安徽电信合肥分公司网络监控部 肖凯

    在目前银行、证券、保险等重要金融客户的组网方式中，SDH和ATM/FR占了绝大部分。在满足用户高带宽、大容量数据通信要求的同时，专网专用也满足了该类用户对数据高安全性的要求。单一的网络接入方式还是存在电路中断的隐患，因而为用户提供有效、便捷的备用线路接入方式不仅可以减少用户因主用电路的故障而造成的业务中断损失，也提高了运营商对用户电路的综合保障能力。

    一、专网网络现状

    目前大部分银行、证券及保险等用户网点的连接均使用ATM/FR或SDH电路。其中的传输通道部分普遍采用光端机(PDH)或者SDH设备接入，总体而言性能较稳定，带宽也可以满足用户的通信需求。但是从安全性角度来考虑，因为接入方式比较单一，而这部分用户群体的日常业务又十分依赖通信线路的畅通，一旦出现通信线路中断，会对用户造成很大的业务损失，既而对通信运营商造成很坏的影响。因此有必要通过其他手段来进行电路的安全备份，在主用电路故障的基础上，能够自动切换到备份电路上，为主用电路的修复争取时间，又可以最大限度地避免对用户造成的损失。目前部分用户使用传统的ISDN电路作为备用电路，但是这种电路方式由于技术限制，带宽仅能达到256kbit/s，在某些方面不能满足用户的需要。在此提出一些其他方式的备份电路组网方案，并对其进行讨论。这些方案包括VPDN、IPSecVPN和HDSL。

    二、具体备份电路的选择

    1．通过VPDN实现电路备份

    VPDN的特点主要包括以下几个方面

    （1）接入方式简单，可以实现多点连接到总部，有效降低通信成本。（2）使用互联网安全协议，可以搭建L2TP隧道和IPSec隧道，保证数据传输的私密性，实现专网数据通信。（3）提供了专用VPDN账号，“一次拨号，两次认证”，保证了单点接入的安全性。（4）采用DHCP方式分配地址，用户可以定义私网IPPOOL的范围和数量，同Internet隔离实现安全可靠的传输。（5）网络覆盖范围广，实现简单，接入价格低廉。（6）可以满足移动办公等需求，可承载客户第三方应用，延伸了企业的内部网。（7）采用电信局端VPN组网方式，客户自身的成本大大降低，同时减少了网络维护量。

    VPDN的技术实现方式

    （1）VPDN通过ADSL宽带网进行分支机构的接入，采用VPDN专用账号拨入专用的认证服务器来获得认证，在安全认证通过之后才能接入VPDN服务器获得企业网络地址，得到访问企业网的权限（如果账号认证没有通过则不具备联网的功能）。分支机构接入LNS服务器（L2TPNETWORKSERVER），通过MPLSVPN和总部相连，实现同总部的数据连接和共享。

    （2）分支机构使用自己的专用账号通过ADSL拨号进入VPDN认证服务器获得认证，用户的身份经过认证之后，VPDN认证服务器会通过LNS服务器建立可以通信的L2TP专用安全隧道，经过MPLSVPN光纤接入总部内部网。用户数据可以通过安全的隧道在总部和分支机构之间进行传输，实现安全、快速、私密的网络接入和应用。

    2．通过IPSecVPN实现电路备份

    IPSecVPN的特点主要包括以下几个方面

    (1)用户不再承担昂贵的固定线路的租费。连接长途分支机构时，采用Internet作为传输骨干是非常便宜的，带宽还可以提高。(2)连接Internet的方式可以是10Mbit/s、100Mbit/s的端口，也可以是2Mbit/s或更低速的端口，还可以是便宜的DSL连接，甚至拨号都可以连接Internet。可以连接到任意Internet地点，不受距离和运营商的网络限制。(3)IPSecVPN可以使企业通过公共网络在公司总部和分支机构之间建立快捷、安全、可靠的通信，这种连接方式在概念上等同于传统广域网WAN。(4)远程的IP话音业务和视频也可传送到远端分支和移动用户，连同数据业务一起为现代化办公提供便利条件，节省大量长途话费。(5)IPSecVPN的显著特点就是它的安全性，这是它保证内部数据安全的根本。在VPN交换机上，通过多种方式保证层层安全。

    IPSecVPN的技术实现方式

    在公司总部使用一台相对高端的VPN设备作为公司内部网的防火墙，利用其内带的VPN网关功能，为全公司提供VPN接入。各分支机构选用VPN接入端设备作为公司防火墙和区域VPN节点。VPN设备通过ADSL或者LAN的方式连接Internet，通过建立点对点的IPSec通道，实现总部和分支机构之间的通信，并保证数据通信的安全性和完整性。

    3．通过HDSL实现电路备份

    HDSL的特点主要包括以下几个方面

    （1）HDSL用两对双绞铜线双向对称传输数字信号，传输速率为1168kbit/s，提供2048kbit/s的E1业务。（2）提供标准E1接口。（3）HDSL无中继传输距离为3km～5km，比传统的PCM要长一倍以上。它对双绞铜线的要求没有传统设备那样严格，所以安装方便，一般不用中继。（4）交直流供电和远供电，直流为4～20VDC，交流为220V(接电源适配器)。（5）HDSL有若干编码，如基带编码方式（PAM）、正交幅度调制（QAM）、无载波调幅调相（CAP）等。它用这些特殊的编码和调制方式提高传送质量并延长传输距离。(6)HDSL用多对线并行传输，以降低一对线上的传输速率，进一步延长无中继传输距离。(7)提高网络管理（监测、故障诊断等）功能。

    HDSL的技术实现方式

    在各分支机构机房放置一台HDSL，通过铜缆双绞线与机房HDSL相连，利用HDSL提供的标准E1电缆接入机房ATM设备的E1FR接口，在公司总部中心机房侧提供一条ATM155Mbit/s接口，中间通过ATM网络为用户提供中心机房至分支机构的ATM/FRPVC电路连接。该组网结构示意如图1所示。

    三、不同备份线路方式之间的比较

    VPDN技术严格说属于VPN的一种，但与普通的通过公网组建VPN不同的是，VPDN是建立在电话网的基础上，组网方式类似与ADSL，因此VPDN的最大好处就是方便，电话开通的地方即可采用这种方式组网，用户无需增加过多的额外投资。其缺点是受电话网（PSTN）本身的网络限制，上行带宽一般限制在512kbit/s～1Mbit/s左右，对数据流量大的用户可能无法满足要求。

    IPSecVPN通过公网组建，用户只需要在平时上网所用的路由器上做相应的VPN配置即可，由于利用城域网的线路，现在的单位用户基本已经全部使用10Mbit/s甚至100Mbit/s的网络出口，因此保障了带宽的需求，但另一方面由于需要新增路由器配置，此方式增加了用户端机房的维护操作和管理的复杂性，同时，由于数据通过公网传输，它需采用软件加密的方式，因此在安全性上还有一定的不足。

    HDSL与前两种方式比较而言，既能满足用户对带宽的需求，又因为物理线路的独立而最大限度的保障了数据的安全性。但此种方式相当于为用户重新搭建一套网络系统，所以设备和线路投资都较大。

    因此，综上所述，每种组网方式各有其优劣性，对资金较充足的用户，还是建议采用第三种组网方式，对投入较为敏感的用户，则可以采用前两种方式作为一种临时性的电路应急方案。在通信运营市场竞争日益激烈的今天，努力提高用户电路的保障能力，急用户之所急，想用户之所想，才能最大限度地提高用户的企业感知度，提升通信运营商在用户心目中的品牌地位。