邓小平抽的什么熊猫烟:宽带城域网VPN业务运营解决方案

 华为全球技术服务部 王震，尹启龙

80/20法则

　　经济学中存在着一条普遍的80/20法则（帕累托法则），即：20%的人口拥有80%的财富，80%的收入来自20%的产品，80%的利润来自20%的顾客。这条法则在宽带城域网的运营中依然生效，它明示我们—在企业运营中，抓住某些关键客户才是最重要的。对于宽带城域网而言，抓住不到20%的行业大客户和商业用户就能给我们的运营创造超过80%的收入和利润。

　　在这些大客户的宽带城域网消费架构中，基于企业互联需求的VPN消费一直以来长期占据稳定而可观的收入，因此这一块一直也是宽带城域网运营商的重点关注领域。可是如何才能将宽带城域网的VPN业务运营好，满足最终客户的不同需求，实现客户满意与运营收益的双赢局面呢？首先，还是让我们一起来看看——

　　城域网客户VPN需求与现状 宽带城域网客户对VPN业务的需求归纳起来最终都是为了实现基于Internet的企业虚拟私有专网办公，考虑的因素主要在于16个字——“价格经济，覆盖广泛，安全可靠，维护便捷”。 当前，企业在城域网中常采用的各类主要VPN组网形式优劣点对比如下：

       【说明】：
　　★ 表示为某VPN实现手段（行）在某方面（列）的优势，星数越多，优势越大；
　　★ 表示为某VPN实现手段（行）在某方面（列）的不足与缺陷；

　　 （1） “DDN专线”是最悠久的VPN接入方式，其最大的优点在于物理（逻辑）隔离，安全性很高，技术复杂度不高，但是其不足之处也是十分明显的，即价格十分昂贵，覆盖和速率也受一定的影响；

        （2） “MPLS VPN”堪称未来互联网业务发展方向，其安全性和价格（综合考虑后）都还不错，但是当前情况下其覆盖程度无法保障（特别是端到端全程MPLS保障）；

　　（3） “Dark Internet VPN”是指在Internet上无特别安全保障的简单互连方式，这种情形下价格十分低廉，覆盖也很广泛，但是安全性成为致命问题，不是十分可取；

　　（4） “IPSec VPN”是指为了解决（3）的问题而为基于Internet的简单VPN引入了IPSec加密隧道。这样安全问题虽然解决了，但是随之而来的代价是维护变得极其复杂，实际使用过程中的维护工作往往令网管人员十分头痛；
纵观以上种种接入方式，有没有一种无论是价格、覆盖，还是安全性、技术复杂性等都有相对优势的解决方案呢？华为公司《宽带城域网评估与优化服务解决方案产品族》中特地结合城域网实际情况和特色，推出　— 宽带城域网VPN业务运营综合解决方案

 （1）城域网移动办公VPN解决方案

　　“城域网移动办公VPN运营解决方案”是电信运营商面向移动办公用户接入到企业内部网络提供运营服务的解决方案。满足企业员工在移动办公期间接入公司内部网络的需求。

         企业独立构造安全可靠的VPN系统，存在着技术力量薄弱，一次性投资巨大，安全防护手段不足等一系列问题。企业将该业务外包到电信运营商处，可大大降低企业的一次性投资与维护成本。电信运营商构造一套容量巨大，认证手段、计费手段、审计措施及管理等方面都完备的VPN平台，为企业提供VPN接入的端口批发业务势必能够满足且企业移动办公的需求。

　　【VPN接入流程】： 移动办公用户客户端上安装VPN拨号软件（如华为SecPoint），用户首先连入Internet（各种形式均可），然后通过SecPoint与VPN网关进行L2TP＋IPSec VPN的二次拨号连接（IPSec根据客户对安全性的关注决定是否选择），连接过程中还可以根据需要选择是否采用“静态密码”、“OTP令牌卡”或“手机短信申请一次性密码”等方式进行用户接入验证。用户接入VPN后直接获得企业私网IP地址，进入到企业内部网络。

　　【方案特点】： 移动办公用户通过Internet接入企业VPN，不受到接入手段及地理位置的任何限制，提供最大限度的灵活性。 多种容量可供选择，单个安全网关并发2000~10K 用户，400M~3000Mbps转发能力，实现多个L2TP用户安全隔离，与MPLS VPN网络无缝结合。 完善的加密体系，可选择采用IP Sec对网络通道进行安全加密保障传输的安全性。 完善的认证计费体系，可选择采用静态密码，手机短信申请一次性密码，OTP令牌卡等三中密码认证方式。 高可靠性，电信级接入服务，关键部件及网络采用高可靠性设计 低成本，只需端口租用成本无系统建设及维护的高额费用 可管理性强，提供Web方式企业管理终端做到自助式管理用户开户，查询，审计等可由企业管理员轻松完成。

（2）城域网连锁机构VPN解决方案

　　“城域网连锁机构VPN运营解决方案”是电信运营商面向办公地点固定的连锁机构企业用户提供的VPN接入解决方案。用户端帐户同主叫线路PVC/VLAN等绑定，适用于连锁机构点较多且均为固定地点的公司集团使用，由于这些连锁点（超市、连锁类远程办公点、移动联通电信网通的乡镇营业厅及代办点等）对于网络办公的需求不是常在线的（多为每日一两次固定连接），因此要求运营成本相对较低（不需要每个点额外增加网络设备）。这样开通VPDN账号时（可选择是否同时提供Internet上网功能），以包月资费形式绑定在各业务分支点上。

         【VPN接入流程】： 用户通过固定端口进行PPPOE拨号，直接到本地BAS上认证后由本地BAS作为LAC设备自动作L2TP呼叫，拨入到局端VPN接入服务器后上接入到企业内部网络。  

          【方案特点】： 接入成本低，只要可安装ADSL的地区都可以开通。 多种容量可供选择，单个安全网关并发2000~10K 用户，400M~3000Mbps转发能力，实现与MPLS VPN网络无缝结合。 安全可靠，通过 PVC/VLAN与帐户绑定接入，根据ADSL线路号或以太端口号识别用户，具有物理专线一致的安全性，终端用户可选择实现连入VPN时与Internet完全隔离避免Internet公网的不安全性因素影响。 一线两号，一网两用。用户可以同一根接入线路，两个不同的帐号（一个上Internet公网，一个只允许接入企业VPN）享受Internet或VPN的不同接入需求。 高可靠性，电信级接入服务，关键部件及网络采用高可靠性设计。 低成本，只需端口租用成本无系统建设及维护的高额费用。

（3）企业分支机构互联DVPN解决方案

　　企业分支机构互连DVPN解决方案主要面向中小企业提供GRE＋IP Sec VPN互连的动态DVPN解决方案。这类企业（如公安分局，银行支行，企业分部等分支机构）对于常在线办公有较高需求，因此需要要组建相对稳定的网络，需要购买一定的设备进行组网。但同时，在维护方面这些企业不希望付出相当高的IT人员薪水支出。如果电信运营商现有IP网络平台是一个电信级的、面向个人应用和企业专网应用的公共平台，所能够承载的业务类型也相当较多，这样的企业用户大多愿意选择选择电信级的VPN服务解决其自身维护的问题。

　　 传统做法中建立的GRE＋IP Sec隧道都是基于静态IP地址建立的静态连接，这样存在的问题有：

　　（1）静态IPSec VPN维护隧道数目过多的问题；
　　（2）每增加VPN节点导致增加隧道数目过多影响性能问题；
　　（3）核心VPN网关负荷性能问题。

　　而企业分支机构互连DVPN解决方案的特色就是：

　　（1）只有当用户分支机构需要进行数据传输时，才向DVPN服务器提出申请，这时DVPN服务器下发建立直接隧道所需的信息，之后建立连接；
　　（2）用户分支机构接入网关与对端建立DVPN隧道，用户数据流量经过自动临时搭建的直连DVPN隧道来转发，不增加DVPN服务器的流量负荷，有效地解决了运营商中心DVPN服务器负荷过重的问题；
　　（3）此时，DVPN服务器起到的是DVPN信令网关功能。

　　【VPN接入流程】： 传统的GRE VPN隧道连接到VPN网关（可同时选择是否使用IPSec加密）。

　　【方案特点】：
　　 * 接入成本低，企业分支只需要访问Internet即可。
　　 * 多种容量可供选择，单个安全网关并发2000~10K 用户，400M~3000Mbps转发能力。
　　 * 安全可靠，通过可靠IP Sec传输。
　　 * 高可靠性，电信级接入服务，关键部件及网络采用高可靠性设计。
　　 * 低成本，只需端口租用成本无系统建设及维护的高额费用。

【动态DVPN特色】
　　 1. 用户分支机构需要进行数据传输时，向DVPN服务器提出申请，DVPN服务器下发建立直接隧道所需的信息给各分支接入网关。
　　 2. 用户分支机构接入网关与对端建立DVPN隧道，用户数据流量经过自动临时搭建的直连DVPN隧道来转发，不增加DVPN服务器的流量负荷，有效地解决了运营商中心DVPN服务器负荷过重的问题。
　　 3. 此时，DVPN服务器起到的是DVPN信令网关功能。
　　 4. 同时，DVPN还可以支持VPN多实例，并且实现多VPN域之间的隔离问题。
　　 5. 根据客户需求，DVPN也可以实现不同VPN（甚至和其他不同形式VPN）之间互通的需求。