通過CDMA VPDN構(gòu)建安全移動(dòng)內(nèi)網(wǎng)

1、CDMA VPDN構(gòu)建安全移動(dòng)內(nèi)網(wǎng)系統(tǒng)集成部劉志偉2011年01月目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì) 客戶的困擾 客戶的困擾 在外采訪，實(shí)時(shí)性高的新聞回傳怎么辦？ 身邊沒有筆記本電腦，緊急公事怎么辦？ 出差在外，需要公文審批怎么辦？ 互聯(lián)網(wǎng)VPN，辦公系統(tǒng)安全怎么辦？ 企業(yè)移動(dòng)終端利用internet作為承載網(wǎng)絡(luò)，通過IPSEC協(xié)議與企業(yè)內(nèi)部網(wǎng)絡(luò)建立VPN

2、通道，這種組網(wǎng) 方 式用戶數(shù)據(jù)透明性差，不支持手機(jī)、PDA等移動(dòng)終端，而且由于與互聯(lián)網(wǎng)沒有完全隔離，存在安全隱患?！居脩舻男枨蟆?【中國(guó)電信CDMA VPDN為您一站解決】 中國(guó)電信3G網(wǎng)絡(luò)的分組數(shù)據(jù)網(wǎng)作為承載網(wǎng)絡(luò)； 利用二層L2TP隧道技術(shù)，為客戶構(gòu)建與internet完全 隔離的專用網(wǎng)絡(luò)； 支持手機(jī)、PDA、上網(wǎng)本、以及其他一些定制終端； 獲得國(guó)家信息安全中心的認(rèn)證；目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景

3、業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì) CDMA VPDN概述 CDMA VPDN定義 基于CDMA 1X/3G evdo高速無(wú)線數(shù)據(jù)網(wǎng)絡(luò)，利用L2TP隧道技術(shù)為客戶構(gòu)建的與公眾互聯(lián)網(wǎng)隔離的虛擬專用網(wǎng)絡(luò)。用戶可使用移動(dòng)終端或PC通過無(wú)線寬帶VPDN網(wǎng)絡(luò)安全地訪問客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)，從而滿足移動(dòng)辦公、移動(dòng)數(shù)據(jù)采集、無(wú)線數(shù)據(jù)傳輸?shù)刃枨蟆?客戶：通過專線等方式接入中國(guó)電信無(wú)線寬帶VPDN業(yè)務(wù)平臺(tái)的政企客戶； 終端用戶：通過無(wú)線寬帶VPDN接入到客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)的中國(guó)電信移動(dòng)網(wǎng)用戶。 CDMA VPDN功能遠(yuǎn)程辦公：工作人員不管人在何處，都可以利用PDA智能手機(jī)進(jìn)行遠(yuǎn)程辦公，處理公文，收

4、發(fā)電子郵件；遠(yuǎn)程信息查詢：通過PDA智能手機(jī)，基于該系統(tǒng)遠(yuǎn)程登錄單位內(nèi)部核心網(wǎng)，實(shí)現(xiàn)信息查詢；信息采集：所采集的信息包括新建文件，現(xiàn)場(chǎng)圖片，現(xiàn)場(chǎng)視頻片斷，銷售定單等等信息通過無(wú)線終端傳輸?shù)街行木W(wǎng)絡(luò)。無(wú)線寬帶VPDN業(yè)務(wù)屬全國(guó)性業(yè)務(wù)，面向中國(guó)電信政企客戶及133、153、189用戶開放，全國(guó)CDMA 網(wǎng)絡(luò)覆蓋范圍內(nèi)均可通達(dá)，用戶在全國(guó)范圍內(nèi)漫游仍能使用本業(yè)務(wù)。 CDMA VPDN概述 CDMA VPDN使用行業(yè)銀行業(yè)：如無(wú)線ATM機(jī)、移動(dòng)POS機(jī)等，為關(guān)鍵交易提供數(shù)據(jù)傳輸?shù)谋ＷC；移動(dòng)辦公：企業(yè)分散點(diǎn)通過VPDN通訊模塊與筆記本計(jì)算機(jī)連接，實(shí)現(xiàn)無(wú)線連接企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用，實(shí)施簡(jiǎn)單，辦公可移動(dòng)；工業(yè)

5、控制等分散數(shù)據(jù)采集：跨區(qū)的大型企業(yè)工業(yè)數(shù)據(jù)采集及控制系統(tǒng)，如石油天然汽、石油管道閥門、罐等參數(shù)的采集；環(huán)保、氣象等相關(guān)分散點(diǎn)數(shù)據(jù)采集監(jiān)控應(yīng)用；供電及電力系統(tǒng)遠(yuǎn)程抄表及數(shù)據(jù)采集控制等；分散地點(diǎn)的電子認(rèn)證：關(guān)鍵地點(diǎn)、位置的集中門禁控制系統(tǒng)；以及其它分散地點(diǎn)集中認(rèn)證有關(guān)的認(rèn)證服務(wù)等；其它基于分散點(diǎn)數(shù)據(jù)采集的系統(tǒng)：其它涉及商務(wù)，連鎖的應(yīng)用數(shù)據(jù)采集，比如連鎖商店銷售，配貨信息的采集和調(diào)度；物流公司相關(guān)業(yè)務(wù)的數(shù)據(jù)采集；地鐵、公交站點(diǎn)票務(wù)支付等。 CDMA VPDN概述 CDMA VPDN目標(biāo)客戶 CDMA網(wǎng)絡(luò)能夠?yàn)橐苿?dòng)用戶提供比較安全的數(shù)據(jù)業(yè)務(wù)，目前用CDMA 1X最高速率達(dá)到153.6kbit/s，如用

6、戶有需求可以比較方便過度到EVDO方式達(dá)到以Mbit/s而計(jì)的高速數(shù)據(jù)，可傳送圖片和視頻。 CDMA VPDN目標(biāo)客戶交通公安政府金融物流 流動(dòng)性強(qiáng)、分支機(jī)構(gòu)多、安全性要求高應(yīng)用案例銀行類（ATM機(jī)等）政府類（生產(chǎn)系統(tǒng)）目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)CDMA VPDN組網(wǎng)方式MobileStation移動(dòng)基站 BTSBSC/ PCF無(wú)線接入網(wǎng)絡(luò)HAAA

7、PDSN/FAFAAAR-P接口A10/A11分組業(yè)務(wù)數(shù)據(jù)節(jié)點(diǎn)IP Network CN2/163LNSAAA視頻/流媒體OA其它服務(wù)器LNS電信全國(guó)IP網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)FR/DDN、SDH/MSTP、MPLS VPN、IP MAN專線標(biāo)準(zhǔn)的CDMA VPDN網(wǎng)絡(luò)由移動(dòng)終端（CDMA 手機(jī)、CDMA 上網(wǎng)卡等），PCF，PDSN，HA，AAA（從功能上分成拜訪地FAAA、歸屬地HAAA、代理AAA）組成；移動(dòng)終端和PDSN之間是PPP連接，PCF和PDSN之間是RP接口（A10/A11，A10是數(shù)據(jù)通道，A11是信令通道）；（LAC）各組件功能介紹MS：支持CDMA的移動(dòng)終端，目前主流的移動(dòng)終

8、端有支持各種數(shù)據(jù)增值業(yè)務(wù)的CDMA手機(jī)；支持CDMA數(shù)據(jù)功能的上網(wǎng)卡；PCF：分組控制功能PCF是無(wú)線設(shè)備中和分組域接口的設(shè)備；PCF和PDSN之間的接口成為RP接口，也成為A10/A11接口，A10為數(shù)據(jù)接口，A11為信令接口；PDSN：分組業(yè)務(wù)數(shù)據(jù)節(jié)點(diǎn)，負(fù)責(zé) L2TP隧道的發(fā)起和建立完成和無(wú)線網(wǎng)絡(luò)PCF和IP網(wǎng)絡(luò)的接口，類似于BRAS；PDSN和移動(dòng)終端建立PPP連接，把終端來(lái)的PPP數(shù)據(jù)轉(zhuǎn)換成標(biāo)準(zhǔn)的IP數(shù)據(jù)，路由到IP網(wǎng)絡(luò)，同時(shí)將網(wǎng)絡(luò)來(lái)的IP數(shù)據(jù)封裝在PPP里傳送給終端；接入AAA：認(rèn)證、授權(quán)、計(jì)費(fèi)接入AAA主要完成業(yè)務(wù)終端的VPDN業(yè)務(wù)接入認(rèn)證、授權(quán)、計(jì)費(fèi)，并實(shí)現(xiàn)各種業(yè)務(wù)控制及用戶終端

9、的漫游等功能。從功能上分為：FAAA（拜訪地AAA）、HAAA（歸屬地AAA）、BAAA（代理AAA）；VPDN AAA：主要完成業(yè)務(wù)終端訪問客戶網(wǎng)絡(luò)的認(rèn)證、授權(quán)LNS：負(fù)責(zé)無(wú)線寬帶VPDN客戶接入的網(wǎng)絡(luò)設(shè)備（如路由器），和PDSN一起完成L2TP隧道的建立。 LNS設(shè)備可部署在中國(guó)電信機(jī)房中，也可部署在客戶網(wǎng)絡(luò)中。LNS接入VPN/專線/公網(wǎng)163指LNS接入的三種方式?？蛻艟W(wǎng)絡(luò)接入VPN/專線指客戶網(wǎng)絡(luò)與共享LNS或者電信托管LNS的連接方式。RP網(wǎng)絡(luò)：連接RAN和PDSN的網(wǎng)絡(luò) 目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN

10、協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)CDMA VPDN協(xié)議棧End-to-End IP CommunicationMobileStation移動(dòng)基站 BTSBSC/PCFRANHAAAPDSN/FAFAAAR-P接口A10/A11IP Network CN2/163LNSEnd HostLNS電信全國(guó)IP網(wǎng)絡(luò)企業(yè)內(nèi)部網(wǎng)絡(luò)FR/DDN、SDH/MSTP、MPLS VPN、IP MAN專線APPsIPPPPLACMACAirlinkMS PLEnd Host LinkL

11、ayerIPAPPs PL PL LinkLayerPPPIP R-P PL PL LinkLayerPPPIPRNPDSN/LAC數(shù)據(jù)幀LNSVPDNIP/IPSECGRE目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)LNS兩種接入方式FR/DDNIP/MANIP NetworkCN2 CTVPNSDH/MSTPCN2 PECN2 PE ASBR(MPLS VPN接

12、入平臺(tái)）用戶LNS用戶LNS用戶LNSPDSNPDSN全程L2TP本地全國(guó)各省 用戶LNS接入方式 用戶選擇DDN網(wǎng)提供的FR業(yè)務(wù)，通過橋接轉(zhuǎn)換匯聚為一條ATM-155接入MPLS VPN平臺(tái)后接入CTVPN，可通達(dá)全國(guó)各地的CDMA核心網(wǎng)。用戶端接入帶寬為N*64K，最高2M，用戶側(cè)使用一條FR PVC，DLCI=16； 用戶也可以選擇IP城域網(wǎng)提供的VLL二層VPN接入后接入CTVPN ，在MPLS VPN平臺(tái)的PE設(shè)備上實(shí)現(xiàn)三層終結(jié)，帶寬為2M或2M以上，最高GE（可提供以64K為單位的流控限速）； 用戶也可以選擇2M SDH/MSTP直連CN2 CTVPN，實(shí)現(xiàn)總頭接入； 用戶和電信路

13、由器之間每條二層鏈路分配一對(duì)IP地址對(duì)，子網(wǎng)掩碼為30位，一般用戶選擇靜態(tài)路由接入方式，將缺省路由指向電信VC路由器； 用戶專線接入方式：LNS兩種接入方式FR/DDNIP/MANIP NetworkCN2 CTVPNSDH/MSTPCN2 PECN2 PE ASBR(MPLS VPN接入平臺(tái)）電信共享LNS用戶側(cè)路由器PDSNPDSN全程L2TP本地全國(guó)各省 電信LNS接入方式 用戶選擇電信DDN網(wǎng)提供的FR業(yè)務(wù)或MPLS 業(yè)務(wù)接入MPLS VPN平臺(tái)； MPLS VPN平臺(tái)與共享LNS連接； 共享LNS劃分VR，不同的企業(yè)進(jìn)入不同的 VR中，以實(shí)現(xiàn)相互的隔離； 共享LNS與CTVPN直連，

14、終結(jié)L2TP隧 道，分配用戶IP地址 用戶專線接入方式：LNS的部署方式LNS設(shè)備是無(wú)線寬帶VPDN客戶側(cè)接入設(shè)備，可以采用以下兩種部署方式：LNS設(shè)備部署在中國(guó)電信機(jī)房，既可以是客戶托管的設(shè)備，也可以是中國(guó)電信提供的設(shè)備， 由多個(gè)客戶共享。LNS設(shè)備部署在客戶網(wǎng)絡(luò)，放置在客戶機(jī)房。 對(duì)于部署在電信機(jī)房的LNS，需要考慮LNS的接入方案以及客戶網(wǎng)絡(luò)的接入LNS方案。對(duì)于部署在客戶網(wǎng)絡(luò)的LNS，只需要考慮LNS的接入方案。 LNS接入方案分為CN2 VPN189和公網(wǎng)163兩種方式，為了用戶業(yè)務(wù)組網(wǎng)安全，主要推薦采用CN2 VPN189組網(wǎng)模式。 LNS設(shè)備通過寬帶線路接入到CN2 VPN，在C

15、N2 VPN上與PDSN建立L2TP隧道連接，VPN號(hào)統(tǒng)一為CTVPN189（RD 4134:189）。為了實(shí)現(xiàn)與自營(yíng)業(yè)務(wù)分離，不允許LNS設(shè)備直接與PDSN側(cè)的CE設(shè)備直接相連。 已采用ATM/DDN/SDH等專線接入方式的原聯(lián)通VPDN客戶仍可維持原有接入方式；對(duì)于新發(fā)展客戶，主要采用CN2 VPN189接入方式。 LNS設(shè)備部署方式說(shuō)明目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信C

16、DMA VPDN優(yōu)勢(shì)認(rèn)證方式用戶自帶AAA（LNS兼做或者單設(shè)專門的AAA服務(wù)器）時(shí)，移動(dòng)終端客戶的二次認(rèn)證由用戶AAA完成，一次認(rèn)證（VPDN接入業(yè)務(wù)認(rèn)證）由局端的接入AAA完成。用戶網(wǎng)絡(luò)不具備AAA時(shí)，由電信提供共享的VPDN AAA完成二次認(rèn)證，一次認(rèn)證（VPDN接入業(yè)務(wù)認(rèn)證）由省AAA完成。 AAA服務(wù)器部署AAA服務(wù)器配置 認(rèn)證通過AAA服務(wù)器完成，AAA服務(wù)器通常分為接入AAA和VPDN AAA。接入AAA負(fù)責(zé)移動(dòng)終端的VPDN接入認(rèn)證（也稱為一次認(rèn)證），屬于無(wú)線寬帶VPDN業(yè)務(wù)平臺(tái)的一部分。VPDN AAA負(fù)責(zé)VPDN應(yīng)用認(rèn)證（也稱為二次認(rèn)證），一般部署在客戶網(wǎng)絡(luò)中。VPDN A

17、AA既可使用專用的服務(wù)器，也可由LNS設(shè)備兼任。 VPDN 業(yè)務(wù)進(jìn)行的是二次認(rèn)證，第一次認(rèn)證通過接入AAA來(lái)完成，目的是給PDSN返回相應(yīng)的L2TP的屬性(隧道密碼、LNS地址等) ；第二次認(rèn)證由VPDN AAA（或者用戶自帶AAA）來(lái)完成，使用帳號(hào)和密碼進(jìn)行認(rèn)證，目的是判定用戶是否有權(quán)限接入客戶。對(duì)于VPDN 業(yè)務(wù)的第二次認(rèn)證，優(yōu)先考慮由客戶自行完成相應(yīng)帳號(hào)、密碼的認(rèn)證。如果客戶確實(shí)有需要，要求電信公司為其完成第二次認(rèn)證，則優(yōu)先考慮利舊聯(lián)通原有的VPDN AAA為客戶提供服務(wù)。VPDN賬號(hào)規(guī)則中國(guó)電信新增無(wú)線寬帶VPDN用戶的賬號(hào)格式為“用戶名客戶域名.vpdn.地區(qū)域名”。用戶賬號(hào)和密碼的

18、相關(guān)說(shuō)明如下：每個(gè)IMSI號(hào)只能對(duì)應(yīng)唯一的用戶賬號(hào)?！坝脩裘辈怀^20個(gè)字符，只能使用字母、數(shù)字和下劃線“_” ，由客戶為終端用戶分配；“客戶域名”不超過20個(gè)字符，只能使用字母、數(shù)字和下劃線“_” ，由客戶向中國(guó)電信申請(qǐng)；“vpdn”標(biāo)識(shí)業(yè)務(wù)名稱；“地區(qū)域名”為2個(gè)字母（見表4），標(biāo)識(shí)客戶業(yè)務(wù)所在省。用戶密碼限定為6-20個(gè)字符，只能使用字母、數(shù)字和下劃線“_”。 省份代碼省份代碼省份代碼北京bj上海sh廣東gd黑龍江h(huán)l江蘇js廣西gx吉林jl浙江zj海南hi遼寧ln安徽ah湖南hn內(nèi)蒙古nm福建fj云南yn天津tj江西jx貴州gz河北he山東sd四川sc山西sx湖北hb重慶cq河南ha

19、甘肅gs西藏xz陜西sn寧夏nx新疆xj青海qh終端IP地址獲得方式 終端用戶主要通過以下兩種方式獲得IP地址：通過AAA服務(wù)器分配地址，適合終端用戶需要固定IP的情況。在認(rèn)證階段，如果在用戶數(shù)據(jù)庫(kù)中為該用戶名配置了IP地址，則RADIUS服務(wù)器在IPCP階段將這個(gè)IP地址返回給LAC，作為這個(gè)用戶上網(wǎng)使用的IP地址。通過LNS利用地址池為終端用戶分配地址，適合大部分情況。如果用戶在認(rèn)證階段還沒有獲得IP地址，就需要在IPCP階段協(xié)商IP地址。VPDN業(yè)務(wù)可以通過LNS預(yù)先設(shè)置IP地址池組，用戶上網(wǎng)所需要的IP地址來(lái)自于該VPDN用戶所屬的地址池。當(dāng)用戶上網(wǎng)時(shí)，從IP地址池分配一個(gè)IP地址，當(dāng)

20、用戶下網(wǎng)時(shí)，這個(gè)IP地址歸還到地址池。 對(duì)于共享LNS，即多個(gè)VPDN用戶使用一個(gè)物理LNS（可虛擬成多個(gè)LNS）的情況，需要根據(jù)不同的VPDN用戶域名，分別預(yù)先分配對(duì)應(yīng)的地址池。用戶之間的隔離可通過三層VPN（包括VR方式）或二層VPN兩種方式實(shí)現(xiàn)。目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)CDMA VPDN實(shí)現(xiàn)流程MobileStation移動(dòng)基站 BTSBS

21、C/PCFHAAAPDSN/FAFAAAR-P接口IP Network CN2/163LNSEnd Host專線集團(tuán)內(nèi)網(wǎng)信道建立R-P接口建立（1）PPP LCP階段（2）PPP認(rèn)證請(qǐng)求（3）接入請(qǐng)求（4）根據(jù)IMSI轉(zhuǎn)向歸屬地認(rèn)證（5）通過認(rèn)證，返回用戶信息（6）返回VPDN屬性（7）建立L2TP隧道（8）VPDN隧道建立成功（9）VPDN AAA傳送用戶名、密碼、方式（10）終端用戶和LNS PPP LCP重協(xié)商（11）對(duì)用戶二次認(rèn)證（12） LNS發(fā)出認(rèn)證通過信息（13） PPP IPCP階段（14） PPP建立（15）CDMA VPDN業(yè)務(wù)流程終端用戶與PDSN進(jìn)入PPP LCP階段，

22、同時(shí)PDSN與終端用戶建立認(rèn)證方式PAP/CHAP。首先PDSN根據(jù)所設(shè)置的優(yōu)選認(rèn)證方式CHAP（或者PAP）向終端用戶發(fā)出協(xié)商，如終端支持PDSN的優(yōu)選認(rèn)證方式CHAP，則終端使用CHAP認(rèn)證方式與AAA進(jìn)行認(rèn)證。如終端不支持PDSN的優(yōu)選方式CHAP，則使用PDSN的次選方式PAP與AAA進(jìn)行認(rèn)證。終端用戶使用用戶名（XXX域名）撥號(hào)，通過無(wú)線接入網(wǎng)設(shè)備BSC/PCF與PDSN發(fā)出連接請(qǐng)求。終端用戶向PDSN發(fā)出VPDN認(rèn)證請(qǐng)求。PDSN向拜訪地AAA轉(zhuǎn)發(fā)接入請(qǐng)求。拜訪地AAA根據(jù)用戶IMSI轉(zhuǎn)向歸屬地AAA進(jìn)行認(rèn)證，歸屬地AAA根據(jù)用戶域名判斷該用戶是否VPDN用戶，是否具有接入權(quán)限。(

23、如用戶在歸屬地進(jìn)行VPDN撥號(hào)由歸屬地局端AAA認(rèn)證后進(jìn)入（8）。)歸屬地AAA通過用戶VPDN認(rèn)證后，向拜訪地AAA返回此VPDN用戶的相關(guān)信息。拜訪地AAA向PDSN返回VPDN屬性，包括LNS地址，隧道類型、LNS分布方式（單一LNS、主備、輪詢）、L2TP隧道密鑰等。PDSN與LNS開始建立L2TP隧道。LNS向PDSN返回Tunnel 認(rèn)證消息，PDSN與LNS隧道建立成功。PDSN向LNS傳送用戶名、密碼、認(rèn)證方式等信息。如LNS不認(rèn)可PDSN所傳來(lái)的信息或LNS配置強(qiáng)制LCP重協(xié)商，則LNS向終端發(fā)出LCP重協(xié)商請(qǐng)求，否則直接進(jìn)入（12）。終端用戶和LNS進(jìn)入PPP LCP階段。

24、VPDN AAA根據(jù)LNS傳送過來(lái)的用戶名、密碼、認(rèn)證方式等信息對(duì)終端用戶進(jìn)行二次認(rèn)證，認(rèn)證終端用戶是否能接入用戶網(wǎng)絡(luò)。LNS發(fā)出認(rèn)證通過信息。終端用戶和LNS進(jìn)入PPP IPCP階段。LNS分配用戶IP地址，終端用戶和LNS建立PPP連接 CDMA VPDN業(yè)務(wù)流程目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)VPDN業(yè)務(wù)提供方式MobileStation移動(dòng)基站

25、BTSBSC/ PCF客戶-網(wǎng)絡(luò)接入AAAPDSN A省CN2共享LNSCN2/163BSC/ PCFPDSN B省客戶端接入VPN/專線客戶-網(wǎng)絡(luò)無(wú)線接入網(wǎng)絡(luò)核心網(wǎng)LNS接入VPN/專線接入AAALNS/AAA VPDN有兩種業(yè)務(wù)提供方式 電信LNS方式： 電信提供LNS，不同用戶共享；電信提供認(rèn)證，分配IP地址（根據(jù)用戶指定地址池）。 用戶LNS方式： 用戶提供LNS，用戶自行提供認(rèn)證和IP地址分配。業(yè)務(wù)網(wǎng)絡(luò)參考模型目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA

26、 VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)業(yè)務(wù)應(yīng)用場(chǎng)景根據(jù)用戶需求，VPDN業(yè)務(wù)提供兩大類應(yīng)用場(chǎng)景 省內(nèi)VPDN業(yè)務(wù)及漫游 該場(chǎng)景中VPDN定義為A省業(yè)務(wù)，用戶IMSI、AAA及LNS都屬于A省。用戶以A省IMSI號(hào)在A省接入， 同時(shí)可以根據(jù)需要在全國(guó)漫游（用A省IMSI號(hào)）。 跨省VPDN業(yè)務(wù)及漫游 該場(chǎng)景中VPDN定義為省A業(yè)務(wù)，用戶IMSI及AAA屬于多個(gè)省份（A-N），LNS屬于省A。每個(gè)省的 vpdn終端用該省的IMSI號(hào)接入，并在該省AAA認(rèn)證、計(jì)費(fèi)。同時(shí)可以根據(jù)需要以所在省IMSI號(hào)在其 他省份漫游。目錄客戶的困擾CDMA

27、 VPDN技術(shù)原理介紹CDMA VPDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)業(yè)務(wù)控制VPDN業(yè)務(wù)除訪問客戶網(wǎng)絡(luò)之外，根據(jù)不同的客戶需求，還需要具備如下幾類功能以實(shí)現(xiàn)業(yè)務(wù)控制：用戶帳號(hào)和IMSI號(hào)綁定要求用戶賬號(hào)與終端IMSI號(hào)碼綁定，提供用戶賬號(hào)、終端IMSI號(hào)雙重身份校驗(yàn)機(jī)制，既可防止多個(gè)UIM卡共用相同的用戶賬號(hào)，也可避免對(duì)LNS的安全攻擊。 跨省VPDN業(yè)務(wù)及漫游無(wú)線寬帶VPDN業(yè)務(wù)作為一個(gè)單獨(dú)的業(yè)務(wù)提供，不與其

28、他業(yè)務(wù)沖突。終端用戶既可以單獨(dú)開通無(wú)線寬帶VPDN業(yè)務(wù)，也可以在開通無(wú)線寬帶VPDN業(yè)務(wù)的同時(shí)開通其他業(yè)務(wù)。如：VPDN終端用戶可選擇只開通VPDN業(yè)務(wù)，不開通互聯(lián)網(wǎng)及WAP業(yè)務(wù)；或者，用戶在開通VPDN業(yè)務(wù)的同時(shí)，也開通互聯(lián)網(wǎng)及WAP業(yè)務(wù)。通過AAA服務(wù)器實(shí)現(xiàn)用戶業(yè)務(wù)功能屬性控制。LNS負(fù)載均衡方式為實(shí)現(xiàn)負(fù)載均衡及災(zāi)難備份，AAA服務(wù)器可以通過向PDSN返回不同的LNS屬性完成相應(yīng)的功能，需AAA及PDSN支持。如返回屬性LNS1，LNS2（主備方式）或返回屬性LNS1/LNS2（輪詢方式）。其中LNS1、LNS2 為L(zhǎng)NS IP地址。目錄客戶的困擾CDMA VPDN技術(shù)原理介紹CDMA V

29、PDN概述CDMA VPDN組網(wǎng)方式CDMA VPDN協(xié)議棧LNS部署方式VPDN配置CDMA VPDN實(shí)現(xiàn)流程CDMA VPDN構(gòu)建企業(yè)安全內(nèi)網(wǎng)業(yè)務(wù)提供方式業(yè)務(wù)應(yīng)用場(chǎng)景業(yè)務(wù)控制終端用戶撥入中國(guó)電信CDMA VPDN優(yōu)勢(shì)終端用戶撥入方式 終端用戶撥入過程啟動(dòng)客戶端互聯(lián)網(wǎng)賬號(hào)：用戶名card/密碼card專線賬號(hào)：用戶username#.VPDN.bj /密碼password設(shè)置完成，點(diǎn)擊“連接”，即可撥入到用戶內(nèi)網(wǎng)終端用戶使用用戶名（XXX域名）撥號(hào)，通過基站、無(wú)線側(cè)設(shè)備BSC/PCF與PDSN發(fā)出連接請(qǐng)求。PDSN將用戶接入請(qǐng)求轉(zhuǎn)發(fā)給接入AAA，接入AAA根據(jù)用戶域名判斷用戶是否VPDN用戶，是否具有接入權(quán)限。接入AAA認(rèn)證通過后，向PDSN返回VPDN屬性。PDSN根據(jù)接入AAA返回的VPDN屬性（包括LNS地址，隧道類型、L2TP隧道密鑰等）和LNS建立L2TP隧道。PDSN向LNS傳送用戶名、密碼、認(rèn)證方式等信息。VPDN AAA根據(jù)LNS傳送過來(lái)的用