H3C运营商ICT最佳实践_终稿

运营商ICT最佳实践■VPN解决方案■3G无线接入解决方案■园区网解决方案CONTENTS目录H3C公司ICG系列网关VPN解决方案......................01湖南电信－加油站分支互连项目.......................................................07上海电信－E通VPN－“联华快客”互连项目....................................09东莞电信－“中域电讯”企业信息化项目.........................................11贵州电信－“先锋工程”项目............................................................13广东联通－质监总局全国分支互联项目............................................15山西联通－山西省水利厅广域互联项目.............................................17H3C公司ICG系列网关3G无线接入解决方案..........19上海电信－交行世博园区ATM机联网项目.........................................23H3C公司系列一体化网关园区网解决方案.............25广东电信－广东校园“翼起来”园区网项目.....................................29四川移动－星巴克连锁一体化网关综合建设项目..............................3101运营商ICT最佳实践一、概述伴随企业和公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。VPN(VirtualPrivateNetwork，虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络，“虚拟”主要指这种网络是一种逻辑上的网络。VPN有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从VPN用户角度看来，使用VPN与传统专网没有区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用；另一方面，VPN提供足够安全性，确保VPN内部信息不受外部的侵扰。H3C公司的电信定制网关和ICG系列企业网关集多种业务功能于一体，在满足用户基本网络业务的同时还能够提供专业VPN设备的功能和服务，支持的VPN业H3C公司ICG系列网关VPN解决方案务非常丰富和全面，支持IPSecVPN、GRE、L2TP、SSLVPN、MPLSVPN、SSLVPN和DVPN(动态VPN)多种VPN技术方案，同时支持诸如IPSecDPD、IPSec野蛮模式、硬件加密加速、SSL代理等丰富的功能特性，另外，该系列设备配合H3C公司的VPN客户端软件、VPNManager和基于TR069协议的BiMS等配套方案为用户提供包括接入、认证、管理、配置等全方位的VPN解决方案。H3C公司的电信定制网关和ICG系列企业网关不仅支持基于传统通信接口的VPN业务，还支持基于3G无线通信接口的VPN功能，这进一步提高了设备作为VPN网关的适应性和灵活性。该系列设备通过外接USB接口的3G-Modem或3G插卡即可支持3G接口上的VPN业务，支持的3G制式包括国内三大运营商提供的WCDMA、TD-SCDMA和CDMA2000和三种方式，另外，设备提供的3G应用的功能特性和业务模式也丰富多样，完全可以满足用户灵活应用的需求。总之，H3C公司的电信定制网关和ICG系列企业网关能够为企业用户提供一体化的网络解决方案和VPN业务功能，可充分满足企业的业务扩展的多元化应用需求。02运营商ICT最佳实践二、VPN的典型组网与规格L2TP(VPDN)IPSecVPN应用场景该VPN技术主要应用于总部/分支型的小企业，另外，也在一些政府分支机构或部门使用，如社保、工商分支点等。应用场景该VPN技术主要应用于企业员工或政府工作人员在家、出差时直接通过PC机访问公司或部门内部的网络资源。设备规格(IPSecVPN)设备型号加密性能隧道数目加密性能(硬件加速)隧道数目(硬件加速)Navigator1-2+3Mbps50//Navigator2-15Mbps100//Navigator2-210Mbps50//ICG2000系列30Mbps500//ICG3000系列30Mbps1000200Mbps2000ICG5000系列150Mbps1500600Mbps3000设备规格设备型号隧道数目每秒新建会话数目Navigator1-2+1282Navigator2-12562Navigator2-210245ICG2000系列2566ICG3000系列5126ICG5000系列10248组网建议用户规模推荐设备备注1-50用户总部ICG2000系列分支Navigator1-2+Navigator2-1ICG2000系列50-100用户总部ICG3000系列需要采用硬件加密分支Navigator1-2+Navigator2-1Navigator2-2ICG2000系列100-500用户总部ICG5000需要采用硬件加密分支Navigator1-2+Navigator2-1Navigator2-2ICG2000系列ICG3000系列组网建议用户规模推荐设备备注1-100用户总部ICG2000系列作为LNS设备分支Navigator1-2+Navigator2-1Navigator2-2ICG2000系列作为LAC设备100-200用户总部ICG3000系列作为LNS设备分支Navigator1-2+Navigator2-1Navigator2-2ICG2000系列作为LAC设备200-500用户总部ICG5000作为LNS设备分支Navigator1-2+Navigator2-1Navigator2-2ICG2000系列ICG3000系列作为LAC设备典型组网典型组网H3C公司ICG系列网关VPN解决方案ICG3000/5000企业中心网管中心应用服务器CAMS服务器企业分支1企业分支2WANIPsecVPN隧道电信定制网关ICG系列网关电信定制网关ICG系列网关3G无线(LNS)(LAC)(LAC)ICG3000/5000企业中心企业分支WANL2TP隧道3G无线电信定制网关ICG系列网关电信定制网关ICG系列网关网管中心应用服务器CAMS服务器运营商ICT最佳实践03SSLVPNMPLSVPN应用场景该VPN技术主要应用于企业员工在家、出差时直接通过PC机访问公司或部门内部的网络资源，相比L2TP技术，安全性上得到了大幅提高。应用场景该VPN技术主要应用于政府电子政务网等这样的网络环境中。设备型号用户数目转发性能加密性能(硬件加速)隧道数目(硬件加速)Navigator1-2+////Navigator2-152M//Navigator2-2510M//ICG2000系列55M//ICG3000系列515M10050MICG5000系列530M200100M设备规格设备型号VRF数目VRF的路由数目LSP数目Navigator1-2+///Navigator2-1///Navigator2-2///ICG2000系列///ICG3000系列12810242048ICG5000系列12810244096设备规格组网建议用户规模推荐设备备注1-5用户Navigator2-1Navigator2-2ICG2000系列ICG3000系列5-100用户ICG3000系列需要采用硬件加密100-200用户ICG5000系列需要采用硬件加密组网建议网络位置用户规模推荐设备CE1～200ICG2000/ICG3000PE200～500ICG5000典型组网典型组网ICG3000/5000企业中心网管中心应用服务器CAMS服务器企业分支SSLVPN隧道WAN3G无线电信定制网关ICG系列网关WANVPN1VPN2VPN3逻辑业务网络VPN1VPN2VPN3VPN1VPN2VPN3VPN1VPN2VPN3中心ICG网关ICG网关ICG网关应用服务器CAMS服务器网管中心分支一分支二04运营商ICT最佳实践运营商ICT最佳实践05三、VPN管理方案IPSecVPN管理平台(IVMS)IVMS(IPSecVPNManagementSystem)，即IPSecVPN管理系统，它是H3C公司专门针对网关及安全设备开发的IPSecVPN业务的维护管理系统，用户通过这个系统就可以通过图形化的操作界面直观地部署和维护管理IPSecVPN业务，用户可以很方便地在拓扑上对VPN设备进行管理，提供VPN网络监控功能，帮助用户监控IPSecVPN通道流量及VPN网络性能，提供故障管理功能，帮助用户快速定位网络故障。IVMS本身是H3C公司网管平台的一个组件，这个平台除IVMS外，还包括设备管理(DM)、软件升级管理、配置文件管理、告警管理、WEB报表、分支网点智能管理系统(BranchIntelligentManagementSystem，BIMS)等功能，用户可以根据用户的实际情况来进行选择相应的模块，也就是说通过配置不同的功能模块，用户不仅可以部署和实施网关的IPSecVPN业务，还可以将该设备的网络拓扑、设备本身及告警等功能管理起来，这极大方便了用户的使用。IVMS系统本身有分成两个功能模块：VSM和VDM：IPSecVPN业务监视系统(IPSecVPNServiceMonitor，VSM)：提供了对■IPSecVPN网关设备的拓扑图查看、通道浏览以及性能监视功能；IPSecVPN业务部署系统(IPSecVPNServiceDeploymentManager，VDM)：■提供了对IPSecVPN网关设备的部署功能；为了解决企业用户在使用IPSecVPN过程中的问题，IVMS提供了全方位的VPN解决方案，用户可以利用该软件轻松构建IPSecVPN网络，有效监视VPN网络的运行，并监控VPN网络性能，快速定位设备故障，从而方便用户在VPN上开展各项业务。基于TR069的BiMS管理方案简介H3C公司开发的基于TR069协议的BiMS(分支智能管理系统)是专门针对大规模部署的DSL、LAN、3G无线等多种接入方式的企业网关设备开发的一套智能几种网络管理系统。它通过标准的TR069协议来实现对广域网中的电信定制网关及ICG网关设备进行远程管理，有效地解决网关设备数量多、且都为动态IP地址及位于NAT后等管理方面的困难，节约维护成本，提高问题解决效率。H3C公司基于TR069协议的BiMS系统主要包括：设备资源管理、设备业务配置管理、设备配置管理、配置管理、设备性能和告警管理、系统管理等功能，以最大限度地满足用户的广泛应用的需要。06运营商ICT最佳实践分支设备型号：H3CNavigator2-1/2-2定制网关■总部设备型号：H3CICG3000/5000VPN-SERVER■湖南电信—“中石化加油站”分支互连项目中国石化集团湖南分公司总部在长沙，包括14个分支机构1400多个加油站；每天加油站都有业务数据需要上传给分支机构和省管理中心等。那么如何保证加油站数据的安全传输？如何来实时监控加油站的状态？这些都是湖南石化IT部门迫切需要解决的问题。客户需求加油站分支节点的宽带接入■加油站分支节点与上级管理中■心间的安全互连(VPN)加油站关键业务数据(ERP/财务/■物流/监控等)的安全传输和定时上传项目方案中国