XX用户信息采集系统LNS项目

　　一、 项目概述

　　XX用户信息采集系统目前的工作方式是用户通过X运营商CDMA网无线终端拨号接入C网分组域后，C网分组域PDSN通过判断用户账号的后缀(域名)，发起到X运营商机房LNS的隧道连接，建立C网分组域PDSN到X运营商IP网LNS的L2TP隧道，实现终端到XX用户信息采集平台的访问及数据的上报。现有友商LNS性能不足，无法满足目前业务需求。X运营商在自有机房部署一台大容量、可扩容的新共享LNS(H3C S7608X)平台，替换现有LNS。此共享LNS可实现多用户同时使用。

　　二、 实施方案

　　1、 LNS拓扑结构

　　2、 LNS组网说明

　　(1) S7608X+4 块 SecBlade FW 插卡作为一个整体防火墙 VPN 接入设备。

　　(2)L2TP VPN 业务流量由 Untrust 区域到达 Trust 区域时，S7608X 通过 Untrust 区域配置等价32 位主机静态路由(目的地址为 LNS X.X.X.X/32;指向 4 块 SecBlade FW 插卡)实现L2TP VPN业务流量负载分担至4块SecBlade FW插卡 (每块SecBlade FW插卡都配置L2TP VPN，配置相应的 LoopBack0 接口，IP 地址为X.X.X.X/32 );

　　(3) 同一业务4 块 SecBlade FW插卡配置的 ip-pool 要求互不相同，没有重叠;在 S7608X Trust 区域配置静态路由指向各 SecBlade FW 插卡;L2TP VPN 访问 trust 区域的回程路由，根据各 SecBlade FW 插卡的 ip-pool 地址池来配置;由此保证流量来回路径一致。

　　3、 业务流量

　　(1)不同业务用户通过帐号带不同域名进行拨号 ，访问不同前置机。

　　(2)每个业务流量都通过等值路由均分于4块插卡防火墙。

　　(3)全局按照报文的源 IP 地址和目的 IP 地址进行负载分担，LAC与LNS交互时每次都选择同样的防火墙，保证在等值路由情况下防火墙会话和数据可以正常建立和传输。

　　(4)交换机上通过NQA对4台防火墙检测，任何一台防火墙出现故障，则防火墙静态路由将会失效，保证数据流量从其他防火墙转发。

　　(5)拨号成功后通过从地址池获得地址访问前置机。前置机回包根据不同FW地址池配置静态路由，确保返回防火墙。

　　4、 VPN实例规划

　　(1)由于不同业务地址池可能存在冲突，通过配置VPN实例进行隔离。

　　(2)每个业务划分一个VPN实例，如yewu1\yewu2。

　　(3)插卡防火墙每个业务VT域和Trust域绑定在一个实例中。 Untrust域不绑定VPN实例，用于外网L2TP拨号。

　　(4)交换机Untrust实例用于连接Internet与FW插卡Unturst域,其他每个业务一个VPN实例与防火墙对应。

　　三、 小结

　　项目实施完成后，通过性能测试及业务上线后得到了X运营商和用户的认可。解决了原有友商LNS性能不足，上线终端经常掉线等问题，大大提高了终端上线率，并且后期其他用户也可以同时使用此共享LNS。

2016年01月