XX运营商WEB网关项目 实施心得

　　一、项目概述

　　1、项目背景：

　　随着移动终端存储和处理能力的不断增强以及3G网络的快速发展，各种从互联网上移植过来的业务，正在通过手机得到日益广泛的应用和普及; 目前中国3G手机用户快速增长，为更好的满足3G用户对移动互联网业务的需求，引入本次“WEB网关”扩容工程，WEB网关主要实现终端适配、网络加速、访问控制、协议网关等功能，为手机用户提供更好的移动互联网业务体验。

　　2、组网拓扑：

　　两台S9512E通过VRRP技术实现网络的冗余。每台S9512E交换机配置4块防火墙插卡，2块防火墙插卡用做逻辑入口防火墙，两块防火墙插卡用作逻辑出口防火墙。S9512E与思科N7K以及WEBservers区SW互联都为两个万兆端口。一个万兆端口用作网络业务流量的入，另一个用作网络业务流量的出，GGSN的GRE隧道在S9512E上终结。

　　根据业务需求将S9512E对应接口划分在六个VPN实例区域(IC1-GGSN区域、IC2-IPBM区域、FWIN-int区域、IC3-IPBS区域、IC4-INET、FWOUT-int)，各个区域的业务流量根据各自的静态路由经过SecBlade FW插卡处理后进行转发。通过等价静态路由实现网络业务流量在防火墙板卡的负载分担。各区域的作用如下：

　　1、IC1-GGSN区域：手机用户区域

　　2、IC2-IPBM区域：运维管理员在IP承载网上可通过该区域对WEB网关设备进行管理。

　　3、FWIN-int区域：去往WEBservers的流量经过该区域转发。

　　4、IC3-IPBS区域：该区域对应运营商的一些自营业务，如彩信等。

　　5、IC4-INET区域：该区域对应Internet业务。

　　6、FWOUT-int区域：经过WEBservers处理的流量经过该区域转发至出防火墙。

　　二、项目实施心得：

　　通过该WEB网关项目的实施，让我对WEB网关项目有了深入的了解。现对WEB网关实施进行总结，和大家一起分享：

　　首先，在WEB网关项目实施中，弄清楚各种手机业务流量走向很重要，只要把各种手机业务流量走向弄清了，WEB项目实施就成功了一半。我们可以事先画出流量走向图，这样各类流量的走向就一目了然了。

　　其次，在WEB网关项目中，路由的配置也是非常重要的，在交换机上建立VPN实例，维系多张虚拟路由表，然后通过防火墙板卡的配合，可实现数据包在各VPN实例中的相互转发，可以灵活的实现各业务的区分。路由的配置比较多，而且容易弄错，借助流量走向图，配置路由进就很明确了。所以说弄清楚了流量走向，WEB项目实施就成功了一半。

　　然后，在WEB网关项目中，策略路由的配置也是很关键的一点，通过策略路由的配置，可以对业务流量进行进一点的细分，更灵活的控制业务流量的走向，将业务流量重定向到指定的设备上进行处理。而策略路由的配置，还是得基于业务流量走向，由此可以看出，弄清楚业务流量走向真的很重要。

　　总而言之，在WEB网关项目实施时，大家在业务流量走向上要细心，多分析分析，把它弄清楚了，WEB网关项目实施就有了基础保障。

2016年01月