互聯網專線業務信安管理系統EU建設方案研究

劉春林，袁丹丹

（中通服咨詢設計研究院有限公司，南京 210017）

1 互聯網專線業務ISMS EU建設方案設計與比較

專線業務ISMS建設的技術標準、接口規范、測試方法均參考IDC/ISP ISMS系列標準錯誤！未找到引用源。錯誤！未找到引用源。，功能要求與IDC/ISP ISMS的功能一致，應具有基礎數據管理、訪問日志管理、信息安全管理、與SMMS之間接口和數據通信等功能。

對于互聯網專線監控EU的建設方案，可采用新建或與IDC/ISP EU共用的方式，從后期維護與管理的角度考慮，互聯網專線監控EU系統均采用新建的方式。監控節點部署在城域網核心路由器CR 側或業務層MSE/SR 側較合理，投資較少且管理維護較易。以下將分別對各建設方案進行闡述，并從多個方面進行分析比較。

1.1 方案一：CR互聯鏈路分光

根據IP 地址區分互聯網專線用戶，在城域CR/MSE 通過策略路由方式將專線用戶流量在兩臺CR 新增專線互聯鏈路間穿越，ISMS部署在CR 互聯光纖鏈路上。同一臺MSE/SR 內的家寬和互聯網專線流量，通過引流方式，將所有涉及到互聯網專線的上下行流量都引流至CR 設備進行繞轉；對于多臺CR的情況下，CR 設備將源/目的地址匹配專線用戶地址的流量引導到CR互聯鏈路；對于單一CR的情況下，CR 上聯接口配置策略路由，將目的地址匹配專線用戶地址的流量引導環回CR 互聯鏈路；通過分光將專線用戶流量分光至ISMS，實現管理。城域網內專線引流如圖1所示。

圖1 城域網內專線引流示意圖（方案一）

該方案可相對集中部署，并且不受CR 設備性能限制，各廠商設備均能夠支持本方案的部署。但是流量需環回繞行，故障點將會增加，通過對繞行鏈路進行trunk 捆綁，能夠有效避免單端口失效影響業務。此外，專線流量繞行將存在性能下降的風險。

1.2 方案二：MSE/SR VPN引流

將需要管理的互聯網專線通過VPN匯聚到特定的MSE/SR（專線MSE/SR），ISMS部署在專線MSE/SR 和CR互聯鏈路上。互聯網專線通過VLAN 或QINQ 接入到互聯網專線VPN 中；專線流量匯聚到專線MSE/SR，通過專線MSE/SR 和CR 互聯光纖接入互聯網；ISMS串接在環回光纖上（串接模式）或者專線MSE/SR和CR互聯光纖上分光至ISMS（并接模式），實現管理。此方案可同時支持串接和并接管理模式。專線用戶出流量經過VPN 到達專線MSE/SR；根據路由，專線流量將經過專線MSE/SR 和CR 互聯光纖通過CR，按正常路由出骨干網；專線用戶入流量正常達到CR；專線用戶入流量從CR 根據路由進入專線MSE/SR；專線用戶流量根據VPN，返回專線用戶。城域網內專線引流如圖2所示。

圖2 城域網內專線引流示意圖（方案二）

此方案不受CR和MSE/SR設備性能限制，各廠商設備都能夠支持。但是，各城域網需部署1-2 臺MSE/SR作專線MSE/SR，同時，需要考慮CR和專線MSE/SR 的兩側端口和雙向鏈路投資，這將必然增加了專線MSE/SR的投資成本。并且，該方案配置復雜，對現網的改動較大。此外，專線流量的繞行將會導致性能的下降。

1.3 方案三：MSE/SR上行分光

根據IP 地址區分互聯網專線用戶，在城域CR/MSE 通過策略路由方式將專線用戶流量引導至MSE上行鏈路，ISMS部署在MSE/SR上行鏈路上。同一臺MSE/SR內的家寬和互聯網專線流量，通過引流方式，將所有的涉及到互聯網專線的上下行流量都引流至MSE/SR設備上行；CR 設備將源/目的地址匹配專線用戶地址的流量引導到CR下行鏈路；CR下聯接口配置策略路由，將目的地址匹配專線用戶地址的流量引導環回CR下聯鏈路；通過分光將專線用戶流量分光至ISMS，實現管理。城域網內專線引流如圖3所示。

該方案采用分散部署的方式，不受MSE/SR設備性能限制，各廠商設備均能夠支持本方案。但是流量需環回繞行，增加了MSE/SR上行鏈路入方向流量，并且，單節點EU 系統處理流量較小。此外，在BRAS/MSE/SR上行端口擴容時需同步擴容EU系統，這將導致EU系統需要頻繁調整。

1.4 方案四：MSE/SR端口鏡像

根據IP 地址區分符合管理條件的互聯網專線用戶，在城域網MSE/SR上將專線用戶流量鏡像至ISMS。管理系統旁掛在MSE/SR設備側；MSE/SR下聯接口配置特征流鏡像策略，將上下行流量中源/目地址匹配專線用戶地址的流量鏡像到MSE/SR與管理系統路由器的互聯接口。城域網內專線引流如圖4所示。

圖3 城域網內專線引流示意圖（方案三）

圖4 城域網內專線引流示意圖（方案四）

該方案采用分散部署的方式，不受MSE/SR 設備性能限制，各廠商設備均支持本方案。采用下行端口鏡像需做鏡像的端口數量偏多，并且單節點EU系統處理流量較小。此外，在BRAS/MSE/SR下行端口擴容時需同步加入鏡像端口組，這將導致EU系統需要頻繁調整。

2 建設方案比較

對于以上四種互聯網專線業務ISMS EU建設方案的選擇，比較如下：

若將EU部署在城域網BRAS/MSE/SR側，如方案三和方案四，需要監控大量的鏈路，部署大量EU節點，導致投資成本較高，資源利用率低下，管理維護困難，并且容易產生漏覆蓋，因此，這兩種方案不適用于工程投資較少的項目。

方案一和方案二是將EU部署在城域網CR處，由于方案二需要對現網所有專線進行VPN改造，對現網改動較大，不適用于較大較復雜的網絡規模。方案一需要對專線流量進行繞轉，因此不適用于網絡性能要求較高的應用場景，并且該方案對CR端口數量要求較高，不適用于CR設備端口數量不足的應用場景。

3 結束語

本文對現有IDC/ISP EU建設方案進行了研究與分析，考慮其缺陷所在，設計了四種互聯網專線業務ISMS EU建設方案，通過對這些方案的闡述與分析，可以看出這些方案在不同的方面均體現出相應優勢。因此，在ISMS EU建設前，需對現場情況進行細致的調研與分析，綜合考慮管局的要求及各項指標，選擇最為合理的建設方案。