XXXX年集团客户移动VPDN产品培训材料

内部资料注意保密2010年集团客户移动VPDN产品培训材料集团客户部2010年6月内部资料注意保密2汇报提纲二、技术方案一、产品介绍三、运营管理四、计费结算内部资料注意保密3产品定义业务定义适用范围移动VPDN（VirtualPrivateDialupNetwork，虚拟拨号专用网络）业务，是基于中国联通3GWCDMA高速分组数据网为集团客户构建安全的、移动的、高速率的、有质量保证的虚拟专用数据网络，并提供差异化的、安全可靠的无线数据解决方案。地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户。人员分散，需通过长途电信甚至国际长途手段联系的用户。对线路的保密和可用性有一定要求的用户内部资料注意保密4概念辨析VPDN属于VPN(虚拟专用网)的一种。VPN根据接入方式分为：专线VPN(即传统VPN)•是利用专线就近接入ISP边缘路由器的VPN解决方案。•是一种“永远在线”的VPN。节省传统的长途专线租用费用。拨号VPN（即VPDN）•是通过PSTN或ISDN利用拨号客户端接入ISP的VPN解决方案。•是一种“按需连接”的VPN。节省用户的专线租用费用。概念辨析内部资料注意保密5业务分类根据范围：全网业务：实现归属于多个省的集团客户的集中接入省内业务：实现归属于本省集团客户的集中接入根据接入终端类型手机业务：通过在手机终端上安装客户端软件，以无线方式接入。PC业务：通过在装有PC上安装客户端软件，以无线方式接入。特殊终端业务：通过装有客户端软件的特殊终端(嵌入式终端)，以无线方式接入。根据应用场景P2M（PeopletoMachine人对机器）：面向内部员工的服务，如移动OA。M2M（MachinetoMachine机器对机器）：面向生产控制管理，如城市天气监测数据采集。内部资料注意保密6VPDN业务功能(1)终端接入支持企业用户通过手机、上网卡、特殊终端等移动设备（简称MS）以APN方式接入，在鉴权认证时，支持根据解析集团账户所含的企业APN信息，由APN来定义接入企业内网（Intranet）的方式。EC接入支持通过三层或二层VPN（包括GRE和L2TP）隧道接入企业内网（Intranet）认证鉴权功能支持GPRSAPN一次认证鉴权与企业内网接入二次认证鉴权方式。内部资料注意保密7VPDN业务功能(2)地址分配功能针对不同的APN，MS的IP地址分配支持静态地址分配或动态地址分配方式。SLA分级服务功能VPDN业务可根据客户不同的SLA服务等级要求，设立不同服务质量保障措施，提供分级的服务标准。•带宽控制•业务流量识别内部资料注意保密8中国移动情况2009年5月，中国移动推出了针对集团客户的基于GPRS网络的VPN业务——“集团E网”。集团E网业务是集团客户通过中国移动的GPRS网络，利用手机、PDA、笔记本电脑等行业终端，为集团内部个人客户提供接入企业内部网络获取信息或进行机器对机器的小数据量的数据传输。针对的对象：大、中型国内企业，信息化程度高，安全性要求高，有一定的维护能力。（其中又可细分为已建有企业虚拟网的，和尚未建成企业虚拟网的企业）跨国企业，频繁使用虚拟网业务，但VPN服务器在国外，不允许在服务器上修改配置。内部资料注意保密9中国电信情况2001年7月，中国电信推出了针对集团客户基于ChinaNet网络的VPDN业务——“V信通”。用户能够拨打中国电信“V信通”特服号“17979”，利用安全的L2TP隧道传输协议，在现有的固话拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。2009年电信业重组，电信购得联通C网后，便开放了VPDN业务并从联通继承了大量VPDN行业应用。内部资料注意保密10中国联通情况中国联通有在移动网络和固网双网开展VPDN业务的丰富经验。原中国联通曾基于CDMA1x推出了针对集团客户的无线VPDN技术解决方案；原中国网通也曾基于CNCnet网络推出了类似电信“V信通”的业务。目前中国联通继承了原网通的固网VPN业务，而基于WCDMA移动网络的VPDN业务正在逐步开展。目前集客部正积极推动针对行业客户的全网性移动VPDN业务。内部资料注意保密11各运营商业务对比运营商业务开展服务对象网络环境技术类型优势中国移动集团E网集团客户GSM拨号VPN拥有大量的移动网客户群体中国电信V信通集团客户CHINANETCDMA1x拨号VPN拥有大量的固定网客户群体中国联通原网通V信通业务集团客户CNCnetWCDMA拨号VPNWCDMA网络对于开展移动VPDN业务优势明显；移动网与固网业务比较均衡，且在双网都有过VPDN业务运营经验，对以后开展综合VPDN业务奠定了良好基础。内部资料注意保密12汇报提纲二、技术方案一、产品介绍三、运营管理四、计费结算内部资料注意保密13技术选择目前可用于搭建VPN网络的技术繁多，例如L2TP、PPTP、GRE、IPSec、SSL、MPLS等。根据业务需求以及现网改造、维护等情况综合考虑，联通移动VPDN业务选择GRE和L2TP两种技术方案开展。GRE，通用路由封装，三层VPN。目前最为普遍的VPN建网方式，适用于构建企业内部虚拟专网（IntranetVPN和ExtranetVPN）L2TP，二层隧道协议，二层VPN。目前最为流行的VPN建网方式，安全性高，资源占用少，且QoS保证，适用于构建远程访问虚拟专网（AccessVPN）。内部资料注意保密14用户接入模式——GRE1)首先建立企业侧到联通侧的GRE隧道；2)MS发起ActivatePDP请求，在PDP报文中携带APN，用户名和密码等信息；3)SGSN向HLR鉴权后，从省DNS获得GGSNIP，发起创建GTP隧道请求；4)GGSN从SGSN获取用户信息后，向AAA发送认证请求，AAA对终端用户进行鉴权，并由GGSN/AAA分配IP地址；5)MS和企业服务器进行通信；MSSGSNHLRGGSNFWVPDN专网企业专网企业专网联通侧企业侧①②③④⑤BSS内部资料注意保密15技术方案简述（1）GRE，通用路由封装，三层VPN。适用于构建企业内部虚拟专网（IntranetVPN和ExtranetVPN）优点：•机制简单，对隧道两端设备的CPU负担小•多协议的本地网可以通过单一协议的骨干网实现传输缺点：•APN规划复杂，针对每个企业客户都要分配不同的APN。•GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的，且存在网络资源浪费现象。•用户IP地址由联通GGSN分配，对GGSN有一定影响。•安全性一般，差异化服务性能较弱。–不提供数据的加密；不对数据源进行验证；不保证报文正确到达目的地；不提供流量控制和QoS特性内部资料注意保密16用户接入模式——L2TP1)MS发起ActivatePDP请求，在PDP报文中携带APN，用户名和密码等信息；2)SGSN向HLR鉴权后，从省DNS获得GGSNIP，发起创建GTP隧道请求；3)GGSN向AAA发起一次认证鉴权，下发隧道属性；4)GGSN向LNS发起建立L2TP隧道请求，隧道建立后，用户信息透传到LNS设备；5)LNS设备向AAA发起二次认证，认证通过后分配IP给终端用户；6)MS和企业服务器进行通信；MSSGSNHLRGGSNFWVPDN专网企业专网企业专网LNSLNS联通侧企业侧⑤①②③BSS④⑥内部资料注意保密17技术方案简述（2）L2TP，二层隧道协议，二层VPN。适用于构建远程访问虚拟专网（AccessVPN）。优点：•APN规划简单，GGSN配置方便。•隧道动态建立和终结，网络资源动态分配。•IP地址由路由器完成最终分配，对GGSN性能无影响。•在端到端链路上，可针对不同的服务质量创建不同的隧道。且具有会话模式，可实现链路复用。•安全性更强，提供隧道验证和网关的二次认证机制缺点：•由于资源动态分配，因此对于网络设备的要求较高，网关需要进行升级改造，前期投入较大。内部资料注意保密18方案对比GREVPN方式组网简单，前期投资较少，便于快速开展业务，但存在资源浪费和差异化服务支持度低等技术问题，不利于VPDN业务的后期扩展。L2TPVPN方案组网配置较发杂，前期投资较大，对企业端有一定的设备要求，但技术先进，安全性高，资源利用率高，适合于大中型企业的VPDN业务开展，是今后VPDN业务的发展趋势。GREL2TP地址分配方式GGSN分配企业网LNS安全性一般稍高差异化服务支持度一般好配置维护难度低高对GGSN性能要求低高企业设备性能要求低高前期投资低高优劣互补，混合搭建，效益最大内部资料注意保密19建设原则AAA平台为一级架构，各省升级/新建VPDN业务AAA平台，实现VPDN业务的鉴权功能。各省根据业务发展规划及现网GGSN负荷，利用现网GGSN或者建设专用的GGSN承载VPDN业务。实现VPDN业务的业务逻辑，包括：PDPContexts激活、APN解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。并且是VPDN业务的话单采集点。目前VPDN业务的签约、开通和变更等工作，都在集团客户生产管理系统完成。具体管理流程请参见后文运营管理部分。内部资料注意保密20全网VPDN业务组网方案省内业务和全网业务的用户数据均存储在业务归属省HLR中，所有集团客户接入到集团VPDN业务接入省GGSN及AAA平台。总部BSS（根DNS）A省VPDN业务AAA平台A省行业接入网关（GGSN）A省分BSSB省VPDN业务AAA平台B省行业接入网关（GGSN）B省分BSSA省SGSNB省SGSNIP承载网总部层面省分层面A企业内网A省HLR（省DNS）B省HLR（省DNS）A企业B省员工获取A省GGSN地址内部资料注意保密21AAA建设原则AAA平台建议在省会统一进行设置，原则上建议与提供VPDN业务的GGSN设置在同局址。为了保证业务安全，AAA设备应采取双机热备或者负荷分担方式进行设置。对于已经建设有AAA平台的省份，应根据总部下发的相关指导意见和技术规范对现网设备改造以满足要求。AAA平台的建设容量，应当在充分调研业务需求的基础上，留有一定的富余量。AAA平台应支持统计分析功能，主要实现针对客户信息和业务量，为系统管理者或网络运营者提供各种统计报表，以使系统运营者可以从各种角度对企业移动信息化业务进行统计和分析。内部资料注意保密22GGSN建设原则建网要求对两种隧道接入方式均支持，但L2TPVPN会增加一定的GGSN负荷，可能会造成部分GGSN设备容量下降，建议根据现网实际情况进行选择。各省可根据业务发展规划及现网GGSN负荷，利用现网GGSN或者建设专用的GGSN承载VPDN业务。内部资料注意保密23网元建设——AAA平台（1）与GGSN连接若AAA平台与提供VPDN业务的GGSN在同一局址，则通过局域网互联。若AAA平台与提供VPDN业务的GGSN不在同一局址，则通过本地PS承载网进行互联，通过新增VPN，与其他网元隔离开。若AAA平台与提供VPDN业务的GGSN不在同一本地网，则通过IP承载B网进行互联，通过新增VPN，与其他网元隔离开。内部资料注意保密24网元建设——AAA平台（2）与BSS连接可根据各省情况通过专线或者其他方式互联。用户数据传递功能：•当用户在BSS系统申请VPDN业务后，能够将帐户信息同步到AAA平台，用于该开户用户的接入认证。计费信息传递功能：•当用户接入认证通过后，如果由AAA生成用户话单，则采集到的计费话单传递给营帐系统用于营帐系统进行批价及计费。与综合网管系统对接通过SNMP北向接口与网管系统完成对接，或者通过自有网管平台，实现网络管理和信息统计等功能。内部资料注意保密25其他网元建设GGSNGGSN中需要配置其对应AAA平台的IP地址。HLR配置开通VPDN业务用户的APN数据。•A