2010年集团客户移动vpdn产品培训材料.ppt

2010年集团客户 移动VPDN产品培训材料,集团客户部 2010年6月,2,汇 报 提 纲,二、技术方案,一、产品介绍,三、运营管理,四、计费结算,3,产品定义,业务定义,适用范围,移动VPDN （Virtual Private Dialup Network，虚拟拨号专用网络）业务，是基于中国联通3G WCDMA高速分组数据网为集团客户构建安全的、移动的、高速率的、有质量保证的虚拟专用数据网络，并提供差异化的、安全可靠的无线数据解决方案地点分散，在各地有分支机构，移动人员特别多的用户，例如企业用户、远程教育用户 人员分散，需通过长途电信甚至国际长途手段联系的用户 对线路的保密和可用性有一定要求的用户,4,概念辨析,VPDN 属于VPN(虚拟专用网)的一种 VPN根据接入方式分为： 专线VPN(即传统VPN) 是利用专线就近接入ISP边缘路由器的VPN解决方案 是一种“永远”的VPN节省传统的长途专线租用费用 拨号VPN（即VPDN） 是通过PSTN或ISDN利用拨号客户端接入ISP的VPN解决方案 是一种“按需连接”的VPN节省用户的专线租用费用概念辨析,5,业务分类,根据范围： 全网业务：实现归属于多个省的集团客户的集中接入 省内业务：实现归属于本省集团客户的集中接入 根据接入终端类型 业务：通过在终端上安装客户端软件，以无线方式接入。

PC业务：通过在装有PC上安装客户端软件，以无线方式接入 特殊终端业务：通过装有客户端软件的特殊终端(嵌入式终端)，以无线方式接入 根据应用场景 P2M（People to Machine人对机器）：面向内部员工的服务，如移动OA M2M（Machine to Machine机器对机器）：面向生产控制管理，如城市天气监测数据采集6,VPDN业务功能(1),终端接入 支持企业用户通过、上网卡、特殊终端等移动设备（简称MS）以APN方式接入，在鉴权认证时，支持根据解析集团账户所含的企业APN信息，由APN 来定义接入企业内网（Intranet）的方式 EC接入 支持通过三层或二层VPN（包括GRE和L2TP ）隧道接入企业内网（Intranet） 认证鉴权功能 支持GPRS APN一次认证鉴权与企业内网接入二次认证鉴权方式7,VPDN业务功能(2),地址分配功能 针对不同的APN，MS 的IP 地址分配支持静态地址分配或动态地址分配方式 SLA分级服务功能 VPDN业务可根据客户不同的SLA服务等级要求，设立不同服务质量保障措施，提供分级的服务标准 带宽控制 业务流量识别,8,中国移动情况,2009年5月，中国移动推出了针对集团客户的基于GPRS网络的VPN业务——“集团E网”。

集团E网业务是集团客户通过中国移动的GPRS网络，利用、PDA、笔记本电脑等行业终端，为集团内部个人客户提供接入企业内部网络获取信息或进行机器对机器的小数据量的数据传输 针对的对象： 大、中型国内企业，信息化程度高，安全性要求高，有一定的维护能力其中又可细分为已建有企业虚拟网的，和尚未建成企业虚拟网的企业） 跨国企业，频繁使用虚拟网业务，但VPN服务器在国外，不允许在服务器上修改配置9,中国电信情况,2001年7月，中国电信推出了针对集团客户基于ChinaNet网络 的VPDN业务——“V信通” 用户能够拨打中国电信“V信通”特服号“17979”，利用安全的L2TP隧道传输协议，在现有的固话拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源 2009年电信业重组，电信购得联通C网后，便开放了VPDN业务并从联通继承了大量VPDN行业应用10,中国联通情况,中国联通有在移动网络和固网双网开展VPDN业务的丰富经验 原中国联通曾基于CDMA 1x推出了针对集团客户的无线VPDN技术解决方案； 原中国网通也曾基于CNCnet网络推出了类似电信“V信通”的业务 目前中国联通继承了原网通的固网VPN业务，而基于WCDMA移动网络的VPDN业务正在逐步开展。

目前集客部正积极推动针对行业客户的全网性移动VPDN业务11,各运营商业务对比,12,汇 报 提 纲,二、技术方案,一、产品介绍,三、运营管理,四、计费结算,13,技术选择,目前可用于搭建VPN网络的技术繁多，例如L2TP、PPTP、GRE、IP Sec、SSL、MPLS等 根据业务需求以及现网改造、维护等情况综合考虑，联通移动VPDN业务选择GRE和L2TP两种技术方案开展 GRE，通用路由封装，三层VPN目前最为普遍的VPN建网方式，适用于构建企业内部虚拟专网（Intranet VPN和Extranet VPN） L2TP，二层隧道协议，二层VPN目前最为流行的VPN建网方式，安全性高，资源占用少，且QoS保证，适用于构建远程访问虚拟专网（Access VPN）14,用户接入模式——GRE,1) 首先建立企业侧到联通侧的GRE隧道； 2) MS发起Activate PDP请求，在PDP报文中携带APN，用户名和密码等信息； 3) SGSN向HLR鉴权后，从省DNS获得GGSN IP，发起创建GTP隧道请求； 4) GGSN从SGSN获取用户信息后，向AAA发送认证请求，AAA对终端用户进行鉴权，并由GGSN/AAA分配IP地址； 5) MS和企业服务器进行通信；,15,技术方案简述（1）,GRE，通用路由封装，三层VPN。

适用于构建企业内部虚拟专网（Intranet VPN和Extranet VPN） 优点： 机制简单，对隧道两端设备的CPU负担小 多协议的本地网可以通过单一协议的骨干网实现传输 缺点： APN规划复杂，针对每个企业客户都要分配不同的APN GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的，且存在网络资源浪费现象 用户IP地址由联通GGSN分配，对GGSN有一定影响 安全性一般，差异化服务性能较弱 不提供数据的加密；不对数据源进行验证；不保证报文正确到达目的地；不提供流量控制和QoS特性,16,用户接入模式——L2TP,1) MS发起Activate PDP请求，在PDP报文中携带APN，用户名和密码等信息； 2) SGSN向HLR鉴权后，从省DNS获得GGSN IP，发起创建GTP隧道请求； 3) GGSN向AAA发起一次认证鉴权，下发隧道属性； 4) GGSN向LNS发起建立L2TP隧道请求，隧道建立后，用户信息透传到LNS设备； 5) LNS设备向AAA发起二次认证，认证通过后分配IP给终端用户； 6) MS和企业服务器进行通信；,17,技术方案简述（2）,L2TP，二层隧道协议，二层VPN。

适用于构建远程访问虚拟专网（Access VPN） 优点： APN规划简单，GGSN配置方便 隧道动态建立和终结，网络资源动态分配 IP地址由路由器完成最终分配，对GGSN性能无影响 在端到端链路上，可针对不同的服务质量创建不同的隧道且具有会话模式，可实现链路复用 安全性更强，提供隧道验证和网关的二次认证机制 缺点： 由于资源动态分配，因此对于网络设备的要求较高，网关需要进行升级改造，前期投入较大18,方案对比,GRE VPN方式组网简单，前期投资较少，便于快速开展业务，但存在资源浪费和差异化服务支持度低等技术问题，不利于VPDN业务的后期扩展 L2TP VPN方案组网配置较发杂，前期投资较大，对企业端有一定的设备要求，但技术先进，安全性高，资源利用率高，适合于大中型企业的VPDN业务开展，是今后VPDN业务的发展趋势优劣互补，混合搭建，效益最大,19,建设原则,AAA平台为一级架构，各省升级/新建VPDN业务AAA平台，实现VPDN业务的鉴权功能 各省根据业务发展规划及现网GGSN负荷，利用现网GGSN或者建设专用的GGSN承载VPDN业务实现VPDN业务的业务逻辑，包括：PDP Contexts 激活、APN解析、IP地址分配及外网接入的路由选择、以及用户识别、业务控制等。

并且是VPDN业务的话单采集点 目前VPDN业务的签约、开通和变更等工作，都在集团客户生产管理系统完成具体管理流程请参见后文运营管理部分20,,,全网VPDN业务组网方案,省内业务和全网业务的用户数据均存储在业务归属省HLR中，所有集团客户接入到集团VPDN业务接入省GGSN及AAA平台21,AAA建设原则,AAA平台建议在省会统一进行设置，原则上建议与提供VPDN业务的GGSN设置在同局址 为了保证业务安全，AAA设备应采取双机热备或者负荷分担方式进行设置 对于已经建设有AAA平台的省份，应根据总部下发的相关指导意见和技术规范对现网设备改造以满足要求 AAA平台的建设容量，应当在充分调研业务需求的基础上，留有一定的富余量 AAA平台应支持统计分析功能，主要实现针对客户信息和业务量，为系统管理者或网络运营者提供各种统计报表，以使系统运营者可以从各种角度对企业移动信息化业务进行统计和分析22,GGSN建设原则,建网要求对两种隧道接入方式均支持，但L2TP VPN会增加一定的GGSN负荷，可能会造成部分GGSN设备容量下降，建议根据现网实际情况进行选择 各省可根据业务发展规划及现网GGSN负荷，利用现网GGSN或者建设专用的GGSN承载VPDN业务。

23,网元建设——AAA平台（1）,与GGSN连接 若AAA平台与提供VPDN业务的GGSN在同一局址，则通过局域网互联 若AAA平台与提供VPDN业务的GGSN不在同一局址，则通过本地PS承载网进行互联，通过新增VPN，与其他网元隔离开 若AAA平台与提供VPDN业务的GGSN不在同一本地网，则通过IP承载B网进行互联，通过新增VPN，与其他网元隔离开24,网元建设——AAA平台（2）,与BSS连接可根据各省情况通过专线或者其他方式互联 用户数据传递功能： 当用户在BSS系统申请VPDN业务后，能够将帐户信息同步到AAA平台，用于该开户用户的接入认证 计费信息传递功能： 当用户接入认证通过后，如果由AAA生成用户话单，则采集到的计费话单传递给营帐系统用于营帐系统进行批价及计费 与综合网管系统对接 通过SNMP北向接口与网管系统完成对接，或者通过自有网管平台，实现网络管理和信息统计等功能25,其他网元建设,GGSN GGSN中需要配置其对应AAA平台的IP地址 HLR 配置开通VPDN业务用户的APN数据 APN的配置原则以《关于印发集团客户3G行业应用APN命名及Service ID分配方案的通知》（中国联通〔2010〕62 号）及相关规范为准。

如果采用静态IP地址的方案，还需要在HLR中配置用户的IP地址 DNS 省DNS：配置归属本省VPDN业务的APN对应GGSN的IP地址 根DNS：对于全网业务，配置该APN对应接入省的省DNS的IP地址26,汇 报 提 纲,二、技术方案,一、产品介绍,三、运营管理,四、计费结算,27,27,业务运营管理流程,客户业务和资费审批流程全网业务需一事一议，签约方客户经理（省分集团客户部客户经理/总部集团客户事业部客户经理）将客户业务需求上报总部集团客户部，总部集团客户部对其业务需求、业务资费进行统一审批； 审批后进行协议/合同签署28,28,业务运营管理流程,客户开通信息确认流程 由签约方客户经理与客户方确认所有需开通的成员相关信息； 由签约方客户经理将签约合同、资费信息、用户信息上报总部集团事业部29,29,业务运营管理流程,信息下发与成员用户开户流程 总部集团客户事业部将资费信息、用户信息等下发给各相关省级分公司； 各省级分公司客户经理协助本省客户完成成员用户开户入网及或基本个人资费套餐的办理事宜和除VPDN功能费外其他费用的缴费事宜业务受理后，各省级分公司客户经理需按《VPDN业务受理基础信息表》要求将本省客户、客户成员用户信息汇总至总部集团客户事业部； 总部集团客户事业部将汇总信息返回签约方客户经理；,。