省质量监督局VPDN专网接入方案1.doc

1 36 山东省质量技术监督局山东省质量技术监督局 CDMA 1XCDMA 1X 企业专网接入方案企业专网接入方案 一 概述一 概述 随着企业用户远程办公 移动办公的需求日益增长 单靠企业 自己很难构造和维护一个能满足不断增长需求的企业网络 而利用 互联网的优势建设一个网络部署灵活简便 一次性投资较小 管理 和维护成本低的虚拟专网 VPN Virtual Private Network 能很好地 满足其需要 虚拟专网 VPN 技术是指利用公众数据网络资源为企业构建虚 拟专用网的一种业务 VPN 有两层含义 它是虚拟的网 即没有固定的物理连接 网路只有用户需要时 才建立 虚拟 的概念是相对传统私人专用网络的构建方式而言的 对于广域网连接 传统的组网方式是通过远程拨号和专线连接来实 现的 而 VPN 是利用服务提供商所提供的公共网络来实现远程的广 域连接 它是利用公众网设施构成的专用网 构建在这些公共网络上的 VPN 就象当前企业私有的网络一样提供安全性 可靠性和可管理性 等 VPN 可以为企业带来以下益处 降低企业成本 可以大大节约链路租用费 设备购置费以及网络 维护费 减少企业的运营成本 除此之外 更能将 Internet 企业 内部网络 Intranet 及远程接入功能 Remote Access 整合于同一 条对外线路中 不需要像以前那样 同时管理 Internet 专线 长途 2 36 数据专线等多种不同线路 建网快捷 易扩展 只需将各网络接点接入公用网络 并对网络 进行相关配置即可迅速构建一个属于自己的专用网络 增进工作 效率与员工生产力 提高企业整体的竞争力 安全可靠 VPN 利用隧道技术 通过在公用网络上建立逻辑隧道 网络层的加密以及采用口令保护 身份验证 权限设置 防火墙 等措施 保证数据的完整性 避免被非法窃取 VPN 与传统的租 用专线相比还有一大优点 即 Internet 有一部分出现问题时 数据可重新选择路由 而专线一旦出故障则会导致相应的网络瘫 痪 简化用户的网管 大量的网管及维护工作均由服务提供商完成 总之 VPN 兼备了公众网和专用网的许多特点 将公众网可 靠的性能 丰富的功能与专用网的灵活 高效结合在一起 是介于 公众网与专用网之间的一种网 VPN 能够充分利用现有网路资源 提供经济 灵活的连网方式 为客户节省设备 人员和管理所需的 投资 降低用户的电信费用 在近几年得到了迅速的应用 根据初步探讨 济南联通和山东省质量技术监督局进行合作 利用联通公用 CDMA 1X 分组数据网与公用 IP VPN 承载网构建省质监 局私有网络 安全可靠地实现远程 移动接入 传送企业私有数据 山东省质量技术监督局内部员工配备无线上网设备 通过 CDMA 1X 网络连接至省质监局私有网络 实现安全移动办公 3 36 二 二 VPNVPN 相关技术介绍相关技术介绍 2 1 一般 VPN Virtual Private Network 介绍 即虚拟数据专用网络 是一门网络新技术 为我们提供了一种 通过公用网络安全地对企业内部专用网络进行远程访问的连接方式 我们知道一个网络连接通常由三个部分组成 客户机 传输介质和 服务器 VPN 同样也由这三部分组成 不同的是 VPN 连接使用隧 道作为传输通道 这个隧道是建立在公共网络或专用网络基础之上 的 如 Internet 或 Intranet VPN 使用三个方面的技术保证了通信的安全性 隧道协议 身 份验证和数据加密 客户机向 VPN 服务器发出请求 VPN 服务器 响应请求并向客户机发出身份质询 客户机将加密的响应信息发送 到 VPN 服务器 VPN 服务器根据用户数据库检查该响应 如果账 户有效 VPN 服务器将检查该用户是否具有远程访问权限 如果该 用户拥有远程访问的权限 VPN 服务器接受此连接 在身份验证过 程中产生的客户机和服务器公有密钥将用来对数据进行加密 VPN 连接的示意图如下所示 4 36 VPN 技术的特点 1 增强的安全性 VPN 通过使用点到点协议 PPP 用户级身 份验证的方法进行验证 这些验证方法包括 密码身份验证协议 PAP 质询握手身份验证协议 CHAP Shiva 密码身份验证协议 SPAP Microsoft 质询握手身份验证协议 MS CHAP 和可选的可 扩展身份验证协议 EAP 并且采用微软点对点加密算法 MPPE 和网际协议安全 IPSec 机制对数据进行加密 以上的 身份验证和加密手段由远程 VPN 服务器强制执行 对于敏感的数据 可以使用 VPN 连接通过 VPN 服务器将高度敏感的数据服务器物理 地进行分隔 只有企业 Intranet 上拥有适当权限的用户才能通过远程 访问建立与 VPN 服务器的 VPN 连接 并且可以访问敏感部门网络 中受到保护的资源 2 网络协议支持 VPN 支持最常用的网络协议 基于 IP IPX 和 NetBEUI 协议网络中的客户机都可以很容易地使用 VPN 这意味着通过 VPN 连接可以远程运行依赖于特殊网络协议 5 36 的应用程序 3 IP 地址安全 因为 VPN 是加密的 VPN 数据包在 Internet 中传输时 Internet 上的用户只看到公用的 IP 地址 看不到数据包 内包含的专有网络地址 因此远程专用网络上指定的地址是受到保 护的 2 2 采用 L2TP 协议的 VPDN VPDN 即虚拟拨号专用网络 属于 VPN 的一种 运营商的 VPN 解决方案中 通常采用 L2TP Layer Two Tunneling Protocol 协议组建 VPDN 网络实现用户的 VPN 需求 L2TP 提供了对 PPP 链 路层数据包的通道 Tunneling 传输支持 它结合了另外两个通道 协议 Cisco 的 L2F 和 Microsoft 的 PPTP 的各自优点 将成为 IETF 有关 2 层通道协议的工业标准 应用 L2TP 所构建的典型 VPN 服务的结构如图 2 1 所示 应用L2TP构建的VPN服务 其中 LAC 表示 L2TP 访问集中器 L2TP Access Concentrator PC PSTN ISDN 远地分支机构 接入服务器 远地用户 内部服务器 I In nt te er rn ne et t骨骨干干网网 L L2 2T TP P通通道道 6 36 是附属在交换网络上的具有 PPP 端系统和 L2TP 协议处理能力的 设备 LAC 一般是一个网络接入服务器 NAS Network Access Server 用于为用户通过 PSTN ISDN 提供网络接入服务 LNS 表 示 L2TP 网络服务器 L2TP Network Server 是 PPP 端系统上用于 处理 L2TP 协议服务器端部分的软件 L2TP工作过程工作过程 L2TP 协议的协议的 VPDN 服务有以下几个特性 服务有以下几个特性 灵活的身份验证机制以及高度的安全性灵活的身份验证机制以及高度的安全性 L2TP 可以选择多种身份验证机制 CHAP PAP 等 具有 7 36 PPP 所具有的所有安全特性 L2TP 还可以对通道端点进行验证 这 使得通过 L2TP 所传输的数据更加难以被攻击 而且根据特定的网 络安全要求还可以方便地在 L2TP 之上采用通道加密 端对端数据 加密或应用层数据加密等方案来提高数据的安全性 地址分配支持地址分配支持 LNS 可以放置于企业网的防火墙之后 它可以对于远端用户的 地址进行动态的分配和管理 可以支持 DHCP 和私有地址应用 RFC1918 等方案 远端用户所分配的地址不是 Internet 地址而是 企业内部的私有地址 这样方便了地址的管理并可以增加安全性 网络计费的灵活性网络计费的灵活性 可以在 LAC 和 LNS 两处同时计费 即 ISP 处 用于产生帐单 及企业处 用于付费及审记 L2TP 能够提供数据传输的出入包数 字节数及连接的起始 结束时间等计费数据 可以根据这些数据方 便地进行网络计费 三 三 CDMA 1X 网络介绍网络介绍 1 移动通信市场的发展方向 移动通信市场的发展方向 互联网正在改变着我们访问信息 做出决策以及进行商业交易 的方式 移动无线行业也正在改变着我们接入互联网的方式 到 2003 年 移动设备将在历史上首次超过 PC 设备 移动性为互联网 内容供应商带来了新的机遇 由于市场的需要 移动互联网接入技术也在不断的发展 8 36 3GPP2定义了在码分多址 CDMA 环境中实现分组数据业务一系 列国际标准 为我们构建CDMA2000 1X网络提供了重要的理论依据 依次采用了CDMA2000 1X分组数据解决方案 2 CDMA2000 1X网络简介网络简介 CDMA2000 1X分组数据网络的主体可以称为PDSN网络 大体 描述如下 PDSN通过CDMA2000无线接入网络 RAN 为移动站 MS 提供到互联网 内联网以及无线应用协议 WAP 服务器 的接入 PDSN可以用作接入网关 提供简单IP和移动IP接入 外部 代理 FA 支持以及虚拟专用网的分组传输 它还作为鉴权 授权 和计费 AAA 服务器的客户机 PDSN网络与传统的路由网络类似 移动站可以是带有无线适配 器的个人计算机 个人数字助理 PDAs 或移动手持设备 它们是 互联网协议 IP 的主机 像传统路由环境中的缺省路由器一样 PDSN可以为移动站提供到IP网络的网关功能 PDSN网络与传统路 由网络的主要区别在于移动性 由于这种情况下的主机可以移动 从而必须提供一种查找主机的方法 以便把数据包转发到主机 CDMA2000 1X体系结构概述 图1介绍了CDMA2000网络的组件 移动站必须支持简单IP或移 动IP 它可以连接到与基站控制器 BSC 连接的无线塔和收发基 站 BTS BSC通过名为分组控制功能 PCF 的功能或组件以及 通用路由封装 GRE 隧道实现与PDSN的通信 PCF和PDSN可以 9 36 使用名为 RAN到PDSN R P 接口 的标准接口互相通信 这种 接口包含两个组件 用于控制信息的A11接口和用于用户数据的A10 接口 图1 CDMA2000网络组件 3 CDMA 1X网络工作原理网络工作原理 当移动站 MS 首次发出数据业务呼叫时 它与PDSN建立一 个点到点协议 PPP 会话 PDSN与被访问的IP网络中的AAA服务 器通信 以对MS鉴权 然后 AAA服务器会与归属IP网络中的 AAA服务器通信 可能通过网络中的代理AAA服务器 AAA服务 器确定用户是否为合法用户 决定用户可以使用何种业务 并对业 务使用情况进行跟踪 以便计费 10 36 当MS通过鉴权后 它可以使用IP控制协议 IPCP 来请求一个 IP地址 在简单IP路由环境中 MS由本地PDSN指定IP地址 在移 动IP环境中 归属代理 HA 在移动IP注册过程中为移动节点 MN 分配IP地址 当移动节点 MN 发觉自身不在其归属网络中时 将向其归 属代理 HA 进行注册 这是接收数据报所必需的 否则数据报不 能直接到达主机当前的位置 MN通过PDSN中的外部代理 FA 与 归属代理 HA 通信 这种通信使用IP in IP封装 RFC2003 或通 用路由封装GRE RFC1701 当MN不在其归属网络中时 它可以与一个相关地址 care of address 通常为FA的地址 相对应 当用户访问其他位置时 这 个地址可以用来标识MN 作为注册程序的一部份 HA可以把移动 性绑定置入它的绑定表 这种移动性绑定将MN的归属地址与它的相 关地址CoA相关联 当MN经过鉴权后 它可以通过所有授权的IP网络与所有授权 的IP设备通信 如果运营商提供虚拟专用网络 VPN 业务 那么 MS可以通过公用互联网或专用链路安全地访问私有资源 VPN隧道 从PDSN扩展到归属IP网络 与网络地址标识 NAI 相对应的IP网 络 例如 joemoe 的归属IP网络是 cisco 因此 这是一个直接转发的IP联网方案 当移动站开始移动时 情况将变得更加复杂 MS可以移动到不同的BTS或BSC 由于PPP 会话位于PDSN和MS之间 如图2和图3所示 MS在BTS或BSC之间 11 36 进行切换时 PDSN将保持PPP会话 然而 如果MS移动到超出 PDSN服务范围 那么会话将切换到新的PDSN 并且开始对PPP会 话进行重新协商 如果MS支持移动IP 那么HA将保持MS的IP地址 并且它 可以连接到任意的IP设备 如果MS仅支持简单IP 它可能 被指定新的IP地址 并且它拥有的所有应用层连接都可能断开 图 2 简单 IP 的协议参考模型 图 3 移动 IP 用户数据的协议参考模型 4 CDMA 1X网络优点 1 系统容量大系统容量大 同 GSM 网络比较 CDMA 1X 网络的系统容量有极大的提高 比较详见下图 12 36 GSM 10 MHz 50 个个 GSM 载载波波 10MHz 200KHz 每每载载波波 8 个个时时隙隙 包括控制信道和包括控制信道和业务业务信道信道 可配置的站型可配置的站型为为 S444 4 12 频频率复用系数率复用系数 450 载频载频基站支持的有效基站支持的有效话话音信道数音信道数 12 8 12 BCCH 84 CDMA 10 MHz 8 个个 CDMA 载载波波 10MHz 1 25MHz 每每载载波 每扇区波 每扇区 125 个个话话音信道 音信道 3 个信令信道个信令信道 每基站每基站 3 个扇区个扇区 f 1f 1 f 1 f1 f 1 f 1 f 1 f 1 f 1 f1 f 1 f 1 e 1e 2 e 3 f1 f2f 3 g 1 h 1h 2 h 3 g 2 g 3 13 36 频频率复用系数率复用系数 1 8 载频载频基站支持的有效基站支持的有效话话音信道数音信道数 8 125 3 3000 14 36 2 覆盖半径大覆盖半径大 CDMA GSM 小区覆盖随负载的变化而变化 小区在加载的情况下 覆盖保持不变 在无在无负载负载的情况下的情况下 小区半径是小区半径是标标准准GSM的的3倍倍 在每扇区在每扇区128信道的信道的负载负载条件下条件下 半径是半径是标标准准GSM的的2倍倍 GSM Max 30km CDMA Max 60km CDMA超远基站超远基站 Around150km 15 36 3 网络质量好网络质量好 软软软软 更更更更软软软软切切切切换换换换有效降低掉有效降低掉有效降低掉有效降低掉话话话话率 提高网率 提高网率 提高网率 提高网络质络质络质络质量量量量 Cell Site A H A N D O F F Cell Site B MAK E AMP S GSM B R E A K Cell Site A Cell Site B Cell Site A Cell Site B CDMA 中断中断 CDMA系系统统 小区小区 扇区切扇区切换换采用采用软软 更更软软切切换换 切换是先接续再中断 有效减低掉话 其它无其它无线线系系统统 小区小区 扇区切扇区切换换采用硬切采用硬切换换 切换是先中断再接续 容易产生掉话 16 36 17 36 4 可靠的保密性可靠的保密性 长码长码长码长码用于括用于括用于括用于括频频频频 2E422E422E42 无法空中 无法空中 无法空中 无法空中译码译码译码译码 RV Traffic from M S 1837732008 RV Traffic from M S 8764349209 RV Traffic from M S 223663748 System Access Attempt by M S 4348769902 on access channel 1 18 36 5 辐射小辐射小 绿色环保手机绿色环保手机 极极极极为为为为精确的功率控制 使得手机低功率成精确的功率控制 使得手机低功率成精确的功率控制 使得手机低功率成精确的功率控制 使得手机低功率成为为为为可能可能可能可能 CDMA手机手机 GSM手机手机 最高200mW发射功率 更低的辐射损害 最高2W发射功率 更高的辐射损害 19 36 6 CDMA 1X无线上网速率高无线上网速率高 最高可达最高可达153 6kbps GPRSGPRS 上网技术上网技术CDMA1XCDMA1X 上网技术上网技术结论结论 实测上网速率实测上网速率 30Kbps 还不如市话拨号上网 56K 快 150Kbps 约为 GPRS 的 5 倍 CDMA1X 上网可以在线播放电影 是 真正的宽带无线上网 电磁辐射电磁辐射 干扰家用电器和精密仪表 影 响身体健康 发射功率极小 仅为 GPRS 的 1 80 CDMA1X 上网是优质 健康生活方式 的体现 越区切换方式越区切换方式 硬切换 先中断后连接 易掉 线 软切换 确保持续连接 不掉 线 CDMA1X 上网技术是在高速移动中上 网的最佳选择 系统容量系统容量小于现有 GSM 基站 约为同类 GSM 基站的 5 倍以 上 CDMA1X 能支持更多的上网用户 上网方式上网方式 占用话音信道 周围打电话的 人越多网速越慢 走独立的数据信道 不争夺话 音信道资源 CDMA1X 不受周围通话繁忙影响 随 时随地上网有保证 单基站覆盖范围单基站覆盖范围 最大半径 35 公里 覆盖范围 有限 最大半径 150 200 公里 是 GPRS 基站的 5 倍以上 CDMA1X 只需设置少量基站就可全省 无缝覆盖 频谱利用率频谱利用率过渡技术 频谱利用率较低 换代技术 频谱利用率约为 GPRS 的 6 倍 CDMA1X 最大限度地利用无线频率资 源 升级难度升级难度 大量舍弃现有设备 升级困难 GPRS 手机需淘汰 平滑升级 费用很低 CDMA1X 手机可继续使用 CDMA1X 是您最安全 长久的选择 未来发展走向 未来发展走向 3G 第 3 代移动通信系统 宽带 CDMA 第 3 代移动通信系统 宽带 CDMA CDMA1X 带您率先感受下一代网络 20 36 四 四 CDMA 1XCDMA 1X 无线无线 VPDNVPDN 接入方案接入方案 1 山东省质量技术监督局端建设方案 联通互联网 省质监局专网 路由器 VPDN 网关 本方案中 VPDN 网关功能由企业网内部的路由器实现 选用同 时具备路由器功能和 VPDN 功能的网络设备 配置成 LNS 路由器 可 以和专线上网路由器合用 安装在省质监局网络信息中心 既完成 网络的连接功能 同时还完成 VPDN 的网关功能 该路由器通过本 地专线连接至济南数据机房 与济南 CDMA 1X 分组网 PDSN 作为 LAC 建立 L2TP 隧道 移动用户通过 CDMA 系统 PDSN 和 LNS 路由器 建立 PPP 连接 通过加密隧道进入企业专网并在 LNS 处得到企业私 有 IP 地址 进入省质监局专网 路由器的选型我们推荐了三种方案 分别是 CISCO 的 21 36 3640 3660 以及 7204 这三种型号的路由器都可以完成上述功能 但随着路由器型号的升高 其处理业务的能力也随之升高 3640 可 以同时处理 500 并发的 VPDN 用户 36603660 可以同时处理可以同时处理 10001000 个并发个并发 用户用户 而 7204 则可以同时处理 2000 个并发用户 因此具体的路由 器设备的选型还要根据业务量以及今后的发展来确定 2 联通端建设方案 为节约企业投资 方便企业管理 山东联通建设了一套全省 VPDN 管理系统 VPNMS 此系统可以划分独立的域 完成各域的用 户认证 计费 管理功能 出租给各 VPDN 企业使用 VPNMS 软件分 用户管理 认证 计费以及统计分析四大模块 软件采用组件化设 计方法 可以根据客户的需求任意组合插件模块来满足客户的需求 系统提供专用的管理平台对用户进行管理 操作简单 安全性高 提供企业级的认证 计费管理 支持大用户量的访问 3 省质监局端到联通端的连接方案 联通数据机房专用接入设备通过本地专线连接到省质监局信息 中心 VPDN 网关上 分配相应带宽后可以同时提供省质监局专线上网 和 VPDN 接入服务 如果不考虑专线上网需求 单纯提供 CDMA 移动 终端接入企业专网的需要 可以采用 2M 专线将省质监局信息中心 VPDN 网关接入联通 VPDN 接入设备上 4 终端用户三种接入方式 A CDMA1X 上网卡 速率 153 6K 即插即用 费用合理 该类 卡有两种 一种是笔记本电脑专用的 PCMCIA 卡 另一种是 USB 接口 22 36 的上网卡 台式机和笔记本电脑都可以使用 B CDMA1X 上网手机 速率 153 6K 即插即用 费用合理 既 可以作为手机又可以作为无线上网的 MODEM 专用数据线联接 台 式机和笔记本电脑都可以使用 C 普通电话拨号 账号全国漫游 只需拨本地 165 号码即可接 入 VPDN 网络 费用低廉 5 终端接入流程 假设在联通 VPDN 系统中设置省质监局专网域名为 sdluneng vpdn 每个移动终端的用户名为 user1 sdluneng vpdn user2 sdluneng vpdn 则具体的拨 入流程如下 1 在联通公司 AAA 处配置域名 密码 如 sdluneng vpdn 2 企业 VPDN 管理 AAA 处配置每个移动用户的用户名 密码 3 在联通公司 AAA 处进行用户名认证时只要用户域名为 sdluneng vpdn 时 则认为这次呼叫为专用 VPDN 呼叫 继续接续该次呼叫 4 企业 VPDN 管理 AAA 处进行具体用户名 密码的认证 例如 user1 sdluneng vpdn 5 认证通过后 为每个终端用户分配企业专网 IP 地址 建立 安全连接 终端就和在企业内部网上一样 享受内部网终端 23 36 的各种功能 24 36 5 组网方案示意图 济南联通济南联通 AAA HA IP分分组组网网 network End host PDSN LAC FA CDMA基站 BTS 省质监局省质监局VPDN网关网关 省质监局专网 2M专线专线 L2TP 隧道隧道 25 36 五 关于网络安全性问题的额外说明五 关于网络安全性问题的额外说明 如上文 VPN 技术介绍中所说 VPDN 网络传输过程使用隧道技术 且全程使用私网 IP 地址 与互联网实现隔绝 确保专网信息安全 高速地传输 为使运用上述方案构建的专网具有更高的安全性 移 动终端设备进入企业内部专网 还需通过多次认证和鉴权 1 无线网卡在发起数据呼叫前会在 VLR HLR 中对 IMSI 号码进行鉴权 判断是否为合法用户 VLR HLR 中的数据需用户在联通营业厅开户注册 并出示相关 用户身份证明 2 终端发起呼叫时所使用的登陆名和密码需要在 AAA 服务器中认证 3 在企业 LNS 或 AAA 处会再次对客户进行认证 用户名和密码 通过多次鉴权和数据加密解决了企业提出的内部网络安全性 及数据私密性的要求 联通 LAC 和企业 LNS 之间建立 L2TP 的 加密隧道 数据在整个传输链路上加密传输 包括运营商在内的 其他方均不能破译传输内容 保障了数据的可靠传输 本方案由运营商采用 L2TP 协议实现 VPDN 方案 不同于采用 IPSEC 技术的客户自建 VPN 方案 无须应用加密机 由于采用 IPSEC 技术的加密机解决方案中 终端分配共网 IP 地址 始终暴 漏在共网上 无论从安全性还是管理性上来说 都远比不上采用 L2TP 技术的运营商解决方案 26 36 另外 如 CDMA 技术介绍中所说 CDMA 技术最先作为美 国军方研发和使用的一项通信技术 本身具备极其可靠的安全性 保障无线网络的传输安全 通过采用 CDMA1X 和 VPDN 技术组建省质监局虚拟专网 不仅节约了大量的投资 也安全的解决了上网 企业组网 移动办 公融合问题 结合 CDMA1X 向 3G 的发展 以后移动视频的内容的 提供 将使网络平滑的向宽带方向发展 使得网络具有良好的发展 潜力 四 省质监局投资及使用费用四 省质监局投资及使用费用 1 VPDN 网关 专线接入路由器 投资 根据业务量需要选择合适的路由器 根据上网或单纯 CDMA 移动 终端接入不同需求选择合理的带宽接口 由省质监局购置安装 2 VPDN 业务使用费 100 元 月 帐号 同一账号可以在 CDMA1X 上网卡 CDMA1X 手机 拨号 VPDN 等三 种接入方式中使用 但同一账号在同一时刻只能选用一种接入方式 3 VPDN 帐户上网通信费 通过 CDMA1X 上网卡上网的通信费按照掌中宽带业务现行资费标 准执行 交纳 2400 元 捆绑一张 CDMA1X 上网卡和 6 个月不限流量上网服 务 捆绑结束后选择届时的资费套餐 27 36 交纳 3000 元 捆绑一张 CDMA1X 上网卡和 12 个月不限流量上网 服务 捆绑结束后选择届时的资费套餐 以上两种捆绑方式 每月 15 日之前入网当月按整月计费 用户 15 日之后入网当月按半月计费 收取 50 元上网服务费 4 省质监局信息中心到济南联通机房联结的专线租用费 参照本地专线租线资费标准执行 28 36 省质监局投资及使用费用统计表 序 号 费用名称费用类型设备型号单价 数 量 费用备注 1 VPDN 网关一次性投资 CISCO36401000001100000 E1 10 1 00M 以太 口 2 CDMA1X 上 网卡 一次性投资 MC3103000 若 干 含一年上 网费 3 VPDN 使用 费 每月支出月租费 100 若 干 每月每帐 号 4 CDMA1X 上 网通信费 每月支出月租费 200 同 卡 数 量 目前资费 第一年不 需交纳 5 专线租用费每月支出2M 专线 18001 6 VPDN HOSTING 软 件租用费 每月减免 7 VPDN 开户 费调测费 减免 29 36 第八部分 附录第八部分 附录 附录一 引用标准引用标准 3GPP2 P S0001 A V3 0 0 Wireless IP Network Standard July 2001 RFC 2002IPv4 Mobility May 1995 RFC 2003IP Encapsulation within IP October 1996 RFC 2004Minimal Encapsulation within IP October 1996 RFC 2005Applicability Statement for IP Mobility support October 1995 RFC 2006The Definitions of Managed Objects for IP Mobility Support Using SMIv2 October 1995 RFC 2344Reverse Tunneling for Mobile IP May 1998 RFC 3012Mobile IPv4 Challenge Response Extensions November 2000 RFC 2794Mobile NAI Extension March 2000 RFC 1661The Point to Point Protocol PPP July 1994 RFC 2290Mobile IPv4 Configuration Option for PPP IPCP February 1998 RFC 1662PPP in HDLC like Framing July 1994 RFC 1962The PPP Compression Control Protocol CCP June 1996 RFC 1974PPP Stac LZS Compression Protocol August 1996 RFC 1979PPP Deflate Protocol August 1996 RFC 1994PPP Challenge Handshake Authentication Protocol CHAP August 1996 RFC 1332The PPP Internet Protocol Control Protocol IPCP May 1992 RFC 2118Microsoft Point To Point Compression MPPC Protocol March 1997 RFC 2484PPP LCP Internationalization Configuration Option January 1999 RFC 2474Definition of the Differentiated Services Field DS Field in the IPv4 and IPv6 Headers December 1998 RFC 2475An Architecture for Differentiated Services December 1998 RFC 2597Assured Forwarding PHB Group June 1999 RFC 2598An Expedited Forwarding PHB June 1999 RFC 2139RADIUS Accounting April 1997 RFC 2138Remote Authentication Dial In User Service RADIUS August 1997 RFC 1321The MD5 Message Digest Algorithm April 1992 RFC 2868RADIUS Attributes for Tunnel Support June 2000 RFC 2401Security Architecture for the Internet Protocol November 1998 RFC 2406IP Encapsulating Security Payload ESP November 1998 RFC 2402IP Authentication Header November 1998 RFC 768User Datagram Protocol August 1980 30 36 RFC 791Internet Protocol Sept 1981 RFC 792Internet Control Message Protocol September 1981 RFC 793Transmission Control Protocol September 1981 RFC 1122Requirements for Internet Hosts Communication Layers October 1989 RFC 1918Address Allocation for Private Internets February 1996 RFC 1144Compressing TCP IP Headers for Low Speed Serial Links February 1990 RFC 2409The Internet Key Exchange IKE November 1998 ITU T Recommendation E 212 The International Identification Plan for Mobile Terminals and Mobile Users ITU T Recommendation X 509 Public key and attribute certificate frameworks 缩略语缩略语 AAAAuthentication Authorization and Accounting认证 授权 计费 ACCMAsynchronous Control Character Map异步控制字符映射 AHAuthentication Header认证报头 CA Certificate Authority证书认证 CCPCompression Control Protocol压缩控制协议 CHAPChallenge Handshake Authentication Protocol盘问握手认证协议 COACare of Address转发地址 CRLCertificate Revocation List废止证书列表 DOIDomain of Interpretation解析域 DSADigital Signature Algorithm数字签名算法 ESPEncapsulating Security Payload封装安全载荷 FAForeign Agent拜访代理 FACForeign Agent Challenge拜访代理盘问 GREGeneric Routing Encapsulation通用路由封装 HAHome Agent归属代理 IANAInternet Assigned Numbering Authority互联网地址分配机构 IETFInternet Engineering Task Force互联网工程任务组 IKEInternet Key Exchange互联网密钥交换 IMT 2000International Mobile Telecom munication 2000国际移动通信 2000系统 31 36 IPCPIP Control ProtocolIP控制协议 IPsecIP SecurityIP安全协议 ISAKMP Internet Security Association and Key Management Protocol 互联网SA和密钥管理协议 LACL2TP Access ControlL2TP接入集中器 LNSL2TP Network ServerL2TP网络服务器 L2TPLayer Two Tunneling Protocol二层隧道协议 LCPLink Control Protocol链路控制协议 MIPMobil IP移动IP MACMedium Access Control媒体访问控制 NAINetwork Access Identifier网络访问标识 PAPPassword Authentication Protocol口令认证协议 PCFPacket Control Function分组控制功能 PDSNPacket Data Serving Node分组数据业务节点 PHBPer Hop Behavior逐跳行为 PLPhysical Layer物理层 PPPPoint to Point Protocol点对点协议 PSI PCF Session ID分组控制功能会话标识 QoSQuality of Service服务质量 RADIUSRemote Authentication Dial In User Service远程认证拨号接入服务 RNRadio Network无线网络 RRPMobile IP Registration Reply移动IP注册应答 RRQMobile IP Registration Request移动IP注册申请 RSA Rivest Shamir Adleman public key algorithmRSA公用密钥算法 SASecurity Association安全联盟 SHASecure Hash Algorithm安全Hash算法 SPISecurity Parameter Index安全参数索引 TCPTransmission Control Protocol传输控制协议 UDRUsage Data Record用户数据记录 UDPUser Datagram Protocol用户数据报协议 32 36 附录二 PDSN 系统原理与移动系统原理与移动 IP 技术技术 CDMA20001X 系统是第三代移动通信系统的主要模式之一 它是在 CDMA IS95 系统的基 础上发展演进而来的一个系统 CDMA20001X 系统在继承 CDMA IS95 系统各种优点的基础上 进一步改善了系统性能 向用户提供更多的服务 并保持前向兼容性 第三代移动通信系统与第二代移动通信系统的一个主要区别在于第三代移动通信系统 能够向用户提供中高速的数据业务 在空中接口上 CDMA20001X 系统能够提供高达 144kbps 速率的数据业务 在核心网部分 CDMA20001X 系统采用了基于 IP 技术的分组网络 结构 通过互联网向用户提供 WWW 浏览 收发电子邮件 文件下载 电子商务和多媒体业 务等各种业务 本文主要介绍了 CDMA20001X 系统中的核心分组网络 PDSN Packet Data Serving Node 系统原理以及移动 IP 技术的基本特点和工作原理 一 一 PDSNPDSN 系统在网络中的位置系统在网络中的位置 CDMA20001X 系统的分组数据网是建立在 IP 技术基础上的 CDMA20001X 系统并没有试图建 立一套完整的自己独有的分组数据系统结构 而是本着尽可能地利用通信领域已经取得的 成果原则 大量地利用 IP 技术 构造自己的分组数据网络 PDSN Packet Data Serving Node 分组数据服务节点是 CDMA20001X 系统中的核心网络部 分 作为 CDMA 移动台的无线接入网关 提供简单 Simple IP 和移动 Mobile IP 接入 方式 为 CDMA20001X 移动台提供访问 Internet 或 Intranet 的服务 在 CDMA20001X 阶段 为每个用户可以最高提供 144Kbps 的接入速率 到 CDMA20001EV DO 阶段可以为每个用户提 供最高 2M 的接入速率 所以 PDSN 的发展分成两个阶段 第一阶段为目前的 1X 市场的小容 量的 PDSN 第二阶段为大容量 高性能以及支持多种业务接入的 PDSN 与 IS 95 系统相比 要完成 CDMA20001X 用户数据业务的接入 在 CDMA20001X 核心网需要 增加 PDSN HA 提供 Mobile IP 业务 和 AAA 三个功能实体 在 CDMA20001X 接入网增加 PCF 功能实体 这些新增设备主要用于满足分组数据业务传输的需求 以实现在 3G 移动通 讯系统中为终端用户提供高速接入 Internet 可视电话 电子商务等功能 33 36 CDMA20001X 网络结构组成如下图所示 3GBTS 2GBTS 2GBSC HLR AUC AAA Server MSC VLR BSC PCF 2GBTS PDSN FA ZX PD10 HA PSTN PLMN Um IS 95A Um IS 95A Um IS 2000 Abis Abis Abis A IOS4 X A IOS4 X IP Cloud Router Router IP Cloud Internet CDMA2000 1X网络结构 PDSN 系统在网络中的位置如图所示 由 MS BTS PCF PDSN AAA HA 共同完成 CDMA20001X 分组数据业务 分组交换核心网的功能实体包括 PDSN 分组数据服务节点 HA 归属代理 AAA 认证 授权和计费 服务器 二 二 PDSNPDSN PDSN Packet Data Serving Node 是分组数据服务节点 从互联网的角度来看 它是一 个路由器 并根据移动网的特性增强了性能 为 CDMA20001X 移动台提供访问 Internet 或 Intranet 的服务 PDSN 是连接无线网 RN Radio Network 和分组数据网 PDN Packet Data Network 的接口 其主要功能在于为移动台提供简单 IP Simple IP 接入服务或 移动 IP Mobile IP 接入服务 使用户可以访问公共数据网络或私有数据网络 简单 IP 时 PDSN 类似于互联网的网络接入服务器 NAS Network Access Server 移动 IP 时 PDSN 作为 MS 的外地代理 FA Foreign Agent PDSN 同时也配合完成对用户的鉴权和计 费等功能 三 移动三 移动 IPIP 移动 IP 是 IP 技术体系中的一个新概念 需要特别指明的是 移动 IP 并不是指移动通信系 统中的 IP 技术 而是指主机是可以移动的 可以在不同的地点接入互联网 其中包括通过 移动通信网接入 也包括通过固定网或局域网接入 在提供移动 IP 服务时 PDSN 实现 FA Foreign Agent 功能 FA 是外地代理 是位于移 动台拜访网络的一个路由器 为移动台提供 IP 转交地址和 IP 选路服务 前提是 MS 必须在 HA 登记 对于发往移动台的数据 FA 从 HA Home Agent 的隧道中提取 IP 数据包 并 转发至移动台 对于移动台发送的数据 FA 可作为一个缺省的路由器 或利用反向隧道发 往 HA 四 归属代理四 归属代理 HAHA HomeHome AgentAgent 归属代理 Home Agent 是在 MS 归属网上的路由器 负责维护 MS 的当前位置信息 建立 MS 的 IP 地址和 MS 转交地址的对应关系 当移动台离开注册网络后 需要向 HA 进行登记 HA 在收到发往移动台的数据包时 将通过 HA 与 FA 之间的隧道 tunnel 将数据包送往移 动台的转交地址 再由转交地址解隧道封装后发给 MS 完成移动 IP 功能 HA 在分组网中 34 36 的地位类似于 HLR 在交换网中的地位 五 外区代理五 外区代理 FAFA ForeignForeign AgentAgent 移动节点当前所在网络上的路由器 它向已登记的移动节点提供选路服务 当使用外区代 理转交地址时 外区代理负责解除原始数据包的隧道封装 取出原始数据包 并将其转发 到该移动节点 对于那些由移动节点发出的数据包而言 外区代理可作为已登记的移动节 点的缺省路由器使用 六 位置登记 六 位置登记 RegistrationRegistration 移动节点必须将其位置信息向其归属代理进行登记 以便被找到 在移动 IP 技术中 依不 同的网络连接方式 有两种不同的登记规程 一种是通过外区代理进行登记 即移动节点 向外区代理发送登记请求报文 外区代理接收并处理登记请求报文 然后将报文中继到移 动节点的归属代理 归属代理处理完登记请求报文后向外区代理发送登记答复报文 接受 或拒绝登记请求 外区代理处理登记答复报文 并将其转发到移动节点 另一种是直接向 归属代理进行登记 即移动节点向其归属代理发送登记请求报文 归属代理处理后向移动 节点发送登记答复报文 接受或拒绝登记请求 登记请求和登记答复报文使用用户数据报 协议 UDP 进行传送 当移动节点收到来自其归属代理的代理通告报文时 它可判断其已 返口到归属网络 此时 移动节点应向归属代理撤销登记 在撤销登记之