IS007-移動(dòng)公司BOSS系統(tǒng)解決方案20070508培訓(xùn)資料

1、Good is good, but better carries it.精益求精，善益求善。IS007-移動(dòng)公司BOSS系統(tǒng)解決方案20070508-移動(dòng)公司BOSS系統(tǒng)應(yīng)用優(yōu)化、安全接入解決方案ArrayTMX、SPX推動(dòng)BOSS系統(tǒng)演進(jìn)移動(dòng)BOSS系統(tǒng)應(yīng)用介紹：隨著我國(guó)電信市場(chǎng)競(jìng)爭(zhēng)格局的形成，競(jìng)爭(zhēng)的焦點(diǎn)從資源競(jìng)爭(zhēng)逐漸轉(zhuǎn)向了以加強(qiáng)IT技術(shù)建設(shè)為標(biāo)志的質(zhì)量競(jìng)爭(zhēng)，市場(chǎng)和業(yè)務(wù)的競(jìng)爭(zhēng)成為運(yùn)營(yíng)商成敗的關(guān)鍵。BOSS系統(tǒng)由于能全面提升企業(yè)運(yùn)營(yíng)效率、降低成本、增強(qiáng)企業(yè)核心競(jìng)爭(zhēng)力及管理決策的科學(xué)性、及時(shí)性等，使得電信運(yùn)營(yíng)商紛紛構(gòu)建自身的運(yùn)營(yíng)支撐體系，以期在市場(chǎng)競(jìng)爭(zhēng)中取得優(yōu)勢(shì)。BOSS是業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)（Bu

2、sinessOperationsSupportSystem）的簡(jiǎn)稱，它涵蓋了以往的計(jì)費(fèi)、結(jié)算、營(yíng)業(yè)、賬務(wù)和客戶服務(wù)等系統(tǒng)的功能，對(duì)各種業(yè)務(wù)功能進(jìn)行集中、統(tǒng)一的規(guī)劃和整合，是一體化的、信息資源充分共享的支撐系統(tǒng)。移動(dòng)BOSS系統(tǒng)一般采用“兩級(jí)三層”的結(jié)構(gòu)，“兩級(jí)”指的是：集團(tuán)公司建成一級(jí)業(yè)務(wù)中心，負(fù)責(zé)總部一級(jí)的業(yè)務(wù)支撐；省公司負(fù)責(zé)建設(shè)全省集中的BOSS系統(tǒng)，全面接管該省的計(jì)費(fèi)、結(jié)算、營(yíng)業(yè)、賬務(wù)和客戶服務(wù)等原有系統(tǒng)的功能；地市一級(jí)只作為系統(tǒng)的接入，不再存放數(shù)據(jù)和提供業(yè)務(wù)應(yīng)用?！叭龑印敝傅氖牵合到y(tǒng)由集中的數(shù)據(jù)核心層、靈活的業(yè)務(wù)邏輯層和開(kāi)放的接入層構(gòu)成，其中數(shù)據(jù)核心層又分為數(shù)據(jù)和服務(wù)兩個(gè)子層，業(yè)務(wù)邏輯

3、層包含業(yè)務(wù)函數(shù)和業(yè)務(wù)過(guò)程兩部分。而經(jīng)過(guò)幾年的發(fā)展，如今BOSS的功能已由業(yè)務(wù)支撐向業(yè)務(wù)核心轉(zhuǎn)變，不再局限于業(yè)務(wù)提供、計(jì)費(fèi)等后臺(tái)支撐作用，而成為了創(chuàng)造營(yíng)收的核心動(dòng)力。無(wú)疑，對(duì)于電信運(yùn)營(yíng)商來(lái)說(shuō)，完善的BOSS是為客戶提供優(yōu)質(zhì)服務(wù)、從而在激烈競(jìng)爭(zhēng)中立于不敗之地的有力武器，同時(shí)也是加強(qiáng)管理、使運(yùn)營(yíng)商不斷發(fā)展的工具。此外，當(dāng)今的電信業(yè)的競(jìng)爭(zhēng)不只是在電信運(yùn)營(yíng)企業(yè)之間的進(jìn)行，而是整條產(chǎn)業(yè)鏈的競(jìng)爭(zhēng)。電信運(yùn)營(yíng)商企業(yè)網(wǎng)的外延也不斷擴(kuò)大，其用戶不僅是企業(yè)內(nèi)部的管理者和員工，也包括了企業(yè)外部的合作伙伴，甚至包括企業(yè)的客戶，如供應(yīng)鏈管理系統(tǒng)、人力資源外包、客戶服務(wù)系統(tǒng)和企業(yè)電子商務(wù)系統(tǒng)。然而，所有這些全新的變化要求我國(guó)

4、的電信企業(yè)必須尋求更加先進(jìn)的BOSS系統(tǒng)。新一代的BOSS系統(tǒng)必須在更高層次上能夠融合支持布線、無(wú)線、ISPX、Cable等多種業(yè)務(wù)，能夠支持新業(yè)務(wù)的快速部署；能夠支持運(yùn)營(yíng)商在競(jìng)爭(zhēng)中為了吸引客戶和挽留客戶所需要的折扣、交叉優(yōu)惠等手段；能夠給客戶提供滿意的信息查詢、投訴、繳費(fèi)等全業(yè)務(wù)支持能力，同時(shí)降低運(yùn)營(yíng)商的經(jīng)營(yíng)成本。應(yīng)用體系架構(gòu)：電信運(yùn)營(yíng)商“全業(yè)務(wù)”競(jìng)爭(zhēng)的態(tài)勢(shì)已經(jīng)展開(kāi)，新的業(yè)務(wù)和服務(wù)層出不窮，對(duì)“業(yè)務(wù)核心”的BOSS系統(tǒng)提出了更高、更強(qiáng)的要求，向新一代的BOSS系統(tǒng)發(fā)展成為電信運(yùn)營(yíng)商決勝市場(chǎng)的關(guān)鍵。然而，由于傳統(tǒng)的組網(wǎng)技術(shù)在遠(yuǎn)程訪問(wèn)和安全方面的局限性，難以滿足數(shù)據(jù)業(yè)務(wù)高速發(fā)展以及“三網(wǎng)合一”趨

5、勢(shì)的需要，這已經(jīng)成為BOSS系統(tǒng)發(fā)展的障礙，因此，改造現(xiàn)有的系統(tǒng)勢(shì)在必行。那么，應(yīng)該如何進(jìn)行改造？采用何種技術(shù)呢？挑戰(zhàn)和需求：BOSS系統(tǒng)應(yīng)用加速與負(fù)載均衡需求：移動(dòng)的計(jì)費(fèi)、營(yíng)賬、結(jié)算和客服的數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器均由省中心統(tǒng)一維護(hù)和管理，其BOSS系統(tǒng)（即移動(dòng)通信大客戶業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)）主要用于完成大客服系統(tǒng)的終端功能。隨著B(niǎo)OSS系統(tǒng)用戶的增多和系統(tǒng)應(yīng)用負(fù)載的增大，各個(gè)應(yīng)用服務(wù)器，特別是前置服務(wù)器上所要處理的數(shù)據(jù)量將增大，從而影響針對(duì)使用者的響應(yīng)效率，造成對(duì)訪問(wèn)者的請(qǐng)求回應(yīng)越來(lái)越慢等嚴(yán)重影響B(tài)OSS系統(tǒng)服務(wù)質(zhì)量的現(xiàn)象。在服務(wù)器端則直接表現(xiàn)為可容納的連接數(shù)越來(lái)越小，系統(tǒng)性能嚴(yán)重下降。由于系

6、統(tǒng)規(guī)模大、業(yè)務(wù)種類多、系統(tǒng)架構(gòu)復(fù)雜，除了要保障主機(jī)和數(shù)據(jù)庫(kù)的高效與穩(wěn)定外，更要有效地使用專業(yè)高效的負(fù)載均衡設(shè)備和性能增強(qiáng)設(shè)備，提高系統(tǒng)的應(yīng)用性能。基于這些因素，移動(dòng)公司選用業(yè)界領(lǐng)先的ArrayTMX產(chǎn)品來(lái)實(shí)現(xiàn)和滿足各個(gè)應(yīng)用服務(wù)器的性能增強(qiáng)和負(fù)載分擔(dān)功能，從而保證移動(dòng)公司BOSS應(yīng)用和擴(kuò)展的需要。BOSS系統(tǒng)安全接入需求：為了體現(xiàn)了“以客戶為核心”的指導(dǎo)思想，為了支撐業(yè)務(wù)的迅速發(fā)展，BOSS系統(tǒng)中渠道管理系統(tǒng)的建設(shè)將直接關(guān)系到業(yè)務(wù)的發(fā)展。我們以渠道代銷系統(tǒng)為例，代銷系統(tǒng)的建設(shè)也為將來(lái)各個(gè)渠道（比如營(yíng)業(yè)等渠道的整合），以統(tǒng)一形式為移動(dòng)公司各個(gè)渠道體系的客戶提供服務(wù)奠定基礎(chǔ)。實(shí)現(xiàn)對(duì)區(qū)域營(yíng)銷服務(wù)中心的

7、業(yè)務(wù)支撐、資源管理、績(jī)效考核等業(yè)務(wù)功能的全面支撐；實(shí)現(xiàn)與代銷商酬金費(fèi)用的統(tǒng)一結(jié)算和支付管理；支持對(duì)代銷渠道數(shù)據(jù)信息的統(tǒng)計(jì)分析功能，實(shí)現(xiàn)代銷渠道數(shù)據(jù)信息的共享。例如渠道代銷系統(tǒng)（BOSS系統(tǒng)）主要是為省內(nèi)的手機(jī)進(jìn)行充值的生產(chǎn)系統(tǒng)，該系統(tǒng)成為手機(jī)用戶除了移動(dòng)營(yíng)業(yè)大廳充值和購(gòu)買充值卡充值之外的一種最常見(jiàn)的充值方式。代銷系統(tǒng)使用的客戶分為內(nèi)部人員和代銷商用戶，其中代銷商是指代銷系統(tǒng)為各合作營(yíng)業(yè)廳、特約代銷商中涉及到移動(dòng)業(yè)務(wù)處理相關(guān)的工作人員。BOSS系統(tǒng)的接入層開(kāi)放性很強(qiáng)，因此應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題給予足夠的重視。系統(tǒng)接入互聯(lián)網(wǎng)后，在提高系統(tǒng)開(kāi)放性的同時(shí)，也面臨著來(lái)自互聯(lián)網(wǎng)的攻擊和風(fēng)險(xiǎn)，反黑防毒的問(wèn)題必須要

8、解決。而系統(tǒng)安全問(wèn)題的解決不是買了幾個(gè)防火墻就可以的，必須進(jìn)一步提高系統(tǒng)的抗攻擊能力。一方面網(wǎng)絡(luò)中大量存儲(chǔ)和傳輸?shù)臄?shù)據(jù)有可能被盜用、暴露或者篡改，另一方面，BOSS系統(tǒng)本身與Internet連接，與其它遠(yuǎn)端系統(tǒng)的接口及撥號(hào)連接等網(wǎng)絡(luò)接口也都是易受黑客攻擊的地方。現(xiàn)有移動(dòng)業(yè)務(wù)代理主要是通過(guò)以下幾種方式來(lái)遠(yuǎn)程訪問(wèn)移動(dòng)BOSS系統(tǒng)：移動(dòng)DDN專網(wǎng)；移動(dòng)SMS/GPRS；ADSL寬帶。由于DDN的網(wǎng)絡(luò)覆蓋不足及成本較高，而SMS/GPRS使業(yè)務(wù)開(kāi)展受到諸多限制，所以目前各代理商通過(guò)DSL寬帶連接方式成為主流。而通過(guò)DSL接入存在比較大大的安全隱患，所以采用VPN方式是最好的選擇。目前，可用的VPN技術(shù)

9、有SSLVPN和IPSECVPN兩種方式，提供給用戶選擇?，F(xiàn)在電信發(fā)展要求BOSS系統(tǒng)的組網(wǎng)技術(shù)要隨之發(fā)生變化。雖然，傳統(tǒng)的IPSecVPN技術(shù)曾經(jīng)有效地促進(jìn)了BOSS系統(tǒng)的發(fā)展。然而，伴隨著三網(wǎng)融合和精益運(yùn)營(yíng)時(shí)代的到來(lái)，傳統(tǒng)的IPSecVPN技術(shù)在客戶端的成本和某些安全性問(wèn)題已經(jīng)顯露出來(lái)，這就要求更具人性化、安全性和降低成本等綜合優(yōu)勢(shì)的技術(shù)出現(xiàn)。總結(jié)安全系統(tǒng)需要滿足下面幾點(diǎn)：需要保障數(shù)據(jù)在Internet上傳輸?shù)陌踩詫?duì)各代銷商的訪問(wèn)的合法性和操作合法性進(jìn)行檢查記錄各個(gè)代銷商的操作，便于查詢和核實(shí)保護(hù)網(wǎng)站平臺(tái)的安全性，避免惡性攻擊或者病毒感染提供易于操作的界面，便于用戶迅速上手對(duì)客戶端的沒(méi)有

10、預(yù)安裝客戶端軟件的要求必須能穿透各企業(yè)的Firewall或者Proxy設(shè)備作為處于應(yīng)用層和TCP/UDP層之間的一種安全協(xié)議，相比較處于網(wǎng)絡(luò)層的IPSec，SSL可以提供基于應(yīng)用層的訪問(wèn)控制，更適合遠(yuǎn)程安全訪問(wèn)的移動(dòng)性和分散性的特點(diǎn)，正切合了電信業(yè)的發(fā)展趨勢(shì)。據(jù)統(tǒng)計(jì)，SSLVPN更多地會(huì)率先在保險(xiǎn)業(yè)、銀行、金融、證券行業(yè)、電信行業(yè)的無(wú)線網(wǎng)絡(luò)業(yè)務(wù)中得到應(yīng)用。這些行業(yè)在IT上投資很大，而且那種集中化管理、遠(yuǎn)程安全訪問(wèn)的應(yīng)用需求體現(xiàn)得最為明顯。Array解決方案：作為全球領(lǐng)先的應(yīng)用智能安全公司，ArrayNetworks致力于為客戶提供多層網(wǎng)絡(luò)安全和應(yīng)用解決方案。通過(guò)智能化的集成，ArrayNetw

11、orks所提供的無(wú)客戶端的SSLVPN安全產(chǎn)品平臺(tái)及應(yīng)用加速網(wǎng)絡(luò)流量管理平臺(tái)，能夠極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，增強(qiáng)網(wǎng)絡(luò)應(yīng)用的性能，可以實(shí)現(xiàn)企業(yè)快速部署安全的、具有擴(kuò)充功能的網(wǎng)絡(luò)，而受到眾多企業(yè)的青睞。ArrayNetworks公司有著對(duì)BOSS系統(tǒng)獨(dú)特的理解能力。最近，在一項(xiàng)新的基準(zhǔn)測(cè)試中，專注于電信產(chǎn)業(yè)的Amdocs公司在計(jì)費(fèi)和客服解決方案中采用ArrayNetworks的SSLVPN解決方案，結(jié)果表明了這一方案具有優(yōu)越的系統(tǒng)表現(xiàn)和高度的安全性。同時(shí)，ArrayNetworks公司有著一支可以深刻理解中國(guó)客戶差異化要求的研發(fā)隊(duì)伍，可以給客戶提供最優(yōu)的解決方案和服務(wù)，從而實(shí)現(xiàn)產(chǎn)品使用價(jià)值的最大化?？傮w結(jié)

12、構(gòu)基于BOSS系統(tǒng)高負(fù)載性、高穩(wěn)定性、高安全性的需求，ArrayNetworks公司設(shè)計(jì)了以TMX和SPX應(yīng)用為基礎(chǔ)的，集服務(wù)器負(fù)載均衡、應(yīng)用加速、安全接入為一體的高可用性解決方案。ArrayTMX系列產(chǎn)品的應(yīng)用，在實(shí)現(xiàn)Web服務(wù)器組、應(yīng)用服務(wù)器組的負(fù)載均衡功能的同時(shí)，還可以實(shí)現(xiàn)Web應(yīng)用的加速。從處理能力、擴(kuò)展能力、安全性、應(yīng)用的便利性等方面提供了流量管理和性能增強(qiáng)功能，能夠在滿足BOSS系統(tǒng)應(yīng)用平臺(tái)對(duì)持續(xù)性和穩(wěn)定性的需求的基礎(chǔ)上，提高BOSS應(yīng)用系統(tǒng)的處理能力，在同樣主機(jī)及網(wǎng)絡(luò)平臺(tái)下滿足更多用戶應(yīng)用的訪問(wèn)需求。ArraySPX系列產(chǎn)品的應(yīng)用，針對(duì)于BOSS系統(tǒng)客戶接入特點(diǎn)，設(shè)計(jì)了SSLVP

13、N安全解決方案來(lái)提供BOSS系統(tǒng)的安全。Array的SSLVPN解決方案可保證移動(dòng)公司的渠道用戶通過(guò)各種連接方式，進(jìn)行安全的各種應(yīng)用的數(shù)據(jù)訪問(wèn)。SSLVPN建在互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)架構(gòu)上，通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密，在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù)，以保證數(shù)據(jù)的私密性。通過(guò)SSLVPN用戶進(jìn)行登陸認(rèn)證和靈活的授權(quán)，同時(shí)，所有數(shù)據(jù)的傳輸都是經(jīng)過(guò)加密處理的。而且SSLVPN方案部署相當(dāng)方便，只需要客戶端具有標(biāo)準(zhǔn)的瀏覽器即可，如IE、Netscape等。拓?fù)浣Y(jié)構(gòu)如下圖：通過(guò)ArrayTMX服務(wù)器負(fù)載均衡功能提高BOSS應(yīng)用系統(tǒng)的高可用性：BOSS應(yīng)用系統(tǒng)通常采用WebServer/ApplicationServe

14、r/DatabaseServer多層結(jié)構(gòu)設(shè)計(jì)，支持前端瀏覽器訪問(wèn)或客戶端訪問(wèn)方式。中心BOSS機(jī)房將包括數(shù)據(jù)庫(kù)服務(wù)器主機(jī)、應(yīng)用服務(wù)器主機(jī)、WEB服務(wù)器主機(jī)、工作流服務(wù)器、負(fù)載均衡服務(wù)器、存儲(chǔ)陣列和備份帶庫(kù)等，構(gòu)成統(tǒng)一集中的BOSS中心。BOSS數(shù)據(jù)庫(kù)服務(wù)器又分為帳務(wù)數(shù)據(jù)庫(kù)服務(wù)器和綜合客服數(shù)據(jù)庫(kù)服務(wù)器，分別存儲(chǔ)商業(yè)客戶帳單、帳務(wù)處理數(shù)據(jù)和商業(yè)客戶客服、營(yíng)業(yè)、客戶資料等數(shù)據(jù)。應(yīng)用服務(wù)器又分為帳務(wù)處理應(yīng)用服務(wù)器和綜合客服處理應(yīng)用服務(wù)器。隨著B(niǎo)OSS系統(tǒng)用戶的增多和系統(tǒng)應(yīng)用負(fù)載的增大，各個(gè)應(yīng)用服務(wù)器，特別是前置服務(wù)器上所要處理的數(shù)據(jù)量將增大，從而影響針對(duì)使用者的響應(yīng)效率，造成對(duì)訪問(wèn)者的請(qǐng)求回應(yīng)越來(lái)越慢

15、等嚴(yán)重影響B(tài)OSS系統(tǒng)服務(wù)質(zhì)量的現(xiàn)象。在服務(wù)器端則直接表現(xiàn)為可容納的連接數(shù)越來(lái)越小，系統(tǒng)性能嚴(yán)重下降。此時(shí)，將需要考慮增加應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器的數(shù)量來(lái)滿足不斷增大的應(yīng)用負(fù)載需求。當(dāng)僅通過(guò)服務(wù)器集群（Cluster）的方式實(shí)現(xiàn)擴(kuò)容時(shí)，將存在成本較高，嚴(yán)重影響正常BOSS系統(tǒng)應(yīng)用的提供等問(wèn)題，且擴(kuò)容能力有限，無(wú)法滿足不斷增長(zhǎng)的BOSS系統(tǒng)應(yīng)用的需要。ArrayTMX產(chǎn)品解決方案中所指的高可用性，同時(shí)也是運(yùn)營(yíng)商確保BOSS應(yīng)用系統(tǒng)正常運(yùn)行所需考慮的，主要是指以下幾點(diǎn)：使數(shù)據(jù)始終以一個(gè)穩(wěn)定、安全的方式處理，在BOSS應(yīng)用系統(tǒng)平臺(tái)中，即便存在單臺(tái)設(shè)備不能提供服務(wù)時(shí)，仍能保持?jǐn)?shù)據(jù)的完整性。通過(guò)智能識(shí)別

16、檢查，使整體應(yīng)用持續(xù)穩(wěn)定運(yùn)行，即便發(fā)生單點(diǎn)或多點(diǎn)故障仍然能夠保證正常提供服務(wù)。使整個(gè)BOSS應(yīng)用網(wǎng)絡(luò)環(huán)境能夠更好的被管理，提供TMX設(shè)備本身容災(zāi)集群（cluster）功能、服務(wù)器集群共享、應(yīng)用和后臺(tái)服務(wù)器方便維護(hù)等特點(diǎn)。使前期設(shè)備投入有更好的效益和最佳的擴(kuò)充能力，即在保證數(shù)據(jù)完整性的同時(shí)，提供BOSS應(yīng)用系統(tǒng)持續(xù)運(yùn)行的能力，并實(shí)現(xiàn)當(dāng)用戶量的增大的情況下，在不影響應(yīng)用的情況下，通過(guò)增加服務(wù)器的方式，響應(yīng)用戶負(fù)載的增加，保證了原有企業(yè)投資具有很高回報(bào)。即便在應(yīng)用軟件不夠完善，如經(jīng)常出現(xiàn)故障不能提供服務(wù)的情況下，仍然能夠持續(xù)保證應(yīng)用系統(tǒng)持續(xù)在線能力。在BOSS應(yīng)用系統(tǒng)平臺(tái)中，通過(guò)ArrayTMX系列

17、產(chǎn)品的應(yīng)用，在實(shí)現(xiàn)Web服務(wù)器組、應(yīng)用服務(wù)器組的負(fù)載均衡功能的同時(shí)，還可以實(shí)現(xiàn)Web應(yīng)用的加速。從處理能力、擴(kuò)展能力、安全性、應(yīng)用的便利性等方面提供了流量管理和性能增強(qiáng)功能，Array具有獲得專利的SpeedStack專利技術(shù)、連接復(fù)用技術(shù)等，能夠在滿足BOSS系統(tǒng)應(yīng)用平臺(tái)對(duì)持續(xù)性和穩(wěn)定性的需求的基礎(chǔ)上，提高BOSS應(yīng)用系統(tǒng)的處理能力，在同樣主機(jī)及網(wǎng)絡(luò)平臺(tái)下滿足更多用戶應(yīng)用的訪問(wèn)需求。當(dāng)三層架構(gòu)的BOSS應(yīng)用系統(tǒng)正常工作情況下，BOSSWeb服務(wù)器、應(yīng)用服務(wù)器組、數(shù)據(jù)庫(kù)服務(wù)器組中的所有應(yīng)用服務(wù)器均正常提供服務(wù)，ArrayTMX設(shè)備對(duì)三層架構(gòu)中的各個(gè)服務(wù)器組均實(shí)現(xiàn)了服務(wù)器負(fù)載分擔(dān)功能和有針對(duì)性的

18、性能增強(qiáng)功能，并能夠隱藏后臺(tái)服務(wù)器組的IP地址和拓?fù)浣Y(jié)構(gòu)，僅向BOSS訪問(wèn)用戶提供有限的一個(gè)或幾個(gè)IP地址和端口，以供用戶進(jìn)行訪問(wèn)。通過(guò)兩臺(tái)TMX產(chǎn)品ClusterActive-Active功能實(shí)現(xiàn)，在保證高可用性的同時(shí)，使負(fù)載均衡和性能增強(qiáng)功能的處理能力達(dá)到一臺(tái)TMX的兩倍。通過(guò)TMX產(chǎn)品端口冗余功能實(shí)現(xiàn)，提供了當(dāng)交換機(jī)故障時(shí)，鏈路切換備份功能。在各個(gè)服務(wù)器組均能夠正常提供服務(wù)時(shí)，ArrayTMX設(shè)備能夠根據(jù)預(yù)先配置，將BOSS用戶訪問(wèn)請(qǐng)求發(fā)送到后臺(tái)最合適的服務(wù)器上進(jìn)行處理，在實(shí)現(xiàn)了將大量訪問(wèn)負(fù)載分擔(dān)到多臺(tái)應(yīng)用服務(wù)器上進(jìn)行處理的同時(shí)，還實(shí)現(xiàn)了通過(guò)增加應(yīng)用服務(wù)器數(shù)量的方式提高整個(gè)BOSS應(yīng)用平

19、臺(tái)的處理能力和響應(yīng)速度。而當(dāng)其中的任何一臺(tái)或幾臺(tái)服務(wù)器需要離線進(jìn)行維護(hù)或出現(xiàn)故障時(shí)，ArrayTMX設(shè)備能夠通過(guò)預(yù)先配置的多種智能健康檢查機(jī)制，及時(shí)發(fā)現(xiàn)不能正常處理應(yīng)用的應(yīng)用服務(wù)器，并將接下來(lái)的用戶訪問(wèn)請(qǐng)求發(fā)送到其它能夠正常處理的應(yīng)用的服務(wù)器上，從而避免了由于某臺(tái)服務(wù)器的故障而影響了整體的BOSS應(yīng)用業(yè)務(wù)的提供，保證了BOSS業(yè)務(wù)的高可用性。ArraySSLVPN進(jìn)行BOSS系統(tǒng)的安全防護(hù)：將SPX5000設(shè)備旁路部署在主干交換機(jī)旁及出口防火墻后面，確保不改變移動(dòng)公司的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。ArraySSLVPN通過(guò)證書(shū)認(rèn)證，登錄用戶使用軟證書(shū)登錄成功后就可以訪問(wèn)移動(dòng)內(nèi)部渠道代銷系統(tǒng)，然后在通過(guò)BOS

20、S系統(tǒng)的驗(yàn)證后，就可以為全省的移動(dòng)手機(jī)進(jìn)行充值了，所有的訪問(wèn)工作都是通過(guò)ArraySSLVPN加密方式來(lái)實(shí)現(xiàn)的，安全、便捷、可靠。在本方案中，Array的SPX產(chǎn)品作為統(tǒng)一渠道門戶系統(tǒng)通過(guò)一個(gè)門戶（portal）頁(yè)面將各系統(tǒng)的對(duì)外接口納入統(tǒng)一管理。對(duì)外通過(guò)Internet并且利用SSL加密技術(shù)安全的向公眾開(kāi)放統(tǒng)一的門戶界面，對(duì)內(nèi)通過(guò)移動(dòng)公司內(nèi)網(wǎng)連接到集團(tuán)統(tǒng)一門戶服務(wù)器上。用戶利用VPN體系架構(gòu)，通過(guò)標(biāo)準(zhǔn)協(xié)議集成數(shù)字證書(shū)的應(yīng)用。用戶登錄內(nèi)部業(yè)務(wù)系統(tǒng)時(shí)，必須提交CA認(rèn)證系統(tǒng)頒發(fā)的用戶證書(shū)，系統(tǒng)通過(guò)用戶證書(shū)來(lái)實(shí)現(xiàn)身份認(rèn)證和訪問(wèn)控制。遠(yuǎn)端用戶對(duì)BOSS各個(gè)系統(tǒng)進(jìn)行訪問(wèn)時(shí)，都可以通過(guò)SSLVPN進(jìn)行。用

21、戶首先要登陸ArrayNetworksSSLVPN網(wǎng)關(guān)設(shè)備SPX提供的SSLVPN門戶站點(diǎn)，這是需要用戶提供相應(yīng)的用戶名和口令這樣就可以完成用戶的認(rèn)證和授權(quán)，同時(shí)數(shù)據(jù)時(shí)經(jīng)過(guò)加密處理的?？蛻舳巳藛T無(wú)論是營(yíng)業(yè)廳，代理點(diǎn)，還是維護(hù)人員在家、出差，以及大客戶在自己辦公機(jī)構(gòu)，都可以遠(yuǎn)程進(jìn)行安全的接入操作，而不必?fù)?dān)心非授權(quán)人員的非法訪問(wèn)，甚至對(duì)于病毒的滲入也有一定的防護(hù)作用。證書(shū)發(fā)放：本方案設(shè)計(jì)的客戶CA認(rèn)證系統(tǒng)的證書(shū)發(fā)放采用集中制證的方式，其工作流程如下圖所示：圖證書(shū)發(fā)放流程圖CA系統(tǒng)管理員使用瀏覽器訪問(wèn)注冊(cè)中心的證書(shū)注冊(cè)服務(wù)器，在相關(guān)頁(yè)面上填寫申請(qǐng)信息，點(diǎn)擊提交；系統(tǒng)自動(dòng)產(chǎn)生證書(shū)的公私鑰對(duì)，將公鑰與申

22、請(qǐng)信息一起提交給CA中心；CA中心服務(wù)器審核通過(guò)，簽發(fā)證書(shū)，同時(shí)自動(dòng)的將證書(shū)安裝到USBKey中，并標(biāo)記成私鑰不可導(dǎo)出。CA管理員將申請(qǐng)好的證書(shū)發(fā)放給最終用戶使用。ArrayNetworksBOSS系統(tǒng)SSLVPN安全接入特點(diǎn)SSLVPN的客戶端程序，如MicrosoftInternetExplorer、NetscapeCommunicator、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中，因此不需要再次安裝；SSLVPN可在NAT代理裝置上以透明模式工作；SSLVPN不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻的影響。SSLVPN將遠(yuǎn)程安全接入延伸到IPSecVPN擴(kuò)展不到的地方，使更多的員工，在更多

23、的地方，使用更多的設(shè)備，安全訪問(wèn)企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用。SSLVPN正在成為遠(yuǎn)程接入的事實(shí)標(biāo)準(zhǔn)，下面列舉了其中的一些理由。SSLVPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。SSLVPN通信運(yùn)行在TCP/UDP協(xié)議上，具有穿越防火墻的能力。這種能力使SSLVPN能夠從一家用戶網(wǎng)絡(luò)的代理防火墻背后安全訪問(wèn)另一家用戶網(wǎng)絡(luò)中的資源。用戶接入內(nèi)部系統(tǒng)是經(jīng)過(guò)認(rèn)證的。認(rèn)證方式可以采用ArrayNetworksSSLVPN設(shè)備自己的用戶數(shù)據(jù)庫(kù)，也可以和內(nèi)部系統(tǒng)已有的認(rèn)證系統(tǒng)結(jié)合起來(lái)，如AD、RADIUS等用戶接入內(nèi)部系統(tǒng)是經(jīng)過(guò)授權(quán)的。針對(duì)不同的用戶或用戶所屬的組，SSLVPN可

24、以按VPN系統(tǒng)預(yù)定義的規(guī)則來(lái)對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行設(shè)定。SSLVPN對(duì)于采用WEB訪問(wèn)方式接入BOSS系統(tǒng)的優(yōu)勢(shì):SPX采用WRM（WEBResourceMapping）模塊來(lái)實(shí)現(xiàn)，利用Array的SSLVPN的Web資源映射可以實(shí)現(xiàn)：通過(guò)標(biāo)準(zhǔn)瀏覽器訪問(wèn)BOSS系統(tǒng)；支持URL-NAT：URL的動(dòng)態(tài)重寫，提高安全性；強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問(wèn)Intranet的請(qǐng)求都必須先通過(guò)AAA；隱藏內(nèi)部資源：可以隱藏Intranet的資源路徑，提高整體安全性。而且，經(jīng)第三方測(cè)試，ArrayNetworksSPX的WRM有著極佳的性能表現(xiàn)。需求實(shí)現(xiàn)：關(guān)鍵的挑戰(zhàn)和需求具體描述BOSS系統(tǒng)的安全接入：需要接入方案能夠

25、進(jìn)行數(shù)據(jù)加密，能夠支持?jǐn)?shù)字證書(shū)的認(rèn)證，方便廣大代銷上人員使用，且方便易用。Array提供的SSLVPN可以實(shí)現(xiàn)無(wú)客戶端的接入，并實(shí)現(xiàn)數(shù)據(jù)的加密、防篡改等安全防護(hù)功能。且能夠和移動(dòng)公司采用的天威誠(chéng)信的CA數(shù)字證書(shū)系統(tǒng)。由于采用瀏覽器進(jìn)行接入，代銷人員使用非常方便。上萬(wàn)大并發(fā)VPN用戶量ArraySPX5000設(shè)備單臺(tái)設(shè)備最多支持64000并發(fā)用戶，所以可以完全滿足移動(dòng)大并發(fā)用戶量的訪問(wèn)。應(yīng)用服務(wù)器的負(fù)載均衡需求，移動(dòng)BOSS系統(tǒng)一般服務(wù)器具有多臺(tái)，需要流量的負(fù)載均衡，能夠作健康檢查，能夠支持保持性算法。通過(guò)ArrayTMX負(fù)載均衡設(shè)備能夠完全滿足需求，ArrayTMX設(shè)備具有多種健康檢查算法，多

26、種保持性算法，如基于客戶端IP算法。對(duì)BOSS系統(tǒng)的Web訪問(wèn)進(jìn)行加速優(yōu)化ArrayTMX設(shè)備具有SpeedStack專利算法，支持連接復(fù)用、連接共享池、Cache等多種Web加速手段，能夠顯著改善Web訪問(wèn)的質(zhì)量。Array解決方案實(shí)現(xiàn)BOSS系統(tǒng)各種應(yīng)用的優(yōu)點(diǎn)：BOSS業(yè)務(wù)系統(tǒng)應(yīng)用保障（TMX實(shí)現(xiàn)）消除BOSS業(yè)務(wù)系統(tǒng)的隱患：傳統(tǒng)BOSS應(yīng)用過(guò)程中存在單臺(tái)應(yīng)用服務(wù)器設(shè)備發(fā)生故障時(shí)，整個(gè)應(yīng)用不能正常工作等問(wèn)題。通過(guò)Array解決方案的應(yīng)用，能夠消除此類隱患，使BOSS平臺(tái)具有智能判斷和處理的功能，即便某些設(shè)備發(fā)生故障，整個(gè)BOSS應(yīng)用仍能夠正常運(yùn)行，保證了應(yīng)用的高可靠性。提高BOSS系統(tǒng)的處

27、理能力：傳統(tǒng)BOSS應(yīng)用平臺(tái)因采用的是熱備份的方式，同一時(shí)刻只有一臺(tái)應(yīng)用服務(wù)器工作，而備份設(shè)備不進(jìn)行應(yīng)用處理，使得處理能力無(wú)法得到提高。通過(guò)Array解決方案的應(yīng)用，能夠最大化的利用后臺(tái)服務(wù)器的資源，使多臺(tái)應(yīng)用服務(wù)器在互為備份的情況下還可以同時(shí)工作，極大的提高了整個(gè)BOSS平臺(tái)的處理能力。方便BOSS應(yīng)用平臺(tái)的擴(kuò)展：傳統(tǒng)BOSS應(yīng)用處理能力受限于應(yīng)用服務(wù)器的性能，很難根據(jù)應(yīng)用的需求進(jìn)行透明擴(kuò)容，通過(guò)Array解決方案的應(yīng)用，能夠隨著應(yīng)用負(fù)載的需求進(jìn)行按需透明擴(kuò)容，最大化的保證了BOSS應(yīng)用平臺(tái)的可擴(kuò)展性。方便實(shí)施，簡(jiǎn)單使用（SPX實(shí)現(xiàn)）ArrayNetworksSSLVPN方案是無(wú)客戶端的VP

28、N方案，客戶端只需要具備標(biāo)準(zhǔn)的瀏覽器即可，甚至PDA終端都可以使用。對(duì)于使用者來(lái)講，由于對(duì)瀏覽器操作要比專用的軟件操作簡(jiǎn)單的多，也熟悉的多，所以客戶端使用非常簡(jiǎn)單，使用于各種各樣的人群，甚至是對(duì)IT系統(tǒng)不甚了解的人也一樣操作。同時(shí)，ArrayNetworksSSLVPN方案實(shí)施起來(lái)非常簡(jiǎn)單，只需要在BOSS系統(tǒng)的數(shù)據(jù)中心部署SSLVPN網(wǎng)關(guān)即可，無(wú)需在各地市營(yíng)業(yè)點(diǎn)或大客戶那里部署硬件或軟件設(shè)備。SPX支持單臂和雙臂結(jié)構(gòu)，可以充分適應(yīng)數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)。提高信息安全性（SPX實(shí)現(xiàn)）防止信息泄漏由于客戶端與SSLVPN網(wǎng)關(guān)之間實(shí)現(xiàn)高強(qiáng)度的加密信息傳輸，因此雖然信息傳輸是通過(guò)公網(wǎng)進(jìn)行的，但是其安全性

29、是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù)，但是卻無(wú)法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)帳號(hào)等被保護(hù)起來(lái)，杜絕了有效信息的泄露。杜絕非法訪問(wèn)SSLVPN的訪問(wèn)要經(jīng)過(guò)認(rèn)證和授權(quán)，充分保證用戶身份的合法性。SSLVPN只允許那些擁有相應(yīng)權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)連接。如果請(qǐng)求連接的用戶沒(méi)有合法身份，則SSLVPN將拒絕其連接請(qǐng)求，從而限制了非法用戶對(duì)內(nèi)網(wǎng)的訪問(wèn)。保護(hù)信息的完整性SSLVPN使用數(shù)字證書(shū)進(jìn)行機(jī)密性與完整性參數(shù)的協(xié)商，它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進(jìn)行機(jī)密性的保護(hù)，同時(shí)也對(duì)其提供完整性保護(hù)。當(dāng)在傳輸過(guò)程中的數(shù)據(jù)被篡改之后，SSLVPN是可以檢測(cè)到的，如果檢測(cè)到數(shù)據(jù)被篡改，他們就會(huì)放棄所接收到的數(shù)據(jù)。防止用戶假冒ArrayNetworks提供多種認(rèn)證和授權(quán)方式，包括本地本地用戶數(shù)據(jù)庫(kù)，并且可以和其他更加強(qiáng)大的認(rèn)證系統(tǒng)結(jié)合起來(lái)，如AD，Radius，RSASecurID，SecureComputing等保證系統(tǒng)的可用性SSLVPN使用內(nèi)網(wǎng)、外網(wǎng)相互隔離，只開(kāi)放所需服務(wù)的方式來(lái)實(shí)現(xiàn)，這樣客戶端只能通過(guò)授權(quán)使用所開(kāi)放的服務(wù)，除該服務(wù)之外的其它服務(wù)都無(wú)從訪問(wèn)，從而減少了很多對(duì)內(nèi)網(wǎng)系統(tǒng)進(jìn)行攻擊的途徑，達(dá)到了對(duì)內(nèi)部網(wǎng)絡(luò)的最大保護(hù)。業(yè)務(wù)利益在移動(dòng)公司BOSS應(yīng)用系統(tǒng)中，通過(guò)ArrayTMX產(chǎn)品負(fù)載分擔(dān)和性能增強(qiáng)功能的應(yīng)用，能夠充分保證BO