中国电信VPDN网路及业务技术
无线VPDN
(3)企业希望自己的内部网络能与公网能有不同程度的隔离,使内部网络不易受到来自公网的不良攻击;同时企业希望自己连接到公司内部网的途径将会很安全可靠,不易被人监听。
2、企业应用型
用户有特殊的企业应用需求,例如,用户在总部有一个服务全局的网络或专业系统,用户有许多分支网点,用户的各分支网点希望能与用户总部取得安全可靠的通信,交流信息。例如:销售企业将企业信息网延伸到销售点,各销售点使用VPDN与总部取得联系,实时交换信息。
2、高安全性
CDMA 1X网络VPDN业务具有五层安全保障:
第一级安全保证:CDMA网络本身的安全性;
第二级安全保证:CDMA无线宽带接入AAA认证;
第三级安全保证:CDMA网络和客户网络之间的L2TP隧道;
第四级安全保证:客户网络侧的安全防火墙;
第五级安全保证:LNS AAA鉴权认证。
通过使用VPDN虚拟专用网业务,企业出差人员可以远程经过公共IP网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。
二、适用对象
无线VPDN业务针对有专线业务需求、使用地点不固定、带宽要求较低的用户群体。其主要特点接入方便、灵活,接入成本低,满足用户在低带宽下的专线数据传输需求,可替代原来的DDN或电话线拨号作为有线接入的有效补充。
VPDN适用行业主要有下面三类:
1、移动办公型
(1)企业已经拥有或者计划建设一个属于企业自身的内部网络,这个网络可以是一个综合性的大型办公网络,有特殊应用的网络,也可以只是一个主要用于邮件、Web消息发布的小型网络。
(2)企业员工有移动办公的需求,不管员工出差或者在家,员工希望在离开公司局域网的情况下都能随时随地进行办公,处理公司事务。
vpdn是什么意思
vpdn是什么意思VPDN英文为Virtual Private Dial-up Networks,又称为虚拟专用拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网业务。
即以拨号接入方式上网,是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网,是近年来随着Internet的发展而迅速发展起来的一种技术。
VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。
隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。
被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
VPDN是基于拨号接入(PSTN、ISDN)的虚拟专用拨号网业务,可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。
二、功能VPDN采用专用的网络安全和通信协议,可以使企业在公共网络上建立相对安全的虚拟专网。
VPN用户可以经过公共网络,通过虚拟的安全通道和用户内部的用户网络进行连接,而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。
三、适用范围地点分散,各地都有分公司,流动人员特别多的用户,比如企业用户,远程教育用户。
人员分散,需要通过长途电信甚至国际长途手段联系的用户。
对线路的保密性和可用性有一定要求的用户。
此外,通过VPDN技术,可实现对特定站点的封闭,可向小ISP和大集团用户提供一次、多次端口批发业务。
VPDN网络结构由局端(局是电信局的意思)(或称为中心端)和客户系统组成。
VPDN客户系统包括两部分:企业端与远端。
通常企业端是企业的内部局域网,以专线方式接入UNINET;远端是拨号客户,以拨号方式访问企业内部局域网。
VPDN——(Virtual Private Dial-up Network虚拟拨号专用网),业务名称为“网中网”,是指在中国公众多媒体通信网,在接入手段上的延伸,它以拨号方式实现,同时又允许专线接入,与其无缝结合,组成一个提供多种接入手段的虚拟专用网。
中国电信无线宽带VPDN业务数据配置规范V1[1].0
中国电信无线宽带VPDN业务数据配置规范V1.0(征求意见稿)中国电信集团公司网络运行维护事业部二○○九年二月目录1总则 (4)1.1编制说明 (4)1.2缩略语 (4)1.3编写依据 (5)2业务网络参考模型 (6)2.1业务定义和使用范围 (6)2.2业务网络参考模型 (6)2.3业务实现原理 (8)2.4业务应用场景 (8)3CN2 VPN189配置要求和客户接入方案 (10)3.1CN2 189 VPN数据配置要求 (11)3.1.1LNS地址规划 (11)3.1.2CN2 VPN189配置要求 (13)3.1.3CN2 VPN189城域延伸配置要求 (14)3.2客户接入方案 (15)3.3AAA服务器设置 (19)3.4VR专线VPN方案 (20)4分组域设备业务数据配置要求 (22)4.1业务认证流程 (22)4.2VPDN 账号规则 (23)4.3认证方式 (25)4.4终端用户IP地址获得方式 (26)4.5业务控制 (26)4.6省内VPDN业务及漫游数据配置要求 (27)4.6.1PDSN配置要求 (27)4.6.2LNS配置要求 (28)4.6.3接入AAA配置要求 (29)4.6.4VPDN AAA配置要求 (29)4.6.5终端要求 (29)4.7跨省VPDN业务及漫游数据配置要求 (30)4.7.1PDSN配置要求 (30)4.7.2LNS配置要求 (31)4.7.3接入AAA配置要求 (32)4.7.4VPDN AAA配置要求 (32)4.7.5终端要求 (32)4.8AAA计费及通信费话单字段要求 (32)5附录:利用L2TP实现VPDN技术概述 (42)1总则1.1编制说明本规范对基于CDMA 1X技术的中国电信无线宽带VPDN业务各场景下的业务认证流程、组网方案、VPN拓扑结构、IP地址规划、分组域设备数据配置要求等内容进行了规定,旨在从操作层面规范中国电信无线宽带VPDN业务数据配置。
VPDN技术实现及行业应用
1V D P N的 概念 11V D 的定 义 . PN
一
络 业 务 。它 向 用 户 提 供 采 用 P T S N、 ID S N、 X S 、电缆或无线 以拨 号方式接人 中 国宽带 DL 互联网 ,采用专用的网络加密和通信协议,可 以使企业 在公共网络上构建一条虚拟的、不受 外界干扰 的专用通道 ,从而安全访问企业 网内 部数据资源的业务。 1 P N的 分类 .V D 2 根 据服务 类型 ,V N业 务大 致可分为 三 P 类 : It nt P 、 A cs VP nr e a V N ces N、 E t nt x ae r
网络服 务器) 侧对 于 V D P N用户进 行身 份验 号码 为 19 9 6 1 ,使用 V D P N服务的客户有吉林 福利彩票 、吉林 体育彩票 、吉林 财政 。他们使 二 次 认 证 :指 V D P N用 户 接 人企 业 内部 网 用 的都是 A cs P cesV N方式 ,在互联 网上做专 除需 要 企业 内部 网作 认 证 外 ,还要 求 各 级 有域 的虚拟拨号接人 中心服务器 。传统的二层 VD P N业 务管理 中心对 于用 户与 L C问建立 专线 V N方式 ,无法跨地 区在全省范 围内使 A P P P连接作一次认证 。 P 用 。三层 MP S V N方式 ,需要投 入昂贵 的 L P 222隧道 协 议 :L T .. 2P 网络路由设备 。普通的在宽带 网上做二次拨号 在 VD P N中 ,使用的是 L T 2 P的第二层隧 的 V N手段 ,不能满足用户与互 联网隔离的 P 道协议。 要求 ,因此 ,采用 A cs P ces V N方式 的 V D PN 第二层隧道协议有 三种:点对点隧道协议 成了这些企业的不二选择 。接人线路 目 前可以 (P 1 微 软公 司支 持 ) P1 , P ,第 二 层转 发 (2 ' 采用窄带电话拨号线路或者直接采用宽带 A - LF S Cs 与北 电支 持) io c ,第 二层隧 道协 议 (2 P D L T , L进行 拨 号 接人 。信 息 传输 速率 从 5 K到 6
中国电信推出VPDN
中国电信推出VPDN(梁晶2001年08月22日13:24)近日,中国电信正式宣布,向全国市场推出“V信通”(VPDN,Virtual Private Dial-Network)业务,VPDN建基于中国宽带网,用户只要拨打中国电信“V信通”特服号“17979”,利用安全的L2TP隧道传输协议,就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安全访问企业内部网资源。
在国外,VPN近年来市场规模发展相当迅速。
美国电信咨询公司InfoTech的一份研究报告表明,该市场的规模将从今年的15亿美元增长到2005年的110亿。
近段时间,国内VPN市场开始升温,各服务商开始竞相往外推出VPN服务。
7月3日,中国电信“V信通”(VPDN)产品推介及客户咨询会在北京召开,据了解,后续还会推出一系列VPN相关服务。
中国电信数据局有关人士表示,选择在这个时候推出该项服务,除了技术的成熟外,更主要的原因是市场的需求。
随着客户信息网络应用的深入,现在客户对移动办公,特别是安全的远程访问企业内部网络资源的需求不断增加,但国内大部分互联网用户为拨号用户,VPDN服务的推出,正是因为它能满足用户得到一种安全性高于普通拨号上网方式的服务。
“企业不想通过在专用数据网络支持公司远端的分公司或者办事处,因为这将导致更多的花费,而通过VPDN这种接入方式,采用隧道的方式,公网提供一个虚拟的逻辑通道,把企业的网通过隧道延伸到各地的服务器,企业不需操心安全性问题,而且还节省更多的费用。
”传统的跨广域网的专用网络,是通过租用专线来实现的,而VPDN是利用服务提供商所提供的公共网络来实现远程的广域连接。
从技术上,VPDN采用隧道的方式,从接入服务器到企业的网关之间,接入隧道,让数据的流量和公网的流量分开,用户可以通过隧道的方式登录到企业的内部网,同时对经过隧道传输的数据进行加密,保证数据仅被指定的发送者和接收者所理解,从而让数据传输具有私有性和安全性。
中国电信无线VPDN业务培训课件
共享LNS/AAA
中国电信CN2 精品业务网络
VPDN虚拟专用网2
163 internet
客户自备安全服务器 LNS/AAA
VPDN虚拟专用网3
用户接入及 CDMA无线侧
中国电信无线 VPDN业务网
客户自备安全服务器 LNS/AAA
企业内网及行 业应用平台
PPT学习交流
12
VPDN的隧道建立1. 过接程入AAA
2.
用户1
PDSN/LAC
CN2/163
企业内网
3. 用户2
LNS/ AAA
4.
5
1. 终端用户接入认证通过后,接入AAA 将相应的LNS 地址和其他参数发送到PDSN设备 2. PDSN对LNS 发出L2TP 隧道建立请求,协商会话参数 3. LNS 收到请求后对PDSN 回应 4. PDSN收到回应,建立隧道,并通过隧道封装用户PPP 流量 5. LNS/AAA二次认证为用户分配内网地址
IPSEC远程接入服务: 可通过internet 接入企业内网, 但是对终端要求 较高,配置复杂, 容受网络影响。
同质产品间的互补
固网VPN业务:带宽更 高,但受到接入线 路物理位置的限制 无法移动接入。
❖ 无线网络设备
功能的MODEM、交换
机、路由器等
❖ 专用数据传输 设备
❖ 具备 CDMA 无线接入 功能的远程数据采集 、工业控制等专用设 备
PPT学习交流
9
产品功能
政企无线 VPDN客户
可为客户构筑基于CDMA 1X 高速分组数据 网络的企业/行业虚拟专用拨号网络 高达3.1Mbps接入速度
可与中国电信提供的行业应用整合,提供安 全的无线接入及应用一体化解决方案
中国电信“无线VPDN”业务管理
中国电信云南公司“无线VPDN”业务管理办法(试行)第一章总则第一条中国电信无线VPDN 产品可满足政企客户利用CDMA1X 、EVDO高速分组数据网络构建与公众互联网隔离的虚拟专用网络,以实现安全地访问客户网络或应用系统的需求。
为规范无线VPDN 业务的销售和服务,特制定本办法。
第二条本办法适用于指导、规范省公司、各州市分公司经营和管理无线VPDN 业务。
第三条本办法对基于CDMA 1X 、EVDO网络的无线VPDN 业务的业务描述、业务管理、业务受理及处理、客户服务、计费与结算等方面进行了规定。
第四条本办法的制定权、解释权、修改权属于中国电信云南公司政企客户部。
第五条本办法自颁布之日起执行。
第二章业务描述第六条业务描述无线VPDN 业务是基于CDMA 1X 、EVDO高速分组数据网络,利用L2TP 隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。
用户可使用移动终端或PC 通过无线VPDN 网络安全地访问客户网络或应用系统。
第七条业务开放范围无线VPDN 业务属全国性业务,面向中国电信政企客户及133、153、189 用户开放,全国CDMA 网络覆盖范围内均可通达,用户在全国范围内漫游仍能使用本业务。
第八条使用无线VPDN 业务的用户根据其属性可分为如下两类:(一)客户:通过专线等方式接入中国电信网络,为终端提供无线VPDN 接入的政企客户;(二)终端用户:通过无线VPDN 业务接入到客户网络或应用系统的中国电信移动网用户。
第九条业务功能(一)可为客户构筑基于CDMA 1X 、EVDO高速分组数据网络的虚拟专用拨号网络;(二)可与中国电信提供的行业应用整合,提供安全的无线接入及应用一体化解决方案。
第十条系统组成和使用方式中国电信无线VPDN 业务网络包括PDSN、接入AAA 服务器、LNS 和LNS AAA 服务器等设备。
移动终端使用无线VPDN 用户名和密码拨号,将用户信息发送到漫游地接入AAA,漫游地接入AAA 根据终端IMSI 将用户信息发送到归属地AAA,归属地接入AAA 对IMSI 和域名进行绑定认证后,在PDSN 和LNS 设备间建立L2TP 隧道连接,再经LNS AAA认证后,由LNS AAA 或LNS 为终端分配客户网络地址,实现终端与客户网络间的数据通信。
CDMA VPDN
CDMA VPDN产品概述:手机、电脑上都能用,为客户的数据传输提供安全通道。
主要特点1、接入方式简单,可以实现多点到点的星型拓扑,有效节省了自己内部网络设备的投资,降低企业总体通信成本。
2、使用互联网安全协议,可以搭建经过加密的L2TP隧道和加密IP sec隧道,保证数据传输的私密性,实现专网传输。
3、采用基于专用账号的“一次拨号,两次认证”体系,保证了单点接入的安全性和可靠性4、采用DHCP方式分配地址,用户可以定义私网IP域的范围和数量,同Internet隔离实现安全可靠的传输。
5、网络覆盖范围广,网络接入多样,价格低廉。
产品介绍:VPDN是虚拟专用拨号网络(Virtual Private Dialup Network),CDMA VPDN即CDMA 1X 分组域的VPDN业务,体现的是无线上网的概念,是利用CDMA 1X高速分组数据网络为移动用户构建虚拟专用网络,从而使企业用户在任何地点都能够通过CDMA 1X网络无缝和安全的连接到企业内网。
功能描述:CDMA VPDN业务采用VPDN技术,为广大客户提供基于中国电信CDMA 1X网络之上的VPN数据专网,VPDN为分支点建立连接到企业内部的私密隧道,基于隧道可以实现企业内部数据安全,高速、便捷的传输。
用户通过VPDN可以实现总部对分支机构的远程管理,远程监控,业务应用等多方面数据传输需求,节省了用户的通信成本,提高了企业管理运作效率,同时也为客户业务用于的扩展提供了很好的保障。
分支企业使用VPDN专用帐号拨入企业总部,实现本地的数据到企业总部数据中心的上传,实现信息共享,交互和相关业务应用的处理。
产品优势:CDMA 1X VPDN可以为各企事业单位提供无线接入的专用网络。
VPDN为用户提供了一个移动无线虚拟企业网平台,企业或集团用户通过VPDN系统与企业专网数据系统进行数据交互,只有经过合法认证的用户才能够与专网系统进行数据通信。
资费标准:类型单价数量总计备注一次性开通费用VPDN总头接入元/线1 按照专线资费标准CDMA UIM卡开通一次性费元/张n 10 带VPDN功能不同于普通上网卡月租费VPDN总头月租费元/线/月1 按照专线资费标准目前只能使用MPLS VPNVPDN域名使用费元/个/月1 1000CDMA UIM专线上网月租费元/张/月n 500 计时包月+功能费CDMA UIM专线上网月租费元/张/月n 30 50小时+功能费办理方式:客户经理用户通过政企部或区局政企客户经理申请开通CDMA VPDN使用方法:在手机或其他终端上输入cdma vpdn账号,密码,拨号进入cdma vpdn网络。
中国电信基于3G无线VPDN方案
5
深圳分公司(政企客户部)
2、组网模式
个性化需求
双电路承载方式:由AAA下发两个LNS地址,轮询下发。
电信侧
共享AAA 用户侧
LNS1
AAA 企业A
PDSN CDMA
CN2
LNS2
1、建立PPP会话,进行AAA认证
建 立 连 接 流 程
2、建立L2TP隧道 3、建立PPP会话,LNS进行AAA认证,分配IP地址 4、路由连通,进入企业内部网络
深圳2011世界大运会综合信息服务全球合作伙伴
9
深圳分公司(政企客户部)
特 殊 功 能
• 无线上网卡IMSI号码不用户帐号绑定(VPDN上网卡不账号的一一绑定, VPDN上网卡只能由指定的账号使用,增强安全性); • 管理功能(提供基于web方式的管理界面,自行对VPDN账号管理<增/册/改>、 功能绑定、日志查询等功能); • 用户账号不固定IP绑定;
深圳2011世界大运会综合信息服务全球合作伙伴
PDSN
CN2
LNS
AAA服务器
Cisco(ACS)/ Juniper(SRB) /首信科技 (CASH2000)/IEA( RadiusNT)…
自有LNS+共享AAA
共享AAA LNS CDMA PDSN CN2 LNS 企业A 企业B
共享 AAA 主要 功能
基 本 功 能
• 用户鉴权 • 用户认证
3)主端电路月租费,按月对企业统一收取;
4) 无线远端功能费,按月对企业统一收取; 费用项目
无线宽带流量费
说明
资费
收取对象
终端用户
按月对终端用户收取,具体费用参照 行业应用无线宽带套餐标准收取。 按照所包流量费用收取 (只可使用包流量套餐) 按月对企业统一收取 共享LNS共享AAA 500元/月/域名 自建LNS自建AAA 1000元/月/域名
VPDN组网、维护及业务开展剖析
() 2vPDN业 务 的 逻 辑 实 现 实现VP DN业务的三类关键设备为L AC、
LN S、 R AD I S。 U
户 域 名 ;二 次 认 证 ,L AC端 认 证 时 认证 用 户 域 名和 密码 ,校 验 的 是 域 名 的 密码 ,不 是 用 户 表 中 的 密 码 ;局 端 详 细 认证 ,L 端 认证 用 户 域 AC 名 、 账 号 、用 户 密 码 、绑 定 属 性 ( 带 包括 电 窄 话 号 码 ,宽 带 包 括 P VC或 者 VL AN等 ) ;局 端 绑 定 认 证 ,L 端 认 证 用 户 名 、绑 定 属 性 、域 AC 名等 ,不 认 证 用 户 密 码 。
过 VP DN相 关 设 备 构 建 客 户 专 用 通 道 ,实 现 用 户 分 支 点 与 用 户 中心 点各 类 业 务 的 安 全 通 信 。 窄 带 vPD N 用 户 通 过 电 话 线 接 入 本 地 P T ,经本 地拨 号 服 务 器 接 入 宽 带 I 网 。在 宽 SN P
动发 现 ,有 效 提 升 无 线VP DN业 务 运 行 可靠性 。
L TP 道 转 发 至 用 户 中 心 端 LNS, 2 隧 用 户 中 心 端 L 认 证 通 过 后 ,返 回 认 Ns 证 成 功 信 息 并 分 配 用 户 终 端 I 地 址 经 P GG N转 发 至 终 端 。 S
AP N平 台返回认证 成功 信息并分配 用
户 终 端 I地 址 到GGS ,GGS P N N将 这 些 信 息 转 发 至 无 线v DN终端 。 P
目前 ,AP N平 台认 证 方 式 主 要 支
目 V DN 务 开展 中 需注 意 P 业 的 问题
() 线 VPDN业 务 开 展 注 意 1有
VPDN专线概念
什么是VPDN?VPDN(Virtual Private Dial-Network),即―V信通‖业务,基于中国宽带网,用户只要拨打中国电信―V信通‖特服号―17979‖,利用安全的L2TP隧道传输协议,就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道,从而安全访问企业内部网资源。
VPDN全名为虚拟私有拨号网络(VirtualPrivateDialupNetworks),是指以拨号接入方式上网,通过对网络数据的封包和加密在公网上传输私有数据,达到私有网络的安全级别,从而利用公众交换电话网络(PSTN)的架构来构筑企业之私有网络。
中国网通利用所拥有PSTN及Internet网络资源推出VPDN业务,使企业不必再自行投资建立昂贵的广域网络,只需在自己的局域网中建立VPN服务器,即可利用中国电信China Net庞大的Internet资源构建企业自己的私有网络。
企业出差人员可以远程经过公共网络,利用V信通先进的IP虚拟通道技术,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道。
因此,企业和移动办公人员可以通过公共网络的拨号及接入网,实现虚拟专用网,得到企业网的共享资源。
V信通(VPDN)的功能特点1、通过对网络数据的封包和加密在公网上传输私有数据,达到私有网络的安全级别,从而利用公网来构筑企业之私有网络。
2、使用V信通业务,企业无需自行投资建立昂贵的广域网络便可以建立自己的私有网络,且节省长途拨号费用,减少企业运营成本。
3、VPDN利用PSTN拨号接入企业的私网,只要有电话,使用者无论在什么地方都可以进入企业私网。
V信通技术介绍V信通使用隧道技术(类似于点对点连接技术),在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。
主要实现以下功能:1、将数据流量强制到特定的目的地2、隐藏私有的网络地址3、在IP网上传输非IP协议数据包4、提供数据安全支持V信通业务面向的用户群V信通系统是为企业级用户推出的基于拨号的虚拟专用网技术,它的主要用户群为:–提供专业服务的ICP;–企业,特别是较大规模的跨省市甚至是跨国企业–教育系统;–证券业;–虚拟ISP;V信通的业务类别根据用户使用VPDN业务的区域范围,VPDN业务分为全国性业务和省内业务。
无线VPDN业务介绍
VPDN网络 L2TP
LAC
LNS
MSAP
4G Router
银行总部
1、通过无线路由器提供VPDN专线备份业务 2、借助无线网络,没有链路成本投入,开通快捷,部署方便,运营成本低
可编辑
场景二:应急救灾
在接入段光缆出现故障时,使用无线路由器直接替代光缆两端的光电转换设备, 即光纤收发器, 使得用户网络业务得以恢复。
无线VPDN业务介绍
中国电信云南分公司客户支撑中心 2016年8月
1
第一部分 无线VPDN简介
2
VPDN的概念
企业利用运营 商提供网络平 台构筑了自己
的私有网络
Virtu al(虚拟)
通过拨号 或虚拟拨 号方式接
入
Dialup
(拨号)
Priva te(专用)
传输内容经过封 包、加密,具有 高安全性
只有授权的用户 可以使用企业内 部的资源
Netwo rk(网络)
运营商将覆盖范围 很广的公共网络平 台提供给用户组建 私有网,用户可以 组建最大范围的专 用网络
VPDN英文为Virtual Private Dial-up Networks,又称为虚拟专用拨号网,是VPN业务 的一种,是基于拨号用户的虚拟专用拨号网业务。
无线VPDN组网
eNodeB
S-GW
P-GW
LTE/e-HRPD
AAA
CDMA2000
BSS
PDSN
网关
VPDN接入平台
LNS/AAA
防火墙
业务流 L2TP隧道 GRE隧道 认证流
企业网 企业网
• 无线VPDN AAA ( RADIUS 认证服务器) :对帐号、密码进行认证,根据帐号向LNS返 回固定IP。相当于二层Radius的功能。可使用用户已有的认证服务器、或路由器自带 的 AAA 认证功能。
VPDN简介及配置实例分析
VPDN简介及配置实例分析摘要:近年来,我国互联网技术发展十分迅速,在我国社会各领域中的应用范围十分广泛。
互联网如今已走入我国各企业、公司办公领域中,使各企业、公司在经营管理与信息数据处理上更为便捷。
随着各国企业、公司向办公多元化发展,很多企业用户都需要随时随地的接入公司内部专网,使企业员工在业务洽谈时可以灵活的调动企业内部信息资源,所以各企业用户在近年来加强VPDN 的建设。
VPDN是建立在VPN的基础之上,使企业业务通信与内部信息共享时安全性得到有效保障,而且VPDN在使用上更加灵活便捷,提高企业员工异地办公效率,同时降低了企业因异地业务洽谈中信息共享造成的基础成本过大现象。
文章就现阶段VPDN发展现状,以及应用实例问题进行分析。
关键词:VPDN;配置;实例;分析在VPDN为得到实际发展应用之前,企业员工在异地办公调取企业内部相关数据信息时,需要通过MODEM拨号方式对企业内部网络进行连接,在取得企业内部网络连接之后利用Telent与FTP网络服务进行数据获取。
这种传统的异地连接企业内部网络获取数据信息的方式较为陈旧,而且在运用中企业需要支付高额的长途电话费用,使异地办公成本显著增加,而且在数据获取过程中安全性得不到有效保障。
VPDN的应用可以有效解决这一问题,企业员工在异地工作时,可以利用当地ISP中的VPN服务对企业内部网络进行连接,公司内部的RADIUS可以对员工进行准确验证,使数据传输过程中安全性受到保障,同时在这数据传输过程中的成本可以得到有效控制。
1 VPDN基本概念简述VPDN(Virtaul Private Dial Network),是在VPN基础上建立而成的,同时也是隶属于VPN中的一种业务,对使用拨号连接网络方式用户建立的虚拟专用拨号网络业务(如图1所示)。
用户在网络连接方式选择上选用拨号上网模式,在使用IP网络中内部网络相关功能时,需要内部网络进行验证以及授权功能,在这个基础上建立出的虚拟专用网络,其基础功能依旧是承载在IP网络之内,同时也是一种新的互联网技术应用。
VPDN 宽带网络介绍
加油站VPDN网络介绍与故障处理流程一、VPDN概述VPDN –Virtual Private Dial-up Networks(虚拟专有拨号网络)VPDN是一种在Internet公网上通过加密的隧道进行通信的拨号接入虚拟专网技术。
油站和经营部通过VPDN网络连接到公司的专用网络,使油站和经营部的电脑处在一个网络内部,而不需要借助其他软件(如:VPN等)。
二、油站VPDN网络结构1.在线站网络结构如下图示,中控前台、后台、发卡点电脑通过网线连接到TP-LINK路由器,而TP-LINK路由器通过网线与ADSL MODEM相连接,再使用ADSL MODEM的路由功能连接到电信服务器,通过电信的服务器处理加密后经过公司网关进入公司内网。
通过TP-LINK路由器把三台电脑连接在同一个局域网内,使得三台电脑能够共享网络资源、打印机,更重要的是使前、后台正常连接,保证前、后台正常工作。
目前由于技术原因使用路由器拨号上网不稳定,使得只能使用ADSL MODEM的路由功能连接VPDN,所以连接ADSL MODEM的网线连接到TP-LINK路由器的1、2、3、4号网线插座上,而不是连接到W AN网线插座上。
当这技术问题处理完后,我们将用回TP-LINK路由器的路由功能,则连接ADSL MODEM 的网线连接到W AN网线插座上。
在线加油站网络结构示意图2.离线站网络结构如下图示,中控电脑通过网线与ADSL MODEM 相连接,再使用ADSL MODEM的路由功能连接到电信服务器,通过电信的服务器处理加密后经过公司网关进入公司内网。
与在线站相比离线站设备少,网络简单,只有一台电脑,故不需要路由器或者交换机。
离线加油站网络结构示意图三、油站网络设备1.TP-LINK4口路由器TP-LINK8口路由器前面板TP-LINK8口路由器后面板2.ADSL MODEM(1)阿尔卡特502 MODEM注意:当此型号宽带连接指示灯(LINK)长时间不停闪烁时表示宽带连接有问题,应该马上检查电话线是否连接好,和重新启动MODEM。
中国电信VPDN业务介绍(
企业用户VPDN组网
远端拨 2 号用户
2宽带拨号接入:
不支持漫游,需要进行帐 号与线路的绑定
得ቤተ መጻሕፍቲ ባይዱ企业端用户授 权,使用特定的帐
号和密码
LAC L2TP
L2TP LAC
1
专线接入
LNS
1
企业端 用户
远端拨 号用户
3
窄带拨号接入:
支持全省及全国的漫游
客户专线配置-ERX
客户FR/ATM专线通过三层连接与网关连接 interface atm x/y.z
VPDN培训主要内容
一、固网VPDN业务介绍 二、C网VPDN业务介绍
L2TP网络结构及认证过程
1. 用户发起与LAC之间的PPP连接; 2. LAC通过Radius对用户进行第一层Radius认证,对域名进行认证; 3. Radius根据域名返回对应的隧道属性,包括LNS IP、隧道类型、隧道密码等; 4. LAC根据隧道属性向LNS发起建立隧道请求; 5. LAC与LNS间建立L2TP隧道; 6. 在隧道中为用户建立Session,LAC把和用户协商得到的LCP选项和验证信息送给LNS; 7. LNS向二层Radius发起对用户帐号/密码的认证,并为用户分配IP地址; 8. Radius认证通过返回相关信息给LNS; 9. LNS为用户反馈IP地址及相关信息;
VPDN业务介绍
深圳电信政企客户支撑中心
VPDN概述
VPDN – Virtual Private Dial-up Networks(虚拟专有拨号网络)
VPDN是一种在Internet公网上通过加密的隧道进行通信的虚拟专网 技术。
VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本 企业/封闭站点的虚拟专用网络,以实现企业与各分支机构间、分支机构 与分支机构间、企业与合作伙伴间的多种网络通信。即作为VPDN的最终 用户,只需与平时拨号上网一样,通过拨本地号就能方便、经济、安全 的接至本企业的专用网络,达到在办公室里办公同样的效果。
VPDN业务
VPDN业务一.业务介绍:VPDN业务 Private原意为私有的,但在电信业务中译为“专用较好”故VPDN业务全称应为虚拟专用网。
1.概念介绍:虚拟私有拨号网络利用Internet来传输私有信息而形成的网络。
虚拟私有网提供的是公用网络的虚拟链路。
VPDN基本技术:(1)企业内部资源享用者通过PSTN连入本地ISP的接入服务器,即可相互通信。
(2)企业开设VPDN服务所需的设备很少,只需在企业内部放置一台VPDN服务器即可(一般为一台路由器)。
(3)在LAC和LNS之间(局端与被访问端)使用了一种称之为Tunneling的技术。
支持Tunneling技术的协议有三种:PPTP、L2F、L2TP。
其中L2TP协议较为常用。
(4)NAS和LNS之间可以协商加密传输,其它用户无法看到隧道中传输的数据信息,因此安全性可以得到保证。
业务资费:2.VPDN资费包含两部分:中心端专线接入INTERNET的费用和VPDN远端拨号用户的费用。
二.资源情况VPDN业务采用与窄带16900、96163等业务混群拨号,共用同一接入服务器。
根据数据通信维护中心9月13日提供的数据显示:16900主叫与注册、96163主叫、16901主叫、VISP拨号等四项业务合计在同一时段高峰在线人数不超过6000人,16900卡类用户高峰时段在线人数约为1400人左右(2003年9月份运维部数据),二者合计高峰在线人数不超过7000人。
三、申请费用:中心端用户专线接入INTERNET的开户费、线路费(专线租费)和网络使用费按照中国公用计算机互联网业务资费标准收取。
一次性费用:开户费:300元调测费:500元中国公用计算机互联网资费按163专线接入INTERNET速率资费执行。
中国电信VPDN网路及业务技术
中国电信IP网VPDN网路及业务技术要求(草稿)1.总则1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号VPN业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。
待国家技术体制正式颁布之后按体制规定执行。
1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等方面的主要技术依据。
1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、灵活性和统一性。
2.中国电信IP网上VPDN系统结构组成中国电信IP网上VPDN系统组成分为以下几个部分:(1) VPDN业务的承载网,即中国电信的IP网;(2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心;(3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
整体系统组成如下图所示:2.1 中国电信VPDN业务的承载网VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网,2.2 全国VPDN业务管理中心VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP 网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。
全国VPDN业务管理中心在功能上可由以下功能模块部分组成:(1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。
(2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国电信IP网VPDN网路及业务技术要求(草稿)1.总则1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号VPN 业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。
待国家技术体制正式颁布之后按体制规定执行。
1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等方面的主要技术依据。
1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、灵活性和统一性。
2.中国电信IP网上VPDN系统结构组成中国电信IP网上VPDN系统组成分为以下几个部分:(1) VPDN业务的承载网,即中国电信的IP网;(2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心;(3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
整体系统组成如下图所示:2.1 中国电信VPDN业务的承载网VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网,2.2 全国VPDN业务管理中心VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。
全国VPDN业务管理中心在功能上可由以下功能模块部分组成:(1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。
(2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。
该模块采用主备用设置。
(3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
全国用户管理模块、用户认证模块、计费结算帐务模块关系图2.2 省级VPDN业务管理中心各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。
省级VPDN业务管理中心在功能上可由以下功能模块部分组成:(1)用户管理模块:主要负责省内VPDN业务的受理、省内VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、省内VPDN业务用户帐务信息管理。
(2)用户认证模块:主要负责省内VPDN业务RADIUS认证和全国VPDN业务认证向全国VPDN业务管理中心认证系统的转送、计费信息采集、省内负责VPDN 业务所有接入服务器和省内VPDN业务用户网关设备的登记等。
该模块可采用主备用设置,也可只采用主用设置。
(3)计费结算帐务模块,主要负责省内VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是省级VPDN业务管理中心用户认证功能系统设备和用户管理功能系统设备以及省内所有负责VPDN业务接入服务器,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
省级用户管理模块、用户认证模块、计费结算帐务模块关系图2.3 VPDN拨号接入系统中国电信在各省市城市的VPDN拨号接入系统采用在省内需要提供VPDN业务的城市配置独立的接入服务器的方式实现,接入服务器的信息应配置在省级VPDN业务管理中心的用户认证模块中,同时各省应将该接入服务器的信息上报全国VPDN 业务管理中心,该信息也要配置在全国VPDN业务管理中心的用户认证模块中。
接入服务器首先指向省级VPDN业务管理中心的用户认证模块的主用系统,备用指向用户认证模块的备用系统,若省级VPDN业务管理中心的用户认证模块无备用系统,则备用指向全国VPDN业务管理中心的用户认证模块。
2.4 用户系统用户系统包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
企业内部网的管理系统在功能上包括用户认证模块、用户管理模块、计费帐务模块(企业可根据情况选择配置),其中用户认证模块与中国电信的各级VPDN管理中心的用户认证功能模块应能互操作。
(1)用户管理模块:主要负责可以使用VPDN方式访问公司内部网用户的注册登记、该用户的信息(包括每个用户申请的用户名、密码等)管理。
(2)用户认证模块:主要负责使用VPDN业务用户访问内部网的最终认证,在最终认证通过后远程用户才可访问内部网,同时该模块还负责向远程用户分配内部网地址(一般是内部网使用的保留地址),最终认证完成后L2TP隧道才是成功建立,此时各级VPDN业务管理系统才开始计费信息采集,该模块还负责计费信息采集。
用户认证模块可采用主备用设置,也可只采用主用设置。
(3)计费帐务模块,主要负责内部网对访问用户的计费、帐务生成。
3.中国电信VPDN业务技术实现协议使用标准中国电信在提供VPDN业务时采用IETF组织的L2TP协议作为隧道协议。
4.中国电信VPDN业务用户接入识别方式中国电信在IP网上提供VPDN业务采用特服号+用户域名识别方式(一次认证)。
一次认证指中国电信各级VPDN业务管理系统只根据用户注册的完整域名进行认证,只要确认域名是注册的就通知接入服务器准备建立隧道,而不对用户是否有权使用该域名进行认证。
特服号采用179XX作为国内VPDN业务的接入号。
5.中国电信VPDN业务描述中国电信在IP网上提供的VPDN业务可分为全国范围的VPDN业务和省内的VPDN 业务。
全国范围的VPDN业务指申请了该业务的用户能在全国范围内使用该业务,省内的VPDN业务指申请了该业务的用户只能在本省内使用该业务,出省后无法使用。
用户申请全国业务还是省内业务要采用不同用户域名体系结构来标识,初期用户域名体系结构可采用以下方式:全国VPDN用户域名:username@GroupName省内VPDN用户域名:username@GroupName.{省市名称}省市名称用于区分各省内业务。
其中GroupName是企业用户向中国电信申请业务时,由中国电信和用户商定后注册登记的。
Username由企业内部网向用户提供,该名称的分配是由企业负责。
对于申请省内业务的用户必须有省市名称。
“省市名称”的编码如下:若企业没有合法域名,可采用与中国电信商定后注册登记的方式,但不得使用以上任何省市名称编码作为标识。
6.中国电信VPDN业务管理中心用户认证模块功能和认证流程中国电信的VPDN业务两级管理中心中的用户认证模块认证协议采用RADIUS协议,该协议遵循IETF RFC2138(RADIUS)和RFC2139(RADIUS ACCOUNTING)标准。
用户认证模块在功能上按以下划分:全国VPDN业务管理中心系统负责要求提供全网VPDN业务的用户认证,省级VPDN业务管理中心系统负责只要求本省内VPDN 业务的用户认证。
不同用户的认证过程如下图所示:VPDN用户在拨叫该业务时,首先到省级VPDN业务管理中心的RADIUS认证服务器,通过用户完整域名的识别判断是省内业务还是全网业务,如果是省内业务则在省级完成认证,如果不是则由省级转至全国VPDN业务管理中心完成认证。
具体的认证流程如下图所示:7.中国电信VPDN业务管理中心网络管理模块各级VPDN业务管理中心网络管理功能上可分为:故障管理、配置管理、性能管理和安全管理。
(1) 全国VPDN 业务管理中心网络管理模块全国VPDN 业务管理中心网络管理对象主要是内部局域网内的所有系统设备。
内部局域网配置设备包括局域网交换机、路由器、用户认证系统、计费帐务结算系统、用户和业务管理系统。
新建局域网结构见下图。
以上设备的故障管理、配置管理、性能管理和安全管理由全国VPDN 业务管理中心负责。
(2)省级VPDN 业务管理中心网络管理模块省级VPDN 业务管理中心网络管理对象主要是省内提供VPDN 业务的NAS 设备、用户认证系统设备、用户管理系统设备、省级VPDN 业务计费和帐务系统设备。
其中用户认证系统设备、用户管理系统设备作为新配设备安装在中国电信中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网业务定位调整后的163/169网省级管理系统局域网内。
省级应设置专门的对提供VPDN 业务的NAS 设备管理的设备,将NAS 相关信息输入用户认证系统的工作由各省完成,同时各省应将以上信息上报至全国VPDN 业务管理中心。
对于省级用户认证系统设备、用户管理系统设备、省级VPDN 业务计费和帐务系统设备、提供VPDN 业务的NAS 设备的故障管理、配置管理、性能管理和安全管理由省级VPDN 业务管理中心负责。
(3)用户端设备管理如果用户希望中国电信提供外包管理服务,今后可采用在各级VPDN 业务管理中心配置管理平台设备,负责提供对用户端所有设备的管理。
8. 中国电信VPDN 业务计费VPDN 业务计费分为全国性的VPDN 业务的计费结算系统和省级VPN 业务计费系统。
全国VPDN 业务管理中心负责管理全国的VPDN 业务计费帐务结算系统设备,省级VPDN 业务管理中心负责管理各省的VPDN 业务计费帐务系统设备。
VPDN 业务计费作为一个组成部分应纳入目前中国电信准备建设的全国数据及多10M以太网连接注:磁盘阵列全国VPDN业务管理中心局域网网络结构图媒体业务计费结算子系统中,但该系统建成需要一个过程,在建成之前可采用以下建设方案:全国性VPDN业务的计费帐务结算系统采用新建方式,负责全国性VPDN业务的计费、帐务、结算。
省级VPDN业务管理中计费帐务结算系统采用在各省配置的用户认证模块向目前各省使用的IP业务计费系统提供标准的API接口(包括数据格式和定义内容等方面)的方式,并且各省应将VPDN业务计费功能模块纳入到该系统中。
VP D N业务计费采用非实时计费方式,计费信息采集点在各级VPDN业务管理中心的用户认证系统上。
VPDN业务计费采用通信时长x费率的方式。
9.中国电信VPDN业务管理VPDN业务管理最终应纳入数据业务计算机综合服务管理系统中。
为了使VPDN业务尽快开通,初期采用在各级VPDN业务管理中心配置用户管理系统设备的方式实现。