无线宽带VPDN业务数据配置规范V10

第1页中国电信无线宽带VPDN业务数据配置规范V1.0（征求意见稿）中国电信集团公司网络运行维护事业部二○○九年二月第2页目录1总则............................................................41.1编制说明.................................................41.2缩略语...................................................41.3编写依据.................................................52业务网络参考模型................................................62.1业务定义和使用范围.......................................62.2业务网络参考模型.........................................62.3业务实现原理.............................................82.4业务应用场景.............................................83CN2VPN189配置要求和客户接入方案...............................103.1CN2189VPN数据配置要求.................................113.1.1LNS地址规划.........................................113.1.2CN2VPN189配置要求..................................133.1.3CN2VPN189城域延伸配置要求..........................143.2客户接入方案............................................153.3AAA服务器设置...........................................193.4VR专线VPN方案..........................................194分组域设备业务数据配置要求.....................................224.1业务认证流程............................................224.2VPDN账号规则...........................................234.3认证方式................................................254.4终端用户IP地址获得方式.................................264.5业务控制................................................264.6省内VPDN业务及漫游数据配置要求.........................274.6.1PDSN配置要求........................................274.6.2LNS配置要求.........................................284.6.3接入AAA配置要求....................................294.6.4VPDNAAA配置要求...................................29第3页4.6.5终端要求............................................294.7跨省VPDN业务及漫游数据配置要求.........................304.7.1PDSN配置要求........................................304.7.2LNS配置要求.........................................314.7.3接入AAA配置要求....................................324.7.4VPDNAAA配置要求...................................324.7.5终端要求............................................324.8AAA计费及通信费话单字段要求.............................325附录：利用L2TP实现VPDN技术概述...............................42第4页1总则1.1编制说明本规范对基于CDMA1X技术的中国电信无线宽带VPDN业务各场景下的业务认证流程、组网方案、VPN拓扑结构、IP地址规划、分组域设备数据配置要求等内容进行了规定，旨在从操作层面规范中国电信无线宽带VPDN业务数据配置。1.2缩略语英文缩写英文全称中文翻译VPDNVirtualPrivateDialupNetwork虚拟拨号专用网络L2TPLayerTwoTunnelingProtocol二层隧道协议LNSL2TPNetworkServer支持L2TP协议的网络服务器LACL2TPAccessConcentratorL2TP访问集中器AAAAuthenticationAuthorizationandAccountion认证、授权、计费。在本规范中AAA包括两种类型：1)负责无线宽带网络接入认证的AAA服务器，简称接入AAA；2)负责访问客户网络或其应用系统认证的AAA服务器，简称应用AAA。PDSNPacketDataServingNode分组数据业务节点IPSECInternetProtocolSecurity互联网安全协议IMSIInternationalMobileSubscriberIdentificationNumber国际移动用户标识ICCNIncoming-Call-ConnectedVRVirtualRouter虚拟路由器表1缩略语表第5页1.3编写依据[1]《中国电信无线宽带VPDN业务规范V1.0》[2]《中国电信CDMA网IP综合承载与分组域组网规范V2.0》[3]《中国电信CDMA网IP综合承载与分组域相关规范增补分册》[4]《中国电信CDMA网迁移规范V2.0》[5]《中国电信CDMA网分组域设备配置规范》[6]《中国电信路由型MPLSVPN业务数据配置规范V3.0》[7]RFC2661LayerTwoTunnelingProtocolL2TP第6页2业务网络参考模型2.1业务定义和使用范围无线宽带VPDN业务是基于CDMA1X高速分组数据网络，利用L2TP隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统。使用无线宽带VPDN业务的用户根据其属性可分为如下两类：1)客户：通过专线等方式接入中国电信无线宽带VPDN业务平台的政企客户；2)终端用户：通过无线宽带VPDN接入到客户网络或应用系统的中国电信移动网用户。无线宽带VPDN业务属全国性业务，面向中国电信政企客户及133、153、189用户开放，全国CDMA网络覆盖范围内均可通达，用户在全国范围内漫游仍能使用本业务。2.2业务网络参考模型客户一网络BSC/PCFBTSBTSBSC/PCFBTSPDSNA省PDSNB省接入AAA接入AAA移动终端移动终端移动终端客户二网络LNS/AAACN2/163CN2LNS无线接入网核心网客户网络接入VPN/专线LNS接入VPN/专线图2-1VPDN业务网络参考模型如图2-1所示，无线宽带VPDN业务网络包括：业务终端、无线接入网（包括BTS、BSC/PCF等）、PDSN、接入AAA服务器、LNS、VPDNAAA、LNS接入VPN/专线/公网163、客户网络接入VPN/专线等。第7页无线宽带VPDN业务终端可以是任何支持CDMA1X无线上网功能的终端。常见终端包括：1)智能终端：支持无线数据业务的手机、PDA、具有CDMA1X上网卡的PC等；2)无线网络设备：具备CDMA无线接入功能的MODEM、交换机、路由器等；3)专用数据传输设备：具备CDMA无线接入功能的远程数据采集、工业控制等专用设备。无线接入网包括移动基站（BTS）、BSC/PCF等，负责VPDN业务终端的无线接入。PDSN作为VPDN业务的LAC设备，主要负责L2TP隧道的发起和建立。接入AAA主要完成业务终端的VPDN业务接入认证、授权、计费，并实现各种业务控制及用户终端的漫游等功能。VPDNAAA服务器主要完成业务终端访问客户网络的认证、授权。LNS设备是负责无线宽带VPDN客户接入的网络设备（如路由器），和PDSN一起完成L2TP隧道的建立。LNS设备可部署在中国电信机房中，也可部署在客户网络中。LNS接入VPN/专线/公网163指LNS接入的三种方式，详细接入方式参见章节3。客户网络接入VPN/专线指客户网络与共享LNS或者电信托管LNS的连接方式。第8页2.3业务实现原理图2-2VPDN业务实现原理终端用户使用用户名（XXX@域名）拨号，通过基站、无线侧设备BSC/PCF与PDSN发出连接请求。PDSN将用户接入请求转发给接入AAA，接入AAA根据用户域名判断用户是否VPDN用户，是否具有接入权限。接入AAA认证通过后，向PDSN返回VPDN属性。PDSN根据接入AAA返回的VPDN属性（包括LNS地址，隧道类型、L2TP隧道密钥等）和LNS建立L2TP隧道。PDSN向LNS传送用户名、密码、认证方式等信息。VPDNAAA根据LNS传送过来的用户名、密码、认证方式等信息对终端用户进行二次认证，认证终端用户是否能接入用户网络。认证通过后，LNS分配终端用户IP地址，终端用户和LNS建立PPP连接，完成客户网络的接入。由以上VPDN业务的实现原理可以看出，VPDN业务主要基于L2TP隧道技术实现终端用户到企业网络的安全接入，提供一个终端用户到客户网络的虚拟隧道。2.4业务应用场景根据客户的需求，VPDN业务分为两大类应用场景：第9页1、省内VPDN业务及漫游该场景中VPDN定义为A省业务，用户IMSI、AAA及LNS都属于A省。用户以A省IMSI号在A省接入，同时可以根据需要在全国漫游（用A省IMSI号）。2、跨省VPDN业务及漫游该场景中VPDN定义为省A业务，用户IMSI及AAA属于多个省份（A-N），LNS属于省A。每个省的vpdn终端用该省的IMSI号接入，并在该省AAA认证、计费。同时可以根据需要以所在省IMSI号在其他省份漫游。第10页3CN2VPN189配置要求和客户接入方案LNS设备是无线宽带VPDN客户侧接入设备，可以采用以下两种部署方式：1)LNS设备部署在中国电信机房，既可以是客户托管的设备，也可以是中国电信提供的设备，由多个客户共享。2)LNS设备部署在客户网络，放置在客户机房。对于部署在电信机房的LNS，需要考虑LNS的接入方案以及客户网络的接入LNS方案。对于部署在客户网络的LNS，只需要考虑LNS的接入方案。LNS接入方案分为CN2VPN189和公网163两种方式，为了用户业务组网安全，主要推荐采用CN2VPN189组网模式。LNS设备通过宽带线路接入到CN2VPN，在CN2VPN上与PDSN建立L2TP隧道连接，VPN号统一为CTVPN189（RD4134:189）。为了实现与自营业务分离，不允许LNS设备直接与PDSN侧的CE设备直接相连。已采用ATM/DDN/SDH等专线接入方式的原联通VPDN客户仍可维持原有接入方式；对于新发