网络专线安全精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇网络专线安全，期待它们能激发您的灵感。

篇1

关键词：专线网络　信息　安全保障系统　构建

专线网络往往用来传输企、事业单位之间比较重要或机密性较高的数据信息，专线网络相对于开放式的信道虽然能够很好的提高用户信息传输时的安全性，但由于其自身不可避免的缺陷和来自于网络各方面威胁的不确定性，使得专线网络的信息安全保障Ⅲ问题被日益重视。

1、专线网络的普遍需求归纳

随着各行业的信息化、网络化发展，企业、事业单位信息量和信息传输需求的不断增加，传输速度快、安全性高的专线网络被越来越多的用户所需要，并普遍应用于社会的各个方面，其中甚至包括政府部门，这就要求专线网络首先要做到的就是安全性，要求信息在传输过程中的完整性，并不被窃取；能持续提供稳定的、不间断的、大容量的传输服务，接入点的分布范围广能在全国范围内便捷、快速的接入，并能随着业务需求量的不断增加同步的进行扩展。

2、专线网络信息安全保障系统建立的必要性

专线网络的安全涉及到用户信息能否被有效地利用，数据信息的丢失危害性小的可能造成诸如企业或学校等单位的管理混乱，危害性大时甚至可能威胁到国家安全、一个企业的生存与否，所以构建一个有安全保障系统的专线网络是非常有必要的，国家相关文件也指出“要注意专线网络安全保障系统中最薄弱的地方，尽量充分地认识到各种潜在的威胁，根据信息的重要性、性等级，建立相应等级的安全措施和管理。”

专线网络的信息安全保障系统的建设是一个整体，需要在充分进行了风险评估的基础上，综合地进行考量和建设，不但要在软、硬件安全措施方面进行设置，还要相应的提高管理人员的危机意识，充分认识到信息安全的重要性，和一旦信息丢失所造成的严重后果，才能使得在安全设施方面的投入被充分的利用，并发挥应有的作用。

3、专线网络信息安全面临的问题

随着专线网络的安全问题被日益重视，各种安全保障技术也在不断地提高，如防火墙技术、软件加密和硬件设备加密等等，尽管些技术在一定程度上解决了专线网络的一部分安全问题，但是专线网络的安全保障方面仍存在着一定的问题：虽然现在大多数的专线网络都采用了入侵检测和病毒扫描技术，但是由于目前入侵检测技术的发展程度尚不成熟，无法及时高效的对入侵者采取防范措施，所以没有被广泛的应用；在病毒扫描方面，存在着病毒数据库更新不够及时，扫描手段落后，对潜在的网络病毒和木马威胁的预知几乎为零等问题。在有些企业内部的网络中安装有安全芯片，但是目前的安全芯片无法做到高度的智能化，对人为操作的要求相对较高，很难做到高度统一。

4、专线网络信息安全系统构建的原则

4.1专线网络信息安全系统构建的设计理念

由于各专线网络的安全级别要求不同，所以每个专线网络可以根据自己的安全等级翻需要，并根据自身企业或单位的资金等具体情况，来进行安全保障系统方面的建设。所选择安全保障系统要有较好的智能性，便于使用中的操作和日常维护；另外，要在进行防御时改被动为主动，采用取“动静结合”的安全手段。安全保障系统还要具有良好的性价比，最好为一次性的投资，减少日后的附加费用，并有良好的扩展性。

4.2专线网络信息安全系统构建的设计原则

专线网络采用的安全保障技术在设计时要遵循以下原则：首先要适合操作人员的能力，不要采用过于复杂的措施，人员操作水平达不到安全措施的要求时，就相当于削弱了安全保障性能；安全技术的设计也要根据系统的具体性能来选择，过于繁复的运算，会大大降低系统的运行和响应速度；在风险评估的基础上针对单位的具体情况，设计适合的专线网络安全保障系统，设计的安全级别愈高，相应的投资数额就会愈多，要在考虑系统安全性的同时考虑用户的投资承受能力。一个可靠的信息安全保障系统要有良好的整体性，综合运用专业的措施和人为管理制度，如严谨的操作流程、日常维护制度等等。

5、专线网络信息安全系统的具体构建

5.1构建完善的病毒防御系统

随着网络病毒的发展和变化，其多样化的传播方式、隐蔽化的感染方式，使得专线网络一旦被病毒感染，很难被清除干净。首先存在着人为因素，大多数的终端用户对预防、清除病毒没有重视，一旦某终端或局部网络感染病毒，在缺乏管理的状态下将会迅速传播到整个专线网络。一个较大的专线网络中存在着众多的终端用户，很难做到统一升级病毒数据库，并在同一时间内同时进行杀毒。而且现在的网络病毒利用高科技的手段进行系统嵌入，一旦嵌入清除的可能性就很小。

针对上述问题，建议在专线网络内部建立一个两级的既能集中管理又能进行分级管理的网络病毒防御、监控体系。二级系统内的服务器等网络设备、所有终端都可以实现自我管理，并将二级系统内的病毒信息集中汇总后，报往上一级的管理系统。在专线网络内部建立病毒防御管理区，分别针对内网、专网和外网(即互联网)病毒防御服务器。

5.2构建系统漏洞扫描系统

专线网络用户往往会应用各种软件，这其中包括安全保障方面的软件或产品，这些产品在设计时和应用时都存在着漏洞，这些漏洞就会被病毒和木马程序所利用，直接对专线网络进行攻击。应根据专线网络的实际情况，尽量的通过漏洞扫描系统发现漏洞，并及时补救。目前即使是效果最好的入侵检测系统，往往也存在着不能及时更新、经常检测到一些没有意义的所谓隐患，在数据流量较大时，还存在误报和漏报，在黑客利用大量的伪造的数据包俺盖其真正的目的攻击意图时，就可能造成系统的瘫痪。构建结合预防和主动还击措施的漏洞检测系统，在系统漏洞被黑客利用前，先利用已掌握的黑客软件，攻击自己的专线网络，以检测漏洞检测系统对漏洞的检测能力及对漏洞的定位是否准确；在受到攻击时，采取主动还击的方式，对攻击来源进行攻击，使其不再具备攻击的能力。

5.3构建入侵检测系统

专线网络因其所传输的信息的机密性和重要性，所以必须建立起一套确实可选择入侵检测系统，实时监控可能发生的入侵行为，当有入侵行为时，能进行阻断或弱化，并能生成详细推检测报告。由于黑客技术的不断提高，在进行攻击时往往把真正的攻周行为隐藏起来，先生成大量的虚假报警，造成入侵检测系统的误报，并不能对攻击行为进行精准的描述。鉴于以上入侵检测系统存在的问题，建议构建报警信息数据融合系统，由低层报警、中层报警、高层报警、入侵报告五个部分组成，如图1：

5.4构建身份认证系统

篇2

[关键词] 计算机网络 系统安全 网络权限 加密

一、影响计算机网络安全的主要因素

1.网络系统在稳定性和可扩充性方面存在

由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。

2.网络硬件的配置不协调

一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是工作站选配不当导致网络不稳定。

3.缺乏安全策略

许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。

4.访问控制配置的复杂性

容易导致配置错误,从而给他人以可乘之机。

5.管理制度不健全

网络管理、维护没有严格的规章制度。

二、确保计算机网络安全的防范措施

1.网络系统结构设计合理与否是网络安全运行的关键

全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题:由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个节点的网卡所接收,同时也被处在同一以太网上的任何一个节点的网卡所截取。

因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。为解除这个网络系统固有的安全隐患,可采取以下措施:网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。

以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

2.强化计算机管理是网络系统安全的保证

(1)加强设施管理,确保计算机网络系统实体安全

建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、传输设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。

(2)强化访问控制,力促计算机网络系统运行正常

访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。

①建立入网访问功能模块

入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该。网络用户的用户名与口令进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令。否则,用户将被拒之门外。

②建立网络的权限控制模块

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。

③建立属性安全服务模块

属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

④建立网络服务器安全设置模块

网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。

⑤建立档案信息加密制度

保密性是机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。

⑥建立网络智能型日志系统

日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。

⑦建立完善的备份及恢复机制

为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。

⑧建立安全管理机构

安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统、软硬件、通信、保安等有关人员组成。

参考文献:

[1]陈爱民.计算机的安全与保密.科学出版社,2004.

[2]殷伟.计算机安全与病毒防治.安徽技术出版社,2005.

[3]王李伟.计算机网络的安全意识.西安电子科技大学出版社,2006.

篇3

数据传输、语音沟通无碍

据中国移动贵州分公司工作人员介绍：“集团专线”是指中国移动通信基于自身强大的CMNET数据网，利用自己的接入网和传输网络资源，采用固线方式（XDSL、光纤宽带网、LMDS、3.5G微波传输、2.4G无线局域网等）为集团用户提供专线接入，从而实现集团客户专享各种高质量高安全性的数据传输服务。通过中国移动强大的CMNET数据网络，采用专线的方式为集团客户提供多种带宽的国际互联网接入业务，并可提供静态IP地址，既可实现集团内部员工高速上网，又方便集团客户利用INTERNET直接开展网上业务，进行电子商务活动。

目前，中国移动贵州分公司推出的专线服务内容包括“语音通信需求”、“数据通信需求”、“互联网需求”三大部分，为企业提供传送语音、数据、视频等业务的专门服务，适用于速率高、信息量大、实时性强的数据传输应用，并且保证信息安全、速度快捷，从而满足企业运转过程中的各项需要，特别是有效解决了跨区域企业在业务对接、客户维系等各方面的工作问题。专线业务不仅可与企业信息机，GPRS企业接入等多种产品组合成整体解决方案，也是未来移动信息化应用的载体。

优质网络成就出色工作

中国移动贵州分公司的集团专线全程管道光纤接入，采用业界成熟的SDH网络，并引入领先的智能化IP―VPN光交换网络、大容量DWDM城域网，确保网络质量安全稳定。另外，专线有丰富的带宽支持，可根据用户的实际需求，提供各类带宽的信息化业务，如2M、10M、100M、155M、最大可以达到2.5G带宽的信息化业务。高质量的网络、先进的技术支撑、多样的个性化选择，使得中国移动贵州分公司集团专线在金融、电力、贸易、商业、政府、科技、教育等众多领域都有广泛的应用， 广受企业欢迎。

某企业信息中心负责人表示：选择中国移动贵州分公司集团专线，一方面是因为看中它强大的网络资源；另一方面则是因为服务好，能够针对不同企业的实际需求，提供个性化的解决方案。“在实际使用过程中，也感受到了集团专线的确方便快捷，甚至帮我们节省了不少成本。”负责人说。

篇4

[关键词]集团客户；专线接入组网；安全性分析

中图分类号：TN915.6 文献标识码：A 文章编号：1009-914X（2014）01-0312-01

引言

经济的告诉发展推动了当代技术的革新、进步，面对机器更新换代愈来愈快的步伐，集团客户显著提高了专线接入组网的要求，电信运营商也根据集团的这种需求制定出针对不同性质集团的组网接入策略，但就目前来看，虽然制定出一系列相关策略有效解决了客户对专线接入网络的需求，但其日后日益流露出的网络质量问题以及网络维护等问题日趋严重，这一系列问题的出现，一定程度上导致了客户的不满意度的提高，对企业信誉造成一定的冲击和十分不利的影响。本文从集团客户现状入手，有效分析客户市场的巨大潜力，希望以此引起电信经营商的重视，并为其集团客户专线接入组网提供有效性分析，为其出谋划策，完善入网接入方式的不足之处，增强网络集团客户专线接入组网的安全性。

一、 集团客户现状分析

网络在人们的日常生活中具有越来越重要的作用，它成为人们日常活动不可或缺的必备工具，网络对于普通百姓的重要性都如此显而易见，那它对于我国企业集团来说，更是如此。经济的发展、科技的进步，企业的日常办公越来越需要借助多媒体的帮助加以完成，而企业公务的繁忙，以及对作业效率、质量的严格要求足，进一步需要借助稳定的网络环境保驾护航，这一定程度上说，客户提高了网络质量的要求，电信运行商的挑战可谓说是遭遇更加严峻和残酷的挑战。

一般来讲，集团客户主要包括政府工作部门以及企业事业单位两方面，毫无疑问，很容易看出政府工作部门以及企业事业范围在社会上巨大的影响力和一定的社会地位，作为具有广泛影响力的集团客户，他们的健康发展不仅具有远大前景，而且可以有效拉动个人业务的办理，显而易见，客户对于网络公司具有至关重要的作用，客户是他们的主要市场，在激烈的市场竞争中，说拥有更多的客户资源，就占得了市场先机，会更公司的发展具有极大的促进作用，显然这对于网络公司的发展是极为重要的。

二、 专线接入组网设计原则论述

一方面，专线接入网络作为一种特定区域的网络共享模式，网络公司在根据公司特点制定不同的网络接入模式的同时，需要周全考虑各方面的因素，力图以详尽完备的解决方案达到满足客户需求以及本公司利益的双重化标准。以下，笔者简要分析专线接入组网涉及的一系列原则性问题，希望众多网络公司本着对客户负责的心态，规范操作流程，更好的促进我国网络运营公司的发展，更好的为我国企业集团创造良好的上网环境。

另一方面，企业遵循一定的专线接入组网设计原则可以有效为企业提供强有力的后期服务，一旦出现网络不稳定等情况，及时出台应变措施，尽快解决各种网络问题带给企业发展的不利影响。

（一） 合理性原则

网络公司对于入网接入方式的选择需要立足于具体的公司实际情况，可按照公司的重要性予以排序，对于重要程度极高的企业集团要竭力为其提供最稳定的、安全的网络环境，当然这种高标准的服务需要极多的物力、财力的投入，这对于影响力巨大的企业集团而言，自然有承担该种消费的能力，这也为企业集团按时付清网络公司账单解决了后顾之忧。网络公司要根据企业的实际情况出台一系列针对性不同的接入专线方案，力求提供在各公司承受范围之内的最优质的服务。

（二） 专业性原则

所谓专业性既要保证网络公司在各环节中保障各个流程环节的专业技术规范性，多方面综合考虑影响网络安全的因素，诸如网络传输设备、路由设备等方面，以最专业的素质为广大用户提供更加优质的服务。

（三） 可升级性原则

所有的专线接入网技术要及时更新，保持接入网络技术要与高速发展的经济同步，避免高速发展的经济对此网络连接技术的淘汰，这不仅可以有效避免公司极度亏损，又可以顺应经济高速发展日益增高的需求，进而更好的增强网络公司的综合实力，在竞争中赢得主动性。

三、 集团客户对接入组网的要求

集团客户的要求对于网络公司的内部改革具有重要作用，只有有效明晰客户的基本需求，并针对其要求进行合理分析判断，在客户需求的基础上，有针对性的加以完善和改进，无论对于客户是网络公司的发展都具有极大的作用。

（一） 稳定性

为保障企业公司的正常运转，无可避免的需要借助网络的应用，而稳定的网络则对企业的日常经济活动具有极其重要的影响，因此，网络的稳定性是集团客户对网络公司的基本要求。

（二） 可靠度

可靠度指的是公司对于企业网络出现的不可预知的意外可以及时予以回应，并以最快的速度加以对该问题的解决，这不仅可以有效提升企业集团对网络公司的信任度，更能增强其好感，进而促进企业集团同网络公司的双向合作，实现共赢。

结语

伴随着经济的发展，科技的进步，集团客户专线接入组网的要求也进一步提高，企业为应对这空前的挑战，首先必须在心理上加以重视，然后针对企业发展的实际情况，有效合理的制定出相应的解决策略，力求合作双方的深入沟通交流，彼此得利。

参考文献

[1] 梁迎春，吴海涛，陈英俊.大客户专线接入组网方案的设计与分析[J].肇庆学院学报2010 年9 月第31 卷第5 期

篇5

关键词：GPRS；VPN；原理；组成

GPRS（General Packet Radio Service）通用无线分组业务，是一种基于GSM系统的无线分组交换技术，提供端到端的、广域的无线IP连接。通俗地讲，GPRS是一项高速数据处理的技术，以"分组数据包"的形式传送资料至用户的手机或网络终端上。

VPN（Virtual Private Network）虚拟专用网络，是指通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。传统的VPN接入方式是在台式计算机上设置专用的IP地址，通过专用的账号接入Internet的方式来实现。

一、GPRS VPN专线网络组成

GPRS核心网主要包括SGSN和GGSN等设备，SGSN为用户提供服务，与MSC/VLR/EIR配合完成移动性、逻辑链路、无线资源等的管理功能；GGSN是网关或路由器，它提供GPRS和公共分组数据网以X.25或X.75协议互联，也支持GPRS和其它GPRS的互联；GGSN和SGSN一起配合完成GPRS的路由功能。另外还包括计费CG服务器，DNS解析设备，OMC网管设备，核心组网交换机/服务器和出口防火墙等。现网GPRS核心网组网拓扑简图如下：

目前，移动公司建设的GPRS VPN专线系统主要包含用户核心、VPN专线接入、GPRS核心网、无线接入和用户终端等几部分。用户核心是VPN用户的业务核心服务器设备，用于处理和存储用户的各种业务内容、信息的数据；VPN专线接入是系统的核心部分，负责将用户侧设备接入GPRS核心网，实现用户的GPRS VPN专线的接入；GPRS核心网和无线接入是无线通信网络的核心部分和接入部分，负责核心数据交换处理和用户终端接入；用户终端是指移动用户的手机或笔记本电脑等设备。组网拓扑简图如下：

GPRS VPN专线的实现方式是先由GPRS核心网分配给用户接入点名称APN，然后通过DNS解析APN对应的用户接入端GGSN，GGSN会根据APN建立到用户核心侧的VPN隧道。用户数据首先在GPRS网内通过GTP（GPRS隧道协议）传输，最后在用户接入端GGSN和用户核心侧之间通过GRE隧道协议或L2TP隧道协议进行传输。

二、GPRS VPN专线系统接入设备及组网要求

GPRS VPN专线系统接入设备主要包括用户侧接入路由器/交换机、VPN接入路由器/交换机、VPN接入防火墙等设备。

用户侧接入设备是为用户提供至VPN专线系统的输出接口，一般采用三层网络交换机或路由器。由于现网至用户侧的专线主要为E1和FE的形式，该设备必须支持E1口和FE电口；另外该设备还需支持L2TP、GRE等VPN功能，支持各类标准网络协议，MPLS L3 VPN/VPLS等多种技术。

VPN接入设备是为用户侧接入设备提供VPN专线系统的输入接口，并将多个用户的接入端口进行汇聚，一般采三层网络交换机或路由器。现网至用户侧的专线主要为E1和FE的形式，该设备必须支持E1口和FE电口，另该设备还需支持GE电/光口，作为汇聚后的输出端口。另外该设备还需支持L2TP、GRE等VPN功能，全面支持各类网络协议、MPLS L2/L3 VPN/VPLS等多种技术，支持大容量VPN隧道及并发会话数量等多种功能。

VPN接入防火墙是将VPN接入设备汇聚后的输出端口接入GPRS核心网的设备，采用主流防火墙设备。其必须支持FE/GE电/光口的接入形式，支持多种网络协议，支持多种IP VPN接入方式，支持多种加密算法等。

用户接入设备至VPN接入设置间传输网络配置根据用户的实际业务需求进行安排，对于网页浏览类型等业务，采用E1电路可满足用户需求；而对于需要进行网络下载、网络监控、网络视频等实时性要求较高的业务，采用FE/GE电路才能满足用户需求。

VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置，两台设备通过GE电/光口互联，处于相互热备份状态，可随时相互倒换。用户侧接入设备至VPN接入设备间的电路也按照主、备用设置。

三、GPRS VPN专线系统安全组成

GPRS VPN专线系统安全保障包括以下几个方面：

设备组网

VPN接入路由器/交换机和VPN接入防火墙设备均按照主、备用设置，两台设备通过GE电/光口互联，处于相互热备份状态，可随时相互倒换，以保证核心系统的安全运行。

网络接入层的安全性保障

在GPRS核心网中，APN是用来实现用户IP报文路由至相应GGSN及外部网络的必不可少的标识。SGSN根据APN，向特定DNS服务器查询该APN对应的GGSN IP地址，以确定用户应接入的GGSN；GGSN再根据相应APN，将用户的业务流送到不同的业务域，而不同的业务域则对应了不同的业务承载组网方式、用户标识获取方式、计费模式等。

GPRS VPN专线接入在网络层采用“APN+用户名+密码”的三重鉴权模式。由移动公司在GPRS核心网侧为VPN专线用户建立指定的APN，该APN需要RADIUS（远端授权者拨入用户系统）的认证，只允许指定的SIM卡才可以通过该系统接入网络。对此，移动公司需要在核心网HLR侧为手机号和APN做绑定，只有用户指定的手机号才能通过GPRS VPN专线系统访问用户的APN，其他用户的手机号无法通过RADIUS的认证，不能接入用户的APN和用户内网。另外当用户接入内网后，用户侧还可以通过用户名、密码等身份确认的方式，才可最终接入内网业务系统。

随着3G网络的推广，无线传输速率提升了数倍，VPN专线用户也会逐渐需要开通网络视频、高质量语音等大流量的业务。移动公司至用户侧的专线会逐步升级为FE/GE通道，随着VPN专线网络的逐渐扩大，可采用建设MPLS VPN的接入方式。

另外，对于用户指定要求较高安全性的特殊业务类型，可考虑单独为具

体业务配置专用的IPSec VPN，如可以为银行、政府的专用信息等配置专用的专线资源，而对于安全性要求较低、流量较大的业务，可采用MPLS VPN接入方式，这样既可提升资源利于率，也达到了用户的安全要求。

四、GPRS 核心网系统的补充说明

现网中，GPRS核心网经过多年的建设和扩容，设备往往分布在多个设备机房中，SGSN与GGSN的业务接入按照地区进行划分。

GPRS VPN专线系统由于规模不大，一般只设置在单个机房内，就近接入GPRS核心网，与就近机房的GGSN和SGSN直接相连，与非就近机房的GGSN和SGSN设备则通过CMNET网络进行转接后相连。由于CMNET网络为开放式公用网络，安全性不高，并且数据传送需要经过防火墙、CMNET路由器等更多的设备进行转发，造成一定的时延。对此，建议将不同GPRS核心网机房的GGSN与SGSN通过传输专线进行连接，以提高GPRS核心网和VPN专线系统的安全性，并且可以减少路由转发，为用户提供更流畅的服务。

另随着VPN专线用户的逐渐增多，可考虑在GPRS核心网中为VPN专线用户设置专用的GGSN，针对VPN专线用户进行路由、接入PDN，计费等数据进行优化和配置，可提升VPN专线系统的服务质量，并减少对GPRS核心网系统的GGSN占用，还可以为VPN用户设置定制服务，多方面满足用户需求，可作为集团类用户的新业务开发点。■

参考文献

[1] 朱江、李方伟、余艳英.基于GPRS网的VPN [J].电信快报, 2003 .8

篇6

【关键词】 专网专线 网络故障 策略

一、前言

专网专线服务范畴广泛，例如公安系统、银行以及教育系统等，均可通过专网专线提升运行效率，优化服务质量。当然专网专项网络无可避免的包含一些故障问题。通常应用光纤收发装置以及光缆进行系统组网。该系统模式呈现出组网简单便利、网络系统可靠稳定、应用设备具有较强的兼容性以及通用性，后期维护较为方便的优势特征。

二、光纤收发原理与种类

光纤收发基础功能在于可实现光电转化，也就是一面将网络信号变化成光信号，借助光芯完成发送。另一端则转化光信号变成电信号。当前专网专线系统之中，通常应用了两种收发装置，一种为双纤单网接口，另一种为单纤单网或是双网口。

三、专网专线网络故障分析与应对策略

专网专线网络常见故障问题一类为光纤收发装置出现故障，另一类为网络系统出现丢包或者服务运行速度较慢。

3.1 光纤收发装置故障分析与应对策略

专网专线网络中单纤单网口装置运行下，如果出现网络不畅通的问题，首先应检查FX灯，倘若为绿色，则说明光纤连接正常，不存在光路问题。如果FX灯出现闪烁状况，则表明数据在传输。而倘若FX灯灭掉，则表明有可能存在下述几方面问题。即对端设备形成损坏或不加电；两端光纤系统的收发装置出现了线路故障问题。倘若对端机房并没有断电，且近期没出现过雷击现象，则可选择相应型号的光纤收发装置进行替换调试，倘若更换之后线路仍然为不通的状态，则可以肯定为光缆线路出现了故障问题。专网专线系统中TP也就是网口，其输出线路通常进入到交换机装置，倘若TP灯显示绿色，则表明系统双绞线工作状态正常、连接良好，而在传输数据过程中，TP灯会不断的闪烁。FDX灯显示了全双工具体的工作现状，当A向B发送信号的过程中，B同步向A发出信号。可完成一百兆全双工运行的光纤收发装置，则可实现送发传输工作效率均达到一百兆。这对于高效、大容量信息数据传输应用，例如网络视频文件传输十分必要。对于单纤单网口或者双网口收发装置，如果光口指示灯常亮，表明光口接收以及发送链路为正常的状态，相反则说明链路存在错误。同理，电口链路灯常亮表明链路工作正常，否则为链路错误。速率灯常亮则表明电路速率达到一百兆，反之则速率仅为十兆。

3.2 网络丢包以及网速过慢故障分析与应对策略

专网专线网络系统中，如果网头处理压制存在不规范问题，光纤接口灰尘过多，没有及时清洁，将会对运行网速形成直接影响。因此在维修阶段中应首先检验网头是否可靠规范。而后可用酒精对光纤接头做清洁处理。完成上述步骤后可实施后续的排查工作。另外，尾纤弯曲半径应控制有度，不应过小。机房之中，不应为了单纯的外在美观性，将尾纤捆扎的过死，或将尾纤捆扎为小圈，该类做法会导致光纤线路形成大量的损耗，影响运行网速。一些单位应用交换机，设置成了端口速率以及双工模式，该功能倘若设置不佳，则会形成反作用，并引起明显的丢包现象。例如，原交换机同SDH连接端口为一百兆全双工，在后续的改进过程中，则将该端口变成与光纤收发装置相连，而后设置成一百兆全双工，这样一来光纤收发装置不能良好工作。为此将交换机对应端口速率以及双工模式调节成自适应，而后专网专线网络立即趋于稳定，且不再出现丢包现象。同双纤光纤收发装置存在区别的是，单纤手法装置需要配对应用，同时型号应保持相同一致。这是由于不同型号装置有可能存在不同的收发光信号工作功率，如果不配对应用则会破坏光口，令传输信息数据面临安全隐患。为此实践工作中应对该类现象进行有效排查，明确故障所在。管理人员应具备基础素质，能够快速精准的判别出引发故障问题的根源，有效的应对网络故障。

四、结语

总之，专网专线网络系统的可靠持续运行，需要做好故障问题分析、故障来源研究，精准快速的找到故障部件。通过制定科学有效的策略，完善应对处理，令专网专线快速的恢复到正常状态，畅通、快速、安全的应用，为各行业工作、生产，实践管理提供优质、人性化的服务，提升系统整体运行效能，开创安全可靠的服务应用环境，进而创设明显的经济效益与社会效益，真正实现可持续的全面发展。

参 考 文 献

篇7

关键词：大客户专线接入；接入模式；IPRAN网络

新一代IPRAN接入方式是由分组网络技术的使用所引起的变化，它体现了多方面的特点，例如，高可靠性、分组化、高带宽等等，其中分组化的专线接入也是具有以上方面的要求的。但是，随着带宽的飞速发展，而专线业务的价格却一直没有提升，这显然与实际是不成正比的。现在分组专线接入存在价格方面和成本回收方面的压力。目前，联通公司需要充分考虑的问题就是如何才能在新一代IPRAN网络中接入集团客户专线业务。

1.集团专线业务的发展趋势

对于企业的生存发展具有重大决策意义的客户就称之为集团大客户。但是对于电信企业，可以给运营商带来可靠稳定收入的高于客户平均收入值的客户才是集团大客户，我们可以来看一组数据，某电信企业收入的通讯资费最高的100家大客户在总客户群体中只占到0.06%，但是收入金额占到总收入额的31%，利润额竟然可以达到总利润额的37%。高级别的客户尤其是金融级别的用户仍然要求通过SDH模式接入生产网的数据连接专线，做主要的是考虑到数据的某些特性，比如安全性、时延性、保护性[1]。不仅是金融客户，具有传统观念的很多客户都普遍认为SDH比新一代IPRAN性能更稳定、使用方面更安全，并且也比较成熟可靠。大众受传统观念的影响想要转变是有一定难度的，需要很长一段的时间才能革新，所以SDH的专线接入方式短时间内是不可能消失的。

2.基站端大客户接入平台

2.1演进模型

之前传统的大客户主要都是通过MSAP来接入平台的，把SDH/MSTP网络当作承载的网络，实现集团客户数据专线、互联网专线等等其它业务的接入。但是自从联通建设了IPRAN网络，集团专线发展显现出高带宽、多样化特点，越来越多的条件制约大客户接入平台，不但要满足SDH网络下的接入，而且还必须要接入IPRAN网络，两种网络之间搭起一个平台，共同实现集团专线的传输工作[2]。

2.2满足水平分区的接入模式

只有大客户接入平台的布放满足水平分析的结构框架，并把大客户平台安排划分到一个网格里，接入网格里的所有集团客户专线业务，才能根据客户的等级实施不同标准的SLA服务。而且还能实现全面网络业务的管理。通过网络管理的基本原则对区间网格进行划分，解析网格的价值，对于具有高价值的网格区域之间建立起大客户接入平台，并且对于后期的大颗粒带宽专线接入升级到无缝的级别，尽量使联通的每一片接入都能够是精良的，这也是联通公司的建设要求。

3.大客户接入平台的趋势

3.1双核心演进

大客户接入平台的演变发展的过程，是从MSTP传统的单一接入模式发展变化为MSTP和IPRAN双核心综合运用接入模式的过程，传统上的大客户接入只需要满足MSTP/SDH的接入模式，上行使用STM-1/STM-4连接入SDH承受网上，使用MSTP来完成业务的传递和承受；下行使用光纤连接到客户端的SDH、收发部件等器械，完成最后一公里的连接嵌入。可是传统的MSTP的连接嵌入模式根本就适应不了高带宽的集团专线业务的接入。具备IPRAN网络的联通为了能够接入更高带宽的专线业务，只有满足MSTP到IPRAN之间的平移迁动才能实现大客户接入平台，当专线业务由低带宽过渡演变为高带宽的同时，MSTP也逐渐平滑迁移实现至IPRAN无缝连接[3]。

3.2 IPRAN终端设备的小型化演变

随着专线业务的不断发展和竞争形式的不断加剧，一定会致使IPRAN设备最终成为客户终端适用节点，未来集团专线接入终端设备最基本的需求必定会逐渐向小型化IPRAN发展。对于IPRAN设备需要满足终端设备体积小型化的设计理念，客户也普遍认为小型IPRAN设备可以实现城内区域间传送网双光路保护、或者是双归属的保护。在完成业务接入的同时，除了把以太网专线进行业务接入外，还可以运用EITDM专线进行接入。还有基于满足未来用户对差异化的QOS的需求，同时必须把IPRAN的网络管理、保护等等其它功能逐渐发展延伸为用户分支的小型化IPRAN[4]。

4.结束语

不断的建设和发展集团客户专线，用户需要更多的业务适应他们的需求，比如对业务的带宽问题、保护问题、安全问题和网管问题等等方面的要求也渐渐的提高，运营商必须开发出更深奥的通道来，提供更全面的保护机制和更精准的网络管理模式。联通大客户专线接入平台的业务需要满足SDH和IPRAN双重网络承受面的平移，最后完成双网共同接入，并且实现无缝割连接。未来的大客户专线接入尤其在网络管理方面需要具有OAM、Y.1731、CFM等等方面的功能，同时还要实现G.8031、G.8132以及LAG等方面的保护方式，不仅满足电信、50ms集团网的保护准则，而且还能完成网络级别的其他保护要求。相信联通公司通过不断的实践，加上充分的思考分析相关问题，一定能在新一代IPRAN网络中把集团大客户专线业务完美的接入。

参考文献:

[1]刘翔.PTN网络建设思路探讨[J].通信与信息技术,2012(2): 42-45

[2]邵.IPRAN关键技术浅析和应用展望[J].现代电信科技,2012(Z1):89-92

篇8

【关键词】 宽带建设；高端专线；移动承载；城域OTN

随着人们上网体验的内容从文本向音频、视频等流媒体的转移，带宽需求大增并不断冲击着城域网络，如何提升网络带宽成为城域网络新建或改造的重要课题。毕竟，规模部署FTTH仅仅是解决最后一公里的问题，而城域网是大收敛比网络。因此，FTTH仅仅是出门第一步，还必须有城域网提供端到端的大宽带，才能解决一出门就塞车的问题，确保流量畅通，提升用户体验。

一、城域端到端宽带建设的需要

要提升城域网络的QoS，BRAS/SR直接与核心路由器连接（扁平化）是很好的优化手段。但由于汇聚路由器的淡出，BRAS/SR直驱到核心路由器，距离因此拉长，带来了多方面的挑战：核心层的光缆/管道需求压力大；光纤/管道端到端协调难、光纤熔接工作量增大；网络故障定位困难；BRAS/ SR/CR等设备往往需要长距离光模块，大大增加了建网成本；核心路由器40G端口自组网能力弱，光纤直驱无法满足。

而引入OTN来辅助实现城域宽带网络扁平化后，这些问题即可迎刃而解：一根光纤拥有80×40/100G的容量，大大减少了光纤消耗，降低了光缆管道的压力；开通业务不需要协调光纤、熔接光纤，满足了业务迅速开通的需求；路由器/BRAS只需要短距光模块就可上OTN网络传送。

当然，大型城市的BRAS/SR机房数量多，需要骨干、汇聚两层OTN网络架构才能很好地完成覆盖、实现灵活调度。而中小城市由于BRAS/SR机房数量不多，少数几个汇聚环就可以完成覆盖，因此不需要骨干层网络（骨干层就简化为两个中心节点）。也有个别城市的BRAS部署位置很高，因此，BRAS/SR机房数量少，骨干层OTN网络组网变得简单了，但OLT上行组网却相对复杂些。

OLT/DSLAM到BRAS之间的网络常常采用“光纤直驱+L2”方式建设，满足小带宽时代的网络需求。但随着网速的不断提升，一个GE端口上行已经无法满足OLT/DSLAM需求，往往需要2/4×GE捆绑提供带宽，需要更多的光纤，因此，光纤/光缆压力倍增。

从流量上看，n×GE上联中的带宽比较饱和，再经L2汇聚进行收敛的必要性不大，因此L2定位逐步模糊甚至退出。从业务上看，VoIP/IPTV/VOD等业务的引入推动多边缘网关部署，OLT/DSLAM上行需要更多的光纤，进一步加大了光纤直驱建网模式对光缆的压力。因此，接入层网络需要引入OTN，实现OLT/DSLAM到BRAS/SR之间的传送，缓解持续膨胀的光缆压力，提供光层网络保护，提升网络安全性，给用户提供更高品质的网络体验。

二、大带宽高端专线的需要

家庭带宽的迅速提升，用户对流媒体的感官体验不断强化，使得个体对视频的依赖性不断增强，同时也推动企业的专线业务脱离纯文本和语音形式，逐步转向电子白板、会议电视等丰富的专线业务，这些业务既大幅削减了企业的出差成本，又为低碳环保做出了积极贡献。而企业专线业务的丰富将对企业带宽的迅速提升提出需求，促使企业专线带宽不断升级，告别原来的FE口，逐步向GE端口演进。

当前，为企业专线服务的城域网络只有SDH网络和路由器组网两种模式。路由器组网由于QoS、安全性等问题，一般不会被企业高端专线选择；而SDH网络能提供物理隔离以及绝对的QoS保证、完善的网络保护，这些都是高端专线的重要需求。因此，已有的企业高端专线大都是基于SDH网络开通。但SDH网络带宽提供能力有限，难以满足大量GE及以上大带宽专线需求，数据网络专线的QoS和网络安全性也无法保障。而OTN网络可以通过部署端到端波长、子波长业务开通专线，满足大带宽、高QoS、高网络安全、物理隔离等要求，是大带宽高端专线的最佳技术选择。

三、面向未来的移动承载的需要

我们知道，一个拥有6000个基站的城市就约需要建设750个10GE接入环，50个100GE汇聚环。而100GE分组线卡在当前需要很高端的路由器才能支持，且由于100GE路由器无法自组网，还需要建设一张100GE的OTN/WDM配套网络，这样一来，网络建设的成本和功耗都会很高。

在流媒体逐步为主导的上网体验中，固定网络的汇聚比尚且在不断降低以提高用户体验，无线传送网络当然也不会用追求汇聚比来降低建网成本，而且，采用分组设备建设100GE汇聚层，更多是起到透传的作用，不会做太多收敛，因此用100GE逐点汇聚的方式建网，成本和功耗都不理想。

而引入OTN，可以方便地把1个大型的PTN环网改造成多个PTN汇聚环网外挂接入环的方式，优化IP RAN网络架构。汇聚节点对业务进行收敛处理后，再通过OTN网络直达骨干层，实现PTN扁平化，提升带宽能力和QoS能力以及节约大量的光纤资源。

四、四川移动业务IP化、宽带化推动城域OTN部署

篇9

【关键词】 3G 路由器 WCDMA VPN

随着我国信息化进程的不断推进，如何构架安全、稳定、可靠、高效的通讯网络系统，是必须着重考虑的问题。而随着通信事业的高速发展，移动数据通信已逐渐发展成为一种重要的通信方式。3G移动通信不仅可以替代有线通信，作为有线通信的补充及延伸，而且还可以与有线网络环境互为备份。

一、技术特征

3G路由器基于CDMA无线公共网，在成熟的CDMA网络上构建无线数据网络，使各行业实现无线数据传输的成本和技术大为降低。可以广泛运用于环保、油田、电力、金融、公共事业等需要无线数据通信的领域。

1.1 功能特性

3G在集团客户接入段应急通信中可实现以下功能：（1）集团客户线路新开。随着组织机构的不断发展壮大，业务扩展的边界也越来越远，那么对于一些偏远地区（专线无法铺设的地方），可以提供一种联通3G专线服务于大客户单位总部的网络进行安全、高效、稳定的互联。联通的3G专线服务可以实现任何地点的接入。（2）集团客户线路备份。传统有线专线作为备份链路，在主线路正常的情况下跑的数据量相当少，相当于空闲带宽，而专线的价格很高，用来作为备份链路成本浪费太大。因此，采用联通3G专线服务，保证主线路故障的情况下数据稳定高效、安全的传输。同时，可以实现不用改动客户原有网络结构，实现线路备份。（3）集团客户线路抢修临时代通。专线一旦发生了线路故障，而无法马上实现维修处理的情况下，我们要能提供一种临时性的手段为客户搭建临时“专网”。而一般用户数据量都不小，我们可采用3G专线服务，建立快速、加密的安全网络，为用户提供临时的专用网络搭建，从而保障实施维修，减少因线路故障给客户带来的业务影响。除此之外，3G专线中的无线设备还具有：支持有线与无线两种链路互为备份；支持主备链路自动切换；支持冷、热备份模式选择等功能。

1.2 技术特征

3G技术在应急通信中的应用，是将归属于不同基站（BTS）的客户终端设备，利用3G路由器、VPN加速器等设备通过软件配置连接到WCDMA网络。WCDMA 内网连接后可采用专线接入或WCDMA终端连接。专线接入由数据专线连接至中心数据库，中心获得内网固定IP地址。获得的内网IP地址与路由器同在一个网段，这样保证了数据安全性好；时延亦小。CDMA终端连接需要分配给监控中心WCDMA内网固定IP地址；开放WCDMA用户端对端数据通讯。路由器根据配置的监控中心内网IP地址与监控中心建立数据通道。

二、技术应用

2.1 客户总部和分支都有路由器的网络

A用户需要和B用户进行通信，首先交给分支路由器C，然后到加速VPN设备D，通过加速VPN设备D的隧道交给对端加速VPN设备E；对端加速VPN设备E解开数据包，查看路由表，会将数据交给路由器F，该路由器收到数据后会将数据较给路由器G，于是可以到达用户B；用户B收到数据后需要回包给 A用户 。首先将数据交给路由器G ，然后再交给路由器F，再到加速VPN设备E。通过VPN隧道交给对端加速VPN设备D；对端的加速VPN设备D解开数据包，查看路由表，会将数据交给分支路由器C ，所以可以给到用户A 。

2.2 客户分支没有路由器，客户总部有路由器的网络

用户A需要和用户B进行通信。首先将数据交给到路由器C，然后再交给加速VPN设备D，通过VPN隧道交给对端加速VPN设备E； 对端加速VPN设备E解开数据包后，可以设置将所有VPN过来的数据包源IP转换成1.1.1.2，再将数据发送出去。于是可以到达用户B； 用户B收到数据包后，需要回包，首先将数据交给总部路由器G，然后交给加速VPN设备E（因为步骤2中数据包源IP变成了1.1.1.2，所以可以交给它），通过VPN隧道交给对端加速VPN设备D；对端加速VPN设备D解开数据包后查看路由表，会将数据交给路由器C，然后在到达内网路由器，从而达到用户A。

2.3 客户总部和分支都没有路由器的网络

在3G路由器上分别给用户分支内网、用户总部内网做相应的NAT转换，来实现在不动客户网络参数的情况下通过3G传输数据的需求。

三、结论

我公司现有集团客户专线使用方式均为有线网络通信方式，虽然保了证业务传输的安全性，但其缺点为不仅系统安装费昂贵，而且系统的扩展性也不强，给系统的维护带来了诸多不便。3G技术在不改变集团客户网络结构和数据配置的前提下，实现了集团客户接入段线路以3G无线网络接入方式替代传统有线网络接入方式；实现了集团客户接入段线路以无线网络与有线网络进行双网备份，规避单网通信带来的风险，将障碍历时缩短到60分钟以内；有效节约光缆线路建设投资，并且可广泛应用到各个行业。

参 考 文 献

[1] 彭木根. 无线资源管理与3G网络规划优化[M]. 人民邮电出版社，2008

[2] 赵晓秋. 3G/B3G网络核心技术与应用[M]. 机械工业出版社，2008

篇10

【关键词】WCDMAVPDN隧道技术网络安全

一、概述

随着3G网络的建设，网络更加完善，上网速度更为流畅。越来越多的高速无线网络应用涌现出来，基于行业用户的网络应用，例如内网办公OA系统、生产管理系统等均可以通过个人终端实现，随时随地进行办公，处理公文已经不再是停留在概念上。基于行业客户的应用，在3G网络上建立客户自己的网络，成为必然，3G VPDN应势而生。

中国联通目前运营的WCDMA网络采用了先进的R6标准。支持HSPA技术，最大下载速度和最大上传速度分别达到14.4Mbps（HSDPA）和5.76Mbps（HSUPA）。本论文方案以联通WCDMA网络作为承载网络，完成无线VPDN网络架构方案。

二、3G VPDN网络简介

3G VPND网络是基于3G网络的VPDN（Virtual Private Dial-up Network），即虚拟拨号专用网。是一种拨号接入的虚拟专用拨号网业务，可用于跨不同地域集团企业内部网、信息服务提供商专用网、银行存取业务网等业务。

VPDN采用专用的网络安全和通信协议，可以使集团客户在公共网络上建立相对安全的虚拟专网。VPN用户可以经过公共网络，通过虚拟的安全通道和用户内部的用户网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。

2.1VPDN的技术核心

VPDN的技术核心主要在于隧道技术和安全技术。

2.2隧道技术

通常，集团客户网采用私有IP建自己的专用网，私有IP网络要使用在公用IP网络运营，可以采用隧道技术。

隧道技术相对简单、有效和易于管理。它的最大优点是既可以在运营商设备实现，也可以在用户处完成，或者可以两者合作完成设置。而且，现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的隧道技术标准。

2.3安全技术

VPDN首先要考虑的就是安全问题。每个客户均要保证架构在公网上的数据能够安全、保密的传输，能否保证VPDN的安全性，是VPDN网络能否得到客户认可的关键。一般系统可以采用下列技术保证VPDN的安全：口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开。

目前，联通的VPDN系统的业务安全通过第二层隧道协议在建立时的认证、拨号用户在企业内部网认证、系统的用户名和口令认证与授权、分配企业内部网地址等方式提供。

三、网络实现接入方式

为实现VPDN网络，集团客户端的服务器用专线链路接入运营商联通侧路由器，即IP专线接入城域网，建立至联通VPDN平台AR46路由器的隧道。

四、网络建设步骤

4.1运营商工作

（1）给用户分配APN，并在HLR开通此APN，保证特定的号码访问为集团客户开通的APN；（2）联通公司开通10M IP专线至集团客户机房；（3）联通公司提供用户侧路由器，并负责路由器数据配置；（4）GGSN与接入路由器（AR46）建立L2TP隧道；GGSN将radius消息传给联通AAA服务器进行一次认证，同时将绑定的IP地址分配给终端，接入路由器通过专线与用户网络建立通道，将用户数据转发到用户网内；（5）联通公司营业人员根据相关协议在上网卡号码上开通此APN。

4.2集团客户侧工作

由联通提供光纤专线进入用户机房，用于接通VPDN平台。以下是用户侧需要做的工作。（1）需要路由器的一个接口，10M/100M自适应，具体端口互联IP地址协商配置。（2）为远端终端分配IP地址池。

五、IP划分方案

以下为C类网络中，划分子网作为地址池，用于无线上网卡获取地址方案。

无线侧地址池设置为子网192.168.1.1/26；高速内部网络也在C网段内，可设置为子网192.168.1.65/26；网络互联两个互联地址：（1）联通专线连接高速路由器，互联地址为192.168.1.253/30；（2）集团客户路由器与上级部门路由器互联，互联地址为192.168.1.249/30。这样所有高速的地址均在C类地址内。

参考文献

[1]鲁士文编著，《计算机网络原理与网络技术》，机械工业出版社，1997年

篇11

奠定了基础。

【关键词】 MSAP 广电网络 接入网 大客户专线

一、引言

广电网络是我国有线电视的基础网络，承担着有线电视的安全播出的政治任务。近年来，随着IPTV和OTT TV[1] 的快速发展，广电网络受到了前所未有的冲击，有线电视用户的流失让广电网络运营商意识到市场竞争的激烈。为了应对激烈的竞争市场，广电网络运营商在保持有线电视用户的同时，大力发展大客户专线业务，从而能够在激烈的市场竞争中发展。本文基于某省广电网络的大客户接入网，利用多业务接入平台 MSAP[2]技术，通过对现有大客户接入网专线的改造，满足用户的需求，为广电网络发展大客户接入网专线提供了技术保障。

二、MSAP技术

MSAP技术[3]通过融合SDH、PDH、以太网技术的多业务接入设备，能够同时实现TDM业务和以太业务的接入、汇聚和传输，并提供统一的网络管理。MSAP通常采用点对多点拓扑结构来提供多业务的接入解决方案，包括对用户多种业务类型的接入以及不同网络结构的接入。MSAP系统包括MSAP局端设备和多种远端设备。图1为MSAP系统的组网模型。

MSAP局端设备在线路侧可提供E1、STM-1、STM-4（可选）、FE、GE（可选）等多种上联接口，提供SDH、PDH、以太网等多种接入方式。可通过光纤接入不同类型的远端设备，包括PDH光端机、光纤收发器、SDH/MSTP远端设备、综合业务设备等。

PDH光端机指完成单路或多路E1、V.35和以太网电接口信号复用到E2/E3 PDH光接口的设备；光纤收发器完成快速以太网（FE）和千兆以太网（GE）业务的光电介质转换；SDH/MSTP远端设备指完成单路或多路E1、V.35、以太网电接口信号复用到STM-1光接口的设备；综合业务设备是将单路或多路E1、V.35和以太网电接口信号采用私有协议而非PDH方式复用到一路光纤上进行传输的设备。

三、大客户接入网专线改造

3.1网络现状

某专网包括一类网和二类网，两个网各自独立运行，均为MSTP方式，一类网带宽10M，二类网带宽18M。某专网中心端在省汇聚机房，两个网共用一个机框，地市端从瑞斯康达MSAP-6上出两个EOS光口，分别通过一根光纤接入当地某的光纤收发器。某专网省市接入端设备拓扑结构如下：

3.2改造需求

1）要求用户端的两台收发器整合为一台设备，便于管理，同时更换为双电源设备，提高供电的稳定性；

2）支持1+1保护，以满足双路由接入的需要。

3.3改造方案描述

某专网中心端的OCP光线路保护设备于2014年初上线，具备双电源且有冗余板卡，本次改造无需更换，但中心端MSAP机框需要更换，原因是该机框于2012年初上线，两个网均由该机框进行EOS封装，该机框的单槽处理能力有限已经无法满足带宽的平滑升级，需更换为单槽背板带宽更大的机框。

地市端MSAP机框需配置STM1支路盘，该盘至少支持2个光口，可接两个光方向，并支持1+1保护，以满足未来双路由接入的需要，用户端配置一台可上标准机柜的1U台式EOS光端机，双电源配置，至少出4路EOS，满足某2个业务的接入，并具备冗余接口。改造后的某专网拓扑结构如图3所示。

四、总结

本文基于广电网络，利用MSAP技术，通过对现有网络的改造，满足用户的需求，实践证明，改造后的网络安全，稳定，得到了用户的好评，从而为广电网络大力发展大客户专线提供了技术保障。

参 考 文 献

[1] 蒋力，邓竹祥.IPTV与OTT TV业务的发展现状及趋势.中国电信股份有限公司上海研究院中国电信IPTV实验室 2013，29（4）

篇12

优化标准化产品

据了解，在此轮调整中，中小企业普通宽带速率免费提升至50Mbps，提速最高超6倍。在此前免费提速至8Mbps的基础上，对使用50Mbps以下企业普通宽带的中小企业客户，进一步免费升速至50Mbps，全力支持中小企业利用互联网手段创新创业。

大幅调低资费标准，同时中小企业互联网专线速率免费翻倍。在近几年持续降低互联网专线接入资费的基础上，进一步大幅下调资费标准。针对带宽低于100Mbps的中小企业在用互联网专线，客户经理将主动上门，与客户深入沟通，提供速率免费倍增的续签协议优惠服务。

推出定制化产品

中国电信此次推出了更优惠的“商兆ㄏ摺毙虏品，以智慧化服务助力中小微企业双创。为满足各类中小微企业的个性化、差异化需求，推出“商务专线”新产品，同时充分发挥中国电信云计算、物联网、视频会议、智能组网及各类行业信息化应用等综合能力优势，向中小微企业提供更优惠、更智能的企业信息化服务新解决方案。

提供高质量国际精品专线，以全球化网络能力服务海外拓展。面向访问境外互联网需求大、质量要求高的国内客户，如国际贸易、电子商务、高端酒店、合资企业和外资企业在华分支机构等相关企业，推出高速稳定的国际精品专线服务，利用中国电信高速率、大容量的精品互联网（CN2）网络，为企业显著改善互联网专线的时延、抖动和丢包率等关键性能指标。

以运营商级别的高等级安全服务守护中小企业创新创业。中国电信面向业务连续性要求高、敏感性强、品牌形象重要的客户，提供互联网专线加“云堤”服务，为中小企业“互联网+”的安全保驾护航。中国电信的“云堤”是基于遍布全网的智能管道、海量的带宽、丰富的安全大数据资源优势以及安全能力，所构建的全方位“云、管、端”联动的互联网安全产品体系。

支持“双创”

篇13

关键词：MSTP技术；广电网络；应用

中图分类号：TN929.5

前言：MSTP技术是一种在市场驱动下产生的，基于SDH的多业务传送平台，在提供TDM业务的同时，还可以实现以太网和ATM业务的接入、处理和传送，是对传统SDH的继承和发展，也是传送技术发展和演进的重要阶段。MSTP技术可以根据不同业务的特点，提供最佳的传送途径和策略，从而满足各类业务的不同需求，提高带宽的传输效率。MSTP技术的引入，还可以促进网络边缘业务与传送层的相互融合，进一步促进数据业务在城域网的发展和展开。因此，MSTP技术的应用，可以为广电网络业务的开展提供重要的技术保证。

1 MSTP技术的特点

（1）具备较大的交叉连接容量，可以支持VC-4、VC-12等多种类型和等级的交叉连接，可以从容处理连续级联或虚级联的问题；

（2）可以利用传统的网络体系，提供多业务的物理接口，如PDH、SDH、ATM、图像业务等，也可以通过对接口模块的更换或增加，适应业务的发展和变化；

（3）具备以太网和ATM业务的透明传输或者二层交换能力，可以对传输链路的带宽进行自主调节和配置；

（4）组网灵活，网络结构简单，并具备多种完善的保护机制，切实保证网络的使用安全；

（5）兼容性和可操作性良好，可以实现网络管理的统一化和智能化。

2 广电网络的现状及需求

从当前的形式看，广电网络在激烈的市场竞争的推动下，已经获得了巨大的发展，实现了从单纯的有线电视网络向多元化、综合化的网络的发展。就目前的发展而言，广电网络可以在坚持原有有线电视和新增的数字电视等传统业务的基础上，对自身的业务进行扩展，利用广电网络的资源优势，建设IP宽带综合业务网络，扩大自身的覆盖范围。

在计算机互联网技术的推动下，网络用户迅速增加，对于网络的贷款也提出了更高的要求，同时，由于个人用户的业务流量十分不稳定，对于现有承载专线的网络主体带来了很大的负担和冲击，已经逐渐难以满足业务发展的需求。在这种情况下，为了保证网络的稳定性和可靠性，广电网络必须建设相应的光纤城域网，对带宽进行升级。广电网络IP宽带网的用户和业务量已经具备相当的规模和数量，但是由于其业务种类较少，无法满足用户的不同需求，并且传统的SDH传输网络接口的兼容性较差，数据接入方式单一，只能提供2M或155M的接口，无法满足现在多数据专线用户10M点到点的专线带宽需求，导致用户的流失和业务量的减少。MSTP技术提供的多业务传送平台，可以最大限度地满足用户对于不同业务的需求，提高数据的传输质量，促进新业务的发展。

3 MSTP技术在广电网络中的应用

3.1 优化网络结构

通过对MSTP技术以及广电网络各自特点的分析，可以看出，基于SDH的MSTP技术在广电网络的结构优化和功能改进中可以起到十分重要的作用。对于广电网络而言，MSTP技术的引进和应用，可以实现两个方面的功能：

首先，可以承载IP城域网和宽带接入网的部分负担，减轻网络压力，节省光纤资源，并对线路提供小于50ms的电信级保护，切实保障数据传输和安全和网络自身的稳定，减少数据在传输过程中的损坏或丢失现象，为用户提供安全、稳定、高效的数据传输服务。同时，由于MSTP技术自身的特点，可以使得数据设备不需要设置长距离的光口，既简化了网络结构，减少了施工量和施工时间，也可以大量节约网络构建的成本，提高广电网络的效益和利润。

其次，可以直接面对用户，为用户提供数据专线和专网业务。可以改进广电网络的结构，建设以太网专线结构，利用以太网板卡，为需求量较大的用户提供高等级的数据专线服务。其业务安全性能好，对于用户资料和隐私的保密效果好，同时，用户还可以根据需要，自行设置内部网络的VLAN，从而实现对不同业务和部门的区分和隔离。同时，可以提供同城互连VPN业务，有效解决传统以DDN、FR为主的基础数据网的不足和缺陷，运用以太网的处理功能，选择恰当灵活的组网方式，为用户提供多种形式的同城互连VPN业务。

3.2 主要业务类型

MSTP技术在广电网络中的应用，也带动了业务的扩展和开发，促进了业务种类的增加。从目前的发展形式，结合相应的数据，MSTP技术在广电网络中的主要业务类型包括以下几种：

（1）TDM业务

话音业务是现阶段运营商的主要收入来源，而MSTP技术则自带TDM业务功能，对语音业务有很好的承载能力。

（2）ATM专线业务

MSTP技术可以利用ATM接口盘提供ATM专线业务，与上文提到的以太网专线相似，但是ATM专线的应用范围更加广泛，可以实现一点到多点，以及环网的业务应用，并可以在SDH环路上形成ATM虚拟通道环，实现对网络系统的保护。

（3）以太网专线业务

以太网专线根据其自身运行方式的不同，可以分为点到点的专线业务和点到多点的专网业务，以及以太环网业务，可以进行分别分析：

首先，点到点的以太网专线业务。基于SDH的MSTP技术，其各个传送通道之间存在物理上的隔离，因此，可以通过提供可靠性较高的以太网专线业务，实现两个以太网络的专线连接。这种类型的以太专线业务可以通过以太网接口盘来实现，并通过传送网络实现以太网接口盘的点对点互联。整个网络只提供数据传输业务，并不会进行数据的交换，而以太网接口盘则只提供透传功能，同样无视二层或三层的交换功能。这样，就相当于电路的专线互联系统，使得带宽得到了保证。同时，由于以太网接口之间的传送通道的物理隔离，也隔绝了外部侵袭的可能性，保证了网络数据的传输安全，也实现了两个局域网用户之间的直接对话。此类业务结构简单，建设方便快捷，在基于MSTP技术的城域传送网络建设的初期进行部署和规划。

其次，点到多点的以太网专网业务。在信息化技术不断发展的今天，信息的技术性和准确性对于企业的生产经营活动起着巨大的作用，因此，企业内部的专网建设也逐渐受到人们的重视。通过以太网接口盘的交换功能，可以在企业内部建设企业专网，将地理位置相对分散的企业分支机构与企业总部进行广域互联，要求以太网接口盘具备二层交换功能。

最后，以太环网业务。要求多个业务节点之间通过环路进行以太网业务的传送，要求以太网接口盘不仅要具备二层交换功能，还必须具备环路控制功能。当环网中的节点较多时，还要采用内嵌RPR技术，保证以太网业务的公平性。

4 结束语

总而言之，MSTP技术的引入对于广电网络的发展和改进可以发挥极其巨大的作用，其发展潜力也十分广阔。相关技术人员必须加强对于MSTP技术的研究和应用工作，促进广电网络的持续健康发展，顺应时展的步伐。

参考文献：

[1]韩斐.浅谈MSTP技术在上虞广电网络中的应用[J].有线电视技术，2012，（11）：20-21，60.

篇14

关键词：集团客户专线；传输接入；组网方案

中图分类号：G424文献标识码：A文章编号：1009-3044（2012）27-6461-03

1集团客户市场现状

在我国，集团客户市场随着信息化应用的深入发展已进入高速成长期，市场潜力巨大，是全业务运营重要的拓展业务之一，在传统通信市场收益下滑的局势下，集团客户市场收入也将成为重要的收入来源。集团客户由政府和企事业单位构成，具有较强的社会地位和影响力，能够在一定程度上影响运营商的市场拓展。在国家信息化战略推动下，集团客户的信息化建设还将带动个人客户市场的发展，提升个人客户的每用户平均收入（APRU）值。因此，集团客户的争夺有着至关重要的战略意义，未来的集团客户市场将成为国内电信运营商争夺的焦点。

在国内三大电信运营商中，仅集团客户市场而言，中国电信基于重组前的固网优势，在用户规模、宽带业务种类、网络覆盖、接入方式等方面都具有先天的优势，占据超过50%的市场份额。中国联通依托原网通的基础，以原网通的“宽带商务”和新品牌“WO商务”向集团客户提供信息化服务，在北方10省占有一定的优势。中国移动集团客户市场的核心目标是吸引和留住集团客户里面那些高价值的集团成员，但固网、宽带资源、支撑服务体系的缺乏制约了集团客户综合信息服务，最高省份市场份额也仅为12.8%，集团客户运营发展相对艰难。

目前，集团客户市场尚未完全成熟，还存在着很多待解决的问题。有线宽带资源匮乏，无法满足集团客户越来越大的宽带需求，严重阻碍了集团客户市场的发展。集团客户产品与信息化需求的契合度不高，迫切需要的综合应用型产品数量少、层次低、粘性不强，市场收益低。集团客户经理数量不足，IT系统建设经验不足，咨询服务能力不强等，这些问题都阻碍了集团客户市场的发展。

2集团客户专线分类

集团客户专线是指通信运营商利用自有或租用通信资源，为集团客户在其机构网点之间提供点到点、点到多点的专用链路，或公共互联网访问应用和各种行业应用，实现集团客户专享高质量的通信服务和信息化服务，具有为客户量身定制、保密性好、稳定且灵活的特点。

集团客户专线按其业务类型，主要分为语音专线、GPRS专线、数据专线和互联网专线。其中：语音专线是通过运营商的传输网将集团客户交换机接入到运营商交换网络，为客户提供固定电话等多种增值语音服务。GPRS专线是通过运营商现有的无线网络为物理承载，为集团客户提供专享的内部服务器到运营商GPRS网络的传输通路。数据专线是为集团客户提供各种速率的透明数据传输专用链路，建立安全、可靠、高速的专用数据通道环境，承载语音、数据、视频等多种业务。互联网专线是为集团客户提供各种速率的专用链路，连接公用互联网骨干网络，实现方便快捷的独享高速互联网上网服务。

集团客户专线按其客户的重要性分类，主要分为重要集团客户和普通集团客户。其中：重要集团客户专线：主要包括政府机关、金融证券、大型企业、高档商务楼宇、高档星级酒店、重点高校等专线。普通集团客户专线：主要包括中小企业、宾馆酒店、大中院校、高档楼宇等专线。

3集团客户专线传输接入组网方案

目前，中国移动集团客户市场需求较集中，主要为数据专线和互联网专线，本文针对工程应用广泛的SDH/MSTP、PTN和PON接入技术，提出了不同专线业务具体的接入组网方案，供集团客户专线开通实施参考。

3.1 SDH接入组网方案

互联网专线接入组网方案：如图1所示，方案一在客户侧部署1端华为Metro100 SDH设备，直接通过光纤上联至基站SDH传输系统，利用SDH城域传送网资源实现互联网业务。方案二采用光纤收发器+协议转换器接入，在客户侧部署光纤收发器，通过光纤上联至基站SDH传输系统，目前SDH设备均不配置FE接口，因此通过协议转换器将N*2M电路转换成以太网接口，利用SDH城域传送网资源实现互联网业务。方案一便于监控维护，但成本高；方案二成本低，但无监控告警，安全稳定性差。

图1集团客户互联网专线SDH接入组网方案

数据专线接入组网方案：如图2所示，在集团客户总部部署1端华为Metro1000 SDH设备，汇聚所有分部和省外办事处的数据电路连接至总部路由器，维护管理便捷；在每个分部部署1端华为Metro100 SDH设备，光纤上联至基站SDH传输系统；省外办事处还需利用干线传送网资源转接，实现跨省数据专线业务。

图2集团客户数据专线SDH接入组网方案

3.2 PTN接入组网方案

互联网专线接入组网方案：如图3所示，方案一在客户侧部署1端华为PTN910设备，利用PTN城域传送网资源实现互联网业务，便于监控维护，但成本高。方案二将方案一的PTN设备替换为光纤收发器实现，成本低，但安全稳定性差。

图3集团客户互联网专线PTN接入组网方案

数据专线接入组网方案：如图4所示，在集团客户总部部署1端华为PTN950设备，在每个分部部署1端华为PTN910设备，通过FE/GE口上联，组网架构同上述SDH接入组网方案。

3.3 PON接入方案

该方案是集团客户低等级专线业务的主要方案，如图5所示，前提是客户位于PON网络的覆盖范围内。主要采用FTTB/FT TO+LAN方式接入，客户侧部署ONU/ONT的所有端口归集团客户独有，客户内部共享资源。集客ONT终端可采用SBU（单商用用户单元）和MTU（多用户租赁单元）终端等，宽带接入采用SBU/MTU内置以太交换机，通过五类线连接客户专线，或连接客户VPN设备，实现安全隔离。

图5集团客户专线PON接入组网方案

根据集团客户市场现状，对于重要集团客户专线（金融机构、政府专网等）和数据专线由于对带宽、保密性、安全性及QOS等要求较高，主要采用SDH/MSTP和PTN网络解决接入，为用户提供2M、FE、155M专线。

对于普通集团客户专线对安全性及QOS要求相对次之，主要采用PON网络解决接入，EPON/GPON并重，同等价格条件下优选GPON；当普通集团客户专线距离基站较近、数量较少、接入带宽较小时也可通过基站的传输设备延伸接入。

总之，集团客户专线传输接入组网方案要综合考虑现网资源、投资成本、组网合理性、网络升级、运维管理等多种因素进行接入技术选择和网络部署。

4结束语

本文从分析电信运营商的集团客户市场现状入手，针对目前集团客户专线业务需求，对几种典型的集团客户专线传输接入组网方案进行了分析，具有很强的工程实践指导价值。随着互联网技术的迅猛发展，通信与IT技术的融合之路势不可挡，因此集团客户专线也将从单纯的通信解决方案，向未来通信与IT集成服务的综合解决方案发展。同时，随着传输接入新技术的发展，集团客户专线传输接入组网方案越来越多样化，需要进一步跟踪和研究。

参考文献：

[1]肖萍萍.SDH原理与应用[M].北京：人民邮电出版社，2008.

[2]李伟强.移动运营商大客户专线接入传输分析[J].广东通信技术，2007，10：37-43.