VPDN技术简介
VPDN技术简介
一、简介
无线VPDN技术是基于无线3G高速分组数据网络,为分支点建立连接到企业内部的L2TP私密隧道,为客户构建的与公众互联网隔离的虚拟专用网络,基于隧道可以实现企业内部数据安全,高速、便捷的传输。用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统。用户通过VPDN可以实现总部对分支机构的远程管理,远程监控,业务应用等多方面数据传输需求,节省了用户的通信成本,提高了企业管理运作效率,同时也为客户业务用于的扩展提供了很好的保障。
二、技术实现
VPDN通过的无线网(3G或1x)进行分支机构的接入,采用VPDN 专用帐号拨入专用的认证服务器来获得认证,在安全认证通过之后才能接入VPDN服务器获得企业网络地址,得到访问企业网络的权限。(如果帐号没有通过认证则不具备联网的功能)
VPDN业务主要基于L2TP 隧道技术实现终端用户到企业网络的安全接入,提供一个终端用户到客户网络的虚拟隧道。
在用户侧安装一台VPDN路由器,一侧连接到用户内网,另一侧连接到电信vpdn服务器AAA。无线用户使用用户名密码(XXX@域名)做VPDN拨号,通过AAA服务器认证后与用户VPDN路由器建立L2TP 隧道,二次认证通过后路由器分配终端内网IP地址,终端用户和路由器建立PPP连接,完成客户网络的接入。
由于无线VPDN的通信信道为电信EVDO无线信道,因此在通信速率上有一定限制,远端终端节点的上行速率为1.8Mbps,下行速率为3.1Mbps,完全可以满足一般的数据通信和视频通信。至于中心节点,由于使用光纤作为通信介质,因此,带宽灵活可调。
三、对用户的要求
业务开通时,用户需投资一台路由器作为LNS,需申请长途MPLS VPN专线,通过CN2连接省PDSN设备,需申请开通VPDN域名(用于拨号认证,由电信代为申请)。建议用户端出口设备(部署在客户中心点作为LNS服务器)采用思科2811以上或性能相当的路由器,至少配置1个100M以太网接口(用于连接电信端设备)及一个LAN接口(用于连接局域网)。具体的路由器型号应根据可能接入的终端数量确定。对于远端网点,每网点只需安装一个电信无线上网卡即可,可以将终端无线上网卡的IMSI绑定,以提高网络的安全性。
中国电信VPDN网路及业务技术
中国电信IP网VPDN网路及业务技术要求(草稿) 1.总则 1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号VPN 业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等方面的主要技术依据。 1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、灵活性和统一性。 2.中国电信IP网上VPDN系统结构组成 中国电信IP网上VPDN系统组成分为以下几个部分: (1) VPDN业务的承载网,即中国电信的IP网; (2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心; (3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成;(4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示:
2.1 中国电信VPDN业务的承载网 VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网, 2.2 全国VPDN业务管理中心 VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。 (2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。 (3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。 (4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 2.2 省级VPDN业务管理中心 各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。省级VPDN业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责省内VPDN业务的受理、省内VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、
VPDN概述
VPDN概述 1.1业务介绍 VPDN –Virtual Private Dial-up Networks(虚拟专有拨号网络)。VPDN 是一种在Internet 公网上通过加密的隧道进行通信的虚拟专网技术。VPDN 用户通过拨号的方式结合严格的认 证系统和授权机制访问本企业/封闭站点的虚拟专用网络。 VPDN有三层含义: 它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立,“虚拟”的概念是相对传统私人专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。 l 它是利用公众网设施构成的专用网, 构建在这些公共网络上的VPN 将象当前企业 私有的网络一样提供安全性、可靠性和可管理性等。 l 它是基于拨号用户的,不是所有宽带、局域网上网方式都能支持连接。 VPDN 的特点: 组网灵活:在全网覆盖范围内均可提供对VPDN业务的接入。 安全可靠:以L2TP 技术在两端建立隧道(Tunnel),通过虚拟
专用的隧道来传输数据,确保 用户通信数据的安全。 操作简便:用户端同普通拨号上网一样,输入VPDN帐号就能接入私有专用网络。 节省成本:通过本地电话线拨号即可访问企业的内部网,减少用户建设专线投资 1.2 VPDN网络结构 名词解释: L2TP:Layer 2 Tunnel Protocol,二层隧道协议。 LAC:L2TP Access Concentrator,L2TP访问集中器,一般由接入服务器承担LAC 的功能。 LNS:L2TP Network Server,L2TP 访问集中器,一般由专用的接入服务器承担LNS的功能。 图7.1.2 VPDN 网络结构 1、用户发起与LAC 之间的PPP连接 2、LAC 通过RADIUS对用户进行验证 3、RADIUS 认证通过并返回建立隧道相关的属性
VPDN介绍
、 VPDN VPDN 是利用 L2TPv2 协议实现的。L2TP 是一种基于点对点协议 PPP 的二层隧道协议。在由 L2TP 构建的 VPN 中,有两种类型的服务器,一种是 L2TP 访问集中器 LAC(L2TP Access Concentrator ),它是附属在网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器,用于为用户提供网络接入服务;另一种是 L2TP 网络服务器 LNS(L2TP Network Server),是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。 用户通过窄带或宽带拨号,发起 PPP session 连接到窄带接入服务器或宽带接入服务器,接入服务器充当 L2TP 的 LAC 角色,封装用户的PPP session 到 L2TP 隧道,L2TP 隧道穿过公 共 IP 网络,终止于 LNS。用户的 PPP session 经企业内部的认证服务器认证通过后即可访问企业内部网络资源。 1、业务定义 无线 VPDN 产品是基于 CDMA 1X /EVDO 高速分组数据网络,利用L2TP 隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。用户可使用移动终端或 PC通过无线 VPDN 网络安全地访问客户网络或应用系统。 2、业务功能 可为客户构筑基于 CDMA 1X /EVDO 高速分组数据网络的虚拟专用拨号网络; 可与中国电信提供的行业应用整合,提供安全的无线接入及应用一体化解决方案。 3、业务特点 (1) 可移动、覆盖广 用户可以在移动的环境下进行无线数据传输,CDMA 独有的软切换技术使用户在高速移动中也能确保持续连接,真正地满足用户移动办公的需求。 只要有 CDMA 信号的地方,用户就能使用无线 VPDN 产品。 (2) 高安全性 CDMA 1X 网络 VPDN 产品具有五层安全保障: 第一级安全保证:CDMA 网络本身的安全性; 第二级安全保证:CDMA 无线宽带接入 AAA 认证; 第三级安全保证:CDMA 网络和客户网络之间的 L2TP隧道; 第四级安全保证:客户网络侧的安全防火墙; 第五级安全保证:LNS AAA 鉴权认证。 (3) 高速率 CDMA 1X 无线数据网络能够为移动用户提供高速的数据产品,其数据传输速率最快可达到 153.6kbit/s。 (4) 适用范围广 终端用户通过无线 VPDN 产品接入到客户网络,对各类应用均可透明传送。 无线 VPDN 产品适用多种终端形式,包括智能终端、具有 CDMA 拨号功能的网络设备和工控设备等。中国电信无线 VPDN 产品网络包括 PDSN、接入 AAA 服务器、LNS 和LNS AAA 服务器 等设备。 移动终端使用无线 VPDN 用户名和密码拨号,将用户信息发送到漫游地接入 AAA,漫游地接入 AAA 根据终端 IMSI 将用户信息发送到归属地 AAA,归属地接入 AAA 对 IMSI 和域名进行绑定认证后,在PDSN 和 LNS 设备间建立 L2TP 隧道连接,再经 LNS AAA 认证后,由 LNS AAA 或 LNS 为终端分配客户网络地址,实现终端与客户网络间的数据通信。 5、适用对象 无线 VPDN 产品属全国性产品,面向中国电信政企客户及 133、153、189 用户开放,全国 CDMA 网络覆盖范围内均可通达,用户终端在全国范围内漫游仍能使用本产品。 使用无线 VPDN 产品的用户根据其属性可分为如下两类: 客户:通过专线等方式接入中国电信网络,为终端提供无线 VPDN 接入的政企客户; 终端用户:通过无线 VPDN 产品接入到客户网络或应用系统的中国电信移动网用户。 物流 e 通 4.2.1 业务定义基于中国电信覆盖广泛的互联网和移动网络,及紧密型合作伙伴开发的“物流 e 通”行 业应用平台,为快递企业提供固定与移动融合的信息化应用,主要包括为快递企业调度管理人员提供基于互联网终端(PC)的应用功能,为快递企业外勤人员提供基于移动终端(手机)及时接收和反馈取/送货任务信息的应用功能,满足快递企业随时掌握外勤人员送货情况、调度送货任务、快速处理客户需求以及流动业务人员管理等需求。 4.2.2 业务功能 业务功能从使用的终端角度划分,分为 PC 端和手机端的功能,分别供内勤人员和外勤人员使用。通过外勤人员和内勤人员的协同使用,实现本业务提供的功能。 1、 PC 端功能 PC 端的功能通过使用浏览器访问互联网的方式供系统管理员、公司话务员和网点管理员等内勤人员使用。 人工下单公司话务员接到客户取货请求后,录入客户地址和联系方式等客户信息和选定取件外勤 人员后,后台系统会自动将客户信息发给选定外勤人员的手机。 任务信息查询根据运单号查询某段时间内运单对应任务的详细信息。 任务统计统计在某段时间内完成的下单、取件和派送等任务次数,进而可以粗略估算外勤人员、 公司话务员和网点所完成的工作量。 信息发布 系统管理员提交发布信息后,后台系统会自动将其发至外勤人员的手机。 人员管理可以对公司话务员、网点管理员、网点业务员(外勤人
综合VPDN技术实现方案,满足安全和管理需求
综合VPDN技术实现方案,满足安全和管理需求 本系统中涵盖综合VPDN平台、路由器、GGSN、BARS等多厂商设备组网实现了专线、internet、MPLS VPN等企业接入方式,动态L2TP、静态L2TP方式、GRE 连接方式等多种用户接入方式,满足各种用户接入需求,有效利用网络资源,并提供认证和加密等安全策略。 1.引言 中国联通移动通信网络迅速发展,特别是移动互联网业务的迅猛发展,许多企业有强烈的随时随地直接接入企业内部网络的需求,实现移动办公、远程抄表、气象监控、移动视频监控、远程电站监控、地质监测等业务。 随着接入企业及用户的增加,如何对终端接入企业网络进行控制,实现更加安全地访问企业网络,如何管理企业终端用户成为目前行业应用系统建设中重点要解决的问题。为更好发展企业用户,为企业用户提供集中认证和授权业务,为企业专网接入提供用户信息集中管理服务,保障企业专网接入的安全性,保障核心网安全,减少对现有GGSN性能的影响,使网络结构更清晰、设备功能更明确、降低投资成本,需建设一套APN接入管理平台,满足企业通过移动网、固网方式接入企业专网的安全和管理需求。 2.技术实现方案 2.1 VPDN拓扑设计 根据可靠性先进性等网络设计原则,我们针对移动网分组网络、IP城域网的IP数据包的传输特点,设计以下拓扑网络。 该网络结构通过分层设计,能够满足企业用户小数据量,突发性的特点。 在整个平台的网络建设中,划分A、B、C3个区。A区为综合VPDN管理接入平台的核心交换转发区,主要用来提供在移动网分组域核心网/IP城域网和综合VPDN管理平台之间的数据路由转发。B区是企业接入区,用来提供企业用户的专线接入。 C区是综合VPDN管理平台,用来提供企业托管认证服务和管理服务。整个平台通过主从
联通VPDN服务说明
联通VPDN服务说明 1VPDN概述 1.1什么是VPN? VPDN英文为Virtual Private Dial-up Networks,又称为虚拟专用拨号网,是VPN业务的一种,是基于拨号用户的虚拟专用拨号网业务。即以拨号接入方式上网,是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网,是近年来随着Internet的发展而迅速发展起来的一种技术。 VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。 VPDN是基于拨号接入(PSTN、ISDN)的虚拟专用拨号网业务,可用于跨地域集团企业内部网、专业信息服务提供商专用网、骨干网连接方式、金融大众业务网、银行存取业务网等业务。 ●它是虚拟的网,即没有固定的物理连接,网路只有用户需要时 才建立。 ●它是利用公众网设施构成的专用网, 构建在公共网络上的 VPN 如同企业私有的网络一样提供安全性、可靠性和可管理
性等。 1.2VPDN网络架构介绍 ●VPDN业务的承载网,即165网; ●全国和各省设置VPDN用户认证中心和计费中心; ●各省市城市的VPDN拨号接入系统,主要由接入服务器组成;●用户系统,包括企业的拨号用户、企业总部网关设备、企业内部 网的管理系统。 2联通VPDN服务介绍 2.1联通VPDN服务 中国联通因特网虚拟专用网是基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方
电信VPDN网路及业务技术
电信V P D N网路及业务 技术 Company number:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
中国电信IP网VPDN网路及业务技术要求(草稿) 1.总则 1.1制定本技术要求的目的是为了在IP网VPDN(由运营商NAS发起的拨号 VPN业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2本技术要求是中国电信进行IP网VPDN网络规划、工程设计、业务开展等 方面的主要技术依据。 1.3本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、 经济性、先进性、灵活性和统一性。 2.中国电信IP网上VPDN系统结构组成 中国电信IP网上VPDN系统组成分为以下几个部分: (1) VPDN业务的承载网,即中国电信的IP网; (2)两级VPDN业务管理中心,包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心; (3)中国电信在各省市城市的VPDN拨号接入系统,主要由接入服务器组成; (4)用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示: 中国电信VPDN业务的承载网
VPDN业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网, 全国VPDN业务管理中心 VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分,是中国电信在IP网上提供VPDN业务的控制中心,全国VPDN业务管理中心设置在电总数据局,采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责全国VPDN业务的受理、全国VPDN业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP地址等)管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。 (2)用户认证模块:主要负责全国VPDN业务RADIUS认证、计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。 (3)计费结算帐务模块,主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。 (4)网络管理模块,网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图省级VPDN业务管理中心 各省省级VPDN业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台
VPDN组网技术
一.VPDN简介 VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。 VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。 二.VPDN有下列两种实现方式: 1.NAS通过隧道协议,与VPDN网关建立通道的方式。这种方式将客户的PPP 连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS 支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。 2.客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限制,不需ISP介
入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。 3.VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用相当许多的是L2TP。 三、L2TP协议介绍 1.协议背景 2.PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。 3.L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。 4.典型L2TP组网应用使用L2TP协议构建的VPDN应用的典型组网如图1所示: 其中,LAC表示L2TP访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。LNS表示L2TP网络服务器(L2TP Network Server),是PPP端系统上用于处理L2TP协议服务器端部分的设备。
VPDN技术简介
VPDN技术简介 VPDN是拨号业务的VPN,指利用公共网络的拨号及接入网实现的虚拟专用网,可为企业、小型ISP、移动办公人员提供接入服务。VPDN能够充分利用现有的网络资源,提供经济、灵活的联网方式,为客户节省设备、人员和管理所需要的投资,降低用户的费用,所以必将得到广泛的应用。下面就VPDN作一介绍。 一、VPDN基本原理 VPDN主要由网络接入服务器(NAS)、用户端设备(CPE)和管理工具组成。VPDN的构成如图1所示。其中NAS由大型ISP或电信部门提供,其作用是作为VPDN的接入服务,提供广域网接口,负责与PSTN、ISDN的连接,并支持各种LAN的协议、安全管理和认证、隧道及相关技术;CPE是VPDN的用户端设备,位于用户总部,根据网络功能的不同,可以是由NAS、路由器或防火墙等提供相关的设备来担任;VPDN管理工具对VPDN设备和用户进行管理。属于电信部门或大型ISP来管理,属于用户的设备及用户管理功能由用户方进行管理。 二、VPDN隧道协议 VPDN隧道协议有点到点隧道协议(PPT P)、第二层转发协议(L2F)、第二层隧道协议(L2TP)等几种。 1、点到点隧道协议(PPTP) PPTP是PPP(点到点协议)的一种扩展,提供了在ip网上建立多协议的安全VPN的通信方式,远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。PPTP提供PPTP 客户机及其服务器之间的保密通信。通过PPTP,客户可以采用拨号方式接入公共的IP网方法是:拨号客户首先按常规方式拨号到ISP的NAS,建立PPP连接;在此基础上,客户进行第二次拨号,建立到PPTP服务器的连接。 2、第二层转发协议(L2F) L2F是可以在多种介质上建立多协方安全VPN的通信方式。它将链路层的协议封装起来传送,因此网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络,方法是:先按常规方式拨号到ISP和NAS,建立PPP连接;然后,NAS根据用户名等信息发起第二次连接,呼叫用户网络的服务器。 3、第二层隧道协议(L2TP) LETF建立将PPTP和L2F的最优秀部分组成一个标准,就称为L2TP。自1999年5月以来,L2TP一直在开发中,某些部分正由Cisco和Microsoft开发实现。在L2TP协议中,规定了3个网络元素,即LAC(L2TP access Concentrator),LNS(L2TP Network Server)和主局域
VPDN业务方案
VPDN业务方案 一、业务简介 VPDN即无线虚拟专用拨号网络(Virtual Private Dialup Network)的缩写,VPDN采用专用的网络加密和通信协议,可为企业建立安全的虚拟专用网。用户可在国内任何地区通过WCDMA/GPRS 手机、无线上网卡等移动终端,高速、安全、方便、快捷地连接企业内部网络,实现无缝连接的无线数据传输和企业移动办公。 浙江联通的VPDN业务产品是浙江联通为集团客户建立的VPDN平台,采用先进的接入设备和专用的接入网络。具有接入方便、网络安全等优点。 联通的VPDN典型的接入方式见下图: 图1 用户通过手机GPRS或者WCDMA(3G制式)网络接入联通移动数据网,通过VPDN平台和VPDN专用的接入网络,接入企业端的服务器,从而在企
业用户登录时建立一条专用的VPN通道,让企业用户通过安全通道与企业内部的网络进行连接,实现企业用户的无线数据传输和移动办公。 二、业务应用场景 2.1应用场景描述:各类行业应用 1.无线业务办理 无线宽带VPDN可以提供无线业务终端与后端业务系统的安全连接,从而实现无线ATM、无线POS、远程保险理赔、交警现场执法等各行业远程业务处理和移动办公需求,是一种不受传输环境与地域的影响、组网方便、性价比高、随时在线的、稳定的通信方式。 2.无线数据传输 无线宽带VPDN可以实现移动节点或远距离节点的远程数据采集,如噪声监控、水文监测、远程自动化控制等,省去了分散节点布线的麻烦,提供了安全可靠的数据通道。 3.无线信息发布
公共信息发布系统是将传统的显示平台如:LED、LCD、TFT等与无线宽带VPDN相结合,提供实时、无线、远程、多屏幕的信息发布系统,如智能交通信息发布系统、大型户外媒体广告系统、灾害性天气预警系统等 4.无线视频采集 无线网络视频监控系统可为用户提供快速的、实时的被监控对象的图像信息和现场数据信息,主要应用于移动视频监控系统以及有线网络无法到达的地方。其典型应用有:各种无人值守机站监控、流域水利水文监控、灾害现场监控、公共场所安全监控、远程生产安全监控等。 5.移动办公 通过无线上网卡或WAP方式访问单位的办公网,处理公文。 2.2 具体场景:银行及银联系统应用 (1)银行快速占领市场——ATM机、POS刷卡终端 现场网络环境的制约 网络稳定性 网络可靠性 交易快捷 (2)其他行业支付需求——大量的货到付款需要 网上购物 送机票 鲜花、蛋糕等 (3)特殊环境场合需要——临时租用POS 临时促销 大型活动等 忙时快速开户交易等
(5.2)运营商的VPDN服务【全业务组网砖家指引】
【全业务组网砖家指引】由 91 导购网编辑 http://www.91tell.me 91 告诉我
第二节
运营商的 VPDN 服务
在 Network-based VPN 模式下,VPN 的构建、管理和维护由运营商控制,允许用户在 一定程度上进行业务管理和控制。 功能特性集中在网络侧设备处实现, 用户网络设备只需要 支持网络互联,无需特殊的 VPN 功能,因此客户使用运营商的 VPN 业务,可以沿用原来的 不支持 VPN 功能的路由器等设备,保护原有的投资。 Network-based VPN 包括 MPLS VPN 等业务;MLPS VPN 在组网业务里面已经有介绍。 在介绍一下目前广泛应用的运营商 VPDN 服务。 大家指导,目前的宽带接入大多数使用 PPPOE 拨号接入互联网。类似的,使用 VPDN 拨号可以接入运营商的内网。 VPDN(Virtual Private Dialup Network)即虚拟专用拨号网络,是 VPN 技术的一种,主 要应用于拨号(电话、ADSL)接入的用户组建虚拟专网的场合。VPDN 具有投资小见效快、 实现简单等优点,因此各运营商都在大力发掘客户的 VPDN 组网需求。目前运营商提供的 VPDN 业务一般采用 L2TP 技术。 VPDN 组网业务是运营商在互联网基础上开放的,基于窄带或宽带拨号方式,以二层 隧道技术为主而组建企业虚拟专用网络的一种业务。以 L2TP/L2F 技术在两端建立安全隧道 (Tunnel) ,通过虚拟专用的通道来传输信息,防止来自 Internet 的恶意攻击,确保用户通信 数据的安全。 L2TP(Layer 2 Tunnel Protocol)第二层隧道协议,是为在用户和企业的服务器之间透明 传输 PPP 报文而设置的隧道协议。支持内部地址分配.。主要组成有 LAC、LNS 等。 LAC(L2TP Access Concentrator)L2TP 访问集中器,附属在交换网络上的具有 PPP 端 系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器(NAS,Network Access Server) ,它通过 PSTN/Internet 为用户提供网络接入服务。 ,用于处理 L2TP 协议的服务器。在一个 LNS 和 LAC 对之 LNS(L2TP Network Server) 间存在着两种类型的连接,一种是隧道(tunnel)连接,它定义了一个 LNS 和 LAC 对;另 一种是会话(session)连接,它复用在隧道连接之上,表示承载在隧道连接中的每个 PPP 会话过程。 企业用户可以采取窄带(PSTN 网络)和宽带(ADSL 接入、PON 接入等)的方式来使 用 VPDN 组网业务。
第1页 91 导购网:http://www.91tell.me 91 告诉我 https://www.360docs.net/doc/b710273550.html, 91 告诉我们
中国电信VPDN网路及业务技术经验
精心整理 中国电信IP 网VPDN 网路及业务技术要求(草稿) 1.总则 1.1 制定本技术要求的目的是为了在IP 网VPDN (由运营商NAS 发起的拨号VPN 业务)国家技术 体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2 本技术要求是中国电信进行IP 网VPDN 网络规划、工程设计、业务开展等方面的主要技术依 据。 1.3 本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、经济性、先进性、 灵活性和统一性。 2中国电信(1)(2业务管理中心;(3(4 2.1VPDN 网)二网调整后的2.2全国VPDN 网上提供VPDN 国VPDN (1业务用(2IP 网上负责置。 (3生成等。(4)网络管理模块,网络管理对象是全国VPDN 业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 2.2省级VPDN 业务管理中心 各省省级VPDN 业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN 业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。省级VPDN 业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责省内VPDN 业务的受理、省内VPDN 业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP 地址等)管理、业务营销策略管理、省内VPDN 业务用户帐务信息管理。
VPDN技术简介
VPDN技术简介 一、简介 无线VPDN技术是基于无线3G高速分组数据网络,为分支点建立连接到企业内部的L2TP私密隧道,为客户构建的与公众互联网隔离的虚拟专用网络,基于隧道可以实现企业内部数据安全,高速、便捷的传输。用户可使用移动终端或PC通过无线宽带VPDN网络安全地访问客户网络或应用系统。用户通过VPDN可以实现总部对分支机构的远程管理,远程监控,业务应用等多方面数据传输需求,节省了用户的通信成本,提高了企业管理运作效率,同时也为客户业务用于的扩展提供了很好的保障。 二、技术实现 VPDN通过的无线网(3G或1x)进行分支机构的接入,采用VPDN 专用帐号拨入专用的认证服务器来获得认证,在安全认证通过之后才能接入VPDN服务器获得企业网络地址,得到访问企业网络的权限。(如果帐号没有通过认证则不具备联网的功能) VPDN业务主要基于L2TP 隧道技术实现终端用户到企业网络的安全接入,提供一个终端用户到客户网络的虚拟隧道。 在用户侧安装一台VPDN路由器,一侧连接到用户内网,另一侧连接到电信vpdn服务器AAA。无线用户使用用户名密码(XXX@域名)做VPDN拨号,通过AAA服务器认证后与用户VPDN路由器建立L2TP 隧道,二次认证通过后路由器分配终端内网IP地址,终端用户和路由器建立PPP连接,完成客户网络的接入。
由于无线VPDN的通信信道为电信EVDO无线信道,因此在通信速率上有一定限制,远端终端节点的上行速率为1.8Mbps,下行速率为3.1Mbps,完全可以满足一般的数据通信和视频通信。至于中心节点,由于使用光纤作为通信介质,因此,带宽灵活可调。 三、对用户的要求 业务开通时,用户需投资一台路由器作为LNS,需申请长途MPLS VPN专线,通过CN2连接省PDSN设备,需申请开通VPDN域名(用于拨号认证,由电信代为申请)。建议用户端出口设备(部署在客户中心点作为LNS服务器)采用思科2811以上或性能相当的路由器,至少配置1个100M以太网接口(用于连接电信端设备)及一个LAN接口(用于连接局域网)。具体的路由器型号应根据可能接入的终端数量确定。对于远端网点,每网点只需安装一个电信无线上网卡即可,可以将终端无线上网卡的IMSI绑定,以提高网络的安全性。
中国电信VPDN网路及业务技术
中国电信IP 网VPDN 网路及业务技术要求(草稿) 1. 总则 1.1 制定本技术要求的目的是为了在IP 网VPDN (由运营商NAS 发起的拨号VPN 业务)国家技术体制未正式颁布之前,中国电信在工程网络建设实施中确保业务类别、网络结构、网络管理和网络编号等方面全程全网的统一性和互通性。待国家技术体制正式颁布之后按体制规定执行。 1.2 本技术要求是中国电信进行IP 网VPDN 网络规划、工程设计、业务开展等 方面的主要技术依据。 1.3 本技术要求制定的原则是从通信建设和业务发展的需要出发,注重实用性、 经济性、先进性、灵活性和统一性。 2. 中国电信IP 网上VPDN 系统结构组成 中国电信IP 网上VPDN 系统组成分为以下几个部分: (1) VPDN 业务的承载网,即中国电信的IP 网; (2) 两级VPDN 业务管理中心,包括1个全国VPDN 业务管理中心和31个省级VPDN 业务管理中心; (3) 中国电信在各省市城市的VPDN 拨号接入系统,主要由接入服务器组成; (4) 用户系统,包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示: 市话PSTN/ISDN 企业拨号用户 企业拨号用户市话PSTN/ISDN 中国电信全国VPDN系统结构组成 中国电信IP网 接入服务器接入服务器 全国VPDN 业务 管理中心 企业总部 省级VPDN 业务管理中心1企业内部网管理系统 网关 各省市城市VPDN接入 系统 省级VPDN 业务管理中心31 VPDN业务承载网 VPDN业务管理中心
中国电信VPDN 业务的承载网 VPDN 业务承载网采用中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网, 全国VPDN 业务管理中心 VPDN 业务管理中心是中国电信IP 网上VPDN 系统组成中的关键部分,是中国电信在IP 网上提供VPDN 业务的控制中心,全国VPDN 业务管理中心设置在电总数据局,采用单独建设的方式。全国VPDN 业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责全国VPDN 业务的受理、全国VPDN 业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP 地址等)管理、业务营销策略管理、全国VPDN 业务用户帐务信息管理。 (2)用户认证模块:主要负责全国VPDN 业务RADIUS 认证、计费信息采集、中国电信IP 网上负责VPDN 业务所有接入服务器和全国VPDN 业务用户网关设备的登记等。该模块采用主备用设置。 (3)计费结算帐务模块,主要负责全国VPDN 业务计费、帐务生成、各种信息统计分析报表生成等。 (4)网络管理模块,网络管理对象是全国VPDN 业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 业务受理和查询 RADIUS 认证模块客户信息数据库信息 计费 客户信息管理 用户帐务信息管理 用户管理模块 营销策略管理用户认证模块接入服务器信息 计费信息采集 计费帐务结算模块 帐务结算 业务统计 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 省级VPDN 业务管理中心 各省省级VPDN 业务管理中心设置在中国公用计算机互联网(163网)和中国公众多媒体通信网(169网)二网调整后的163/169网的省级管理系统平台上,省级VPDN 业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络,不单独建设。省级VPDN 业务管理中心在功能上可由以下功能模块部分组成: (1)用户管理模块:主要负责省内VPDN 业务的受理、省内VPDN 业务用户信息(用户信息包括每个用户申请的完整域名、网关的公开IP 地址等)管理、
中国电信产品维护经理认证体系教材 物联网vpdn业务原理 受理 调试
物联网业务培训 物联网VPDN业务原理、受理、调试 中国电信物联网分公司网络运营部
目录 专项营销活动 VPDN业务配置 2 VPDN用户开通 3 VPDN受理 4 LNS设备配置 5 系统查询功能
VPDN业务介绍 ?业务描述 物联网号码可开通中国电信无线VPDN业务,利用L2TP隧道技术为物联网客户构建与公众互联网隔离的虚拟专用网络,满足客户的物联网无线终端访问客户内部网络的需求。 ?业务特点 VPDN用户通过拨号的方式结合严格的认证系统和授权机制访问本企业/封闭站点的虚拟专用网络,以实现企业与各分支机构间、分支机构与分支机构间、企业与合作伙伴间的多种网络通信。 无线VPDN的最终用户,只需与平时上网一样,通过无线网络就能方便、经济、安全的接至本企业的专用网络,达到虚拟网络连接的效果。
VPDN 业务基本原理 2G/3G 省内PDSN LNS 物联网AAA 二次认证AAA 客户网络 运营商网络 互联网/专网 LAC (L2TP 接入集中器)-电信侧核心网出口设备(PDSN ,PGW )4G 物联网GW
物联网VPDN 业务实现 BS 2G/3G 省份PDSN BSC/PCF eHRPD 移动终端 4G 移动终端 物联网PGW/LAC SGW eNB 省份HSGW 客户网络 LNS 物联网3G 一次认证AAA 物联网4G 一次认证AAA 省份AAA 物联网 二次认证 AAA 客户网络 LNS VPDN AAA CN2专网 互联网 MME 物联网HSS 物联网PCRF 物联网VPDN 业务控制点
L2TP VPDN 业务流程 终端 LAC 一次AAA 二次AAA 拨号请求 用户名@域名、口令、IMSI 域名认证 认证通过 LNS 用户名@域名、口令 IMSI/手机号认证通过 用户名、口令认证 客户端认证成功 客户内部网络 VPN Connection 建立无线信道,发起请求 PPP 协商建立隧道请求 隧道请求认证成功 隧道 ?LAC :由各省PDSN (3G ),专网PGW (4G )承担 ?一次认证AAA :物联网专网AAA 提供 ?LNS :客户自己提供,或者电信为客户提供共享LNS
利用L2TP实现VPDN技术概述
1附录:利用L2TP实现VPDN技术概述 如图5-1所示。利用L2TP 隧道技术,可以提供一个终端用户到客户网络的虚拟隧道。 图5-1 L2TP 封装图 L2TP 协议是一种传统的二层 VPN隧道协议,它的承载协议是 IP 协议,乘客协议是 PPP 协议。通过 L2TP 协议,PPP 二层链路端点和 PPP 会话点可以驻留在不同设备上,中间通过 L2TP 隧道穿越因特网。 L2TP 协议有三个概念必须明确,终端用户、LAC、LNS。终端用户就是发起 PPP 协商的,需要登陆企业的一端,无线宽度VPDN业务中一般是上网卡+PC或智能手机,既是 PPP 二层链路一端又是PPP 会话的一端;LAC(L2TP Access Concentrator)端是直接接受用户呼叫的一端,是 PPP 二层链路一端,在某些组网情况下 LAC 和用户可以合并为一个端点,其它情况下一般都是由 NAS 作为LAC,无线宽带VPDN业务中一般使用PDSN作为LAC;LNS(L2TP Network Server)端是接受 PPP 会话的一端,一般位于私网与公网边界,通过 LNS,用户就可以登陆到私网上,访问私网资源,L2TP 隧道端点分别位于 LAC 和LNS 两端。 在一个 LNS 和 LAC 对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,也叫控制连接,它定义了一个 LNS 和 LAC 对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。在同一对 LAC 和 LNS 之间可以建立多个 L2TP 隧道,每个隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L
中国电信IP网VPDN网路及业务技术要求模板
中国电信IP网VPDN网路及业务技术要求 1.中国电信IP网上VPDN系统结构组成 中国电信IP网上VPDN系统组成分为以下几个部分: ( 1) VPDN业务的承载网, 即中国电信的IP网; ( 2) 两级VPDN业务管理中心, 包括1个全国VPDN业务管理中心和31个省级VPDN业务管理中心; ( 3) 中国电信在各省市城市的VPDN拨号接入系统, 主要由接入服务器组成; ( 4) 用户系统, 包括企业的拨号用户、企业总部网关设备、企业内部网的管理系统。 整体系统组成如下图所示:
2.1 中国电信VPDN业务的承载网 VPDN业务承载网采用中国公用计算机互联网( 163网) 和中国公众多媒体通信网( 169网) 二网调整后的163/169网, 2.2 全国VPDN业务管理中心 VPDN业务管理中心是中国电信IP网上VPDN系统组成中的关键部分, 是中国电信在IP网上提供VPDN业务的控制中心, 全国VPDN业务管理中心设置在电总数据局, 采用单独建设的方式。全国VPDN业务管理中心在功能上可由以下功能模块部分组成: ( 1) 用户管理模块: 主要负责全国VPDN业务的受理、全国VPDN业务用户信息( 用户信息包括每个用户申请的完整域名、网关的公开IP地址等) 管理、业务营销策略管理、全国VPDN业务用户帐务信息管理。 ( 2) 用户认证模块: 主要负责全国VPDN业务RADIUS认证、
计费信息采集、中国电信IP网上负责VPDN业务所有接入服务器和全国VPDN业务用户网关设备的登记等。该模块采用主备用设置。 ( 3) 计费结算帐务模块, 主要负责全国VPDN业务计费、帐务生成、各种信息统计分析报表生成等。 ( 4) 网络管理模块, 网络管理对象是全国VPDN业务管理中心内部局域网内的所有设备,网络管理功能包括故障管理、性能管理、配置管理、安全管理。 全国用户管理模块、用户认证模块、计费结算帐务模块关系图 2.2 省级VPDN业务管理中心 各省省级VPDN业务管理中心设置在中国公用计算机互联网( 163网) 和中国公众多媒体通信网( 169网) 二网调整后的163/169网的省级管理系统平台上, 省级VPDN业务管理中心系统设备与其它已有的省级管理系统设备共用一个局域网网络, 不单独建设。省