中国电信国际数据漫游业务及技术培训教材v2.ppt

内部资料，注意保密,内部资料，注意保密,目录,国际数据漫游业务开展情况 CtoC数据漫游组网与呼叫流程 CtoG数据漫游组网与呼叫流程,2,内部资料，注意保密 业务开展情况-CtoC,CtoC数据漫游：海外漫游协议运营商采用CDMA网络, ,漫游合作运营商：共11家。漫入已正式开通，漫出尚处于调试阶段，预计12月份业务上市 同时开通漫入、漫出： 美国：Verizon、Sprint 加拿大： Bell、Teluse 澳门：中国电信澳门公司 台湾：APT 韩国：SKT 只开通漫入： 日本：KDDI 韩国：LGT 墨西哥： Iusacell 只开通漫出： 香港：PCCW 目前提供的网络接入制式 除澳门公司漫入可接入EVDO之外，其它运营商漫入漫出只能接入1 明年将开通EVDO漫游 目前漫出时可接入的分组域业务： internet接入：ctnet，终端认证参数配置 NAI： password：vnet.mobi 黑莓应用接入：ctbb， ，终端认证参数配置（需黑莓签约终端） NAI： password：vnet.mobi,目前还不支持wap业务接入，计划明年实现,3,内部资料，注意保密,业务开展情况-CtoG, CtoG数据漫游：海外漫游协议运营商采用GSM/UMTS网络, 中国电信CtoG漫游采用Sponsor方式，中国电信只和Sponsor签订漫游协议并网,络互连，即可实现与sponsor的所有漫游伙伴运营商数据漫游。 目前合作的Sponsor有两家：HGC、Vodafone，只开通漫出业务。 HGC和记：网络已经连通，处于测试阶段，预计12月上市,可漫出国家与地区：163个国家地区的388家运营商, Vodafone：方案已经确定，尚未连通、测试，计划明年3月份业务开通,可漫出国家与地区：232个国家地区的401家运营商, 目前提供的网络接入制式,GPRS、UMTS、HSDPA, 目前漫出时可接入的分组域业务：,internet接入：ctnet，终端认证参数配置,APN：ctnet,黑莓应用接入：ctbb， ，终端认证参数配置（需黑莓签约终端）,APN：ctnet,目前还不支持wap业务接入，计划明年实现,4,内部资料，注意保密,目录,国际数据漫游业务开展情况 CtoC数据漫游组网与呼叫流程,参考模型,中国电信组网架构,CtoG数据漫游组网与呼叫流程,5,内部资料，注意保密 CtoC数据漫游组网模型,直连方式 CRX方式,用户平面 控制平面 用户平面,控制平面 CRX： CDMA Roaming eXchange 用户平面技术：SIP、L2TP、MIP 控制平面技术：Radius 6,内部资料，注意保密,CtoC数据漫游用户平面连接方式SIP, SIP：simple IP, 拜访地PDSN为终端分配IP地址，可以是公有的或私有的，如果是私有的需使用NAT。 对于Internet业务，不用返回归属地，直接在拜访地网络接入internet。, 对于归属地业务（如wap等），这些归属地DNS和应用服务器应配置公有地址，并且拜访地,和归属地的防火墙应允许漫游终端远端接入应用服务器,7,内部资料，注意保密,SIP方式AAA认证流程,8,PPP link establishment phase,PPP authentication phase,PPP network layer protocol phase,Accounting start,内部资料，注意保密,CtoC数据漫游用户平面连接方式L2TP, L2TP：Layer 2 Tunnel Protocal, 拜访地PDSN作为LAC，发起到归属地LNS的L2TP连接，归属地LNS为终端分配IP地址，可,以分配公网或私网地址。, 所有发送到终端的IP业务流量，先路由到LNS，然后以隧道方式传递到PDSN，再经拜访地移,动网络发送给终端。, L2TP天然支持归属地业务应用，应用服务器可以不使用公网IP地址。,9,LAC：L2TPAccess Concentrator LNS： L2TP Network Server,内部资料，注意保密,L2TP方式下的IP路由示例,10,内部资料，注意保密,L2TP方式呼叫流程,11,PPP link establishment phase,PPP authentication phase (by PDSN/LAC).,Control connection,establishment and tunnel authentication,L2TP session establishment,PPP authentication phase (by LNS),PPP network layer protocol phase,Accounting start,内部资料，注意保密,L2TP隧道建立流程,12,Control Connection,Setup with L2TP Authentication of,LAC / LNS,Tunnel Session,Setup,内部资料，注意保密,CtoC数据漫游用户平面连接方式MIP, MIP：Mobile IP, 拜访地PDSN作为FA，发起到归属地的MIP 注册请求，归属地HA为终端分配IP地址，可以分,配公网或私网地址。, 所有发送到终端的IP业务流量，先路由到HA，然后以隧道方式传递到PDSN，再经拜访地移,动网络发送给终端。, MIP天然支持归属地业务应用，应用服务器可以不使用公网IP地址。 支持跨网络终端IP地址携带。, MIP在HA和FA之间使用IP封装并进行路由。因此，HA和FA必须使用公网IP地址。,13,HA： Home Agent FA：Foreign Agent,CoA：Care of Address,内部资料，注意保密,MIP方式下的IP路由示例,14,内部资料，注意保密,MIP方式呼叫流程总体,15,PPP link establishment phase,PPP network layer protocol phase.,Agent advertisement and MIP registration request,FA Challenge Authentication,Security between PDSN/FA and HA,MN-HA authentication and tunnel establishment,Accounting start,内部资料，注意保密,MIP方式呼叫流程phase 1、2,16,Rejection of PPPAuthentication by MIP Mobile,内部资料，注意保密,MIP方式呼叫流程phase 3、4,17,FA Challenge Authentication of Mobile by PDSN/FA,内部资料，注意保密,MIP方式呼叫流程phase 5、6,18,Authentication of Mobile by HA,内部资料，注意保密 SIP、L2TP、MIP的比较IP地址及路由,19,比较项目 需要分配公网地址 的设备,SIP （H-,V-, AN-AAA), PDSN，归属地应,用服务器,L2TP （H-,V-, AN-AAA), PDSN/LAC, LNS,MIP （H-,V-, AN-AAA), PSDN/FA,及HA,负责分配用户IP地,址的设备,拜访地PDSN,LNS,HA（归属代理）,用户IP地址属于哪,个网络所有？,访问地网络,归属地网络,归属地网络,是否允许漫游用户 拥有固定IP地址？ 是否所有用户流量 都通过隧道返回归 属地网络？ Internet接入路径 是否可以直接访问 归属地网络应用服 务？,否归属地网不分 配IP地址 否 直接通过访问地网 络接入 需要通过访问地网 络远程接入,是 是通过建立在 LNS与PDSN/LAC 的L2TP隧道 通过L2TP隧道从归 属地网络接入 可以-移动设备本质 上“处于”归属地 网络,是 是通过建立在HA 与PDSN/FA的MIP 隧道 通过MIP隧道从归 属地网络接入 可以-移动设备本质 上“处于”归属地 网络,内部资料，注意保密 SIP、L2TP、MIP的比较需要的认证项目与机制,20,需要的认证项目,认证机制,SIP L2TP MIP,无线接入网对用户的认证 分组域PDSN对用户的认证 无线接入网对用户的认证 分组域PDSN/LAC对用户的认证 PDSN/LAC与LNS之间的设备认证 LNS对用户的认证 无线接入网对用户的认证 分组域PDSN/FA对用户的认证 PDSN/FA与HA之间的设备认证 HA对用户的认证,1：基于CAVE的电路域HLR认证； EVDO：基于CHAP的A12认证 基于CHAP或PAP的PPP认证 1：基于CAVE的电路域HLR认证； EVDO：基于CHAP的A12认证 基于CHAP或PAP的PPP认证 基于CHAP的L2TP认证 基于CHAP或PAP的PPP认证 1：基于CAVE的电路域HLR认证； EVDO：基于CHAP的A12认证 MIP FA challenge authentication扩展 IPSec 或MIP FA-HA authentication扩展 MIP MN-HA authentication扩展,内部资料，注意保密,目录,国际数据漫游业务开展情况 CtoC数据漫游组网与呼叫流程,参考模型,中国电信组网架构,CtoG数据漫游组网与业务流程,21,内部资料，注意保密 国际数据漫游关键设备及作用 漫游中的关键设备主要有PDSN、省AAA、网间AAA、BG等： PDSN（Packet Date Serving Node）： 与用户建立PPP链接，并作为AAA客户端产生、接收用户认证鉴权。根据国际漫游方式不同，PDSN可直接 在本地为用户分配IP（SIP），或通过L2TP，MIP方式由归属地网络分配IP，这时PDSN分别做LAC、FA。 省AAA（Authentication，Authorization，Accounting）： 运行Radius协议，类似电路域的HLR/VLR服务器。 对于漫入：一般情况下省AAA不完成漫游鉴权计费，它只负责把漫入用户的认证鉴权计费信息转发给网间 AAA。 对于漫出：对漫出用户进行认证鉴权。 网间AAA：北京、上海（目前只用北京） 对漫游用户进行归属地识别，并负责把认证信息转发给漫游伙伴的网间AAA。网间AAA还能对漫游伙伴的网 间AAA做路由查询。路由查询能力是指网间AAA在转发认证信息时，可以通过其他网间AAA进行中转，并最 终找到对方的网间AAA。AAA也可以用来为用户分配地址，这时AAA会向PDSN返回地址池 中国电信网间AAA负责漫入漫出计费话单的收集，集团计费中心定时提取，然后进行运营商结算，同时将漫 出话单传给省计费中心，用于生成用户账单。 国际网关BG（Border Gateway）：北京、广州（目前只用广州） 漫游伙伴间的网络出口，漫游中对归属地资源的访问都要经过BG，但SIP漫入访问公网时不必经过BG。中 国电信BG部署广州BG。电信BG对内（CN2 PI-0 VPN）宣告国外运营商的FA、HA、LAC、LNS、App Server、DNS、网间AAA的路由；对外（对方的BG）宣告电信FA、LAC（PDSN）、网间AAA、DNS的路 由。, 中国电信BG除了提供路由层面的功能，还内置了LAC、LNS业务层的功能，以及防火墙。,22,CN2 PI1,INTERNET,CN2 PI0,内部资料，注意保密 组网图控制平面,23,BG,CN2 IPv4,网间AAA,Syniverse,Aicent,Iusacell,Verizon Sprint,Bell,Teluse,IPSEC+GRE,163,省AAA,网间AAA 网间AAA,网间AAA,网间AAA,网间AAA,IPSEC+GRE,中国电信,SKT LGT 澳门,网间AAA 网间AAA 网间AAA 海外运营商及CRX,PCCW,网间AAA,CRX模式,直连模式,IPSEC IPSEC CN2 PI0,KDDI APT,网间AAA 网间AAA,IPSEC IPSEC,INTERNET,CN2 PI0,LAC,LNS,LAC,LNS,内部资料，注意保密 漫入组网图用户平面,24,BG,PDSN,Syniverse Aicent,Verizon Sprint Bell,Teluse Iusacell,LNS,IPSEC+GRE IPSEC+GRE,163 CN2 IPv4,FA FA,pub,HA HA HA,HA HA,中国电信,海外运营商及CRX,澳门 SKT,pub,APT LGT,KDDI LNS LNS,IPSEC IPSEC+L2TP IPSEC+L2TP,L2TP L2TP L2TP,LAC LAC LAC,App server All Service All Service,CN2 PI1,INTERNET,CN2 PI0,PDSN,FA,25,中国电信,海外运营商及CRX,BG,CN2 IPv4,网间AAA,Syniverse,IPSEC+GRE,Verizon,Sprint Bell,Teluse,网间AAA,163,省AAA,HA,HA,网间AAA HA 网间AAA,网间AAA,HA,内部资料，注意保密 漫入组网图与Syniverse互联 采用MIP,CN2 PI1,INTERNET,CN2 PI0,PDSN,FA,26,中国电信,海外运营商及CRX,Aicent,IPSEC+GRE,Iusacell,163 CN2 IPv4 BG,省AAA 网间AAA,HA 网间AAA,内部资料，注意保密 漫入组网图与Aicent互联 采用MIP,INTERNET,CN2 PI1,CN2 PI0,PDSN,LAC,27,中国电信,海外运营商及CRX,KDDI,IPSEC,163 CN2 IPv4 BG,省AAA 网间AAA,LNS,L2TP,pub,App Server 网间AAA,内部资料，注意保密 漫入组网图与KDDI互联 采用变相SIP,CN2 PI0,LAC,PDSN,LAC,LNS,INTERNET,CN2 PI1,LAC,LAC,LNS,28,中国电信,海外运营商及CRX,BG,网间AAA,163 CN2 IPv4,省AAA,LNS,L2TP,内部资料，注意保密 漫入组网图与APT、LGT互联 采用L2TP （隧道交换机方式）,APT LGT APT,IPSEC IPSEC IPSEC+L2TP,网间AAA 网间AAA All Service,LGT,LNS,All Service,IPSEC+L2TP,L2TP,CN2 PI1,INTERNET,CN2 PI0,PDSN,29,中国电信,海外运营商及CRX,BG,网间AAA,163 CN2 IPv4,省AAA,SKT,IPSEC,网间AAA,163,pub,内部资料，注意保密 漫入组网图与SKT互联 采用SIP 说明：SKT用户认证,比较特殊，由中国电 信网间AAA完成。计 费信息传递给SKT网 间AAA,CN2 PI1,INTERNET,CN2 PI0,PDSN,30,中国电信,海外运营商及CRX,BG,网间AAA,163 CN2 IPv4,省AAA,澳门,CN2 PI0,网间AAA,163,内部资料，注意保密 漫入组网图与澳门互联 采用SIP,pub,CN2 PI0,INTERNET,CN2 PI1,CN2 PI0,内部资料，注意保密 漫出组网图,31,中国电信,海外运营商及CRX,BG,网间AAA,Verizon Sprint Bell,163 CN2 IPv4,省AAA,网间AAA 网间AAA 网间AAA,LNS,RP,LAC,IPSEC+L2TP,CN2 PI1,pub PI1,Bell Teluse APT,PCCW,网间AAA,Syniverse APT SKT,Teluse 网间AAA 网间AAA,PCCW Verizon Sprint,IPSEC+GRE IPSEC IPSEC,LAC 网间AAA,网间AAA 除SKT采用,SIP外，其它 全部采用 L2TP,澳门 APT,Internet,内部资料，注意保密 中国电信国际数据漫游组网承载方案 广州BG通过GE双上联至CN2 PE 以VLAN方式分别接入CN2 IPv4，以及CN2 PI-0、PI-1 VPN 广州BG与对端运营商BG的互联：通过互联网实现互访 广州BG通过CN2 IPv4接入互联网，通过互联网连通对端运营商BG，BG之间建立Ipsec VPN 广州BG通过local-as方式使用CN2 AS4809与对端运营商建立EBGP会话、交互路由 广州BG向对端发布和接收的路由包括：双方FA、HA、LAC、LNS、网间AAA、DNS、应用 服务器等 广州BG与各省PDSN、网间AAA的互联：通过CN2 PI-0 VPN实现互访 BG接入CN2 PI-0，通过EBGP与PE交互路由信息 BG将对端运营商的相关设备路由信息发布到PI-0，PE将PI-0中各省FA、LAC、网间AAA等信 息发布给BG BG同时还将本地配置的LNS路由信息发布到PI-0 广州BG与中国电信ctwap、ctbb业务网的互联：通过CN2 PI-1 VPN实现互 访 BG将本地配置的ctwap/ctbb用户地址池路由信息发布到PI-1, 广州BG与中国电信ctnet业务网的互联：通过CN2 IPv4实现互访 BG将本地配置的ctnet用户地址池路由信息发布到CN2 IPv4,32,内部资料，注意保密,目录,国际数据漫游业务开展情况 CtoC数据漫游组网与呼叫流程 CtoG数据漫游组网与业务流程,参考模型,中国电信组网架构,33,34,GRX： GPRS Roaming eXchange,内部资料，注意保密 CtoG数据漫游组网模型 CRX GGSN方式 GGSN位于CRX网络，通过MIP或 L2TP连接归属网络 中国电信与HGC和记互联采用此 方案，GGSN以L2TP方式连接中国 电信BG 归属GGSN方式 GGSN位于归属网络 中国电信与Vodafone互联采用此 方案 CRX： CDMA Roaming eXchange,内部资料，注意保密,目录,国际数据漫游业务开展情况 CtoC数据漫游组网与呼叫流程 CtoG数据漫游组网与业务流程,参考模型,中国电信组网架构,35,SGSN,ISTP,电信CDMA网络 HLR,网间AAA,漫游网关 BG/LNS,IP,无线网,CT漫游用户,HGC 信令网,DNS IP分组网,GC网关,Internet,漫游国GSM网络 信令网,GGSN/ LAC,CG,业务平台 WAP网关 归属省AAA 电信分组IP网,用户发起分组 业务请求，携 带电信APN,1,内部资料，注意保密 中国电信与HGC互联CRX GGSN方式 SGSN通过信令网发起回归属地HLR（GC网关 的接入鉴权流程）,2,3b IP分组网 /GRX网络 4,SGSN建立至GGSN,5,的GTP连接 CG设备收集计费话单，,生成TAP结算话单 36,GGSN与BG之间建立的,L2TP隧道建立流程,DNS,3a,内部资料，注意保密 GGSN与BG之间建立的L2TP隧道建立流程,37,GGSN,漫游网关BG,网间AAA,归属AAA,业务平台 WAP网关,Access request （带IMSI） Access accept,Access request（需携带用户IMSI号码） Access accept：LNS地址，其他 SCCRQ SCCRP SCCCN ICRQ ICRP ICCN L2t P Dat apacket （ payl oad: PPP) LCP configuration,用户名为I MSI cal l i ng number为MSI SDN cal l ed number为APN,IPCP configuration （分配IP地址、DNS地址）,第一次认证过程，用于LAC 获得LNS设备地址 注：GGSN 与BG 间采用静态配置隧道信息方式时，不需此过程 L2TP t unnel 控制连接建立过程 L2TP会话Sessi on建立过程 PPP认证和I P地址分配过程（PPP f l ow, RFC 1661）,Access request（带IMSI号） Access accept（返回MDN号）,（class属性带MDN号） Accounting request （class属性返回MDN） Accounting request（携带MDN与IP地址对应关系） Accounting response,38,ISTP,电信CDMA网络 HLR,IP,Vodafone 信令网,GC网关,漫游国GSM网络 信令网,DNS IP分组网 BG CG,业务平台 WAP网关 归属省AAA 电信分组IP网 Internet,用户发起分组 业务请求，携 带电信APN,SGSN 1 无线网,内部资料，注意保密 中国电信与Vodafone互联归属GGSN方式 SGSN通过信令网发起回归属地HLR（GC网关的接 入鉴权流程）,2,5,话单,网间AAA GGSN BG,CT漫游