浅谈邮政3G网络设计

时间:2022-07-06 08:47:00

浅谈邮政3G网络设计

摘要:文章以河北邮政为例,介绍了邮政3G网络项目的背景,分析了目前主流3G技术,探讨了3G网络设计中重要的组网架构,提出了邮政3G网络项目的网络方案、设计理念及实现过程。

关键词:3G网络;可靠性;安全性;组网;路由

中国分类号:F61

文献标识码:A

1 3G网络项目背景与目标

目前中国邮政已经进入了电子化、网络化的快速转型期。网络已经演变成企业发展业务的根基,并与企业的业务运作、经营管理紧密结合。特别是在业务竞争日趋激烈的今天,“网络延伸到哪里,业务才能开办到哪里”的发展特点日渐突显。企业业务网的辐射能力直接取决于网络的延伸能力,而3G技术的发展恰好为传统网络带来了新的发展契机。作为中国邮政重要业务板块的邮政传统业务,其自助终端走进了大型超市、商场、社区和乡镇,在带给人们用邮便利的同时,也让邮政企业感受到了布设便捷、资费较低和安全可靠的网络带来的业务拓展优势。如何让邮政自助终端借助现有3G网络平台进入会场、集市、社区等更广阔的空间,把普遍服务便捷地带到3G网络所覆盖的地方成为目前亟待解决的问题。

从2006年至今,河北邮政信息网经历了规模从小到大,线路带宽由窄到宽的演变过程,但是随着业务的不断发展,对网络接入方式的灵活性要求越来越高。而传统的有线网络搭建要经历一个从线路申请到运营商开通再到线路安装调试的过程,时间少则三天多则一周,这已经不能满足普遍服务所要求的便捷性。考虑到目前3G技术已经成熟,3G线路也能够提供较高的上下行数据带宽,经过调研与评估。3G网可以实现承载邮政企业关键业务的能力,另外由于3G线路按流量收费,能节省大量线路租费。据粗略统计,以3G方式实现网点线路改造后,按1000个网点的规模、有线线路租费按800元/月计算,一年就能节省约600万元的线路租费,节约了企业的运营成本。

3G网络项目旨在借助3G无线网络部署的灵活性,通过先进的接入方式摆脱邮政网点传统有线接入方式的限制,为邮政企业降低有线线路租费的同时,拓展更多的邮政服务形式和更广泛的业务受理范围,并借助3G无线网络的安全保证机制为邮政用户提供最好的安全保障,利用无线信号加密、屏蔽非授权用户、端到端数据加密、用户认证等措施为河北邮政信息网打造一个安全的3G网络环境。

2 3G网络设计原则

数据的安全性、可管理性和可靠性是3G网络设计的主要原则。

保证3G无线网络数据传输的安全性,对数据进行有效保护和高效利用是3G网络在邮政企业中成功应用的最重要因索之一。用户数据是企业的基础,邮政要为客户提供一个可靠环境,以确保客户数据资料的准确性和服务的连贯性。安全性是指用户的接入鉴权和数据的传输安全。可管理性是指通过网络管理,统计营业网点3G网络的使用情况,并对用户数据流量进行统计,制定个性化报表。另外,鉴于3G网络容易受到外部因素干扰,因此需要充分考虑组网的可靠性。

随着第三代移动通信技术的发展,电信运营商的3G网络可以使个人用户随时随地地接入互联网。而对于企业用户的3G网络应用,更多的是要利用3G网络实现对企业内网资源的访问。为保证邮政3G网络接人的安全性,避免企业的业务数据暴露在互联网上而出现相关安全问题(攻击、黑客、窃取等),首先需要电信运营商对发放给邮政企业的SIM/UIM卡进行认证和专有域划分,在接人3G网络时首先进行安全认证,确保只有经过授权的用户才能接入邮政企业网络;其次,通过VPN隧道技术,在运营商与企业网络之间搭建一条VPN通道,确保运营商与企业间数据的安全传输;最后,对3G接人的用户进行再次认证,并在3G接人端与邮政企业网络之间通过IPSec技术,实现端到端传输数据的加密,这样通过采用用户认证、专有域、隧道和数据加密等多种技术手段,最终确保企业数据的安全性。

目前电信运营商3G专网存在GRE、L2TP两种隧道技术组网,由于GRE是VPN的三层隧道协议,即在协议层之间采用了Tunnel(隧道)技术,对某些网络层协议(如IP和IPX)的数据包进行封装,使这些被封装的数据包能够在另一个网络层协议(如IP)中传输,无法对VPN隧道进行安全认证,且企业的内网路由需要由运营商来分配和管理,不适合邮政行业3G组网的需求,所以考虑使用L2TP隧道技术组网。

3 3G网络的组网设计

3.1 网络总体架构

3G企业专网总体架构如图1所示,其建立过程分为以下四部分。

一是在网点3G路由器上安装SIM/UIM卡,配置用户名、密码(联通还需要设置APN名称),启动3G拨号连接。

二是通过3G基站传输,运营商LAC设备收到3G拨号数据后,会根据APN名称、用户名中的域名(@*****)判断此用户为企业VPDN专网用户,并通过运营商侧AAA认证服务器进行SIM/UIM卡的IMSI认证,通过认证后由LAC设备发起与用户LNS设备的L2TP VPN连接。

三是L2TP VPN建立过程中,企业中心用户侧LNS设备的AAA服务器需要对网点3G路由器的用户名、密码、SIM/UIM卡的IMSI信息进行认证,认证通过后,通过AAA认证服务器为网点3G路由器分配企业内部IP地址,建立PPP连接进行1P通信。

四是网点3G路由器和企业中心用户侧LNS设备之间配置IPSec加密,实现网点终端与企业内网之间通信数据的端到端加密。

3.2 路由协议部署

路由协议用于学习和维护路由,为网络通讯提供最佳路径,在网络出现故障时,可通过路由收敛,实现网络的高可靠性。路由协议的选择依据原则如下。

3.2.1 开放性和标准化

必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。

3.2.2 可扩展性

使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。

3.2.3 支持快速收敛

路由协议应该支持快速收敛,在网络出现故障时,可通过路由收敛,实现网络的高可靠性。

3G网络接人区的路由协议部署方案如图2所示。

网点3G路由器配置缺省路由下一跳指向3G拨号接口,3G拨号成功后与LNS接入路由器IPSec加密网关之间直接通过IPSec VPN进行端到端加密,LNS接入路由器IPSec加密网关配置“IPSec反向路由注入”功能,就可动态根据IPSec生成网点业务网段的静态路由,且无需增加其他额外的路由协议开销,当网点路由器无法和LNS进行IPSec协商时则无法访问企业内网核心区资源。

LNS接入路由器与企业内网之间运行OSPF动态路由协议,OSPF是链路状态路由协议,采用的是最短路径树算法,协议自身的开销小,在防止路由环路的同时,可实现网络故障时的路由快速收敛,使网络具有更高的可靠性。

3.3 网管平台部署

3G网管平台负责3G接入路由器到内部防火墙的全部网络,包括设备、链路和相应事件的统计,其管理功能分为两部分:LNS、VPN网关管理和3G拓扑、流量、告警、IPSec VPN隧道管理。网络信息查看需要实现设备状态实时监控、设备基本网管信息查看和线路的状态查看,其中线路包括局域网线路、广域网3G线路和IPSec VPN链路。网管平台需要收集设备和线路信息,对异常情况产生告警,对线路切换、设备切换和设备重启等事件进行日志收集和记录。

3.4 网络安全防护

3.4.1 网点设备接入侧安全防护

网点3G路由器对接入设备的IP+MAC地址做绑定,只允许合法的IP和MAC地址接入,当非法IP或MAC地址接入时,拒绝其访问网络资源。

3.4.2 3G路由器接人侧安全防护

3G路由器接人侧安全措施包括以下三项。

3.4.2.1 3G网点接入认证

要求运营商对SIM/UIM卡的IMSI码进行认证,拒绝非法SIM/UIM卡接人;企业中心侧AAA认证服务器,要求对3G VPDN接人用户做用户名、密码认证,同时对SIM/UIM卡的IMSI码进行第二次安全认证,并由AAA认证服务器为3G VPDN接入用户下发固定IP地址,保证3GVPDN接入用户与IP地址的一一对应。

3.4.2.2 限制SIM/UIM卡互联网服务

运营商对3G接入的SIM/UIM卡限制互联网服务,即便在3G VPDN专线接入认证失败时,该SIM/UIM卡也不能连接互联网,避免业务数据暴露在互联网中而出现相关安全问题。

3.4.2.3 接入时间控制

3G接人区用户侧AAA认证服务器对3G接入用户的拨人时间进行控制,防止用户在非工作时间内接入网络。

3.4.3 运营商3G无线侧安全防护

目前联通、电信两家运营商的3G网络分别为WCD—MA、CDMA2000制式,这两种3G制式全部是基于CDMA技术发展而来。CDMA源于军用传输保密技术,它采用扩频技术和伪随机码技术,具有抗干扰、安全通信、保密性好的特性,可保证3G无线信号不被窃听和破解,保证无线传输的安全性。

3.4.4 运营商有线侧安全防护

由于运营商与邮政企业是通过城域网接入,为保证企业数据的传输安全,LNS路由器要求支持IPSec VPN,同时承担IPSec加密网关功能。网点3G接人路由器与加密网关建立IPSec VPN,对业务数据进行端到端加密,保证业务数据的传输安全,并要求IPSec加密算法尽量使用高强度的合规算法,以保证数据报文在网络传输时的不可否认性、防重播性、数据完整性和数据可靠性。

3.4.5 3G接人区数据安全防护

防火墙对传输的数据流进行安全策略控制,只允许合法数据流通过,开启防火墙抗攻击防范功能,包括常见的DoS/DDoS攻击防范(如SYN flood、DNS Query Flood等)、欺骗类攻击防范、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范和地址/端口扫描防范等。

3.5 网络高可靠性设计

3G接入区网络整体设计,关键部位采用线路冗余和设备冗余设计,充分考虑网络的冗余性,关键部位(如LNS路由器、防火墙、核心交换机)均采用双设备双线路冗余设计,能够有效提高网络的可靠性。

4 河北省邮政金融3G网络的管理与维护

4.1 SIM/UIM卡的发放、注册、注销管理

4.1.1 发放

有3G无线接人需求的市局需要向省中心提出申请。SIM/UIM卡的申请工作由市局单独向运营商申请,申请完毕后向省中心进行报备。

4.1.2 注册

采购的SIM/UIM统一交由省中心进行3G路由器配置,用户名、lP的设定及SIM/UIM卡的IMSI码绑定工作。

4.1.3 注销

对于停用或遗失的3G卡,市局需第一时间向省中心提出注销申请·省中心接到申请后,立即进行注销处理。

4.2 系统日常管理

在3G网实际运行一段时间后,应对运行效果进行评估。若发现3G的速率过低或信号质量不好,应及时与运营商沟通。并协调解决(可以协调运营商调整附近基站的参数或增加室内分布系统)。

4.3 河北省H3C智能管理中心iMC

在Is()提出的网络管理框架模型(IS07498—4)文件中,网络管理功能划分为五个功能域,每个功能分别完成不同的网络管理功能,即故障管理、配置管理、性能管理、计费管理和安全管理。这些功能在iMC上均有显示。

4.3.1 故障管理

故障管理(Fault Management)包括故障检测、隔离和纠正OSI环境中的非正常操作,同时还包括错误记录、故障定位和诊断测试等功能,其目的是保证网络能够提供连续可靠的服务。iMC的故障管理通过对来自硬件设备或者网络节点的报警进行监控、报告和存储,对故障进行诊断、定位和处理,能够动态维护网络的运行。同时,必要时还可以启动网络控制功能,通过诊断、修理、测试、操作设备和备份设备来保证高度的可用性。

4.3.2 配置管理

配置管理(Configurating Management)以对互连服务进行准备、初始化和启动,并为其提高连续操作和终止互连服务为目的,对开发系统进行确认、实行控制。从中收集资料,并为开发系统提供资料。这些服务可以包括收集关于系统的信息,在系统发生变化和系统配置发生改变时给予提示。配置管理也是网络管理的基本功能。本系统的配置管理包括识别网络的拓扑结构、标识网络中的对象、自动修改指定设备的配置和动态维护网络配置数据库等。

4.3.3 性能管理

性能管理(Performance Management)应能使OSI环境中的资源行为和通信活动的有效性得以评估。性能管理涉及网络通信信息的收集、加工和处理等活动,其目的是保证在使用最少网络资源和具有最小延迟的前提下,提供可靠、连续的通信能力,并使网络资源的使用达到最优化。性能管理的具体内容包括:从被管理对象中收集与网络性能相关的参数;统计并分析历史数据;建立性能分析模型;预测网络性能的长期发展趋势。根据分析预测的结果对网络拓扑结构以及被网管对象的配置参数进行调整,逐步达到网络的最佳状态。

4.3.4 计费管理

计费管理(Accounting Management)是以使用OSI环境资源和所付费用为目标而建立的。计费管理是商业化计算机网络的重要网管功能,通过统计用户的信息流量、访问资源等信息来正确计算并向用户收取网络服务费用。此外,计费管理还要进行网络资源利用率的统计和网络成本效益的核算。

4.3.5 安全管理

安全管理(Security Management)的目的是以产生、清除和控制安全服务和机制等功能来支持安全策略的应用。网络安全管理的主要内容包括:管理用户的权限分配,与安全措施有关的信息分发,与安全有关的事件通知。安全服务设施的创建、控制和删除,安全管理日志记录、维护和查询等。在开放系统中,网络安全问题日益突出,网络安全管理正成为网络管理功能模型中不可或缺的一个组成部分。

5 结束语

虽然河北邮政3G无线网络系统的建设已经完成试点工作,并实现了满足项目需求的无线网络系统,但并不意味着已经建立了一个一劳永逸的网络系统,尤其是高可靠性3G网络系统设计方案距离走向通用化还有多方面有待进一步完善与加固。首先,追求高可靠性3G网络的设计方案是一个永无止境的课题,更简洁的网络拓扑结构、更全面的可靠性保障、更高性能、更高性价比的网络系统设计方案都是该课题进一步深入探索的目标;其次,由于项目需求的针对性和局限性以及工程建设时间进度的限制,本文只讨论了主、备冗余方式下网络系统的工作方式,对于负载均衡方式下的工作方式、对工作负荷的合理分配方案以及这两种工作方式各自适用场合的比较和分析等内容还没有进行深入研究,因其是高可靠性3G网走向商业化和通用化必不可少的组成部分,将是项目课题未来进一步深入研究的内容。

上一篇:浅谈英语口语教学策略 下一篇:消毒供应中心持续质量改进在医院感染管理中的...