XX运营商WAP网关项目

　　1、项目背景

　　自从XX运营商推出商用化GRPS网络后，基于GPRS的WAP类业务发展迅速，手机上网资费的不断下调，使得WAP业务快速增长，对WAP网关提出了更高容量的要求，为了充分利用现有网络资源和用户资源，提高数据网络的运行质量，贯彻服务与业务领先战略，谋求移动业务进一步增长，达到巩固老用户、吸引新用户、增加业务收入的目的，XX运营商拟对WAP网关系统进行扩容改造。

　　2、方案概述

　　本项目WAP网关系统主要向用户提供WAP浏览、WAP Push、MMS业务、通用下载业务、流媒体等业务。要求关键设备均无单点故障，该系统通过两台H3C S9512E交换机上连承载网，下连内部服务器区并通过GRE Tunnel与手机终端互联;S9512E使用vpn-instance隔离Untrust、Trust、WAP三种业务，使用高性能防火墙插卡实现三种业务的互访并使用严格的策略对数据流进行控制。

　　3、整体网络拓扑结构

　　图: 网络拓扑

　　4、S9512E单机拓扑结构及数据流分析

　　4.1 S9512E单机拓扑结构

　　图: S9512E单机拓扑

　　说明：拓扑中虚线方框代表一台S9512E主机，S9512E内配置1块SecBlade FW插卡。

　　4.2 数据流分析

　　流量1：WAP区域手机终端用户发起访问Internet的socket流量(手机浏览流媒体、QQ等);流量经过S9512E公网转发至防火墙插卡，经过防火墙插卡处理(将源地址转换为公网地址、安全策略匹配等)后转发到交换机的Untrust区域，由S9512E转发至Internet;要求来回路径一致。

　　流量2：WAP区域手机终端发起访问Trust区域服务器的流量;流量通过S9512E的公网转发至防火墙插卡，经过防火墙插卡处理后转发到交换机的Trust区域，要求来回路径一致。

　　流量3：Trust区域发起访问Internet的流量;流量通过S9512E的Trust区域转发至防火墙插卡，经过防火墙插卡处理(将源地址转换为公网地址、安全策略匹配等)后转发到交换机的Untrust区域，由S9512E从Untrust区域转发至Internet;要求来回路径一致。

　　5、双机热备部署说明

　　图: 双机热备拓扑

　　两套S9512E+防火墙插卡通过VRRP方式做为主、备备份;主交换机通过NQA实时探测网络连通性动态调整VRRP优先级，当网络不可达时，主、备设备倒换。

　　分别在两台S9512E Trust区域、WAP区域、Untrust区域连接外围设备的接口上配置VRRP;在主S9512E上，配置每个区域的VRRP与NQA配合实时探测下一跳路由的可达性和防火墙插卡的可达性，当其中有任意一处不可达时，降低主S9512E VRRP的优先级，发生主、备设备倒换。

　　6、方案特点

　　一、高性能：使用了交换容量高达3.84Tbps的S9512E交换机和业内处理性能最强的防火墙插卡，将网络安全防护提高到万兆安全新阶段。

　　二、高可靠性：两台S9512E分别为主备，主设备任意接口及下一跳发生故障时通过NQA第一时间检测并发生倒换动作，网络中断时间低于1秒。

　　三、高扩展性：S9512E的OAA开放式架构，实现了网络、安全的融合。

2016年01月