安徽電信合肥分公司網絡監控部 肖凱
在目前銀行、證券、保險等重要金融客戶的組網方式中,SDH和ATM/FR占了絕大部分。在滿足用戶高帶寬、大容量數據通信要求的同時,專網專用也滿足了該類用戶對數據高安全性的要求。單一的網絡接入方式還是存在電路中斷的隱患,因而為用戶提供有效、便捷的備用線路接入方式不僅可以減少用戶因主用電路的故障而造成的業務中斷損失,也提高了運營商對用戶電路的綜合保障能力。
一、專網網絡現狀
目前大部分銀行、證券及保險等用戶網點的連接均使用ATM/FR或SDH電路。其中的傳輸通道部分普遍采用光端機(PDH)或者SDH設備接入,總體而言性能較穩定,帶寬也可以滿足用戶的通信需求。但是從安全性角度來考慮,因為接入方式比較單一,而這部分用戶群體的日常業務又十分依賴通信線路的暢通,一旦出現通信線路中斷,會對用戶造成很大的業務損失,既而對通信運營商造成很壞的影響。因此有必要通過其他手段來進行電路的安全備份,在主用電路故障的基礎上,能夠自動切換到備份電路上,為主用電路的修復爭取時間,又可以最大限度地避免對用戶造成的損失。目前部分用戶使用傳統的ISDN電路作為備用電路,但是這種電路方式由于技術限制,帶寬僅能達到256kbit/s,在某些方面不能滿足用戶的需要。在此提出一些其他方式的備份電路組網方案,并對其進行討論。這些方案包括VPDN、IPSecVPN和HDSL。
二、具體備份電路的選擇
1.通過VPDN實現電路備份
VPDN的特點主要包括以下幾個方面
(1)接入方式簡單,可以實現多點連接到總部,有效降低通信成本。(2)使用互聯網安全協議,可以搭建L2TP隧道和IPSec隧道,保證數據傳輸的私密性,實現專網數據通信。(3)提供了專用VPDN賬號,“一次撥號,兩次認證”,保證了單點接入的安全性。(4)采用DHCP方式分配地址,用戶可以定義私網IPPOOL的范圍和數量,同Internet隔離實現安全可靠的傳輸。(5)網絡覆蓋范圍廣,實現簡單,接入價格低廉。(6)可以滿足移動辦公等需求,可承載客戶第三方應用,延伸了企業的內部網。(7)采用電信局端VPN組網方式,客戶自身的成本大大降低,同時減少了網絡維護量。
VPDN的技術實現方式
(1)VPDN通過ADSL寬帶網進行分支機構的接入,采用VPDN專用賬號撥入專用的認證服務器來獲得認證,在安全認證通過之后才能接入VPDN服務器獲得企業網絡地址,得到訪問企業網的權限(如果賬號認證沒有通過則不具備聯網的功能)。分支機構接入LNS服務器(L2TPNETWORKSERVER),通過MPLSVPN和總部相連,實現同總部的數據連接和共享。
(2)分支機構使用自己的專用賬號通過ADSL撥號進入VPDN認證服務器獲得認證,用戶的身份經過認證之后,VPDN認證服務器會通過LNS服務器建立可以通信的L2TP專用安全隧道,經過MPLSVPN光纖接入總部內部網。用戶數據可以通過安全的隧道在總部和分支機構之間進行傳輸,實現安全、快速、私密的網絡接入和應用。
2.通過IPSecVPN實現電路備份
IPSecVPN的特點主要包括以下幾個方面
(1)用戶不再承擔昂貴的固定線路的租費。連接長途分支機構時,采用Internet作為傳輸骨干是非常便宜的,帶寬還可以提高。(2)連接Internet的方式可以是10Mbit/s、100Mbit/s的端口,也可以是2Mbit/s或更低速的端口,還可以是便宜的DSL連接,甚至撥號都可以連接Internet。可以連接到任意Internet地點,不受距離和運營商的網絡限制。(3)IPSecVPN可以使企業通過公共網絡在公司總部和分支機構之間建立快捷、安全、可靠的通信,這種連接方式在概念上等同于傳統廣域網WAN。(4)遠程的IP話音業務和視頻也可傳送到遠端分支和移動用戶,連同數據業務一起為現代化辦公提供便利條件,節省大量長途話費。(5)IPSecVPN的顯著特點就是它的安全性,這是它保證內部數據安全的根本。在VPN交換機上,通過多種方式保證層層安全。
IPSecVPN的技術實現方式
在公司總部使用一臺相對高端的VPN設備作為公司內部網的防火墻,利用其內帶的VPN網關功能,為全公司提供VPN接入。各分支機構選用VPN接入端設備作為公司防火墻和區域VPN節點。VPN設備通過ADSL或者LAN的方式連接Internet,通過建立點對點的IPSec通道,實現總部和分支機構之間的通信,并保證數據通信的安全性和完整性。
3.通過HDSL實現電路備份
HDSL的特點主要包括以下幾個方面
(1)HDSL用兩對雙絞銅線雙向對稱傳輸數字信號,傳輸速率為1168kbit/s,提供2048kbit/s的E1業務。(2)提供標準E1接口。(3)HDSL無中繼傳輸距離為3km~5km,比傳統的PCM要長一倍以上。它對雙絞銅線的要求沒有傳統設備那樣嚴格,所以安裝方便,一般不用中繼。(4)交直流供電和遠供電,直流為4~20VDC,交流為220V(接電源適配器)。(5)HDSL有若干編碼,如基帶編碼方式(PAM)、正交幅度調制(QAM)、無載波調幅調相(CAP)等。它用這些特殊的編碼和調制方式提高傳送質量并延長傳輸距離。(6)HDSL用多對線并行傳輸,以降低一對線上的傳輸速率,進一步延長無中繼傳輸距離。(7)提高網絡管理(監測、故障診斷等)功能。
HDSL的技術實現方式
在各分支機構機房放置一臺HDSL,通過銅纜雙絞線與機房HDSL相連,利用HDSL提供的標準E1電纜接入機房ATM設備的E1FR接口,在公司總部中心機房側提供一條ATM155Mbit/s接口,中間通過ATM網絡為用戶提供中心機房至分支機構的ATM/FRPVC電路連接。該組網結構示意如圖1所示。
三、不同備份線路方式之間的比較
VPDN技術嚴格說屬于VPN的一種,但與普通的通過公網組建VPN不同的是,VPDN是建立在電話網的基礎上,組網方式類似與ADSL,因此VPDN的最大好處就是方便,電話開通的地方即可采用這種方式組網,用戶無需增加過多的額外投資。其缺點是受電話網(PSTN)本身的網絡限制,上行帶寬一般限制在512kbit/s~1Mbit/s左右,對數據流量大的用戶可能無法滿足要求。
IPSecVPN通過公網組建,用戶只需要在平時上網所用的路由器上做相應的VPN配置即可,由于利用城域網的線路,現在的單位用戶基本已經全部使用10Mbit/s甚至100Mbit/s的網絡出口,因此保障了帶寬的需求,但另一方面由于需要新增路由器配置,此方式增加了用戶端機房的維護操作和管理的復雜性,同時,由于數據通過公網傳輸,它需采用軟件加密的方式,因此在安全性上還有一定的不足。
HDSL與前兩種方式比較而言,既能滿足用戶對帶寬的需求,又因為物理線路的獨立而最大限度的保障了數據的安全性。但此種方式相當于為用戶重新搭建一套網絡系統,所以設備和線路投資都較大。
因此,綜上所述,每種組網方式各有其優劣性,對資金較充足的用戶,還是建議采用第三種組網方式,對投入較為敏感的用戶,則可以采用前兩種方式作為一種臨時性的電路應急方案。在通信運營市場競爭日益激烈的今天,努力提高用戶電路的保障能力,急用戶之所急,想用戶之所想,才能最大限度地提高用戶的企業感知度,提升通信運營商在用戶心目中的品牌地位。
