吉林电信分公司VPN接入平台

  • 项目背景
  •        对于企业、政府客户,尤其是中型企业或者企业形式类似于中型企业的大型企业(如:连锁经营企业),它们通常拥有多个分枝机构及合作伙伴。这些公司总处在高增长的模式下,经常需要处理网络安全扩容和访问的要求,而这些公司又往往缺乏必要的网络专家来管理和维护其网络。这时迫切需要运营商提供专业的VPN解决方案及专业的运维服务,通过租用或销售的方式给企业客户提供服务,帮助其提高经营效率,

           为了满足政企客户信息化建设需求,新建各类满足政企用户需求的业务平台是必要的,中国电信吉林公司紧跟集团业务发展意见,积极推进政企业务拓展,政企项目也将是中国电信未来收入增长点的一个主要方向。在政企项目发展到一定阶段时,甚至可以建立专门的网络来提供政企业务所需要的信息化平台。

  • 技术概述
    客户案例

    功能结构
    根据功能需求本次建设模型如下图:


     
    图- VPN接入网关建设模型
    本期工程采用集中式VPN网关接入方式,方便集中管理和维护。如上图所示,整个VPN接入平台主要由“VPN网关集群”及“集中身份认证管理平台”(简称:AAAA认证平台)两大核心组成部分。企业用户可以通过多运营商、多种终端方式接入。第一期主要采用SSLVPN方式接入,支持IE浏览器方式及SSLVPN客户端方式。后期可根据业务应用需要支持IPSEC客户端、移动终端等方式接入。VPN网关集群可根据业务量不断扩展,扩展过程不影响已有业务应用,不会造成业务中断。由AAAA认证平台进行账号身份、权限的集中管理,并与CRM、商务领航平台实现账号信息同步。政企单位的应用系统可以采用本地托管及远程接入方式连接到VPN接入平台,为用户提供相应的业务应用。所有政企单位应用系统接入均须采用防火墙进行安全隔离及防护,以防止不同的业务应用系统间互相影响,防范内部的攻击行为造成VPN接入平台的性能及稳定性下降。SSL VPN会话建立流程:
    1、用户通过终端IE浏览器或者通过SSL VPN客户端访问SSL VPN网关公网域名/地址,访问指定的政企用户虚拟门户;
    2、用户根据认证要求进行身份认证,提交用户名、口令、证书等认证资料;
    3、认证通过后,开始协商VPN隧道并根据设置分配虚拟地址及访问权限;
    4、获得虚拟地址及访问权限后,就算是连接到企业应用网络了,VPN建立成功;
    5、SSL VPN会话结束,立刻拆除隧道。
    业务接口
    VPN业务AAAA平台对外接口如下图所示:


     


    整个系统应具备的对外接口分为如下几种:
    1)  与营业系统的接口
    为了能够灵活的管理用户账号,本期工程所选用的软硬件设备,需具备与CRM等,电信级平台的接口对接能力,并可实现公开协议和接口的随时对接以及私有接口的定制升级,以满足未来平台升级的需要,可以实现营业厅客户数据输入、缴费功能,需要将中国电信吉林公司所有的业务受理都集中到营业系统中去, AAAA认证平台作为整个VPN接入网关的核心业务平台,作为电信业务的一个分支,必然需要到营业系统中去受理。
    2)  与综合账务系统的接口
    对用户实现“一单结”的业务模式,将VPN业务的数据统一到综合账务系统(CRM)中进行合并,最终由综合账务系统(CRM)最后统一发送给用户,同时也可以实现多种电信业务的交叉优惠。
    3)  与硬件设备的接口
    作为整个VPN接入网关的核心业务,本期新建平台中的AAAA认证服务器必然和接入设备之间存在认证的接口,同时应具备与VPN平台各种设备点到点数据采集接口。
    4)  与外界的其它接口
    中国电信吉林公司的VPN平台AAAA认证服务器作为一个开放的系统,提供各种各样各个层次的接口,和其它系统进行对接,从而实现中国电信吉林公司VPN平台的运营需求。
    以上为本期新建VPN平台应具备接口能力,建造接口将考虑在下期工程中进行实施。

    中国电信集团公司吉林电信分公司