隨著國內各大運營商重組，中國聯通的CDMA業務和中國電信合并、GSM業務和中國網通合并。原中國聯通下屬營業廳、特約代銷點等營業網點，陸續劃歸不同的運營商。面對這種重組情況，中國聯通河北分公司面臨著如下棘手的問題：

一、CDMA、CSM網絡分割之痛

原河北聯通下屬營業廳及授權營業廳、特約代辦點的營業終端設備有近10000臺，聯通CDMA、GSM業務運營商重組將使不同的營業廳、特約代銷點屬于不同運營商，甚至是同一辦公點的不同營業終端會分屬于不同的運營商。如何識別那些終端歸屬于哪個運營商？把原河北聯通的設備以資產概念進行分配運營：讓CDMA業務網設備接入中國電信、讓GSM業務網接入新聯通，并對接入用戶進行嚴格的身份綁定與認證？

除了識別終端并進行嚴格的訪問控制外，河北聯通網絡運營目前還存在以下問題：

1、河北聯通將VPN作為省公司的基礎網絡平臺，承載各類營業網點的基本工作，接入營業終端數量龐大，河北聯通需要一套高性能、高穩定性的解決方案。

2、目前大量授權營業廳、特約代銷點接入終端不受控制，存在的隱患在于：如果接入終端攜帶有木馬病毒，那么極可能通過公網傳輸到省公司內網。

3、接入VPN通道的電腦也能上網，這樣存在著黑客通過Internet線路控制接入電腦，進而對省公司內網造成威脅。

4、分散在全省的眾多聯通特約代銷點、授權營業廳網絡條件不一、使用者IT水平參差不齊，需要一種操作簡單、易于管理的安全接入方式。

5、 河北聯通VPN訪問的海量日志量存儲成為難題，且缺乏一種有效的VPN訪問跟蹤手段。

二、新聯通的VPN接入平臺構建要求

基于以上需求，河北聯通廣泛與VPN互聯方案提供商接觸，綜合各方意見，最終確定出以下解決方案原則：

1、 安全性原則

VPN網絡傳輸的數據均是組織機構的私密信息，必須考慮數據傳輸的安全性；雖然VPN網絡建構在開放的Internet平臺上，但必須保證無授權的用戶無法接入VPN網絡，即必須考慮用戶接入的安全性；我們還得考慮對VPN虛擬內網資源訪問權限管理。

2、 穩定性、高性能原則

大型組織對SSL VPN平臺使用較為頻繁，對穩定性要求也較高，河北聯通的規模、應用要求采用專業級的硬件VPN：采用高性能硬件架構、專用的VPN系統OS，要求具備高穩定性；要求具備SSL VPN設備支持并發SSL VPN用戶達到10，000，密文吞吐處理能力不小于100Mbps。

3、高速性原則

由于VPN網絡承載的是組織機構的內部應用（如文件共享、拷貝等），習慣了局域網內10M/100M速度的用戶，對速度的要求也非常高，且河北聯通的業務應用系統也對VPN接入傳輸的要求非常高。

4、 易管理性原則

因為河北聯通下屬營業廳、代銷點人員龐大且IT操作水平不一，這要求新的VPN必須具備友好的操作界面，且河北聯通要求對身份不一的人員進行身份綁定與唯一認證，這對SSL VPN設備的身份認證提出復雜的應用要求。

三、新聯通的VPN接入平臺構建

    根據上述原則，經過多輪測試，河北聯通最終選擇了深信服最高端SSL VPN。

    如圖，在河北聯通中心機房部署兩臺深信服SSL VPN M5900-S-H，每臺設備分別內置10，000個SSL VPN并發授權，每臺設備均允許10000個終端同時在線。

采用主備模式，只需要配置主機，備機無需做任何配置。使用console線將兩臺M5900-S-H的console口連接起來。

安裝一臺日志服務器，并配置所有營業終端賬號信息（終端賬號配置支持批量導入，大大減少管理員工作量）。

四、新VPN接入平臺運作

經過以上部署，河北聯通的新VPN平臺得以良好運作，實現了10，000人的并發接入訪問，一臺SSL VPN接入CDMA業務網應用系統，一臺SSL VPN接入到GSM網絡應用系統，實現了聯通重組的業務人員分配問題。

1、接入安全性

深信服SSL VPN通過綁定接入電腦的硬件特征碼，做到對接入的用戶進行唯一識別、權限分配、訪問控制，讓電信用戶只能進入CDMA網絡，新聯通用戶只能進入GSM網絡。同時通過對接入客戶端進行安全性檢查，徹底防范VPN接入用戶的安全隱患，而且用戶接入VPN通道后即不能通過其它出口上網，以防止公網威脅侵入VPN虛擬網。

2、VPN高效、穩定運行

河北聯通部署的深信服SSL VPN密文吞吐處理能力達600Mbps，遠超過河北聯通要求的100 Mbps；支持同時在線用戶達15，000 ，遠超過聯通要求的10，000；且兩臺SSL VPN30%以上的性能冗余保證了設備在低負載情況下工作，大大降低了設備故障率。

3、 VPN訪問高速接入

經測試，河北聯通發現用戶在VPN訪問情況下，很多應用甚至比直接連接還快。以下是深信服SSL VPN在兩端通過ADSL連接時，進行文件拷貝和SQL數據庫查詢時的性能比較：

數據庫查詢（SQL SERVER 2000，表中有記錄9000多條）－單位：秒

4、VPN的易用性訪問

部署了深信服SSLVPN后，河北聯通下屬的營業廳、代銷點員工無需安排任何客戶端軟件，也無需進行任何設置，即可登錄CDMA、GSM相應業務系統。登錄成功后，即可看到相應資源進行訪問。

5、簡單管理VPN平臺運行：

目前河北聯通在總部即可實時監控、配置各終端的接入與當前狀態；通過配置獨立日志中心，新聯通實現了SSL VPN訪問的詳盡日志存儲與查詢。