业务系统IP专网接入方案

中国移动C M N E T省网及城域网业务接入规范版本号0.9.0X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信集团公司发布目录1.概述 (2)2.互联网接入业务 (3)2.1.家庭宽带接入业务 (3)2.2.IPOE上网业务 (3)2.3.集团客户宽带接入业务 (4)3.虚拟专线/专网业务 (6)3.1.三层MPLS VPN业务 (6)3.2.二层VPN业务(VPLS) (7)4.WLAN接入业务 (8)4.1.AC集中化部署 (8)4.2.AC分布式部署 (9)5.基于CM-IMS的语音业务 (11)6.自有业务系统的互联网接入 (12)7.IPTV业务 (14)8.IDC业务 (16)1. 概述中国移动CMNET省网及城域网定位为数据、语音、视频业务的综合承载网络，提供多种业务在城域的互联及CMNet骨干网/省网的接入。

中国移动CMNET省网及城域网承载的业务可分为互联网接入类、虚拟专线/专网、中国移动提供的语音和多媒体类三大类，其典型业务如下所述。

主要涉及阿郎SR7750、华为ME60、爱立信SE800共3款SR/BRAS设备，以下为这三款设备的配置举例。

2. 互联网接入业务互联网接入业务分为PPPOE接入业务、IPOE接入业务和专线接入业务三种种类型。

2.1.家庭宽带接入业务PPPOE上网业务为城域网承载的默认业务。

在GPON的ONU和二层接入交换机上为每个用户配置一个VLAN，在OLT或者汇聚交换机部署选择性QinQ，加载外层标签，实现VLAN的扩展。

二层宽带汇聚交换机透传外层标签。

SR/BRAS做为宽带接入网关，在下行GE端口终结SVLAN，并通过和后台的交互实现宽带用户的精确绑定。

PPPOE上网业务实现示意图如下所示：修改图中文字图2-1 家庭宽带接入业务示意图2.2.IPOE上网业务IPOE接入业务采用DHCP动态IP 地址分配方式，在GPON的ONU和二层接入交换机上为每个用户配置一个VLAN，在OLT或者汇聚交换机部署选择性QinQ，加载外层标签，实现VLAN 的扩展，二层宽带汇聚网透传外层标签。

CMNET城域数据网技术方案--业务接入、VLAN规划、路由方案（v1.3）中国移动通信集团山东有限公司二零一零年六月文档修改历史目录1 城域数据网概述 (4)1.1网络定位 (4)1.2业务定位 (4)1.3分流与实现 (4)1.4QoS部署方案 (5)1.5城域网组网示意图 (5)2 省网、城域网路由协议部署 (6)2.1IGP协议规划 (7)2.2OSPF协议规划： (8)2.3Metric规划： (10)2.4BGP协议规划： (11)3 城域数据网组织层次以及设备命名规范 (13)4 IP地址规划与分配原则 (15)5 CMNET与GPRS、IMS、PON、PTN、业务系统互联组网 (17)5.1CMNET与GRPS互联 (17)5.2CMNET与IMS(核心网、SBC)互联组网 (17)5.3CMNET与PON互联组网 (17)5.4CMNET与PTN/IP RAN互联 (18)5.5CMNET与业务系统组网 (19)6 VPN (20)7 VLAN规划 (20)8 QoS (22)9 WLAN核心网与城域数据网融合方案 (22)10 城域网VRRP规划 (23)11 城域网防火墙NAT部署方案 (23)12 个人有线宽带业务到铁通组网 (25)附1:全网视图 (28)附2:软交换关口局信令CMNET备份通道 (29)附3 省网路由器ISIS NET与is-name编号 (29)附4 路由缺省优先级 (29)附5 CMNET专线私网地址接入原则与要求 (30)附6:用户接入侧组网分析 (31)1 城域数据网概述1.1网络定位CMNet城域网界于CMNet骨干网/省网与城域接入网之间，提供多种业务在城域内的互联及CMNet骨干网/省网的接入，并且保证各种业务的安全性和服务质量。

CMNet城域网是CMNet省网在城域内的延伸，通过核心路由器上连至CMNet省网。

现阶段，CMNet城域网与IP专网不直接进行三层连接。

福建福州移动GPRS网络整改方案1 方案概述本方案描述了福建移动2G和3G核心网分组域(含Iu-PS和Gb)业务割接至IP专网承载，取代原来的GPRS CE网络，旨在统一分组域系统的组网与管理，以及分组域站点与IP专网的连接方式。

2 网络现状分析2.1 福建移动GPRS组网GPRS网络承载GPRS 2G、GPRS 3G业务，接入BSC、RNC、SGSN、GGSN、DNS和NTP Server等分组域设备。

跨地市CE互访采用MPLS VPN组网，CE有单独的自治域，CE设备之间运行ISIS、MPLS、MPLS LDP、MP-IBGP等协议（厦门与龙岩、漳州、三明、南平、宁德、莆田之间）。

地市内CE互访采用多实例OSPF组网，地市内CE之间运行OSPF（福州、厦门、泉州）。

CE间使用GE电接口/光接口互联，采用ETH-TRUNK和BFD-FOR-TRUNK技术提高可靠性，ETH-TRUNK采用二三层混跑方式实现业务接入。

2.1.1厦门与龙岩、漳州、三明、南平、宁德、莆田互访规划➢所有CE设备之间运行ISIS协议作为IGP，用来承载所有CE设备的直连和环回路由，提供BGP协议的路由可达性。

➢所有CE设备之间在互联端口启用MPLS/LDP协议。

➢厦门汇聚CE兼作CE设备的VPNV4的反射器；VPN RR之间建立普通VPNV4的IBGP邻居关系，使用相同的CLUSTER-ID。

➢其他地市CE分别作为客户端与VPN RR建立VPNV4的IBGP邻居关系，通过RR反射业务路由。

2.1.2厦门本地网络规划➢NE40E-1与NE40E-2、NE40E与S8505之间运行OSPF，且在area 0内。

➢NE40E做为MCE，创建GPRS vpn instance，并把所有互联接口、业务接口、loopback口绑定入vpn intstance。

S8505由于板件的限制，无法支持MPLS VPN，所以做为单纯的CE使用，接入GhinaMobile_GPRS_2G业务。

VOICE& SCREEN WORLD众听众双向互动，从而完成向受众发送节目的新途径，突破了受众的地域限制，提高县级台节目覆盖面。

5G技术让县级台节目灵活，快速传播到受众。

记者选择合适而且有潜在影响力的话题去采访，录制短视频，可以在视频中设置一些互动的问题，让大家去踊跃留言。

然后在留言中与用户互动，吸引更多的受众参与，甚至记者自己准备好一个评论，有时候评论比内容还精彩。

5G技术并入数字全媒体结构图如下：县级台5G技术团队的建设习近平总书记指出，“媒体竞争关键是人才竞争，媒体优势核心是人才优势”，并要求新闻舆论工作者“努力成为全媒型、专家型人才”，这为县级台人才队伍的建设指明了方向、明确了目标。

5G技术应用在全媒体中，既节省了人力资源，又对人力资源提出了新的要求。

引进人才、培养人才和提高现有人员技术水平成为了迫在眉睫的事情。

县级台弱小，需要从规划编制、政策引进等方面入手，做好人才建设工作。

在劳动报酬方面向科技人才倾斜，建立科学的人才管理体系，优化人才结构，推动内容、技术、平台、渠道、经营、管理的深度融合。

5G技术使得县级台获得了新生在县级广播电视台，数字全媒体采用5G技术使得百姓喜爱的广播电视节目通过5G手机终端构建新的受众圈、粉丝圈，并且突破受众的地域限制。

县级台同样可以产生具有地方特色优秀的广播电视作品，传播给全球受众，只有这样才能更好发挥县级广播电视媒体的灵活性、特色性，服务社会，传播传承文化，创造县级台美好的未来。

（作者单位：江西省吉水县文化广电新闻旅游局）融媒体中心与省级云平台的对接，根据利用程度可分为接入模式、共建模式、托管模式。

不管采用何种模式的对接，县级融媒体中心必须通过专网实现与省级云平台的对接，并通过明确与省级云平台的生产区、互联网区等不同安全区的区隔要求与对应网络组织方案，保障县级融媒体中心技术系统的整体安全性，建设以新型主流媒体平台为核心的现代媒体传播。

融媒体融媒体是一种信息共享，充分利用网络传输，把原广播电台、电视台、网站、报刊等存在共同点和互补性的不同媒体，进行人员机构、内容生产、发布渠道等方面的整合，依据媒介属性进行信息传播的新型媒体形式。

•语音通道建设-承载方式上，由于采用SIP协议通信，需要IP专网互通。

-此语音通道与IP承载网现有的语音通道相互独立，是包含在基地省与属地省之间的VPN隧道内。

•数据通道建设-采用语音和业务数据通道逻辑分离，需要保证话务到达专席基地的同时业务数据，支撑专席基地对服务请求详细信息（客户信息、客户接触信息、转接信息等）的准同步展现。

-数据通道的建立方式，基于IP专网，省CRM新建一套接入节点，形成全国互联互通的VPN专网，从而实现和专席基地的数据互通。

-此数据通道与IP承载网现有的通道相互独立，是包含在基地省与属地省之间的VPN隧道中。

-数据通道的建立可利用的资源有：•一级客服：利用现有的一级客服通道（承载在一级BOSS枢纽上）进行数据的传输•IP专网：各省新建一套接入节点，形成全国互联互通的VPN专网，在IP承载网上规划新的VPN专网，由省系统提供标准化的服务接口，直接面向产品基地或者专席服务基地提供查询要求•网状网：利用BOSS项目规划的网状网作为数据通道，承载能力和传输质量有保障。

对比一级客服存在稳定性、时效性的问题，IP专网具有实效性、性能更高（例如手机报重发占手机报业务的比重高，对实时能力要求更高）；而对比网状网方案，网状网时间和进度上不能满足要求，IP专网方案在建设时间上有较大的优势。

在IP承载网上建立一条VPN隧道，通过灵活的QOS分类保障，对各种信令、媒体、业务带宽有效保障，达成客服系统稳定高效的传输。

2.组网方案各省客服系统通过专用的CE设备接入IP承载网，通过IP承载网划分的专用VPN通道实现信令、媒体、数据流端到端传输。

CE设备采用NE40E设备，符合中国移动IP承载网设备集采要求。

3.VPN划分说明：客服系统通过IP承载网互联形成一个覆盖全国的VPN专网。

该VPN承载客服站点之间的所有流量，包括：信令、媒体、数据。

通过设置不同的优先级别，保证信令和媒体的带宽需求。

4.业务流量走向说明：➢省和基地的系统之间有双向交互➢省和省的系统之间暂无交互6.站点方案方案说明：(一)基本拓扑●IP承载网AR路由器使用GE光纤与客服新建CE设备进行互联。

灵宝市教育专网建设与专网IP分配方案作者：贾勇伟方晓来源：《新教育时代·教师版》2017年第23期灵宝市位于豫、秦、晋三省交界，全市辖10镇5乡2个管委会，人口75万。

现有各级各类学校184所，其中小学149所、初中25所、高中6所、职业学校3所、特殊教育学校1所、教师进修学校1所，在校学生8.8万人，在职教职工7823人。

近年来，灵宝市积极贯彻国家、省、市教育信息化工作会议精神，立足良好基础，紧抓试点机遇，统筹网络、终端、资源、机制和应用能力建设，整体推进区域教育信息化，初步形成了“设施完备、资源充足、应用广泛、效能显著”的教育信息化格局。

教育信息化建设和应用工作多次受到省、市表彰奖励。

灵宝市自主开发的“灵宝市智慧教育平台”参加了2016年全国教育信息化应用成果展览。

一、教育专网建设基本情况灵宝市是河南省确定的首批教育信息化试点区域。

为加快教育信息化和智慧城市进程，2015年7月以来，灵宝市教体局致力加快推进教育专网和智慧教育项目建设，科学进行顶层框架设计，统筹规划平台部署，构建以“两网四平台”为核心的全市教育信息中心。

两网为灵宝教育信息网、教育行政办公网；四平台为教育资源平台、教研备课平台、教师继续教育平台、招生服务平台。

建成教育专网管理集控中心（教体局信息中心），部署“1266智慧教育平台”，基本形成以管理和资源为核心的区域教育信息化公共服务体系。

从2015年7月起，投入125.88万元，建成高标准的局信息中心；投入23余万元，建成与信息中心配套的联通虚拟专网；投入239.4858万元，在全市乡镇镇区以上学校建成高清海康平台；投入162.061万元，在全市34所学校部置建成视频会议终端，并实现与教体局信息中心联网。

这是我市推进以教育专网为基础的教育信息化的重要提升和突破。

坚持以国家、省教育资源为主要来源，以教育专网为支撑点，以社会教育资源为有机补充，采取骨干师资参与、学校整合推送、区域集成共享的方式，建设市级教育资源中心。

1个互联网加2个专网同时上网的解决方案：配置静态路由申明：此文章为715720162原创，转载请说明出处现在公司或者企业，都存在专网。

很多人想一台电脑同时访问专网和互联网，这个时候有什么方法可以实现呢？-------------------------------------------------------------------------------现在我们假设有一个互联网+2个专网的情况。

（下面的账户密码全部是假设的，现实中不存在）互联网拨号电信的光纤账户DZADSL6221111密码XXXXXXX专网一：ip地址10.10.10.2ip网关10.10.10.1专网一的服务器的ip地址10.10.2.4专网二：ip地址20.20.20.2ip网关20.20.20.1专网二的服务器的ip地址20.20.2.4------------------------------------------------------------------------------一共有3个方案可以解决-------------------------------------------------------------------------------第一种方案，价格便宜，操作稍微复杂。

适合个人用户（因为很多人不愿意多花钱去买多wan口路由器或者独立网卡）(715720162本人原创，网上没有的)需要一个普通家用路由器，几十块的一个，无线或者有线的都可以。

互联网插wan口，专网一插lan口，专网二插lan口，家用电脑网线插lan口。

（lan口，可以不分顺序）如下图比如我现在有个tplink的家用路由器，路由器默认地址192.168.1.1，登录账户admin 密码admin登录路由器，记得把路由器的LAN口设置为192.168.0.1 （因为电信的光猫的地址是192.168.1.1.所有我们把路由器ip设置跟光猫不一样,如果你用的路由器是dlink的，默认lan口地址就是192.168.0.1，这样的话就不用改了）wan口设置pppoe拨号，输入电信光纤的账户密码，如下图路由器设置完成，保存，重启下路由器，OK了。

1个互联网加2个专网同时上网的解决方案：配置静态路由申明：此文章为715720162原创，转载请说明出处现在公司或者企业，都存在专网。

很多人想一台电脑同时访问专网和互联网，这个时候有什么方法可以实现呢？-------------------------------------------------------------------------------现在我们假设有一个互联网+2个专网的情况。

（下面的账户密码全部是假设的，现实中不存在）互联网拨号电信的光纤账户DZADSL6221111密码XXXXXXX专网一：ip地址10.10.10.2ip网关10.10.10.1专网一的服务器的ip地址10.10.2.4专网二：ip地址20.20.20.2ip网关20.20.20.1专网二的服务器的ip地址20.20.2.4------------------------------------------------------------------------------一共有3个方案可以解决-------------------------------------------------------------------------------第一种方案，价格便宜，操作稍微复杂。

适合个人用户（因为很多人不愿意多花钱去买多wan口路由器或者独立网卡）(715720162本人原创，网上没有的)需要一个普通家用路由器，几十块的一个，无线或者有线的都可以。

互联网插wan口，专网一插lan口，专网二插lan口，家用电脑网线插lan口。

（lan口，可以不分顺序）如下图比如我现在有个tplink的家用路由器，路由器默认地址192.168.1.1，登录账户admin 密码admin登录路由器，记得把路由器的LAN口设置为192.168.0.1 （因为电信的光猫的地址是192.168.1.1.所有我们把路由器ip设置跟光猫不一样,如果你用的路由器是dlink的，默认lan口地址就是192.168.0.1，这样的话就不用改了）wan口设置pppoe拨号，输入电信光纤的账户密码，如下图路由器设置完成，保存，重启下路由器，OK了。

互联网专线业务技术方案目录一、互联网专线业务1．产品名称2产品的简要介绍3．产品特点4．网络结构图5．接入速率6．网络优势二、MPLSVPN业务1．产品名称2．产品的简要介绍3．产品特点4．产品的优势5．MPLSVPN技术简介6．网络组网拓扑图7．接入速率8．网络优势互联网专线业务技术方案一、互联网专线业务1．产品名称：LAN+光纤2．产品的简要介绍：光纤接入是指XXXX宽带互联网（CMNET）局端与客户之间完全或部分地以光纤作为传输媒体。

光纤接入网有多种方式，最主要的有光纤到路边、光纤到大楼和光纤到家，即常说的FTTC、FTTB和FTTH。

3．产品特点l传输距离远：光纤连接距离可达70公里。

l传输速度快：光纤接入能够提供10Mbps、100Mbps、1000Mbps的高速带宽。

l损耗低：由于光纤介质的制造纯度极高，所以光纤的损耗极低，这样，在通信线中可以减少中继站的数量，提高了通信质量。

l抗扰能力强：因为光纤是非金属的介质材料，使用光纤作为传导介质，不受电磁干扰。

4．网络结构图5．接入速率光纤接入能够提供2Mbps 、10Mbps、100Mbps、1000Mbps 的高速宽带，且直接汇接于XXXX宽带互联网（CMNET）来实现宽带应用，主要适用于集团客户高速接入Internet。

6．网络优势lCMNET省网出口目前带宽达到40G，承载业务种类齐全，现有业务负载较小，网络质量远远优于其他运营商。

lCMNET省网与城域网核心设备使用了当今主流的华为顶级路由器NE5000E，接入设备与核心路由器之间采用双路由、，双备份，保证了XXXX互联网稳定高效运行。

二、MPLS VPN业务1．产品名称：MPLS VPN2．产品的简要介绍：XXXXMPLS VPN网络是基于国内领先的CMNET 网，使用MPLS交换技术，为企业用户提供虚拟专网服务，在Internet 上利用安全、认证、加密等技术为企业建立专用线路；VPN 虚拟专网，是一个通过Internet将个人和系统安全相连的技术，即利用公用基础建设为企业各部门提供安全的互联网服务。

联通WCDMA专网介绍一、客户无AAA认证方式WCDMA专网接入APN过程：1、客户通过一条专线接入联通公司WCDMA网络，双方互联路由器之间采用私有IP地址进行连接，在联通认证路由器与用户认证路由器之间建立加密隧道。

2、联通为专属用户分配专用的APN，普通用户不能进入该APN。

只有联通分配的WCDMA 专网卡才能进入该APN网络，防止其他非法用户的进入。

3、在HLR里针对单个号码添加用户专属APN ，号码有了专属APN后进行拨号，联通GGSN会根据用户拨号时携带的APN与HLR里的数据进行比对，如果用户拨号的APN与HLR 中的APN是一致的 GGSN才会允许其接入用户的专线。

4、GGSN为通过认证的用户分配用户内部IP地址。

5、端到端加密：终端和服务器平台之间采用端到端加密，避免信息在整个传输过程中可能的泄漏。

6、双方采用防火墙进行隔离，并在防火墙上进行IP地址和端口过滤。

WCDMA专网系统终端上网登录服务器平台的流程如下：1、用户发出WCDMA登录请求，请求中包括由联通公司为WCDMA专网系统专门分配的专网APN；2、根据请求中的APN，联通网络向其DNS服务器发出查询请求，找到与企业服务器平台连接的GGSN，并将用户请求通过GRE隧道封装送给GGSN；3、GGSN为通过认证的用户分配用户内部IP地址。

4、用户得到了IP地址，就可以携带数据包，对WCDMA专网系统信息查询和业务处理平台进行访问。

二、客户端建立AAA认证方式WCDMA专网接入APN过程：1、客户通过一条专线接入联通公司WCDMA网络，双方互联路由器之间采用私有IP地址进行连接，在联通认证路由器与用户认证路由器之间建立加密隧道。

2、联通为专属用户分配专用的APN，普通用户不能进入该APN。

只有联通分配的WCDMA 专网卡才能进入该APN网络，防止其他非法用户的进入。

3、用户在内部建立RADIUS服务器，作为内部用户接入的远程认证服务器。