电信VPDN网路及业务技术
VPDN业务及详解
云南电信VPDN业务管理中心用户管理、认证、计费服务器
认证通过后返回用 户端网络服务器的 IP地址、隧道口令 等信息给宽带接入 服务器,否则返回
拒绝信息
认证通过后, 用户获得企业 内部地址,用 户与企业内部 进行安全通信
企业用户管理服务器
云南电信ADSL 接入网络
IP宽带网 隧道
宽带接入服务器
用户端网络服务器
经济性 企业的各个分公司之间传统的网络连接方式一般是租用专线,随 着分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费 用昂贵 VPDN提供通过拨号或虚拟拨号方式构建网络,有数据传输的时 候才建立连接、传输数据,节约用户初期网络建设的投入以及使 用过程中的电路租费
网络可扩展性 用户中心点接入VPDN平台以后,增加任何接入点不会影响到网 络拓扑结构的改变,只需接入点具备接入条件就可以通过运营商 提供的VPDN网络平台接入企业的虚拟专用网,很好的满足了网 络平滑升级的要求
3
背景介绍-------
现状
网络的发展促使许多企业希望通过网络实现资源共享、 提高工作效率、实现企业信息化
企业间、部门间的互联往往是通过构建专网来实现
企业的小型分支机构或外出员工需要与获取公司资源, 往往通过拨号上网拨入企业内部网,无法保证其安全性 和可靠性,建网成本高,通信费用较高
4
背景介绍-------
安全性 云南电信提供的IP宽带网以及各种接入网络非常安全可靠 隧道技术的使用以及对隧道传输数据进行加密,保证数据仅在指定的发送者 和接收者间安全传输
14
主要内容 背景介绍 VPDN的概念 云南电信VPDN业务平台介绍 云南电信VPDN业务平台提供的接入方式 云南电信VPDN业务平台组网方案介绍 总结
中国电信无线宽带VPDN业务数据配置规范V1[1].0
![中国电信无线宽带VPDN业务数据配置规范V1[1].0](https://img.taocdn.com/s3/m/37ab64360b4c2e3f572763b0.png)
中国电信无线宽带VPDN业务数据配置规范V1.0(征求意见稿)中国电信集团公司网络运行维护事业部二○○九年二月目录1总则 (4)1.1编制说明 (4)1.2缩略语 (4)1.3编写依据 (5)2业务网络参考模型 (6)2.1业务定义和使用范围 (6)2.2业务网络参考模型 (6)2.3业务实现原理 (8)2.4业务应用场景 (8)3CN2 VPN189配置要求和客户接入方案 (10)3.1CN2 189 VPN数据配置要求 (11)3.1.1LNS地址规划 (11)3.1.2CN2 VPN189配置要求 (13)3.1.3CN2 VPN189城域延伸配置要求 (14)3.2客户接入方案 (15)3.3AAA服务器设置 (19)3.4VR专线VPN方案 (20)4分组域设备业务数据配置要求 (22)4.1业务认证流程 (22)4.2VPDN 账号规则 (23)4.3认证方式 (25)4.4终端用户IP地址获得方式 (26)4.5业务控制 (26)4.6省内VPDN业务及漫游数据配置要求 (27)4.6.1PDSN配置要求 (27)4.6.2LNS配置要求 (28)4.6.3接入AAA配置要求 (29)4.6.4VPDN AAA配置要求 (29)4.6.5终端要求 (29)4.7跨省VPDN业务及漫游数据配置要求 (30)4.7.1PDSN配置要求 (30)4.7.2LNS配置要求 (31)4.7.3接入AAA配置要求 (32)4.7.4VPDN AAA配置要求 (32)4.7.5终端要求 (32)4.8AAA计费及通信费话单字段要求 (32)5附录:利用L2TP实现VPDN技术概述 (42)1总则1.1编制说明本规范对基于CDMA 1X技术的中国电信无线宽带VPDN业务各场景下的业务认证流程、组网方案、VPN拓扑结构、IP地址规划、分组域设备数据配置要求等内容进行了规定,旨在从操作层面规范中国电信无线宽带VPDN业务数据配置。
无线VPDN介绍
业务优势
CDMA独有的软切换技术使用户在高速移动中也能确保持续稳定连接。 CDMA独有的软切换技术使用户在高速移动中也能确保持续稳定连接。在 独有的软切换技术使用户在高速移动中也能确保持续稳定连接 CDMA1X网络全国良好覆盖的基础上, CDMA1X网络全国良好覆盖的基础上,3G 网络在全国已实现领先的广域 网络全国良好覆盖的基础上 覆盖,江苏城乡全覆盖,因此CDMA 网络可满足业务在全国部署的要求。 覆盖,江苏城乡全覆盖,因此CDMA 网络可满足业务在全国部署的要求。
安全性高
适用N系统包括:业务终端(3G上网卡+PC、手机、数据终端等)、3G无 无线VPDN系统包括:业务终端(3G上网卡+PC、手机、数据终端等)、3G无 VPDN系统包括 上网卡+PC )、3G 线网络、电信VPDN平台、LNS路由器(出口路由器)、客户端AAA、LNS接入专线 线网络、电信VPDN平台、LNS路由器(出口路由器)、客户端AAA、LNS接入专线 VPDN平台 路由器 )、客户端AAA (CN2电路)以及客户网络。 CN2电路)以及客户网络。 电路
无线VPDN产品介绍 无线VPDN产品介绍
嵌入式团队 2010.8
中国电信南京分公司
业务概述
无线VPDN 是基于CDMA高速分组数据网络( CDMA高速分组数据网络 1X/EV-DO), 无线VPDN 是基于CDMA高速分组数据网络(CDMA 1X/EV-DO), 利 用L2TP 隧道技术为政企客户的无线移动用户构建 的与公众互联网完全隔离的 虚拟专用网络。客户网络使用专线电路或宽带接入电信CDMA分组数据网, 虚拟专用网络。客户网络使用专线电路或宽带接入电信CDMA分组数据网, CDMA分组数据网 终端用户可以使用手机、PDA、无线上网卡+PC、 终端用户可以使用手机、PDA、无线上网卡+PC、CDMA 无线路由器或 +PC CDMA数据设备等方式通过VPDN 拨号安全访问客户网络或应用系统。 CDMA数据设备等方式通过VPDN 拨号安全访问客户网络或应用系统。 数据设备等方式通过
中国电信“无线VPDN”业务管理
中国电信云南公司“无线VPDN”业务管理办法(试行)第一章总则第一条中国电信无线VPDN 产品可满足政企客户利用CDMA1X 、EVDO高速分组数据网络构建与公众互联网隔离的虚拟专用网络,以实现安全地访问客户网络或应用系统的需求。
为规范无线VPDN 业务的销售和服务,特制定本办法。
第二条本办法适用于指导、规范省公司、各州市分公司经营和管理无线VPDN 业务。
第三条本办法对基于CDMA 1X 、EVDO网络的无线VPDN 业务的业务描述、业务管理、业务受理及处理、客户服务、计费与结算等方面进行了规定。
第四条本办法的制定权、解释权、修改权属于中国电信云南公司政企客户部。
第五条本办法自颁布之日起执行。
第二章业务描述第六条业务描述无线VPDN 业务是基于CDMA 1X 、EVDO高速分组数据网络,利用L2TP 隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。
用户可使用移动终端或PC 通过无线VPDN 网络安全地访问客户网络或应用系统。
第七条业务开放范围无线VPDN 业务属全国性业务,面向中国电信政企客户及133、153、189 用户开放,全国CDMA 网络覆盖范围内均可通达,用户在全国范围内漫游仍能使用本业务。
第八条使用无线VPDN 业务的用户根据其属性可分为如下两类:(一)客户:通过专线等方式接入中国电信网络,为终端提供无线VPDN 接入的政企客户;(二)终端用户:通过无线VPDN 业务接入到客户网络或应用系统的中国电信移动网用户。
第九条业务功能(一)可为客户构筑基于CDMA 1X 、EVDO高速分组数据网络的虚拟专用拨号网络;(二)可与中国电信提供的行业应用整合,提供安全的无线接入及应用一体化解决方案。
第十条系统组成和使用方式中国电信无线VPDN 业务网络包括PDSN、接入AAA 服务器、LNS 和LNS AAA 服务器等设备。
移动终端使用无线VPDN 用户名和密码拨号,将用户信息发送到漫游地接入AAA,漫游地接入AAA 根据终端IMSI 将用户信息发送到归属地AAA,归属地接入AAA 对IMSI 和域名进行绑定认证后,在PDSN 和LNS 设备间建立L2TP 隧道连接,再经LNS AAA认证后,由LNS AAA 或LNS 为终端分配客户网络地址,实现终端与客户网络间的数据通信。
无线VPDN组网解决方案
中国电信股份有限公司北京分公司 2012 年 4 月
中国电信股份有限公司北京分公司
目录
第一章:客户需求分析 ............................................................................................... 3 1.1 项目背景说明 ..................................................................................................3 1.2 项目建设目标 ..................................................................................................3
2.2 VPDN 产品功能特点
2.2.1VPDN----组网结构 无线 VPDN(无线虚拟拨号专网)开放范围:后付费无线宽带用户
拨号接入方式: 公网接入(进入 Internet) Ctnet@ Vnet.mobi #777 专线接入(进入企业转网)
中国电信股份有限公司北京分公司
中国电信股份有限公司北京分公司
2.1.2 VPDN 主要应用: 远程办公:工作人员不管人在何处,都可以利用 PDA 智能手机 进行远程办公,处理公文,收发电子邮件。 远程信息查询:通过 PDA 智能手机,基于该系统远程登录单位 内部核心网,实现信息查询。 信息采集:所采集的信息包括新建文件,现场图片,现场视频片 断,销售定单等等信息通过无线终端传输到中心网络。
家信息安全认证”证书。 CDMA1X 是唯一一家通过该安全认证的无线安全产品。
中国电信基于3G无线VPDN方案
5
深圳分公司(政企客户部)
2、组网模式
个性化需求
双电路承载方式:由AAA下发两个LNS地址,轮询下发。
电信侧
共享AAA 用户侧
LNS1
AAA 企业A
PDSN CDMA
CN2
LNS2
1、建立PPP会话,进行AAA认证
建 立 连 接 流 程
2、建立L2TP隧道 3、建立PPP会话,LNS进行AAA认证,分配IP地址 4、路由连通,进入企业内部网络
深圳2011世界大运会综合信息服务全球合作伙伴
9
深圳分公司(政企客户部)
特 殊 功 能
• 无线上网卡IMSI号码不用户帐号绑定(VPDN上网卡不账号的一一绑定, VPDN上网卡只能由指定的账号使用,增强安全性); • 管理功能(提供基于web方式的管理界面,自行对VPDN账号管理<增/册/改>、 功能绑定、日志查询等功能); • 用户账号不固定IP绑定;
深圳2011世界大运会综合信息服务全球合作伙伴
PDSN
CN2
LNS
AAA服务器
Cisco(ACS)/ Juniper(SRB) /首信科技 (CASH2000)/IEA( RadiusNT)…
自有LNS+共享AAA
共享AAA LNS CDMA PDSN CN2 LNS 企业A 企业B
共享 AAA 主要 功能
基 本 功 能
• 用户鉴权 • 用户认证
3)主端电路月租费,按月对企业统一收取;
4) 无线远端功能费,按月对企业统一收取; 费用项目
无线宽带流量费
说明
资费
收取对象
终端用户
按月对终端用户收取,具体费用参照 行业应用无线宽带套餐标准收取。 按照所包流量费用收取 (只可使用包流量套餐) 按月对企业统一收取 共享LNS共享AAA 500元/月/域名 自建LNS自建AAA 1000元/月/域名
(5.2)运营商的VPDN服务【全业务组网砖家指引】
PPP端
系统和 L2TP 协议处理能力的设备, LAC 一般就是一个网络接入服务器( NAS ,Network
Access Server),它通过 PSTN/Internet 为用户提供网络接入服务。
LNS(L2TP Network Server ),用于处理 L2TP 协议的服务器。在一个 LNS 和 LAC 对之 间存在着两种类型的连接,一种是隧道( tunnel)连接,它定义了一个 LNS 和 LAC 对;另
作为 VPDN 主端的总部采用 10M 专线连接到 LNS。
该组网特点
第3页
91 告诉我 91 告诉我们
91 告诉我
(1)拨号终端用户使用的地址仍然是私有
IP 地址,但是终端用户能够“借用”公网的通路
(L2TP 隧道)访问公司的私网, LNS 是连接 Internet 公网和公司私网的桥梁。
(2)数据的安全性有保障:公网上的其他非
一种是会话( session)连接,它复用在隧道连接之上,表示承载在隧道连接中的每个
PPP
会话过程。
企业用户可以采取窄带( PSTN 网络)和宽带( ADSL 接入、 PON 接入等)的方式来使
用 VPDN 组网业务。
第1页
91 告诉我 91 告诉我们
91 告诉我
主端是企业网络的核心, 企业的主要网络与信息资源放在主端。 从端是企业网络的分支,
VPDN (Virtual Private Dialup Network )即虚拟专用拨号网络,是 VPN 技术的一种,主
要应用于拨号 (电话、 ADSL )接入的用户组建虚拟专网的场合。 VPDN 具有投资小见效快、
实现简单等优点,因此各运营商都在大力发掘客户的
中国电信无线VPDN业务培训课件
无线VPDN业务与其他移动业务是否冲突? 无线 VPDN 业务作为一个单独的业务提供,不与其他业务冲突。终 端用户既可以单独开通无线VPDN 业务,也可以在开通无线VPDN 业 务的同时开通其他业务。
共享LNS/AAA
中国电信CN2 精品业务网络
VPDN虚拟专用网2
163 internet
客户自备安全服务器 LNS/AAA
VPDN虚拟专用网3
用户接入及 CDMA无线侧
中国电信无线 VPDN业务网
客户自备安全服务器 LNS/AAA
企业内网及行 业应用平台
PPT学习交流
12
VPDN的隧道建立1. 过接程入AAA
PPT学习交流
15
账号管理
客户使用电信的LNS和AAA设备 中国电信管理用户账号
客户自行采购安装LNS和AAA设备 客户自行管理用户账号
PPT学习交流
16
目录
1)需求分析 2)产品定义 3)业务实现 4)业务优势 5)资费结构 6)附录
PPT学习交流
17
同质产品比较
无线VPDN业务:无线 接入安全便捷,对 上层应用透明传递。 高带宽、高安全性。
互联网隔离的虚拟专用网络,以实现安全地访问客户网络或应用系统的需 求。
➢ 业务开放范围
无线VPDN业务属全国性业务,向中国电信政企客户及133、153、189用户 开放,全国CDMA 网络覆盖范围内均可通达,用户在全国范围内漫游仍能 使用本业务。
PPT学习交流
ቤተ መጻሕፍቲ ባይዱ
3
无线VPDN使用场景需求
电信移动网分组域3GVPDN业务介绍
甘肃电信移动网分组域3GVPDN业务介绍(20160606)一、3G移动VPDN相关术语二、3G移动VPDN业务开放范围3G移动VPDN业务属全国性业务,面向中国电信政企客户及133、153、189等多号段及物联网用户开放,全国CDMA网络覆盖范围内均可通达,用户在全国范围内漫游仍能使用本业务。
三、无线VPDN的业务定义3G移动VPDN业务是基于CDMA2000 1X高速分组数据网络,利用L2TP隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。
用户可以使用移动终端或PC通过无线VPDN网络安全地访问客户网络或应用系统。
基本功能:企业用户申请并开通中国电信无线VPDN业务后,可以通过无线上网卡+电脑、CDMA1X手机+数据线+电脑、或者内置CDMA2000 1X模块的定制终端三种方式,随时随地安全连接到企业内网,为客户构建基于CDMA1X 高速分组数据网络的虚拟专用拨号网络或者与中国电信提供的行业应用整合,提供安全的无线接入及应用一体化解决方案。
一般情况下,用户拨号获取的IP地址为动态的私有IP。
使用无线VPDN业务的用户根据其属性可以分为如下两类:1)主端客户:通过专线等方式接入中国电信网络(目前为CN2),为终端提供无线VPDN接入的政企客户;2)终端用户:通过无线VPDN业务接入到客户网络或应用系统的中国电信移动网用户。
移动VPDN业务的定义1、无线VPDN拨号用户IP地址池:无线VPDN远端客户通过CDMA1X2000拨号,分配的动态IP地址范围。
中国电信无线VPDN集中LNS业务的IP Pool必须为私网地址,如10.0.0.1-10.0.0.255;192.168.1.1-192.168.1.255等。
自建LNS的IP Pool由企业用户规划,在VPDN LNS上进行配置。
2、无线VPDN企业域名:域名是企业使用中国电信无线VPDN业务的重要标识,也是用户身份的标签,每个使用无线VPDN业务的企业客户都有唯一的域名。
VPDN技术简介
VPDN技术简介(通过公共开放网络加密传输专网数据隧道型网络)VPDN是拨号业务的VPN,指利用公共网络的拨号及接入网实现的虚拟专用网,可为企业、小型ISP、移动办公人员提供接入服务。
VPDN能够充分利用现有的网络资源,提供经济、灵活的联网方式,为客户节省设备、人员和管理所需要的投资,降低用户的费用,所以必将得到广泛的应用。
下面就VPDN作一介绍。
一、VPDN基本原理VPDN主要由网络接入服务器(NAS)、用户端设备(CPE)和管理工具组成。
VPDN的构成如图1所示。
其中NAS由大型ISP或电信部门提供,其作用是作为VPDN的接入服务,提供广域网接口,负责与PSTN、ISDN的连接,并支持各种LAN的协议、安全管理和认证、隧道及相关技术;CPE是VPDN的用户端设备,位于用户总部,根据网络功能的不同,可以是由NAS、路由器或防火墙等提供相关的设备来担任;VPDN管理工具对VPDN设备和用户进行管理。
属于电信部门或大型ISP来管理,属于用户的设备及用户管理功能由用户方进行管理。
二、VPDN隧道协议VPDN隧道协议有点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)等几种。
1、点到点隧道协议(PPTP)PPTP是PPP(点到点协议)的一种扩展,提供了在IP网上建立多协议的安全VPN的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。
PPTP提供PPTP客户机及其服务器之间的保密通信。
通过PPTP,客户可以采用拨号方式接入公共的IP网方法是:拨号客户首先按常规方式拨号到ISP的NAS,建立PPP连接;在此基础上,客户进行第二次拨号,建立到PPTP服务器的连接。
2、第二层转发协议(L2F)L2F是可以在多种介质上建立多协方安全VPN的通信方式。
它将链路层的协议封装起来传送,因此网络的链路层完全独立于用户的链路层协议。
L2F远端用户能够通过任何拨号方式接入公共IP网络,方法是:先按常规方式拨号到ISP和NAS,建立PPP连接;然后,NAS 根据用户名等信息发起第二次连接,呼叫用户网络的服务器。
中国电信VPDN业务介绍(
ip address x.x.x.x x.x.x.x;客户内部网私有地址 ip route 0.0.0.0 0.0.0.0 x.x.x.x;到客户总部的路由
客户专线配置-SMS1800
客户专线与网关连接 dot1q profile XX pbit-setting 3 port ethernet x/y description …….. encapsulation dot1q medium speed 100 duplex full
客户城域网专线通过GRE TUNNEL与网关连接 interface tunnel gre:gre-name transport-virtual-router
vr-name
tunnel source x.x.x.x;VR的公网地址 tunnel destination y.y.y.y;客户城域网专线的公网地址
VPDN特点
组网灵活 在全网覆盖范围内均可提供对VPDN业务的接入。
安全可靠 以L2TP技术在两端建立隧道(Tunnel),通过虚拟专用的隧道来传输数 据,确保用户通信数据的安全。
操作简便 用户端同普通拨号上网一样,输入VPDN帐号就能接入私有专用网络。
节省成本 通过本地电话线拨号即可访问企业的内部网,减少用户建设专线投资。
单个添加IMSI号码,或从文件中批量导入IMSI号码, 可设置启用或禁止认证时检查域名绑定IMSI号功能。
IP地址池管理:提供添加新的IP地址池功能,可
配置设备IP、地址称名称、起始IP、截止IP,分配 方式:由设备分配或由系统分配。由设备分配的地 址池,只为用户下发地址池名称。
用户管理:提供单个用户开户和从文件导入批量开
VPDN技术简介
VPDN技术简介一、简介无线VPDN技术是基于无线3G高速分组数据网络,为分支点建立连接到企业内部的L2TP私密隧道,为客户构建的与公众互联网隔离的虚拟专用网络,基于隧道可以实现企业内部数据安全,高速、便捷的传输。
用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统。
用户通过VPDN可以实现总部对分支机构的远程管理,远程监控,业务应用等多方面数据传输需求,节省了用户的通信成本,提高了企业管理运作效率,同时也为客户业务用于的扩展提供了很好的保障。
二、技术实现VPDN通过的无线网(3G或1x)进行分支机构的接入,采用VPDN 专用帐号拨入专用的认证服务器来获得认证,在安全认证通过之后才能接入VPDN服务器获得企业网络地址,得到访问企业网络的权限。
(如果帐号没有通过认证则不具备联网的功能)VPDN业务主要基于L2TP 隧道技术实现终端用户到企业网络的安全接入,提供一个终端用户到客户网络的虚拟隧道。
在用户侧安装一台VPDN路由器,一侧连接到用户内网,另一侧连接到电信vpdn服务器AAA。
无线用户使用用户名密码(XXX@域名)做VPDN拨号,通过AAA服务器认证后与用户VPDN路由器建立L2TP 隧道,二次认证通过后路由器分配终端内网IP地址,终端用户和路由器建立PPP连接,完成客户网络的接入。
由于无线VPDN的通信信道为电信EVDO无线信道,因此在通信速率上有一定限制,远端终端节点的上行速率为1.8Mbps,下行速率为3.1Mbps,完全可以满足一般的数据通信和视频通信。
至于中心节点,由于使用光纤作为通信介质,因此,带宽灵活可调。
三、对用户的要求业务开通时,用户需投资一台路由器作为LNS,需申请长途MPLS VPN专线,通过CN2连接省PDSN设备,需申请开通VPDN域名(用于拨号认证,由电信代为申请)。
建议用户端出口设备(部署在客户中心点作为LNS服务器)采用思科2811以上或性能相当的路由器,至少配置1个100M以太网接口(用于连接电信端设备)及一个LAN接口(用于连接局域网)。
上海电信VPDN解决方案200503
客户总头内部网络
`
Adsl Modem ADSL Dslam
L2TP隧道
RJ-45网线 光纤 电话线
MPLS VPN通道
企业ADSL VPDN接入方案
上海电信VPDN网络结构 上海电信VPDN网络构成: 1、 以现有adsl网络为基础的远程宽带接入网—覆盖面 广,接入便捷、维护方便,成本低; 2、 专门为VPDN配备LNS设备—VPDN专用设备,和认 证系统结合构建完全私用和安全的通信隧道; 3、 使用和客户总头路由器相连MPLS VPN网络—高速直 达客户总头,确保安全准确的传送信息; 4、 认证系统—一次拨号,两次认证,客户可以和Internet 隔离安全无忧的接入VPDN,和总头进行通信。
900 单端总价 (个/元/月) 550 700 900 1100
基于VPDN平台的增值业务
——应用与新业务拓展中心的其他新产品与VPDN的 组合
采用VPDN方式搭建的威视通企业专用通讯平台
基于VPDN的“网络鹰眼”远程视频监控专网
目录
需求分析 技术简介
实施方案
业务分析 资费标准
可定制业务 ——客户可以使用内部地址在VPDN上开展特定 的应用,实现自己的定制业务。诸如召开企 业内部的视频会议,数据共享,专用的内部 邮箱等应用。延伸企业的内部网络。 增值业务 ——可以和专门的服务器相结合,提供诸如多方 共享数据库,多方视频会议,网络信息共享 等应用。 ——VPDN业务在价格和安全方面提供了平衡, 以低廉的价格提供了相对安全的网络接入, 具有良好的性价比。
目录
需求分析 技术简介
实施方案
业务分析 资费标准
VPDN实施方案拓扑图
`
Adsl Modem ADSL Dslam
CDMA VPDN业务 文档
CDMA VPDN 业务介绍概述手机、电脑上都能用,为客户的数据传输提供安全通道。
主要特点1、接入方式简单,可以实现多点到点的星型拓扑,有效节省了自己内部网络设备的投资,降低企业总体通信成本。
2、使用互联网安全协议,可以搭建经过加密的L2TP隧道和加密IP sec隧道,保证数据传输的私密性,实现专网传输。
3、采用基于专用账号的“一次拨号,两次认证”体系,保证了单点接入的安全性和可靠性4、采用DHCP方式分配地址,用户可以定义私网IP域的范围和数量,同Internet隔离实现安全可靠的传输。
5、网络覆盖范围广,网络接入多样,价格低廉。
内容介绍业务介绍VPDN是虚拟专用拨号网络(Virtual Private Dialup Network),CDMA VPDN 即CDMA 1X分组域的VPDN业务,体现的是无线上网的概念,是利用CDMA 1X高速分组数据网络为移动用户构建虚拟专用网络,从而使企业用户在任何地点都能够通过CDMA 1X网络无缝和安全的连接到企业内网。
功能描述CDMA VPDN业务采用VPDN技术,为广大客户提供基于中国电信CDMA 1X网络之上的VPN数据专网,VPDN为分支点建立连接到企业内部的私密隧道,基于隧道可以实现企业内部数据安全,高速、便捷的传输。
用户通过VPDN可以实现总部对分支机构的远程管理,远程监控,业务应用等多方面数据传输需求,节省了用户的通信成本,提高了企业管理运作效率,同时也为客户业务用于的扩展提供了很好的保障。
分支企业使用VPDN专用帐号拨入企业总部,实现本地的数据到企业总部数据中心的上传,实现信息共享,交互和相关业务应用的处理。
产品优势CDMA 1X VPDN可以为各企事业单位提供无线接入的专用网络。
VPDN为用户提供了一个移动无线虚拟企业网平台,企业或集团用户通过VPDN系统与企业专网数据系统进行数据交互,只有经过合法认证的用户才能够与专网系统进行数据通信。
无线VPDN(无线数传)业务方案
政企客户无线数传业务方案中国电信重庆分公司2013 年7月目录一、需求分析 (3)1.无线数传业务系统介绍 (3)2. 需求分类 (5)二、无线数传工作原理 (6)三、无线数传技术优势 (9)四、无线数传应用场景 (10)一、需求分析无线数传业务是利用中国电信移动分组数据网络为移动用户构建的虚拟专用网络,依托该业务,政府企业用户在CDMA网络覆盖的地方都能够通过中国电信移动网络安全的连接到单位及公司内网,实现个人的远程办公和业务的远程控制。
无线数传的用户根据其属性可分为二类:1.通过专线等方式接入中国电信网络为终端提供无线数传接入的政企客户;2.通过无线数传业务接入到客户网络或应用系统的中国电信移动网用户。
中国电信作为一家传统的大型电信运营商,在这个经济高速发展的重要时期,抓住时机,向广大用户提供了各种先进的网络通信服务和系统集成业务,使客户感受到信息时代所特有的快捷方便的信息交互,满足各种用户的信息化建设需求。
1.无线数传业务系统介绍无线数传业务系统构成为用户侧和电信侧。
用户侧用户终端:即CDMA手机或带CDMA无线网卡的笔记本电脑用户内网:用户总部各类应用平台LNS:即“第二层隧道协议网络服务器”,它是L2TP隧道的另一个端点,也是电信局端LAC的对端,LNS是PPP会话的逻辑终点,而PPP 会话被LAC封装成隧道形式,是从用户终端开始的电信侧LAC:即“第二层隧道协议(L2TP)访问集中器”,它是L2TP隧道的其中一个端点,也是LNS的对端,LAC处于LNS和用户终端的中间,负责转发双方的数据包,从LAC发往LNS的数据包需要封装到L2TP隧道中,而从LAC到用户终端的连接则使用cdma 1x/EVDO无线分组传输技术AAA服务器:AAA是认证(Authentication)、授权(Authorization)和记帐(Accounting)的缩写,AAA服务器负责对用户终端的身份进行验证2. 需求分类无线数传业务实现企事业单位外出、外勤人员方便、可靠的访问单位内网,开展远程办公,低成本实现企业网络的有效延伸实现业务的远程控制、远程管理,节能降耗。
无线VPDN业务介绍
中国电信云南分公司客户支撑中心 2016年8月
1
第一部分 无线VPDN简介
2
VPDN的概念
企业利用运营 商提供网络平 台构筑了自己
的私有网络
Virtu al(虚拟)
通过拨号 或虚拟拨 号方式接
入
Dialup
(拨号)
Priva te(专用)
传输内容经过封 包、加密,具有 高安全性
A1 ATM 1
B1 ATM 2
传输 网
4G LTE
EoIP1
vlan 1
A 1
Sub1:vlan1:A0 Sub2:vlan2:B0
银行总部
…
由于大多数故障都发生在接入段,核心侧很少发生故障,因此,很多备份都是针对接入 段光缆进行的,所以,接入段光缆备份基本上可以保证用户业务的连续性要求。
当采用接入段光缆备份时,用户网络不需要做任何配置及调整,因此,可以最快速的完 成备份业务的部署。
第二部分 无线VPDN备份及应急通信
解决方案
8
无线VPDN备份/应急目标
专线备份
光纤专线无线备份 其他运营商第二路 由改造 ATM机离行机备份
应急救灾
断纤设备抢修开通 点到点专线临时开 通
9
场景一:专线备份
ATM 1 ATM 2
收发器
MSAP
有线专线 无线路由器
传输 网
MSAP
MSAP
收发器 无线路由器
无线VPDN组网
eNodeB
S-GW
P-GW
LTE/e-HRPD
AAA
CDMA2000
BSS
PDSN
网关
VPDN接入平台
LNS/AAA
电信3G_VPDN说明
无线网卡的配置,界面二 这个界面 点“设置” 进入下面 界面 如果你看到这个 选择“切换网络” 进入左边的界面
选择:VPDN拨号 帐号:jhuki@jhuki.vpdn.zj; 密码:123456 两个框都打勾,点确定 在外面的界面直接点3G连接即可 如果要上网 请将“使用 VPDN拨号”的勾取消点“确定”
服务器配置说明:
接交换机的端口IP地址:192.168.0.6 掩码255.255.255.0 网关:192.168.0.1
路由器配置说明: intface fa0 ip address 192.168.0.1 255.255.255.0 des [接内网] intface fa1 ip address 192.168.101.2 255.255.255.252 des[接电信] ip route 192.168.100.0 255.255.255.0 192.168.101.1
备注:路由器能够ping通192.168.100.1
无线网卡的配置,界面一
设置—帐号设置—VPDN设置 新建一个VPDN: VPDN名称:自己填一个 帐号:jhauk@jhauk.vpdn.zj; 密码:123456 两个框都打勾,点确定 在外面的界面直接点3G连接即可 如果要上网,请将“使用 VPDN拨号”的勾取消点“确定”
192.168.100.2
ADSL 192.168.100.1 电信VPN网 ADSL 192.168.101.1
Hale Waihona Puke 192.168.101.2
192.168.0.1 192.168.0.6
192.168.100.254
电信负责的工作:无线网卡用特定的帐号密码拨号,获得192.168.100.2~254的地址 通过光纤 VPN专线和卫生院的交换机对接 光纤 VPN电信地址为:192.168.0.230 电信向 192.168.101.2做全路由 卫生院负责的工作:路由器向192.168.100.0 255.255.255.0 做路由 下一跳是192.168.101.1
中国电信VPDN业务介绍(
企业用户VPDN组网
远端拨 2 号用户
2宽带拨号接入:
不支持漫游,需要进行帐 号与线路的绑定
得ቤተ መጻሕፍቲ ባይዱ企业端用户授 权,使用特定的帐
号和密码
LAC L2TP
L2TP LAC
1
专线接入
LNS
1
企业端 用户
远端拨 号用户
3
窄带拨号接入:
支持全省及全国的漫游
客户专线配置-ERX
客户FR/ATM专线通过三层连接与网关连接 interface atm x/y.z
VPDN培训主要内容
一、固网VPDN业务介绍 二、C网VPDN业务介绍
L2TP网络结构及认证过程
1. 用户发起与LAC之间的PPP连接; 2. LAC通过Radius对用户进行第一层Radius认证,对域名进行认证; 3. Radius根据域名返回对应的隧道属性,包括LNS IP、隧道类型、隧道密码等; 4. LAC根据隧道属性向LNS发起建立隧道请求; 5. LAC与LNS间建立L2TP隧道; 6. 在隧道中为用户建立Session,LAC把和用户协商得到的LCP选项和验证信息送给LNS; 7. LNS向二层Radius发起对用户帐号/密码的认证,并为用户分配IP地址; 8. Radius认证通过返回相关信息给LNS; 9. LNS为用户反馈IP地址及相关信息;
VPDN业务介绍
深圳电信政企客户支撑中心
VPDN概述
VPDN – Virtual Private Dial-up Networks(虚拟专有拨号网络)
VPDN是一种在Internet公网上通过加密的隧道进行通信的虚拟专网 技术。
VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本 企业/封闭站点的虚拟专用网络,以实现企业与各分支机构间、分支机构 与分支机构间、企业与合作伙伴间的多种网络通信。即作为VPDN的最终 用户,只需与平时拨号上网一样,通过拨本地号就能方便、经济、安全 的接至本企业的专用网络,达到在办公室里办公同样的效果。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电信V P D N网路及业务技术Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】中国电信IP网VPDN网路及业务技术要求(草稿)1.总则1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号VPN业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。
待国家技术体制正式颁布之后按体制规定执行。
1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等方面的主要技术依据。
1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、灵活性和统一性。
2.中国电信IP网上VPDN系统结构组成中国电信IP网上VPDN系统组成分为以下几个部分:(1) VPDN业务的承载网,即中国电信的IP网;(2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心;(3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
整体系统组成如下图所示:中国电信VPDN业务的承载网VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网,全国VPDN业务管理中心VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。
全国VPDN业务管理中心在功能上可由以下功能模块部分组成:(1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。
(2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。
该模块采用主备用设置。
(3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
全国用户管理模块、用户认证模块、计费结算帐务模块关系图省级VPDN业务管理中心各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。
省级VPDN业务管理中心在功能上可由以下功能模块部分组成:(1)用户管理模块:主要负责省内VPDN业务的受理、省内VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、省内VPDN业务用户帐务信息管理。
(2)用户认证模块:主要负责省内VPDN业务RADIUS认证和全国VPDN 业务认证向全国VPDN业务管理中心认证系统的转送、计费信息采集、省内负责VPDN业务所有接入服务器和省内VPDN业务用户网关设备的登记等。
该模块可采用主备用设置,也可只采用主用设置。
(3)计费结算帐务模块,主要负责省内VPDN业务计费、帐务生成、各种信息统计分析报表生成等。
(4)网络管理模块,网络管理对象是省级VPDN业务管理中心用户认证功能系统设备和用户管理功能系统设备以及省内所有负责VPDN业务接入服务器,网络管理功能包括故障管理、性能管理、配置管理、安全管理。
省级用户管理模块、用户认证模块、计费结算帐务模块关系图VPDN拨号接入系统中国电信在各省市城市的VPDN拨号接入系统采用在省内需要提供VPDN 业务的城市配置独立的接入服务器的方式实现,接入服务器的信息应配置在省级VPDN业务管理中心的用户认证模块中,同时各省应将该接入服务器的信息上报全国VPDN业务管理中心,该信息也要配置在全国VPDN业务管理中心的用户认证模块中。
接入服务器首先指向省级VPDN业务管理中心的用户认证模块的主用系统,备用指向用户认证模块的备用系统,若省级VPDN业务管理中心的用户认证模块无备用系统,则备用指向全国VPDN业务管理中心的用户认证模块。
用户系统用户系统包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。
企业内部网的管理系统在功能上包括用户认证模块、用户管理模块、计费帐务模块(企业可根据情况选择配置),其中用户认证模块与中国电信的各级VPDN管理中心的用户认证功能模块应能互操作。
(1)用户管理模块:主要负责可以使用VPDN方式访问公司内部网用户的注册登记、该用户的信息(包括每个用户申请的用户名、密码等)管理。
(2)用户认证模块:主要负责使用VPDN业务用户访问内部网的最终认证,在最终认证通过后远程用户才可访问内部网,同时该模块还负责向远程用户分配内部网地址(一般是内部网使用的保留地址),最终认证完成后L2TP隧道才是成功建立,此时各级VPDN业务管理系统才开始计费信息采集,该模块还负责计费信息采集。
用户认证模块可采用主备用设置,也可只采用主用设置。
(3)计费帐务模块,主要负责内部网对访问用户的计费、帐务生成。
3.中国电信VPDN业务技术实现协议使用标准中国电信在提供VPDN业务时采用IETF组织的L2TP协议作为隧道协议。
4.中国电信VPDN业务用户接入识别方式中国电信在IP网上提供VPDN业务采用特服号+用户域名识别方式(一次认证)。
一次认证指中国电信各级VPDN业务管理系统只根据用户注册的完整域名进行认证,只要确认域名是注册的就通知接入服务器准备建立隧道,而不对用户是否有权使用该域名进行认证。
特服号采用179XX作为国内VPDN业务的接入号。
5.中国电信VPDN业务描述中国电信在IP网上提供的VPDN业务可分为全国范围的VPDN业务和省内的VPDN业务。
全国范围的VPDN业务指申请了该业务的用户能在全国范围内使用该业务,省内的VPDN业务指申请了该业务的用户只能在本省内使用该业务,出省后无法使用。
用户申请全国业务还是省内业务要采用不同用户域名体系结构来标识,初期用户域名体系结构可采用以下方式:全国VPDN用户域名:username@GroupName省内VPDN用户域名:username@GroupName.{省市名称}省市名称用于区分各省内业务。
其中GroupName是企业用户向中国电信申请业务时,由中国电信和用户商定后注册登记的。
Username由企业内部网向用户提供,该名称的分配是由企业负责。
对于申请省内业务的用户必须有省市名称。
“省市名称”的编码如下:对于申请全国VPDN业务的用户可使用企业在因特网上合法使用的域名。
若企业没有合法域名,可采用与中国电信商定后注册登记的方式,但不得使用以上任何省市名称编码作为标识。
6.中国电信VPDN业务管理中心用户认证模块功能和认证流程中国电信的VPDN业务两级管理中心中的用户认证模块认证协议采用RADIUS协议,该协议遵循IETF RFC2138(RADIUS)和RFC2139(RADIUS ACCOUNTING)标准。
用户认证模块在功能上按以下划分:全国VPDN业务管理中心系统负责要求提供全网VPDN业务的用户认证,省级VPDN业务管理中心系统负责只要求本省内VPDN业务的用户认证。
不同用户的认证过程如下图所示:VPDN用户在拨叫该业务时,首先到省级VPDN业务管理中心的RADIUS 认证服务器,通过用户完整域名的识别判断是省内业务还是全网业务,如果是省内业务则在省级完成认证,如果不是则由省级转至全国VPDN业务管理中心完成认证。
具体的认证流程如下图所示:7.中国电信VPDN业务管理中心网络管理模块各级VPDN业务管理中心网络管理功能上可分为:故障管理、配置管理、性能管理和安全管理。
(1)全国VPDN业务管理中心网络管理模块全国VPDN业务管理中心网络管理对象主要是内部局域网内的所有系统设备。
内部局域网配置设备包括局域网交换机、路由器、用户认证系统、计费帐务结算系统、用户和业务管理系统。
新建局域网结构见下图。
以上设备的故障管理、配置管理、性能管理和安全管理由全国VPDN业务管理中心负责。
(2)省级VPDN业务管理中心网络管理模块省级VPDN业务管理中心网络管理对象主要是省内提供VPDN业务的NAS 设备、用户认证系统设备、用户管理系统设备、省级VPDN业务计费和帐务系统设备。
其中用户认证系统设备、用户管理系统设备作为新配设备安装在中国电信中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网业务定位调整后的163/169网省级管理系统局域网内。
省级应设置专门的对提供VPDN业务的NAS设备管理的设备,将NAS相关信息输入用户认证系统的工作由各省完成,同时各省应将以上信息上报至全国VPDN业务管理中心。
对于省级用户认证系统设备、用户管理系统设备、省级VPDN业务计费和帐务系统设备、提供VPDN业务的NAS设备的故障管理、配置管理、性能管理和安全管理由省级VPDN业务管理中心负责。
(3)用户端设备管理如果用户希望中国电信提供外包管理服务,今后可采用在各级VPDN业务管理中心配置管理平台设备,负责提供对用户端所有设备的管理。
8.中国电信VPDN业务计费VPDN业务计费分为全国性的VPDN业务的计费结算系统和省级VPN业务计费系统。
全国VPDN业务管理中心负责管理全国的VPDN业务计费帐务结算系统设备,省级VPDN业务管理中心负责管理各省的VPDN业务计费帐务系统设备。
VPDN业务计费作为一个组成部分应纳入目前中国电信准备建设的全国数据及多媒体业务计费结算子系统中,但该系统建成需要一个过程,在建成之前可采用以下建设方案:全国性VPDN业务的计费帐务结算系统采用新建方式,负责全国性VPDN业务的计费、帐务、结算。
省级VPDN业务管理中计费帐务结算系统采用在各省配置的用户认证模块向目前各省使用的IP业务计费系统提供标准的API接口(包括数据格式和定义内容等方面)的方式,并且各省应将VPDN业务计费功能模块纳入到该系统中。
VPDN业务计费采用非实时计费方式,计费信息采集点在各级VPDN业务管理中心的用户认证系统上。
VPDN业务计费采用通信时长x费率的方式。
9.中国电信VPDN业务管理VPDN业务管理最终应纳入数据业务计算机综合服务管理系统中。