CDMAVPDN构建安全移动内网系统集成部刘志伟2011年01月第2页目录客户的困扰CDMAVPDN技术原理介绍CDMAVPDN概述CDMAVPDN组网方式CDMAVPDN协议栈LNS部署方式VPDN配置CDMAVPDN实现流程CDMAVPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMAVPDN优势第3页客户的困扰※客户的困扰*在外采访,实时性高的新闻回传怎么办?*身边没有笔记本电脑,紧急公事怎么办?*出差在外,需要公文审批怎么办?*互联网VPN,办公系统安全怎么办?企业移动终端利用internet作为承载网络,通过IPSEC协议与企业内部网络建立VPN通道,这种组网方式用户数据透明性差,不支持手机、PDA等移动终端,而且由于与互联网没有完全隔离,存在安全隐患。【用户的需求】【中国电信CDMAVPDN为您一站解决】*中国电信3G网络的分组数据网作为承载网络;*利用二层L2TP隧道技术,为客户构建与internet完全隔离的专用网络;*支持手机、PDA、上网本、以及其他一些定制终端;*获得国家信息安全中心的认证;第4页目录客户的困扰CDMAVPDN技术原理介绍CDMAVPDN概述CDMAVPDN组网方式CDMAVPDN协议栈LNS部署方式VPDN配置CDMAVPDN实现流程CDMAVPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMAVPDN优势第5页CDMAVPDN概述※CDMAVPDN定义基于CDMA1X/3Gevdo高速无线数据网络,利用L2TP隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统,从而满足移动办公、移动数据采集、无线数据传输等需求。-客户:通过专线等方式接入中国电信无线宽带VPDN业务平台的政企客户;-终端用户:通过无线宽带VPDN接入到客户网络或应用系统的中国电信移动网用户。※CDMAVPDN功能-远程办公:工作人员不管人在何处,都可以利用PDA智能手机进行远程办公,处理公文,收发电子邮件;-远程信息查询:通过PDA智能手机,基于该系统远程登录单位内部核心网,实现信息查询;-信息采集:所采集的信息包括新建文件,现场图片,现场视频片断,销售定单等等信息通过无线终端传输到中心网络。无线宽带VPDN业务属全国性业务,面向中国电信政企客户及133、153、189用户开放,全国CDMA网络覆盖范围内均可通达,用户在全国范围内漫游仍能使用本业务。第6页CDMAVPDN概述※CDMAVPDN使用行业-银行业:如无线ATM机、移动POS机等,为关键交易提供数据传输的保证;-移动办公:企业分散点通过VPDN通讯模块与笔记本计算机连接,实现无线连接企业内部网络的应用,实施简单,办公可移动;-工业控制等分散数据采集:跨区的大型企业工业数据采集及控制系统,如石油天然汽、石油管道阀门、罐等参数的采集;环保、气象等相关分散点数据采集监控应用;供电及电力系统远程抄表及数据采集控制等;-分散地点的电子认证:关键地点、位置的集中门禁控制系统;以及其它分散地点集中认证有关的认证服务等;-其它基于分散点数据采集的系统:其它涉及商务,连锁的应用数据采集,比如连锁商店销售,配货信息的采集和调度;物流公司相关业务的数据采集;地铁、公交站点票务支付等。第7页CDMAVPDN概述※CDMAVPDN目标客户CDMA网络能够为移动用户提供比较安全的数据业务,目前用CDMA1X最高速率达到153.6kbit/s,如用户有需求可以比较方便过度到EVDO方式达到以Mbit/s而计的高速数据,可传送图片和视频。CDMAVPDN目标客户公安政府金融物流流动性强、分支机构多、安全性要求高第8页应用案例银行类(ATM机等)政府类(生产系统)第9页目录客户的困扰CDMAVPDN技术原理介绍CDMAVPDN概述CDMAVPDN组网方式CDMAVPDN协议栈LNS部署方式VPDN配置CDMAVPDN实现流程CDMAVPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMAVPDN优势第10页CDMAVPDN组网方式MobileStation移动基站BTSBSC/PCF无线接入网络HAAAPDSN/FAFAAAR-P接口A10/A11分组业务数据节点IPNetworkCN2/163LNSAAA视频/流媒体OA其它服务器LNS电信全国IP网络企业内部网络FR/DDN、SDH/MSTP、MPLSVPN、IPMAN专线*标准的CDMAVPDN网络由移动终端(CDMA手机、CDMA上网卡等),PCF,PDSN,HA,AAA(从功能上分成拜访地FAAA、归属地HAAA、代理AAA)组成;*移动终端和PDSN之间是PPP连接,PCF和PDSN之间是RP接口(A10/A11,A10是数据通道,A11是信令通道);(LAC)第11页各组件功能介绍*MS:支持CDMA的移动终端,目前主流的移动终端有-支持各种数据增值业务的CDMA手机;-支持CDMA数据功能的上网卡;*PCF:分组控制功能-PCF是无线设备中和分组域接口的设备;-PCF和PDSN之间的接口成为RP接口,也成为A10/A11接口,A10为数据接口,A11为信令接口;*PDSN:分组业务数据节点,负责L2TP隧道的发起和建立-完成和无线网络PCF和IP网络的接口,类似于BRAS;-PDSN和移动终端建立PPP连接,把终端来的PPP数据转换成标准的IP数据,路由到IP网络,同时将网络来的IP数据封装在PPP里传送给终端;*接入AAA:认证、授权、计费-接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费,并实现各种业务控制及用户终端的漫游等功能。-从功能上分为:FAAA(拜访地AAA)、HAAA(归属地AAA)、BAAA(代理AAA);*VPDNAAA:主要完成业务终端访问客户网络的认证、授权*LNS:负责无线宽带VPDN客户接入的网络设备(如路由器),和PDSN一起完成L2TP隧道的建立。LNS设备可部署在中国电信机房中,也可部署在客户网络中。-LNS接入VPN/专线/公网163指LNS接入的三种方式。-客户网络接入VPN/专线指客户网络与共享LNS或者电信托管LNS的连接方式。*RP网络:连接RAN和PDSN的网络第12页目录客户的困扰CDMAVPDN技术原理介绍CDMAVPDN概述CDMAVPDN组网方式CDMAVPDN协议栈LNS部署方式VPDN配置CDMAVPDN实现流程CDMAVPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMAVPDN优势第13页CDMAVPDN协议栈End-to-EndIPCommunicationMobileStation移动基站BTSBSC/PCFRANHAAAPDSN/FAFAAAR-P接口A10/A11IPNetworkCN2/163LNSEndHostLNS电信全国IP网络企业内部网络FR/DDN、SDH/MSTP、MPLSVPN、IPMAN专线APPsIPPPPLACMACAirlinkMSPLEndHostLinkLayerIPAPPsPLPLLinkLayerPPPIPR-PPLPLLinkLayerPPPIPRNPDSN/LAC数据帧LNSVPDNIP/IPSECGRE第14页目录客户的困扰CDMAVPDN技术原理介绍CDMAVPDN概述CDMAVPDN组网方式CDMAVPDN协议栈LNS部署方式VPDN配置CDMAVPDN实现流程CDMAVPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMAVPDN优势第15页LNS两种接入方式FR/DDNIP/MANIPNetworkCN2CTVPNSDH/MSTPCN2PECN2PEASBR(MPLSVPN接入平台)用户LNS用户LNS用户LNSPDSNPDSN全程L2TP本地全国各省※用户LNS接入方式*用户选择DDN网提供的FR业务,通过桥接转换汇聚为一条ATM-155接入MPLSVPN平台后接入CTVPN,可通达全国各地的CDMA核心网。用户端接入带宽为N*64K,最高2M,用户侧使用一条FRPVC,DLCI=16;*用户也可以选择IP城域网提供的VLL二层VPN接入后接入CTVPN,在MPLSVPN平台的PE设备上实现三层终结,带宽为2M或2M以上,最高GE(可提供以64K为单位的流控限速);*用户也可以选择2MSDH/MSTP直连CN2CTVPN,实现总头接入;*用户和电信路由器之间每条二层链路分配一对IP地址对,子网掩码为30位,一般用户选择静态路由接入方式,将缺省路由指向电信VC路由器;※用户专线接入方式:第16页LNS两种接入方式FR/DDNIP/MANIPNetworkCN2CTVPNSDH/MSTPCN2PECN2PEASBR(MPLSVPN接入平台)电信共享LNS用户侧路由器PDSNPDSN全程L2TP本地全国各省※电信LNS接入方式*用户选择电信DDN网提供的FR业务或MPLS业务接入MPLSVPN平台;*MPLSVPN平台与共享LNS连接;*共享LNS划分VR,不同的企业进入不同的VR中,以实现相互的隔离;*共享LNS与CTVPN直连,终结L2TP隧道,分配用户IP地址※用户专线接入方式:第17页LNS的部署方式LNS设备是无线宽带VPDN客户侧接入设备,可以采用以下两种部署方式:-LNS设备部署在中国电信机房,既可以是客户托管的设备,也可以是中国电信提供的设备,由多个客户共享。-LNS设备部署在客户网络,放置在客户机房。对于部署在电信机房的LNS,需要考虑LNS的接入方案以及客户网络的接入LNS方案。对于部署在客户网络的LNS,只需要考虑LNS的接入方案。LNS接入方案分为CN2VPN189和公网163两种方式,为了用户业务组网安全,主要推荐采用CN2VPN189组网模式。LNS设备通过宽带线路接入到CN2VPN,在CN2VPN上与PDSN建立L2TP隧道连接,VPN号统一为CTVPN189(RD4134:189)。为了实现与自营业务分离,不允许LNS设备直接与PDSN侧的CE设备直接相连。已采用ATM/DDN/SDH等专线接入方式的原联通VPDN客户仍可维持原有接入方式;对于新发展客户,主要采用CN2VPN189接入方式。※LNS设备部署方式说明第18页目录客户的困扰CDMAVPDN技术原理介绍CDMAVPDN概述CDMAVPDN组网方式CDMAVPDN协议栈LNS部署方式VPDN配置CDMAVPDN实现流程CDMAVPDN构建企业安全内网业务提供方式业务应用场景业务控制终端用户拨入中国电信CDMAVPDN优势第19页认证方式-用户自带AAA(LNS兼做或者单设专门的AAA服务器)时,移动终端客户的二次认证由用户AAA完成,一次认证(VPDN接入业务认证)由局端的接入AAA完成。-用户网络不具备AAA时,由电信提供共享的VPDNAAA完成二次认证,一次认证(VPDN接入业务认证)由省AAA完成。※AAA服务器部署※AAA服务器配置认证通过AAA服务器完成,AAA服务器通常分为接入AAA和VPDNAAA。接入AAA负责移动终端的VPDN接入认证(也称为一次认证),属于无线宽带VPDN业务平台的一部分。VPDNAAA负责VPDN应用认证(也称为二次认证),一般部署在客户网络中。VPDNAAA既可使用专用的服务器,也可由LNS设备兼任。VPDN业务进行的是二次认证,第一次认证通过接入AAA来完成,目的是给PDSN返回相应的L2TP的属性(隧道密码、LNS地址等);第二次认证由VPDNAAA(或者用户自带AAA)来完成,使用帐号和密码进行认证,目的是判定用户是否有权限接入客户。对于VPDN业务的第二次认证,优先