營業廳聯網及安全

呂子虎

摘 要：河南有線電視網絡集團數字化整轉大局中，各地市出現的業務辦理和管理先進性的需求，現將各地市營業廳以MPLS-VPN的方式引入到數據網中，和省中心BOSS系統互連；利用VPN技術在數據公網上建立營業廳業務內部虛擬專網， 提高終端接入和組網的可靠性和安全性。保證營業廳業務辦理的便捷和用戶信息的安全管理，實現營業廳全省互連，全省互通，統一管理，安全有效的戰略布局。

關鍵詞：VPN；營業廳數據隔離

針對目前河南有線電視網絡集團數字化整轉大局中，各地市出現的業務辦理和管理先進性的需求，現將各地市營業廳以MPLS-VPN的方式引入到數據網中，和省中心BOSS系統互連；利用VPN技術在數據公網上建立營業廳業務內部虛擬專網，提高終端接入和組網的可靠性和安全性。保證營業廳業務辦理的便捷和用戶信息的安全管理，實現營業廳全省互連，全省互通，統一管理，安全有效的戰略布局；提升對營業廳系統運維操作的監管能力，提高公司網絡信息安全管理和運維水平。

⑴實現營業廳VPN通道的安全性。充分利用VPN的三個技術特點：隧道協議、身份驗證和數據加密；在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密，保證各項業務在專線通信中的安全性。

⑵更安全的路由保護策略。初期的營業廳和BOSS互聯是核心交換機思科6509E和BOSS防火墻路由互指，來實現營業廳普通數據的互通；重新建設的營業廳聯網將訪問外網和訪問BOSS系統的數據劃分開，并將訪問BOSS的流量放進VPN里；同時在防火墻和6509之前起trunk保證業務流量的高速帶寬。

⑶實現多項數據的隔離性。各個網點在和省中心數據的同步和交互時，通過使用準確的身份驗證和加密手段對于敏感的數據進行分隔；只有企業內部擁有適當權限的用戶才能通過遠程訪問建立與服務器的VPN連接，才可以訪問網絡中受到保護的敏感資源。

⑷實現營業廳管理的及時性和高效性。將營業廳服務器和省中心BOSS系統互連；實時同步數據和用戶信息更新，實現營業網點、Radius服務器和數據中心之間的專屬隧道連接。

⑸實現業務管理的統一性。對營業廳工作人員賬號的權限分配和操作進行統一管理和監控，針對不同的業務進行精細劃分和集中管理；發揮業務支撐系統和管理系統的協調性優勢。

1 主要技術創新點

⑴安全通信的可靠性：充分利用VPN特點從三個方面：隧道協議、身份驗證和數據加密著手提高互聯網絡的安全系數。營業廳終端向省中心服務器發出請求，服務器響應請求并向終端發出身份質詢，終端將加密的響應信息發送到服務器，服務器根據用戶數據庫檢查該響應，并根據賬戶相應的權限給出對應的響應；VPN安全功能模塊可有效地避免安全隱患，保障數據安全。

⑵精確路由控制和準入原則：改變原有的營業廳和BOSS互聯方式，將營業廳訪問公網和訪問BOSS的數據分別對待；后者劃給新的vlan并加入vpn中，在BOSS系統側的防火墻上采用“準入原則”和“華三inode”接入認證；保證訪問BOSS系統時的可控性和高安全性。

⑶信息共享協調性：營業廳數據通過和省中心的BOSS系統對接后，能提供完善的用戶管理、賬號管理、行為審計等多種服務手段的同時，確保系統本身的信息收集和資源共享；針對新增客戶需求和業務類型及時反饋給后臺業務支撐，根據用戶的需求做出及時調整和迅速響應。

⑷業務辦理的可操作性：營業廳作為面對客戶群體的重要接觸單元，應保證處理用戶需求的方便快捷，針對省內資源共享下的賬號應能提供全方位、多層次、立體化的服務；保障用戶辦理一號通。

⑸后臺管理的統一性：營業廳互聯系統除了具有良好的人機操作界面、更好的提示信息，方便系統管理人員使用外；還著重將前臺數據轉化為后臺分析和業務統計的第一手資料，并對營業廳具體操作進行科學化管理和模塊化分析。

⑹系統整體擴展性：營業廳互聯架構在合理需求的擴容時，應不改變組網結構，保證系統性能，能滿足河南有線業務發展的需求；能夠提供開放和完整的API接口供二次開發使用。

2 項目詳細內容

河南有線營業廳安全和聯網項目是在河南有線電視數字化整轉的浪潮下，為滿足新形勢的需求采取的新型互聯網方案；主要由路由器、交換機、服務器、編解碼設備等多種硬件及軟件系統組成，業務包括數據、傳輸、業務支撐、業務管理四個系統；每個地市的總前端和分前端都具備完整的互聯架構和可實施環境，面對逐步推開的全省數字化整轉，舊的營業廳聯網模式只具備基本職能，已無法滿足新型業務市場的需求。

新的互聯網方案把直面客戶群的營業廳，當做信息采集的最前沿終端；將客戶的需求第一時間準確、安全、有效的反饋給省中心BOSS系統；后臺系統通過第一手資料的統計和分析做出準確的響應，給出完善的服務需求對操作者給出詳細的提示和注解；并在數據交互的過程中保證用戶信息的隱私和安全，保證整體系統的高速運轉和平穩過渡。

結合目前河南有線整體數據網絡的特點，首先采用MPLS-VPN技術將整套系統引入到各個地市的數據城域網中。其次將營業廳聯網和市中心BOSS系統（業務管理支撐系統）通過VPN引入對接，將營業廳的數據交由BOSS進行全省范圍的匯總統計和分析；及時將用戶需求變成對用戶的響應。再次將營業廳向上訪問的數據分門別類，訪問外網的走普通路由訪問省中心BOSS系統的走VPN業務，同時在BOSS防火墻上準入原則和H3Cinode接入認證技術。

[參考文獻]

[1]陳良寬.《計算機網絡與建筑智能化系統集成》.中國建筑工業出版社，2003.3.

[2]胡遠萍，張治元.《計算機組網技術》.高等教育出版社，2003.6.

[3]周建軍.一種新型存儲體系結構——SAN[J].電子計算機，2001.10.