无线VPDN技术介绍ppt课件.ppt

政企客户部2009年06月,无线VPDN技术交流C网行业应用业务介绍,移动信息化,放开脚步,迈向财富,迈向客户,广西电信无线VPDN平台,缩略语说明(一),VPDN Virtual Private Dialup Network 虚拟拨号专用网络L2TP Layer Two Tunneling Protocol 二层隧道协议LNS L2TP Network Server 支持L2TP协议的网络服务器LAC L2TP Access Concentrator L2TP 访问集中器AAAAuthentication Authorization and Accountion 认证、授权、计费即Radius服务器，在文档中的AAA包括两种类型：1)负责无线宽带网络接入认证的AAA服务器，简称接入AAA；2)负责访问客户网络或其应用系统认证的AAA服务器，简称VPDN应用AAA。PDSN Packet Data Serving Node分组数据业务节点IMSI International Mobile Subscriber Identification Number 国际移动用户标识，IMSI信息是记录在手机卡中，为唯一识别一个移动用户所分配的号码。VRVirtual Router虚拟路由器BSC Base Station Controller 基站控制器,缩略语说明(二),PI-0 VPN CDMA分组域承载网用于承载Internet业务以及公网VPDN业务的流量的VPN网络。PI-2 VPN CDMA分组域承载网用于承载承载老用户访问老WAP和mail的业务流量和以及私网VPDN用户业务的VPN网络。CN2 189VPN CN2网络中用于承载C网 VPDN业务的VPDN网络。,什么是无线VPDN,无线VPDN平台主要功能,营业功能,业务管理功能,局端维护功能,企业域认证,LNS 认证托管,IMSI、IP、企业域名绑定,计费汇总管理,主要功能实现过程,（1）用户拨号，通过CDMA 网络接入。（2）PDSN（LAC）发送一次认证请求C 网AAA Radius 服务器。（3）VPDN 一次认证：由C 网AAA Radius 服务器完成认证。C 网AAA Radius 服务器仅认证域名，若存在此域名，则下发L2TP隧道参数到PDSN（LAC）（4）PDSN（LAC）向VPDN 接入路由器（LNS）发起建立L2TP隧道请求。PDSN（LAC）将C 网AAA Radius 服务器认证通过后返回的数据打包转发VPDN 接入路由器（LNS）。数据包内包括：域名、用户帐号、密码、IMSI 等信息。（5）VPDN 接入路由器（LNS）发送VPDN 二次认证请求无线VPDN Radius 服务器（BIMS 系统AAA）认证请求包括：域名、用户帐号、密码、IMSI 等信息。,（6）无线VPDN Radius 服务器（BIMS 系统AAA）进行VPDN 二次认证。认证用户名、密码信息，认证通过后下发用户的 IP 地址。无线 VPDN Radius 服务器（BIMS 系统AAA）实现域名认证、VPDN帐号认证、绑定认证等。（7）认证通过后发送Radius 认证通过包 VPDN 接入路由器（LNS）。认证通过后发送：L2TP 隧道参数信息；可下发用户的私网IP 地址。（8）VPDN 接入路由器（划分了虚拟LNS）与PDSN（LAC）成功建立L2TP 隧道，并给用户分配Radius 下发的IP 地址。（9）无线VPDN 用户访问企业内部网。,VPDN用户接入方案（原则）,LNS设备是无线宽带VPDN客户侧接入设备，可以采用以下两种部署方式：（1）LNS设备部署在中国电信机房，既可以是客户托管的设备，也可以是中国电信提供的设备，由多个客户共享。（2）LNS设备部署在客户网络，放置在客户机房。接入要求的几个基本原则：（1）LNS接入方案分为通过CN2 VPN和公网163两种方式，为了用户业务组网安全，主要推荐采用通过CN2 VPN组网模式。（2）LNS设备通过宽带线路接入到CN2 VPN，在CN2 VPN上与PDSN建立L2TP隧道连接，VPN号统一为CTVPN189。为了实现与自营业务分离，不允许LNS设备直接与PDSN侧的CE设备直接相连。,VPDN客户接入方案（一）,用户自备LNS且放置用户机房 用户自备LNS，LNS放置用户机房，客户网络和LNS之间通过本地局域网连接，用户LNS可以通过163接入PI-0或通过CN2 VPN189接入PI-2。对于允许与CN2跨域开放MPLS VPN业务的城域网，优先通过城域网VPN189延伸PE接入CN2 VPN189（如下图中和），否则直接接入CN2 VPN189 PE（如下图中）。,VIP人员工作步骤,1、调查并确定客户是以那种方式接入（163网、城域网、CN2）2、以163网接入，则需要记录其接入163网的IP地址。3、以城域网接入则需要调查本地城域网是否与CN2跨域开放MPLS VPN业务，并且通过2M数字电路或者光纤专线方式，将客户LNS联入城域网。VIP需要协助客户经理做好电路客响单。4、以CN2方式，则需要通过2M数字电路或者光纤专线方式，将客户LNS联入城域网。VIP需要协助客户经理做好电路客响单。5、不论采用哪种方式，都要客户提供VPN的隧道名和密码。6、通过城域网和CN2接入方式，需要VIP协助客户经理到CRM上申请CN2线路连接到南宁无线VPDN平台。,开通前准备工作,填客响单，发送到区NOC，申请无线VPDN域名，并且从区NOC取得下配置参数：VPN的数值属性（中文全称，非数字。例如：华夏银行C网应用无线VPDN）分配给客户方的IP地址,申请域名,协助客户经理填CRM，,填CRM,1、检查线路是否已经到位。2、163网接入方式不需要进行客户处接入路由器配置。只需要协助客户对其手机、上网卡、上网本进行VPDN账号配置。2、城域网接入和CN2接入方式需要将区NOC分配的IP地址配置到客户LNS上。并协助客户对其手机、上网卡、上网本进行VPDN账号配置。,上门安装,该接入方式不向客户提供IP绑定和IMSI绑定服务，其账号也由客户自行维护。,注意：,VPDN客户接入方案（二）,用户自备LNS、但LNS放置电信机房托管，用户LNS通过CN2 VPN189（直接接入CN2如下图中）接入PI-2。对于允许与CN2跨域开放MPLS VPN业务的城域网，优先采用城域网接入CN2 VPN189（如下图中）。客户网络和托管LNS之间互联，如城域网具备MPLS VPN能力，则优先通过城域VPN与托管LNS互联（如下图中的所示），否则通过ATM/FR/SDH/MSTP等本地专线与托管LNS互联（如下图中的所示）。,VIP人员工作步骤,1、通过城域网VPN将客户LNS与其内网相连2、通过2M数字电路或者光纤专线将客户LNS与其内网相连。3、VIP协助客户经理到CRM上申请CN2线路连接到南宁无线VPDN平台。,开通前准备工作,填客响单，发送到区NOC，申请无线VPDN域名，并且从区NOC取得下配置参数：VPN的数值属性（中文全称，非数字。例如：华夏银行C网应用无线VPDN）,申请域名,协助客户经理填CRM，,填CRM,1、检查线路是否已经到位。2、协助客户对其手机、上网卡、上网本进行VPDN账号配置。,上门安装,该接入方式不向客户提供IP绑定和IMSI绑定服务，其账号也由客户自行维护。,注意：,VPDN客户接入方案（三）：集中LNS平台模式,客户网络和共享LNS之间互联，如客户网络与共享LNS在同一城市，如城域网具备MPLS VPN能力，则优先通过城域VPN与共享LNS的客户VR/VRF互联（如上图所示），否则通过ATM/FR/SDH/MSTP等本地专线与共享LNS的客户VRF互联（如上图所示）。如客户网络与共享LNS不在同一城市，可通过CN2 VPN（如图）或者城域网VPN与CN2 VPN跨域互联（如图）的方式接入共享LNS的用户VR/VRF。,VIP人员工作步骤,1、与客户确定内网IP规划，需要与客户确定局方及客户方IP地址，确保双方不与其他IP相冲突。2、与客户确定分配的IP 地址池，确保不与客户内网IP地址冲突。3、收集客户需要绑定的IP地址及对应的账号4、收集客户需要绑定的IMSI及对应的账号5、确定客户的其他需求。6、到CRM上申请CN2专线联接到南宁无线VPDN平台。,开通前准备工作,填客响单，发送到区NOC，申请无线VPDN域名，并且从区NOC取得下配置参数：VPN的数值属性（中文全称，非数字。例如：华夏银行C网应用无线VPDN）,申请域名,协助客户经理填CRM，,填CRM,1、检查线路是已经到位2、将之前协商好的IP地址配置到客户的接入设备上（交换机、路由器、防火墙等）3、将客户分配的IP 地址池做路由指向到客户接入设备上的外网端口地址。4、帮助客户对其手机、上网卡、上网本进行VPDN账号配置。,上门安装,广西电信无线VPDN平台的特点,企业域认证 采用专有的企业域，才能让终端通过L2TP隧道参数由PDSN（LAC）连到VPDN 接入路由器（LNS），而客户自建的VPN，任何终端都有可能连上企业自己的VPDN 接入路由器（LNS），从而将企业的VPDN 接入路由器（LNS）直接暴露在公众网前，极容易受到攻击。,技术特点,IMSI、IP、域名绑定 通过IMSI、IP与域名绑定，即使有不发分子获得拨号账号、密码、域名，也因为不是绑定的IMSI，而无法登陆到VPDN 接入路由器（LNS），使数据传输的安全有了三重保障。,技术特点,成本低,企业节省大量的设备、机房、维护人员费用及技术设备更新带来的费用。,专业性,广域的网络维护由电信运营商来做，尤其是企业所不熟悉的移动通讯网络，企业不必建立企业专网维护系统。,无线VPDN产品,主要实体产品,无线数据采集器,CDMA路由器,无线POS机,无线上网卡,无线DTU,DTU是指数据终端设备（Data Terminal unit)，在进行通信时，传输数据的链路两端肯定存在DTU.在它的作用下对所传信息进行格式转换和数据整理校验，无线DTU就是采用无线传输数据链路的数据终端设备，也就是将有线的DDN、电话线等换为CDMA1x/EV-DO。,外置式,内置式,无线路由器,工业级,无线POS机,区政企业务主管 杨波 18977148576资费、报价区政企业务技术主管 欧帧林 13317717070管理办法、流程区NOC 黄嘉 2686633域名申请处理系统集成公司 覃振 18977141779具体项目方案、支持、实体化产品,世界触手可及！,谢谢！,