陈瑜

摘要：网络优化改造主要目标为提升社保网的整体健壮性，确保网络运行的安全可靠。由于络优化涉及到机房传输网络扩容，如何保证设备到货及扩容是整个优化的难点。本文笔者通过项目实践，取得了一些经验体会，现加以总结分析以供同行参考。

关键词： MSTP； 无线VPDN技术； 网络组网

本次优化通过温州电信建设部门与厂家沟通协调Unviseral千兆机盘和千兆光模块及时从美国发货，在客户要求时限前到货，充分体现了中国电信的诚信。网络优化前支撑人员多次陪同客户经理上门与客户沟通网络优化细节问题，尽量通过充分的前期工作减少后期优化中可能遇到的问题，保证了项目的顺利进行。

一、项目背景

瑞安某局网络是瑞安某局连接全市各大医院、卫生院及药店的网络，该网络目前有35个分点，采用二层VPN技术网络技术组网。VPN网络部署方便、成本低、管理简单，但是二层VPN当发展到一定规模以后也带来一定的网络风险，由于瑞安**局网络仅采用简单的二层VPN连接，并未进行良好的网络隔离，导致任何单点网络故障都有可能导致网络风暴，进而影响其他节点，导致全网瘫痪。前几日的故障就是因为莘塍的两个卫生院不规范使用造成全网瘫痪。因此很有必要对社保网络进行优化，同时考虑一定的备份方式进而增强整体网络的健壮性。

二、项目需求分析

本次瑞安某局网络优化涉及35个网络节点，主要目标为改造网络架构，提升整体网络的健壮性，确保网络运行的安全可靠。由于现有节点介入方式各异，本次改造拟统一采用光纤方式接入，通过MSTP上联，各节点间互相隔离，独立通过透明传输通道跟中心点连接，从而保证整体网络的健壮性。

备份方案：利用电信3G的EVDO网络，通过无线拨号访问医保内网。

三、MSTP以及无线VPDN概念介绍

1 MSTP介绍

1.1产品介绍：基于SDH 的多业务传送平台（MSTP）是指基于SDH 平台，同时实现TDM、ATM、以太网、IP等业务的接入处理和传送并提供统一网管的多业务平台。基于SDH 的多业务传送节点功能模型如图1所示。

1.2MSTP主要技术特点：

1.2.1继承了SDH技术的诸多优点：如良好的网络保护倒换性能、对TDM业务较好的支持能力等；

1.2.2支持多种物理接口：由于MSTP设备负责业务的接入、汇聚和传输，所以MSTP必须支持多种物理接口，从而支持多种业务的接入和处理。常见的接口类型有：TDM接口（T1/E1、T3/E3）、SDH接口（OC-N/STM-M）、以太网接口（10/100BaseT、GE）、POS接口。 1.2.3支持多种协议：MSTP对多业务的支持要求其必须具有对多种协议的支持能力，通过对多种协议的支持来增强网络边缘的智能性；通过对不同业务的聚合、交换或路由来提供对不同类型传输流的分离。

2无线VPDN技术介绍

2.1产品定义：VPDN（Virtual Private Dial-Network，虚拟专有拨号网络）业务是指承载于IP 网基础上的基于拨号方式的虚拟专有网络业务。利用Internet

公网隧道加密技术，通过灵活的拨号上网方式，为企业分支机构间的通信、移动办

公、家庭办公提供高效便捷的联网服务。综合VPDN业务是浙江电信整合原有宽带VPDN 和无线VPDN业务，向用户提供宽带和CDMA接入方式的VPDN业务。

2.2业务的功能和特点：

2.2.1移动性和方便性：政企客户只需要中心节点通过互联网或者分组网上建立L2TP 隧道即可以建立VPDN 专网，政企客户内的用户可以在任何电信有线或无线网络覆盖的地方通过拨号方式进入到企业的内网。

2.2.2广域性和经济性：借助于电信的有线或无线网络，就可以在电信网络覆盖的范围内通过VPDN拨号进入企业内网，无需自建复杂的网络架构，有效的节省了昂贵的专线租用费用。

2.2.3私有性和安全性在采用先进的IP隧道加密技术作为传输保障的同时，浙江电信的综合VPDN业务，还具有以下特殊的功能来保证客户在业务使用中的私有性和安全性.

A、绑定功能：无线VPDN 可以支持手机IMSI（每个手机号码对应的交换机认证编码）和域名绑定或IMSI和账号绑定；固网VPDN可以支持账号和域名绑定；

B、限制外网功能：无论是无线VPDN 还是固网VPDN，均可以限制外网，严格保证内网与外网的安全隔离，进一步保证了客户内网的安全。

四、网络组网方案

1 MSTP组网

1 、网络拓扑如图2：

1）保持现有网络不变，初期先以新建电路方式开通MSTP电路，需要确认相关的局站是否需要扩容，若需要统计出来相关设备的机盘，所有新开MSTP电路汇聚至万松Universal的千兆光口上。

2）35个社保下属单位分别新装一套raisecom光纤收发器接入到就近的电信机房（清单见前）

3）整个网络架构在瑞安本级朗讯SDH传输网

4）考虑到汇聚千兆口的重要性，需要利用光路保护设备实现中心点电路的双路由保护。

2、MSTP电路方案说明：

初定各定点医院采用mstp电路连接，在万松电信大楼通过mstp设备进行一级汇聚，然后以每64个点一个千兆光口接入到OLP设备实现千兆备份，直接连接到社保中心机房核心路由器。初期可先在中心点电路开通后，就近在安阳安康大药房等小药店进行测试。测试成熟后再推广到其他药店，完成电路开通并使用正常后再拆除现有的VPN电路。该方案需要购买的设备包括：万松Unviseral需要1块千兆机盘和1块千兆光模块，OLP设备一套（万松-社保中心双路由光路4芯），相关局站Universal的以太口盘需要扩容， 55套点对点光纤收发器及光纤收发器相关的配件以及光路需要，同时与工程相关的网线、电源线等配件。

2 无线VPDN备份组网

根据需求，拟定采用电信LNS方式进行无线VPDN组网。

网络拓扑如图3：

1）上网卡通过CDMA /EVDO无线信号找到电信基站并注册连接（对UIM卡认证）；

2）启动PPP拨号向PDSN/LAC发出认证请求；

3）SN把请求转至C网AAA服务器进行认证（3A服务器可以控制用户外网权限， 同时实现对域名的认证）；

4）A服务器返回拨号用户所属的LNS地址和隧道属性等信息；

5）SN向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功；

6）S对用户名和密码进行二次认证，根据绑定IP地址信息，为用户分配内网IP。

7）建立完成，可进行对企业内网的访问

通过这种方式，用户拨号接入C网分组域后，C网分组域PDSN通过判断用户账号的后缀（域名），发起到电信IP网LNS的隧道连接，经VPDN平台Radius认证通过后，建立C网分组域PDSN到电信IP网LNS的L2TP隧道，分配IP地址，并与用户内网进行通信。本方式采用一个网点一个账号，可以实现账号与UIM卡的IMSI号绑定，这样即使他人得到了账号密码，非本IMSI号无法访问企业内网，安全性非常好。另外，一个网点一个账号，对运营商排除故障非常有利。

2、无线VPDN方案说明：

医保中心侧：需新建一条MPLS VPN电路，用户中心接入。

各无线接入点：申请电信上网卡业务，落实专人管理，如用于医保前置机，需安装上网卡驱动并配置（上网卡内自带），并对原网卡及配置信息进行修改；如用整个网络接入，则需要购置3G无线拨号路由器。

五、项目实施进度

根据多次类似项目的实施经验，我们提出了以下项目进度安排，将充分与瑞安社保局相关负责人进行工程进度的协商，严格遵照按照双方约定的工程进度。

进度说明：

资源确认：即将该工程项目所涉及的全市范围的传输资源，接入点所在地的管道、光纤，用户机房设备位置等具体情况进行摸底和确认，需要7个工作日。

材料准备：在资源确认完成后开始为该工程进行必要的设备、管道材料、光缆、铜缆、电源、机房接入等进行准备，需要14个工作日。

1、工程施工：即每条电路线路工程完工后进行网络集成、数据录入、调测等，在每个施工节点材料准备完成后，进行工程施工，为保证整个项目进度本周期与材料准备可并行展开，需要30个工作日。

2、电路调测开通：即工程完工后进行数据录入、调测等工作，在每个节点工程施工完毕后开始该阶段工作，为保证进度，可与工程施工部分周期重叠，需要21个工作日（包含无线网卡的安装调试）。

3、试运行竣工验收：即“交钥匙”，将完全符合技术要求和客户需求的业务移交给用户，在用户认可的情况下，签字交付，需要14个工作日。