通过CDMA VPDN构建安全移动内网

1、CDMA VPDN构建安全移动内网系统集成部刘志伟2011年01月目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势 客户的困扰 客户的困扰 在外采访，实时性高的新闻回传怎么办？ 身边没有笔记本电脑，紧急公事怎么办？ 出差在外，需要公文审批怎么办？ 互联网VPN，办公系统安全怎么办？ 企业移动终端利用internet作为承载网络，通过IPSEC协议与企业内部网络建立VPN

2、通道，这种组网 方 式用户数据透明性差，不支持手机、PDA等移动终端，而且由于与互联网没有完全隔离，存在安全隐患。【用户的需求】 【中国电信CDMA VPDN为您一站解决】 中国电信3G网络的分组数据网作为承载网络； 利用二层L2TP隧道技术，为客户构建与internet完全 隔离的专用网络； 支持手机、PDA、上网本、以及其他一些定制终端； 获得国家信息安全中心的认证；目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景

3、业务控制终端用户拨入中国电信CDMA VPDN优势 CDMA VPDN概述 CDMA VPDN定义 基于CDMA 1X/3G evdo高速无线数据网络，利用L2TP隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统，从而满足移动办公、移动数据采集、无线数据传输等需求。 客户：通过专线等方式接入中国电信无线宽带VPDN业务平台的政企客户； 终端用户：通过无线宽带VPDN接入到客户网络或应用系统的中国电信移动网用户。 CDMA VPDN功能远程办公：工作人员不管人在何处，都可以利用PDA智能手机进行远程办公，处理公文，收

4、发电子邮件；远程信息查询：通过PDA智能手机，基于该系统远程登录单位内部核心网，实现信息查询；信息采集：所采集的信息包括新建文件，现场图片，现场视频片断，销售定单等等信息通过无线终端传输到中心网络。无线宽带VPDN业务属全国性业务，面向中国电信政企客户及133、153、189用户开放，全国CDMA 网络覆盖范围内均可通达，用户在全国范围内漫游仍能使用本业务。 CDMA VPDN概述 CDMA VPDN使用行业银行业：如无线ATM机、移动POS机等，为关键交易提供数据传输的保证；移动办公：企业分散点通过VPDN通讯模块与笔记本计算机连接，实现无线连接企业内部网络的应用，实施简单，办公可移动；工业

5、控制等分散数据采集：跨区的大型企业工业数据采集及控制系统，如石油天然汽、石油管道阀门、罐等参数的采集；环保、气象等相关分散点数据采集监控应用；供电及电力系统远程抄表及数据采集控制等；分散地点的电子认证：关键地点、位置的集中门禁控制系统；以及其它分散地点集中认证有关的认证服务等；其它基于分散点数据采集的系统：其它涉及商务，连锁的应用数据采集，比如连锁商店销售，配货信息的采集和调度；物流公司相关业务的数据采集；地铁、公交站点票务支付等。 CDMA VPDN概述 CDMA VPDN目标客户 CDMA网络能够为移动用户提供比较安全的数据业务，目前用CDMA 1X最高速率达到153.6kbit/s，如用

6、户有需求可以比较方便过度到EVDO方式达到以Mbit/s而计的高速数据，可传送图片和视频。 CDMA VPDN目标客户交通公安政府金融物流 流动性强、分支机构多、安全性要求高应用案例银行类（ATM机等）政府类（生产系统）目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势CDMA VPDN组网方式MobileStation移动基站 BTSBSC/ PCF无线接入网络HAAA

7、PDSN/FAFAAAR-P接口A10/A11分组业务数据节点IP Network CN2/163LNSAAA视频/流媒体OA其它服务器LNS电信全国IP网络企业内部网络FR/DDN、SDH/MSTP、MPLS VPN、IP MAN专线标准的CDMA VPDN网络由移动终端（CDMA 手机、CDMA 上网卡等），PCF，PDSN，HA，AAA（从功能上分成拜访地FAAA、归属地HAAA、代理AAA）组成；移动终端和PDSN之间是PPP连接，PCF和PDSN之间是RP接口（A10/A11，A10是数据通道，A11是信令通道）；（LAC）各组件功能介绍MS：支持CDMA的移动终端，目前主流的移动终

8、端有支持各种数据增值业务的CDMA手机；支持CDMA数据功能的上网卡；PCF：分组控制功能PCF是无线设备中和分组域接口的设备；PCF和PDSN之间的接口成为RP接口，也成为A10/A11接口，A10为数据接口，A11为信令接口；PDSN：分组业务数据节点，负责 L2TP隧道的发起和建立完成和无线网络PCF和IP网络的接口，类似于BRAS；PDSN和移动终端建立PPP连接，把终端来的PPP数据转换成标准的IP数据，路由到IP网络，同时将网络来的IP数据封装在PPP里传送给终端；接入AAA：认证、授权、计费接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费，并实现各种业务控制及用户终端

9、的漫游等功能。从功能上分为：FAAA（拜访地AAA）、HAAA（归属地AAA）、BAAA（代理AAA）；VPDN AAA：主要完成业务终端访问客户网络的认证、授权LNS：负责无线宽带VPDN客户接入的网络设备（如路由器），和PDSN一起完成L2TP隧道的建立。 LNS设备可部署在中国电信机房中，也可部署在客户网络中。LNS接入VPN/专线/公网163指LNS接入的三种方式。客户网络接入VPN/专线指客户网络与共享LNS或者电信托管LNS的连接方式。RP网络：连接RAN和PDSN的网络 目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN

10、协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势CDMA VPDN协议栈End-to-End IP CommunicationMobileStation移动基站 BTSBSC/PCFRANHAAAPDSN/FAFAAAR-P接口A10/A11IP Network CN2/163LNSEnd HostLNS电信全国IP网络企业内部网络FR/DDN、SDH/MSTP、MPLS VPN、IP MAN专线APPsIPPPPLACMACAirlinkMS PLEnd Host LinkL

11、ayerIPAPPs PL PL LinkLayerPPPIP R-P PL PL LinkLayerPPPIPRNPDSN/LAC数据帧LNSVPDNIP/IPSECGRE目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势LNS两种接入方式FR/DDNIP/MANIP NetworkCN2 CTVPNSDH/MSTPCN2 PECN2 PE ASBR(MPLS VPN接

12、入平台）用户LNS用户LNS用户LNSPDSNPDSN全程L2TP本地全国各省 用户LNS接入方式 用户选择DDN网提供的FR业务，通过桥接转换汇聚为一条ATM-155接入MPLS VPN平台后接入CTVPN，可通达全国各地的CDMA核心网。用户端接入带宽为N*64K，最高2M，用户侧使用一条FR PVC，DLCI=16； 用户也可以选择IP城域网提供的VLL二层VPN接入后接入CTVPN ，在MPLS VPN平台的PE设备上实现三层终结，带宽为2M或2M以上，最高GE（可提供以64K为单位的流控限速）； 用户也可以选择2M SDH/MSTP直连CN2 CTVPN，实现总头接入； 用户和电信路

13、由器之间每条二层链路分配一对IP地址对，子网掩码为30位，一般用户选择静态路由接入方式，将缺省路由指向电信VC路由器； 用户专线接入方式：LNS两种接入方式FR/DDNIP/MANIP NetworkCN2 CTVPNSDH/MSTPCN2 PECN2 PE ASBR(MPLS VPN接入平台）电信共享LNS用户侧路由器PDSNPDSN全程L2TP本地全国各省 电信LNS接入方式 用户选择电信DDN网提供的FR业务或MPLS 业务接入MPLS VPN平台； MPLS VPN平台与共享LNS连接； 共享LNS划分VR，不同的企业进入不同的 VR中，以实现相互的隔离； 共享LNS与CTVPN直连，

14、终结L2TP隧 道，分配用户IP地址 用户专线接入方式：LNS的部署方式LNS设备是无线宽带VPDN客户侧接入设备，可以采用以下两种部署方式：LNS设备部署在中国电信机房，既可以是客户托管的设备，也可以是中国电信提供的设备， 由多个客户共享。LNS设备部署在客户网络，放置在客户机房。 对于部署在电信机房的LNS，需要考虑LNS的接入方案以及客户网络的接入LNS方案。对于部署在客户网络的LNS，只需要考虑LNS的接入方案。 LNS接入方案分为CN2 VPN189和公网163两种方式，为了用户业务组网安全，主要推荐采用CN2 VPN189组网模式。 LNS设备通过宽带线路接入到CN2 VPN，在C

15、N2 VPN上与PDSN建立L2TP隧道连接，VPN号统一为CTVPN189（RD 4134:189）。为了实现与自营业务分离，不允许LNS设备直接与PDSN侧的CE设备直接相连。 已采用ATM/DDN/SDH等专线接入方式的原联通VPDN客户仍可维持原有接入方式；对于新发展客户，主要采用CN2 VPN189接入方式。 LNS设备部署方式说明目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信C

16、DMA VPDN优势认证方式用户自带AAA（LNS兼做或者单设专门的AAA服务器）时，移动终端客户的二次认证由用户AAA完成，一次认证（VPDN接入业务认证）由局端的接入AAA完成。用户网络不具备AAA时，由电信提供共享的VPDN AAA完成二次认证，一次认证（VPDN接入业务认证）由省AAA完成。 AAA服务器部署AAA服务器配置 认证通过AAA服务器完成，AAA服务器通常分为接入AAA和VPDN AAA。接入AAA负责移动终端的VPDN接入认证（也称为一次认证），属于无线宽带VPDN业务平台的一部分。VPDN AAA负责VPDN应用认证（也称为二次认证），一般部署在客户网络中。VPDN A

17、AA既可使用专用的服务器，也可由LNS设备兼任。 VPDN 业务进行的是二次认证，第一次认证通过接入AAA来完成，目的是给PDSN返回相应的L2TP的属性(隧道密码、LNS地址等) ；第二次认证由VPDN AAA（或者用户自带AAA）来完成，使用帐号和密码进行认证，目的是判定用户是否有权限接入客户。对于VPDN 业务的第二次认证，优先考虑由客户自行完成相应帐号、密码的认证。如果客户确实有需要，要求电信公司为其完成第二次认证，则优先考虑利旧联通原有的VPDN AAA为客户提供服务。VPDN账号规则中国电信新增无线宽带VPDN用户的账号格式为“用户名客户域名.vpdn.地区域名”。用户账号和密码的

18、相关说明如下：每个IMSI号只能对应唯一的用户账号。“用户名”不超过20个字符，只能使用字母、数字和下划线“_” ，由客户为终端用户分配；“客户域名”不超过20个字符，只能使用字母、数字和下划线“_” ，由客户向中国电信申请；“vpdn”标识业务名称；“地区域名”为2个字母（见表4），标识客户业务所在省。用户密码限定为6-20个字符，只能使用字母、数字和下划线“_”。 省份代码省份代码省份代码北京bj上海sh广东gd黑龙江hl江苏js广西gx吉林jl浙江zj海南hi辽宁ln安徽ah湖南hn内蒙古nm福建fj云南yn天津tj江西jx贵州gz河北he山东sd四川sc山西sx湖北hb重庆cq河南ha

19、甘肃gs西藏xz陕西sn宁夏nx新疆xj青海qh终端IP地址获得方式 终端用户主要通过以下两种方式获得IP地址：通过AAA服务器分配地址，适合终端用户需要固定IP的情况。在认证阶段，如果在用户数据库中为该用户名配置了IP地址，则RADIUS服务器在IPCP阶段将这个IP地址返回给LAC，作为这个用户上网使用的IP地址。通过LNS利用地址池为终端用户分配地址，适合大部分情况。如果用户在认证阶段还没有获得IP地址，就需要在IPCP阶段协商IP地址。VPDN业务可以通过LNS预先设置IP地址池组，用户上网所需要的IP地址来自于该VPDN用户所属的地址池。当用户上网时，从IP地址池分配一个IP地址，当

20、用户下网时，这个IP地址归还到地址池。 对于共享LNS，即多个VPDN用户使用一个物理LNS（可虚拟成多个LNS）的情况，需要根据不同的VPDN用户域名，分别预先分配对应的地址池。用户之间的隔离可通过三层VPN（包括VR方式）或二层VPN两种方式实现。目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势CDMA VPDN实现流程MobileStation移动基站 BTSBS

21、C/PCFHAAAPDSN/FAFAAAR-P接口IP Network CN2/163LNSEnd Host专线集团内网信道建立R-P接口建立（1）PPP LCP阶段（2）PPP认证请求（3）接入请求（4）根据IMSI转向归属地认证（5）通过认证，返回用户信息（6）返回VPDN属性（7）建立L2TP隧道（8）VPDN隧道建立成功（9）VPDN AAA传送用户名、密码、方式（10）终端用户和LNS PPP LCP重协商（11）对用户二次认证（12） LNS发出认证通过信息（13） PPP IPCP阶段（14） PPP建立（15）CDMA VPDN业务流程终端用户与PDSN进入PPP LCP阶段，

22、同时PDSN与终端用户建立认证方式PAP/CHAP。首先PDSN根据所设置的优选认证方式CHAP（或者PAP）向终端用户发出协商，如终端支持PDSN的优选认证方式CHAP，则终端使用CHAP认证方式与AAA进行认证。如终端不支持PDSN的优选方式CHAP，则使用PDSN的次选方式PAP与AAA进行认证。终端用户使用用户名（XXX域名）拨号，通过无线接入网设备BSC/PCF与PDSN发出连接请求。终端用户向PDSN发出VPDN认证请求。PDSN向拜访地AAA转发接入请求。拜访地AAA根据用户IMSI转向归属地AAA进行认证，归属地AAA根据用户域名判断该用户是否VPDN用户，是否具有接入权限。(

23、如用户在归属地进行VPDN拨号由归属地局端AAA认证后进入（8）。)归属地AAA通过用户VPDN认证后，向拜访地AAA返回此VPDN用户的相关信息。拜访地AAA向PDSN返回VPDN属性，包括LNS地址，隧道类型、LNS分布方式（单一LNS、主备、轮询）、L2TP隧道密钥等。PDSN与LNS开始建立L2TP隧道。LNS向PDSN返回Tunnel 认证消息，PDSN与LNS隧道建立成功。PDSN向LNS传送用户名、密码、认证方式等信息。如LNS不认可PDSN所传来的信息或LNS配置强制LCP重协商，则LNS向终端发出LCP重协商请求，否则直接进入（12）。终端用户和LNS进入PPP LCP阶段。

24、VPDN AAA根据LNS传送过来的用户名、密码、认证方式等信息对终端用户进行二次认证，认证终端用户是否能接入用户网络。LNS发出认证通过信息。终端用户和LNS进入PPP IPCP阶段。LNS分配用户IP地址，终端用户和LNS建立PPP连接 CDMA VPDN业务流程目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势VPDN业务提供方式MobileStation移动基站

25、BTSBSC/ PCF客户-网络接入AAAPDSN A省CN2共享LNSCN2/163BSC/ PCFPDSN B省客户端接入VPN/专线客户-网络无线接入网络核心网LNS接入VPN/专线接入AAALNS/AAA VPDN有两种业务提供方式 电信LNS方式： 电信提供LNS，不同用户共享；电信提供认证，分配IP地址（根据用户指定地址池）。 用户LNS方式： 用户提供LNS，用户自行提供认证和IP地址分配。业务网络参考模型目录客户的困扰CDMA VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA

26、 VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势业务应用场景根据用户需求，VPDN业务提供两大类应用场景 省内VPDN业务及漫游 该场景中VPDN定义为A省业务，用户IMSI、AAA及LNS都属于A省。用户以A省IMSI号在A省接入， 同时可以根据需要在全国漫游（用A省IMSI号）。 跨省VPDN业务及漫游 该场景中VPDN定义为省A业务，用户IMSI及AAA属于多个省份（A-N），LNS属于省A。每个省的 vpdn终端用该省的IMSI号接入，并在该省AAA认证、计费。同时可以根据需要以所在省IMSI号在其 他省份漫游。目录客户的困扰CDMA

27、 VPDN技术原理介绍CDMA VPDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势业务控制VPDN业务除访问客户网络之外，根据不同的客户需求，还需要具备如下几类功能以实现业务控制：用户帐号和IMSI号绑定要求用户账号与终端IMSI号码绑定，提供用户账号、终端IMSI号双重身份校验机制，既可防止多个UIM卡共用相同的用户账号，也可避免对LNS的安全攻击。 跨省VPDN业务及漫游无线宽带VPDN业务作为一个单独的业务提供，不与其

28、他业务冲突。终端用户既可以单独开通无线宽带VPDN业务，也可以在开通无线宽带VPDN业务的同时开通其他业务。如：VPDN终端用户可选择只开通VPDN业务，不开通互联网及WAP业务；或者，用户在开通VPDN业务的同时，也开通互联网及WAP业务。通过AAA服务器实现用户业务功能属性控制。LNS负载均衡方式为实现负载均衡及灾难备份，AAA服务器可以通过向PDSN返回不同的LNS属性完成相应的功能，需AAA及PDSN支持。如返回属性LNS1，LNS2（主备方式）或返回属性LNS1/LNS2（轮询方式）。其中LNS1、LNS2 为LNS IP地址。目录客户的困扰CDMA VPDN技术原理介绍CDMA V

29、PDN概述CDMA VPDN组网方式CDMA VPDN协议栈LNS部署方式VPDN配置CDMA VPDN实现流程CDMA VPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMA VPDN优势终端用户拨入方式 终端用户拨入过程启动客户端互联网账号：用户名card/密码card专线账号：用户username#.VPDN.bj /密码password设置完成，点击“连接”，即可拨入到用户内网终端用户使用用户名（XXX域名）拨号，通过基站、无线侧设备BSC/PCF与PDSN发出连接请求。PDSN将用户接入请求转发给接入AAA，接入AAA根据用户域名判断用户是否VPDN用户，是否具有接入权限。接入AAA认证通过后，向PDSN返回VPDN属性。PDSN根据接入AAA返回的VPDN属性（包括LNS地址，隧道类型、L2TP隧道密钥等）和LNS建立L2TP隧道。PDSN向LNS传送用户名、密码、认证方式等信息。VPDN AAA根据LNS传送过来的用