VPDN介绍
、 VPDN
VPDN 是利用 L2TPv2 协议实现的。L2TP 是一种基于点对点协议 PPP 的二层隧道协议。在由 L2TP 构建的 VPN 中,有两种类型的服务器,一种是 L2TP 访问集中器 LAC(L2TP Access Concentrator ),它是附属在网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器,用于为用户提供网络接入服务;另一种是 L2TP 网络服务器 LNS(L2TP Network Server),是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。
用户通过窄带或宽带拨号,发起 PPP session 连接到窄带接入服务器或宽带接入服务器,接入服务器充当 L2TP 的 LAC 角色,封装用户的PPP session 到 L2TP 隧道,L2TP 隧道穿过公
共 IP 网络,终止于 LNS。用户的 PPP session 经企业内部的认证服务器认证通过后即可访问企业内部网络资源。
1、业务定义
无线 VPDN 产品是基于 CDMA 1X /EVDO 高速分组数据网络,利用L2TP 隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。用户可使用移动终端或 PC通过无线 VPDN 网络安全地访问客户网络或应用系统。
2、业务功能
可为客户构筑基于 CDMA 1X /EVDO 高速分组数据网络的虚拟专用拨号网络;
可与中国电信提供的行业应用整合,提供安全的无线接入及应用一体化解决方案。
3、业务特点
(1) 可移动、覆盖广
用户可以在移动的环境下进行无线数据传输,CDMA 独有的软切换技术使用户在高速移动中也能确保持续连接,真正地满足用户移动办公的需求。
只要有 CDMA 信号的地方,用户就能使用无线 VPDN 产品。
(2) 高安全性
CDMA 1X 网络 VPDN 产品具有五层安全保障:
第一级安全保证:CDMA 网络本身的安全性;
第二级安全保证:CDMA 无线宽带接入 AAA 认证;
第三级安全保证:CDMA 网络和客户网络之间的 L2TP隧道;
第四级安全保证:客户网络侧的安全防火墙;
第五级安全保证:LNS AAA 鉴权认证。
(3) 高速率
CDMA 1X 无线数据网络能够为移动用户提供高速的数据产品,其数据传输速率最快可达到 153.6kbit/s。
(4) 适用范围广
终端用户通过无线 VPDN 产品接入到客户网络,对各类应用均可透明传送。
无线 VPDN 产品适用多种终端形式,包括智能终端、具有 CDMA 拨号功能的网络设备和工控设备等。中国电信无线 VPDN 产品网络包括 PDSN、接入 AAA 服务器、LNS 和LNS AAA 服务器
等设备。
移动终端使用无线 VPDN 用户名和密码拨号,将用户信息发送到漫游地接入 AAA,漫游地接入 AAA 根据终端 IMSI 将用户信息发送到归属地 AAA,归属地接入 AAA 对 IMSI 和域名进行绑定认证后,在PDSN 和 LNS 设备间建立 L2TP 隧道连接,再经 LNS AAA 认证后,由 LNS AAA 或 LNS 为终端分配客户网络地址,实现终端与客户网络间的数据通信。
5、适用对象
无线 VPDN 产品属全国性产品,面向中国电信政企客户及 133、153、189 用户开放,全国 CDMA 网络覆盖范围内均可通达,用户终端在全国范围内漫游仍能使用本产品。
使用无线 VPDN 产品的用户根据其属性可分为如下两类:
客户:通过专线等方式接入中国电信网络,为终端提供无线 VPDN 接入的政企客户;
终端用户:通过无线 VPDN 产品接入到客户网络或应用系统的中国电信移动网用户。
物流 e 通
4.2.1 业务定义基于中国电信覆盖广泛的互联网和移动网络,及紧密型合作伙伴开发的“物流 e 通”行
业应用平台,为快递企业提供固定与移动融合的信息化应用,主要包括为快递企业调度管理人员提供基于互联网终端(PC)的应用功能,为快递企业外勤人员提供基于移动终端(手机)及时接收和反馈取/送货任务信息的应用功能,满足快递企业随时掌握外勤人员送货情况、调度送货任务、快速处理客户需求以及流动业务人员管理等需求。
4.2.2 业务功能
业务功能从使用的终端角度划分,分为 PC 端和手机端的功能,分别供内勤人员和外勤人员使用。通过外勤人员和内勤人员的协同使用,实现本业务提供的功能。
1、 PC 端功能
PC 端的功能通过使用浏览器访问互联网的方式供系统管理员、公司话务员和网点管理员等内勤人员使用。
人工下单公司话务员接到客户取货请求后,录入客户地址和联系方式等客户信息和选定取件外勤
人员后,后台系统会自动将客户信息发给选定外勤人员的手机。
任务信息查询根据运单号查询某段时间内运单对应任务的详细信息。
任务统计统计在某段时间内完成的下单、取件和派送等任务次数,进而可以粗略估算外勤人员、
公司话务员和网点所完成的工作量。
信息发布
系统管理员提交发布信息后,后台系统会自动将其发至外勤人员的手机。 人员管理可以对公司话务员、网点管理员、网点业务员(外勤人
员)信息进行增、删、改。
网点管理可以对网点信息进行增、删、改。
客户档案管理查看和修改客户档案。
2、手机端功能 (1) 取货操作取货分指令取货和自主取货,前者指外勤人员根据接收到的内勤人员的指令取货,后者
指外勤人员直接根据客户的请求取货。这些功能通过在安装在手机中的BREW 程序来完成,
并通过 CDMA 1X 网络与后台进行交互。
未完成任务查看查看内勤人员发送的新任务的详细信息。可选用短信方式提醒外勤人员去查收新分配的
任务信息。
取货信息采集上传条码扫描:用摄像头拍摄后自动识别运单条码。信息录入:手工录入货物重量、目的地代码和付款方式等信息。信息上传:将取货中采集的信息上传至后台系统。
(2) 派送操作
派送信息采集上传:派送中也包括条码扫描和信息上传,与取货中的相同。
签收拍照:用带摄像头的手机对带有客户签字的签收单据进行拍摄。
信息录入:手工录入签收人等信息。
(3) 信息查询
网点查询:根据网点名称查询网点信息。
运单查询:根据运单号查询与运单对应的任务信息。
(4) 接收天气预报接收天气预报信息。 (5) 接收公司公告接收公司公告信息。
4.2.3 业务卖点
任务分配实时高效,沟通成本大幅降低;
货物信息及时掌握,派送计划提前进行;
运营管理轻松实现 IT 化,避免手工填报引发的差错;
企业信息化建设更轻松,公司分支机构运营管理更规范。
4.2.4 系统架构
系统由手机端、物流 e 通服务平台和企业内网平台组成。业务员通过CDMA 手机内 BREW 客户端软件接入电信网络并联至企业内网,后台人员登录 Web 端管理系统进行业务监控和人员。
4.2.5 适用对象/场景
1、适用对象
“物流 e 通”应用的目标客户主要为各类型物流快递公司,并可根据客户需求及业务发展情况,逐步向物流货运公司等其它行业扩展。
根据物流快递行业企业规模及信息化水平,可将目标客户群分为大型快递公司、中型快递公司、小型快递公司三类。
4.3 销售管家
4.3.1 业务定义“销售管家”行业应用是基于中国电信紧密型合作伙伴在全国集中部署的销售管家行业
应用平台和覆盖广泛的互联网和移动网络,与应用开发合作伙伴紧密合作,通过与基于定制
终端的宽带接入业务(商务领航信息版应用)相结合,为企业客户提供固定与移动结合的信息化应用。包括基于移动终端(手机)的销售信息和数据采集服务、业务调度服务,和以通过互联网终端(PC)接入为主的销售数据统计分析服务,以满足企业高效管理及经营管理人员随时掌握企业市场营销动态的需求。
4.3.2 业务功能“销售管家”服务以终端数据即时上报为基础,为企业日常库存警示、销售控制、资金
流动、安装进度、工作监控等提供了准确的基础数据。“销售管家”服务为企业提供了模块
化的数据统计分析等后台管理功能。结合不同的企业的业务特点,适当选用“销售管家”前后台功能模块量身定制,即可为企业提供基于即时终端业务数据的丰富、实用、智能化的终端分析、监控和管理工具。
1、随时获取足够支撑决策的营销业务数据
本企业销售、订货、退货、赠品、促销补贴数据
竞争对手的销售数据、促销动态
业务数据(换残、调拨)动态监控
产品、赠品的即时库存情况
样机状态
促销信息与反馈
一线员工意见建议
卖场状态
2、销售业绩分析
本企业销售报表(日报、周报、月报)
按产品系列的销售分析
按区域的销售分析
按体系的销售分析
按门店的销售分析
按业务员的销售分析
按价格段的销售分析
销售环比分析
按产品系列的竞争对手数据对比分析
员工休假管理
3、即时业务通告、通知
随时随地获取业务汇总数据通告
资讯信息发布
4、即时业务监控
(1) 店一级的销售状态即时监控
精确库存即时监控与警示
销售成本即时监控与警示
产品销售速度即时监控与警示
零销售上报明细
促销补贴即时监控与警示
(2) 安装维修状态即时监控
任务状态即时监控与警示
安装队安装情况即时监控与警示
网点留存产品即时监控与警示
5、权限管理
系统管理菜单
权限管理。设置权限类别和权限信息。
角色管理
为角色分配权限
为用户分配角色
6、即时扁平化沟通
店面即时反应突发情况
即时直接下达营销指令到店面
店面即时市场调查
4.3.3 业务卖点
1、销售情况,即时掌握当天即可获得全国各地销售终端的信息,营销管理更科学,市场反映速度快。
2、简单方式解决大问题无处不在的手机作为信息采集手段,解决了长期困扰企业的无法及时、准确获得一线销
售信息的难题。后台提供统计分析功能,系统可与企业 IT 系统对接,为进销存、ERP 等提
供基础数据。
3、简单实用,快速见效插卡就能使用,菜单式友好界面,无需培训。
4、投入低,效果好相对电话、传真方式,短信费用低,报送信息丰富、准确。
4.3.5 适用对象/场景
1、适用对象销售管家的目标客户群体主要定位为销售服务网点数量多、分布广、产品销售和更新速
度快、企业信息化需求较高的各类型生产销售企业及各地区代理经销商。根据目标客户主营行业的不同,销售管家应用主要目标客户群集中在快速消费品行业、家电行业、服装行业等相关行业。
2、应用场景
“销售管家”行业应用业务的使用方式,主要包括 PC 界面(系统平台)、移动终端客户端(手机端软件)这两种使用方式。
图 4-7 销售管家应用场景
如图 4-7 所示,专柜销售人员①将销售数据上报,经过移动通信网②,数据传送到系统平台的前置通信系统③,经处理后记入④进销存管理系统⑤,即可生成各种统计报表,管理人员⑦可以通过手机或电脑经由通信网络得到销售报告。
4.7 保险 e 通
保险 e 通业务主要包括:远程定损及现场查勘两大行业应用。
4.7.1 远程定损
1、业务定义
保险 e 通-远程定损是中国电信面向保险行业客户提供的视频监控行业应用。该业务基于保险行业专用平台,通过中国电信无处不在的网络将分散、独立的定损点进行联网,保险公司定损员远程实时监看定损点定损工作场景,查看车辆损伤情况、拍照、录像,协助完成车辆定损操作,满足保险行业客户降低定损成本、缩短定损时间、防止骗保、减少理赔纠纷、提升企业形象等方面的需求。
2、业务功能
(1) 基本功能
实时视频浏览
指定损员通过远程定损客户端(一般为 PC 型),可实时查看各定损点的视频图像,图像分辨率支持 CIF、2CIF、D1 分辨率;视频窗口画面可叠加定损点名称、定损时间等信息。
图片抓拍指定损员通过远程定损客户端,可远程控制从前端设备(即定损点视频服务器)抓拍或从实时视频画面上抓拍清晰的图片(如640*480 /704*576 JPG 格式图片),保存在定损业务终端或者自动传递给车辆定损业务应用系统(如理赔系统)。
云镜控制指定损员通过远程定损客户端,可全方位控制云台上下左右转动,控制镜头变倍、调焦等,实现定损部位图像的放大及缩小操作。
用户权限管理指定损员只能在授权的定损范围内操作,有级别区分,支持对每个定损员分配匹配的权限。
语音对讲指定损员与前端定损点人员的双向语音沟通功能,除了对车损情况进行讨论外,还用于指挥前端定损点人员控制 DV 操作。优先通过固定电话网络或移动电话网络实现。
视频存储(录像)指定损员通过远程定损客户端设置录像策略,支持定损中心存储,支持定损点本地存储;支持定损请求触发录像、定时录像或手工录像策略。该业务对视频存储的要求不高,定损员主要是通过实时视频来观察和判断车辆损坏情况的,一般不需要进行存储,只有对重大车辆故障进行定损时、在定损过程中需要拆解车辆时,才有可能录像。
录像回放(按定损时间)指定损员可以通过远程定损客户端,远程调用录像资料,支持按定损时间进行定损录像调用。
(2) 增强型功能
与理赔系统对接指在理赔系统中直接嵌入视频标准的控件,通过理赔系统界面一键调用视频页面,实现单点登录、照片上传、视频浏览、语音通话等功能。
点击居中指定损员通过远程定损客户端,在视频窗口选中状态时,点击视频画面中某点,该点自动移至画面中央,实现定损部位快速定位。 虚框放大指定损员通过定损客户端,在视频窗口选中状态时,在视频画面中画出矩形区域,系统自动将该画面放大,实现定损部位快速呈现。
一键语音呼叫
指定损员通过远程定损客户端一键呼叫功能,自动呼通前端定损点人员语音终端
(包括固定电话、移动电话等)与定损员语音终端(包括固定电话、移动电话等),保证通话过程中语音质量。
移动定损在定损点通过定制的无线型单兵视频服务器设备(以下简称“无线型单兵设备”),由锂电池供电,采用 WIFI+有线接入方式、EVDO 无线接入方式(不主推),实现移动状态下定损操作。
录像回放(按定损任务信息)
指定损员可以通过 PC 型客户端,远程调用录像资料。可以根据报案号、车牌号、定损员、定损时间等条件进行定损录像综合调阅。
定损任务管理
根据定损点来车定损请求,自动触发定损任务;根据定损点名称、定损人员、车牌号码等信息进行条件组合查询,实现对如定损任务量、定损平均时长等定损业务信
息进行统计和查询。
3、业务卖点
减少人力成本、提高定损效率:减少定损员花费在路程上的时间,减少定损等待时间,提高定损效率,节约人力,提高服务能力。
降低保险公司骗保率:通过全景监控,在一定程度上防止个人行为的联合诈骗,降
低骗保几率。
提升定损服务声誉:为 4S 店带来持续稳定业务收入;提高 4S 店的服务与声誉。
快速核保方便车主定损:使用远程定损应用提高了车主出险定损效率,方便车主快速完成出险车辆理赔。
4、系统架构
(1) 承载网络
远程定损业务主要采用 MPLS VPN 网络承载实现。
QoS等级:选择金、或白金。
站点可用率:选择 AA(99.95%)或 A(99.9%)。
网络接入方式:各定损点或定损中心采用专线方式接入城域网PE,城域网跨域通过 Option-A 方式和 CN2 PE 互联,经 CN2 网访问主平台,实现接入认证、视频转
发等。
为远程定损业务所有客户设置中国电信特定的 VPN,实现保险行业客户统一的 VPN 接入。网络拓扑统一为星型结构(hub-spoke 模式),以业务平台(包括:主平台和分平台)为 hub 点,定损点及定损中心作为 spoke 点,同一客户定损点及定损中心与业务平台通过中国电信特定 VPN 实现 IP 可达。
(2) 平台部署优先考虑部署全国远程定损业务平台(以下简称“全国共享平台”),提供全国各省市定
损中心和定损点的统一接入服务,各省不再单独建设专用远程定损平台。 集中部署模式共享已经建设的全国共享平台,各省电信无需投资平台建设。各地保险公司定损中心、定损点通过 IP 虚拟专网(IP VPN)连接到全国共享平台,平
台架构示意图如图 4-15 所示:
分布式部署模式共享已经建设的全国共享平台,各省电信投资建设分平台。分平台主要包括视频转发单元/视频存储单元,实现视频流的本地转发/储存。各省根据需求建设分平台,建议当监控点数量超过 100 路时,在本地 IDC 机房建设分
平台,通过 IP 虚拟专网与全国共享平台相连,分平台与全国平台的连接带宽至少为 2Mbps。
组网示意图如下:
(3) 定损点
以最常用的 1+1 模式为例。在定损点配置一台全景固定位摄像机和一台移动定损 DV。定损点的全景摄像机用于对汽修店/4S 店定损场景的全景监控。移动定损 DV 摄像机用于定损人员手持,检测具体损伤部位,进行定损录像、拍照等。
固定位摄像机通过视频线连接网络视频服务器,有线方式连接网络设备(宽带路由器或网关)接入系统。
定损 DV 通过视频线连接视频服务器。
接入带宽按照每路 CIF 视频 512Kbps,D1 视频 1.5Mbps 估算,单个定损点的接入带宽建议不小于 2Mbps。
(4) 定损中心
在定损中心部署定损客户端,通过 IP 专线接入远程视频定损系统。定损员通过视频定损客户端实现远程定损工作,包括定损场景监看、拆解过程录像、图片抓拍与存档等工作。接入带宽按所辖定损点接入带宽之和的 0.5-0.8 倍进行估算。
5、适用对象该应用的目标客户为全国范围内的保险公司客户及与保险公司车险定损有合作关系的
4S 店/汽车修理厂。
4.7.2 现场查勘
1、业务定义
保险 e 通-现场查勘是针对保险公司外勤查勘人员调度和管理工作需要提供的行业应用。通过为保险公司的外勤查勘人员提供使用天翼手机及时下载定损待办任务、上报任务完成情况和为保险公司的内勤管理人员提供使用 PC 向外勤查勘人员及时分配定损任务和查看任务完成情况的功能,从而满足保险公司快速处理客户报案和管理外勤查勘人员的需求。
2、业务功能
“保险 e 通-现场查勘”行业应用服务是基于通讯网络和成熟的 BREW 平台推出的一种企业终端业务数据管理服务。通过在手机直接安装或通过 BREW 平台下载专用程序,终端操作人员使用安装有保险 e 通应用程序的 CDMA 手机即可按照友好的应用程序界面提示进行相关操作,从而将业务数据便捷、安全地即时送达业务管理部门,系统后台管理人员则通过 PC 机登录管理平台,完成对任务的调度、监控和各项管理功能。
借助于“保险 e 通-现场查勘”行业应用服务,保险公司可以更方便快捷的在信息化建设中解决以下问题:
对于保险公司,能够:
实现对查勘员的管控;
以低成本提高现场查勘效率;
达到快速理赔的目的;
提高客户满意度和企业竞争力;
包装快速理赔相关产品;
对于查勘员,能够:
无需频繁往返各地;
现场查询被保车辆相关信息;
实时后台交互,减少被保客户可能的现场冲突;
工作业绩考核透明公正;
(1) 业务管理
行程记录记录理赔人员整个理赔任务完成情况
管理工具
提供系统维护工具
工作状态实时显示查勘员的工作状态,分为“忙”和“闲”两种。 立案和查勘管理
对保险事故查勘报告,现场立案信息和查勘信息进行管理
报表生成和数据分析包括行程报表、城区地图事故分析报表、平均业务处理时间报表、经纬度报表、详细活动报表
行程汇报包括现场照片、接受任务和完成任务的全过程的各个时间点及勘查处理具体地点
行程地点统计针对现场和非现场的处理,分别采用不同颜色的标志,在地图上进行标记
(2) 移动终端客户端
工作任务下载公司管理人员可以动态为外勤人员分配任务,用户可以通过手机实时下载当天的工作任务。
工作行程计划上报
保险 e 通行业应用解决方案用户可以每天直接从手机中发送行程计划到公司的后台管理系统,如果业务繁忙,也不需要每天定时回公司,公司管理人员就能实时了
解员工的工作情况。
对事故现场进行拍照,实时发回立案信息和查勘信息 ,以及现场照片
到企业信息系统查询相关信息,如保单内容,赔付规定条款、费率等
接收公司通知及公司险种、政策信息
记录及分类管理客户的信息
(3) 短信通知
根据任务安排进行人员任务短信通知
向指定人员群发会议、事件、通知
(4) 定位调度
用户管理
任务调度
位置显示
工作状态显示
轨迹管理3、业务卖点
查勘效率高:管理调度人员迅速匹配离现场最近的查勘、定损员,短信任务通知;系统自动记录查勘员联系客户的时间和现场处理位置、时间等信息;客观公正管控,提升外勤人员工作效率、提高其工作热情和积极性。
定损质量高:现场查询事故车辆相关信息、相关定损信息等;现场将照片绑定位置信息上传,不易被篡改;现场回传定损数据,及时定损,确保定损时效和质量。
理赔时效高:查勘效率的提高,缩短了保险公司的理赔时间,也因此缩短了客户等
待时间;定损质量的提高,提高公司的信誉和知名度,为公司树立了良好形象,提升了客户满意度,从而为公司创造更多价值。
通信成本省:内勤管理人员与现场查勘人员组成综合虚拟网,内部人员通话不收费,
大幅降低内部通信成本
“保险 e 通-现场查勘”行业应用平台系统结构如下图所示,包括CDMA 终端用户、移动网络、核心业务平台三个部分。
(2) 终端需求
终端需求:支持 BREW 的普通 CDMA 手机终端客户端软件:由电信负责维护,通过 BREW 下载
(3) 接口说明
短信通信接入
接入方式:与短信中心直接连接的方式
协议规范:SMPP 3.3 or 3.4
短信中心的性能参数:达到 500 万 BHSM 处理能力(设备容量 1000 万
BHSM);消息损失概率 P≤10-8
互联网
提供机房和互联网带宽,确保短信收发速度。
能够提供内网与外网 IP。
能够协调专线资。
5、适用对象该应用的目标客户主要是保险公司中的车险部门。
中国电信VPDN网路及业务技术
中国电信IP网VPDN网路及业务技术要求(草稿) 1.总则 1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号VPN 业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等方面的主要技术依据。 1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、灵活性和统一性。 2.中国电信IP网上VPDN系统结构组成 中国电信IP网上VPDN系统组成分为以下几个部分: (1) VPDN业务的承载网,即中国电信的IP网; (2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心; (3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示:
2.1 中国电信VPDN业务的承载网 VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网, 2.2 全国VPDN业务管理中心 VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。 (2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。 (3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。 (4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 2.2 省级VPDN业务管理中心 各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。省级VPDN业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责省内VPDN业务的受理、省内VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、
VPDN概述
VPDN概述 1.1业务介绍 VPDN –Virtual Private Dial-up Networks(虚拟专有拨号网络)。VPDN 是一种在Internet 公网上通过加密的隧道进行通信的虚拟专网技术。VPDN 用户通过拨号的方式结合严格的认 证系统和授权机制访问本企业/封闭站点的虚拟专用网络。 VPDN有三层含义: 它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立,“虚拟”的概念是相对传统私人专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。 l 它是利用公众网设施构成的专用网, 构建在这些公共网络上的VPN 将象当前企业 私有的网络一样提供安全性、可靠性和可管理性等。 l 它是基于拨号用户的,不是所有宽带、局域网上网方式都能支持连接。 VPDN 的特点: 组网灵活:在全网覆盖范围内均可提供对VPDN业务的接入。 安全可靠:以L2TP 技术在两端建立隧道(Tunnel),通过虚拟
专用的隧道来传输数据,确保 用户通信数据的安全。 操作简便:用户端同普通拨号上网一样,输入VPDN帐号就能接入私有专用网络。 节省成本:通过本地电话线拨号即可访问企业的内部网,减少用户建设专线投资 1.2 VPDN网络结构 名词解释: L2TP:Layer 2 Tunnel Protocol,二层隧道协议。 LAC:L2TP Access Concentrator,L2TP访问集中器,一般由接入服务器承担LAC 的功能。 LNS:L2TP Network Server,L2TP 访问集中器,一般由专用的接入服务器承担LNS的功能。 图7.1.2 VPDN 网络结构 1、用户发起与LAC 之间的PPP连接 2、LAC 通过RADIUS对用户进行验证 3、RADIUS 认证通过并返回建立隧道相关的属性
VPDN介绍
、 VPDN VPDN 是利用 L2TPv2 协议实现的。L2TP 是一种基于点对点协议 PPP 的二层隧道协议。在由 L2TP 构建的 VPN 中,有两种类型的服务器,一种是 L2TP 访问集中器 LAC(L2TP Access Concentrator ),它是附属在网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器,用于为用户提供网络接入服务;另一种是 L2TP 网络服务器 LNS(L2TP Network Server),是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。 用户通过窄带或宽带拨号,发起 PPP session 连接到窄带接入服务器或宽带接入服务器,接入服务器充当 L2TP 的 LAC 角色,封装用户的PPP session 到 L2TP 隧道,L2TP 隧道穿过公 共 IP 网络,终止于 LNS。用户的 PPP session 经企业内部的认证服务器认证通过后即可访问企业内部网络资源。 1、业务定义 无线 VPDN 产品是基于 CDMA 1X /EVDO 高速分组数据网络,利用L2TP 隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。用户可使用移动终端或 PC通过无线 VPDN 网络安全地访问客户网络或应用系统。 2、业务功能 可为客户构筑基于 CDMA 1X /EVDO 高速分组数据网络的虚拟专用拨号网络; 可与中国电信提供的行业应用整合,提供安全的无线接入及应用一体化解决方案。 3、业务特点 (1) 可移动、覆盖广 用户可以在移动的环境下进行无线数据传输,CDMA 独有的软切换技术使用户在高速移动中也能确保持续连接,真正地满足用户移动办公的需求。 只要有 CDMA 信号的地方,用户就能使用无线 VPDN 产品。 (2) 高安全性 CDMA 1X 网络 VPDN 产品具有五层安全保障: 第一级安全保证:CDMA 网络本身的安全性; 第二级安全保证:CDMA 无线宽带接入 AAA 认证; 第三级安全保证:CDMA 网络和客户网络之间的 L2TP隧道; 第四级安全保证:客户网络侧的安全防火墙; 第五级安全保证:LNS AAA 鉴权认证。 (3) 高速率 CDMA 1X 无线数据网络能够为移动用户提供高速的数据产品,其数据传输速率最快可达到 153.6kbit/s。 (4) 适用范围广 终端用户通过无线 VPDN 产品接入到客户网络,对各类应用均可透明传送。 无线 VPDN 产品适用多种终端形式,包括智能终端、具有 CDMA 拨号功能的网络设备和工控设备等。中国电信无线 VPDN 产品网络包括 PDSN、接入 AAA 服务器、LNS 和LNS AAA 服务器 等设备。 移动终端使用无线 VPDN 用户名和密码拨号,将用户信息发送到漫游地接入 AAA,漫游地接入 AAA 根据终端 IMSI 将用户信息发送到归属地 AAA,归属地接入 AAA 对 IMSI 和域名进行绑定认证后,在PDSN 和 LNS 设备间建立 L2TP 隧道连接,再经 LNS AAA 认证后,由 LNS AAA 或 LNS 为终端分配客户网络地址,实现终端与客户网络间的数据通信。 5、适用对象 无线 VPDN 产品属全国性产品,面向中国电信政企客户及 133、153、189 用户开放,全国 CDMA 网络覆盖范围内均可通达,用户终端在全国范围内漫游仍能使用本产品。 使用无线 VPDN 产品的用户根据其属性可分为如下两类: 客户:通过专线等方式接入中国电信网络,为终端提供无线 VPDN 接入的政企客户; 终端用户:通过无线 VPDN 产品接入到客户网络或应用系统的中国电信移动网用户。 物流 e 通 4.2.1 业务定义基于中国电信覆盖广泛的互联网和移动网络,及紧密型合作伙伴开发的“物流 e 通”行 业应用平台,为快递企业提供固定与移动融合的信息化应用,主要包括为快递企业调度管理人员提供基于互联网终端(PC)的应用功能,为快递企业外勤人员提供基于移动终端(手机)及时接收和反馈取/送货任务信息的应用功能,满足快递企业随时掌握外勤人员送货情况、调度送货任务、快速处理客户需求以及流动业务人员管理等需求。 4.2.2 业务功能 业务功能从使用的终端角度划分,分为 PC 端和手机端的功能,分别供内勤人员和外勤人员使用。通过外勤人员和内勤人员的协同使用,实现本业务提供的功能。 1、 PC 端功能 PC 端的功能通过使用浏览器访问互联网的方式供系统管理员、公司话务员和网点管理员等内勤人员使用。 人工下单公司话务员接到客户取货请求后,录入客户地址和联系方式等客户信息和选定取件外勤 人员后,后台系统会自动将客户信息发给选定外勤人员的手机。 任务信息查询根据运单号查询某段时间内运单对应任务的详细信息。 任务统计统计在某段时间内完成的下单、取件和派送等任务次数,进而可以粗略估算外勤人员、 公司话务员和网点所完成的工作量。 信息发布 系统管理员提交发布信息后,后台系统会自动将其发至外勤人员的手机。 人员管理可以对公司话务员、网点管理员、网点业务员(外勤人
综合VPDN技术实现方案,满足安全和管理需求
综合VPDN技术实现方案,满足安全和管理需求 本系统中涵盖综合VPDN平台、路由器、GGSN、BARS等多厂商设备组网实现了专线、internet、MPLS VPN等企业接入方式,动态L2TP、静态L2TP方式、GRE 连接方式等多种用户接入方式,满足各种用户接入需求,有效利用网络资源,并提供认证和加密等安全策略。 1.引言 中国联通移动通信网络迅速发展,特别是移动互联网业务的迅猛发展,许多企业有强烈的随时随地直接接入企业内部网络的需求,实现移动办公、远程抄表、气象监控、移动视频监控、远程电站监控、地质监测等业务。 随着接入企业及用户的增加,如何对终端接入企业网络进行控制,实现更加安全地访问企业网络,如何管理企业终端用户成为目前行业应用系统建设中重点要解决的问题。为更好发展企业用户,为企业用户提供集中认证和授权业务,为企业专网接入提供用户信息集中管理服务,保障企业专网接入的安全性,保障核心网安全,减少对现有GGSN性能的影响,使网络结构更清晰、设备功能更明确、降低投资成本,需建设一套APN接入管理平台,满足企业通过移动网、固网方式接入企业专网的安全和管理需求。 2.技术实现方案 2.1 VPDN拓扑设计 根据可靠性先进性等网络设计原则,我们针对移动网分组网络、IP城域网的IP数据包的传输特点,设计以下拓扑网络。 该网络结构通过分层设计,能够满足企业用户小数据量,突发性的特点。 在整个平台的网络建设中,划分A、B、C3个区。A区为综合VPDN管理接入平台的核心交换转发区,主要用来提供在移动网分组域核心网/IP城域网和综合VPDN管理平台之间的数据路由转发。B区是企业接入区,用来提供企业用户的专线接入。 C区是综合VPDN管理平台,用来提供企业托管认证服务和管理服务。整个平台通过主从
联通VPDN服务说明
联通VPDN服务说明 1VPDN概述 1.1什么是VPN? VPDN英文为Virtual Private Dial-up Networks,又称为虚拟专用拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网业务。即以拨号接入方式上网,是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网,是近年来随着Internet的发展而迅速发展起来的一种技术。 VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。 VPDN是基于拨号接入(PSTN、ISDN)的虚拟专用拨号网业务,可用于跨地域集团企业内部网、专业信息服务提供商专用网、骨干网连接方式、金融大众业务网、银行存取业务网等业务。 ●它是虚拟的网,即没有固定的物理连接,网路只有用户需要时 才建立。 ●它是利用公众网设施构成的专用网, 构建在公共网络上的 VPN 如同企业私有的网络一样提供安全性、可靠性和可管理
性等。 1.2VPDN网络架构介绍 ●VPDN业务的承载网,即165网; ●全国和各省设置VPDN用户认证中心和计费中心; ●各省市城市的VPDN拨号接入系统,主要由接入服务器组成;●用户系统,包括企业的拨号用户、企业总部网关设备、企业内部 网的管理系统。 2联通VPDN服务介绍 2.1联通VPDN服务 中国联通因特网虚拟专用网是基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方
电信VPDN网路及业务技术
电信V P D N网路及业务 技术 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
中国电信IP网VPDN网路及业务技术要求(草稿) 1.总则 1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号 VPN业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等 方面的主要技术依据。 1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、 经济性、先进性、灵活性和统一性。 2.中国电信IP网上VPDN系统结构组成 中国电信IP网上VPDN系统组成分为以下几个部分: (1) VPDN业务的承载网,即中国电信的IP网; (2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心; (3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成; (4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示: 中国电信VPDN业务的承载网
VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网, 全国VPDN业务管理中心 VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。 (2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。 (3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。 (4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图省级VPDN业务管理中心 各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台
VPDN组网技术
一.VPDN简介 VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。 VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。 二.VPDN有下列两种实现方式: 1.NAS通过隧道协议,与VPDN网关建立通道的方式。这种方式将客户的PPP 连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS 支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。 2.客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限制,不需ISP介
入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。 3.VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用相当许多的是L2TP。 三、L2TP协议介绍 1.协议背景 2.PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。 3.L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。 4.典型L2TP组网应用使用L2TP协议构建的VPDN应用的典型组网如图1所示: 其中,LAC表示L2TP访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。LNS表示L2TP网络服务器(L2TP Network Server),是PPP端系统上用于处理L2TP协议服务器端部分的设备。
VPDN技术简介
VPDN技术简介 VPDN是拨号业务的VPN,指利用公共网络的拨号及接入网实现的虚拟专用网,可为企业、小型ISP、移动办公人员提供接入服务。VPDN能够充分利用现有的网络资源,提供经济、灵活的联网方式,为客户节省设备、人员和管理所需要的投资,降低用户的费用,所以必将得到广泛的应用。下面就VPDN作一介绍。 一、VPDN基本原理 VPDN主要由网络接入服务器(NAS)、用户端设备(CPE)和管理工具组成。VPDN的构成如图1所示。其中NAS由大型ISP或电信部门提供,其作用是作为VPDN的接入服务,提供广域网接口,负责与PSTN、ISDN的连接,并支持各种LAN的协议、安全管理和认证、隧道及相关技术;CPE是VPDN的用户端设备,位于用户总部,根据网络功能的不同,可以是由NAS、路由器或防火墙等提供相关的设备来担任;VPDN管理工具对VPDN设备和用户进行管理。属于电信部门或大型ISP来管理,属于用户的设备及用户管理功能由用户方进行管理。 二、VPDN隧道协议 VPDN隧道协议有点到点隧道协议(PPT P)、第二层转发协议(L2F)、第二层隧道协议(L2TP)等几种。 1、点到点隧道协议(PPTP) PPTP是PPP(点到点协议)的一种扩展,提供了在ip网上建立多协议的安全VPN的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。PPTP提供PPTP 客户机及其服务器之间的保密通信。通过PPTP,客户可以采用拨号方式接入公共的IP网方法是:拨号客户首先按常规方式拨号到ISP的NAS,建立PPP连接;在此基础上,客户进行第二次拨号,建立到PPTP服务器的连接。 2、第二层转发协议(L2F) L2F是可以在多种介质上建立多协方安全VPN的通信方式。它将链路层的协议封装起来传送,因此网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络,方法是:先按常规方式拨号到ISP和NAS,建立PPP连接;然后,NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器。 3、第二层隧道协议(L2TP) LETF建立将PPTP和L2F的最优秀部分组成一个标准,就称为L2TP。自1999年5月以来,L2TP一直在开发中,某些部分正由Cisco和Microsoft开发实现。在L2TP协议中,规定了3个网络元素,即LAC(L2TP access Concentrator),LNS(L2TP Network Server)和主局域
VPDN业务方案
VPDN业务方案 一、业务简介 VPDN即无线虚拟专用拨号网络(Virtual Private Dialup Network)的缩写,VPDN采用专用的网络加密和通信协议,可为企业建立安全的虚拟专用网。用户可在国内任何地区通过WCDMA/GPRS 手机、无线上网卡等移动终端,高速、安全、方便、快捷地连接企业内部网络,实现无缝连接的无线数据传输和企业移动办公。 浙江联通的VPDN业务产品是浙江联通为集团客户建立的VPDN平台,采用先进的接入设备和专用的接入网络。具有接入方便、网络安全等优点。 联通的VPDN典型的接入方式见下图: 图1 用户通过手机GPRS或者WCDMA(3G制式)网络接入联通移动数据网,通过VPDN平台和VPDN专用的接入网络,接入企业端的服务器,从而在企
业用户登录时建立一条专用的VPN通道,让企业用户通过安全通道与企业内部的网络进行连接,实现企业用户的无线数据传输和移动办公。 二、业务应用场景 2.1应用场景描述:各类行业应用 1.无线业务办理 无线宽带VPDN可以提供无线业务终端与后端业务系统的安全连接,从而实现无线ATM、无线POS、远程保险理赔、交警现场执法等各行业远程业务处理和移动办公需求,是一种不受传输环境与地域的影响、组网方便、性价比高、随时在线的、稳定的通信方式。 2.无线数据传输 无线宽带VPDN可以实现移动节点或远距离节点的远程数据采集,如噪声监控、水文监测、远程自动化控制等,省去了分散节点布线的麻烦,提供了安全可靠的数据通道。 3.无线信息发布
公共信息发布系统是将传统的显示平台如:LED、LCD、TFT等与无线宽带VPDN相结合,提供实时、无线、远程、多屏幕的信息发布系统,如智能交通信息发布系统、大型户外媒体广告系统、灾害性天气预警系统等 4.无线视频采集 无线网络视频监控系统可为用户提供快速的、实时的被监控对象的图像信息和现场数据信息,主要应用于移动视频监控系统以及有线网络无法到达的地方。其典型应用有:各种无人值守机站监控、流域水利水文监控、灾害现场监控、公共场所安全监控、远程生产安全监控等。 5.移动办公 通过无线上网卡或WAP方式访问单位的办公网,处理公文。 2.2 具体场景:银行及银联系统应用 (1)银行快速占领市场——ATM机、POS刷卡终端 现场网络环境的制约 网络稳定性 网络可靠性 交易快捷 (2)其他行业支付需求——大量的货到付款需要 网上购物 送机票 鲜花、蛋糕等 (3)特殊环境场合需要——临时租用POS 临时促销 大型活动等 忙时快速开户交易等
(5.2)运营商的VPDN服务【全业务组网砖家指引】
【全业务组网砖家指引】由 91 导购网编辑 http://www.91tell.me 91 告诉我
第二节
运营商的 VPDN 服务
在 Network-based VPN 模式下,VPN 的构建、管理和维护由运营商控制,允许用户在 一定程度上进行业务管理和控制。 功能特性集中在网络侧设备处实现, 用户网络设备只需要 支持网络互联,无需特殊的 VPN 功能,因此客户使用运营商的 VPN 业务,可以沿用原来的 不支持 VPN 功能的路由器等设备,保护原有的投资。 Network-based VPN 包括 MPLS VPN 等业务;MLPS VPN 在组网业务里面已经有介绍。 在介绍一下目前广泛应用的运营商 VPDN 服务。 大家指导,目前的宽带接入大多数使用 PPPOE 拨号接入互联网。类似的,使用 VPDN 拨号可以接入运营商的内网。 VPDN(Virtual Private Dialup Network)即虚拟专用拨号网络,是 VPN 技术的一种,主 要应用于拨号(电话、ADSL)接入的用户组建虚拟专网的场合。VPDN 具有投资小见效快、 实现简单等优点,因此各运营商都在大力发掘客户的 VPDN 组网需求。目前运营商提供的 VPDN 业务一般采用 L2TP 技术。 VPDN 组网业务是运营商在互联网基础上开放的,基于窄带或宽带拨号方式,以二层 隧道技术为主而组建企业虚拟专用网络的一种业务。以 L2TP/L2F 技术在两端建立安全隧道 (Tunnel) ,通过虚拟专用的通道来传输信息,防止来自 Internet 的恶意攻击,确保用户通信 数据的安全。 L2TP(Layer 2 Tunnel Protocol)第二层隧道协议,是为在用户和企业的服务器之间透明 传输 PPP 报文而设置的隧道协议。支持内部地址分配.。主要组成有 LAC、LNS 等。 LAC(L2TP Access Concentrator)L2TP 访问集中器,附属在交换网络上的具有 PPP 端 系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器(NAS,Network Access Server) ,它通过 PSTN/Internet 为用户提供网络接入服务。 ,用于处理 L2TP 协议的服务器。在一个 LNS 和 LAC 对之 LNS(L2TP Network Server) 间存在着两种类型的连接,一种是隧道(tunnel)连接,它定义了一个 LNS 和 LAC 对;另 一种是会话(session)连接,它复用在隧道连接之上,表示承载在隧道连接中的每个 PPP 会话过程。 企业用户可以采取窄带(PSTN 网络)和宽带(ADSL 接入、PON 接入等)的方式来使 用 VPDN 组网业务。
第1页 91 导购网:http://www.91tell.me 91 告诉我 https://www.360docs.net/doc/224600817.html, 91 告诉我们
中国电信VPDN网路及业务技术经验
精心整理 中国电信IP 网VPDN 网路及业务技术要求(草稿) 1.总则 1.1 制定本技术要求的目的是为了在IP 网VPDN (由运营商NAS 发起的拨号VPN 业务)国家技术 体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2 本技术要求是中国电信进行IP 网VPDN 网络规划、工程设计、业务开展等方面的主要技术依 据。 1.3 本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、 灵活性和统一性。 2中国电信(1)(2业务管理中心;(3(4 2.1VPDN 网)二网调整后的2.2全国VPDN 网上提供VPDN 国VPDN (1业务用(2IP 网上负责置。 (3生成等。(4)网络管理模块,网络管理对象是全国VPDN 业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 2.2省级VPDN 业务管理中心 各省省级VPDN 业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN 业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。省级VPDN 业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责省内VPDN 业务的受理、省内VPDN 业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP 地址等)管理、业务营销策略管理、省内VPDN 业务用户帐务信息管理。
VPDN技术简介
VPDN技术简介 一、简介 无线VPDN技术是基于无线3G高速分组数据网络,为分支点建立连接到企业内部的L2TP私密隧道,为客户构建的与公众互联网隔离的虚拟专用网络,基于隧道可以实现企业内部数据安全,高速、便捷的传输。用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统。用户通过VPDN可以实现总部对分支机构的远程管理,远程监控,业务应用等多方面数据传输需求,节省了用户的通信成本,提高了企业管理运作效率,同时也为客户业务用于的扩展提供了很好的保障。 二、技术实现 VPDN通过的无线网(3G或1x)进行分支机构的接入,采用VPDN 专用帐号拨入专用的认证服务器来获得认证,在安全认证通过之后才能接入VPDN服务器获得企业网络地址,得到访问企业网络的权限。(如果帐号没有通过认证则不具备联网的功能) VPDN业务主要基于L2TP 隧道技术实现终端用户到企业网络的安全接入,提供一个终端用户到客户网络的虚拟隧道。 在用户侧安装一台VPDN路由器,一侧连接到用户内网,另一侧连接到电信vpdn服务器AAA。无线用户使用用户名密码(XXX@域名)做VPDN拨号,通过AAA服务器认证后与用户VPDN路由器建立L2TP 隧道,二次认证通过后路由器分配终端内网IP地址,终端用户和路由器建立PPP连接,完成客户网络的接入。
由于无线VPDN的通信信道为电信EVDO无线信道,因此在通信速率上有一定限制,远端终端节点的上行速率为1.8Mbps,下行速率为3.1Mbps,完全可以满足一般的数据通信和视频通信。至于中心节点,由于使用光纤作为通信介质,因此,带宽灵活可调。 三、对用户的要求 业务开通时,用户需投资一台路由器作为LNS,需申请长途MPLS VPN专线,通过CN2连接省PDSN设备,需申请开通VPDN域名(用于拨号认证,由电信代为申请)。建议用户端出口设备(部署在客户中心点作为LNS服务器)采用思科2811以上或性能相当的路由器,至少配置1个100M以太网接口(用于连接电信端设备)及一个LAN接口(用于连接局域网)。具体的路由器型号应根据可能接入的终端数量确定。对于远端网点,每网点只需安装一个电信无线上网卡即可,可以将终端无线上网卡的IMSI绑定,以提高网络的安全性。
中国电信VPDN网路及业务技术
中国电信IP 网VPDN 网路及业务技术要求(草稿) 1. 总则 1.1 制定本技术要求的目的是为了在IP 网VPDN (由运营商NAS 发起的拨号VPN 业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2 本技术要求是中国电信进行IP 网VPDN 网络规划、工程设计、业务开展等 方面的主要技术依据。 1.3 本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、 经济性、先进性、灵活性和统一性。 2. 中国电信IP 网上VPDN 系统结构组成 中国电信IP 网上VPDN 系统组成分为以下几个部分: (1) VPDN 业务的承载网,即中国电信的IP 网; (2) 两级VPDN 业务管理中心,包括1个全国VPDN 业务管理中心和31个省级VPDN 业务管理中心; (3) 中国电信在各省市城市的VPDN 拨号接入系统,主要由接入服务器组成; (4) 用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示: 市话PSTN/ISDN 企业拨号用户 企业拨号用户市话PSTN/ISDN 中国电信全国VPDN系统结构组成 中国电信IP网 接入服务器接入服务器 全国VPDN 业务 管理中心 企业总部 省级VPDN 业务管理中心1企业内部网管理系统 网关 各省市城市VPDN接入 系统 省级VPDN 业务管理中心31 VPDN业务承载网 VPDN业务管理中心
中国电信VPDN 业务的承载网 VPDN 业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网, 全国VPDN 业务管理中心 VPDN 业务管理中心是中国电信IP 网上VPDN 系统组成中的关键部分,是中国电信在IP 网上提供VPDN 业务的控制中心,全国VPDN 业务管理中心设置在电总数据局,采用单独建设的方式。全国VPDN 业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责全国VPDN 业务的受理、全国VPDN 业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP 地址等)管理、业务营销策略管理、全国VPDN 业务用户帐务信息管理。 (2)用户认证模块:主要负责全国VPDN 业务RADIUS 认证、计费信息采集、中国电信IP 网上负责VPDN 业务所有接入服务器和全国VPDN 业务用户网关设备的登记等。该模块采用主备用设置。 (3)计费结算帐务模块,主要负责全国VPDN 业务计费、帐务生成、各种信息统计分析报表生成等。 (4)网络管理模块,网络管理对象是全国VPDN 业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 业务受理和查询 RADIUS 认证模块客户信息数据库信息 计费 客户信息管理 用户帐务信息管理 用户管理模块 营销策略管理用户认证模块接入服务器信息 计费信息采集 计费帐务结算模块 帐务结算 业务统计 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 省级VPDN 业务管理中心 各省省级VPDN 业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN 业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。省级VPDN 业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责省内VPDN 业务的受理、省内VPDN 业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP 地址等)管理、
中国电信产品维护经理认证体系教材 物联网vpdn业务原理 受理 调试
物联网业务培训 物联网VPDN业务原理、受理、调试 中国电信物联网分公司网络运营部
目录 专项营销活动 VPDN业务配置 2 VPDN用户开通 3 VPDN受理 4 LNS设备配置 5 系统查询功能
VPDN业务介绍 ?业务描述 物联网号码可开通中国电信无线VPDN业务,利用L2TP隧道技术为物联网客户构建与公众互联网隔离的虚拟专用网络,满足客户的物联网无线终端访问客户内部网络的需求。 ?业务特点 VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本企业/封闭站点的虚拟专用网络,以实现企业与各分支机构间、分支机构与分支机构间、企业与合作伙伴间的多种网络通信。 无线VPDN的最终用户,只需与平时上网一样,通过无线网络就能方便、经济、安全的接至本企业的专用网络,达到虚拟网络连接的效果。
VPDN 业务基本原理 2G/3G 省内PDSN LNS 物联网AAA 二次认证AAA 客户网络 运营商网络 互联网/专网 LAC (L2TP 接入集中器)-电信侧核心网出口设备(PDSN ,PGW )4G 物联网GW
物联网VPDN 业务实现 BS 2G/3G 省份PDSN BSC/PCF eHRPD 移动终端 4G 移动终端 物联网PGW/LAC SGW eNB 省份HSGW 客户网络 LNS 物联网3G 一次认证AAA 物联网4G 一次认证AAA 省份AAA 物联网 二次认证 AAA 客户网络 LNS VPDN AAA CN2专网 互联网 MME 物联网HSS 物联网PCRF 物联网VPDN 业务控制点
L2TP VPDN 业务流程 终端 LAC 一次AAA 二次AAA 拨号请求 用户名@域名、口令、IMSI 域名认证 认证通过 LNS 用户名@域名、口令 IMSI/手机号认证通过 用户名、口令认证 客户端认证成功 客户内部网络 VPN Connection 建立无线信道,发起请求 PPP 协商建立隧道请求 隧道请求认证成功 隧道 ?LAC :由各省PDSN (3G ),专网PGW (4G )承担 ?一次认证AAA :物联网专网AAA 提供 ?LNS :客户自己提供,或者电信为客户提供共享LNS
利用L2TP实现VPDN技术概述
1附录:利用L2TP实现VPDN技术概述 如图5-1所示。利用L2TP 隧道技术,可以提供一个终端用户到客户网络的虚拟隧道。 图5-1 L2TP 封装图 L2TP 协议是一种传统的二层 VPN隧道协议,它的承载协议是 IP 协议,乘客协议是 PPP 协议。通过 L2TP 协议,PPP 二层链路端点和 PPP 会话点可以驻留在不同设备上,中间通过 L2TP 隧道穿越因特网。 L2TP 协议有三个概念必须明确,终端用户、LAC、LNS。终端用户就是发起 PPP 协商的,需要登陆企业的一端,无线宽度VPDN业务中一般是上网卡+PC或智能手机,既是 PPP 二层链路一端又是PPP 会话的一端;LAC(L2TP Access Concentrator)端是直接接受用户呼叫的一端,是 PPP 二层链路一端,在某些组网情况下 LAC 和用户可以合并为一个端点,其它情况下一般都是由 NAS 作为LAC,无线宽带VPDN业务中一般使用PDSN作为LAC;LNS(L2TP Network Server)端是接受 PPP 会话的一端,一般位于私网与公网边界,通过 LNS,用户就可以登陆到私网上,访问私网资源,L2TP 隧道端点分别位于 LAC 和LNS 两端。 在一个 LNS 和 LAC 对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,也叫控制连接,它定义了一个 LNS 和 LAC 对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。在同一对 LAC 和 LNS 之间可以建立多个 L2TP 隧道,每个隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L
中国电信IP网VPDN网路及业务技术要求模板
中国电信IP网VPDN网路及业务技术要求 1.中国电信IP网上VPDN系统结构组成 中国电信IP网上VPDN系统组成分为以下几个部分: ( 1) VPDN业务的承载网, 即中国电信的IP网; ( 2) 两级VPDN业务管理中心, 包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心; ( 3) 中国电信在各省市城市的VPDN拨号接入系统, 主要由接入服务器组成; ( 4) 用户系统, 包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示:
2.1 中国电信VPDN业务的承载网 VPDN业务承载网采用中国公用计算机互联网( 163网) 和中国公众多媒体通信网( 169网) 二网调整后的163/169网, 2.2 全国VPDN业务管理中心 VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分, 是中国电信在IP网上提供VPDN业务的控制中心, 全国VPDN业务管理中心设置在电总数据局, 采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成: ( 1) 用户管理模块: 主要负责全国VPDN业务的受理、全国VPDN业务用户信息( 用户信息包括每个用户申请的完整域名、网关的公开IP地址等) 管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。 ( 2) 用户认证模块: 主要负责全国VPDN业务RADIUS认证、
计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。 ( 3) 计费结算帐务模块, 主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。 ( 4) 网络管理模块, 网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 2.2 省级VPDN业务管理中心 各省省级VPDN业务管理中心设置在中国公用计算机互联网( 163网) 和中国公众多媒体通信网( 169网) 二网调整后的163/169网的省级管理系统平台上, 省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络, 不单独建设。省