隨著國內各大運營商重組，中國聯(lián)通的CDMA業(yè)務和中國電信合并、GSM業(yè)務和中國網(wǎng)通合并。原中國聯(lián)通下屬營業(yè)廳、特約代銷點等營業(yè)網(wǎng)點，陸續(xù)劃歸不同的運營商。面對這種重組情況，中國聯(lián)通河北分公司面臨著如下棘手的問題：

一、CDMA、CSM網(wǎng)絡分割之痛

原河北聯(lián)通下屬營業(yè)廳及授權營業(yè)廳、特約代辦點的營業(yè)終端設備有近10000臺，聯(lián)通CDMA、GSM業(yè)務運營商重組將使不同的營業(yè)廳、特約代銷點屬于不同運營商，甚至是同一辦公點的不同營業(yè)終端會分屬于不同的運營商。如何識別那些終端歸屬于哪個運營商？把原河北聯(lián)通的設備以資產(chǎn)概念進行分配運營：讓CDMA業(yè)務網(wǎng)設備接入中國電信、讓GSM業(yè)務網(wǎng)接入新聯(lián)通，并對接入用戶進行嚴格的身份綁定與認證？

除了識別終端并進行嚴格的訪問控制外，河北聯(lián)通網(wǎng)絡運營目前還存在以下問題：

1、河北聯(lián)通將VPN作為省公司的基礎網(wǎng)絡平臺，承載各類營業(yè)網(wǎng)點的基本工作，接入營業(yè)終端數(shù)量龐大，河北聯(lián)通需要一套高性能、高穩(wěn)定性的解決方案。

2、目前大量授權營業(yè)廳、特約代銷點接入終端不受控制，存在的隱患在于：如果接入終端攜帶有木馬病毒，那么極可能通過公網(wǎng)傳輸?shù)绞」緝染W(wǎng)。

3、接入VPN通道的電腦也能上網(wǎng)，這樣存在著黑客通過Internet線路控制接入電腦，進而對省公司內網(wǎng)造成威脅。

4、分散在全省的眾多聯(lián)通特約代銷點、授權營業(yè)廳網(wǎng)絡條件不一、使用者IT水平參差不齊，需要一種操作簡單、易于管理的安全接入方式。

5、 河北聯(lián)通VPN訪問的海量日志量存儲成為難題，且缺乏一種有效的VPN訪問跟蹤手段。

二、新聯(lián)通的VPN接入平臺構建要求

基于以上需求，河北聯(lián)通廣泛與VPN互聯(lián)方案提供商接觸，綜合各方意見，最終確定出以下解決方案原則：

1、 安全性原則

VPN網(wǎng)絡傳輸?shù)臄?shù)據(jù)均是組織機構的私密信息，必須考慮數(shù)據(jù)傳輸?shù)陌踩裕浑m然VPN網(wǎng)絡建構在開放的Internet平臺上，但必須保證無授權的用戶無法接入VPN網(wǎng)絡，即必須考慮用戶接入的安全性；我們還得考慮對VPN虛擬內網(wǎng)資源訪問權限管理。

2、 穩(wěn)定性、高性能原則

大型組織對SSL VPN平臺使用較為頻繁，對穩(wěn)定性要求也較高，河北聯(lián)通的規(guī)模、應用要求采用專業(yè)級的硬件VPN：采用高性能硬件架構、專用的VPN系統(tǒng)OS，要求具備高穩(wěn)定性；要求具備SSL VPN設備支持并發(fā)SSL VPN用戶達到10，000，密文吞吐處理能力不小于100Mbps。

3、高速性原則

由于VPN網(wǎng)絡承載的是組織機構的內部應用（如文件共享、拷貝等），習慣了局域網(wǎng)內10M/100M速度的用戶，對速度的要求也非常高，且河北聯(lián)通的業(yè)務應用系統(tǒng)也對VPN接入傳輸?shù)囊蠓浅８摺?/span>

4、 易管理性原則

因為河北聯(lián)通下屬營業(yè)廳、代銷點人員龐大且IT操作水平不一，這要求新的VPN必須具備友好的操作界面，且河北聯(lián)通要求對身份不一的人員進行身份綁定與唯一認證，這對SSL VPN設備的身份認證提出復雜的應用要求。

三、新聯(lián)通的VPN接入平臺構建

    根據(jù)上述原則，經(jīng)過多輪測試，河北聯(lián)通最終選擇了深信服最高端SSL VPN。

    如圖，在河北聯(lián)通中心機房部署兩臺深信服SSL VPN M5900-S-H，每臺設備分別內置10，000個SSL VPN并發(fā)授權，每臺設備均允許10000個終端同時在線。

采用主備模式，只需要配置主機，備機無需做任何配置。使用console線將兩臺M5900-S-H的console口連接起來。

安裝一臺日志服務器，并配置所有營業(yè)終端賬號信息（終端賬號配置支持批量導入，大大減少管理員工作量）。

四、新VPN接入平臺運作

經(jīng)過以上部署，河北聯(lián)通的新VPN平臺得以良好運作，實現(xiàn)了10，000人的并發(fā)接入訪問，一臺SSL VPN接入CDMA業(yè)務網(wǎng)應用系統(tǒng)，一臺SSL VPN接入到GSM網(wǎng)絡應用系統(tǒng)，實現(xiàn)了聯(lián)通重組的業(yè)務人員分配問題。

1、接入安全性

深信服SSL VPN通過綁定接入電腦的硬件特征碼，做到對接入的用戶進行唯一識別、權限分配、訪問控制，讓電信用戶只能進入CDMA網(wǎng)絡，新聯(lián)通用戶只能進入GSM網(wǎng)絡。同時通過對接入客戶端進行安全性檢查，徹底防范VPN接入用戶的安全隱患，而且用戶接入VPN通道后即不能通過其它出口上網(wǎng)，以防止公網(wǎng)威脅侵入VPN虛擬網(wǎng)。

2、VPN高效、穩(wěn)定運行

河北聯(lián)通部署的深信服SSL VPN密文吞吐處理能力達600Mbps，遠超過河北聯(lián)通要求的100 Mbps；支持同時在線用戶達15，000 ，遠超過聯(lián)通要求的10，000；且兩臺SSL VPN30%以上的性能冗余保證了設備在低負載情況下工作，大大降低了設備故障率。

3、 VPN訪問高速接入

經(jīng)測試，河北聯(lián)通發(fā)現(xiàn)用戶在VPN訪問情況下，很多應用甚至比直接連接還快。以下是深信服SSL VPN在兩端通過ADSL連接時，進行文件拷貝和SQL數(shù)據(jù)庫查詢時的性能比較：

數(shù)據(jù)庫查詢（SQL SERVER 2000，表中有記錄9000多條）－單位：秒

4、VPN的易用性訪問

部署了深信服SSLVPN后，河北聯(lián)通下屬的營業(yè)廳、代銷點員工無需安排任何客戶端軟件，也無需進行任何設置，即可登錄CDMA、GSM相應業(yè)務系統(tǒng)。登錄成功后，即可看到相應資源進行訪問。

5、簡單管理VPN平臺運行：

目前河北聯(lián)通在總部即可實時監(jiān)控、配置各終端的接入與當前狀態(tài)；通過配置獨立日志中心，新聯(lián)通實現(xiàn)了SSL VPN訪問的詳盡日志存儲與查詢。