互聯(lián)網(wǎng)專線業(yè)務(wù)信安管理系統(tǒng)EU建設(shè)方案研究

劉春林，袁丹丹

（中通服咨詢設(shè)計研究院有限公司，南京 210017）

1 互聯(lián)網(wǎng)專線業(yè)務(wù)ISMS EU建設(shè)方案設(shè)計與比較

專線業(yè)務(wù)ISMS建設(shè)的技術(shù)標準、接口規(guī)范、測試方法均參考IDC/ISP ISMS系列標準錯誤！未找到引用源。錯誤！未找到引用源。，功能要求與IDC/ISP ISMS的功能一致，應(yīng)具有基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、信息安全管理、與SMMS之間接口和數(shù)據(jù)通信等功能。

對于互聯(lián)網(wǎng)專線監(jiān)控EU的建設(shè)方案，可采用新建或與IDC/ISP EU共用的方式，從后期維護與管理的角度考慮，互聯(lián)網(wǎng)專線監(jiān)控EU系統(tǒng)均采用新建的方式。監(jiān)控節(jié)點部署在城域網(wǎng)核心路由器CR 側(cè)或業(yè)務(wù)層MSE/SR 側(cè)較合理，投資較少且管理維護較易。以下將分別對各建設(shè)方案進行闡述，并從多個方面進行分析比較。

1.1 方案一：CR互聯(lián)鏈路分光

根據(jù)IP 地址區(qū)分互聯(lián)網(wǎng)專線用戶，在城域CR/MSE 通過策略路由方式將專線用戶流量在兩臺CR 新增專線互聯(lián)鏈路間穿越，ISMS部署在CR 互聯(lián)光纖鏈路上。同一臺MSE/SR 內(nèi)的家寬和互聯(lián)網(wǎng)專線流量，通過引流方式，將所有涉及到互聯(lián)網(wǎng)專線的上下行流量都引流至CR 設(shè)備進行繞轉(zhuǎn)；對于多臺CR的情況下，CR 設(shè)備將源/目的地址匹配專線用戶地址的流量引導(dǎo)到CR互聯(lián)鏈路；對于單一CR的情況下，CR 上聯(lián)接口配置策略路由，將目的地址匹配專線用戶地址的流量引導(dǎo)環(huán)回CR 互聯(lián)鏈路；通過分光將專線用戶流量分光至ISMS，實現(xiàn)管理。城域網(wǎng)內(nèi)專線引流如圖1所示。

圖1 城域網(wǎng)內(nèi)專線引流示意圖（方案一）

該方案可相對集中部署，并且不受CR 設(shè)備性能限制，各廠商設(shè)備均能夠支持本方案的部署。但是流量需環(huán)回繞行，故障點將會增加，通過對繞行鏈路進行trunk 捆綁，能夠有效避免單端口失效影響業(yè)務(wù)。此外，專線流量繞行將存在性能下降的風(fēng)險。

1.2 方案二：MSE/SR VPN引流

將需要管理的互聯(lián)網(wǎng)專線通過VPN匯聚到特定的MSE/SR（專線MSE/SR），ISMS部署在專線MSE/SR 和CR互聯(lián)鏈路上?；ヂ?lián)網(wǎng)專線通過VLAN 或QINQ 接入到互聯(lián)網(wǎng)專線VPN 中；專線流量匯聚到專線MSE/SR，通過專線MSE/SR 和CR 互聯(lián)光纖接入互聯(lián)網(wǎng)；ISMS串接在環(huán)回光纖上（串接模式）或者專線MSE/SR和CR互聯(lián)光纖上分光至ISMS（并接模式），實現(xiàn)管理。此方案可同時支持串接和并接管理模式。專線用戶出流量經(jīng)過VPN 到達專線MSE/SR；根據(jù)路由，專線流量將經(jīng)過專線MSE/SR 和CR 互聯(lián)光纖通過CR，按正常路由出骨干網(wǎng)；專線用戶入流量正常達到CR；專線用戶入流量從CR 根據(jù)路由進入專線MSE/SR；專線用戶流量根據(jù)VPN，返回專線用戶。城域網(wǎng)內(nèi)專線引流如圖2所示。

圖2 城域網(wǎng)內(nèi)專線引流示意圖（方案二）

此方案不受CR和MSE/SR設(shè)備性能限制，各廠商設(shè)備都能夠支持。但是，各城域網(wǎng)需部署1-2 臺MSE/SR作專線MSE/SR，同時，需要考慮CR和專線MSE/SR 的兩側(cè)端口和雙向鏈路投資，這將必然增加了專線MSE/SR的投資成本。并且，該方案配置復(fù)雜，對現(xiàn)網(wǎng)的改動較大。此外，專線流量的繞行將會導(dǎo)致性能的下降。

1.3 方案三：MSE/SR上行分光

根據(jù)IP 地址區(qū)分互聯(lián)網(wǎng)專線用戶，在城域CR/MSE 通過策略路由方式將專線用戶流量引導(dǎo)至MSE上行鏈路，ISMS部署在MSE/SR上行鏈路上。同一臺MSE/SR內(nèi)的家寬和互聯(lián)網(wǎng)專線流量，通過引流方式，將所有的涉及到互聯(lián)網(wǎng)專線的上下行流量都引流至MSE/SR設(shè)備上行；CR 設(shè)備將源/目的地址匹配專線用戶地址的流量引導(dǎo)到CR下行鏈路；CR下聯(lián)接口配置策略路由，將目的地址匹配專線用戶地址的流量引導(dǎo)環(huán)回CR下聯(lián)鏈路；通過分光將專線用戶流量分光至ISMS，實現(xiàn)管理。城域網(wǎng)內(nèi)專線引流如圖3所示。

該方案采用分散部署的方式，不受MSE/SR設(shè)備性能限制，各廠商設(shè)備均能夠支持本方案。但是流量需環(huán)回繞行，增加了MSE/SR上行鏈路入方向流量，并且，單節(jié)點EU 系統(tǒng)處理流量較小。此外，在BRAS/MSE/SR上行端口擴容時需同步擴容EU系統(tǒng)，這將導(dǎo)致EU系統(tǒng)需要頻繁調(diào)整。

1.4 方案四：MSE/SR端口鏡像

根據(jù)IP 地址區(qū)分符合管理條件的互聯(lián)網(wǎng)專線用戶，在城域網(wǎng)MSE/SR上將專線用戶流量鏡像至ISMS。管理系統(tǒng)旁掛在MSE/SR設(shè)備側(cè)；MSE/SR下聯(lián)接口配置特征流鏡像策略，將上下行流量中源/目地址匹配專線用戶地址的流量鏡像到MSE/SR與管理系統(tǒng)路由器的互聯(lián)接口。城域網(wǎng)內(nèi)專線引流如圖4所示。

圖3 城域網(wǎng)內(nèi)專線引流示意圖（方案三）

圖4 城域網(wǎng)內(nèi)專線引流示意圖（方案四）

該方案采用分散部署的方式，不受MSE/SR 設(shè)備性能限制，各廠商設(shè)備均支持本方案。采用下行端口鏡像需做鏡像的端口數(shù)量偏多，并且單節(jié)點EU系統(tǒng)處理流量較小。此外，在BRAS/MSE/SR下行端口擴容時需同步加入鏡像端口組，這將導(dǎo)致EU系統(tǒng)需要頻繁調(diào)整。

2 建設(shè)方案比較

對于以上四種互聯(lián)網(wǎng)專線業(yè)務(wù)ISMS EU建設(shè)方案的選擇，比較如下：

若將EU部署在城域網(wǎng)BRAS/MSE/SR側(cè)，如方案三和方案四，需要監(jiān)控大量的鏈路，部署大量EU節(jié)點，導(dǎo)致投資成本較高，資源利用率低下，管理維護困難，并且容易產(chǎn)生漏覆蓋，因此，這兩種方案不適用于工程投資較少的項目。

方案一和方案二是將EU部署在城域網(wǎng)CR處，由于方案二需要對現(xiàn)網(wǎng)所有專線進行VPN改造，對現(xiàn)網(wǎng)改動較大，不適用于較大較復(fù)雜的網(wǎng)絡(luò)規(guī)模。方案一需要對專線流量進行繞轉(zhuǎn)，因此不適用于網(wǎng)絡(luò)性能要求較高的應(yīng)用場景，并且該方案對CR端口數(shù)量要求較高，不適用于CR設(shè)備端口數(shù)量不足的應(yīng)用場景。

3 結(jié)束語

本文對現(xiàn)有IDC/ISP EU建設(shè)方案進行了研究與分析，考慮其缺陷所在，設(shè)計了四種互聯(lián)網(wǎng)專線業(yè)務(wù)ISMS EU建設(shè)方案，通過對這些方案的闡述與分析，可以看出這些方案在不同的方面均體現(xiàn)出相應(yīng)優(yōu)勢。因此，在ISMS EU建設(shè)前，需對現(xiàn)場情況進行細致的調(diào)研與分析，綜合考慮管局的要求及各項指標，選擇最為合理的建設(shè)方案。