網絡專線安全精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇網絡專線安全，期待它們能激發您的靈感。

篇1

關鍵詞：專線網絡　信息　安全保障系統　構建

專線網絡往往用來傳輸企、事業單位之間比較重要或機密性較高的數據信息，專線網絡相對于開放式的信道雖然能夠很好的提高用戶信息傳輸時的安全性，但由于其自身不可避免的缺陷和來自于網絡各方面威脅的不確定性，使得專線網絡的信息安全保障Ⅲ問題被日益重視。

1、專線網絡的普遍需求歸納

隨著各行業的信息化、網絡化發展，企業、事業單位信息量和信息傳輸需求的不斷增加，傳輸速度快、安全性高的專線網絡被越來越多的用戶所需要，并普遍應用于社會的各個方面，其中甚至包括政府部門，這就要求專線網絡首先要做到的就是安全性，要求信息在傳輸過程中的完整性，并不被竊取；能持續提供穩定的、不間斷的、大容量的傳輸服務，接入點的分布范圍廣能在全國范圍內便捷、快速的接入，并能隨著業務需求量的不斷增加同步的進行擴展。

2、專線網絡信息安全保障系統建立的必要性

專線網絡的安全涉及到用戶信息能否被有效地利用，數據信息的丟失危害性小的可能造成諸如企業或學校等單位的管理混亂，危害性大時甚至可能威脅到國家安全、一個企業的生存與否，所以構建一個有安全保障系統的專線網絡是非常有必要的，國家相關文件也指出“要注意專線網絡安全保障系統中最薄弱的地方，盡量充分地認識到各種潛在的威脅，根據信息的重要性、性等級，建立相應等級的安全措施和管理。”

專線網絡的信息安全保障系統的建設是一個整體，需要在充分進行了風險評估的基礎上，綜合地進行考量和建設，不但要在軟、硬件安全措施方面進行設置，還要相應的提高管理人員的危機意識，充分認識到信息安全的重要性，和一旦信息丟失所造成的嚴重后果，才能使得在安全設施方面的投入被充分的利用，并發揮應有的作用。

3、專線網絡信息安全面臨的問題

隨著專線網絡的安全問題被日益重視，各種安全保障技術也在不斷地提高，如防火墻技術、軟件加密和硬件設備加密等等，盡管些技術在一定程度上解決了專線網絡的一部分安全問題，但是專線網絡的安全保障方面仍存在著一定的問題：雖然現在大多數的專線網絡都采用了入侵檢測和病毒掃描技術，但是由于目前入侵檢測技術的發展程度尚不成熟，無法及時高效的對入侵者采取防范措施，所以沒有被廣泛的應用；在病毒掃描方面，存在著病毒數據庫更新不夠及時，掃描手段落后，對潛在的網絡病毒和木馬威脅的預知幾乎為零等問題。在有些企業內部的網絡中安裝有安全芯片，但是目前的安全芯片無法做到高度的智能化，對人為操作的要求相對較高，很難做到高度統一。

4、專線網絡信息安全系統構建的原則

4.1專線網絡信息安全系統構建的設計理念

由于各專線網絡的安全級別要求不同，所以每個專線網絡可以根據自己的安全等級翻需要，并根據自身企業或單位的資金等具體情況，來進行安全保障系統方面的建設。所選擇安全保障系統要有較好的智能性，便于使用中的操作和日常維護；另外，要在進行防御時改被動為主動，采用取“動靜結合”的安全手段。安全保障系統還要具有良好的性價比，最好為一次性的投資，減少日后的附加費用，并有良好的擴展性。

4.2專線網絡信息安全系統構建的設計原則

專線網絡采用的安全保障技術在設計時要遵循以下原則：首先要適合操作人員的能力，不要采用過于復雜的措施，人員操作水平達不到安全措施的要求時，就相當于削弱了安全保障性能；安全技術的設計也要根據系統的具體性能來選擇，過于繁復的運算，會大大降低系統的運行和響應速度；在風險評估的基礎上針對單位的具體情況，設計適合的專線網絡安全保障系統，設計的安全級別愈高，相應的投資數額就會愈多，要在考慮系統安全性的同時考慮用戶的投資承受能力。一個可靠的信息安全保障系統要有良好的整體性，綜合運用專業的措施和人為管理制度，如嚴謹的操作流程、日常維護制度等等。

5、專線網絡信息安全系統的具體構建

5.1構建完善的病毒防御系統

隨著網絡病毒的發展和變化，其多樣化的傳播方式、隱蔽化的感染方式，使得專線網絡一旦被病毒感染，很難被清除干凈。首先存在著人為因素，大多數的終端用戶對預防、清除病毒沒有重視，一旦某終端或局部網絡感染病毒，在缺乏管理的狀態下將會迅速傳播到整個專線網絡。一個較大的專線網絡中存在著眾多的終端用戶，很難做到統一升級病毒數據庫，并在同一時間內同時進行殺毒。而且現在的網絡病毒利用高科技的手段進行系統嵌入，一旦嵌入清除的可能性就很小。

針對上述問題，建議在專線網絡內部建立一個兩級的既能集中管理又能進行分級管理的網絡病毒防御、監控體系。二級系統內的服務器等網絡設備、所有終端都可以實現自我管理，并將二級系統內的病毒信息集中匯總后，報往上一級的管理系統。在專線網絡內部建立病毒防御管理區，分別針對內網、專網和外網(即互聯網)病毒防御服務器。

5.2構建系統漏洞掃描系統

專線網絡用戶往往會應用各種軟件，這其中包括安全保障方面的軟件或產品，這些產品在設計時和應用時都存在著漏洞，這些漏洞就會被病毒和木馬程序所利用，直接對專線網絡進行攻擊。應根據專線網絡的實際情況，盡量的通過漏洞掃描系統發現漏洞，并及時補救。目前即使是效果最好的入侵檢測系統，往往也存在著不能及時更新、經常檢測到一些沒有意義的所謂隱患，在數據流量較大時，還存在誤報和漏報，在黑客利用大量的偽造的數據包俺蓋其真正的目的攻擊意圖時，就可能造成系統的癱瘓。構建結合預防和主動還擊措施的漏洞檢測系統，在系統漏洞被黑客利用前，先利用已掌握的黑客軟件，攻擊自己的專線網絡，以檢測漏洞檢測系統對漏洞的檢測能力及對漏洞的定位是否準確；在受到攻擊時，采取主動還擊的方式，對攻擊來源進行攻擊，使其不再具備攻擊的能力。

5.3構建入侵檢測系統

專線網絡因其所傳輸的信息的機密性和重要性，所以必須建立起一套確實可選擇入侵檢測系統，實時監控可能發生的入侵行為，當有入侵行為時，能進行阻斷或弱化，并能生成詳細推檢測報告。由于黑客技術的不斷提高，在進行攻擊時往往把真正的攻周行為隱藏起來，先生成大量的虛假報警，造成入侵檢測系統的誤報，并不能對攻擊行為進行精準的描述。鑒于以上入侵檢測系統存在的問題，建議構建報警信息數據融合系統，由低層報警、中層報警、高層報警、入侵報告五個部分組成，如圖1：

5.4構建身份認證系統

篇2

[關鍵詞] 計算機網絡 系統安全 網絡權限 加密

一、影響計算機網絡安全的主要因素

1.網絡系統在穩定性和可擴充性方面存在

由于設計的系統不規范、不合理以及缺乏安全性考慮,因而使其受到影響。

2.網絡硬件的配置不協調

一是文件服務器。它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是工作站選配不當導致網絡不穩定。

3.缺乏安全策略

許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。

4.訪問控制配置的復雜性

容易導致配置錯誤,從而給他人以可乘之機。

5.管理制度不健全

網絡管理、維護沒有嚴格的規章制度。

二、確保計算機網絡安全的防范措施

1.網絡系統結構設計合理與否是網絡安全運行的關鍵

全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務。應在認真的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時要注意以下幾個問題:由于局域網采用的是以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅被兩個節點的網卡所接收,同時也被處在同一以太網上的任何一個節點的網卡所截取。

因此,只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息。為解除這個網絡系統固有的安全隱患,可采取以下措施:網絡分段技術的應用將從源頭上杜絕網絡的安全隱患問題。因為局域網采用以交換機為中心、以路由器為邊界的網絡傳輸格局,再加上基于中心交換機的訪問控制功能和三層交換功能,所以采取物理分段與邏輯分段兩種,來實現對局域網的安全控制,其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止非法偵聽,保證信息的安全暢通。

以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。

2.強化計算機管理是網絡系統安全的保證

(1)加強設施管理,確保計算機網絡系統實體安全

建立健全安全管理制度,防止非法用戶進入計算機控制室和各種非法行為的發生;注重在保護計算機系統、網絡服務器、打印機等外部設備和能信鏈路上狠下功夫,并不定期的對運行環境條件(溫度、濕度、清潔度、三防措施、供電接頭、傳輸設備)進行檢查、測試和維護;著力改善抑制和防止電磁泄漏的能力,確保計算機系統有一個良好的電磁兼容的工作環境。

(2)強化訪問控制,力促計算機網絡系統運行正常

訪問控制是網絡安全防范和保護的主要措施,它的任務是保證網絡資源不被非法用戶使用和非常訪問,是網絡安全最重要的核心策略之一。

①建立入網訪問功能模塊

入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。

用戶的入網訪問控制可分為3個過程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶帳號的檢查。在3個過程中如果其中一個不能成立,系統就視為非法用戶,則不能訪問該。網絡用戶的用戶名與口令進行驗證是防止非法訪問的第一道防線。網絡用戶注冊時首先輸入用戶名與口令,遠程服務器將驗證所輸入的用戶名是否合法,如果驗證合法,才能進一步驗證口令。否則,用戶將被拒之門外。

②建立網絡的權限控制模塊

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。可以根據訪問權限將用戶分為3種類型:特殊用戶(系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。

③建立屬性安全服務模塊

屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡屬性可以控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件的查看、執行、隱含、共享及系統屬性等,還可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

④建立網絡服務器安全設置模塊

網絡服務器的安全控制包括設置口令鎖定服務器控制臺;設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;安裝非法防問設備等。安裝非法防問裝置最有效的設施是安裝防火墻。它是一個用以阻止網絡中非法用戶訪問某個網絡的屏障,也是控制進、出兩個方向通信的門檻。的防火墻有3種類型:一是雙重宿主主機體系結構的防火墻;二是被屏蔽主機體系結構的防火墻;三是被屏蔽主機體系結構的防火墻。流行的軟件有:金山毒霸、KV3000+、瑞星、KILL等。

⑤建立檔案信息加密制度

保密性是機系統安全的一個重要方面,主要是利用密碼信息對加密數據進行處理,防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率,但在保密信息的收集、處理、使用、傳輸同時,也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。

⑥建立網絡智能型日志系統

日志系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中,日志將記錄自某用戶登錄時起,到其退出系統時止,這所執行的所有操作,包括登錄失敗操作,對數據庫的操作及系統功能的使用。日志所記錄的有執行某操作的用戶保執行操作的機器IP地址、操作類型、操作對象及操作執行時間等,以備日后審計核查之用。

⑦建立完善的備份及恢復機制

為了防止存儲設備的異常損壞,可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列,以RAID5的方式進行系統的實時熱備份。同時,建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務,確保在任何情況下使重要數據均能最大限度地得到恢復。

⑧建立安全管理機構

安全管理機構的健全與否,直接關系到一個計算機系統的安全。其管理機構由安全、審計、系統、軟硬件、通信、保安等有關人員組成。

參考文獻:

[1]陳愛民.計算機的安全與保密.科學出版社,2004.

[2]殷偉.計算機安全與病毒防治.安徽技術出版社,2005.

[3]王李偉.計算機網絡的安全意識.西安電子科技大學出版社,2006.

篇3

數據傳輸、語音溝通無礙

據中國移動貴州分公司工作人員介紹：“集團專線”是指中國移動通信基于自身強大的CMNET數據網，利用自己的接入網和傳輸網絡資源，采用固線方式（XDSL、光纖寬帶網、LMDS、3.5G微波傳輸、2.4G無線局域網等）為集團用戶提供專線接入，從而實現集團客戶專享各種高質量高安全性的數據傳輸服務。通過中國移動強大的CMNET數據網絡，采用專線的方式為集團客戶提供多種帶寬的國際互聯網接入業務，并可提供靜態IP地址，既可實現集團內部員工高速上網，又方便集團客戶利用INTERNET直接開展網上業務，進行電子商務活動。

目前，中國移動貴州分公司推出的專線服務內容包括“語音通信需求”、“數據通信需求”、“互聯網需求”三大部分，為企業提供傳送語音、數據、視頻等業務的專門服務，適用于速率高、信息量大、實時性強的數據傳輸應用，并且保證信息安全、速度快捷，從而滿足企業運轉過程中的各項需要，特別是有效解決了跨區域企業在業務對接、客戶維系等各方面的工作問題。專線業務不僅可與企業信息機，GPRS企業接入等多種產品組合成整體解決方案，也是未來移動信息化應用的載體。

優質網絡成就出色工作

中國移動貴州分公司的集團專線全程管道光纖接入，采用業界成熟的SDH網絡，并引入領先的智能化IP―VPN光交換網絡、大容量DWDM城域網，確保網絡質量安全穩定。另外，專線有豐富的帶寬支持，可根據用戶的實際需求，提供各類帶寬的信息化業務，如2M、10M、100M、155M、最大可以達到2.5G帶寬的信息化業務。高質量的網絡、先進的技術支撐、多樣的個性化選擇，使得中國移動貴州分公司集團專線在金融、電力、貿易、商業、政府、科技、教育等眾多領域都有廣泛的應用， 廣受企業歡迎。

某企業信息中心負責人表示：選擇中國移動貴州分公司集團專線，一方面是因為看中它強大的網絡資源；另一方面則是因為服務好，能夠針對不同企業的實際需求，提供個性化的解決方案。“在實際使用過程中，也感受到了集團專線的確方便快捷，甚至幫我們節省了不少成本。”負責人說。

篇4

[關鍵詞]集團客戶；專線接入組網；安全性分析

中圖分類號：TN915.6 文獻標識碼：A 文章編號：1009-914X（2014）01-0312-01

引言

經濟的告訴發展推動了當代技術的革新、進步，面對機器更新換代愈來愈快的步伐，集團客戶顯著提高了專線接入組網的要求，電信運營商也根據集團的這種需求制定出針對不同性質集團的組網接入策略，但就目前來看，雖然制定出一系列相關策略有效解決了客戶對專線接入網絡的需求，但其日后日益流露出的網絡質量問題以及網絡維護等問題日趨嚴重，這一系列問題的出現，一定程度上導致了客戶的不滿意度的提高，對企業信譽造成一定的沖擊和十分不利的影響。本文從集團客戶現狀入手，有效分析客戶市場的巨大潛力，希望以此引起電信經營商的重視，并為其集團客戶專線接入組網提供有效性分析，為其出謀劃策，完善入網接入方式的不足之處，增強網絡集團客戶專線接入組網的安全性。

一、 集團客戶現狀分析

網絡在人們的日常生活中具有越來越重要的作用，它成為人們日常活動不可或缺的必備工具，網絡對于普通百姓的重要性都如此顯而易見，那它對于我國企業集團來說，更是如此。經濟的發展、科技的進步，企業的日常辦公越來越需要借助多媒體的幫助加以完成，而企業公務的繁忙，以及對作業效率、質量的嚴格要求足，進一步需要借助穩定的網絡環境保駕護航，這一定程度上說，客戶提高了網絡質量的要求，電信運行商的挑戰可謂說是遭遇更加嚴峻和殘酷的挑戰。

一般來講，集團客戶主要包括政府工作部門以及企業事業單位兩方面，毫無疑問，很容易看出政府工作部門以及企業事業范圍在社會上巨大的影響力和一定的社會地位，作為具有廣泛影響力的集團客戶，他們的健康發展不僅具有遠大前景，而且可以有效拉動個人業務的辦理，顯而易見，客戶對于網絡公司具有至關重要的作用，客戶是他們的主要市場，在激烈的市場競爭中，說擁有更多的客戶資源，就占得了市場先機，會更公司的發展具有極大的促進作用，顯然這對于網絡公司的發展是極為重要的。

二、 專線接入組網設計原則論述

一方面，專線接入網絡作為一種特定區域的網絡共享模式，網絡公司在根據公司特點制定不同的網絡接入模式的同時，需要周全考慮各方面的因素，力圖以詳盡完備的解決方案達到滿足客戶需求以及本公司利益的雙重化標準。以下，筆者簡要分析專線接入組網涉及的一系列原則性問題，希望眾多網絡公司本著對客戶負責的心態，規范操作流程，更好的促進我國網絡運營公司的發展，更好的為我國企業集團創造良好的上網環境。

另一方面，企業遵循一定的專線接入組網設計原則可以有效為企業提供強有力的后期服務，一旦出現網絡不穩定等情況，及時出臺應變措施，盡快解決各種網絡問題帶給企業發展的不利影響。

（一） 合理性原則

網絡公司對于入網接入方式的選擇需要立足于具體的公司實際情況，可按照公司的重要性予以排序，對于重要程度極高的企業集團要竭力為其提供最穩定的、安全的網絡環境，當然這種高標準的服務需要極多的物力、財力的投入，這對于影響力巨大的企業集團而言，自然有承擔該種消費的能力，這也為企業集團按時付清網絡公司賬單解決了后顧之憂。網絡公司要根據企業的實際情況出臺一系列針對性不同的接入專線方案，力求提供在各公司承受范圍之內的最優質的服務。

（二） 專業性原則

所謂專業性既要保證網絡公司在各環節中保障各個流程環節的專業技術規范性，多方面綜合考慮影響網絡安全的因素，諸如網絡傳輸設備、路由設備等方面，以最專業的素質為廣大用戶提供更加優質的服務。

（三） 可升級性原則

所有的專線接入網技術要及時更新，保持接入網絡技術要與高速發展的經濟同步，避免高速發展的經濟對此網絡連接技術的淘汰，這不僅可以有效避免公司極度虧損，又可以順應經濟高速發展日益增高的需求，進而更好的增強網絡公司的綜合實力，在競爭中贏得主動性。

三、 集團客戶對接入組網的要求

集團客戶的要求對于網絡公司的內部改革具有重要作用，只有有效明晰客戶的基本需求，并針對其要求進行合理分析判斷，在客戶需求的基礎上，有針對性的加以完善和改進，無論對于客戶是網絡公司的發展都具有極大的作用。

（一） 穩定性

為保障企業公司的正常運轉，無可避免的需要借助網絡的應用，而穩定的網絡則對企業的日常經濟活動具有極其重要的影響，因此，網絡的穩定性是集團客戶對網絡公司的基本要求。

（二） 可靠度

可靠度指的是公司對于企業網絡出現的不可預知的意外可以及時予以回應，并以最快的速度加以對該問題的解決，這不僅可以有效提升企業集團對網絡公司的信任度，更能增強其好感，進而促進企業集團同網絡公司的雙向合作，實現共贏。

結語

伴隨著經濟的發展，科技的進步，集團客戶專線接入組網的要求也進一步提高，企業為應對這空前的挑戰，首先必須在心理上加以重視，然后針對企業發展的實際情況，有效合理的制定出相應的解決策略，力求合作雙方的深入溝通交流，彼此得利。

參考文獻

[1] 梁迎春，吳海濤，陳英俊.大客戶專線接入組網方案的設計與分析[J].肇慶學院學報2010 年9 月第31 卷第5 期

篇5

關鍵詞：GPRS；VPN；原理；組成

GPRS（General Packet Radio Service）通用無線分組業務，是一種基于GSM系統的無線分組交換技術，提供端到端的、廣域的無線IP連接。通俗地講，GPRS是一項高速數據處理的技術，以"分組數據包"的形式傳送資料至用戶的手機或網絡終端上。

VPN（Virtual Private Network）虛擬專用網絡，是指通過一個公用網絡（通常是Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。傳統的VPN接入方式是在臺式計算機上設置專用的IP地址，通過專用的賬號接入Internet的方式來實現。

一、GPRS VPN專線網絡組成

GPRS核心網主要包括SGSN和GGSN等設備，SGSN為用戶提供服務，與MSC/VLR/EIR配合完成移動性、邏輯鏈路、無線資源等的管理功能；GGSN是網關或路由器，它提供GPRS和公共分組數據網以X.25或X.75協議互聯，也支持GPRS和其它GPRS的互聯；GGSN和SGSN一起配合完成GPRS的路由功能。另外還包括計費CG服務器，DNS解析設備，OMC網管設備，核心組網交換機/服務器和出口防火墻等。現網GPRS核心網組網拓撲簡圖如下：

目前，移動公司建設的GPRS VPN專線系統主要包含用戶核心、VPN專線接入、GPRS核心網、無線接入和用戶終端等幾部分。用戶核心是VPN用戶的業務核心服務器設備，用于處理和存儲用戶的各種業務內容、信息的數據；VPN專線接入是系統的核心部分，負責將用戶側設備接入GPRS核心網，實現用戶的GPRS VPN專線的接入；GPRS核心網和無線接入是無線通信網絡的核心部分和接入部分，負責核心數據交換處理和用戶終端接入；用戶終端是指移動用戶的手機或筆記本電腦等設備。組網拓撲簡圖如下：

GPRS VPN專線的實現方式是先由GPRS核心網分配給用戶接入點名稱APN，然后通過DNS解析APN對應的用戶接入端GGSN，GGSN會根據APN建立到用戶核心側的VPN隧道。用戶數據首先在GPRS網內通過GTP（GPRS隧道協議）傳輸，最后在用戶接入端GGSN和用戶核心側之間通過GRE隧道協議或L2TP隧道協議進行傳輸。

二、GPRS VPN專線系統接入設備及組網要求

GPRS VPN專線系統接入設備主要包括用戶側接入路由器/交換機、VPN接入路由器/交換機、VPN接入防火墻等設備。

用戶側接入設備是為用戶提供至VPN專線系統的輸出接口，一般采用三層網絡交換機或路由器。由于現網至用戶側的專線主要為E1和FE的形式，該設備必須支持E1口和FE電口；另外該設備還需支持L2TP、GRE等VPN功能，支持各類標準網絡協議，MPLS L3 VPN/VPLS等多種技術。

VPN接入設備是為用戶側接入設備提供VPN專線系統的輸入接口，并將多個用戶的接入端口進行匯聚，一般采三層網絡交換機或路由器。現網至用戶側的專線主要為E1和FE的形式，該設備必須支持E1口和FE電口，另該設備還需支持GE電/光口，作為匯聚后的輸出端口。另外該設備還需支持L2TP、GRE等VPN功能，全面支持各類網絡協議、MPLS L2/L3 VPN/VPLS等多種技術，支持大容量VPN隧道及并發會話數量等多種功能。

VPN接入防火墻是將VPN接入設備匯聚后的輸出端口接入GPRS核心網的設備，采用主流防火墻設備。其必須支持FE/GE電/光口的接入形式，支持多種網絡協議，支持多種IP VPN接入方式，支持多種加密算法等。

用戶接入設備至VPN接入設置間傳輸網絡配置根據用戶的實際業務需求進行安排，對于網頁瀏覽類型等業務，采用E1電路可滿足用戶需求；而對于需要進行網絡下載、網絡監控、網絡視頻等實時性要求較高的業務，采用FE/GE電路才能滿足用戶需求。

VPN接入路由器/交換機和VPN接入防火墻設備均按照主、備用設置，兩臺設備通過GE電/光口互聯，處于相互熱備份狀態，可隨時相互倒換。用戶側接入設備至VPN接入設備間的電路也按照主、備用設置。

三、GPRS VPN專線系統安全組成

GPRS VPN專線系統安全保障包括以下幾個方面：

設備組網

VPN接入路由器/交換機和VPN接入防火墻設備均按照主、備用設置，兩臺設備通過GE電/光口互聯，處于相互熱備份狀態，可隨時相互倒換，以保證核心系統的安全運行。

網絡接入層的安全性保障

在GPRS核心網中，APN是用來實現用戶IP報文路由至相應GGSN及外部網絡的必不可少的標識。SGSN根據APN，向特定DNS服務器查詢該APN對應的GGSN IP地址，以確定用戶應接入的GGSN；GGSN再根據相應APN，將用戶的業務流送到不同的業務域，而不同的業務域則對應了不同的業務承載組網方式、用戶標識獲取方式、計費模式等。

GPRS VPN專線接入在網絡層采用“APN+用戶名+密碼”的三重鑒權模式。由移動公司在GPRS核心網側為VPN專線用戶建立指定的APN，該APN需要RADIUS（遠端授權者撥入用戶系統）的認證，只允許指定的SIM卡才可以通過該系統接入網絡。對此，移動公司需要在核心網HLR側為手機號和APN做綁定，只有用戶指定的手機號才能通過GPRS VPN專線系統訪問用戶的APN，其他用戶的手機號無法通過RADIUS的認證，不能接入用戶的APN和用戶內網。另外當用戶接入內網后，用戶側還可以通過用戶名、密碼等身份確認的方式，才可最終接入內網業務系統。

隨著3G網絡的推廣，無線傳輸速率提升了數倍，VPN專線用戶也會逐漸需要開通網絡視頻、高質量語音等大流量的業務。移動公司至用戶側的專線會逐步升級為FE/GE通道，隨著VPN專線網絡的逐漸擴大，可采用建設MPLS VPN的接入方式。

另外，對于用戶指定要求較高安全性的特殊業務類型，可考慮單獨為具

體業務配置專用的IPSec VPN，如可以為銀行、政府的專用信息等配置專用的專線資源，而對于安全性要求較低、流量較大的業務，可采用MPLS VPN接入方式，這樣既可提升資源利于率，也達到了用戶的安全要求。

四、GPRS 核心網系統的補充說明

現網中，GPRS核心網經過多年的建設和擴容，設備往往分布在多個設備機房中，SGSN與GGSN的業務接入按照地區進行劃分。

GPRS VPN專線系統由于規模不大，一般只設置在單個機房內，就近接入GPRS核心網，與就近機房的GGSN和SGSN直接相連，與非就近機房的GGSN和SGSN設備則通過CMNET網絡進行轉接后相連。由于CMNET網絡為開放式公用網絡，安全性不高，并且數據傳送需要經過防火墻、CMNET路由器等更多的設備進行轉發，造成一定的時延。對此，建議將不同GPRS核心網機房的GGSN與SGSN通過傳輸專線進行連接，以提高GPRS核心網和VPN專線系統的安全性，并且可以減少路由轉發，為用戶提供更流暢的服務。

另隨著VPN專線用戶的逐漸增多，可考慮在GPRS核心網中為VPN專線用戶設置專用的GGSN，針對VPN專線用戶進行路由、接入PDN，計費等數據進行優化和配置，可提升VPN專線系統的服務質量，并減少對GPRS核心網系統的GGSN占用，還可以為VPN用戶設置定制服務，多方面滿足用戶需求，可作為集團類用戶的新業務開發點。■

參考文獻

[1] 朱江、李方偉、余艷英.基于GPRS網的VPN [J].電信快報, 2003 .8