联通VPDN大客户网络建设实施方案{项目}.doc

《联通VPDN大客户网络建设实施方案{项目}.doc》由会员分享，可在线阅读，更多相关《联通VPDN大客户网络建设实施方案{项目}.doc（12页珍藏版）》请在三一文库上搜索。

1、cheng联通企业专用网络建设方案1. 概述1.1技术背景近几年来全球范围内互联网迅速发展，业务种类不断推陈出新。随着全球经济一体化的发展，电子商务的应用正逐步广泛，各种企业 用户远程办公的需求日益增长，用户发现单靠自己很难构造和维护一 个能满足不断增长需求的企业网络，而利用互联网的优势建设一个网 络部署灵活简便、一次性投资较小、管理和维护成本低的虚拟专网VPN(Virtual Private Network)恰恰能满足其需要。它使企业网络几乎 可以无限延伸到地球的每个角落，从而以安全、低廉的网络互联模式 为包罗万象的应用服务提供了发展的舞台。虚拟专网(VPN)技术早在电话网络中就提出过，而目

2、前所说的VPN技术是专指利用公众数据网络资源为企业构成虚拟专用网的一种业务。VPN有两层含义：它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立，虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接； 它是利用公众网设施构成的专用网，构建在这些公共网络上的VPN将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相 连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处:降低

3、企业成本。当用VPN进行远程访问时，只需付市内电话费， 节约了昂贵的长途电话费；可以大大节约链路租用费、设备购置费以 及网络维护费，减少企业的运营成本。除此之外，更能将In ternet、企业内部网络(Intranet)、企业外部网络(Extranet)及远程接入功能 (Remote Access整合于同一条对外线路中，不需要像以前那样，同时 管理In ter net专线，长途数据专线等多种不同线路。公司能利用无处不在的In ternet通过单一网络结构为职员和商业 伙伴提供无缝和安全的连接；基于拨号 VPN的Extra net能加强与用 户、商业伙伴和供应商的联系；建网快捷，易扩展、定制。用

4、户只需与服务提供商签约，将各网 络接点接入公用网络，并对网络进行相关配置即可。可以迅速构 建一个属于自己的专用网络，增进工作效率与员工生产力，提高 企业整体的竞争力。VPN是逻辑上的网络，用户要扩大或改变VPN 覆盖范围只需再签约、进行相应的软件操作即可。安全可靠。VPN利用隧道技术，通过在公用网络上建立逻辑隧道、 网络层的加密以及采用口令保护、身份验证、权限设置、防火墙 等措施，保证数据的完整性、避免被非法窃取。VPN与传统的租用专线相比有一大优点，即In ternet有一部分出现问题时，数据可 重新选择路由，而专线一旦出故障则会导致相应的网络瘫痪。简化用户的网管。大量的网管及维护工作均由服

5、务提供商完成。总之，VPN兼备了公众网和专用网的许多特点，将公众网可靠 的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众 网与专用网之间的一种网。VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资， 降低用户的电信费用，在近几年得到了迅速的应用。有专家认为，VPN将是本世纪末发展速度最快的业务之一。MPLS VPNMPLS技术把第2层（数据链路层）交换的性能与虚拟电路功能 与第3层的路由的伸缩性和灵活性结合到了一起，实现了扩展环境的路由和交换的完全集成。不论是在帧中继/ATM骨干网上，还是在集 成的IP/ATM或千兆位路由器骨干网上，MP

6、LS均提供了支持基于IP 的VPN的手段。根据目的地址和包所属的 VPN对包进行标记，支持 重叠的IP地址空间和基于QoS的服务水平协议，同时保持与第 2层 帧中继网络同样的数据安全性。MPLS应用于虚拟专用网，具有以下优点：1为受管理的IP服务的快速部署（包括intran et和extra net）提供平 台；2. 灵活的地址方案，不同的 VPN可以使用相同的IP地址与客户网 络实现无缝集成；3. 为现有的VPN网络增加可扩展性；4. 使每个服务提供商支持的 VPN达数以十万计，提供端到端的IPQoS,支持多种服务级别;5. 对VPN成员的管理简单容易，利于快速扩展；6. 为包含多种业务的扩

7、展的Intranet和Extra net提供任意的连接性。拨号 VPN (VDPN )VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立安全的虚 拟专网。联通VPDN系统的主要目的就是利用 CNUNINET16的拨号及 接入网，实现虚拟专用网为企业用户提供一种建设企业网络安全、经济、简捷的方案。?用户使用VPDN业务的优势-降低成本?节省长途拨号费用?减少企业运营成本-加强联系-安全可靠?采用隧道协议，增强了通道的数据安全性和可靠性?多种用户身份验证方式(如 PAP或CHAP )-简化管理-建网快、易扩展

8、1.2项目目标通过本项目的建设，浙江省正泰集团网络与联通公用网络相连， 构建成一个属于自己的专用网络。其全国各分支机构可以在利用联通 165网的MPLS/VPN及VPDN所提供的服务，接入到正泰集团总部 上报相关数据，完成随时随地的联网工作。1.3项目内容其MPLS/VPr应包括P设备（服务商骨干网路由设备）、PE设备 （服务商骨干网边缘路由器）及 CE设备（服务商所连接的用户端边 缘路由器。P设备及PE设备均由联通公司提供，CE设备可根据正泰 集团现有网络情况自行解决或由联通公司代为解决管理。在一个完整的VPDN网络中应该包括，业务承载网、业务管理平 台、用户端的网络及应用系统3个部分。在本

9、项目中，业务承载网使 用的是联通的165网，业务管理平台是165的综合业务计费系统，所 需改造建设的仅仅是用户侧的网络。2网络建设方案因正泰集团其分支机构分散在全国各地， 根据企业成本、业务数 据量大小及地域因素，建议主要采用 VPDN方式组网，在数据业务量 大相对重要的分支机构可以建议采用 MPLS/VPN勺组网方式2. 1VPDN的网络方案相对比较简单。在整个网络中比较关键的是 VPDN网关。2.1 . 1网络拓扑VPDNHOSTINGVPN 3000专线正泰全国分支机构VPD接入系统CNUNINET 165网关/LNS（3600系列路由器）交换机正泰总部网络系统1riiw市话PSTN接入

10、服务器接入服务器市话PSTN正泰全国分支机构正泰全国分支机构的企业网关LNS的选取。LNS网关是L2TP隧道的终止点，将公网 上的用户连接进企业内部网，是 VPDN企业用户网络中的关键设备。 为节省开支，LNS网关可以采用路由器和 VPDN网关功能合一的设 备。目前的主流路由器厂商CISCO已经在它的产品上普遍支持 VPDN 功能，所有IOS版本在12.0T以上的产品都能够提供 VPDN功能。 鉴于正泰集团的用户规模建议采用 36系列的CISCO路由器作为企业在方案中，VPD N的网关功能由企业网内部的路由器实现。选用同时具备路由功能和VPDN功能的网络设备。用户的路由器既完成网络的 连接功能

11、，同时还完成了 VPDN勺网关功能。它终结L2TP的隧道，将远端的VPDN拨号用户接入到用户网络中，提供VPDN勺服务。路由器 的选型我们推荐了 CISCO勺36系列，它可以同时处理500个并发用 户，能满足正泰集团今后的发展需要。 路由器向下连接一台局域网交 换机，交换机具体型号用户可根据自身网络需要而定。接入分为拨号接入和专线接入方式，用户可根据本身的网络情况和业务量的大小自定O1拨号VPDN接入正泰集团总部分支机构电脑系统拨本地165后，由接入服务器识别后缀域名， 根据域名指向正泰集团总部的网关（路由器），网关指向联通VPDN HOSTING进行认证，认证通过后建立隧道，并分配合法 IP

12、地址，完 成访问正泰集团总部网络系统。2. 专线接入正泰集团总部专线接入的分支机构，通过专用二次拨号软件由联通 VPN3000指 向 联通VPDN HOSTING认证系统进行认证，认证通过以后建立隧 道，与正泰集团总部网络系统连接。2. 2MPLS/VPN:MPLS /VPN的组件构成-P Router：联通165网骨干网路由设备，为核心LSR（标记 交换路由器）,不需要知道VPN的信息，仅需对标记进行识别，并传输到相应的PE中;-PE Router：联通165网骨干网边缘路由器，可以是支持MPLS的路由器LER（标记边缘路由器）-CE Router：联通165网所连接的用户端边缘路由器，属

13、用户网络设备；可通过静态路由、RIP和EBGP与PE连接-P和PE路由器由联通来维护和管理，用户并不能对它们进行任何管理；而CE路由器可以由用户单独进行管理， 也可以由用户与联通公司签定一个合约，由联通公司进行 管理。2. 2. 1网络拓扑正泰集团分支机构CECE专线PEPECEPEPEI 口亡口亡 口匚口匚 1JLJL 二口口 电匚二专线165MPLS-VPN正泰集团 分支机构匚 亡JC J C1C1 2正泰集团 分支机构正泰集团总部匚匚n LLJ 匚匚H 匚匚二|当用户的IP数据到达边缘路由设备即 PE后，由边缘设备PE根据其链路的 VPN-ID，对比其内部的 VRF(VPN Routin

14、g Forwarding) 记录，将数据包打上相应的标记，传输到联通核心的骨干交换机PRouter上，骨干交换机再根据标记传输到对端的相应的边缘路由器 PE中，PE再将标记去除，根据 VRF将数据包发送到相应的用户设 备中，实现宽带联网。3.联通互联网简介UNINET是中国联通公用计算机互联网的网络名称，是经国务院 批准直接进行国际联网的经营性网络，其拨号接入号码“ 165”，面向 全国公众提供互联网络服务。2000年7月，中国联通互联网成功开通，开通以来，中国联通 互联网UNINET业务得到了发展。中国联通互联网UNINET目前在全国近3000个县以上城市开通， 网络具有先进性、统一性、综合

15、性和全国漫游的特点。在技术上采用 先进的ATM和IP融合技术构件骨干网平台，可方便提供各种专线接 入、IP虚拟专网（IP-VPN）等业务。骨干网由汇接层和区域层组成， 汇接层由汇接节点组成，其中核心汇接节点7个，分别为北京、上海、 沈阳、西安、武汉和成都，且在北京、上海、广州设立国际出口，一 般汇接节点设置在各省会城市、直辖市、计划单列市及业务潜力较大 的城市；区域层由普通节点组成，设置在各地市城市。根据业务量的 划分和业务功能的需求，分别配置了不同规模的ATM和IP相结合的 多业务交换系统。目前，UNINET核心汇街节点间带宽为1G。（二）.优势中国联通开展INTERNNET业务，具有多方面的优势：1. 技术优势。联通采用先进成熟的组网技术，使网络安全可靠；2. 其次是综合业务优势。由于 UNINET架构在ATM综合业务网上, 从而能够降低综合成本，使我们的价格更有竞争力；由于联通是国内 唯一的综合电信业务运营商，可以为用户提供跨业务的综合解决方案；3. 体制优势。联通对网络建设全国统筹规划，统一设计，有效实现 跨区域业务，轻松实现漫游，同时由于联通一级法人的体制，能够全 国统一经营策略，可为合作伙伴或大客户提供一点式服务；4. 品牌优势。市场调查显示， 联通品牌已具有相当高的认知度，这 不仅是联通的资源，同样也是合作伙伴的资源。cheng