务的接入处理和传送,并提供统一网管的多业务节点;是MSTP技术的向下延伸,能使接入网与SDH传输网的全光无缝连接,管理统一;减少机房的DDF配线架和大量的2M线,减少投资,减少故障率。MSAP技术提供了更好的边缘接入网解决方案,便于运营商针对不同客户采取灵活的接入策略。
基于MSAP技术的设备一般体积较小,成本较低,其核心设计思想是MSTP技术,由于靠近接入网的边缘,MSAP系统尽可能多地提供各种物理接口来满足不同终端接入用户的设备要求。在保证兼容基于传统SDH网业务的同时,能够提供多业务灵活接入,相对于以前的PDH+协议转换器的接入方式而言,它提供了网络的可管理性、带宽的可扩展性以及业务的互通性,可减少将现有SDH设备重新升级为MSTP设备的成本,对于电信运营商的设备升级低成本是很重要的。
MSAP设备适用于大客户分布点较分散,且数据带宽需求非常高的场合或者用于总部与分支的网络。其组网特点是各节点都能独自获得高达155M或622M的接入带宽,用户间相互没有干扰;缺点是需要星型光纤,网络不能成环,无法作SDH或数据保护,针对重点用户高可靠性业务可采用双回路的方案实现业务和端口的保护。与传统的PDH设备相比,为用户节省了基带Modem(E1到V.35转换)、路由器(V.35到Ethernet转换)或EOE(E1到Ethernet)等设备的投资。数据带宽灵活,可通过网管指配N×2M(N<48,满带宽)。设备数量少、体积小、功耗低、维护方便。
2.3SDH、MSTP、MSAP三种技术组网应用
近年来,伴随着主体电信业务由原来的以话音等TDM 业务为主,迅速向以IP、分组等宽带数据业务转换的情况下,选择以SDH为基础的MSTP建设方案是稳妥且可持续发展的城域传输系统建设策略。
基于SDH 的MSTP 比较适合于已大量敷设SDH 网络的电信运营商,可以灵活有效的支持迅速发展的分组数据业务,同时可以保证对多业务的统一网络管理,实
现从电路交换网向分组交换网的平滑过渡。在本地、城域传输系统中应用MSTP设备时,需根据业务需要和光缆资源情况来选择合适的组网方案,要充分考虑现有SDH资源的消化利用、新增投资的最小化、网络的安全稳定性以及技术的可实现性等问题,坚持以应用推动网络建设的原则,积极整合和优化现有传输设备、传输通路组织和光缆线路资源,并注意与现有SDH设备的融合。能够利用现有设备升级而代价又比较小的话,应尽量采取升级方式来实现MSTP功能,努力提高传输设备和通道的利用率。
如前所述,MSAP技术其核心设计理念为MSTP技术,是为城域网接入层解决传统TDM业务和数据以太网业务接入而设计的,更趋向于应用在城域接入网层面。MSAP技术可以提高大客户接入业务的可靠性和以太网业务的互通性,减少网络故障;提高运营维护能力,缩短故障排除时间;提高网络安全性和保护能力;适应不同客户对网络质量的差异化需求以及未来网络发展的需要。
在具体的大客户组网应用中,可根据我公司的自身情况,实现SDH、MSTP、MSAP混合组网。其中:
SDH、MSTP设备更适合应用于网络的核心、汇聚层面,或是大客户的核心节点,组成基于10G/2.5G的环网,实现大容量的交叉连接和规范的网络管理;在新建网元时,建议采用MSTP设备,新一代的MSTP设备无论是在交叉与组网能力方面,在业务接入能力与类型方面,还是在网络保护方面,在产品兼容性和互联互通方面都优于传统的SDH设备,是替代SDH设备的最佳选择。
对于接入层网络,则可根据接入业务量的大小采用集成型MSTP设备或是MSAP设备,通过STM-1/4光口上联至核心、汇聚层的SDH/MSTP设备,组成环形网或者星形、链状网,灵活实现业务的调度和处理,减少同轴电缆、DDF架和机房空间等综合投入,通过网管系统可实现故障出现后的快速定位和修复,特别是针对不同行业对不同业务接口的需求,MSAP在一个网络上可以统一提供对包括E1/V35电路、以太网、ATM在内的多种通道的透传、捆绑和复用的支持和管理。结束语
随着数据业务和专线业务的发展,MSTP、MSAP传输技术在服务质量、网络管理和提供多业务差分服务方面的优势将越来越得到运营商青睐。尤其在原来传统的数据网络改造和扩容的过程中,MSTP、MSAP将扮演关键的角色。新的传送网需要新的MSTP设备来建设,新的MSTP/MSAP传送网将为运营商带来更高的投资回报。
第四篇:XX证券VPN组网解决方案
XX证券VPN组网解决方案
第一章 前言
以Internet为基础的信息高速公路的迅猛发展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸”的时代。
一方面,Internet使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;许多企事业单位不仅仅充分利用Internet的丰富资源,同时,为了企事业单位内部的资源共享和信息传输,也纷纷建起了企事业单位内部Intranet,达到企事业单位内部资源的高度共享。甚至一些信息化建设程度较高的企事业单位已经建起了Extranet,与其他政府机构、合作伙伴也进行了资源共享。
另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向”的现象。更严重的是Internet是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet上通过电子手段予以重现,信息犯罪愈演愈烈。网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,信息安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全,还涉及到国家的国防安全、政治安全和文化安全。对于企事业单位的重要信息和资源,也构成了巨大威胁,致使一些企事业单位单位不敢联网,把网络互联的优势完全抛弃,形成了一个一个信息孤岛。
政府信息化的发展已经成为当代信息化的最重要的领域之一。据联合国教科文组织在2000年的调查,89%的国家都在不同程度地推进政府信息化的发展,并将其列为国家级的重要工作。
江泽民总书记明确指出:“四个现代化,那一化也离不开信息化。”我国的政务现代化也离不开信息化。
“两会”前,朱总理提出:“电子政务的发展正在成为当代信息化的最重要的领域之一。为了适应国际形势和我国经济建设与社会发展的需要,我国必须加快电子政务的发展。”在今年的《政府工作报告》中,朱总理更明确指出,要“加快政府管理信息化建设,推广电子政务,提高工作效率和监管有效性。”
如何有效地利用网络互联的优势,提升XX证券系统信息化建设的速度,同时保证网络和信息的安全共享,是摆在我们面前的迫切问题。虚拟私有网络(Virtual Private Network,VPN)的出现,为我们提供了一个安全、经济、快捷、灵活的网络安全互联组网方案。结合的XX证券实际需求和现状网络,通过对必要性和可行性,实施效果、成本和风险,硬件和网络方案等进行了充分的调研和论证,提出了《XX证券VPN组网解决方案》。
根据项目计划,将在XX证券中心机房和全国各营业点部署VPN安全网关,实施安全访问控制和各点之间的加密通信。
第二章 项目情况介绍
2.1 目前网络的现状
目前,XX证券总部在电信申请了2个互联网线路,一条线路用于同其他各营业点(在全国共27个)进行OA系统的信息传输,另外一条线路用户内部员工访问互联网。其他各营业点均在本地电信申请ADSL线路。
目前的网络示意图如下:
图2-1 XX证券网络示意图 2.2 目前网络系统存在的需求
1、应用需求 目前,XX证券全国各营业点需要实时访问XX证券总部(武汉)应用服务器(OA服务器、mail服务器等)。利用传统的公网是无法快捷、安全地访问内部服务器。因为所有数据在传输过程中都是以明文的,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏关键数据,给造成不可估量的损失。针对的相关应用需求,我们建议采用VPN的组网方式,可以安全、方便地在XX证券和全国27各营业点之间的“虚拟专用网络”。
2、安全需求
目前XX证券应用系统和重要数据都以明文在网络进行直接传输,因应用系统的网络传输数据体现了XX证券的重要情况和保密敏感信息,属于高度机密,以明文在公共网络上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获应用系统或重要数据,如果这些数据被公布或透露给外界,对于来说,后果是非常严重的。
另一方面,各营业点网络直接和internet相连,这样就存在极大的安全隐患,外部网络可以随意访问内部网络,甚至控制内部服务器,然后已内部主机作为跳板,转而攻击网络总部的服务器,那么整个系统将无安全性可言。
综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
第三章 设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则: 3.1 安全性原则
在网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个区政府正常办公的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入成本,实现高效益。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。3.2 实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“安全网关”技术,将“Firewall+VPN+IDS”技术的充分糅合,较单纯的Firewall技术具有不可比拟的优势,体现在:不仅具有FireWall的保护内网、提供服务的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的安全接入问题(在本方案中,导致可以直接省略“拨号服务器”),同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
3.3 可靠性原则
这套网络安全系统是网络的门户。它的稳定可靠关系重大,特别是WEB网上服务等具体业务项目,随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响政府的形象,也将给为政府带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。3.4 可扩展性原则
网络安全建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,在实现基本的网络被动防护系统(安装防火墙、VPN安全网关及其管理平台)以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。3.5 易管理性原则
网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。另外,通过网管平台,可以实现远程安全管理和本地管理等多种管理手段。第四章 XX证券VPN组网建设方案
4.1 VPN技术简介
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。对企业而言,VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题,因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后,解决了这一难题。
目前,国际主流的大多是基于Ipsec的VPN技术,该技术正在迅速走向成熟,而且它正处于兴盛期。
图4-1 VPN组网示意图
虚拟专网的重点在于建立安全的数据传输通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
安达通公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的研究和攻关,提出了国内领先的全动态地址VPN的解决方案。安达通公司的解决方案不但真正解决了全动态VPN的组网问题,还融入了PKI技术,采用基于数字证书的身份认证机制,解决了大规模VPN应用中的设备管理和网络管理的难题。4.2 产品选型
上海安达通信息安全技术有限公司(简称ADT)是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的公司。公司将自己定位为:基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心,证书为灵魂,网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。
安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备,并且具有和入侵检测系统(IDS)互动的功能;随着系统的升级,ADT安全网关SGW系列产品,还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备,安全网关将具有综合的安全作用,使网络的安全和投入,获得最佳的安全和效益。
另外,安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接(如:通讯双方均采用ADSL进行连接)。
故此,我们建议目前的各XX证券组网方式改为VPN组网方案。
VPN组网除了以太网络联网方式外,还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网(PSTN)提供的服务:如Modem拨号方式、ISDN、ADSL等。利用专线、帧中继/ATM或以太网方式,从经济上和功能上不太适合的组网需求,利用电话线路的组网方式中,由于Modem拨号方式从技术上、管理上、安全上不太适合目前业务发展的需要。ADSL是电信力推的企事业单位上网模式,不但速度快、性能好、实时性好,针对的应用特点和联网规模,从经济上也是前几种组网方式所不能比拟的。
针对的实际需求和具体应用,我们推荐此方案采用安达通公司的SGW25C、SGW25B、SGW25A等型号的硬件产品。4.3 网络规划与产品部署
1、总部设计方案
考虑到目前总部服务器的高安全性、高载荷和将来的发展,建议在总部业务线路(100M线路上)放置两台安达通SGW25C型VPN安全网关。为了避免出现单点故障,两网关作双机热备。
利用安达通安全网关的VPN技术建立总部和下面各营业点的“安全隧道”,实现总部和营业点之间安全的VPN“虚拟专用通道”。
利用安达通安全网关的防火墙功能实现基本的访问控制和安全隔离。普通数据包通过防火墙模块到达XX证券内部网络,实现包状态检测和访问控制功能。只有需要加密的数据和信息才可以通过安达通VPN网关到总部内部网络,对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。
另外,作为VPN备份线路,建议在总部的另外一个出口(10M线路,用于内部访问互联网)处步署一台安达通SGW25B安全网关,当业务线路出现故障(如路由器出现故障,被攻击,或者电信部门调整线路)时,下面各营业点可以同该网关(SGW25B)建立VPN通道,从而连接到内部网络。
2、全国各营业点网络设计方案
目前各营业点的使用adsl接入互联网,鉴于其网络流量不是很大的特点,建议在各营业点步署安达通公司SGW25A安全网关,利用其VPN功能,可以通总部建立VPN通道,从而安全的连接到总部内部网络;另外,利用其强大的防火墙功能,可以保护营业点内部网络。VPN组网结构如下: 图4-2 XX证券VPN组网结构示意图
第五篇:OA办公自动化系统组网解决方案
oa 办公自动化系统利用先进的技术,使人的各种办公业务活动逐步由各种设备、各种人机信息系统来协助完成,达到充分利用信息,提高工作效率和工作 质量,提高生产率的目的。作为企业信息化的重要组成部分,oa系统一直都是必须的一项业务。随着企业的发展,开设分公司、新办事处、在家办公、移动办公等都成了一种新的需求。因此,oa系统的应用不仅仅局限于某个公司总部或单位总局小型局域网了,现在总部都需要实现和分支机构的互联,使oa系统中的个人办公、公文系统、综合业务、行政管理、综合信息等资源共享,让公司管理更加统一规范,保证物流、信息流的实时更新,确保公司市场信息的及时传递,营销方案的及时执行,提高工作效率;对于政府机构来讲,需要实现和分局的实时联络,保证公文流转的时效性和安全性等等。
要实现这些目标,过去通过电话,电子邮件,不仅效率低,而且费用也不低;采用ddn专线造价太高,用modem远程拨号的方式速度又太慢。如何达到价格和性能的完美统一呢?有了iceflow vpn,只需要运行一套c/s、或者b/s的oa系统,全球各地的同事就可以协作完成任务了。
iceflow vpn特点
◇ 安全:iceflow vpn基于国际标准ipsec协议构建,采用192位idea、des、3des高强度加密算法,并采用动态密钥交换机制,其具有全面日志分析管理功能,最大程度保证公网传输中数据安全问题。可以将分部pptp用户和特定主机绑定,即使pptp客户用户名密码泄漏也绝无安全隐患。另外,与某类产品相比,iceflow vpn免受网络上病毒的攻击,也避免重启等手续,更有效保证数据传输的安全性
◇ 稳定:iceflow vpn按照工业标准设计,支持30000小时连续无故障运行,自动拨号,断线后可在线路恢复正常后10秒内恢复正常运行,支持单机双线路和双机分流备份,有效保证数据流畅通
◇ 灵活:iceflow vpn可实时查看当前数据流量;支持ddn,adsl,cable等多种方式接入internet;支持网状结构和星型结构等多种组网方式;可通过监控中心即时监测各个节点使用状态等,内建update功能,一般新发布的功能均可以免费得到。性价比高:iceflow vpn与同行业产品相比,价格合理,并且根据性能档次分不同价位,可满足不同用户需求。iceflow充分考虑用户的实际需求,为其良身定放产品
方案概述
oa办公自动化vpn组网原理和远程erp系统组网原理相同,都属于应用系统远程组网。iceflow建议,只需要在客户的总部以及各个分支机构分别放一台iceflow系列路由器,各点通过adsl或其它方式接入公网internet,就可以为客户构建廉价,稳定的vpn网络。因公司或企业领导需要在家或出差在外时仍能方便办公,故可采用pptp拨号方式接入,实现与总部的互联。
网络架构
◇ 总部:总部一般来讲是企业信息存放、处理的中心,网络内部主机数量多,数据流量大,安全性和实时性要求高;因此推荐采用高性能的iceflow r5000h作为接入服务器。对于实时要求很高的企业用户,可以在总部采用两台r5000h 作双机备份,保证稳定数据传输
◇ 分支机构:企业分支机构一般指分布在全国各地规模中等的分公司,公司内部建有中等规模的局域网,同时通过当地isp提供的宽带接入方式接入因特网。安装一台iceflowr5000l或1700h路由器,作为客户端接入总部
◇ 移动办公用户:采用pptp或l2tp协议,接入总部,可支持cdma/gprs及802.11b等无线移动接入,用户即使在乘坐车船甚至飞机的途中,可随时随地实现移动办公
点击咨询 