无线VPDN技术介绍PPT课件.ppt

政企客户部2009年06月 无线VPDN技术交流 C网行业应用业务介绍 移动信息化 放开脚步 迈向财富 迈向客户 广西电信无线VPDN平台 缩略语说明 一 VPDNVirtualPrivateDialupNetwork虚拟拨号专用网络L2TPLayerTwoTunnelingProtocol二层隧道协议LNSL2TPNetworkServer支持L2TP协议的网络服务器LACL2TPAccessConcentratorL2TP访问集中器AAAAuthenticationAuthorizationandAccountion认证 授权 计费即Radius服务器 在文档中的AAA包括两种类型 1 负责无线宽带网络接入认证的AAA服务器 简称接入AAA 2 负责访问客户网络或其应用系统认证的AAA服务器 简称VPDN应用AAA PDSNPacketDataServingNode分组数据业务节点IMSIInternationalMobileSubscriberIdentificationNumber国际移动用户标识 IMSI信息是记录在手机卡中 为唯一识别一个移动用户所分配的号码 VRVirtualRouter虚拟路由器BSCBaseStationController基站控制器 缩略语说明 二 PI 0VPNCDMA分组域承载网用于承载Internet业务以及公网VPDN业务的流量的VPN网络 PI 2VPNCDMA分组域承载网用于承载承载老用户访问老WAP和mail的业务流量和以及私网VPDN用户业务的VPN网络 CN2189VPNCN2网络中用于承载C网VPDN业务的VPDN网络 什么是无线VPDN 无线VPDN平台主要功能 营业功能 业务管理功能 局端维护功能 企业域认证 LNS认证托管 IMSI IP 企业域名绑定 计费汇总管理 主要功能实现过程 1 用户拨号 通过CDMA网络接入 2 PDSN LAC 发送一次认证请求 C网AAARadius服务器 3 VPDN一次认证 由C网AAARadius服务器完成认证 C网AAARadius服务器仅认证域名 若存在此域名 则下发L2TP隧道参数到PDSN LAC 4 PDSN LAC 向VPDN接入路由器 LNS 发起建立L2TP隧道请求 PDSN LAC 将C网AAARadius服务器认证通过后返回的数据打包转发 VPDN接入路由器 LNS 数据包内包括 域名 用户帐号 密码 IMSI等信息 5 VPDN接入路由器 LNS 发送VPDN二次认证请求 无线VPDNRadius服务器 BIMS系统AAA 认证请求包括 域名 用户帐号 密码 IMSI等信息 6 无线VPDNRadius服务器 BIMS系统AAA 进行VPDN二次认证 认证用户名 密码信息 认证通过后下发用户的IP地址 无线VPDNRadius服务器 BIMS系统AAA 实现域名认证 VPDN帐号认证 绑定认证等 7 认证通过后发送Radius认证通过包 VPDN接入路由器 LNS 认证通过后发送 L2TP隧道参数信息 可下发用户的私网IP地址 8 VPDN接入路由器 划分了虚拟LNS 与PDSN LAC 成功建立L2TP隧道 并给用户分配Radius下发的IP地址 9 无线VPDN用户访问企业内部网 VPDN用户接入方案 原则 LNS设备是无线宽带VPDN客户侧接入设备 可以采用以下两种部署方式 1 LNS设备部署在中国电信机房 既可以是客户托管的设备 也可以是中国电信提供的设备 由多个客户共享 2 LNS设备部署在客户网络 放置在客户机房 接入要求的几个基本原则 1 LNS接入方案分为通过CN2VPN和公网163两种方式 为了用户业务组网安全 主要推荐采用通过CN2VPN组网模式 2 LNS设备通过宽带线路接入到CN2VPN 在CN2VPN上与PDSN建立L2TP隧道连接 VPN号统一为CTVPN189 为了实现与自营业务分离 不允许LNS设备直接与PDSN侧的CE设备直接相连 VPDN客户接入方案 一 用户自备LNS且放置用户机房用户自备LNS LNS放置用户机房 客户网络和LNS之间通过本地局域网连接 用户LNS可以通过163接入PI 0或通过CN2VPN189接入PI 2 对于允许与CN2跨域开放MPLSVPN业务的城域网 优先通过城域网VPN189延伸PE接入CN2VPN189 如下图中 和 否则直接接入CN2VPN189PE 如下图中 VIP人员工作步骤 1 调查并确定客户是以那种方式接入 163网 城域网 CN2 2 以163网接入 则需要记录其接入163网的IP地址 3 以城域网接入则需要调查本地城域网是否与CN2跨域开放MPLSVPN业务 并且通过2M数字电路或者光纤专线方式 将客户LNS联入城域网 VIP需要协助客户经理做好电路客响单 4 以CN2方式 则需要通过2M数字电路或者光纤专线方式 将客户LNS联入城域网 VIP需要协助客户经理做好电路客响单 5 不论采用哪种方式 都要客户提供VPN的隧道名和密码 6 通过城域网和CN2接入方式 需要VIP协助客户经理到CRM上申请CN2线路连接到南宁无线VPDN平台 开通前准备工作 填客响单 发送到区NOC 申请无线VPDN域名 并且从区NOC取得下配置参数 VPN的数值属性 中文全称 非数字 例如 华夏银行C网应用无线VPDN 分配给客户方的IP地址 申请域名 协助客户经理填CRM 填CRM 1 检查线路是否已经到位 2 163网接入方式不需要进行客户处接入路由器配置 只需要协助客户对其手机 上网卡 上网本进行VPDN账号配置 2 城域网接入和CN2接入方式需要将区NOC分配的IP地址配置到客户LNS上 并协助客户对其手机 上网卡 上网本进行VPDN账号配置 上门安装 该接入方式不向客户提供IP绑定和IMSI绑定服务 其账号也由客户自行维护 注意 VPDN客户接入方案 二 用户自备LNS 但LNS放置电信机房托管 用户LNS通过CN2VPN189 直接接入CN2如下图中 接入PI 2 对于允许与CN2跨域开放MPLSVPN业务的城域网 优先采用城域网接入CN2VPN189 如下图中 客户网络和托管LNS之间互联 如城域网具备MPLSVPN能力 则优先通过城域VPN与托管LNS互联 如下图中的 所示 否则通过ATM FR SDH MSTP等本地专线与托管LNS互联 如下图中的 所示 VIP人员工作步骤 1 通过城域网VPN将客户LNS与其内网相连2 通过2M数字电路或者光纤专线将客户LNS与其内网相连 3 VIP协助客户经理到CRM上申请CN2线路连接到南宁无线VPDN平台 开通前准备工作 填客响单 发送到区NOC 申请无线VPDN域名 并且从区NOC取得下配置参数 VPN的数值属性 中文全称 非数字 例如 华夏银行C网应用无线VPDN 申请域名 协助客户经理填CRM 填CRM 2020 1 27 21 1 检查线路是否已经到位 2 协助客户对其手机 上网卡 上网本进行VPDN账号配置 上门安装 该接入方式不向客户提供IP绑定和IMSI绑定服务 其账号也由客户自行维护 注意 VPDN客户接入方案 三 集中LNS平台模式 客户网络和共享LNS之间互联 如客户网络与共享LNS在同一城市 如城域网具备MPLSVPN能力 则优先通过城域VPN与共享LNS的客户VR VRF互联 如上图 所示 否则通过ATM FR SDH MSTP等本地专线与共享LNS的客户VRF互联 如上图 所示 如客户网络与共享LNS不在同一城市 可通过CN2VPN 如图 或者城域网VPN与CN2VPN跨域互联 如图 的方式接入共享LNS的用户VR VRF VIP人员工作步骤 1 与客户确定内网IP规划 需要与客户确定局方及客户方IP地址 确保双方不与其他IP相冲突 2 与客户确定分配的IP地址池 确保不与客户内网IP地址冲突 3 收集客户需要绑定的IP地址及对应的账号4 收集客户需要绑定的IMSI及对应的账号5 确定客户的其他需求 6 到CRM上申请CN2专线联接到南宁无线VPDN平台 开通前准备工作 填客响单 发送到区NOC 申请无线VPDN域名 并且从区NOC取得下配置参数 VPN的数值属性 中文全称 非数字 例如 华夏银行C网应用无线VPDN 申请域名 协助客户经理填CRM 填CRM 1 检查线路是已经到位2 将之前协商好的IP地址配置到客户的接入设备上 交换机 路由器 防火墙等 3 将客户分配的IP地址池做路由指向到客户接入设备上的外网端口地址 4 帮助客户对其手机 上网卡 上网本进行VPDN账号配置 上门安装 广西电信无线VPDN平台的特点 企业域认证采用专有的企业域 才能让终端通过L2TP隧道参数由PDSN LAC 连到VPDN接入路由器 LNS 而客户自建的VPN 任何终端都有可能连上企业自己的VPDN接入路由器 LNS 从而将企业的VPDN接入路由器 LNS 直接暴露在公众网前 极容易受到攻击 技术特点 IMSI IP 域名绑定通过IMSI IP与域名绑定 即使有不发分子获得拨号账号 密码 域名 也因为不是绑定的IMSI 而无法登陆到VPDN接入路由器 LNS 使数据传输的安全有了三重保障 技术特点 成本低 企业节省大量的设备 机房 维护人员费用及技术设备更新带来的费用 专业性 广域的网络维护由电信运营商来做 尤其是企业所不熟悉的移动通讯网络 企业不必建立企业专网维护系统 无线VPDN产品 主要实体产品 无线数据采集器 CDMA路由器 无线POS机 无线上网卡 无线DTU DTU是指数据终端设备 DataTerminalunit 在进行通信时 传输数据的链路两端肯定存在DTU 在它的作用下对所传信息进行格式转换和数据整理校