陳瑜

摘要：網(wǎng)絡(luò)優(yōu)化改造主要目標(biāo)為提升社保網(wǎng)的整體健壯性，確保網(wǎng)絡(luò)運(yùn)行的安全可靠。由于絡(luò)優(yōu)化涉及到機(jī)房傳輸網(wǎng)絡(luò)擴(kuò)容，如何保證設(shè)備到貨及擴(kuò)容是整個(gè)優(yōu)化的難點(diǎn)。本文筆者通過項(xiàng)目實(shí)踐，取得了一些經(jīng)驗(yàn)體會(huì)，現(xiàn)加以總結(jié)分析以供同行參考。

關(guān)鍵詞： MSTP； 無線VPDN技術(shù)； 網(wǎng)絡(luò)組網(wǎng)

本次優(yōu)化通過溫州電信建設(shè)部門與廠家溝通協(xié)調(diào)Unviseral千兆機(jī)盤和千兆光模塊及時(shí)從美國發(fā)貨，在客戶要求時(shí)限前到貨，充分體現(xiàn)了中國電信的誠信。網(wǎng)絡(luò)優(yōu)化前支撐人員多次陪同客戶經(jīng)理上門與客戶溝通網(wǎng)絡(luò)優(yōu)化細(xì)節(jié)問題，盡量通過充分的前期工作減少后期優(yōu)化中可能遇到的問題，保證了項(xiàng)目的順利進(jìn)行。

一、項(xiàng)目背景

瑞安某局網(wǎng)絡(luò)是瑞安某局連接全市各大醫(yī)院、衛(wèi)生院及藥店的網(wǎng)絡(luò)，該網(wǎng)絡(luò)目前有35個(gè)分點(diǎn)，采用二層VPN技術(shù)網(wǎng)絡(luò)技術(shù)組網(wǎng)。VPN網(wǎng)絡(luò)部署方便、成本低、管理簡單，但是二層VPN當(dāng)發(fā)展到一定規(guī)模以后也帶來一定的網(wǎng)絡(luò)風(fēng)險(xiǎn)，由于瑞安**局網(wǎng)絡(luò)僅采用簡單的二層VPN連接，并未進(jìn)行良好的網(wǎng)絡(luò)隔離，導(dǎo)致任何單點(diǎn)網(wǎng)絡(luò)故障都有可能導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，進(jìn)而影響其他節(jié)點(diǎn)，導(dǎo)致全網(wǎng)癱瘓。前幾日的故障就是因?yàn)檩冯蟮膬蓚€(gè)衛(wèi)生院不規(guī)范使用造成全網(wǎng)癱瘓。因此很有必要對社保網(wǎng)絡(luò)進(jìn)行優(yōu)化，同時(shí)考慮一定的備份方式進(jìn)而增強(qiáng)整體網(wǎng)絡(luò)的健壯性。

二、項(xiàng)目需求分析

本次瑞安某局網(wǎng)絡(luò)優(yōu)化涉及35個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，主要目標(biāo)為改造網(wǎng)絡(luò)架構(gòu)，提升整體網(wǎng)絡(luò)的健壯性，確保網(wǎng)絡(luò)運(yùn)行的安全可靠。由于現(xiàn)有節(jié)點(diǎn)介入方式各異，本次改造擬統(tǒng)一采用光纖方式接入，通過MSTP上聯(lián)，各節(jié)點(diǎn)間互相隔離，獨(dú)立通過透明傳輸通道跟中心點(diǎn)連接，從而保證整體網(wǎng)絡(luò)的健壯性。

備份方案：利用電信3G的EVDO網(wǎng)絡(luò)，通過無線撥號(hào)訪問醫(yī)保內(nèi)網(wǎng)。

三、MSTP以及無線VPDN概念介紹

1 MSTP介紹

1.1產(chǎn)品介紹：基于SDH 的多業(yè)務(wù)傳送平臺(tái)（MSTP）是指基于SDH 平臺(tái)，同時(shí)實(shí)現(xiàn)TDM、ATM、以太網(wǎng)、IP等業(yè)務(wù)的接入處理和傳送并提供統(tǒng)一網(wǎng)管的多業(yè)務(wù)平臺(tái)?；赟DH 的多業(yè)務(wù)傳送節(jié)點(diǎn)功能模型如圖1所示。

1.2MSTP主要技術(shù)特點(diǎn)：

1.2.1繼承了SDH技術(shù)的諸多優(yōu)點(diǎn)：如良好的網(wǎng)絡(luò)保護(hù)倒換性能、對TDM業(yè)務(wù)較好的支持能力等；

1.2.2支持多種物理接口：由于MSTP設(shè)備負(fù)責(zé)業(yè)務(wù)的接入、匯聚和傳輸，所以MSTP必須支持多種物理接口，從而支持多種業(yè)務(wù)的接入和處理。常見的接口類型有：TDM接口（T1/E1、T3/E3）、SDH接口（OC-N/STM-M）、以太網(wǎng)接口（10/100BaseT、GE）、POS接口。 1.2.3支持多種協(xié)議：MSTP對多業(yè)務(wù)的支持要求其必須具有對多種協(xié)議的支持能力，通過對多種協(xié)議的支持來增強(qiáng)網(wǎng)絡(luò)邊緣的智能性；通過對不同業(yè)務(wù)的聚合、交換或路由來提供對不同類型傳輸流的分離。

2無線VPDN技術(shù)介紹

2.1產(chǎn)品定義：VPDN（Virtual Private Dial-Network，虛擬專有撥號(hào)網(wǎng)絡(luò)）業(yè)務(wù)是指承載于IP 網(wǎng)基礎(chǔ)上的基于撥號(hào)方式的虛擬專有網(wǎng)絡(luò)業(yè)務(wù)。利用Internet

公網(wǎng)隧道加密技術(shù)，通過靈活的撥號(hào)上網(wǎng)方式，為企業(yè)分支機(jī)構(gòu)間的通信、移動(dòng)辦

公、家庭辦公提供高效便捷的聯(lián)網(wǎng)服務(wù)。綜合VPDN業(yè)務(wù)是浙江電信整合原有寬帶VPDN 和無線VPDN業(yè)務(wù)，向用戶提供寬帶和CDMA接入方式的VPDN業(yè)務(wù)。

2.2業(yè)務(wù)的功能和特點(diǎn)：

2.2.1移動(dòng)性和方便性：政企客戶只需要中心節(jié)點(diǎn)通過互聯(lián)網(wǎng)或者分組網(wǎng)上建立L2TP 隧道即可以建立VPDN 專網(wǎng)，政企客戶內(nèi)的用戶可以在任何電信有線或無線網(wǎng)絡(luò)覆蓋的地方通過撥號(hào)方式進(jìn)入到企業(yè)的內(nèi)網(wǎng)。

2.2.2廣域性和經(jīng)濟(jì)性：借助于電信的有線或無線網(wǎng)絡(luò)，就可以在電信網(wǎng)絡(luò)覆蓋的范圍內(nèi)通過VPDN撥號(hào)進(jìn)入企業(yè)內(nèi)網(wǎng)，無需自建復(fù)雜的網(wǎng)絡(luò)架構(gòu)，有效的節(jié)省了昂貴的專線租用費(fèi)用。

2.2.3私有性和安全性在采用先進(jìn)的IP隧道加密技術(shù)作為傳輸保障的同時(shí)，浙江電信的綜合VPDN業(yè)務(wù)，還具有以下特殊的功能來保證客戶在業(yè)務(wù)使用中的私有性和安全性.

A、綁定功能：無線VPDN 可以支持手機(jī)IMSI（每個(gè)手機(jī)號(hào)碼對應(yīng)的交換機(jī)認(rèn)證編碼）和域名綁定或IMSI和賬號(hào)綁定；固網(wǎng)VPDN可以支持賬號(hào)和域名綁定；

B、限制外網(wǎng)功能：無論是無線VPDN 還是固網(wǎng)VPDN，均可以限制外網(wǎng)，嚴(yán)格保證內(nèi)網(wǎng)與外網(wǎng)的安全隔離，進(jìn)一步保證了客戶內(nèi)網(wǎng)的安全。

四、網(wǎng)絡(luò)組網(wǎng)方案

1 MSTP組網(wǎng)

1 、網(wǎng)絡(luò)拓?fù)淙鐖D2：

1）保持現(xiàn)有網(wǎng)絡(luò)不變，初期先以新建電路方式開通MSTP電路，需要確認(rèn)相關(guān)的局站是否需要擴(kuò)容，若需要統(tǒng)計(jì)出來相關(guān)設(shè)備的機(jī)盤，所有新開MSTP電路匯聚至萬松Universal的千兆光口上。

2）35個(gè)社保下屬單位分別新裝一套raisecom光纖收發(fā)器接入到就近的電信機(jī)房（清單見前）

3）整個(gè)網(wǎng)絡(luò)架構(gòu)在瑞安本級(jí)朗訊SDH傳輸網(wǎng)

4）考慮到匯聚千兆口的重要性，需要利用光路保護(hù)設(shè)備實(shí)現(xiàn)中心點(diǎn)電路的雙路由保護(hù)。

2、MSTP電路方案說明：

初定各定點(diǎn)醫(yī)院采用mstp電路連接，在萬松電信大樓通過mstp設(shè)備進(jìn)行一級(jí)匯聚，然后以每64個(gè)點(diǎn)一個(gè)千兆光口接入到OLP設(shè)備實(shí)現(xiàn)千兆備份，直接連接到社保中心機(jī)房核心路由器。初期可先在中心點(diǎn)電路開通后，就近在安陽安康大藥房等小藥店進(jìn)行測試。測試成熟后再推廣到其他藥店，完成電路開通并使用正常后再拆除現(xiàn)有的VPN電路。該方案需要購買的設(shè)備包括：萬松Unviseral需要1塊千兆機(jī)盤和1塊千兆光模塊，OLP設(shè)備一套（萬松-社保中心雙路由光路4芯），相關(guān)局站Universal的以太口盤需要擴(kuò)容， 55套點(diǎn)對點(diǎn)光纖收發(fā)器及光纖收發(fā)器相關(guān)的配件以及光路需要，同時(shí)與工程相關(guān)的網(wǎng)線、電源線等配件。

2 無線VPDN備份組網(wǎng)

根據(jù)需求，擬定采用電信LNS方式進(jìn)行無線VPDN組網(wǎng)。

網(wǎng)絡(luò)拓?fù)淙鐖D3：

1）上網(wǎng)卡通過CDMA /EVDO無線信號(hào)找到電信基站并注冊連接（對UIM卡認(rèn)證）；

2）啟動(dòng)PPP撥號(hào)向PDSN/LAC發(fā)出認(rèn)證請求；

3）SN把請求轉(zhuǎn)至C網(wǎng)AAA服務(wù)器進(jìn)行認(rèn)證（3A服務(wù)器可以控制用戶外網(wǎng)權(quán)限， 同時(shí)實(shí)現(xiàn)對域名的認(rèn)證）；

4）A服務(wù)器返回?fù)芴?hào)用戶所屬的LNS地址和隧道屬性等信息；

5）SN向返回的LNS地址發(fā)出L2TP隧道建立請求，隧道建立成功；

6）S對用戶名和密碼進(jìn)行二次認(rèn)證，根據(jù)綁定IP地址信息，為用戶分配內(nèi)網(wǎng)IP。

7）建立完成，可進(jìn)行對企業(yè)內(nèi)網(wǎng)的訪問

通過這種方式，用戶撥號(hào)接入C網(wǎng)分組域后，C網(wǎng)分組域PDSN通過判斷用戶賬號(hào)的后綴（域名），發(fā)起到電信IP網(wǎng)LNS的隧道連接，經(jīng)VPDN平臺(tái)Radius認(rèn)證通過后，建立C網(wǎng)分組域PDSN到電信IP網(wǎng)LNS的L2TP隧道，分配IP地址，并與用戶內(nèi)網(wǎng)進(jìn)行通信。本方式采用一個(gè)網(wǎng)點(diǎn)一個(gè)賬號(hào)，可以實(shí)現(xiàn)賬號(hào)與UIM卡的IMSI號(hào)綁定，這樣即使他人得到了賬號(hào)密碼，非本IMSI號(hào)無法訪問企業(yè)內(nèi)網(wǎng)，安全性非常好。另外，一個(gè)網(wǎng)點(diǎn)一個(gè)賬號(hào)，對運(yùn)營商排除故障非常有利。

2、無線VPDN方案說明：

醫(yī)保中心側(cè)：需新建一條MPLS VPN電路，用戶中心接入。

各無線接入點(diǎn)：申請電信上網(wǎng)卡業(yè)務(wù)，落實(shí)專人管理，如用于醫(yī)保前置機(jī)，需安裝上網(wǎng)卡驅(qū)動(dòng)并配置（上網(wǎng)卡內(nèi)自帶），并對原網(wǎng)卡及配置信息進(jìn)行修改；如用整個(gè)網(wǎng)絡(luò)接入，則需要購置3G無線撥號(hào)路由器。

五、項(xiàng)目實(shí)施進(jìn)度

根據(jù)多次類似項(xiàng)目的實(shí)施經(jīng)驗(yàn)，我們提出了以下項(xiàng)目進(jìn)度安排，將充分與瑞安社保局相關(guān)負(fù)責(zé)人進(jìn)行工程進(jìn)度的協(xié)商，嚴(yán)格遵照按照雙方約定的工程進(jìn)度。

進(jìn)度說明：

資源確認(rèn)：即將該工程項(xiàng)目所涉及的全市范圍的傳輸資源，接入點(diǎn)所在地的管道、光纖，用戶機(jī)房設(shè)備位置等具體情況進(jìn)行摸底和確認(rèn)，需要7個(gè)工作日。

材料準(zhǔn)備：在資源確認(rèn)完成后開始為該工程進(jìn)行必要的設(shè)備、管道材料、光纜、銅纜、電源、機(jī)房接入等進(jìn)行準(zhǔn)備，需要14個(gè)工作日。

1、工程施工：即每條電路線路工程完工后進(jìn)行網(wǎng)絡(luò)集成、數(shù)據(jù)錄入、調(diào)測等，在每個(gè)施工節(jié)點(diǎn)材料準(zhǔn)備完成后，進(jìn)行工程施工，為保證整個(gè)項(xiàng)目進(jìn)度本周期與材料準(zhǔn)備可并行展開，需要30個(gè)工作日。

2、電路調(diào)測開通：即工程完工后進(jìn)行數(shù)據(jù)錄入、調(diào)測等工作，在每個(gè)節(jié)點(diǎn)工程施工完畢后開始該階段工作，為保證進(jìn)度，可與工程施工部分周期重疊，需要21個(gè)工作日（包含無線網(wǎng)卡的安裝調(diào)試）。

3、試運(yùn)行竣工驗(yàn)收：即“交鑰匙”，將完全符合技術(shù)要求和客戶需求的業(yè)務(wù)移交給用戶，在用戶認(rèn)可的情況下，簽字交付，需要14個(gè)工作日。