VPDN业务介绍

网络维护中心VPDN业务介绍深圳电信政企客户支撑中心网络维护中心VPDN概述VPDN–VirtualPrivateDial-upNetworks（虚拟专有拨号网络）VPDN是一种在Internet公网上通过加密的隧道进行通信的虚拟专网技术。VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本企业/封闭站点的虚拟专用网络，以实现企业与各分支机构间、分支机构与分支机构间、企业与合作伙伴间的多种网络通信。即作为VPDN的最终用户，只需与平时拨号上网一样，通过拨本地号就能方便、经济、安全的接至本企业的专用网络，达到在办公室里办公同样的效果。网络维护中心VPDN特点组网灵活在全网覆盖范围内均可提供对VPDN业务的接入。安全可靠以L2TP技术在两端建立隧道（Tunnel），通过虚拟专用的隧道来传输数据，确保用户通信数据的安全。操作简便用户端同普通拨号上网一样，输入VPDN帐号就能接入私有专用网络。节省成本通过本地电话线拨号即可访问企业的内部网，减少用户建设专线投资。网络维护中心VPDN相关术语L2TP：Layer2TunnelProtocol，二层隧道协议。LAC：L2TPAccessConcentrator，L2TP访问集中器，主要用于通过PSTN/Internet网络为用户提供接入服务。LNS：L2TPNetworkServer，L2TP网络服务器，用于处理L2TP协议的服务器端设备。网络维护中心一、固网VPDN业务介绍二、C网VPDN业务介绍VPDN培训主要内容网络维护中心L2TP网络结构及认证过程LACLNSCorporateLANL2TPNetworkServerL2TPAccessConcentratorInternet电话网/ATM/IPPCL2TPTunnel第一层radius第二层radius（1）（2）（3）（4）（5）（6）（7）1.用户发起与LAC之间的PPP连接；2.LAC通过Radius对用户进行第一层Radius认证，对域名进行认证；3.Radius根据域名返回对应的隧道属性，包括LNSIP、隧道类型、隧道密码等；4.LAC根据隧道属性向LNS发起建立隧道请求；5.LAC与LNS间建立L2TP隧道；6.在隧道中为用户建立Session，LAC把和用户协商得到的LCP选项和验证信息送给LNS；7.LNS向二层Radius发起对用户帐号/密码的认证，并为用户分配IP地址；8.Radius认证通过返回相关信息给LNS；9.LNS为用户反馈IP地址及相关信息；（9）（8）网络维护中心后台Radius基本认证功能一次认证对域名进行认证，返回隧道属性。相当于一层Radius的功能。二次认证对帐号、密码进行认证，根据帐号向LNS返回固定IP。相当于二层Radius的功能。一、二次认证合一对域名、帐号、密码在一次认证过程中同时完成。相当于同时完成一、二层Radius的功能。宽窄带认证支持宽、窄带接入方式的认证。网络维护中心Radius扩展-远端用户动态IP含义用户的IP地址由LNS分配，远端用户拨号上网，由LNS从IPPOOL中随机选取空闲的IP分配给远端用户。优点：直接由LNS分配，实现简单。缺点：每次用户拨上来获取到的地址是变化的，企业用户难以实现对远端用户的统一管理。网络维护中心Radius扩展-远端用户固定IP含义用户的IP地址由Radius分配，远端用户拨号上网，由LNS发起二次认证，由Radius根据帐号返回预先绑定的IP给LNS，再由LNS分配给远端用户。优点：每次用户拨上来获取到的地址是固定的，便于企业用户对远端用户进行统一的管理。缺点：认证过程复杂，必须租用电信二次认证以及省网网关。网络维护中心企业用户VPDN组网专线接入宽带拨号接入：不支持漫游，需要进行帐号与线路的绑定窄带拨号接入：支持全省及全国的漫游LACLACLNSL2TPL2TP企业端用户远端拨号用户远端拨号用户得到企业端用户授权，使用特定的帐号和密码12312网络维护中心客户专线配置-ERX客户FR/ATM专线通过三层连接与网关连接interfaceatmx/y.zatmpvcvcivpivci-numaal5snap000ipaddressx.x.x.xx.x.x.x；专线地址iproute0.0.0.00.0.0.0x.x.x.x；到客户总部的路由客户FR/ATM专线通过二层桥接与网关连接interfaceatmx/y.zatmpvcvcivpivci-numaal5snap000encapsulationbridge1483ipaddressx.x.x.xx.x.x.x；专线地址iproute0.0.0.00.0.0.0x.x.x.x；到客户总部的路由网络维护中心客户专线配置-ERX（续）客户城域网专线通过GRETUNNEL与网关连接interfacetunnelgre:gre-nametransport-virtual-routervr-nametunnelsourcex.x.x.x；VR的公网地址tunneldestinationy.y.y.y；客户城域网专线的公网地址tunnelmtu1514ipaddressx.x.x.xx.x.x.x；客户内部网私有地址iproute0.0.0.00.0.0.0x.x.x.x；到客户总部的路由网络维护中心客户专线配置-SMS1800客户专线与网关连接dot1qprofileXXpbit-setting3portethernetx/ydescription……..encapsulationdot1qmediumspeed100duplexfulldot1qpvcpvc-idprofileXXencapsulationipoe；用户对应的vlanbindinterfacevpdn-insidevpdn_lns网络维护中心一、固网VPDN业务介绍二、C网VPDN业务介绍VPDN培训主要内容数据维护室数据维护室15政企客户支撑中心C网VPDN的业务特点可移动，覆盖广传输速率高高安全性CDMA网络本身的安全性；CDMA无线宽带接入AAA认证；CDMA网络和客户网络之间的L2TP隧道；客户网络侧的安全防火墙；LNS的AAA鉴权认证。资费低，性价比高部署快捷，易扩展和定制适用范围广数据维护室数据维护室16政企客户支撑中心目标用户群企业公司销售人员在外进行商务活动时能够随时随地共享公司后台系统的数据，实现信息高效安全的动态传递；国家机关为公安、军事、劳动与社会保障、医疗卫生、交通、政府职能部门等提供公文的状态信息跟踪功能，并能快速调度相关资料新闻机构满足新闻工作者在移动过程中处理文字和进行信息沟通的实际需求电力部门实现电力系统信息化，解决信息采集、功控、调度等电力应用上产生无线数据传输的巨大需求金融银行机构提供高安全性和快速数据信息的采集和交互；移动性强，不受分支机构网点的位置制约数据维护室数据维护室17政企客户支撑中心17无线VPDN平台网络架构分组域AAA无线VPDNAAA一次认证/Tunnelparam无线VPDN业务管理子系统域名、用户资料漫游地AAA二次认证/IP_POOLTunnel计费系统无线接入点本地用户cdmaPDSN/LACLNS漫游地PDSN/LAC漫游用户无线接入点cdmaTunnel数据维护室数据维护室18政企客户支撑中心18无线VPDN平台网络功能无线VPDNAAA（RADIUS认证服务器）：对帐号、密码进行认证，根据帐号向LNS返回固定IP。相当于二层Radius的功能。可使用用户已有的认证服务器、或路由器自带的AAA认证功能。LAC：L2TPAccessConcentrator，L2TP访问集中器，一般由接入服务器承担LAC的功能，在无线VPDN中使用的是分组域的PDSN（PacketDataServingNode）。LNS：L2TPNetworkServer，L2TP网络服务器－－在企业侧实现VPDN的网关功能，要求使用支持L2TP协议的路由器。目前思科、华为、北电、中兴、港湾等厂商的主流路由器均支持L2TP协议。数据维护室数据维护室19政企客户支撑中心19主要功能业务管理中心企业客户管理统计分析查询管理审计管理企业域名管理管理员管理权限管理企业客户管理：增加新的无线VPDN企业客户，登记企业信息，创建企业管理员帐号，可查询、修改或删除企业客户信息。企业域名管理：为已有的无线VPDN企业客户添加新域名，可以配置新域名、最大开户数、企业网关地址、隧道信息、隧道交换机等信息，支持添加主备两组企业网关地址，实现主备、轮询、主备+轮询方式，可查询、修改或删除企业域名信息。管理员管理：提供添加、修改或删除电信管理员。权限管理：配置电信管理员的权限。审计管理：查询电信管理员在业务管理中心进行添加、修改、删除的操作记录和操作信息。查询管理：提供多种条件组合查询清单列表、企业开户数、使用终端数、对比查询等功能。统计分析：提供基本业务、在线用户、用户上网行为、业务量变化等的统计分析。无线VPDN平台：业务管理功能介绍(一）数据维护室数据维护室20政企客户支撑中心20主要功能大客户自服务系统企业信息管理查询管理审计管理操作员管理IMSI绑定管理IP地址池管理用户管理企业信息管理：企业管理员可以查询到本企业的详细信息，并可修改本企业的基本信息。IMSI绑定管理：提供企业域名绑定一组IMSI号，单个添加IMSI号码，或从文件中批量导入IMSI号码，可设置启用或禁止认证时检查域名绑定IMSI号功能。IP地址池管理：提供添加新的IP地址池功能，可配置设备IP、地址称名称、起始IP、截止IP，分配方式：由设备分配或由系统分配。由设备分配的地址池，只为用户下发地址池名称。用户管理：提供单个用户开户和从文件导入批量开户的功能，配置用户的基本信息、登录用户名、登录密码，用户状态、绑定IP分配的方式，绑定IMSI的方式。操作员管理：添加、修改或删除企业操作员，配置企业操作员的权限。审计管理：查询企业管理员或操作员在自服务系统中进行添加、修改、删除的操作记录和操作信息。查询管理：查询本企业清单汇总、域数据统计等信息。无线VPDN平台：业务管理功能介绍（二）数据维护室数据维护室21政企客户支撑中心C网VPDN基本原理数据维护室数据维护室22政企客户支撑中心VPDN用户分类根据接入方式，VPDN用户分为企业端用户和远端拨号用户VPDN企业端用户指以专线方式将企业内部网接入中国公用计算机互联网的企业级用户，提供内部专用网络资源，供其用户拨号访问。VPDN远端拨号用户指由企业端用户生成并管理的远端拨号用户，通过企业分配的帐号和密码，拨号接入中国公用计算机互联网访问企业内部专用网络资源。数据维护室数据维护室23政企客户支撑中心VPDN技术核心隧道技术：隧道协议种类：PPTP、L2F、L2TP，目前使用最广泛的是L2TP；隧道技术相对简单、有效和易于管理；最大优点是既可以在ISP的节点完成，也可以在用户处完成，或者可以两者合作完成设置。安全技术：一般可以采用下列技术保证VPDN的安全：口令保护、用户认证技术、一次性口令技术、用户权限设置、在传输中采用加密技术、采用防火墙把用户网络中的对外服务器和对内服务器隔离开。数据维护室数据维护室24政企客户支撑中心VPDN实施方式和认证方式实施方式：由LAC通过隧道协议与VPDN网关(LNS)建立通道，将客户的PPP连接直接连到企业网关上，主要的协议是L2F和L2TP；由客户机首先建立与因特网的连接，再通过专用的客户软件与网关建立通道连接，一般使用PPTP和IPSec协议。认证方式：一次认证：指在接入服务器上进行用户认证；二次认证：指在接入服务器和企业安全服务器上分别进行用户认证；二次认证方式要比一次认证方式的安全性高。数据维护室数据维护室25政企客户支撑中心L2TP简介L2TP相关术语Layer2TunnelProtoc