IP城域网三期扩容项目_VPN建设方案-20111103教案.pptVIP

* 规划技术部 2011年11月 中国移动广东公司 IP城域网三期扩容项目VPN建设方案 汇报提纲 1、项目背景 2、VPN网关建设需求 3、VPN网关建设方案 4、投资估算及项目进度安排 目录 项目背景和必要性 项目背景 广东移动城域网为众多的大客户提供MPLS VPN等数据业务，随着广东移动城域网的不断发展、完善，MPLS VPN客户在可预见的未来会显著增长。 MPLS VPN为客户虽然很好地解决了站点（site）到站点(site)之间的数据访问需求，但却不能满足远程、移动工作人员访问办公网络的需求。 必要性 目前随着移动办公的增加， 企业移动用户希望通过IPSEC或者SSL VPN接入的方法进入MPLS VPN需求增加。 广东移动IP城域网在提供VPN专线的同时需要具有该能力，满足远程、移动工作人员访问办公网络的需求。 汇报提纲 1、项目背景 2、VPN网关建设需求 3、VPN网关建设方案 4、投资估算及项目进度安排 目录 项目建设需求—网络部分 网络建设需求 全省21地市IP城域网各建设1套VPN网关，提供IPSEC、SSL VPN等接入能力，满足集团专线的远程、移动工作人员访问其办公网络的业务需求。 功能实现 VPN接入能力：支持SSL、IPSEC等常用VPN特性，支持基于Web、隧道以及客户端方式的SSL VPN接入功能。 安全防护能力：支持根据安全策略防范用户的非法攻击等。 认证、计费能力：支持多种用户认证途径,包括：用户名/口令、令牌 、数字证书、智能卡、动态短信密码等集中认证以及二次认证方式； 输出Radius报文供宽带业务认证系统认证、计费使用。 地市 用户数/session 一类地市 2500 二类地市 1000 三类地市 1000 VPN网关的配置需求 项目建设需求—支撑部分 支撑侧业务需求分阶段进行建设满足。 本期业务需求： 业务开通需求：实现集团客户SSL VPN等业务的订购，并将相关的业务订购、客户等业务信息统一进行存储。 认证计费需求：实现对VPN用户的认证及计费。 后续业务需求： 用户帐号管理功能：提供集团客户个性化的功能，如修改帐户名称等。 统计功能：提供集团客户VPN流量统计、用户访问次数等统计。 Page * 业务经理 用户支持中心 后台运维 开通VPN业务 企业网管 下工单，开通用户账号 VPN网关 AAA 日志服务器 集中网管平台 企业用户账号增/删/改/停 企业用户日志查看 下工单，配置VPN设备 配置企业地址池/VLANID等 移动 全屏观看演示效果 本期业务开通需求 Page * VPN网关 AAA 业务Portal 日志服务器 营业厅 集中网管 ①开通VPN业务 ②配置企业群组、管理员帐号密码、VPN套餐 ③下发群组、管理员帐号、密码配置 1 2 企业帐号、密码 套餐信息（并发用户数） 给企业的信息： 3 管理登陆界面 企业帐号和企业群组唯一对应，根据企业帐号可对应到AAA服务器上相应企业群组； ④配置企业地址池/VLANID等 后续业务开通需求 Page * VPN网关 AAA 日志服务器 集中网管 ②配置购买个数的子帐号、密码 ①访问管理portal，输入企业帐号、密码 ③在企业群组下，新建VPN用户帐号、密码 子帐号和企业群组有一定的对应关系，根据子帐号可区分出企业群组，如zs@hw； 管理Portal 网上营业厅 后续业务功能需求：用户帐号管理 Page * AAA 管理Portal 日志服务器 访问管理portal，输入企业帐号、密码 VPN网关 日志实时导出到外部日志服务器 提取该企业相关用户日志 网上营业厅 后续业务功能需求：用户日志管理 汇报提纲 1、项目背景 2、VPN网关建设需求 3、VPN网关建设方案 4、投资估算及项目进度安排 目录 VPN网关组网方案比选 VPN网关组网存在集中部署及分散部署两种方案。 方案特点 集中部署：全省建设一套VPN及PE路由器，下挂在CMNET BR；设备由省层面集中维护，业务由省、市层面配合开通，维护管理流程复杂。 分散部署：各地市建设一套VPN，旁挂在SR；设备维护、业务开通由市层面开通。 方案选择 分散部署相对于集中部署具有设备维护管理、业务开通简便等优点，有利于市公司管理维护IP城域网，建议采用该方案。 方案1：VPN网关集中部署 方案2：VPN网关分散部署 本期VPN网关组网方案 全省21地市各配置2台VPN网关，2台设备通过1*GE链路互联以实现1+1热备，避免单点故障及链路故障。 各地市城域网中选取1对业务路由器SR，通过1*GE链路各旁挂1台VPN网关。 在广州集中布放2台VPN License 服务器，以实现对全省VPN网关License的动态调配。 全省2台License服务器通过1*