中国电信IP网VPDN网路及业务技术要求

中国电信IＰ网VＰＤN网路及业务技术要求HYPEＲLINK”http：//ｍriｉng。dｉaｎdian．coｍ"ｈttp://ｍriing.dｉaｎｄｉａｎ.cｏm中国电信ＩP网上ＶPＤＮ系统结构组成中国电信IP网上ＶPDN系统组成分为以下几个部分:(１）VPDN业务的承载网,即中国电信的IP网；（2)两级VＰＤN业务管理中心，包括1个全国VＰDN业务管理中心和３1个省级VＰDN业务管理中心；(3）中国电信在各省市城市的ＶPDN拨号接入系统,主要由接入服务器组成;（4)用户系统，包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。整体系统组成如下图所示：2．1中国电信ＶＰＤN业务的承载网VＰＤN业务承载网采用中国公用计算机互联网(１6３网）和中国公众多媒体通信网（169网）二网调整后的１63／169网，2.2全国ＶPDN业务管理中心VPDN业务管理中心是中国电信IP网上VPDＮ系统组成中的关键部分，是中国电信在ＩＰ网上提供VPＤN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。全国VＰＤＮ业务管理中心在功能上可由以下功能模块部分组成：(1)用户管理模块:主要负责全国ＶPＤＮ业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VＰＤＮ业务用户帐务信息管理。(２）用户认证模块：主要负责全国VＰＤN业务RＡDIUＳ认证、计费信息采集、中国电信IP网上负责VPＤＮ业务所有接入服务器和全国VPＤＮ业务用户网关设备的登记等。该模块采用主备用设置。(3)计费结算帐务模块，主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等.（4）网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备，网络管理功能包括故障管理、性能管理、配置管理、安全管理.全国用户管理模块、用户认证模块、计费结算帐务模块关系图2．2省级VPＤN业务管理中心各省省级ＶPＤＮ业务管理中心设置在中国公用计算机互联网(163网）和中国公众多媒体通信网(１6９网）二网调整后的16３/16９网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络，不单独建设.省级VPＤN业务管理中心在功能上可由以下功能模块部分组成：(1）用户管理模块：主要负责省内VPDＮ业务的受理、省内VPDＮ业务用户信息（用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、省内VPDN业务用户帐务信息管理。（2）用户认证模块:主要负责省内ＶPDＮ业务RADＩＵS认证和全国VPＤＮ业务认证向全国VＰDN业务管理中心认证系统的转送、计费信息采集、省内负责VPDN业务所有接入服务器和省内VＰDN业务用户网关设备的登记等。该模块可采用主备用设置，也可只采用主用设置.（３)计费结算帐务模块,主要负责省内VPDN业务计费、帐务生成、各种信息统计分析报表生成等.（４）网络管理模块,网络管理对象是省级VPDN业务管理中心用户认证功能系统设备和用户管理功能系统设备以及省内所有负责ＶPDN业务接入服务器，网络管理功能包括故障管理、性能管理、配置管理、安全管理。省级用户管理模块、用户认证模块、计费结算帐务模块关系图2.3VPDＮ拨号接入系统中国电信在各省市城市的VＰDN拨号接入系统采用在省内需要提供ＶPDN业务的城市配置独立的接入服务器的方式实现，接入服务器的信息应配置在省级ＶPDN业务管理中心的用户认证模块中,同时各省应将该接入服务器的信息上报全国VPＤN业务管理中心，该信息也要配置在全国VPDＮ业务管理中心的用户认证模块中。接入服务器首先指向省级VＰDN业务管理中心的用户认证模块的主用系统，备用指向用户认证模块的备用系统,若省级VPDN业务管理中心的用户认证模块无备用系统，则备用指向全国VＰDN业务管理中心的用户认证模块。2．４用户系统用户系统包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统.企业内部网的管理系统在功能上包括用户认证模块、用户管理模块、计费帐务模块(企业可根据情况选择配置),其中用户认证模块与中国电信的各级ＶPDＮ管理中心的用户认证功能模块应能互操作。（１）用户管理模块:主要负责可以使用VＰDＮ方式访问公司内部网用户的注册登记、该用户的信息（包括每个用户申请的用户名、密码等）管理。（2)用户认证模块：主要负责使用VPDN业务用户访问内部网的最终认证,在最终认证通过后远程用户才可访问内部网，同时该模块还负责向远程用户分配内部网地址(一般是内部网使用的保留地址），最终认证完成后Ｌ２TP隧道才是成功建立，此时各级ＶＰＤＮ业务管理系统才开始计费信息采集,该模块还负责计费信息采集。用户认证模块可采用主备用设置,也可只采用主用设置。（３)计费帐务模块,主要负责内部网对访问用户的计费、帐务生成.中国电信VPDN业务技术实现协议使用标准中国电信在提供VPＤＮ业务时采用IETF组织的L2TP协议作为隧道协议.中国电信ＶPＤN业务用户接入识别方式中国电信在IP网上提供ＶPＤN业务采用特服号＋用户域名识别方式(一次认证）。一次认证指中国电信各级VPDN业务管理系统只根据用户注册的完整域名进行认证，只要确认域名是注册的就通知接入服务器准备建立隧道，而不对用户是否有权使用该域名进行认证。特服号采用１79XX作为国内VPＤN业务的接入号.中国电信VＰDN业务描述中国电信在ＩP网上提供的VPDN业务可分为全国范围的VPＤN业务和省内的VPDN业务。全国范围的ＶPＤＮ业务指申请了该业务的用户能在全国范围内使用该业务，省内的ＶＰDＮ业务指申请了该业务的用户只能在本省内使用该业务，出省后无法使用。用户申请全国业务还是省内业务要采用不同用户域名体系结构来标识，初期用户域名体系结构可采用以下方式：全国ＶPDＮ用户域名:usernａme＠GroupName省内VPＤN用户域名：usernaｍe＠GroｕｐNamｅ.{省市名称｝省市名称用于区分各省内业务.其中GｒouｐNａｍe是企业用户向中国电信申请业务时,由中国电信和用户商定后注册登记的。Usernａme由企业内部网向用户提供,该名称的分配是由企业负责。对于申请省内业务的用户必须有省市名称。“省市名称”的编码如下：

省(区、市)编码省(区、市)编码省(区、市）编码北京bj浙江zj贵州Gz上海ｓh安徽ah云南Yｎ天津tj福建ｆj西藏Xz河北he江西ｊx陕西sn山西sx山东sd甘肃ｇs内蒙古ｎm河南ha青海qh辽宁ｌn湖北hb宁夏ｎx吉林jl湖南hn新疆xｊ黑龙江ｈl广东gd海南ｈq重庆ｃq广西gx江苏js四川sc对于申请全国ＶＰＤN业务的用户可使用企业在因特网上合法使用的域名.若企业没有合法域名，可采用与中国电信商定后注册登记的方式，但不得使用以上任何省市名称编码作为标识.中国电信ＶPDN业务管理中心用户认证模块功能和认证流程中国电信的VPDＮ业务两级管理中心中的用户认证模块认证协议采用ＲADＩUＳ协议,该协议遵循ＩＥTFRＦC２1３8（ＲＡDIUＳ)和ＲFC２139（ＲADIUSＡＣＣOUNTING）标准。用户认证模块在功能上按以下划分：全国VPDN业务管理中心系统负责要求提供全网ＶPDN业务的用户认证,省级VＰDＮ业务管理中心系统负责只要求本省内VPDN业务的用户认证.不同用户的认证过程如下图所示:

VPＤＮ用户在拨叫该业务时,首先到省级VPDN业务管理中心的ＲADIＵS认证服务器，通过用户完整域名的识别判断是省内业务还是全网业务，如果是省内业务则在省级完成认证,如果不是则由省级转至全国VPDN业务管理中心完成认证.具体的认证流程如下图所示:ﻬ中国电信VPDN业务管理中心网络管理模块各级ＶPDN业务管理中心网络管理功能上可分为：故障管理、配置管理、性能管理和安全管理。全国VＰDN业务管理中心网络管理模块全国ＶＰＤN业务管理中心网络管理对象主要是内部局域网内的所有系统设备。内部局域网配置设备包括局域网交换机、路由器、用户认证系统、计费帐务结算系统、用户和业务管理系统。新建局域网结构见下图.以上设备的故障管理、配置管理、性能管理和安全管理由全国ＶＰDN业务管理中心负责。（2）省级ＶPDN业务管理中心网络管理模块省级VPDN业务管理中心网络管理对象主要是省内提供VＰＤN业务的NAＳ设备、用户认证系统设备、用户管理系统设备、省级ＶＰDN业务计费和帐务系统设备。其中用户认证系统设备、用户管理系统设备作为新配设备安装在中国电信中国公用计算机互联网（163网）和中国公众多媒体通信网（１6９网）二网业务定位调整后的163/１69网省级管理系统局域网内.省级应设置专门的对提供ＶＰDN业务的NAS设备管理的设备，将NＡS相关信息输入用户认证系统的工作由各省完成，同时各省应将以上信息上报至全国VPDN业务管理中心。对于省级用户认证系统设备、用户管理系统设备、省级VPDN业务计费和帐务系统设备、提供VPDＮ业务的ＮAS设备的故障管理、配置管理、性能管理和安全管理由省级VPDN业务管理中心负责.（3）用户端设备管理如果用户希望中国电信提供外包管理服务,今后可采用在各级ＶPＤN业务管理中心配置管理平台设备，负责提供对用户端所有设备的管理。中国电信VＰDN业务计费ＶＰDN业务计费分为全国性的VPDＮ业务的计费结算系统和省级VPN业务计费系统。全国VPDＮ业务管理中心负责管理全国的ＶPＤN业务计费帐务结算系统设备，省级VＰＤN业务管理中心负责管理各省的VPＤＮ业务计费帐务系统设备.ＶPDＮ业务计费作为一个组成部分应纳入目前中国电信准备建设的全国数据及多媒体业务计费结算子系统中,但该系统建成需要一个过程，在建成之前可采用以下建设方案:全国性ＶＰDN业务的计费帐务结算系统采用新建方式,负责全国性VPDN业务的计费、帐务、结算。省级ＶＰDN业务管理中计费帐务结算系统采用在各省配置的用户认证模块向目前各省使用的IP业务计费系统提供标准的APＩ接口(包括数据格式和定义内容等方面)的方式，并且各省应将ＶPＤN业务计费功能模块纳入到该系统中.VＰDN业务计费采用非实时计费方式，计费信息采集点在各级ＶPＤN业务管理中心的用户认证系统上。VＰＤN业务计费采用通信时长x费率的方式.中国电信VPDＮ业务管理ＶPDＮ业务管理最终应纳入数据业务计算机综合服务管理系统中。为了使ＶPＤN业务尽快开通，初期采用在各级VＰDＮ业务管理中心配置用户管理系统设备的方式实现。用户管理系统应采用Browser/Ｓerｖeｒ方式，采用Weｂ为用户使用介面,业务人员在受理业务时，用户管理系统作为ＩP网上公开的信息站点可在验证用户身份后接收访问.全国性VPDＮ业务的受理必须在全国VＰDＮ业务管理中心用户管理系统平台上处理。省内VPDN业务的受理只在省级VPＤN业务管理中心用户管理系统平台上处理。具体业务流程由电总数据局业务部门下发。中国电信VＰＤN业务安全安全问题可从网络安全和业务安全两个方面考虑。全国和省级VPDN业务管理中心的网络安全主要通过配置防火墙系统的方式实现。VＰＤN业务安全主要通过拨号用户在内部网认证系统的认证与授权、分配内部网地址、Ｌ２ＴＰ隧道在建立时认证等方式提供安全。IＰ地址分配各级VＰDＮ业务管理中心设备IP地址均采用公开的ＩＰ地址，全国一级由电总数据局负责分配，省一级由各省负责分配.省内负责提供VPＤＮ业务的接入服务器的公开IP地址由各省负责分配。对拨号用户的IP地址由企业内部网管理系统分配。中国电信VPDN业务系统建设电总和各省建设的分工界面在目前进行的中国电信VPＤＮ工程建设中，系统组成中各部分建设方式如下：（１）VＰDＮ业务承载网，采用中国公用计算机互联网(163网)和中国公众多媒体通信网（1６９网)二网调整后的16３/1６9网，不新建。（2）全国VPＤN业务管理中心和省级ＶPDＮ业务管理中心是本工程建设的重点。其中各级管理中心的用户认证功能模块采用全网统一建设、统一版本的方式,其中全国VPＤN业务管理中心采用主备用设置，省级VPDＮ业务管理中心用户认证功能模块可采用主备用设置,也可以只采用主用设置，以上内容（不含省级VPＤＮ业务管理中心用户认证功能模块备用系统硬件）由电总负责投资建设。全国VPDN业务管理中心的计费帐务结算模块在本工程中新建,由电总负责投资建设.省级VPＤN业务管理中计费帐务结算模块采用在各省配置的用户认证模块向目前各省使用的IP业务计费系统提供标准的AＰ