中国电信VPDN网路及业务技术

中国电信IP网VPDN网路及业务技术要求（草稿）

1．总则

1.1制定本技术要求的目的是为了在IP网VPDN（由运营商NAS发起的拨号VPN

业务）国家技术体制未正式颁布之前，中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。

1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等

方面的主要技术依据。

1.3本技术要求制定的原则是从通信建设和业务发展的需要出发，注重实用性、

经济性、先进性、灵活性和统一性。

2．中国电信IP网上VPDN系统结构组成

中国电信IP网上VPDN系统组成分为以下几个部分：

（1）VPDN业务的承载网，即中国电信的IP网；

（2）两级VPDN业务管理中心，包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心；

（3）中国电信在各省市城市的VPDN拨号接入系统，主要由接入服务器组成；（4）用户系统，包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。

整体系统组成如下图所示：

2.1 中国电信VPDN业务的承载网

VPDN业务承载网采用中国公用计算机互联网（163网）和中国公众多媒体通信网（169网）二网调整后的163/169网，

2.2 全国VPDN业务管理中心

VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分，是中国电信在IP网上提供VPDN业务的控制中心，全国VPDN业务管理中心设置在电总数据局，采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成：

（1）用户管理模块：主要负责全国VPDN业务的受理、全国VPDN业务用户信息（用户信息包括每个用户申请的完整域名、网关的公开IP地址等）管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。

（2）用户认证模块：主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。

（3）计费结算帐务模块，主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。

（4）网络管理模块，网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。

全国用户管理模块、用户认证模块、计费结算帐务模块关系图

2.2 省级VPDN业务管理中心

各省省级VPDN业务管理中心设置在中国公用计算机互联网（163网）和中国公众多媒体通信网（169网）二网调整后的163/169网的省级管理系统平台上，省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络，不单独建设。省级VPDN业务管理中心在功能上可由以下功能模块部分组成：

（1）用户管理模块：主要负责省内VPDN业务的受理、省内VPDN业务用户信息（用户信息包括每个用户申请的完整域名、网关的公开IP地址等）管理、业务营销策略管理、省内VPDN业务用户帐务信息管理。

（2）用户认证模块：主要负责省内VPDN业务RADIUS认证和全国VPDN

业务认证向全国VPDN业务管理中心认证系统的转送、计费信息采集、省内负责VPDN业务所有接入服务器和省内VPDN业务用户网关设备的登记等。该模块可采用主备用设置，也可只采用主用设置。

（3）计费结算帐务模块，主要负责省内VPDN业务计费、帐务生成、各种信息统计分析报表生成等。

（4）网络管理模块，网络管理对象是省级VPDN业务管理中心用户认证功能系统设备和用户管理功能系统设备以及省内所有负责VPDN业务接入服务器,网络管理功能包括故障管理、性能管理、配置管理、安全管理。

省级用户管理模块、用户认证模块、计费结算帐务模块关系图

2.3 VPDN拨号接入系统

中国电信在各省市城市的VPDN拨号接入系统采用在省内需要提供VPDN 业务的城市配置独立的接入服务器的方式实现，接入服务器的信息应配置在省级VPDN业务管理中心的用户认证模块中，同时各省应将该接入服务器的信息上报全国VPDN业务管理中心，该信息也要配置在全国VPDN业务管理中心的用户认证模块中。接入服务器首先指向省级VPDN业务管理中心的用户认证模块的主用系统，备用指向用户认证模块的备用系统，若省级VPDN业务管理中心的用户认证模块无备用系统，则备用指向全国VPDN业务管理中心的用户认证模块。

2.4 用户系统

用户系统包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。企业内部网的管理系统在功能上包括用户认证模块、用户管理模块、计费帐务模块（企业可根据情况选择配置），其中用户认证模块与中国电信的各级VPDN管理中心的用户认证功能模块应能互操作。

（1）用户管理模块：主要负责可以使用VPDN方式访问公司内部网用户的注册登记、该用户的信息（包括每个用户申请的用户名、密码等）管理。

（2）用户认证模块：主要负责使用VPDN业务用户访问内部网的最终认证，

在最终认证通过后远程用户才可访问内部网，同时该模块还负责向远程用户分配内部网地址（一般是内部网使用的保留地址）,最终认证完成后L2TP隧道才是成功建立，此时各级VPDN业务管理系统才开始计费信息采集，该模块还负责计费信息采集。用户认证模块可采用主备用设置，也可只采用主用设置。

（3）计费帐务模块，主要负责内部网对访问用户的计费、帐务生成。3．中国电信VPDN业务技术实现协议使用标准

中国电信在提供VPDN业务时采用IETF组织的L2TP协议作为隧道协议。4．中国电信VPDN业务用户接入识别方式

中国电信在IP网上提供VPDN业务采用特服号+用户域名识别方式（一次认证）。一次认证指中国电信各级VPDN业务管理系统只根据用户注册的完整域名进行认证，只要确认域名是注册的就通知接入服务器准备建立隧道，而不对用户是否有权使用该域名进行认证。

特服号采用179XX作为国内VPDN业务的接入号。

5．中国电信VPDN业务描述

中国电信在IP网上提供的VPDN业务可分为全国范围的VPDN业务和省内的VPDN业务。全国范围的VPDN业务指申请了该业务的用户能在全国范围内使用该业务，省内的VPDN业务指申请了该业务的用户只能在本省内使用该业务，出省后无法使用。

用户申请全国业务还是省内业务要采用不同用户域名体系结构来标识，

初期用户域名体系结构可采用以下方式：

全国VPDN用户域名：username@GroupName

省内VPDN用户域名：username@GroupName.{省市名称}

省市名称用于区分各省内业务。

其中GroupName是企业用户向中国电信申请业务时，由中国电信和用户商定后注册登记的。Username由企业内部网向用户提供，该名称的分配是由企业负责。

对于申请省内业务的用户必须有省市名称。

“省市名称”的编码如下：